REPORT SULLE MINACCE ALLA SICUREZZA DEI SITI WEB. Aggiornamenti da Symantec Internet Security Threat Report

Transcript

1 REPORT SULLE MINACCE ALLA SICUREZZA DEI SITI WEB Aggiornamenti da Symantec Internet Security Threat Report Data di pubblicazione: maggio 2012

2 Sommario Introduzione 3 Il 2011 mese per mese 4 Il 2011 in cifre 7 Sintesi 8 Conclusione: cosa aspettarsi per il Linee guida e procedure ottimali per le aziende 17 Linee guida e procedure ottimali per i consumatori 20 Autorità di certificazione vittime di attacchi 9 I trend del codice dannoso 10 Malware nel Malware nei siti Web 11 Malware diffuso tramite 12 Siti Web pericolosi 13 Exploit Web: toolkit, rootkit e minacce da social network 14 Creazione della fiducia e messa in sicurezza dei punti più deboli 15 Ulteriori informazioni 22 Note 23 Informazioni su Symantec 24 FigurA Figura 1 Numero medio al giorno di siti Web dannosi identificati Figura 2 Categorie di siti Web più pericolosi, Figura 3 Tasso di malware nel traffico ,

3 Introduzione Symantec vanta la realizzazione di alcune tra le più complete fonti di dati correlati alle minacce Internet grazie a Symantec Global Intelligence Network, una rete costituita da oltre 64,6 milioni di sensori di attacco in grado di registrare migliaia di eventi ogni secondo. La rete monitora le attività correlate agli attacchi in più di 200 paesi e territori, mediante una combinazione di prodotti e servizi Symantec quali Symantec DeepSight Threat Management System, Symantec Managed Security Services, prodotti Norton per i consumatori e altre origini dati fornite da terze parti. Symantec mantiene inoltre uno dei più completi database delle vulnerabilità al mondo, che attualmente ospita oltre vulnerabilità registrate e raccolte nel corso di più di un ventennio tra oltre fornitori che rappresentano più di prodotti. I dati relativi a spam, phishing e malware vengono acquisiti da una varietà di fonti, tra cui Symantec Probe Network, un sistema formato da più di 5 milioni di account esca, Symantec.cloud e altre tecnologie Symantec per la sicurezza. Skeptic, la tecnologia euristica proprietaria di Symantec.cloud, è in grado di rilevare nuove e sofisticate minacce mirate prima che queste raggiungano le reti dei clienti. Ogni giorno, vengono elaborati oltre 8 miliardi di messaggi e più di 1,4 miliardi di richieste Web in 15 data center. Symantec raccoglie inoltre informazioni sul phishing tramite una comunità antifrode formata da aziende, fornitori di soluzioni di sicurezza e oltre 50 milioni di consumatori. Tali risorse forniscono agli analisti di Symantec un impareggiabile base dati con cui identificare, analizzare e fornire indicazioni sulle linee di tendenza emergenti negli attacchi, nelle attività del codice dannoso, del phishing e dello spam. Il risultato è la pubblicazione annuale del Symantec Internet Security Threat Report, che fornisce ad aziende e consumatori informazioni essenziali per proteggere con efficacia i propri sistemi sia nell attualità che per il futuro. Questa versione ridotta del report, il Report sulle minacce alla sicurezza dei siti Web, è stata redatta focalizzando l attenzione sulle problematiche legate alla sicurezza dei siti Web. La versione completa dell Internet Security Threat Report può essere scaricata dall indirizzo. 3

4 MINACCE PER DISPOSITIVI MOBILI VIOLAZIONI ATTACCHI BOTNET MINACCE SPECIFICHE SPAM PHISHING E 419 SOCIAL NETWORKING Applicazioni incorporate nel backdoor Android.Gemini compaiono nei marketplace Android non regolamentati. Tentativi di phishing mascherati come applicazione Facebook indonesiana consentono il furto delle credenziali di accesso. Gli scammer utilizzano l alluvione della regione Serrana in Brasile come pretesto per sollecitare false donazioni. Azienda di sicurezza HBGary Federal violata da Anonymous. Android.Pjapps, un altro trojan backdoor basato su Android, compare nei marketplace Android non regolamentati. Microsoft e le autorità competenti smantellano la botnet Rustock. Android.Rootcager compare in un marketplace Android ufficiale. Gli spammer sfruttano il terremoto in Giappone come pretesto per realizzare 419 tentativi di phishing, falsi siti per donazioni e allegati dannosi. Gli hacker si impossessano dello strumento Google per la rimozione di Android. Rootcager e lo reimpacchettano con un nuovo trojan, Android.Bgserv. Violati Comodo Registration Authorities, InstantSSL.it e GlobalTrust.it. Creati falsi certificati per repliche di siti Google, Hotmail, Yahoo!, Skype e Mozilla. Gli spammer sfruttano i disordini in Egitto e Libia per mettere a segno 419 tentativi di phishing e attacchi mirati. 4

5 Token di Facebook inviati illecitamente a terzi tramite applicazioni. Sony scopre che la rete Playstation Network è stata violata dagli hacker. Il servizio viene sospeso durante le attività di ripristino della sicurezza. Rilascio di una versione gratuita del popolare exploit Blackhole. L Iran dichiara di aver subito un altro attacco stile Stuxnet, denominato Stars. Malware rilevato durante la registrazione di applicazioni Facebook. FBI autorizzata dalla magistratura a disattivare la botnet Coreflood mediante l invio di un comando delete (incluso nel codice dannoso) ai computer compromessi. Spammer e spacciatori di software FakeAV sfruttano le nozze reali britanniche come pretesto per le proprie campagne e attività di SEO poisoning. LulzSec partecipa a una sfida di hacking modificando la homepage del sito di Black & Berg Cybersecurity Consulting e rifiuta il premio di $ messo in palio dall azienda. LulzSec viola i sistemi del Senato degli Stati Uniti, della CIA e delle affiliate FBI in risposta ad alcune dichiarazioni del governo statunitense in cui si afferma che un attacco informatico è paragonabile a un atto di guerra. Inizia l operazione AntiSec: gli hacker vengono invitati ad attaccare siti Web governativi e a pubblicare i dati ottenuti con gli attacchi. Attacco mediante script genera inviti Facebook. La morte di Osama bin Laden scatena attacchi malware e di phishing Emerge il gruppo LulzSec, il loro motto: In it for the LULZ. Scoperti spammer che allestivano i propri servizi di abbreviazione di URL. LulzSec è a sua volta vittima di un attacco da parte da parte di TeaMp0isoN/ th3j35t3r, i cui componenti ritengono che il gruppo stia ottenendo un livello di attenzione eccessivo. Violazione di un servizio di cambio valuta per la valuta virtuale Bitcoin. Violazione dell autorità di certificazione DigiNotar, con conseguente chiusura dell azienda. Campagna spam di tag scatenata su Facebook. 5

6 Microsoft offre una ricompensa di $ per informazioni che possano condurre all arresto dei creatori di Rustock. W32.Duqu ufficialmente scoperto. Potrebbe trattarsi della minaccia resa pubblica dall Iran in aprile. La morte di Amy Winehouse viene utilizzata come pretesto per la diffusione di Infostealer.Bancos. Gli autori dell exploit Blackhole danno il via a una campagna di spam correlata alla scomparsa di Steve Jobs. Pubblicato il white paper Nitro Attacks, in cui si illustrano i dettagli di un attacco mirato al settore chimico. Scoperto Trojan.Badminer, che esegue l offload del bitcoin mining alla GPU (Graphics Processing Unit). Scoperti attacchi di phishing contenenti simboli Trust falsificati. Java passa al primo posto tra i software oggetto di exploit, superando Adobe e Microsoft, stando al Microsoft Security Intelligence Report, volume 11 La morte del leader libico Muammar Gheddafi dà origine a una campagna di spam con diffusione di malware. Attacchi token Anti-CSRF rilevati in Facebook. Gli spammer sfruttano il decimo anniversario dell 11 settembre per effettuare l harvesting di indirizzi . Spam farmaceutico realizzato con il pretesto dell esplosione di una bomba a Delhi. Violazione dell azienda per l analisi di affari globali Stratfor. Botnet Kelihos disattivata da Microsoft. Lo spam scende ai livelli più bassi degli ultimi 3 anni. 6

7 Il 2011 IN CIFRE 5,5 MILIARDI ATTACCHI TOTALI BLOCCATI NEL VS. 3 MILIARDI NEL , MILIARDI NEL MILIARDI NEL 2011 SPAM GLOBALE GIORNALIERO STIMATO 1.1 MILIONI DI IDENTITÀ ESPOSTE AD OGNI VIOLAZIONE TASSO COMPLESSIVO DI PHISHING 1 OGNI 299 7

8 Sintesi Symantec ha bloccato oltre 5,5 miliardi di attacchi nel 20111: oltre l 81% in più rispetto all anno precedente. Questo aumento è stato in buona parte il risultato di un picco di attacchi da malware polimorfico e, più in particolare, del tipo utilizzato nei kit di attacco per il Web e negli attacchi di social engineering con utilizzo di malware distribuito via . Gli attacchi mirati che sfruttano le vulnerabilità zero-day sono stati potenzialmente i più insidiosi tra questi attacchi. Nel caso di un attacco mirato, è quasi impossibile per la vittima sapere in che momento verrà presa di mira, poiché tali attacchi, per natura, sono realizzati per sfuggire alle maglie della sicurezza ed evitare il rilevamento. A differenza di quanto accade con i problemi cronici, gli attacchi mirati, quelli con motivazioni politiche, le violazioni di dati e gli attacchi alle autorità di certificazione hanno dominato le cronache nel Le autorità di certificazione e Transport Layer Security (TLS) V1.0 vengono presi di mira più insistentemente con l aumentare dell utilizzo delle tecnologie SSL Le violazioni ad alto profilo di autorità di certificazione e provider di certificati SSL (Secure Sockets Layer) hanno messo a repentaglio gli stessi sistemi che garantiscono la fiducia su Internet. Tuttavia, non era la tecnologia SSL il punto debole nella violazione di DigiNotar e in altri simili attacchi. Piuttosto, tali attacchi hanno messo in luce la necessità per le organizzazioni impegnate nella catena di approvvigionamento delle autorità di certificazione di proteggere ulteriormente le proprie infrastrutture e adottare procedure e policy di sicurezza più rigorose. Un exploit malware concepito per TLS 1.0 ha evidenziato la necessità da parte dell ecosistema SSL di effettuare l aggiornamento a nuove versioni di TLS, ad esempio TLS 1.2 o superiore. I proprietari di siti Web hanno riconosciuto la necessità di adottare SSL in modo più capillare per combattere gli attacchi man-in-the-middle (MITM), in particolare per quanto riguarda la protezione di pagine non legate a transazioni, come dimostrato dall adozione di SSL Always On da parte di Facebook, Google, Microsoft e Twitter 2. 8

9 Autorità di certificazione vittime di attacchi Le autorità di certificazione (CA), che forniscono certificati SSL per la crittografia e l autenticazione dei siti Web e di altri servizi online, hanno subito un numero di attacchi senza precedenti nel corso del Tra gli episodi più importanti di attacchi a CA nel 2011 vi sono i seguenti: 6 C e r t i f i c a t i f r a u d o l e n t i s u c c e s s i v i a l l a compromissione di DigiNotar vengono scoperti in rete. Un hacker con nome in codice ComodoHacker rivendica gli attacchi a Comodo e DigiNotar, affermando di aver attaccato anche altre autorità di certificazione. L hacker afferma di trovarsi in Iran. 7 I ricercatori in materia di sicurezza dimostrano il funzionamento di Browser Exploit Against SSL/ TLS (BEAST) 8, una tecnica volta a sfruttare una vulnerabilità nella tecnologia di crittografia di TLS 1.0, uno standard impiegato in browser, server e autorità di certificazione.. 1 Un attacco ha compromesso le credenziali di accesso di un partner Comodo in Italia, utilizzando i privilegi di tale partner per creare certificati SSL fraudolenti 3. 8 Attaccato GlobalSign. Sebbene l autorità di certificazione non sia stata violata, il relativo sito Web viene compromesso 9, senza ulteriori conseguenze 10. ComodoHacker rivendica anche questo attacco. 9 Il governo olandese e altri clienti di DigiNotar devono improvvisamente sostituire tutti i certificati DigiNotar in seguito alla rimozione, da parte dei principali fornitori di browser, di DigiNotar dai propri archivi radice attendibili 11. DigiNotar avvia la procedura di bancarotta. 2 Si apprende della violazione della sicurezza di un altro partner Comodo: ComodoBR in Brasilel 4. 3 StartCom, la CA fornitrice di StartSSL, viene attaccata senza successo nel mese di giugno 5. 4 Diginotar violata in giugno, ma inizialmente non sono stati emessi certificati Digicert Sdn. Bhd. (Digicert Malaysia), un autorità di certificazione intermedia associata a Entrust (senza alcuna relazione con la più famosa CA, Digicert Inc.) emette certificati con chiavi private deboli e privi di estensioni per l utilizzo adeguate o di informazioni sulla revoca. Di conseguenza Microsoft, Google e Mozilla rimuovono le radici Digicert Malaysia dai propri archivi radice attendibili 12. Non si è trattato del risultato dell attacco di un hacker, bensì dell impiego di pratiche di sicurezza non adeguate da parte di Digicert Sdn. Bhd. 5 D a u n a v e r i f i c a i n t e r n a v i e n e s c o p e r t a un intrusione all interno dell infrastruttura di DigiNotar che indica la compromissione delle chiavi di crittografia della CA. In seguito alla violazione di DigiNotar, vengono emessi certificati fraudolenti per componenti aggiuntivi per Google, Mozilla, Microsoft Update e altri 7. Questi attacchi hanno dimostrato che non tutte le CA sono uguali. La posta in gioco per le autorità di certificazione diventa più alta e richiede un livello di sicurezza elevata e costante in tutto il settore. Per gli utenti business, la scelta di un autorità di certificazione attendibile e ben protetta diventa imperativa. Infine, i consumatori devono utilizzare browser moderni e aggiornati e diventare più diligenti verificando che i siti che visitano utilizzino certificati SSL forniti da una CA affermata e attendibile. Abbiamo incluso alcuni suggerimenti nella sezione dedicata alle procedure ottimali, in fondo a questo documento. 9

10 I trend del codice dannoso Malware In 2011 Tramite l analisi del codice dannoso è possibile determinare quali tipi di minacce e vettori di attacco vengono impiegati. L endpoint è in genere l ultima linea di difesa, ma può spesso essere la prima contro attacchi che si diffondono mediante dispositivi di storage USB, connessioni di rete non sicure e siti Web compromessi o non protetti. I sistemi di reputazione e la tecnologia basata su cloud di Symantec possono aiutare a identificare e bloccare attacchi nuovi ed emergenti non noti in precedenza, ad esempio nuovi attacchi mirati che impiegano exploit zero-day precedentemente sconosciuti. L analisi dei trend di attività malware, tanto nel cloud quanto negli endpoint, può contribuire a mettere in luce l ampia natura delle minacce con cui si confrontano le aziende, in particolare per ciò che riguarda i cocktail di attacchi e minacce di diversa natura che interessano i lavoratori mobili. Stati Uniti, Cina e India, con il corrispondente numero elevato di utenti Internet, restano le fonti principali di attività pregiudizievoli nel mondo. Le proporzioni medie totali di attacchi originati dagli Stati Uniti sono aumentate di un punto percentuale dispetto al 2010, mentre lo stesso dato per la Cina mostra una diminuzione di circa 10 punti percentuali rispetto al Gli Stati Uniti sono al primo posto tra le sorgenti di tutte le attività, ad eccezione degli zombie di codice dannoso e spam, per cui l India detiene il primato. Il 12,6% circa delle attività bot ha origine negli Stati Uniti così come il 33,5% degli attacchi basati su Web, il 16,7% degli attacchi via rete e il 48,5% dei siti Web di phishing. 10

11 Malware nei siti Web Gli attacchi drive-by continuano a creare problemi per consumatori e aziende. Tali attacchi sono responsabili di centinaia di milioni di tentativi di infezione ogni anno. Questo avviene quando gli utenti visitano un sito Web che funge da host per malware. L infezione può aver luogo quando si fa clic su un collegamento in un messaggio o sul sito di un social network, oppure quando si visita un sito Web legittimo che è stato a sua volta infettato. Gli autori degli attacchi continuano a modificare le proprie tecniche, che sono diventate molto sofisticate. I messaggi con ortografia scadente e improbabile sono stati sostituiti da tecniche quali il clickjacking o likejacking, dove un utente visita un sito Web incuriosito dalla promessa di un video e l hacker utilizza quel clic per inviare un commento a tutti gli amici dell utente su Facebook, invitandoli a fare a loro volta clic sullo stesso collegamento dannoso. Di conseguenza, Facebook ha implementato un sistema denominato Clickjacking Domain Reputation System, in grado di eliminare la maggior parte degli attacchi clickjacking mediante la richiesta all utente di confermare un Mi piace prima di inviarlo, nei casi in cui il dominio sia considerato non attendibile. In base ai dati di Norton Safe Web 13, la tecnologia Symantec che analizza il Web in cerca di siti Web che ospitano malware, è stato determinato che il 61% dei siti dannosi sono in realtà siti Web autentici che sono stati compromessi e infettati con codice nocivo. Figura 1 Numero medio al giorno di siti Web dannosi identificati Web Sites Blocked Per Day 9,314 10,000 8, ,051 6,000 4,000 2,000 GEN FEB MAR APR MAG GIU LUG AGO SET OTT NOV DIC Source: Symantec Source: Symantec.cloud 11

12 Siti Web pericolosi Figure 2 Categorie di siti Web più pericolosi, 2011 Classific Prime 10 categorie di siti Web oggetto di exploit % del numero totale di siti Web infettati 1 Blog / Comunicazioni Web 19.8% 2 Hosting / Siti personali ospitati 15.6% 3 Business / Economia 10.0% 4 Acquisti 7.7% 5 Educazione / Fonti documentali VOLUME 1 VOLUME 2 6.9% 6 Tecnologia, computer e Internet 6.9% 7 Intrattenimento e musica 3.8% 8 Settore automobilistico 3.8% 9 Salute e medicina 2.7% 10 Pornografia 2.4% 12

13 È interessante notare come i siti Web che ospitano contenuti pornografici per adulti non si trovino tra i primi cinque, ma solo al decimo posto. L elenco completo è fornito nella figura 2. In aggiunta, siti ad orientamento religioso o ideologico sono risultati avere il triplo del numero abituale di minacce per sito infettato rispetto ai siti per adulti o pornografici. Si ipotizza che ciò sia riconducibile al fatto che i proprietari di siti Web pornografici realizzino un guadagno da Internet e, di conseguenza, abbiano un genuino interesse a mantenere i propri siti privi di malware, in quanto notoriamente controproducente per la fidelizzazione dei clienti. Nel 2011, il servizio di analisi malware sui siti Web di Symantec VeriSign 14 ha analizzato oltre 8,2 miliardi di URL in cerca di infezioni malware e circa 1 su 156 siti Web ne è risultato infetto. Poiché i siti Web con vulnerabilità presentano un rischio maggiore di infezione malware, Symantec iniziò a offrire ai propri clienti SSL una valutazione della vulnerabilità del sito Web a partire dall ottobre del Tra ottobre e la fine dell anno, Symantec ha rilevato che il 35,8% dei siti Web conteneva almeno una vulnerabilità e che il 25,3% ne conteneva almeno una di importanza critica. Malware diffuso tramite Il numero di dannose in proporzione al traffico complessivo di è aumentato nel L aumento maggiore si è concentrato nelle grandi aziende, con 1 ogni 205,1 identificata come dannosa in grandi imprese con più di dipendenti. Per le piccole e medie imprese con non più di 250 dipendenti, 1 ogni 267,9 è stata identificata come dannosa. I criminali informatici camuffano il malware e lo nascondono in molti di questi messaggi utilizzando una gamma di diversi tipi di allegato, ad esempio file PDF e documenti di Microsoft Office. Molti di questi file di dati allegati includono codice dannoso che approfitta delle vulnerabilità presenti nelle applicazioni di riferimento e almeno due di questi attacchi hanno sfruttato vulnerabilità zero-day in Adobe Reader. Gli autori del malware si affidano al social engineering per rendere gli allegati infetti più adatti a indurre al clic il destinatario. Ad esempio, attacchi recenti si annidavano in messaggi apparentemente inviati da noti corrieri e spedizionieri con mancate consegne come oggetto. In un altro esempio, nei messaggi veniva indicata l inclusione di allegati contenenti immagini scansionate da scanner e fotocopiatrici di rete. La vecchia raccomandazione di non fare clic su allegati sconosciuti resta purtroppo ancora valida. Inoltre, un ulteriore analisi ha rivelato che il 39,1% del malware diffuso tramite conteneva collegamenti ipertestuali che indirizzavano a codice dannoso, anziché includere tale codice nell allegato stesso. Si tratta di una escalation del dato del 23,7% del 2010 e un ulteriore indicazione del fatto che i criminali informatici stanno tentando di aggirare le contromisure di sicurezza spostando il vettore degli attacchi dal messaggio al sito Web. Figura 3 Tasso Ratio di of malware in nel traffico traffic, , su 0 1 su su su su su su 300 GEN DIC GEN DIC 1 su 350 Source: Symantec.cloud Source: Symantec 13

14 Exploit Web: toolkit, rootkit e minacce da social network I toolkit e i rootkit per gli attacchi, che consentono ai malintenzionati di creare nuovo malware e di assemblare un intero attacco senza dover riscrivere il software da zero, rappresentano quasi i due terzi (61%) di tutte le attività nocive sui siti Web dannosi. Con il progredire della diffusione, della robustezza e della semplicità d uso di questi kit, questo dato è destinato ad aumentare. I nuovi exploit vengono velocemente incorporati nei kit di attacco. Ogni nuova versione di toolkit rilasciata nel corso dell anno è accompagnata da un aumento nelle attività di attacco dei siti Web da parte di malintenzionati. Quando viene rilasciata una nuova versione contenente nuove funzionalità di exploit, si assiste a un aumento del suo utilizzo in rete, dove i nuovi exploit vengono utilizzati al massimo fino al momento in cui le potenziali vittime sono riuscite ad applicare le patch necessarie ai propri sistemi. Ad esempio, il numero di attacchi in cui viene fatto uso del toolkit Blackhole, che era molto attivo nel corso del 2010, si ridusse a poche centinaia di attacchi al giorno fino a metà del 2011, ma in seguito all apparizione di nuove versioni ricominciò ad aumentare generando, verso la fine dell anno, centinaia di migliaia di tentativi di infezione al giorno. I toolkit di attacco contengono in media una decina di diversi exploit, principalmente incentrati su vulnerabilità di componenti aggiuntivi indipendenti del browser, quali Adobe Flash Player, Adobe Reader e Java. I kit più diffusi possono essere aggiornati a intervalli di pochi giorni e ciascun aggiornamento può dare origine a un ondata di nuovi attacchi. Questi software sono relativamente facili da reperire e vengono venduti nel mercato nero underground e sui forum sul Web. I prezzi possono variare da $ 40 a $ Gli autori degli attacchi utilizzano i toolkit per gli attacchi sul Web in due modi principali. 1 Attacchi mirati. L autore dell attacco seleziona un tipo di utente su cui concentrare l azione. Il toolkit crea , messaggi istantanei e post su blog per indurre gli utenti ad accedere al contenuto infetto. In genere si tratta di un collegamento a un sito Web dannoso che installa il malware nel sistema della vittima. 2 Attacchi per diffusione. L autore dell attacco inizia prendendo di mira un ampio ventaglio di siti Web utilizzando SQL injection, software Web o exploit dei server. L obiettivo è l inserimento di un collegamento a un sito Web infetto in un sito dannoso che infetterà il sistema dei visitatori. Una volta completata con successo l operazione, ogni visitatore successivo verrà attaccato. 14

15 Creazione della fiducia e messa in sicurezza dei punti più deboli Gli utenti rispettosi della legge hanno grande interesse a costruire una rete più sicura, affidabile e attendibile. Gli sviluppi più recenti dimostrano che la battaglia per la fiducia degli utenti finali è ancora in corso: Always On SSL. Online Trust Alliance 15 promuove SSL Always On, un nuovo approccio all implementazione di SSL nei siti Web. Aziende quali Facebook 16, Google, PayPal e Twitter 17 offrono ai propri utenti l opzione di crittografia e autenticazione SSL persistenti in tutte le pagine dei propri servizi (non solo quelle di accesso). Ciò consente non solo di mitigare gli attacchi man-in-the-middle come Firesheep 18, ma offre anche una sicurezza su tutta la linea che può aiutare a proteggere ogni pagina Web utilizzata dai visitatori del sito e non solo le pagine utilizzate per effettuare l accesso e per le transazioni finanziare. Certificati SSL Extended Validation. I certificati EV SSL offrono il livello più alto di autenticazione e attivano nei browser indicatori ad alta visibilità che informano l utente che si sta utilizzando un sito protetto mediante la colorazione in verde della barra degli indirizzi. Si tratta di una protezione preziosa contro un ampia gamma di attacchi online. Un indagine tra consumatori e acquirenti online sponsorizzata da Symantec in Europa, Stati Uniti e Australia ha rivelato che la barra verde EV SSL aumenta la sensazione di sicurezza per la maggior parte dei clienti (60%) 19. Un altro studio tra consumatori online negli Stati Uniti ha rivelato che il 90% dei partecipanti non continua una transazione se viene visualizzata una pagina di avviso del browser che indica l assenza di una connessione sicura 20. Requisiti di base per certificati SSL/TLS. Il CA/Browser Forum ha rilasciato il documento Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, il primo standard internazionale di base per il funzionamento delle autorità di certificazione (CA) che emettono certificati digitali SSL/TLS nativamente attendibili nel software dei browser. Il nuovo standard di base è stato annunciato a dicembre del 2011 ed entra in vigore il primo luglio del Certificati di firma del codice e sicurezza mediante chiave privata. I furti ad alto profilo di chiavi private di firma del codice hanno messo in evidenza la necessità da parte delle aziende di proteggere le proprie chiavi private utilizzate per accedere ai certificati digitali 21. Il furto delle chiavi di firma consente agli hacker di utilizzare i certificati per firmare digitalmente il malware e può rendere gli attacchi che fanno uso di malware molto più difficili da riconoscere. È esattamente quello che si è verificato con gli attacchi Stuxnet e Duqu. DNSSEC.Si tratta di una tecnologia che sta guadagnando popolarità come metodo per preservare l integrità del domain name system (DNS). Non si tratta tuttavia di una soluzione universale per tutte le necessità di sicurezza online, non fornisce servizi di identità e autenticazione ai siti Web e non offre alcun tipo di crittografia. DNSSEC dovrebbe essere utilizzato in abbinamento alla tecnologia Secure Sockets Layer (SSL) e ad altri meccanismi di sicurezza. Requisiti legali. Molti paesi, compresi gli stati membri dell Unione Europea 22 e gli Stati Uniti (46 stati) 23, dispongono di normative legali a livello settoriale almeno per ciò che riguarda la dichiarazione di violazione dei dati, il che significa che le aziende devono notificare alle autorità e, dove richiesto, agli individui interessati che i propri dati sono stati oggetto di violazione. Oltre a fungere da modello per incoraggiare altri paesi dove il fenomeno è meno regolamentato, questi requisiti possono rassicurare gli utenti che, nel caso in cui si verifichi una violazione, verranno informati tempestivamente in modo da poter adottare le misure necessarie per mitigare il potenziale impatto, ad esempio cambiando le password degli account. 15

16 Conclusione: cosa aspettarsi per il 2012 U n saggio disse una volta: Mai fare previsioni, soprattutto per il futuro. Ebbene, questo report ha preso in esame il 2011, ma nelle conclusioni vorremmo volgere timidamente lo sguardo al futuro, proiettando i trend che abbiamo visto nel 2012 e oltre. Gli attacchi mirati e le APT continueranno a rappresentare un serio problema e la loro frequenza e sofisticazione aumenteranno. Le tecniche e gli exploit sviluppati per gli attacchi mirati si sposteranno nell economia underground e verranno utilizzati per rendere il malware cui siamo abituati ancora più pericoloso. Gli autori di malware e gli spammer aumenteranno ulteriormente l utilizzo dei siti dei social network. Il CA/Browser Forum 24 rilascerà standard di sicurezza aggiuntivi per aziende che emettono certificati digitali per proteggere il modello di attendibilità di Internet contro possibili attacchi futuri. La consumerizzazione e il cloud computing continueranno a evolversi, eventualmente modificando il modo in cui si fa commercio e inducendo i reparti IT ad adattarsi e a trovare nuovi modi di proteggere gli utenti e i sistemi aziendali. Gli autori di malware continueranno a esplorare modi di attaccare telefoni mobili e tablet e, una volta individuato un metodo efficace e redditizio, lo sfrutteranno senza ritegno. Nel 2011, il codice dannoso rivolto ai Mac si stava diffondendo con l aumentare degli utenti Mac esposti a siti Web in grado di trasferire codice trojan. Questo trend è destinato a continuare per tutto il 2012 con il codice dannoso rivolto ai Mac sempre più integrato nei kit più completi per attacchi basati sul Web. Mentre le minacce esterne continueranno a moltiplicarsi, anche le minacce interne desteranno scalpore, con dipendenti che, a livello internazionale e spesso inconsapevolmente, contribuiscono all invio illecito o al furto di dati preziosi. Le fondamenta per la prossima generazione di attacchi APT stile Stuxnet potrebbero già essere pronte. Mentre Duqu rappresenta le prime scosse di un nuovo terremoto, potrebbe trascorrere ancora del tempo prima che le conseguenze raggiungano il pubblico più ampio. 16

17 Linee guida e procedure ottimali per le aziende Impiego di strategie di difesa in profondità Implementare più sistemi difensivi a mutuo supporto e sovrapposti per difendere i sistemi da errori specifici, in ogni tecnologia o metodo di protezione. Ciò dovrebbe includere la distribuzione di firewall aggiornati regolarmente, antivirus del gateway, sistemi di rilevamento e protezione dalle intrusioni e soluzioni per la sicurezza Web del gateway in tutta la rete. Monitoraggio di minacce alla rete, vulnerabilità e abuso del marchio Effettuare il monitoraggio delle intrusioni nella rete, dei tentativi di propagazione e di altri modelli di traffico sospetti. Identificare i tentativi di connessione per individuare gli host pregiudizievoli o sospetti. Implementare soluzioni di ricezione di avvisi per nuove vulnerabilità e minacce alle piattaforme dei fornitori per una gestione proattiva delle minacce. Tracciare gli abusi di larghezza di banda utilizzando generazioni di avvisi nel dominio e reporting sui siti Web fittizi. Gli antivirus negli endpoint non sono sufficienti Il solo antivirus basato su firma negli endpoint non è più una misura sufficiente a garantire la protezione contro le minacce e i toolkit basati su Web odierni. Distribuire e utilizzare un prodotto completo per la sicurezza degli endpoint che includa livelli aggiuntivi di sicurezza quali: Prevenzione delle intrusioni negli endpoint che offra protezione contro lo sfruttamento di vulnerabilità non ancora rimosse mediante patch e contro gli attacchi condotti mediante social network e che sia in grado di bloccare il malware prima che raggiunga gli endpoint. P ro t e z i o n e d e i b ro w s e r c o n t ro a t t a c c h i b a s a t i sull offuscamento dei siti Web. Prevenzione da malware basata su cloud per fornire protezione proattiva contro minacce ancora non note. Soluzioni basate sulla reputazione dei file e dei siti Web in grado di classificare ogni applicazione e sito Web secondo livello di rischio e di reputazione, per contrastare con efficacia malware polimorfici e rapidamente mutanti. Funzionalità di prevenzione basate sul comportamento che analizzino il comportamento delle applicazioni per individuare la presenza di malware. Impostazioni per il controllo delle applicazioni che impediscano alle applicazioni e ai componenti aggiuntivi di scaricare contenuti non autorizzati o pregiudizievoli. Impostazioni di controllo dei dispositivi per prevenire e limitare i tipi di dispositivi USB utilizzabili. Protezione dei siti Web contro attacchi MITM e infezioni da malware Evitare la compromissione delle proprie relazioni attendibili con i clienti osservando le seguenti raccomandazioni: Implementare SSL Always On. Effettuare giornalmente la scansione del sito Web per individuare eventuale malware. Impostare il flag di sicurezza per tutti i cookie di sessione. Verificare regolarmente la presenza di vulnerabilità nel sito Web. Scegliere certificati SSL con convalida estesa (EV) per visualizzare la barra degli indirizzi verde nel browser degli utenti del sito. Esporre marchi di fiducia riconosciuti in zone ad alta visibilità del sito Web per infondere fiducia e dimostrare ai clienti il proprio impegno per garantire la loro sicurezza. Assicurarsi di ottenere i propri certificati digitali da un autorità affermata e affidabile che dimostri l impiego di pratiche di sicurezza eccellenti. Proteggere le proprie chiavi private: implementare pratiche di sicurezza efficaci per proteggere le proprie chiavi private, specialmente se si utilizzano certificati digitali. Symantec raccomanda a tutte le organizzazioni di: Utilizzare infrastrutture separate per firme di prova e firme di rilascio. Archiviare le chiavi in dispositivi hardware crittografati, sicuri e a prova di intrusione. Implementare sicurezza fisica per proteggere i propri asset dai furti. Utilizzo della crittografia per proteggere i dati riservati Implementare e applicare una policy di sicurezza che preveda la crittografia dei dati riservati. L accesso ai dati riservati deve essere soggetto a restrizioni. Includere una soluzione di protezione dalla perdita di dati (DLP, Data Loss Protection) per l identificazione, il monitoraggio e la protezione dei dati. Una simile soluzione non servirà solo come prevenzione dalle violazioni dei dati, ma può anche mitigare i danni derivanti da potenziali fuoriuscite di dati non autorizzate dall interno dell organizzazione. 17

18 18 Utilizzo della prevenzione da perdite di dati per contrastare le violazioni dei dati Implementare una soluzione DLP in grado di individuare l ubicazione dei dati riservati, di monitorarne l utilizzo e di prevenirne la perdita. La prevenzione da perdite di dati può essere implementata per monitorare il flusso dei dati che passano dall organizzazione alla rete e controllare le operazioni di copia di dati riservati su dispositivi o siti Web esterni. La soluzione DLP va configurata in modo da poter identificare e bloccare la copia o il download sospetto di dati riservati. La soluzione può inoltre essere utilizzata per identificare dati riservati nei file system di reti e PC in modo da consentire l applicazione di misure appropriate, quali la crittografia, per ridurre il rischio di perdita. Implementazione di una policy sui supporti rimovibili Dove praticabile, limitare l utilizzo di dispositivi non autorizzati quali hard drive portatili esterni e altri supporti rimovibili. Questi dispositivi possono potenzialmente introdurre malware e favorire la violazione o il furto, consapevole o inconsapevole, di proprietà intellettuale. Se è necessario consentire l utilizzo di dispositivi multimediali esterni, implementare la scansione automatica di questi ultimi al momento del collegamento alla rete e servirsi di una soluzione DLP per monitorare e limitare la copia di dati riservati su dispositivi di storage esterni non crittografati. Aggiornamento rapido e frequente delle contromisure di sicurezza Visti gli oltre 403 milioni di varianti uniche di malware rilevate da Symantec nel 2011, le imprese dovrebbero aggiornare le definizioni antivirus e anti-intrusione quanto meno quotidianamente, se non più volte al giorno. Applicazione intensiva di patch e aggiornamenti Aggiornare, applicare patch ed effettuare la migrazione da browser, applicazioni e componenti aggiuntivi obsoleti e non sicuri alle nuove versioni, utilizzando i meccanismi di aggiornamento automatico offerti dai fornitori. La maggior parte dei fornitori di software agiscono con diligenza riguardo al rilascio di patch per la risoluzione di vulnerabilità nel software sfruttabili. Tali patch, tuttavia, possono essere efficaci unicamente quando implementate in modo sistematico. Prestare particolare attenzione alla distribuzione di immagini standard aziendali che contengono versioni obsolete di browser, applicazioni e componenti aggiuntivi superati e insicuri. Ovunque possibile, automatizzare la distribuzione delle patch per mantenere efficace la protezione contro le vulnerabilità in tutta l organizzazione. Applicazione di una policy efficace sulla creazione delle password Assicurarsi che le password siano complesse: di almeno 8-10 caratteri di lunghezza e che includano una combinazione di lettere e numeri. Sconsigliare agli utenti l utilizzo della stessa password in più siti Web. La condivisione di password tra utenti dovrebbe essere vietata. Le password vanno modificate regolarmente, almeno ogni 90 giorni. L annotazione delle password va evitata. Limitazione degli allegati Configurare i server di posta per bloccare o rimuovere messaggi che contengono allegati con estensioni che notoriamente vengono utilizzate per diffondere virus, ad esempio.vbs,.bat,.exe,.pif,.scr. Le imprese dovrebbero inoltre implementare delle policy che stabiliscano quali file PDF possono essere allegati ai messaggi . Verifica della presenza di procedure di risposta ad incidenti e infezioni Assicurarsi di disporre delle informazioni di contatto del proprio fornitore di soluzioni per la sicurezza, di sapere chi si sta contattando e quali saranno i passi che si compieranno nel caso in cui uno o più sistemi siano risultati infetti. Assicurarsi che sia in funzione una soluzione di backup e ripristino per ripristinare i dati persi o compromessi in caso di attacco o perdita di dati catastrofica. Utilizzare le funzionalità di rilevamento post-infezione del gateway Web, delle soluzioni di sicurezza degli endpoint e dei firewall per identificare i sistemi infetti. Isolare i computer infetti per prevenire il rischio di ulteriori infezioni all interno dell organizzazione. Se i servizi di rete sono fatti oggetto di exploit mediante codice pregiudizievole o altri tipi di minacce, disabilitare o bloccare l accesso a tali servizi fino a quando non sarà stata applicata una patch. Eseguire un analisi forense su ogni computer infetto e ripristinare i computer che utilizzano supporti attendibili. Educazione degli utenti sugli scenari delle minacce in continua evoluzione Non aprire allegati a meno che non siano attesi e provengano da un origine conosciuta e attendibile. Non eseguire software scaricato da Internet (ove ciò sia consentito) a meno che nel file scaricato sia stata verificata l assenza di virus. Prestare attenzione quando si fa clic su URL contenuti in messaggi o programmi social media, anche qualora provengano da fonti attendibili o amici. Non fare clic su URL abbreviati senza prima averli visualizzati per esteso utilizzando appositi strumenti o componenti aggiuntivi. Raccomandare agli utenti di prestare attenzione alle informazioni fornite tramite social network e che potrebbero essere utilizzate per attaccarli o indurli ad aprire allegati o URL pregiudizievoli.

19 Sospettare sempre dei risultati restituiti dai motori di ricerca e fare clic unicamente su fonti attendibili durante le ricerche, specialmente se si tratta di argomenti in primo piano nell ambito dei social media. Distribuire soluzioni aggiuntive di reputazione degli URL per i browser Web che visualizzino la reputazione dei siti Web direttamente nella pagina dei risultati della ricerca. Laddove consentito, scaricare unicamente software da condivisioni aziendali o direttamente dal sito Web del fornitore. Se gli utenti di Windows visualizzano un avviso in cui si indica che i loro sistemi sono stati infettati in seguito al clic su un URL o all utilizzo di un motore di ricerca (infezioni da falso antivirus), chiedere a tali utenti di chiudere il browser utilizzando ALT+F4, CTRL+W oppure utilizzando Task Manager. Consigliare agli utenti di utilizzare un browser e un sistema operativo aggiornati e di applicare regolarmente ai propri sistemi tutti gli aggiornamenti di sicurezza. Indicare agli utenti di assicurarsi della presenza della barra degli indirizzi verde, dell HTTPS e dei marchi di fiducia in ogni sito Web sul quale debbano effettuare l accesso o fornire informazioni personali. 19

20 Linee guida e procedure ottimali per i consumatori Protezione personale Utilizzare una soluzione di sicurezza Internet moderna che includa le seguenti funzionalità per la massima protezione contro codice pregiudizievole e altre minacce: Un antivirus (basato su file e su euristica) e la prevenzione comportamentale da malware possono prevenire l esecuzione di codice potenzialmente pregiudizievole. Firewall bidirezionali, in grado di bloccare lo sfruttamento, da parte del malware, di applicazioni e servizi vulnerabili in esecuzione nel proprio computer. Prevenzione delle intrusioni come protezione contro toolkit per gli attacchi via Web, vulnerabilità non rimosse mediante patch e attacchi di social engineering. P ro t e z i o n e d e i b ro w s e r c o n t ro a t t a c c h i b a s a t i sull offuscamento dei siti Web. Strumenti basati sulla reputazione in grado di verificare la reputazione e l attendibilità di un file o sito Web prima del download. Classificazione della reputazione e della sicurezza degli URL per siti Web trovati tramite motore di ricerca. Opzioni per l implementazione del controllo genitori multipiattaforma, ad esempio Norton Online Family 25. Aggiornamento costante Aggiornare le definizioni dei virus e i contenuti di sicurezza almeno una volta al giorno, se non ogni ora. Implementando le ultime definizioni dei virus è possibile proteggere il computer contro gli ultimi virus e malware di cui è nota la diffusione in rete. Aggiornare il sistema operativo: browser Web, componenti aggiuntivi del browser e applicazioni. Ottenere versioni aggiornate utilizzando le funzionalità di aggiornamento automatico per i propri programmi, ovunque queste siano disponibili. L esecuzione di versioni obsolete può esporre i sistemi al rischio di sfruttamento da parte di malintenzionati che sferrano attacchi basati su Web. Consapevolezza Tenere sempre presente che l installazione di programmi di file sharing, i download gratuiti e le versioni freeware o shareware dei software possono determinare l installazione automatica di malware o di applicazioni che potrebbero indurre l utente a credere che il proprio computer sia infetto. Inoltre, i download di versioni di software contrassegnato come free, cracked o pirated possono includere attacchi di social engineering con programmi che potrebbero indurre a credere che il proprio computer sia infetto e richiedere il pagamento di denaro per rimuovere l infezione. Prestare attenzione ai siti Web che si visitano in rete. Mentre il malware proviene generalmente da siti Web affermati, può facilmente annidarsi anche in siti Web meno attendibili, quali siti pornografici, di gioco d azzardo o di condivisione di software rubato. Leggere attentamente i contratti di licenza con l utente finale (EULA) per comprenderne tutte le condizioni prima di accettarli, poiché alcuni rischi per la sicurezza potrebbero venire installati dopo che l utente ha accettato un EULA o di conseguenza a tale accettazione. Utilizzo di una policy efficace sulla creazione delle password Assicurarsi che le password contengano una combinazione di lettere e numeri e cambiarle con frequenza. Le password non devono contenere parole presenti nei dizionari. Non utilizzare la stessa password per più applicazioni o siti Web. Utilizzare password complesse (contenenti maiuscole/minuscole e simboli) o passphrase. 20