Anni fa il tipico scenario di hacking coinvolgeva un attaccante solitario e forse alcuni amici che lavoravano a tarda notte su Mountain Dew, alla ricerca di indirizzi IP rivolti al pubblico. Quando ne trovavano uno, enumeravano i servizi pubblicitari (Web server, SQL server e così via), entravano usando una moltitudine di vulnerabilità, poi esploravano l’azienda compromessa a loro piacimento. Spesso il loro intento era esplorativo. Se facevano qualcosa di illegale, era tipicamente un crimine impulsivo di opportunità.
Mio, come sono cambiati i tempi.
Quando si descrive un tipico scenario di hacking, al giorno d’oggi si deve iniziare ben prima dell’hack o addirittura dell’hacker, con l’organizzazione dietro l’attacco. Oggi, l’hacking è tutto un crimine, tutto il tempo, completo di mercati di offerte per il malware, sindacati del crimine, botnet a noleggio, attori statali e guerra informatica impazzita.
Ecco le nove maggiori minacce che i professionisti della sicurezza IT di oggi devono affrontare.
- Minaccia n. 1: Sindacati del crimine informatico
- Minaccia n. 2: Piccole truffe – e i muli di denaro e i riciclatori che le sostengono
- Minaccia n. 3: Hacktivists
- Minaccia n. 4: Furto di proprietà intellettuale e spionaggio aziendale
- Minaccia n. 5: Mercenari del malware
- Minaccia n. 6: Botnet come servizio
- Minaccia n. 7: malware all-in-one
- Minaccia n. 8: Il web sempre più compromesso
- Minaccia n. 9: Guerra cibernetica
- Crimine e nessuna punizione
Minaccia n. 1: Sindacati del crimine informatico
Anche se la mente criminale solitaria esiste ancora, in questi giorni la maggior parte degli attacchi di hacking dannosi sono il risultato di gruppi organizzati, molti dei quali sono professionisti. I gruppi tradizionali del crimine organizzato che gestivano la droga, il gioco d’azzardo, la persecuzione e l’estorsione hanno gettato i loro cappelli sul ring della raccolta di denaro online, ma la concorrenza è feroce, guidata non dai mafiosi ma da diversi gruppi molto grandi di criminali professionisti che mirano specificamente al crimine informatico.
Molti dei sindacati del crimine informatico di maggior successo sono aziende che guidano grandi gruppi conglomerati affiliati, molto sulla falsariga delle gerarchie di marketing distribuito legale. In effetti, il criminale informatico di oggi ha probabilmente più cose in comune con un rappresentante Avon o Mary Kay di quanto entrambi vogliano ammettere.
Gruppi piccoli, con pochi membri, ancora hackerano, ma sempre di più, i professionisti della sicurezza IT si trovano di fronte a grandi società dedicate al comportamento disonesto. Pensate agli impiegati a tempo pieno, ai dipartimenti delle risorse umane, ai team di gestione dei progetti e ai team leader. Ed è tutto criminale, niente più messaggi divertenti stampati sullo schermo o altre buffonate adolescenziali. La maggior parte opera alla luce del sole, e alcuni – come il Russian Business Network – hanno persino le loro voci su Wikipedia. Ti fa desiderare il passato, vero?
La specializzazione e la divisione del lavoro sono il cuore di queste organizzazioni. Un’unica mente, o una cerchia ristretta, dirigerà il collettivo. Sergenti e sottodivisioni saranno specializzati in diverse aree, con un braccio dedicato alla creazione di malware, un altro dedicato al marketing, un altro che imposta e mantiene il canale di distribuzione, e un altro ancora incaricato di creare botnet e affittarli ad altri malfattori (vedi sotto).
Non c’è da stupirsi che le pratiche di sicurezza IT popolari non funzionino contro il malware di oggi, dato che il crimine informatico si è evoluto in un’industria multilivello, orientata ai servizi, con il chiaro obiettivo di derubare le aziende e le persone del loro denaro e della proprietà intellettuale.
Minaccia n. 2: Piccole truffe – e i muli di denaro e i riciclatori che le sostengono
Non tutte le organizzazioni criminali informatiche sono sindacati o società. Alcune sono semplicemente di natura imprenditoriale, piccole imprese che inseguono una cosa: il denaro.
Queste operazioni maligne a conduzione familiare possono rubare identità e password, o possono causare nefasti reindirizzamenti per ottenerli. Alla fine, vogliono soldi. Avviano transazioni fraudolente con carte di credito o bancarie e convertono i loro guadagni illeciti in valuta locale usando i muli di denaro, la distribuzione elettronica di contanti, l’e-banking, o qualche altro tipo di riciclaggio di denaro.
Non è difficile trovare i riciclatori di denaro. Ci sono decine o centinaia di entità che competono per essere quella che si prende una grossa percentuale del bottino procurato illegalmente. In effetti, sareste sorpresi dalla natura competitiva e pubblica di tutte le altre persone che implorano di fare affari di supporto con i criminali di Internet. Pubblicizzano “senza domande”, hosting “a prova di proiettile” in paesi lontani dalla portata di citazioni legali, e offrono bacheche pubbliche, offerte speciali di software, supporto telefonico 24/7, forum di offerte, referenze di clienti soddisfatti, capacità di evitare anti-malware, e tutta la manutenzione che aiuta gli altri ad essere migliori criminali online. Un buon numero di questi gruppi fa decine di milioni di dollari ogni anno.
Molti di questi gruppi e le persone dietro di essi sono stati identificati (e arrestati) negli ultimi anni. I loro profili sui social media mostrano persone felici con grandi case, auto costose e famiglie contente che fanno vacanze all’estero. Se sono minimamente colpevoli di aver rubato soldi agli altri, non si vede.
Immaginate i barbeque di quartiere in cui raccontano ai vicini e agli amici che gestiscono un “business di Internet marketing” — il tutto mentre fanno social engineering per ottenere milioni, con la costernazione dei professionisti della sicurezza IT che hanno fatto praticamente tutto il possibile per proteggere gli utenti da loro stessi.
Minaccia n. 3: Hacktivists
Dove il vantarsi degli exploit non era raro nei primi tempi, il cyber criminale di oggi cerca di volare sotto il radar — con l’eccezione delle crescenti legioni di hacktivisti.
I professionisti della sicurezza informatica devono fare i conti con un numero crescente di confederazioni di individui dedicati all’attivismo politico, come il famigerato gruppo Anonymous. Gli hacker motivati politicamente esistono da quando l’hacking è nato. Il grande cambiamento è che la maggior parte di esso viene fatto alla luce del sole, e la società lo sta riconoscendo come una forma accettata di attivismo politico.
I gruppi di hacking politico spesso comunicano, in modo anonimo o meno, in forum aperti annunciando i loro obiettivi e strumenti di hacking in anticipo. Raccolgono più membri, portano le loro rimostranze ai media per raccogliere il sostegno pubblico, e si stupiscono se vengono arrestati per le loro azioni illegali. Il loro intento è quello di mettere in imbarazzo e portare l’attenzione negativa dei media sulla vittima il più possibile, sia che questo includa l’hacking delle informazioni dei clienti, commettendo attacchi DDoS (Distributed Denial of Service), o semplicemente causando alla società vittima ulteriori problemi.
L’hacktivismo politico è più spesso intento a causare dolore monetario alla sua vittima nel tentativo di cambiare il comportamento della stessa. Gli individui possono essere un danno collaterale in questa lotta, e indipendentemente dal fatto che si creda o meno nella causa politica dell’hacktivista, l’intento e la metodologia rimangono criminali.
Minaccia n. 4: Furto di proprietà intellettuale e spionaggio aziendale
La maggior parte dei professionisti della sicurezza IT devono affrontare il grande gruppo di hacker malintenzionati che rubano la proprietà intellettuale dalle aziende o eseguono direttamente lo spionaggio aziendale. Il loro metodo consiste nell’introdursi nelle risorse IT di un’azienda, scaricare tutte le password e, col tempo, rubare gigabyte di informazioni riservate: brevetti, idee di nuovi prodotti, segreti militari, informazioni finanziarie, piani aziendali e così via. Passano informazioni preziose ai loro clienti per un guadagno finanziario, e rimangono nascosti all’interno della rete dell’azienda compromessa il più a lungo possibile.
Per raccogliere le loro ricompense, origliano le e-mail importanti, fanno irruzione nei database e ottengono l’accesso a così tante informazioni che molti hanno iniziato a sviluppare i propri motori di ricerca maligni e strumenti di interrogazione per separare il foraggio dalla proprietà intellettuale più interessante.
Questo tipo di attaccante è noto come minaccia persistente avanzata (APT) o avversario umano determinato (DHA). Poche grandi aziende non sono state compromesse con successo da queste campagne.
Minaccia n. 5: Mercenari del malware
Non importa quale sia l’intento o il gruppo dietro il crimine informatico, qualcuno deve creare il malware. In passato, un singolo programmatore creava il malware per uso personale, o forse per venderlo. Oggi, ci sono squadre e aziende dedicate esclusivamente a scrivere malware per aggirare le difese di sicurezza specifiche, attaccare clienti specifici e realizzare obiettivi specifici. Sono venduti sul mercato aperto nei forum di offerte.
Spesso il malware è multifase e composto da più componenti. Un programma stub più piccolo è incaricato dello sfruttamento iniziale del computer della vittima, e una volta posizionato in modo sicuro per assicurarsi che viva attraverso un riavvio, contatta un server web “mothership” per ulteriori istruzioni. Spesso il programma stub iniziale invia query DNS alla ricerca della nave madre, spesso un computer compromesso che funge temporaneamente da nave madre. Queste query DNS sono inviate a server DNS che sono altrettanto probabili essere computer vittime innocentemente infettati. I server DNS si spostano da un computer all’altro, proprio come fanno i server web della nave madre.
Una volta contattati, il server DNS e il server della nave madre spesso reindirizzano il client stub iniziante ad altri server DNS e della nave madre. In questo modo, lo stub client è diretto più e più volte (spesso più di una dozzina di volte) a nuovi computer sfruttati, finché alla fine il programma stub riceve le sue istruzioni finali e il programma dannoso più permanente viene installato. Questa configurazione rende molto difficile per i professionisti della sicurezza IT difendersi dalla loro merce.
Minaccia n. 6: Botnet come servizio
Le botnet non sono più solo per i loro creatori. Avendo più che probabilmente comprato il programma malware che crea il bot, i proprietari di oggi useranno la botnet per se stessi o la affitteranno ad altri a ore o con un’altra metrica.
La metodologia è familiare. Ogni versione del programma malware tenta di sfruttare fino a decine di migliaia di computer nel tentativo di creare una singola botnet che opererà secondo gli ordini del creatore. Ogni bot nella botnet alla fine si connette di nuovo al suo server di comando e controllo (C&C) per ottenere le sue ultime istruzioni. Queste istruzioni spesso includono il lancio di un programma ransomware. Le botnet sono state trovate con centinaia di migliaia di computer infetti.
Ora che ci sono così tante botnet attive (decine di milioni di computer infetti ogni giorno), il noleggio di botnet è abbastanza economico, il che significa ancora più problemi per i professionisti della sicurezza IT.
I combattenti del malware spesso tentano di abbattere i server C&C o di prenderne il controllo in modo da poter istruire i bot che si collegano a disinfettare i loro computer host e morire.
Minaccia n. 7: malware all-in-one
I programmi malware sofisticati spesso offrono funzionalità all-in-one. Non solo infettano l’utente finale, ma entrano anche nei siti web e li modificano per infettare altre vittime. Questi programmi malware all-in-one spesso sono dotati di console di gestione in modo che i loro proprietari e creatori possano tenere traccia di ciò che la botnet sta facendo, chi stanno infettando e quali hanno più successo.
La maggior parte dei programmi maligni sono cavalli di Troia. I virus e i worm hanno smesso da tempo di essere i tipi più popolari di malware. Nella maggior parte dei casi, l’utente finale viene indotto con l’inganno a eseguire un cavallo di Troia che viene pubblicizzato come una necessaria scansione antivirus, uno strumento di deframmentazione del disco o qualche altra utilità apparentemente essenziale o innocua. Le normali difese dell’utente sono ingannate perché la maggior parte delle volte la pagina web che offre l’eseguibile canaglia è un sito affidabile che hanno visitato molte volte. I cattivi hanno semplicemente compromesso il sito, usando una serie di trucchi, e inserito alcune linee di JavaScript che reindirizzano i browser degli utenti al programma del cavallo di Troia.
Minaccia n. 8: Il web sempre più compromesso
Al livello più elementare, un sito web è semplicemente un computer, proprio come una normale stazione di lavoro dell’utente finale. A loro volta, i webmaster sono utenti finali come tutti gli altri. Non è sorprendente scoprire che il Web legittimo è disseminato di link di reindirizzamento JavaScript dannosi.
Non è interamente una questione di computer dei webmaster sfruttati che sta portando all’aumento dei compromessi dei server web. Più spesso, gli aggressori trovano una debolezza o una vulnerabilità in un sito web che permette loro di bypassare l’autenticazione dell’amministratore e scrivere script dannosi.
Le vulnerabilità comuni dei siti web includono password scadenti, vulnerabilità di cross-site scripting, SQL injection, software vulnerabile e permessi insicuri. La lista Top 10 dell’Open Web Application Security Project è l’autorità su come la maggior parte dei server web vengono compromessi.
Molte volte non è il server web o il suo software applicativo ma qualche link o pubblicità che viene violato. È comune che i banner pubblicitari, che sono spesso posizionati e ruotati da agenzie pubblicitarie generiche, finiscano per essere infettati. Diamine, i malware a volte comprano spazi pubblicitari su server web popolari.
Perché molti dei malfattori si presentano come uomini d’affari di società legittime, completi di sede aziendale, biglietti da visita e conti spese, non è sempre così facile separare le fonti pubblicitarie legittime dai cattivi, che spesso iniziano a pubblicizzare un prodotto legittimo solo per cambiare il link nell’annuncio con un prodotto canaglia dopo che la campagna pubblicitaria è in corso. Uno degli exploit più interessanti coinvolgeva gli hacker che compromettevano un sindacato di cartoni animati in modo che ogni giornale che ripubblicava i cartoni colpiti finiva per spingere il malware. Non ci si può più fidare nemmeno di un cartone animato.
Un altro problema con i siti web violati è che i computer che ospitano un sito possono spesso ospitare più siti, a volte in numero di centinaia o migliaia. Un sito web violato può portare rapidamente a migliaia di altri.
Non importa come il sito sia stato violato, l’utente innocente, che potrebbe aver visitato questo particolare sito web per anni senza problemi, un giorno viene invitato a installare un programma inaspettato. Anche se sono sorpresi, il fatto che la richiesta proviene da un sito web che conoscono e di cui si fidano è sufficiente per fargli eseguire il programma. Dopo di che, il gioco è finito. Il computer dell’utente finale (o il dispositivo mobile) è ancora un altro ingranaggio nella grande botnet di qualcuno.
Minaccia n. 9: Guerra cibernetica
I programmi di guerra cibernetica degli stati-nazione sono di una classe a sé e non sono qualcosa con cui la maggior parte dei professionisti della sicurezza informatica si scontra nella loro routine quotidiana. Queste operazioni segrete creano complessi programmi professionali di guerra cibernetica intenti a monitorare gli avversari o a mettere fuori uso le funzionalità di un avversario, ma come dimostrano Stuxnet e Duqu, le conseguenze di questi metodi possono avere conseguenze per più che i soli obiettivi previsti. Ora abbiamo persino stati-nazione, come la Corea del Nord, che abbattono e sfruttano una società Fortune 500 perché non gli è piaciuto un particolare film.
Crimine e nessuna punizione
Alcune vittime non si riprendono mai dallo sfruttamento. Il loro record di credito è sfregiato per sempre da una transazione fraudolenta di un hacker, il malware usa la lista della rubrica della vittima per inoltrare se stesso ad amici e familiari, le vittime del furto di proprietà intellettuale spendono decine di milioni di dollari in riparazioni e prevenzione.
La parte peggiore è che quasi nessuno di coloro che usano i suddetti attacchi maligni viene perseguito con successo. I criminali professionisti su Internet vivono alla grande perché Internet non è bravo a produrre prove perseguibili in tribunale. Anche se potesse, i sospetti vivono al di fuori della giurisprudenza del tribunale della vittima. La maggior parte dell’hacking è anonima per default, e le tracce si perdono e si coprono in millisecondi. In questo momento, viviamo nei giorni del “selvaggio, selvaggio west” di internet. Con la maturazione, i paradisi criminali si prosciugheranno. Fino ad allora, i professionisti della sicurezza IT hanno il loro lavoro da fare.