27 giugno 2016 – La mattina è iniziata come avevamo immaginato: preparando una chat dietro le quinte per dare inizio alla prima incursione di Kaspersky Lab nel mondo dell’ “Ask Me Anything” – AMA (Chiedimi qualunque cosa) di Reddit con Costin Raiu, Vicente Diaz, Vitaly Kamluk, Ryan Naraine, Brian Bartholomew, Juan Andres Guerrero-Saade del GReAT – Global Research and Analytics team di Kaspersky Lab.
Abbiamo creato i link, ci siamo assicurati che tutti fossero online e poi abbiamo premuto il pulsante che ha lanciato la chat, senza sapere in realtà chi ci avrebbe contattato e cosa avrebbe chiesto. Dopo tutto era un Ask Me Anything (AMA). Il piano era quello di rispondere alle domande per circa un’ora e mezza, iniziando alle 9 del mattino, orario di Boston. Ero ben lontano dall’immaginare che sarebbe stato un processo molto più lungo e molto più impegnativo rispetto a quanto pensavamo inizialmente (abbiamo risposto all’ultima domanda dopo le 13:28 del pomeriggio secondo il fuso orario della costa orientale americana).
Durante il corso delle conversazioni, abbiamo visto oltre 855 commenti sul thread (incluse le nostre risposte) con argomenti che spaziavano dai programmi TV al motivo per cui assegnare una APT si rivela essere un compito difficile per i ricercatori di sicurezza. Ci hanno contattati fan, troll, giornalisti e persone che cercavano di entrare nel mondo delle aziende facendo domande al GreAT. Durante le quattro ore extra di domande, i ricercatori hanno risposto davvero a qualsiasi cosa, fornendo alcune argute e sincere risposte…
We did say ask us anything: If you could be stuck on an island w #Jesus or @POTUS which 1 would it be? https://t.co/86GMv68yBF
— Kaspersky (@kaspersky) July 27, 2016
Sono sicuro che se aveste chiesto ai sei partecipanti quale fosse la loro domanda preferita, ognuno di loro avrebbe fornito una risposta diversa e si sarebbero davvero sforzati per darne solo una. Io ho provato a farlo e ne ho selezionate sei (senza un ordine preciso). Qui di seguito trovate quelle che preferisco e perché mi hanno così tanto colpito.
Assegnazione
Togliamoci subito di mezzo questa. Si è scritto tanto sul perché in molti rapporti dei ricercatori di sicurezza non si visualizzano le assegnazioni quando si parla di “chi l’ha fatto”. L’AMA non ha tardato molto a ricevere questa domanda a cui è stata data una risposta, due volte fino ad adesso; proprio per questo può essere archiviata una volta per tutte.
Potreste spiegare a noi persone poco patite di tecnologia come si possono usare i metadati e gli altri dati per assegnare gli attacchi informatici come l’attacco al Comitato Nazionale Democratico americano (DNC) e Stuxnet? Cosa può o meno essere alterato in modo che aziende come Kaspersky possano effettuare assegnazioni in maniera accurata?
Rispondono Brian e Juan: questa è davvero una bella domanda a cui poche volte è stata data una risposta dettagliata, in parte perché far sapere alla concorrenza cosa utilizzi nelle assegnazioni permette loro di alterare i dati stessi. Davvero poche cose possono essere contraffatte o falsificate e questo è il motivo per cui qualche volta l’azienda ha mantenuto acceso il dibattito sull’assegnazione.
Le cose principali che sembra si usino molto nell’assegnazione degli attacchi si basano solitamente sulle lingue utilizzate nel codice, le volte in cui il malware è stato compilato, il motivo degli attacchi, i tipi di vittime, indirizzi IP utilizzati durante l’attacco, dove sono stati inviati dopo i dati, ecc. Tutto questo entra a far parte di una sorta di “matrix” e viene utilizzato per determinare i potenziali responsabili dell’attacco. Nel caso degli attacchi al sistema informatico del Comitato Nazionale Democratico americano, ad esempio, molti esperti concordano sul fatto che il malware utilizzato durante gli attacchi, così come anche alcune infrastrutture utilizzate, appartenessero solo a due “gruppi”.
Buongiorno ricercatori di Kaspersky Lab,
So che evitate la politica delle assegnazioni, ma sembra abbastanza evidente che molti attacchi allo stato siano stati portati a termine dalle cosiddette cyber potenze (America, Regno Unito, Russia, Cina, Iran, ecc.). Assumiamo ipoteticamente che gli indicatori d’assegnazione riflettano la realtà. Perché non rileviamo attività hacker a livello statale compiute dalle nazioni in via di sviluppo o sottosviluppate? Sembrerebbe che il gioco del cyber-spionaggio sia
democratico per l’ampia disponibilità di un accesso remoto economico e di tool exploit.
Grazie!
Risponde Vicente: secondo la tua supposizione, il fatto che i paesi con più risorse da investire in operazioni del genere siano più attivi avrebbe un senso e questo si rifletterebbe nell’elenco di paesi che hai menzionato. Questo però non vuol dire che i paesi in via di sviluppo non partecipino in tali operazioni, sebbene molte volte essi utilizzino risorse esterne dal momento che risulta essere meno costoso che sviluppare maggiori capacità cibernetiche. Tutto questo, tra le altre cose, rende l’assegnazione ancora più difficile (non è la stessa cosa mettere a punto un’arma unica e avanzata piuttosto che utilizzarne una ordinaria).
Inoltre, dovresti considerare il fattore dello “sfinimento dei media” che sfortunatamente potrebbe anche limitare le informazioni diffuse da alcune campagne. Se qualcuno scoprisse una campagna per una nazione piccolissima che ha come bersaglio un loro piccolissimo quartiere, probabilmente non leggeresti alcunché nei giornali.
Violazioni della sicurezza… Cosa può fare il governo?
Qualsiasi lettore di Kaspersky Daily sa che ci occupiamo di attacchi informatici e violazioni della sicurezza. La domanda “Cosa posso fare per non correre rischi?” viene posta molto spesso sui nostri socil da utenti che leggono diverse notizie. La domanda è stata posta anche all’AMA:
Le violazioni di sicurezza non avranno presto vita facile dal momento che adesso gli Stati Uniti possiedono un piano gestione per gli incidenti informatici. Mi chiedo come il governo possa affrontare tale questione e se debba o meno coinvolgere il settore civile.
Risponde Juan: davvero una domanda difficile. Il governo ha un ruolo fondamentale nel trattare tale questione. Ancor più importante è il fatto che debba essere il governo ad occuparsi di tutte queste faccende. Ad esempio, sarebbe meglio non portare il dibattito sull’identificazione e attribuzione degli attacchi hacker oltre le competenze del settore pubblico (come quello che si potrebbe definire “monopolio dello stato sull’uso legittimo della violenza”). Dato che l’assegnazione di un attacco è un processo complesso e talvolta quasi impossibile, lascerei a certe agenzie governative il compito di gestire l’attribuzione e localizzazione degli attacchi.
Adesso, per quanto riguarda cosa potrebbe fare il governo, mi vengono in mente due cose:
- La cooperazione tra il settore privato e le forze dell’ordine è essenziale per prender nota di alcuni tipi preoccupanti di malware, come i ransomware. Quando la crittografia viene implementata adeguatamente, la cosa migliore che si può fare è collaborare con le forze dell’ordine per confiscare i server C&C in modo tale da creare software e servizi di decodifica per le vittime. Non possiamo confiscare i server da soli, proprio per questo è importante una collaborazione autorizzata e trasparente con le forze dell’ordine.
- Le iniziative di condivisione delle informazioni sono meravigliose e non ce ne sono molte nei settori chiave, come nel settore finanziario, medico e anche in alcuni settori specializzati in tecnologia. Questi settori hanno bisogno di specializzarsi ma spesso notano che non possono o non dovrebbero condividere informazioni per paura di un attacco informatico o di potenziali ripercussioni legali. È bello quando intervengono i governi e forniscono alle aziende un’oasi di pace, condividono tutto ciò che sanno, tutto ciò che li riguarda e ottengono l’aiuto di cui avevano bisogno.
Chi poteva immaginare che a Costin piacesse Mr. Robot?
I miei colleghi del team di social media e quelli del nostro ufficio in Nord America parlano spesso di Mr. Robot e conoscendo la tematica della serie, non mi sorprende. Devo ancora vedere un episodio, ma nessun problema: il temerario leader del GreAT e Juan hanno la risposta per il pubblico di AMA.
Facendo riferimento alla serie Mr. Robot, su una scala da 1 a 10 quanto è fedele alla realtà della sicurezza IT e del settore degli attacchi informatici?
Risponde Costin: credo che Mr Robot si meriti un bel 9,5. Molte scene sono eccellenti e l’utilizzo degli strumenti, dei sistemi operativi e di altri piccoli dettagli, dall’ingegneria sociale all’OPSEC, è molto buono. Mi piacciono in particolare alcune scene realistiche, come quella del povero sviluppatore che non riesce a risolvere il problema della banca di Bitcoin e l’attacco alla memoria USB del parcheggio.
Risponde Juan: a dire il vero ho visto solo la prima stagione, ma alcune descrizioni degli attacchi informatici sono sorprendentemente buoni. In particolare, mi è piaciuto vedere le scene in cui si descriveva la velocità con cui era possibile entrare in un telefono via backdoor avendo la giusta preparazione (meno del tempo per una doccia).
Quattro belle domande
L’utente che ha posto questa domanda era uno tra i più entusiasti del thread #ASKGReAT su Twitter. Quando questa mattina le ho dato il link, era felicissima e ho notato che aveva posto una bella domanda. Anche se a dire il vero erano 4.
- Qualora il sistema sia stato compromesso, utilizzare un servizio mail criptato non ti protegge, giusto?
- Come possiamo utilizzare i dispositivi Android in maniera sicura, mantenendo la nostra privacy quando dobbiamo collegarli ad un account Gmail? (E Google conserva di dati).
- Utilizzate qualche app di messaggistica per Android che non conserva i dati?
- La sicurezza informatica mi affascina ma non sono un’esperta. Come possiamo contribuire noi utenti a rendere Internet più sicuro e libero?
Risponde Juan: wow! 🙂 Ok, vediamo un po’.
1. La tua prima domanda mi piace molto perché riconferma il motivo per cui penso che stiamo lavorando alla parte più importante del “problema della sicurezza delle informazioni”. Ti rispondo brevemente: No, se il tuo end-point di rete è compromesso, utilizzare un servizio di email criptato non ti protegge di per sé. In realtà non ti protegge da un hacker che utilizza un malware per accedere al tuo dispositivo. Tutto questo non riguarderebbe il fatto che una mail criptata (ad esempio il PGP) non permetterebbe la lettura delle tue email in transito o la violazione dei dati della tua posta in arrivo o delle mail inviate. Dico che stiamo lavorando ad una parte importante della sicurezza delle informazioni perché le soluzioni di sicurezza tendono ad essere create per risolvere problemi molto complessi, ma il processo non è cosa da poco.
#KSN #Report: #Mobile ransomware in 2014-2016 https://t.co/zmvSlscN0X #klreport pic.twitter.com/mxDUxrnIJe
— Securelist (@Securelist) June 29, 2016
2. Passiamo alle altre domande che hai posto, dal momento che c’è tanto di cui parlare: Android è una piattaforma davvero difficile da proteggere. Se ti preoccupi della privacy, la maggior parte delle volte i problemi deriveranno da permessi concessi ad app di terze parti e da “giochi” che si prendono la libertà di copiare e raccologliere qualsiasi informazione che di loro interesse. Tutto questo (personalmente) mi preoccupa più dell’integrazione di Gmail in sé.
3. Per quanto riguarda le app di messaggistica, ce ne sono varie che riteniamo “sicure”. Non posso verificare la loro crittografia o il loro funzionamento (la mia posizione non me lo permette), ma qualcuno di noi sta testando la app Wire. Le app SilentText, Signal, Threema e Wickr sono tra le migliori. . Non vi posso assicurare che non raccolgano i dati degli utenti, bisognerebbe chiedere a loro ;).
4. Ti prego di proteggere i tuoi account!!! Utilizza un programma per la gestione delle password e l’autenticazione a due fattori.Gli hacker fanno molte cose con gli account che violano.
Pokemon – Go o NON Go
Come sapete, abbiamo già scritto su Pokemo Go, la moda del momento. È stata posta una domanda a GreAT sull’argomento durante l’AMA. Per cui sì, doveva essere inclusa…
Trovate il tempo per giocare a Pokemon 😀 o ad altri giochi? Vi piacciono i giochi MMORPG?
Risponde Juan: sono sicuro che alcuni membri del GreAT giocano a Pokemon Go. Non ho molto tempo per giocarci ma mi piacciono SC2 e Destiny. Brian ed io abbiamo giocato un po’ a Overwatch sull’Xbox. Può darsi che provi a fare progressi su Zelda (un collegamento tra mondi) sul 3DS nelle diverse sale d’attesa degli aeroporti…
Risponde Brian: io gioco ai Pokemon di tanto in tanto 🙂 Mia moglie li odia e sinceramente io ci gioco di nascosto. Cammino per il supermercato e nascondo il telefono mentre faccio la spesa. Faccio così anche per gli altri giochi, ci gioco quando ho tempo. Adesso lo dedico tutto a Overwatch. Prima di questo, giocavo a Fallout 4! Sì, sono un tipo da console. Non esiste una razza superiore IMO di chi gioca al PC.
Risponde Costin: io non gioco a Pokemon Go, ma gioco ad EVE Online. Evviva Minmatar. 🙂
Risponde Vincente: sono un fan di Big Street Fighter IV, deluso da SFV e giocatore occasione di SC2.Aspetto il nuovo Mass Effect. https://app.appsflyer.com/com.kms.free?pid=smm&c=ww_kdaily
Risponde Vitaly: il mio lavoro è il mio video game. Molto realistico, gioco in 3D open-world (mondo aperto). Un sacco di sorpresei e problemi complicati da risolvere.
Sicurezza Android
La piattaforma Android è famosa (rivelazione: uno dei miei telefoni è un Droid ed ha l’app Internet Security di Kaspersky per Android) non solo tra gli utenti, ma anche tra i truffatori. Non fidarti, guarda numeri. È stato bello vedere che questa domanda è stata posta all’AMA per ben due volte.
Dovrei installare un antivirus sul mio smartphone Android? I virus e i malware sono una vera minaccia per i telefoni cellulari?
Risponde Costin: penso che i malware della telefonia mobile possano essere paragonati ad un iceberg (probabilmente ci sono molte cose che ancora non vediamo). Anche se il numero di programmi pericolosi per Android è balzato alle stelle negli ultimi anni, molti di loro sono adware e locker. La nostra analisi su APT come Equation sembra suggerire che molte entità responsabili di minacce abbiano sviluppato impianti mobili, il che vuol dire che prima o poi saranno scoperti (così come abbiamo scoperto gli impinati mobili dell’Hacking Team). Utilizzare una soluzione in materia di sicurezza sul tuo dispositivo Android ti aiuterà sicuramente a proteggerti dalle minacce già note e, se tutto va bene, anche a bloccarne di nuove.
Al momento quali sono le vostre previsioni/attitudini?
Per il momento, i malware per Android vengono diffusi principalmente dalle memorie esterne e Google sta facendo un buon lavoro mantenendo pulito il Play Store..
Ad ogni modo, un mucchio di telefoni Android non sono aggiornati (grazie a tutti i produttori che svolgono un magnifico lavoro per proteggerci): pensate che un giorno assisteremo a un contagio di massa perché qualcuno decide di abusare di Stagefright e invia un MMS ad ogni persona del mondo?
Avete menzionato anche le APT (per esempio, Equation): rappresentano davvero una minaccia per un utente Android medio o lo sono esclusivamente per i VIP?
Risponde Costin: quello che mi preoccupa maggiormente è l’uso incontrollato delle librerie di annunci (in inglese advertising libraries) ovvero quelle fastidiose pubblicità che si trovano nelle app gratuite o i “freeware” per Android. Pensate all’app Flashlight che richiede connessione internet. Oggigiorno, molte applicazioni sono collegate alle librerie di annunci che permettono allo sviluppatore di fare soldi velocemente. Molte delle aziende che sviluppano queste librerie di annunci distribuiscono un po’ ovunque e ciò che prima era una pubblicità inoffensiva può diventare improvvisamente il punto d’accesso di un sofisticato attacco ai danni di migliaia di telefoni. In futuro, penso che i responsabili delle minacce acquisteranno le aziende che creano le librerie di annunci e le renderanno un Trojan con un codice pericoloso. Questa potrebbe essere una soluzione più economica per compromettere le vittime e non è necessario ricorrere ad una vulnerabilità 0-day sofisticata.
Dall’altro lato, attacchi massivi che abusino di app come per esempio Stragefright non sono completamente impossibili, ad ogni modo, ciò che osserviamo al giorno d’oggi sembra indicare che gli attacchi miglior progettati provengono da stati-nazione, che preferiscono approcci più mirati.
Quindi ecco qui, le mie sei domande preferite tra quelle che sono pervenute al GReAT in seguito all’iniziativa AMA. Cosa ne pensate? Cosa avremmo dovuto aggiungere? Cosa avremmo dovuto eliminare? Fateci sapere sui nostri account di Facebook o di Twitter. Di nuovo GRAZIE a nome del GReAT (e da tutti noi di Kaspersky Lab) per aver fatto parte della nostra prima esperienza AMA.
https://www.instagram.com/p/BIYNiObgc5U/