Viviamo in un’epoca davvero affascinante: computer e rete fanno sempre più parte integrante delle nostre vite. Poco tempo fa abbiamo parlato della conquista da parte delle tecnologie di uffici e stabilimenti di produzione, passando alla vita quotidiana di tutti noi: in cucina, in soggiorno, ovunque tutti ormai abbiamo in tasca un dispositivo in grado di connettersi a Internet. Come se non fosse abbastanza, siamo entrati nell’era di Internet dell cose, in cui praticamente anche un ferro da stiro è connesso a Internet.
Più affidiamo la nostra routine quotidiana ai computer, più si fa interessante per altre persone esterne intrufolarsi nelle nostre vite. Parliamo sia di malintenzionati (cybercriminali) che di persone con intenzioni più nobili (forze di sicurezza che utilizzano tattiche e attacchi informatici per scopi più giustificabili).
Mettendo da parte le intenzioni, possiamo dire che lo spionaggio e gli attacchi hacker sono ormai diventati strumenti di lavoro per i servizi segreti.
Il fenomeno dei malware “legali”
Al giorno d’oggi esiste la tendenza a “legalizzare” quel cybercrimine che si pone dall’altra parte del mercato della sicurezza informatica. Ad esempio , la vendita di vulnerabilità zero-day (ovvero vulnerabilità per le quali non è ancora stata trovata una soluzione che le contrasti) sta prendendo sempre più piede.
Praticamente chiunque può acquistare un exploit e usare per gli scopi che più gli convengono (beh, coloro che se lo possono permettere, visto che per alcune vulnerabilità bisogna sborsare somme a cinque zeri). Il mercato di queste vulnerabilità è simile a quello di missili o di esplosivi sofisticati.
E non è tutto. Alcune aziende offrono software “full optional” che consentono di penetrare in altre reti, di prendere il controllo di PC altrui e di monitorarne l’attività. Stiamo parlando di Trojan per lo spionaggio altamente sofisticati.
Le aziende che offrono questo genere di servizi possono essere colossi della difesa (di cui si servono gli stessi governi) o anche piccole e medie aziende maggiormente indipendenti.
Le aziende più piccole, ovviamente, non vendono malware a chiunque; tuttavia, i loro clienti sono piuttosto diversificati: oltre alle organizzazioni per i servizi segreti ci sono anche importanti corporation che si avvalgono dei loro prodotti. I servizi di questi “mercenari” vengono acquistati anche da governi di paesi del terzo mondo come Pakistan o Nigeria.
Non dobbiamo dimenticare, inoltre, che questi servizi possono essere acquistati e rivenduti e terze parti: è il caso di una soluzione di sorveglianza venduta agli Emirati Arabi Uniti che poi è andata a finire nelle mani della Siria, su cui vige l’embargo.
In un modo o nell’altro, l’esperienza di Kaspersky Lab dimostra che i malware “legali” sviluppati privatamente possono finire non solo nelle mani dei servizi segreti, ma anche nelle mani di terzi con intenzioni tutt’altro che buone (le intenzioni più o meno buone dei servizi segreto non sono oggetto di questo articolo). In poche parole, anche se non siamo importanti per scopi di politica internazionale e siamo solo gente comune, un giorno potremmo trovarci invischiati in una di queste situazioni senza neanche saperlo.
Quanto è pericoloso questo fenomeno?
Questi malware sono creati per chi è disposto a sborsare delle cifre importanti. Si tratta di tutt’altro livello, che non ha nulla a che fare con le bravate di ragazzini che provano a rubare qualche centinaio di euro da una carta di credito.
Da quanto hanno trapelato alcuni sviluppatori, gli antivirus tradizionali sono assolutamente inutili per contrastare questo genere di software dannosi.
E poi gli sviluppatori dei malware legali impiegano tante di quelle tecnologie che riescono a ingannare un analista di virus e fare in modo che non approfondisca certi sospetti che gli possano sorgere.
Cosa si può fare?
In ogni caso, anche queste tecnologie hanno i propri limiti: non si accede a un sistema con la bacchetta magica, in fin dei conti si tratta sempre e solo di un malware.
Ciò vuol dire che gli algoritmi con approccio euristico (metodo che consente di individuare i malware cercandone le attività e le caratteristiche sospette), quelli ad esempio impiegati per i prodotti Kaspersky Lab, riescono a identificare e a combattere il lavoro dei cyber-mercenari.
L’analisi euristica dei prodotti Kaspersky Lab è in grado di captare le azioni dei cyber-mercenari.
Tweet
Noi di Kaspersky Lab siamo andati alla ricerca dei software FinFisher, protagonisti nel mercato delle armi cibernetiche legali; a differenza di quanto dichiarato da FinFisher, l’approccio euristico impiegato nei prodotti come Kaspersky Antivirus 6 è riuscito a gestire questo genere di minacce.
Ciò vuol dire che, per contrastare queste minacce così sofisticate, è necessario dotarsi di un antivirus che adatti un certo tipo di tecnologie: bisogna tenerlo a mente soprattutto perché alcuni strumenti informatici “anti-criminali” potrebbero andare a finire nelle mani sbagliate.