Sicurezza informatica: la situazione è allarmante, ma qualcosa si muove

Sicurezza informatica: la situazione è allarmante, ma qualcosa si muove

Tradizionale appuntamento annuale con l'analisi del Rapporto Clusit, che elenca i principali incidenti noti nel campo della sicurezza informatica, in Italia e nel mondo: le tendenze degli anni passati vengono confermate, ma sembra verificarsi una maggior attenzione da parte di governi e mondo politico

di Andrea Bai pubblicato il nel canale TLC e Mobile
 

Il 2013, una visione organica

I dati numerici esposti nelle pagine precedenti possono però essere raccolti e messi in relazione tra loro allo scopo di tracciare un quadro organico che permetta di delineare un'immagine di insieme e di gettare le basi per comprendere quali siano le tendenze del futuro imminente.

Un primo importante elemento che emerge è come in tutto il mondo crescano sensibilmente i gruppi di attaccanti con competenze tali da poter portare avanti azioni piuttosto sofisticate. Se fino a non molto tempo fa gli hacker erano prevalentemente costituiti da individui con origini e background culturale dell'occidente, nel 2013 si verifica invece una crescita particolarmente sensibile di capacità anche molto avanzate tra individui dei paesi in via di sviluppo e del terzo mondo. Si tratta di un aspetto molto delicato, dal momento che nei paesi in via di sviluppo vi è un numero enorme di individui che si connette per la prima volta alla rete e perché il background culturale di questi soggetti è profondamente diverso rispetto a quello a cui siamo abituati, con la possibile insorgenza di episodi con conseguenze molto più gravi rispetto a quanto si verifica nel caso degli attacchi portati dagli individui dell'est europeo, ad esempio, che di norma cercano di tenere un approccio di più basso profilo.

Una seconda grande tendenza vede invece il Cybercrime e l'Hacktivism come concetti dai confini sempre più sfumati. E' una importante novità, perché queste due "grandi famiglie" sono originariamente state distinte sia per motivazioni sia per provenienza ed estrazione, sia per scopi e modalità d'azione. Lo scorso anno ha però evidenziato come per gli attaccanti di queste due categorie sia sempre più conveniente allearsi per il raggiungimento dei propri scopi. Emblematica, in tal senso, l'operazione Dark Seoul (un attacco condotto verso banche e televisioni sudcoreane) che è stata condotta con un coordinamento tra hacktivist, cybecriminali e cyberspie. Inoltre sempre in questa tendenza si osserva come alcune tipologie di hactivist, specie quelli di matrice nazionalista, decidano di adottare le modalità operative proprie dei cybercriminali per poter finanziare le proprie attività dimostrative.

Un ulteriore aspetto preoccupante che emerge dagli incidenti del 2013 è come le grandi organizzazoni vengano colpite attraverso i fornitori e i contrattisti. Gli attaccanti hanno infatti individuato proprio in queste realtà, spesso relativamente piccole, l'anello debole della catena per riuscire a forzare il sistema e raggiungere il principale obiettivo, sfruttando le connessioni VPN tra fornitori ed aziende e le utenze privilegiate. E' una tendenza che crescerà rapidamente nel futuro immediato: gli attaccanti cercano infatti le modalità più "efficienti" per portare i propri attacchi (basso sforzo, alto guadagno) e spesso i fornitori e i contrattisti delle grandi aziende sono realtà che non dispongono di competenze e risorse tali da poter adottare un'adeguata strategia di sicurezza o che, comunque, dispongono di un livello di sicurezza inferiore rispetto alle aziende loro clienti. Un primo caso di esempio: le applicazioni mobile di un network televisivo satellitare sono state infettate con un malware e distribuite su milioni di smartphone con il meccansimo degli aggiornamenti modificati. L'attacco è stato portato verso la software house che realizza le applicazioni, e la vittima finale sono stati i milioni di utenti del network satellitare. In un secondo caso una nota catena americana della grande distribuzione organizzata è stata attaccata usando quale "veicolo" il fornitore che si occupa della manutenzione dei banchi frigo: gli attaccanti si sono infiltrati sfruttando la connessione VPN del fornitore e hanno potuto accedere ai terminali POS compromettendoli, entrando in possesso di oltre 40 milioni di codici di carte di credito dei clienti del supermercato.

Infine l'ultimo grande dato che emerge dall'analisi degli incidenti di sicurezza delle informazioni avvenuti nel 2013 è l'ascesa dei social network come principale veicolo di attività malevole. Si tratta di null'altro che una conferma delle tendenze emerse dall'analisi delle precedenti edizioni del rapporto. La natura e la diffusione dei social network li rende una piattaforma ideale per gli attaccanti per poter estendere il più possibile l'effetto delle campagne di spam, phishing e social engineering con l'obiettivo di infettare e compromettere il maggior numero di sistemi possibili e creare così le famigerate "botnet" composte da milioni di macchine: in questo modo si viene a creare una capacità computazionale complessiva tale da trasformare queste botnet in piattaforme formidabili per qualsiasi attività malevola. Inerente al mondo dei social network vi è poi un altro importante aspetto: la presenza di una mole sterminata di informazioni personali eleva il rischio di furti di identità e di credenziali personali. Il problema non è circoscritto ai social network più comunemente intesi come Facebook o Twitter, ma interessa anche le applicazioni di messaggistica specie per il mondo mobile che spesso sono afflite da vulnerabilità mettendo a repentaglio la privacy dell'utente. E' poi estremamente importante sottolineare come tutte queste problematiche si riflettano anche nel mondo aziendale, data la diffusione dei social network anche in questi ambienti.

 
^