Per evitarli, tutta la rete deve essere protetta

Di Umberto Pirovano, Manager, Systems Engineering, ‎Palo Alto Networks

Il concetto che un utente possa accidentalmente fidarsi di un software segretamente compromesso risale a più di 30 anni fa quando, nel 1984, venne pubblicato il paper di Ken Thompson ‘Reflections on Trusting Trust’. Infatti, quando decidiamo di eseguire un programma su un computer, scegliamo di fidarci che nessuna delle persone coinvolte nella creazione, packaging e fornitura di tale software abbia avuto intenzioni malevole o siano state esse stesse compromesse.

Negli ultimi due anni abbiamo visto diversi casi di compromissione nella “Software Supply Chain”, responsabile di fornire software e aggiornamenti ‘sicuri’ ai nostri sistemi per l’esecuzione; e l’impatto di tali compromissioni continua a scalare. Ecco alcuni esempi:

  • settembre 2015 – XcodeGhost: un attacker ha distribuito una versione malevola del software Apple Xcode (utilizzato per sviluppare applicazioni iOS e macOS) che ha iniettato ulteriore codice nelle app iOS realizzate con tale software. Dopo qualche tempo sono state identificate migliaia di app compromesse nell’app store di Apple.
  • marzo 2016 – KeRanger: Transmission, noto client open source BitTorrent, è stato compromesso al fine di contenere nell’installer un ransomware macOS. I malintenzionati hanno compromesso i server legittimi utilizzati per la distribuzione di Transmission di modo che gli utenti che scaricavano e installavano il programma venivano infettati con il malware che teneva in ostaggio i loro file fino al pagamento del riscatto.
  • giugno 2017 – NotPetya: gli hacker hanno compromesso una società di software ucraina e distribuito un payload distruttivo con capacità network-worm attraverso un aggiornamento del software finanziario “MeDoc”. Dopo aver infettato i sistemi, il malware passava ad altri host in rete, infestando organizzazioni in tutto il mondo e causando un danno significativo a livello mondiale.

In tutti i casi, invece di mirare a un’organizzazione direttamente con tecniche di phishing o sfruttandone le vulnerabilità, i malviventi hanno scelto di compromettere gli sviluppatori software e avvalersi della fiducia che noi vi riponiamo per accedere ad altre reti. Si tratta di un metodo potenzialmente valido per eludere determinati controlli preventivi e di identificazione, disegnati per fidarsi di programmi noti. Prevedo che, nel corso del 2018, sia la frequenza sia la gravità di tali attacchi aumenterà.

Gli attacchi di tipo “Software Supply-Chain” ci ricordano quanto sia importante creare una rete ben protetta che offra visibilità in ogni punto del ciclo di vita dell’attacco, e disporre della capacità di identificare e bloccare attività che deviano dalla norma. Suggerisco alle aziende di prepararsi per questa nuova era di attacchi cercando di capire come persone, processi e tecnologie li difenderebbero se un software ‘di fiducia’ all’improvviso si trasformasse in malware tramite un aggiornamento automatico.