Mette radici il Cert nazionale contro gli attacchi informatici: il quadro

L’efficacia delle attività di un qualunque CERT Nazionale è funzione della sua capacità di sviluppare un sistema di scambio di informazioni con la propria constituency. E’ per questo che nel corso del 2015 un impegno particolare è stato dedicato dal CERT Nazionale italiano a consolidare i rapporti con il settore pubblico e privato in ambito nazionale ed internazionale. Le attività svolte, infatti, sono state rivolte al rafforzamento della cooperazione con i CERT dell’Unione Europea ed internazionali, e all’intensificazione dei rapporti con le principali imprese e strutture istituzionali competenti sul territorio nazionale nel settore della sicurezza informatica.

Con i CERT Nazionali e Governativi dei Paesi membri dell’UE esiste un rapporto diretto che ha permesso l’instaurarsi di relazioni fiduciarie fondamentali per abilitare lo scambio di informazioni anche di natura confidenziale.

Un grande impegno è stato anche dedicato alla sensibilizzazione nei confronti di operatori economici privati, gestori di infrastrutture critiche oppure soggetti di rilevanza strategica nazionale di altri settori economici potenzialmente esposti ad attacchi cyber. Negli ultimi mesi l’ampliamento della rete di contatti con il settore privato ha consentito, tra l’altro, di scambiare informazioni con il settore bancario e di mettere a confronto gli operatori del settore energetico sul tema delle vulnerabilità dei sistemi di controllo degli impianti ed apparati industriali.

Gli accordi sottoscritti con il settore privato in ambito nazionale hanno attivato una fattiva collaborazione tra il CERT Nazionale e le strutture di sicurezza informatica delle Imprese, con l’impegno da entrambe le parti a scambiare informazioni relative a minacce, vulnerabilità e incidenti informatici, ma anche a realizzare iniziative di formazione tecnica e ad organizzare eventi e incontri in tema di sicurezza informatica.

Il 2015 ha registrato anche una significativa intensificazione dei rapporti con il CERT-PA (il CERT della Pubblica Amministrazione), il CNAIPIC ed il CERT-Difesa. Il meccanismo di infosharing predisposto assicura la necessaria condivisione delle informazioni su minacce potenziali e attuali finalizzata alla prevenzione e alla risposta ad incidenti informatici con impatto sui settori pubblico e privato.

Il grado di operatività del CERT Nazionale è stato fortemente potenziato curando una molteplicità di servizi che si possono ricomprendere in due grandi categorie: attività di prevenzione e attività di reazione.

Grazie alla disponibilità di un crescente numero di fonti di informazione entrambe le tipologie di attività hanno registrato un incremento esponenziale durante lo scorso anno, trend confermato anche nel corso di quest’anno, e che ha visto complessivamente l’invio di 3.500 report corrispondenti ad oltre 750.000 eventi segnalati a circa 375 Operatori ed ISP (Internet Service Provider).

Alcuni report hanno riguardato compromissioni specifiche rilevate o segnalate al CERT Nazionale relative a diffusione di malware in rete, a furti di credenziali o a partecipazione di macchine ad attacchi DDoS. Altri report hanno fatto riferimento a campagne informative principalmente volte a segnalare vulnerabilità di apparati in rete o compromissione di siti web.

Un’attenzione particolare è stata dedicata alla predisposizione di campagne informative a carattere sia preventivo che reattivo. Le prime legate a vulnerabilità rilevate in rete dovute a configurazioni errate o vulnerabilità intrinseche dei sistemi; le seconde legate a macchine risultate compromesse, generalmente appartenenti a botnet, rilevate attraverso il loro traffico anomalo generato. Sono state effettuate circa 200.000 segnalazioni ai diversi Operatori ed ISP interessati. A titolo di esempio, nel primo caso sono state individuate una molteplicità di macchine con protocolli aperti all’esterno (tra i più noti ed utilizzati per attacchi ci sono CharGen, NAT-PMP, NTP, Portmapper, QoTD), verosimilmente a causa di configurazioni scorrette e potenzialmente utilizzabili per attacchi DDoS a terze parti, ed inviata opportuna informativa, volta principalmente alla sensibilizzazione sulla corretta configurazione delle macchine stesse da parte degli amministratori di rete, agli Operatori ed ISP di riferimento.

Nel secondo caso, invece, sono state individuate, attraverso il rilevamento di traffico anomalo verso sistemi di sinkhole predisposti da terze parti, macchine appartenenti a varie botnet. Le liste degli indirizzi delle macchine così individuate sono state fornite ai relativi Operatori ed ISP per le attività di verifica e bonifica. Tra le botnet analizzate ci sono quelle tra le più note e pericolose: da quelle appartenenti alla famiglia dei banking malware, dedicate al furto delle credenziali dei sistemi di home banking, come Tinba (TINyBAnker, malware passato alla storia per la sua compattezza e le dimensioni estremamente ridotte dei file malevoli), Dyre o Gozi alle spambot come Asprox, Cutwail, Kelihos o Lethic, utilizzate invece per inviare spam o phishing attraverso macchine compromesse, alle forse meno note Expiro, Palevo, Ponmocup, Slenfbot.

Particolare valenza, sempre nell’ottica di prevenzione degli incidenti, ha rivestito il servizio relativo alla diffusione di indicatori di compromissione provenienti periodicamente dal CERT-EU (il CERT dell’Unione Europea) nel quadro del progetto CIMBL (CERT-EU Identified Malicious Black List).

Le informazioni, elaborate e analizzate internamente, sono distribuite ai soggetti nazionali e consentono di aggiornare i sistemi perimetrali di difesa prima che siano disponibili gli aggiornamenti ufficiali da parte dei “vendor” di sicurezza, assicurando così una maggiore difesa dalle minacce.

Nel corso del 2015 sono stati ricevuti e forniti in modalità infosharing oltre 35.000 indicatori di compromissione. Vale citare anche l’attività di diffusione dei dati forniti dalla rete antibotnet che hanno costituito l’oggetto di segnalazioni a circa 140 Operatori ed ISP coinvolti, per un totale di circa 4.000 report.

L’aumento della conoscenza e la crescita della consapevolezza nel campo della sicurezza informatica ad ogni livello rappresenta uno degli obiettivi principali del CERT Nazionale.

Il sito web del CERT Nazionale nasce per perseguire questi obiettivi attraverso la pubblicazione di notizie, bollettini tecnici, raccomandazioni e linee guida. L’obiettivo è quello di trattare argomenti tecnici con la necessaria precisione, ma cercando di renderne i contenuti utili e comprensibili anche a chi non necessariamente ha profonde conoscenze tecniche.