Security

Rispondi
Avatar utente
openresource
Administrator
Administrator
Messaggi: 382
Iscritto il: mar gen 28, 2020 9:52 pm
Reactions score: 4
Località: varese
Contatta:
giu 2020 17 06:02

Security

Messaggio da openresource

Immagine

Un rischio è la probabilità che un evento avverso si verifichi producendo un danno che può avere gli impatti più differenti: umani, economici, di immagine.

I rischi (R) vengono classificati in base alla probabilità di accadimento (P) ed all’impatto potenziale (I): R=PxI. Esistono rischi con impatto potenziale molto elevato ma (per fortuna) probabilità di accadimento remota e rischi che si concretizzeranno con elevata probabilità ma che (sempre per fortuna) hanno un impatto piuttosto limitato. Nel mezzo c’è un’ampia gamma di rischi che devono essere singolarmente valutati e gestiti.

“Siamo a rischio hacker!” Questa è un’affermazione che rende l’idea ma non è del tutto corretta; un hacker è una minaccia e la sola minaccia non è sufficiente a definire completamente un rischio. Una vulnerabilità di un sistema informatico è una falla, un bug, una debolezza che può essere sfruttata da un hacker per produrre un danno a noi e un vantaggio a lui. Senza la vulnerabilità, un hacker non è più una minaccia, perché non sarebbe in grado di portare a compimento nessuna azione criminosa. Perché un rischio si concretizzi, dunque, è necessario che ci sia una minaccia, che esista una vulnerabilità e che la minaccia sia in grado di sfruttare la vulnerabilità per produrre un danno.

Visto, però, che le vulnerabilità sono un tratto ineliminabile di ogni tecnologia e che queste crescono al crescere della superficie digitale, possiamo ben dire che tutti noi siamo costantemente sottoposti alla minaccia costituita dagli hacker.

Il fatto che una vulnerabilità esista, però, non implica automaticamente che essa sia sfruttabile da una minaccia. Ovvero, le vulnerabilità costituiscono un pericolo solo se esiste un attaccante che ha la motivazione, un concreto obiettivo di sfruttamento e metodi per sfruttarle.

Quando ciò accade e se la vulnerabilità non è coperta da controlli di sicurezza, allora si genera un’area di esposizione a cui è associato un impatto potenziale che definisce completamente il rischio che la persona o l’organizzazione corre.

Visto, quindi, che non è possibile eliminare tutte le vulnerabilità, il problema è sviluppare una strategia di trattamento del rischio basata sulla probabilità che un rischio – come sopra definito – si concretizzi. Su questa base è possibile costruire una serie di scenari di rischio da gestire in base alla priorità data da R=PxI.

Minaccia. È l’agente esterno che incarna la minaccia potenziale.
Vettore di attacco. È il veicolo utilizzato dalla minaccia per attuare una strategia che mira ad individuare una vulnerabilità e sfruttarla.
Tecnica di attacco. È l’azione messa in atto da una minaccia per sfruttare una vulnerabilità.
Vulnerabilità. È la debolezza che utilizzata dalla minaccia per produrre un danno.
Rischio. È la probabilità che un evento negativo si manifesti generando un danno di natura varia ma esprimibile in termini economici.
Danno. È l’impatto negativo generato dalla minaccia quando riesce a sfruttare una vulnerabilità.

Strategia di trattamento del rischio. È la strategia che deve essere attuata da chiunque sia soggetto ad un rischio, allo scopo di limitarne gli effetti potenziali. Le strategie possibili sono quattro:

Mitigare: ovvero, applicare controlli in grado di ridurre al minimo la probabilità che una minaccia sia in grado di sfruttare una vulnerabilità;
Trasferire: ovvero, fare in modo che qualcun altro sostenga l’impatto del danno qualora dovesse concretizzarsi; in genere corrisponde alla stipula di una polizza assicurativa;
Accettare: ovvero, decidere di convivere con il rischio;
Eliminare: ovvero, smettere di tenere un comportamento rischioso.
Motivazione. Motivo interno che un agente di minaccia ha per realizzare un attacco.
Obiettivo. Ciò che la minaccia spera di realizzare con l’attacco.
Metodo. Processo mediante il quale un agente di minaccia tenta di sfruttare una vulnerabilità per raggiungere un obiettivo.
Controllo. Processo e misura messa in atto allo scopo di ridurre la probabilità di subire un danno a causa della vulnerabilità.
Esposizione. Vulnerabilità senza controllo.
Attacco. Azione di una minaccia avente lo scopo di sfruttare una vulnerabilità.

Esempi.

Se non aggiorniamo costantemente il software del nostro PC, prima o poi esporremo una vulnerabilità che potrà essere sfruttata da qualche hacker interessato a rubare i nostri dati (credenziali, foto, codici di carte di credito, codici di sistemi di homebanking) per qualche motivo (rivendita su dark web, frode, ricatto).

Sfruttando quella vulnerabilità, un hacker può inserire nel nostro PC un ransomware in grado di cifrare il nostro hard disk, sostanzialmente prendendolo in ostaggio, allo scopo di chiederci di pagare un riscatto in bitcoin a fronte del quale ci restituirà la chiave utile a decifrare i dati e rendere le nostre foto e i nostri documenti di nuovo leggibili.

Allo stesso modo, un cybercriminale potrebbe sottrarci le credenziali della nostra posta elettronica o dei social network a cui siamo iscritti. Perché dovrebbe farlo? Per inviare spam o per trollare (a nostra insaputa), in altre parole per sottrarci la nostra identità digitale ed utilizzarla in modo fraudolento traendone un vantaggio economico.

Infine, un cybercriminale potrebbe installare un malware sul nostro computer per assoldarlo all’interno di una botnet allo scopo di effettuare attacchi informatici contro qualche altro obiettivo in Italia o all’estero. Il cybercriminale sarebbe, quindi, in grado di utilizzare il nostro computer a nostra insaputa per scopi illeciti; insomma, il nostro computer diventerebbe uno zombie.

Vulnerabilità. È l’assenza, la presenza in misura ridotta o la compromissione delle misure di sicurezza di un sistema (quale esso sia); una vulnerabilità rappresenta un punto debole che consente a un eventuale aggressore (la minaccia) di compromettere il livello di sicurezza dell’intero sistema.

Ransomware. Malware che cripta i file presenti sul computer della vittima, richiedendo il pagamento di un riscatto per la relativa decrittazione. I ransomware sono, nella maggioranza dei casi, dei trojan diffusi tramite siti web malevoli o compromessi, ovvero per mezzo di allegati a messaggi di posta elettronica.

Bitcoin. È una criptovaluta, ovvero un sistema di pagamento elettronico basato su Internet e su protocolli sicuri. I bitcoin diversamente dalle monete non sono mediati da un ente centrale (sistema bancario) ma sono convertibili in moneta tradizionale (è possibile acquistarli e venderli).
Trollare. Il comportamento di chi provoca, insulta, aggredisce qualcuno online pubblicando commenti negativi nei confronti di altri utenti della comunità virtuale.

Spam: invio non richiesto di pubblicità ed offerte commerciali. Usato anche per indicare una quantità confronti di altri utenti della comunità virtuale.

Malware. Software malevolo creato per danneggiare un computer o un terminale mobile (smartphone o tablet) collegato in rete.

Botnet. È una rete di robot (robot-net, da cui il termine botnet), cioè di dispositivi informatici che una volta infettati da malware, passano sotto il controllo di una entità centrale chiamata centro di comando e controllo. Lo scopo è utilizzare tali dispositivi per realizzare attacchi informatici distribuiti, propagare virus e malware, sottrarre dati personali, inviare spam, ecc.

Identità digitale. In un’accezione ampia è costituita dall’insieme di informazioni presenti online in relazione ad un determinato soggetto. In senso più stretto, l’identità digitale è articolata in due parti: l’identità vera e propria e le credenziali che ognuno possiede (gli attributi di tale identità). Identità (username) e credenziali (password o dispositivi più complessi) sono la chiave per accedere a tutte le informazioni che ci riguardano e che sono memorizzate online.

Username. Il nome identificativo dell’utente che è normalmente visibile, diversamente dalla password.

Password. Sequenza di caratteri nota solo al legittimo proprietario; la sua introduzione consente l’accesso a parti di sistemi o di siti, confermando che il richiedente ha le abilitazioni necessarie.

Cybercrimine. Qualsiasi reato o comportamento delittuoso svolto nell’ambito delle tecnologie informatiche.

Cybercriminale. Chi pratica e promuove attività criminose attraverso l’uso di tecnologie informatiche e di Internet [hacker, pirata informatico].

Un cybercriminale si muove con obiettivi prefissati che possiamo sintetizzare così:

sottrarre dati o informazioni;
rendere inutilizzabili sistemi informatici;
arrecare danno a persone, cose o proprietà intellettuale;
ledere la reputazione altrui.
La motivazione principale è quella di ottenerne un guadagno economico o comunque un vantaggio di altra natura tramite:

la rivendita di dati o informazioni;
la richiesta di un riscatto in cambio del ripristino dell’operatività dei sistemi “presi in ostaggio”;
il ricatto basato sulla minaccia di rendere pubbliche informazioni precedentemente sottratte.
Con minore frequenza, ci si può imbattere in vandali, attivisti, spie e terroristi che, però, fanno parte di altri capitoli riferiti ad obiettivi e motivazioni diverse da quelle del crimine comune.

A volte le minacce possono violare la legge in modi relativamente minori e non violenti, mentre in altri casi esse non tengono affatto conto della legge e possono intraprendere comportamenti criminali con impatto finanziario significativo o violenza estrema, come nel caso del crimine organizzato.

Il modo in cui una minaccia agisce, in genere, definisce anche le risorse disponibili per effettuare un attacco e il livello di abilità richiesto. Le minacce possono:

agire individualmente con risorse limitate e nessun livello minimo di abilità;
interagire su base sociale (es. attivisti tra di loro non collegati che si scambiano informazioni e suggerimenti su un blog) con scarso interesse personale per l’obiettivo specifico, risorse limitate e livello di abilità minimo;
effettuare una vera e propria gara che si concretizza in un attacco di breve durata, magari solo per il brivido o prestigio di vedere chi per primo riesce a violare un obiettivo specifico, che si conclude quando i partecipanti hanno raggiunto tale obiettivo; per questo tipo di attività è richiesto un livello di abilità medio;
agire in un gruppo formalmente organizzato con un leader, tipicamente motivato da un obiettivo specifico e organizzato attorno a tale obiettivo; il gruppo persiste a lungo termine e in genere opera all’interno di un’unica area geografica e richiede un livello di abilità medio;
essere dotate di un’organizzazione più ampia e delle risorse migliori; di solito opera in più aree geografiche e persiste a lungo termine; è richiesto un elevato livello di abilità.
Esempi.

Quanto è probabile che entriate in contatto con una minaccia piuttosto che un’altra? Dipende da quanto siete appetibili. Se siete un’utente normale, probabilmente entrerete in contatto con minacce generiche, ovvero, quelle poste al gradino più basso della scala appena descritta. Si tratta di cybercriminali che agiscono individualmente con l’obiettivo di sottrarvi informazioni che possono monetizzare rivendendole sul dark web per ottenere in cambio bitcoin. Questo tipo di minacce agisce in modo indiscriminato, solitamente attraverso messaggi di posta elettronica inviati a mailing list anch’esse acquistate sul dark web, insomma, “pesca a strascico”.

Se, invece, fate parte di un profilo più interessante perché gestite dati pregiati o siete depositari di segreti, allora avete una probabilità più elevata di entrare in contatto con profili di minacce più pericolose in grado di concentrare la propria attenzione solo su di voi. In questo caso si tratta di cybercrimine organizzato che ha grande disponibilità di risorse e di skill.

Quindi, una cosa è certa, anche se noi proviamo a capire le minacce cercandolo di profilarle, anche le minacce ci profilano e in questo godono di un vantaggio dato dall’asimmetria della situazione. Chi deve proteggersi deve considerare tutte le possibili minacce che sono coperte da anonimato e dunque sconosciute; se una minaccia è interessata a noi, si dedica esclusivamente a noi e di noi sa tutto (o quasi).

Dark web. Contenuti del web nelle darknet (reti oscure) che possono essere raggiunti esclusivamente con software specifici.

Deep web. Porzione di Internet che non viene indicizzata dai tradizionali motori di ricerca.

Profilare. La profilazione criminale è un insieme di tecniche psicologiche volte a identificare l’autore di un reato sulla base della natura del reato stesso e delle sue modalità di esecuzione; le tecniche di profilazione criminale aiutano gli investigatori ad analizzare le prove della scena del crimine, le vittime e le dichiarazioni dei testimoni con lo scopo di sviluppare una descrizione del delinquente. La profilazione digitale, invece, indica il processo di costruzione e applicazione di profili generati da tecnologie informatiche tramite l’uso di algoritmi e altre formule matematiche che permettono di rivelare una serie di correlazioni per una grande quantità di dati.

indispensabile capire bene è quali sono i vettori di attacco più comunemente utilizzati dalle minacce. Bisogna fare attenzione, perché è molto semplice fare confusione tra il concetto di vettore di attacco ed il concetto di tecnica di attacco utilizzata tramite un vettore. Un malware è una tecnica d’attacco che può essere attuata mediante un vettore che nella maggior parte dei casi è una e-mail di phishing, anche se in qualche caso famoso (attacco alla centrale nucleare di Natanz-Iran effettuato tramite il virus Stuxnet nei primi mesi del 2010), gli attaccanti sono riusciti a penetrare in sistemi “chiusi” lasciando in giro una chiavetta USB contenente un malware. In quel caso, il vettore d’attacco era la chiavetta USB. Un’app malevola è un vettore di attacco, mentre il social engineering è una tecnica raffinata che può aiutare ad aumentare la probabilità di successo di un attacco veicolato, ad esempio, tramite phishing. Una botnet è un vettore d’attacco mentre il tentativo di sfruttare una vulnerabilità nota tramite una serie di operazioni (exploit) è una tecnica di attacco.

Immagine

Giusto per avere un ordine di grandezza del fenomeno, il global e-mail spam rate (www.statista.com 2020) a fine 2018 si è attestato al 55% in discesa dal 69% del 2012. Tra queste si annidano le e-mail di phishing che sono il principale veicolo di trasporto del malware, ovvero, del software che i cybercriminali utilizzano per raggiungere tutti gli obiettivi descritti nel secondo articolo.

È molto importante capire che non esistono programmi in grado di filtrare completamente le e-mail di phishing ma che siamo noi a dover fare una parte del lavoro ponendo la giusta attenzione nel riconoscerle. E quindi, anche a costo di essere ripetitivo e di stancarvi oltre il lecito, i suggerimenti più importanti che bisogna tenere bene a mente sono:

Non aprite mai le e-mail provenienti da mittenti sconosciuti o sospetti;
Se anche avete aperto un’e-mail sospetta, non aprite mai gli allegati e non cliccate mai sui link contenuti nel corpo dell’e-mail;
Attenzione ai link che vi vengono proposti sui social network; cliccate solo se siete sicuri del profilo che ha postato il link e, comunque, state attenti;
Dotate il vostro personal computer di un software antivirus che deve essere costantemente aggiornato;
Attenzione alle e-mail che riguardano i temi di attualità: pandemia, raccolta fondi, avvisi urgenti, app dedicate al fatto del momento sono veicoli perfetti per la diffusione di malware;
Sul vostro smartphone, non cliccate mai su link che vi inducono a scaricare APP da store non ufficiali (e state attenti anche con quelli ufficiali);
Ove previsto dal servizio che state utilizzando (es. webmail, social, e-commerce), attivate l’autenticazione a due fattori basata sul vostro numero di telefono cellulare;
Aggiornate costantemente la versione del sistema operativo del vostro PC e del vostro smartphone e tutte le applicazioni o APP che utilizzate più di frequente;
Non rispondete mai alle e-mail di spam;
Non fidatevi mai delle e-mail che propongono sconti eccezionali o che promettono qualcosa in regalo;
Non fidatevi … punto!
Antivirus. Software che serve a prevenire, rilevare e/o rendere inoffensivi codici dannosi: i virus.

Phishing. È una frode informatica finalizzata all’acquisizione, con l’inganno, di dati riservati del cliente (ad esempio username e password) attraverso l’invio di e-mail contraffatte che presentano grafica e loghi ufficiali di aziende ed istituzioni conosciute (es. banche).

Spear-phishing. Phishing condotto contro utenti specifici mediante l’invio di e-mail formulate con il fine di carpire informazioni sensibili dal destinatario ovvero di indurlo ad aprire allegati o link malevoli.

Spoofing. Camuffarsi, mascherarsi allo scopo di assumere le sembianze di qualcun altro falsificando l’indirizzo sorgente di una comunicazione. Ad esempio, è possibile fare spoofing di un indirizzo di e-mail impostando il nome utente (quello che in prima battuta viene visualizzato nella e-mail) con un nome conosciuto dal destinatario, mentre il reale indirizzo ne rivela la provenienza sconosciuta e inaffidabile. Si usa il termine spoofing (in questo caso IP spoofing o address spoofing) quando si crea un pacchetto IP nel quale viene falsificato l’indirizzo IP del mittente.

Social engineering. Arte di manipolare psicologicamente le persone affinché compiano determinate azioni o rivelino informazioni confidenziali, come le credenziali di accesso a sistemi informatici.

Spammer: colui che invia e-mail di spam.

Post. È un messaggio che può contenere testo, immagini, video, link a siti web o ad altri post pubblicato su un social netwok.

App malevole. Si tratta di App – a volte anche scaricabili dagli store ufficiali, che contengono delle funzionalità malevole.

DDoS. Un attacco combinato eseguito da numerose macchine, pensato per portare al collasso siti web o server, la maggior parte delle volte è realizzato utilizzando le botnet.

IOT (Internet Of Things). Termine riferito alla capacità di oggetti appartenenti al mondo dell’elettronica industriale o di consumo di connettersi alla rete Internet. I campi di impiego sono molteplici: dai processi produttivi in ambito industriale, alla logistica, all’infomobilità, all’efficienza energetica, all’assistenza remota, alla tutela ambientale e alla domotica.

Tra i vettori di attacco, un ragionamento a parte meritano le botnet.

Botnet. Una rete di computer utilizzata per effettuare attacchi da remoto, formata da computer infetti gestiti a distanza da un centro di comando e controllo, spesso appartenenti a persone inconsapevoli. Tali macchine infettate nel gergo vengono chiamate zombie.

Sostanzialmente, i computer zombie – quelli arruolati nelle botnet – sono inconsapevoli teste di ponte utilizzate dai cybercriminali per raggiungere i propri obiettivi (sempre quelli descritti nel secondo articolo). Ad esempio, le botnet vengono molto spesso utilizzate per inviare e-mail contenenti spam ma anche per veicolare messaggi di phishing, temi su cui sappiamo ormai tutto incluso come difenderci.

Le botnet, però, possono essere utilizzate anche per realizzare attacchi più sofisticati diretti verso le grandi aziende o le grandi infrastrutture nazionali come, ad esempio, per realizzare attacchi di Distributed Denial of Service (DDoS) sia volumetrici che applicativi (questi temi li approfondiremo più avanti).

Una botnet può essere composta sia da computer (server o client) che da device di altro tipo (es. IOT) come nel caso della famosa botnet MIRAI.

Immagine

Ora, una botnet può essere pilotata dal suo centro di comando e controllo sostanzialmente secondo due strategie, ovvero, utilizzare la “potenza” della botnet (che è direttamente proporzionale alla sua dimensione) per:

tentare di sfruttare una singola vulnerabilità sul maggior numero possibile di computer connessi ad Internet (vedi figura di sinistra);
far convergere lo stesso attacco (es. DDoS) su di un singolo computer di una singola vittima (vedi figura di destra).

Immagine

Nel primo caso non c’è una vittima predefinita, nel secondo caso la vittima è individuata e studiata prima di lanciare l’attacco.

Un PC zombie è un vettore di attacco ma, prima di diventare tale, è stato esso stesso vittima di un attacco avente come obiettivo il suo arruolamento nella botnet e la sua trasformazione in zombie. I motivi per cui un cybercriminale spende tempo e risorse per costruire una botnet, sono due:

creare uno strumento utile a realizzare attacchi;
rivendere questa capacità ad altri cybercriminali traendone un guadagno.
Negli ultimi anni è sorto un fiorente commercio di questo tipo con strumenti che si sono via via raffinati fino ad arrivare alla nascita di veri e propri sistemi in cloud noti come “Botnet as a Service” (BaaS). Ne esistono di tutti i tipi con due caratteristiche che li accomunano: estrema economicità e completo anonimato. Insomma, un vero e proprio supermercato di “armi digitali”.

Immagine
Rispondi