Un anno in retrospettiva: le minacce cyber del 2015
In qualsiasi disciplina o attività, le prime settimane di ogni nuovo anno sono il momento migliore per fermarsi un attimo a fare il punto della situazione e tirare le somme su ciò che è successo nei precedenti dodici mesi. Valutare lo stato delle cose a mente fredda e ad intervalli prefissati aiuta infatti a rendersi meglio conto dei trend di lungo respiro, e quindi anche a farsi un’idea di cosa succederà nel prossimo futuro e di come ci si potrebbe preparare a ciò che verrà. La cybersecurity non fa eccezione, ed infatti sono molti i vendor e i ricercatori che al cambio d’anno ci propongono, ciascuno dal proprio personale punto di vista, le loro considerazioni sui fenomeni rilevanti che hanno caratterizzato l’anno appena terminato; e magari anche le proprie anticipazioni su ciò che si aspettano da quello appena iniziato, alla luce delle tendenze analizzate. Fra tutti i rapporti del genere spicca da oramai quattro anni quello pubblicato da ENISA, l’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione, sul cosiddetto “panorama delle minacce”. Stante infatti la particolare posizione “super partes” e strategica dell’agenzia che traguarda tutto il mondo con particolare riguardo all’Unione Europea e riceve dati di prima mano da alcuni specifici settori di mercato in tutti gli Stati membri, questo lavoro offre una visione estremamente ampia ed accurata dei fenomeni legati al mondo del rischio cyber, identificando e catalogando le minacce più rilevanti, le vulnerabilità da esse sfruttate e le modalità con cui esse vengono impiegate dalla criminalità e dalle altre forze che “giocano contro”.
Il rapporto ETL 2015
Il rapporto “ENISA Threat Landscape 2015”, pubblicato a fine gennaio, è il quarto di quella che è oramai diventata una serie tradizionale. Come di consueto si focalizza sugli eventi cyber più significativi occorsi nei dodici mesi precedenti, categorizzandoli per tipologia di minaccia. Ciascuna minaccia viene inoltre valutata secondo la sua rilevanza e soprattutto la sua diffusione, dando così origine ad una sorta di “hit parade” delle 15 principali minacce che vede ai primi posti della classifica quelle maggiormente diffuse o che hanno causato i maggiori danni. Ciascuna delle “top threats” risultanti viene inoltre confrontata con la sua posizione nel rapporto precedente, in modo da tracciarne anche l’andamento tendenziale e tentare di prevederne la possibile evoluzione. In Figura 1 vediamo la tabella riassuntiva del rapporto di quest’anno, che riporta il raffronto tra le posizioni attuali e quelle dell’anno scorso. Per ciascuna delle minacce presentate viene indicato il trend di crescita relativo all’anno considerato, mentre l’indicatore nell’ultima colonna rappresenta l’eventuale spostamento della minaccia all’interno della classifica, rispetto quella dell’anno precedente. Si vede a colpo d’occhio che le cinque minacce più rilevanti sono rimaste sostanzialmente invariate fra 2014 e 2015, mentre al sesto e settimo posto si sono insidiate minacce che in precedenza erano state classificate più in basso nella lista. Oltre all’analisi dettagliate delle “top threats” il rapporto fornisce ulteriori interessanti considerazioni metodologiche, ad esempio proponendo nonché adottando una tassonomia per la classificazione dei rischi sviluppata ad hoc come armonizzazione di quanto già esistente in letteratura. Infine vengono illustrate le “lesson learned”, ossia cosa abbiamo imparato dagli incidenti occorsi, e prodotte raccomandazioni indirizzate ai decisori in ambito politico, aziendale e della ricerca. In questo articolo riportiamo una rapida overview delle principali minacce poste da Enisa ai vertici della classifica, rimandando alla lettura del report originale[1] tutti coloro che fossero interessati ad approfondire gli ulteriori numerosi approfondimenti che vi si trovano.
Malware
Come già accennato, nel 2015 il malware si è confermato al primo posto tra le minacce cyber, così come già era successo l’anno precedente. Particolarmente rilevante la presenza di malware specifico per dspositivi mobili (smartphone e tablet), cresciuto di oltre il 50% rispetto al 2014. Fra gli aspetti interessanti che il report evidenzia va menzionato il ritorno di tecniche di infezione risalenti a vent’anni fa e date per scomparse, quali documenti Office che, mediante macro (in Visual Basic), scaricano il malware sul PC dell’utente e lo installano. Due importanti casi di questa tecnica “vintage” sono Duku 2 e Equation Group. Un’altra caratteristice interessante rilevata da ENISA è lo spostamento del vettore di diffusione dall’attachment di email alla URL malevola, conseguente all’aumento di infezioni veicolate tramite profili o messaggi sui social network. Interessante infine sottolineare come la Russia da sola ospiti la metà dei siti di risorse di malware online del mondo, con gli USA al secondo posto ma ben distaccati (12%) e tre Paesi europei a seguire (Olanda, Germania e Francia).
Web based attacks
Gli attacchi web-based sono quelli che sfruttano il Web, sia lato server che lato client, come mezzo per rilevare vulnerabilità ed installare malware. Essi comprendono ad esempio tecniche come URL malevole, pagine Web compromesse, exploit sul browser eccetera. Una novità del 2015 è stato l’uso di plugin specializzati, che vengono installati nei browser da pacchetti software indesiderati, e sono utilizzati per inviare spam o mostrare pubblicità non richieste e non eliminabili. Al fine di sfuggire il rilevamento questi plugin usano casualmente circa 400 nomi e 500 domini. In generale nel corso del 2015 sono state identificate da vari CERT circa 58.000 nuove URL malevole al giorno, ossia oltre venti milioni nell’anno, il che rende particolarmente oneroso il loro blocco mediante strumenti convenzionali (blacklist), che sono tuttavia praticamente l’unica forma di contrasto disponibile.
Web application attacks
Sì, i “soliti” vecchi cross-site scripting e SQL injection, che apparentemente erano diminuiti nel 2014, sono tornati più vispi di prima La stessa vulnerabilità Shellshock, apparsa e ben studiata nel 2014, è ritornata prepotentemente alla ribalta risultando responsabile da sola di oltre il 40% degli attacchi alle web application.
Botnets
Le botnet rimangono un fenomeno estremamente rilevante, anche se le loro modalità di azione sta cambiando. Ad esempio, in seguito del famoso takedown dela rete Gameover Zeus, ne è stata rilevata una nuova versione che non sfrutta più i protocolli P2P, un cui bug era stato sfruttato dalle forze di polizia proprio per smantellare la rete precedente. È anche in atto un riposizionamento dei centri di comando e controllo (C&C) da server fisici infettati con malware a server virtuali, più facili da gestire dinamicamente e meno esposti a rischi per il botmaster. Sono inoltre state osservate le prime botnet formate da dispositivi IP, l’inizio di quella che si teme sarà il maggior problema della prossima Internet of Things. Globalmente nel corso del 2015 sono stati identificati dai 600 ai 1.000 C&C, ciascuno dei quali responsabile di alcune centinaia di migliaia di macchine zombie. L’utilizzo tipico è stato il noleggio delle reti per attività di Cybercrime-As-A-Service, in particolare per sferrare attacchi di Denial of Service massivo (DDoS) a tariffe di mercato variabili fra i 20 e i 40 dollari l’ora. Una rete in particolare, denominata Nidol, si è resa da sola responsabile del 60% di tutti gli attacchi applicativi del 2015.
Denial of service
Gli attacchi di tipo Denial od Service hanno visto nel 2015 un consistente incremento sia in termini di qualità che in termini di quantità rispetto all’anno precedente. In particolare il numero complessivo degli attacchi è aumentato del 130%, quello degli attacchi a livello applicativo del 120%, quello degli attacchi a livello di infrastruttura del 130%, quello degli attacchi con volume superiore ai 100 gbps del 100%. È inoltre stata registrata la tendenza ad abbandonare i tradizionali sistemi usati per gli attacchi, tipicamente macchine server di elevata potenza, in favore di dispositivi economici, meno potenti ma più diffusi quali i router casalinghi, sfruttando attacchi basati sul protocollo UPnP. Nel corsso del 2015 sono anche aumentati i casi di attacchi DDoS usati come fonte di lucro per la criminalità, mediante un meccanismo che vede dapprima lanciare un attacco massiccio contro la vittima e successivamente chiedere il pagamento di un riscatto per farlo cessare.
Considerazioni su altre minacce
Per quanto riguarda le rimanenti posizioni della top 15, non potendo commentarle tutte una ad una è interessante notare almeno le categorie in ascesa: phisical damage/ theft/loss (danno, furto o perdita fisica), insider threat (minaccia interna), identity theft (furto d’identità) e ransomware (malware che cifra i dati e chiede il riscatto per decifrarli). Il furto fisico di apparati, per quanto banale, rimane una delle più importanti cause di perdita (e quindi spesso di diffusione) di dati riservati. La maggior parte degli episodi (55%) avviene sul luogo di lavoro, ma oltre il 22% riguarda o coinvolge materiale presente a bordo di autoveicoli. In generale il furto di dispositivi è il danno più probabile per un’azienda o organizzazione, prima ancora dell’intrusione o del Denial of Service! La minaccia dall’interno, sia deliberata che non intenzionale, è un grande classico che non passa mai di moda: circa un terzo di tutti gli incidenti può essere ricondotto ad attività di questo tipo. Tuttavia un sondaggio ha mostrato che il 75% delle aziende interessate ha preferito risolvere l’incidente direttamente senza denunciarlo alla polizia. Il furto d’identità è un caso particolare di furto d’informazioni che riguarda dati relativi all’identità personale, i quali possono avere un valore immediato sul mercato criminale. Gli episodi registrati nel 2015 hanno riguardato soprattutto dati sanitari, che da soli hanno costituito circa un terzo dei casi totali. Il ransomware è sicuramente il fenomeno che più ha caratterizzato il 2015: in effetti il numero di episodi registrati è più che raddoppiato rispetto all’anno precedente, raggiungendo il suo attuale massimo storico, mentre il numero di nuovi tipi o varianti è più che quaduplicato.
Conclusioni
Gli analisti di ENISA notano a margine che nel 2015 non ci sono stati eventi eclatanti sul fronte cyber, come lo furono ad esempio le rivelazioni Snowden l’anno passato. Questa apparente tranquillità ha permesso ai cattivi di sviluppare con maggior cura e calma i propri strumenti di attacco, migliorandoli in qualità ed efficienza e di fatto aumentando silenziosamente ma sistematicamente il loro livello di minaccia. D’altro canto l’analisi degli incidenti mostra che nella grande maggioranza dei casi non vi erano neppure le più basilari misure di protezione, o quelle che c’erano non hanno funzionato come ci si attendeva. Il problema della prevenzione ruota attorno alla preparazione ed alla consapevolezza degli utenti e delle organizzazioni, e sarebbe utile definire una baseline comune di misure minime di sicurezza per ottenere almeno un livello di base uguale per tutti.
Note
- Il rapporto è liberamente scaricabile da: https://www.enisa.europa.eu/publications/etl2015/at_download/fullReport
A cura di Corrado Giustozzi, Membro del Permanent Stakeholders’ Group di ENISA ed esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale per lo sviluppo del CERT-PA
Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2016
