Da molti anni il mondo della cybersecurity ha visto in azione attacchi informatici anche su larga scala che hanno compromesso la disponibilità dei maggiori siti di informazione a livello mondiale. Attacchi informatici così grandi, come ad esempio quello conosciuto come “Mirai” nel 2016, hanno dimostrato che mediante l’ausilio di tantissimi device infettati è possibile saturare tratte delle connessioni internet per causare ingenti danni alle aziende e alla popolazione.
Questi attacchi informatici hanno tutti una prerogativa: i device infetti sono utilizzati e gestiti da una piattaforma di “Comando e Controllo”, conosciuta in gergo come “Command and Control Server”, mediante la quale è possibile dirigere questi device a svolgere delle azioni particolarmente semplici che orchestrate opportunamente convogliano innumerevoli richieste informatiche allo scopo di creare disservizi.
In altre parole, tutto questo è permesso dalle “Botnet” o reti di “Robot” nel senso di automi che sono costituiti da macchine infettate appositamente.
Una riflessione particolare merita di essere fatta di fronte alla scarsa consapevolezza che generalmente si riscontra nelle persone poco avvezze a questi temi. Potrebbero obiettare “ma il mio pc non ha nulla di segreto o non ho nulla da nascondere” oppure “cosa se ne fanno del mio pc o dei miei dispositivi?”.
Da questo ragionamento ne deriva una scarsa attenzione ad un problema più serio che potrebbe compromettere i propri dati personali ed un conseguente scarso livello di protezione dei propri device come tablet, smartphone, router e smart-device come la TV che al giorno d’oggi sono tutti connessi ad internet e che costituiscono una enorme potenza di elaborazione in dotazione a ciascun individuo.
L’evoluzione della tecnologia e soprattutto l’evoluzione dell’IOT (Internet delle cose) sta iniziando a condizionare pesantemente il nostro modo di vivere. Si stima che nei prossimi 20 anni, saranno connessi ad internet oltre un trillione di dispositivi. Dunque, viene abbastanza naturale il sentimento di preoccupazione relativo alla sicurezza dei device ma soprattutto ci sentiamo limitati nel proteggere le nostre informazioni personali.
Passiamo ora a qualche dettaglio più tecnico.
Le misure di contrasto alle botnet descritte in questo articolo sono distinte tra “misure difensive classiche” e “misure offensive”. L’obiettivo è quello di delineare i limiti e i vantaggi delle diverse tecniche di contrasto, al fine di fornire elementi utili per l’orientamento verso la tipologia più appropriata e la strategia più adeguata in base al proprio contesto aziendale o propensione al rischio.
Cosa si intende per Botnet?
Per botnet, letteralmente “rete di robot” si intende una rete di computer collegati ad internet ed infettati da malware o bot. Quest’ultimi possono essere utilizzati, all’insaputa del legittimo proprietario della macchina, da un “botmaster” il quale attraverso un “Command and Control Server” ne detiene il controllo al fine di effettuare attacchi di tipo DDoS (Distribuited Denial of Service), spam o phishing, furti di dati e di identità.
Prima di proseguire, è bene specificare alcune terminologie che a volte tendiamo a dare per scontate ma con le quali non tutti hanno familiarità:
- Cos’è un malware: Software che, una volta eseguito, danneggia il funzionamento e la sicurezza del sistema operativo.
- Bot: Programma informatico pensato per automatizzare funzioni ripetitive e che accede alla rete attraverso internet. In ambito botnet, tale programma viene usato in forma di Malware per eseguire in maniera ripetitiva l’attività di orchestrazione gestita dal Command and Control Server al quale risponde attraverso un canale di comunicazione cifrato e quindi non comprensibile. Talvolta, ci si riferisce al terminale infettato con il nome di Bot o anche con quello di Zombie.
- Command and Control Server: è un programma software creato da un cybercriminale allo scopo gestire un enorme numero di macchine infettate da malware di categoria “bot” inviando comandi specifici per eseguire azioni specificatamente indirizzate verso una vittima dell’attacco informatico che tipicamente è costituita da un’organizzazione target.
Le misure difensive classiche di contrasto alle botnet
Le misure di contrasto tradizionali che una azienda può mettere in atto possono essere di 3 tipi:
- host-based, ad esempio i personal firewall e i software anti-virus;
- network based, come i N.I.D.S. (Network Intrusion Detection Systems) e gli I.P.S. (Intrusion Prevention Systems);
- mirate alla rimozione del Command e Control (C&C) server, ovvero del server che invia i comandi alle macchine infette (robot).
Soluzioni host-based
Le soluzioni host-based, sebbene di largo uso, hanno rivelato un’efficacia limitata ma sempre necessaria nel contesto delle botnet.
Ad esempio, gli antivirus necessitano di frequenti aggiornamenti al fine di ridurre la finestra temporale di esposizione degli utenti oppure possono divenire inefficaci dinnanzi a tecniche di rootkit. I personal firewall, invece, possono venire disabilitati da un malware che ha gli stessi privilegi del sistema operativo che protegge.
Un rootkit: programma progettato con lo scopo di avere software installati con privilegi di root (o administrator/system sui sistemi Microsoft) che consentano di alterare il normale comportamento degli applicativi diagnostici per nascondere la presenza del rootkit stesso e del software da proteggere, in modo da renderne più difficoltoso il riconoscimento e l’eliminazione.
Soluzioni network based
Le misure network based sono rappresentate principalmente dai sistemi di rilevazione delle intrusioni atti a riconoscere un tentativo di attacco. Questi, in base alla tipologia di approccio adottato - misuse based oppure anomaly based - presentano specifiche limitazioni.
- L’approccio misuse based, che si fonda sulla codifica e il confronto di una serie di segni caratteristici (signature action) delle varie tipologie di scenari di intrusione conosciute (e.g. cambi di proprietà di un file, determinate stringhe di caratteri inviate ad un server), è suscettibile di generare dei falsi negativi, in quanto è in grado di rilevare solo le tipologie di intrusione conosciute ed impostate nel sistema.
- Al contrario, l’approccio anomaly based ha un’impostazione più empirica basata sulla costruzione di modelli “dell’attività normale” e per questo motivo ha il pregio di riconoscere un numero maggiore di attacchi, ma allo stesso tempo anche un numero maggiore di falsi positivi.
Rimozione del C&C server
La terza tecnica è incentrata sulla rimozione C&C server. La rimozione di un C&C server si è dimostrata nella maggior parte dei casi altamente efficace, in quanto comporta l’eliminazione dell’intera botnet, ma risulta fattibile solo in compresenza dei seguenti fattori:
- struttura centralizzata della botnet (un unico C&C server);
- conoscenza della posizione del C&C server;
- disponibilità alla collaborazione da parte del provider che ospita il C&C server.
In alcune versioni di botnet è stato osservato però che sono i client a contattare periodicamente il Command & Control Server su una porta di comunicazione sicura e cifrata. Questa comunicazione, come si può facilmente comprendere è molto difficile da intercettare a livello di firewall aziendale, poiché si scambierebbe questa comunicazione con un normale traffico web con accesso alle pagine in modalità https. In queste situazioni l’unico modo per identificare una botnet in rete è conoscere l’indirizzo IP del Command & Control Server e bloccarlo tramite firewall per poi andare a rimuovere il software infetto sul client.
Struttura centralizzata di una botnet: è la struttura più semplice ed antica nella quale i robot riportano periodicamente ad un unico C&C server centrale utilizzando una tecnica di comunicazione di tipo Push e dei canali di comunicazione molto comuni, come per esempio IRC, HTTP, P2P, HTTPS.
Una comunicazione di tipo Push prevede che i robot della rete restino in uno stato di standby finché il botmaster non decide di allertarli inviando loro l’ordine da eseguire. (Fonte Immagine: Enisa)
Le misure offensive di contrasto alle botnet
Le misure di contrasto di tipo offensivo sono rappresentate da tecniche di mitigazione, manipolazione e sfruttamento. Queste tecniche mirano a monitorare o perturbare dall’interno la comunicazione tra i robot sfruttando il fatto che le botnet sono progettate per consentire a nuove macchine di unirsi alla rete.
Tecniche di mitigazione
Le strategie di mitigazione, mirano a rallentare una botnet agendo a livello di routing o di indirizzo IP. Alcuni esempi interessanti sono
- gli attacchi DoS temporanei contro C&C server volti a renderli irraggiungibili dai robot,
- l’isolamento dei robot infetti (impedendone le connessioni),
- il blocco dei domini malevoli,
- il sinkholing del traffico malevolo.
Queste soluzioni hanno in comune l’obiettivo di annullare gli effetti dannosi di una botnet, ma scontano il limite di non essere in grado di eliminare alla radice una botnet.
Sinkholing: tecnica utilizzata per reindirizzare il traffico dannoso dalla destinazione originale a un server sotto il controllo di un difensore, proteggendo così la rete da interruzioni da attacchi DDoS o botnet. Il server che funge da C&C (Command & Control) di questo traffico è chiamato sinkhole
Tecniche di manipolazione
Le strategie di manipolazione mirano ad alterare o rimuovere i comandi di una botnet quali ad esempio quelli DDoS, Spam, i comandi per scaricare ed eseguire programmi, consentendo così la pulizia remota della macchina infetta e limitandone i danni. Questa soluzione solleva tuttavia questioni di tipo legale ed etiche in ambito privacy e data protection, in quanto l'iniezione di un comando prevede il controllo del C&C server o del robot, prerogativa che aspetterebbe unicamente al proprietario della macchina infetta. Esempi di “manipolazione” sono il reindirizzamento del robot ad un altro server che esegue un attacco contro il livello di indirizzamento distribuendo istruzioni di rimozione, esecuzione remota di programmi sul robot volti a scansionare e rimuove il bot, ecc.
Tecniche di sfruttamento
L’ultima strategia, quella di sfruttamento, come suggerisce il nome, sfrutta i bug o i difetti di programmazione dei bot per eseguire azioni sulle macchine infette volte a contrastare il malware o sul C&C server per ottenerne il controllo. Questa strategia tuttavia espone i sistemi infetti al rischio di danneggiamento a seguito dell’iniezione del codice di exploit con ciò che comporta in termini di responsabilità civile e penale.
Come scegliere la strategia giusta: criteri
Esistono molteplici soluzioni per contrastare una botnet. La scelta tra l’approccio difensivo o offensivo, oppure uno combinato, dipende da diversi fattori quali ad esempio il contesto specifico aziendale, nonché l’infrastruttura di sicurezza e i livelli di contromisure esistenti; l’appetibilità al rischio, il core business, l’ordinamento giuridico nazionale e comunitario. Pertanto, il primo passo da compiere per la definizione della propria strategia difensiva è l’adozione di un modello strutturato di analisi che includa i seguenti ambiti:
- Analisi del contesto;
- Analisi dell’infrastruttura IT e di sicurezza;
- Risk Assessment;
- Individuazione e valutazione delle contromisure.
1. Analisi del contesto
L’analisi del contesto prevede l’esame dei fattori interni ed esterni ad un’organizzazione. Un primo esempio di fattore interno è l’individuazione del core business. Nel caso di un operatore di servizi essenziali o di fornitore di servizi digitali sarà essenziale che le proprie reti, sistemi e servizi informativi siano sicuri ed affidabili in quanto da ciò dipenderanno attività economiche e sociali rilevanti, nonché il funzionamento del mercato interno.
Un esempio, invece, di fattore esterno è rappresentato dal contesto normativo. Un’organizzazione che opta per un approccio difensivo di tipo offensivo, dovrà necessariamente appurare eventuali implicazioni legali dovute all’implementazione delle tecniche di mitigazione, manipolazione o sfruttamento su eventuali reati informatici. L’analisi dovrà vertere sia sull’ ordinamento giuridico di appartenenza sia su quello di eventuali Paesi Terzi o Comunitari che risulteranno coinvolti a vario titolo. Conseguentemente, per l’organizzazione sarà importante disporre di un team multidisciplinare con competenze, oltre a quelle informatiche, anche legali.
2. Analisi dell’infrastruttura IT e di sicurezza
Al fine di definire la propria strategia difensiva, si dovrà procedere con la valutazione dello stato della sicurezza della propria infrastruttura IT e dei controlli implementati, con lo scopo di ottenere una fotografia della situazione attuale (AS IS), ovvero un assessment per la valutazione dello stato di sicurezza. In questa fase dovranno essere enumerati e documentati i controlli già implementati o pianificati per proteggere i dati e le informazioni di Business. Successivamente, si dovrà eseguire una verifica dell’efficacia operativa dei controlli censiti.
I risultati emersi nella prima fase di analisi del contesto dovranno concorrere alla valutazione finale circa lo stato di adeguatezza dell’infrastruttura IT e di Sicurezza.
3. Risk Assessment
Ha l’obiettivo di identificare i rischi di “attacchi Cyber” perpetrati tramite botnet (e.g. DDOS, phishing, furti di dati e di identità). A tal fine si dovrà procedere con un’attività di Risk Identification che presuppone l’identificazione degli asset aziendali ritenuti critici, degli attacchi Cyber, delle vulnerabilità sfruttabili dagli hacker e delle contromisure già applicate o pianificate e che consente di stimare il rischio di essere oggetti a minacce quali attacchi DDoS, phishing, furti di dati e di identità.
4. Individuazione e valutazione delle contromisure
L’individuazione delle contromisure, fase finale, risulterà semplificata dalle attività di Risk Analysis e Risk Evaluation eseguite nella fase precedente. Infatti, la scelta della strategia difensiva e della soluzione tecnologica da adottare dipenderà dai livelli di rischio ottenuti con la Risk Analysis, dal rapporto costi/benefici di ogni contromisura valutata e dal piano di trattamento dei rischi scelto.
Grazie per il tuo interesse
Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.