Questa storia appartiene alla categoria Internet e domain e al dossier Sicurezza e stabilità

Ecco arrivare il "Cybercrime as a service"!

Serge Droz, esperto della sicurezza in SWITCH, ripercorre il 2015 dal punto di vista della criminalità informatica.

Testo: Anja Eigenmann, pubblicato il 25.01.2016

Le statistiche di SWITCH evidenziano una forte recessione del malware per i domini di massimo livello .ch e .li (Liechtenstein) nel 2015 rispetto ai valori dell'anno precedente. I 1839 casi del 2014 sono stati infatti ridotti a 698. Per quanto riguarda il phishing accade più o meno la stessa cosa: ai 323 casi del 2014 si contrappongono i 329 del 2015.

 

Serge Droz, esperto della sicurezza di SWITCH, spiega nell'intervista come queste cifre debbano essere interpretate e quali tendenze siano individuabili nel panorama della criminalità informatica.

Quali sono stati, a suo parere, gli eventi che hanno principalmente contraddistinto il 2015 nel settore della sicurezza di internet per SWITCH?
Serge Droz:
Gli elementi riguardanti il business sono due: il lancio di Safer Internet e la fortunata creazione dei CH-CERT. Nel primo caso si tratta di un pacchetto di misure avente l'obiettivo di bloccare la contaminazione dei siti web in collaborazione con gli host, i registrar e il regolatore. Nel secondo si tratta di un gruppo di esperti della sicurezza, provenienti da diverse aziende svizzere e dalla pubblica amministrazione, che si incontrano regolarmente per progredire insieme nel settore della sicurezza. C'è poi stato anche un evento per me personalmente rilevante: un corso che sono riuscito a tenere in Ruanda nell'ambito del programma "Training for Incident Response Staff" (TRANSITS). È stato impressionante e anche toccante osservare lo sviluppo di un Paese tanto diverso dalla Svizzera a partire dal ben diverso quadro normativo di riferimento e da un passato di gran lunga più difficile.

I criminali informatici si specializzano e offrono pertanto solo singoli anelli della "catena del valore aggiunto".

Quali tendenze si possono individuare a livello mondiale nel settore della criminalità in internet?
In generale continua a crescere la professionalizzazione dell'hacking sotterraneo. Si potrebbe addirittura arrivare a parlare di "Cybercrime as a Service". I criminali informatici si specializzano e offrono pertanto solo singoli anelli della "catena del valore aggiunto".

E cosa si è osservato in Svizzera?
Gli attacchi sono specificamente pensati su misura per il nostro Paese: le relative e-mail vengono redatte in una delle nostre lingue nazionali e risultano apparentemente inviate da aziende aventi sede in Svizzera. Il nostro lavoro è pertanto reso più difficile dal momento che non disponiamo di modelli di partner internazionali a cui poter fare riferimento. Trojan bancari come Dyre dimostrano inoltre che gli attacchi rivolti all'e-banking sono diventati ancora più sfacciati. Dyre si attiva solo per i conti bancari dalla giacenza superiore agli 0,5 milioni di franchi, ragion per cui i danni che arreca sono molto ingenti.

.ch appartiene ad uno dei più sicuri domini di alto profilo a livello mondiale, come confermato da svariati rapporti e studi compiuti.

Come interpreta le cifre di SWITCH con riferimento al dominio .ch?
.ch appartiene ad uno dei più sicuri domini di alto profilo a livello mondiale, come confermato da svariati rapporti e studi compiuti. Ciò è reso possibile in primo luogo dal quadro normativo grazie al quale da cinque anni l'UFCOM ci permette di disattivare in tempi brevi i domini divenuti oggetto di abuso. Come dimostrano le cifre, questa procedura è stata coronata da successo. A questo punto, in collaborazione coi nostri partner nazionali ed internazionali, vogliamo ottimizzare anche la nostra azione contro il phishing.

Dove si possono delineare all'orizzonte, a suo giudizio, le nuove minacce che SWITCH intende combattere?
SWITCH intende ampliare in futuro la propria azione contro l'abuso dei domini. Agendo, ad esempio, contro l'abuso di server, scelti a bersaglio dell'hacking con lo scopo di alterare dei motori di ricerca o di creare siti di vendita online a scopo di truffa. Nella nostra azione ci limitiamo alla fattispecie dell'hacking. Sui contenuti dei siti sono invece chiamate ad intervenire le autorità. Nel complesso tuttavia si osserva che: i criminali informatici agiscono spinti dal desiderio di guadagnare soldi. Troveranno sempre nuove strategie per estorcere denaro alla gente. Saranno sempre capaci di sorprenderci.

Possiamo rendere "più costosi" gli attacchi. Ciò non rende più appetibile un attacco in Svizzera.

Cosa è possibile fare per evitarlo?
Possiamo rendere "più costosi" gli attacchi, ad esempio oscurando più velocemente i server bersaglio dell'hacking. Ciò non rende più appetibile un attacco in Svizzera.

Serge Droz

Il Dr. Serge Droz ha studiato fisica presso l'ETH di Zurigo. Ha conseguito il titolo dottorale in fisica teoretica presso l'Università di Alberta (Canada). Ha lavorato come incaricato dei servizi di sicurezza presso l'Istituto Paul Scherrer. La sede del PSI si trova a Villigen AG. Nel 2004 entra a far parte di SWITCH. Svolge attualmente la funzione di Consigliere Senior della Sicurezza.
E-Mail

Tendenze 2015

Il 2015 è stato caratterizzato dai seguenti avvenimenti e tendenze nel campo della criminalità informatica:

Ransomware: Sempre più spesso i criminali informatici bloccano l'accesso ai dati e richiedono il pagamento di un riscatto per rientrarne in possesso. Sono quindi stati istituiti nel frattempo degli helpdesk professionali per fornire informazioni in casi simili.

Estorsione attraverso attacchi DDOS: Gruppi quali DD4BC (DDoS per bitcoin) o Armada-Collective minacciano di paralizzare le presenze online inviando una moltitudine di richieste (Distributed Denial of Service, ovvero di attacchi DDoS) nel caso in cui non si corrisponda il riscatto. Sembra che i bonifici effettuati a tale scopo servano a poco per risolvere la situazione: dal momento che attraverso un acquisto si segnala la disponibilità di fondi, la frequenza degli accessi risulterà addirittura più elevata. (Comunicazione Melani)

APT (Nuove dimensioni dell'Advanced Persistant Threat): i criminali spiano minuziosamente e a lungo le proprie vittime prima di sferrare attacchi confezionati su misura. Mentre finora gli attacchi sono stati soprattutto sferrati nel campo dei servizi segreti, essi sono oggi anche di natura monetaria. A tale conclusione si giunge perlomeno nel caso Carbanak. Il gruppo ideatore di questo software maligno ha atteso due anni prima di attaccare. Accedendo illegalmente al conto degli utenti di alcune banche, ottenendo l'accesso alle telecamere di sorveglianza, i criminali sono riusciti a riprogrammare alcuni bancomat in modo tale da prelevare banconote di maggior valore rispetto a quello registrato dal software. Il danno prodotto è stato dell'ordine di un miliardo di dollari US ed ha coinvolto un numero di circa cento banche di trenta Paesi (Analisi Kaspersky).

Consigli contro la criminalità informatica

  • Aggiornare periodicamente il programma antivirus
  • Autorizzare gli aggiornamenti automatici dei programmi
  • Backup automatico dei dati
  • Eseguire mensilmente il gratuito SISA-Check

Si veda inoltre Safer Internet

Altri contributi