Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet


Come possiamo generare fiducia nelle tecnologie che offriamo in qualità di produttore? Questa domanda è indubbiamente una delle preoccupazioni chiave che meritano attenzione e tuttavia se ne discute ben poco tra le aziende che sviluppano e producono soluzioni per la cybersecurity. E’ necesario analizzare in dettaglio l’argomento per comprenderne le sue implicazioni strategiche.

Comprendere il contesto generale

Gli eventi recenti hanno mostrato che non appena sorge il minimo dubbio sull’efficacia e l’affidabilità delle soluzioni di sicurezza queste vengono messe immediatamente in discussione. Ad esempio, il caso Snowden ha rivelato al mondo l’esistenza del catalogo ANT della NSA e quindi l’utilizzo di backdoor o altri strumenti inseriti nelle soluzioni per la sicurezza perimetrale al fine di proteggere e tutelare gli interessi degli Stati Uniti. Pur non sorprendendo nessuno, questa informazione è stata resa di pubblico dominio.

Matthieu Bonenfant, Chief Marketing Officer – ‎Stormshield

Ovviamente queste backdoor potrebbero essere state implementate goffamente per ragioni tecniche o in relazione a vulnerabilità 0-day. Molti dei produttori coinvolti hanno più volte ribadito che non hanno indebolito le proprie soluzioni deliberatamente. “Non mi permetto di giudicare questa affermazione, non è il mio lavoro”, commenta Matthieu BONENFANT, Chief Marketing Officer di Stormshield, “tuttavia, al di là del potenziale impatto sulla sovranità dei Paesi terzi che adottano queste soluzioni, le backdoor possono avere altre conseguenze drammatiche”. Basti pensare agli effetti disastrosi del leak svelato da Shadow Brokers, che segnalava numerose vulnerabilità di MS Windows utilizzate dalla NSA come backdoor. Wannacry, NotPetya, e – più recentemente – il ransomware Bad Rabbit si sono diffusi con estrema rapidità proprio grazie a questo tipo di falle.

“A mio avviso questa situazione mette in luce una delle maggiori sfide con cui i vendor di sicurezza devono confrontarsi”, chiosa Bonenfant. “Le nostre tecnologie manipolano e ispezionano file riservati, processano e archiviano dati personali, cifrano informazioni sensibili, accedono a risorse il cui uso è regolato, gestiscono identità digitali, analizzano il traffico ed il suo comportamento e molto altro”. Come garantire quindi ai clienti e all’ecosistema che queste attività sono affidabili? Come rispettare la sovranità sul dato alla luce di tutte le tensioni geopolitiche? Il fatto che la digital economy fiorisca esclusivamente in un clima di fiducia è risaputo, ma molte di queste domande ad oggi non trovano risposta.

Per i produttori di soluzioni per la sicurezza perimetrale, questa domanda è vitale considerando che la cifratura del traffico è una delle colonne portanti di un account digitale affidabile. Secondo Gartner, entro il 2019 l’80% del traffico generato dalle aziende sul web sarà cifrato, una buona notizia. Questo significa però che un numero crescente di attacchi e applicazioni malevole (ransomware incluso) si celeranno dietro al traffico HTTPS per nascondere l’infezione iniziale e prendere il controllo delle comunicazioni. Alla luce di ciò, Gartner raccomanda che le aziende e le organizzazioni formalizzino un piano pluriennale per l’implementazione di soluzioni e programmi per la decodifica e l’ispezione del flusso di dati HTTPS. La tecnica di ispezione di SSL si basa per lo più sul metodo “man-in-the-middle”, che inevitabilmente crea una falla nello scambio di comunicazioni cifrate. Una debolezza nel prodotto che conduce la decodifica e l’ispezione del traffico SSL può quindi far collassare l’intera catena di fiducia.

Potenziali soluzioni

Prima di tutto, possiamo fare affidamento sui test condotti da aziende esterne specializzate nella valutazione delle tecnologie di sicurezza, decisamente in grado di giudicare l’efficacia dei meccanismi di protezione. Tuttavia questi test, che tra l’altro non sono particolarmente a buon mercato, non si focalizzano in realtà sul design della soluzione di sicurezza in sè.

E’ altrettanto possibile fare affidamento sulle linee guida dettate dai Common Criteria, adottate da 26 Paesi. In questo caso però il produttore di soluzioni di sicurezza è colui che definisce lo spettro di valutazione, chiamato “obiettivo di sicurezza”, che può quindi essere limitato ad una piccola parte del software analizzato. Sfortunatamente solo in alcuni Paesi si misura l’importanza e si valuta la rilevanza dell’obiettivo prefissato. Per farla breve, i clienti fanno fatica a seguire il numero crescente di livelli certificazione (EAL) di Common Criteria.

Ci sono anche numerosi programmi che incentivano la ricerca di “bug”, software di analisi del codice statico o audit indipendenti volti a rilevare e correggere eventuali vulnerabilità. Queste iniziative migliorano effettivamente la sicurezza della tecnologia, a volte anche già in fase di design, tuttavia è difficile presentarle agli utenti come garanzia di affidabilità.

Infine, le certificazioni ufficiali svolgono un ruolo importante. Ad esempio in Francia, la ANSSI (l’agenzia nazionale per la sicurezza informatica) valuta il livello di affidabilità dei prodotti di sicurezza utilizzando un framework di qualificazione specifico, che è un’estensione dei principi Common Criteria. Questo framework definisce tre livelli di qualificazione basati su obiettivi di sicurezza predefiniti. Di conseguenza sono più facili da comprendere. A seconda del livello di qualificazione, si conduce una revisione indipendente del codice sulle componenti ritenute essenziali per la sicurezza, come la cifratura. Vengono analizzate anche le potenziali vulnerabilità, insieme all’ambiente fisico di sviluppo. Questo metodo fornisce la prova che i prodotti siano robusti e che non vi siano vulnerabilità sfruttabili come backdoor.

E’ necessario un framework ominivalente

Il fatto che questo framework di qualificazione sia riconosciuto esclusivamente in Francia rappresenta un problema. Ad esempio Germania e Regno Unito dispongono di un proprio framework, creato rispettivamente dal BSI (ufficio federale per la sicurezza informatica) e dal NCSC (centro nazionale per la cybersicurezza). La situazione attuale, sic stantibus, non è nè scalabile né economicamente accettabile per la maggior parte dei produttori, dato che dovrebbero far certificare i prodotti in ogni Paese. Per poter dar vita ad un unico mercato digitale in Europa, che alimenti la fiducia e assicuri la sovranità dei Paesi europei, è necessario implementare certificazioni riconosciute in tutti gli Stati membri. La commissione europea sembra aver compreso il messaggio, ha difatti lanciato di recente un’iniziativa atta a creare un framework europeo di certificazione. Questa misura costituirà un enorme passo avanti, sempre che il nuovo framework si basi sull’esperienza e sui criteri di valutazione dei Paesi che già sanno esattamente cosa fare e non indebolisca i criteri di qualificazione per far posto a chi è rimasto indietro.

La luce alla fine del tunnel

Alla fine un framework che instilli fiducia nelle tecnologie di sicurezza si svilupperà inevitabilmente attraverso una miglior collaborazione e cooperazione di tutti gli interessati nell’ecosistema cyber. Uno scambio costante tra il settore pubblico e privato, la costituzione di alleanze tra i produttori di soluzioni di cybersecurity, il coinvolgimento dei clienti nel processo di sviluppo (p.es. design collaborativo) aumenteranno senza dubbio l’affidabilità e l’efficacia dei dispositivi di sicurezza.

Continua a leggere

WannaCry ovvero “ritorno al futuro”


Il nostro universo interconnesso sta vivendo una crisi importante dovuta all’ormai sensazionalistico ransomware WannaCry, aka WannaCrypt, WanaCrypt0r o WCry, diffusosi a macchia d’olio in pochissimo tempo con modalità che richiamano alla memoria un passato non proprio recente. Matthieu Bonenfant, Chief Marketing Officer, Stormshield, condivide le sue riflessioni.

Assediate da tempo dalla minaccia del ransomware, molte organizzazioni sono riuscite a volare sotto i radar dei cybercriminali mentre altre hanno adottato misure preventive incrementando la consapevolezza degli utenti e impiegando tecnologie di nuova generazione per la propria sicurezza. Tuttavia WannaCry è parso a tutti dotato di una “nuova arma” che ne incrementa a dismisura la potenziale diffusione e il danno cagionato.  Una volta infettato un singolo sitema tramite – per esempio – l’apertura di un allegato, questo malware di nuova generazione è in grado di diffondersi automaticamente in modo del tutto trasparente senza intervento umano, replicandosi quasi istantaneamente su tutte le macchine insufficientemente protette nella rete aziendale. Ma è davvero così?

Quindi qual è la novità? In realtà nessuna, sfortunatamente.

La situazione attuale dà adito a parallelismi con un’esperienza altrettanto caotica del passato. Circa 10 anni fa il worm Conficker obbligò numerose aziende e organizzazioni a disattivare le proprie reti informatiche, chiudere temporaneamente punti di vendita, interrompere catene logistiche, persino l’areonautica militare subì blocchi operativi. Questo worm, che continuava ad assumere nuove forme, si è diffuso in un lampo e ha infettato milioni di sistemi in tutto il mondo. A quei tempi liberarsi dal worm richiese sforzi enormi in termini monetari, di energie, risorse e tempo. Alla fine di questa battaglia, le aziende colpite erano così traumatizzate da essere determinate a non rivivere mai più un’esperienza del genere. “Mai più” è diventato il mantra di un congruo numero di responsabili IT che avevano finalmente fatto esperienza dell’impatto dei rischi informatici sulle proprie attività aziendali.

Ed eccoci qui, dieci anni dopo.  Potremmo dire che è cambiato ben poco da allora, dato che la stessa ricetta ha dimostrato la stessa efficacia dieci anni dopo. Conficker e WannaCry usano lo stesso metodo di propagazione: sfruttano da remoto una vulnerabilità critica di Microsoft attraverso i servizi SMB e NetBIOS. In entrambi i casi, la patch era disponibile mesi prima che il malware fosse lanciato. Dieci anni dopo la stessa tecnica continua a creare subbuglio nelle aziende. Purtroppo non risulta esistere un grafico simile a quello del maggio 2017 prodotto dal SANS Internet Storm Center sull’uso via internet della porta SMB (TCP/445), ma anche allora gli strumenti per il monitoraggio del traffico mostravano un picco simile durante la fase di propagazione di Conficker.

Il picco di utilizzo della porta SMB (TCP/445) durante la propagazione del malware WannaCrypt (maggio 2017).

Gli strumenti che avrebbero cambiato completamente il corso della storia

La cosa più spiacevole nel caso di WannaCry è che la situazione avrebbe potuto essere facilmente evitata o quanto meno ampiamente mitigata: due mesi fa Microsoft ha rilasciato una patch di sicurezza per la vulnerabilità del servizio SMB sfruttata per la diffusione del malware. Molti esperti avevano emesso avvisi riguardo alla criticità di tale falla, riferendosi esplicitamente a Conficker.

Un mese dopo, il gruppo di hacker noti come Shadow Brokers ha persino diffuso il codice rubato alla NSA che sfruttava questa vulnerabilità. Un’informazione passata in sordina e nota ai più solo ora che l’attacco è in corso è oggetto dell’interesse dei media.

Le aziende e le organizzazioni hanno avuto un ampio lasso di tempo per applicare la patch o la soluzione che avrebbe relegato WannaCry al rango di “semplice” ransomware, come tutti quelli con cui noi, quale produttore di soluzioni per la sicurezza IT, ci confrontiamo quotidianamente.

Oltre ad applicare tempestivamente le patch di sicurezza, tecnologie come quelle presenti in Stormshield Endpoint Security basate sull’analisi comportamentale e non sulle mere signature, assicurano una risposta reale a minacce simili a WannaCry, bloccando lo sfruttamento di vulnerabilità anche qualora non siano note o prevenendo azioni malevole, come la cifratura illegittima dei file. Una soluzione che protegge egregiamente anche sistemi basati su Windows XP o Windows 2000, spesso ancora impiegati in infrastrutture critiche, che necessitano di speciali attenzioni.

Conclusioni

Come Conficker, anche WannaCry ha dimostrato che una maggiore consapevolezza dei rischi informatici, adatte misure per la mitigazione di tali rischi e un’applicazione tempestiva delle patch di sicurezza prodotte dai vendor sono sicuramente lo strumento migliore per evitare di incappare ciclicamente negli stessi problemi. Non resta che da chiedersi se “repetita juvant”.

Sarà un lunedì nero? Considerazioni sul ransomware “WannaCry”


Dopo solo tre ore dall’inizio della diffusione di massa “WannaCry” ha mietuto numerosissime vittime in 11 Paesi. Gli effetti sono stati tali da spingere le organizzazioni colpite a richiedere l’immediato spegnimento di tutti i computer. G DATA raccomanda fortemente di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

Un fulmine a ciel sereno

Nelle prime ore del mattino (CET) di venerdì 12 maggio in tutto il mondo si è rilevata un’ondata considerevole di infezioni ad opera dell’ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l’origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l’obiettivo di distribuire il ransomware attraverso i più svariati canali.

Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L’exploit è chiamato ETERNALBLUE ed è parte dei file diffusi pubblicamente lo scorso mese.

In Spagna, presso l’operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.

(Immagine: Martin Wiesner via Twitter, stazione di Neustadt)

 

Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.

Infezione rallentata, l’eroe accidentale di WannaCry

Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un’infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.

Contromisure

La falla di sicurezza che ha aperto la strada all’infezione e che trova riscontro anche nel CVE è stata identificata come “critica” e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell’ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003, microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.

A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto. E’ inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.

I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

Continua a leggere

Il cloud e i servizi erogati in hosting sono sufficientemente sicuri per l’impiego aziendale?


3cx-logo-high-resolution-1024x372Le rigide normative UE in materia di protezione dei dati assicurano ai produttori e provider europei un notevole vantaggio competitivo, considerando che negli Stati Uniti, prove sull’esistenza di specifici programmi della NSA danno adito all’ipotesi che i produttori di piattaforme cloud e i provider di servizi di hosting siano pagati dal governo per garantire un accesso “di sicurezza” ai dati. 3CX ha dotato il proprio Cloud Server di numerosi protocolli di sicurezza “silenziosi”: gli hacker non sanno neanche di essere stati bloccati o inseriti nella black list. 

Modena – Edward Snowden, persona dietro alla fuga di documenti di stato americani segretati avvenuta nel 2013, le cui rivelazioni sulle attività della NSA hanno alimentato, come mai prima, innumerevoli dibattiti sulla garanzia di riservatezza delle informazioni, è uno dei relatori speciali del WHD.global partner summit (WorldHostingDays – 24/26 marzo 2015) che avrà luogo a Rust, in Germania presso il ben noto Europa Park. Snowden sarà affiancato da Sarah Harrison, una delle confidenti più fidate del fondatore di WikiLeaks Julian Assange. Sarah, presente di persona all’evento, e Edward, che vi si unirà attraverso in un collegamento video in diretta, risponderanno alle domande sul futuro di Internet e su come i provider di piattaforme cloud e servizi di hosting dovrebbero gestire i problemi di spionaggio legati agli scandali che hanno coinvolto la NSA.

Oltre a Edward Snowden e Sarah Harrison, al WHD.global 2015 saranno presenti molti relatori appartenenti ad aziende leader di settore quali: Steve Wozniak co-fondatore di Apple e Eugene Kaspersky, CEO di Kaspersky LAB, che forniranno al pubblico idee e argomenti su come l’industria può superare tali ostacoli. Chiaramente, la risoluzione dei dubbi esistenti e delle paure provocate dagli scandali politici sarà – nel lungo periodo – determinante per il successo del cloud e delle tecnologie di hosting nel panorama informatico.

Teoricamente, le aziende di qualsivoglia dimensione opterebbero per un uso del cloud e dei servizi di hosting per molte componenti dell’infrastruttura IT. Insieme ai numerosi vantaggi in termini di amministrazione dei sistemi, tale opzione assicura anche una significativa riduzione dei costi che, in un mercato globalizzato e altamente competitivo come quello odierno, risulta essere di fondamentale importanza per il successo di qualsivoglia organizzazione. Gli sviluppatori di prodotti e servizi cloud / hosting devono mostrare spirito d’iniziativa e agire consapevolmente su due livelli. In primis dovranno tener conto delle norme e degli standard di sicurezza sin dall’inizio delle attività di sviluppo del prodotto. I protagonisti del mercato del cloud non dovrebbero ignorare l’attuale protesta degli utenti finali in merito al livello di sicurezza garantito. In secondo luogo, oltre alle responsabilità tecniche, le organizzazioni coinvolte in queste tecnologie sono chiamate ad agire come bacino di informazioni. Il pubblico, ossia tutti i potenziali clienti, ha bisogno di essere istruito sugli standard di sicurezza impiegati per riacquistare fiducia verso una tecnologia che ha il potenziale per cambiare in positivo molti ambiti dell’industria dell’IT, portando il gioco al prossimo livello.

I legislatori europei sono i precursori: hanno già introdotto rigide normative comunitarie in materia di protezione dei dati, norme che rappresentano un notevole vantaggio competitivo per tutti i produttori europei, laddove invece negli Stati Uniti, voci e prove sull’esistenza di specifici budget danno adito all’ipotesi che i produttori di piattaforme cloud e i provider di servizi di hosting siano pagati dal governo per garantire un accesso “di sicurezza” ai dati.

I servizi di cloud e hosting possono risultare particolarmente vantaggiosi per il mercato delle telecomunicazioni per il trasporto di dati e voce. Dall’inizio delle proprie attività nel 2005, 3CX ha conquistato il mercato dei centralini IP dando vita ad uno dei migliori prodotti della categoria, una soluzione software basata su Windows, di facile configurazione e adatta ad aziende di tutte le dimensioni, che ha sorpassato rapidamente tutti i PBX “fai-da-te” basati su Asterisk presenti sul mercato.

Nick Galea, CCEO,, 33CCX

Nick Galea, CCEO,, 33CCX

Il CEO e fondatore, Nick Galea e il suo team sono votati all’innovazione e come tali pionieri nell’adozione della tecnologia Google WebRTC. Il recente lancio del 3CX WebMeeting posiziona 3CX come uno dei primi produttori di soluzioni UC ad integrare nel proprio centralino IP una soluzione per le videoconferenze che non necessita di alcun plug-in o client ed è gratuita.

Per proteggere il 3CX Phone System da hacker e attacchi, 3CX utilizza una serie di protocolli di sicurezza:
• I siti web sono protetti con il prodocollo https che crittografa tutti i dati
• Le conversazioni sono protette grazie all’uso del protocollo SIP/TLS al posto del mero protocollo SIP
• Il protocollo SRTP assicura la cifratura dei dati vocali

Inoltre, 3CX blocca i ladri di password aggiungendoli “silenziosamente” alla lista interna di blocco anti hacking e ad una lista nera di indirizzi IP: gli hacker non sanno neanche di essere stati bloccati o inseriti nella black list. Su una scala più ampia, è persino possibile negare a qualsiasi prefisso nazionale i diritti di comunicazione con il centralino 3CX. L’elenco dei prefissi nazionali ammessi rappresenta un ulteriore strumento di prevenzione contro gli attacchi provenienti da Paesi in cui i ladri di dati si sentono particolarmente a proprio agio.

L’enorme crescita dell’industria delle comunicazioni via cloud ha inoltre indotto l’azienda a produrre una propria soluzione: il 3CX Cloud Server. La richiesta di centralini IP basati su cloud è in costante crescita, purtroppo però molti PBX virtuali esistenti erogano solo funzionalità di base e gli operatori che li commercializzano tendono a prendere il controllo dei clienti e dei loro dati, rendendo il rivenditore schiavo delle procedure di assistenza e del controllo qualità dell’operatore. Un modello potenzialmente fallimentare per clienti e rivenditori.

Il 3CX Cloud Server è diverso: è dislocato presso un partner certificato 3CX e sviluppato ad hoc per ospitare il 3CX Phone System dei clienti di tale partner. I clienti non devono accontentarsi della versione ridotta di un centralino con funzionalità di base, bensì beneficiano di una versione interamente virtualizzata del 3CX Phone System e quindi di tutte le funzioni avanzate per cui il 3CX è apprezzato. 3CX Cloud Server è una vera soluzione per le comunicazioni unificate, dotata delle caratteristiche di un centralino professionale di fascia alta e supportata da un marchio di portata globale.

Ma non è tutto. 3CX intende mettere a disposizione nel prossimo futuro un proprio servizio di hosting, rispondendo concretamente all’esigenza di standard di sicurezza ancora più elevati, dove anche il controllo di qualità e tutte le procedure di assistenza siano gestite internamente, riducendo ancor di più il rischio di una violazione dei dati da parte di terzi. Agendo direttamente come fornitore di servizi di hosting, i clienti potranno anche fruire di condizioni commerciali interessanti.

Nick Galea, CEO di 3CX, sarà presente al WHD.global 2015, la società è accreditata come Gold Partner della manifestazione annuale. Le piattaforme cloud e i servizi di hosting sono innovazioni rilevanti a livello finanziario. Tutti si aspettano che le migliori menti del mondo IT continuino a sviluppare i protocolli di sicurezza necessari per azzerare le grandi incertezze del passato.

Continua a leggere