Come sarà il 2012 per i professionisti dell’Information Security? In questo articolo, basato sull’analisi delle dichiarazioni fornite dai maggiori laboratori di sicurezza a livello mondiale, come Symantec, Fortinet FortiGuard Labs, Panda Labs, Blue Coat, Kaspersky Lab, WebSense Security Labs e Stonesoft, cerco di illustrare i principali trend previsti per il nuovo anno.

Il 2011 si è chiuso con la sconfitta di alcune famose botnet come “DNS Changer” (Estonia) e “Coreflood” (USA), ma anche il sostanziale fallimento nel contrasto di altre botnet basate su toolkit evoluti come “Zeus” e “SpyEye“, entrambi con origine russa. Hanno fatto la loro comparsa i rootkit a 64-bit (TDSS) e sono aumentati i casi di “hacktivism” come quelli di Anonymous e LulzSec.

Symantec, sulla scia degli eventi del 2011, prevede che i protagonisti del 2012 nel panorama ICT saranno backup, cloud privato, mobile e social media. Sempre Symantec scommette in una maggiore interdipendenza fra le tecnologie fisiche e quelle virtuali, con la conseguente convergenza della gestione di storage e backup.

Sul fronte specifico della sicurezza, Fortinet vede un orizzonte particolarmente minaccioso per il 2012. Lo scenario che emerge dalle previsioni dei laboratori di sicurezza non è confortante, soprattutto per quanto riguarda l’inasprimento del cyber warfare e dei rapporti diplomatici fra diversi stati mondiali, la sempre più reale minaccia ai sistemi PLC e SCADA in grado di mettere in ginocchio i servizi primari di intere nazioni, il ricorso alle debolezze dei social media e degli utenti per rubare identità e informazioni personali, nonché l’evoluzione del mobile malware e degli attacchi ai dispositivi portatili.

Venti di Cyberwar

Il 2011 è stato l’anno con maggiori intrusioni in reti di società ed agenzie governative con l’obiettivo, spesso raggiunto, di rubare segreti e dati classificati. Oggi, infatti, le spie moderne non hanno bisogno di accedere fisicamente ad un edificio per entrare in possesso di informazioni top secret. Le stesse nazioni da sempre attive nelle tensioni geo-politiche sono altrettanto attive nel preparare e attuare azioni di attacco informatico alle nazioni concorrenti. In mezzo, a dare un colpo al cerchio e uno alla botte, ci sono i gruppi di hacker attivisti sempre più agguerriti.

Il 2011 ha visto lo sviluppo di armi cibernetiche (le cosiddette “cyberweapons“) a livello globale, come dimostrato dall’ormai famoso worm Stuxnet che ha colpito gli impianti nucleari iraniani di Natanz e Bushehr riuscendo a ritardare e in parte fermare il programma nucleare dell’Iran. Il Kaspersky Lab, in particolare, punta molto l’attenzione sulle evidenti e prolungate tensioni fra la coalizione USA-UK-Israele e l’Iran, o sui conflitti più o meno nascosti fra Cina, Russia e gli stati occidentali. Le previsioni dicono che nel 2012 il cosiddetto cyber warfare avrà un vero e proprio boom, con sempre più governi impegnati in spionaggio cibernetico, cyberdefense e dimostrazioni della propria forza di attacco informatico.

Nel panorama degli eventi di cyberwar possiamo osservare casi di spionaggio mediante intercettazione delle comunicazioni cifrate e delle connessioni web sicure, ottenuti con la compromissione di alcune Certification Authority internazionali (vedi il famoso caso di DigiNotar CA), tanto che oggi non ci si può più fidare ciecamente dei lucchetti e delle barre verdi dei browser web. Anche attacchi massivi, come l’Operazione Aurora (2009) originata dalla Cina, hanno contribuito ad acuire le tensioni fra il governo USA e quello cinese. In questo campo, minacce come l’Advanced Persistent Threat (APT), tecniche come le Advanced Evasion Techniques (AET) e DDoS (Distributed Denial of Service) continueranno a rappresentare un problema importante per enti governativi e grosse realtà private.

Una delle conseguenze di questi scenari è l’aumento dei casi di collaborazione fra settore pubblico e settore privato al fine di aumentare i livelli di sicurezza e migliorare le tecniche di cyberdefense. Va menzionata, a tal proposito, l’iniziativa di difesa pubblica dell’agenzia statunitense DARPA (Defense Advanced Research Project Agency) che ha stanziato un budget di 188 milioni di dollari (contro i 120 milioni del 2011), in parte destinati alla costituzione di un gruppo di difesa cibernetica nel settore privato.

Saldi per incendio

Chi ha visto il film “Die Hard – Vivere o morire” (USA-UK, 2007) forse potrà comprendere meglio di cosa si tratta in questo paragrafo. Il film citato narra di un attacco di cyber-terroristi che provoca l’arresto di tutti i servizi primari USA (elettricità, gas, ecc.), denominato “Fire Sale” (saldi per incendio), gettando nel panico, oltre alla popolazione, anche governo, autorità federali e dipartimento della difesa. Ebbene, lo scenario non è così fantascientifico (approfondirò meglio l’argomento in un editoriale apposito, ndr).

In sostanza, una delle minacce più emergenti e pericolose a livello globale è rappresentata, in termini di potenzialità distruttive, dai sistemi di controllo numerico programmabili (PLC) e dai sistemi SCADA (Supervisory Control And Data Acquisition) utilizzati da diversi anni nel ciclo di produzione industriale e, su larga scala, nell’automazione e controllo di servizi nazionali critici, come l’erogazione di energia elettrica, gas, servizi idrici, reti fognarie, reti ferroviarie, compagnie aeree e sistemi di controllo del traffico aereo.

Purtroppo, a causa della cronica miopia dei governi e delle leadership industriali sui temi di sicurezza, questi particolari sistemi non hanno seguito l’evoluzione tecnologica dell’informatica, restando in gran parte poco o per niente protetti. Nel frattempo, però, le reti delle aziende di servizio si sono aperte sempre più al mondo Internet e alle tecnologie web, aumentando a dismisura il rischio di intrusione e compromissione dei servizi critici citati.

Ecco, quindi, che il 2012 potrebbe, secondo gli analisti di sicurezza, essere l’anno in cui per la prima volta le minacce e gli attacchi alla sicurezza produrranno vittime umane. Provate a pensare, infatti, quali effetti potrebbe avere sulla popolazione l’eventuale indisponibilità prolungata dell’energia elettrica, del gas metano, dell’acqua e dei trasporti in genere. Nel film citato, Bruce Willis deve combattere dei terroristi il cui obiettivo finale è il consueto furto di denaro, ma lo scenario potrebbe assumere contorni molto più catastrofici se l’obiettivo di un eventuale attacco fosse quello di annientare e sottomettere un’intera nazione, privandola dei servizi primari.

Social media engineering

L’estrema diffusione di siti e servizi di interazione sociale, i cosiddetti “social media” (cioè Facebook, Twitter, Google+, ecc.), aumenterà notevolmente la minaccia di attacchi informatici. La tecnica prediletta dai cyber criminali sarà il social engineering mediante sfruttamento delle debolezze intrinseche dei social media stessi e degli utenti con l’obiettivo primario di rubare identità e informazioni personali. Nel 2012 i temi che potranno essere maggiormente utilizzati come esche sono le Olimpiadi di Londra (luglio-agosto) e le elezioni presidenziali USA (novembre).

La sempre maggiore integrazione dei social media in siti di informazione, blog, servizi e applicazioni web contribuirà ad aumentare ulteriormente la velocità e l’efficacia di attuazione delle minacce e degli attacchi informatici.

Malware

I laboratori di sicurezza prevedono un ulteriore aumento del malware nel 2012, sull’onda dell’andamento osservato nell’anno appena concluso. Il malware resta l’arma maggiormente utilizzata dai cyber criminali per portare i loro attacchi. In questo ambito, i trojan la fanno ancora da padrone, rappresentando circa i tre quarti del malware complessivo ed essendo spesso disegnati per risiedere in maniera silente nei sistemi e rubare informazioni. Un particolare aumento del malware è previsto nel mondo Mac, dove è consigliato sempre più il ricorso a soluzioni antivirus specifiche.

Il punto principale di accesso a siti di diffusione di malware sarà costituito dai motori di ricerca web, mediante apposite tecniche di inquinamento ad hoc dei risultati di ricerca (anche se le tecniche “iframe” conserveranno la loro indubbia importanza, ndr). La preoccupazione non riguarderà solo gli eventuali nuovi virus in grado di sfruttare vulnerabilità 0-day, ma anche i virus già conosciuti (come Conficker) e quelli derivati (come i nuovi virus prodotti a partire da Stuxnet e già in circolazione).

Sul fronte del mobile malware, il sistema operativo Android di Google è ormai diventato il bersaglio numero uno e il trend continuerà anche nel 2012. Di conseguenza, anche i tablet basati su questo OS cominceranno ad essere colpiti. Windows 8, il cui rilascio, salvo ritardi, è attualmente previsto per novembre, diverrà un bersaglio probabilmente nel 2013. Le minacce al mondo mobile potranno arrivare anche via SMS con link a contenuti infetti appositamente ubicati su social media.

Grande attenzione va posta alle tecniche di polimorfismo, ovvero alla capacità del malware evoluto di mutare automaticamente e autonomamente per sfuggire ai tentativi di identificazione dei software di protezione degli endpoint. Altrettanto interesse assumeranno i sistemi di pagamento mobile come l’emergente Near Field Communication (NFC), mentre potrebbero diffondersi minacce di tipo “ransomware“, un tipo di malware che prende letteralmente in ostaggio un dispositivo finché non viene in qualche modo pagato un riscatto.

Trasferimenti di denaro

I servizi di online banking continueranno ad essere nel mirino dei cyber criminali, con attacchi sempre più fitti e mirati, nonostante la crescente diffusione di politiche e strumenti di sicurezza presso gli istituti di credito. Le minacce di intrusione e phishing continueranno a provenire principalmente dall’Asia sudorientale e dalla Cina (senza dimenticare l’est europeo, ndr) ed avranno come obiettivo account USA e dei paesi occidentali in genere.

E’ prevista anche l’ulteriore diffusione dei “money mule“, sistemi di riciclaggio e trasferimento di denaro sporco fra utenti e servizi. Inizieranno, però, a diffondersi anche le relative contromisure presso enti governativi e forze di polizia.

In ogni caso, comunque andrà, auguro un buon 2012 a tutti!

Ettore Guarnaccia

Condividi questo articolo sui più diffusi social media, lascia il tuo voto o un tuo commento (vedi sotto).

Fonti:

• Kaspersky Lab – “Attacchi informatici: previsioni per il 2012”
• Symantec – “Le previsioni di Symantec per il 2012”
• Stonesoft – “Stonesoft’s 2012 Security Predictions”
• Blue Coat – “La sicurezza IT per il 2012 secondo Blue Coat”
• Panda Labs – “2012 Security Trends”
• Fortinet – “Fortinet’s FortiGuard Labs Reveals 2012 Threat Predictions”
• WebSense – “Le previsioni sulla cyber sicurezza dei Websense Security Labs per il 2012”
• CERT-SPC – “Allerta vulnerabilità dei sistemi SCADA e PLC”