Botnet: Il lato oscuro del cloud computing

Transcript

1 Botnet: Il lato oscuro del cloud computing De Angelo Comazzetto, Senior Product Manager Le botnet costituiscono una seria minaccia per le vostre reti, per le aziende, per i vostri partner e anche per i clienti. Le botnet sono dotate di una potenza in grado di competere con quella delle più potenti piattaforme di cloud computing moderne. Queste "nuvole oscure", controllate da cybercriminali, sono concepite al solo scopo di infettare in modo invisibile e silenzioso le reti degli utenti. Se non rilevate per tempo, le botnet si impossessano delle reti degli utenti per svolgere attività commerciali di tipo illegale. Questo documento illustra in che modo è possibile proteggersi dal rischio di essere infettati dalle botnet utilizzando i gateway di sicurezza dotati di funzionalità di gestione unificata delle minacce (UTM) integrate complete.

2 Non tutte le "nuvole" sono buone Da cosa è composta una piattaforma di cloud computing? Si tratta di una vasta rete composta da computer o processori, memorie, spazio di storage, applicazioni e altre risorse informatiche connesse in rete. Tali risorse connesse al web sono disponibili, simultaneamente, per milioni di utenti, e possono risiedere in qualunque parte del mondo. Le piattaforme di clouding offrono numerosi benefici alle aziende, tra cui minori spese d'impianto e costi operativi ridotti, in termini di quantità di hardware e software posseduti, e in termini di manutenzione. D'altro canto, i cybercriminali controllano alcune delle più imponenti piattaforme di cloud computing attualmente esistenti. Queste reti di cloud computing "oscure", note con il nome di "botnet" e create a fini di profitto, sono in grado di controllare milioni di computer infetti, denominati "bot", che vengono utilizzati per diffondere il malware. Le botnet non rilevabili sono in grado di sottrarre alle macchine infette una quantità di potenza di calcolo sufficiente a bloccare il funzionamento delle reti aziendali e, di conseguenza, le attività delle aziende. Questo tipo di insidiosa minaccia richiede una solveglianza assidua e costante. A causa della sua particolare architettura, una botnet è in grado di funzionare al massimo delle sue capacità anche quando la maggior parte dei "bot" sotto il suo controllo vengono distrutti. Ciò implica che se non utilizzate un sistema di rilevamento preventivo sulla vostra rete, correte continuamente il rischio che tale rete venga infettata. Obiettivi allettanti La potenza raggiunta dai moderni computer, e la disponibilità di connessioni Internet veloci consentono alle attività dei cybercriminali di prosperare con profitto. I cybercriminali, e le botnet da essi controllate, cercano le vulnerabilità di sicurezza presenti sui computer degli utenti, al fine di sfruttarne le risorse di calcolo per trarne profitto. Le botnet funzionano in modo invisibile, infettando i computer degli utenti con un virus che non causa danni immediati o visibili. Questo tipo di attacco silenzioso tramuta i computer degli utenti in bot, o in unità "slave zombie", controllate da una unità "master" centrale sconosciuta. Una volta che il computer in uso è compromesso, il virus tenterà di infettare e auto-copiarsi in modo subdolo e silenzioso su altre macchine, ampliando capacità e potenza della botnet. La quantità come punto di forza I moderni centri dati di cloud computing massimizzano le performance, minimizzando guasti e malfunzionamenti. Al contrario, una botnet opera con ampiezza e brute force. Una botnet è in grado di controllare milioni di processori di computer, quantità pressoché illimitate di Gigabyte di storage e memoria, nonché una quantità combinata di banda passante talmente elevata A Sophos Whitepaper Dicembre

3 da far impallidire le più potenti connessioni Internet multi-gigabit commerciali. Le botnet hanno un vantaggio rispetto alle piattaforme di clouding commerciali legittime; sono in grado di espandersi con una rapidità allarmante, senza essere ostacolate in alcun modo da guasti e malfunzionamenti. Metodi di diffusione delle botnet L'obiettivo delle botnet non è quello di attaccare e infettare un'azienda specifica. Il loro scopo è invece quello di diffondersi sistematicamente, operando attraverso un elenco definito di indirizzi IP, oppure mediante una scansione dinamica delle macchine e delle reti che le circondano, alla ricerca di vulnerabilità specifiche. Una nuova minaccia Web viene rilevata ogni 4,5 secondi. Sophos Labs, pubblicato nel Rapporto Sophos Security Threat Mid-Year 2011 Per esempio, un programma bot può determinare se un computer aziendale è infetto, utilizzando una vulnerabilità di Windows per la quale non è stata ancora installata la relativa patch di correzione. A questo punto il bot prosegue la sua ricerca, setacciando l'intera rete e verificando la presenza di vulnerabilità sulle altre macchine della rete aziendale. Al contempo, le macchine appena infettate si tramutano in bot perfettamente funzionali. Tali bot possono anche infettare altri computer presenti sulla rete, tra cui quelli di altre aziende o quelli dei clienti. E il ciclo continua. In questo esempio, nessuna delle aziende colpite è stata attaccata specificamente da un determinato soggetto. La botnet si diffonde dovunque rilevi una vulnerabilità. Spendere denaro per effettuare estese indagini forensi con l'obiettivo di identificare i soggetti che hanno causato la "violazione" è una perdita di tempo e di danaro. Chi trae vantaggio dalle botnet Le botnet si espandono allo scopo di garantire a coloro che le gestiscono reti di cloud computing "oscure" con una enorme potenza di calcolo, che può essere utilizzata per svolgere crimini informatici estremamente proficui. I proprietari delle botnet possono noleggiare le botnet ad altre organizzazioni criminali. Per esempio, un'organizzazione criminale specializzata nello spamming può utilizzare una botnet per inviare milioni di messaggi di spam. Aziende prive di scrupoli possono utilizzare le botnet per oscurare il sito web di un concorrente, con un rovinoso attacco DoS. Le botnet sono anche in grado di decifrare i dati crittografati, attraverso la scansione di milioni di chiavi binarie, utilizzando una tecnica "brute force" per violare i dati presenti sugli account aziendali protetti o nei database crittografati. A Sophos Whitepaper Dicembre

4 Questo tipo di attività non è solo altamente proficuo, ma consente anche di espandere lo sviluppo di botnet ancora più potenti. I creatori delle botnet sono anche in grado di incrementare il livello di sofisticazione dei loro programmi bot, analizzando le reazioni delle aziende di sicurezza alle minacce create in precedenza. Le conseguenze Le infezioni causate dalle botnet hanno conseguenze immediate, e potenziali conseguenze a lungo termine. Il blocco di una rete aziendale è la potenziale conseguenza più devastante. Un evento di questo tipo è in grado di causare un impatto significativo su attività IT, vendite, gestione degli account clienti, produttività del personale e su numerosi altri aspetti. Al giorno d'oggi, ogni divisione e ogni tipologia di canale soggetta alla generazione di profitto può essere soggetta agli effetti negativi determinati da un eventuale blocco della rete aziendale. I costi generati dai mancati ricavi possono così salire alle stelle. Ma il settore aziendale più danneggiato da tali minacce è probabilmente quello IT. Responsabili dello stato di salute delle reti aziendali e degli utenti 24 ore su 24, e 7 giorni su 7, gli amministratori IT si trovano costretti a trascurare tutte le altre priorità strategiche per occuparsi a tempo pieno del ripristino delle prestazioni di rete, e combattere con le infezioni delle botnet, spesso recidive. Il cybercrimine costa 338 miliardi di dollari all economia globale; un attività più redditizia del traffico di stupefacenti. ZDNet Ma alcune tra le conseguenze a lungo termine possono influenzare la reputazione pubblica delle aziende, oppure il loro margine competitivo o la realizzabilità dei loro obiettivi. Dato che le botnet sono create allo scopo di condurre attività commerciali illegali, qualunque azienda i cui computer facciano parte del circuito distruttivo di macchine infettate dalla botnet corrono il rischio di essere esposti a responsabilità legali per i danni causati dai computer infetti. Costi legali, atti processuali, relazioni negative con l'opinione pubblica e altri aspetti, sono i possibili risultati derivanti da una situazione in cui i responsabili di una data azienda si trovano ad affermare di "Non essere a conoscenza" di tali problemi. Oltretutto, clienti, partner, e altri soggetti coinvolti potrebbero ritrovarsi i computer infettati dalle macchine dei partner su cui fanno affidamento. Qualora venga ritenuta responsabile di una violazione della sicurezza, una data azienda può essere ritenuta responsabile, se i suoi computer vengono utilizzati come parte di una botnet preposta alla violazione di attività di hacking di siti web, blocchi delle comunicazioni mediante attacchi DoS, condivisione di file pirata, o attacchi ad altre macchine mediante script di hacking. La migliore difesa Come già discusso in precedenza, le botnet costituiscono una significativa minaccia per le aziende, con i loro attacchi casuali a qualunque computer o nodo vulnerabile e senza alcuna possibilità di poter effettuare il tracciamento delle persone che le gestiscono fisicamente. A Sophos Whitepaper Dicembre

5 Tuttavia, è possibile tutelarsi contro i loro attacchi, adottando soluzioni adeguate e implementando alcune pratiche raccomandate di semplice applicazione. Per proteggere le vostre aziende dagli attacchi delle botnet, raccomandiamo quanto segue; Ì Ì Assicurarsi che il sistema operativo in uso e le applicazioni dispongano di tutte le patch e degli aggiornamenti più recenti. Ì Ì Utilizzare un gateway di protezione per impedire l'accesso dei bot ai computer della rete. Ì Ì Effettuare test periodici del perimetro di workstation e server. Ì Ì Qualora si riscontrino infezioni, evitare di sprecare danaro cercando i colpevoli dell'attacco; è invece raccomandabile investire in soluzioni in grado di garantire una maggiore sicurezza delle risorse aziendali, al fine di prevenire gli attacchi successivi. In tal modo sarà possibile prevenire le intrusioni dei bot in modo semplice, efficace ed economico, utilizzando il tipo di protezione più adeguato. Le soluzioni Astaro Security Gateway sono dotate di sistemi di rilevamento delle intrusioni che rilevano e bloccano i programmi bot. È sufficiente elencare i tipi di computer e risorse utilizzati. Questa soluzione è in grado di prevenire gli attacchi in tempo reale. Le soluzioni ASG sono anche in grado di identificare le infezioni esistenti, consentendone disinfezione ed eliminazione totale. Siamo in grado di creare una barriera protettiva attorno alla vostra rete, per respingere attacchi e minacce, lasciandovi tutta la libertà di svolgere le vostre attività aziendali con la massima tranquillità e affidabilità. Per saperne di più Italy Sales: Tel: sales@sophos.it Boston, USA Oxford, UK Copyright Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. Sophos Whitepaper 12.11v1.dIT