Cyber security 2016: gli esperti di Sophos stilano un elenco di previsioni, per affrontare un panorama della sicurezza informatica sempre più mutevole e complesso
Tra pochi giorni archivieremo il 2015, pronti a dare il benvenuto al nuovo anno, e insieme alla nostalgia di quello che è stato e alle speranze per ciò che sarà, è tempo di dedicarsi a quell’insidioso e temerario esercizio che sono le previsioni di ciò che potrebbe accadere nel corso dei dodici mesi a venire.
Un compito ancora più arduo per chi naviga quotidianamente nelle acque tumultuose e mutevoli della cyber security, ma al quale gli esperti di Sophos, società leader a livello mondiale nel settore della sicurezza informatica, non si sono sottratti, stilando un elenco dei principali trend che influenzeranno il mercato nel 2016:
1. Le minacce sui dispositivi Android diventeranno molto più di una notizia da quotidiano
Il prossimo anno vedremo un aumento del numero di exploit su Android usati come teste di ponte per penetrare nei device (diversamente da alcuni bug visti in azione finora, come Stagefright, di cui si è parlato molto all’inizio del 2015 ma che non sono mai stati pienamente sfruttati).
La piattaforma Android presenta significative vulnerabilità che potrebbero richiedere dei mesi per essere aggiornate. Anche se Google afferma che ad oggi nessuno ha realmente sfruttato queste debolezze, potrebbero rivelarsi una tentazione troppo forte da ignorare per gli hacker.
I SophosLabs hanno già avuto modo di analizzare alcuni esempi di tale minacce, che raggiungono una dimensione estrema con lo scopo di evitare i sistemi di individuazione e filtraggio degli App Store, dando alle App la possibilità di sopravvivere in questi ultimi.
Per esempio, alcuni hacker progetteranno una App che carichi giochi innocui quando pensa di essere sottoposta a controlli, ma che in seguito carichi il contenuto maligno quando sarà al riparo da possibili verifiche di sicurezza. Più recentemente, abbiamo visto utenti mobile utilizzare app provenineti da store diversi da quelli ufficiali e venire ingannati da app malevole della famiglia di adware Shedun, che danno il controllo remoto del Servizio di Accessibilità di Android. Dopo aver preso il controllo del dispositivo, queste app sono in grado di generare dei popup che installano degli adware altamente intrusivi, anche se l’utente rifiuta l’invito a installarli. Poiché le app si annidano all’interno del device e si diffondono nelle partizioni del sistema, non possono essere facilmente disinstallate.
I malware che attaccano i dispositivi Android possono essere molto complessi da gestire e non è detto che gli utenti possano fidarsi della capacità dell’App Store di individuare queste vulnerabilità in ogni momento.
2. Il 2016 sarà l’anno in cui i malware su iOS diventeranno mainstream
Abbiamo già visto che l’App Store di Apple è stato colpito varie volte quest’anno: da InstaAgent app, che si insinua furtivamente eludendo le procedure di verifica e che sia Google sia Apple hanno ritirato dai rispettivi app store, e prima ancora con XcodeGhost , che ha tratto in inganno gli sviluppatori di app Apple incorporando il codice nelle loro app e infettandole, nascondendosi intelligentemente dietro a ciò che sembrava un codice Apple.
Con la crescita vertiginosa del numero di app in circolazione sul mercato (ad oggi, Apple e Google hanno più di un milione di app ognuna nei loro siti), non è difficile immaginare un crescente numero di hacker intento a cercare di superare gli attuali sistemi di controllo. Tuttavia, la natura di Android, in particolare il supporto alla flessibilità dei mercati terzi, continuerà a renderlo un bersaglio più facile di iOS.
3. Piattaforme per l’Internet of Things: non sono ancora l’arma prescelta dagli autori di malware commerciali, ma le aziende stiano in guardia
Ogni giorno, una mole sempre maggiore di tecnologia viene incorporata nelle nostre vite. Gli IoT device stanno mettendo in connessione qualunque oggetto ci circondi, e nuove interessanti modalità d’uso continuano a essere scoperte. L’Internet delle Cose continuerà a generare infinite storie spaventose basate sul fatto che i device non siano sicuri (all’inizio del 2015 molte di queste storie riguardavano le webcam, i baby monitor, i giocattoli per bambini; più recentemente, la jeep hackerata a luglio ha aggiunto le automobili all’elenco degli argomenti caldi).
Tuttavia, non vedremo così presto molti esempi di hacker che si servono di dispositivi IoT per far funzionare dei codici arbitrariamente in qualsiasi momento. Poiché ancora non esistono dispositivi multiuso con la stessa ampia gamma di interfacce che invece esiste sui dispositivi desktop e mobile, gli IoT device sono relativamente protetti. Ciò che vedremo è una maggiore ricerca e verifiche teoriche che dimostreranno che codici non provenienti dal venditore possono essere installati su questi dispositivi a causa delle insufficienti verifiche (mancanza della firma sul codice, la suscettibilità alle esigenze di utilizzo dell’utente medio), previste dagli IoT vendor.
Possiamo aspettarci un aumento degli attacchi mirati a una raccolta/fuga di dati contro i dispositivi IoT, con i quali questi possono essere persuasi a rivelare informazioni a cui hanno accesso, ad esempio contenuti video/audio, file salvati, credenziali per il login in servizi cloud etc.
Inoltre, poiché le funzionalità e le abilità dei dispositivi IoT di interagire con lo spazio circostante continuano a evolvere, ossia poiché diventano sempre più “robotizzati”, come Roomba per esempio, il ventaglio di preoccupazioni relative alla sicurezza attorno all’Internet of Things inizierà a diventare molto simile a quelle relative ai sistemi informatici SCADA/ICS, e le aziende dovrebbero guardare alle migliori linee guida che il NIST, lo ICS-CERT e altri hanno formulato.
4. Le piccole e medie imprese diventeranno obiettivi concreti dei cyber criminali
Nel corso del 2015, l’attenzione si è concentrata sulle grandi storie “glamour” di hacking, come Talk Talk e Ashley Maddison, ma le grandi imprese non sono gli unici obiettivi degli attacchi. Un recente report di PwC ha svelato infatti che il 74% delle piccole e medie imprese (PMI) ha avuto dei problemi di sicurezza negli ultimi 12 mesi, e questo numero potrà soltanto salire, dato che le PMI sono percepite come obiettivi facili.
Il Ramsomware è una delle aree in cui gli hacker stanno monetizzando i loro attacchi alle PMI in modo più visibile quest’anno. In precedenza, le attività maligne, come lo spam, il furto di dati, l’infezione di siti web per veicolare dei malware, erano molto meno visibili, quindi le piccole aziende nemmeno realizzavano di essere state infettate. Il Ramsomware è molto visibile e ha il potenziale per danneggiare seriamente una piccola o media impresa se questa non paga il riscatto. Questo è il motivo, ovviamente, per cui gli hacker hanno spostato il mirino sulle PMI. E nel 2016 il numero di mirini aumenterà notevolmente.
Prive delle ingenti risorse che le grandi imprese possono destinare alla sicurezza informatica, le PMI spesso tendono a giocare al ribasso negli investimenti in sicurezza per le infrastrutture i servizi e lo staff dedicato. Questa politica le rende estremamente vulnerabili, dal momento in cui gli hacker possono facilmente scovare le falle nei loro sistemi di sicurezza e infiltrarsi nelle loro reti aziendali. In media, una breccia nel sistema di sicurezza può costare a una piccola impresa fino a circa 100.000 euro, una perdita consistente per qualunque azienda. È importante perciò che le PMI adottino un solido approccio alla sicurezza. Questo richiede una strategia IT attentamente pianificata per prevenire gli attacchi prima che avvengano. Installare software che collegano endpoint e reti consentirà di avere un sistema di sicurezza più organico, in cui tutte le componenti comunicano, e assicurare che non ci siano buchi in cui possano penetrare gli hacker.
5. I cambiamenti nella legislazione sulla protezione dei dati si tradurranno in multe salate per tutte le aziende colte impreparate
Nel 2016, aumenterà la pressione sulle aziende al fine di rendere sicuri i dati dei clienti, dal momento che la nuova legge europea sulla protezione dei dati è ormai imminente. In futuro, le imprese dovranno affrontare pesanti ripercussioni qualora i dati non vengano solidamente protetti. Questo provvedimento avrà un impatto di ampia portata sul modo in cui le aziende gestiscono la sicurezza, compresa l’area ad alto rischio dei dispositivi personali dei dipendenti.
I due principali cambiamenti legislativi saranno il General Data Protection Regulation europeo (GDPR) e l’Investigatory Powers Bill nel Regno Unito. Il GDPR entrerà pienamente in vigore in tutta Europa entro la fine del 2017, e le aziende dovranno iniziare a prepararsi già nel corso del 2016. Il provvedimento è articolato in numerosi punti, ma uno degli aspetti principali è che le imprese europee saranno ora considerate responsabili della protezione dei dati che processano, compresi i cloud provider e altre terze parti.
Nel Regno Unito, l’Investigatory Powers Bill modernizzerà le leggi relative alla comunicazione dei dati. Il provvedimento conferirà alla polizia e agli altri corpi d’intelligence la possibilità di accedere a tutti gli aspetti delle comunicazioni degli utenti in campo ICT, sia che l’utente sia sospettato di aver commesso reati o meno. Dal momento che il processo di approvazione di questo decreto dovrebbe prolungarsi per buona parte del 2016, sarà interessante vedere in che modo sarà plasmato e modificato, e se i cittadini cominceranno a dare la priorità alla sicurezza dei propri dati.
Negli Stati Uniti, la protezione dei dati è complicata dal fatto che non esiste un decreto omnicomprensivo sul tema. La conseguenza è che tale aspetto tende ad essere regolato in modo meno severo rispetto a quanto avviene in Europa, il che ha causato notevoli preoccupazioni in merito al Safe Harbor Agreement. Col tempo UE e Usa riusciranno ad appianare le loro differenze, ma sembra improbabile che vedremo presto un nuovo accordo sull’argomento.
6. VIP Spoofware è qui per restare
Il 2016 vedrà una crescita dei cosiddetti “VIP spoof” ovvero richieste di spostamenti di fondi da parte di finti account del top management aziendale. Gli hacker stanno infatti diventando sempre più abili a infiltrarsi nelle reti aziendali per carpire informazioni sui dipendenti e soprattutto sullo staff dirigenziale per poi raggirare i dipendenti ed ottenere un ritorno finanziario. Per esempio, l’invio di una mail al team “Finance” di un’azienda a nome del CFO per richiedere il trasferimento di un determinato quantitativo di denaro è solo uno dei modi in cui i cyber criminali continueranno a colpire le aziende.
7. Lo slancio di Ransomware
Il Ramsomware continuerà a dominare nel 2016, ed è solo questione di tempo prima che la situazione vada oltre la richiesta di un riscatto per la restituzione di dati. Forse ci vorrà ancora molto tempo prima di avere una quantità sufficiente di automobili e case connesse e controllate attraverso la rete, ma dovremmo comunque porci questa domanda: quanto tempo ci vorrà prima che venga chiesto un riscatto per un’automobile o una casa? Gli hacker minacceranno sempre più di diffondere pubblicamente i dati, piuttosto che limitarsi a prenderli in ostaggio e ci sono già stati esempi di siti web attaccati e impossibilitati a erogare il servizio (DDoS) fino al pagamento del riscatto. Molte famiglie di Ramsomware usano le Darknet per abilitare dei comandi, per prendere il controllo o per accedere alle pagine di pagamento, come si è visto nei casi di Cryptowall, TorrentLocker, TeslaCrypt, Chimera e molti altri nel 2015.
8. L’ingegneria sociale è in crescita
Poiché la cyber security e l’ingegneria sociale continuano a evolversi, le imprese investiranno più risorse per proteggersi da alcune tipologie di attacchi psicologici. In particolare, si concentreranno sulla formazione dei dipendenti e sulla predisposizione di misure severe contro i recidivi. I dipendenti hanno bisogno di essere ferrati sulla sicurezza quando si trovano nella rete aziendale.
Ecco alcuni semplici trucchi che consigliamo di includere nella formazione. Informare i dipendenti di tutte le implicazioni di una phishing mail e come identificarla. Assicurarsi che lo staff non clicchi su link malevoli inseriti in mail non richieste. Incoraggiarli a diffidare di mail che presentano refusi, che potrebbero essere segnali di una truffa, e a fare attenzione a siti che richiedono informazioni sensibili, come il PIN della carta di credito e il numero della tessera sanitaria. Un’altra regola d’oro è mai condividere una password. Ognuno di noi può essere d’aiuto mandando un segnale forte al mercato: far sapere ai fornitori che gestiscono i nostri dati più importanti (banche, assicurazioni…) che chiediamo solide garanzie di sicurezza. Se questi non danno la possibilità di scegliere l’opzione di autenticazione multifattore, domandiamone il motivo. O meglio ancora, passiamo a un provider che preveda questa opzione.
Infine, ricordiamo agli utenti qualcosa che probabilmente dimenticano sempre: mai aprire documenti se non si conosce il mittente. Inoltre, mai cliccare “SÌ” agli avvisi riguardanti macro o contenuti attivi a meno di non conoscere la ragione per cui il documento lo richiede. Stiamo già osservando un’impennata di utenti che scaricano codici maligni che si nascondono in macro inserite in documenti in tutto e per tutto simili a file Office, e ci aspettiamo che questo fenomeno assuma proporzioni ancora maggiori nel 2016.
9. Sia i “buoni” sia i “cattivi” saranno più coordinati
Gli hacker continueranno a usare attacchi coordinati, ma l’industria della cyber security compirà significativi progressi verso la condivisione delle informazioni. Per qualche tempo i “cattivi” sono stati in grado di collaborare e coordinarsi, riutilizzando tattiche e strumenti, e stando in generale un passo avanti rispetto ai “buoni”. Ma il settore della sicurezza informatica si sta evolvendo rapidamente e ci aspettiamo che le promettenti attività di condivisione delle informazioni e di automatizzazione dei flussi di lavoro continuino e facciano ulteriori passi avanti nel 2016.
10. Gli autori di malware commerciali continueranno a investire pesantemente nello sviluppo di nuove minacce
Gli autori di malware commerciali continueranno ad investire nello sviluppo di nuove minacce a ritmi maggiori, portandoli verso il potere di spesa pari a quello di uno Stato. Questo significa che aumenteranno anche gli investimenti nei cosiddetti “attacchi del giorno zero”. I “cattivi” hanno molte risorse e le stanno spendendo saggiamente.
11. Gli exploit continueranno a dominare il web
I kit Exploit, come Angler (di gran lunga il più diffuso oggi) e Nuclear, sono probabilmente il principale problema che dobbiamo affrontare oggi sul web così come l’avanzata dei malware , e questa tendenza è alimentata dalle migliaia e migliaia di siti scarsamente protetti che ancora popolano la Rete. I cyber criminali attaccheranno dove possono spillare denaro più facilmente e perciò i kit exploit sono semplicemente diventati pacchetti di strumenti in commercio, utilizzati dagli hacker per tentare di infettare gli utenti con i loro malware selezionati.