SPECIALE SICUREZZA: Conoscenza del problema e regole di comportamento

firewallSicurezza

Cresce il numero dei virus che da oggetti subdoli della intranet aziendale oggi attaccano i dati aziendali sfruttando le connessioni Internet. Un fenomeno in piena espansione che negli ultimi mesi ha fatto capolino anche nella telefonia cellulare. Ci può difendere? Alcuni consigli per approcciare correttamente il problema

I primi sei mesi del 2006 sono stati caratterizzati da due importanti avvenimenti: si è ?celebrato? il ventennale della scoperta di Brain, il primo virus per Pc, e il numero di malware per telefoni cellulari ha superato la quota 200. Sono 185.000 i virus a oggi noti e il numero è in continua crescita. Quasi tutto il nuovo malware viene sviluppato con questo obiettivo: centinaia di Pc vengono così trasformati in bot (abbreviazione per ?robot?) risvegliabili a distanza all’occorrenza e usati per distribuire spam o e-mail per attacchi phishing o per sottrarre informazioni personali e finanziarie. Una minaccia in crescita è rappresentata dai rootkit, per fronteggiare i quali fin dal marzo 2005 F-Secure ha presentato la tecnologia Blacklight. Il 2006 si è aperto con i danni causati dalla vulnerabilità del Windows Graphics Rendering e della gestione delle immagini Windows Metafiles (Wmf), scoperta alla fine del 2005. In pochi giorni, è stato scoperto un gran numero di file maligni in grado di sfruttare l’exploit, mentre il patch tardava ad arrivare. Un altro worm e-mail ha fatto la sua comparsa il 17 del mese, diffondendosi subito in modo molto aggressivo: Nyxem.E (e noto anche con i soprannomi MyWife, Blackworm e Blackmal). I paesi più colpiti sono stati India, Perù, Turchia e Italia. Il 2006 ha anche segnato la fine del mito dei Macintosh virusfree. A distruggerlo, la comparsa a febbraio di Leap.A, il primo virus per Mac OSX. Il malware è stato originariamente postato sul forum MacRumors. Il virus, che si diffonde via iChat e infettando file locali, è stato immediatamente seguito da altri ?compari? indirizzati alla piattaforma Mac. Tra questi, un virus sperimentale denominato Osx/Inqtana.A, che usa una vulnerabilità della funzionalità Bluetooth Obex Push per diffondersi da computer a computer. È della fine di febbraio la comparsa del primo malware Java o J2ME: il trojan Redbrowser, che tenta di sottrarre denaro presentandosi come un modo per utilizzare gratis i servizi WAP. A marzo di quest’anno è apparso anche il primo spyware mobile, Flexispy, un’applicazione commerciale pubblicizzata come strumento per controllare le attività online del partner. A marzo, il numero di malware mobile individuato ha raggiunto quota 200. F-Secure, per monitorare il phishing, ha condotto una semplice ricerca dei più noti nomi di banche e altre istituzioni che movimentano denaro associati ai domini com/net/org/us/ biz/info scoprendo che essi sono tutti molto ben rappresentati sul web. Naturalmente alcuni di essi sono i domini reali delle istituzioni legittime, ma la maggior parte è creata ad hoc per sottrarre denaro a chi ci casca. Una questione diversa dai virus, ma sempre connessa con il cybercrimine, è quella dei moderni ladri d’auto, che per impadronirsi delle auto di nuova generazione non usano più piedi di porco o altri aggeggi di scasso: ora quel che serve è un notebook. Se la vostra nuova, costosa auto usa un sistema di accensione senza chiave con autenti- cazione basata su crittografia a 40-bit, potrebbero bastare 60 secondi perché si volatilizzi. A fine maggio, si è discusso di una nuova vulnerabilità che sarebbe stata scoperta in Word. Secondo alcune fonti, una società americana sarebbe stata destinataria di e-mail provenienti dall’esterno ma falsificate in modo da apparire come e-mail di dipendenti. Queste e-mail avevano un allegato Word. E veniamo all’episodio più recente, legato ai mondiali di calcio in corso in Germania. Un nuovo worm denominato Banwarum (noto anche come Zasran e Ranchneg) che usa e-mail a tema potrebbe causare sgradevoli sorprese ai tifosi di calcio.

PRIMA REGOLA: CONOSCERE IL NEMICO

Le minacce alla sicurezza delle informazioni che le organizzazioni si trovano oggi ad affrontare sono più insidiose e mirate, mosse da motivazioni di ordine economico e guidate dal crimine organizzato. Scordatevi quindi gli storici e pittoreschi hacker adolescenti e pensate piuttosto che ora si tratta di affrontare criminali incalliti dediti al crimine elettronico perché hanno scoperto che rende di più ed è meno rischioso di altre forme di delinquenza. Il loro obiettivo sono le informazioni riservate che si possano rivendere o utilizzare per perpetrare frodi o estorsioni. Questa nuova tendenza è già stata messa in rilievo da diverse fonti autorevoli, quali il Sans Institute (Usa) o la Polizia Postale italiana. I mezzi usati per questi attacchi (globalmente definibili come crimeware) sono i più diversi e in particolare possiamo riassumerli come segue: ? Spyware ? Phishing ? Pharming ? Bot networks ? Keylogging ? P2P ? IM ? VoIP ? Minacce miste Un altro trend preoccupante è quello degli attacchi ai web server, che creano siti web corrotti che lanciano attacchi a chi li visita sfruttando le vulnerabilità dei browser. Particolarmente vulnerabili risultano i siti sviluppati usando Php, il linguaggio di programmazione web più diffuso. Secondo il rapporto di Ssns Institute sulle 20 principali vulnerabilità, nel 2005 non è trascorsa una settimana senza che venisse registrato un problema in qualche software creato con Php. Infine, un’ultima tendenza che giorno dopo giorno si sta affermando è quella degli attacchi alle applicazioni. Di questo passo, in futuro non saranno solo i sistemi operativi ad aver bisogno di patch, ma anche le applicazioni.

LE CARTE D’IDENTITÀ DELLE MINACCE

Spyware: Uno dei problemi con lo spyware è che le infezioni sono difficili da individuare. Uno dei sintomi più comuni, tuttavia, è che i computer cominciano a comportarsi in modo strano. Sono più lenti o più instabili, perché spyware, Trojan e altri fastidiosi programmi consumano risorse quali Cpu, memoria e banda. Attenzione quindi ai bruschi cambiamenti di comportamento del vostro computer: potrebbero essere un segno che lo spyware si sta dando da fare sulla vostra macchina. Phishing: Il phishing usa siti web fasulli, e-mail spam e altre tecniche basate su codice maligno per spingere le persone a divulgare le proprie informazioni personali confidenziali. Il phishing usa la tecnica definita del ?social engineering’, ovvero fa leva sulla psicologia degli individui per ottenere informazioni su un’organizzazione o i suoi sistemi informatici. In un attacco di phishing condotto con le tecniche del social engineering, i phisher di solito inviano ondate di e-mail spam contenenti un messaggio che finge di provenire da un’organizzazione autorevole: per esempio una banca o una multinazionale con un marchio molto noto. Il messaggio sembra credibile perché sia la mail sia il sito cui punta il link in essa contenuto appaiono estremamente simili al look del marchio contraffatto. Pharming: Il pharming è un tipo di attacco che reindirizza verso siti fraudolenti gli utenti che tentano di connettersi a un sito autentico. L’utente ignaro digita l’indirizzo del sito, spesso archiviato tra i preferiti, a quello che sembra un sito di banking online familiare ed è indirizzato su un sito fraudolento. La maggior parte degli exploit usati per il pharming usa wildcard Dns e Url encoding per creare link e-mail che sembrano portare a siti autentici. Invece indirizzano su siti fasulli, dove i phisher provano a sottrarre informazioni confidenziali su account online o numeri di carta di credito. Bot: I ?bot’, insieme di computer trasformati in ?robot’ da virus Trojan, stanno diventando un problema sempre più serio. Un Pc con software ?bot’ installato, magari mediante un sito maligno o un Trojan horse, è chiamato ?zombie’. Questi zombie sono controllati da remoto dai cybercriminali. Una volta installato su un Pc, il software bot tipicamente si collega a Internet Relay Chat (Irc) per ricevere i comandi. Gli attacchi DDoS sono lo scopo più comune per il quale sono create le botnet, che sono schierate per un attacco coordinato di massa sferrato attraverso migliaia di bot controllati ai danni di siti web mediante saturazione della capacità di banda e l’impossibilità quindi di rispondere alle connessioni legittime. Le botnet sono anche affittate dai loro ?proprietari’ a chi desidera usarle per rilanciare attacchi phishing o distribuire spam. Zero Day: Molte delle attività illegali e degli attacchi informatici si avvantaggiano delle debolezze nel codice dei sistemi operativi e delle applicazioni più note. Tra queste vulnerabilità, vi sono i cosiddetti attacchi ?zero-day’, ovvero quelli che sfruttano una vulnerabilità il giorno stesso in cui è resa nota. Creando un exploit in grado di sfruttare una vulnerabilità della quale il produttore del programma non è ancora a conoscenza e dunque per la quale non è disponibile alcuna patch, il cybercriminale può provocare il massimo dei danni.

LE CONTROMISURE

Le minacce informatiche sono ormai così complesse, sofisticate e articolate che la presenza di un firewall e un antivirus non sono più sufficienti a proteggere efficacemente il sistema informativo aziendale. Ecco quindi una check list di base, suggerita dall’esperienza di Websense, per proteggere la vostra organizzazione dal crimine online. ? Policy per la sicurezza scritte con procedure chiare per controllo dei rischi e adeguamento delle policy continui. ? Policy scritte ben definite e accettate per l’uso degli asset IT e della rete. ? Guida alla sicurezza IT e procedure definite per la formazione dei nuovi assunti e dello staff esistente. ? Firewall di rete installato. ? Soluzione antivirus. ? Procedure di autenticazione forte, che comprendano la biometria o altri metodi di autenticazione a due fattori. ? Efficaci procedure interne di gestione delle patch per garantire che siano installate sui computer il più rapidamente possibile. ? Penetration test eseguiti regolarmente per una continua verifica dei rischi. ? Soluzione di intrusion detection e prevention (Ids/Ips). ? Soluzione che consenta di attuare una policy d’uso accettabile per l’accesso a internet da parte dei lavoratori interni e remoti. ? Soluzione anti-spyware in grado non solo di identificare e bloccare lo spyware ma anche la comunicazione backchannel per prevenire danni derivanti da spyware installato. ? Soluzione per il blocco delle applicazioni per prevenire l’installazione ed esecuzione di quelle non autorizzate. ? Procedure robuste per la verifica e il controllo della conformità alle policy dei computer remoti al momento della riconnessione alla rete aziendale per evitare che la infettino. ? Tool per gestire l’accesso a strumenti che presentano rischi potenziali di furto di dati, come ad esempio drive Usb e lettori Cd/Dvd. ? Software e processi interni per la gestione delle password, in particolare per i lavoratori temporanei (talvolta utilizzati per lo spionaggio industriale). ? Formazione per creare nel personale consapevolezza dell’esistenza delle tecniche di social engineering utilizzate per il phishing e altri attacchi.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore