Integrità

L’integrità è una caratteristica essenziale dell’informazione che implica che l’informazione conservata sia: attendibile, coerente, ed accurata, ovvero che non è stato alterata o manomessa e che i processi che la elaborano abbiano eseguito coerentemente le operazioni di aggiornamento quando i dati vengono processati.

Per garantire l’integrità occorre impedire accessi abusivi che possano alterare l’informazione memorizzata, verificare che le eventuali copie dell’informazione siano ancora coerenti dopo una elaborazione, e che le informazioni mostrate siano complete rispetto alle esigenze dell’utente.

Possono essere utilizzati dei meccanismi crittografici per evidenziare manomissioni di una informazione.

Confidenzialità

La confidenzialità è una caratteristica che si vuole fornire ad una informazione, per cui il contenuto rimane riservato alle sole persone autorizzate.

Gli aspetti da valutare per garantire la confidenzialità sono principalmente tre: la conservazione “sicura” del dato, lo scambio “sicuro” dell’informazione fra persone autorizzate e l’accesso “sicuro” a persone autorizzate.

Per fornire ai dati di un sistema informatico la confidenzialità tipicamente si utilizzano meccanismi crittografici.

Crittografia

La crittografia è una tecnica che permette, mediante l’utilizzo di funzioni matematiche invertibili, di dare alle informazioni due caratteristiche fondamentali nella protezione: la confidenzialità e l’integrità.

La confidenzialità è data computer-1294045_640 dall’impossibilità di vedere il dato chiaramente, per chi non dispone della apposita chiave di decrittazione.

L’integrità è garantita dall’impossibilità di conoscere con esattezza il risultato che deriva dalla modifica sul file crittato.

La principale suddivisione fra gli algoritmi di crittografia è fra algoritmi di cifratura a chiave simmetrica e algoritmi a chiave asimmetrica

Gli algoritmi a chiave simmetrica utilizzano la medesima chiave sia per crittografare che per decrittare l’informazione, mentre gli algoritmi a chiave asimmetrica viene usata una chiave privata per crittografare il dato e una chiave pubblica in grado di riaprire il messaggio.

La crittografia a chiave asimmetrica è detta anche firma perché, la chiave essendo privata, dovrebbe conoscerla solamente il proprietario, tutti coloro che tramite la chiave pubblica riescono ad aprire, hanno la certezza che è stata chiusa con la chiave in possesso solo del proprietario della firma.

StrongPity un attacco APT interessato all’Italia

Il ricercatore di Kaspersky Lab, Kurt Baumgartner, ha evidenziato in una ricerca una woodpicker pericolosa minaccia chiamata: StrongPity. Si tratta di un malware utilizzato per effettuare attacchi persistenti (APT), utilizzati per rubare dati confidenziali.

Il malware StrongPity viene distribuito tramite gli installar opportunamente modificati di due applicativi utilizzati per la crittografia: WinRAR e TrueCrypt. L’utente alla ricerca di uno di questi software, durante la ricerca potrebbe imbattersi in un sito da cui fare il download che presenta la versione di uno di questi software alterata.

Conclusa l’installazione l’applicazione binoculars scelta funziona regolarmente, purtroppo però entra in funzione anche il meccanismo di controllo del malware che permette ai criminali informatici di aver il controllo completo del sistema, permettendo di rubare i contenuti dei dischi e inviare al target dei moduli aggiuntivi del malware per ottenere informazioni mirate in base al sistema target.

Il malware è stato distribuito a partire da maggio 2016 da un sito italiano di distribuzione di WinRAR. In questo caso gli utenti non venivano reindirizzati ad un sito che proponeva una versione modificata, ma ottenevano direttamente l’installer dannoso StrongPity dal sito distributore. In alcuni casi erano presenti dei domini che invertivano alcuni caratteri e che conducevano a siti malevoli da cui scaricare l’applicazione modificata.

Questo malware era diretto in particolare contro gli utenti italiani, con l’87% delle infezioni a livello mondiale.

Questo genere di malware è particolarmente difficile da scoprire, la macchina infetta non mostra sintomi di infezione, l’obiettivo di un attacco APT e rubare i dati in maniera persistente e sempre più mirata.

I prodotti Kaspersky Lab individuano e rimuovono i componenti di StrongPity con i nomi: HEUR:Trojan.Win32.StrongPity.gen, Trojan.Win32.StrongPity.* ed altri nomi generici di infezione.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

Sandbox Analysis

Con la diffusione massiva dei ransomware il mercato dei prodotti di Cyber Security ha iniziato a proporre sempre più frequentemente dei sistemi di protezione che fanno ricorso a delle sandbox in cloud, per riuscire ad individuare tempestivamente i malware più recenti e limitarne la pericolosità. matrix

I sistemi di analisi in sandbox pur basandosi sempre sull’analisi comportamentale, come i sistemi di analisi euristica presenti all’interno delle soluzioni antimalware, permettono di effettuare dei controlli più accurati, sia di tipo statico che di tipo dinamico.

Ad esempio permettono di analizzare il traffico di rete che l’oggetto in analisi tenta di compiere, analizzano l’utilizzo della memoria e le chiamate alle librerie di sistema fatte dall’applicazione con l’obiettivo di analizzarne il comportamento.

I malware più sofisticati sono capaci di capire quando si trovano all’interno di un ambiente di analisi euristico misurando alcuni parametri legati all’hardware, ad esempio viene misurata la quantità di risorse, irrisoria rispetto allo standard di mercato. Un ambiente euristico su una workstation arriva a consumare circa 200 MB di Ram (che per la workstation se non adeguatamente robusta potrebbero essere giù un problema).

evasione Il malware può rilevare l’interazione assente dell’utente, ad esempio il malware può individuare che la posizione del puntatore del mouse dell’ambiente di analisi euristica non cambia durante l’analisi.

Infine la durata dell’analisi ha la sua rilevanza, esistono alcuni esemplari di malware che rimangono inoffensivi per diversi minuti, con l’auspicio che al termine di questo di periodo l’analisi sia terminata ed il malware possa aver concluso la sua “evasione“.

La maggior accuratezza dell’analisi di una sandbox piuttosto che dell’analisi euristica dipende principalmente dalle proprietà dall’ambiente di analisi, che permette di rendere vane le tecniche di elusione degli ambienti di analisi euristica. key

Le macchine virtuali che compongono una sandbox approssimano con grande realismo un ambiente reale (pur essendo isolato), su queste macchine viene permesso al malware di manifestare la propria aggressività e ne vengono studiati i comportamenti. Al termine dell’analisi sarà sufficiente il ripristino dello snapshot per ripristinare l’ambiente e prepararsi ad una nuova analisi.

L’approccio di lotta al malware non è una novità, da anni i ricercatori che analizzano i malware ne fanno uso per effettuare l’analisi statica ed individuare le firme da utilizzare per arrestare il malware, la novità è la messa a disposizione al pubblico di questi sistemi.

Categorie