Welcome to my space

Salve a tutti gli utenti,

sono Kira Smith, dopo che mi è stato eliminato il vecchio sito/blog e forum.

Ho ancora, per fortuna, le mie pubblicazioni online, ma in questo spazio voglio parlare di tecnologia, informatica, cybersecurity, nuove minacce e come contrastarle efficacemente.

Partire dalle origini

Chiaramente, per poter comprendere il funzionamento di una minaccia digitale, è necessario capire il meccanismo di funzionamento che c'è alla base, oltre a come è stata sviluppata.

Per questo motivo, verranno mostrati esempi di files infetti, ma resi innocui, disassemblati ed analizzati con Reverse Engineering, al fine di mostrare ogni specifica funzione di qualsiasi malware.

Cosa si intende per minaccia informatica?

Ogni minaccia digitale è un meccanismo, poi vedremo le tipologie, che è in grado di infiltrarsi in un sistema o in una rete e far compiere azioni non previste e non autorizzate agli endpoint, talvolta direttamente colpendo invece il Server (workstation, mainframe).

Ci sono vari tipi di digital threats, vediamo quali.

Quali sono i vari tipi di minacce informatiche?

Le minacce informatiche si possono dividere in:

• Malware (dicitura generica per qualsiasi minaccia, in generale)

• Exploit: sfruttamento di una vulnerabilità o un bug non fixato da parte di malintenzionati, per accedere a privilegi amministrativi, appropriarsi di un pannello webadmin di un portale, prendere il controllo di una o più macchine in rete, etc.

• Zeroday: exploit non ancora conosciuto e immesso nei database ufficiali, pertanto molto più pericoloso poiché non sono noti processi di prevenzione o remediation in caso di attacco

• Ransomware: software malevolo che crypta l'intero contenuto di un dispositivo, bloccandone l'accesso, la modifica e l'eliminazione, che solitamente viene inviato e fatto avviare con l'inganno, al fine di ricevere un riscatto e un timer indica quanto tempo rimane prima che l'attaccante elimini definitivamente l'intero contenuto del dispositivo (locale e/o cloud), se non venisse corrisposto l'importo desiderato, comunemente inviabile in Bitcoin o Monero, poiché le transazioni in crypto sono generalmente più difficili da collegare ad un soggetto preciso

• Worm: virus informatico in grado di infiltrarsi in un sistema silenziosamente, replicarsi a dismisura e infettare dapprima gli altri endpoints della stessa rete, poi tutti i sistemi che entrano in contatto con il gruppo di dispositivi già infetto, diffondendosi il più possibile; una caratteristica dei Worm unica è la velocità elevatissima di auto-replicazione ed il fine ultimo è quello di saturare il più possibile la banda di rete internet e LAN, oltre a provocare un consumo immenso di risorse nel dispositivo, anche senza nulla avviato

• Trojan (Cavallo di Troia): si tratta di un software creato al fine di osservare e registrare quanto avviene su uno o più dispositivi, prendere il comando di esso rendendo l'amministratore subordinato nell'invio dei comandi ed accedere da remoto ovunque nel sistema, come se si utilizzasse fisicamente e direttamente

• Spyware: come dice il nome, è un leggerissimo programma che monitora e invia i log di attività che avvengono nel sistema infettato

• Keylogger: programma che si limita a registrare ogni tasto digitato sulla tastiera, anche virtuale, pur se questo processo è più complicato da implementare per ottenerlo, con lo scopo di impossessarsi di dati sensibili, quali: username e password, PIN di accesso, così come ogni altra informazione confidenziale, comprese le comunicazioni che avvengono via e-mail, o tramite app di messaggistica (WhatsApp, Telegram, Signal, etc.)

• Rootkit: come fa presupporre il nome, si tratta di un codice malevolo, invisibile al sistema colpito, che offre all'attaccante il controllo completo di un dispositivo, permettendo di ottenere i massimi privilegi al pari di un account Superamministratore (in ambiente Windows) o Root (Linux, *NIS-like), con la garanzia di mantenere un controllo remoto persistente e difficilmente individuabile, ma ancor più complesso diventa il totale completamento d'inattivazione del Rootkit;

• Adware: in realtà non si tratta di una minaccia pericolosa, quanto più di un'attività molto fastidiosa per l'utente proprietario di un dispositivo che si trova davanti a decine o più di annunci pubblicitari, sponsor e ogni forma di attività promozionale online, senza aver dato alcun consenso, ma trovandosi a dover chiudere manualmente ogni pop-up invasivo che compare dopo pochi secondi, in base alla programmazione di questo tool, il quale spesso viene scaricato assieme a software piratato, licenze non originali, patch che promettono l'attivazione completa di programmi o servizi in realtà a pagamento. Anni fa era statisticamente quasi certo, almeno estremamente probabile, installare inconsapevolmente adware tramite le piattaforme di download P2P (peer-to-peer), come Emule, ma anche Torrent, Napster per i file musicali ed altre.

• Programmi di estensione free trial: non si tratta di "virus", nel senso di agente che opera silenziosamente e causa danni, ma al contrario viene utilizzato dal programmatore stesso che lo realizza, oppure dai suoi acquirenti, al fine di ingannare un software a pagamento circa la data del calendario, sostituendo giorno, mese e anno con un periodo temporale a scelta, in modo da non far scadere mai il periodo di prova gratuita, senza dover alterare calendario e orologio del proprio PC, né altre impostazioni locali.

  
  

Quali sono gli attacchi informatici ad oggi noti?

A differenza dei malware, esistono anche possibilità di ottenere vari privilegi ed eseguire codice arbitrario senza ricorrere all'installazione di un programma nel dispositivo ed i principali sono:

• DoS/DDoS: Denial of Service/Distributed Denial of Service che ha come finalità quella di rendere inutilizzabile un sito web, un'intera piattaforma digitale di servizi al pubblico, ma anche solo la banda di rete di un utente, al quale viene impedito il collegamento a Internet e per eseguire questo attacco è necessario bombardare il server centrale di pacchetti, di solito costituiti da pochi byte di dati, ma a velocità elevatissima e in numero infinito, potendo inviare anche richieste al server, che dovendo rispondere a questa velocità e a ciclo continuo, non è più in grado di fornire l'accesso al sito web, oppure continuare ad erogare i servizi predeterminati

• Man in the Middle (MitM): procedura che consente di infrapporsi tra due o più dispositivi che comunicano tra loro, intercettando ogni singolo dato in invio o ricezione e sottrarre quindi dati sensibili, come credenziali, dati bancari, informazioni riservate ed altro; esistono varianti architettate su più strati e collegate ad altri attacchi o malware, per lanciare attacchi totalmente invisibili ai sistemi e ai relativi sistemi di sicurezza, garantendo persistenza e attività continua, anche senza interazione da parte dell'attaccante

• SQL injection: l'attaccante digita e invia, in un campo di un modulo presente su un determinato sito web, stringhe di caratteri che fungono da comando al database collegato che invierà così informazioni contenute nei record, oppure sarà indotto all'eliminazione del contenuto, apportare modifiche, etc. in maniera non autorizzata dal webmaster, né dal proprietario della piattaforma nonché unico soggetto teoricamente privilegiato a visionare e modificare il database

• Brute Force: tentativo di trovare una password o un codice PIN provando ogni combinazione di caratteri possibile, in maniera sequenziale, a velocità che dipende dalla realizzazione del programma che effettua i tentativi e/o dalle prestazioni del sistema in uso ove viene avviato il tool di brute force; si tratta in ogni caso di un metodo obsoleto per trovare password, comprese varianti chiamate Dictionary Attack che si basano su tentativi ripetuti di inserimento parole o frasi scritte in un file di testo, poi caricato nel tool di forza bruta, a meno che la parola d'accesso non sia molto semplice e composta da un numero esiguo di caratteri (es.: ciao123, helloworld, prova1234, 111111, 1234, 0000, default, password, pass), senza simboli e con lettere esclusivamente minuscole.

  
  

Tabella dei tempi medi di cracking di una sequenza di 8 caratteri, con GPU di nuova generazione, come le RTX serie 50, o con cluster cloud

Abbiamo preso in considerazione stringhe di 8 caratteri, ma se ci si trovasse davanti a password più lunghe, i tempi di ritrovamento aumenterebbero in maniera esponenziale e difficile da determinare, fino ad un periodo temporale tendente a infinito se sussistono contemporaneamente determinate circostanze, come la randomizzazione della sequenza, la difficoltà per un calcolatore a distinguere e interpretare correttamente caratteri accentati, che indicano tipologie di pronuncia molto rare -se non addirittura esclusive di un luogo e parlata dei relativi abitanti- o simboli appartenenti a lingue non occidentali.

Però, come si può notare, la lunghezza vince sulla complessità in ogni caso, pertanto è sempre preferibile scegliere una password lunga, ma che risulti semplice da memorizzare e ricordare nel lungo periodo, come una frase apparentemente senza senso, poiché l'unico possibile glielo diamo noi, magari tramite associazione mentale a un concetto o oggetto reale, es.: IlmioGattobeveCaffè6202 molto più difficile (impossibile!) da trovare rispetto, ad es. a: P@$$w0rD_

Altre tipologie di metodi per intrusioni, esfiltrazione dati, assegnazione privilegi

Esistono poi i tools e metodi più avanzati sfruttabili contro un target: non sempre si tratta di tecnica ed abilità informatica, come nel caso del Social Engineering, ovvero l'ingegneria sociale, ciò che permette di ottenere dati, informazioni ed elementi (costanti, variabili, etc.) ingenuamente comunicati a terzi soggetti, pensando che non si tratti di dettagli fondamentali che consentono ai malintenzionati di effettuare l'accesso a reti, sistemi o infrastrutture intere, con conseguenti fughe di dati personali dei clienti, quando si tratta di aziende, spesso rivenduti nel black market per ulteriori frodi tramite furto di identità una volta acquisiti i documenti di riconoscimento, oppure danni economici e finanziari con sottrazione diretta di somme di denaro, con lunghe catene composte da passaggi da un account ad un altro, passando per vari conti aperti presso istituti di credito extra europei, solitamente in Stati dove vige una normativa sulla privacy molto stretta, con politiche sulla riservatezza totale dei titolari dei servizi finanziari, oppure gli importi vengono convertiti subito in cryptovalute e "ripuliti" con sistemi di lavaggio elettronico dalle transazioni precedenti, rendendo impossibile - o quasi - risalire alla fonte del credito e la relativa titolarità legittima, oltre a mettere a rischio reti e dispositivi appartenenti ad esse di subire danni informatici anche gravi, fino alla compromissione totale degli stessi.

Un pericolo spesso sottovalutato in ambito aziendale è definito Internal Threat, ovvero un dipendente diretto o altro soggetto autorizzato ad accedere fisicamente all'interno degli edifici, che sfrutta per acquisire ed esfiltrare dati, documenti, informazioni confidenziali, patenti e brevetti, documenti d'identità e documenti aziendali importanti per conto di un terzo pagatore con cui è in accordo, oppure per fini propri malevoli, come la rivendita nel black market.

Esistono però anche strumenti sofisticati dal punto di vista della programmazione, sviluppati a partire da un codice sorgente complesso che garantisce la persistenza anche dopo vari riavvii del sistema, addirittura resistenti a ripristino dell'immagine di sistema e formattazione, ove non avvenga in modo completo, e si chiamano malware del genere APT (Advanced Persistent Tool), spesso artigianali e dei quali non esistono versioni "ufficiali" in vendita, ma progettati per agire verso un determinato sistema o gruppo di dispositivi abbastanza ristretto, poiché sfruttano vulnerabilità altrove già fixate o che non colpiscono più che pochi modelli o versioni dello stesso sistema in uso.