Cybersecurity in prospettiva: i trend e le previsioni per il 2015

Diceva Winston Churchill, col suo inimitabile humour britannico, che fare previsioni è sempre scabroso, soprattutto quando riguardano il futuro. Se infatti è facile commentare a posteriori fatti già accaduti dicendo “io ve l’avevo detto”, ben più difficile è invece riuscire ad anticipare fenomeni e tendenze prima che realmente si realizzino.

Ogni tanto però è necessario sbilanciarsi e azzardare qualche previsione. Ed il modo migliore per farlo, l’unico ragionevolmente affidabile, è quello di cercare di comprendere i fenomeni correnti e le loro dinamiche evolutive, per poi estrapolare le linee di tendenza evidenziate dall’analisi.

Il momento tradizionalmente più indicato per analizzare e proiettare nel futuro i grandi trend è quello compreso tra la fine di un anno e l’inizio di un altro, ed il mondo cyber non fa eccezione. Così, nelle scorse settimane, molti operatori del settore si sono sbilanciati in analisi e previsioni pubblicando in studi e rapporti quelle che saranno, secondo la visione dei propri analisti, le tendenze e le evoluzioni dei fenomeni legati alle attività illecite, illegali o criminali nel cyberspace. È dunque opportuno dare uno sguardo a tali previsioni, per tentare di capire quali saranno i rischi e le minacce che probabilmente ci attenderanno nel prossimo futuro. Innanzitutto va notato che la maggior parte degli analisti è sostanzialmente concorde sia nell’identificazione delle principali macro-classi di problemi che nell’individuazione dei loro possibili sviluppi. D’altronde gli avvenimenti registrati durante l’ultimo anno costituiscono certamente una solida base per questo tipo di analisi.

“SMART” DEVICE E IOT

Al primo posto nelle preoccupazioni degli addetti ai lavori si trovano gli oggetti “smart” che sempre più stanno entrando a far parte della nostra vita, contribuendo pian piano a creare la cosiddetta “Internet of Things”: in primo luogo vi sono ovviamente gli smartphone, che sono una realtà consolidata da tempo, ma è in forte crescita la diffusione delle Smart TV sempre connesse ad Internet, dei dispositivi indossabili per il fitness (smart watch), di fotocamere e telecamere di sorveglianza remota, degli autoveicoli con strumentazione “intelligente” e addirittura di taluni elettrodomestici (frigoriferi, forni a microonde) e sistemi di domotica (antifurti, automatismi, sistemi di controllo della temperatura e ventilazione, …) in grado di connettersi ed interagire in rete. Per non parlare dei dispositivi industriali quali i contatori intelligenti ed i sistemi SCADA, oppure dei sistemi di telemedicina ed e-Health.

Il rischio sta nel fatto che questi dispositivi sono dei computer a tutti gli effetti, estremamente potenti e sempre connessi in rete, ma al contrario dei computer veri e propri non vengono percepiti dagli utenti (né progettati dai produttori…) come tali, e quindi non dispongono nativamente neppure delle più basilari funzioni di sicurezza che oramai costituiscono il livello minimo irrinunciabile di protezione nelle normali applicazioni ICT.

Secondo molti analisti entro il 2019 ci saranno nel mondo oltre cinquanta miliardi di dispositivi connessi ad Internet, e oltretutto la maggior parte di essi tratterà dati personali appetibili per le organizzazioni criminali. Ma una recente ricerca di HP evidenza come già oggi sei device “smart” su dieci espongono a livello di interfaccia utente una o più vulnerabilità sfruttabili, sette su dieci non usano crittografia per proteggere le proprie comunicazioni, otto su dieci non impediscono all’utente di adottare password deboli, e ben nove su dieci raccolgono informazioni personali del proprietario.

In particolare è opinione diffusa tra gli analisti che i dispositivi a rischio più immediato siano tutti quei sistemi di uso comune ed apparentemente stupidi, ma in realtà dotati di capacità autonoma di calcolo e connessione in rete, quali Bancomat e POS, distributori di benzina, totem (di parcheggi o altro) e via dicendo. Tutti sono già stati oggetto di “attenzione” sporadica nel corso dell’anno passato, ma sono candidati a diventare i destinatari di attacchi sistematici in un futuro molto prossimo.

DISPOSITIVI MOBILI

Strettamente connesso a questo tema è quello dei dispositivi mobili utente, ossia tablet e smartphone, i quali costituiscono tuttavia un fenomeno a parte per via delle loro particolari caratteristiche d’impiego.

Essendo oramai divenuti oggetti di uso comune, essi hanno da tempo conquistato l’attenzione dei malintenzionati e soprattutto della criminalità organizzata, che giustamente li vede come il miglio punto d’attacco verso le proprie vittime. Non per nulla la diffusione di malware specifico per sistemi mobili è cresciuto del 112% nel corso dell’ultimo anno, tanto da giustificare la creazione di un’offerta di mercato costituita da antivirus specifici.

Ma se al momento gli attacchi si limitano al furto di dati personali o di credenziali, quando in un prossimo futuro i dispositivi mobili verranno usati come mezzi di pagamento (mediante la tecnologia Near-Field Communication) saranno a rischio le transazioni e soprattutto i dati delle carte di credito o dei conti d’appoggio. Gli attacchi inoltre saranno facilitati dalla crescente diffusione di kit specifici per la creazione di malware per sistemi mobili, che già sono disponibili adesso e sicuramente in futuro diventeranno ancora più sofisticati ed efficaci.

SPIONAGGIO

Un fenomeno in crescita stabile ma costante è quello del cyberspionaggio aziendale, che si prevede aumenterà sia in termini di estensione che di frequenza degli incidenti. È interessante analizzare le fonti di tale attività: secondo una recente ricerca di Verizon, solo l’1% dei casi censiti sinora è attribuibile ad aziende concorrenti e un altro 1% ad ex-impiegati, ed appena l’11% è riferibile a criminalità organizzata, mentre ben l’87% è riconducibile ad attività di Stati e governi.

Gli analisti prevedono anche un cambio di paradigma in questo tipo di attività: i player consolidati tenderanno a spostarsi dagli attacchi opportunistici per divenire raccoglitori sistematici di informazioni, mentre i nuovi arrivati cercheranno soprattutto modi per sottrarre denaro e danneggiare i propri avversari.

RANSOMWARE

Il fenomeno del ransomware, ossia del malware che cifra i dati della vittima e richiede il pagamento di un riscatto per sbloccarli, è cresciuto in maniera esplosiva nel corso del 2014 e si prevede che si diffonderà ancora di più nel 2015. Sono infatti già state identificate molteplici varianti del famigerato Cryptolocker, le quali vengono impiegate in campagne di diffusione massiccia adottando tecniche di phishing sempre più perfezionate. La rapida proliferazione delle varianti rende oltretutto inefficace la protezione primaria fornita dagli antivirus, perché ogni variante viene generata “ad hoc” per ciascuna campagna offensiva.

Da un recente studio di Symantec risulta che solo il 5% delle vittime paghi effettivamente il riscatto, ma la sensazione degli analisti è che la percentuale sia estremamente maggiore: molto probabilmente i reali dati di diffusione non emergono perché le aziende, specie se grandi ed importanti, non hanno intenzione di rivelare al pubblico di essere rimaste vittima di una minaccia così subdola e devastante. Peraltro pagare sembra essere l’unica strada realmente percorribile dalle vittime, dato che non esiste alcun metodo alternativo realmente affidabile per rimettere i dati in chiaro una volta che siano stati cifrati dal malware attaccante.

Ma le cose potrebbero andare anche peggio di così: uno studio di McAfee prevede infatti che gli autori di ransomware potrebbero presto estendere i loro attacchi ai dispositivi mobili ma soprattutto al cloud, in modo da rendere inutilizzabili anche i backup ed impedire quindi alla vittima persino il ripristino da remoto dei dati cifrati sul suo computer locale.

VULNERABILITÀ NASCOSTE

Due ultime considerazioni di ordine generale per concludere questa breve panoramica. La prima riguarda la sempre maggiore frequenza con cui, in tempi recenti, si scoprono vulnerabilità presenti da anni in sistemi di grandissima diffusione, quali ad esempio il famigerato Shellshock. Si tratta di un problema enorme in quanto tali vulnerabilità sono spesso difficili o addirittura impossibili da correggere, essendo comunemente impiegate all’interno di sistemi embedded in uso nei settori più disparati, dal controllo industriale agli apparati di rete.

La seconda è il progressivo cambio di paradigma relativamente alla scelta delle vittime. Le grandi aziende saranno sempre meno oggetto di attacchi diretti all’infrastruttura, mentre gli attacchi saranno sempre più spesso rivolti ai loro punti veramente deboli ossia le persone: si cercherà quindi di compromettere i sistemi o account personali di dipendenti o dirigenti per usarli come “cavalli di troia” verso l’interno dell’organizzazione cui appartengono.

Tutti i più clamorosi casi di intrusione e di furto massivo di dati aziendali del 2014 sono avvenuti in questo modo, e la tendenza non sembra affatto destinata ad invertirsi nel 2015.

A cura di Corrado Giustozzi, Membro del Permanent Stakeholders’ Group di ENISA ed esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale per la realizzazione del CERT-PA.

Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2015

Condividi sui Social Network:

Articoli simili