Juan Andrés Guerrero-Saade, GReAT
Juan Andrés Guerrero-Saade, GReAT
Introduzione
Tenuto conto che l'anno sta ormai volgendo al termine, riteniamo opportuno fare il punto su come si sta evolvendo l’industria della sicurezza IT e, al tempo stesso, pubblicare le nostre previsioni per gli anni a venire. Durante una rara occasione di incontro tra esperti esperti di livello mondiale Anti-Malware e il GReAT Team di Kaspersky Lab, abbiamo raccolto un po’ di idee in proposito e ho avuto il privilegio di selezionare alcune delle tematiche maggiormente degne di nota e più plausibili, riguardo a ciò che prevediamo possa avvenire, nella sfera della sicurezza informatica, sia nel corso del prossimo anno che nel futuro a lungo termine. Le prospettive che si delineano in un settore come il nostro, in costante e rapida evoluzione, inducono a stimolanti riflessioni e continueranno a presentarci di sicuro sfide di notevole interesse. Adottando una “metrica” decisamente misurata, possiamo forse tralasciare le solite eterrificanti visioni, più che altro legate al mondo alla fantascienza, per inoltrarci sul più sicuro cammino che ci conduce verso previsioni puntuali ed accurate, sia a breve che a lungo termine.
Gli Attori APT Scendono per Strada
L’elevata redditività delle pratiche di cyber-spionaggio non è di certo sfuggita all’attenzione dei nostri avversari; così come ci attendevamo, i cyber-mercenari hanno iniziato a popolare la scena. Questa specifica tendenza è solo destinata a consolidarsi per soddisfare la crescente domanda di “cyber-potenzialità” espressa sia da parte di varie aziende, sia da parte di noti attori APT; si prevede, in effetti, che questi ultimi possano ricorrere in misura sempre maggiore all’outsourcing, per ciò che riguarda i task di minore criticità, allo scopo di non mettere a repentaglio gli strumenti e le infrastrutture di cui essi sono dotati. Potremmo a tal proposito suggerire il termine ‘APT-as-a-Service’ (APT come servizio); tuttavia, in maniera forse ancor più interessante, possiamo attenderci un’evoluzione degli attacchi mirati verso una sorta di ‘Access-as-a-Service’ (accesso come servizio). Quest'ultimo comporta la vera e propria vendita dell’accesso a target di alto profilo già caduti vittima dei cosiddetti mercenari.
Guardando al futuro del cyber-spionaggio, intravediamo vari membri di gruppi APT ormai ben consolidati (le APT più in evidenza, quelle maggiormente attive) uscire potenzialmente dall’ombra nella quale abitualmente si celano. Questo potrebbe accadere in uno dei due modi seguenti: nell’ambito del settore privato, con il proliferare di episodi di ‘hacking back’, oppure attraverso la condivisione delle idee e delle intuizioni di tali individui con la vasta comunità dell’Information Security, magari attraverso la partecipazione degli stessi alle numerose conferenze di settore, allo scopo di presentare anche l'altra faccia della medaglia. Nel frattempo, è lecito attendersi che la complessa Torre di Babele delle APT possa arricchirsi di ulteriori lingue.
Niente più APT
Prima che iniziate a festeggiare, dobbiamo subito precisare che ci riferiamo esclusivamente agli elementi 'Avanzati' e 'Persistenti'; si tratta di caratteristiche che gli attori APT potrebbero mettere volentieri da parte, in favore di una maggiore “furtività” nel quadro delle attività condotte. Ci attendiamo quindi di assistere ad una diminuzione del livello di enfasi per ciò che riguarda la persistenza di tali minacce, mentre i gruppi in questione dovrebbero focalizzarsi in misura sempre maggiore sull’utilizzo di malware residenti in memoria o fileless. L’idea che sta alla base di tale approccio è quella di ridurre al massimo le tracce lasciate all’interno del sistema infetto e quindi cercare di evitare il rilevamento da parte delle soluzioni antivirus. Un’ulteriore tipologia di approccio consisterà nel ridurre progressivamente l’importanza attribuita al malware di natura avanzata. È pertanto lecito attendersi il fenomeno della crescente riconversione del cosiddetto malware “off-the-shelf“ (in pratica il malware “di serie”, subito disponibile per l’uso), anziché ulteriori investimenti, da parte dei gruppi APT, in sofisticati bootkit, rootkit e software nocivi personalizzati, i quali vengono poi neutralizzati dai team di ricercatori che operano nel campo della sicurezza IT. Questo non significa soltanto che la piattaforma malware non sarà in tal modo “bruciata” nel momento stesso in cui essa viene scoperta; vi sono in effetti ulteriori vantaggi, derivanti dal fatto che un simile approccio permette all’attore APT, e alle intenzioni da esso coltivate, di potersi nascondere meglio tra l’ampia ed anonima folla di utenti che, ad esempio, fa un uso ordinario degli strumenti di amministrazione remota (RAT, Remote Administration Tool) disponibili in commercio. Con il progressivo svanire dell’importanza attribuita alle “cyber-potenzialità”, sarà soprattutto il concetto di “ritorno sugli investimenti” a governare i processi decisionali adottati dagli attacker sponsorizzati da stati-nazioni; e, ovviamente, non esiste cosa migliore di un basso investimento iniziale per cercare di massimizzare il ritorno sugli investimenti.
Continua l'incubo del Ransomware
Ci attendiamo di vedere il crescente successo del Ransomware esteso a nuove frontiere. Il ransomware presenta due vantaggi fondamentali rispetto alle cyber-minacce bancarie di stampo tradizionale: la possibilità di “monetizzazione” diretta, ed un costo relativamente contenuto per ogni vittima colpita. Tali circostanze determinano una significativa diminuzione del grado di interesse nei confronti di terze parti ben dotate di risorse, quali, ad esempio, gli istituti bancari; al tempo stesso, nel caso del ransomware, risultano in numero sensibilmente inferiore le segnalazioni effettuate dalle vittime alle forze dell’ordine competenti. Prevediamo quindi, da parte nostra, che il ransomware possa guadagnare progressivamente terreno rispetto ai “classici” trojan bancari; ci aspettiamo, inoltre, una transizione dello stesso verso altre piattaforme. Di fatto, sono stati già osservati alcuni deboli tentativi di trasferimento del ransomware sia sulle piattaforme mobile (Simplelocker), sia su Linux (Linux.Encode.1); ad ogni caso, la piattaforma target più “appetibile” sembra essere rappresentata da OS X. Ci attendiamo, quindi, che il ransomware “passi il Rubicone” non solo per colpire i Mac, ma anche per poter poi praticare appositi “prezzi da Mac”. Segnaliamo inoltre come, nel lungo periodo, possa manifestarsi il rischio di veder comparire temibili ransomware appositamente dedicati ai dispositivi IoT (Internet delle Cose); potrebbero quindi sorgere inattese domande, quali, ad esempio: “Quanto siete disposti a pagare per poter accedere nuovamente alla vostra programmazione TV? E al vostro frigorifero? E alla vostra autovettura?”.
Scommettere contro la borsa valori: i crimini finanziari di alto livello
La "fusione" tra cybercrimine e minacce APT ha notevolmente incoraggiato l’attività dei criminali orientati alla sfera finanziaria, i quali sono “elegantemente” passati dagli attacchi condotti esclusivamente nei confronti degli utenti finali al prendere di mira le istituzioni finanziarie stesse. Lungo tutto l’arco dello scorso anno abbiamo assistito ad una lunga serie di attacchi rivolti ai sistemi point-of-sale (POS) e agli apparecchi bancomat, per non parlare dell’audace e colossale cyber-rapina compiuta dal gruppo APT Carbanak, che ha permesso ai criminali informatici di realizzare il furto di centinaia di milioni di dollari. Ci attendiamo, nella stessa ottica, che i cybercriminali dirigano ugualmente le loro losche attenzioni verso alcune novità, rappresentate, ad esempio, dai sistemi di pagamento alternativi (Apple Pay e Android Pay), la cui crescente diffusione potrebbe offrire ai malintenzionati un nuovo strumento di monetizzazione immediata. Un altro inevitabile punto di interesse è poi costituito dalle borse valori, un vero e proprio filone aurifero. Sebbene gli attacchi frontali possano generare rapidamente significativi profitti, non dobbiamo affatto trascurare la possibilità che vengano utilizzati mezzi di interferenza decisamente più “sottili”, quali, ad esempio, il dare la caccia agli algoritmi black-box utilizzati nell’ambito del trading ad alta frequenza, per assicurare guadagni estesi nel tempo, peraltro con minori probabilità di essere scoperti.
Attacchi nei confronti dei vendor di sicurezza IT
Visto il progressivo aumento del numero di attacchi portati nei confronti dei vendor di sicurezza IT, prevediamo il possibile utilizzo, da parte dei malfattori, di un interessante vettore, destinato a compromettere strumenti di reverse-engineering che rappresentano ormai uno standard nel settore, quali IDA e Hiew, oppure strumenti di debugging come OllyDbg e WinDbg, così come tool di virtualizzazione quali VirtualBox e la suite VMware. CVE-2014-8485, una vulnerabilità individuata nell'implementazione Linux a livello di “stringhe”, costituisce un significativo esempio del vulnerabile panorama relativo ai complessi strumenti utilizzati per le ricerche condotte nel campo della sicurezza informatica; attacker particolarmente determinati potrebbero in effetti scegliere di sfruttare tale vulnerabilità nel momento in cui intendessero prendere di mira gli stessi ricercatori. In maniera analoga, la condivisione di strumenti di ricerca freeware, attraverso repository di codice quali GitHub, rappresenta un’area di fatto “matura” per eventuali attacchi del genere, in quanto gli utenti, il più delle volte, prelevano i codici, e li eseguono sui loro sistemi, senza nemmeno dare un’occhiata agli stessi. Forse dovremmo anche gettare uno sguardo, con un certo sospetto, verso alcune implementazioni PGP largamente diffuse, accolte con entusiasmo dalla community degli esperti di sicurezza IT.
Sabotaggio, estorsione e pubblico discredito
Come testimoniano la diffusione non autorizzata di nudi di personaggi celebri, gli eclatanti episodi di hacking che hanno recentemente coinvolto Sony e Ashley Madison e l’ingente fuga di dati subita dalla società Hacking Team, si è registrato, in questi ultimi tempi, un innegabile aumento dei casi di DOXing, pubblico discredito ed estorsione. Hacktivisti, criminali ed attacker sponsorizzati a livello di stati nazionali hanno abbracciato, allo stesso modo, la pratica relativa alla diffusione strategica di foto private, informazioni, elenchi di clienti e codici, allo scopo di gettare discredito sui propri target. Mentre alcuni di questi attacchi risultano strategicamente mirati, altri sono invece riconducibili a semplici episodi di opportunismo, in cui, per simulare una particolare abilità di hacking, vengono sfruttate determinate circostanze e situazioni, sempre caratterizzate da uno scarso livello di cyber-sicurezza. Purtroppo, possiamo solo aspettarci che, nell’immediato futuro, questa pratica continui a crescere in maniera esponenziale.
Di chi fidarsi davvero?
Forse, nell’era attuale di Internet, il bene più raro è rappresentato proprio dalla fiducia. La violazione di risorse attendibili renderà ancora più marcata tale penuria. Gli attaccanti continueranno ad appropriarsi, per scopi malevoli, di librerie open source e di risorse inserite in whitelist. Prevediamo ugualmente che possa essere compromessa un’ulteriore forma di fiducia, ovvero quella relativa alle risorse interne di una società; gli astuti attacker, nel cercare di espandere le posizioni inizialmente acquisite all’interno del network infettato dal malware, potrebbero in effetti prendere di mira risorse che si limitano all’ambito dell’intranet aziendale, praticando, ad esempio, attività di “waterholing” relativamente a Sharepoint, file server, o portali ADP. Assisteremo, forse, ad un’ulteriore estensione dell’utilizzo improprio, già dilagante, dei certificati attendibili, in caso di allestimento, da parte degli aggressori, di un’autorità di certificazione del tutto fasulla, preposta al rilascio di appositi certificati per il malware di volta in volta utilizzato.
Il Futuro di Internet
La stessa infrastruttura della rete Internet ha mostrato evidenti crepe e ripetuti segnali di tensione, nel corso di questi ultimi anni. Le crescenti preoccupazioni riguardo alle estese botnet formate da router, l’hijacking e il dampening del protocollo BGP, i massicci attacchi DNS, o gli assalti DDoS alimentati attraverso i server, testimoniano una chiara mancanza di affidabilità e di efficaci attività di controllo su scala globale. In una prospettiva di previsioni a lungo termine, possiamo anche immaginarci il futuro aspetto di Internet, qualora la felice immagine del villaggio globalmente connesso continui, purtroppo, a sbiadire. Potremmo in effetti ritrovarci con un’Internet completamente balcanizzata, divisa da frontiere nazionali. A quel punto, le ansie e le preoccupazioni relative ad una precaria accessibilità alla Rete potrebbero essere ulteriormente alimentate da eventuali attacchi nei confronti dei nodi di servizio che forniscono l’accesso alle diverse sezioni, o magari da forti tensioni a livello geopolitico che prendessero di mira gli stessi cablaggi che collegano ampi settori della rete Internet. Forse assisteremo persino alla nascita di un mercato nero della connettività. Allo stesso modo, possiamo attenderci che le tecnologie preposte a governare il lato oscuro di Internet continuino a guadagnare terreno e attenzioni, risultando sempre più diffuse; è in effetti probabile che gli sviluppatori coinvolti nei mercati, nelle borse e nei forum “ombra” si adoperino per creare tecnologie ancora migliori, per far sì che il mondo dell’underground digitale rimanga davvero “underground”.
Il Futuro dei trasporti
Visto che, attualmente, vengono dedicati cospicui investimenti ed elevate potenzialità di ricerca allo sviluppo di veicoli autonomi sia per l’uso personale che per la distribuzione commerciale, assisteremo alla nascita di sistemi distribuiti in grado di gestire le rotte percorse e il traffico generato da un considerevole numero di veicoli del genere. Nella circostanza, eventuali attacchi informatici potrebbero essere focalizzati non sugli stessi sistemi di distribuzione, bensì, forse, sull'intercettazione e sullo spoofing dei protocolli su cui essi si basano (un “proof of concept” delle vulnerabilità relative al sistema Satcom Globalstar, largamente adottato, è stato presentato da un ricercatore di Synack nel corso della conferenza Black Hat tenutasi all’inizio dello scorso mese di agosto a Las Vegas, negli Stati Uniti). Le intenzioni che, presumibilmente, si possono celare dietro attacchi informatici del genere riguardano sia il possibile furto di merci di elevato valore, sia eventuali danneggiamenti a livello cinetico, che potrebbero persino causare la perdita di vite umane.
La Crypto-Apocalisse è vicina
Infine, non possiamo certo sopravvalutare il ruolo svolto dagli attuali standard crittografici nel mantenere il valore funzionale di Internet in qualità di strumento senza pari per la condivisione delle informazioni e la realizzazione di transazioni di vario genere. Tali standard crittografici si basano sulla legittima aspettativa riguardo al fatto che la potenza di calcolo necessaria per rompere la cifratura realizzata si situi ben oltre le capacità di cui sono dotati i mezzi attualmente in uso, anche in modalità combinata. Cosa può succedere, tuttavia, se compiamo un salto paradigmatico verso le illimitate capacità computazionali che si prospettano grazie a futuri progressi e scoperte a livello di computer quantistici? Sebbene le capacità quantistiche non saranno inizialmente disponibili per i comuni cybercriminali, la situazione qui sopra descritta evidenzia, in prospettiva futura, un problema di affidabilità degli attuali standard crittografici, e pone in risalto la necessità di progettare e implementare un modello di “crittografia post-quantistica”. Considerando l’attuale tasso, non certo elevato, in termini di adozione o corretta implementazione di sistemi crittografici di alta qualità, non prevediamo possa essere compiuta, in tal senso, una transizione agevole e graduale, in grado di controbilanciare le carenze crittografiche che potrebbero manifestarsi su vasta scala.
