IL RAPPORTO
Dalla Cina attacchi "invisibili"
"Migliaia di aziende Usa spiate"
Sconcertante relazione di un'azienda di sicurezza informatica americana. I cyberattacchi provenienti dal territorio cinese riguardano una miriade di aziende e istituzioni. Usano una nuova tecnica, difficile da combattere. "È spionaggio industriale"di TIZIANO TONIUTTI
NON c'è solo Google nel mirino degli hacker. Dopo la guerra-lampo tra l'azienda di Mountain View e il governo cinese, di cui il colosso del web denunciava gli attacchi informatici verso i propri server, arriva un rapporto da Mandiant, un'azienda statunitense che opera nel campo della sicurezza informatica forense. Un documento che - come riporta Wired - fa sobbalzare sulla sedia perché individua e mette in luce tre dati significativi. Eccoli:
Primo elemento. Le aziende (americane) sotto attacco informatico da parte di hacker asiatici non sono una o due e nemmeno cinquanta. Si tratterebbe di migliaia di imprese e istituzioni, tra queste anche diverse adette alla sicurezza nazionale.
Secondo elemento. A quanto dichiara Mandiant, che ha illustrato il suo report a una conferenza sul cyber-crimine sponsorizzata dal dipartimento della Difesa americano, siamo di fronte a una nuova forma di attacco informatico. Non più una semplice intrusione per carpire dati, ma un tipo di infiltrazione a lunga permanenza, che Mandiant chiama APT: Advanced Persistent Threat, ovvero minaccia avanzata e persistente.
Terzo elemento. Gli attacchi Apt aprono il campo a forme di phishing interno e sofisticato, quasi impossibili da individuare una volta che il codice malevolo agisce a regime. Gli intrusi possono così trafugare documenti e informazioni attraverso le password autentiche dei sistemi infiltrati, e prelevare dati in forma di file completi (Word, Powerpoint, Acrobat). Un sistema di compressione ben fatto compatta e spezzetta i dati in più mini-archivi, che viaggiano all'interno del network praticamente inosservati. Per farli uscire, si utilizzano trucchetti sulle porte e falsi "header" dei file, che i sistemi anti-intrusione fanno passare tranquillamente. Uno dei punti più deboli nella sicurezza delle reti è spesso lo scarso o inefficace monitoraggio del traffico interno e di quello in uscita. La stragrande maggioranza delle risorse va all'analisi del traffico in ingresso.
Spionaggio sofisticato. Mandiant ha analizzato praticamente tutti i più importanti attacchi informatici degli ultimi tempi, tra cui quelli alla Heartland Payment Systems e RBS Worldpay. E il report specifica bene che il tipo di aggressione subita da queste aziende è significativamente diverso rispetto a quelli riservati a Google e ad altre reti negli ultimi tempi. Non più attacchi basati sul'accesso ai database per ottenere dati sensibili e rubare le identità: nel mirino degli attacchi Apt ci sono file e documenti tout court, da rubare e da portare fuori. Spionaggio puro che individua una strategia precisa dietro l'interesse verso determinati obbiettivi.
"Ecco le prove". La natura degli attacchi Apt è profondamente diversa e per definizione residente. Mandiant dichiara di aver trovato all'interno di una sola rete più intrusi Apt, ognuno intento a trafugare dati per conto suo e per diversi utilizzatori finali. E le aziende/istituzioni sono reticenti nel dichiarare di essere state colpite (Google in questo specifico caso è l'unica eccezione). Peraltro l'intrusione Apt avviene spesso in modo banale, attraverso vulnerabilità degli strumenti di Office, Internet Explorer, Acrobat e i più comuni programmi da ufficio. Nel caso di Google è bastata una email-tranello che utilizzava un buco in Explorer 6, non dichiarato pubblicamente da Microsoft.
Google chiede aiuto alla Nsa. Il motore di ricerca avrebbe già attuato una contromossa con un accordo con la Nsa, l'agenzia americana per la sicurezza nazionale. Un atto quasi dovuto dopo la denuncia da parte di Big G di un attacco informatico senza precedenti da parte della Cina. Scopo dell'accordo è mettere al sicuro Google e i suoi utenti da future intrusioni. Secondo alcune fonti, l'alleanza di Google con la Nsa, la più potente organizzazione di controllo elettronico, avrebbe lo scopo di consentire alle due parti di condividere informazioni cruciali senza violare le linee di condotta di Google o le leggi che proteggono la privacy nelle comunicazioni online. In base all'accordo, la Nsa non potrebbe vedere le ricerche degli utenti o gli account di posta elettronica, hanno detto le fonti. Google inoltre non condividerebbe dati di proprietà con la Nsa.
"Dati trafugati verso la Cina". Uno dei punti chiave nell'analisi di Mandiant è che il traffico dei dati trafugati, una volta sottratti, si direziona inequivocabilmente verso indirizzi internet in Cina. L'azienda rivela che gran parte degli istituti legali coinvolti nella gestione di affari con la Cina come l'acquisto di azende, ha subito attacchi informatici Apt. Porre rimedio non è semplice e attualmente i sistemi noti sono inefficaci. A volte il codice Apt rimane "dormiente" anche per lunghi periodi, un anno ad esempio. E anche individuando la minaccia e rimuovendo dalla rete le macchine interessate, non vi è alcuna garanzia di aver respinto l'attacco. Che l'antivirus aggiornato riesca a individuare la minaccia di un malware sulla rete aziendale non significa necessariamente aver stroncato l'attacco. Nel frattempo gli hacker hanno già raffinato le loro tecniche di infiltrazione e probabilmente hanno già depositato, in poco tempo, nuovo software malevolo. La realtà ha insomma una tr
Primo elemento. Le aziende (americane) sotto attacco informatico da parte di hacker asiatici non sono una o due e nemmeno cinquanta. Si tratterebbe di migliaia di imprese e istituzioni, tra queste anche diverse adette alla sicurezza nazionale.
Secondo elemento. A quanto dichiara Mandiant, che ha illustrato il suo report a una conferenza sul cyber-crimine sponsorizzata dal dipartimento della Difesa americano, siamo di fronte a una nuova forma di attacco informatico. Non più una semplice intrusione per carpire dati, ma un tipo di infiltrazione a lunga permanenza, che Mandiant chiama APT: Advanced Persistent Threat, ovvero minaccia avanzata e persistente.
Terzo elemento. Gli attacchi Apt aprono il campo a forme di phishing interno e sofisticato, quasi impossibili da individuare una volta che il codice malevolo agisce a regime. Gli intrusi possono così trafugare documenti e informazioni attraverso le password autentiche dei sistemi infiltrati, e prelevare dati in forma di file completi (Word, Powerpoint, Acrobat). Un sistema di compressione ben fatto compatta e spezzetta i dati in più mini-archivi, che viaggiano all'interno del network praticamente inosservati. Per farli uscire, si utilizzano trucchetti sulle porte e falsi "header" dei file, che i sistemi anti-intrusione fanno passare tranquillamente. Uno dei punti più deboli nella sicurezza delle reti è spesso lo scarso o inefficace monitoraggio del traffico interno e di quello in uscita. La stragrande maggioranza delle risorse va all'analisi del traffico in ingresso.
Spionaggio sofisticato. Mandiant ha analizzato praticamente tutti i più importanti attacchi informatici degli ultimi tempi, tra cui quelli alla Heartland Payment Systems e RBS Worldpay. E il report specifica bene che il tipo di aggressione subita da queste aziende è significativamente diverso rispetto a quelli riservati a Google e ad altre reti negli ultimi tempi. Non più attacchi basati sul'accesso ai database per ottenere dati sensibili e rubare le identità: nel mirino degli attacchi Apt ci sono file e documenti tout court, da rubare e da portare fuori. Spionaggio puro che individua una strategia precisa dietro l'interesse verso determinati obbiettivi.
"Ecco le prove". La natura degli attacchi Apt è profondamente diversa e per definizione residente. Mandiant dichiara di aver trovato all'interno di una sola rete più intrusi Apt, ognuno intento a trafugare dati per conto suo e per diversi utilizzatori finali. E le aziende/istituzioni sono reticenti nel dichiarare di essere state colpite (Google in questo specifico caso è l'unica eccezione). Peraltro l'intrusione Apt avviene spesso in modo banale, attraverso vulnerabilità degli strumenti di Office, Internet Explorer, Acrobat e i più comuni programmi da ufficio. Nel caso di Google è bastata una email-tranello che utilizzava un buco in Explorer 6, non dichiarato pubblicamente da Microsoft.
Google chiede aiuto alla Nsa. Il motore di ricerca avrebbe già attuato una contromossa con un accordo con la Nsa, l'agenzia americana per la sicurezza nazionale. Un atto quasi dovuto dopo la denuncia da parte di Big G di un attacco informatico senza precedenti da parte della Cina. Scopo dell'accordo è mettere al sicuro Google e i suoi utenti da future intrusioni. Secondo alcune fonti, l'alleanza di Google con la Nsa, la più potente organizzazione di controllo elettronico, avrebbe lo scopo di consentire alle due parti di condividere informazioni cruciali senza violare le linee di condotta di Google o le leggi che proteggono la privacy nelle comunicazioni online. In base all'accordo, la Nsa non potrebbe vedere le ricerche degli utenti o gli account di posta elettronica, hanno detto le fonti. Google inoltre non condividerebbe dati di proprietà con la Nsa.
"Dati trafugati verso la Cina". Uno dei punti chiave nell'analisi di Mandiant è che il traffico dei dati trafugati, una volta sottratti, si direziona inequivocabilmente verso indirizzi internet in Cina. L'azienda rivela che gran parte degli istituti legali coinvolti nella gestione di affari con la Cina come l'acquisto di azende, ha subito attacchi informatici Apt. Porre rimedio non è semplice e attualmente i sistemi noti sono inefficaci. A volte il codice Apt rimane "dormiente" anche per lunghi periodi, un anno ad esempio. E anche individuando la minaccia e rimuovendo dalla rete le macchine interessate, non vi è alcuna garanzia di aver respinto l'attacco. Che l'antivirus aggiornato riesca a individuare la minaccia di un malware sulla rete aziendale non significa necessariamente aver stroncato l'attacco. Nel frattempo gli hacker hanno già raffinato le loro tecniche di infiltrazione e probabilmente hanno già depositato, in poco tempo, nuovo software malevolo. La realtà ha insomma una tr
Nessun commento:
Posta un commento