MODULO DIDATTICO "Introducing to Cyber Security" a cura di Stefano Mitrione + fonti citate
FULL VERSION NOT PROTECTED DATA
PREFAZIONE
Il modulo didattico è finalizzato alla presentazione e alla comprensione di un'ambiente così vasto quanto affascinante come quello della Cyber Security in campo Geopolitico. Verranno analizzati i principali campi d'azione, i protagonisti e le competenze professionali coinvolte, e le principali tecniche di attacco e difesa tra gli attori in campo. Quindi un'analisi sul piano teorico più che su quello pratico, ma che contiene importanti spunti e nozioni utili alla propria sicurezza digitale o per un possibile ingresso professionale.
Il modulo didattico è finalizzato alla presentazione e alla comprensione di un'ambiente così vasto quanto affascinante come quello della Cyber Security in campo Geopolitico. Verranno analizzati i principali campi d'azione, i protagonisti e le competenze professionali coinvolte, e le principali tecniche di attacco e difesa tra gli attori in campo. Quindi un'analisi sul piano teorico più che su quello pratico, ma che contiene importanti spunti e nozioni utili alla propria sicurezza digitale o per un possibile ingresso professionale.
"Cyber Security"
"La cyber security è un tema complesso e pensare di coprire le esigenze con un presidio di poche persone si rivela sbagliato e insufficiente, perché le professionalità di due o tre figure, pur specializzate, non bastano a coprire tutte le potenziali casistiche di problemi da attacchi informatici. È preferibile affrontare le esigenze di sicurezza informatica in una “modalità di servizio” per garantire che diverse e molteplici professionalità siano applicabili alle diverse tecnologie che sono core in quella azienda cliente e si possano adattare alle diverse situazioni e scenari di emergenza che si possono verificare. Le persone devono poter collaborare in team per raggiungere la soluzione".
Gianandrea Amatobene / Cyber Partners
Gianandrea Amatobene / Cyber Partners
🠕
1. Cos'è un attacco informatico
Innanzitutto, proviamo a definire un attacco informatico: si tratta di un’azione offensiva rivolta alle infrastrutture, dispositivi o reti informatiche, con l’intento di rubare, modificare o distruggere dati o sistemi informatici.
È importante tenere sempre presente che nessun sistema può essere considerato completamente al sicuro da attacchi informatici.
Per questo motivo, è importante monitorare costantemente la propria rete e i propri sistemi per rilevare eventuali anomalie o attività sospette e agire prontamente in caso di un attacco in corso.
La sicurezza informatica è un processo continuo che richiede costante vigilanza e aggiornamento delle misure di protezione per salvaguardare i dati e le informazioni sensibili. In assenza delle giuste precauzioni, il costo può essere estremamente elevato, sia in termini finanziari.
Per questo motivo, è importante adottare un approccio proattivo per mettere al sicuro le proprie risorse digitali e ridurre al minimo il rischio di possibili cyber attacchi.
Per questo motivo, è importante monitorare costantemente la propria rete e i propri sistemi per rilevare eventuali anomalie o attività sospette e agire prontamente in caso di un attacco in corso.
La sicurezza informatica è un processo continuo che richiede costante vigilanza e aggiornamento delle misure di protezione per salvaguardare i dati e le informazioni sensibili. In assenza delle giuste precauzioni, il costo può essere estremamente elevato, sia in termini finanziari.
Per questo motivo, è importante adottare un approccio proattivo per mettere al sicuro le proprie risorse digitali e ridurre al minimo il rischio di possibili cyber attacchi.
CTI: Cyber Threat Intelligence
In un mondo sempre più connesso, dove la digitalizzazione si traduce in un vantaggio competitivo, ma anche in un potenziale rischio, la difesa dei sistemi e del personale diventa una missione imprescindibile.
E qui entra in gioco la cyber threat intelligence (CTI).
Pensiamoci come un radar avanzato in un campo di battaglia digitale:
la CTI non solo rileva le minacce imminenti, ma fornisce anche informazioni dettagliate sul ‘nemico’, permettendo di anticiparne le mosse e prepararsi di conseguenza.
Adottare la cyber threat intelligence significa avere una visione proattiva della sicurezza.
Non si tratta solo di costruire muri più alti, ma anche di comprendere dove, quando e come potrebbe arrivare il prossimo attacco, consentendo una risposta tempestiva e mirata.
Questo approccio salvaguarda non solo i dati e i sistemi, ma assicura la continuità operativa.
E, cosa non meno importante, garantisce che il personale lavori in un ambiente sicuro e protetto, rafforzando la fiducia e la coesione del team.
La cyber threat intelligence non è solo una scelta, ma una necessità strategica.
E qui entra in gioco la cyber threat intelligence (CTI).
Pensiamoci come un radar avanzato in un campo di battaglia digitale:
la CTI non solo rileva le minacce imminenti, ma fornisce anche informazioni dettagliate sul ‘nemico’, permettendo di anticiparne le mosse e prepararsi di conseguenza.
Adottare la cyber threat intelligence significa avere una visione proattiva della sicurezza.
Non si tratta solo di costruire muri più alti, ma anche di comprendere dove, quando e come potrebbe arrivare il prossimo attacco, consentendo una risposta tempestiva e mirata.
Questo approccio salvaguarda non solo i dati e i sistemi, ma assicura la continuità operativa.
E, cosa non meno importante, garantisce che il personale lavori in un ambiente sicuro e protetto, rafforzando la fiducia e la coesione del team.
La cyber threat intelligence non è solo una scelta, ma una necessità strategica.
🠕
2. Cos'è la CyberSecurity
Che cosa significa fare cybersecurity in un contesto come quello attuale, in cui gli attacchi hacker sono giornalieri?
|
È come essere Neo in Matrix.
Gli agenti (gli hacker) cercano continuamente di infiltrarsi e manipolare la realtà a proprio vantaggio. Noi siamo come Neo, che deve evolversi, imparare e adattarsi rapidamente per neutralizzare le minacce. In un mondo in cui ogni click può essere un’illusione o una trappola, il nostro compito è decifrare la realtà, andare oltre le apparenze e proteggere l’ecosistema digitale. E proprio come Neo, ogni volta che pensiamo di avere tutte le risposte, il sistema presenta nuove sfide, richiedendo una continua evoluzione e apprendimento. |
Quali sono le minacce più costanti e come si possono prevenire?
In questo momento storico spiccano tre tipi di minacce, tra le altre:
attacchi DDoS, ransomware e attacchi alla supply chain.
I primi 2 inondano le infrastrutture con un traffico schiacciante, paralizzando servizi e piattaforme.
Il ransomware prende in ostaggio dati e sistemi, richiedendo pagamenti per il loro ‘rilascio’.
Varianti come LockBit 3.0 sono diventate particolarmente insidiose, con metodi di cifratura avanzati e tecniche di elusione della difesa.
Gli attacchi alla supply chain, invece, mirano alle vulnerabilità nella catena di approvvigionamento di un’organizzazione, spesso sfruttando terze parti come punto d’ingresso facilitato.
Questa è una minaccia insidiosa, perché sfrutta la fiducia tra le componenti interne al sistema (personale).
attacchi DDoS, ransomware e attacchi alla supply chain.
I primi 2 inondano le infrastrutture con un traffico schiacciante, paralizzando servizi e piattaforme.
Il ransomware prende in ostaggio dati e sistemi, richiedendo pagamenti per il loro ‘rilascio’.
Varianti come LockBit 3.0 sono diventate particolarmente insidiose, con metodi di cifratura avanzati e tecniche di elusione della difesa.
Gli attacchi alla supply chain, invece, mirano alle vulnerabilità nella catena di approvvigionamento di un’organizzazione, spesso sfruttando terze parti come punto d’ingresso facilitato.
Questa è una minaccia insidiosa, perché sfrutta la fiducia tra le componenti interne al sistema (personale).
Come difendersi?
“Conosci te stesso e conosci il tuo nemico, e in 100 battaglie non sarai mai in pericolo”
Sun Tzu, L’Arte della guerra
Nella cyber security conosci le tue vulnerabilità e le tattiche degli attori malevoli e sarai sempre pronto a difenderti.
Nella cyber security conosci le tue vulnerabilità e le tattiche degli attori malevoli e sarai sempre pronto a difenderti.
Per prima cosa, il motto è be cyber aware: siate sempre utenti consapevoli.
Poi bisogna dotarsi delle giuste tecnologie di protezione e prevenzione.
Poi bisogna dotarsi delle giuste tecnologie di protezione e prevenzione.
🠕
3. Tipologie di attacco informatico
A pioggia o mirati: le due tipologie di attacco informatico
Gli attacchi informatici mirati e quelli a pioggia rappresentano approcci molto diversi nel mondo della cybersicurezza.
Gli attacchi mirati sono strategie in cui gli aggressori selezionano specifici obiettivi e sviluppano tattiche personalizzate per infiltrarsi nei loro sistemi.
Questi attacchi sono spesso mirati a organizzazioni specifiche o a individui e richiedono una ricerca approfondita sulla vittima.
Gli attacchi a pioggia coinvolgono un grande volume di potenziali bersagli e si basano sulla quantità piuttosto che sulla qualità.
In questo caso, gli aggressori non sanno esattamente chi colpiranno e utilizzano metodi di attacco automatizzati e standardizzati per sfruttare le vulnerabilità più comuni.
Questo tipo di attacchi possono includere virus, malware o altre minacce generiche che vengono diffuse su larga scala attraverso e-mail di phishing, siti web compromessi o altre vie.
In sintesi, la principale differenza tra gli attacchi mirati e quelli a pioggia è la precisione dell’obiettivo.
Gli attacchi mirati sono come frecce scoccate con attenzione per colpire un bersaglio specifico,
mentre gli attacchi a pioggia sono come lanciare una rete sperando di catturare quante più prede possibile.
Gli attacchi mirati sono strategie in cui gli aggressori selezionano specifici obiettivi e sviluppano tattiche personalizzate per infiltrarsi nei loro sistemi.
Questi attacchi sono spesso mirati a organizzazioni specifiche o a individui e richiedono una ricerca approfondita sulla vittima.
Gli attacchi a pioggia coinvolgono un grande volume di potenziali bersagli e si basano sulla quantità piuttosto che sulla qualità.
In questo caso, gli aggressori non sanno esattamente chi colpiranno e utilizzano metodi di attacco automatizzati e standardizzati per sfruttare le vulnerabilità più comuni.
Questo tipo di attacchi possono includere virus, malware o altre minacce generiche che vengono diffuse su larga scala attraverso e-mail di phishing, siti web compromessi o altre vie.
In sintesi, la principale differenza tra gli attacchi mirati e quelli a pioggia è la precisione dell’obiettivo.
Gli attacchi mirati sono come frecce scoccate con attenzione per colpire un bersaglio specifico,
mentre gli attacchi a pioggia sono come lanciare una rete sperando di catturare quante più prede possibile.
Live Cyber Attack Maps
FULL VERSION NOT PROTECTED DATA
Quali sono le tre tipologie di attacchi informatici più comuni?
Ci sono molte tipologie di attacchi informatici che possono essere suddivisi in tre categorie principali:
- Attacchi attacchi alla disponibilità
- Attacchi alla riservatezza
- Attacchi all’integrità dei dati
- Attacchi alla disponibilità: mirano a rendere un sistema o una rete inaccessibile o inutilizzabile. Questi attacchi possono essere eseguiti tramite Distributed Denial of Service (DDoS), che sovraccarica un sistema di richieste rendendolo impossibile da utilizzare;
- Attacchi alla riservatezza: mirano a ottenere informazioni sensibili o riservate. Questi attacchi includono phishing, in cui gli aggressori cercano di ottenere informazioni personali tramite e-mail fraudolente, o ransomware, una forma di malware, in cui i dati sono criptati dagli aggressori e chiesto un riscatto per ripristinarli.
- Attacchi all’integrità: cercano di modificare o corrompere i dati. Questi attacchi possono includere Man-in-the-middle (MiTM), in cui gli aggressori si inseriscono tra due parti che comunicano e manipolano i messaggi in transito.
Ecco dunque i principali 10 tipi di attacchi informatici più comuni
Matteo Cecchini
A. Attacchi Denial-of-service (DoS)
e distributed denial-of-service (DDoS)
Un attacco denial-of-service sovrasta le risorse di un sistema in modo che non possa rispondere alle richieste di servizio.
Un attacco DDoS è anche un attacco alle risorse del sistema, ma è lanciato da un gran numero di altre macchine host che sono infettate da un software maligno controllato dall’attaccante.
A differenza degli attacchi che sono progettati per consentire all’attaccante di ottenere o aumentare l’accesso, il denial-of-service non fornisce benefici diretti agli attaccanti.
Per alcuni di loro, è sufficiente avere la soddisfazione della negazione del servizio.
Tuttavia, se la risorsa attaccata appartiene a una controparte nemica, allora il beneficio per l’attaccante può essere concreto.
Un altro scopo di un attacco DoS può essere quello di portare un sistema offline in modo che un altro tipo di attacco possa essere lanciato.
Un esempio comune è il session hijacking, che descriveremo più avanti.
Ci sono diversi tipi di attacchi DoS e DDoS
i più comuni sono:
l’attacco TCP SYN flood,
l’attacco teardrop,
l’attacco smurf,
l’attacco ping-of-death
e le botnet.
Attacco TCP SYN flood
In questo attacco, un attaccante sfrutta l’uso dello spazio buffer durante un handshake di inizializzazione della sessione del Transmission Control Protocol (TCP).
Il dispositivo dell’attaccante inonda la piccola coda in-process del sistema di destinazione con richieste di connessione, ma non risponde quando il sistema di destinazione risponde a tali richieste.
Questo fa sì che il sistema di destinazione vada in time out mentre aspetta la risposta dal dispositivo dell’attaccante, il che fa sì che il sistema si blocchi o diventi inutilizzabile quando la coda di connessione si riempie.
Ci sono alcune contromisure per un attacco TCP SYN flood:
Attacco Teardrop
Questo attacco fa sì che i campi di lunghezza e di offset di frammentazione nei pacchetti sequenziali Internet Protocol (IP) si sovrappongano l’uno all’altro sull’host attaccato;
il sistema attaccato tenta di ricostruire i pacchetti durante il processo, ma non ci riesce. Il sistema bersaglio si confonde e si blocca.
SOLUZIONI
Se non ci sono patch a disposizione per proteggersi da questo attacco DoS, disabilitate SMBv2 e bloccate le porte 139 e 445.
Attacco Smurf
Questo attacco comporta l’utilizzo di IP spoofing e ICMP per saturare una rete bersaglio con il traffico.
Questo metodo di attacco utilizza richieste ICMP echo mirate a indirizzi IP broadcast.
Queste richieste ICMP provengono da un indirizzo “vittima” spoofato.
Per esempio, se l’indirizzo della vittima è 10.0.0.10, l’aggressore dovrebbe spoofare una richiesta ICMP echo da 10.0.0.10 all’indirizzo broadcast 10.255.255.255.
Questa richiesta andrebbe a tutti gli IP nell’intervallo, con tutte le risposte che tornano al 10.0.0.10, intasando la rete.
Questo processo è ripetibile, e può essere automatizzato per generare una forte congestione della rete.
SOLUZIONI
Per proteggere i dispositivi da questo attacco, è necessario disabilitare i broadcast diretti agli IP ai router.
Questo impedirà che la richiesta di broadcast ICMP echo arrivi ai dispositivi di rete.
Un’altra opzione sarebbe quella di configurare gli endpoint per impedire loro di rispondere ai pacchetti ICMP da indirizzi broadcast.
Attacco Ping of Death
Questo tipo di attacco utilizza pacchetti IP per pingare un sistema bersaglio con una dimensione IP superiore al massimo di 65.535 byte.
I pacchetti IP di questa dimensione non sono consentiti, quindi l’attaccante frammenta il pacchetto IP.
Una volta che il sistema di destinazione riassembla il pacchetto, si possono verificare buffer overflow e altri crash.
SOLUZIONI
Gli attacchi di ping of death possono essere bloccati utilizzando un firewall che controlla la dimensione massima per i pacchetti IP frammentati.
Botnet
Le botnet sono i milioni di sistemi infettati con malware sotto il controllo degli hacker, utilizzate per effettuare attacchi DDoS.
Questi bot o sistemi “zombie” vengono utilizzati per effettuare attacchi contro i sistemi di destinazione, spesso riempiendo la larghezza di banda e le capacità di elaborazione del sistema di destinazione.
Questi attacchi DDoS sono difficili da tracciare perché le botnet si trovano in diverse località geografiche.
SOLUZIONI
Le botnet possono essere mitigate da:
B. Attacco Man-in-the-middle (MitM)
Un attacco MitM si verifica quando un hacker si inserisce tra le comunicazioni di un client e un server.
Ecco alcuni tipi comuni di attacchi man-in-the-middle:
Dirottamento della sessione
In questo tipo di attacco MitM, un attaccante dirotta una sessione tra un client fidato e un server di rete.
Il computer attaccante sostituisce il suo indirizzo IP con quello del client fidato, mentre il server continua la sessione, credendo di comunicare con il client. Ad esempio, l’attacco potrebbe svolgersi in questo modo:
IP Spoofing
L’IP spoofing è usato da un attaccante per convincere un sistema che sta comunicando con un’entità nota e fidata e fornisce quindi all’attaccante l’accesso al sistema.
L’attaccante invia un pacchetto con l’indirizzo sorgente IP di un host noto e fidato invece del proprio indirizzo sorgente IP ad un host di destinazione. L’host di destinazione potrebbe accettare il pacchetto e agire di conseguenza, concedendo l’accesso.
Replay
Un attacco replay si verifica quando un attaccante intercetta e salva vecchi messaggi e poi cerca di inviarli in seguito, impersonando uno dei partecipanti.
SOLUZIONI
Questo tipo di attacco può essere facilmente contrastato con timestamp di sessione o un nonce (un numero casuale o una stringa che cambia nel tempo).
Attualmente, non esiste una singola tecnologia o configurazione per prevenire tutti gli attacchi MitM.
In generale, la crittografia e i certificati digitali forniscono un’efficace salvaguardia contro gli attacchi MitM, assicurando sia la riservatezza che l’integrità delle comunicazioni.
Ma un attacco man-in-the-middle può anche essere iniettato nel mezzo delle comunicazioni in modo tale che nemmeno la crittografia può aiutare – per esempio, l’attaccante “A” intercetta la chiave pubblica della persona “P” e la sostituisce con la propria chiave pubblica.
Quindi, chiunque voglia inviare un messaggio criptato a P usando la chiave pubblica di P sta inconsapevolmente usando la chiave pubblica di A.
Pertanto, A può leggere il messaggio destinato a P e poi inviare il messaggio a P, criptato con la vera chiave pubblica di P, e P non noterà mai che il messaggio è stato compromesso.
Inoltre, A potrebbe anche modificare il messaggio prima di reinviarlo a P. Come potete vedere, P sta usando la crittografia e pensa che le sue informazioni siano protette ma non lo sono, a causa dell’attacco MitM.
Quindi, come si può essere sicuri che la chiave pubblica di P appartenga a P e non ad A?
Le autorità di certificazione e le funzioni hash sono state create per risolvere questo problema.
Quando la persona 2 (P2) vuole inviare un messaggio a P, e P vuole essere sicuro che A non leggerà o modificherà il messaggio e che il messaggio provenga effettivamente da P2, si deve usare il seguente metodo:
C. Attacchi di phishing e spear phishing
L’attacco di phishing è la pratica di inviare e-mail che sembrano provenire da fonti affidabili con l’obiettivo di ottenere informazioni personali o influenzare gli utenti a fare qualcosa.
Combina l’ingegneria sociale e l’inganno tecnico.
Potrebbe concretizzarsi in un allegato a un’email che carica un malware sul tuo computer.
Potrebbe anche essere un link a un sito web illegittimo che può indurti a scaricare malware o a sottrarti le tue informazioni personali.
Lo spear phishing è un tipo di attività di phishing molto mirata.
Gli aggressori si prendono del tempo per condurre ricerche sugli obiettivi e creare messaggi che siano personali e rilevanti.
Per questo motivo, lo spear phishing può essere molto difficile da identificare ed è ancora più difficile proteggersi.
Uno dei modi più semplici in cui un hacker può condurre un attacco di spear phishing è l’email spoofing, che avviene quando l’informazione nella sezione “Da” dell’email è falsificata, facendola sembrare come se provenisse da qualcuno che conosci, come un tuo collega.
Un’altra tecnica che i truffatori usano per aggiungere credibilità alla loro storia è la clonazione di siti web – copiano siti web legittimi per ingannarti e farti inserire informazioni di identificazione personale (PII) o credenziali di accesso.
SOLUZIONI
Per ridurre il rischio di essere vittima di phishing, puoi usare queste tecniche:
D. Attacco drive-by
Gli attacchi drive-by download sono un metodo comune di diffusione del malware.
Gli hacker cercano siti web insicuri e inseriscono uno script dannoso nel codice HTML o PHP di una delle pagine.
Questo script potrebbe installare malware direttamente sul computer di qualcuno che visita il sito, o potrebbe reindirizzare la vittima a un sito controllato dagli hacker.
I download drive-by possono avvenire quando si visita un sito web o si visualizza un messaggio e-mail o una finestra pop-up.
A differenza di molti altri tipi di attacchi alla sicurezza informatica, un drive-by non si basa sul fatto che l’utente faccia qualcosa per attivare attivamente l’attacco – non è necessario cliccare su un pulsante di download o aprire un allegato e-mail dannoso per essere infettati.
Un download drive-by può sfruttare un’app, un sistema operativo o un browser web che contiene falle di sicurezza dovute ad aggiornamenti non riusciti o alla mancanza di aggiornamenti.
SOLUZIONI
Per proteggersi dagli attacchi drive-by, è necessario mantenere aggiornati i browser e i sistemi operativi ed evitare i siti web che potrebbero contenere codice dannoso.
Attieniti ai siti che usi normalmente – ma tieni presente che anche questi siti possono essere violati.
Non tenere troppi programmi e app inutili sul tuo dispositivo.
Più plug-in hai, più vulnerabilità ci sono che possono essere sfruttate da attacchi drive-by.
E. Attacco sulle password
Poiché le password sono il meccanismo più comunemente usato per autenticare gli utenti a un sistema informatico, ottenere le password è un approccio di attacco comune ed efficace.
L’accesso alla password di una persona può essere ottenuto guardando intorno alla scrivania della persona, ”sniffando” la connessione alla rete per acquisire password non criptate, usando l’ingegneria sociale, ottenendo l’accesso a un database di password o indovinandola direttamente.
L’ultimo approccio può essere fatto in modo casuale o sistematico:
Per proteggersi dagli attacchi con dizionario o a forza bruta, è necessario implementare una politica di blocco dell’account che bloccherà l’account dopo alcuni tentativi di password non validi.
F. Attacco SQL injection
L’injection SQL è diventata un problema comune con i siti web basati su database.
Si verifica quando un malfattore esegue una query SQL al database attraverso i dati di input dal client al server.
I comandi SQL sono inseriti nell’input del piano dati (per esempio, al posto del login o della password) per eseguire comandi SQL predefiniti.
Un exploit SQL injection riuscito può leggere dati sensibili dal database, modificare (inserire, aggiornare o cancellare) i dati del database, eseguire operazioni di amministrazione (come lo spegnimento) sul database, recuperare il contenuto di un dato file e, in alcuni casi, emettere comandi sul sistema operativo.
Per esempio, un modulo web su un sito web potrebbe richiedere il nome dell’account di un utente e poi inviarlo al database per estrarre le informazioni dell’account associato usando l’SQL dinamico come questo:
“SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”
Quando questo attacco funziona, perché viene indovinato l’ID dell’account, lascia un buco per gli attaccanti.
Per esempio, se qualcuno decidesse di fornire un ID account “‘ or ‘1’ = ‘1’”, questo risulterebbe in una stringa:
“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”
Poiché ‘1‘ = ‘1‘ è sempre TRUE, il database restituirà i dati per tutti gli utenti invece di un solo utente.
La vulnerabilità a questo tipo di attacco di sicurezza informatica dipende dal fatto che SQL non verifica chi possa avere i permessi o meno. Pertanto, le iniezioni SQL funzionano soprattutto se un sito web utilizza SQL dinamico. Inoltre, l’iniezione SQL è molto comune con le applicazioni PHP e ASP a causa della prevalenza di vecchi sistemi. Le applicazioni J2EE e ASP.NET hanno meno probabilità di ricevere injection SQL sfruttabili a causa della natura delle interfacce di programmazione disponibili.
SOLUZIONI
Per proteggervi da un attacco di SQL injection, applicate il modello least0privilege dei permessi nei vostri database.
Attenetevi alle stored procedure (assicuratevi che queste procedure non includano alcun SQL dinamico) e alle istruzioni preparate precedentemente (query parametrizzate). Il codice che viene eseguito verso il database deve essere abbastanza forte da prevenire attacchi di tipo injection.
Inoltre, convalidare i dati di input in funzione di una whitelist a livello di applicazione.
G. Attacco cross-site scripting (XSS)
Gli attacchi XSS utilizzano risorse web di terze parti per eseguire script nel browser web o nell’applicazione web della vittima.
In particolare, l’attaccante inietta un payload con JavaScript dannoso nel database di un sito web.
Quando la vittima richiede una pagina dal sito web, il sito web trasmette la pagina, con il payload dell’attaccante come parte del corpo HTML, al browser della vittima, che esegue lo script dannoso.
Per esempio, potrebbe inviare il cookie della vittima al server dell’attaccante, e l’attaccante può estrarlo e usarlo per il session hijacking.
Le conseguenze più pericolose si verificano quando XSS viene utilizzato per sfruttare ulteriori vulnerabilità.
Queste vulnerabilità possono permettere ad un attaccante non solo di rubare i cookie, ma anche di registrare le battute di tasti, catturare screenshot, scoprire e raccogliere informazioni di rete, e accedere e controllare in remoto la macchina della vittima.
Anche se gli XSS possono essere inseriti all’interno di VBScript, ActiveX e Flash, il più ampiamente abusato è JavaScript – principalmente perché JavaScript è ampiamente supportato sul web.
SOLUZIONI
Per difendersi dagli attacchi XSS, gli sviluppatori possono sanitizzare i dati inseriti dagli utenti in una richiesta HTTP prima di restituirli.
Assicuratevi che tutti i dati siano convalidati o filtrati prima di restituire qualcosa all’utente, come i valori dei parametri della query durante le ricerche. Convertire i caratteri speciali come ?, &, /, <, > e gli spazi nei loro rispettivi equivalenti codificati in HTML.
Date agli utenti la possibilità di disabilitare gli script lato client.
H. Attacco con intercettazione
Gli attacchi di eavesdropping si verificano attraverso l’intercettazione del traffico di rete.
Con l’eavesdropping, un attaccante può ottenere password, numeri di carte di credito e altre informazioni riservate che un utente potrebbe inviare in rete.
L’eavesdropping può essere passivo o attivo:
SOLUZIONI
Rilevare gli attacchi di intercettazione passiva è spesso più importante che individuare quelli attivi, poiché gli attacchi attivi richiedono che l’attaccante acquisisca la conoscenza degli endpoint amici conducendo prima l’intercettazione passiva.
La crittografia dei dati è la migliore contromisura per le intercettazioni.
I. Attacco “Birthday”
Gli attacchi di tipo “birthday” sono fatti contro gli algoritmi di hash che sono usati per verificare l’integrità di un messaggio, un software o una firma digitale.
Un messaggio processato da una funzione di hash produce un message digest (MD) di lunghezza fissa, indipendente dalla lunghezza del messaggio di input; questo MD caratterizza in modo univoco il messaggio.
L’attacco di tipo “birthday” si riferisce alla probabilità di trovare due messaggi casuali che generano lo stesso MD quando vengono elaborati da una funzione hash.
Se un attaccante calcola per il suo messaggio lo stesso MD dell’utente, può tranquillamente sostituire il messaggio dell’utente con il suo, e il ricevitore non sarà in grado di rilevare la sostituzione anche se confronta gli MD.
L. Attacco malware
Il malware può essere descritto come un software indesiderato che viene installato nel vostro sistema senza il vostro consenso.
Può attaccarsi al codice legittimo e propagarsi; può annidarsi in applicazioni utili o replicarsi attraverso Internet.
Ecco alcuni dei tipi più comuni di malware:
e distributed denial-of-service (DDoS)
Un attacco denial-of-service sovrasta le risorse di un sistema in modo che non possa rispondere alle richieste di servizio.
Un attacco DDoS è anche un attacco alle risorse del sistema, ma è lanciato da un gran numero di altre macchine host che sono infettate da un software maligno controllato dall’attaccante.
A differenza degli attacchi che sono progettati per consentire all’attaccante di ottenere o aumentare l’accesso, il denial-of-service non fornisce benefici diretti agli attaccanti.
Per alcuni di loro, è sufficiente avere la soddisfazione della negazione del servizio.
Tuttavia, se la risorsa attaccata appartiene a una controparte nemica, allora il beneficio per l’attaccante può essere concreto.
Un altro scopo di un attacco DoS può essere quello di portare un sistema offline in modo che un altro tipo di attacco possa essere lanciato.
Un esempio comune è il session hijacking, che descriveremo più avanti.
Ci sono diversi tipi di attacchi DoS e DDoS
i più comuni sono:
l’attacco TCP SYN flood,
l’attacco teardrop,
l’attacco smurf,
l’attacco ping-of-death
e le botnet.
Attacco TCP SYN flood
In questo attacco, un attaccante sfrutta l’uso dello spazio buffer durante un handshake di inizializzazione della sessione del Transmission Control Protocol (TCP).
Il dispositivo dell’attaccante inonda la piccola coda in-process del sistema di destinazione con richieste di connessione, ma non risponde quando il sistema di destinazione risponde a tali richieste.
Questo fa sì che il sistema di destinazione vada in time out mentre aspetta la risposta dal dispositivo dell’attaccante, il che fa sì che il sistema si blocchi o diventi inutilizzabile quando la coda di connessione si riempie.
Ci sono alcune contromisure per un attacco TCP SYN flood:
- Mettere i server dietro un firewall configurato per fermare i pacchetti SYN in entrata.
- Aumentare la dimensione della coda di connessione e diminuire il timeout sulle connessioni aperte.
Attacco Teardrop
Questo attacco fa sì che i campi di lunghezza e di offset di frammentazione nei pacchetti sequenziali Internet Protocol (IP) si sovrappongano l’uno all’altro sull’host attaccato;
il sistema attaccato tenta di ricostruire i pacchetti durante il processo, ma non ci riesce. Il sistema bersaglio si confonde e si blocca.
SOLUZIONI
Se non ci sono patch a disposizione per proteggersi da questo attacco DoS, disabilitate SMBv2 e bloccate le porte 139 e 445.
Attacco Smurf
Questo attacco comporta l’utilizzo di IP spoofing e ICMP per saturare una rete bersaglio con il traffico.
Questo metodo di attacco utilizza richieste ICMP echo mirate a indirizzi IP broadcast.
Queste richieste ICMP provengono da un indirizzo “vittima” spoofato.
Per esempio, se l’indirizzo della vittima è 10.0.0.10, l’aggressore dovrebbe spoofare una richiesta ICMP echo da 10.0.0.10 all’indirizzo broadcast 10.255.255.255.
Questa richiesta andrebbe a tutti gli IP nell’intervallo, con tutte le risposte che tornano al 10.0.0.10, intasando la rete.
Questo processo è ripetibile, e può essere automatizzato per generare una forte congestione della rete.
SOLUZIONI
Per proteggere i dispositivi da questo attacco, è necessario disabilitare i broadcast diretti agli IP ai router.
Questo impedirà che la richiesta di broadcast ICMP echo arrivi ai dispositivi di rete.
Un’altra opzione sarebbe quella di configurare gli endpoint per impedire loro di rispondere ai pacchetti ICMP da indirizzi broadcast.
Attacco Ping of Death
Questo tipo di attacco utilizza pacchetti IP per pingare un sistema bersaglio con una dimensione IP superiore al massimo di 65.535 byte.
I pacchetti IP di questa dimensione non sono consentiti, quindi l’attaccante frammenta il pacchetto IP.
Una volta che il sistema di destinazione riassembla il pacchetto, si possono verificare buffer overflow e altri crash.
SOLUZIONI
Gli attacchi di ping of death possono essere bloccati utilizzando un firewall che controlla la dimensione massima per i pacchetti IP frammentati.
Botnet
Le botnet sono i milioni di sistemi infettati con malware sotto il controllo degli hacker, utilizzate per effettuare attacchi DDoS.
Questi bot o sistemi “zombie” vengono utilizzati per effettuare attacchi contro i sistemi di destinazione, spesso riempiendo la larghezza di banda e le capacità di elaborazione del sistema di destinazione.
Questi attacchi DDoS sono difficili da tracciare perché le botnet si trovano in diverse località geografiche.
SOLUZIONI
Le botnet possono essere mitigate da:
- Filtri RFC3704, che negherà il traffico da indirizzi spoofed e aiuterà a garantire che il traffico sia tracciabile fino alla sua corretta rete di origine. Per esempio, il filtraggio RFC3704 eliminerà i pacchetti provenienti da indirizzi fasulli.
- Black hole filtering, che blocca il traffico indesiderato prima che entri in una rete protetta. Quando viene rilevato un attacco DDoS, l’host BGP (Border Gateway Protocol) dovrebbe inviare aggiornamenti di routing ai router degli ISP in modo che indirizzino tutto il traffico diretto ai server vittime verso un’interfaccia null0 all’hop successivo.
B. Attacco Man-in-the-middle (MitM)
Un attacco MitM si verifica quando un hacker si inserisce tra le comunicazioni di un client e un server.
Ecco alcuni tipi comuni di attacchi man-in-the-middle:
Dirottamento della sessione
In questo tipo di attacco MitM, un attaccante dirotta una sessione tra un client fidato e un server di rete.
Il computer attaccante sostituisce il suo indirizzo IP con quello del client fidato, mentre il server continua la sessione, credendo di comunicare con il client. Ad esempio, l’attacco potrebbe svolgersi in questo modo:
- Un client si connette a un server.
- Il computer dell’attaccante ottiene il controllo del client.
- Il computer dell’attaccante disconnette il client dal server.
- Il computer dell’attaccante sostituisce l’indirizzo IP del client con il proprio indirizzo IP e
e falsifica il MAC Address del client. - Il computer dell’attaccante continua a dialogare con il server e il server crede di essere ancora in comunicazione con il client reale.
IP Spoofing
L’IP spoofing è usato da un attaccante per convincere un sistema che sta comunicando con un’entità nota e fidata e fornisce quindi all’attaccante l’accesso al sistema.
L’attaccante invia un pacchetto con l’indirizzo sorgente IP di un host noto e fidato invece del proprio indirizzo sorgente IP ad un host di destinazione. L’host di destinazione potrebbe accettare il pacchetto e agire di conseguenza, concedendo l’accesso.
Replay
Un attacco replay si verifica quando un attaccante intercetta e salva vecchi messaggi e poi cerca di inviarli in seguito, impersonando uno dei partecipanti.
SOLUZIONI
Questo tipo di attacco può essere facilmente contrastato con timestamp di sessione o un nonce (un numero casuale o una stringa che cambia nel tempo).
Attualmente, non esiste una singola tecnologia o configurazione per prevenire tutti gli attacchi MitM.
In generale, la crittografia e i certificati digitali forniscono un’efficace salvaguardia contro gli attacchi MitM, assicurando sia la riservatezza che l’integrità delle comunicazioni.
Ma un attacco man-in-the-middle può anche essere iniettato nel mezzo delle comunicazioni in modo tale che nemmeno la crittografia può aiutare – per esempio, l’attaccante “A” intercetta la chiave pubblica della persona “P” e la sostituisce con la propria chiave pubblica.
Quindi, chiunque voglia inviare un messaggio criptato a P usando la chiave pubblica di P sta inconsapevolmente usando la chiave pubblica di A.
Pertanto, A può leggere il messaggio destinato a P e poi inviare il messaggio a P, criptato con la vera chiave pubblica di P, e P non noterà mai che il messaggio è stato compromesso.
Inoltre, A potrebbe anche modificare il messaggio prima di reinviarlo a P. Come potete vedere, P sta usando la crittografia e pensa che le sue informazioni siano protette ma non lo sono, a causa dell’attacco MitM.
Quindi, come si può essere sicuri che la chiave pubblica di P appartenga a P e non ad A?
Le autorità di certificazione e le funzioni hash sono state create per risolvere questo problema.
Quando la persona 2 (P2) vuole inviare un messaggio a P, e P vuole essere sicuro che A non leggerà o modificherà il messaggio e che il messaggio provenga effettivamente da P2, si deve usare il seguente metodo:
- P2 crea una chiave simmetrica e la cripta con la chiave pubblica di P.
- P2 invia la chiave simmetrica criptata a P.
- P2 calcola un hash del messaggio e lo firma digitalmente.
- P2 cripta il suo messaggio e l’hash firmato del messaggio usando la chiave simmetrica e invia il tutto a P.
- P è in grado di ricevere la chiave simmetrica da P2 perché solo lui ha la chiave privata per decifrare la crittografia.
- P, e solo P, può decifrare il messaggio crittografato simmetricamente e l’hash firmato perché ha la chiave simmetrica.
- È in grado di verificare che il messaggio non sia stato alterato perché può calcolare l’hash del messaggio ricevuto e confrontarlo con quello firmato digitalmente.
- P è anche in grado di provare a se stesso che P2 era il mittente perché solo P2 può firmare l’hash in modo che sia verificato con la chiave pubblica di P2.
C. Attacchi di phishing e spear phishing
L’attacco di phishing è la pratica di inviare e-mail che sembrano provenire da fonti affidabili con l’obiettivo di ottenere informazioni personali o influenzare gli utenti a fare qualcosa.
Combina l’ingegneria sociale e l’inganno tecnico.
Potrebbe concretizzarsi in un allegato a un’email che carica un malware sul tuo computer.
Potrebbe anche essere un link a un sito web illegittimo che può indurti a scaricare malware o a sottrarti le tue informazioni personali.
Lo spear phishing è un tipo di attività di phishing molto mirata.
Gli aggressori si prendono del tempo per condurre ricerche sugli obiettivi e creare messaggi che siano personali e rilevanti.
Per questo motivo, lo spear phishing può essere molto difficile da identificare ed è ancora più difficile proteggersi.
Uno dei modi più semplici in cui un hacker può condurre un attacco di spear phishing è l’email spoofing, che avviene quando l’informazione nella sezione “Da” dell’email è falsificata, facendola sembrare come se provenisse da qualcuno che conosci, come un tuo collega.
Un’altra tecnica che i truffatori usano per aggiungere credibilità alla loro storia è la clonazione di siti web – copiano siti web legittimi per ingannarti e farti inserire informazioni di identificazione personale (PII) o credenziali di accesso.
SOLUZIONI
Per ridurre il rischio di essere vittima di phishing, puoi usare queste tecniche:
- Pensiero critico – Non valutare un’email in maniera affrettata solo perché sei occupato o stressato o hai 150 altri messaggi non letti nella tua casella di posta. Fermati un minuto e analizza l’email.
- Passare sopra i link – Muovi il tuo mouse sopra il link, ma non cliccarlo! Lascia solo che il cursore del tuo mouse passi sopra il link e vedi dove ti porterebbe. Applica il pensiero critico per decifrare l’URL.
- Analizzare le intestazioni delle email – Le intestazioni delle email definiscono come un’email è arrivata al tuo indirizzo. I parametri “Reply-to” e “Return-Path” dovrebbero portare allo stesso dominio indicato nell’email.
- Sandboxing – È possibile testare il contenuto delle e-mail in un ambiente sandbox, registrando l’attività di apertura dell’allegato o cliccando sui link all’interno dell’e-mail.
D. Attacco drive-by
Gli attacchi drive-by download sono un metodo comune di diffusione del malware.
Gli hacker cercano siti web insicuri e inseriscono uno script dannoso nel codice HTML o PHP di una delle pagine.
Questo script potrebbe installare malware direttamente sul computer di qualcuno che visita il sito, o potrebbe reindirizzare la vittima a un sito controllato dagli hacker.
I download drive-by possono avvenire quando si visita un sito web o si visualizza un messaggio e-mail o una finestra pop-up.
A differenza di molti altri tipi di attacchi alla sicurezza informatica, un drive-by non si basa sul fatto che l’utente faccia qualcosa per attivare attivamente l’attacco – non è necessario cliccare su un pulsante di download o aprire un allegato e-mail dannoso per essere infettati.
Un download drive-by può sfruttare un’app, un sistema operativo o un browser web che contiene falle di sicurezza dovute ad aggiornamenti non riusciti o alla mancanza di aggiornamenti.
SOLUZIONI
Per proteggersi dagli attacchi drive-by, è necessario mantenere aggiornati i browser e i sistemi operativi ed evitare i siti web che potrebbero contenere codice dannoso.
Attieniti ai siti che usi normalmente – ma tieni presente che anche questi siti possono essere violati.
Non tenere troppi programmi e app inutili sul tuo dispositivo.
Più plug-in hai, più vulnerabilità ci sono che possono essere sfruttate da attacchi drive-by.
E. Attacco sulle password
Poiché le password sono il meccanismo più comunemente usato per autenticare gli utenti a un sistema informatico, ottenere le password è un approccio di attacco comune ed efficace.
L’accesso alla password di una persona può essere ottenuto guardando intorno alla scrivania della persona, ”sniffando” la connessione alla rete per acquisire password non criptate, usando l’ingegneria sociale, ottenendo l’accesso a un database di password o indovinandola direttamente.
L’ultimo approccio può essere fatto in modo casuale o sistematico:
- Indovinare la password con la forza bruta significa usare un approccio casuale provando diverse password e sperando che una funzioni. Si può applicare una certa logica, provando password legate al nome della persona, al titolo di lavoro, agli hobby o a elementi simili.
- In un attacco con dizionario, un dizionario di password comuni viene utilizzato per tentare di ottenere l’accesso al computer e alla rete di un utente. Un approccio è quello di copiare un file criptato che contiene le password, applicare la stessa crittografia ad un dizionario di password di uso comune e confrontare i risultati.
Per proteggersi dagli attacchi con dizionario o a forza bruta, è necessario implementare una politica di blocco dell’account che bloccherà l’account dopo alcuni tentativi di password non validi.
F. Attacco SQL injection
L’injection SQL è diventata un problema comune con i siti web basati su database.
Si verifica quando un malfattore esegue una query SQL al database attraverso i dati di input dal client al server.
I comandi SQL sono inseriti nell’input del piano dati (per esempio, al posto del login o della password) per eseguire comandi SQL predefiniti.
Un exploit SQL injection riuscito può leggere dati sensibili dal database, modificare (inserire, aggiornare o cancellare) i dati del database, eseguire operazioni di amministrazione (come lo spegnimento) sul database, recuperare il contenuto di un dato file e, in alcuni casi, emettere comandi sul sistema operativo.
Per esempio, un modulo web su un sito web potrebbe richiedere il nome dell’account di un utente e poi inviarlo al database per estrarre le informazioni dell’account associato usando l’SQL dinamico come questo:
“SELECT * FROM users WHERE account = ‘“ + userProvidedAccountNumber +”’;”
Quando questo attacco funziona, perché viene indovinato l’ID dell’account, lascia un buco per gli attaccanti.
Per esempio, se qualcuno decidesse di fornire un ID account “‘ or ‘1’ = ‘1’”, questo risulterebbe in una stringa:
“SELECT * FROM users WHERE account = ‘’ or ‘1’ = ‘1’;”
Poiché ‘1‘ = ‘1‘ è sempre TRUE, il database restituirà i dati per tutti gli utenti invece di un solo utente.
La vulnerabilità a questo tipo di attacco di sicurezza informatica dipende dal fatto che SQL non verifica chi possa avere i permessi o meno. Pertanto, le iniezioni SQL funzionano soprattutto se un sito web utilizza SQL dinamico. Inoltre, l’iniezione SQL è molto comune con le applicazioni PHP e ASP a causa della prevalenza di vecchi sistemi. Le applicazioni J2EE e ASP.NET hanno meno probabilità di ricevere injection SQL sfruttabili a causa della natura delle interfacce di programmazione disponibili.
SOLUZIONI
Per proteggervi da un attacco di SQL injection, applicate il modello least0privilege dei permessi nei vostri database.
Attenetevi alle stored procedure (assicuratevi che queste procedure non includano alcun SQL dinamico) e alle istruzioni preparate precedentemente (query parametrizzate). Il codice che viene eseguito verso il database deve essere abbastanza forte da prevenire attacchi di tipo injection.
Inoltre, convalidare i dati di input in funzione di una whitelist a livello di applicazione.
G. Attacco cross-site scripting (XSS)
Gli attacchi XSS utilizzano risorse web di terze parti per eseguire script nel browser web o nell’applicazione web della vittima.
In particolare, l’attaccante inietta un payload con JavaScript dannoso nel database di un sito web.
Quando la vittima richiede una pagina dal sito web, il sito web trasmette la pagina, con il payload dell’attaccante come parte del corpo HTML, al browser della vittima, che esegue lo script dannoso.
Per esempio, potrebbe inviare il cookie della vittima al server dell’attaccante, e l’attaccante può estrarlo e usarlo per il session hijacking.
Le conseguenze più pericolose si verificano quando XSS viene utilizzato per sfruttare ulteriori vulnerabilità.
Queste vulnerabilità possono permettere ad un attaccante non solo di rubare i cookie, ma anche di registrare le battute di tasti, catturare screenshot, scoprire e raccogliere informazioni di rete, e accedere e controllare in remoto la macchina della vittima.
Anche se gli XSS possono essere inseriti all’interno di VBScript, ActiveX e Flash, il più ampiamente abusato è JavaScript – principalmente perché JavaScript è ampiamente supportato sul web.
SOLUZIONI
Per difendersi dagli attacchi XSS, gli sviluppatori possono sanitizzare i dati inseriti dagli utenti in una richiesta HTTP prima di restituirli.
Assicuratevi che tutti i dati siano convalidati o filtrati prima di restituire qualcosa all’utente, come i valori dei parametri della query durante le ricerche. Convertire i caratteri speciali come ?, &, /, <, > e gli spazi nei loro rispettivi equivalenti codificati in HTML.
Date agli utenti la possibilità di disabilitare gli script lato client.
H. Attacco con intercettazione
Gli attacchi di eavesdropping si verificano attraverso l’intercettazione del traffico di rete.
Con l’eavesdropping, un attaccante può ottenere password, numeri di carte di credito e altre informazioni riservate che un utente potrebbe inviare in rete.
L’eavesdropping può essere passivo o attivo:
- Eavesdropping passivo – Un hacker rileva le informazioni ascoltando la trasmissione dei messaggi nella rete.
- Intercettazione attiva – Un hacker recupera attivamente le informazioni travestendosi da endpoint amico e inviando interrogazioni ai trasmettitori. Questa modalità include il probing, lo scanning e il tampering.
SOLUZIONI
Rilevare gli attacchi di intercettazione passiva è spesso più importante che individuare quelli attivi, poiché gli attacchi attivi richiedono che l’attaccante acquisisca la conoscenza degli endpoint amici conducendo prima l’intercettazione passiva.
La crittografia dei dati è la migliore contromisura per le intercettazioni.
I. Attacco “Birthday”
Gli attacchi di tipo “birthday” sono fatti contro gli algoritmi di hash che sono usati per verificare l’integrità di un messaggio, un software o una firma digitale.
Un messaggio processato da una funzione di hash produce un message digest (MD) di lunghezza fissa, indipendente dalla lunghezza del messaggio di input; questo MD caratterizza in modo univoco il messaggio.
L’attacco di tipo “birthday” si riferisce alla probabilità di trovare due messaggi casuali che generano lo stesso MD quando vengono elaborati da una funzione hash.
Se un attaccante calcola per il suo messaggio lo stesso MD dell’utente, può tranquillamente sostituire il messaggio dell’utente con il suo, e il ricevitore non sarà in grado di rilevare la sostituzione anche se confronta gli MD.
L. Attacco malware
Il malware può essere descritto come un software indesiderato che viene installato nel vostro sistema senza il vostro consenso.
Può attaccarsi al codice legittimo e propagarsi; può annidarsi in applicazioni utili o replicarsi attraverso Internet.
Ecco alcuni dei tipi più comuni di malware:
- Virus macro – Questi virus infettano applicazioni come Microsoft Word o Excel. I virus macro si attaccano alla sequenza di inizializzazione di un’applicazione. Quando l’applicazione viene aperta, il virus esegue le istruzioni prima di trasferire il controllo all’applicazione. Il virus si replica e si attacca ad altro codice nel sistema informatico.
- Infettatori di file – I virus infettatori di file di solito si attaccano al codice eseguibile, come i file .exe. Il virus viene installato quando il codice viene caricato. Un’altra versione di un file infector si associa a un file creando un file virus con lo stesso nome, ma con estensione .exe. Pertanto, quando il file viene aperto, il codice del virus viene eseguito.
- Infettatori di sistema o di boot-record – Un virus di boot-record si attacca al master boot record sui dischi rigidi. Quando il sistema viene avviato, guarda il settore di avvio e carica il virus in memoria, dove può propagarsi ad altri dischi e computer.
- Virus polimorfici – Questi virus si nascondono attraverso vari cicli di crittografia e decrittografia. Il virus criptato e un motore di mutazione associato sono inizialmente decrittati da un programma di decrittazione. Il virus procede ad infettare un’area di codice. Il motore di mutazione sviluppa quindi una nuova routine di decrittazione e il virus cripta il motore di mutazione e una copia del virus con un algoritmo corrispondente alla nuova routine di decrittazione. Il pacchetto criptato del motore di mutazione e del virus è attaccato al nuovo codice, e il processo si ripete. Tali virus sono difficili da rilevare, ma hanno un alto livello di entropia a causa delle numerose modifiche del loro codice sorgente. I software antivirus possono utilizzare questa caratteristica per rilevarli.
- Virus furtivi – I virus furtivi prendono il controllo delle funzioni del sistema per nascondersi. Lo fanno compromettendo il software di rilevamento del malware in modo che il software riporti un’area infetta come non infetta. Questi virus generano un aumento della dimensione di un file quando viene infettato, oltre a modificare la data e l’ora dell’ultima modifica del file.
- Trojan – Un Trojan o un cavallo di Troia è un programma che si nasconde in un programma utile e di solito ha una funzione dannosa. Una grande differenza tra virus e trojan è che i trojan non si autoreplicano. Oltre a lanciare attacchi a un sistema, un trojan può aprire una backdoor che può essere sfruttata dagli attaccanti. Per esempio, un Trojan può essere programmato per aprire una porta dal numero elevato in modo che l’hacker possa usarla per ascoltare e poi eseguire un attacco.
- Bombe logiche – Una bomba logica è un tipo di software maligno che viene aggiunto a un’applicazione e viene attivato da un evento specifico, come una condizione logica o una data e ora specifiche.
- Worm – I worm differiscono dai virus in quanto non si attaccano a un file ospite, ma sono programmi autonomi che si propagano attraverso reti e computer. I worm sono comunemente diffusi attraverso allegati di posta elettronica; l’apertura dell’allegato attiva il programma worm. Un tipico exploit di un worm comporta l’invio di una copia di se stesso a ogni contatto dell’indirizzo e-mail di un computer infetto. Oltre a condurre attività dannose, un worm che si diffonde attraverso internet e sovraccarica i server di posta elettronica può provocare attacchi denial-of-service verso i nodi della rete.
- Dropper – Un dropper è un programma usato per installare virus sui computer. In molti casi, il dropper non è infettato da codice dannoso e, quindi, potrebbe non essere rilevato dal software di scansione dei virus. Un dropper può anche connettersi a Internet e scaricare gli aggiornamenti del software antivirus che risiede su un sistema compromesso.
- Ransomware – Il ransomware è un tipo di malware che blocca l’accesso ai dati della vittima e minaccia di pubblicarli o cancellarli se non viene pagato un riscatto. Mentre alcuni semplici ransomware possono bloccare il sistema in un modo che non è difficile da recuperare per una persona esperta, le versioni più avanzate e più diffuse di questo malware utilizzano una tecnica chiamata estorsione criptovirale, che cripta i file della vittima in un modo da renderli quasi impossibile da recuperare senza la chiave di decrittazione.
- Adware – L’adware è un’applicazione software utilizzato per scopi di marketing; vengono visualizzati banner pubblicitari mentre qualunque programma è in esecuzione. L’adware può essere scaricato automaticamente sul tuo sistema durante la navigazione di qualsiasi sito web e può essere visualizzato attraverso finestre pop-up o attraverso una barra che appare automaticamente sullo schermo del computer.
- Spyware – Lo spyware è un tipo di programma che viene installato per raccogliere informazioni sugli utenti, sui loro computer o sulle loro abitudini di navigazione. Tiene traccia di tutto ciò che fai a tua insaputa e invia i dati a un utente remoto. Può anche scaricare e installare altri programmi maligni da internet. Lo spyware funziona come l’adware, ma di solito è un programma separato che viene installato inconsapevolmente quando si installa un’altra applicazione freeware.
🠕
4. Tecniche di difesa
La vera vittoria è la vittoria sull’aggressione, una vittoria che rispetti l’umanità del nemico rendendo così inutile un ulteriore conflitto
La dipendenza a siti e applicazioni basate sul Web per creare, assorbire o semplicemente informarsi comporta anche una crescita esponenziale dei rischi per la privacy e la sicurezza ai quali sono esposti ogni giorno. Non più riservati a obiettivi di alto profilo, i cyber attacchi possono colpire chiunque faccia affidamento su applicazioni, dispositivi e sistemi collegati alla rete.
Organizzazioni governative e società finanziarie rimangono il principale obiettivo dei cyber attacchi, in particolare quelli condotti nel nome dell’hacktivism. Tuttavia, a causa dell’infrastruttura aperta di Internet e della crescente disponibilità di strumenti di attacco di facile implementazione, pressoché chiunque in possesso delle competenze elementari necessarie può sferrare un attacco cyber, rendendo la cyber sicurezza una massima priorità per qualsiasi organizzazione con risorse digitali preziose e presenza in Internet.
Organizzazioni governative e società finanziarie rimangono il principale obiettivo dei cyber attacchi, in particolare quelli condotti nel nome dell’hacktivism. Tuttavia, a causa dell’infrastruttura aperta di Internet e della crescente disponibilità di strumenti di attacco di facile implementazione, pressoché chiunque in possesso delle competenze elementari necessarie può sferrare un attacco cyber, rendendo la cyber sicurezza una massima priorità per qualsiasi organizzazione con risorse digitali preziose e presenza in Internet.
Ecco alcuni consigli minimi e indispensabili:
- Utilizzare password forti e uniche per ogni account. Una password debole è facile da indovinare o scoprire con metodi automatizzati, mentre utilizzare la stessa password per più account aumenta il rischio di compromissione;
- Attivare l’autenticazione a due fattori. In questo modo, per accedere a un account sarà necessario fornire non solo la password, ma anche un codice di sicurezza inviato via SMS o generato da un’applicazione;
- Tenere aggiornato il software. Gli aggiornamenti spesso includono correzioni di vulnerabilità note, quindi è importante installarli non appena disponibili;
- Installare un software antivirus e mantenerlo aggiornato. Un buon antivirus può rilevare e rimuovere molti tipi di malware, compresi i ransomware;
- Fare attenzione ai link e alle email sospette. Non aprire mai link o allegati di provenienza sconosciuta o sospetta e non fornire mai informazioni personali o sensibili in risposta a email o messaggi sospetti.
Antivirus
L’antivirus consente di proteggere il proprio personal computer da software dannosi conosciuti come virus.
Un buon antivirus deve essere costantemente aggiornato ad avere in continua esecuzione le funzioni di scansione in tempo reale.
Per un miglior utilizzo l’utente deve avviare con regolarità la scansione dei dispositivi del PC (dischi fissi, CD, DVD e dischetti floppy), per verificare la presenza di virus, worm.
Per evitare la diffusione di virus è inoltre utile controllare tutti i file che si ricevono o che vengono spediti tramite posta elettronica facendoli verificare dall’antivirus correttamente configurato a tale scopo.
Antispyware
L’antispyware è un software facilmente reperibile sul web in versione freeware, shareware o a pagamento.
È diventato un utilissimo tool per la rimozione di “file spia”, gli spyware appunto, in grado di carpire informazioni riguardanti le attività on line dell’utente ed inviarle ad un’organizzazione che le utilizzerà per trarne profitto.
Firewall
Il firewall (o letteralmente muro di fuoco) installato e ben configurato garantisce un sistema di controllo degli accessi verificando tutto il traffico che lo attraversa. Protegge contro aggressioni provenienti dall’esterno e blocca eventuali programmi presenti sul computer che tentano di accedere ad internet senza il controllo dell’utente. Questo strumento può essere sia di tipo software, quello più diffuso, che hardware.
Backup dei dati
Il backup dei dati, più che rappresentare un sistema di difesa, è un utile sistema per recuperare dati eventualmente persi o danneggiati.
Il backup consiste nell’esecuzione di una copia di sicurezza dei dati di un personal computer o comunque di dati considerati importanti onde evitare che vadano perduti o diventino illeggibili.
Sistema di autenticazione
Il sistema di autenticazione è un software molto utile, in particolar modo per le organizzazioni, per l’autenticazione sicura con un secondo elemento di autenticazione basato su un insieme di caratteri conosciuti dall’utente che dovrà poi inserire in fase di login (accesso al sistema) per dimostrare di essere in possesso dei dati corretti. Altro sistema, più sofisticato, è quello del riconoscimento dell’utente tramite l’utilizzo dell’impronta digitale (sistema biometrico per il riconoscimento di identità dell’utente) come forma di autenticazione.
L’antivirus consente di proteggere il proprio personal computer da software dannosi conosciuti come virus.
Un buon antivirus deve essere costantemente aggiornato ad avere in continua esecuzione le funzioni di scansione in tempo reale.
Per un miglior utilizzo l’utente deve avviare con regolarità la scansione dei dispositivi del PC (dischi fissi, CD, DVD e dischetti floppy), per verificare la presenza di virus, worm.
Per evitare la diffusione di virus è inoltre utile controllare tutti i file che si ricevono o che vengono spediti tramite posta elettronica facendoli verificare dall’antivirus correttamente configurato a tale scopo.
Antispyware
L’antispyware è un software facilmente reperibile sul web in versione freeware, shareware o a pagamento.
È diventato un utilissimo tool per la rimozione di “file spia”, gli spyware appunto, in grado di carpire informazioni riguardanti le attività on line dell’utente ed inviarle ad un’organizzazione che le utilizzerà per trarne profitto.
Firewall
Il firewall (o letteralmente muro di fuoco) installato e ben configurato garantisce un sistema di controllo degli accessi verificando tutto il traffico che lo attraversa. Protegge contro aggressioni provenienti dall’esterno e blocca eventuali programmi presenti sul computer che tentano di accedere ad internet senza il controllo dell’utente. Questo strumento può essere sia di tipo software, quello più diffuso, che hardware.
Backup dei dati
Il backup dei dati, più che rappresentare un sistema di difesa, è un utile sistema per recuperare dati eventualmente persi o danneggiati.
Il backup consiste nell’esecuzione di una copia di sicurezza dei dati di un personal computer o comunque di dati considerati importanti onde evitare che vadano perduti o diventino illeggibili.
Sistema di autenticazione
Il sistema di autenticazione è un software molto utile, in particolar modo per le organizzazioni, per l’autenticazione sicura con un secondo elemento di autenticazione basato su un insieme di caratteri conosciuti dall’utente che dovrà poi inserire in fase di login (accesso al sistema) per dimostrare di essere in possesso dei dati corretti. Altro sistema, più sofisticato, è quello del riconoscimento dell’utente tramite l’utilizzo dell’impronta digitale (sistema biometrico per il riconoscimento di identità dell’utente) come forma di autenticazione.
- Formazione e sensibilizzazione: educare il personale su come identificare e rispondere alle minacce informatiche è un investimento importante. Questo può includere la formazione su come creare password robuste, evitare phishing e altre tecniche di ingegneria sociale, nonché la creazione di esercitazioni specifiche “Table Top” per verificare la capacità di reazione delle strutture cyber ad un incidente informatico.
- Protezione dei sistemi: gli investimenti dovrebbero essere effettuati per implementare soluzioni di sicurezza come firewall, EDR e sistemi di rilevamento delle intrusioni. Inoltre, dovrebbe essere attuata una politica di aggiornamento regolare di questi strumenti, così come l’aggiornamento del software e del sistema operativo per evitare vulnerabilità.
- Protezione dei dati: è importante garantire che i dati sensibili siano protetti e crittografati adeguatamente, sia in transito che a riposo. Gli investimenti in tecnologie di crittografia e soluzioni di gestione delle chiavi sono necessari per garantire che i dati non cadano in mani sbagliate.
- Gestione e identificazione delle vulnerabilità: gli investimenti in programmi di gestione delle vulnerabilità consentono di identificare le vulnerabilità dei sistemi e delle applicazioni, nonché di risolverle prima che possano essere sfruttate dagli attaccanti. L’ identificazione può inoltre avvenire attraverso specifiche campagne di Penetration Testing/Red Teaming oltre che attraverso l’utilizzo di strumenti automatici.
- Gestione ed identificazione degli incidenti: è importante disporre di un piano di risposta agli incidenti che descriva come affrontare e rispondere alle minacce informatiche. Ciò può includere la creazione di un team di risposta agli incidenti, l’implementazione di soluzioni di monitoraggio come e la creazione di backup e piani di ripristino. Tra le soluzioni di monitoraggio è esternamente importante l’utilizzo di tecnologie come l’XDR che integrano dati e attività di sicurezza da più fonti (endpoint, reti, cloud e applicazioni) ed utilizzano sia l’apprendimento automatico e l’intelligenza artificiale per correlarle oltre che informazioni di threat intelligence per arricchirle.
Hacking tool per simulare cyber attacchi
Riuscire a emulare le mosse di un attaccante consente ai difensori di contrastarle in maniera efficace e acquisire le conoscenze necessarie per proteggere al meglio il perimetro aziendale. Ecco quali sono i principali hacking tool e come funzionano.
(“HackTools” di origine verificata e spesso firmati da trusted authorities)
(“HackTools” di origine verificata e spesso firmati da trusted authorities)
🠕
5. Definizione di Hacker
Gli hacker non sono criminali: sono tutt’al più persone che non si riconoscono nelle logiche commerciali o in quelle politiche. Il motto di un hacker etico è “hackera tutto ma non fare male a nessuno”.
Cominciamo dalle basi, e cioè dalla definizione di hacker etico. Ebbene, un hacker etico è una persona esperta di sicurezza informatica che mette a disposizione le proprie capacità per trovare punti deboli nelle infrastrutture di rete, nei software, nei servizi erogati mediante Internet ma anche nell’hardware, collaborando con le aziende che gestiscono i servizi, i software o i dispositivi colpiti dalle falle di sicurezza; il tutto per impedire che a trovarne le debolezze siano i cybercriminali.
A tal proposito, va detto che la definizione più corretta per i cybercriminali sarebbe quella di cracker, e non hacker; al massimo hacker cattivi. Allo stesso modo, quando senti parlare di white hat (cappello bianco) il riferimento è agli hacker etici, mentre il termine black hat (cappello nero) è relativo ai cracker.
A tal proposito, va detto che la definizione più corretta per i cybercriminali sarebbe quella di cracker, e non hacker; al massimo hacker cattivi. Allo stesso modo, quando senti parlare di white hat (cappello bianco) il riferimento è agli hacker etici, mentre il termine black hat (cappello nero) è relativo ai cracker.
L’hacker etico usa dei software, programmati da sé oppure già disponibili sul mercato, per mettere a dura prova le tecnologie su cui è chiamato a lavorare: le mette sotto stress per testare se resistono agli attacchi e deve fare di tutto per violarle scoprendone le vulnerabilità. Se scopre delle falle di sicurezza, poi collabora con le aziende per porvi rimedio.
A differenza degli hacker cattivi, dunque, gli hacker etici non sono spinti dalla sete di guadagno fraudolenta, né sono animati dalla volontà di nuocere. Stipulano contratti con le aziende che li ingaggiano e li rispettano alla lettera, fornendo un servizio di cui ci avvantaggiamo tutti.
Il termine “etico” non è utilizzato a caso, ha una ragione profonda: anche alcuni governi si affidano agli hacker etici per fare dello spionaggio informatico a danno di potenze estere ostili o di regimi. Si tratta quindi di un’azione per molti versi fraudolenta, fatta però per scopi nobili (almeno nei princìpi).
A differenza degli hacker cattivi, dunque, gli hacker etici non sono spinti dalla sete di guadagno fraudolenta, né sono animati dalla volontà di nuocere. Stipulano contratti con le aziende che li ingaggiano e li rispettano alla lettera, fornendo un servizio di cui ci avvantaggiamo tutti.
Il termine “etico” non è utilizzato a caso, ha una ragione profonda: anche alcuni governi si affidano agli hacker etici per fare dello spionaggio informatico a danno di potenze estere ostili o di regimi. Si tratta quindi di un’azione per molti versi fraudolenta, fatta però per scopi nobili (almeno nei princìpi).
Un hacker etico percepisce circa 82.000 euro annui, ossia 3.700 euro mensili netti.
Negli Stati Uniti gli stipendi di variano dagli 80.000 dollari fino ai 128.000 dollari all’anno (dai 67.000 euro ai 113.000 euro)
Definizione di Cyber criminale
L’utilizzo di hacking tool da parte del threat actor viene fatto in funzione di una specifica necessità che si viene a creare durante le varie attività eseguite durante la compromissione di un’infrastruttura, come nel caso più comune della disattivazione dei software di sicurezza (antivirus ed EDR).
Ricognizione
Per questo step, dove è necessario comprendere l’esposizione di un’infrastruttura a possibili CVE o autenticazioni deboli, gli attaccanti hanno l’imbarazzo della scelta: possono utilizzare software open source come Zgrab Scanner, scriverne uno personalizzato o in alternativa utilizzare strumenti commerciali come Qualys, Nessus o altri vulnerability scanner facilmente reperibili.
Altri tipi di Threat Actor, invece, preferiscono stare su approcci più manuali, utilizzando quindi strumenti come Nmap al fine di comprendere solamente le porte disponibili per poi eseguire ulteriore ricognizione e indagini manualmente.
Altri tipi di Threat Actor, invece, preferiscono stare su approcci più manuali, utilizzando quindi strumenti come Nmap al fine di comprendere solamente le porte disponibili per poi eseguire ulteriore ricognizione e indagini manualmente.
Scansione
In questo caso, l’attaccante è dentro l’infrastruttura, quindi il suo obbiettivo è uno e uno soltanto:
capire quanto più possibile com’è strutturato il network.
Per portare a termine questa missione il set di strumenti che si possono utilizzare è abbastanza vasto, in quanto si possono usare strumenti come Nmap, Angry IP Scanner, Advanced IP Scanner, lansweeper e molti altri ancora.
Come avrete notato, ho nominato principalmente tools commerciali o comunque disponibili gratuitamente su internet, questo proprio perché all’attaccante non piace troppo “correre rischi” con software personalizzati e potenzialmente sospetti ai software di sicurezza installati sui dispositivi.
Anche perché l’alert che fa scattare una response immediata è sempre dietro l’angolo.
capire quanto più possibile com’è strutturato il network.
Per portare a termine questa missione il set di strumenti che si possono utilizzare è abbastanza vasto, in quanto si possono usare strumenti come Nmap, Angry IP Scanner, Advanced IP Scanner, lansweeper e molti altri ancora.
Come avrete notato, ho nominato principalmente tools commerciali o comunque disponibili gratuitamente su internet, questo proprio perché all’attaccante non piace troppo “correre rischi” con software personalizzati e potenzialmente sospetti ai software di sicurezza installati sui dispositivi.
Anche perché l’alert che fa scattare una response immediata è sempre dietro l’angolo.
Privilege Escalation
La privilege escalation è una delle fasi più importanti di tutte: infatti, qui avviene la “magia” dell’evasion di eventuali software di sicurezza unitamente all’utilizzo di exploit utili a far guadagnare più privilegi all’interno dell’infrastruttura attaccata.
Molto spesso l’attaccante si ritrova con utenze guest non sempre in grado di elevarsi direttamente nel dispositivo a cui è autenticato; quindi, in suo aiuto vengono tool come ProcessHacker, Mimikatz, PsExec e in questo caso anche strumenti scritti appositamente al fine di essere il più veloci ed efficaci possibili a raggiungere la meta, ovvero: Domain Admin.
In questa situazione, correre qualche rischio è giustificato.
Molto spesso l’attaccante si ritrova con utenze guest non sempre in grado di elevarsi direttamente nel dispositivo a cui è autenticato; quindi, in suo aiuto vengono tool come ProcessHacker, Mimikatz, PsExec e in questo caso anche strumenti scritti appositamente al fine di essere il più veloci ed efficaci possibili a raggiungere la meta, ovvero: Domain Admin.
In questa situazione, correre qualche rischio è giustificato.
Esfiltrazione
Nell’esfiltrazione gli strumenti più in voga rimangono come sempre software leciti come Rclone, AnyDesk, TeamViewer, Supremo e WinSCP.
L’utilizzo di questi strumenti è divenuto così mainstream dai Threat Actor che un buon SOC (Security Operation Center) non può non avere queste keyword tra le regole di detection o comunque di correlazione.
In altri casi particolari, l’utilizzo di strumenti d’esfiltrazione personalizzati premia l’attaccante in quanto questi permettono di modulare l’utilizzo delle sessioni ed eseguire attività di shaping specifiche utili a passare inosservati durante l’attività di upload.
L’utilizzo di questi strumenti è divenuto così mainstream dai Threat Actor che un buon SOC (Security Operation Center) non può non avere queste keyword tra le regole di detection o comunque di correlazione.
In altri casi particolari, l’utilizzo di strumenti d’esfiltrazione personalizzati premia l’attaccante in quanto questi permettono di modulare l’utilizzo delle sessioni ed eseguire attività di shaping specifiche utili a passare inosservati durante l’attività di upload.
Persistenza
Inserire persistenze risulta uno step fondamentale nella compromissione di un’infrastruttura informatica.
Questo consente all’attaccante di rientrare a piacimento nei vari sistemi compromessi anche nel caso gli venisse impedito l’accesso tramite vie “convenzionali”, ma non solo, le persistenze possono essere utilizzate per l’esecuzione di comandi e/o malware in determinate finestre temporali o all’avvenire di un determinato evento.
Per questo tipo d’attività gli attaccanti utilizzano spesso scripts personalizzati scritti utilizzando i più svariati linguaggi, solitamente per una maggior efficacia vengono implementate tecniche di persistenza direttamente nei malware utilizzati durante la compromissione o negli strumenti utilizzati negli step subito successivi alla privilege escalation, in quanto spesso per eseguire questo tipo d’attività è richiesta una credenziale privilegiata.
Questo consente all’attaccante di rientrare a piacimento nei vari sistemi compromessi anche nel caso gli venisse impedito l’accesso tramite vie “convenzionali”, ma non solo, le persistenze possono essere utilizzate per l’esecuzione di comandi e/o malware in determinate finestre temporali o all’avvenire di un determinato evento.
Per questo tipo d’attività gli attaccanti utilizzano spesso scripts personalizzati scritti utilizzando i più svariati linguaggi, solitamente per una maggior efficacia vengono implementate tecniche di persistenza direttamente nei malware utilizzati durante la compromissione o negli strumenti utilizzati negli step subito successivi alla privilege escalation, in quanto spesso per eseguire questo tipo d’attività è richiesta una credenziale privilegiata.
Copertura delle tracce
La fase di copertura delle tracce viene solitamente portata a termine con software scritti dagli attaccanti: questi possono essere binari eseguibili o più semplicemente scripts in Bash, Batch, VBS, PowerShell o quant’altro possa eseguire la cancellazione dei registri di logs locali e sui dispositivi remoti anche sfruttando strumenti come WMI, RPC, ssh e GPOs.
Quali sono gli hacking tool più famosi
Ora che abbiamo un’idea di massima sulle tipologie di strumenti utilizzati dagli attaccanti, facciamo qualche nome di software molto in voga tra chi l’offensive security la fa senza contratto ma con riscatto.
PROTECTD DATA
1. Gary McKinnon, 2. Robert Tappan Morris, 3. Kevin David Mitnick, 4. Kevin Poulson, 5. Jonathan James, 6. Adrian Lamo, 7. Vladimir Levin, 8. Raphael Gray, 9. Deceptive Duo, 10. Michael Calce. Fonte: World's 10 most famous hackers - Rediff.com Business
- Nmap. Tool per la scansione della rete, gli utenti più capaci hanno la possibilità di personalizzare l’azione dello strumento aggiungendo scripts nella versione con GUI, mentre per i fuoriclasse dell’automation non c’è limite utilizzandolo tramite command line.
- AngryIpScanner. Tool per la scansione della rete, un tool molto diffuso tra il personale sistemistico che ha bisogno di mappare i dispositivi raggiungibili nella rete aziendale. Gli attaccanti utilizzano questo strumento sia per la sua versatilità che per l’affidabilità nei risultati erogati,
- LinPeas/WinPeas. Hacking tool specificatamente creato al fine di trovare ed in caso di piccole modifiche al codice, sfruttare, vulnerabilità specifiche nel sistema operativo (Linux, MAC o Windows) utili ad attività di privilege escalation.
- Mimikatz. Hacking tool nato come software per testare la sicurezza degli endpoint di rete e scritto dallo sviluppatore Benjamin Delpy, ad oggi utilizzato come il coltellino svizzero dell’attaccante. Grazie a questo strumento solitamente i threat actor sono in grado di esfiltrare hash relative credenziali utilizzate nei dispositivi o addirittura, in certi casi, direttamente le credenziali in chiaro pronte all’uso.
- PsExec. Tool appartenente alla suite Sysinternals Suite che, come molti, altri fa spesso parte dell’arsenale dell’attaccante. Questo perché’ permette facile elevazione di privilegi locali oltre a fornire svariate funzionalità di shell remote via rete e lateral movement agevolato a portata di script.
- LolBas/LolDrivers. Living Off The Land Bins & Drivers sono due elenchi curati di eseguibili driver Windows utilizzati dagli avversari per aggirare i controlli di sicurezza ed eseguire attacchi. Il progetto aiuta i professionisti della sicurezza a rimanere informati e a mitigare le potenziali minacce.
Attacchi hacker: strumenti e tecniche dei nuovi cyber criminali
Il termine “hacker” è, oggi, genericamente usato sia per indicare soggetti che utilizzano le loro competenze informatiche a servizio di aziende e istituzioni, a scopo “benevolo” (si parla di ethical hacker o white hat) sia per i cosiddetti criminali informatici, ossia coloro che utilizzano le competenze informatiche acquisite per commettere reati informatici (in questo caso si parla di crackers o black hat).
Gli attacchi hacker sono, quindi, una realtà con cui utenti e forze dell’ordine si ritrovano a dover fare i conti nel quotidiano.
L’hacker sviluppa i suoi attacchi non in maniera univoca, ma utilizzando, a seconda dei casi e degli scopi, strumenti e tecniche sempre più insidiosi.
Nel corso della storia tanto gli strumenti quanto le tecniche di hacking si sono notevolmente evoluti, sì da rendere molto complesso il loro contrasto da parte delle autorità e degli esperti.
Cosa fondamentale è capire in cosa si sostanzia un attacco hacker e quali sono le forme più utilizzate dai cyber criminali.
Gli attacchi hacker sono, quindi, una realtà con cui utenti e forze dell’ordine si ritrovano a dover fare i conti nel quotidiano.
L’hacker sviluppa i suoi attacchi non in maniera univoca, ma utilizzando, a seconda dei casi e degli scopi, strumenti e tecniche sempre più insidiosi.
Nel corso della storia tanto gli strumenti quanto le tecniche di hacking si sono notevolmente evoluti, sì da rendere molto complesso il loro contrasto da parte delle autorità e degli esperti.
Cosa fondamentale è capire in cosa si sostanzia un attacco hacker e quali sono le forme più utilizzate dai cyber criminali.
I cyber-criminali usano strumenti specifici per mappare i dispositivi vulnerabili sul web, creando un elenco di possibili bersagli.
Dopodiché eseguono l’attacco, manomettendo i computer o i dispositivi in questione cercando, al tempo stesso, di capire come possono trarre vantaggio dal sistema danneggiato.
Dopodiché eseguono l’attacco, manomettendo i computer o i dispositivi in questione cercando, al tempo stesso, di capire come possono trarre vantaggio dal sistema danneggiato.
Attacchi hacker: gli strumenti sono i “nuovi” virus
Il primo attacco cibernetico di epoca moderna è stato il Morris worm, un tipo di software maligno (malware) che si replica e si diffonde su altri PC.
Il virus attaccò ARPANET, mandando in shutdown tutti i dispositivi informatici collegati ad esso e infettando tra le 4.000 e le 6.000 macchine.
Dopo la diffusione del protocollo e degli standard TCP/IP, qualunque dispositivo allacciato a Internet potrebbe configurarsi quale bersaglio di attacchi informatici; a farne le spese, ovviamente, tutte le tipologie di dati contenute all’interno dei sistemi vittime di attacchi (data breach).
Uno dei pericoli maggiori per la sicurezza dei dati e delle informazioni è costituito dalle “backdoor”: queste possono essere create o dagli stessi sviluppatori dei programmi, in modo da poter accedere al dispositivo e risolvere problemi da remoto oppure possono essere architettate dall’attaccante stesso per garantirsi la permanenza sul sistema in cui si è introdotto.
Se si parla di pericoli, non si possono tralasciare i principali artefici del crollo di sistemi informatici, i malware.
Sono software malevoli creati per impedire o disturbare il corretto funzionamento di un programma o per interferire, rubare o addirittura distruggere informazioni.
La capacità dei malware di infettare il sistema informatico con una certa velocità, li rende ad oggi, tra i più temibili attacchi lanciati dagli hacker. All’interno di tale categoria rientrano trojan, spyware e ransomware.
Ognuno di questi tipi di malware è dotato di particolari caratteristiche e di una notevole insidiosità:
Dopo la diffusione del protocollo e degli standard TCP/IP, qualunque dispositivo allacciato a Internet potrebbe configurarsi quale bersaglio di attacchi informatici; a farne le spese, ovviamente, tutte le tipologie di dati contenute all’interno dei sistemi vittime di attacchi (data breach).
Uno dei pericoli maggiori per la sicurezza dei dati e delle informazioni è costituito dalle “backdoor”: queste possono essere create o dagli stessi sviluppatori dei programmi, in modo da poter accedere al dispositivo e risolvere problemi da remoto oppure possono essere architettate dall’attaccante stesso per garantirsi la permanenza sul sistema in cui si è introdotto.
Se si parla di pericoli, non si possono tralasciare i principali artefici del crollo di sistemi informatici, i malware.
Sono software malevoli creati per impedire o disturbare il corretto funzionamento di un programma o per interferire, rubare o addirittura distruggere informazioni.
La capacità dei malware di infettare il sistema informatico con una certa velocità, li rende ad oggi, tra i più temibili attacchi lanciati dagli hacker. All’interno di tale categoria rientrano trojan, spyware e ransomware.
Ognuno di questi tipi di malware è dotato di particolari caratteristiche e di una notevole insidiosità:
- Il worm si replica con una certa facilità, copiando il proprio codice e diffondendolo attraverso la posta elettronica oppure i social network collegati. Di solito si manifestano sotto forma di allegato, con un invito all’utente ad aprirlo.
- Il livello di pericolosità aumenta con i trojan, che si sostanziano in codici malevoli nascosti all’interno di un software solo in apparenza benigno (ad esempio un qualsiasi programma scaricato da Internet). Grazie a questo escamotage i virus di tipo trojan si infiltrano nei sistemi informatici e iniziano a raccogliere informazioni che verranno poi utilizzate non sicuramente per finalità legittime. Il trojan è capace di monopolizzare l’utilizzo di un computer, assumendone il controllo e dirigendone le funzioni per scopi e finalità illeciti. Se i trojan fanno paura perché destabilizzano l’utilizzo di un dispositivo, fino a possederlo del tutto, al di fuori del controllo dell’utente che ne è proprietario, gli spyware rappresentano una minaccia diversa, i cui effetti si scoprono, nella maggior parte dei casi, sul lungo periodo.
- Uno spyware è un programma che si installa su di un dispositivo e tiene traccia di quanto vi avviene. A livello pratico non ci sono danno fisici sul dispositivo, ad essere compromessa è, tuttavia, la privacy dell’utente che è tracciato in qualunque attività svolga per il suo tramite. Lo spyware può installarsi tanto su dispositivi fissi, quanto su quelli mobili, nonché sui cellulari di ultima generazione.
Attacco hacker con la tecnica malevola del Man in the Middle
Quelle appena illustrate rappresentano le armi che gli hacker utilizzano per colpire i loro bersagli; queste vengono, quindi, veicolate dai criminali cibernetici attraverso diverse tecniche, altamente insidiose.
Un attacco informatico può essere caratterizzato dalla presenza di più tecniche combinate tra loro.
Una delle modalità di hacking più diffusa ad oggi, è sicuramente la tecnica del “Man in the middle”.
Per capire come funziona questo attacco si immaginino, a titolo esemplificativo un utente che si collega alla rete e chiede a, sua volta, di essere collegato all’indirizzo IP di un determinato sito internet.
Nella comunicazione tra queste due parti si inserisce, a loro insaputa, un terzo interlocutore, il c.d. uomo nel mezzo.
La prima operazione che un hacker compie in questo attacco è intercettare il traffico in Internet prima che raggiunga la destinazione.
Uno dei metodi più diffusi è costituito dallo “spoofing” degli indirizzi IP.
Mediante lo spoofing gli hacker falsificano la vera origine dei dati che inviano al computer, dandogli una parvenza legittima e originale.
I dati vengono trasmessi online in pacchetti di piccole dimensioni, ciascuno con un tag che lo identifica.
Gli hacker che usano questa tecnica sostituiscono il tag con uno riconosciuto dal computer dell’utente bersaglio (lo stesso attacco può, comunque, essere lanciato contro uno smartphone o un altro dispositivo simile), ottenendo come risultato che il dispositivo finisce per comunicare con un impostore che però ha le medesime sembianze della fonte originaria dei dati.
Un attacco MITM può essere configurato secondo diverse modalità.
Una delle più comuni consiste nella contraffazione di reti Wi-Fi; con tale modalità, una rete pubblica viene configurata dagli hacker con nomi che invitano l’utente a collegarsi.
Un attacco informatico può essere caratterizzato dalla presenza di più tecniche combinate tra loro.
Una delle modalità di hacking più diffusa ad oggi, è sicuramente la tecnica del “Man in the middle”.
Per capire come funziona questo attacco si immaginino, a titolo esemplificativo un utente che si collega alla rete e chiede a, sua volta, di essere collegato all’indirizzo IP di un determinato sito internet.
Nella comunicazione tra queste due parti si inserisce, a loro insaputa, un terzo interlocutore, il c.d. uomo nel mezzo.
La prima operazione che un hacker compie in questo attacco è intercettare il traffico in Internet prima che raggiunga la destinazione.
Uno dei metodi più diffusi è costituito dallo “spoofing” degli indirizzi IP.
Mediante lo spoofing gli hacker falsificano la vera origine dei dati che inviano al computer, dandogli una parvenza legittima e originale.
I dati vengono trasmessi online in pacchetti di piccole dimensioni, ciascuno con un tag che lo identifica.
Gli hacker che usano questa tecnica sostituiscono il tag con uno riconosciuto dal computer dell’utente bersaglio (lo stesso attacco può, comunque, essere lanciato contro uno smartphone o un altro dispositivo simile), ottenendo come risultato che il dispositivo finisce per comunicare con un impostore che però ha le medesime sembianze della fonte originaria dei dati.
Un attacco MITM può essere configurato secondo diverse modalità.
Una delle più comuni consiste nella contraffazione di reti Wi-Fi; con tale modalità, una rete pubblica viene configurata dagli hacker con nomi che invitano l’utente a collegarsi.
Attacco hacker con il gemello malvagio
Un’ulteriore tecnica che sfrutta la rete Wi-Fi è costituita dall’attacco c.d. “Del gemello malvagio” (Evil Twin).
La rete pubblica viene configurata dagli hacker in modo da simulare in tutto e per tutto una normale rete, già in precedenza utilizzata dal soggetto “bersaglio”.
In presenza di una rete di questo tipo, i dispositivi possono essere indotti a connettersi automaticamente, poiché spesso sono progettati in maniera da semplificare la connessione dell’utente (evitandogli di inserire ad ogni accesso la sua password).
Una volta che l’utente si collega alla rete Wi-Fi, l’hacker ha piena visibilità delle sue attività.
Il MITM può essere realizzato anche sul browser, per il tramite di un virus trojanQuesto infetta il dispositivo, permettendo all’hacker di “frapporsi” fra il bersaglio e le transazioni che questi esegue.
Il risultato è che l’hacker, una volta insinuatosi, è in grado di manomettere le transazioni, in modo silenzioso, sicché la vittima non si accorgerà di nulla.
Sullo schermo, infatti, l’utente, continuerà a visualizzare la consueta schermata che utilizza per le transazioni.
La rete pubblica viene configurata dagli hacker in modo da simulare in tutto e per tutto una normale rete, già in precedenza utilizzata dal soggetto “bersaglio”.
In presenza di una rete di questo tipo, i dispositivi possono essere indotti a connettersi automaticamente, poiché spesso sono progettati in maniera da semplificare la connessione dell’utente (evitandogli di inserire ad ogni accesso la sua password).
Una volta che l’utente si collega alla rete Wi-Fi, l’hacker ha piena visibilità delle sue attività.
Il MITM può essere realizzato anche sul browser, per il tramite di un virus trojanQuesto infetta il dispositivo, permettendo all’hacker di “frapporsi” fra il bersaglio e le transazioni che questi esegue.
Il risultato è che l’hacker, una volta insinuatosi, è in grado di manomettere le transazioni, in modo silenzioso, sicché la vittima non si accorgerà di nulla.
Sullo schermo, infatti, l’utente, continuerà a visualizzare la consueta schermata che utilizza per le transazioni.
Attacco hacker con la tecnica del phishing
L’hacker, generalmente, si introduce nel dispositivo attraverso una modalità definita di “phishing”.
Il phishing è una truffa che avviene online. Il soggetto “attaccante” induce il bersaglio a fornirgli informazioni, dati importanti, password e via dicendo, mediante un inganno; ad esempio, fingendosi un ente affidabile.
La tecnica su cui si basa il phishing è quella dell’ingegneria sociale: i messaggi (e-mail, SMS ecc.), infatti, hanno esattamente l’aspetto di quelli inoltrati dal fornitore “simulato”: per esempio, il sito di una banca che invita il cliente ad inserire le proprie credenziali al fine di effettuare determinate operazioni o transazioni.
Il phishing è una truffa che avviene online. Il soggetto “attaccante” induce il bersaglio a fornirgli informazioni, dati importanti, password e via dicendo, mediante un inganno; ad esempio, fingendosi un ente affidabile.
La tecnica su cui si basa il phishing è quella dell’ingegneria sociale: i messaggi (e-mail, SMS ecc.), infatti, hanno esattamente l’aspetto di quelli inoltrati dal fornitore “simulato”: per esempio, il sito di una banca che invita il cliente ad inserire le proprie credenziali al fine di effettuare determinate operazioni o transazioni.
Attacco hacker con le armate di zombie
Un’altra tipologia di attacchi hacker è costituita dalle c.d. botnet (chiamate anche armate di zombie).
Una botnet altro non è se non una rete di computer infettati da un software malevolo.
Il virus permette il controllo da remoto dei dispositivi sui quali è stato installato.
I computer vengono “comandati” a distanza, ma non dal legittimo utilizzatore, bensì dagli hacker, che li forzano a inviare spam, diffondere virus o lanciare altre tipologie di attacchi; tutto questo a completa insaputa dei proprietari dei dispositivi.
Una botnet altro non è se non una rete di computer infettati da un software malevolo.
Il virus permette il controllo da remoto dei dispositivi sui quali è stato installato.
I computer vengono “comandati” a distanza, ma non dal legittimo utilizzatore, bensì dagli hacker, che li forzano a inviare spam, diffondere virus o lanciare altre tipologie di attacchi; tutto questo a completa insaputa dei proprietari dei dispositivi.
Attacchi hacker con le tecniche DoS e DDoS
Ben noti al mondo degli attacchi virtuali sono altre due modalità di hacking: il Denial of Service (DoS) e il Distributed Denial of Service (DDoS).
Il primo, DoS, è un attacco che mira a negare un determinato servizio, cioè a bloccare un computer o una rete, per impedirne l’accesso da parte degli utenti autorizzati.
Una tecnica utilizzata è quella del “Mail bombing”: attraverso appositi programmi, viene inviata una consistente mole di e-mail alla casella di posta elettronica del soggetto bersaglio, causando così il blocco del programma di posta elettronica.
Il DDoS consiste nell’utilizzo di un consistente numero di computer soggetti a virus (quasi sempre una botnet) per sovraccaricare i sistemi informatici, creando una sorta di finto traffico dati. Il risultato è che diventa tendenzialmente impossibile per i bersagli fornire risorse informatiche.
Il primo, DoS, è un attacco che mira a negare un determinato servizio, cioè a bloccare un computer o una rete, per impedirne l’accesso da parte degli utenti autorizzati.
Una tecnica utilizzata è quella del “Mail bombing”: attraverso appositi programmi, viene inviata una consistente mole di e-mail alla casella di posta elettronica del soggetto bersaglio, causando così il blocco del programma di posta elettronica.
Il DDoS consiste nell’utilizzo di un consistente numero di computer soggetti a virus (quasi sempre una botnet) per sovraccaricare i sistemi informatici, creando una sorta di finto traffico dati. Il risultato è che diventa tendenzialmente impossibile per i bersagli fornire risorse informatiche.
Conclusioni
Gli attacchi hacker, in qualunque forma e con qualunque mezzo rappresentano una realtà in forte aumento e, per questo, destano, ad oggi, molta preoccupazione.
Le sempre maggiori abilità maturate dai black hat, nonché, a volte, l’ingenuità dei “bersagli”, incantati e raggirati soprattutto dalle tecniche di “ingegneria sociale”, stanno potenziando il sistema degli attacchi, già reso insidioso dalla velocità con cui avvengono le interrelazioni nel mondo virtuale.
Gli strumenti di contrasto che gli Stati stanno adottando contro queste nuove forme di crimine, se da un lato riescono a contenere il fenomeno, dall’altro sono in continua evoluzione per riuscire a stare al passo con i tempi, purtroppo, ancora oggi dettati dalle abilità degli hacker.
Una maggiore consapevolezza e responsabilità da parte degli utenti, quindi, al fine di offrire un contributo, seppur minimo alla soluzione del problema, potrebbe, aiutare esperti e forze dell’Ordine a neutralizzare queste minacce.
Minacce informatiche che proprio per la loro quasi totale invisibilità risultano dannose e pericolose, capaci di portare al collasso interi sistemi, anche alla luce del possibile utilizzo che particolari categorie di criminali, quali terroristi o membri di associazioni a delinquere, sviluppatesi su larga scala, potrebbero farne.
Le sempre maggiori abilità maturate dai black hat, nonché, a volte, l’ingenuità dei “bersagli”, incantati e raggirati soprattutto dalle tecniche di “ingegneria sociale”, stanno potenziando il sistema degli attacchi, già reso insidioso dalla velocità con cui avvengono le interrelazioni nel mondo virtuale.
Gli strumenti di contrasto che gli Stati stanno adottando contro queste nuove forme di crimine, se da un lato riescono a contenere il fenomeno, dall’altro sono in continua evoluzione per riuscire a stare al passo con i tempi, purtroppo, ancora oggi dettati dalle abilità degli hacker.
Una maggiore consapevolezza e responsabilità da parte degli utenti, quindi, al fine di offrire un contributo, seppur minimo alla soluzione del problema, potrebbe, aiutare esperti e forze dell’Ordine a neutralizzare queste minacce.
Minacce informatiche che proprio per la loro quasi totale invisibilità risultano dannose e pericolose, capaci di portare al collasso interi sistemi, anche alla luce del possibile utilizzo che particolari categorie di criminali, quali terroristi o membri di associazioni a delinquere, sviluppatesi su larga scala, potrebbero farne.
Bibliografia
R. MARCHETTI – ROBERTA MULAS, Hacker, terroristi, spie e le nuove minacce del web, LUISS Univesity press, 2018.
R. CHIESA – S. DUCCI, S. CIAPPI, Profiling Hackers: The science of Criminal Profiling as applied to the world of hacking, Boca Raton, FL: Auerbach Publication, 2008.
Cyber Security Ventures, Cybercrime report, 2016
R. CHIESA – S. DUCCI, S. CIAPPI, Profiling Hackers: The science of Criminal Profiling as applied to the world of hacking, Boca Raton, FL: Auerbach Publication, 2008.
Cyber Security Ventures, Cybercrime report, 2016
🠕
6. Cyberwarfare (Guerra Cibernetica)
Lo spazio cibernetico, i cui confini virtuali sono sempre più labili anche a causa della diffusione capillare dei device connessi alle reti globali di comunicazione, rappresenta lo scenario ideale per scatenare una guerra cibernetica. Ecco cos’è la cyberwarfare e cosa dobbiamo aspettarci per il futuro prossimo
Cristiano Boccuzzi Avvocato Penalista, DPO e consulente privacy
Cristiano Boccuzzi Avvocato Penalista, DPO e consulente privacy
Dopo terra, mare, cielo e spazio, lo spazio cibernetico è il quinto dominio: in continua evoluzione, in termini di efficienza è considerato il migliore scenario per la guerra cibernetica (cyberwarfare). Del tutto inimmaginabile fino ad un ventennio fa, se non per gli autori di fantascienza. La continua evoluzione dei sistemi informatici e delle tecniche di manipolazione sulle reti internet hanno favorito l’evoluzione di nuove modalità di aggressione sia dei dati sia dei beni giuridici più tradizionali.
La diffusione capillare dei device connessi alle reti globali delle telecomunicazioni, poi, ha reso possibili modalità di aggressione sia a beni non specificatamente collegati al mondo digitale (la vita, l’incolumità individuale, l’onore, la riservatezza, il patrimonio, la pubblica fede ecc.), sia a quelli di nuova evoluzione e di nuova rilevanza sociale e costituzionale (il c.d. domicilio informatico, la protezione dei dati pubblici e personali, le telecomunicazioni ed i sistemi informatici in generale, la stessa sicurezza dello Stato ecc.).
Il contagio ha presto coinvolto anche l’ambiente militare che ha sviluppato tattiche e strategie di “guerra cibernetica” tali da compromettere, con minimo sforzo, le difese e le capacità militari di una intera nazione o il funzionamento di interi paesi.
La diffusione capillare dei device connessi alle reti globali delle telecomunicazioni, poi, ha reso possibili modalità di aggressione sia a beni non specificatamente collegati al mondo digitale (la vita, l’incolumità individuale, l’onore, la riservatezza, il patrimonio, la pubblica fede ecc.), sia a quelli di nuova evoluzione e di nuova rilevanza sociale e costituzionale (il c.d. domicilio informatico, la protezione dei dati pubblici e personali, le telecomunicazioni ed i sistemi informatici in generale, la stessa sicurezza dello Stato ecc.).
Il contagio ha presto coinvolto anche l’ambiente militare che ha sviluppato tattiche e strategie di “guerra cibernetica” tali da compromettere, con minimo sforzo, le difese e le capacità militari di una intera nazione o il funzionamento di interi paesi.
Cosa significa Cyberwarfare
“Cybercrime”, il Trattato di Diritto penale di Utet Giuridica, definisce la cyberwarfare come l’impiego di incisive tecniche di intrusione o sabotaggio delle risorse informatiche e fisiche di un paese avversario, effettuate in un contesto bellico, attraverso l’impiego di computer e reti di telecomunicazioni informatiche, volte a compromettere le difese, il funzionamento e la stabilità economica e socio-politica del nemico.
Lo scopo primario è quello di causare danni fra cui la c.d. disrubution (ossia l’interruzione, il malfunzionamento o comunque l’inefficienza) dei sistemi vitali di una nazione quali attività politiche e di governo, difese militari, forze di sicurezza interna e relative catene di comando, impianti e reti elettriche, sistemi di telecomunicazioni, reti di trasporto, food supply chain, acquedotti eccetera”.
Le condotte, tipicamente, consistono nell’intrusione, intercettazione, alterazione, danneggiamento e o distruzione dei dati, delle informazioni e degli stessi sistemi di comunicazione dell’avversario, da cui a cascata possono derivare effetti distruttivi su tutti gli altri sottosistemi nazionali.
Combattuta in modo non propriamente fisico – e dunque senza soldati ed ordigni esplosivi ma con strumenti elettronici ed informatici – la guerra cibernetica si sposta su un teatro diverso dai soliti: la quinta dimensione.
È importante sottolineare, tuttavia, che non tutti gli attacchi informatici o cibernetici possono essere qualificati come “attacchi di cyberwarfare”, anzi: c’è un certo orientamento nel volerli interpretare nel loro portato più restrittivo; se così non fosse, e quindi, “se qualsiasi atto ostile consumato attraverso le reti di telecomunicazioni o contro i sistemi informatici di un paese andassero sempre considerati come veri e propri atti di guerra” il rischio di conseguenze rilevanti di tipo militare su scala globale sarebbero inevitabili.
Cyberwarfare è solo l’attacco informatico sferrato in associazione ad una manifesta attività bellica convenzionale che sia utile ad assicurarne il buon esito o l’efficacia distruttiva.
Lo scopo primario è quello di causare danni fra cui la c.d. disrubution (ossia l’interruzione, il malfunzionamento o comunque l’inefficienza) dei sistemi vitali di una nazione quali attività politiche e di governo, difese militari, forze di sicurezza interna e relative catene di comando, impianti e reti elettriche, sistemi di telecomunicazioni, reti di trasporto, food supply chain, acquedotti eccetera”.
Le condotte, tipicamente, consistono nell’intrusione, intercettazione, alterazione, danneggiamento e o distruzione dei dati, delle informazioni e degli stessi sistemi di comunicazione dell’avversario, da cui a cascata possono derivare effetti distruttivi su tutti gli altri sottosistemi nazionali.
Combattuta in modo non propriamente fisico – e dunque senza soldati ed ordigni esplosivi ma con strumenti elettronici ed informatici – la guerra cibernetica si sposta su un teatro diverso dai soliti: la quinta dimensione.
È importante sottolineare, tuttavia, che non tutti gli attacchi informatici o cibernetici possono essere qualificati come “attacchi di cyberwarfare”, anzi: c’è un certo orientamento nel volerli interpretare nel loro portato più restrittivo; se così non fosse, e quindi, “se qualsiasi atto ostile consumato attraverso le reti di telecomunicazioni o contro i sistemi informatici di un paese andassero sempre considerati come veri e propri atti di guerra” il rischio di conseguenze rilevanti di tipo militare su scala globale sarebbero inevitabili.
Cyberwarfare è solo l’attacco informatico sferrato in associazione ad una manifesta attività bellica convenzionale che sia utile ad assicurarne il buon esito o l’efficacia distruttiva.
Cyberwarfare oggi e domani
La guerra cibernetica trova origine agli albori della guerra elettronica (o electronic warfare) che, invece, si avvale – in modo organizzato e sistematico – dello spettro elettromagnetico per sviluppare un vantaggio tattico e strategico: quindi misure e contromisure realizzate con dispositivi elettrici o elettronici che siano progettati per oscurare o ingannare radar, sonar o altri sensori di ricerca o di puntamento, che utilizzano un sistema ad infrarossi o laser.
Sistemi diversi di assalto e può essere di due tipi:
Strategica, che consiste in una serie organizzata di attacchi pensati e lanciati da entità statali o private, contro un altro stato sovrano o contro un suo sotto sistema (economia, welfare, politica ecc.) allo scopo primario, ma non esclusivo, di condizionarne il comportamento;
Operativa che, invece, è spiegata soprattutto in tempo di guerra contro obiettivi militari ed infrastrutture civili di interesse strategico, militare, delle comunicazioni o industriale.
Operativa che, invece, è spiegata soprattutto in tempo di guerra contro obiettivi militari ed infrastrutture civili di interesse strategico, militare, delle comunicazioni o industriale.
Con questi obiettivi, può essere classificata come:
Esplorativa se ha come finalità l’analisi, la scoperta o l’individuazione delle infrastrutture, delle installazioni o degli assetti militari del nemico;
Disgregativa, quando mira alla momentanea o intermittente compromissione della capacità di risposta (difesa ed attacco) del nemico;
Distruttiva quando l’attacco ha già danneggiato in modo permanente la capacità operativa dei sistemi software necessari alla difesa o all’attacco.
Gli attacchi in Italia
Il Rapporto CLUSIT 2020 ha dimostrato che “il 2019 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e dei relativi impatti, sia dal punto di vista quantitativo che da quello qualitativo, evidenziando un trend persistente di crescita degli attacchi, della loro gravità e dei danni conseguenti”.
“Rispetto al triennio 2014-2016 in cui la crescita era stata solo del +20% (da 873 a 1.050)”, il triennio 2017-2019 è stato caratterizzato da un forte incremento di attacchi gravi +48% (da 1.127 a 1.670 all’anno).
“Rispetto al 2018, invece, il 2019 è stato segnato da un sempre crescente numero di attacchi gravi verso le categorie di “Multiple Targets” (+29,9%), verso gli “Online Services/Cloud” (+91,5%) ed il settore “Healthcare” (+17,0%), seguite da “GDO/Retail” (+28,2%), “Others” (+76,7%), “Telco” (+54,5%) e “Security Industry” (+325%)”.
Con particolare riferimento alla tipologia, invece, sembrano diminuire sia gli attacchi di cyberwarfare (-37,5%), sia quelli della categoria Hacktivism (-21,3%), mentre emerge chiaramente un incremento delle attività riferibili ad attacchi per finalità di cybercrime (+12,3%) e del cyber espionage (+0,5%).
Anche le Autorità italiane sono state colpite da attacchi informatici.
Nel 2016, per almeno 4 mesi consecutivi, i sistemi del Ministero degli Esteri, quello del Ministero della Difesa ed il sistema della rappresentanza italiana presso l’Unione Europea a Bruxelles, hanno subito una intrusione delle comunicazioni email; nessun sistema di cifratura necessario per le comunicazioni classificate è stato compromesso, tuttavia gli attacchi avrebbero arrecato un danno “incalcolabile” essendo state violate tutte le informazioni sul personale diplomatico, militare e – probabilmente – anche quelle dei servizi segreti in Italia e all’estero.
Certamente l’attacco ha raggiunto tutte le mail e le comunicazioni (comprese quelle del personale di vertice e diplomatico) e tutta la documentazione informatizzata proveniente ed indirizzata verso le sedi diplomatiche italiane.
Nel 2018, poi, con una campagna denominata “Operation Roman Holiday”, il gruppo russo APT28, avrebbe preso di mira i sistemi informatici della Marina militare italiana.
“Rispetto al triennio 2014-2016 in cui la crescita era stata solo del +20% (da 873 a 1.050)”, il triennio 2017-2019 è stato caratterizzato da un forte incremento di attacchi gravi +48% (da 1.127 a 1.670 all’anno).
“Rispetto al 2018, invece, il 2019 è stato segnato da un sempre crescente numero di attacchi gravi verso le categorie di “Multiple Targets” (+29,9%), verso gli “Online Services/Cloud” (+91,5%) ed il settore “Healthcare” (+17,0%), seguite da “GDO/Retail” (+28,2%), “Others” (+76,7%), “Telco” (+54,5%) e “Security Industry” (+325%)”.
Con particolare riferimento alla tipologia, invece, sembrano diminuire sia gli attacchi di cyberwarfare (-37,5%), sia quelli della categoria Hacktivism (-21,3%), mentre emerge chiaramente un incremento delle attività riferibili ad attacchi per finalità di cybercrime (+12,3%) e del cyber espionage (+0,5%).
Anche le Autorità italiane sono state colpite da attacchi informatici.
Nel 2016, per almeno 4 mesi consecutivi, i sistemi del Ministero degli Esteri, quello del Ministero della Difesa ed il sistema della rappresentanza italiana presso l’Unione Europea a Bruxelles, hanno subito una intrusione delle comunicazioni email; nessun sistema di cifratura necessario per le comunicazioni classificate è stato compromesso, tuttavia gli attacchi avrebbero arrecato un danno “incalcolabile” essendo state violate tutte le informazioni sul personale diplomatico, militare e – probabilmente – anche quelle dei servizi segreti in Italia e all’estero.
Certamente l’attacco ha raggiunto tutte le mail e le comunicazioni (comprese quelle del personale di vertice e diplomatico) e tutta la documentazione informatizzata proveniente ed indirizzata verso le sedi diplomatiche italiane.
Nel 2018, poi, con una campagna denominata “Operation Roman Holiday”, il gruppo russo APT28, avrebbe preso di mira i sistemi informatici della Marina militare italiana.
Chi la usa maggiormente nel Mondo
Nel giugno 2018, l’amministrazione Trump ha annunciato tariffe del 25 percento su oltre 50 miliardi di dollari di beni cinesi. L’incremento ha preso di mira soprattutto industrie tecnologiche e di produzione di beni farmaceutici nel tentativo di paralizzare i piani strategici stabiliti dal piano Made in China 2025 del governo cinese (MIC 2025); l’iniziativa ha delineato i piani di Pechino nell’intento di diventare leader globale nelle aree produttive chiave.
Molti degli obiettivi strategici di questo piano sono probabilmente basati su requisiti specifici di raccolta di informazioni di intelligence, quale base primaria per le operazioni informatiche basate in Cina.
Il 2018 è stato anche caratterizzato da operazioni sospette russe, fra cui quelle mirate al governo ucraino, alle sue forze dell’ordine e alle sue entità militari. SentinelLabs ha redatto un rapporto per evidenziare l’escalation degli attacchi di spionaggio informatico contro strutture strategiche in Ucraina. Il rapporto di SentinelLabs indica che Gamaredon – l’operazione che fa uso del malware “Pteranodon” – ha già attaccato più di 5.000 “strutture uniche” in Ucraina. Anche l’Iran continua a essere una minaccia distruttiva – non solo in Medio Oriente, ma anche verso aziende con sede nei paesi occidentali; l’Iran agisce attraverso campagne di compromissione strategica del web (SWC) di lunga durata, malware mobile e operazioni di divulgazione delle strategie avversarie.
Queste tattiche vengono utilizzate per condurre campagne di spionaggio informatico contro rivali della stessa area, per controllare l’attività dei dissidenti e per portare avanti ulteriori campagne di “guerra dolce” a livello internazionale.
Il 2018 è stato, inoltre, caratterizzato dallo storico vertice tra il presidente degli Stati Uniti Donald Trump ed il leader della Repubblica Popolare Democratica della Corea del Nord Kim Jong-Un; per l’occasione si è osservato un aumento complessivo dell’attività di intrusione cyber realizzate dalle 4 forze cibernetiche nordcoreane:
Stardust Chollima specializzata in “attacchi commerciali”;
Silent Chollima che agisce contro i media e le agenzie governative, principalmente in Corea del Sud;
Labyrinth Chollima che si concentra sul contrasto ai servizi di intelligenc
Ricochet Chollima impegnata nel furto dei dati dell’utente.
Molti degli obiettivi strategici di questo piano sono probabilmente basati su requisiti specifici di raccolta di informazioni di intelligence, quale base primaria per le operazioni informatiche basate in Cina.
Il 2018 è stato anche caratterizzato da operazioni sospette russe, fra cui quelle mirate al governo ucraino, alle sue forze dell’ordine e alle sue entità militari. SentinelLabs ha redatto un rapporto per evidenziare l’escalation degli attacchi di spionaggio informatico contro strutture strategiche in Ucraina. Il rapporto di SentinelLabs indica che Gamaredon – l’operazione che fa uso del malware “Pteranodon” – ha già attaccato più di 5.000 “strutture uniche” in Ucraina. Anche l’Iran continua a essere una minaccia distruttiva – non solo in Medio Oriente, ma anche verso aziende con sede nei paesi occidentali; l’Iran agisce attraverso campagne di compromissione strategica del web (SWC) di lunga durata, malware mobile e operazioni di divulgazione delle strategie avversarie.
Queste tattiche vengono utilizzate per condurre campagne di spionaggio informatico contro rivali della stessa area, per controllare l’attività dei dissidenti e per portare avanti ulteriori campagne di “guerra dolce” a livello internazionale.
Il 2018 è stato, inoltre, caratterizzato dallo storico vertice tra il presidente degli Stati Uniti Donald Trump ed il leader della Repubblica Popolare Democratica della Corea del Nord Kim Jong-Un; per l’occasione si è osservato un aumento complessivo dell’attività di intrusione cyber realizzate dalle 4 forze cibernetiche nordcoreane:
Stardust Chollima specializzata in “attacchi commerciali”;
Silent Chollima che agisce contro i media e le agenzie governative, principalmente in Corea del Sud;
Labyrinth Chollima che si concentra sul contrasto ai servizi di intelligenc
Ricochet Chollima impegnata nel furto dei dati dell’utente.
Fonte:
Guerra cibernetica (cyberwarfare): cos'è, presente e futuro, casi famosi - Cyber Security 360
Guerra cibernetica (cyberwarfare): cos'è, presente e futuro, casi famosi - Cyber Security 360
Tecniche, obiettivi e strategie dietro gli attacchi “state-sponsored”
Gli state-sponsored attack sono attacchi condotti nel cyberspace da attori statuali che procedono a offensive “ibride”, che si adattano alle molteplici opportunità del nuovo terreno di scontro e perfettamente inquadrabili nella narrazione geopolitica del mondo attuale. Vediamo quali sono i contorni e le caratteristiche
Giuseppe Del Giudice Cyber Security, IT Strategy and Governance at Sia Partners
Giuseppe Del Giudice Cyber Security, IT Strategy and Governance at Sia Partners
All’aumento delle tensioni Usa-Iran, diversi esperti hanno avvisato che possono crescere gli attacchi cyber sponsorizzati dal governo di Teheran ai danni di soggetti americani, soprattutto aziende con base nel Medio Oriente. È l’ennesima conferma che la cyber warfare è diventato un tassello importante nel più ampio e complesso ambito delle strategie geopolitiche statali.
Gli attacchi di tipo APT (acronimo che sta per Advanced Persistent Threat), state-sponsored, sono ormai considerati uno strumento di primo piano per perseguire interessi politici, economici, militari degli attori sullo scacchiere internazionale.
Il più delle volte confuso con una tipologia “avanzata” di malware o agente informatico, molto più pericolosamente l’Advanced Persistent Threat, servendo al disegno strategico geopolitico o militare dell’entità statale di cui costituisce la longa manus nel cyberspace, assume invece il volto di una vera e propria filosofia d’ingaggio e di exploitation, con caratteristiche peculiari le quali, queste si, ne descrivono la vera invasività. Ma cosa rende particolarmente insidioso un APT? Provando brevemente a ragionare intorno alle principali caratteristiche di questa filosofia d’ingaggio, si noterà come lo strumento utilizzato e lo stesso obiettivo finale dell’attacco non sia altro che la punta dell’iceberg. Vediamo perché.
Gli attacchi di tipo APT (acronimo che sta per Advanced Persistent Threat), state-sponsored, sono ormai considerati uno strumento di primo piano per perseguire interessi politici, economici, militari degli attori sullo scacchiere internazionale.
Il più delle volte confuso con una tipologia “avanzata” di malware o agente informatico, molto più pericolosamente l’Advanced Persistent Threat, servendo al disegno strategico geopolitico o militare dell’entità statale di cui costituisce la longa manus nel cyberspace, assume invece il volto di una vera e propria filosofia d’ingaggio e di exploitation, con caratteristiche peculiari le quali, queste si, ne descrivono la vera invasività. Ma cosa rende particolarmente insidioso un APT? Provando brevemente a ragionare intorno alle principali caratteristiche di questa filosofia d’ingaggio, si noterà come lo strumento utilizzato e lo stesso obiettivo finale dell’attacco non sia altro che la punta dell’iceberg. Vediamo perché.
Cosa rende davvero insidioso un ATP
Partiamo dal presupposto che le “nuove possibilità” consentite dal dominio cibernetico, sono state assorbite nell’ambito delle strategie geopolitiche statali, e in alcuni casi sono state inglobate ed armonizzate in veri e propri approcci strategici (pensiamo ad esempio al tema della hybrid-warfare russa). Diciamo subito, quindi, che l’insidia non pare tanto venire dalla sofisticatezza dell’arma utilizzata (il malware o del toolkit), né dallo sfruttamento di vulnerabilità non note su sistemi e servizi (cosiddetto zero day), ma si potrebbe dire che la pericolosità provenga, da una parte, dal tipo di attore che conduce tali operazioni, dal mindset che applica e dalle caratteristiche stesse di quella che si potrebbe definire come una “filosofia d’ingaggio”; dall’altra parte sono le caratteristiche stesse degli obiettivi individuati a contribuire, cioè organizzazioni complesse (pubbliche e private) calate in un contesto dove le interdipendenze offrono multiple possibilità d’attacco.
Strategie di attacco su misura
Rispetto ad altre tipologie di attaccanti che portano avanti operazioni in larga scala solitamente con il movente dell’appropriazione illecita di denaro[1] o di informazioni che possano essere poi monetizzate[2], gli attacchi APT legati ad entità statali, hanno un diverso movente: i primi solitamente non presentano obiettivi determinati, ma al contrario, l’attaccante cerca di raggiungere il numero più alto di utenti per aumentare la possibilità di monetizzare (si osserva l’utilizzo di agenti informatici come i trojan bancari, o le famiglie di ransomware[3], distribuiti attraverso campagne di phishing o mediante il ricorso a tecniche di autospread, come nel caso di Wannacry), i secondi invece, partono dalla definizione di un obiettivo specifico (che sia un’istituzione, un soggetto, un azienda privata, diverse organizzazioni di un settore strategico): dunque tutta la strategia d’attacco, compresi gli agenti malevoli e le tattiche da utilizzare, è disegnata “su misura” rispetto ad un predefinito e specifico target (che viene attentamente “studiato”).
La raccolta delle informazioni necessarie a “conoscere” quanto più possibile l’obiettivo, le persone ad esso legate e l’ambiente informatico stesso solitamente avviene in più fasi, prima ed anche durante l’attacco, con diversi scopi: dall’individuazione dell’opportuna strategia per stabilire un foothold all’interno della rete aziendale (ad esempio attraverso attacchi di tipo spear-phishing o watering-holes su determinati soggetti, solitamente personale non executive), fino a determinare una “fotografia”, e possibili vulnerabilità, di servizi o di tecnologia presenti sull’ambiente informatico tradizionale (ICT) o industriale (OT) dell’obiettivo[4].
Sono utilizzate diverse fonti, tecniche e tools (sia open source, che custom), che vanno da multiple tecniche di information gathering, all’Open Source Intelligence (OSINT) pura, fino all’analisi dei profili delle “persone d’interesse” legate all’obiettivo (attraverso tecniche di Social Media Intelligence ad esempio), con lo scopo di descrivere le reti sociali in cui si muovono, le tendenze, abitudini, o raccogliere informazioni legate all’organizzazione.
Inoltre, si osserva la tendenza a collezionare ulteriori informazioni anche dopo la prima fase dell’attacco (internal reconnaissance), cioè già quando l’attaccante ha stabilito un accesso persistente nella rete aziendale, solitamente mediante specifiche features dei malware usati, che estraggono ed inviano informazioni a server controllati dagli attaccanti (cosiddetti C&C).
La raccolta delle informazioni necessarie a “conoscere” quanto più possibile l’obiettivo, le persone ad esso legate e l’ambiente informatico stesso solitamente avviene in più fasi, prima ed anche durante l’attacco, con diversi scopi: dall’individuazione dell’opportuna strategia per stabilire un foothold all’interno della rete aziendale (ad esempio attraverso attacchi di tipo spear-phishing o watering-holes su determinati soggetti, solitamente personale non executive), fino a determinare una “fotografia”, e possibili vulnerabilità, di servizi o di tecnologia presenti sull’ambiente informatico tradizionale (ICT) o industriale (OT) dell’obiettivo[4].
Sono utilizzate diverse fonti, tecniche e tools (sia open source, che custom), che vanno da multiple tecniche di information gathering, all’Open Source Intelligence (OSINT) pura, fino all’analisi dei profili delle “persone d’interesse” legate all’obiettivo (attraverso tecniche di Social Media Intelligence ad esempio), con lo scopo di descrivere le reti sociali in cui si muovono, le tendenze, abitudini, o raccogliere informazioni legate all’organizzazione.
Inoltre, si osserva la tendenza a collezionare ulteriori informazioni anche dopo la prima fase dell’attacco (internal reconnaissance), cioè già quando l’attaccante ha stabilito un accesso persistente nella rete aziendale, solitamente mediante specifiche features dei malware usati, che estraggono ed inviano informazioni a server controllati dagli attaccanti (cosiddetti C&C).
Perchè si parla di minaccia avanzata
Da non intendere solo in senso strettamente tecnico, alcuni attacchi APT non hanno sempre mostrato un livello tecnico alto[5], ma la caratteristica di “minaccia avanzata” è da intendere soprattutto con riguardo della “mente” che guida l’attacco e che ne ha definito la strategia, al mindset specifico dell’attaccante e alla sua attitudine, alle sue skills tecniche, e di come l’attore agisce su basi informate. In definitiva, l’aspetto che regala l’appellativo di “avanzata” a questo tipo di minaccia o di attacco, va a cadere direttamente sulla “capacità” dell’attaccante (o solitamente del collettivo di attaccanti) in senso lato, dunque tecnica, economica, strategica, tattica, informativa, di coordinamento di diverse risorse umane e fisiche (team multipli con differenti expertise). Dunque il punto fondamentale è su “cosa sta attorno” al collettivo attaccante ed al modo in cui conduce l’attacco.
Una delle caratteristiche principali è l’adozione di un approccio “low and slow”, dove il primo obiettivo, dopo aver stabilito un “foothold” nella rete aziendale, è quello di riservarsi nel tempo un accesso ai sistemi target e rimanere “undetected”.
Secondo uno studio di FireEye, il cosiddetto "dwell time", cioè il tempo in cui gli agenti malevoli rimangono “undetected” nella rete e nei sistemi target prima che vengano individuati, ha subito un evoluzione che va, in media da 461 giorni nel 2011 a 78 giorni nel 2018, indice di una risposta in termini di detection da parte delle organizzazioni più strutturata e presente, ma che tuttavia ci parla di un accesso non consentito e persistente a sistemi e reti, in media, di poco meno di tre mesi.
Gli attaccanti si focalizzano interamente sul target finché non raggiungono l’obiettivo, sfruttando multiple vulnerabilità umane e tecnologiche, in modo solitamente “non lineare” e adattativo: pur se è possibile ricostruire path comportamentali nella conduzione di tali tipi di attacchi e definire modus operandi in termini di tattiche, tecniche e procedure (TTPs) utilizzate dall’agente modello, ci si scontra con la “staticità” di tali descrizioni a fronte di approcci che nascono “by design” come “adattativi”, sia rispetto al target, che rispetto alle specifiche condizioni in cui gli attaccanti si trovano ad operare (insieme ad altri fattori).
Una delle caratteristiche principali è l’adozione di un approccio “low and slow”, dove il primo obiettivo, dopo aver stabilito un “foothold” nella rete aziendale, è quello di riservarsi nel tempo un accesso ai sistemi target e rimanere “undetected”.
Secondo uno studio di FireEye, il cosiddetto "dwell time", cioè il tempo in cui gli agenti malevoli rimangono “undetected” nella rete e nei sistemi target prima che vengano individuati, ha subito un evoluzione che va, in media da 461 giorni nel 2011 a 78 giorni nel 2018, indice di una risposta in termini di detection da parte delle organizzazioni più strutturata e presente, ma che tuttavia ci parla di un accesso non consentito e persistente a sistemi e reti, in media, di poco meno di tre mesi.
Gli attaccanti si focalizzano interamente sul target finché non raggiungono l’obiettivo, sfruttando multiple vulnerabilità umane e tecnologiche, in modo solitamente “non lineare” e adattativo: pur se è possibile ricostruire path comportamentali nella conduzione di tali tipi di attacchi e definire modus operandi in termini di tattiche, tecniche e procedure (TTPs) utilizzate dall’agente modello, ci si scontra con la “staticità” di tali descrizioni a fronte di approcci che nascono “by design” come “adattativi”, sia rispetto al target, che rispetto alle specifiche condizioni in cui gli attaccanti si trovano ad operare (insieme ad altri fattori).
Multi stage attack
Generalmente gli stage di un attacco APT sono i seguenti:
Initial compromise – eseguito solitamente mediante tecniche di social engineering (spear-phishing), tramite e-mail, utilizzando virus zero-day. Un altro metodo utilizzato è stato la diffusione di malware su un sito Web che i dipendenti della vittima probabilmente visiteranno (watering hole attack).
Establish Foothold – generalmente viene eseguito codice malevolo su una delle macchine della rete aziendale che stabilisce una connessione con server controllati dagli attaccanti (C&C), da dove vengono scaricati ulteriori moduli del malware o altro codice malevolo. Sono create backdoors e tunnel per consentire una accesso persistente e silente alla rete aziendale.
Escalate privileges/ Internal reconnaissance – vengono utilizzati exploit e diverse tecniche per ottenere i privilegi di amministratore (priviledge escalation) e viene portata avanti l’attività di raccolta ed estrazione di informazioni per ottenere una “fotografia” di tutto ciò che compone l’infrastruttura di rete, windows domain ecc, per preparare lo step successivo.
Move laterally – espansione del controllo su altre macchine sulla rete aziendale, come server elementi infrastrutturali ecc., procedendo ad attività di harvesting di informazioni.
Complete mission – esfiltrazione delle informazioni, raggiungimento dell’obiettivo, e generalmente bonifica delle tracce lasciate.
Initial compromise – eseguito solitamente mediante tecniche di social engineering (spear-phishing), tramite e-mail, utilizzando virus zero-day. Un altro metodo utilizzato è stato la diffusione di malware su un sito Web che i dipendenti della vittima probabilmente visiteranno (watering hole attack).
Establish Foothold – generalmente viene eseguito codice malevolo su una delle macchine della rete aziendale che stabilisce una connessione con server controllati dagli attaccanti (C&C), da dove vengono scaricati ulteriori moduli del malware o altro codice malevolo. Sono create backdoors e tunnel per consentire una accesso persistente e silente alla rete aziendale.
Escalate privileges/ Internal reconnaissance – vengono utilizzati exploit e diverse tecniche per ottenere i privilegi di amministratore (priviledge escalation) e viene portata avanti l’attività di raccolta ed estrazione di informazioni per ottenere una “fotografia” di tutto ciò che compone l’infrastruttura di rete, windows domain ecc, per preparare lo step successivo.
Move laterally – espansione del controllo su altre macchine sulla rete aziendale, come server elementi infrastrutturali ecc., procedendo ad attività di harvesting di informazioni.
Complete mission – esfiltrazione delle informazioni, raggiungimento dell’obiettivo, e generalmente bonifica delle tracce lasciate.
State-sponsored attacks e hybrid warfare, nuovi (e vecchi) paradigmi delle strategie statali
Quanto abbiamo finora descritto può anche essere visto come una naturale conseguenza del posizionamento della cultura strategica di alcuni paesi rispetto, se si vuole, al modello clausewitziano o suntzuniano: cioè o come atto di forza, per costringere il nemico alla sottomissione, o enfatizzando l’uso dell’inganno e dell’informazione, “plasmandosi” rispetto al mutamento delle condizioni.
Va da sé che, pensando alle caratteristiche del mondo cibernetico, il secondo modello sembrerebbe proprio ben adattarsi al nuovo “campo di battaglia”; questo ha portato una maggiore predisposizione di alcuni attori statali all’impiego operativo di risorse nel cyberspazio, semplicemente assecondando la propria cultura strategica (e anche per ragioni di tipo geopolitico). Tutto ciò ha portato altre nazioni – ad esempio gli Stati Uniti – a doversi culturalmente riposizionare dopo il periodo della guerra fredda, per contrastare altri attori statali che evitano di competere sul terreno della forza bruta, ma ricorrono alla liquidità e all’invisibilità del cyberspazio (tema dell’attribuzione), ad approcci non lineari, non convenzionali e ibridi[.
Questo ha presupposto lo sviluppo di capacità offensive nel cyberspace, ed ha inaugurato la comparsa di collettivi hacker con alte capacità tecniche, ben finanziati ed organizzati, che hanno iniziato ad essere protagonisti di attacchi con obiettivi “insoliti” per quanto si era fino a quel momento osservato: questi attori, ad esempio, non miravano alla monetizzazione delle informazioni trafugate, non lasciavano trasparire motivazioni collegabili ad ideologie, ma parevano agire proprio come longa manus dei servizi d’intelligence, se non proprio come truppe con intenti volti alla distruzione, anche fisica, di un obiettivo o all’interruzione della continuità operativa di servizi essenziali e critici, se non alla destabilizzazione economica e sociale.
Gli analisti del settore pubblico e privato, “connettendo i punti”, ne hanno così definito i contorni, iniziando a consolidare una vera e propria mappatura delle tecniche, tattiche e procedure utilizzate, e soprattutto delle similitudini o colleganze tra collettivi attaccanti e tra questi e gli interessi strategici, militari, economici, politici e sociali di alcuni paesi, trovandosi così direttamente catapultati in scenari geopolitici.
L’analisi tecnica degli artefatti (reverse engineering) ha poi consentito – seppur non in tutti i casi – d’individuare la potenziale “paternità” di un dato malware o attacco, così come le similitudini tra le differenti “campagne cyber”. Nascono da qui i nomi dati ai gruppi di attaccanti ed i loro supposti legami con ambienti governativi o apparati d’intelligence: nomi come APT28 (anche conosciuti come FancyBear, Stortium, Sofacy), di cui si sospettano legami con il GRU russo; Equation Group, anche chiamati Longhorn, di cui sospetta la vicinanza a l’NSA ed i FiveEyes; Comment Crew noti anche come Unit 61398; APT1 legati a China’s People’s Liberation Army (PLA).
Va da sé che, pensando alle caratteristiche del mondo cibernetico, il secondo modello sembrerebbe proprio ben adattarsi al nuovo “campo di battaglia”; questo ha portato una maggiore predisposizione di alcuni attori statali all’impiego operativo di risorse nel cyberspazio, semplicemente assecondando la propria cultura strategica (e anche per ragioni di tipo geopolitico). Tutto ciò ha portato altre nazioni – ad esempio gli Stati Uniti – a doversi culturalmente riposizionare dopo il periodo della guerra fredda, per contrastare altri attori statali che evitano di competere sul terreno della forza bruta, ma ricorrono alla liquidità e all’invisibilità del cyberspazio (tema dell’attribuzione), ad approcci non lineari, non convenzionali e ibridi[.
Questo ha presupposto lo sviluppo di capacità offensive nel cyberspace, ed ha inaugurato la comparsa di collettivi hacker con alte capacità tecniche, ben finanziati ed organizzati, che hanno iniziato ad essere protagonisti di attacchi con obiettivi “insoliti” per quanto si era fino a quel momento osservato: questi attori, ad esempio, non miravano alla monetizzazione delle informazioni trafugate, non lasciavano trasparire motivazioni collegabili ad ideologie, ma parevano agire proprio come longa manus dei servizi d’intelligence, se non proprio come truppe con intenti volti alla distruzione, anche fisica, di un obiettivo o all’interruzione della continuità operativa di servizi essenziali e critici, se non alla destabilizzazione economica e sociale.
Gli analisti del settore pubblico e privato, “connettendo i punti”, ne hanno così definito i contorni, iniziando a consolidare una vera e propria mappatura delle tecniche, tattiche e procedure utilizzate, e soprattutto delle similitudini o colleganze tra collettivi attaccanti e tra questi e gli interessi strategici, militari, economici, politici e sociali di alcuni paesi, trovandosi così direttamente catapultati in scenari geopolitici.
L’analisi tecnica degli artefatti (reverse engineering) ha poi consentito – seppur non in tutti i casi – d’individuare la potenziale “paternità” di un dato malware o attacco, così come le similitudini tra le differenti “campagne cyber”. Nascono da qui i nomi dati ai gruppi di attaccanti ed i loro supposti legami con ambienti governativi o apparati d’intelligence: nomi come APT28 (anche conosciuti come FancyBear, Stortium, Sofacy), di cui si sospettano legami con il GRU russo; Equation Group, anche chiamati Longhorn, di cui sospetta la vicinanza a l’NSA ed i FiveEyes; Comment Crew noti anche come Unit 61398; APT1 legati a China’s People’s Liberation Army (PLA).
Gli attori attivi nel cyberspace e come vengono usati dagli Stati
Diversi sono gli attori fino ad oggi osservati nel cyberspace[11], come diverse sono le modalità d’impiego di tali gruppi da parte degli stati a cui potenzialmente sono legati o dei quali apparati di sicurezza fanno parte: dal cyber-espionage, ad operazioni di supporto ad offensive portate avanti con mezzi convenzionali. In particolare, la Russia proprio in occasione dalla crisi con l’Ucraina del 2015, ha dimostrato un’applicazione esatta di tali tipi di impieghi: inquadrata nell’inaugurata strategia della guerra ibrida, combattuta non solo con mezzi cosiddetti “convenzionali” o non “non convenzionali” (come disinformazione, networks of influence, useful idiots, tecniche che già erano di tradizione KGB), ma anche mediante lo sviluppo e l’impiego di capacità offensive nel cyberspace.
È il caso delle crisi della Crimea (2004), Georgia (2008) e Ucraina (2015-2017) , dove l’offensiva ibrida è passata anche dallo spazio cibernetico con attacchi ad infrastrutture critiche nazionali e apparati statali: solo la campagna cyber chiamata dagli analisti “Black Energy”, e potenzialmente attribuita al collettivo Sandworm collegato ad ambienti dell’intelligence russa, ha visto causare ripetute interruzioni del servizio elettrico con impatti su centinaia di migliaia di cittadini nel 2015 e nel 2016. Ciò che però rende la misura dell’applicazione di tali strategie sul quinto dominio, è pensare come quest’ultima sia solo un’operazione, inserita all’interno di una serie di attacchi cibernetici che hanno, continuamente e sistematicamente nel tempo, insidiato praticamente ogni settore ucraino, non solo infrastrutture energetiche, ma finanziarie, governative, dei trasporti; questo a dimostrazione della pervasività ed alta efficacia dell’elemento cyber inserito come una delle linee di conduzione di un conflitto o come parte dei metodi di gestione di affari internazionali.
Si pensi in quest’ultimo caso, ai recenti attacchi contro agenzie antidoping e organizzazioni sportive collegati all’esclusione degli atleti russi dai giochi olimpici fino al 2022. E su questo fronte non si tratta certo di inediti, quando già il 9 febbraio 2018, in piena cerimonia di apertura dei giochi olimpici invernali della Corea del Sud, un’offensiva denominata Olympic Destroyer[ ha bloccato diecimila computer, 20 mila telefonini, 6300 router wifi e 300 server.
Gli ultimi due esempi potrebbero servire ad individuare due tipologie d’impiego del mezzo cyber da parte degli stati: le operazioni cyber in Ucraina, rientrerebbero all’interno di un uso delle capacità cyber completamente inserito all’interno di conflitti ibridi già avviati; dall’altro l’impiego di gruppi hacker come mezzo di pressione nella gestione di affari internazionali, intesi in senso lato (dove non è in corso un potenziale conflitto). Appartengono alla seconda categoria, nonostante il chiaro impiego di cyberweapons, le vicende riconducibili all’Iran e agli USA: da Stuxnet, fino ai continui attacchi cyber ancora attualmente scambiati.
Con il malware Stuxnet un attacco americano-israeliano ha danneggiato le capacità nucleari iraniane dieci anni fa.
È noto che gli Usa hanno condotto molte operazioni Cyber in medio oriente a supporto degli obiettivi militari sfruttando la propria posizione centrale nelle infrastrutture internet globali. Uno dei motivi che spinge alcuni paesi, come Russia e Cina, a cercare di farsi una internet autarchica. Di contro gli hacker iraniani hanno attaccato molti bersagli soprattutto in Arabia Saudita, storico alleato americano. In questo senso si potrebbe dire che la gestione della crisi del nucleare iraniano da parte degli stati uniti, avrebbe visto, oltre all’impiego di diversi “mezzi di pressione”, anche il ricorso ad attacchi cyber.
In definitiva, siamo dinanzi ad attori statuali che procedono ad offensive “ibride”, “liquide”, cioè che si adattano alle molteplici opportunità del nuovo terreno di scontro, sfruttando tattiche convenzionali e non convenzionali nella gestione di veri e propri conflitti e di rapporti internazionali, al cui fianco compaiono attori non ben identificati, dalle dipendenze non chiare con apparati governativi, che procedono ad operazioni nel cyberspace (State-Sponsored attacks), perfettamente inquadrabili nella narrazione geopolitica del mondo attuale. E la loro capacità non è limitata da penuria di risorse economiche, tecnologiche, informative.
È il caso delle crisi della Crimea (2004), Georgia (2008) e Ucraina (2015-2017) , dove l’offensiva ibrida è passata anche dallo spazio cibernetico con attacchi ad infrastrutture critiche nazionali e apparati statali: solo la campagna cyber chiamata dagli analisti “Black Energy”, e potenzialmente attribuita al collettivo Sandworm collegato ad ambienti dell’intelligence russa, ha visto causare ripetute interruzioni del servizio elettrico con impatti su centinaia di migliaia di cittadini nel 2015 e nel 2016. Ciò che però rende la misura dell’applicazione di tali strategie sul quinto dominio, è pensare come quest’ultima sia solo un’operazione, inserita all’interno di una serie di attacchi cibernetici che hanno, continuamente e sistematicamente nel tempo, insidiato praticamente ogni settore ucraino, non solo infrastrutture energetiche, ma finanziarie, governative, dei trasporti; questo a dimostrazione della pervasività ed alta efficacia dell’elemento cyber inserito come una delle linee di conduzione di un conflitto o come parte dei metodi di gestione di affari internazionali.
Si pensi in quest’ultimo caso, ai recenti attacchi contro agenzie antidoping e organizzazioni sportive collegati all’esclusione degli atleti russi dai giochi olimpici fino al 2022. E su questo fronte non si tratta certo di inediti, quando già il 9 febbraio 2018, in piena cerimonia di apertura dei giochi olimpici invernali della Corea del Sud, un’offensiva denominata Olympic Destroyer[ ha bloccato diecimila computer, 20 mila telefonini, 6300 router wifi e 300 server.
Gli ultimi due esempi potrebbero servire ad individuare due tipologie d’impiego del mezzo cyber da parte degli stati: le operazioni cyber in Ucraina, rientrerebbero all’interno di un uso delle capacità cyber completamente inserito all’interno di conflitti ibridi già avviati; dall’altro l’impiego di gruppi hacker come mezzo di pressione nella gestione di affari internazionali, intesi in senso lato (dove non è in corso un potenziale conflitto). Appartengono alla seconda categoria, nonostante il chiaro impiego di cyberweapons, le vicende riconducibili all’Iran e agli USA: da Stuxnet, fino ai continui attacchi cyber ancora attualmente scambiati.
Con il malware Stuxnet un attacco americano-israeliano ha danneggiato le capacità nucleari iraniane dieci anni fa.
È noto che gli Usa hanno condotto molte operazioni Cyber in medio oriente a supporto degli obiettivi militari sfruttando la propria posizione centrale nelle infrastrutture internet globali. Uno dei motivi che spinge alcuni paesi, come Russia e Cina, a cercare di farsi una internet autarchica. Di contro gli hacker iraniani hanno attaccato molti bersagli soprattutto in Arabia Saudita, storico alleato americano. In questo senso si potrebbe dire che la gestione della crisi del nucleare iraniano da parte degli stati uniti, avrebbe visto, oltre all’impiego di diversi “mezzi di pressione”, anche il ricorso ad attacchi cyber.
In definitiva, siamo dinanzi ad attori statuali che procedono ad offensive “ibride”, “liquide”, cioè che si adattano alle molteplici opportunità del nuovo terreno di scontro, sfruttando tattiche convenzionali e non convenzionali nella gestione di veri e propri conflitti e di rapporti internazionali, al cui fianco compaiono attori non ben identificati, dalle dipendenze non chiare con apparati governativi, che procedono ad operazioni nel cyberspace (State-Sponsored attacks), perfettamente inquadrabili nella narrazione geopolitica del mondo attuale. E la loro capacità non è limitata da penuria di risorse economiche, tecnologiche, informative.
Esempi
A. Un esempio è il trojan BackSwap, osservato dai ricercatori (di ESET N.d.A) e diffuso attraverso una serie di email phishing in Polonia (ma espandendosi in breve tempo in tutta Europa). Il trojan consente l’esecuzione di codice JavaScript malevolo nel browser dell’utente alla connessione a specifici URL corrispondenti ad applicazioni di home banking note
L’obiettivo è recuperare le credenziali e i dettagli della carta di credito delle vittime (cfr. https://blog.eset.it/2018/05/backswap-linnovativo-trojan-bancario-che-introduce-nuove-tecniche-per-svuotare-i-conti-delle-vittime/).
B. Ad esempio attraverso la vendita nel darkweb, oppure si pensi alla recente operazione del CNAIPIC e della Polizia di Stato, chiamata PEOPLE 1, conclusa con l’arresto di un sessantaseienne (identificato come Oorn) accusato di aver rubato migliaia di credenziali di accesso e di informazioni private contenute in archivi informatici della Pubblica Amministrazione, organizzando una banca dati illegale consultabile a pagamento (cfr. https://www.ts-way.com/wp-content/uploads/TLP_WHITE_Oorn_campagne-a-tema-INPS-e-Ispettorato-del-Lavoro-per-il-furto-di-credenziali-con-l-introduzione-di-CyclicOrder.pdf).
C. Si pensi, ad esempio, a Wannacry o Petya/NotPetya (cfr. https://www.cybersecurity360.it/nuove-minacce/petya-e-notpetya-i-ransomware-cosa-sono-e-come-rimuoverli/).
D. Nel caso di Stuxnet la fase di information ghatering preventiva, attraverso un vero e proprio lavoro d’intelligence, ha permesso di individuare la tipologia di PLC alla base del funzionamento delle centrifughe industriali del complesso nucleare iraniano di Natanz (vero target dell’operazione). Ciò ha consentito di disegnare un malware specificatamente portato ad attivarsi solo al rilevamento di tale modello di PLC che controlla le centrifighe e a sfruttare una sua vulnerabilità (ancora in quel momento non conosciuta, dunque un zero-day) causandone il danneggiamento e l’interruzione delle operazioni industriali.
E. Si pensi all’Operazione NightDragon (https://www.mcafee.com/wp-content/uploads/2011/02/McAfee_NightDragon_wp_draft_to_customersv1-1.pdf).
F. Cfr. https://www.fireeye.com/blog/executive-perspective/2019/03/mtrends-2019-celebrating-ten-years-of-incident-response-reporting.html
G. Cfr. Sul tema della Hybrid-Warfare, http://www.natolibguides.info/hybridwarfare
H. Gruppo hacker chiamato in causa dall’FBI e DHS statunitense in occasione dei cyber attacchi sferrati in prossimità delle elezioni statunitensi del 2016.
I. Gruppo hacker collegato all’ingegnerizzazione e alla condizione dell’operazione Stuxnet che ha colpito il programma nucleare iraniano nel 2010.
L. La società statunitense Mandiant, successivamente acquistata da FireEye, ha pubblicato nel febbraio 2013 un rapporto che esponeva una delle unità cinesi di spionaggio informatico, l’Unità 61398. Il gruppo, che FireEye chiamava APT1, è un’unità all’interno del People’s Liberation Army (PLA) cinese, collegati aduna vasta gamma di operazioni informatiche che hanno colpito il settore privato statunitense a fini di spionaggio.
M. Per una mappatura più completa, dei gruppi, delle operazioni, toolkit e malware utilizzati può essere utile un excel condiviso da Google e periodicamente aggiornato (https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/edit#gid=1636225066).
N. Cfr. https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid
O. Gli analisti potenzialmente attribuiscono al collettivo APT28 (noto anche come FancyBear o Strontium) la conduzione delle operazioni d’attacco. Non le utlime sul fronte esclusione dai giochi olimpici dei russi:
P. Cfr. https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/ per un’analisi tecnica dell’attacco.
Q. Attacco avvenuto al complesso nucleare iraniano di Natanz, dove un sofisticato agente informatico, sfruttando una vulnerabilità non conosciuta (c.d. zero-day) di un dispositivo PLC della Simens, ha portato al danneggiamento di circa 1000 centrifughe ed infettato 3.000 computer (per approfondimenti tecnici, Bruce Schneier, https://www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf).
R. Cfr. https://iranprimer.usip.org/blog/2019/oct/25/invisible-us-iran-cyber-war
L’obiettivo è recuperare le credenziali e i dettagli della carta di credito delle vittime (cfr. https://blog.eset.it/2018/05/backswap-linnovativo-trojan-bancario-che-introduce-nuove-tecniche-per-svuotare-i-conti-delle-vittime/).
B. Ad esempio attraverso la vendita nel darkweb, oppure si pensi alla recente operazione del CNAIPIC e della Polizia di Stato, chiamata PEOPLE 1, conclusa con l’arresto di un sessantaseienne (identificato come Oorn) accusato di aver rubato migliaia di credenziali di accesso e di informazioni private contenute in archivi informatici della Pubblica Amministrazione, organizzando una banca dati illegale consultabile a pagamento (cfr. https://www.ts-way.com/wp-content/uploads/TLP_WHITE_Oorn_campagne-a-tema-INPS-e-Ispettorato-del-Lavoro-per-il-furto-di-credenziali-con-l-introduzione-di-CyclicOrder.pdf).
C. Si pensi, ad esempio, a Wannacry o Petya/NotPetya (cfr. https://www.cybersecurity360.it/nuove-minacce/petya-e-notpetya-i-ransomware-cosa-sono-e-come-rimuoverli/).
D. Nel caso di Stuxnet la fase di information ghatering preventiva, attraverso un vero e proprio lavoro d’intelligence, ha permesso di individuare la tipologia di PLC alla base del funzionamento delle centrifughe industriali del complesso nucleare iraniano di Natanz (vero target dell’operazione). Ciò ha consentito di disegnare un malware specificatamente portato ad attivarsi solo al rilevamento di tale modello di PLC che controlla le centrifighe e a sfruttare una sua vulnerabilità (ancora in quel momento non conosciuta, dunque un zero-day) causandone il danneggiamento e l’interruzione delle operazioni industriali.
E. Si pensi all’Operazione NightDragon (https://www.mcafee.com/wp-content/uploads/2011/02/McAfee_NightDragon_wp_draft_to_customersv1-1.pdf).
F. Cfr. https://www.fireeye.com/blog/executive-perspective/2019/03/mtrends-2019-celebrating-ten-years-of-incident-response-reporting.html
G. Cfr. Sul tema della Hybrid-Warfare, http://www.natolibguides.info/hybridwarfare
H. Gruppo hacker chiamato in causa dall’FBI e DHS statunitense in occasione dei cyber attacchi sferrati in prossimità delle elezioni statunitensi del 2016.
I. Gruppo hacker collegato all’ingegnerizzazione e alla condizione dell’operazione Stuxnet che ha colpito il programma nucleare iraniano nel 2010.
L. La società statunitense Mandiant, successivamente acquistata da FireEye, ha pubblicato nel febbraio 2013 un rapporto che esponeva una delle unità cinesi di spionaggio informatico, l’Unità 61398. Il gruppo, che FireEye chiamava APT1, è un’unità all’interno del People’s Liberation Army (PLA) cinese, collegati aduna vasta gamma di operazioni informatiche che hanno colpito il settore privato statunitense a fini di spionaggio.
M. Per una mappatura più completa, dei gruppi, delle operazioni, toolkit e malware utilizzati può essere utile un excel condiviso da Google e periodicamente aggiornato (https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/edit#gid=1636225066).
N. Cfr. https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid
O. Gli analisti potenzialmente attribuiscono al collettivo APT28 (noto anche come FancyBear o Strontium) la conduzione delle operazioni d’attacco. Non le utlime sul fronte esclusione dai giochi olimpici dei russi:
P. Cfr. https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/ per un’analisi tecnica dell’attacco.
Q. Attacco avvenuto al complesso nucleare iraniano di Natanz, dove un sofisticato agente informatico, sfruttando una vulnerabilità non conosciuta (c.d. zero-day) di un dispositivo PLC della Simens, ha portato al danneggiamento di circa 1000 centrifughe ed infettato 3.000 computer (per approfondimenti tecnici, Bruce Schneier, https://www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf).
R. Cfr. https://iranprimer.usip.org/blog/2019/oct/25/invisible-us-iran-cyber-war
I 10 cyber attacchi più comuni
Un argomento già trattato e ben approfondito in questo modulo didattico ma che sarebbe meglio ricordare:
Un cyber attacco è qualunque tipo di azione offensiva che ha come obiettivo un computer, sistemi informatici, server o infrastrutture di rete, usando varie metodologie per sottrarre, modificare o distruggere dati o sistemi informatici.
Ecco i 10 attacchi informatici più comuni:
Un cyber attacco è qualunque tipo di azione offensiva che ha come obiettivo un computer, sistemi informatici, server o infrastrutture di rete, usando varie metodologie per sottrarre, modificare o distruggere dati o sistemi informatici.
Ecco i 10 attacchi informatici più comuni:
- Denial-of-service (DoS) and distributed denial-of-service (DDoS) attacks
- Man-in-the-middle (MitM) attack
- Phishing and spear phishing attacks
- Drive-by attack
- Password attack
- SQL injection attack
- Cross-site scripting (XSS) attack
- Eavesdropping attack
- Birthday attack
- Malware attack
Conclusione
Per riuscire a difenderci, dobbiamo conoscere bene gli attacchi. In questo articolo abbiamo esaminato i 10 attacchi più comuni di sicurezza informatica che gli hacker utilizzano per bloccare e compromettere i sistemi informatici. Come puoi vedere, gli aggressori hanno molte opzioni, come gli attacchi DDoS, l’infezione da malware, l’intercettazione man-in-the-middle e indovinare le password con la modalità brute-force, per cercare di ottenere un accesso non autorizzato alle infrastrutture critiche e ai dati sensibili.
Le misure per mitigare queste minacce variano, ma le basi della sicurezza rimangono le stesse: mantenete aggiornati i vostri sistemi e utilizzate sistemi di protezione endpoint di nuova generazione, formate i vostri dipendenti, configurate il vostro firewall per mettere in whitelist solo le porte e gli host specifici di cui avete bisogno, mantenete forti le vostre password, usate un modello di minimo privilegio nel vostro ambiente IT, fate backup regolari, prevedete un sistema di disaster recovery e controllate continuamente i vostri sistemi IT alla ricerca di eventuali attività sospette.
Fonte:
I 10 cyber attacchi più comuni - T-Consulting
Le misure per mitigare queste minacce variano, ma le basi della sicurezza rimangono le stesse: mantenete aggiornati i vostri sistemi e utilizzate sistemi di protezione endpoint di nuova generazione, formate i vostri dipendenti, configurate il vostro firewall per mettere in whitelist solo le porte e gli host specifici di cui avete bisogno, mantenete forti le vostre password, usate un modello di minimo privilegio nel vostro ambiente IT, fate backup regolari, prevedete un sistema di disaster recovery e controllate continuamente i vostri sistemi IT alla ricerca di eventuali attività sospette.
Fonte:
I 10 cyber attacchi più comuni - T-Consulting
Il 5G e i rischi della cyberwar
Roberto Zarriello / La Repubblica
La rivoluzione che il 5G sta per portare nelle vite di tutti noi nasconde un’insidia non da poco: quella del rischio sicurezza.
Le applicazioni 5G si stanno diffondendo in tutti i settori, non solo in quello della telefonia e saranno coinvolti comparti come quello della logistica, nella sanità, nell’agricoltura, dell’industry 4.0, della building automation, l’automotive, l’assistenza remota, lo smart manufacturing. La rete 5G è destinata, dunque, a diventare un’infrastruttura critica e a rischio attacchi informatici per l’intero ecosistema nazionale. Secondo il Global Threat Landscape Report di Fortinet, a giugno di quest’anno abbiamo assistito a un aumento di attacchi ransomware (virus informatici che limitano l’accessibilità dei dispositivi che infettano con la richiesta di un riscatto) 10 volte superiore all’anno precedente e le reti delle compagnie di comunicazione risultano tra le più colpite. Mentre per il 2022 le previsioni dei Fortinet Fortiguard Labs parlano di un aumento esponenziale dei rischi dei “5G edge” (ogni applicazione ha una superficie di contatto con l’esterno, un edge appunto, e può pertanto essere vulnerabile). Giosuè Vitaglione, director Global Alliances Telco Sales Emea di Fortinet spiega come “il crescente numero di dispositivi Internet-of-Things (IoT) e Ot, così come dagli smart device alimentati da 5G e dall’intelligenza artificiale che consentono transazioni e applicazioni in tempo reale, porterà a un aumento significativo degli attacchi informatici, e nuove minacce edge-based continueranno a emergere. Aumenteranno furti di dati, blocchi di servizi, presa di controllo degli oggetti connessi con sabotaggi e ricatti”. Ed anche gli stessi operatori telefonici (80 quelli intervistati in un recente sondaggio condotto da Fortinet e Etsi) riconoscono che la sicurezza definita dagli standard 5G è solo un punto di partenza, ma ulteriori investimenti sono necessari per la messa in sicurezza della infrastruttura. Il pericolo è dietro l’angolo come ha dimostrato l’attacco informatico subito nel 2021 dal colosso nelle Telco (AT&T) a cui sono stati rubati tutti i dati. “Pensiamo se qualcuno dovesse chiedere un riscatto per la rete 5G della nazione intera - mette in guardia Giosuè Vitaglione - le conseguenze sarebbero catastrofiche e da cybercrime a cyberwar il passaggio sarebbe molto rapido. Moltissime realtà fanno sempre più affidamento a questa infrastruttura – continua Vitaglione - e gli hacker vedranno sempre più opportunità di business: avremo sempre più scooter connessi, tapiroulan, biciclette, auto connesse, sensori di temperatura, occhiali connessi, e tanti altri oggetti di uso quotidiano e i criminali informatici potranno chiedere riscatti in molte situazioni arrivando a mettere in ginocchio singoli cittadini o addirittura una nazione intera”. Come difenderci? “Occorre stare attenti alle app che utilizziamo - prosegue Vitaglione - ai link che arrivano in spam, agli oggetti connessi che acquistiamo, perché i nostri dati personali saranno distribuiti su un numero maggiore di piattaforme, come dati di pagamento su più dispositivi e più servizi in cloud, dati di location, abitudini, profili sanitari e non è impossibile immaginare in futuro anche degli attacchi all’utilizzo degli oggetti connessi, si pensi ad esempio alle auto”. Quali soluzioni, allora, per evitare il peggio? “Le aziende devono lavorare a un piano strategico - conclude Vitaglione - che consideri investimenti in cybersecurity. I team di security operation dovranno evolvere, avere strumenti molto avanzati anche di intelligenza artificiale. L’innovazione è la parola chiave, specie per le Telco”. Nel frattempo, le previsioni Fortinet per il 2022 parlano di possibili cyber attacchi che prenderanno di mira nuovi obiettivi: dai crypto wallet alle connessioni via satellite. I ransomware diventeranno sempre più distruttivi e gli hacker useranno anche l’intelligenza artificiale per padroneggiare la tecnologia “deep fake” (in grado di imitare le attività umane). Nemmeno lo “spazio” è più al sicuro. Dal momento che l'accesso a internet via satellite continua a crescere, infatti, Fortinet prevede la possibilità che le nuove minacce possano prendere di mira anche le reti satellitari nel corso del prossimo anno. E nel mirino degli hacker ora finiscono anche gli sport digitali.
Fonte:
Il 5G e i rischi della cyberwar: hacker pronti a colpire cittadini e aziende - la Repubblica
La rivoluzione che il 5G sta per portare nelle vite di tutti noi nasconde un’insidia non da poco: quella del rischio sicurezza.
Le applicazioni 5G si stanno diffondendo in tutti i settori, non solo in quello della telefonia e saranno coinvolti comparti come quello della logistica, nella sanità, nell’agricoltura, dell’industry 4.0, della building automation, l’automotive, l’assistenza remota, lo smart manufacturing. La rete 5G è destinata, dunque, a diventare un’infrastruttura critica e a rischio attacchi informatici per l’intero ecosistema nazionale. Secondo il Global Threat Landscape Report di Fortinet, a giugno di quest’anno abbiamo assistito a un aumento di attacchi ransomware (virus informatici che limitano l’accessibilità dei dispositivi che infettano con la richiesta di un riscatto) 10 volte superiore all’anno precedente e le reti delle compagnie di comunicazione risultano tra le più colpite. Mentre per il 2022 le previsioni dei Fortinet Fortiguard Labs parlano di un aumento esponenziale dei rischi dei “5G edge” (ogni applicazione ha una superficie di contatto con l’esterno, un edge appunto, e può pertanto essere vulnerabile). Giosuè Vitaglione, director Global Alliances Telco Sales Emea di Fortinet spiega come “il crescente numero di dispositivi Internet-of-Things (IoT) e Ot, così come dagli smart device alimentati da 5G e dall’intelligenza artificiale che consentono transazioni e applicazioni in tempo reale, porterà a un aumento significativo degli attacchi informatici, e nuove minacce edge-based continueranno a emergere. Aumenteranno furti di dati, blocchi di servizi, presa di controllo degli oggetti connessi con sabotaggi e ricatti”. Ed anche gli stessi operatori telefonici (80 quelli intervistati in un recente sondaggio condotto da Fortinet e Etsi) riconoscono che la sicurezza definita dagli standard 5G è solo un punto di partenza, ma ulteriori investimenti sono necessari per la messa in sicurezza della infrastruttura. Il pericolo è dietro l’angolo come ha dimostrato l’attacco informatico subito nel 2021 dal colosso nelle Telco (AT&T) a cui sono stati rubati tutti i dati. “Pensiamo se qualcuno dovesse chiedere un riscatto per la rete 5G della nazione intera - mette in guardia Giosuè Vitaglione - le conseguenze sarebbero catastrofiche e da cybercrime a cyberwar il passaggio sarebbe molto rapido. Moltissime realtà fanno sempre più affidamento a questa infrastruttura – continua Vitaglione - e gli hacker vedranno sempre più opportunità di business: avremo sempre più scooter connessi, tapiroulan, biciclette, auto connesse, sensori di temperatura, occhiali connessi, e tanti altri oggetti di uso quotidiano e i criminali informatici potranno chiedere riscatti in molte situazioni arrivando a mettere in ginocchio singoli cittadini o addirittura una nazione intera”. Come difenderci? “Occorre stare attenti alle app che utilizziamo - prosegue Vitaglione - ai link che arrivano in spam, agli oggetti connessi che acquistiamo, perché i nostri dati personali saranno distribuiti su un numero maggiore di piattaforme, come dati di pagamento su più dispositivi e più servizi in cloud, dati di location, abitudini, profili sanitari e non è impossibile immaginare in futuro anche degli attacchi all’utilizzo degli oggetti connessi, si pensi ad esempio alle auto”. Quali soluzioni, allora, per evitare il peggio? “Le aziende devono lavorare a un piano strategico - conclude Vitaglione - che consideri investimenti in cybersecurity. I team di security operation dovranno evolvere, avere strumenti molto avanzati anche di intelligenza artificiale. L’innovazione è la parola chiave, specie per le Telco”. Nel frattempo, le previsioni Fortinet per il 2022 parlano di possibili cyber attacchi che prenderanno di mira nuovi obiettivi: dai crypto wallet alle connessioni via satellite. I ransomware diventeranno sempre più distruttivi e gli hacker useranno anche l’intelligenza artificiale per padroneggiare la tecnologia “deep fake” (in grado di imitare le attività umane). Nemmeno lo “spazio” è più al sicuro. Dal momento che l'accesso a internet via satellite continua a crescere, infatti, Fortinet prevede la possibilità che le nuove minacce possano prendere di mira anche le reti satellitari nel corso del prossimo anno. E nel mirino degli hacker ora finiscono anche gli sport digitali.
Fonte:
Il 5G e i rischi della cyberwar: hacker pronti a colpire cittadini e aziende - la Repubblica
🠕
7. Come diventare Hacker etico
Cominciamo dalle basi, e cioè dalla definizione di hacker etico. Ebbene, un hacker etico è una persona esperta di sicurezza informatica che mette a disposizione le proprie capacità per trovare punti deboli nelle infrastrutture di rete, nei software, nei servizi erogati mediante Internet ma anche nell’hardware, collaborando con le aziende che gestiscono i servizi, i software o i dispositivi colpiti dalle falle di sicurezza; il tutto per impedire che a trovarne le debolezze siano i cybercriminali.
A tal proposito, va detto che la definizione più corretta per i cybercriminali sarebbe quella di cracker, e non hacker; al massimo hacker cattivi. Allo stesso modo, quando senti parlare di white hat (cappello bianco) il riferimento è agli hacker etici, mentre il termine black hat (cappello nero) è relativo ai cracker.
A tal proposito, va detto che la definizione più corretta per i cybercriminali sarebbe quella di cracker, e non hacker; al massimo hacker cattivi. Allo stesso modo, quando senti parlare di white hat (cappello bianco) il riferimento è agli hacker etici, mentre il termine black hat (cappello nero) è relativo ai cracker.
Non sono comunque rari dei “cambi di fronte”: non è difficile sentir parlare di cybercriminali i quali, dopo essere stati arrestati e avere scontato una pena, sono diventati hacker etici, mettendo le loro conoscenze al servizio dei propri clienti.
L’hacker etico usa dei software, programmati da sé oppure già disponibili sul mercato, per mettere a dura prova le tecnologie su cui è chiamato a lavorare: le mette sotto stress per testare se resistono agli attacchi e deve fare di tutto per violarle scoprendone le vulnerabilità. Se scopre delle falle di sicurezza, poi collabora con le aziende per porvi rimedio.
A differenza degli hacker cattivi, dunque, gli hacker etici non sono spinti dalla sete di guadagno fraudolenta, né sono animati dalla volontà di nuocere. Stipulano contratti con le aziende che li ingaggiano e li rispettano alla lettera, fornendo un servizio di cui ci avvantaggiamo tutti.
Il termine “etico” non è utilizzato a caso, ha una ragione profonda: anche alcuni governi si affidano agli hacker etici per fare dello spionaggio informatico a danno di potenze estere ostili o di regimi. Si tratta quindi di un’azione per molti versi fraudolenta, fatta però per scopi nobili (almeno nei princìpi).
L’hacker etico usa dei software, programmati da sé oppure già disponibili sul mercato, per mettere a dura prova le tecnologie su cui è chiamato a lavorare: le mette sotto stress per testare se resistono agli attacchi e deve fare di tutto per violarle scoprendone le vulnerabilità. Se scopre delle falle di sicurezza, poi collabora con le aziende per porvi rimedio.
A differenza degli hacker cattivi, dunque, gli hacker etici non sono spinti dalla sete di guadagno fraudolenta, né sono animati dalla volontà di nuocere. Stipulano contratti con le aziende che li ingaggiano e li rispettano alla lettera, fornendo un servizio di cui ci avvantaggiamo tutti.
Il termine “etico” non è utilizzato a caso, ha una ragione profonda: anche alcuni governi si affidano agli hacker etici per fare dello spionaggio informatico a danno di potenze estere ostili o di regimi. Si tratta quindi di un’azione per molti versi fraudolenta, fatta però per scopi nobili (almeno nei princìpi).
Competenze
Prima di parlare del percorso di studi da fare, è opportuno indirizzarti al meglio: l’etica, anche nell’hacking, è soprattutto un modo di pensare e di intendere le cose. Puoi avere conoscenze di informatica molto approfondite ma se non le interpoli nel concetto ampio di etica, non potrai mai raggiungere il tuo obiettivo. I grandi argomenti su cui si erige l’hacking sono:
- L’inglese
- I sistemi operativi e la loro amministrazione
- I linguaggi di programmazione (Ruby, HTML, JavaScript, C, C++, Python e altri ancora)
- I database relazionali (MySQL, SQL, Oracle e altri ancora)
- Il networking (le reti di computer)
- L’ingegneria sociale
- Gli strumenti di monitoraggio e analisi di tutte le discipline qui elencate.
Scuole
Il Dipartimento di ingegneria dell’Università di Modena e Reggio è stato tra i pionieri, proponendo già nel 2016 un corso di specializzazione in cyber security.
Anche la Statale di Milano offre dei corsi di laurea, così come fa il Politecnico di Milano. La Sapienza di Roma, l’Università di Genova e l’Università di Trento offrono dei master in sicurezza informatica.
A partire dal 2021 anche l’Università di Udine ha avviato un corso di laurea magistrale in cybersecurity. La crescente offerta formativa la dice lunga sulla necessità di hacker etici. In informatica si dice che l’unico sistema sicuro è quello spento, senza cavi e chiuso in una cassaforte.
Nonostante l’abbondanza di corsi di formazione, non è necessaria una laurea, così fosse ti consiglierei un percorso universitario che, ovviamente, è sempre un buon ciclo di studi, m, nel vasto mondo dell’hacking non è prerequisito essenziale. È anche vero che in Italia, relativamente alla sicurezza informatica, stanno sbocciando corsi a iosa, chiamati bootcamp, college o campus, ma quanti siano veramente validi ce lo dirà soltanto il passare del tempo.
Anche la Statale di Milano offre dei corsi di laurea, così come fa il Politecnico di Milano. La Sapienza di Roma, l’Università di Genova e l’Università di Trento offrono dei master in sicurezza informatica.
A partire dal 2021 anche l’Università di Udine ha avviato un corso di laurea magistrale in cybersecurity. La crescente offerta formativa la dice lunga sulla necessità di hacker etici. In informatica si dice che l’unico sistema sicuro è quello spento, senza cavi e chiuso in una cassaforte.
Nonostante l’abbondanza di corsi di formazione, non è necessaria una laurea, così fosse ti consiglierei un percorso universitario che, ovviamente, è sempre un buon ciclo di studi, m, nel vasto mondo dell’hacking non è prerequisito essenziale. È anche vero che in Italia, relativamente alla sicurezza informatica, stanno sbocciando corsi a iosa, chiamati bootcamp, college o campus, ma quanti siano veramente validi ce lo dirà soltanto il passare del tempo.
All’estero il discorso è un po’ differente. Resta indiscutibile che non ci sia un percorso standard da seguire per diventare hacker, ma nei paesi anglofoni e nell’Europa dell’est, ci sono molti master e corsi di specializzazione in cybersecurity, organizzati da atenei e strutture scolastiche dotate di fondi a sufficienza per creare laboratori di alto livello in cui fare test e “smanettare”.
Nel panorama della sicurezza informatica si sta facendo strada l’Università di Coventry (nel Regno Unito) che offre corsi di alto livello a un prezzo di un certo rilievo, le tasse universitarie sono di circa 14.000 euro.
Nel panorama della sicurezza informatica si sta facendo strada l’Università di Coventry (nel Regno Unito) che offre corsi di alto livello a un prezzo di un certo rilievo, le tasse universitarie sono di circa 14.000 euro.
Quando si parla di informatica non si può fare a meno di citare l’università per antonomasia, ovvero il Massachussetts Institute of Technology (MIT) di Cambridge, che organizza anche corsi intensivi in cui vengono affrontati temi specifici della sicurezza informatica. Anche in questo caso il prezzo è elevato; un corso di 5 giorni costa 5.000 euro.
Per quanto possa sembrare strano, ottimi percorsi di formazione sono anche quelli organizzati dalle autorità governative cinesi e da quelle della Corea del Nord, che concedono privilegi alle famiglie dei ragazzi ingaggiati per coltivare l’arte dell’hacking (in questi casi, però, non a scopo etico). Come puoi immaginare questi percorsi non sono aperti al pubblico.
Per quanto possa sembrare strano, ottimi percorsi di formazione sono anche quelli organizzati dalle autorità governative cinesi e da quelle della Corea del Nord, che concedono privilegi alle famiglie dei ragazzi ingaggiati per coltivare l’arte dell’hacking (in questi casi, però, non a scopo etico). Come puoi immaginare questi percorsi non sono aperti al pubblico.
Corsi online
Adesso passiamo ai corsi online. L’offerta su Internet è sterminata, diventa quindi molto importante sapere scegliere bene. I vantaggi dei corsi online sono soprattutto logistici ed economici. Non hai bisogno di spostarti, puoi seguirli comodamente da casa durante gli orari per te più appropriati e puoi cominciare anche da corsi di base, che puoi seguire pure non avendo competenze specifiche. Udemy uno per chi di hacking non sa nulla e, oltre a essere fatto bene, costa poco (14,99 euro, nel momento in cui scrivo).
Ti segnalo anche il percorso organizzato dall’EC-Council, un’organizzazione che si occupa di sicurezza informatica che ha approntato una serie di corsi con l’intento di rilasciare una certificazione a chi li frequenta, ossia una dichiarazione che ne comprova le competenze. Il costo dei corsi, situato tra i 2.100 euro e i 2.500 euro, induce a essere certi di volere approfondire gli argomenti trattati. Si tratta di una cifra importante ma seguire un corso in presenza, magari all’estero, comporta costi molto più elevati.
Ti segnalo anche il percorso organizzato dall’EC-Council, un’organizzazione che si occupa di sicurezza informatica che ha approntato una serie di corsi con l’intento di rilasciare una certificazione a chi li frequenta, ossia una dichiarazione che ne comprova le competenze. Il costo dei corsi, situato tra i 2.100 euro e i 2.500 euro, induce a essere certi di volere approfondire gli argomenti trattati. Si tratta di una cifra importante ma seguire un corso in presenza, magari all’estero, comporta costi molto più elevati.
Gli hacker etici, di norma, sono abbastanza lontani dalle logiche delle certificazioni e degli attestati di frequenza. Le aziende che li assumono però dimostrano di gradirli. Ti rinnovo, comunque, l’invito a stare alla larga da corsi “fuffa”: prima di mettere mano al portafogli e partecipare a qualsiasi corso, cerca online delle recensioni indipendenti e verifica se quello che lo propone è un sito affidabile.
Ricerche correlate
Corso Penetration Test
Corso Gratuito Cybersecurity Roma
Cybersecurity Lavoro
Cybersecurity Scuola
Master Cyber Security Tor Vergata
Its Cybersecurity
Corso Gratuito Cybersecurity Roma
Cybersecurity Lavoro
Cybersecurity Scuola
Master Cyber Security Tor Vergata
Its Cybersecurity
Le scuole nel mirino del cybercrime: i pericoli da conoscere e come difendersi
Diversi report dimostrano il notevole aumento degli attacchi ransomware nel comparto didattico in questi ultimi anni. Difendersi da questi attacchi non è semplice, ma con un minimo di formazione e attenzione l’utilizzo della mail istituzionale può diventare più sicuro e consapevole.
Anche se il settore dell’istruzione non rappresenta per gli hacker un obiettivo appetibile, non possiamo escludere la possibilità di azioni ai danni dei sistemi informatici delle scuole.
L’eventualità di trovare le postazioni di lavoro o i server della segreteria bloccati da un ransomware non è poi così remota, e deve indurci a adottare le più comuni misure atte a contrastare il fenomeno.
Nell’ottica di promuovere internamente una cultura della sicurezza condivisa e tenere alta l’attenzione sull’utilizzo degli strumenti di lavoro, il Computer Security Incident Response Team del Ministero dell’Istruzione (CSIRT MI) già lo scorso anno aveva preparato per gli istituti delle raccomandazioni e un video tutorial informativo su una delle truffe più diffuse in rete: il phishing.
L’eventualità di trovare le postazioni di lavoro o i server della segreteria bloccati da un ransomware non è poi così remota, e deve indurci a adottare le più comuni misure atte a contrastare il fenomeno.
Nell’ottica di promuovere internamente una cultura della sicurezza condivisa e tenere alta l’attenzione sull’utilizzo degli strumenti di lavoro, il Computer Security Incident Response Team del Ministero dell’Istruzione (CSIRT MI) già lo scorso anno aveva preparato per gli istituti delle raccomandazioni e un video tutorial informativo su una delle truffe più diffuse in rete: il phishing.
7. CrowdStrike 2023 Global Threat Report below
Consulta il report:
🠕 |
8. Approfondimenti video
ICT, IA, Cybersecurity: le Prospettive della NATO e la Cooperazione con l’UE
Il 27 Settembre 2023 si è svolto, presso l’Hotel Marriott Courtyard di Bruxelles e in modalità streaming online, il secondo seminario del ciclo NATO: Opportunità per le imprese nei settori ICT, IA e Digital. Il seminario è stato aperto dal Direttore dell’Ufficio ICE di Bruxelles Tindaro Paganini e moderato dal dott. Massimo Artini (NATO-NCIA). Successivamente è intervenuto, per la NATO, il dott. Mario Beccia, per la Commissione europea, Giulia Carsaniga e Ivana Zeppa, e Vincenzo Termine per la Rappresentanza permanente d’Italia presso la UE. Le aziende presenti hanno poi svolto incontri BtoB con i relatori.
La guerra cyber tra Russia e Occidente – PresaDiretta 07/03/2022
L’agenzia per la cyber sicurezza nazionale da quando è scoppiato il conflitto in Ucraina ha già lanciato due allarmi contro possibili attacchi informatici al nostro Paese. E dietro molti di questi attacchi informatici ci sono gli stessi gruppi di hacker russi che combattono in rete contro l’Ucraina.
Cybersecurity - Il futuro geopolitico: la linea rossa Ucraina
CyberSec2023: panel "La protezione delle infrastrutture critiche nel contesto geopolitico attuale"
Il video integrale del panel "La protezione delle infrastrutture critiche nel contesto geopolitico attuale", in occasione di “CyberSec2023 – Nuovi Domìni, Guerre Ibride e Cooperazione”, la seconda edizione della Conferenza internazionale promossa ed organizzata dal nostro quotidiano. Roma, 1-2 marzo 2023. Sono intervenuti: Benedetta Berti, Head of Policy Planning in the Office of the Secretary General, NATO; Andrea Chittaro, Senior Vice President Global Security & Cyber Defence, Snam; Gerardo Costabile, Presidente, IISFA; Andrea Gilli, Senior Researcher, NATO Defence College e Gianluca Luraschi, Project Manager, Agenzia europea per la sicurezza marittima, EMSA. Ha moderato: Luisa Franchina, Presidente Associazione AIIC.
Dario Fabbri: il profilo geopolitico della Cybersecurity
Dario Fabbri, analista geopolitico e Direttore di DOMINO, ci parla della Cybersecurity da un punto di vista geopolitico per il Paese. "La geopolitica della sostenibilità: faccia a faccia con le PMI italiane" è una serie di approfondimenti dedicati alle PMI italiane in cui investe il fondo AcomeA PMItalia ESG e ai loro imprenditori.