A Covent Garden, dove James Lyne – direttore della strategia tecnologica di Sophos – ha presentato un’analisi del panorama della sicurezza nel 2012 e uno sguardo alle minacce del prossimo anno. La recensione è un evento annuale e sempre divertente grazie a Lyne autentico Credenziali geek: il discorso di quest'anno includeva riferimenti alle maschere di Anonymous, l'obbligatoria allusione allo stile Gangnam e diverse esortazioni a "[verbo] tutte le cose".
Le previsioni per il 2013 prevedono attacchi sempre più sofisticati e mirati, sia su piattaforme mobili che su PC. Nessuna sorpresa lì. Ancora più interessante, Lyne prevede anche un aumento dei ransomware, che bloccano i file e forniscono la chiave di decrittazione solo dietro pagamento di una tariffa. Finora, i riscatti malware si sono aggirati intorno alle 200 sterline, ma Lyne ritiene che presto i criminali inizieranno a riconoscere obiettivi di alto valore (come gli amministratori delegati delle aziende) e richiedere compensi molto più elevati per la restituzione di persone sensibili documenti. Descrive questo tipo di attacco come "irreversibile", poiché non c'è nulla che il software di terze parti possa fare per ripristinare i file se sono stati fortemente crittografati: l'unica difesa è conservare i backup. Sei stato avvisato.
La parte del discorso che mi ha particolarmente colpito, tuttavia, riguarda il piccolo dispositivo nella foto sopra, che Lyne ha mostrato con gioia. Completamente assemblato, sembra proprio una normale unità flash USB. Oppure, dallo slot microSD interno, potresti supporre che fosse una sorta di lettore di schede. In effetti, che tu ci creda o no, è una tastiera.
La tastiera senza tasti
Per essere precisi, il dispositivo è un controller da tastiera. Windows la rileva come una normale tastiera di dimensioni standard, ma invece di fornire tasti fisici da premere all'utente, il dispositivo riceve l'input da una scheda microSD preprogrammata. Caricalo con un semplice script e non appena il dispositivo verrà collegato a un PC Windows si aprirà automaticamente un prompt dei comandi, digitare un exploit che fornisce all'aggressore l'accesso remoto al tuo PC e avvialo.
Invece di fornire tasti fisici da premere all'utente, riceve l'input da una scheda microSD preprogrammata
Come vettori di infezione, è piuttosto ingegnoso. Non conquisterai il mondo con un attacco come questo, anche perché non si diffonde affatto. In questo senso è la definizione stessa di attacco mirato. Ma scegli gli obiettivi giusti: ad esempio, inizia a pubblicare questi piccoli dispositivi presso le aziende dirigenti e politici di alto livello – e potresti raccogliere un sacco di persone estremamente sensibili informazione. Lyne ha affermato che molti di questi dispositivi sono già stati trovati in natura nell'ultimo anno.
Il delitto perfetto? Beh, non proprio. Se stai guardando lo schermo mentre colleghi il dispositivo vedrai il prompt dei comandi aprirsi e chiudersi brevemente: è inevitabile, dato il modo in cui funziona il dispositivo. Probabilmente i tuoi sospetti verranno destati anche quando noterai che il dispositivo non viene visualizzato come unità in Explorer. Un design leggermente più complesso potrebbe forse coprire le sue tracce combinando l'archiviazione legittima con un file controller della tastiera illecito, ma quando senti odore di topo, il malware è già insediato nel tuo sistema Comunque.
E ovviamente il dispositivo passa direttamente sotto il radar dei software di sicurezza convenzionali, perché, beh, è una tastiera. Non ha spazio di archiviazione – nessuno visibile al sistema operativo, comunque – quindi semplicemente non c’è nulla da scansionare.
Non posso fare a meno di ammirare il brillante pensiero laterale contenuto in questo piccolo dispositivo. I sistemi operativi e le applicazioni tradizionali potrebbero diventare sempre più robusti, ma gli hacker malintenzionati sì diventando (secondo la memorabile frase di Lyne) “tragicamente competente” nel aggirare la sicurezza stabilita le misure. Ho la sensazione che Sophos non resterà a corto di nuovi e ingegnosi tipi di malware da mostrare presto.
