26 Mar
Il giorno 23 Marzo 2011 la BBC News riporta che la rete informatica della Commissione Europea ha subito un serio attacco.
Non sono state rivelate informazioni relative all’attacco ma ciò che è certo è che l’attacco è avvenuto alla vigilia del Summit a Bruxelles dove i vari governi si sono riuniti per discutere sul futuro dell’Europa in ambito politico, economico e sociale soprattutto in relazione alla guerra in Libia.
Il comunicato della BBC dichiara: The European Commission has been assessing the scale of the current threat and, in order to prevent the “disclosure of unauthorised information”, has shut down external access to e-mail and the institutions’ intranet.
Poichè non vengono dichiarate né la causa nè la natura dell’attacco si possono solo supporre alcuni scenari della dinamica dell’incidente:
- Certificati Digitali Fraudolenti:
recentemente la Microsoft ha rilasciato un comunicato urgente di security in cui descrive che ben 9 certificati digitali sono stati falsificati ed utilizzati per ingannare gli utenti che ne fanno uso.
In parole povere questi certificati possono essere utilizzati per attacchi di “spoofing”, “phishing” e “man in-the-middle”.
Considerato che la commissione ha chiuso l’accesso esterno alle email e all’intranet, un’ipotesi potrebbe essere che qualche utente interno abbia usato per il proprio account privato le stesse credenziali utilizzate per l’accesso alla rete interna.
- Trojan:
non si può escludere che qualche pc all’interno della rete sia stato infettato da un trojan-spyware non identificato che ha intercettato e raccolto credenziali interne usate successivamente dagli hacker per sferrare l’attacco.
Concludo sostenendo che questo genere di attacchi possono accadere qualora non vengano prese le dovute precauzioni a livello di sicurezza sia sul fronte delle minacce esterne sia sul fronte delle minacce interne.
E d’obbligo pertanto, da parte delle istituzioni, avviare una campagna di “consapevolezza della sicurezza” interna e adeguare le proprie tecnologie di sicurezza per fare fronte alle minacce esterne.
10 Mar
Un recente attacco al governo della Corea del Sud sembra essere eclatante a causa del fatto che questa volta il DDoS (Denial Distributed of Service) utilizza un sistema di autodistruzione dei vari host infetti.
L’ordine di questo attacco è semplice: infettare, colpire e autodistruggersi.
Non è la prima volta che si parla di attacchi DDoS ma in questo contesto la strategia di attacco è molto intelligente e soprattutto mirata a target specifici.
Tecnicamente ecco quello che succede:
- Il pc infetto dal malware viene posseduto e quindi diventa parte di una botnet
- Il malware agisce secondo due livelli:
- Attacco distribuito ai server scelti (in questo caso i siti governativi della Corea del Sud)
- Autodistruzione
L’attacco distribuito ai server è un elemento ormai conosciuto da un po’ di tempo da quando esistono le botnet create ed organizzate per lanciare attacchi distribuiti ad organizzazioni, governi e privati.
L’elemento distintivo invece è il secondo livello di azione del malware: l’autodistruzione.
In questa fase il malware, per non lasciare tracce di se stesso, distrugge il proprio codice, tutti i dati presenti nell’hard disk del pc infetto e in ultima analisi sovrascrive il master boot record del sistema in modo da renderlo non più avviabile.
Le origini di un tale attacco sono ancora sconosciute sebbene alcuni pensino che si tratti di un ulteriore attacco da parte dell’internet warfare unit della Corea del Nord organizzata per attaccare le reti delle forze militari Americane e Sud Coreane.
07 Mar
Sulla base delle analisi concluse alla fine dell’anno 2010 e dello studio e monitorazione continui del trend delle minacce attuali si prevede il 2011 come un anno particolarmente interessante dal punto di vista della sicurezza informatica.
In particolare il trend delle minacce informatiche nel 2011 ruoterà intorno a 5 punti fondamentali:
• Ingegneria sociale: l’utilizzo dell’ingegneria sociale continuerà a svolgere un ruolo chiave nella propagazione del malware. Le analisi effettuate mostrano una tendenza a migliorare la produzione e promozione di falsi messaggi, con lo scopo di indurre gli utenti (sia consumer che corporate) a effettuare operazioni illecite che consentano al malintenzionato di introdursi nei sistemi informatici della vittima o rubarne l’identità.
• Attacchi alle piattaforme di Social Network: si prevede un incremento degli attacchi alle note piattaforme di rete sociale, secondo due tipologie di insidie. La prima è la distribuzione del malware attraverso i “social network bots” (strumenti automatici che invitano l’utente a svolgere determinate operazioni); la seconda è rappresentata dal fenomeno del “sockpuppet” (creazione di false identità con lo scopo di addentrarsi nel social network e addescare le vittime).
• Attacchi a dispositivi mobili: si prevede un incremento delle applicazioni maligne realizzate per dispositivi smartphone rispetto all’anno precedente
• Crimeware-as-a-Service: si prevede la continuazione e il perfezionamento di questo fenomeno di cyber criminalità organizzata, che sarà sempre più difficile da individuare.
• Attacchi alle Infrastrutture critiche: il caso di Stuxnet ha avuto un impatto notevole nell’ambito della sicurezza industriale.
L’attacco alle infrastrutture critiche dimostra di avere un ottimo riscontro da parte delle organizzazioni criminali.
Non si escludono pertanto possibili attacchi nei confronti di governi, istituzioni e aziende di carattere sia socio-politico (vedi Anonymous Team) sia economico e industriale (spionaggio).
01 Feb
I seguenti dati sono stati raccolti e analizzati in base alla osservazione ottenuta attraverso sensori sparsi in vari punti strategici del globo terrestre.
I sensori sono macchine che registrano le attività di spam avviate da sistemi compromessi che vengono identificati come bot (ossia pc compromessi utilizzati per svolgere operazioni a comando tra cui l’invio di spam).
La seguente analisi riporta dati relativi a:
- Situazione globale dei sistemi compromessi
- Situazione Paesi Europei
- Situazione Paesi dell’Asia e Pacifico (Russia compresa)
- Situazione dell’America Latina
Periodo di Osservazione: Gennaio 2011
[Figura 1 – Dati globali relativi ai sistemi compromessi]
[Figura 2 – Dati relativi ai sistemi compromessi in Europa]
[Figura 3 – Dati relativi ai sistemi compromessi in America Latina]
[Figura 4 – Dati relativi ai sistemi compromessi in APJ]
Analisi:
In base ai dati ottenuti si ricavano interessanti informazioni relative alla situazione mondiale durante il periodo di osservazione.
Rispetto all’ultimo report la regione Asia e Pacifico (31%) supera l’Europa (27%) per numero di sistemi compromessi seguiti dall’America Latina (18%), India (14%) e sempre in ultimo gli USA (10%).
Attenzione: in questo report è stata inclusa anche la Russia come parte di APJ.
Alla luce di una più dettagliata analisi in Europa risultano nella top-list la Romania (16%) seguita da Italia (14%), Germania (11%) e Regno Unito (11%) che si trovano allo stesso livello.
Con lo stesso criterio di zoom si è analizzata l’America Latina dove il Brasile continua ad essere il paese maggiormente compromesso aggiudicandosi oltre il 60% di sistemi compromessi.
Con netto distacco seguono sempre l’Argentina e la Colombia.
In ultima analisi la zona dell’area Asia e Pacifico dove la regione Russia (43%) si aggiudica il primo posto seguita da Vietnam (13%) e Cina (12%).
25 Jan
Il 2011 si presenta con interessanti sorprese nel mondo Internet.
Forse dall’inizio dell’anno la più eclatante è quella della scoperta di un sito cracker che mette in vendita servizi di controllo di siti militari e governativi americani e ben 4 siti ufficiali del governo Italiano.
Ecco come si presentava fino all’altro ieri il sito del cracker prima che venisse chiuso dalle autorità:
Secondo quanto abbiamo rilevato molto probabilmente si presume che il cracker abbia utilizzato un tool di scansione automatica per la rilevazione di vulnerabilità dei siti su Internet.
Il risultato della scansione è una lista di siti con falle di sicurezza che potevano essere facilmente compromessi e venduti a prezzi di listino a chi ne avesse bisogno.
I prezzi sono ben visibili nelle immagini sopra riportate.
Oltre a questo tipo di servizio il sito offriva altri servizi, non meno interessanti e comunque illegali, come il cracking di un sito normale (al prezzo di $9.99) o di più alto profilo a prezzo da concordarsi.
Non solo, tra i servizi vi era la vendita di informazioni personali contenute in database governativi.
Sfortunatamente si assiste sempre più spesso ad episodi di questo tipo e non sempre questi vengono scoperti in tempo e riportati alle autorità di competenza.
La comunità dell’Internet Security Intelligence continua ogni giorno a monitorare il panorama del cybercrime e a riportare tali episodi per proteggere gli utenti, le aziende e le istituzioni affinchè questi incidenti servano da lezione.
Il nostro lavoro resta sempre quello di aiutare ed invitare gli amministratori di sistema a prendere in considerazione che la sicurezza non è mai garantita al 100% e che i sistemi informatici possono sempre celare qualche vulnerabilità e diventare quindi obiettivo appetibile ai cybercriminali.
