2 Commenti

Fatto l'inganno, trovata la falla

L’Unità 61398

di

thumbnail

09

apr

2013

Da una minaccia cinese, vera o presunta, a riflessioni su come difendere il perimetro professionale e personale.

L’anno scorso il Wall Street Journal ospitava un preoccupante articolo del Presidente Obama. Da allora lo scenario di un’apocalisse digitale è stato rievocato più volte. Il 19 febbraio Mandiant, azienda specializzata nella risposta alle minacce digitali, ha pubblicato un report insolitamente dettagliato sugli attacchi riconducibili alla Unit 61398 dell’esercito cinese.

Vale la pena di leggerne il testo integrale. Intanto perché i sistemi utilizzati sono quelli di cui si parla spesso. Sono detti sofisticati ma si tratta per lo più di tattiche per ingannare un essere umano. Triste poi constatare come firewall e altri sistemi di protezione non siano configurati per impedire comunicazioni di ben dubbia necessità verso l’esterno.

Come prevedibile, viene accettata passivamente da molti l’attribuzione della responsabilità ai cinesi. I quali rispondono con le formule ben note: La Cina vieta comportamenti che minacciano la sicurezza di Internet, l’esercito cinese ripudia l’hacking come metodo di azione, un indirizzo IP non significa molto (obiezione tutt’altro che balzana) eccetera. Incidentalmente, nota il portavoce del Ministero degli Esteri, dagli episodi analizzati dal CERT cinese emergono oltre 70 mila indirizzi IP stranieri che sarebbero collegati ad attacchi contro 14 milioni di computer cinesi. Al primo posto ci sono hacker provenienti dagli Stati Uniti!

Mandiant è azienda notoriamente gradita ai governi di Stati Uniti e Gran Bretagna e la sua reputazione trae beneficio da quanto pubblicato. Non a caso è ben nota anche per essersi sempre trovata al posto giusto nel momento giusto rispetto ai finanziamenti.

Ogni volta che il governo statunitense preme sull’acceleratore verso una normativa che inevitabilmente comprimerà le libertà individuali (penso alla privacy ed alla libertà di Internet), ecco che i quotidiani si riempiono di storie di attacchi attribuiti ai cinesi (al limite agli iraniani). Mandiant dichiara di aver pubblicato il report per questa ragione:

è giunto il momento di riconoscere come la minaccia arrivi dalla Cina e vogliamo fare la nostra parte per armare e preparare con efficacia i professionisti della sicurezza.

Che spirito disinteressato!

Il silenzio sugli attacchi subiti è un errore: condividere le informazioni acquisite è doppiamente utile. In prima battuta ha un effetto deterrente nei confronti degli aggressori, che non potranno utilizzare gli stessi strumenti, domini e indirizzi IP. Questo aumenta il costo di attacco. In seconda battuta, la divulgazione regolare e “normale” delle informazioni relative agli attacchi elimina tutti quei retropensieri sui motivi della divulgazione e sul non detto che spesso ingombrano il ragionamento.

Se usciamo dalla retorica legata alle attività più o meno confessabili degli stati-nazione o alle minacce persistenti ed avanzate, questo report insegna che l’attacco inizia con una email mirata alla vittima, la quale cade nel tranello e scarica un allegato o visita un collegamento. Dopo di che sul sistema compromesso viene installato quanto necessario a controllarlo da remoto e trasmettere all’esterno le informazioni desiderate. È possibile bloccare questo tipo di attacchi! Riconoscere i messaggi di phishing non è difficile e si può insegnare. L’infezione dei sistemi può essere prevenuta eliminando quanto non strettamente necessario all’attività lavorativa (Java? Flash?).

Il whitelisting è un metodo sicuramente accettabile e può dare risultati anche superiori a quello degli antivirus.

Fate infine in modo che i sistemi di sicurezza perimetrali non si limitino a respingere gli attacchi provenienti dall’esterno, ma analizzino anche il traffico “normale”, in modo da riconoscere più velocemente le anomalie.




Francesco Armando (@quasidot) ha iniziato a curiosare nel mondo dell’informatica ai tempi del glorioso Commodore 64 e da allora non è riuscito a smettere. Ha un debole per i temi della privacy, della disponibilità e della sicurezza. Pare lavorare presso un vendor europeo specializzato nella network security e si diletta a provare servizi online più o meno improbabili. Il suo blog è testimone di queste divagazioni quasi ragionevoli.

Letto 4.825 volte | Tag: , , , , , , , , , , , , , , , , , , , , , , ,

2 commenti

  1. L’Unità 61398 | Apogeonline | quasi.

    [...] L’Unità 61398 | Apogeonline. [...]

  2. Lasciate ogni speranza voi tracciati | Apogeonline

    [...] dieci lettori: alcuni hacker cinesi implicati in attività di controllo del governo americano sono stati identificati grazie ai loro accessi a Facebook avvenuti dalla stessa rete su cui operavano; Hector Monsegur, [...]

Lascia il tuo commento