IBM X-Force: rischi e trend 2012 per il canale mobile

Transcript

1 IBM X-Force: rischi e trend 2012 per il canale mobile Tra le nuove modalità di attacco si segnala un aumento di vulnerabilità e exploit nell area dei dispositivi mobile, nuovi attacchi di tipo shell command injection, un aumento del fenomeno click fraud phishing per la distribuzione di malware e si confermano gli attacchi di tipo SQL injection IBM ha diffuso alla fine di Marzo i risultati del suo X-Force 2011 Trend and Risk Report, che mostra miglioramenti in diverse aree della internet Security, quali ad esempio una riduzione delle vulnerabilità relative alla sicurezza delle applicazioni, dei codici exploit e del fenomeno dello spam. Il report indica inoltre che i criminali informatici hanno modificato le proprie strategie, prendendo di mira debolezze dei sistemi IT più specifiche e tecnologie e fenomeni emergenti, quali ad esempio social network e dispositivi mobili e hanno spostato i loro investimenti e attenzione su questa nuova frontiera del cybercrime. Nel corso del 2011 è quindi maturata la consapevolezza che il malware del mobile, fenomeno in forte crescita nel 2011 rispetto agli anni passati, rappresenta una reale minaccia con potenziali forti impatti per l utenza sia business che consumer. L X-Force 2011 Trend and Risk Report si basa sulle informazioni raccolte dal team di ricerca sulla sicurezza di IBM, leader del settore, attraverso i risultati e gli studi sulla divulgazione di vulnerabilità pubbliche, provenienti da più di clienti e sul monitoraggio e sull'analisi di una media di 13 miliardi di eventi di sicurezza giornalieri nel Si segnala nel report X-Force 2011 un trend emergente che riguarda la tecnologia mobile e la sua rapida evoluzione e diffusione nel mercato consumer e di business; così come un sempre più diffuso modello di utilizzo di questa tecnologia noto come Bring Your Own Device (BYOD) che rischia in molte realtà di rendere inefficaci i controlli di sicurezza già in essere. Si rileva inoltre, al contrario di una forte accelerazione nel loro utilizzo e impiego a supporto dei processi di business e quindi per l accesso alle informazioni aziendali anche da parte dei C-level, ancora una poca sviluppata sensibilità e consapevolezza dei potenziali rischi e delle minacce a cui questa tecnologia può essere vulnerabile. In molti contesti non risultano altresì consolidate in chiare linee di indirizzo e di controllo, norme comportamentali e best practices per disciplinare e rendere sicuro il loro utilizzo dentro e fuori l azienda. Emerge inoltre e si consolida la consapevolezza degli utilizzatori e dei responsabili della sicurezza IT di un trend e una diffusione in forte crescita di nuovi e sempre più sofisticati malware per mobile e quindi la sentita esigenza di introdurre contromisure di sicurezza per la protezione del mobile che devono trovare risposte efficaci nell ambito della protezione dei dati siano questi di business che personali/privati. Così come per i personal computer anche per i malware del mobile si conferma l obiettivo principale quello degli attacchi finalizzati a conseguire frodi di carattere monetario, soprattutto per i dispositivi abilitati a servizi SMS. Lo dimostrano casi di frode sul canale mobile online banking identificati e rilevati a fine 2011 e inizio 2012 presso alcuni istituti bancari esteri. Non meno importante rispetto alla evoluzione del malware, la ricerca di X-Force, sottolinea un altra area a rischio che dovrebbe essere considerata e gestita e riguarda l aggiornamento del sistema operativo del dispositivo mobile. Anche se non sono state osservare dai Security Operation Center di X-Force attacchi malware massivi capaci di sfruttare eventuali vulnerabilità del sistema operativo (es.ios o Android), si ritiene molto probabile che sia solo questione di tempo prima che questo si trasformi in realtà; si consideri inoltre che oggi alcune piattaforme sono per loro caratteristica e natura più vulnerabili di altre. Si sottolinea l importanza di integrare nella strategia di risk management della Banca anche la gestione centralizzata della dispositivo, delle sue politiche e della sua sicurezza (MDM/MDS); un

2 obittivo a cui si deve tendere per garantire una gestione proattiva e intelligente di un nuovo ecosistema che rappresenta già oggi il nuovo confine e il perimetro della Banca. Gli aggressori hanno adeguato le proprie tecniche nel corso del Nonostante i miglioramenti nelle strategie di protezione, si è verificato un aumento di nuove modalità di attacco, nonché una serie di significative e ampiamente documentate violazioni della rete esterna e della sicurezza. Rispetto agli attacchi dolosi, il team di X-Force ha documentato un aumento di alcuni fenomeni in alcune aree: I portali, le applicazioni di internet banking e il canale mobile si confermano nel 2011 il segmento a maggior interesse per attacchi mirati e finalizzati a dare seguito a frodi identitarie e monetarie, nonostante le molteplici azioni di contrasto poste in essere dalle Banche quali interventi formativi interni e per la clientela, di monitoraggio e prevenzione alle frodi così come i meccanismi di autenticazione a due fatttori in dotazione a circa il 93% degli istituti italiani. La crescita e la diffusione dei dispositivi mobili ha creato interesse nella comunità degli hackers con il conseguente sviluppo e diffuzione di malware finalizzato ad attacchi nell ambito delle transazioni finanziarie e dei pagamenti disponibili per il cliente attraverso il canale mobile ma anche una minaccia per i dipendenti della banca stessa (BYOD). Si osserva, oltre ad un incremento dello sviluppo e diffusione del malware, un aumento di applicazioni infettate e contagiate da malware; in pratica applicazioni legittime sono modificate con l inserimento di malware e quindi pubblicate nei vari AppStore, Market o siti di download pirata presenti nell underground. Si tratta nella maggior parte dei casi di applicazioni quali giochi, strumenti di utilità o con contenuti pornografici che una volta scaricate consentono, all insaputa dell utente, di inviare all hacker un insieme di informazioni disponibili nel dispositivo (es contenuto di SMS, files o altro). La piattaforma Android risulta quella più vulnerabile a questo fenomeno rispetto ad altri sistemi operativi mobile più controllati in termini di integrità dello store quali iphone e ipad ma questo non li deve rassicurare.. siamo solo al inizio; infatti la diffusione delle tecniche di expolit guidate da strumenti quali JailBreakMe che abbassono le protezioni imposte dal firmware ios e creano un potenziale varco per la sicurezza e la compromissione anche dei dispositivi ios. Un fenomeno che si osserva e si prevede in potenziale crescita è la diffusione di malware e applicazioni infette da malware attraverso il dispositivo mobile e l accesso a siti di social network quali Facebook e Twitter; la combinazione dei due potrebbe rappresentare una nuova modalità ed una nuova strategia crimimale per porre in essere azioni di frode monetaria e identitaria da parte di organizzazione cybercrime sfruttando tecniche di social engineering e prassi consolidate già da molti anni. Si rileva la presenza di vulnerabilità mobile non ancora risolte che offrono lo spazio alla comunità degli hacker per opportunità di furto di informazioni e di identità; fenomeno questo amplificato dalla proliferazione di diverse piattaforme hardware sul mercato che ne accentua l impatto; la diffusione a livello personale del dispositivo mobile e l utilizzo spesso BYOD in azienda non consente un riscontro puntuale degli incidenti di sicurezza riconducibili ad azioni malevoli, spesso non rilevati o non dichiarati dall utente finale; risulta quindi che la rilevazione del numero degli attacchi che indirizzano la piattaforma mobile è ancora basso se confrontato con le tradizionali workstation, ma ci aspettiamo un aumento lineare nel corso dei prossimi anni. I dati evidenziano inoltre che spesso la perdita di informazioni e identità è riconducibile anche alla perdita o al furto dello stesso dispositivo mobile. Il fenomeno delle botnet si è esteso anche al mobile, sono infatti iniziate a crescere nel corso del 2011 le botnets costituite da mobile infetti da malware e controllati da reti di comando e controllo (C&C). Il fenomeno è preoccupante se si considera che molti di questi

3 dispositivi si possono collegare anche alle reti Wi-Fi delle aziende. Spesso le comunicazioni da e verso i C&C non sono rilevabili dai sistemi di monitoraggio e sicurezza tradizionali in quanto protocolli ritenuti leciti o gestiti direttamente dall operatore telefonico. Una delle tecniche più diffuse è quella di utilizzare il protocollo SMS per controllare il malware a bordo del dispositivo tramite scambio di messaggi; questo tipo di protocollo non richiede inoltre un consumo elevato della batteria se confrontato con protocolli quali Wi-Fi e 3G e quindi non insospettisce l utente finale se non per l eventuale costo dell SMS. Le prime rilevazioni e analisi del 2012 portano all attenzione l emergere di un nuovo meccanismo utilizzato per operare attacchi cybercrime finalizzato alla distribuzione di malware su mobile che sfrutta la lettura dei codici grafici monocromatici noti come QR code (Quick Response). Utilizzati oggi in editoria e dal marketing per rimandare a contenuti digitali pubblicati sul web e nel passato nell industria per tracciare i pezzi di automobili nelle fabbriche di Toyota, rappresentano attraverso una immagine (codice a barre bidimensionale) il collegamento ad un url web e se inquadarti con lo smartphone attraverso una apposita applicazione consentono di aprire il sito codificato nel QR code senza digitare il link. Questa tecnica unita alla bassa sicurezza presente nelle App di lettura del codice, sembra trovare interesse nel cybercrime e apre la strada ai primi fenomeni di offuscamento del QR code (etichette adesive con codice maligno affisse sopra uno codice legittimo) per dirottare il mobile dell utente verso siti di malware (click-fraud). Le tecnologie emergenti creano quindi nuove vie di accesso per gli attacchi cybercrime Le nuove tecnologie, quali i dispositivi di comunicazione mobili, i social network e il cloud computing, continuano a creare nuove sfide per la sicurezza delle aziende. Infatti si rileva: Aumento del 19% nel 2011 degli exploit mobili rilasciati pubblicamente Il rapporto X- Force di quest'anno si è concentrato su una serie di tendenze emergenti e di best practice per gestire nuovi modelli di utilizzo quali BYOD ( Bring Your Own Device ) all interno dell azienda. IBM X-Force ha riscontrato un aumento del 19%, rispetto all anno precedente, del numero di exploit rilasciati pubblicamente che possono essere utilizzati per prendere di mira i dispositivi mobili. Esistono molti dispositivi mobili che presentano vulnerabilità non corrette mediante patch per le quali esistono exploit pubblici, creando un'opportunità per gli aggressori.. Gli attacchi si concentrano verso i social media In seguito alla sempre più diffusa adozione di piattaforme di social media e di tecnologie social correlate, quest area è diventata un comune bersaglio o uno strumento attraverso il quale promuovere attività criminali. IBM X-Force ha infatti osservato un aumento delle di phishing che si spacciano per siti di social media. La quantità di informazioni che le persone condividono sui social network, relative alla propria vita privata e professionale, sta giocando un ruolo sempre più decisivo nella raccolta di informazioni preparatorie ad un attacco per l'infiltrazione nelle reti informatiche, pubbliche e private. L utilizzo da parte di utenti giovani dei social network attraverso il canale mobile rappresenta inoltre una nuova frontiera per la diffusione di malware e app infette. La diffusione degli smartphone e tablet e gli investimenti delle aziende per sviluppare e arricchire il numero di applicazioni mobili attraverso le quali consentire l accesso a servizi di business in ottica multicanale non deve prescindere dall importanza della qualità del software rilasciato. Le applicazioni possono essere vulnerabili anche se non infette da malware se il processo che ne guida lo sviluppo non considera la sicurezza come una delle dimensioni da gestire e controllare (secure by design). Vettori di attacco quali SQL injection e Cross-Site scripting (XSS), ancora oggi largamente diffusi nell ambito delle applicazioni web tradizionali, dimostrano quanto la sicurezza applicativa rappresenti, nonostate tutto, un anello debole che ritroveremo anche nel constesto delle applicazione per mobile. La disponibilità di connettività e il mobile sempre nel palmo dell utente, offre alle imprese opportunità esclusive per migliorare i contatti con la propria base di clienti,

4 interagire con i clienti e dipendenti in modo più efficiente, stimolare la produttività e raggiungere nuovi segmenti di mercato e pubblico; ma questa opportunità si deve confrontare con le diverse piattaforme mobile in commercio, le esigenze di sviluppare App adatte ad operare su diversi sistemi operativi e i costi imposti dallo sviluppo e manutenzione del software stesso. L utilizzo del mobile da parte dei clienti bancari per accedere e svolgere operazioni finanziarie attraverso siti di online banking è cresciuto e si è diffuso abbastanza nel 2011 per rappresentare un target stimolante tale da attrarre l attenzione del cybercrime; lo dimostra il poliformismo che ha interessato spyware e trojans quali Zeus e SpyEye che si sono adattati (Zitmo o Zeus-in-the-mobile) per catturare informazioni bancarie custodite sul device stesso (userid/password/mtan) e svolgere azioni fraudolente all insaputa del cliente. Si osserva un veloce adattamento delle tecniche utilizzate dagli hackers e con il diffondersi del mobile banking questi fenomeni malevoli aumenteranno sia in termine di numerosità che di sofisticazione. Un evidente vantaggio alla diffusione del malware e dei trojans è rappresentato dal meccanismo di distribuzione delle App, in particolare per la piattaforma Android; questo rappresenterà un serio problema in quanto l utente che scarica un App bancaria potrebbe essere portato a scaricare un App infetta da malware a sua insaputa. Le Banche devono quindi dotarsi di App store certificati e sicuri tali da garantire l autenticità e l integrità dell applicazione mobile; particolare attenzione merita infine l adozione di soluzioni di endpoint security per il mobile fondamentali per un efficace contrasto alle tecniche di frode quali MITB. Per aiutare le organizzazioni a difendersi da questi nuovi scenari di attacco e in particolare per i disposibitivi mobili utilizzati dai Clienti della Banca per l accesso ai servizi del canale mobile di online banking e per i dipendenti dello stesso istituto, vi è una crescente disponibilità di controlli e soluzioni utili al contrasto, alla prevenzione del malware e a supportare le Banche ad estendere in modo sicuro le funzionalità aziendali attuali ai dispositivi mobili, sfruttando al contempo le nuove opportunità che i dispositivi mobili sono in grado di fornire. Tali soluzioni sono disponibili per la maggior parte delle piattaforme mobile utilizzate. Gli attacchi finalizzati al furto di identità utili a perseguire frodi monetarie si confermano un obiettivo primario e i dispositivi mobili la nuova frontiera per il 2012 e i prossimi anni. Si conferma quindi l importanza per gli Istituti Bancari di mantenere l attenzione e la priorità in investimenti finalizzati al continuo miglioramento del livello di sicurezza interno e dei servizi offerti alla clientela in funzione delle veloci dinamiche con cui gli scenari di attacco si sviluppano, nonostante alcune rilevazioni condotte da ABI Lab nel 2011 non riporta ancora casi di perdita di credenziali per l accesso ai servizi Mobile Banking a causa di attacchi fraudolenti. Un altra tipologia di attacco evedenziata nel report X-Force sfrutta la natura del dispositivo mobile e dei servizi offerti (rilevatore GPS, servizi voce, messaggistica SMS e dati); è stata infatti rilevata la presenza di applicazioni spia capaci di monitorare il comportamento degli utilizzatori, compresa l'ubicazione, i messaggi, le , e le chiamate vocali..il dispositivo mobile rappresenta oggi l estrema periferia della vostra azienda e i controlli di sicurezza adottati devono necessariamente essere in linea con le politiche di sicurezza aziendali applicate a protezione e tutela della stessa.

5 IBM continua a collaborare con le organizzazioni per rafforzare la sicurezza relativa a queste nuove aree. Tra le raccomandazioni fornite per aiutare a rendere più sicuro l IT, alla luce di queste nuove minacce, possiamo annoverare: la gestione centralizzata della sicurezza dei device mobili con soluzioni MDM e MDS, l'esecuzione regolare di audit di sicurezza, la segmentazione dei sistemi e la protezione delle informazioni sensibili (crittografia locale), l utilizzo di comunicazioni protette VPN quando si opera su reti non sicure quali hotspot Wi-Fi pubblici, la formazione e la sensibilizzazione degli utenti finali (dipendenti e clienti) e la protezione degli elementi informatici di base. L'avvento degi smartphone prima e dei tablet poi hanno condizionato in maniera consistente il mercato; un sondaggio condotto da IBM tra oltre 3000 CIO sparsi per il mondo, ha messo in luce come le soluzioni di mobilità siano diventate una priorità nella lista della spesa; così come una conseguente crescente domanda da parte delle imprese per soluzioni di mobilità che supportino le sfide introdotte dalle nuove piattaforme smartphone e tablet inclusa la necessità di garantire livelli di servizio e di sicurezza del dispositivo e delle applicazioni mobile in linea con le esigenze del business e la tutela e sicurezza dei propri dipendenti e clienti. Per visualizzare l'intero X-Force 2011 Trend and Risk Report e guardare un video contenente i punti salienti, visitate il sito Informazioni sull IBM X-Force Trend and Risk Report L'IBM X-Force Trend and Risk Report è una valutazione annuale della situazione relativa alla sicurezza, concepita per aiutare le aziende a comprendere meglio l evoluzione dei rischi legati alla sicurezza ed essere in grado di contrastarli. Il rapporto raccoglie eventi provenienti da numerose fonti di informazioni, tra cui il database di X- Force, contenente più di vulnerabilità informatiche, il suo web crawler globale con i suoi spam collector internazionali, nonché il monitoraggio in tempo reale di 13 miliardi di eventi di sicurezza ogni giorno, per un totale di quasi clienti in servizio in più di 130 paesi. 13 miliardi di eventi monitorati ogni giorno (che significa più di al secondo) sono il risultato del lavoro svolto nei nove Security Operations Centers globali di IBM presenti nel mondo, che forniscono i servizi di sicurezza gestita da IBM per conto dei propri Clienti. Per maggiori informazioni su IBM Security Solutions, visitate il sito: