Vista la complessità del tema affrontato abbiamo cercato di sintetizzare alcu- ni punti focali messi in evidenza nella rassegna e da casi di studio inseriti tra gli esempi .
Possiamo dire che gli obiettivi bersaglio del malware sono tutti quei dati che possono dare un ritorno di rilievo economico, ultimamente oltre che i dati colle- gati al recupero immediato di soldi (online-banking, transazioni Pos) , anche dati ri- servati e confdenziali appartenenti a vari ambiti: politico, strategico, legale, di marketing.
Di contro l'importanza che rivestono questi dati non sempre corrisponde nel
trattamento ad un livello di sicurezza adeguato. La conferma di questo può essere
letta nel resoconto realizzato da Oisterman [B-33] sui punti deboli in materia di sicu- rezza negli Enti/Aziende (ricerca in ambiente americano effettuato per conto della società Trustwave) elencati in ordine decrescente di importanza:
Problema
Malware being introduced from employees’ web surfing Malware being introduced from employees’ personal webmail Phishing attacks
Data loss from employees sending confidential info via email
Data loss from employees sending confidential info via cloud- based tools like Dropbox Malware being introduced from employees’ home computers
Virus/worm/malware infections
Malware being introduced from employees’ use of Web 2.0 apps Breaches of sensitive internal data
Breaches of sensitive customer data
The lag between new virus outbreaks and when our AV vendor issues an update to deal with these outbreaks
Mobile malware Direct hacker attacks
Users working at home creating security problems
Spam – the amount that your organization receives
Spam - your IP address getting blacklisted due to outbound mail attack Time spent by email administrators dealing with malware
Denial-of-service attacks
Employees viewing inappropriate content on the web Time spent by email administrators dealing with spam
Spam – the amount of false positives caused by your anti-spam system Time spent by employees dealing with spam
Ne deriva che il punto debole di ingresso del malware è legato a comporta-
menti inappropriati e disinvolti nella gestione dell'accesso ai servizi di internet da
parte dei dipendenti (ed utenti in genere) ed alla carenza di preparazione degli stessi.
Da più parti si auspica un migliore livello di formazione degli utenti per quan- to riguarda i pericoli di Internet in quanto sarebbe effcace nel prevenire la maggior parte dei tipi di attacco sul lato client, D'altra parte, si potrebbe pensare che nessuna
quantità di formazione fornirà una protezione per quelle persone che non sono di-
sposte o in grado di tenere il passo con le mutevoli tendenze e pratiche nel settore in- formatico. Ne segue che queste persone sono esattamente gli obiettivi ideali per i tipi di frode in effetti, la maggiore attitudine tra i clienti concentra gli attacchi contro colo- ro che sono meno in grado di proteggersi contro di loro. La comprensione generale deve e può migliorare e aiuterà, ma non sarà una soluzione.
Gli attacchi su internet in genere indeboliscono la fducia che un utente può avere nell'integrità del suo sistema, ma indebolisce anche la fducia che il server può avere nell' autenticità dei messaggi ricevuti da clienti. Questo indebolimento a due
vie è un ostacolo che dovrà essere superato in futuro, dal momento che la mancanza
di fducia reciproca è uno dei principali ostacoli alla crescita nel utilità di Internet.
Leggendo le analisi di molti esperti fatte su attacchi malware perpetrati nei modi più vari ed estrosi, emerge tra tutte, la tipologia di attacco più sottile e più dut- tile ed adattabile cioè l'ingegneria sociale[B-29].
Se guardiamo gli attacchi documentati, dai primi virus agli albori dell'informa- tica a quelli più recenti e devastanti, ritroviamo sempre in qualche passaggio, soprat- tutto iniziale, come vettore di partenza, un metodo di ingegneria sociale.
Se i primi virus ottenevano l'accesso ai sistemi tramite lo scambio di foppy disk contenenti fle infetti o un virus di boot (avvio), con l'avvento di internet come abbiamo visto [ ] il veicolo preferenziale di infezione è invece oggi rappresentato da tutte le possibilità di interscambio di dati offerte dalle rete.
Analizzando i resoconti resi pubblici da esperti analisti ci rendiamo conto di come l'intervento di ingegneria sociale sia essenziale per gli attaccanti . Se guardia- mo come viene utilizzato attraverso le analisi e rifessioni di chi ha studiato alcuni tipi di attacchi ci troviamo davanti ad innumerevoli esempi. In questo lavoro ne ab- biamo presentato alcuni : il Ransomware Torlocker , Trojan Worm Bot, Web Server che diffondono il malware [Sez.10].
Si deve anche aggiungere come la debolezza della certifcazione viene messa in evidenza in alcuni tipi di attacco, sia quello POS malware (esempio sez.10.10) che MITB (trojan/bot) [sez. 5.1.1]. Nel tipo di attacco tramite web browser come quelli MITB si deve dire che la certifcazione protegge solo il fusso di dati dopo che lascia il browser dell'utente, e non ha alcun controllo su come tale browser visualizza qual- siasi risposta dal server, infatti questi tipo di attacchi bypassano del tutto questa sicu- rezza, dal momento che hanno accesso ai dati prima della cifratura, e hanno il con- trollo su ciò che il browser mostra dopo che una risposta del server è stata cifrata. Questo mina l'affdabilità della sicurezza perchè tutte le forme di sicurezza sono ineffcaci contro di esso.
Al momento l'unica cosa di cui è garantito il funzionamento , notevole per la sua semplicità è la conferma fuori banda OOB. Richiede quindi che Internet banking (e qualunque altre forme di transazione su Internet si voglia proteggere) almeno par- zialmente sia fuori da Internet, piuttosto che fare in modo di avere Internet al primo posto. Sono auspicabili altre soluzioni ragionevoli in futuro ma non sembra disponi- bili in questo momento. Naturalmente, se gli utenti del web non avessero infezioni da malware, allora non ci sarebbe il problema, ma questo è improbabile che possa ac- cadere.