Sono molte le notizie di sicurezza informatica del 2015. Restringere la lista e selezionarne 10 è stato un compito arduo; ecco allora che per essere “neutrale” ho deciso di scegliere le 10 notizie più popolari di Threatpost.
Sono sicuro che chiunque lavori nel campo della sicurezza IT abbia la propria Top 10. Io ho cercato di fare del mio meglio per rispondere agli interessi dei lettori; infatti, non sono stato io a scegliere le notizie, ma gli stessi lettori. Se non vi piace la selezione o avete l’impressione che manchi qualche notizia importante, lasciate un commento qui sotto. Ora, però, senza ulteriori indugi, ecco la lista delle 10 principali notizie di sicurezza IT del 2015.
Kaspersky Lab cybersecurity #predictions for 2016 – https://t.co/1JFA8qRBm9 #KL2016Prediction #infosec #netsec pic.twitter.com/LjGxVMG7xV
— Kaspersky (@kaspersky) December 9, 2015
Prima di tutto, dividiamo la lista in 5 categorie:
- minacce che colpiscono gli utenti finali con basso profilo;
- vulnerabilità che meno ci aspettavamo: la sicurezza dei dispositivi appartenenti a Internet delle cose, degli elettrodomestici e dei dispositivi di rete industriali;
- crittografia e problemi ad essa collegati;
- vulnerabilitàà diffuse sulla maggior parte delle piattaforme e cyberminacce di lusso, nonché esempi di attacchi avanzati;
- vulnerabilità ordinarie presenti nei software dei prodotti.
Pronti? Si inizia!
Minacce che colpiscono gli utenti finali
Nº10 – Un Trojan per Facebook è apparso per la prima volta nel gennaio dell’anno scorso (La notizia). I dispositivi di più di 110.000 utenti di Facebook sono stati infettati con un Trojan per via di un click su di un link dannoso. Mai cliccare sui link sospetti ricevuti sui social network!
Sfortunatamente per la maggioranza degli utenti di Internet, i danni collaterali sono notevoli. Per esempio, un Trojan spacciandosi per un aggiornamento di Adobe Flash potrebbe installare un keylogger sul computer della vittima e fare un sacco di danni. Noi teniamo costantemente traccia di questo tipo di incidenti ma non sempre vengono inclusi nelle classifiche delle principali minacce dato che gli esperti in sicurezza IT non sono particolarmente interessanti a questo genere di problemi.
Comunque sia queste minacce alla sicurezza continueranno a rimanere una spina nel fianco sia per i consumatori, che per le aziende. Le contromisure sono piuttosto ovvie, i metodi di protezione e di sicurezza contro questo genere di cyberattacchi sono in funzione. Nonostante ciò, gli attacchi come quello del Trojano di Faceboook appena descritto colpiscono ancora decine di migliaia di utenti, motivo per cui è necessario informare tutti gli utenti e far conoscere i metodi e le tecniche di protezione. È evidente che c’è ancora molta strada da fare.
Attacchi su dispositivi appartenenti a Internet delle Cose, router di casa e dispositivi di rete industriali
Che cosa hanno in comune il controllo remoto della porta del garage e i software di rete della marca Cisco? Entrambi hanno una bassa protezione.
Mentre sia gli utenti che i vendor considerano la protezione come un elemento vitale quando si ha a che fare con computer e dispositivi tradizionali, entrambi non sono altrettanto attenti quando si tratta di “smart devices”. Come potete vedere quello che spesso sfugge di Internet delle Cose è che questi dispositivi intelligenti sono potenti computer connessi a Internet, e che se non protetti possono portare a falle e gravi incidenti.
How will the Internet of Things affect cybersecurity? – http://t.co/fWScmf4QfQ pic.twitter.com/sAk1mcZPg5
— Kaspersky (@kaspersky) April 9, 2015
Come mostra Threatpost, sono molti i casi in cui questi dispositivi sono stati al centro di episodi problematici.
Nº9 – Nel 2014, i ricercatori di sicurezza di Check Point hanno scoperto una vulnerabilità che ha colpito 12 milioni di router domestici (La notizia ). Uno speciale kit confezionato artigianalmente è stato usato per mettere in pericolo l’interfaccia web del router.
Nº8 – Nel giugno del 2015 sono state trovate nei dispostivi Cisco delle chiavi SSH a codificazione fissa (La notizia). È solo uno dei tanti casi in cui sono stati riscontrati bug all’interno di dispositivi e software di rete.
Nº7 – Circa nello stesso periodo, un rinomato ricercatore id sicurezza, Samy Kamkar, ha scoperto che i sistemi di controllo remoto delle porte automatiche, molto popolari negli Stati Uniti, avevano un livello di sicurezza molto basso (La notizia). Ci volevano 30 minuti per realizzare un attacco di forza bruta e craccare le chiavi, ma una serie di bug presenti nel software ha permesso a Kamkar di ridurre il tempo a 10 secondi.
Using a Toy to Open a Fixed-Code Garage Door in 10 Seconds – http://t.co/NvNR1vhOnG
— Threatpost (@threatpost) June 4, 2015
Non dimentichiamoci delle serie vulnerabilità che hanno colpito anche il settore automobilistico. Quest’estate, in seguito alla ricerca pionieristica di Charlie Miller e Chris Valasek, Fiat Chrysler ha lanciato la prima patch di sicurezza per auto: la vulnerabilità potrebbe essere stata usata per hackerare in remoto il sistema di gestione del veicolo attraverso la dashboard multimedia dell’auto, generando così una falla che permetterebbe violare il sistema che controlla lo sterzo. Se nei software ci sono bug perché mai non ce ne dovrebbero essere nelle auto? Non posso fare a meno di menzionare un famoso – ma ormai eliminato – tweet:
Quando ai computer si affidano compiti, essi tendono a fare meno errori rispetto agli umani. Ma sono le persone a programmare i computer e i sistemi informatici sono ogni giorno sempre più indispensabili per realizzare compiti delicati e critici, dalla gestione degli impianti nucleari al controllo del traffico. Benvenuti nel selvaggio e nuovo mondo moderno!
Crittografia
Ora le cose iniziano a complicarsi. Solo un serio ricercatori scientifici può aiutare a rendere efficiente un metodo crittografico. Ecco un buon esempio: SHA-1, un popolare algoritmo di hash, è stato considerato assolutamente affidabile circa 5 anni fa, ma nel 2015 è stato dichiarato “potenzialmente vulnerabile”.
La NSA ha già messo in discussione la resistenza degli algoritmi crittografici a curva ellittica e sta considerando (o fa finta di considerare) tecniche crittografiche che sarebbero impossibili da craccare anche per i computer quantici.
Quantum computers: what does it mean for you today? https://t.co/E3Fwee3j2W #futuretech pic.twitter.com/mBSnlpoVtV
— Kaspersky (@kaspersky) December 8, 2015
Nº6 – Tuttavia questo non è l’unico problema di crittografia possibile. Un sistema crittografico debole rappresenta una seria minaccia per il protocollo Open Smart Grid (La notizia). OSGP è un dispiegamento IoT per la rete elettrica, un tentativo di unire tutte le misure e i sistemi di gestione in una singola network. Questo significa che potenzialmente ogni questione di sicurezza potrebbe compromettere il somministro elettrico. La complessità della rete è la ragione per la quale il criterio chiave per valutare la resistenza della crittografia è la fiducia.
Nel 2014 gli sviluppatori di TrueCrypt hanno deciso di porre fine al loro progetto, un’utility piuttosto popolare viene usata per la OFTE (on-the-fly encryption). Nº4 – Seguendo la sequenza degli eventi, noi abbiamo assistito a diverse revisioni e ispezioni indipendenti del codice sorgente e all’apparizione di curiosi spin-off: VeraCrypt e CipherShed (La notizia). Di recente si è scoperto che una backdoor presente sui router Juniper e i problemi relativi alla crittografia hanno avuto un ruolo importante in quell’incidente.
Gravi vulnerabilità e seri attacchi
1 Billion #Android devices vulnerable to #NEW Stagefright flaws… #nopatches https://t.co/1Wt8iqOY2b via @threatpost pic.twitter.com/LJUuODPDra
— Kaspersky (@kaspersky) October 1, 2015
Nº5 – Mentre tra le “star” dello scorso anno ci sono, senza dubbio, Shellshock e Heartbleed, la prima vulnerabilità dell’anno è Stagefright (La notizia).
È possibile scoprire una vulnerabilità conosciuta in modo “teorico” o in modo “pratico”. In certi casi i ricercatori hanno dovuto ricorrere ad un attacco proof-of-concept, ma altre volte il nuovo bug è stato scoperto solo una volta che l’attacco è stato realizzato in-the-wild.
#BlueTermite exploits #flash #Zeroday stolen from Hacking Team http://t.co/VeOjsAgErF #APT #infosec pic.twitter.com/oP3m3MMxNd
— Kaspersky (@kaspersky) August 27, 2015
Per quanto riguarda gli attacchi scoperto in modo “pratico”, due delle principali campagne scoperte da Kaspersky Lab sono Carbanak e The Equation. Mentre la prima ha causato grossi danni in quanto a perdite economiche (circa 1 miliardo di dollari, nel caso vi stiate domandando quanto), la seconda è sbalorditiva sia per via del kit di strumenti avanzato e sofisticato che include la possibilità di ripristinare il controllo sul PC della vittima usando un firmware HDD modificato, che per la durata della campagna che ammonta a varie decine di anni.
Vulnerabilità ordinarie presenti nei software dei prodotti
Adobe Flash è un esempio perfetto per questa categoria: 14, 24 e 28 gennaio, marzo, giugno, luglio, settembre, dicembre. La brutta notizia è che Adobe Flash è ancora un software altamente vulnerabile. La buona notizia è che le patch (almeno quelle per Adobe) vengono distribuite continuamente e a livello massivo, e che diversi bug sono stati risolti in uno degli ultimi update. Questo non significa che il software sia diventato più sicuro, ma la tendenza è positiva: gli sviluppatori hanno iniziato a prendere la sicurezza davvero sul serio.
Massive #Adobe #Flash Update Patches 79 #Vulnerabilities: https://t.co/oU8R0QSm1l pic.twitter.com/2iLqfcKWpJ
— Kaspersky (@kaspersky) December 8, 2015
Il software viene installato su di un ampio numero di sistemi tra cui anche i browser web e ha ricevuto molta attenzione. Gli sviluppatori dei browser sono quindi costretti sia a supervisionare continuamente il proprio software, che a proteggere gli utenti dalle minacce che possono colpire i siti web (a volte la loro unica opzione è restringere certe funzionalità di Flash in Chrome). Nº2 – I partecipanti al “Pwn20wn Hackthon” di marzo, il famoso contest di hacking, sono riusciti a hackerare tutti i principali browser: prima Firefox, e IE, poi Chrome e Safari (La notizia).
Nº1 – Le estensioni obsolete di NPAPI vengono bloccate su Chrome (Story). La NPAPI è un’architettura multipiattaforma per i plugin utilizzata da molti browser web. Il blocco di NPAPI accaduto in aprile, risultato del malfunzionamento dei plugin, da Java a Silverlight, ha causato un sacco di problemi agli sviluppatori. Di recente la ritirata di molti legacy codes è diventata una tendenza.
#Google Shuts Off NPAPI in #Chrome – https://t.co/Ii6aVP6cvu
— Threatpost (@threatpost) April 16, 2015
Dubito che le questioni relative alla sicurezza saranno meno importanti nel 2016. Sono sicuro che emergeranno nuovi metodi per combattere le cyberminacce. Quindi non c’è dubbio che avremmo un sacco di cose di cui parlare nei prossimi anni. Se volete leggere qualcosa a riguardo, vi consiglio di dare un’occhiata al bulletin con le principali minacce del 2015, elaborato dagli esperti di Kasperky Lab e all’analisi dedicata alle cyberminacce che colpiscono le aziende e alcuni prognostici per il 2016.