Botnet: Il lato oscuro del cloud computing

Pagina creata da Viola Brambilla

Scienza

Italiano

Piace
Condividi
Incorpora
Schermo intero
Diapositive
Scarica HTML
Scarica PDF
Abuso

←

CONTINUA A LEGGERE

→

Trascrizione del contenuto della pagina

Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù

Botnet: Il lato oscuro
del cloud computing
De Angelo Comazzetto, Senior Product Manager

Le botnet costituiscono una seria minaccia per le vostre reti, per le
aziende, per i vostri partner e anche per i clienti. Le botnet sono dotate di
una potenza in grado di competere con quella delle più potenti piattaforme
di cloud computing moderne. Queste "nuvole oscure", controllate da
cybercriminali, sono concepite al solo scopo di infettare in modo invisibile
e silenzioso le reti degli utenti. Se non rilevate per tempo, le botnet si
impossessano delle reti degli utenti per svolgere attività commerciali di
tipo illegale.
Questo documento illustra in che modo è possibile proteggersi dal rischio
di essere infettati dalle botnet utilizzando i gateway di sicurezza dotati di
funzionalità di gestione unificata delle minacce (UTM) integrate complete.

Botnet – Il lato oscuro del cloud computing

Non tutte le "nuvole" sono buone
Da cosa è composta una piattaforma di cloud computing? Si tratta di una vasta rete composta
da computer o processori, memorie, spazio di storage, applicazioni e altre risorse informatiche
connesse in rete. Tali risorse connesse al web sono disponibili, simultaneamente, per milioni di
utenti, e possono risiedere in qualunque parte del mondo. Le piattaforme di clouding offrono
numerosi benefici alle aziende, tra cui minori spese d'impianto e costi operativi ridotti, in
termini di quantità di hardware e software posseduti, e in termini di manutenzione.

D'altro canto, i cybercriminali controllano alcune delle più imponenti piattaforme di cloud
computing attualmente esistenti. Queste reti di cloud computing "oscure", note con il nome
di "botnet" e create a fini di profitto, sono in grado di controllare milioni di computer infetti,
denominati "bot", che vengono utilizzati per diffondere il malware. Le botnet non rilevabili
sono in grado di sottrarre alle macchine infette una quantità di potenza di calcolo sufficiente a
bloccare il funzionamento delle reti aziendali e, di conseguenza, le attività delle aziende.

Questo tipo di insidiosa minaccia richiede una solveglianza assidua e costante. A causa
della sua particolare architettura, una botnet è in grado di funzionare al massimo delle sue
capacità anche quando la maggior parte dei "bot" sotto il suo controllo vengono distrutti. Ciò
implica che se non utilizzate un sistema di rilevamento preventivo sulla vostra rete, correte
continuamente il rischio che tale rete venga infettata.

Obiettivi allettanti
La potenza raggiunta dai moderni computer, e la disponibilità di connessioni Internet veloci
consentono alle attività dei cybercriminali di prosperare con profitto. I cybercriminali, e le
botnet da essi controllate, cercano le vulnerabilità di sicurezza presenti sui computer degli
utenti, al fine di sfruttarne le risorse di calcolo per trarne profitto. Le botnet funzionano in
modo invisibile, infettando i computer degli utenti con un virus che non causa danni immediati
o visibili. Questo tipo di attacco silenzioso tramuta i computer degli utenti in bot, o in unità
"slave zombie", controllate da una unità "master" centrale sconosciuta.

Una volta che il computer in uso è compromesso, il virus tenterà di infettare e auto-copiarsi in
modo subdolo e silenzioso su altre macchine, ampliando capacità e potenza della botnet.

La quantità come punto di forza
I moderni centri dati di cloud computing massimizzano le performance, minimizzando guasti e
malfunzionamenti. Al contrario, una botnet opera con ampiezza e brute force. Una botnet è in
grado di controllare milioni di processori di computer, quantità pressoché illimitate di Gigabyte
di storage e memoria, nonché una quantità combinata di banda passante talmente elevata

A Sophos Whitepaper Dicembre 2011 2

Botnet – Il lato oscuro del cloud computing

da far impallidire le più potenti connessioni Internet multi-gigabit commerciali. Le botnet Una nuova minaccia
hanno un vantaggio rispetto alle piattaforme di clouding commerciali legittime; sono in grado
di espandersi con una rapidità allarmante, senza essere ostacolate in alcun modo da guasti e Web viene rilevata
malfunzionamenti. ogni 4,5 secondi.

Sophos Labs, pubblicato nel
Metodi di diffusione delle botnet
Rapporto Sophos Security
L'obiettivo delle botnet non è quello di attaccare e infettare un'azienda specifica. Il loro scopo Threat Mid-Year 2011
è invece quello di diffondersi sistematicamente, operando attraverso un elenco definito
di indirizzi IP, oppure mediante una scansione dinamica delle macchine e delle reti che le
circondano, alla ricerca di vulnerabilità specifiche.

Per esempio, un programma bot può determinare se un computer aziendale è infetto,
utilizzando una vulnerabilità di Windows per la quale non è stata ancora installata la relativa
patch di correzione. A questo punto il bot prosegue la sua ricerca, setacciando l'intera rete e
verificando la presenza di vulnerabilità sulle altre macchine della rete aziendale. Al contempo,
le macchine appena infettate si tramutano in bot perfettamente funzionali. Tali bot possono
anche infettare altri computer presenti sulla rete, tra cui quelli di altre aziende o quelli dei
clienti. E il ciclo continua.

In questo esempio, nessuna delle aziende colpite è stata attaccata specificamente da un
determinato soggetto. La botnet si diffonde dovunque rilevi una vulnerabilità. Spendere denaro
per effettuare estese indagini forensi con l'obiettivo di identificare i soggetti che hanno causato
la "violazione" è una perdita di tempo e di danaro.

Chi trae vantaggio dalle botnet
Le botnet si espandono allo scopo di garantire a coloro che le gestiscono reti di cloud
computing "oscure" con una enorme potenza di calcolo, che può essere utilizzata per svolgere
crimini informatici estremamente proficui.

I proprietari delle botnet possono noleggiare le botnet ad altre organizzazioni criminali. Per
esempio, un'organizzazione criminale specializzata nello spamming può utilizzare una botnet
per inviare milioni di messaggi di spam. Aziende prive di scrupoli possono utilizzare le botnet
per oscurare il sito web di un concorrente, con un rovinoso attacco DoS. Le botnet sono anche
in grado di decifrare i dati crittografati, attraverso la scansione di milioni di chiavi binarie,
utilizzando una tecnica "brute force" per violare i dati presenti sugli account aziendali protetti o
nei database crittografati.

A Sophos Whitepaper Dicembre 2011 3

Botnet – Il lato oscuro del cloud computing

Questo tipo di attività non è solo altamente proficuo, ma consente anche di espandere                  Il cybercrimine
lo sviluppo di botnet ancora più potenti. I creatori delle botnet sono anche in grado di
incrementare il livello di sofisticazione dei loro programmi bot, analizzando le reazioni delle        costa 338 miliardi di
aziende di sicurezza alle minacce create in precedenza.                                                dollari all’economia
                                                                                                       globale; un’attività più
Le conseguenze
                                                                                                       redditizia del traffico di
Le infezioni causate dalle botnet hanno conseguenze immediate, e potenziali conseguenze
a lungo termine. Il blocco di una rete aziendale è la potenziale conseguenza più devastante.           stupefacenti.
Un evento di questo tipo è in grado di causare un impatto significativo su attività IT, vendite,
gestione degli account clienti, produttività del personale e su numerosi altri aspetti. Al giorno      ZDNet
d'oggi, ogni divisione e ogni tipologia di canale soggetta alla generazione di profitto può
essere soggetta agli effetti negativi determinati da un eventuale blocco della rete aziendale.
I costi generati dai mancati ricavi possono così salire alle stelle. Ma il settore aziendale più
danneggiato da tali minacce è probabilmente quello IT. Responsabili dello stato di salute
delle reti aziendali e degli utenti 24 ore su 24, e 7 giorni su 7, gli amministratori IT si trovano
costretti a trascurare tutte le altre priorità strategiche per occuparsi a tempo pieno del
ripristino delle prestazioni di rete, e combattere con le infezioni delle botnet, spesso recidive.

Ma alcune tra le conseguenze a lungo termine possono influenzare la reputazione pubblica
delle aziende, oppure il loro margine competitivo o la realizzabilità dei loro obiettivi. Dato che
le botnet sono create allo scopo di condurre attività commerciali illegali, qualunque azienda i
cui computer facciano parte del circuito distruttivo di macchine infettate dalla botnet corrono
il rischio di essere esposti a responsabilità legali per i danni causati dai computer infetti.
Costi legali, atti processuali, relazioni negative con l'opinione pubblica e altri aspetti, sono i
possibili risultati derivanti da una situazione in cui i responsabili di una data azienda si trovano
ad affermare di "Non essere a conoscenza" di tali problemi. Oltretutto, clienti, partner, e altri
soggetti coinvolti potrebbero ritrovarsi i computer infettati dalle macchine dei partner su cui
fanno affidamento.

Qualora venga ritenuta responsabile di una violazione della sicurezza, una data azienda può
essere ritenuta responsabile, se i suoi computer vengono utilizzati come parte di una botnet
preposta alla violazione di attività di hacking di siti web, blocchi delle comunicazioni mediante
attacchi DoS, condivisione di file pirata, o attacchi ad altre macchine mediante script di
hacking.

La migliore difesa
Come già discusso in precedenza, le botnet costituiscono una significativa minaccia per le
aziende, con i loro attacchi casuali a qualunque computer o nodo vulnerabile e senza alcuna
possibilità di poter effettuare il tracciamento delle persone che le gestiscono fisicamente.

A Sophos Whitepaper Dicembre 2011                                                                                                 4

Botnet – Il lato oscuro del cloud computing

Tuttavia, è possibile tutelarsi contro i loro attacchi, adottando soluzioni adeguate e
implementando alcune pratiche raccomandate di semplice applicazione.

Per proteggere le vostre aziende dagli attacchi delle botnet, raccomandiamo quanto segue;

ÌÌ Assicurarsi che il sistema operativo in uso e le applicazioni dispongano di tutte le patch e
degli aggiornamenti più recenti.

ÌÌ Utilizzare un gateway di protezione per impedire l'accesso dei bot ai computer della rete.

ÌÌ Effettuare test periodici del perimetro di workstation e server.

ÌÌ Qualora si riscontrino infezioni, evitare di sprecare danaro cercando i colpevoli dell'attacco;
è invece raccomandabile investire in soluzioni in grado di garantire una maggiore sicurezza
delle risorse aziendali, al fine di prevenire gli attacchi successivi.

In tal modo sarà possibile prevenire le intrusioni dei bot in modo semplice, efficace ed
economico, utilizzando il tipo di protezione più adeguato. Le soluzioni Astaro Security Gateway
sono dotate di sistemi di rilevamento delle intrusioni che rilevano e bloccano i programmi
bot. È sufficiente elencare i tipi di computer e risorse utilizzati. Questa soluzione è in grado di
prevenire gli attacchi in tempo reale. Le soluzioni ASG sono anche in grado di identificare le
infezioni esistenti, consentendone disinfezione ed eliminazione totale. Siamo in grado di creare
una barriera protettiva attorno alla vostra rete, per respingere attacchi e minacce, lasciandovi
tutta la libertà di svolgere le vostre attività aziendali con la massima tranquillità e affidabilità.

Per saperne di più
www.sophos.it/network

Italy Sales:
Tel: +39 02 91 18 08
E-mail: sales@sophos.it

Boston, USA | Oxford, UK
© Copyright 2011. Sophos Ltd. Tutti i diritti riservati.
Tutti i marchi sono proprietà dei rispettivi titolari.

Sophos Whitepaper 12.11v1.dIT

Puoi anche leggere