Post del mese: luglio 2020

Un sistema di allerta precoce per i cyber-ranger (Adaptive Anomaly Control)

Molto probabilmente, se siete abituati a lavorare in ufficio, in questo momento è ancora piuttosto, o completamente vuoto, proprio come il nostro. Nel nostro quartier generale le uniche persone che vedrete di tanto in tanto sono le guardie di sicurezza, e l’unico rumore che sentirete sarà il ronzio dei sistemi di raffreddamento dei nostri pesanti server, dato che tutti sono collegati e lavorano da casa.

Non immaginereste mai che, invisibili, le nostre tecnologie, i nostri esperti e i nostri prodotti lavorano 24 ore su 24, 7 giorni su 7 per proteggere il mondo informatico, eppure è così. Tuttavia, nel frattempo i cybercriminali stanno escogitando nuovi trucchi. Meno male, quindi, che abbiamo un sistema di allerta precoce nella nostra collezione di tool per la protezione informatica. Ma ci arriverò tra un po’…

Il ruolo di un addetto/a alla sicurezza informatica assomiglia per certi versi a quello di una guardia forestale: per catturare i bracconieri (malware) e neutralizzare la minaccia che rappresentano per gli abitanti della foresta, è necessario prima di tutto trovarli. Certo, si potrebbe semplicemente aspettare che il fucile di un bracconiere spari e correre verso il luogo da cui proviene il suono, ma questo non esclude la possibilità che si arrivi troppo tardi e che l’unica cosa che si possa fare sia ripulire la scena.

Si potrebbe andare in paranoia: piazzare sensori e videocamere in tutta la foresta, ma poi ci si potrebbe ritrovare a reagire a qualsiasi fruscio che viene captato (e presto perdere il sonno, poi la testa). Ma quando ci si rende conto che i bracconieri hanno imparato a nascondersi davvero bene, anzi, a non lasciare alcuna traccia della loro presenza, allora diventa chiaro che l’aspetto più importante della sicurezza è la capacità di separare gli eventi sospetti da quelli regolari e innocui.

Sempre più spesso i cyber-bracconieri di oggi si mimetizzano con l’aiuto di strumenti e operazioni perfettamente legittime.

Alcuni esempi: l’apertura di un documento su Microsoft Office, la concessione dell’accesso remoto a un amministratore di sistema, il lancio di uno script su PowerShell e l’attivazione di un meccanismo di cifratura dei dati. Poi c’è la nuova ondata dei cosiddetti malware fileless, che lasciano letteralmente zero tracce su un disco rigido e che limitano seriamente l’efficacia degli approcci tradizionali alla protezione.

Esempi: (i) la minaccia Platinum ha utilizzato tecnologie fileless per penetrare nei computer di organizzazioni diplomatiche; e (ii) documenti di lavoro con payload dannoso sono stati utilizzati per infezioni tramite phishing nelle operazioni dell’APT DarkUniverse. Un altro esempio: il ransomware-encryptor fileless ‘Mailto’ (alias Netwalker) utilizza uno script PowerShell per caricare ilcodice dannoso direttamente nella memoria di processi di sistema affidabili.

Ora, se la protezione tradizionale non è all’altezza del compito, è possibile cercare di vietare agli utenti tutta una serie di operazioni e introdurre politiche severe sull’accesso e l’uso di software. Tuttavia, anche se così fosse, sia gli utenti che i criminali informatici alla fine troverebbero probabilmente il modo di aggirare i divieti (proprio come è sempre stato fatto anche per il divieto di bere alcolici).

Sarebbe molto meglio trovare una soluzione in grado di rilevare le anomalie nei processi standard e di informarne l’amministratore di sistema. Ma l’importante è che una tale soluzione sia in grado di imparare a determinare automaticamente in modo accurato il grado di “sospetto” dei processi in tutta la loro grande varietà, in modo da non tormentare l’amministratore di sistema con continue grida di “al lupo, al lupo!”

Bene, avete indovinato! Abbiamo una soluzione di questo tipo: si chiama Adaptive Anomaly Control, un servizio costruito su tre componenti principali: regole, statistiche ed eccezioni.

Continua a leggere:Un sistema di allerta precoce per i cyber-ranger (Adaptive Anomaly Control)

Cybersicurezza: i nostri inizi – Ottava parte: 1998-2000 (riorganizzazione, uffici all’estero, conferenze dei partner)

I primi anni dopo la fondazione dell’azienda furono i più duri di tutti, perché dovevamo mettercela tutta sempre, in qualsiasi momento, dedicando ore e ore di lavoro. Era come se stessimo tirando una molla affinché poi si liberasse l’energia che avrebbe portato l’azienda in alto e nella giusta direzione, verso i nostri sogni a occhi aperti (attenzione a ciò che sognate). Dopo la registrazione formale di KL nel 1997, facemmo tanto con molto poco . Non avevamo soldi e quasi nessuna risorsa, ma il treno della cybersecurity non aspettava nessuno: servivano nuove tecnologie e il mercato richiedeva nuovi prodotti. Così lavoravamo la maggior parte dei fine settimana e non prendevamo una vacanza quasi mai. A cosa stavamo lavorando? Ecco un esempio…

Giugno 1998: l’epidemia globale del Virus Chernobyl (CIH). Tutte le altre aziende AV non se ne erano accorte o non se preoccupavano, oppure erano in vacanza; eravamo quasi l’unica azienda ad avere un prodotto che non solo catturava, ma curava anche i sistemi infettati da questo agente patogeno. Il WWW (ormai non solo Runet) era costellato di link al nostro sito. E fu così che ci premiarono per i nostri tempi di reazione davvero veloci alle nuove minacce e anche per la nostra capacità di lanciare aggiornamenti rapidi con procedure per il trattamento di minacce specifiche. Nel frattempo, questa specifica minaccia di virus si installava in modo incredibilmente astuto nella memoria di Windows, agganciava le chiamate di accesso ai file e infettava i file eseguibili, tutto ciò richiedeva un processo di dissezione personalizzato che sarebbe stato impossibile da fornire senza una funzionalità flessibile di aggiornamenti.

Quindi, sì, stavamo ottenendo risultati e stavamo crescendo. E poi, due mesi dopo, ricevemmo un aiuto (del destino?!) e del tipo più inaspettato…

Agosto 1998: ci fu la crisi finanziaria russa, con la svalutazione del rublo, più la Russia inadempiente riguardo al suo debito. Fu un male per la maggior parte dei russi nel complesso ma noi fummo davvero fortunati: tutti i nostri partner stranieri ci pagarono in anticipo in valuta estera. Eravamo esportatori. La nostra moneta, opera/lavoro, un rublo fortemente svalutato; il nostro reddito, dollari, sterline, yen, ecc. Un po’ di tutto!

Ma non rimanemmo a riposarci sugli allori “fortunati” nel mezzo della crisi finanziaria. Sfruttammo questo periodo anche per assumere nuovi manager, dei costosi professionisti! E poco dopo seguirono direttori commerciali, tecnici e finanziari. E poi iniziammo ad assumere anche manager di medio livello. Questa fu la nostra prima  “riorganizzazione” in assoluto, quando il “team” passò ad essere una “società”; quando le relazioni amichevoli e organiche furono sostituite da una struttura organizzativa, una sistema e un livello di responsabilità più formali. Una riorganizzazione che avrebbe potuto essere dolorosa; per fortuna, non lo fu e andammo avanti senza troppa nostalgia dei vecchi tempi famigliari.

// Per tutto ciò che riguarda questo tipo di riorganizzazione-ristrutturazione-“reingegnerizzazione”- consiglio vivamente il libro Reengineering the Corporation di Michael Hammer e James Champy. È davvero un buon libro. Altri libri interessanti, qui.

Nel 1999 aprimmo il nostro primo ufficio all’estero, a Cambridge, nel Regno Unito. Ma come mai, penserete, visto che il mercato britannico è forse uno dei più difficili da conquistare per gli stranieri, perché proprio lì? In realtà, fu un po’ per caso (vi spiegherò poi). Comunque, dovevamo pur iniziare da qualche parte e, ad ogni modo, le nostre prime esperienze, compresi molti errori e lezioni imparate, nel Regno Unito hanno contribuito a rendere lo sviluppo del business in altri paesi molto più agevole…

Il nostro primo tour con la stampa ebbe luogo a Londra, dato che ci trovavamo comunque nella capitale britannica per una conferenza sulla sicurezza informatica (InfoSecurity Europe). Durante il press tour annunciammo con orgoglio l’intenzione di aprire un ufficio nel Regno Unito. Ma i giornalisti semplicemente si chiesero perché, dato che nel Paese c’erano già Sophos, Symantec, McAfee e così via, già ben affermati. Così passammo alla modalità “fanatici”: raccontammo come la nostra azienda fosse davvero innovativa e come, grazie a loro, fossimo migliori di tutta la concorrenza di cui avevano appena parlato. Questo messaggio fu accolto con notevole interesse e sorpresa (e un altro bonus: da allora non ci hanno più fatto domande così sciocche!). A proposito, allInfoSecurity Europe tenni il mio primo discorso in assoluto di fronte a un pubblico di lingua inglese composto da… due giornalisti, che si rivelarono essere dei nostri amici di Virus Bulletin che già sapevano molto su di noi! Comunque, quella fu la prima, e l’ultima, volta che una delle nostre presentazioni non fosse al completo (comunque: dettagli – qui).

Per quanto riguarda la nostra prima conferenza con i partner, ecco come è nata…

Nell’inverno 1998-1999 fummo invitati alla conferenza dei partner del nostro socio OEM F-Secure (Data Fellows). E fu così che venimmo a conoscenza dell’intero sistema di conferenze di partner e della loro unicità: riunirci tutti insieme, condividere le ultime informazioni sulle tecnologie e sui prodotti, ascoltare le preoccupazioni e i problemi dei partner e discutere di nuove idee, perfetto! E nel giro di un anno (nel 1999) organizzammo la nostra conferenza per i partner, invitando a Mosca circa 15 partner dall’Europa, dagli Stati Uniti e dal Messico. Eccoci tutti qui, in Piazza della Rivoluzione, accanto alla Piazza Rossa e al Cremlino:

Continua a leggere:Cybersicurezza: i nostri inizi – Ottava parte: 1998-2000 (riorganizzazione, uffici all’estero, conferenze dei partner)

Foto di Flickr

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Giocare a nascondino con i malware fileless

Il codice dannoso… si insinua ovunque…

È un po’ come un gas, che riempirà sempre lo spazio in cui si trova, anche se una differenza c’è: il codice dannoso passerà sempre attraverso i “buchi” (le vulnerabilità) di un sistema informatico. Quindi il nostro lavoro (anzi, uno di questi) è trovare tali falle e chiuderle. Il nostro obiettivo è di farlo in modo proattivo, cioè prima che il malware scopra queste falle. E se ci riesce, siamo lì pronti ad acciuffarlo.

Di fatto, è questa protezione proattiva e la capacità di prevedere le azioni dei cybercriminali e di creare una barriera in anticipo che fa la differenza tra una cybersecurity di qualità e altamente tecnologica dal marketing di paccottiglia.

Oggi voglio parlarvi di un altro modo in cui la nostra protezione proattiva protegge da un tipo di malware, particolarmente astuto. Sì, voglio parlarvi del cosiddetto codice dannoso fileless (o bodiless, senza corpo), un tipo pericoloso di malware-fantasma che ha imparato a usare i difetti dell’architettura di Windows per infettare i computer. E voglio parlarvi anche della nostra tecnologia brevettata che combatte questa particolare cyber-malattia. Lo farò proprio come piace a voi: spiegando problemi complessi in modo semplice, senza nascondere nulla ma in modo avvicente, una sorta di cyber-thriller con elementi di suspense.

Prima di tutto, cosa indica il termine fileless?

Ebbene, il codice fileless, una volta entrato in un sistema informatico, non crea copie di sé stesso sotto forma di file su disco e, in questo modo, evita di essere individuato dalle tecniche tradizionali, utilizzando ad esempio un monitor antivirus.

Come può esistere un tale “malware fantasma” all’interno di un sistema? In realtà, risiede nella memoria di processi affidabili! Ah, sì. Proprio così.

Su Windows (in realtà, non solo Windows), è sempre esistita la possibilità di eseguire un codice dinamico che, in particolare, viene utilizzato per il compilatore just-in-time; cioè, il codice del programma viene trasformato in linguaggio macchina non subito, ma quando è necessario e nel modo in cui è necessario. Questo approccio aumenta la velocità di esecuzione per alcune applicazioni. E per supportare questa funzionalità, Windows permette alle applicazioni di inserire il codice nella memoria del processo (o anche in un’altra memoria di un processo affidabile) e di eseguirlo.

Non è una grande idea dal punto di vista della sicurezza, ma cosa si può fare? Da decenni milioni di applicazioni eseguite su Java, .NET, PHP, Python e altri linguaggi e per altre piattaforme funzionano in questo modo.

Come era facile prevedere, i cybercriminali hanno approfittato della possibilità di utilizzare il codice dinamico, inventando vari metodi per utilizarlo per i propri scopi. E uno dei metodi più comodi e quindi più diffusi è la cosiddetta Reflective PE injection. Che cosa? Lasciate che vi spieghi (in realtà, è un argomento piuttosto interessante, quindi abbiate pazienza)…

Lanciare un’applicazione cliccando su un’icona, un’operazione abbastanza semplice e diretta, giusto? Sembra semplice, ma in realtà, dietro ci sono tante operazioni in ballo: viene richiamato un loader di sistema, che prende il rispettivo file dal disco, lo carica in memoria e lo esegue. E questo processo standard è controllato dai monitor antivirus, che controllano al volo la sicurezza dell’applicazione.

Ora, quando c’è un “riflesso”, il codice viene caricato bypassando il loader del sistema (e quindi anche il monitor antivirus). Il codice viene posto direttamente nella memoria di un processo affidabile, creando un “riflesso” del modulo eseguibile originale. Tale riflesso può essere eseguito come un modulo reale caricato con un metodo standard, ma non è registrato nella lista dei moduli e, come detto sopra, non ha un file sul disco.

Inoltre, a differenza di altre tecniche di iniezione del codice (per esempio, tramite shellcode), le reflected injection consentono di creare un codice funzionalmente avanzato in linguaggi di programmazione ad alto livello e framework di sviluppo standard con quasi nessuna limitazione. Quindi quello che si ottiene è: (i) nessun file, (ii) l’occultamento dietro un processo affidabile, (iii) l’invisibilità alle tradizionali tecnologie di protezione e (iv) via libera per causare un po’ di caos.

Quindi, naturalmente, le reflected injection hanno avuto un grande successo tra gli sviluppatori di codici dannosi: all’inizio apparivano in pacchetti di exploit, poi sono entrati in gioco le cyberspie (per esempio, Lazarus e Turla), i cybercriminali avanzati (perché è un modo utile e legittimo di eseguire un codice complesso!) e infine anche i cybercriminali di poco conto.

Ora, dall’altra parte della barricata, trovare una tale infezione fileless non è una passeggiata nel cyber-parco. Quindi non c’è da stupirsi che la maggior parte dei vendor di sicurezza informatica non sia troppo esperta. Alcune riescono a malapena a individuare il problema.

Continua a leggere:Giocare a nascondino con i malware fileless

Exploring Russia: Turismo ÷ Lockdown x Acceleratore = Vincitori sul podio!

A metà primavera di quest’anno, al culmine del periodo “tutti a casa”, era ovvio che le prospettive per il mondo non  sembravano essere per nulla rosee, e che sarebbero rimaste così per molto tempo. L’economia in generale ne risente e ne risentirà parecchio, per usare un eufemismo, mentre il settore del turismo in particolare ne uscirà devastato, con molte aziende che non supereranno la crisi. Così noi di K abbiamo fatto quello che facciamo spesso sempre, ci abbiamo pensato su e abbiamo deciso… di dare una mano ai settori più colpiti.

All’inizio di maggio ho annunciato il lancio dell’acceleratore per startup del turismo chiamato “Kaspersky Exploring Russia”. Da allora abbiamo iniziato a ricevere richieste ma non avrei mai immaginato che ne sarebbero state inviate più di 500, da 47 paesi (quasi un quarto di tutti i paesi del mondo!) dei cinque continenti (tutti tranne l’Antartide!). E leggendo queste richieste mi sono reso conto di quanto potenziale ci sia nel settore del turismo, tante idee, e tante grandi startup e progetti già esistenti. Non c’erano restrizioni geografiche per le candidature: potevano, e così è stato, provenire da qualsiasi parte del pianeta, ma dovevano descrivere idee turistiche che potessero sfruttare il potenziale del turismo russo o essere applicate in Russia. Abbiamo vagliato tutte le candidature per poi stilare una Top- 10 delle migliori idee, dieci idee che sono rientrate nel programma dell’acceleratore.

Durante due settimane questi 10 progetti hanno partecipato a master class e conferenze online. Ogni team ha avuto una serie di incontri personalizzati con i mentori. Le principali figure del settore hanno condiviso con i partecipanti le loro esperienze e il loro know-how per costruire un business di successo. Fra i mentori c’erano: Vikas Bhola, direttore regionale di Booking.com; Gemma Rubio, fondatrice di Define the Fine; Vadim Mamontov, direttore generale di Russia Discovery e altri professionisti del settore. E in quelle due settimane i partecipanti hanno anche perfezionato le loro presentazioni, che hanno poi sottoposto alla giuria, di cui io facevo parte.

La settimana scorsa i finalisti hanno tenuto le proprie presentazioni e hanno risposto alle nostre domande nella giornata finale. E così abbiamo scelto tre vincitori, ai quali sono stati assegnati deipremi dai nostri partner. Lasciate che vi racconti un po’ di ognuno di loro…

Il primo posto è stato asseganto a 360 Stories. Si tratta di un’applicazione mobile di realtà aumentata con una guida dal vivo. Dicono che la loro mission è quella di “modernizzare l’esperienza turistica tradizionale creando tour interattivi dal vivo con guide in tempo reale”. Con 360 Stories gli utente ora possono visitare da casa le proprie città e attrazioni turistiche preferite iscrivendosi a un’esperienza personalizzata accompagnati da una guida locale in tempo reale.

Continua a leggere:Exploring Russia: Turismo ÷ Lockdown x Acceleratore = Vincitori sul podio!

Cyber-racconti dal lato oscuro: vulnerabilità inaspettate, hacking-as-a-service e sistemi operativi spaziali

Il nostro primo mese d’estate in lockdown si è già concluso. E anche se il mondo sembra aprirsi poco a poco ma in modo costante, noi di K abbiamo deciso di non correre rischi, rimanendo praticamente in piena attività ma da casa. Questo non significa che stiamo lavorando in modo meno efficace, bene come sempre, dal momento che i cybercriminali non rimangono con le mani in mano. In realtà, non ci sono stati grandi cambiamenti nel quadro globale delle minacce degli ultimi tempi. Tuttavia, i cybercriminali, come sempre, hanno tirato fuori dal cilindro dei cyber-trucchi che sono abbastanza stupefacenti. Eccone alcuni del mese scorso.

Una vulnerabilità zero-day sul “super sicuro” Linux Tails

Facebook sa sicuramente come spendere. Si è scoperto che ha speso una somma a sei cifre sponsorizzando la creazione di un exploit zero-day di una vulnerabilità nel sistema operativo Tails (= Linux, appositamente messo a punto per una maggiore privacy) per un’indagine dell’FBI, che ha portato alla cattura di un pedofilo. Si sapeva già da tempo che questo paranoico squilibrato usava questo particolare, particolarmente sicuro, sistema operativo. Il primo passo di FB è stato quello di usare la sua forza nella mappatura degli account per collegare tutti quelli utilizzati dall’hacker. Tuttavia, passare l’idea di passsare da una cyber-vittoria a un indirizzo postale fisico non ha funzionato. A quanto pare, hanno ordinato lo sviluppo di un exploit per un’applicazione video-player. Questa scelta del software aveva senso, poiché il maniaco sessuale chiedeva i video delle sue vittime e probabilmente li guardava sullo stesso computer.

È stato riferito che gli sviluppatori di Tails non erano stati informati della vulnerabilità sfruttata, ma poi si è scoperto che era già stata corretta. I dipendenti dell’azienda stanno mantenendo il silenzio su tutto questo, ma quello che è chiaro è che una vulnerabilità non è la migliore pubblicità. Rimane la speranza che l’exploit sia stato un episodio di una singola persona, particolarmente cattiva, e che questo non si ripeta con un utente normale.

Morale della favola: non importa quanto super-mega-sicuro sia un progetto basato su Linux, non c’è garanzia che non ci siano vulnerabilità. Per essere in grado di garantire una cosa del genere, l’intera architettura e i principi di base del lavoro e la struttura dell’intero sistema operativo hanno bisogno di una revisione. Ehm, sì, in realtà, questa è una sfacciata buona occasione per presentarci).

Hacking-as-a-service

Ecco un’altra storia piuttosto siginificativa. Il gruppo di cybercriminali Dark Basin (che si pensava fosse indiano) è stato catturato con le mani nel cyber-sacco. Questo gruppo è stato responsabile di più di un migliaio di attacchi. Tra gli obiettivi ci sono stati funzionari, giornalisti, candidati politici, attivisti, investitori e uomini d’affari di vari paesi. Curiosamente, gli hacker di Delhi hanno usato strumenti davvero semplici e primitivi: innanzitutto hanno semplicemente creato delle e-mail di phishing che sembravano provenire da un collega o un amico, hanno messo insieme falsi aggiornamenti di Google News su argomenti interessanti per l’utente e hanno inviato simili messaggi privati su Twitter. Poi hanno inviato e-mail ed SMS contenenti link accorciati a siti di phishing davvero ben fatti e sono riusciti a rubare credenziali di accesso ed altro. E questo è tutto! Niente malware o exploit complessi! E comunque, sembra che le informazioni iniziali su ciò che interessa a una vittima provengano sempre da chi ordina il cyber-colpo.

Ora, il cyber-crimine mirato è molto diffuso ed è in circolazione da tempo. In questo caso, però, gli hacker l’hanno portato a un livello completamente diverso, esternalizzando migliaia di colpi.

Fonte

Continua a leggere:Cyber-racconti dal lato oscuro: vulnerabilità inaspettate, hacking-as-a-service e sistemi operativi spaziali

Cybersicurezza: i nostri inizi – sesta parte: il rapporto con i media

La settimana scorsa mi sono reso conto di essere stato in isolamento-lockdown-quarantena per un intero quarto d’anno. Tre mesi seduto a casa, con solo un paio di brevi incursioni nell’ufficio deserto, più ogni fine settimana nella nostra dacia con la famiglia altrettanto isolata. Per tutti, una vita quotidiana davvero straordinaria. Per me, niente aerei/aeroporti, niente alberghi, niente riunioni o discorsi: insomma, pochissimi viaggi.

Ma tutto è relativo: in tre mesi abbiamo viaggiato tutti per oltre 230 milioni di chilometri (un quarto di un’orbita terrestre intorno al Sole)! E questo senza tener conto del fatto che il sistema solare stesso viaggia a una velocità pazzesca. Una cosa che non è cambiata molto da quando è iniziato il lockdown sono gli incontri d’affari, si sono semplicemente tutti spostati online. Ah sì, e tutti i nostri affari in generale si stanno svolgendo in questo modo: come al solito ma senza essere colpiti da virus biologici.

Ma basta parlare di lockdown; probabilmente siete stanchi di sentire questa parola. Meglio continuare con i miei racconti dal fronte del cyber-passato: questa volta parlerò di interviste a giornali, riviste, radio, TV, oltre ad altre presenze in pubblico varie (mi è venuta in mente la mia attività di “media relations” mentre raccontavo della mia settimana di interviste al CeBIT di molto tempo fa, Cybersicurezza: i nostri inizi – quarta parte). Ed è venuto fuori che ho un sacco di cose da raccontarvi sulle esperienze interessanti che ho vissuto parlando con i media e parlando in pubblico e tutto il resto, un sacco di aneddoti divertenti e insoliti, oltre naturalmente ad alcune foto (illuminate e ripulite).

Ci saranno vari tipi di media-racconti di diverse dimensioni e sapori: dai discorsi in sale praticamente vuote agli stadi stracolmi! Dalle minuscole e sconosciute pubblicazioni sui media locali a conglomerati di media globali di altissimo livello dai nomi noti! Dalle conferenze professionali presso le principali università e/o con un pubblico appositamente equipaggiato con il meglio della tecnologia alle conferenze informali sulle meraviglie dell’aritmetica su una nave che navigava verso… l’Antartide con Drake Passage! Eugene è la costante, tutto il resto intorno cambia.

Continua a leggere:Cybersicurezza: i nostri inizi – sesta parte: il rapporto con i media