Sicurezza Archivi

Ransomware: howto

RANSOMEWARE: HOWTO

Alzi la mano chi tra noi non ha mai sentito parlare di ransomware!

Con questa uscita, ancora oggi, un relatore potrebbe vedere mani alzate in platea!
Risultato diverso invece si otterrebbe con nomi come Cryptolocker, Wannacry, Petya…
Fino a qualche tempo fa si collegavano questi nomi ad eventi capitati ad altri; oggi invece capita di sperimentarne di persona l’irruenza prima ancora di sentirne parlare in TV o da conoscenti.

Parliamo quindi di ransomware. Conoscerli è il modo migliore per proteggersi e tornare a sentirne solo parlare!

VELOCITA’
La caratteristica di tutti i ransomware è la velocità. Sono veloci a propagarsi e ancor di più a fare danni.
Solo fino a quando i produttori di software di sicurezza non avranno terminato di analizzare il fenomeno (Exploit) e attuato le dovute contro-difese, i creatori dei ransomware guadagneranno coi riscatti. E’ per questo motivo che la velocità è un elemento fondamentale.
Le minacce ancora senza cura oggi hanno il nome di “zero day”.

DIFFUSIONE
La propagazione può avvenire in modi diversi:

Via mail: All’utente arriva una mail contenente un link che, una volta cliccato, scarica ed esegue il ransomware sul proprio device. Può capitare anche che il codice spedito via mail sfrutti le vulnerabilità dei client di posta e riesca ad eseguire il processo malevolo automaticamente.

Navigando su siti web: Evitare che gli utenti navighino su siti pericolosi è necessario ma spesso non basta. Non tutti i siti web sono catalogati ed è una buona best practice, seppur drastica, bloccare la navigazione a siti non catalogati dai sistemi di sicurezza.

Sfruttando falle di sicurezza del sistema informativo: In Internet esistono software malevoli chiamati “robot” con la capacità di identificare le vulnerabilità dei siti/firewall aziendali e in grado di “innestare” il ransomware in azienda.
L’esperienza dei rivenditori IT aiuta le aziende a prendere le dovute precauzioni nell’esporre i servizi B2B o B2C in tutta sicurezza.

Il ransomware arriva quindi in azienda in due modi: via mail e via web. L’approccio corretto è proteggere sia la posta che il web.
Proteggere uno solo dei due elementi non basta, è inutile, sarebbe come non fare nulla.

Esempio:
A un utente arriva una mail senza allegati. E’ una mail grafica e ben formattata. Pare una bolletta di un provider di energia.
Non essendoci allegati, il sistema antivirus della posta non ha bloccato la mail; anche il sistema antispam non l’ha bloccata in quanto proveniente da un mittente non conosciuto.
Il form chiede di cliccare un link per verificare i propri dati di fornitura energetica. In realtà il link è di tipo https e punta direttamente ad un eseguibile che viene scaricato ed eseguito in modo silente sul computer.
L’utente dopo aver cliccato la prima volta il link non vede nessun sito aprirsi e riprova una seconda volta.
Spazientito lascia stare ma il ransomware è in esecuzione sul suo computer per ben due volte e sta agendo indisturbato.
La mail è passata senza problemi. Dato che non è stata fermata è probabile che siamo di fronte ad uno zero-day (vedi sopra). Il sistema di controllo web non ha bloccato nulla. Il motivo potrebbe essere che non è in grado di controllare il traffico https oppure che non ha servizi di controllo efficaci.

PROTEZIONE A DUE LINEE DI DIFESA

Ecco quindi come funziona la protezione a due linee di difesa.

1) MAIL

La nostra prima linea di protezione deve essere attiva sulla porta principale, la posta.
I sistemi antispam e antivirus che proteggono i sistemi di posta oggi devono avvalersi anche di motori di rilevamento avanzati con supporto per il sandboxing (detonazione automatica degli allegati pericolosi).
Ricordiamoci però che il miglior cocktail di protezione della posta elettronica rimane sempre un buon sistema di mail security ed una buona formazione comportamentale del personale.
Mail malevoli riusciranno sempre a filtrare per qualche ragione ed è per questo motivo che va sempre considerata una seconda linea di difesa.

2) WEB

La seconda linea di difesa entra in gioco quando la prima ha fallito.
Sia per i casi di minacce che riescono a bypassare il sistema di controllo delle mail sia per la navigazione Internet degli utenti, un sistema di web security è necessario ad ogni azienda, grande o piccola che sia.

I FIREWALL DI TIPO UTM SONO LA RISPOSTA

Oltre alle funzioni di firewall tradizionali, gli UTM (Unified Threat Management) integrano tutti i moduli necessari alla protezione da ransomware, spyware, virus, botnet, attacchi via rete coadiuvati dal controllo dei contenuti e dal sandboxing dei file scaricati via web. Ecco cosa è necessario abbia un Firewall UTM al giorno d’oggi:

identificazione trasparente dell’utente che naviga: il firewall UTM deve sapere chi accede ad Internet per farne il corretto log e reporting.
decifratura del traffico SSL (DPI SSL): il firewall UTM si pone tra l’utente ed il sito web che viene visitato ed è in grado di controllare il traffico criptato in transito. Il 50% dei siti mondiali utilizzano solo connessioni di tipo https , anche i link malevoli che arrivano via mail sono sempre più spesso in https.
controllo antivirus di tutti i file che vengono scaricati
controllo degli spyware: il Firewall UTM deve essere in grado di identificare e bloccare le applicazioni nate per sottrarre informazioni agli utenti (password, dati personali, etc.). Vi è mai capitato di fare delle ricerche in rete per poi scoprire che quelle informazioni vengono usate per proporvi della pubblicità? Ecco…
controllo dei botnet: il botnet è composto da un controllore (master) e un controllato (slave).
Il codice slave viene distribuito su computer/device in Internet da hacker/cracker e può essere eseguito attraverso il controller. In pratica si possono portare attacchi ad enti, istituzioni, portali o aziende concorrenti usando computer e device all’insaputa dei proprietari. Sono ormai famosi gli attacchi DDoS verso centrali elettriche, testate giornalistiche, siti governativi americani e portali di contenuti multimediali. I sistemi anti botnet dei firewall UTM bloccano le comunicazioni slave e master dei botnet e la loro proliferazione.
Intrusion prevention: questo modulo, controllando il traffico di rete da e verso internet, consente il blocco di protocolli di rete malevoli o applicazioni malevoli tipo worm.
Sandboxing: il modulo sandboxing di un UTM viene utilizzato nel caso in cui i file scaricati attraverso i link delle mail o attraverso i normali download non vengano riconosciuti dal motore antivirus del firewall. In questo caso il file di norma viene detonato in cloud per determinarne l’effettiva pericolosità. Il sandboxing è un efficace protezione per le minacce zero-day.
Content Filtering: questo modulo previene la navigazione degli utenti su siti pericolosi mediante la categorizzazione del web da parte di team o robot specializzati.

MA TUTTO QUESTO NON BASTA

Fondamentale per la protezione, oltre alla già citata formazione e presa di coscienza degli utenti, è l’applicazione regolare degli aggiornamenti rilasciati dai vari produttori software: molto spesso infatti i ransomware sfruttano vulnerabilità note di applicazioni e sistemi operativi, per i quali sono già state rilasciate le opportune fix: bastava applicarle…
Di certo aiutano anche soluzioni di erogazione dei servizi IT che abbiano caratteristiche intrinseche di sicurezza, ad esempio utilizzare thin client anziché normali PC, connessi ad ambienti virtual desktop gestiti centralmente nei quali gli utenti hanno permessi limitati.
E bisogna comunque prendere in considerazione l’eventualità che, nonostante tutte le misure adottate, qualche evento malevolo ci possa ugualmente colpire e si debba quindi poter contare su una soluzione di backup/restore che ci permetta di limitare i danni, o su soluzioni storage evolute che mantengano in modalità nascosta “fotografie” precedenti dei dati, prese ripetutamente e a brevi intervalli.

LA NOSTRA PROPOSTA

Come si capice la soluzione è chiaramente un mix di conoscenze, tecnologie e formazione che va portato avanti nel tempo coi nuovi moduli di sicurezza che mano a mano vengono introdotti e che il mercato della sicurezza propone.
Surftech si avvale di nomi come SonicWall, Kaspersky Lab, Cybonet, Vasco, Citrix, IBM, NetApp e Arcserve per ottenere la protezione da minacce a 360 gradi.

Evento Clusit: Security Summit 2017

CLUSIT SECURITY SUMMER 2017

Ormai da qualche anno Clusit, l’associazione italiana che riunisce esperti di sicurezza informatica, organizza un evento chiamato “Security Summit” ospitato, in questa nona edizione, anche nella nostra bella città di Verona.
E’ un’occasione preziosa per “tastare il polso” della situazione riguardo la sicurezza informatica in Italia e non solo: oltre all’opportunità di ascoltare vari esperti del settore accanto a significative testimonianze di casi reali, viene anche presentato e distribuito l’ultimo rapporto Clusit sulla sicurezza ICT in Italia, una fonte di dati ben organizzata e completa che dà una panoramica degli attacchi informatici e delle vulnerabilità manifestatisi durante gli ultimi mesi all’interno di vari settori e dei relativi trend di evoluzione.
Surftech non poteva mancare a questo importante evento, ecco quindi un riassunto dei punti più importanti che potranno poi essere approfonditi con il nostro team.

Nel corso del 2016, ma ancora di più nei primi mesi del 2017, il numero degli attacchi informatici è drammaticamente aumentato e la tendenza è in continua crescita. Tutti noi ricordiamo, anche per averne finalmente sentito parlare dai media che tradizionalmente tendono ad ignorare questo genere di argomenti, i vari Cryptolocker, Wannacry, Petya che tanti danni hanno fatto non solo in Italia ma (anzi soprattutto) all’estero.
La maggior parte degli attacchi informatici oggi ha caratteristiche di CyberCrime, ovvero di attacchi finalizzati non tanto a carpire informazioni dalle aziende (Spionaggio) o ad accedere ai sistemi delle aziende e prenderne il controllo (Hacking), ma a ottenere guadagni rendendo inaccessibili i dati delle aziende e chiedendo riscatti per restituire l’accesso a tali dati.
Molto spesso non si tratta del singolo cyberpirata come lo immaginiamo dai film, un personaggio un po’ disadattato chiuso in cantina e circondato da vari monitor stile Matrix, ma di vere e proprie organizzazioni, con tanto di listino prezzi e di customer care (!), che mettono a disposizione realizzazioni chiavi in mano di Ransomware forniti addirittura di garanzia di efficacia, ad uso e consumo di chi si vuole arricchire a spese di aziende e singoli poco lungimiranti sul tema della sicurezza.

Altro aspetto, non così scontato, è che questi attacchi non sono diretti ad aziende specifiche, ma si va a tirare un po’ nel mucchio contando sul fatto che qualche “pesce” nella massa abboccherà. Ormai non si fa più molta differenza tra attacchi informatici veicolati tramite email aziendali e attacchi inviati ad email personali e private, semplicemente si attacca per colpire qualcuno. A questo proposito va evidenziato che, ormai in modo preponderante, gli attacchi informatici vengono veicolati attraverso il comodo canale delle email: i tradizionali attacchi DoS ai siti aziendali che mettono fuori uso il “portale” o saturano la banda delle aziende ormai non hanno più senso. E’ molto più semplice e redditizio generare un grande flusso di email che colpirà vari utenti che andare a colpire una singola azienda.

Per fornire qualche numero relativo alla nostra zona:

il danno attuale stimato per il comparto di Padova dovuto ad attacchi di natura informatica ammonta a 3 milioni €/anno;

nel Triveneto si conta in media 1 attacco importante al giorno (ovvero: attacco che venga poi conosciuto all’esterno dell’azienda e che comporti danni significativi – molti attacchi non essendo ancora obbligatorio il GDPR non vengono messi a conoscenza pubblica);

la spesa media per il ripristino dei sistemi si aggira sui 10k€ esclusi i costi della perdita di dati, del calo di immagine, dei problemi connessi alla privacy etc.

Come difendersi da questo continuo proliferare di attacchi informatici a cui siamo quotidianamente sottoposti?
Sicuramente una grossa componente è legata alle persone: tante tecnologie possono diventare inefficaci se poi la preparazione delle persone è inadeguata. E’ chiaro che i sistemi devono, per quanto possibile, proteggere l’utente filtrando ciò che arriva da varie fonti sullo strumento di lavoro, ma anche l’utente deve applicare un minimo di buon senso, e spesso basta davvero poco. Su questo può venire in aiuto la formazione periodica sugli utenti e la realizzazione di test, con sistemi che simulino attacchi rilevando poi la percentuale di utenti che, nel caso reale, avrebbero consentito all’attacco di essere efficace, correggendone il comportamento.
Un’altra componente, fondamentale, è la corretta patchatura ed aggiornamento dei sistemi, spesso non tenuto nella dovuta considerazione da molte aziende: bisogna tenere presente che le vulnerabilità che interessano sistemi o ambienti non aggiornati sono di immediata reperibilità, è assolutamente facile trovare informazioni al riguardo ed è quindi spesso banale costruire un codice che sia in grado di fare danni sfruttando bug riconosciuti.
Altro fattore spesso non considerato dalle aziende è la mancanza di una procedura di controllo periodica che misuri l’efficacia delle protezioni adottate ed effettui, con procedure cicliche, analisi della situazione, rilevazione delle vulnerabilità, correzione delle stesse, rianalisi in un ciclo continuo che non si dovrebbe mai fermare, proprio perché l’ambiente stesso circostante è in continuo movimento.

Surftech è un partner ideale per affrontare assieme questo genere di argomenti e predisporre un ambiente informatico che sia robusto ed efficace in risposta ad un progredire davvero significativo delle problematiche legate alla sicurezza ICT.

Nella foto i 200 partecipanti al Clusit 2017 che mostrano il rapporto 2017 durante la sessione introduttiva.