Previsioni McAfee Labs sulle minacce 2019

By on Dec 13, 2018

Queste previsioni sono state redatte da Eoin Carroll, Taylor Dunton, John Fokker, German Lancioni, Lee Munson, Yukihiro Okutomi, Thomas Roccia, Raj Samani, Sekhar Sarukkai, Dan Sommer e Carl Woodward.

Con l’avvicinarsi della fine del 2018, dovremmo forse essere grati che l’annata non sia stata dominata completamente dal ransomware, anche se l’ascesa delle varianti GandCrab e SamSam dimostra che la minaccia resta attiva. Le nostre previsioni per il 2019 si allontanano dalla semplice proposta di una valutazione dell’ascesa o del declino di una minaccia specifica e si focalizzano invece sulle attuali avvisaglie che emergono nel sommerso della criminalità informatica e che ci aspettiamo si sviluppino in tendenze e quindi in minacce in circolazione.

Abbiamo osservato una maggiore collaborazione tra i criminali informatici nello sfruttamento del mercato nero, che ha consentito loro di sviluppare le efficienze dei loro prodotti. I criminali informatici formano da anni partnership di questo tipo e nel 2019 questa economia di mercato potrà solo espandersi. Il gioco del gatto e del topo che il settore della sicurezza ha avviato con gli sviluppatori di ransomware si intensificherà e il settore dovrà rispondere in modo più rapido ed efficace di quanto abbia mai saputo fare.

Da oltre 10 anni i social media fanno parte della nostra vita. Di recente, gli stati-nazione hanno sfruttato in modo infame le piattaforme dei social media per diffondere disinformazione. Nel 2019, prevediamo che i criminali comincino a sfruttare queste tattiche per il proprio tornaconto. Analogamente, la continua crescita dell’Internet delle cose (IoT) in ambito domestico spingerà i criminali a prendere di mira tali dispositivi per un tornaconto economico.

Una cosa è certa: la nostra dipendenza dalla tecnologia è diventata onnipresente. Pensiamo solo alle violazioni delle piattaforme dell’identità, che secondo le segnalazioni hanno interessato 50 milioni di utenti. Non accade più che una violazione si limiti solo a una piattaforma. Tutto è connesso e la forza di ciascuno si misura solo in base al suo anello più debole. In futuro, la domanda da porsi sarà quale dei nostri anelli deboli verrà compromesso.

—Raj Samani, Chief Scientist e McAfee Fellow, McAfee Advanced Threat Research

Twitter @Raj_Samani

 

Previsioni

Consolidamento, formazione di ulteriori partnership per incrementare le minacce da parte del sommerso della criminalità informatica

Intelligenza artificiale come il futuro delle tecniche di elusione

Moltiplicazione delle minacce sinergiche e necessità di una risposta combinata

Disinformazione, tentativi di estorsione per sfidare i marchi aziendali

Attacchi di esfiltrazione dei dati che puntano al cloud

Assistenti digitali a controllo vocale come il prossimo vettore nell’attacco ai dispositivi IoT

I criminali informatici incrementeranno gli attacchi alle piattaforme dell’identità e ai dispositivi periferici sotto assedio

Consolidamento, formazione di ulteriori partnership per incrementare le minacce da parte del sommerso della criminalità informatica

I forum degli hacker e i gruppi di chat nascosti fungono da mercato per i criminali informatici, che possono acquistare malware, exploit, botnet e altri servizi discutibili. Con questi prodotti in pronta consegna, i criminali con gradi diversi di esperienza e sofisticazione possono facilmente lanciare i loro attacchi. Nel 2019, prevediamo che il sommerso si consoliderà, creando meno famiglie di malware-as-a-service (ma più forti) che agiranno attivamente insieme. Questi marchi sempre più potenti stimoleranno un mining più sofisticato delle criptovalute, uno sfruttamento rapido delle nuove vulnerabilità e incrementi del malware mobile e del furto di carte di credito e credenziali.

Prevediamo che altre affiliate si uniranno alle famiglie principali, grazie alla facilità delle operazioni e alle alleanze strategiche con altri servizi essenziali di massimo livello, tra cui kit di exploit, servizi crypter, bitcoin mixer e servizi anti-antimalware. Due anni fa, abbiamo visto molte delle maggior famiglie di ransomware adottare, ad esempio, strutture di affiliazione. Vediamo ancora emergere molti tipi di ransomware, ma solo alcuni sopravvivono perché i più non riescono ad attirare sufficiente business per competere con i marchi più forti, che offrono tassi di infezione maggiori e sicurezza operativa e finanziaria. Al momento le famiglie più numerose pubblicizzano attivamente i loro articoli; il business è florido perché sono marchi forti (ad es. GandCrab) alleati con altri servizi di primo livello, come il riciclaggio di denaro o la irrilevabilità del malware.

Le attività economiche sommerse hanno successo perché fanno parte di un sistema basato sulla fiducia. Non è detto che si tratti di “cortesia professionale” e tuttavia i criminali sembrano sentirsi sicuri, fiduciosi di non poter essere toccati nella cerchia interna dei loro forum. Abbiamo visto questa fiducia anche in passato, ad esempio con i popolari negozi di carte di credito nel primo decennio del secolo, che erano una fonte primaria di criminalità informatica fino a quando una solida azione di polizia non ha spezzato il modello fiduciario.

Man mano che il rilevamento degli endpoint diventa più forte, il protocollo desktop remoto (RDP) vulnerabile offre un altro percorso ai criminali informatici. Nel 2019, prevediamo che il malware, e in particolare il ransomware, utilizzeranno sempre più l’RDP come punto di accesso delle infezioni. Attualmente, la maggior parte dei negozi del sommerso pubblicizza l’accesso RDP per fini diversi dal ransomware, generalmente utilizzandolo come un trampolino per poter ottenere l’accesso agli account Amazon o come proxy per appropriarsi di carte di credito. I gruppi di ransomware presi di mira e i modelli di ransomware-as-a-service (RaaS) sfrutteranno l’RDP, e abbiamo osservato strategie di grande successo, capaci di non essere rilevate, utilizzare questa tattica. Gli aggressori individuano un sistema con un RDP debole, lo attaccano con il ransomware e si propagano tramite le reti sia utilizzando ciò che trovano sia servendosi della funzionalità worm (EternalBlue). Ci sono indizi che fanno ritenere che l’autore di GranCrab stia già lavorando su un’opzione RDP.

Prevediamo anche che il malware legato al mining delle criptovalute si faccia più sofisticato, selezionando quale valuta estrarre dalla macchina di una vittima in base all’hardware di elaborazione (WebCobra) e al valore di una valuta specifica in un momento dato.

Il prossimo anno, prevediamo che la lunghezza della vita di una vulnerabilità, dal rilevamento alla weaponizzazione, si accorcerà ulteriormente. Abbiamo osservato una tendenza dei criminali informatici a diventare più agili nei loro processi di sviluppo. Raccolgono dati sui difetti nei forum online e nel database Common Vulnerabilities and Exposures per aggiungerli al loro malware. Prevediamo che ai criminali serviranno un giorno o solo poche ore per implementare gli attacchi contro i più recenti punti deboli di software e hardware.

Ci aspettiamo un incremento nel dialogo sommerso sul malware mobile, focalizzato prevalentemente su Android, relativo a botnet, frodi bancarie, ransomware e bypass della sicurezza di autenticazione a due fattori. Il valore dello sfruttamento della piattaforma mobile è attualmente sottostimato; gli smartphone offrono infatti molto ai criminali informatici data la quantità di accesso di cui godono a informazioni sensibili come i conti bancari.

Le frodi a danno delle carte di credito e la domanda di dati delle carte di credito proseguiranno, con maggiore interesse per le operazioni di lettura veloce online che prendono di mira le piattaforme di pagamento di terzi sui grandi siti di e-commerce. In questi siti, i criminali possono appropriarsi silenziosamente di migliaia di dati relativi a carte di credito in un sol colpo. Inoltre, si stanno utilizzando i social media per reclutare utenti ignari che potrebbero non sapere di stare lavorando per dei criminali quando rispediscono merci o forniscono servizi finanziari.

Prevediamo un incremento nel mercato delle credenziali rubate, alimentato dalle recenti consistenti violazioni di dati e dalle cattive abitudini degli utenti con le password. Le violazioni causano, ad esempio, la vendita dei dati degli elettori e l’hacking degli account e-mail. Sono attacchi che avvengono quotidianamente.

—John Fokker 

 

Intelligenza artificiale come il futuro delle tecniche di elusione

Per incrementare le loro possibilità di successo, gli aggressori adottano da tempo tecniche di elusione per bypassare le misure di sicurezza ed evitare rilevamento e analisi. I programmi di compressione, i crypter e altri strumenti sono componenti comune dell’arsenale degli aggressori. È nata infatti tutta un’economia sommersa che offre prodotti e servizi dedicati a supporto delle attività criminali. Prevediamo che nel 2019, grazie alla facilità con cui i criminali informatici possono oggi esternalizzare componenti essenziali dei propri attacchi, le tecniche di elusione acquisiranno maggiore agilità grazie all’applicazione dell’intelligenza artificiale. Pensi che il settore anti-antivirus sia pervasivo oggi? Questo è solo l’inizio.

Nel 2018 abbiamo assistito a nuove tecniche di iniezione dei processi come il “process doppelgänging” con il ransomware SynAck, e l’iniezione PROPagate distribuita dal kit RigExploit. Inglobando tecnologie come l’intelligenza artificiale, le tecniche di elusione saranno in grado di circuire ulteriormente le protezioni.

Elusioni diverse per malware diverso

Nel 2018 abbiamo visto emergere nuove minacce come i miner di criptovalute, capaci di assumere il controllo delle risorse di macchine infette. Con ogni minaccia si palesano anche tecniche elusive di grande inventiva.

  • Mining di criptovalute: i miner implementano una serie di tecniche di elusione. Un esempio è WaterMiner, che semplicemente interrompe il proprio processo di mining quando la vittima esegue Gestione attività o una scansione antimalware.
  • Kit di exploit: tra le più diffuse tecniche di elusione si contano l’iniezione di processi o la manipolazione dello spazio di memoria e l’aggiunta di codice arbitrario. L’iniezione nella memoria è un diffuso vettore di infezione per evitare il rilevamento durante l’erogazione.
  • Botnet: le tecniche di occultamento del codice o di anti-disassemblaggio vengono spesso utilizzate da botnet di grandi dimensioni che infettano migliaia di vittime. Nel maggio 2018 è stato scoperto che AdvisorsBot utilizzava codice junk, istruzioni condizionali false, crittografia XOR e persino hashing API. Poiché i bot tendono a diffondersi in maniera estesa, gli autori hanno implementato numerose tecniche di elusione per rallentare il reverse engineering. Utilizzavano inoltre meccanismi di occultamento per le comunicazioni tra bot e server di controllo. I criminali usano i botnet per attività quali DDoS su commissione, proxy, spam o altre distribuzioni di malware. L’uso di tecniche di elusione è essenziale per i criminali informatici per evitare o ritardare la neutralizzazione dei botnet.
  • Minacce avanzate persistenti: i certificati rubati venduti al mercato nero dei criminali informatici vengono spesso utilizzati negli attacchi mirati per bypassare il rilevamento antimalware. Gli aggressori utilizzano anche malware di basso livello come rootkit o minacce basate sul firmware. Ad esempio, nel 2018 ESET ha scoperto il primo rootkit UEFI, LoJax. I ricercatori in ambito di sicurezza hanno anche osservato l’uso di funzionalità distruttive come tecniche anti-forensi: il malware OlympicDestroyer aveva preso di mira l’organizzazione dei Giochi Olimpici e ha cancellato registri di eventi e backup per eludere le indagini.

Intelligenza artificiale, la prossima arma

Negli ultimi anni, abbiamo osservato che il malware sfrutta le tecniche di elusione per bypassare i motori di apprendimento automatico. Nel 2017, ad esempio, il ransomware Cerber ha piazzato file legittimi sui sistemi per ingannare il motore che classifica i file. Nel 2018, il ransomware PyLocky ha utilizzato InnoSetup per comprimere il malware ed evitare il rilevamento dell’apprendimento automatico.

È evidente che bypassare i motori di intelligenza artificiale fa già parte della lista delle cose da fare dei criminali, che tuttavia sono in grado di implementare l’intelligenza artificiale nel loro software dannoso. Prevediamo che le tecniche di elusione inizino a sfruttare l’intelligenza artificiale per automatizzare la selezione degli obiettivi o per controllare gli ambienti infetti prima di distribuire fasi successive ed evitare il rilevamento.

Una tale implementazione cambierà le regole del gioco nel panorama delle minacce. Prevediamo che presto sarà comunemente in circolazione.

—Thomas Roccia

Moltiplicazione delle minacce sinergiche e necessità di una risposta combinata

Quest’anno è emerso che le minacce informatiche sono in grado di adattarsi e ruotare su se stesse più in fretta che mai. Abbiamo visto una evoluzione del ransomware che è diventato più efficace o ha iniziato ad agire come cortina fumogena. Abbiamo assistito a un’ascesa del cryptojacking, che assicura un ritorno sugli investimenti migliore e più sicuro rispetto al ransomware. Continuiamo a vedere che il phishing va alla grande e trova sempre nuove vulnerabilità da sfruttare. Abbiamo anche rilevato che le minacce fileless e che sfruttano quel che trovano sono più sfuggenti ed elusive che mai e abbiamo persino osservato l’incubazione del malware di steganografia nella campagna delle Olimpiadi di Pyeongchang. Prevediamo che nel 2019 gli aggressori sceglieranno di unire più frequentemente queste tattiche per creare minacce sfaccettate o sinergiche.

Cosa sarebbe meno auspicabile?

Gli attacchi si focalizzano in genere sull’uso di una minaccia. I malintenzionati concentrano i loro sforzi sulla ripetizione e sull’evoluzione di una minaccia alla volta per potenziare efficacia ed elusione. Quando un attacco ha successo, viene classificato come ransomware, cryptojacking, esfiltrazione di dati ecc. e vengono implementate le difese opportune. A quel punto, il tasso di successo dell’attacco viene significativamente ridotto. Tuttavia, se un attacco sofisticato riguarda non una ma cinque minacce di prima qualità che lavorano insieme sinergicamente, il panorama delle difese potrebbe diventare molto sfocato. La sfida emerge quando si compie il tentativo di identificare e mitigare l’attacco. Dal momento che lo scopo ultimo di un attacco è sconosciuto, ci si potrebbe perdere nei dettagli di ciascuna minaccia mentre svolge il suo ruolo all’interno della catena.

Uno dei motivi per cui le minacce sinergiche stanno diventando una realtà è che i malintenzionati stanno migliorando le loro capacità grazie allo sviluppo di basi, kit e componenti di minacce riutilizzabili. Mentre gli aggressori organizzano le loro forze secondo un modello economico di mercato nero, possono concentrarsi sull’aggiunta di valore agli elementi di base precedenti. Questa strategia consente loro di orchestrare più minacce anziché una sola per conseguire i loro obiettivi.

Un esempio che vale mille parole

Immaginiamo un attacco che inizia con una minaccia di phishing – non una campagna classica che utilizza documenti Word ma una tecnica nuova. Questa e-mail di phishing contiene un allegato video. Quando si apre il video, il lettore utilizzato non avvia la riproduzione ma chiede di aggiornare il codec. Una volta eseguito l’aggiornamento, sul sistema in uso viene distribuito un file poliglotta steganografico (un semplice GIF). Poiché è poliglotta (un file che si adatta a più di un formato contemporaneamente), il file GIF pianifica un’attività che preleva uno script fileless in hosting su un sistema compromesso. Tale script eseguito nella memoria valuta il sistema in uso e decide di eseguire del ransomware oppure un miner di criptovaluta. Quella descritta è una pericolosa minaccia sinergica in azione.

L’attacco solleva molte domande. Con che cosa abbiamo a che fare? Si tratta di phishing 2.0? È forse stegware? O si tratta invece di fileless e utilizza quel che trova? È cryptojacking? È ransomware? È tutto contemporaneamente.

Questo esempio sofisticato ma realizzabile dimostra che concentrarsi su una minaccia può non essere sufficiente per rilevare o risolvere un attacco. Quando si tenta di classificare l’attacco in un’unica categoria, è possibile che si perda di vista il quadro generale e si sia quindi meno efficaci nella mitigazione. Anche se si interrompe l’attacco nel mezzo della catena, scoprire le fasi iniziali e finali è altrettanto importante per la protezione contro i tentativi futuri.

Sii curioso, sii creativo, collega le tue difese

Affrontare attacchi sofisticati basati sulle minacce sinergiche comporta la messa in discussione di ogni minaccia. E se l’attacco di ransomware fosse stato la minima parte di un’azione più grande? E se l’e-mail di phishing si trasforma in una tecnica per cui i dipendenti non sono addestrati? E se non riusciamo a comprendere l’obiettivo reale dell’attacco?

Tenere a mente queste domande non solo aiuta ad afferrare il quadro complessivo ma consente anche di sfruttare al meglio le soluzioni di sicurezza. Prevediamo che i malintenzionati aggiungano la sinergia ai loro attacchi, ma anche le difese informatiche possono lavorare in modo sinergico.

—German Lancioni e Carl Woodward

 

Uso di disinformazione dei social media, campagne di estorsione per sfidare i marchi dell’organizzazione da parte dei criminali informatici

Le elezioni sono state pilotate, le fake news dominano il panorama e i nostri follower sui social media sono bot controllati da governi stranieri. O per lo meno questa è l’impressione che si ha talvolta. Dire che in anni recenti le società di social media hanno vissuto momenti turbolenti è dire poco. Nel periodo recente si è instaurato un gioco del gatto e del topo con account automatici che vengono neutralizzati, tattiche degli avversari che si evolvono e account botnet che riappaiono con un aspetto assai più legittimo di quanto abbiano mai avuto. Per il 2019 prevediamo un incremento della disinformazione e delle campagne di estorsione tramite social media che si concentreranno sui marchi e prenderanno l’avvio non da personaggi di stati nazione ma da gruppi criminali.

Gli stati nazione sfruttano battaglioni di bot per distribuire messaggi o manipolare opinioni e la loro efficacia è sorprendente. I bot spesso assumono entrambi i punti di vista di un racconto per stimolare il dibattito ed è una tattica che funziona. Utilizzando un sistema di nodi di amplificazione, e testando i messaggi (inclusi gli hashtag) per determinare il tasso di successo, gli operatori dei botnet dimostrano una reale comprensione di come si può plasmare l’opinione pubblica su questioni fondamentali.

In un esempio, un account che aveva appena due settimane di vita e 279 follower, la maggior parte dei quali erano altri bot, ha avviato una campagna di molestie contro un’organizzazione. Tramite amplificazione, l’account ha generato altri 1500 follower in appena quattro settimane semplicemente twittando contenuti dannosi relativi a chi aveva preso di mira.

Le attività destinate a manipolare l’opinione pubblica sono state ampiamente documentate e i bot sono estremamente capaci di manipolare le conversazioni per indirizzare il raggiungimento di certi obiettivi. Il prossimo anno prevediamo che i criminali informatici recupereranno queste campagne per l’estorsione rivolta alle aziende prendendone di mira i marchi. Le organizzazioni hanno di fronte una seria minaccia.

—Raj Samani

 

Attacchi di esfiltrazione dei dati che puntano al cloud

Negli ultimi due anni, le aziende hanno diffusamente adottato il modello Software-as-a-Service, come Office 365, oltre ai modelli cloud Infrastructure-as-a-Service e Platform-as-a-Service, come AWS e Azure. Grazie a ciò, sono infinitamente di più i dati aziendali che risiedono oggi nel cloud. Nel 2019 prevediamo un aumento significativo negli attacchi che seguono i dati nel cloud.

Con l’incremento nell’adozione di Office 365, abbiamo notato un’impennata negli attacchi al servizio, specie nei tentativi di compromettere l’e-mail. Una minaccia scoperta dal team cloud McAfee ha interessato il botnet KnockKnock, che prendeva di mira gli account di sistema che in genere non disponevano dell’autenticazione a più fattori. Abbiamo osservato anche l’emergere di exploit del modello di fiducia relativo allo standard Open Authorization (OAuth). Uno di questi è stato lanciato da Fancy Bear, il gruppo di spionaggio informatico russo che ha inviato phishing agli utenti con un’app di sicurezza Google falsa per ottenere l’accesso ai loro dati.

Analogamente, negli ultimi due anni siamo stati testimoni di numerose violazioni dei dati di alto profilo attribuite a bucket Amazon S3 erroneamente configurati. Chiaramente la responsabilità non è di AWS. In base al modello di responsabilità condivisa, il cliente è costretto a configurare correttamente l’infrastruttura IaaS/PaaS e a proteggere adeguatamente i propri dati aziendali e l’accesso utente. A complicare la questione, molti di questi bucket erroneamente configurati sono di proprietà di fornitori nelle rispettive catene di distribuzione, anziché delle aziende target. Con l’accesso a migliaia di bucket aperti e di credenziali, i malintenzionati scelgono sempre più di frequente la via dei soldi facili.

McAfee ha rilevato che il 21% dei dati nel cloud è sensibile (ad es. la proprietà intellettuale e i dati del cliente e personali) in base al McAfee Cloud Adoption and Risk Report (Report McAfee sull’adozione e sui rischi del cloud). Con un incremento del 33% nella collaborazione degli utenti su questi dati nel corso dell’ultimo anno, i criminali informatici sanno come individuare altri bersagli:

  • Attacchi nativi del cloud che prendono di mira API deboli o endpoint API non governati per ottenere l’accesso ai dati nei carichi di lavoro serverless SaaS e PaaS.
  • Ricognizione espansa ed esfiltrazione dei dati nei database sul cloud (PaaS o applicazioni personalizzate distribuite in IaaS) che espandono il vettore di esfiltrazione S3 ai dati strutturati nei database o nei data lake.
  • Sfruttamento del cloud come trampolino di lancio per attacchi nativi del cloud man-in-the-middle (MITM) (come GhostWriter, che sfrutta i bucket S3 pubblicamente scrivibili introdotti a causa dell’errata configurazione dei clienti) per il lancio di attacchi di cryptojacking o di ransomware in altre varianti degli attacchi (MITM).

—Sekhar Sarukkai

Assistenti digitali a controllo vocale come il prossimo vettore nell’attacco ai dispositivi IoT

Mentre gli appassionati di tecnologia continuano a riempire le loro case con gadget intelligenti, dalle spine elettriche ai televisori, dalle caffettiere ai frigoriferi e ai sensori di movimento per l’illuminazione, i mezzi per ottenere l’accesso a una rete domestica stano rapidamente aumentando, specie se si considera la scarsa sicurezza di cui ancora godono molti dispositivi IoT.

Ma il vero segreto per accedere alla porta della rete il prossimo anno sarà l’assistente digitale a controllo vocale, un dispositivo creato in parte per gestire tutti i dispositivi IoT all’interno di una casa. Con l’aumento delle vendite, ed è assai probabile un’esplosione nell’adozione durante le festività natalizie, l’attrazione per i criminali informatici nell’uso degli assistenti per attaccare i dispositivi realmente interessanti su una rete non potrà che crescere.

Per ora, il mercato degli assistenti vocali sta appena prendendo forma, con molti marchi che tentano ancora di dominare il mercato, in vari modi, e non è dato sapere se sarà un solo dispositivo a diventare onnipresente. Se emergerà un dispositivo prevalente, le sue caratteristiche di sicurezza verranno rapidamente passate al microscopio dei media, anche se forse non prima che le preoccupazioni per la sicurezza siano state completamente esaminate in prosa.

(Lo scorso anno avevamo messo in evidenza la privacy come problema fondamentale per i dispositivi IoT domestici. La privacy continuerà a essere un problema, ma i criminali informatici si impegneranno con più dovizia nella creazione di botnet, nella richiesta di riscatti e nel minacciare la distruzione di beni sia aziendali che privati).

L’opportunità di poter controllare i dispositivi di una casa o di un ufficio non passerà inosservata ai criminali informatici, che si impegneranno in un genere di scrittura completamente diverso relativo al vincitore del mercato, sotto forma di codice dannoso progettato per aggredire non solo i dispositivi IoT ma anche gli assistenti digitali a cui viene dato tanto spazio per comunicare con loro.

Gli smartphone sono già stati presentati come la porta di accesso a una minaccia. Nel 2019 è assai possibile che diventino il grimaldello che apre una porta molto più grande. Abbiamo già visto due minacce che dimostrano ciò che i criminali informatici possono fare con i dispositivi non protetti con il botnet Mirai, che ha colpito per la prima volta nel 2016, e con IoT Reaper nel 2017. Questo malware IoT è comparso in molte varianti per aggredire i dispositivi collegati quali router, registratori video di rete e videocamere IP. Hanno ampliato la loro portata tramite il password cracking e lo sfruttamento delle vulnerabilità note per costruire reti di robot in tutto il mondo.

Il prossimo anno ci aspettiamo di vedere due vettori principali per l’attacco ai dispositivi IoT domestici: i router e gli smartphone/tablet. Il botnet Mirai ha dimostrato l’assenza di sicurezza nei router. Gli smartphone infetti, che possono già monitorare e controllare i dispositivi domestici, diventeranno uno degli obiettivi principali dei criminali informatici, che utilizzeranno le tecniche attuali e altre nuove per assumerne il controllo.

Gli autori del malware sfrutteranno smartphone e tablet, controller a cui già ci affidiamo, per tentare di assumere il controllo dei dispositivi IoT tramite il password cracking e lo sfruttamento delle vulnerabilità. Tali attacchi non sembreranno sospetti perché il traffico di rete proviene da un dispositivo affidabile. Il tasso di successo degli attacchi salirà e le rotte degli attacchi saranno più difficili da individuare. Uno smartphone infetto potrebbe essere la causa del prossimo esempio di hijacking delle impostazioni DNS su un router. Le vulnerabilità delle app mobile e cloud sono anche mature per essere sfruttate, con gli smartphone che diventano centrali nella strategia dei criminali.

I dispositivi IoT infetti forniscono botnet che possono lanciare attacchi DDoS, oltre a impadronirsi di dati personali. Il malware IoT più sofisticato può sfruttare gli assistenti digitali a controllo vocale per nascondere le proprie attività sospette dagli utenti e dal software di protezione della rete domestica. Le attività dannose come l’apertura delle porte e la connessione ai server di controllo potrebbero essere avviate dai comandi vocali dell’utente (“Riproduci musica” e “Che tempo fa oggi?”). A breve potremmo sentire i dispositivi IoT infetti stessi che esclamano: “Assistente! Apri la porta di servizio!”

—Lee Munson e Yukihiro Okutomi

 

I criminali informatici incrementeranno gli attacchi alle piattaforme dell’identità e ai dispositivi periferici sotto assedio

Le violazioni di dati su larga scala delle piattaforme dell’identità, che offrono autenticazione e autorizzazione centralizzate sicure di utenti, dispositivi e servizi su tutti gli ambienti IT, sono state ampiamente documentate nel 2018. Nel frattempo, i dati acquisiti vengono riutilizzati per causare ulteriori supplizi alle vittime. Nel 2019, prevediamo che le piattaforme di social media su larga scala implementeranno misure aggiuntive per tutelare le informazioni degli utenti. Tuttavia, man mano che il numero delle piattaforme cresce, prevediamo che i criminali concentreranno ulteriormente le loro risorse su tale attrattiva, gli ambienti ricchi di dati. La lotta tra i criminali e le piattaforme su larga scala sarà il prossimo grande campo di battaglia.

Triton, un malware che aggredisce i sistemi di controllo industriali (ICS), ha dimostrato le capacità degli avversari nel prendere di mira in remoto gli ambienti produttivi tramite i contigui ambienti IT. Le piattaforme dell’identità e le violazioni dei dispositivi periferici forniranno agli avversari il metodo per lanciare futuri attacchi ICS remoti a causa dell’uso di password statiche negli ambienti e nei dispositivi periferici vincolati, che non rispondono ai requisiti di sistema sicuri a causa dei limiti di progettazione. (Per dispositivo periferico si intende qualsiasi hardware o protocollo di sistema abilitato da una rete nell’ambito di un prodotto IoT.) Prevediamo che l’autenticazione a più fattori e le informazioni sull’identità diventeranno i metodi più efficaci per garantire sicurezza in questa battaglia di intensità crescente. Prevediamo anche che le informazioni sull’identità integreranno l’autenticazione a più fattori per rafforzare le capacità delle piattaforme dell’identità.

L’identità è un componente fondamentale nella protezione dell’IoT. In questo tipo di ecosistemi, i dispositivi e i servizi devono identificare in modo sicuro i dispositivi affidabili per poter ignorare tutto il resto. Il modello identitario è cambiato passando da utente-centrico nei sistemi IT tradizionali a macchina-centrico per i sistemi IoT. Sfortunatamente, a causa dell’integrazione della tecnologia operativa e della progettazione non sicura dei dispositivi periferici, il modello di affidabilità IoT si fonda su una base debole di affidabilità presunta e sulla sicurezza basata sul perimetro.

In occasione di Black Hat USA e DEFCON 2018, 30 conferenze hanno parlato dello sfruttamento dei dispositivi periferici IoT. Un sensibile incremento rispetto alle sole 19 conferenze sull’argomento nel 2017. Il maggiore interesse è stato prevalentemente in relazione ai settori ICS, consumer, medico e “smart city”. (Vedi figura 1.) I dispositivi periferici intelligenti, uniti alla connettività ad alta velocità, stanno abilitando gli ecosistemi IoT, ma la velocità della loro progressione sta compromettendo la sicurezza di questi sistemi.

Figura 1: il numero di sessioni di conferenza sulla sicurezza dei dispositivi IoT è aumentata e ha raggiunto quella rappresentata dalla minaccia in crescita per i dispositivi scarsamente protetti.

La maggior parte dei dispositivi periferici IoT non fornisce alcuna autodifesa (con l’isolamento predefinito di funzioni critiche, protezione della memoria, protezione del firmware, minori privilegi o sicurezza); pertanto un exploit vincente assicura il dominio del dispositivo. I dispositivi periferici IoT sono anche in balia degli attacchi “break once, run everywhere”, causati da componenti non protetti utilizzati su più tipi di dispositivi e più settori. (Consulta gli articoli su WingOS e reverse engineering.)

I tecnici del team McAfee Advanced Threat Research hanno dimostrato come sia possibile sfruttare i protocolli dei dispositivi medici per mettere a rischio la vita umana e compromettere la privacy dei pazienti a causa della fiducia presunta. Questi esempi illustrano solo alcuni dei molti possibili scenari che ci hanno portato a ritenere che gli avversari sceglieranno i dispositivi periferici IoT come percorso dalla minore resistenza per conseguire i propri obiettivi. Nell’ultimo decennio i server sono stati rinforzati, ma l’hardware IoT è ancora indietro. Comprendendo i motivi e le opportunità di un avversario (superficie di attacco e capacità di accesso), possiamo definire una serie di requisiti di sicurezza indipendenti da un vettore specifico.

La figura 2 fornisce un’analisi dettagliata dei tipi di vulnerabilità nei dispositivi periferici IoT ed evidenzia i punti deboli da risolvere tramite la creazione di funzionalità relative a identità e integrità nell’hardware periferico per garantire che tali dispositivi siano in grado di deviare gli attacchi.

Figura 2: i protocolli non sicuri sono la principale superficie di attacco nei dispositivi periferici IoT.

La sicurezza IoT deve iniziare nelle aree periferiche con un modello di affidabilità zero e fornire una radice di attendibilità hardware come componente essenziale per la protezione contro gli attacchi hack and shack e altre minacce. McAfee prevede un incremento nei compromessi sulle piattaforme dell’identità e sui dispositivi periferici IoT nel 2019 a causa dell’adozione di smart city e di maggiori attività ICS.

 

—Eoin Carroll

About the Author

McAfee Labs

McAfee Labs is one of the leading sources for threat research, threat intelligence, and cybersecurity thought leadership. See our blog for more information.

Read more posts from McAfee Labs

Categories: Italia

Leave a Reply

Your email address will not be published. Required fields are marked *

Subscribe to McAfee Securing Tomorrow Blogs