Sicuri di essere al sicuro? ECSM, un mese dedicato dall’Europa alla cyber-prevenzione

Siamo nel mese europeo della sicurezza informatica, l’European Cyber Security Month (ECSM), ovvero quel mese dedicato alla campagna di sensibilizzazione annuale della UE con iniziative in tutta Europa, che ha per obiettivo l’aumento della consapevolezza delle minacce alla sicurezza informatica, la promozione della sicurezza informatica tra cittadini e organizzazioni e l’orientamento verso le risorse capaci di proteggere l’utente online ovvero l’istruzione e la condivisione di buone pratiche.

Sul sito ECSM sono presenti tutti gli eventi disponibili per ogni Paese, ma in generale selezionando il range di date di interesse e la nazione è possibile recuperare eventi di sicurezza in ogni momento dell’anno: purché gli organizzatori lo abbiano registrato nel sistema. In Italia sono previsti oltre 50 eventi e la partenza è stata data a Verona con uno degli eventi CLUSIT, l’Associazione italiana per la sicurezza informatica (gli eventi CLUSIT solitamente si svolgono secondo un calendario annuale lungo tutto lo Stivale a partire da Marzo).

Violazioni per tutti

Nonostante l’annuale e diffusa mobilitazione di ottobre, non passa giorno che non si abbiano notizie di incidenti di sicurezza costituiti principalmente dal furto di dati, o per azione dimostrativa e tentativo di blocco di servizi. Solo per citare alcuni dei più recenti Forrester Reasearch, Accenture, Deloitte, T-Mobile, hanno tutti sperimentato il danno di reputazione a causa della sottrazione di dati sensibili, ma si assiste anche ad incidenti di sicurezza in ambito militare come il caso dei dati sulle capacità militari australiane rubati mediante compromissione di un contractor del Dipartimento della Difesa. Oppure in ambito geopolitico come la notizia del breach all’NSA ad opera del governo russo mediante un software commerciale, di cui gli USA sono stati informati grazie ad hacker israeliani.

Ma ce n’è per tutti i gusti. L’ambito bancario ha la sua ultima vittima in una banca di Taiwan, la Far Eastern International Bank che ha subito la sottrazione di 60 milioni di dollari anche se sembra che siano stati recuperati quasi interamente. Sul fronte dei privati è emblematico il caso PornHub, alle prese con il malwertising (malware celato nelle advertising) che ha esposto milioni di visitatori per oltre un anno al concreto rischio di azioni incontrollate avvenute sui PC infettati dei singoli utenti. Purtroppo non serve nemmeno fingere che non sia successo come è capitato all’agenzia Equifax o per il caso Disqus, una piattaforma online che gestisce commenti degli utenti di siti web. In entrambe i casi sono stati recentemente rivelati breach su un numero massivo di dati ma avvenuti rispettivamente mesi ed anni fa.

Il rapporto IOCTA Europol

Tutti i casi di esempio citati rientrano nell’analisi più generale e sistemica condotta dall’Europol’s European Cybercrime Centre (EC3) e pubblicata nell’ultimo Rapporto IOCTA (Internet Organised Crime Threat Assessment): che evidenzia come i ransomware finalizzati all’estorsione e le truffe saranno fattori in crescita ancora per tutto il 2018.

L’agenzia UE che contrasta il crimine internazionale emette annualmente (a settembre) una valutazione sui reati a carattere informatico ed in particolare sugli sviluppi, i cambiamenti delle minacce note con un occhio a quelle emergenti. Ma il report è pensato anche per supportare le Forze dell’Ordine e chiarire le sfide da affrontare per le indagini sul crimine informatico, senza dimenticare raccomandazioni, priorità e le questioni in materia di prove elettroniche e di una legislazione adeguata e armonizzata.

Il panorama della minaccia nei dodici mesi di osservazione ha reso evidente la caratteristica incrementale delle violazioni su larga scala (campagne Wannacry, Petya/Non Petya come esempi), ma ha anche rimarcato che per alcuni target specifici, come quelli dell’ambito finanziario, i trojan bancari restano una minaccia-chiave, come anche le frodi attraverso i bancomat e quelle note come CNP (Card Not Present) e CP (Card Present) che interessano principalmente il settore retail. Anche la potenziale minaccia annunciata nel precedente report IOCTA 2016 si è concretizzata, ovvero il rischio verso i dispositivi IoT di cui il caso Mirai è stato un esempio emblematico.

Tristemente presente ancora il fenomeno del materiale pedopornografico, il Child Sexual Exploitation Material (CSEM), con l’aumento del volume della componente di materiale auto-generato (Self-Generated Explicit Material, SGEM) probabilmente creato in modo innocente o per coercizione e/o estorsione.

Malgrado la costante crescita e l’evoluzione del crimine informatico il report incoraggia l’aumento della cooperazione con il settore privato (il noto Partenariato Pubblico Privato, PPP) e con altri partner europei e internazionali per il contrasto contro le principali minacce informatiche: grazie alla collaborazione congiunta le Forze di Polizia hanno raggiunto maggiori successi nel contrasto alle azioni criminose, al contempo supportando al meglio prevenzione e deterrenza.

Software come vettori di attacco

Dal caso CC leaner è diventato evidente come sia crescente la tendenza di utilizzare software come vettori di attacco, ovvero nascondere software malevolo all’interno di software standard o apparentemente innocui per infettare mediante gli app store. L’ultimo caso è quello dell’applicazione DU Antivirus Security usata dai clienti per tentare di proteggere la privacy dei propri dati, che invece raccoglieva i dati utente senza il consenso dei proprietari dei dispositivi inviandolo ad un’altra applicazione del gruppo DU per scopi commerciali.

I ricercatori Check Point che hanno scoperto il comportamento dannoso segnalando a Google l’utilizzo illegale delle informazioni private degli utenti (21 agosto 2017) e l’applicazione è stata rimossa da Google Play in pochi giorni. Una nuova versione dell’app che non include il codice dannoso è stata caricata poi la settimana successiva ed è attualmente sul Google store. Il codice malevolo è stato trovato anche in altre 30 app per un totale di utenti interessati fra i 24 e gli 89 milioni, coloro che hanno installato queste applicazioni dai diversi app-store. In questo caso il miglior consiglio possibile di prevenzione sarebbe quello di preferire app provenienti da vendor autorevoli, anche se il caso CCleaner ha minato anche questa certezza.

Eventi di ottobre

Fra gli eventi che rientrano nel mese Europeo della sicurezza ricordiamo HAckInBo-Sicurezza all’ombra delle torri, l’evento CRAM tgsoft  a Padova e il WOW (Wide Opportunities World) Samsung Business Summit 2017 previsto per il prossimo 26 ottobre a Milano.