Tutti hanno sentito parlare del malware Mirai, ma non tutti sanno che Mirai in giapponese significa “futuro”. Sarà solo una coincidenza? Forse no, perché è proprio quello cui stiamo assistendo in questo momento storico: il futuro dei cyber-attacchi.
Questo non significa certo che tutte le altre tipologie di attacchi informatici stiano scomparendo; gli attacchi di phishing, il social engineering e le Advanced Persistent Threat (APT) continueranno a esistere e a minacciare la nostra sicurezza. Tuttavia, il problema per i cyber criminali è che questi attacchi sono particolarmente costosi da sviluppare. Al contrario, i DDoS rivolti ai dispositivi IoT sembrano aver fornito un modello di business semplice e molto potente in termini di:
- sviluppo del malware
- uso del malware in attacchi di alto profilo
- monetizzazione dell’attacco
Nella Darknet non vige certamente la legge della domanda e dell’offerta: qui le minacce esistono sotto forma di codici e possono essere scaricate, modificate e utilizzate da chiunque. Ciò è stato ampiamente dimostrato con gli attacchi DDoS avvenuti alla fine dello scorso 2016, quando a massicci episodi di cyber-attack ha fatto seguito una serie di attacchi a catena, sviluppati sulla falsariga dei precedenti, che ha creato una sorta di cortina fumogena permettendo ai primi cyber-criminali di dileguarsi indisturbati.
Quando si parla di “prima ondata di attacchi” non si intende certo che nel 2017 si assisterà a milioni di attacchi DDoS. Piuttosto, in questo momento le “bande del malware” si trovano nella fase di monetizzazione e sono impegnate a vendere Botnet-as-a-Service (BaaS) sulla Darknet e a incassare denaro che potrà essere utilizzato per lo sviluppo di attacchi futuri.
L’hacker che ha ideato e reso pubblico il codice sorgente di Mirai ha successivamente dichiarato su un forum di averci guadagnato moltissimo e poiché ora tutti gli occhi sono puntati sull’IoT sarà sempre più questo il bersaglio da colpire. Ecco perché non è errato dire che gli attacchi DDoS e le botnet del 2016 hanno rappresentato solo la prima ondata di minacce, organizzata per raccogliere informazioni e denaro necessari a sviluppare e diffondere malware sempre più avanzati e complessi.
Cosa vedremo, dunque, nel prossimo futuro? Siamo già di fronte a incredibili nuovi scenari. Solo negli ultimi mesi abbiamo visto la rete di un’Università americana strangolata da una botnet composta da una combinazione di vending machine, lampadine e altri 5000 dispositivi IoT. La fase successiva potrebbe essere una botnet distribuita come attacco automatizzato – con ransomware incorporato – che assume il controllo di un intero edificio e chiede un riscatto, ad esempio, per riaccendere semplicemente le luci.
Questa tipologia di attacco si sta lentamente e inesorabilmente trasformando in realtà e continuerà a rappresentare un rischio fino a quando non verranno implementate valide soluzioni di sicurezza anche nel campo dell’IoT. Cosa possiamo fare, dunque, per essere sicuri che la macchina del caffè non si trasformi in un genio del cyber-crimine?
In fondo, rimuovere Mirai non è particolarmente complesso ed è probabile che anche gli attacchi futuri siano altrettanto semplici da sconfiggere. Basterebbe seguire sempre alcuni semplici, ma non banali, accorgimenti.
- Spegnere e riaccendere periodicamente i dispositivi IoT a casa e in ufficio, come router, luci, macchine per il caffè. La classica procedura di spegnimento e riaccensione dovrebbe essere eseguita una volta alla settimana, ma se si ha la sensazione che ci siano dei rallentamenti, la soluzione è procedere a un reset completo per rimuovere la presenza di eventuali malware.
- Creare password a prova di hacker. La password di default non è mai abbastanza sicura, proprio perché è di default. Non lo è nemmeno la targa dell’auto o il nome del gatto, dati probabilmente disponibili sui social network. Ecco perché si raccomanda sempre di creare password sicure e di cambiarle ogni 60-90 giorni.
- Creare reti separate per l’Internet delle Cose. L’adozione in azienda di una SDSN (Software-Defined Secure Networks) permette un controllo granulare sia della rete sia dei flussi di traffico. Ad esempio, la SDSN di Juniper Networks garantisce la massima sicurezza in quanto, a differenza della maggior parte delle piattaforme, incorpora elementi per la gestione delle minacce a tutti i livelli direttamente nelle reti fisiche e virtuali; il che, unito all’automazione, consente di isolare gli attacchi senza mettere a rischio i dati aziendali.
- Proteggere gli endpoint. L’uso di software antivirus avanzati è indispensabile. Purtroppo, per l’IoT ciò non è ancora possibile, in quanto questi dispositivi non hanno potenza sufficiente per far girare un antivirus. In aggiunta alla protezione degli endpoint, è necessario sapere quali dati sono presenti sulla rete e utilizzare soluzioni come Sky Advanced Threat Prevention per una rapida identificazione e mitigazione delle minacce.
- Non ignorare i segnali. Se si nota un rallentamento della rete, se le applicazioni sembrano comportarsi in modo strano non sottovalutare i segnali è indispensabile per non ritrovarsi vittima di un attacco da prima pagina.
di Laurence Pitt, senior security specialist EMEA, Juniper Networks
