G DATA. Whitepaper Le nuove forme del furto di dati Ralf Benzmüller, G DATA Security Labs. Go safe. Go safer. G DATA.

Transcript

1 G DATA Whitepaper 2008 Le nuove forme del furto di dati Ralf Benzmüller, G DATA Security Labs Go safe. Go safer. G DATA.

2 La questione dei cyberattacchi è ormai da tempo diventata un problema serio, di cui si che occupano le polizie e i servizi segreti di tutto il mondo. Gli attacchi odierni di vario tipo sferrati via Internet sono di natura prevalentemente criminale e vengono perpetrati da organizzazioni che agiscono a livello internazionale. La criminalità online causa ogni anno danni per miliardi. Il phishing effettuato tramite , che induce ad accedere a siti Web falsificati, è soltanto una variante di questo tipo di atti criminosi. Sempre più spesso i dati vengono rubati tramite i cosiddetti cavalli di Troia, o trojan. In questo caso in gioco c è ben di più di un codice PIN o di un codice di transazione: l utente perde completamente la sua identità online! Phishing Viene detto phishing il tentativo di rubare dati riservati dell utente attraverso manovre diversive mirate. Dai primi tentativi di frode di questo tipo, che risalgono alla metà degli anni Novanta, il numero degli attacchi di phishing è aumentato vertiginosamente. Secondo una valutazione di G DATA Security Labs, la fase di crescita sembra essere terminata. Da circa un anno il numero delle nuove di phishing e dei siti Web collegati non subisce variazioni di rilievo. I problemi iniziali collegati ai set di caratteri e alla lingua sono superati. Attraverso tool flessibili e facili da usare, come ad esempio RockPhish, è ora possibile per i malintenzionati creare diverse pagine di phishing su un singolo sito Web. Il gruppo preso di mira con maggiore frequenza è tuttora quello dei clienti delle banche online, in particolare nei paesi in cui il PIN e un semplice codice di transazione costituiscono l unica difesa fra ladro e conto corrente, come in Gran Bretagna e negli Stati Uniti. Nuovi mercati False pagine Web di ebay e del relativo servizio di pagamento Paypal occupano anch esse posizioni di primissimo piano fra le pagine a rischio. Inoltre, poiché la ricerca di nuove vittime è ancora in pieno svolgimento, le pagine Web dei negozi online occupano sempre più spesso i primi posti nella classifica delle pagine fraudolente. Sono anche state segnalate falsificazioni a danno delle pagine di accesso di piattaforme di reti sociali, borse lavoro e giochi online. Gli account diventano sempre più preziosi per i cybercriminali. Un account ebay rubato può essere sfruttato per il riciclaggio del denaro ricavato da azioni di phishing. Nelle piattaforme di reti sociali i ladri di dati trovano informazioni che possono rivendere dopo averne accumulate in grande quantità. Gli account rubati possono anche servire per inondare di spam i forum. Una protezione contro il phishing è costituita dal filtro antispam. Questo strumento è in grado di riconoscere le di phishing e nella migliore delle ipotesi non le recapita nemmeno. Perché il meccanismo di protezione sia realmente efficace, tuttavia, esso deve riconoscere e bloccare tutte le forme di spam indipendentemente dal contenuto. Con OutbreakShield, G DATA mette in campo il filtro antispam più efficace in assoluto, capace di respingere in tempo reale qualsiasi forma di di spam e di phishing. 1

3 Una nuova tattica I meccanismi di protezione sempre più efficaci dei filtri antispam hanno costretto i cybercriminali a modificare la propria tattica. Da parecchio tempo, dunque, l accesso alle pagine di phishing non avviene più esclusivamente attraverso lo spam, bensì i pericoli sono in agguato quando si chatta, si gioca o si partecipa alle discussioni di un forum. Come difendersi Le barre degli strumenti antiphishing dei browser mettono in guardia contro le pagine di phishing o vietano del tutto di accedervi. Tali strumenti sono integrati in Internet Explorer v. 7, Firefox v. 2 e in molte soluzioni per la sicurezza in Internet. Tutte le altre possono invece essere scaricate, ad esempio da Phishtank, Google, Netcraft ecc., e successivamente installate. Queste barre degli strumenti si basano su processi euristici per individuare gli URL pericolosi. Poiché però esiste sempre il pericolo di un falso positivo, le serie di regole sono piuttosto conservative. Molti provider, inoltre, si affidano anche alla forza della comunità. Chi trova una pagina Web falsificata, la segnala al Response Team, che provvede quindi a verificarla e ad aggiungerla eventualmente alla lista delle pagine bloccate. Queste liste presentano tuttavia un inconveniente di importanza decisiva: la verifica della pagina richiede una quantità enorme di tempo. Poco meno di due giorni con Phishtank su media annua, alcune ore con i provider commerciali. In questo intervallo di tempo i ladri di dati possono agire indisturbati. Il contributo dell utente Le soluzioni tecniche contro il phishing non sono dunque infallibili. La sensibilizzazione dell utente è, come nel caso di molte truffe, lo strumento più importante nella lotta contro la fuga di dati. Nell utilizzo dei dati personali in Internet, il comportamento degli utenti dovrebbe quindi essere improntato a un generale atteggiamento di prudenza. Lo sguardo di verifica all URL (leggere da destra e nome del dominio) dovrebbe dunque essere obbligatorio. Pharming Il pharming è un alternativa al tipico approccio del phishing. Con questo tipo di attacco gli utenti vengono inconsapevolmente reindirizzati a pagine Web falsificate pur avendo digitato un nome di dominio corretto. Tecnica di attacco del pharming Questo tipo di attacco si basa sull individuazione dell indirizzo IP del nome del dominio. Lo stesso sistema DNS può inoltre diventare obiettivo di attacchi. Nei domini di broadcast, come ad esempio le WLAN, è molto facile falsificare le richieste di DNS. Ma anche i server DNS la cui manutenzione non viene effettuata correttamente o che non sono stati configurati in modo appropriato presentano delle vulnerabilità; si spazia così dal riempimento della cache dei server DNS con informazioni false (DNS Cache Poisoning) fino al cracking del server DNS. 2

4 I punti di attacco per penetrare nel sistema DNS esistono tuttavia anche a livello client e vengono sfruttati soprattutto dai cavalli di Troia. Come ci si può proteggere in modo più semplice? Ci si può proteggere da attacchi DNS locali già attraverso alcuni metodi molto elementari, ad esempio salvando il collegamento alla banca online come indirizzo IP nei Preferiti. La questione si presenta però diversamente nel caso di attacchi all infrastruttura DNS. In questo caso infatti l internauta deve affidarsi all amministratore del server DNS. Crimeware Cavalli di Troia, exploit e codici dannosi Un altro fenomeno legato al furto di identità sono i cavalli di Troia. Ad essi è imputabile la stragrande maggioranza degli attacchi di phishing. I molteplici meccanismi di protezione contro il phishing e la maggiore consapevolezza degli utenti portano i loro frutti. Anche le contromisure adottate dagli istituti di credito, come ad esempio il codice di transazione indicizzato, il codice di transazione mobile inviato via SMS, i codici di transazione con validità limitata nel tempo e il protocollo HBCI, contribuiscono a rendere inutilizzabili le informazioni catturate in modo fraudolento con il phishing. I cybercriminali devono dunque trovare, almeno nella maggior parte dei paesi, nuovi metodi per appropriarsi dei dati e trasformarli il più rapidamente possibile in moneta sonante. A questo scopo i cybercriminali mettono in campo i tipi più diversi di crimeware: Keylogger. Si tratta di programmi che registrano i caratteri digitati sulla tastiera. Possono essere realizzati come driver o ottenere informazioni tramite apposite interfacce del sistema operativo (WinAPI Set-WindowsHook o WinAPI GetKeyboardState). Per camuffarsi si integrano in processi di sistema comunemente eseguiti, ad esempio winlogon.exe, services.exe, o sfruttano i rootkit. Spesso si attivano soltanto al verificarsi di determinate condizioni. Ciò avviene ad esempio se la pagina Web aperta in quel momento è contenuta in una lista spesso molto lunga di nomi di dominio o se vengono aperte finestre con determinati titoli. Screenlogger. Per controbattere i keylogger sono state sviluppate le tastiere su schermo. Gli autori di malware hanno risposto con gli screenlogger. Questi eseguono a intervalli regolari un immagine del contenuto completo dello schermo (es. Rbot) oppure creano con ogni clic del mouse un immagine del campo circostante il mouse. A volte le sequenze di immagini vengono convertite in filmati AVI. Manipolazione del browser. Alcuni parassiti, come Torpig, modificano l aspetto del browser. Essi sono in grado di visualizzare la riga contenente l indirizzo corretto nonostante i contenuti arrivino da un altro dominio falsificato. Anche il lucchetto, che indica la presenza di una connessione sicura, può essere visualizzato senza giustificazione. Falsificazione del contenuto. Alcuni parassiti (es. varianti di Bancos o Nurech) manipolano il contenuto di determinate pagine Web e aggiungono nuovi campi in un modulo o anche intere pagine Web. In questo modo i certificati SSL rimangono attivi. Senza strumenti speciali non è possibile stabilire se questi dati siano stati falsificati o meno. I dati così ottenuti vengono inviati sia al truffatore che al server Web autentico. Dopo il furto dei dati la sessione 3

5 prosegue normalmente tanto che nelle vittime non viene suscitato alcun sospetto. L attacco si rivelerà soltanto alla prima consultazione dell estratto conto. Session(e) Hijacker. Inizialmente i cosiddetti dirottatori di sessione interrompevano il collegamento della vittima dopo l immissione dei dati. Questo permetteva di notare immediatamente l attacco. Da qualche tempo le sessioni vengono acquisite in modo che l aggressore modifica importi e dettagli del conto a proprio favore (es. Bancos). Alla vittima però vengono mostrate le proprie informazioni. Anche la situazione del conto viene falsificata in modo corrispondente. Anche in questo caso la frode diventa evidente al momento della ricezione dell estratto conto. Spoofing del DNS. Come già menzionato prima, sempre più spesso viene sfruttata la possibilità locale di attribuire un indirizzo IP falso a un nome di dominio. Un punto di attacco spesso utilizzato dalla famiglia di programmi malware QHosts è il file Hosts nella directory C:\windows\system32\drivers\etc. In questo file è possibile assegnare un indirizzo IP a un nome di dominio. Successivamente non viene più effettuata alcuna verificazione dell autenticità dell indirizzo IP trovato. Un altra possibilità è offerta dalle voci immesse per i server DNS. Esse vengono manipolate in modo tale che le richieste di DNS vengono reindirizzate a un server controllato dall aggressore. Per la maggior parte delle pagine vengono poi forniti anche dei risultati corretti, ma per altre no. Redirector. I redirector indirizzano il flusso dei dati in modo tale da rendere possibile un attacco di tipo Man-in-the-middle. La destinazione del reindirizzamento può essere un proxy locale oppure un server proxy controllato dall aggressore. In questo modo la comunicazione sulla rete della vittima può essere spiata. , chat, siti Web visitati, dati dei moduli e scaricamento di file possono essere tutti sorvegliati. Sniffer. Gli sniffer vengono installati per intercettare il flusso dei dati in una rete. Tramite l ARP-Spoofing questo software malevolo funziona anche nelle reti non commutate. Trojan spia. Questi cavalli di Troia eseguono una ricerca sull intero PC per individuare le informazioni di valore. Queste possono essere indirizzi oppure file con contenuti specifici, oppure un tipo specifico di file. I dati vengono compressi e inviati all aggressore. Sono anche molto ricercate le informazioni relative ai login registrate sul sistema, chiavi di registro e password (o il loro hash). Le password dei siti web e degli account di posta vengono salvate nella zona Protected Storage Area, se l utente accetta l offerta del browser o del client di posta elettronica di salvare le password. È dunque una buona idea rinunciare al salvataggio automatico di password e informazioni nei moduli. Anche le password di giochi, le chiavi di registro del sistema operativo e del software preferito sono archiviate sul sistema in aree note (Registro o file) e da lì vengono trafugate. Anche un clic non intenzionale su un collegamento può causare la perdita di dati. Il cross site scripting consente di spiare i dati. Così, ad esempio, il pulsante Fai un offerta nelle aste di ebay è stato manipolato in modo tale che si viene reindirizzati a una pagina di accesso falsificata. Cookie. I cookie sono effettivamente innocui e indispensabili per molte pagine di negozi online. Essi offrono tuttavia informazioni preziose sulle pagine visitate di preferenza dall utente. Tali informazioni sono molto utili per chi fa attività promozionale. Ma anche il furto di un cookie può essere utile. Se un utente dimentica di scollegarsi da un negozio sul Web o dal suo centro contatti, grazie al cookie è possibile accedere a questa pagina Web con le impostazioni della vittima. 4

6 Misure di protezione Per ciascuna di queste minacce sono necessarie soluzioni speciali, orientate ad ogni specifica situazione. I sistemi UTM di gestione unificata delle minacce (Unified Threat Management) forniscono tuttavia una solida protezione di base. Essi riuniscono varie tecnologie di sicurezza, come firewall, antivirus, intrusion detection o intrusion prevention, in una soluzione integrata e forniscono una protezione a 360 gradi. I sostenitori del concetto del migliore della classe acquistano i singoli componenti migliori di ciascuna categoria e si accollano il complicato compito di configurare il tutto. Un nuovo approccio per affrontare questa problematica consiste nel behaviour blocking, ovvero blocco dei comportamenti sospetti. La tecnologia behaviour blocking costituisce una metodologia di tipo proattivo per l analisi di software potenzialmente nocivo. La tecnologia analizza il contenuto attivo che potrebbe eventualmente contenere un codice nocivo in relazione al suo comportamento nel file system, nel Registro e in certa misura anche nella memoria di lavoro del computer. Alcune soluzioni impiegano anche procedure basate su una sandbox che permettono di eseguire l analisi in un area speciale protetta. Valutazione dei danni Il furto di dati non è più soltanto territorio di spie industriali, servizi segreti e terroristi. Le organizzazioni di cybercriminali hanno scoperto il valore dei dati. Nell ottobre del 2005 i clienti della banca svedese Nordea ricevettero l offerta di scaricare gratuitamente un antispam. Il software scaricato installò una versione del keylogger Haxdoor che generava un messaggio d errore, invitando a reimmettere i dati di accesso al sito della banca. Quando venne rilevato che i conti di numerosi clienti della Nordea erano stati saccheggiati, la banca chiuse il portale di online banking. Fu registrato un danno totale di circa euro. A quanto ammontano i danni dovuti ad appropriazioni indebite perpetrate attraverso l online banking si può solo immaginare. Le banche tedesche tacciono circa l entità delle perdite. L Associazione tedesca BITKOM (per l informazione tecnologica, le telecomunicazioni e i nuovi media) calcola per il casi di phishing con un danno medio di 4000 euro, per un totale dunque di 13 milioni di euro. Una tendenza in salita [5]. Nel Regno Unito le cose vanno un po meglio dal punto di vista della disponibilità dei dati. Secondo l organizzazione APACS, nell anno 2006 i danni riconducibili a truffe legate all online banking ammontano in Gran Bretagna a circa 46,5 milioni di euro. I danni subiti online in seguito al furto dei dati della carta di credito sono stati stimati intorno ai 214,6 milioni di euro. A livello mondiale i danni conseguenti a furto di dati sono dunque nell ordine di parecchi miliardi di euro. Da tempo, tuttavia, le attività criminali non si limitano più ai dati dell online banking. Alcune cyberspie rubano dai computer infetti tutti i dati immessi nei moduli, dunque anche dati di accesso a forum di reti sociali, caselle di posta elettronica, negozi online, borse lavoro, chat room, ecc. Le quantità di dati acquisite in questo modo ammontano comprensibilmente a vari terabyte e possono essere elaborate soltanto con computer e architetture di database ad alte prestazioni. Nel caso più elementare i dati vengono venduti non selezionati sul mercato nero al prezzo di 60 euro per 380 MB. I dati di accesso possono però essere sfruttati anche per il riciclaggio di denaro sporco e per l invio di messaggi di spam ai forum. 5

7 I programmi spia trojan comprimono tutti i documenti presenti in un computer e li trasmettono agli aggressori. Nel caso del trojan scoperto alla fine di agosto nella Cancelleria Federale tedesca si è riusciti a evitare che venissero inviati a server Web cinesi 160 GB di dati. Anche nel settore dei database è stato messo a segno ben più di un colpo grosso. Esempi noti sono il furto di dati della borsa lavoro Monster.com e del portale per studenti StudiVZ. Molti casi tuttavia non sono neanche diventati di dominio pubblico poiché le persone e le organizzazioni truffate temevano di subire un danno d immagine. Questi numeri dimostrano quindi che il furto di informazioni è un attività molto fiorente. Conclusioni Il furto e il commercio di dati rubati è un business di portata mondiale. I colpevoli agiscono al di là delle frontiere e in reti con un elevato grado di organizzazione. Negli anni scorsi la >>ecrime Generation<< si è riorganizzata a vari livelli infrastrutturale, tattico o economico e può contare su molti anni di esperienza nel settore dell ecrime. Il 2008 vedrà sicuramente l apertura di nuovi mercati al crimine e l introduzione di nuovi concetti di crimeware. Adottare soluzioni di protezione solide, in cui siano integrate funzionalità di antivirus, antiphishing, firewall e protezione dagli spam, dovrebbe essere obbligatorio per gli utenti. I risultati dell inchiesta condotta da G DATA Security nel febbraio 2008 indicano tuttavia che gli utenti continuano a prendere sotto gamba l importanza della protezione antivirus: il 47 per cento degli utenti Windows intervistati naviga in Internet senza protezione, e di questi il 73 percento utilizza l online banking. La superficialità nei comportamenti in tema di sicurezza dei dati e la scarsità di informazioni circa il modo di agire dei cybercriminali rendono molto facile per la ecrime-society condurre i propri loschi traffici in grande stile. 6