Proteggere i dispositivi IoT di rete o proteggere la rete dai dispositivi IoT?

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 07/06/2021
 
 
I dispositivi IoT tendono ad aumentare notevolmente la superficie di attacco di un’azienda, ma si possono ridurre i rischi.
 
 

 

Nella conferenza Into the Mind of an IoT Hacker (“Nella mente di un Hacker IoT”) tenutasi alla RSA Conference 2021, gli specialisti della sicurezza Itzik Feiglevitch e Justin Sowder hanno sollevato la questione delle vulnerabilità presenti nei vari dispositivi IoT e il trattamento speciale che richiedono per salvaguardare la cybersecurity aziendale. I ricercatori hanno offerto alcuni esempi sorprendenti che mostrano lo situazione della sicurezza IoT nelle aziende di oggi.

Pochi specialisti di cybersecurity tengono traccia dei sistemi hardware IoT aziendali. Molto spesso ascensori intelligenti, sensori di ogni tipo, sistemi IPTV, stampanti, telecamere di sorveglianza e simili sono solo una collezione eterogenea di dispositivi disparati, ognuno con il proprio sistema operativo e i propri protocolli, e molti sono privi di qualsiasi tipo di interfaccia di controllo adeguata… insomma, potete farvi un’idea del panorama. La vostra azienda potrebbe avere migliaia di dispositivi IoT da monitorare.

Perché i dispositivi IoT aggiungono ulteriori rischi alla sicurezza informatica?

I dispositivi IoT non sono sempre considerati come appartenenti all’infrastruttura principale; se una stampante di rete normalmente conta come un dispositivo di rete, non è lo stesso per i componenti di “smart building” o per i sistemi di telefonia IP. Eppure, questi dispositivi tendono a essere collegati alla stessa rete delle workstation aziendali.

Il ricambio del personale può complicare ulteriormente la situazione. Quante più persone entrano e abbandonano la divisione IT e di cybersecurity dell’azienda, maggiore sarà la probabilità che una nuova persona non sappia nulla dello “zoo” di dispositivi IoT collegato alla rete.

Tuttavia, forse l’aspetto più grave è che alcuni di quei dispositivi sono accessibili dall’esterno. Le ragioni possono essere legittime (controllo da parte del vendor su alcuni aspetti di un dispositivo, disponibilità di lavoro da remoto, manutenzione), eppure il fatto che ci siano dispositivi sulla rete aziendale che sono costantemente collegati a Internet, costituisce un gran bel rischio.

Può sembrare paradossale ma la robustezza stessa dell’elettronica moderna è un altro fattore di rischio: alcuni dispositivi IoT hanno una vita molto lunga e funzionano in ambienti di sicurezza molto più complessi di quelli per cui sono stati progettati.

Per esempio, alcuni dispositivi eseguono sistemi operativi obsoleti e vulnerabili che non vengono più aggiornati e, anche quando l’aggiornamento è disponibile, può essere necessario accedere fisicamente al dispositivo, un compito che a volte può essere difficile se non impossibile. Alcuni dispositivi presentano password che non possono essere cambiate, backdoor di debugging erroneamente lasciate nella versione finale del firmware e molte altre sorprese che rendono la vita di un professionista della sicurezza IT davvero movimentata.

Perché ai criminali informatici interessano i dispositivi IoT?

I criminali informatici trovano interessanti i dispositivi IoT  per diverse ragioni, sia per le possibilità che offrono per portare a termine attacchi all’azienda ospite, sia per gli attacchi ad altre aziende. I principali usi dei dispositivi intelligenti compromessi sono:

  • Creare una botnet per attacchi DDoS;
  • Effettuare il mining di criptomonete;
  • Rubare informazioni riservate;
  • Sabotare l’azienda dall’interno;
  • Avere un trampolino di lancio per ulteriori attacchi e movimenti laterali nella rete.

Casi di studio

I ricercatori hanno descritto alcuni casi che sono abbastanza sorprendenti, che si riferiscono sia a dispositivi standard collegati a Internet, sia ad apparecchiature piuttosto specializzate. Due esempi di spicco riguardano apparecchiature a ultrasuoni e dispositivi che utilizzano protocolli Zigbee.

Apparecchiature a ultrasuoni

Le aziende moderne che lavorano nel settore sanitario fanno uso di numerosi dispositivi IoT. Per testare la sicurezza di tali dispositivi, i ricercatori hanno acquistato un’apparecchiatura a ultrasuoni usata per violarne la sicurezza. Hanno avuto bisogno solo di cinque minuti circa per raggiungere il loro scopo, perché il dispositivo eseguiva una versione di Windows 2000 che non era mai stata aggiornata. Inoltre, non solo sono stati in grado di ottenere il controllo del dispositivo, ma anche di accedere ai dati dei pazienti che il precedente proprietario non aveva eliminato.

I medici spesso usano i dispositivi medici per anni, o addirittura decenni, senza aggiornarli o effettuare l’upgrade. È comprensibile se durante gli anni continuano a funzionare bene; tuttavia, la vita di questi dispositivi non finisce nella prima azienda che li ha acquistati, spesso continua in un’altra azienda alla quale sono stati rivenduti.

Protocolli Zigbee

Le aziende utilizzano i protocolli di rete Zigbee (sviluppati nel 2003 per la comunicazione wireless ad alta efficienza energetica tra dispositivi), per costruire reti mesh e spesso per collegare vari componenti all’interno di un edificio intelligente. Il risultato è un gateway in ufficio che controlla decine di dispositivi diversi come, ad esempio, un sistema di illuminazione intelligente.

Alcuni ricercatori ritengono che un criminale informatico potrebbe facilmente emulare un dispositivo Zigbee su un normale computer portatile, connettersi a un gateway e installare un malware. Il criminale informatico dovrebbe solo trovarsi all’interno dell’area di copertura della rete Zigbee, per esempio nella hall dell’ufficio. Una volta preso il controllo del gateway, potrebbe sabotare il lavoro dell’azienda in molti modi, per esempio spegnendo il sistema di illuminazione intelligente dell’ intero edificio.

Come rendere sicura una rete aziendale

I responsabili della sicurezza a volte non sanno se devono proteggere i dispositivi IoT sulla rete aziendale o proteggere la rete aziendale dai dispositivi IoT. In realtà, entrambi i problemi andrebbero risolti. L’importante è assicurarsi che ogni elemento e azione sulla rete sia visibile. Per garantire una reale  sicurezza aziendale bisogna innanzitutto identificare tutti i dispositivi collegati alla rete, classificarli correttamente e, idealmente, analizzare i rischi associati.

Il passo successivo è, ovviamente, quello di segmentare la rete servendosi dei risultati dell’analisi. Se un dispositivo è necessario e insostituibile ma contiene una vulnerabilità che gli aggiornamenti non possono risolvere, allora è necessario configurare la rete per negare ai dispositivi vulnerabili l’accesso a Internet e anche per rimuovere il loro accesso ad altri segmenti di rete. Insomma, bisognerebbe seguire il concetto di Zero Trust per la segmentazione.

Il monitoraggio del traffico di rete per le anomalie nei segmenti rilevanti è anche fondamentale per poter rintracciare i dispositivi IoT compromessi utilizzati per gli attacchi DDoS o il mining.

Infine, per il rilevamento precoce di attacchi avanzati che impiegano dispositivi IoT come sistemi di appiglio alla rete per poi accedere ad altri sistemi, è indispensabile l’uso di una soluzione EDR.

9 Giugno 2021

I router sono l’anello debole dello smart working in sicurezza

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 02/06/2021
 
 
I router domestici e SOHO spesso sono poco sicuri; tuttavia, le aziende possono difendersi dagli attacchi ai router dei dipendenti in smart working.
 
 

 

Se parliamo di sicurezza informatica, l’aspetto peggiore del passaggio in massa allo smart working è stata la perdita di controllo sulle reti locali a cui si collegano le postazioni di lavoro. Particolarmente pericolosi a questo proposito sono i router domestici dei dipendenti, che hanno essenzialmente sostituito l’infrastruttura di rete gestita normalmente dagli specialisti IT. Alla RSA Conference 2021, nel loro intervento dal titolo All your LAN are belong to us. Managing the real threats to remote workers. (“Tutte le vostre LAN ci appartengono. Gestire le vere minacce per i lavoratori da remoto”), i ricercatori Charl van der Walt e Wicus Ross hanno spiegato in che modo i criminali informatici possono attaccare i computer aziendali servendosi dei router.

Perché i router domestici dei dipendenti possono essere un bel problema?

Anche se le politiche di sicurezza aziendali si occupano dell’aggiornamento del sistema operativo di ogni computer dell’azienda e di tutte le altre impostazioni rilevanti, i router domestici non rientrerebbero comunque nel raggio di controllo degli amministratori di sistema aziendali. Per quanto riguarda gli ambienti di lavoro a distanza, chi si occupa di sicurezza IT in azienda non può sapere quali altri dispositivi sono collegati a una rete, se il firmware del router è aggiornato e se la password che lo protegge è forte (e se l’utente continua a utilizzare la password di fabbrica).

Questa mancanza di controllo è solo una parte del problema. Un numero enorme di router domestici e SOHO hanno vulnerabilità note che i criminali informatici possono sfruttare per ottenere il controllo completo del dispositivo, portando a enormi botnet IoT come Mirai, che raggruppano decine e talvolta anche centinaia di migliaia di router hackerati da utilizzare per una varietà di scopi.

A questo proposito, vale la pena di ricordare che ogni router è essenzialmente un piccolo computer con una qualche distribuzione di Linux. I criminali informatici possono fare molto con un router hackerato. Descriveremo ora solo un paio di esempi presi dal report dei due ricercatori.

Hackerare una connessione VPN

Lo strumento principale che le aziende usano per compensare gli ambienti di rete inaffidabili dei lavoratori in smart working è servirsi di una VPN (rete privata virtuale). Le VPN offrono un canale cifrato attraverso il quale i dati viaggiano tra il computer e l’infrastruttura aziendale.

Molte aziende usano le VPN in modalità split tunneling: il traffico che va verso i server dell’azienda (come la connessione RDP, Remote Desktop Protocol), passa attraverso la VPN e tutto il resto del traffico passa attraverso la rete pubblica non cifrata, il che normalmente è una buona opzione. Tuttavia, un criminale informatico che ha preso il controllo del router può creare un percorso DHCP (Dynamic Host Configuration Protocol) e reindirizzare il traffico RDP al proprio server. Anche se questo non li avvicina alla decifrazione della VPN, possono creare una finta schermata di login per intercettare le credenziali di connessione RDP. I truffatori di ransomware amano usare i protocolli RDP.

Caricare un sistema operativo esterno

Un altro abile scenario di attacco ai router hackerati coinvolge lo sfruttamento della funzionalità PXE (Preboot Execution Environment). Le moderne schede di rete usano il PXE per caricare un sistema operativo sui computer in rete. In genere, la funzione è disabilitata ma alcune aziende la usano, ad esempio, per ripristinare da remoto il sistema operativo di un dipendente in caso di guasto.

Un criminale informatico con il controllo del server DHCP su un router può fornire alla scheda di rete di una workstation l’indirizzo di un sistema modificato per il controllo da remoto. È improbabile che i dipendenti se ne accorgano e che sappiano cosa stia realmente accadendo (soprattutto se sono distratti dalle notifiche di installazione degli aggiornamenti). Nel frattempo, i criminali informatici hanno pieno accesso al file system.

Come rimanere al sicuro

Per proteggere i computer dei dipendenti da quanto abbiamo descritto e da tecniche di attacco simili, vi consigliamo di seguire questi suggerimenti:

  • Optate per il tunneling forzato invece di quello split. Molte soluzioni VPN aziendali permettono il tunneling forzato con delle eccezioni (facendo passare di default tutto il traffico attraverso un canale cifrato, con risorse specifiche che possono bypassare la VPN);
  • Disabilitate il Preboot Execution Environment nelle impostazioni BIOS;
  • Cifrate completamente il disco rigido del computer (con BitLocker su Windows, per esempio).

Analizzare la sicurezza dei router dei dipendenti è vitale per aumentare il livello di sicurezza di qualsiasi infrastruttura aziendale che consente il lavoro a distanza o in modalità ibrida. In alcune aziende, il personale di supporto tecnico dà alcuni suggerimenti ai dipendenti in merito alle impostazioni ottimali per il router di casa. Altre aziende distribuiscono router preconfigurati ai lavoratori in smart working e permettono ai dipendenti di connettersi alle risorse aziendali solo attraverso quei router. Inoltre, la formazione dei dipendenti per contrastare le minacce moderne è fondamentale per la sicurezza della rete.

Per ulteriori informazioni sulla Piattaforma Kaspersky ASAP: dircom@argonavis.it

3 Giugno 2021

Endian UTM 5.2.6 Release

 

 

Endian UTM è il modo più semplice e sicuro per proteggere la rete ed è disponibile come appliance hardware, software o virtual. 

Ecco le funzionalità aggiornate e migliorate nell’UTM 5.2.6:

  • Geo IP Firewall Filter: la comunicazione di rete su Internet si basa su indirizzi IP che permettono un’identificazione unica per i dispositivi collegati e sono assegnati specificamente a ogni paese del mondo: Endian permette di bloccare il traffico proveniente da Paesi specifici.
    Come abilitare e impostare GEO-IP
  • Sistema di Rilevamento delle Intrusioni (IDS): a differenza dell’IPS, non esegue un’ispezione approfondita dei pacchetti di rete, operazione che richiede l’impiego di molte risorse e spesso causa una riduzione delle performance del throughput verso internet ; l’IDS monitora il traffico e registra tutti i comportamenti in file di log, permettendo maggiore velocità e aumentando la banda disponibile. La successiva analisi del log, che consente di prendere provvedimenti adeguati in caso di rischi, viene poi solitamente eseguita da strumenti specifici di vario tipo.
    Come abilitare l’IPS/IDS

27 Maggio 2021

Documenti Google e il phishing delle credenziali di accesso a Office 365

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 07/05/2021
 
 

I phisher utilizzano i servizi online di Google per impossessarsi degli account dei servizi online di Microsoft

 

Dall’inizio della pandemia provocata dal COVID-19, molte aziende sono passate a svolgere gran parte del proprio lavoro online e hanno imparato a utilizzare nuovi strumenti di collaborazione. In particolare, assistiamo a un uso molto più esteso di Microsoft Office 365 e, di conseguenza, abbiamo osservato numerosi tentativi di phishing che prendono di mira gli account di questa suite di servizi. I truffatori sono ricorsi a svariati trucchi per indurre gli utenti aziendali a digitare la propria password su siti somiglianti in tutto e per tutto all’originale Microsoft. Ecco un altro stratagemma che sfrutta i servizi Google.

 

E-mail di phishing

Come la maggior parte delle tecniche di phishing, anche in questo caso tutto inizia con un’e-mail (e un link) come questi:

 

Una e-mail di phishing e un link a Documenti Google

 

Il messaggio poco chiaro da un mittente sconosciuto riguarda un qualche tipo di versamento e include un link che ha a che fare con un documento chiamato “Deposit Advice”. Nell’e-mail viene chiesto al destinatario di controllare il tipo di deposito o di confermare la somma. Ora, anche se i sistemi di sicurezza avvertono i destinatari che l’e-mail proviene da un mittente esterno all’azienda, il link “al file” è comunque valido perché si collega a un servizio online legittimo di Google, non a un sito di phishing.

 

Sito di phishing

Il link porta a un indirizzo che sembra essere la pagina del servizio aziendale di OneDrive. Gli utenti possono anche vedere che il documento è disponibile per qualsiasi utente aziendale (probabilmente i cybercriminali hanno optato per questa visualizzazione nella speranza che qualcuno inoltri il link a un contabile della propria azienda).

 

Una presentazione in Documenti Google che assomiglia all'interfaccia di OneDrive

 

Tuttavia, la schermata a cui accedono gli utenti non è una vera pagina web: si tratta di una diapositiva di una presentazione in Documenti Google che si apre automaticamente in modalità di visualizzazione. Il pulsante Apri può nascondere qualsiasi link. In questo caso, il link si collega a una pagina di phishing che si spaccia come pagina di accesso a Office 365.

 

Finta pagina di accesso

Campanelli d’allarme

Tanto per cominciare, l’e-mail è strana. Non dovreste fidarvi, e tantomeno inoltrare, un messaggio la cui fonte e scopo non sono chiari. In questo caso, per esempio, se non siete in attesa di un versamento, forse non dovreste intraprendere alcuna azione che lo riguardi.

Altre prove:

  • Le comunicazioni da fonti esterne non tendono a collegarsi a documenti interni di un’azienda;
  • I veri documenti finanziari sono configurati affinché possano essere aperti solo da determinate persone, non da chiunque all’interno di un’azienda;
  • Il nome del file nell’e-mail non corrisponde a quello presumibilmente salvato su OneDrive;
  • Documenti Google non ospita le pagine di Microsoft OneDrive (date uno sguardo alla barra degli indirizzi del browser);
  • OneDrive non è Outlook e un pulsante Apri su OneDrive non dovrebbe portare a una pagina di accesso ad Outlook;
  • Le pagine di accesso ad Outlook non risiedono su siti Amazon (un altro indizio sulla barra degli indirizzi del browser da analizzare).

Ogni singola incongruenza dovrebbe attirare la vostra attenzione, e tutte insieme non lasciano spazio a dubbi: le vostre credenziali di Office 365 non sono al sicuro.

 

Come proteggervi

Uno dei punti chiave della sicurezza digitale consiste nel prestare attenzione ai dettagli e nell’essere a conoscenza delle tecniche di phishing. Inoltre, vi consigliamo vivamente di formare il personale riguardo le attuali minacce informatiche.

Oltre alla formazione del personale, fate uso di strumenti di analisi dei link a livello aziendale in generale e delle workstation.

14 Maggio 2021

Email security: cosa abbiamo imparato dopo un anno di pandemia

 
Tratto da www.cybersecurity360.it
Autore: Rodolfo Saccani – 05/05/2021
 
 
 
https://dnewpydm90vfx.cloudfront.net/wp-content/uploads/2021/05/Email-security-2020.jpg
 

Durante l’anno della pandemia di Covid-19 il concetto di email security ha assunto un ruolo di primo piano: le nostre modalità di comunicazione sono cambiate (basti pensare al lavoro da remoto), i contenuti delle comunicazioni hanno visto ondate di argomenti quasi esclusivamente legati all’evento pandemico (soprattutto in concomitanza con i principali provvedimenti restrittivi), gli aspetti legati alla sicurezza, alla privacy, agli attacchi di phishing e alla distribuzione di malware sono stati pesantemente condizionati dalla pandemia.

Se vogliamo, l’evento pandemico ha ancora più messo in evidenza la rilevanza del fattore umano nella sicurezza delle comunicazioni elettroniche.

 

Email security: il fenomeno phishing durante la pandemia

Ricordiamo che una campagna di phishing efficace è caratterizzata da tre elementi principali: il presentarsi come una fonte autorevole, la capacità di catturare l’attenzione della vittima, quella di instillare un senso di urgenza al fine di indurre a compiere un’azione dannosa come aprire un allegato malevolo, cliccare su un link, fornire credenziali o informazioni confidenziali.

Autorevolezza, cattura dell’attenzione, senso di urgenza, call-to-action: se ci facciamo caso, parliamo esclusivamente di leve che agiscono su aspetti affatto tecnici ma legati ai comportamenti umani.

Non è difficile immaginare come un evento eccezionale quale la pandemia con tutto il suo carico emotivo, il flusso continuo di nuove informazioni, il susseguirsi di provvedimenti normativi, i cambiamenti delle modalità di lavoro e delle abitudini di vita, abbia creato un terreno molto fertile per gli autori di campagne di phishing.

Il seguente grafico mostra l’andamento nel 2020 delle mail legittime legate alla pandemia di COVID-19.

 

Andamento delle mail legittime a tema COVID-19

 

A inizio anno abbiamo una progressiva crescita di comunicazioni che perdura circa un mese e mezzo e che inizia a decrescere solo dopo il primo lockdown. Segue un grande picco successivo ai primi allentamenti del lockdown.

In questo periodo si susseguono incessantemente provvedimenti normativi e disposizioni organizzative. È del 13 maggio la “legge rilancio” mentre il 15 maggio un decreto delinea il quadro generale all’interno del quale gli spostamenti verranno limitati da ordinanze statali, regionali e comunali.

Seguono innumerevoli ordinanze, interpretazioni e chiarimenti oltre a decreti che progressivamente vanno ad autorizzare la ripresa di ulteriori attività. A tutto questo si affiancano informazioni e aggiornamenti sull’andamento della pandemia, sullo stato del sistema sanitario, sugli studi clinici che contribuiscono ad una crescente conoscenza del fenomeno.

Indicativamente, in questo periodo il 10% delle nostre mailbox conteneva mail a tema COVID-19. Ricordo che stiamo ancora parlando di comunicazioni legittime, ovvero non malevole, che esplicitamente menzionano la pandemia. È un indice dell’attenzione che il tema ha avuto nel corso del tempo.

Quello che segue è invece l’andamento delle mail indesiderate a tema COVID-19 che sono state intercettate dai sistemi di filtraggio della posta elettronica. Oltre a mail di spam vero e proprio relative a prodotti e servizi (mascherine, gel, termoscanner, guanti, test antigenici, tamponi, improbabili prodotti anti-Covid, servizi finanziari per fronteggiare l’emergenza, eccetera) questo flusso contiene anche mail di phishing e distribuzione di malware che sfruttano l’alto livello di attenzione legato alla pandemia.

 

Andamento delle mail indesiderate a tema COVID-19

 

L’andamento delle mail indesiderate è più regolare: nel mese di marzo c’è stata una rapida crescita che poi si è più o meno stabilizzata. Da agosto in poi c’è stata una progressiva lenta decrescita. Questo grafico ci dice che il tema è stato rapidamente adottato da chi intendeva abusarne ed è stato progressivamente abbandonato solo quando ha iniziato a perdere di efficacia.

 

Email security: le tattiche usate negli attacchi phishing

Quali tattiche sono state utilizzate nelle mail di phishing? Tra le più aggressive abbiamo notato campagne massive di finte mail di licenziamento. La mail, che si spaccia per una comunicazione proveniente dal dipartimento risorse umane, comunica al malcapitato il suo licenziamento in tronco giustificato dall’emergenza COVID. L’esempio che segue, nonostante sia scritto in inglese, è stato inviato a numerosi dipendenti italiani di aziende multinazionali.

 

 
Campagna di phishing, finto licenziamento causa COVID

 

L’allegato di queste mail è un file html che punta a carpire le credenziali dell’utente.

 

 
Allegato malevolo per carpire credenziali

 

Naturalmente anche i tentativi di truffa massivi e di bassa qualità sono stati prontamente declinati a tema COVID. Vincite improvvise, donatori inattesi e le classiche truffe “alla nigeriana” hanno adottato le parole chiave legate alla pandemia nel tentativo di guadagnare maggiore visibilità e credibilità.

 

 
Truffa a tema COVID

 

Numerose e più subdole le mail che, spacciandosi per organismi istituzionali, come ad esempio l’Organizzazione Mondiale della Sanità, avvisavano di presunti allarmi per la presenza di cluster di contagio nell’area.

 

 
Campagna di phishing che si spaccia per OMS

 

Altrettanto diffuse le campagne di phishing legate alla ripresa delle attività produttive con finte email del MEF o di altri organismi istituzionali veicolanti malware.

 

 
Campagna di phishing che si spaccia per il MEF

 

L’utilizzo di nomi e loghi istituzionali conferisce una percezione di autorevolezza che abbassa le difese, in particolare in un momento in cui la paura e l’emotività sono ancora alte.

Con l’arrivo dell’app Immuni le campagne di phishing hanno incominciato a sfruttare questo nuovo filone. La seguente immagine è tratta da un sito di phishing che riproduce una finta pagina del Play Store di Google:

 

 
Finta app Immuni su un finto Google Play Store

 

L’anno si è chiuso con l’arrivo del cashback e non potevano mancare campagne di phishing a tema cashback o SPID.

 

 
Phishing sul cashback di Stato

 

 
Finto sito di Poste Italiane

 

Anche nelle campagne di email malevole vige una sorta di meccanismo di selezione naturale. Le tecniche che si dimostrano più efficaci vengono copiate si diffondono rapidamente a discapito di quelle meno efficaci.

La rapida diffusione delle campagne di phishing a tema COVID-19, in tutte le sue declinazioni, ci ha fornito una misura di quanto sia rilevante il ruolo della componente emotiva e di quanto, a parità di condizioni tecniche, sia il fattore umano a fare la differenza.

 

L’andamento nel corso dell’anno

Il seguente grafico mostra la percentuale di email intercettate dai sistemi di email security sul totale del traffico. Da settembre in avanti la media cala ma si tratta di oscillazioni frequenti e dipendenti da una tale quantità di variabili da non rappresentare in sé un trend particolarmente significativo.

 

 
Andamento dello spam nel 2020

 

 

Malware allegato a messaggi di posta

Già lo scorso anno avevamo rilevato la progressiva perdita di efficacia di sistemi di protezione reattivi, ovvero progettati per intercettare minacce note. Questo approccio (tendenzialmente basato su ricerca di pattern noti) è particolarmente inefficace in presenza di malware polimorfico e nuove varianti, le quali si trovano di fronte a finestre di opportunità di molte ore all’interno delle quali possono transitare senza essere intercettate.

L’approccio proattivo basato sulla rimozione delle istruzioni che abilitano alla realizzazione di un dropper (il codice che installa il malware sul computer della vittima) è l’unico che offre una copertura anche contro nuove varianti e malware polimorfico.

Il seguente grafico mostra l’andamento nel corso dell’anno dei sistemi di sandboxing di nuova generazione da noi monitorati. In rosso i file che sono stati bloccati perché riconosciuti come malevoli. In giallo i file che sono stati neutralizzati grazie all’approccio poc’anzi descritto e che non sono stati intercettati dai sistemi reattivi basati su pattern e signature. In verde i file contenenti codice attivo legittimo (come le macro legittime di un file Excel).

 

 
Allegati trattati da QuickSand

 

Nel corso dell’anno abbiamo osservato l’utilizzo di nuove tecniche di realizzazione di dropper.

In gennaio ha iniziato a circolare del malware basato su macro in documenti Office che, al fine di eseguire codice senza essere rilevato come malevolo, usava alcune callback VBA (Visual Basic for Applications) che vengono invocate prima di attivare una connessione. Il trucco consiste nell’inserire del contenuto remoto nel documento al fine di indurre Office ad invocare queste macro (il cui nome termina per _onConnecting). Attraverso queste callback è possibile eseguire codice senza invocarlo apertamente, consentendo di svicolare attraverso alcuni sistemi di protezione.

In maggio abbiamo visto un utilizzo smodato (come sempre, una tecnica efficace viene rapidamente copiata da altri attori) delle macro-formule di Office. Si tratta di una vecchissima funzionalità che precede l’introduzione del VBA e di cui quasi nessuno si ricordava più. Un po’ come era successo un paio di anni prima con il DDE.

In termini di nuove modalità di attacco degne di menzione, questo è tutto. Si conferma la tendenza prevalente ad affinare le tecniche di attacco e ad aggirare i sistemi di protezione ricorrendo al polimorfismo e ad un grande numero di nuove varianti.

 

Attacchi attraverso link

È più facile riuscire a consegnare una mail con un link piuttosto che una mail con allegato un malware, questo è il motivo per cui molti attacchi vengono condotti in questo modo.

I link spesso puntano a siti legittimi che sono stati appena compromessi e che quindi hanno una buona reputazione.

Qual è la percentuale di email che contiene almeno un link? Questo grafico mostra questo valore nel corso del 2020.

 

 
Percentuale di email contenenti almeno un link

 

Naturalmente tutte le mail che contengono un link ad un sito noto come pericoloso vengono intercettate e bloccate ma, come detto prima, in molti casi si tratta di un link ad un sito legittimo appena compromesso o comunque di un sito non ancora noto come pericoloso.

Questo è il motivo per cui è importante che i link vengano verificati anche al momento del click, con un sistema di sandboxing dei link che, visitando prima dell’utente la pagina, blocchi la visita in caso di pericolo.

Quanti sono i link che vengono intercettati da questa ultima rete di protezione? Ce lo dice il grafico che segue.

 

 
Percentuale di clic intercettati da UrlSand

 

Come vediamo si tratta di numeri piccoli, il picco non arriva allo 0,9%. Se in percentuale il valore sembra piccolo, parliamo comunque di diversi milioni di click ciascuno dei quali avrebbe potuto portare ad una compromissione.

Dove sono localizzati i siti a cui puntano questi link malevoli? La seguente mappa ci indica la distribuzione.

 

 
Distribuzione geografica siti di malware

 

Questa è di fatto la distribuzione dei siti che vengono utilizzati per la distribuzione di malware e phishing indirizzati verso utenti italiani.

 

Conclusioni

Ad oggi le mail malevole sono divenute praticamente indistinguibili dal punto di vista tecnico dalle mail legittime.

È ampiamente diffuso l’abuso di account di posta legittimi (o di servizi commerciali di invio massivo di messaggi di marketing) per l’invio di malware e phishing. Questo rende le mail malevole tecnicamente identiche a quelle legittime. La differenza la fa il contenuto.

D’altro canto intercettare una mail malevola in base alle sue caratteristiche tecniche è più facile che farlo in base al suo contenuto. Estrapolare concetti come “attrarre l’attenzione”, “spacciarsi per una fonte autorevole”, “fare leva sull’emotività o sull’impulsività” è una sfida tecnica assai più complessa rispetto al basarsi su elementi tecnici ben più definiti. Questo rende l’email security una disciplina che diviene sempre più specialistica e complessa.

Intelligenza artificiale e machine learning sono concetti generici, tutt’altro che nuovi. Sono in uso da decenni in questo settore ma hanno visto una grande evoluzione negli ultimi anni proprio per via di questa tendenza che il settore della email security ha preso: una progressiva riduzione dei “segnali” di ordine tecnico utili a discriminare traffico legittimo da traffico non legittimo e una conseguente crescente rilevanza di “segnali” legati al contenuto.

L’ultima evoluzione riguarda un particolare aspetto del machine learning che è legato alla mappatura delle relazioni tra corrispondenti di posta elettronica. Con l’obiettivo di ricostruire qualcosa di più simile possibile al concetto di “fiducia” che nelle conversazioni mediate va perso.

In una conversazione in presenza il volto, il tono della voce, la gestualità veicolano una mole di informazioni enorme. È principalmente su queste informazioni, oltre che sulla storia della relazione, che inconsciamente stabiliamo il livello di fiducia nell’interlocutore.

Come ricostruire qualcosa di simile al concetto di fiducia in una comunicazione elettronica mediata come quella attraverso la posta elettronica?

Tenendo traccia dello storia e dei pattern di comunicazione tra individui un algoritmo può cercare di stimare l’affinità tra due interlocutori stimando il livello di fiducia. L’analisi dei pattern di comunicazione consente anche di rilevare anomalie e identificare abusi (ad esempio un account takeover) o tentativi di spoofing.

Questa è la prossima frontiera della email security che i vari vendor declineranno, come sempre, ciascuno a modo suo con nomi diversi (“Adaptive Trust Engine” nel caso di Libraesva) e con risultati più o meno efficaci perché non è lo strumento in sé ma il modo in cui lo si utilizza a determinarne l’efficacia.

11 Maggio 2021

Blog & News

Categorie