Di Didier Schreiber, Regional Marketing Manager South EMEA, Zscaler
Il 2017 è stato un anno contrassegnato da importanti violazioni di dati nelle aziende, da vere e proprie guerre di spionaggio informatico a livello nazionale e dall’inarrestabile ascesa degli attacchi ransomware. Con il 2018 appena iniziato, dobbiamo impegnarci diligentemente, non solo per porre rimedio alle possibili minacce alla sicurezza informatica, ma anche per prevederle e prevenirle. Sulla base di queste premesse, ecco le mie previsioni sulla sicurezza per il 2018.
Attacchi mirati contro gli assistenti digitali
Sembra che ogni grande azienda nel settore tecnologico sia ormai convinta che gli assistenti digitali (Alexa, Siri, Cortana) inclusi come altoparlanti intelligenti (Amazon Echo, Apple HomePod) siano il futuro dell’interazione uomo-computer. Questi dispositivi sono già molto diffusi e sono diventati molto più di un modo rapido per essere aggiornati su che tempo fa o sui risultati delle partite o delle competizioni sportive della giornata.
Gli assistenti digitali creano ecosistemi aperti all’interno dei quali innescano azioni che attivano altri dispositivi o applicazioni intelligenti. Una cosa è dire aprire una porta di garage con uno smartphone se questo è protetto da una password o un elemento biometrico. Avere il telefono di qualcuno non ha molto valore, se non si riesce ad accedervi (chiedete all’FBI).
Gli altoparlanti intelligenti, d’altra parte, offrono l’accesso agli assistenti digitali con controlli di sicurezza minimi. Pensiamo ad esempio alla posizione fisica. Perché fornire istruzioni ad un altoparlante intelligente se non sono a portata d’udito? In un mondo virtuale, la distanza fisica non è una barriera, anche quando si tratta di comunicazione audio. Nel mese di aprile, Burger King e Google hanno avuto una diatriba quando la catena del fast food ha sfruttato la frase ‘OK Google’ in un annuncio televisivo per azionare intenzionalmente gli altoparlanti intelligenti di Google Home.
Anche se gli hacker non hanno accesso alle reti televisive, possono effettuare chiamate automatiche verso abitazioni con segreterie telefoniche o pubblicare clip audio sulle pagine web. Una tattica più furtiva richiederebbe di sfruttare un exploit per installare malware su un computer che poi riproduce un clip audio quando l’utente è improbabile che riesca a sentirlo, come ad esempio a tarda notte. Quali danni potrebbero essere arrecati? Gli aggressori potrebbero sfruttare gli altoparlanti intelligenti per impartire ordini da cui trarre profitto, o sferrare attacchi fisici come l’apertura di serrature o la disabilitazione dei sistemi di sicurezza. Un ricercatore britannico esperto di sicurezza ha già scoperto un mezzo per trasformare i vecchi dispositivi Amazon Echo in un oggetto in grado di effettuare intercettazioni ambientali e possiamo stare certi che non si tratta dell’unico interessato a eludere le misure di sicurezza degli assistenti digitali.
L’ecosistema domestico delle smart home sarà un nuovo vettore per gli attacchi domestici
Se gli assistenti digitali possono innescare dispositivi intelligenti, altrettanto sono in grado di fare anche altri dispositivi intelligenti. Una ‘smart home’, o casa intelligente, è in realtà abbastanza ‘stupida’ quando è composta da una serie di tecnologie collegate in rete che funzionano isolatamente. Quando questi dispositivi collaborano creando una catena di eventi attivati da alcune variabili esterne, allora sì possiamo parlare di “smart home”.
Ad esempio, un rilevatore di CO2 è un dispositivo di sicurezza prezioso, ma un allarme che risuona in una casa vuota non è una buona cosa. Questo cambia quando lo stesso dispositivo può spegnere la caldaia difettosa e avvisare i vigili del fuoco. L’ecosistema della casa intelligente sta spiccando il volo e la storia ci ha insegnato che quando c’è una tecnologia che sta emergendo, la sicurezza viene trascurata.
Alcuni degli ecosistemi smart home sono stati assemblati da fornitori di tecnologia come Apple (Homekit), Google (Nest) e Samsung (SmartThings). Questi fornitori impongono varie restrizioni ai fornitori di dispositivi intelligenti. Non sorprendentemente Apple, controlla rigorosamente ciò che è permesso nell’ecosistema, spesso in nome della sicurezza, ma anche Apple ha ammesso che questo non permetterà loro di crescere abbastanza rapidamente e nell’iOS 11 ha dovuto allentare le restrizioni abbandonando i chip di sicurezza obbligatori. Le implementazioni neutre come l’IFTTT (if this, then that), cercano di creare un’infrastruttura dove tutti i prodotti possano comunicare tra loro. Anche se un singolo prodotto può integrare rigorosi controlli di sicurezza, questi stessi controlli possono essere resi inefficaci se combinati con altri prodotti. Consideriamo ad esempio la seguente regola IFTTT:
Questa regola disabiliterebbe il mio sistema di sicurezza ogni volta che pubblico una foto su Facebook. Ma è una regola terribile! Perché dovrei implementarla? Non lo farei, ma un aggressore potrebbe avere accesso al mio account IFTTT. In questo modo, l’aggressore potrebbe aggirare qualsiasi restrizione che il sistema di sicurezza avesse posto in essere per impedire il disarmo non autorizzato dell’allarme, perché tutti questi controlli presuppongono che il sistema operi in modo isolato.
Gli investimenti in sicurezza delle aziende si concentreranno sulla risposta piuttosto che su prevenzione e rilevamento
Dove sia il caso di impiegare i fondi dedicati alla sicurezza è un tema di discussione annoso. Negli ultimi anni le convinzioni consolidate si sono incrinate affermando che le imprese devono spostare gli investimenti dalla Prevenzione al Rilevamento. Ciò a seguito di una quasi quotidiana segnalazione di violazioni di dati e la consapevolezza che il tentativo di costruire una fortezza impenetrabile è un errore. Non si trattava più di stabilire se un’impresa sarebbe stata violata, ma quando. Occorreva pertanto spostare il budget dalla prevenzione totale della violazione alla sua rapida individuazione una volta verificatasi, in modo da limitare i danni.
Ora, ci aspettiamo che il 2018 sia l’anno in cui gli investimenti in security verranno reindirizzati ancora una volta, spostando il budget verso un’ulteriore fase del ciclo dell’attacco: da Prevent e Detect a Respond. Questo cambiamento sarà principalmente dovuto a due tendenze. La prima è una crescente tendenza verso una legislazione che impone una risposta alle violazioni dei dati. Mentre le leggi sulla risposta alle violazioni finora erano state caotiche e poco coordinate, la maggior parte degli Stati e dei paesi dispongono di normative, e nel 2018 il GDPR entrerà in vigore e sarà il vero protagonista del cambiamento.
Oltre alla normativa, un importante fattore di spinta sarà dato dal danno alla reputazione causato da risposte raffazzonate alle violazioni. Siamo arrivati al paradosso, ormai siamo talmente abituati alle violazioni che non gli dedichiamo più neanche troppa attenzione. Quello che il pubblico invece non perdona è una risposta superficiale alla violazione, che assomiglia più a un maldestro tentativo di coprirla piuttosto che a una divulgazione aperta e trasparente. Non è necessario rievocare i pasticciati tentativi di Equifax o Uber per capire perché ogni consiglio d’amministrazione sta chiedendo il massimo impegno nelle risposte alle violazioni per fare in modo che la propria azienda non sia il prossimo caso esemplare di come NON rispondere a una violazione dei dati.
I sostenitori della privacy premono per l’applicazione di restrizioni sulle modalità di condivisione e archiviazione della realtà aumentata
L’acquisizione di Oculus Rift da parte di Facebook nel 2014 lasciava presagire l’esplosione della realtà virtuale (VR), ma tre anni dopo stiamo ancora aspettando la diffusione della tecnologia su larga scala. La realtà aumentata (AR), invece, è già pronta. Il grande pubblico ne ha avuto un assaggio con la pazzia scatenata da PokemonGo nel 2016 e l’adozione di massa è già una realtà grazie al rilascio di ARKit da parte di Apple, e anche Google non è da meno e sta per rilasciare ARCore. La realtà aumentata aggiunge un contenuto virtuale su un’immagine del mondo reale. Ci sono anche numerose piattaforme AR indipendenti come ARToolKit, Wikitude e Vuforia. Anche se Microsoft spera di farlo con i visori (HoloLens), per ora dovremo accontentarci di utilizzare i nostri smartphone.
Perché questo è un rischio per la privacy? Al fine di determinare quali immagini digitali aggiungere e dove, il telefono cattura i dettagli dell’ambiente circostante e li invia a un motore di intelligenza artificiale basato su cloud affinché siano analizzate. Le aziende che si occupano di AR sono anche motivate nell’incoraggiare gli utenti a condividere i dati AR acquisiti dai loro dispositivi, al fine di migliorare l’esperienza per tutti gli altri utenti, nello stesso modo in cui Waze ha costruito mappe del traffico grazie al contributo degli utenti. Questa volta però si tratta di una mappa dell’ambiente fisico dell’utente, non solo di coordinate GPS.
Le sanzioni pecuniarie significative in arrivo per chi non è conforme – con l’entrata in vigore del GDPR – costringono le aziende a correre per recuperare il ritardo
Se non avete familiarità con il regolamento generale UE sulla protezione dei dati personali (GDPR), toccherà alla vostra azienda. Il GDPR è un regolamento sulla riservatezza dei dati sancito dall’Unione europea che sostituisce la direttiva UE sulla protezione dei dati. L’obiettivo del GDPR è quello di “armonizzare le leggi sulla privacy dei dati in tutta Europa, per proteggere e responsabilizzare tutti i cittadini dell’UE sulla privacy dei dati e per riorganizzare il modo in cui le aziende europee affrontano la privacy dei dati”. In quanto regolamento, si applica a tutti gli Stati membri dell’UE senza una legislazione nazionale separata e comporta sanzioni finanziarie significative in caso di inosservanza. Sappiamo da un po’ di tempo che sarebbe arrivato, ma ora siamo nel 2018, e non è più possibile procrastinare.
Il GDPR è stato proposto per la prima volta nel gennaio 2012 e adottato formalmente dal Parlamento Europeo nell’aprile 2016. Da allora, le aziende hanno avuto un periodo di due anni di transizione durante il quale le normative non sono state applicate, ma tutto cambierà il 25 maggio 2018. Il GDPR ha una portata molto ampia e avrà ripercussioni sulle imprese di tutto il mondo. La normativa si applica a tutte le società che raccolgono o elaborano dati su una persona basata nell’UE e la conformità richiede l’attuazione e la documentazione di una serie di controlli di sicurezza. Ma perché il GDPR è più importante della moltitudine di leggi/norme sulla privacy già esistenti a livello nazionale, locale e di settore?
In primo luogo, il campo di applicazione è significativo. Se sei un’azienda che fa affari in Europa, ne sarai toccato, indipendentemente da dove hai la sede principale. Inoltre, le sanzioni pecuniarie possono essere ingenti. Le aziende sono pronte per il GDPR? Le imprese con sede nell’UE si concentrano su questo aspetto da un po’ di tempo, ma molte imprese straniere non rispetteranno la scadenza. Provate a fare acquisti con una carta di credito negli Stati Uniti e contate il numero di volte che non è possibile usare il chip e la funzionalità PIN perché i commercianti non sono ancora in regola con una normativa dell’ottobre 2015 e capirete che le scadenze per la conformità non sono altro che un memorandum sul calendario. Molte aziende non saranno pronte. E la penale per il mancato rispetto della normativa sarà pesante – una multa fino a 20 milioni di euro o fino al 4% del fatturato annuo dell’esercizio precedente. Aspettatevi che queste multe siano reali. Entro la fine dell’anno, qualcuno sarà il prossimo caso esemplare del rischio di NON essere conformi.
Le fake news sono il nuovo strumento preferito per le elezioni e la propaganda
Abbiamo trascorso molto tempo a discutere dell’impatto che le notizie false (fake news) potrebbero o meno aver avuto sulle elezioni presidenziali del 2016, ma poco è cambiato. Non importa quale sia la vostra posizione sull’argomento, è difficile sostenere che le notizie false non siano reali con Facebook che ha rivelato che circa 126 milioni di utenti Facebook USA hanno visualizzato contenuti dell’Internet Research Agency, il governo russo ha sostenuto vere e proprie ‘fabbriche di troll’, nel corso degli ultimi due anni. I contenuti provenivano da migliaia di account Facebook russi, ma ancor più affascinante è il fatto che solo 11,4 milioni di utenti hanno visto direttamente i contenuti. Il resto li ha osservati quando i contenuti sono stati condivisi da qualcun altro. In breve: funzionano anche le fake news. Postate una storia interessante e sarà condivisa, indipendentemente dal fatto che sia reale o meno, e la portata è potenzialmente enorme.
Gli appelli dei legislatori statunitensi affinché i social network mettano al bando le inserzioni pubblicitarie politiche pagate in valuta estera sono rimasti del tutto inascoltati. Non si tratta solo di una questione politica. Provare a proibire a un governo straniero di comprare spazi pubblicitari per annunci politici è come combattere un ammasso di cavallette con una mosca. Sarà possibile in alcuni casi, ma qual è il punto. Non solo tali regole verrebbero facilmente eluse, ma dovremmo preoccuparci di tutte le decisioni influenzate dal potere dei social media per diffondere informazioni false, indipendentemente dalla fonte.
Mentre le sfide tra i candidati alle elezioni americane sono state le più ampiamente seguite e discusse, le ‘fake news’ hanno giocato un ruolo negli avvenimenti politici di tutto il mondo, anche in Francia,Germania, Filippine, Myanmar e Kenya. Ora che il mondo è stato testimone della loro efficacia, non ci sono più limiti. Aspettatevi che lobbisti, stranieri e nazionali supportino e diffondano notizie false per promuovere i loro obiettivi. Aspettatevi che i criminali facciano lo stesso per ottenere un profitto influenzando decisioni come l’acquisto di azioni montando il loro valore con schemi “pump and dump”. Si tratta di un problema enorme che non ha una soluzione semplice. Facebook deve trovare un giusto equilibrio tra fare la cosa giusta ed essere fratello maggiore, decidere cosa possiamo e cosa non possiamo vedere. Ma Facebook rimane una piattaforma di comunicazione per un gran numero di persone. E questo problema deve essere regolamentato con interventi legislativi, giudiziari e del mercato. Se servisse un promemoria su quanto poco è stato fatto per affrontare il problema, stanno arrivando le elezioni di medio termine negli Stati Uniti che si terranno a novembre 2018. La Russia ha aperto la strada, ma tutti parteciperanno alla gran corsa.
Il primo attacco malware progettato con l’intelligenza artificiale
Nelle mie previsioni di sicurezza del 2017, discutevo di come gli hacker avrebbero sfruttato il machine learning per scalare e analizzare in modo più efficiente le enormi quantità di dati coinvolti negli attacchi informatici. Anche se gli hacker tendono a non condividere le loro metodologie, abbiamo già avuto prove che l’apprendimento automatico sta effettivamente aiutando a raggiungere gli obiettivi prefissati nelle truffe Business Email Compromise (BEC), per cui ai dirigenti aziendali vengono inviati messaggi email mirati con metodi di social engineering. Intelligenza artificiale e machine learning stanno rapidamente diventando accessibili ad una vasta gamma di sviluppatori grazie alla disponibilità di numerose piattaforme AI/ML basate su cloud. L’utilizzo del machine learning per l’elaborazione pre o post attacco di enormi serie di dati è il primo passo. La prossima evoluzione richiederà di far leva sull’IA per condurre un attacco su larga scala capace di adattare e modificare le proprie tattiche in tutto il mondo. L’intelligenza artificiale permetterà anche di scalare gli attacchi ben oltre le capacità umane, come hanno dimostrato i ricercatori di ZeroFox al BlackHat 2016 mettendo un essere umano di fronte a un bot Twitter guidato dall’intelligenza artificiale. Il vincitore di questa competizione uomo/macchina sarebbe stato il concorrente sarebbe stato in grado di indurre il maggior numero di follower di Twitter a cliccare su una URL tramite tecniche di social engineering. Naturalmente ha vinto il bot a mani basse.
L’intelligenza artificiale si è evoluta al punto da essere utilizzata negli attacchi informatici per attività più complesse di una semplice elaborazione di dati. Il 2017 è stato caratterizzato da una serie di importanti campagne malware. Dal ritorno di Locky a NotPetya e BadRabbit, il ransomware ancora una volta ha dominato la scena, ma in gran parte ha seguito le tecniche di propagazione tradizionali, sfruttando exploit noti e messaggi email basati su social engineering statici. Anche questo cambierà nel 2018 quando osserveremo la prima campagna malware di massa perpetrata sfruttando il social engineering guidata non da un essere umano, ma da un motore di intelligenza artificiale.
