Istruzioni

Come ti ricatto la PA: le nuove frontiere del ransomware

Il laboratorio NECST del Dipartimento di Elettronica, Informazione e Bioingegneria al Politecnico di Milano è il primo al mondo a sviluppare un prototipo in grado di stabilire se un’applicazione Android può essere un ransomware. Un problema che rischia di mettere sotto scacco la pubblica amministrazione

Pubblicato il 27 Ott 2015

Federico Maggi

Senior Threat Researcher Trend Micro

fede-151020105222

Verso la fine del 2014 il termine “ransomware” (in inglese, “ransom” significa “riscatto”) inizia a diffondersi anche nel nostro paese dopo i primi casi di CryptoLocker e derivati, fino ad arrivare a CTB Locker, una tra le famiglie più diffuse che ha causato ingenti danni economici. Sempre più spesso, prendono di mira anche la pubblica amministrazione (qui uno degli ultimi esempi).

La tattica dei virus della classe dei ransomware consiste nel crittografare i file (per esempio, fotografie, documenti) presenti sul computer della vittima, rendendoli così illeggibili, per poi chiedere un riscatto in cambio della chiave di decifratura. Il riscatto è tutto sommato abbordabile—qualche centinaio di euro—ma, secondo le stime fornite dall’FBI, questo schema ha permesso ai criminali di “raccimolare” 180 milioni di dollari americani, globalmente, di cui 3 sarebbero stati raccolti dal gruppo dietro a CryptoLocker, la famiglia di ransomware più popolare.

I gruppi criminali che impiegano ransomware hanno mostrato interesse anche verso i dispositivi mobili (in particolare Android), i quali hanno in effetti sorpassato in numerosità i computer classici. Ma non solo: i dispositivi mobili sono oggi una miniera di informazioni preziose per chi le possiede. Quindi, in assenza di una copia dei dati e dei ricordi memorizzati su cellulare, non c’è da stupirsi se il proprietario accetta di pagare un riscatto. Perciò non solo i telefoni cellulari forniscono una superficie di attacco più ampia rispetto a quella dei computer tradizionali, ma danno agli aggressori una leva più efficace dovuta al valore—talvolta affettivo—attributo alle informazioni in essi memorizzate. Con la diffusione della pratica nota come “bring your own device” (tradotto, “porta il tuo dispositivo [al lavoro]”), secondo la quale i datori di lavoro permettono ai dipendenti di utilizzare i propri dispositivi personali per svolgere le proprie attività, il rischio di perdita di informazioni sensibili ed il valore delle informazioni stesse sono ancora più elevati rispetto all’uso di un dispositivo portatile a soli fini personali.

Nel gruppo di sicurezza informatica, presso il laboratorio NECST del Dipartimento di Elettronica, Informazione e Bioingegneria al Politecnico di Milano, ci occupiamo di ransomware per dispositivi mobili e, primi al mondo, abbiamo sviluppato un prototipo in grado di stabilire se un’applicazione Android effettua azioni compatibili con le tattiche adottate dai questa classe di virus. Anche se la minaccia verso i dispositivi Android è recente, è allarmante che in meno di un anno siano state scoperte 5 nuove famiglie di ransomware specificatamente per questo sistema operativo. Al contrario, ci sono voluti anni per vedere lo stesso numero di famiglie per computer tradizionali. Pertanto riteniamo importante investire risorse e sforzi di ricerca per l’analisi di questa nuova tipologia di minaccia. Diversamente dai classici antivirus, che cercano artefatti tecnici specifici di un certo virus, il prototipo che abbiamo sviluppato è in grado di riconoscere, in modo generico, se un’applicazione sta mostrando a schermo dei messaggi di minaccia e se, contemporaneamente, sta tentando di bloccare il cellulare e/o accedendo ai file al fine di crittografarli. Questi tre comportamenti—minaccia, blocco e cifratura—presi singolarmente non constituiscono un pericolo, ma se presenti insieme o in varie combinazioni sono un chiaro segnale dell’azione di un ransomware. Il componente più innovativo del prototipo riguarda la ricerca di frasi minacciose mostrate a schermo. A tal fine sfruttiamo tecniche di elaborazione del linguaggio naturale e di apprendimento. Infatti, date delle generiche frasi d’esempio, sia minacciose che non minacciose, il nostro sistema è in grado di “imparare” a riconoscerne delle varianti, anche se mai analizzate prima. Aspetto importante per rilevare virus di questo genere è infatti la flessibilità e la generalità della tecnica di riconoscimento, che deve essere in grado di adattarsi all’evoluzione delle minacce, senza necessariamente potersi permettere il “lusso” di avere un dispositivo infetto da analizzare come “paziente zero” da cui partire per sviluppare un antidoto.

Visti i risultati del rapporto del 2014 sulla sicurezza informatica stilato dal CIS Sapienza, che evidenziano una scarsa consapevolezza e uno scarso livello di difesa nel settore della pubblica amministrazione, è chiaro che la minaccia dei ransomware contestualizzata nel “sistema paese” pone nuovi obiettivi, tanto nella difesa delle infrastrutture informatiche quanto nella ricerca di tecnologie che impediscano a questa classe di virus di funzionare. Basti pensare a quanto dannoso potrebbe essere sia economicamente che politicamente la presa in ostaggio di informazioni personali o riservate di interesse nazionale. La svolta tecnologica consisterebbe nel creare un sistema operativo nel quale la lettura e la scrittura di dati sono intrinsecamente regolate in modo tale da rendere impossibile la scrittura di dati crittografati senza l’esplicita autorizzazione dell’utente, in quanto la scrittura di dati crittografati, operazione perfettamente legittima (anzi, volta a proteggere dati!), può diventare un aspetto critico per la continuità di un sistema informatico.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati