Menu

Riflessioni su Malware, Cybercrimine e Firewall

Di Malware si parla sempre di più a convegni, sul Web, sui giornali. E non per caso: le drammatiche storie di attacchi criminali a grandi organizzazioni, statali e private, sono all'ordine del giorno, con blocchi delle attività e perdite economiche. Le considerazioni che seguono scaturiscono da due convegni di società specializzate nel contrasto al malware, Fortinet e Check Point......

I numeri che ruotano attorno al Malware sono impressionanti. Basti pensare che si stima ogni giorno compaiano su Internet ben 100mila nuovi Malware! Avendo partecipato di recente a due importanti convegni organizzati da società specializzate nel contrasto al Malware, Fortinet e Check Point, entrambe produttrici di specifiche Appliance che combinano componenti Hardware e Software per la protezione delle reti e alla gestione dei Firewall, desidero condividerne alcune considerazioni.

In un quadro estremamente variegato, risaltano evidenti due punti sui quali è bene concentrare le proprie attenzioni:

  1. I tipi di attacco oggi più sofisticati e insidiosi vengono pepretrati attraverso le Botnet, e i sistemi virtualizzati sia On Premises sia su Cloud. È da una miscela combinata di tali tecniche che derivano i colpi più perigliosi.
  2. La definizione di Policy accurate e declinate in base alle diverse realtà, coinvolgendo personale a tutti i livelli, dai manager e agli utenti finali, assume un'importanza ben più rilevante che nel passato.

Sul secondo punto avanzo due osservazioni. Per un verso, un certo grado di sana prudenza non guasta. Non per nulla, ormai da anni elimino in modo sistematico tutte le e-Mail provenienti da sconosciuti, evitando accuratamente di rispondervi anche solo per la conferma di ricezione. Ma è sempre meno sufficiente nel garantirmi la massima protezione. Un capitolo a parte merita la gestione dei Firewall e delle Policy che ne regolano il funzionamento, punto focale dell’attenzione di Check Point e di altri Vendor del ramo, in quanto un gran numero di attacchi superano le barriere naturali della posta elettronica, mentre è in costante crescita la quantità di messaggi gestiti in modo improvvido da dipendenti che trattano in modo spesso troppo disinvolto informazioni riservate e messaggi contenenti anche dati sensibili. E, se di fatto che contro la disonestà non c'è quasi mai riparo assoluto, con misure mirate e ben congeniate si possono mitigare i rischi e l'esposizione ai potenziali danni. Un buon punto di partenza è pertanto costituito dalla definizione di profili e autorizzazioni, adattate sagacemente alle singole esigenze.

Il flagello delle Botnet

Il termine Bot non è un acronimo, né ha a che fare coi titoli di stato. Probabilmente il nomignolo deriva da roBOT, altri parlano di zombie. Sia come sia, si tratta di un agente software maligno che s’intrufola in vari computer assumendone il governo da remoto per compiere le più perfide azioni, tra le quali furti di identità e di denaro da conti correnti. Sembra che il 63% delle organizzazione ne sia affetto.

BotnetI Bot proliferano nel Web andando a costituiri delle reti, che assumono il nome di Botnet, il cui controllo viene governato dai Cybercriminali attraverso apposite Console. Ne riporto la definizione di Wikipedia: "Una Botnet è una rete formata da dispositivi informatici collegati a Internet e contenenti Malware, controllata da un'unica entità, il Botmaster. A causa di falle nella sicurezza o per mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, i dispositivi vengono infettati da virus informatici o Trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per attacchi distribuiti del tipo DDoS (Distributed Denial of Service) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali o terroristiche."

La figura che segue dà un’idea di tale terrificante processo, nel quale, faccio notare, chiunque abbia un PC connesso a Internet potrebbe diventare, a sua insaputa e magari senza subire danni locali, una pedana di lancio di malware a enti più “facoltosi”.

La Software Blade contro le Botnet

Premessa. In questo articolo dedicato alla natura dei servizi Anti-Malware non descrivo le innumerevoli Appliance di Check Point o di suoi concorrenti tipo Fortinet, Symantec o Cisco. Mi limito a segnalare che esse comprendono una serie di cosìdette Software Blade, ognuna delle quali è un modulo a contrasto di una particolare categoria di Malware.

In rapida sintesi, tra le molte Software Blade ve ne sono i Firewall e le VPN (Virtual Private Network), per l’IPS (Intrusion Prevention System), volta appunto a prevenire intrusioni, per controllare applicazioni, divenute oggi una delle maggiori cause di insidie. Non mancano poi le Blade per Anti-Virus, per filtrare URL di siti maligni (ve ne persino alcuni con indirizzi web e interfacce quasi identiche a quella utilizzate per trarre in inganno, simulando Enti Pubblici o marchi molto noti), per la sicurezza delle e-Mail (specie se corredate di allegati virali) e quelle, oggetto di questo articolo, Anti-Bot. Tra le funzioni più avanzate offerte da queste Blade ci sono anche la crittografia di database e documenti sensibili nonché quelle per la protezione dei dispositivi mobili.

Usando in modo consapevole tali componenti, si può ottenere un mix personalizzato a misura di ciascuna organizzazione. Per conterne le spese di gestione si possono poi utilizzare per il governo del sistema un’unica Dashboard, Console centralizzata sulla quale i responsabili della sicurezza possono visionare i dati provenientida tutte le Appliance, attivando anche dei meccanismi di allarme automatico al comparire di situazioni anomale.

L’Anti-Bot Software Blade contrasta gli attacchi dei Bot prima di tutto individuando le macchine infettate, ricostruendo quindi il tracciato dei nodi delle Botnet su cui viaggiano i dannati Bot, bloccati utilizzando la ThreatCloud, una rete collaborativa fra numerose organizzazioni che aderiscono alla lotta al Cybercrime sfruttando una base dati di oltre 280 milioni di indirizzi Bot. La ThreatCloud individua le macchine infestate e le “cura” eliminando così le connessioni della Botnet.

Difendersi dal Malware sconosciuto

L’azione si esercita anche in modo preventivo (altri dicono “proattivo”) in base a dati rilevati e continuamente aggiornati. Da tempo i vendor del ramo vantano procedimenti del genere atti a scoprire e combattere Malware inedito, di cui non si conosce ancora la “firma”.

Threat-EmulLa tecnica usata da Check Point va sotto il nome di Threat Emulation. Per sommi capi, essa consiste nel bloccare un nuovo arrivato, mettendolo in quarantena su una parte isolata del computer, per poi appunto emularne passo dopo passo il comportamento, senza eseguirne le varie azioni. Gli attacchi maligni tipici comprendono distruzione di File di sistema, modifiche al Registry, connessioni a siti Internet, nonché più moderne insidie come l’SQL Injection, che consiste nell’inserimento di codice virulento in Query SQL. La figura qui a lato dà un’idea del procedimento alla base della Threat Emulation.

Il meccanismo illustrato da Check Point ha il pregio della chiarezza, mentre in altri casi le tecniche usate sono apparse più sfumate. Tuttavia, a mio avviso, questo sistema non evita del tutto che qualche insidia sfugga e, per contro, che si ecceda con i possibili falsi positivi, ovvero segnalazioni di minacce che in realtà tali non sono.

Quanto alla SQL Injection, il classico esempio è una Query SQL di Routine (tipo le Stored Procedure) che amministratori di datacenter incauti corredano di istruzioni tipo USERID =... e PASSWORD=. L’Hacker che ne cattura i contenuti ne può prender nota o, semplicemente, aggiungere codice alla Query o modificarla a suo piacere e lanciarla (a dispiacere dell’ente colpito).

Il contrasto al blocco del servizio

Uno dei tipici danni prodotto dal Malware governato dalle Botnet viene catalogato come Denial of Service (DoS) o DDoS (Distributed) che si manifesta nel blocco dei servizi resi dai siti attaccati a causa di un eccesso di traffico che vi viene generato in modo improvviso.

Multilayer-Threat-PreventionLa figura illustra in modo autoesplicativo il principio della protezione IPS multilivello sviluppato da Check Point, di cui il DDoS Protector è il principale ma non unico attore. A tale ultimo riguardo Check Point offre persino, in certi casi, un’Appliance per Firewall dislocata sul Cloud.

Va anche sottolineato che affinché il marchingegno IPS marci a dovere, Check Point ne raccomanda una configurazione pianificata e ben studiata con parametri e Policy personalizzate ricorrendo al supporto di esperti in materia.

Evitando qui di entrare nei dettaglio del complesso funzionamento del DDoS Protector, rimane il fatto che gli attacchi DDoS, ardui da prevenire, presentano il serio problema del riavvio, tant’è vero che certi criminali chiedono tangenti per annullarlo. D’altronde anche Check Point pur vantando un ripristino ultrarapido, ammette di fatto la problematicità delle operazioni, non fosse altro perché offre contratti di assistenza di due tipi: di emergenza e di potenziamento, i secondi messi in atto in seguito ad attacchi DDoS inediti e/o imputabili a errata o inadeguata configurazione del Firewall.

 

Ultima modifica ilLunedì, 25 Novembre 2013 10:32

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto