La società di cyber-security MCaffee ha appena pubblicato un report nel quale viene denunciata una prolungata attività di intruisione informatica ai danni di una pluralità di soggetti, pubblici e privati.
Gli esperti della società avrebbero infatti penetrato il server adoperato dagli hackers raccogliendo elementi utili per ricostruire le intrusioni individuando le vittime tra le quali risultano governi (Stati Uniti, Canada, Corea del Sud, Taiwan, India, ecc.), aziende (contractors della difesa americana, aziende informatiche e di tecnologia, del settore dell'energia, dei media, ecc.) ed ONG (il Comitato Olimpico Internazionale, le Nazioni Unite, Think Tanks, ecc.). L'attività sarebbe iniziata nel 2006 e proseguita fino a settembre dello scorso anno.
Il rapporto non individua l'aggressore (o gli aggressori) ma esperti americani, alcuni in forma anonima, punterebbero il dito contro la Cina.
Attendiamo commenti ed analisi da Jack…
Quello che riporti è esattamente quello di cui parlavo con Roberto più o meno 8-10 mesi fa sempre qui sul blog, quando affermavo che i sistemi delle big companies e dei Governi sono già stati violati da tempo.
Le logic bomb sono tutte già piazzate e quello che emerge adesso è solo la punta dell'iceberg di quello che verrà.
Attualmente il rischio maggiore, a mio avviso, è la (finta) sensazione di sicurezza che gli ICT&Security Manager in tutto il mondo hanno verso i loro sistemi.
Gli exploit che servono ad accedere ad un sistema in remoto prendono il nome di "zero-day" proprio perchè nessuno li conosce, se non il programmatore che ha scovato il bug e pochissimi altri a cui, magari, ha venduto/girato l'informazione.
Ergo, gli IDS, gli IPS, gli antivirus, e quant'altro non riconoscono la minaccia e non "reagiscono". Nè tantomeno avere i sistemi sensibili staccati dalla rete Internet è un elemento risolutore di questo problema.
E' tutto riposto nella sensibilità dell'ICT&Security Manager e del suo team, che devono riuscire a notare anomalie quasi impercettibili, ad esempio, sui file sostituiti con versioni contenenti backdoor.
Le soluzioni cmq ci sono, non voglio essere un catastrofista (anche se la "storia" di questi ultimi 10 mesi mi sta dando ragione), ma non quelle che risolvono al 100%. Non attualmente almeno, perchè la sicurezza è un continuo compromesso con l'usabilità… e questo nel settore Difesa e più in generale ovunque ci siano informazioni sensibili è il peggior principio che si possa applicare.
Il mondo attualmente si divide in due categorie: quelli che sono stati violati e lo sanno e quelli che sono stati violati e non lo sanno.
Riporto le parole contenute nel report di McAfee sull'Operation Shady RAT e scritte dall'investigatore:
"Having investigated intrusions such as Operation Aurora and Night Dragon (systemic long-term compromise of Western oil and gas industry), as well as numerous others that have not been disclosed publicly, I am convinced that every company in every conceivable industry with significant size and valuable intellectual property and trade secrets has been compromised (or will be shortly), with the great majority of the victims rarely discovering the intrusion or its impact. In fact, I divide the entire set of Fortune Global 2000 firms into two categories: those that know they’ve been compromised and those that don’t yet know."
Vi giuro che, per quanto possa sembrare strano, non avevo ancora letto l'introduzione del report prima di scrivere il mio commento precedente…! o_O
Grande Jack: una certezza!!
Qui la Reuters.
Troppo buono, Sil…
PS: … che per caso Federico ti ha detto quanto l'ho pagato per i complimenti di 2 giorni fa…?!?! ;)))
Ma per te son gratis ;))
jackallo,
si potrebbe avere qualche informazione in piu riguardo alla tua frase
"Nè tantomeno avere i sistemi sensibili staccati dalla rete Internet è un elemento risolutore di questo problema."
Come è possibile entrare in un sistema non connesso in rete (e senza wireless, ovviamente)?
grazie.
salutii
@jackallo
Complimenti per l'analisi, ho qualche domanda da semplice USER di PC :
Mi stai dicendo che questi file (piu o meno dei troian) sono presenti in molti server/pc di grandi società e istituzioni, che vengono puntualmente spiati, in un momento non sempre individuabile, di conseguenza questa minaccia portrebbe essere già presente nei PC delle ns istituzioni o di gruppi indistriali per esempio mininterno, farnesina, o finmeccanica ecc?
e fin qui mi sta bene, ma visto che noi comuni mortali facciamo sempre piu ricorso ai ns PC per l'home banking, o per il pagamento di servizi, vacanze beni di consumo ecc, rischieremo quindi in un futuro non troppo lontano di vedere i ns conti azzerati?
se é cosi preparo la buca in giardino per nascondere i miei pochi sestersi..:((
ALBATOR
@#6
Se un sistema non è connesso ad internet non è immune ad altre forme di attacco se qualcuno sospetta che ci sia roba sufficientemente interessante da valere rischi e costi extra.
Si possono usare vari sistemi di ascolto remoto (a volte basta una semplicissima cantenna) o semplicemente ci si fa assumere dalla ditta di pulizie che fornisce il servizio al bersaglio, si fa qualche settimana di ricognizione del posto durante le pulizie e poi si sceglie il momento ed il metodo opportuno.
Non servono neanche veri tool "da spie", a volte se si tratta di una rete interna basta giusto aggiungere il minimo necessario per "uscire fuori" (un router wifi ed una cantenna per arrivare ad un edificio vicino, ovviamente non lasciati in evidenza ma nascosti ad hoc).
Poi a volte ci sono delle cose assurde.
Una volta girando per Padova mi è capitato di agganciare con lo smarphone delle stampanti wifi degli uffici amministrativi di una banca.
I computer avevano connessioni protette, ma le stampanti erano state lasciate sui settaggi di defaul non protetti.
Con il software giusto avrei potuto scaricare quello che veniva mandato in stampa oppure con dei tool di penetration testing e la conoscenza di qualche exploit già noto del firmware della stampante, riprogrammarla per usarla come ponte per attaccare altri computer negli uffici.
@ALBATROS:
.. i trojan erano solo un esempio.. i metodi per ottenere e mantenere un accesso remoto non autorizzato su una macchina sono davvero tantissimi..
Ad ogni modo, si.. ti sto dicendo esattamente questo. Le grandi società e le nostre Istituzioni potrebbero essere già state penetrate e si aspetta solo il momento giusto per rendere pubbliche le informazioni illecitamente prese e/o per fare azioni eclatanti.
Anzi, ti dirò di più, dall'analisi di alcune conversazioni effettuate ultimamente (da altri e non da me!) su canali IRC crittati, le nostre banche sarebbero il prossimo obiettivo. Io penso, invece, che le nostra banche siano già state il "prossimo obiettivo".. 😉
@Anonimo #6
Ho pensato molto prima di decidere come (e se) rispondere alla tua (legittima) domanda.
Mi perdonerai se non lascerò scritti su Internet dettagli su come violare macchine non connesse alla Rete. Sono certo, però, che capirai le motivazioni. In fondo, siamo qui per approfondire e non per insegnare, ammesso che io possa insegnare qualcosa a qualcuno.
Detto questo, in maniera molto generica e stando alle premesse che tu hai posto nel tuo commento, ti dirò che per violare una macchina non connessa ad Internet ti serve 1 computer (uno solo!) che si affacci in Rete e che appartenga allo stesso dominio di rete (locale) di quello non connesso. In alcuni casi (= software non "patchati" o hardware "buggato"), addirittura, potrebbe anche non essere necessario appartenere allo stesso dominio, purchè i due pc si trovino attaccati allo stesso hardware (router, switch, ecc.).
Semplificando, è un po' la stessa tecnica che utilizzano alcune bande per rapinare le banche. Ovvero, perchè "sfidare" tutte le misure di sicurezza messe a punto per proteggere la banca dalle intrusioni, quando, entrando nel locale adiacente e facendo un bel buco nel muro, ne posso eliminare in partenza già 3 o 4…?!?! 😉
Eccellente il riferimento dell'Anonimo #8 alle stampanti in rete… che si affacciano anche su Internet. Quello è uno dei miei "locali adiacenti" preferiti…!
Vedete, il problema del 99,99% dei computer utilizzati, soprattutto quelli che montano Windows, è di essere predisposti nativamente per fare TUTTO. Ergo, basta veramente molto poco a riattivare quelle funzioni dormienti e inattive che mantengono la macchina disconnessa dalla rete Internet.
Per non parlare, come ha già fatto notare anche l'Anonimo #8, di keylogger hardware e antennine wi-fi (meglio ancora schede GSM!)agganciate alla macchina disconnessa, anche se questo richiede la presenza "fisica" sul luogo che in determinati ambienti non è certamente facile da ottenere, nemmeno per gli addetti alle pulizie.
Ma penso anche alle tecniche di intercettazione elettromagnetica e ad alcuni altri metodi.
Insomma, basta trovare l'anello più debole della catena. E l'anello più debole c'è sempre.
Ah, dimenticavo… l'anello più debole può anche essere, anzi spesso è, l'uomo. E a proposito di Social-Engineer, se qualcuno vuole passare un po' di tempo:
http://www.thehackernews.com/2011/08/social-engineer-toolkit-v20-released.html
(sono ancora #8)
@Jackallo (#9)
Già, inoltre il problema non è limitato ai soli computer "classici" o alle periferiche tipo stampanti che integrano un S.O. o un firmware con sufficienti funzionalità.
Ad esempio gli smartphone (inclusi quelli economici da 80..90euro a prezzo pieno) sono dei vettori d'attacco che attualmente sono sin troppo sottovalutati.
Uno spesso non pensa che anche quello è un computer con wifi e bluetooth e che con il software giusto può lanciare penetration test in automatico mentre uno che fa le consegne o le pulizie se lo porta in tasca.
Non parliamo poi del caso in cui uno riesce a sovvertire lo smartphone di qualcuno non sufficientemente scaltro a livello tecnico e che ha accesso frequente ad un bersaglio o luoghi sufficientemente vicini.
Il "bello" degli smartphone è che si può tenerli in ascolto passivo e fargli memorizzare tutto quello che potrebbe essere interessante per poi al momento giusto comandare da remoto il download dei dati raccolti (usando il wifi, gsm/3G lasciano troppe tracce e sono più lenti) in modo da analizzarli su sistemi più potenti con più calma.
Già ora c'e' un sacco di malware che fa "piccole truffe/furti" inviando dati o eseguendo operazioni che producono addebiti sul conto telefonico, ma se tanto mi da tanto, c'è già in circolazione pure roba tipo quella che ho descritto sopra (alcuni tool di base erano già in circolazione anni fa sui cellulari Symbian e Windows Mobile, su quelli attuali è ancora più semplice visto che hanno prestazioni superiori).
Non sono di quel settore, ma ho ben chiara la fattibilità tecnica della cosa.