INDICE Il Social Media Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. Le Social Media Newsroom sono destinate a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa on-line chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l’azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle immagini, all’audio, ai video e ad altri file multimediali.
4 PRIMO PIANO
6
ATTUALITÀ
6 Una soluzione strategica per la sicurezza e continuità del business Stefano Meller
10
Perché è necessario che la telemedicina (mhealth) prenda seriamente in considerazione la sicurezza Marco Canesi
13 I “bad guys” continueranno a vincere? come prevenire e combattere il cybercrime per stare sempre un passo avanti
CYBERCRIME
14
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/ store di applicazioni per il tuo cellulare (iTunes, App storr, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n. 28 nov/dic 2014
QR
Pietro Riva
1
INDICE
20 20
WEB SECURITY
Mindshare: estrazione delle informazioni sulle strutture C&C del malware Jason Jones
25
Intervista ad Antonio Oriti, Channel Manager Italia Boole Server La Redazione
26
VETRINA
BUSINESS SOLUTION
Information Security n. 28 nov/dic 2014
9
2
2015: lotta al dato senza quartiere. I cyber criminali colpiranno sempre pi첫 frequentemente e con maggior precisione
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
QUANTO SONO (E RESTANO) SICURI I NOSTRI DATI? un dato di fatto incontrovertibile che con il proliferare delle innovazioni tecnologiche che ci stanno notevolmente semplificando la vita (si pensi ad esempio alla possibilità di visualizzare e condividere documenti dal nostro telefonino, o dai nuovi tablet) cresca esponenzialmente, per contro, anche il rischio di imbatterci in un’infinità di rischi, in quanto i nostri dati rappresentano un eccellente bottino per gli hacker, sempre in agguato. Di conseguenza dobbiamo imparare a difenderci e, soprattutto, a farlo adeguatamente, velocemente e senza mai abbassare la guardia. A questo ed altro è dedicato questo numero di Information Security, che si soffermerà in particolare sulle evoluzioni di quelli che Pietro Riva, Sales Manager Security Services for Southern Europe di Verizon, chiama i “Bad
Guys”: “Si potrebbe pensare - ci spiega - che la minaccia degli attacchi informatici stia diminuendo, ma non è così. I cyber criminali stanno semplicemente diventando più furbi, sempre più abili nel rubare dati archiviati, in transito e cifrati. La battaglia contro il cybercrime è ancora in corso prosegue Riva - e risulta necessario adottare un intervento ancora più mirato. La sfida per tutte le aziende è quindi quella di rimanere in allerta ed essere sempre un passo avanti”. Indubbiamente una sfida da vincere in particolare per gli Studi Legali, detentori di un vero e proprio ‘patrimonio’ di dati molto appetibili per il cyber crime e proprio per questo sempre più nel mirino degli hacker. Con l’intervista ad Antonio Orriti, Boole Server, che vi proponiamo successivamente, cercheremo quindi di affrontare il problema cominciando con il capire quali possono essere le principali minacce cui gli Studi Legali oggi sono chiamati tassativamente a rispondere. Sempre in questo numero analizzeremo poi le questioni di sicurezza legate al sempre più diffuso utilizzo del cosiddetto mHealth, e cercheremo di fare il punto in merito alle strategie di business continuity. Buona lettura. u
Information Security n. 28 nov/dic 2014
3
ATTUALITÀ
ARRIVANO LE CYBER POLIZZE Mondo che vai, assicurazione che trovi ed oggi anche il web ‘vuole’ la sua polizza. Si chiamano cyber polizze ed hanno il compito di proteggere gli utenti del web dai rischi informatici, primi fra tutti le frodi ed il furto di identità, di dati personali e bancari. Negli Stati Uniti, tradizionalmente pionieri in ‘rivoluzioni’ di questo tenore, è già boom di richieste e si stima che il prossimo anno l’ammontare dei premi, oggi stimato superiore al miliardo di dollari, potrebbe addirittura aumentare significativamente.
UN ANNO DA DIMENTICARE Il 2014 si è rivelato un anno decisamente critico per quanto riguarda la sicurezza informatica, segnato da vere e proprie emergenze mondiali, come Heartbleed, che ha colpito la scorsa in primavera e che ha permesso agli hacker di ottenere nomi utenti e password di tantissimi internauti. Sempre di quest’anno l’attacco ad eBay, il maxi furto di file avvenuto ai danni degli iscritti di Snapchat e soprattutto delle star di Hollywood, che si sono trovate in Rete le foto private scattate con i loro telefonini (con somma gioia degli operatori del gossip).
Information Security n. 28 nov/dic 2014
COMRAT, ECCO IL NUOVO SPYWARE
4
È in arrivo un nuovo spyware. Si chiama Comrat ed è stato identificato dai Gdata securitylabs. “Siamo di fronte all’ultima generazione dei noti programmi spyware Uroburos e Agent.Btz”, ha dichiarato Ralf Benzmüller, esperto del colosso tedesco, che con l’unione degli acronimi Com (component object model) e Rat (remote administration tool) ha voluto sottolinearne il funzionamento. Si tratta di programmi in grado di agire all’interno dei browser e in grado di fornire agli hacker la possibilità di controllare direttamente dall’esterno i computer contagiati dal malware grazie agli strumenti di amministrazione remota.
ATTUALITÀ
IL PROGETTO EUROPEO PIDAAS, ACCEDERE IN SICUREZZA ALLA PROPRIA IDENTITÀ DIGITALE Proteggere ancora di più la propria identità digitale. Con questo obiettivo il progetto europeo PIDaaS (Private IDentity as a Service) lancia la sua proposta per creare un servizio sicuro di autenticazione su cellulare basato su nuove tecnologie di riconoscimento biometrico (la scansione delle impronte digitali, il riconoscimento facciale, l’impronta vocale). La soluzione prevede di abbinare i dati biometrici ad altri fattori sicuri per garantire una maggiore affidabilità. Inoltre, verranno adottati alcuni meccanismi avanzati di protezione biometrica (Biometric Template Protection Schemes) per garantire l’inviolabilità dell’autenticazione.
BUG WINDOWS, UNA VULNERABILITÀ NASCOSTA DA 19 ANNI Una falla nel sistema Windows presenta da almeno 19 anni. Impossibile? Niente affatto. E’ stata recentemente scoperta da ricercatori IBM e per ovviare a questo problema Microsoft ha rilasciato una patch risolutiva. Ma qual è l’utenza interessata? Si tratta degli utilizzatori da Windows 95 a Windows 8.1 mentre restano fuori da questo aggiornamento tutti gli utenti Windows XP nonché tutte le altre versioni del sistema operativo non più supportate dalla casa di Redmond. La falla permette di eseguire codice malevolo in modalità remota quando una specifica pagina web viene aperta con Internet Explorer.
SICUREZZA ON LINE, 1 ITALIANO SU 8 HA SUBITO LA CLONAZIONE DELLA CARTA DI CREDITO Information Security n. 28 nov/dic 2014
Una ricerca commissionata da CRIF a Smart Research rivela che un italiano su sei è caduto nella ‘trappola’ delle email di phising ed un italiano su otto ha subito la clonazione della carta di credito. Sono centinaia e arrivano nelle nostre caselle di posta elettronica. Con queste email i truffatori della rete cercano di ottenere da ignari utenti le credenziali di accesso per carte di credito o conti on line. Entriamo nel dettaglio. Le caselle di posta dei mittenti spesso hanno domini stranieri, la mail ha qualche logo di famosi istituti di credito, poste, servizi di transazione copiati in calce al testo.
5
PRIMO PIANO
pp
UNA SOLUZIONE STRATEGICA PER LA SICUREZZA E CONTINUITÀ DEL BUSINESS
Information Security n. 28 nov/dic 2014
Stefano Meller
6
CEO di Yarix
Un progetto innovativo per la realizzazione di un evoluto Security Operation Center (SOC) è alla base dell’accordo siglato tra Yarix, società leader nel settore della sicurezza informatica, e Var Group, partner per l’innovazione delle imprese. L’accordo è stato chiuso con l’acquisizione da parte di Var Group del 10% delle quote di Yarix. Il SOC, al cui avvio stanno lavorando le due aziende e che verrà inaugurato nei prossimi mesi, costituirà un centro di servizi all’avanguardia a supporto delle aziende, assicurando un approccio esaustivo in tema di sicurezza informatica, business continuity e disaster recovery. Nell’attuale scenario dell’ICT e della network security aziendale, caratterizzati dalla sempre maggiore apertura delle reti e dalla crescente vulnerabilità delle applicazioni e delle infrastrutture informatiche, il Security Operation Center è la soluzione ormai indispensabile per le aziende che vogliono salvaguardare il proprio patrimonio strategico di dati ed
il proprio business. SICUREZZA PER LE IMPRESE L’efficienza dei sistemi IT è per ogni azienda una necessità imprescindibile, dal momento che è anche da essi che dipende la sua efficienza produttiva. L’operatività di un’azienda, e di conseguenza la sua credibilità e reputazione, possono essere messe a dura prova da un downtime inatteso che rende indisponibili informazioni e sistemi, generando un fermo, totale o parziale, delle attività. Un’interruzione di un servizio, anche per pochi minuti, in alcuni settori può causare significativa perdita di business. PROTEZIONE DEI DATI Il dato, e le condizioni che ne garantiscono l’accessibilità e sicurezza in qualsiasi momento, costituiscono oggi il fulcro attorno al quale ruota l’impegno delle imprese che si distinguono per la qualità di servizi e dei prodotti offerti e
che necessitano di garanzie di sicurezza e solidità dei sistemi. La protezione delle reti informatiche, continuamente soggette ad attacchi, è ormai di vitale importanza, non soltanto per le istituzioni e per le infrastrutture critiche, ma anche per le industrie e le aziende. Si tratta di un pericolo non di poco conto se ci si sofferma a pensare che questi attacchi, oltre a creare gravi disagi, possono anche portare alla sottrazione di dati industriali (brevetti, ricerca e sviluppo che richiedono significativi investimenti di tempo e denaro). IL SOC Volto al monitoraggio senza soluzione di continuità dei sistemi, alla rilevazione e all’indagine sulle anomalie relative alla sicurezza, alla risposta e protezione dalle minacce avanzate, il SOC di Yarix e Var Group sarà uno dei più importanti e tecnologicamente evoluti Security Operation Center italiani, pensato per realizzare servizi alle PMI.
PRIMO PIANO
“Nell’attuale scenario dell’ICT e della network security aziendale, caratterizzati dalla sempre maggiore apertura delle reti e dalla crescente vulnerabilità delle applicazioni e delle infrastrutture informatiche, il Security Operation Center è la soluzione ormai indispensabile per le aziende che vogliono salvaguardare il proprio patrimonio strategico di dati ed il proprio business”
di performance e di sicurezza dell’infrastruttura IT, unita all’alta specializzazione di personale certificato, permetterà di ridurre i tempi di rilevamento e di indagine, fornendo rimedio anche alle vulnerabilità più avanzate e mirate. SICUREZZA E BUSINESS CONTINUITY Il Security Operation Center si occuperà concretamente di gestione remota dei sistemi, monitoring h24, conservazione degli eventi (storage log data), correlazione degli eventi (per identificare in anticipo un malfunzionamento o un attacco ai sistemi IT), alerting ed emissione di report statistici e di dettaglio sullo stato dei sistemi e sulle segnala-
zioni rilevanti. Un gruppo di operatori specializzati provvederà, senza soluzione di continuità, al costante monitoraggio del sistema, intervenendo per il ripristino delle funzionalità compromessetramite il servizio di early warning e il monitoraggio dei sistemi, consistenti in attività di raccolta, correlazione e analisi di dati di intelligence relativi agli scenari, alle tecnologie e alle modalità con le quali i crimini informatici vengono attuati. Le informazioni ottenute verranno messe a disposizione dei servizi di monitoraggio del SOC al fine di supportare le attività di gestione degli incidenti dei clienti. Il SOC si occuperà pertanto di monito-
Information Security n. 28 nov/dic 2014
L’investimento complessivo, che coinvolgerà la Security Room di Yarix e il Data Center di cui si avvale Var Group, permetterà di costituire una realtà d’eccellenza, in grado di rispondere alle esigenze delle aziende, garantendo la continuità operativa dei sistemi aziendali e affiancandole nella corretta gestione e nel costante monitoraggio dell’infrastruttura di IT Security esistente. Il progetto vedrà impegnato un Security Team costituito da 20 ingegneri, professionisti esperti in sicurezza informatica e altamente specializzati in attività di monitoraggio real time, gestione degli apparati di sicurezza e security assessment, analisi forense. Il SOC sarà attivo 24 ore su 24, grazie al presidio di personale a turno continuo, e offrirà servizi di security, business continuity e disaster recovery, che saranno erogati grazie a due siti localizzati nelle sedi di Montebelluna ed Empoli. L’avanzata piattaforma tecnologica per il controllo remoto e proattivo del livello
Il SOC sarà attivo 24 ore su 24, grazie al presidio di personale a turno continuo, e offrirà servizi di security, business continuity e disaster recovery, che saranno erogati grazie a due siti localizzati nelle sedi di Montebelluna ed Empoli
7
PRIMO PIANO
•
• •
Information Security n. 28 nov/dic 2014
•
8
rare lo stato dei sistemi oggetto del servizio e i relativi servizi installati. Il monitoraggio dei sistemi avrà lo scopo di: • Centralizzare il log dei sistemi informatici oggetto del monitoring • Storicizzare i dati raccolti • Monitorare gli eventi dei sistemi, in tempo reale e/o retroattivo allo scopo di identificare eventuali fault di uno o più componenti del network; identificare e tracciare attività anomale e pericolose dal punto di vista della sicurezza (probing
della rete, accessi ai sistemi, diffusione di worm, attacchi generici) Intervenire in maniera proattiva, identificando il nascere dei malfunzionamenti dagli eventi monitorati Segnalare down di apparati e servizi in tempo reale Ottimizzare i tempi d’identificazione delle problematiche di rete Valutare possibili conseguenze e proporre azioni correttive a seguito di eventi significativi dal punto di vista della sicurezza
Fra i servizi offerti, il SOC garantirà anche il servizio di Security Assessment, che prevede la realizzazione da remoto, o anche tramite una serie di interventi presso la sede del cliente, di attività quali: • Network and System Discovery: raccolta di informazioni su sistemi e dispositivi presenti sulla rete da monitorare; è l’attività che anticipa quella di vulnerability assessment. • Vulnerability Assessment: volto ad individuare vulnerabilità note dei sistemi e dei servizi installati sugli stessi. Tale attività è svolta tramite tecnologie specifiche che vengono configurate, perfezionate e personalizzate per ogni assessment. • Penetration test: volto ad individuare e sfruttare vulnerabilità note o ancora sconosciute dei sistemi, dei servizi e degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilità, è in grado di evidenziare in maniera più efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli impatti. Tale attività è svolta sia per mezzo di tecnologie appositamente configurate, perfezionate e personalizzate per ogni assessment, sia attraverso attività manuali specifiche per ogni servizio, sistema ed applicativo analizzato. • Web Application Test: attività che si concentra sull’analisi dell’affidabilità e della sicurezza degli applicativi che gestiscono piattaforme web, verificando che la struttura software sia sicura ed esente da falle o problemi di affidabilità.
AMBIENTE E SICUREZZA FISICA DELL’INFRASTRUTTURA Le funzionalità di sicurezza gestite nel Security Operation Center comprendono anche la protezione per la sicurezza fisica. Un ambiente sicuro, con la massima attenzione alla protezione degli impianti e delle infrastrutture, attraverso circuiti di rete ridondanti, protezione antincendio e dei sistemi elettrici, sistema di allarme e controllo antintrusione, sistemi di video sorveglianza. Ogni accesso all’infrastruttura sarà registrato (logging centralizzato in ingresso ed uscita) e riservato al solo personale autorizzato per mezzo di sistemi di autenticazione. u
LE SOCIETA’ Var Group Da 40 anni Var Group accompagna gli imprenditori, realizzando insieme a loro progetti innovativi. Aiuta le aziende a migliorare i processi, a ottimizzare i costi, a creare nuovi prodotti e servizi, a essere presenti in nuovi mercati, a far crescere il business. Var Group sviluppa soluzioni e servizi IT, integrandoli con le tecnologie più evolute, grazie alla collaborazione diretta con i maggiori produttori mondiali di informatica. L’esperienza con 15.000 realtà italiane è la prova della nostra capacità di modellare l’innovazione in base alle esigenze delle aziende. Yarix Yarix è specializzata in sicurezza nel settore IT. Deve il suo successo alla riconosciuta capacità di comprendere prima della concorrenza l’impatto che i virus, gli hacker, il furto dei dati e il cyber-terrorismo possono avere su internet e su tutti coloro che per lavoro ricorrono ai prodotti IT. Il suo impegno in questo settore e l’importanza in costante aumento dell’informazione elettronica e dell’economia digitale l’hanno resa un’azienda leader in Italia per la sicurezza dei dati sia per le aziende private che per le agenzie governative.
BUSINESS SOLUTION
per info
www.trendmicro.it
2015: LOTTA AL DATO SENZA QUARTIERE
i cyber criminali colpiranno sempre più frequentemente e con maggior precisione
LE PREVISIONI TREND MICRO PER IL 2015 Le Darknet: i nuovi mercati dei cyber criminali I cyber criminali non si muoveranno solo nel Deep Web, ma sfrutteranno reti private peer-to-peer come le darknet e Tor. Queste reti coprono al meglio le identità cyber criminali, rendendo più difficile rintracciarle. Tutto è hackerabile Il maggior impegno e la collaborazione tra cyber criminali si tradurrà in una disponibilità di strumenti hacker migliore e di maggior successo. Il 2015 vedrà un numero ancora più grande di violazioni di dati rispetto a quest’anno.
Pagamenti online sempre più a rischio I laboratori Trend Micro hanno già intercettato una app maligna che sfrutta i privilegi NFC per rubare le informazioni di Google Wallet. Anche Apple Pay verrà preso di mira e in generale i cyber criminali cercheranno di colpire i metodi di pagamento che sfruttano la tecnologia NFC (Near Field Communications). Attenti all’open source A fronte di misure di sicurezza maggiori, implementate dalle grosse aziende IT, i cyber criminali colpiranno con facilità le app open source.
Un kit per Android Verrà creato un kit per approfittare delle vulnerabilità di Android. I cyber criminali, inoltre, sfrutteranno le vulnerabilità attraverso le diverse piattaforme.
TV e fotocamere a rischio privacy La disparità delle tecnologie salverà i dispositivi dell’Internet of Everything da attacchi di massa ai device, ma i dati verranno colpiti. A rischio saranno soprattutto i dispositivi smart, come le fotocamere o le TV.
Attacchi mirati via Facebook Le campagne mirate saranno sempre più frequenti. Per raggiungere gli obiettivi, i cyber criminali colpiranno attraverso i social media e i dispositivi Wi-Fi.
Online banking nel mirino I cyber criminali svilupperanno finte app per il mobile banking e sfrutteranno la debolezza dei sistemi di autenticazione. u
Information Security n. 28 nov/dic 2014
Più siamo connessi più siamo a rischio. Trend Micro, leader globale nella sicurezza per il cloud, rende pubbliche le previsioni dei suoi esperti sulle minacce informatiche che ci troveremo ad affrontare nel 2015. L’anno prossimo gli attacchi mirati si moltiplicheranno: i cyber criminali, dopo aver testato con successo le loro tecniche in Paesi come Stati Uniti e Cina, espanderanno il loro raggio d’azione. “Quello che colpisce non è tanto l’espandersi delle azioni cyber criminali, ma piuttosto la velocità e la brutalità con le quali i dati vengono sottratti” – ha dichiarato Gastone Nencini, Country Manager Trend Micro Italia – “Seguendo i casi di successo, molti hacker replicheranno gli stessi metodi per infiltrarsi nelle reti delle organizzazioni. Eventi come le violazioni di dati sono destinati a diventare sempre più frequenti”.
9
PRIMO PIANO
pp
PERCHÉ È NECESSARIO CHE LA TELEMEDICINA (MHEALTH) PRENDA SERIAMENTE IN CONSIDERAZIONE LA SICUREZZA
Information Security n. 28 nov/dic 2014
Marco Canesi
10
M2M Sales Marketing Manager per Italia e Turchia - Vodafone
Con i progetti di cura su dispositivi mobili che compiono rapidi progressi ovunque, l’innovazione portata dalla telemedicina (mHealth) è destinata a trasformare le modalità con cui si ottiene e si somministrano le cure mediche. Il paziente, avendo un maggiore controllo sui propri dati medici, è in grado di svolgere un ruolo più proattivo riguardo alle cure mediche. I professionisti della sanità, d’altro canto, con l’ausilio della tecnologia mobile che velocizza e semplifica i flussi di lavoro, possono impiegare meno tempo a controllare i dati e dedicarne di più alla cura del paziente. La comunicazione M2M (da macchina a macchina), che permette ai dispositivi lo scambio di dati senza intervento umano, è una delle opzioni della cura sanitaria mobile, o mHealth. Inoltre spesso la messaggistica viene utilizzata per istruire il paziente o per inviare dei promemoria. Nella cura sanitaria mobile
basata sulla tecnologia M2M, i dati o i risultati delle analisi vengono registrati dai sensori dei dispositivi medici e caricati automaticamente in un server cui pazienti, operatori sanitari e persino altri dispositivi possono accedere da remoto. Ad esempio, le soluzioni M2M realizzate da Vodafone in campo sanitario possono controllare la pressione sanguigna dei pazienti a rischio, o controllare gli spostamenti dei pazienti affetti da Alzheimer grazie ad un dispositivo terminale GPRS indossato dal paziente. Grazie a tali dispositivi, è anche possibile prestare più attenzione e cure ai pazienti, in particolare agli anziani, nelle loro case, ad esempio trasmettendo avvisi per l’assunzione dei farmaci e controllare che sia stato fatto. Nel caso di un’emergenza, i defibrillatori azionati dagli addetti al primo soccorso possono allertare automaticamente le squadre d’intervento e farle convergere nel luogo in cui si trova la persona in difficoltà.
INFONDERE FIDUCIA La tecnologia offre opportunità senza eguali per ottenere informazioni nel posto giusto al momento giusto, nel più breve lasso di tempo possibile. Tuttavia, rappresenta anche un cambiamento nei rapporti tra pazienti e operatori sanitari. Una delle sfide maggiori è la tutela della riservatezza dei dati dei pazienti. Tradizionalmente, le informazioni mediche riservate sono state condivise negli incontri faccia a faccia con il medico. Invece, nella comunicazione M2M, i dispositivi raccolgono e trasmettono le informazioni autonomamente. Giustamente ciò dà adito a delle preoccupazioni su chi avrà accesso a tali dati e sulla relativa sicurezza. E tenendo presente che i dispositivi che operano in modalità M2M possono inviare dati di qualsiasi genere, dagli inalatori per curare l’asma ai misuratori della pressione arteriosa ai monitor cardiaci e alle macchine per la dialisi, una semplice assicurazione sull’anonimato potrebbe non
PRIMO PIANO
L’innovazione portata dalla telemedicina (mHealth) è destinata a trasformare le modalità con cui si ottiene e si somministrano le cure mediche. I professionisti della sanità, con l’ausilio della tecnologia mobile che velocizza e semplifica i flussi di lavoro, possono impiegare meno tempo a controllare i dati e dedicarne di più alla cura del paziente
essere sufficiente per conquistare e mantenere la fiducia dei pazienti.
sanitario visiona quali dati e per quanto tempo. Senza inserire ulteriori passaggi burocratici in sistemi già gravati da una notevole regolamentazione, è anche essenziale che i decisori politici a livello nazionale ed internazionale abbiano un ruolo attivo. Ad esempio, poiché gli smartphone stanno diventando dispositivi a tutto tondo sempre più popolati da applicazioni per qualsisi esigenza, è importante definire esattamente cosa costituisca un dispositivo medico ai fini dell’mHealth. I sistemi di cura basati su M2M, come le soluzioni mHealth di Vodafone, hanno il potenziale per rifocalizzare la cura dei pazienti, presso il loro domicilio come in comunità o presso strutture ospedalie-
re. L’acquisizione di una grande mole di dati offre anche una preziosa opportunità per la ricerca medica. Ma se questi sistemi saranno accettati dal settore di riferimento, dovranno dimostrare di essere abbastanza sicuri da ridurre le preoccupazioni dei pazienti in questo senso. Sarebbe una grave battuta d’arresto per gli sforzi di mHealth se la sicurezza dovesse rappresentare un ostacolo alla sua adozione. Assicurarsi che ciò non avvenga richiederà uno sforzo congiunto da parte di coloro che elaboreranno e forniranno la tecnologia necessaria e da parte dei decisori politici per assicurare che i pazienti siano certi che la riservatezza è la massima preoccupazione in ogni momento. u
Information Security n. 28 nov/dic 2014
Un modo per vincere questa sfida è adottare misure per assicurarsi che i dati siano conservati in modo sicuro, creando l’esigenza di piattaforme mobili con un’eccellente copertura delle aree, e che possano assicurare l’elevato livello di sicurezza richiesto e possibilità di controllo. In molti casi i dati sono criptati dagli utenti stessi, e ciò significa che neanche un provider M2M, come Vodafone, può accedervi senza la necessaria chiave crittografica. Oltre a quest’aspetto, Vodafone assicura che il flusso dei dati attraverso la piattaforma dedicata M2M sia senza accesso alla rete Internet aperta. Ove necessario, Vodafone cripterà anche i dati degli utenti e li conserverà in piattaforme cloud sicure. Un altro passo è gestire un sistema trasparente d’accesso. Infondere fiducia significa rendere consapevoli le persone di essere responsabili e di poter controllare quale operatore
Sarebbe una grave battuta d’arresto per gli sforzi di mHealth se la sicurezza dovesse rappresentare un ostacolo alla sua adozione. Occore quindi assicurarsi che ciò non avvenga
11
CYBERCRIME Nell’ambito di una sempre maggiore attenzione ai problemi legati alla sicurezza informatica, la comunicazione è chiamata ad una costante evoluzione. Alla luce di questa esigenza, la Rivista Information Security pub-
blica “Protagonisti”, una serie di Speciali monotematici che affrontano verticalmente una tematica del piano editoriale, rendendo in questo modo protagonisti sia gli autori sia le aziende di riferimento.
PRIVACY E SICUREZZA Uscita: Gennaio/Febbraio
SICUREZZA DISPOSITIVI MOBILI Uscita: Marzo/Aprile
CLOUD COMPUTING SECURITY Uscita: Maggio/Giugno
Uscita: Luglio/Agosto
IDENTITÀ DIGITALE Uscita: Settembre/Ottobre
Information Security n. 28 nov/dic 2014
DISASTER RECOVERY E BUSINESS CONTINUITY
13
CYBERCRIME
“
“ Information Security n. 28 nov/dic 2014
Dopo aver analizzato dieci anni di dati nella nostra serie di Data Breach Investigations Report, abbiamo compreso che la maggior parte delle aziende non è in grado di tenere testa al cybercrime, e i “Bad Guys” stanno vincendo. Tuttavia, siamo convinti che si possa iniziare ad affrontare il problema e combattere il cybercrime in modo più efficace e strategico
14
CYBERCRIME
I “BAD GUYS” CONTINUERANNO A VINCERE?
come prevenire e combattere il cybercrime per stare sempre un passo avanti
Pietro Riva Sales Manager Security Services, for Southern Europe, Verizon
Si potrebbe pensare che la minaccia degli attacchi informatici stia diminuendo, ma non è così. I cyber criminali stanno semplicemente diventando più furbi. Sono sempre più abili nel rubare dati archiviati, in transito e cifrati. Per questo motivo, le aziende di ogni settore devono comprendere che nessuno è immune dalle violazioni dei dati. La battaglia contro il cybercrime è ancora in corso, e risulta necessario adottare un intervento più mirato. La sfida per tutte le aziende è quindi quella di rimanere in allerta ed essere sempre un passo avanti.
Dopo aver analizzato dieci anni di dati nella nostra serie di Data Breach Investigations Report, abbiamo compreso che la maggior parte delle aziende non è in grado di tenere testa al cybercrime, e i “Bad Guys” stanno vincendo. Tuttavia, siamo convinti che applicando big data analytics alla gestione del rischio di sicurezza si possa iniziare ad affrontare il
UNO SGUARDO AL REPORT Giunta al settimo anno di pubblicazione, l’edizione 2014 del report analizza oltre 1.300 violazioni accertate e più di 63.000 incidenti di sicurezza segnalati. Per meglio comprendere il panorama della sicurezza informatica, il DBIR copre per la prima volta anche gli incidenti che non hanno dato origine a violazioni. Nei dieci anni di vita dello studio, il totale delle violazioni registrate è ora superiore ai 5,900 casi. Verizon è tra le 50 organizzazioni di tutto il mondo che hanno fornito dati e analisi. Nel report di quest’anno abbiamo raccolto 10 anni di analisi e abbiamo coinvolto un numero maggiore di partner rispetto al passato. La nostra analisi è cambiata perché il nostro campione è cambiato e siamo quindi stati in grado di identificare trend che non erano visibili in precedenza. Poiché il data set è diventato più ampio, abbiamo dovuto anche modificare il nostro approccio all’analisi, non potendo analizzare 100.000 incidenti in un foglio di calcolo. Attraverso l’utilizzo degli strumenti di analisi abbiamo potuto quindi individuare tutte quelle informazioni necessarie alle aziende
Information Security n. 28 nov/dic 2014
Oggi è disponibile un quadro più chiaro sul mondo della criminalità informatica, grazie anche al Verizon 2014 Data Breach Investigations Report (DBIR) che ha identificato le tipologie di attacco specifiche per ogni settore, introducendo un approccio più mirato ed efficace per combattere gli hacker.
problema e combattere il cybercrime in modo più efficace e strategico.
15
CYBERCRIME
per supportare il processo decisionale. Quando le organizzazioni combinano valide strategie con una buona prassi di esecuzione, allora stanno utilizzando in maniera efficace il proprio budget destinato alla sicurezza.
Information Security n. 28 nov/dic 2014
RISULTATI PIÙ MIRATI EVIDENZIANO LE TIPOLOGIE DI MINACCIA SPECIFICHE PER OGNI SETTORE Quest’anno, anziché concentrarci sul confronto fra i diversi settori, abbiamo adottato un approccio diverso e ci siamo focalizzati sui principali vertical, evidenziando quali modelli di minaccia sono rilevanti per ognuno di loro nello specifico. Abbiamo sempre cercato di promuovere un approccio alla gestione del rischio basato su prove. Questo report ha superato quelli precedenti nel rendere tutto ciò possibile, identificando
16
i principali scenari di violazione di ogni settore e fornendo consigli su come difendersi. Il DBIR identifica nove tipologie: errori vari come l’invio di email a destinatari sbagliati; crimeware (malware che punta al controllo dei sistemi); azioni di personale interno o utilizzo improprio di privilegi e autorizzazioni; perdite o furti fisici; attacchi a web app; attacchi Denial of Service; cyberspionaggio; intrusioni nei sistemi POS (Point-of-Sale); skimmer per carte di pagamento. Ciò che risulta impressionante è che l’edizione del Report di quest’anno ha rilevato che in media solo tre di queste tipologie coprono il 72% degli incidenti di tutti i settori. Nel settore dei servizi finanziari, ad esempio, il 75% degli incidenti deriva
da attacchi contro le applicazioni Web, da attacchi DDoS (Distributed Denial of Service) e dallo skimming di carte, mentre il 54% di tutti gli attacchi diretti al settore manifatturiero è attribuito a cyberspionaggio e DDoS. Nel settore retail la maggior parte degli attacchi proviene da DDoS (33%), con le intrusioni sui POS che seguono al 31%. In sostanza volevamo che i lettori fossero in grado di agire dopo la lettura del report, così ci siamo focalizzati sugli attacchi più comuni presenti nel nostro data set, analizzando i dati per settore merceologico per offrire una panoramica degli attacchi specifici di ogni settore e poter intervenire di conseguenza. Questo nuovo approccio è quindi una buona notizia per chi prende decisioni
CYBERCRIME
sulla sicurezza aziendale. Infatti, in questo modo, è più semplice identificare i controlli critici da implementare per ogni sistema IT. L’identificazione del rischio nell’information technology è complicata a causa del grande numero di servizi offerti e dell’altrettanto elevato numero di minacce ad essi associato. E’ facile essere sopraffatti dal vasto numero di metodi con cui gli hacker possono rubare i dati e paralizzare un programma di sicurezza informatica. Le informazioni che emergono dal report di quest’anno rendono più semplice pianificare la sicurezza per un servizio IT chiedendosi semplicemente “come si possono affrontare questi nove schemi di attacco?” E’ vero, ci sono ulteriori minacce al di fuori degli schemi identificati, ma se si è in grado di affrontare questi nove, si è già a buon punto. ALTRI RISULTATI CHIAVE Il report di quest’anno include anche altri risultati importanti, in particolare: - Il cyberspionaggio è nuovamente in aumento con un incremento pari a 3 volte rispetto al dato del report 2013, con 511 incidenti (dato parzialmente dovuto a un dataset più ampio). Questa tipologia di attacco si verifica quando spie finanziate dai governi violano un’organizzazione, spesso tramite attacchi di phishing mirati e furti di proprietà intellettuale. La cosa più importante da notare è che lo spionaggio non è un problema che riguarda solo i governi e le organizzazioni militari. Sono bersagli frequenti anche il settore dei servizi professionali, dei trasporti, manifatturiero, minerario e pubblico. Questi attacchi si sono inoltre rivelati estremamente complessi e diversificati, con un lungo elenco di tipologie. Come evidenziato lo scorso anno, la Cina è ancora il Paese con la maggior attività di cyberspionaggio; ma in classifica sono rappresentate anche le altre regioni del mondo, compresa l’Europa orientale con oltre il 20%. E’ importante notare che l’88% degli incidenti in cui l’attività investigativa è stata in grado di identificare un responsabile sono riconducibili alla Cina, mentre al 73% degli inci-
Il report indica come per l’85% degli attacchi causati da insider e da abuso di informazioni privilegiate sia stata utilizzata la LAN aziendale, mentre per il 22% sia stato sfruttato l’accesso fisico denti non è stato possibile attribuire un responsabile. Questa percentuale lascia ampio spazio alle attività di spionaggio degli altri paesi. - Il report esamina per la prima volta gli attacchi DDoS (Distributed Denial of Service), attacchi che mirano a compromettere la disponibilità di reti e sistemi in modo da bloccare, ad esempio, il funzionamento di un sito web. Questi attacchi sono comuni nei servizi finanziari, nel retail, nel settore professionale, nei media e nella pubblica amministrazione. Il report evidenzia come gli attacchi DDoS siano costantemente cresciuti negli ultimi tre anni. In genere, questa tipologia di attacchi sembra essere lo strumento preferito da chi è guidato da un’ideologia. Ad esempio, gli Izz ad-Din al Quassam Cyber Fighters sono stati i responsabili di molti attacchi DDoS e il motivo dichiarato è stata la protesta contro un video offensivo. Si vocifera che questo sia un gruppo di attacco di stampo governativo, tuttavia è difficile esserne certi. Spesso un attacco DDoS è causato da un botnet generato da un gruppo criminale organizzato, ingaggiato da un gruppo di attivisti. A quanto pare diverse tipologie di hacker utilizzano gli attacchi DDoS. - L’utilizzo di credenziali (nome utente / password) sottratte o usate impropriamente continua a essere il metodo più diffuso per accedere alle informazioni. I risultati hanno evidenziato che due violazioni su tre approfittano di password deboli o sottratte, confermando l’importanza di passare a sistemi di autenticazione a due fattori.
17
CYBERCRIME
La sicurezza non può essere considerata come un singolo investimento o una semplice verifica della compliance, ma deve essere una strategia in continua evoluzione che richiede un’attenzione regolare
Information Security n. 28 nov/dic 2014
- Gli attacchi contro i sistemi POS (Point-of-Sale) continuano a diminuire proseguendo una tendenza avviata già dal 2011. I settori comunemente colpiti da questo genere di attacchi sono ristoranti, hotel, supermercati e altri punti vendita, nei quali i malintenzionati tentano di acquisire i dati relativi alle carte di pagamento. Per quanto le violazioni dei POS occupino spesso le prime pagine dei giornali, si tratta di avvenimenti che non sono indicativi del quadro attuale della criminalità informatica.
18
- Sebbene gli attacchi dall’esterno superino ancora quelli effettuati dall’interno, questi ultimi sono in crescita, particolarmente per quanto riguarda la sottrazione di proprietà intellettuale. Il report indica come per l’85% degli attacchi causati da insider e da abuso di informazioni privilegiate sia stata utilizzata la LAN aziendale, mentre per il 22% sia stato sfruttato l’accesso fisico. In effetti, il comportamento degli utenti è un grosso problema di sicurezza per le aziende. Anche quando ci si fida ciecamente, molti di loro potrebbero contribuire inconsapevolmente a causare incidenti di sicurezza. LA PREVENZIONE È LA PRIMA LINEA DI DIFESA La sicurezza non può essere considerata come un singolo investimento o una semplice verifica della compliance, ma deve essere una strategia in continua evoluzione che richiede un’attenzione regolare. Le aziende devono adottare un approccio proattivo verso la sicurezza dei dati sia all’interno dell’azienda che
nelle sedi di partner/fornitori, sui device, in mobilità o nel cloud. Il DBIR è ricco d’informazioni e raccomandazioni dettagliate che le aziende possono implementare nell’ottica di una strategia di prevenzione. Tuttavia, possiamo individuare 7 consigli più importanti: • Essere vigili - le organizzazioni spesso scoprono le violazioni solo quando ricevono una chiamata dalla polizia o da un cliente. Osservare in modo attento i file dei log e i sistemi di change management può aiutare a segnalare in maniera tempestiva eventuali anomalie. • Fare dei propri dipendenti il primo strumento di difesa - istruire i dipendenti sull’importanza della sicurezza, insegnare loro come individuare i segnali di un attacco e cosa fare quando vedono qualcosa di sospetto. • Conservare i dati secondo il principio del “need to know” - limitare l’accesso solo ai dipendenti che hanno realmente bisogno di quei dati per lavorare. Assicurarsi, inoltre, di mettere in atto procedure per la revoca degli accessi, in caso di cambio di ruolo o di azienda. • Intervenire tempestivamente - gli hacker spesso ottengono l’accesso utilizzando semplici metodi di attacco, dai quali ci si potrebbe tutelare semplicemente con un ambiente IT ben organizzato e un anti-virus aggiornato. • Cifrare i dati sensibili - in questo modo, se i dati dovessero essere persi o rubati, sarà molto più diffi-
•
•
cile, per un hacker, utilizzarli. Adottare sistemi di autenticazione a due fattori – non si ridurrà il rischio di password rubate, ma si potrà limitare il danno derivante dal furto e dallo smarrimento delle credenziali. Non dimenticare la sicurezza fisica - non tutti i furti di dati avvengono online. Gli hacker possono manomettere i computer o i terminali di pagamento ma anche rubare blocchi di tabulati stampati.
LA CYBERSECURITY PRIMA DI TUTTO Abbiamo scoperto che la capacità di difendersi dalle minacce informatiche è ormai tra le principali preoccupazioni per la maggior parte delle aziende; tuttavia la necessità di programmi di cybersicurezza più sofisticati è francamente superiore sia alla disponibilità di capitale umano sia alla capacità di una determinata azienda di agire in modo autonomo. Per colmare questo gap le aziende stanno cercando di sviluppare e realizzare modelli ibridi di gestione della cybersicurezza che combinano un team di esperti di business security in-house con comprovati servizi gestiti di sicurezza per una vasta gamma di funzionalità quali identity management, security analytics e cyber intelligence, governance, risk e compliance. Trovare un provider di fiducia è di fondamentale importanza e fra gli elementi da considerare durante il processo di selezione di un MSSP ci sono: il livello di competenza, la solidità finanziaria, la vasta gamma di funzionalità, un modello operativo
CYBERCRIME
h24 e la garanzia di poter mantenere le stesse caratteristiche – per l’azienda - in ogni singolo paese. Inoltre, il nostro ultimo Data Breach Investigations Report mostra chiaramente come negli ultimi dieci anni siano stati fatti pochi passi avanti in ambito sicurezza nella scoperta tempestiva degli incidenti; di contro nello stesso arco temporale, gli hacker hanno migliorato le loro tecniche di attacco con il risultato di una quantità sempre maggiore di violazioni portate a termine con successo in pochi giorni. Ciò significa che è necessario un approccio diverso e migliore per la rilevazione degli incidenti: è il momento di adottare differenti metodologie di rilevazione così come è necessario rivedere l’importante ruolo della cyber intelligence nel contesto di analytics e monitoraggio della sicurezza. Gli esperti Verizon lavorano al fianco dei nostri clienti per consigliare loro le pratiche di sicurezza e compliance più adatte per ogni singola esigenza. Crediamo che oggi le aziende globali e gli enti governativi cerchino soluzioni di business complete che possano funzionare senza soluzione di continuità, sfruttando l’efficienza dei costi, la professionalità e i benefici di business complementari, e non soluzioni ad hoc implementate per soddisfare una singola esigenza di business.
In poche parole, bisogna passare all’offensiva e non stare sulla difensiva, dal momento che il cybercrime esiste, ed è un dato certo. Non bisogna credere nemmeno per un istante che sparirà. u
Information Security n. 28 nov/dic 2014
PASSARE ALL’OFFENSIVA E NON STARE MAI SULLA DIFENSIVA Insomma, per ridurre il rischio, le aziende devono implementare almeno i principi base di un programma di Information Risk Management e mantenere questo investimento iniziale nel corso del tempo. Dalle reti alla tecnologia di base per la difesa dei dati quali firewall, anti-virus, identity e access management, così come gli aspetti meno tecnici delle policy per la gestione del rischio e della sicurezza e lo sviluppo dei processi.
19
SICUREZZA WEB
MINDSHARE: ESTRAZIONE DELLE INFORMAZIONI SULLE STRUTTURE C&C DEL MALWARE
Jason Jones
Information Security n. 28 nov/dic 2014
Security Research Analyst di Arbor Networks
20
Esistono alcune famiglie di malware che possiedono al proprio interno hostname fittizi o del tutto legittimi che non vengono mai referenziati o che vengono referenziati solamente per eseguire false richieste di comunicazione. Identificare questi riferimenti e disassemblarli può aiutare a capire se l’informazione in questione è corretta
È passato fin troppo tempo dall’ultimo post MindshaRE, così ho deciso di parlarvi oggi di una tecnica di cui mi avvalgo per ottenere informazioni relative ai server C&C e altre configurazioni dal malware che non memorizza questi dati all’interno di una struttura definita né nelle proprie risorse (per una carrellata sui decoder disponibili date un’occhiata alla repository RATDecoders di KevTheHermit su GitHub). Essere in grado di estrarre “staticamente” queste informazioni diventa importante qualora il malware non giri correttamente nella vostra sandbox, le strutture C&C siano inattive o voi non abbiate il tempo o la bandwidth necessari ad estrarre manualmente i dati che servono dagli indicatori di rete. INTRODUZIONE Per trovare le informazioni sui server C&C ci si potrebbe in teoria limitare a estrarre tutti gli elementi tipo hostname, IP, URI o URL con una ricerca via regex, ma in questo caso sarebbe possibile incappare
in falsi positivi o anche più combinazioni di hostname e URI perdendo potenzialmente la corrispondenza tra le coppie di informazioni. Esistono oltretutto alcune famiglie di malware che possiedono al proprio interno hostname fittizi o del tutto legittimi che non vengono mai referenziati o che invece vengono referenziati solamente per eseguire false richieste di comunicazione. Identificare manualmente questi riferimenti e disassemblarli con un disassembler (nel mio caso è Capstone Engine) può aiutare a capire se l’informazione in questione è corretta evitando così le finte esche lasciate nel codice per portare fuori strada gli analisti. Per chi non lo conosce, Capstone Engine è un disassembler scritto da Nguyen Anh Quynh rilasciato inizialmente nel 2013 e che da allora ha registrato un notevole sviluppo facendosi notare per la capacità di gestire anche disassembly particolarmente critici. Cosa essenziale, supporta i linguaggi di programmazione
più diffusi tra cui Python, il linguaggio che attualmente preferisco. Un difetto che riscontro nel disassemblaggio al volo è la mancanza di simboli, ma si può aggirare questa carenza prendendo l’elenco di indirizzi e import da pefile per controllare tutti i riferimenti alle varie locazioni di memoria. Tutti i proof of concept (PoC) presentati negli esempi che seguono partono dall’indirizzo di base 0x400000, ma per un uso di produzione la base effettiva può essere trovata e sostituita. ESEMPIO: IL MALWARE PER POS BACKOFF Backoff è una famiglia di malware per PoS scoperta di recente. Mi sono accorto che molto spesso, quando il malware viene fatto girare in sandbox, non comunica con una struttura C&C, per quanto sia possibile osservare le relative informazioni in chiaro all’interno del file binario. Nel tentativo di identificare “corretta-
SICUREZZA WEB
to mediante ricerca regex e rianalizzo il disassembly per vedere se incontro i dati di configurazione che mi aspetto. Questo aiuta anche a trovare gli URL e i domini di backup presenti nel malware che possono sfuggire al rilevamento in sandbox anche quando vi sia un’effettiva comunicazione con la struttura C&C. Il codice è scritto di getto e può essere facilmente migliorato convalidando alcune istruzioni comunemente incontrate, ma per questo esempio è sufficiente presentarlo così com’è:
Le informazioni C&C di Backoff in chiaro
md = Cs(CS_ARCH_X86, CS_MODE_32) md.detail = True movs = 0 host = None uri = Nonea port = None for insn in md.disasm(code, 0x1000): if insn.mnemonic == ‘mov’: movs += 1 if insn.operands[1].type == X86_OP_IMM: v = insn.operands[1].value.imm.real if v < 65536: port = v else: x = self.get_string(file,v-0x400000) if URI_REGEX.match(x): uri = x elif DOMAIN_REGEX.match(x): host = x elif IP_REGEX.match(x): host = x elif insn.mnemonic == ‘call’: break if movs == 3: break Esempio: malware per PoS Alina
Il codice assembler con cui Backoff carica il C&C
Le stringhe C&C di Alina
sfruttano una struttura ad array per memorizzare i dati di configurazione per cui il codice che segue non è adatto. La funzione può essere abbinata a un altro pezzetto di codice che ricerca le stringhe di versione e le disassembla per trovare il nome della campagna collegata al file binario. Il codice deve controllare se a) host, porte e URI siano definiti dopo il loop e b) se il numero di istruzioni mov incontrate prima della chiamata sia uguale a 3. Il numero di mov è importante dal momento che il mio codice inizia con l’hostname e gli argomenti non si trovano sempre nel medesimo ordine. Se vi sono meno di 3 mov, torno indietro al numero di mov appropria-
Alina è una famiglia di malware per PoS che esiste da diverso tempo. Come nel caso di Backoff, mi sono accorto spesso che quando si trova in sandbox non comunica con la struttura C&C sebbene la configurazione sia visibile. Ho dunque impiegato un processo simile a quello adoperato con Backoff per identificare innanzitutto i potenziali candidati C&C, cercare le relative XREF e infine disassemblare il codice con Capstone. Spesso i dati C&C si trovano sullo stack seguiti da istruzioni che inizializzano variabili locali e quindi chiamano una subroutine. Prima di fare il push di C&C e URI sullo stack c’è tuttavia un altro push che rappresenta la lunghez-
Information Security n. 28 nov/dic 2014
mente” le informazioni C&C e utilizzare alcune funzioni avanzate di Capstone, ho creato una funzione che ricerca innanzitutto le stringhe che somigliano a un hostname o un indirizzo IP, quindi cerca un pattern di istruzioni “mov [register+offset]/<addr> addr”, e infine utilizza Capstone per disassemblare il codice in modo da ottenere gli altri elementi della configurazione. La funzione si rivela utile dal momento che l’ordine degli argomenti non è necessariamente sempre lo stesso. Non funziona per tutte le versioni ma nella maggior parte dei casi è efficace; ho incontrato alcuni campioni che usano un iniettore scritto in VisualBasic o che
21
SICUREZZA WEB
nome di installazione cifrato - inizia sempre con gli stessi caratteri - per cercare di localizzare la funzione di decifrazione. Questa funzione è quella chiamata subito dopo le chiamate che referenziano il nome di installazione criptato.
Il codice assembler con cui Alina carica il C&C
za della stringa, un dato che può essere sfruttato per convalidare la sequenza. Ancora una volta si tratta di un’ottima occasione per utilizzare Capstone in modo da assicurarsi che tutto quel che viene estratto corrisponda a quanto desiderato.
Information Security n. 28 nov/dic 2014
Questa sequenza di push e di chiamate sembra essere sempre preceduta da una chiamata a InitializeCriticalSection, pertanto cerco per prima cosa il relativo codice usando un dizionario creato caricando il file binario in pefile per ottenere la tabella degli import. L’ordine in cui hostname e C&C appaiono nel binario può essere capovolto, per cui prevedo anche questa possibilità. Mi accerto che il push successivo a strlen sia effettivamente una stringa. Il codice può essere ulteriormente esteso per controllare che strlen corrisponda alla stringa estratta dal file binario, ma questo codice è giusto un esempio.
22
ESEMPIO: DIRTJUMPER DRIVE L’ultimo esempio si sofferma su un caso decisamente più complesso. Drive memorizza le stringhe più interessanti in formato criptato e non decifra tutte le stringhe all’interno della medesima funzione (per maggiori informazioni rimando al mio post precedente, qui), preferendo invece disseminare le chiamate attraverso tutto il codice. In questo esempio utilizzo il
Una volta noto l’indirizzo della funzione di decifrazione utilizzo la stringa “k=” adoperata nel codice di phone-home per localizzare la routine che si occupa della comunicazione di rete. In questa funzione vengono decifrate le informazioni C&C, e C&C e URI sono i primi due elementi decifrati dalla funzione. Il codice può essere analizzato ulteriormente per identificare la porta C&C, ma questa funzione non è presente nell’esempio.
Ecco come viene referenziato il nome di installazione di Drive
for i in md.disasm(CODE, push_len_addr): if instr_cnt == 0: # check for InitializeCriticalSection if i.mnemonic == ‘call’ and \ impts.get(i.operands[0].mem.disp,’’) == ‘InitializeCriticalSection’: print “On the right track...” else: break elif i.mnemonic == ‘push’ and i.operands[0].imm < 0x100: strlen = i.operands[0].imm str_instr = instr_cnt + 1 print “Found the strlen push”,i.mnemonic,i.op_str elif strlen and str_instr == instr_cnt and i.mnemonic == ‘push’: addr = i.operands[0].imm if addr == 0x400000+file.find(s): print ‘found hostname push’ hostname = get_string(file,addr-0x400000) print hostname else: uri = get_string(file,addr-0x400000) if URI_REGEX.match(uri): print uri instr_cnt += 1
SICUREZZA WEB
About Arbor Networks
Decifrazione dei dati C&C di Drive
Ecco la prima routine utilizzata per localizzare la funzione di decifrazione:
mov_addr = ‘\xb8’+struct.pack(“<I”,0x400000+file.find(s)) instr_addr = 0x400000+file.find(mov_addr) if instr_addr <= 0x400000: mov_addr = ‘\xba’+struct.pack(“<I”,0x400000+file.find(s)) instr_addr = 0x400000+file.find(mov_addr)
Per ulteriori informazioni sui prodotti e servizi Arbor, è possibile visitare il sito web all’indirizzo arbornetworks. com. Ricerche, analisi, approfondimenti e i dati provenienti dal sistema di monitoraggio delle minacce globali ATLAS® possono essere consultati su ATLAS Threat Portal. Note sui marchi registrati: Arbor Networks, Peakflow, ArbOS, ATLAS, Pravail, Arbor Optima, Cloud Signaling, Arbor Cloud, il logo Arbor Networks e Arbor Networks: Smart. Available. Secure sono marchi di Arbor Networks Inc. Tutti gli altri marchi citati appartengono ai rispettivi proprietari. Per ulteriori informazioni alla stampa: Seigradi - Barbara Gemma La Malfa/ Eleonora Ballatori arbor@seigradi.com Tel. +39.02. 84560801
Information Security n. 28 nov/dic 2014
# looks for PUSH EBP; MOV EBP, ESP func_start = file[:instr_addr-0x400000].rfind(‘\x55\x8b\xec’) code = file[func_start:func_start+0x200] md = Cs(CS_ARCH_X86, CS_MODE_32) md.detail = True decrypt_func_next = False calls = 0 for i in md.disasm(code, func_start+0x400000): # looking for mov eax, if i.mnemonic == ‘mov’ and len(i.operands) == 2 \ and i.operands[0].type == X86_OP_REG and i.operands[0].reg == X86_REG_EAX \ and i.operands[1].type == X86_OP_IMM and i.operands[1].imm >= 0x400000 \ and i.operands[1].imm <= 0x500000: d = decrypt_drive(get_string(file,i.operands[1].imm-0x400000)) # validate that this is indeed the install name if d.endswith(‘.exe’): config[‘install_name’] = d decrypt_func_next = True # check for the next call after the install name call elif decrypt_func_next and ‘install_name’ in config \ and i.mnemonic == ‘call’ and calls == 1: config[‘decrypt_func’] = i.operands[0].imm break elif ‘install_name’ in config and i.mnemonic == ‘call’: calls += 1
Arbor Networks, Inc. aiuta a proteggere le più grandi reti enterprise e service provider da attacchi DDoS e minacce avanzate. Secondo Infonetics Research, infatti, Arbor è il principale fornitore al mondo di protezione DDoS nei segmenti enterprise, carrier e mobile. Le soluzioni alle minacce avanzate di Arbor offrono una visibilità completa della rete combinando cattura dei pacchetti e tecnologia NetFlow, in modo da consentire la rapida individuazione e mitigazione di malware e minacce interne. Arbor, inoltre, fornisce risorse importanti per l’analisi storica, la visualizzazione, l’indagine e la risposta agli incidenti di sicurezza. Arbor vuole essere un “moltiplicatore di forze”, facendo rete e creando squadre di esperti. Il nostro obiettivo è quello di fornire un’immagine più accurata delle reti e del contesto di sicurezza, così che i clienti possano risolvere i problemi più velocemente e ridurre il rischio per il proprio business.
23
SICUREZZA WEB
Questo articolo mostra chiaramente l’entità dell’analisi necessaria a riconoscere gli stratagemmi sempre più ingegnosi messi in atto dai creatori di malware per nascondere le proprie tracce. Per questa ragione, per contrastare gli Advanced Threat e gli attacchi DDoS continuano ad essere necessari non solo le giuste soluzioni tecnologiche, ma anche e soprattutto team di professionisti della sicurezza in grado di riconoscere le minacce e combatterle in modo appropriato adattandosi a stili di attacco sempre diversi Marco Gioanola
Consulting Engineer di Arbor Networks
Information Security n. 28 nov/dic 2014
Ora che la funzione di decifrazione è stata identificata, è possibile localizzare le informazioni C&C desiderate.
24
mov_inst = ‘\xba’+struct.pack(“<I”,0x400000+file.find(‘k=’)) mov_k_addr = 0x400000+file.find(mov_inst) # look for PUSH EBP; MOV EBP, ESP func_start = file[:instr_addr-0x400000].rfind(‘\x55\x8b\xec’) code = file[func_start:func_start+0x200] md = Cs(CS_ARCH_X86, CS_MODE_32) md.detail = True calls = 0 d = None for i in md.disasm(code, func_start + 0x400000): # look for mov edx, <addr> if i.mnemonic == ‘mov’ and len(i.operands) == 2 \ and i.operands[0].type == X86_OP_REG and i.operands[0].reg == X86_REG_EDX \ and i.operands[1].type == X86_OP_IMM and i.operands[1].imm >= 0x400000 \ and i.operands[1].imm <= 0x500000: d = get_string(file,i.operands[1].imm-0x400000) # if call decrypt_func, then decrypt(d) elif i.mnemonic == ‘call’ and i.operands[0].imm == config[‘decrypt_func’] and d: # first call is the c2 host/ip if calls == 0: config[‘host’] = decrypt_drive(d) d = None calls += 1 # 2nd call is the URI elif calls == 1: config[‘uri’] = decrypt_drive(d) d = None break
E ADESSO? Capstone è uno strumento utile da avere a portata di mano, e mi auguro che il codice di esempio presentato in questo post possa aiutare altri ricercatori. Per quanto mi riguarda intendo perfezionare il codice qui, e crearne di nuovo per altre interessanti famiglie di malware, rendendolo adatto alla pubblicazione. u
SICUREZZA WEB
INTERVISTA AD ANTONIO ORITI, CHANNEL MANAGER ITALIA BOOLE SERVER Nel panorama variegato dei “dati sensibili” spiccano quelli in possesso degli studi legali, oggetto di attacchi sempre più frequenti. Analizziamo il fenomeno a cura della Redazione
Il progressivo e costante diffondersi dell’internet of things ha cambiato il concetto di sicurezza informatica aumentando esponenzialmente la superficie virtuale esposta agli attacchi e generando nuove sfide per la cyber security. La piaga degli attacchi informatici non risparmia gli Studi Legali, custodi di informazioni importanti e sensibili.
2. Quali aspetti i professionisti legali
lo studio e dei suoi documenti.
3. Perchè antivirus e firewall non costituiscono più armi sufficienti per combattere la pirateria informatica? Poichè la minaccia più importante arriva dagli utenti interni allo studio, software come antivirus e firewall non possono bloccare l’utilizzo non autorizzato dei documenti riservati e sensibili.
5. In che modo gli Studi legali possono tutelarsi dai rischi provenienti dalla rete? Proteggendo il documento con sistemi che permettano “l’offuscamento” del documento tramite la cifratura indispensabile per impedire la visualizzazione a chiunque non sia autorizzato. Parallelamente il sistema deve riconoscere tutti gli utenti che devono avere accesso ai documenti riservati tracciando tutte le attività svolte.
4. Quale ruolo giocano in questo contesto i dispostivi mobili e il cloud computing? Un ruolo importantissimo in quanto vengono oramai usati come dei normali personal computer sui cui vengono salvati e condivisi documenti di ogni tipo. Inoltre, vista la loro “portabilità” sono spesso oggetto di furto o “dimenticanze” mettendo in crisi la riservatezza del-
6. Qual è la soluzione più efficace per la sicurezza della documentazione digitale degli Studi legali? Inevitabilmente la soluzione migliore è la nostra! Ad esempio proprio in questi giorni stiamo lavorando insieme a 24OreSoftware per integrare Boole Server all’interno dell’applicazione EasyLex molto utilizzata e conosciuta in ambito Legale. u
Information Security n. 28 nov/dic 2014
1. Quali sono le maggiori minacce alla sicurezza degli Studi legali? Possiamo solo intuire, in quanto all’interno degli studi legali “transitano” molti professionisti e praticanti che hanno accesso a tutte le risorse del sistema informatico. Spesso il turnover è elevato e con esso gli accessi ai documenti che spesso e volentieri vengono salvati sui device di proprietà dei professionisti che rimangono in loro possesso anche dopo avere lasciato lo studio.
dovrebbero monitorare per tenere sotto controllo la privacy dei dati digitali dello Studio? Devono monitorare/controllare/regolamentare l’accesso ai documenti sensibili.
25
VETRINA
www.arbornetworks.com
PRAVAIL® NSI Conoscenza a livello di rete Possibilità di utilizzare sia il flusso IP (es.: NetFlow) che l’analisi approfondita dei pacchetti (DPI) per un’analisi economicamente conveniente della visibilità e delle prestazioni del traffico della rete e delle applicazioni dei Data Center. Analisi basata sulle attività Identificazione di tutte le attività che si verificano in rete, come P2P, comunicazione botnet o uso improprio delle risorse aziendali. Garanzia di conformità Riduzione del carico di lavoro associato al soddisfacimento dei criteri d’uso interni o delle norme statali o specifiche del settore, ad esempio le norme HIPAA, PCI, la direttiva UE sull’archiviazione dei dati, le norme NERC, ITIL e ISO 17799.
AVAST! EMAIL SERVER SECURITY
www.atsecurity.it
avast! Email Server Security esegue la scansione del traffico email aziendale, fornendo una funzione di protezione fondamentale per i server di posta elettronica e garantendo la protezione dei dati contro perdite dannose. Provvisto di un numero di licenze pari al numero totale delle caselle di posta elettronica, si integra perfettamente con Microsoft Exchange Server mediante le Virus Scanning API di Microsoft. La nostra interfaccia utente grafica (GUI) facile da navigare offre una finestra centrale di facile utilizzo per tutte le funzioni del programma. Opzioni di reporting complete forniscono parametri regolabili relativi alle informazioni da riportare e la relativa frequenza.
26
www.globaltrust.it
Information Security n. 28 nov/dic 2014
LA PROTEZIONE DEI DATI La sicurezza all’interno di un’azienda è uno dei puzzle più complicati da comporre e risolvere. La suite GlobalTrust Enigma™ offre una soluzione modulare e scalabile per l’archiviazione e la trasmissione sicura di documenti che copre le esigenze sia del singolo utente, sia quelle relative alle reti locali e geografiche di grandi organizzazioni od Enti. Enigma™ consente di implementare le più severe policy di sicurezza e di garantire la protezione e la riservatezza di file, e-mail e archivi e dell’intero flusso documentale. La suite Risk Mitigation Suite (RMS) offre un insieme di prodotti ed utilità GRATUITE, per sensibilizzare gli utenti all’uso sicuro di Internet e dei propri sistemi.
VETRINA
iNEBULA ENERGY: SERVIZIO CLOUD PER IL MONITORAGGIO ENERGETICO
www.inebula.it
iNebula Energy è la soluzione per eseguire una diagnosi energetica e risparmiare sui crescenti costi dell’energia attraverso l’utilizzo razionale delle risorse. Quando si diventa consapevoli di dove, come e quando vengono sostenuti questi costi, si possono identificare le criticità di consumo ed intervenire per sanarle abilitando il monitoraggio in tempo reale del consumo energetico. iNebula Energy consente di controllare l’efficienza energetica degli impianti/edifici tramite il controllo sugli impianti ed eventuali anomalie vengono segnalate immediatamente al personale dell’azienda tramite e-mail o SMS, evitando sprechi di energia.
www.kaspersky.com/it
KASPERSKY SECURITY FOR VIRTUALIZATION Kaspersky Security for Virtualization è una soluzione appositamente sviluppata per la sicurezza delle macchine virtuali e consente alle aziende di mantenere un’elevata densità di virtualizzazione ed elevate prestazioni, con un conseguente incremento del ROI. Sicurezza delle macchine virtuali con minor carico sulle risorse di elaborazione Kaspersky Security for Virtualization non richiede l’installazione di un agente di sicurezza completo su ogni macchina virtuale ed offre una soluzione più efficiente per la protezione degli ambienti virtualizzati, con un carico inferiore su processori, memoria, archiviazione e I/O.
DEVICELOCK® ENDPOINT DLP SUITE
Information Security n. 28 nov/dic 2014
www.devicelock.com/it
DeviceLock® Endpoint DLP Suite fornisce sia il controllo contestuale sia quello basato sul contenuto, in grado di garantire un’efficace prevenzione della perdita di dati con costi anticipati e di possesso minimi. Il suo motore di ispezione e intercettazione multistrato fornisce un controllo specifico su un’ampia gamma di percorsi di perdita di dati a livello contestuale. Per garantire un’ulteriore protezione ai dati riservati, è possibile applicare l’analisi del contenuto e filtri a determinati scambi di dati di endpoint trasferiti su periferiche rimovibili e dispositivi PnP e attraverso la rete.
27
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA Raoul Chiesa - Founder, Security Brokers Inc. Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell’Università degli Studi dell’Aquila e Presidente del Centro Ricerche Themis Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell’Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L - Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT
INDICE INSERZIONISTI
Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
FUTURE TIME
II COP.
SINERGY
III COP.
WATCHGUARD
IV COP.
EHALTH CONFERENCE
PAG. 12
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali Elio Molteni - Presidente AIPSI, ISSA Italian Chapter Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria
Information Security Anno V - n. 28 Novembre/Dicembre 2014 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Grafica e impaginazione Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Marco Bompiani ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 Abbonamento annuale Euro 52,00
Stefano Zanero - Responsabile Tecnico, Secure Network
BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434
PER COLLABORARE
Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it
La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tiff, pdf o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA
Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Dicembre 2014 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma