Le cyber-minacce si fanno sempre più sofisticate e così anche le società che combattono malware e hacker si attrezzano con nuovi strumenti. La nuova generazione di aziende della cyber-security lavora su un peculiare sistema per catturare i criminali informatici: predisporre delle trappole creando reti di falsi computer con falsi software e files. Una volta che gli hacker vi si infiltrano, le aziende della cyber-security possono studiarne le tecniche e i comportamenti oltre che tentare di risalire alla loro identità.
LE TRAPPOLE DI TRAPX
Tra le aziende più esperte di questi nuovi sistemi di cyber-security c’è l’israeliana TrapX, una start-up che ha lanciato la sua tecnologia anche negli Usa lo scorso mese e che lavora con clienti dei settori finanziario e retail. I suoi fondatori sono Moshe Ben-Simon, che proviene dall’Aeronautica israeliana, oltre ad essere laureato in ingegneria elettronica, e Yuval Malachi, un esperto di sicurezza che in passato aveva fondato la Zeroday Security, società che faceva consulenze per il settore militare e gli istituti finanziari.
Carl Wright, executive vice-president e direttore vendite di TrapX, afferma che l’obiettivo della società “è ripristinare la tattica che esiste da quando esiste la guerra: l’inganno”, perché gli strumenti di difesa attuali non sono più adeguati a combattere hacker sempre più sofisticati. “E’ come se noi fossimo nel 1500, protetti da un castello e un fossato, mentre i nostri avversari hanno aeroplani e paracadute”, dice Wright.
Finanziata da BRM Capital, società del venture capital israeliana, e dalla Opus Capital, che ha sede nella Silicon Valley, TrapX permette ai clienti di creare ambienti It “falsi” che sono lo specchio di quelli veri e servono da trappola per gli hacker. La sua tecnologia è in costante evoluzione: quest’anno i clienti di TrapX potranno caricare da soli negli ambienti fasulli dati e altri elementi per ingannare i pirati.
Wright sostiene che il software di TrapX avrebbe arginato un attacco come quello alla Sony Pictures: con TrapX un ordine di distruggere i files sarebbe finito sul computer-fasullo e sarebbe stato immediatamente rilevato.
A luglio 2014 TrapX aveva scoperto una nuova minaccia informatica che prendeva di mira le attività di spedizione e logistica e i settori privati in tutto il mondo, un malware “altamente sofisticato, polimorfico, avanzato e persistente” definito “Zombie Zero”. Il malware partiva da un’azienda cinese che vendeva hardware proprietario per scanner usati per l’inventario degli articoli da trasportare dentro e fuori diversi Paesi. L’analisi forense condotta da TrapX e le sue trappole hanno permesso di portare alla luce il codice maligno, che si era insinuato dentro il sistema operativo Windows XP incorporato negli scanner (e che poteva essere scaricato anche dal sito Internet del supporto dell’azienda cinese). Il malware faceva capo a un botnet e a dei centri universitari cinesi, forse gli stessi che avevano originato l’attacco online contro Google chiamato “Aurora“.
TRAPPOLE ANCHE NEI DATA CENTER
Un’altra start-up israeliana che comincia a espandersi negli StatiUniti, GuardiCore, usa un simile sistema di trappole che mette nei server dei data center. GuardiCore ha in pratica automatizzato la vecchia trappola detta “honeypot”, usata agli albori della web security, portandola nei data center.
Co-fondatori di GuardiCore, nata nel 2013, sono Pavel Gurvich e Ariel Zeitlin, ex dei dipartimenti informatici delle forze di difesa israeliane; Gurvich spiega che la tattica dell’inganno è oggi più semplice da attuare perché i server possono essere riconfigurati usando il software, anziché doverlo fare manualmente. La tecnologia di GuardiCore si occupa del cosidetto traffico est-ovest, quello cioè che scorre tra server interni al data center; GuardiCore dinamicamente ri-indirizza il traffico verso un server finto dove tende agli hacker una sorta di “imboscata”.
Ad agosto GuardiCore aveva annunciato di aver raccolto 11 milioni di dollari nel suo ultimo round di finanziamenti privati. I principali investitori (tra quelli di cui sono stati resi noti i nomi) sono Battery Ventures e Greylock IL (fondo affiliato con Greylock Partners).
DIFENDERSI CON L’INGANNO
Anche Juniper Networks negli Stati Uniti lavora sulle tecnologie che ha definito di “difesa attiva” dopo la sua acquisizione della Mykonos software nel 2012. Lawrence Pingree, analista esperto di cyber-security di Gartner, afferma che “l’inganno come strategia di difesa” sarà un trend principale nel 2015. Secondo Pingree, le grandi istituzioni finanziarie e le agenzie governative, che spesso hanno le più avanzate tecnologie di cyber-sicurezza, saranno molto interessate a usare le trappole per prendere i cyber-criminali.
Rispetto ai vecchi honeypot, le nuove tecnologie hanno il pregio di essere “scalabili” e quasi completamente automatizzate, il che le rende più facili da implementare e quindi più efficaci, spiega Allen Harper, executive vice-president of commercial cyber security e “chief hacker” della Tangible Security, rivenditore dei prodotti della TrapX.
La tecnologia basata sugli ambienti fasulli che traggono gli hacker in inganno è importante anche per studiare le mosse degli hacker nei temibili attacchi del tipo zero-day (quelli che si verificano nello stesso giorno in cui viene scoperto un punto debole nel software, prima che il creatore metta a disposizione una soluzione), perché (a loro insaputa) i criminali si muovono in ambienti controllati.
L’IMPORTANZA DELLA RISPOSTA
Ma per gli esperti nel 2015 sarà sempre più importante anche la velocità della risposta delle aziende una volta che l’attacco hacker si è verificato: verranno alla ribalta le cosiddette tecnologie di Automated incident response perché prima si reagisce minore è il danno che si subisce (in termini di dati sottratti, immagine, scrutinio delle autorità, eccetera). Le soluzioni di Incident response automatizzata permettono anche un ripristino più veloce delle normali operazioni.
PIU’ ESPERTI E COLLABORAZIONE
Per combattere gli hacker altri elementi sono fondamentali: i professionisti e il dialogo tra le società di security. Si tratta di società concorrenti ma che devono forzatamente collaborare per scambiare informazioni sulle minacce. McAfee e Symantec già hanno fondato la Cyber Threat Alliance; Check Point si è alleata con una serie di vendor di soluzioni di intelligence per mettere le conoscenze a fattor comune.
Inoltre, la U.S. Cyber Challenge, iniziativa avviata in America nel 2010 per favorire lo sviluppo delle competenze nella cyber-sicurezza, si è unita in partnership con il noto sito del trova-lavoro Monster.com per creare una comunità di professionisti di cyber-sicurezza e talenti verificati cui tanto il governo quanto le aziende private possano attingere per rafforzarsi contro gli hacker. La nuova community online dovrebbe essere lanciata a marzo prossimo con l’evento CyberCompEx.org.