Kaspersky Lab: Le nuove armi del cybercrimine fanno paura

Nov 15, 2016 Giancarlo Calzetta Approfondimenti, In evidenza, RSS, Scenario, Tecnologia, Vulnerabilità 0

Abbiamo fatto due chiacchiere con Sergey Novikov, deputy director del GREAT, su come sta cambiando il panorama delle minacce informatiche e lo scenario è tutt’altro che rassicurante.

Quando si parla con gli esperti di sicurezza delle aziende impegnate in questo campo, viene sempre il sospetto che esagerino un po’, magari per portare acqua al loro mulino.

In Kaspersky, poi, sono sempre tutti “morte e distruzione”, impegnati a dipingere scenari apocalittici nel quale non c’è scampo per l’umanità davanti all’ineffabile destino che i cybercriminali hanno in serbo per noi.

Purtroppo, finora quelli di Kaspersky c’hanno visto giusto, prevedendo gran parte della tipologia di bersagli che sono stati finora attaccati, dalle centrali nucleari fino ai bancomat.

Certo, non è difficile fare previsioni se si conosce l’attuale stato delle cose: la sicurezza informatica è ancora un’utopia per la stragrande maggioranza delle aziende, quindi puntando al peggio non si rischia di mancare eventi importanti.

Parlando con Sergey, però, appare evidente che le previsioni sono comunque basate su di una vasta conoscenza del settore e basta una domanda per “accenderlo” e lanciarlo in un quasi monologo da 40 minuti.

La domanda, semplice, è stata “Qual è la situazione attuale delle minacce e cosa ti preoccupa di più nel futuro prossimo”?

Non gli ho chiesto se sia mai stato un professore, ma come ogni insegnante che deve rispondere a un quesito un po’ vasto, esordisce con “Per capire dove siamo adesso, bisogna guardare dove eravamo un paio d’anni fa”.

La storia parte quindi da svariati anni fa, quando il panorama delle minacce si divideva praticamente in tre fasce principali.

Nella prima, diciamo la più bassa ed estesa, si trovava un sacco di “spazzatura”: trojan per zombificare i client, virus con scopi di probing, spam e scam di bassa lega, esperimenti di ingegneria sociale, spyware, adware, scamware, i primi goffi ransomware tipo il “virus della polizia postale” e così via.

Nella seconda fascia, si trovavano le minacce indirizzate a un mercato “medio”: spam più raffinato, trojan con scopi finanziari o specializzati nella ricerca di documenti potenzialmente interessanti, tool per attacchi mirati e intrusioni “generaliste”, ransomware più raffinati che crittografavano i file, tool per sfruttare le vulnerabilità più diffuse.

Nella terza fascia, la punta della piramide, si trovavano tutte le minacce all’avanguardia: dai tool per gli attacchi mirati persistenti ai sistemi di command and control delle botnet, passando per vulnerabilità zero-day e sistemi di spionaggio avanzati.

Oggi, dice Sergey, la situazione sta evolvendo in maniera sempre più preoccupante. La fascia di mezzo è quasi scomparsa, perché gli strumenti di fascia alta, una volta riservati a gruppi altamente specializzati, adesso sono a disposizione di chiunque e questo crea situazioni paradossali in cui un criminale improvvisato può mettere sotto scacco istituzioni dai grandi mezzi.

Un esempio lampante è stata l’operazione Carbanak, scoperta due anni fa: una infiltrazione profonda in un gran numero di istituti bancari portata a termine da criminali “comuni” e le cose vanno peggiorando.

L’arrivo del “Cybercrime as a service” ha spalancato le porte del DDoS, del ransomware di qualità e degli attacchi mirati a chiunque abbia la capacità di muoversi nel deep web (e a volte non serve neanche arrivare nel deep) e procurarsi gli strumenti necessari.

Dai nuovi attacchi DDoS ai ransomware: il panorama si evolve rapidamente e interpretarlo è sempre più difficile.

Il colpo finale l’ha dato la pubblicazione del codice sorgente di Mirai: una botnet di circa un milione di IoT è attualmente al servizio di chiunque abbia la voglia di compilare il codice ed eseguirlo. Seppure servano un minimo di competenze, c’è da aspettarsi una esplosione di attacchi portati a termine con questa cyber-arma potentissima e a disposizione di tutti.

Intendiamoci, Sergey ha specificato per bene che la fascia bassa non è sparita, anzi… è viva, vegeta e più attiva che mai, ma è quella alta che adesso preoccupa un po’ tutti, perché è pura utopia sperare che le aziende medio piccole riescano a mettere in piedi difese efficaci contro quel tipo di minacce.

Un ruolo importante in questo senso lo giocheranno i rivenditori informatici, quelle aziende che forniscono a piccole e medie imprese il servizio di gestione della rete e assistenza.

Sono l’unico baluardo per chi non ha un dipartimento interno dedicato alla sicurezza e bisognerà farli crescere per portare fino alle postazioni finali le tecnologie più efficaci al momento.

Ma anche se questo dovesse accadere, Sergey non vede un futuro roseo: “La prossima frontiera dei cybercriminali” – ci dice – “è quella di attaccare direttamente le connessioni. Puoi proteggere i dati interni dell’azienda finché vuoi, ma se poi il canale sul quale circolano viene compromesso, la situazione si complica parecchio”.

Sergey non ha una previsione esatta per quando la connessione diventerà uno dei temi caldi della sicurezza informatica, ma dice che accadrà: “Abbiamo visto con TOR quanto sia fattibile attaccare e penetrare anche sistemi ritenuti molto sicuri, figuriamoci cosa può accadere con le connessioni private e aziendali, dove l’errore nell’implementazione delle tecnologie di crittografia è sempre in agguato o dove le vulnerabilità si scoprono sempre più spesso”.

Insomma, anche stavolta ci alziamo dal tavolo con una buona dose di preoccupazioni e scenari apocalittici a tenerci compagnia, con la triste sensazione che anche stavolta Kaspersky ci abbia fornito un panorama piuttosto fedele alla realtà. La strada per battere il cybercrimine è ancora molto lunga, ma combatterlo è assolutamente necessario in quanto lì fuori ci sono diversi eserciti pronti a colpire.

Condividi l'articolo