Cos’è il cybercrime, quali sono i principali attacchi e come difendersi

Alessandro Rubino

 

L’Italia sta prendendo sempre più cognizione della minaccia cyber. Vediamo da vicino cos’è il cybercrime e le misure operative atte a contrastarlo.

Da gennaio 2020 diverse organizzazioni, enti e società stanno subendo attacchi forse partiti dalla Cina, ma sarebbero coinvolte anche società statunitensi. Tra le più conosciute, la società Wind, dal quale attacco potrebbero derivare conseguenze nefaste. È stata sfruttata una vulnerabilità del sistema Microsoft Exchange legato agli indirizzi e-mail: “nonostante l’intervento di Microsoft, si sono intensificati. Brian Krebs, esperto di cybersicurezza, ha stimato assieme ad altre organizzazioni che i server compromessi sono circa 150mila in tutto il mondo. La Palo Alto Networks, stima che ancora oggi ci possano essere circa 125mila server vulnerabili in tutto il globo. Questo perché le patch Microsoft non sono state applicate.” 

Che cos’è il cybercrime

Nel linguaggio odierno, il cybercrime è un avvenimento suscettibile di studio accomunabile ai crimini riconosciuti dalla legge. È il reato nel quale la condotta o l’oggetto materiale del crimine sono connessi a un sistema informatico, e quindi finalizzato utilizzando tale sistema o colpendolo. La differenza sostanziale tra i reati considerati riconosciuti e il cybercrime sta quindi nell’utilizzo di sistemi informatici, mantenendo gli stessi schemi e le logiche criminali usuali implementate dalle skills tecnologiche e informatiche.

Le principali caratteristiche del cybercrime fanno leva sul concetto della vulnerabilità, rappresentata dalla debolezza dell’architettura software o delle reti utilizzata per avere l’accesso non autorizzato a sistemi ed ai dati

Le principali leve sono:

  1. vulnerabilità dei sistemi hardware e software
  2. vulnerabilità riconducibili al fattore umano

Le vulnerabilità rappresentano una minaccia per i dati allorquando esista un’entità, un attore che abbia intenzione, e quindi le abilità di sfruttare quella vulnerabilità per accedere ai dati.

Alcuni esempi di cybercrime sono:

  • Il furto d’identità
  • l’intrusione informatica
  • l’intercettazione non autorizzata ai flussi di comunicazione
  • l’alterazione dei dati eseguita mediante software malevolo
  • il furto lettura o copia non autorizzata di documenti
  • l’esaurimento delle risorse informatiche

L’incidente condotto dal cybercriminale mette quindi in pericolo le caratteristiche principali del dato che sono:

  • riservatezza;
  • integrità;
  • confidenzialità;

Al fine della protezione contro il cybercrime nasce la cybersecurity, che rappresenta l’insieme delle misure, articolate al fine di ridurre il rischio di perdita dei dati, e permettere che la disponibilità, integrità e confidenzialità dei dati vengano impattate negativamente dalle minacce incombenti.

Cybercrime: i vettori d’attacco

Tutte le minacce possono essere veicolate attraverso vettori di attacco divisi in varie categorie, che hanno come obiettivo comune il raggiungimento di cui all’esempio nel paragrafo precedente. Tra le principali categorie di vettori

1. Malware

Il malware è un software malevolo, un particolare codice, che danneggia il sistema informatico attraverso l’applicazione di moduli chiamati payloads sfruttando la vulnerabilità dei sistemi operativi, dei software applicativi e della rete.

Può essere insinuato nel sistema attraverso diverse tecniche, che vanno da quelle hardware, o esterne, attraverso chiavette Usb, coinvolgendo la componente umana, alle tecniche software che sfruttano le vulnerabilità di sistema.

Il malware rappresenta una macrocategoria di diversi vettori d’attacco:

Virus

Tra le principali sottocategorie troviamo quella dei virus, che risulta essere la forma più propagata di malware. Il virus, una volta eseguito, infetta i file copiandosi più volte grazie anche all’intervento umano.

Trojans

Un’ulteriore sottocategoria di malware sono i Trojans, che a differenza dei virus, cercano di camuffarsi in altri file che a prima vista sembrano innocui. Tra i trojans di spicco c’è il ransomware, un tipo di malware evoluto, che cifra tutti i dati dell’utente e delle macchine collegate in rete. Una volta cifrati i dati, il criminale chiede in cambio della chiave per decriptare un riscatto, premesso che pagando il ricatto non è detto che venga data la chiave. Ricordiamo Criptolocker, virus che ha messo in ginocchio una vasta categoria di utenti che da un’ora all’altra hanno perso completamente la disponibilità dei loro dati criptati dal criminale.

Worms

A differenza dei trojans e dei virus, tra le sottocategorie malware, il worm che è capace di replicarsi da solo senza l’intervento umano, il che rappresenta un grave pericolo se pensiamo ad un contesto di rete in cui più utenti sono collegati.

Spyware

Lo spyware è un particolare tipo di software che monitora le operazioni della macchina infetta, nascondendosi, e attendendo che vengano svolte azioni sulla macchina infetta, riferendo le informazioni recepita ad un terzo, l’attaccante.

Misure operative

Al fine di ridurre il rischio di attacco malware, sarà necessario per l’organizzazione dotarsi di misure di sicurezza su diversi piani.

Sul piano fisico sarà importante formare il personale al fine di proteggere fisicamente l’hardware di utilizzo, e di utilizzare quindi un sistema di cifratura.

Sul piano logico dotare la società di antivirus, antispyware, anti-malware, firewall, IDS o IPS, adoperare una tecnica di cifratura dei canali di trasmissione, monitorare le azioni rilevanti, effettuare un controllo degli accessi, e se possibile gestire un penetration test. Analizzato il perimetro locale un buon consiglio è quello di utilizzare un firewall a livello di rete ed un antivirus con capacità euristiche.

Sul piano d’impresa, conterà la formazione, in caso tutte le misure non siano sufficienti è consigliabile essere pronti con una procedura di incident response.

Il concetto di base è identificare le minacce una volta arrivate sul computer, tramite firewall prima che vengano salvate su disco, e tramite antivirus una volta che la memorizzazione sia avvenuta.

2. Password attacks, tecniche di cracking

Tra le principali categorie d’attacco, i password attacks, sono gli attacchi che puntano a scoprire le credenziali di accesso a servizi o risorse che l’utente utilizza.

I password attacks sono classificabili in

  • Attacco brute force

Basati sulla ricerca di credenziali attraverso l’attività computazionale della macchina dell’attaccante, il quale dedica tale macchina ad operare con opportuni tools, per diverso tempo, all’attività di provare tutte le possibili combinazioni delle credenziali attaccate, al fine di scoprirle ed entrare nei servizi o sistemi utilizzati dall’utente.

  • Dictionary attacks

Gli attacchi a dizionario, si differenziano dai brute force per la modalità d’attacco. Si basano su un vero e proprio dizionario, un database, pre-caricato costituito da parole chiave “papabili”, che possono essere acquistate anche nel darkweb, la famosa silkraw.

  • Rainbow table

L’attacco Rainbow table, differisce dal brute force, ma applica la stessa logica dell’attacco dictionary, e viene utilizzato quando le credenziali da craccare sono state sottoposte già a cifratura.

Questi tipi di vettore di attacco saranno impattanti sulla riservatezza dei dati.

Misure operative

Al fine di ridurre il rischio proveniente da questo tipo di attacco le azioni sono diverse.

In primo luogo sul piano organizzativo bisognerà formare il personale, educare gli end user alla sicurezza, nonché impedire fisicamente l’accesso ai sistemi server. Educarli all’utilizzo di strong password, e quindi creare una politica di strong password, così come implementare l’autenticazione a due fattori ove possibile.

Sul piano logico, per ridurre i rischi, sarà necessario effettuare un controllo sugli accessi ai sistemi, prevedere una password masking e quindi una crittografia.

3. Gli attacchi Ddos e DdosDistributed denial of service attacks

Questo tipo di attacco mira a interrompere l’operatività della macchina vittima. Utilizza un carattere connection oriented, a connessione orientata del protocollo di trasporto TCP per sovraccaricare a livello computazionale la vittima. Le conseguenze economiche per la vittima possono essere notevoli.

Gli attacchi Ddos possono essere classificati in quattro principali categorie:

  • attacchi che prendono di mira la connessione TCP, che puntano alla velocità, saturando la banda di comunicazione del sistema informativo, e rendendo impossibile l’accesso agli utenti.
  • attacchi volumetrici, in cui viene creato un volume di traffico enorme e ingestibile;
  • gli attacchi di frammentazione, che puntano a consumare le risorse di calcolo del sistema
  • attacchi operativi che puntano all’intera infrastruttura attaccando un programma indispensabile.

Ddos Distributed denial of service attacks

A differenza di quanto avviene nel caso di un DoS semplice, l’attacco denial of service parte da più computer e può avvenire a livello di rete, di applicazione o di una combinazione di entrambi. Normalmente per questi attacchi si impiegano delle cosiddette «reti bot», ovvero sistemi con errori che manipolati vengono indotti ad inviare risposte voluminose all’indirizzo “sbagliato” Questo tipo di attacco mira alla disponibilità del dato.

Misure Operative

Per questo tipo di attacco sarà necessario conoscere la propria infrastruttura, per individuarne le vulnerabilità, e quindi tener conto dei programmi utilizzati dall’azienda, si dovrebbe prevedere un IDS, e quindi prevedere un web application firewall o è possibile utilizzare firewall o ACL (Access Control List) per controllare il traffico che raggiunge le proprie applicazioni.

In ogni caso la cosa importante è cercare di limitare il campo d’azione dell’attaccante.

4. Cybercrime: la social engineering

La social engineering è una forma d’attacco, una metodologia che cerca di utilizzare più vettori d’attacco, al fine di ottenere informazioni sensibili e riservate, o allo scopo di ottenere l’accesso a sistemi, sia fisici che logici, sfruttando la tendenza umana ad agire sulla spinta emozionale.

Si sfrutta quindi la debolezza umana per ottenere informazioni e violare un sistema. Questo tipo di attacco può essere sfruttato sia in autonomia che come prodromo di attacchi più complessi formati da più vettori che nel tempo si insinuano nelle informazioni dell’utente e mirano all’ottenimento delle stesse.

Nella storia dell’hacking la social engineering è famosa sia per le truffe tecnologiche tanto in quelle normali.

Un esempio di social engineering è la chiamata di un finto operatore informatico che chiede con urgenza ad un soggetto di fornire le credenziali di accesso per problemi tecnici legati a qualche disservizio inesistente, e giocando sulla paura riesce ad ottenerle. Questo tipo di vettore è la truffa per eccellenza perpetrata sull’uomo, perché ne sfrutta le sue debolezze, e viene utilizzata dai criminali quando non riescono a superare le barriere tecnologiche perimetrali dell’organizzazione. Oltre alle tecniche tech e informatiche verranno messe in atto vere e proprie tecniche di attacco psicologico puntando su:

  • autorevolezza
  • senso di colpa
  • panico
  • ignoranza
  • desiderio
  • avidità
  • compassione

Le tecniche d’attacco sono svariate: dalla chiamata telefonica, all’utilizzo di mail, siti web, scenari creati al fine di far cadere la vittima nella truffa.

Tra le tecnologie presenti per la social engineering, ricordiamo Kali Linux, e S.E.T. il social engineering toolkit in linguaggio Python.

Il phishing

Una delle truffe di cybercrime presenti su internet è il phishing, che consiste nell’invio, da parte dell’attaccante, di diverse email a diverse vittime, provando a convincerle che le e-mail provengano da mittenti legittimi, in modo tale che questi siano convinte a seguire il link in essa presente, che ad esempio potrà reindirizzare su una pagina del tutto identica all’home banking, con un form da compilare, creata per rubare le credenziali, o per scaricare un malware.

Altra tecnica di phishing è lo spear phishing, che a differenza del primo vettore presentato, colpisce una determinata persona, che viene studiata per diverso tempo, che ricopre posizioni strategiche.

In ultimo il whaling, attacco nel quale l’hacker utilizza tecniche sofisticate di ingegneria sociale, e punta ad informazioni riservate, appartenenti a persone di alto profilo industriale e della finanza, non più un phishing di piccoli pesci ma un whaling di grandi pesci.

Misure operative

La principale contromisura contro la social engineering è di natura organizzativa: si tratta della formazione di se stessi e del personale al riconoscimento di tale minaccia, ed a gestire l’aspetto emozionale che è la principale vulnerabilità sui cui l’attaccante fa leva, della formazione sulla gestione corretta delle password, e sull’aggiornamento dei programmi nonché dei browser. Oltre a includere minimi sistemi di protezione sia perimetrale che della navigazione, della posta web, l’utilizzo di autenticazione a due fattori. Sarà necessario per l’organizzazione filtrare i siti sui quali si può navigare, impedire di scaricare applicazioni non autorizzate dal protocollo organizzativo. La social engineering, mira a colpire la riservatezza del dato.

 

 

 

 

 

 

 

Lascia un commento