Security Notes

Come si propagano nella rete i dati sottratti in un attacco informatico?

dati

Uno dei principali problema relativi all’investigazione di violazioni di sistemi informatici è la scoperta tempestiva dell’incidente. Purtroppo molto spesso prima che le organizzazioni vittime di un attacco si rendano conto dell’accaduto passano mesi, un’eternità in cui la informazioni passano di mano in mano, oggetto di scambio o vendita.

L’azienda Bitglass ha condotto un interessante esperimento per valutare la velocità con cui le informazioni sottratte in un attacco informatico si propagano incontrollate nella rete, come questi dati sono scambiati o venduti su forum criminali specializzati e in quale posto del globo finiscono. Gli esperti hanno utilizzato dei documenti Excel che sembravano originali e hanno sparso queste informazioni in rete: per rendere realistici i documenti sono stati utilizzati nomi, per i file, tali da poter credere che il contenuto fosse una collezione di dati provenienti da violazioni (e.g. credit_cerd_sn.xsl, ssn_employee.xls, oppure nomi di aziende recentemente vittime di attacchi informatici Anthem.xls).

Gli esperti hanno inserito nei file dei marcatori, ovvero codici che all’apertura del documento inviano agli esperti informazioni come l’indirizzo IP di coloro che hanno letto il file. I file sono stati quindi pubblicati su una cartella pubblica del servizio di cloud storage DropBox e su un altro paio di siti web utilizzati da comunità di criminali informatici.

“Abbiamo utilizzato 1.568 file Excel contenenti false credenziali dei dipendenti di un’azienda, poi abbiamo messo i file su siti di file sharing anonimo all’interno del Deep Web” spiegano gli esperti della Bitglass “Successivamente abbiamo rintracciato i dati in giro per il mondo individuando come essi si sono propagati.”

Secondo i dati forniti nel rapporto recentemente pubblicato dall’azienda, ci sono voluti appena 12 giorni perché i file fossero aperti più di 1.081 volte in 22 diversi paesi, in 5 distinti continenti. Questo dato è allarmante se si considera che mediamente per scoprire una violazione di dati si impiegano 205 giorni. Se in 12 giorni i file hanno fatto il giro del mondo, pensate cosa potrebbe accadere in 205 giorni, a dimostrazione dalla rapida propagazione delle informazioni. “Il livello di accesso, dopo soli 12 giorni è stato straordinario”, recita lo studio. “Immaginate come sarebbe potuto accadere in 205 giorni.”

Ma dove sono finiti i dati?

Ovviamente in qui paesi con maggiore attitudine alle attività criminali online, Russia, Cina e Brasile sono stati riconosciuti come punti di accesso principali per i file contenenti le false credenziali.

sicurezza

Ulteriori analisi sul tempo, luogo, e indirizzi IP relativi all’apertura dei documenti hanno consentito ai ricercatori di individuare due organizzazioni principali attive nella vendita delle informazioni “esca”: i gruppo operano principalmente in Nigeria e in Russia.

Proprio in alcuni paesi del contenente africano si stanno sviluppando comunità criminali dedite alle frodi online che sono estremamente attive. Inoltre, l’anonimato offerto dalla parte del web nota come Deep Web (ovvero non indicizzata dai principali motori di ricerca) , agevola la commercializzazione di dati rubati.

La ricerca è unica nel suo genere ed è considerata molto significativa perché aiuta a misurare la velocità con la quale le informazioni rubate si propagano nella rete e va precisato, inoltre, che le visualizzazioni contabilizzate potrebbero essere in realtà di gran lunga superiori perché in taluni casi i criminali potrebbero aver rimosso o neutralizzato i marcatori.

Non vi è dubbio, se si vogliono limitare i danni di una violazione di dati … occorre battere i criminali sul tempo ed operare prima che le propagazioni dei dati abbiano raggiunto livelli ingestibili.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This