REPORT SULLE MINACCE ALLA SICUREZZA DEI SITI WEB 2013 PARTE 1

Transcript

1 REPORT SULLE MINACCE ALLA SICUREZZA DEI SITI WEB 2013 PARTE 1

2 BENVENUTI Report Symantec sulle minacce alla sicurezza dei siti Web Ogni anno Symantec pubblica l Internet Security Threat Report. Quello che qui presentiamo è un estratto del documento completo, redatto con particolare attenzione ai pericoli che minacciano i siti Web e le attività online. L intento è di fornire, a partire da una ricognizione degli eventi dell anno passato, un quadro aggiornato e fedele della realtà online. Nella realtà online, dove spesso la reputazione e il successo di un azienda si misurano in base alla fiducia attribuita dai clienti alla sicurezza del sito Web, è fondamentale capire come conservare e consolidare tale fiducia. In questo campo, SSL/TLS rappresenta da oltre un decennio uno strumento essenziale per rendere Internet affidabile e lo sarà ancora a lungo ogni volta che si tratterà di fornire i massimi livelli di protezione contro le minacce alla sicurezza informatica. In fondo, se la tecnologia impiegata è sofisticata e all avanguardia, l obiettivo è semplice: rendere Internet più sicuro per chiunque desideri svolgervi transazioni commerciali, siano essi gli operatori, i clienti o gli altri utenti con cui i primi interagiscono online. L invito è di utilizzare questo documento come riferimento per comprendere il panorama delle minacce e i mezzi a disposizione per proteggere l azienda e la relativa infrastruttura. Per ulteriori informazioni, contattare Symantec al numero o visitare symantecwss.com/it. p. 1 Soluzioni Symantec per la sicurezza dei siti Web

3 INTRODUZIONE Symantec ha realizzato una delle fonti più complete al mondo di dati sulle minacce Internet, grazie alla rete Symantec Global Intelligence Network, che comprende circa 69 milioni di sensori di attacchi in grado di registrare migliaia di eventi al secondo. La rete monitora le attività correlate agli attacchi in più di 157 paesi e territori, mediante una combinazione di prodotti e servizi Symantec quali Symantec DeepSight Threat Management System, Symantec Managed Security Services, soluzioni Symantec per la sicurezza dei siti Web, prodotti Norton per i consumatori e altre origini dati fornite da terze parti. Symantec mantiene inoltre uno dei più completi database delle vulnerabilità al mondo, che attualmente ospita oltre vulnerabilità registrate e raccolte nel corso di più di un ventennio tra oltre fornitori che rappresentano più di prodotti. I dati relativi a spam, phishing e malware vengono acquisiti da una varietà di fonti, tra cui Symantec Probe Network, un sistema formato da più di 5 milioni di account esca, Symantec.cloud e altre tecnologie Symantec per la sicurezza. Skeptic, la tecnologia euristica proprietaria di Symantec.cloud, è in grado di rilevare nuove e sofisticate minacce mirate prima che queste raggiungano le reti dei clienti. Ogni giorno, vengono elaborati oltre 3 miliardi di messaggi e più di 1,4 miliardi di richieste Web in 14 data center. Symantec raccoglie inoltre informazioni sul phishing tramite una comunità antifrode formata da aziende, fornitori di soluzioni di sicurezza e oltre 50 milioni di consumatori. Grazie a queste risorse, gli analisti Symantec dispongono di fonti di dati senza uguali, per mezzo dei quali individuare e analizzare le tendenze emergenti in fatto di attacchi, codice dannoso, phishing e spam, fornendo inoltre recensioni bene informate. Il risultato è la pubblicazione annuale del Symantec Internet Security Threat Report, che fornisce a grandi aziende, piccole e medie imprese e consumatori informazioni essenziali per proteggere con efficacia i propri sistemi sia nell attualità che per il futuro. p. 2 Soluzioni Symantec per la sicurezza dei siti Web

4 SINTESI I trend più importanti del : Sono le piccole imprese a offrire minore resistenza agli hacker I dati dello scorso anno dimostrano senza ombra di dubbio come qualsiasi azienda, di qualunque dimensione essa fosse, abbia rappresentato un obiettivo potenziale per gli autori di attacchi. Il fenomeno non è casuale. Nel, il 50% di tutti gli attacchi mirati sono stati rivolti ad aziende con meno di dipendenti. In realtà, l area di maggiore espansione degli attacchi mirati nel è stata quella delle aziende con meno di 250 dipendenti, oggetto del 31% di tutti gli attacchi. La notizia non può che allarmare, in quanto, stando ai sondaggi condotti da Symantec, è diffusa tra le piccole imprese la convinzione di essere immuni agli attacchi a esse rivolti. Al contrario, il denaro sottratto a una piccola impresa ha, per i malfattori, lo stesso esatto valore di quello sottratto a una grande azienda. Mentre suppongono di non possedere niente di appetibile per un hacker, le piccole imprese dimenticano che, al loro interno, vengono conservate informazioni sui clienti, creata proprietà intellettuale e generati flussi di denaro per l online banking. A chi potrebbe obiettare che, per un hacker, la remuneratività di un attacco rivolto a una piccola impresa è inferiore a quello che otterrebbe attaccando una grande azienda, è bene ricordare che il supposto minor valore è ampiamente compensato dal minore sforzo richiesto per penetrare le difese generalmente più blande di una PMI. L attività criminale spesso ha origine da singoli atti favoriti dalle circostanze. Nel caso dei crimini informatici, le circostanze favorevoli sono rappresentate dalle piccole aziende. Il problema è più serio di quel che si pensi, perché l assenza di procedure di sicurezza adeguate tra le piccole e medie imprese minaccia tutti noi. I criminali, dissuasi dalle difese messe in piedi da una grande azienda, spesso spostano le loro attenzioni su una piccola impresa in relazioni commerciali con il target primario, dotata in genere di difese più labili, sfruttandola come passaggio secondario per violare la prima. Inoltre, le imprese e le organizzazioni di piccole dimensioni possono venire usate come pedine per sferrare attacchi più sofisticati. Favorito dai toolkit di attacco, il numero degli attacchi basati su Web nel è aumentato di un terzo e molti di questi hanno avuto origine dalla violazione dei siti Web di piccole aziende. Questi attacchi e il loro volume innalzano il rischio di infezione per tutti noi. A rendere ancora più fosco il quadro è il dato, riportato nel nostro white paper Elderwood dello scorso anno, che i siti Web delle aziende e delle organizzazioni di piccole dimensioni vengono anche utilizzati negli attacchi mirati. Avvalendosi degli attacchi di phishing, i gruppi di spionaggio informatico prendono possesso delle strutture di questi siti, dove attendono che i loro target finali li visitino per poterli così infettare. Questo tipo di attacco, denominato watering hole, è un altro dei mezzi con cui gli hacker sfruttano le vulnerabilità nella sicurezza di un entità con lo scopo di abbattere quella più consistente di un altra. Gli autori del malware come il Grande Fratello Se pensate che qualcuno stia violando la vostra privacy online, è molto probabile che abbiate ragione. Il 50% del malware mobile, ossia diretto a piattaforme mobili, creato nel aveva come scopo quello di sottrarre le nostre informazioni o tenere traccia dei nostri movimenti. Sia che attacchino i nostri computer, i nostri dispositivi mobili o i social network, i criminali informatici hanno un unico fine: trarre un guadagno spiando le nostre vite. L obiettivo finale è quello di ottenere un profitto, il metodo quello di carpire i nostri dati bancari, i numeri di telefono e gli indirizzi dei nostri amici e colleghi, i nostri dati personali e persino impersonare noi stessi rubandoci la nostra identità. Ma l esempio più pernicioso e più invasivo, in termini di privacy, è l attività degli autori di malware che creano gli attacchi mirati. Per sferrare con successo un attacco mirato, l hacker deve essere in possesso di informazioni sulla vittima. A questo scopo, indaga su quali siano i suoi indirizzi , il suo lavoro, i suoi interessi professionali, le conferenze a cui partecipa e i siti Web che frequenta. Tutte queste informazioni vengono raccolte per poi lanciare un attacco mirato. Una volta raggiunti i dispositivi delle vittime, gli strumenti degli aggressori sono progettati per estrarre il maggior numero di dati possibile. Attacchi mirati non rilevati possono raccogliere anni di posta elettronica, file e informazioni sui contatti. p. 3 Soluzioni Symantec per la sicurezza dei siti Web

5 SINTESI Questi strumenti hanno inoltre la capacità di registrare ciò che viene digitato, di permettere la visualizzazione di schermate dei computer e di attivare microfoni e webcam. Coloro che architettano gli attacchi mirati ripropongono, in qualche modo, gli scenari orwelliani del Grande Fratello. Le posizioni lavorative prese maggiormente di mira nel sono state quella dei knowledge worker, ossia coloro che creano la proprietà intellettuale che tanto fa gola agli hacker (27% del numero totale di target nel ), e i profili commerciali (24% nel ). Per converso, l interesse ad attaccare i CEO di un organizzazione sembra scemare nel, visto che questo tipo di attacchi è diminuito dell 8%. Le vulnerabilità zero-day disponibili ondemand per gli aggressori Il trend ascendente delle vulnerabilità zero-day non accenna ad arrestarsi: 14 sono state quelle segnalate nel. Gran parte degli attacchi basati su di esse degli ultimi tre anni sono ascrivibili a due gruppi: gli autori di Stuxnet e la Gang Elderwood. Nel 2010, Stuxnet è stata responsabile di 4 delle 14 vulnerabilità zero-day poi venute allo scoperto. Nel, è stata la Gang Elderwood a conquistarsi la paternità dell identico numero di attacchi (4 sui 14 rilevati). Ma il gruppo aveva già usato attacchi zero-day nel 2010 e 2011 e ne ha già messo a segno almeno uno nel Gli aggressori sfruttano le vulnerabilità zero-day solo nella misura necessaria. Stuxnet e Elderwood mostrano differenze interessanti nelle loro strategie di attacco. Quella di Stuxnet appare quella meno lineare, in quanto utilizza più exploit zero-day in un unico attacco. In base alle nostre attuali conoscenze, questo tipo di attacco è sempre stato unico e diretto a un solo target. Gli exploit zero-day multipli venivano utilizzati per rafforzare le chance di successo e non dovere ripetere l attacco una seconda volta. Al contrario, la Gang Elderwood ha sempre impiegato un solo exploit zero-day in ogni attacco e ha continuato a utilizzarlo finché questo non diventa di dominio pubblico. Una volta che ciò accade, passa a un altro exploit. Ciò farebbe presupporre che la Gang Elderwood abbia una disponibilità illimitata quanto a vulnerabilità zero-day e sia in grado di passare repentinamente a un nuovo exploit quando le sia necessario. La nostra speranza è, naturalmente, che non sia così. Paternità sempre incerta Per alcuni attacchi mirati, gli aggressori non hanno fatto niente per evitare che venissero rilevati. È il caso di Shamoon, un malware scoperto in agosto. Il suo scopo era di cancellare il contenuto dei dischi rigidi dei computer delle compagnie petrolifere del Medio Oriente. Ad attribuirsene la responsabilità fu il sedicente gruppo Cutting Sword of Justice. Nel corso del, vari attacchi DDoS sono stati sferrati verso istituti finanziari. Questa volta fu un gruppo denominato Izz ad-din al-qassam Cyber Fighters ad assumersene la responsabilità. Questi e altri tipi di attacchi sembrano ascrivibili a classici casi di hacktivismo. Tuttavia, le prove della responsabilità e dei motivi di un attacco non sono sempre così evidenti, persino in presenza di soggetti che ne rivendicano la paternità. Da molti, e in particolare dagli organismi di intelligence, è stata avanzata l ipotesi che, dietro entità paravento come Cutting Sword of Justice e Qassam Cyber Fighters, vi siano veri e propri stati o governi. A complicare ulteriormente l identificazione di un evento come semplice hacktivismo è l allarme, lanciato dall FBI agli istituti finanziari, che alcuni attacchi DDoD sarebbero in realtà utilizzati come diversivo. Questi attacchi vengono sferrati prima o dopo che i criminali portino a compimento una transazione non autorizzata e rappresentano il tentativo di evitare che la frode venga scoperta e che si tenti di fermarla. p. 4 Soluzioni Symantec per la sicurezza dei siti Web

6 LA SICUREZZA NEL, MESE PER MESE Soluzioni Symantec per la sicurezza dei siti Web

7 LA SICUREZZA NEL, MESE PER MESE 01 gennaio 02 febbraio Violazione dei dati: 24 milioni di identità vengono sottratte nella violazione dei dati dell azienda di accessori Zappos. Malcode: viene rilevata una truffa basata su plug-in manomessi per Firefox e Chrome. Botnet: torna a colpire la botnet Kelihos, a quattro mesi dal suo apparente smantellamento. Dispositivi mobili: Google annuncia Google Bouncer, uno scanner di app per Google Play. Botnet: i ricercatori neutralizzano una nuova variante della botnet Kelihos, che riapparirà in una nuova forma nel corso dello stesso mese. 03 marzo Hacker: sei persone vengono arrestate per sospetta appartenenza al collettivo di hacker LulzSec. Botnet: ricercatori della sicurezza neutralizzano i principali server della botnet Zeus. Violazione dei dati: viene violato un sistema di elaborazione dei pagamenti utilizzato da numerose società di carte di credito molto note, incluse Visa e MasterCard, con conseguente esposizione dei dati di 1,5 milioni di account. 1 Dispositivi mobili: viene rilevata una truffa non basata su malware, realizzata dalla gang Opfake, ai danni degli utenti di iphone. 04 aprile 05 maggio Mac: oltre computer Mac vengono infettati dal trojan OSX.Flashback tramite un exploit Java privo di patch. Mac: viene rilevato un secondo trojan Mac, OSX.Sabpab. Anche questo usa exploit Java per compromettere il computer della vittima. Social network: viene scoperta una rete di scammer che sfruttano i social network Tumblr e Pinterest. Malware: viene scoperta la minaccia W32.Flamer, utilizzata per spionaggio informatico. Autorità di certificazione: Comodo, un autorità di certificazione di grandi dimensioni, autentica e rilascia erroneamente un certificato di firma del codice legittimo a un organizzazione fittizia gestita da hacker. Il raggiro verrà scoperto solo ad agosto. p. 6 Soluzioni Symantec per la sicurezza dei siti Web

8 LA SICUREZZA NEL, MESE PER MESE 06 giugno Violazione dei dati: LinkedIn cade vittima di una violazione dei dati che vede esposti milioni di account. Malware: viene scoperto un trojan, denominato Trojan.Milicenso, che causa la stampa di lunghe pagine di caratteri illeggibili sulle stampanti di rete. Botnet: ricercatori della sicurezza disattivano la botnet Grum. 07 luglio Malware: viene rilevata la presenza di malware Windows incorporato in un applicazione offerta nell App Store di Apple. Mac: una nuova minaccia Mac denominata OSX.Crisis crea un backdoor sui computer infetti. Botnet: vengono messi fuori servizio i server DNS che l FBI manteneva per proteggere i computer precedentemente infettati dal trojan DNSChanger. Malware: il governo giapponese scopre un trojan utilizzato per sottrarre informazioni. Il malware era attivo da due anni. Malware: viene alla luce una seconda minaccia che provoca la stampa di intere pagine di documenti illeggibili, denominata W32.Printlove. 08 agosto Hacker: il servizio di news di Reuters è vittima di una serie di attacchi relativi alla pubblicazione di notizie false nel sito Web e nell account Twitter dell agenzia. Malware: viene rilevato il malware Crisis, che prende di mira le immagini delle macchine virtuali VMware. Malware: viene scoperto W32.Gauss. L area di azione della minaccia è ristretta al Medio Oriente, analogamente a W32.Flamer. Autorità di certificazione: viene scoperto il raggiro di cui, da maggio, era vittima Comodo e ne vengono pubblicati i dettagli. p. 7 Soluzioni Symantec per la sicurezza dei siti Web

9 LA SICUREZZA NEL, MESE PER MESE 09 settembre Malware: viene rilevata una nuova versione del toolkit di attacco Blackhole, denominata Blackhole 2.0. Botnet: ricercatori della sicurezza disattivano una botnet emergente nota come Nitol. Dispositivi mobili: viene scoperta una vulnerabilità nella versione Samsung di Android che consente la cancellazione remota del dispositivo mobile. DDoS: dall FBI viene lanciato un allarme su un possibile attacco DDoS mirato agli istituti finanziari nell ambito di una strategia diversiva ottobre 11 novembre 12 dicembre Malware: viene scoperta una minaccia di tipo ransomware distribuita tramite il sistema di messaggistica Skype. Violazione dei dati: i dati dei clienti Barnes & Noble vengono sottratti dai sistemi di cassa della catena. Gli aggressori utilizzavano un attacco DDoS come diversivo per raccogliere informazioni grazie alle quali, poi, sottraevano denaro dalla banca presa di mira. Hacker: viene sgominata una banda di ladri che utilizzava un exploit noto per sbloccare le serrature digitali delle camere di una catena di hotel. Malware: viene rilevato il trojan horse Infostealer.Dexter, che prende di mira i sistemi POS (punti di vendita). Hacker: gli aggressori sfruttano una vulnerabilità di Tumblr, diffondendo spam nell intero social network. p. 8 Soluzioni Symantec per la sicurezza dei siti Web

10 IL IN CIFRE Soluzioni Symantec per la sicurezza dei siti Web

11 IL IN CIFRE + 42% Gli attacchi mirati nel NUMERO MEDIO DI IDENTITÀ ESPOSTE per violazione nel NUOVE VULNERABILITÀ VULNERABILITÀ MOBILI p. 10 Soluzioni Symantec per la sicurezza dei siti Web

12 IL IN CIFRE SPAM GLOBALE GIORNALIERO STIMATO (IN MILIARDI) TASSO GLOBALE DI SPAM % 75% 69% % DI SPAM PER SITI DI INCONTRI O A SFONDO SESSUALE % DEL MALWARE IN FORMA DI URL 3% 15% 55% 24% 39% 23% TASSO COMPLESSIVO DI VIRUS , 1 OGNI: TASSO COMPLESSIVO DI PHISHING , 1 OGNI: p. 11 Soluzioni Symantec per la sicurezza dei siti Web

13 IL IN CIFRE BOT ZOMBIE (IN MILIONI) ,1 3,4 4,5 NUOVE VULNERABILITÀ ZERO-DAY ATTACCHI WEB BLOCCATI OGNI GIORNO NUOVI DOMINI WEB DANNOSI UNIVOCI % AUMENTO DELLE FAMIGLIE DI MALWARE MOBILE 2011 p. 12 Soluzioni Symantec per la sicurezza dei siti Web

14 ATTACCHI MIRATI HACKTIVISMO E VIOLAZIONI DI DATI Soluzioni Symantec per la sicurezza dei siti Web

15 ATTACCHI MIRATI, HACKTIVISMO E VIOLAZIONI DI DATI Attacchi per dimensione dell organizzazioni target Fonte: Symantec 50% > % Da 1 a Dipendenti > % 2% 3% Da a Da a Da 501 a % +13% 5% Da 251 a % nel % Da 1 a 250 Le organizzazioni con più di dipendenti sono quelle maggiormente prese di mira, con il 50% degli attacchi mirati rivolti a entità di queste dimensioni, un dato che ricalca quello del Anche se stabile, in percentuale, rispetto alle altre aziende, il volume degli attacchi mirati contro le organizzazioni con più di dipendenti è nel complesso raddoppiato rispetto a quello del Gli attacchi mirati rivolti a piccole imprese (1-250 dipendenti) corrispondono al 31% del totale, rispetto al 18% del 2011, un aumento di 13 punti percentuali. Il volume degli attacchi rivolti alle PMI è triplicato, rispetto al 2011, quasi raddoppiando il dato percentuale dal 18% al 31%. p. 14 Soluzioni Symantec per la sicurezza dei siti Web

16 ATTACCHI MIRATI, HACKTIVISMO E VIOLAZIONI DI DATI La maggior parte (88%) delle violazioni di dati segnalate è conseguenza di attacchi condotti da soggetti esterni alle organizzazioni. Ma, che si tratti di casi di smarrimento dei laptop o delle chiavette di memoria o di furto dei dati accidentale o doloso, anche la minaccia interna rimane elevata. A conferma di ciò, le sanzioni e le procedure legali rivolte dall UK Information Commissioner s Office ad aziende, le cui motivazioni hanno riguardato più la scarsa sicurezza interna che le aggressioni esterne. Per la maggior parte delle PMI, in altri termini, il pericolo teorico di un hacker anonimo e quello di un dipendente della contabilità, ad esempio, sono equivalenti. 35 MILIONI DI VIOLAZIONI IN GEN TOT. IDENTITÀ VIOLATE (MILIONI) NUMERO DI INCIDENTI 0 JAN GEN FEB FEB MAR MAR APR APR MAY MAG JUN GIU JUL LUG AUG AGO SEP SET OCT OTT NOV NOV DEC DIC 0 INCIDENTI TOT Violazioni di dati, mese per mese Gennaio ha visto il numero maggiore di identità rubate nel, dato che è frutto di una violazione che, in quel mese, ha coinvolto oltre 24 milioni, mentre per il resto dell anno il numero varia tra gli 1 e i 12 milioni di identità rubate ogni mese Il numero medio di violazioni nella prima metà dell anno è stato di 11 ed è passato a 15 nella seconda metà (+ 44%). p. 15 Soluzioni Symantec per la sicurezza dei siti Web

17 ATTACCHI MIRATI, HACKTIVISMO E VIOLAZIONI DI DATI Costo medio pro-capite di una violazione di dati 3 Fonte: Symantec Paese USA $ 194 Danimarca $ 191 Francia $ 159 Australia $ 145 Giappone $ 132 Ucraina $ 124 Italia $ 102 Indonesia $ 42 Costo medio pro-capite Con 194 dollari, gli Stati Uniti sono risultati il paese con il più alto costo pro-capite; a seguire, di poco discosto, la Danimarca. Cause principali delle violazioni di dati nel Fonte: Symantec % 23 % 23 % Furto da parte di personale interno 6 % Cause ignote 1 % Frodi 40 % Hacker Pubblicazione involontaria Furto o smarrimento di computer o unità Gli hacker si confermano ancora la causa principale della violazione di dati, rappresentando il 40% del totale dei casi. Analisi Guerra informatica, cyber-sabotaggio e spionaggio industriale Gli attacchi mirati sono ormai una costante del panorama delle minacce e il loro contrasto è diventato uno dei problemi più scottanti per CISO e responsabili IT. In genere, vengono utilizzati a scopo di spionaggio industriale per ottenere accesso alle informazioni riservate presenti in un sistema informatico o in una rete compromessi. Nonostante siano eventi rari, sono potenzialmente i più difficili da contrastare. È difficile attribuire un attacco a un gruppo specifico o a un governo in assenza di prove evidenti. La motivazione e le risorse dell aggressore paiono talvolta suggerire che, dietro, vi sia un mandante, ma le conferme sono sempre difficili da trovare. A conquistare l onore delle cronache sono stati soprattutto gli attacchi finanziati da entità nazionali, tuttavia rari rispetto al crimine informatico ordinario. Certamente, possono essere tra le più sofisticate e distruttive tra le minacce di questo tipo. Gli stati appaiono senza dubbio sempre più impegnati a rafforzare le capacità difensive e offensive per la guerra informatica. Nel si rivela ancora piuttosto modesta la probabilità di un attacco di questo tipo per la maggior parte delle aziende: il rischio maggiore proviene dagli attacchi mirati prevalenti, creati a scopo di spionaggio industriale. Con frequenza crescente, le piccole e medie aziende (PMI) affrontano l emergenza di questi attacchi mirati, nei confronti dei quali dispongono di scarse difese e correndo il rischio di diventare, involontariamente, il trampolino di lancio per ulteriori attacchi contro aziende più grandi con cui intrattengano rapporti commerciali. Malware quali Stuxnet nel 2010, Duqu nel 2011 e Flamer e Disttrack nel mostrano livelli crescenti di sofisticazione e di pericolosità. Ad esempio, il malware utilizzato negli attacchi Shamoon su un impresa petrolifera saudita riuscì nell intento di cancellare i dischi rigidi. 4 La stessa tecnica utilizzata dai criminali informatici per lo spionaggio industriale potrebbe anche venire utilizzata da stati o loro emissari per condurre attacchi informatici e attività di spionaggio politico. Attacchi sofisticati possono essere modificati tramite reverseengineering e copiati in modo da utilizzarne le stesse tecniche o forme simili in attacchi più generici. Un ulteriore rischio è rappresentato dal fatto che il malware sviluppato per il cyber-sabotaggio può diffondersi oltre il target previsto e infettare, collateralmente, altri computer p. 16 Soluzioni Symantec per la sicurezza dei siti Web

18 ATTACCHI MIRATI, HACKTIVISMO E VIOLAZIONI DI DATI Le date degli attacchi mirati 5 Fonte: Symantec Ghostnet Stuxnet Attacchi Nitro Flamer & Gauss Maggio - agosto Minaccia altamente sofisticata Area target: Medio Oriente Marzo 2009 Operazione di spionaggio informatico su larga scala Giugno 2010 Luglio-ottobre 2011 Target: aziende petrolchimiche Hydraq Gennaio 2010 Operazione "Aurora" Attacchi RSA Agosto 2011 Attacchi Sykipot/Taidoor Target: settore difesa e governi Elderwood Project Settembre Target principale: settore difesa. Stesso gruppo identificato come responsabile di Hydraq (Aurora) nel 2009 Minacce persistenti avanzate (APT) e attacchi mirati Gli attacchi mirati combinano tecniche di social engineering e malware per colpire individui che operano in specifiche aziende, con l obiettivo di sottrarre informazioni riservate quali segreti commerciali o dati sui clienti. Spesso fanno uso di malware personalizzato e talvolta di vulnerabilità zero-day, fatto che li rende ancora più difficili da rilevare e potenzialmente più infettivi. Gli attacchi mirati utilizzano un ampia gamma di vettori come meccanismo primario di diffusione, dal malware recapitato tramite ai download drive-by da siti infetti particolarmente frequentati dalla vittima, una tecnica nota come attacco watering hole. Le minacce APT sono spesso molto sofisticate e più insidiose degli attacchi tradizionali, in quanto si basano su tecniche di intrusione altamente personalizzate. Se gli attacchi mirati diventano sempre più comuni, le risorse richieste per lanciare una campagna APT rimangono tuttavia limitate a gruppi con una disponibilità finanziaria non indifferente e obiettivi ambiziosi. Symantec ha rilevato, nel, un aumento del tasso di attacchi mirati del 42% rispetto ai 12 mesi precedenti. Se è il settore manifatturiero a emergere come principale target, con il 24% di attacchi che lo hanno visto vittima, si allarga in generale la gamma delle aziende aggredite, andando a comprendere non più solo le grandi aziende, ma anche, e sempre più numerose, le PMI. Mentre nel 2011 era il 18% la percentuale degli attacchi mirati rivolti contro aziende con meno di 250 dipendenti, appena un anno dopo balza al 31%. Social engineering e attacchi indiretti Gli aggressori possono prendere di mira le aziende più piccole all interno della catena logistica perché sono più vulnerabili, hanno accesso a proprietà intellettuali importanti e fungono da trampolino di lancio verso organizzazioni più grandi. In più, si candidano per le loro stesse caratteristiche a facile bersaglio degli hacker. Sono più numerose delle grandi aziende, dispongono di dati preziosi e spesso sono meno protette delle loro omologhe maggiori. Ad esempio, un aggressore potrebbe infiltrarsi nell azienda di un piccolo fornitore per poi attaccare un azienda più grande. Potrebbe utilizzare le informazioni personali, le e i file di un dipendente della piccola impresa per congegnare un messaggio credibile da indirizzare a un membro dell azienda target. p. 17 Soluzioni Symantec per la sicurezza dei siti Web

19 ATTACCHI MIRATI, HACKTIVISMO E VIOLAZIONI DI DATI Processo di Web injection utilizzato negli attacchi watering hole 6 Fonte: Symantec 1. Profiling L'aggressore crea un profilo delle vittime e dei tipi di siti Web che sono solite frequentare. 2. Test L'aggressore testa i siti Web alla ricerca di vulnerabilità. 3. Violazione Quando l'aggressore trova un sito Web che può essere compromesso, inietta codice JavaScript o HTML, reindirizzando la vittima in un altro sito che contiene il codice exploit per la vulnerabilità individuata. Nel, abbiamo assistito a un sostanzioso incremento degli attacchi rivolti verso personale dei reparti Ricerca e Sviluppo e le figure commerciali rispetto all anno precedente. Il dato sembra suggerire che gli aggressori stanno allargando la loro rete e prendendo di mira ruoli della gerarchia aziendali inferiori al livello dirigenziale, per ottenere accesso alle aziende. L aumento degli attacchi è stato, nel complesso, particolarmente elevato in queste due aree. Rimane comunque significativa la minaccia che interessa altre aree, come i ruoli del backoffice. Gli aggressori continuano a utilizzare le tecniche di social engineering negli attacchi mirati. Ne sono un esempio i messaggi provenienti da sedicenti funzionari della UE, quelli che sembrano inviati da enti della sicurezza statunitensi e diretti a funzionari di altri governi o i messaggi che ricalcano annunci di nuovi piani di approvvigionamento da parte di potenziali clienti governativi, come gli organi di difesa degli Stati Uniti. Questi tipi di iniziative mostrano un operazione di ricerca meticolosa e una comprensione attenta delle motivazioni dei destinatari, che le rendono meno sospette agli occhi delle vittime e più atte a diffondere il malware tramite allegati apparentemente credibili. Attacchi watering hole 4. Attesa Il sito Web compromesso resta così in attesa di infettare la vittima prescelta con un exploit zero-day, come un leone che attende la preda presso una pozza d'acqua ("watering hole" in inglese). La principale novità nel panorama degli attacchi mirati è stata l emergere degli attacchi watering hole. Questi consistono nella compromissione di un sito Web legittimo da cui, una volta visitato dalla vittima, viene installato malware sul computer di questa. Ad esempio, quest anno è stata scoperta nel sito Web di un organizzazione umanitaria una riga di codice in uno script di tracciamento 7 in grado di compromettere un computer. Il malware sfruttava una nuova vulnerabilità zero-day in Internet Explorer per infettare i visitatori. I dati rilevati mostrano come, nell arco di 24 ore, persone di 500 grandi aziende ed organizzazioni governative diverse avevano già visitato il sito e corso il rischio di rimanerne infettate. In questo caso, gli aggressori, noti come Gang Elderwood, utilizzavano strumenti sofisticati e vulnerabilità zero-day nei loro attacchi, facendo riferimento a un team ben strutturato e finanziato, alle cui spalle era un organizzazione criminale o uno stato. 8 p. 18 Soluzioni Symantec per la sicurezza dei siti Web

20 RACCOMANDAZIONI Considerarsi un target La dimensione ridotta e la relativa anonimità non costituiscono una difesa dagli attacchi più sofisticati. Gli attacchi mirati minacciano le piccole imprese esattamente come le grandi aziende. Gli aggressori potrebbero inoltre utilizzare il sito Web come mezzo per attaccare altri soggetti. Se si presuppone di essere, per definizione, un possibile target e si migliorano le proprie difese contro le minacce più serie, automaticamente verrà rafforzata anche la protezione contro le altre minacce. Difendere scrupolosamente Implementare più sistemi difensivi a mutuo supporto e sovrapposti per difendere i sistemi da errori specifici, in ogni tecnologia o metodo di protezione. Ciò dovrebbe includere la distribuzione di firewall aggiornati regolarmente, antivirus del gateway, sistemi di rilevamento e protezione dalle intrusioni e soluzioni per la sicurezza Web del gateway in tutta la rete. Valutare l opportunità di una soluzione Always-on SSL (https persistente dall accesso all uscita dei visitatori) per crittografare i dati trasmessi tramite siti Web. Gli endpoint devono essere protetti con qualcosa di meglio della semplice tecnologia antivirus basata sulla firma. Educare il personale Rafforzare la consapevolezza del personale circa i rischi del social engineering e contrastarli con un adeguata formazione. Analogamente, una formazione appropriata e procedure corrette possono ridurre il rischio della perdita accidentale di dati e di altri incidenti endogeni. Educare il personale a riconoscere il valore dei dati e a proteggerli. Prevenire la perdita di dati Prevenire la perdita e la fuga di dati installando software di protezione adeguato nella rete. Utilizzare la crittografia per proteggere i dati in transito, online o su storage rimovibile. p. 19 Soluzioni Symantec per la sicurezza dei siti Web