Archivio mensile:Agosto 2020

Italia quinto Paese al mondo più colpito dai Macro Malware

Pubblicati i dati dei laboratori Trend Micro di giugno

A cura di Gastone Nencini, Country Manager Trend Micro Italia

L’Italia è il quinto Paese al mondo più colpito da macro malware. Il dato emerge dal report di giugno di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime.

Nel mese di giugno, sono stati 20.728 gli attacchi macro malware bloccati da Trend Micro, con Powload che si conferma il macro malware di maggior rilievo. In Italia sono stati 675, dato che fa segnare una crescita del 3.3% rispetto al mese di maggio. Il nostro Paese è preceduto solo da Giappone, che si conferma essere il Paese con il maggior numero di attacchi macro malware, Cina e Stati Uniti.

Questi numeri sono stati rilevati dalla Smart Protection Network, la rete intelligente e globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore intelligence disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A giugno la Smart Protection Network ha gestito 319 miliardi di query e fermato 5,2 miliardi di minacce, di cui 4,8 miliardi arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

Trend Micro Research scopre vulnerabilità negli apparati di traduzione dei protocolli industriali

I gateway industriali mettono a rischio i moderni ambienti industriali 4.0

A cura di Marco Balduzzi, Senior Research Scientist di Trend Micro Research

Trend Micro rivela una nuova classe di vulnerabilità nei gateway industriali che potrebbe esporre gli ambienti Industry 4.0 ad attacchi critici. Il dato emerge dalla ricerca “Lost in Translation: When Industrial Protocol Translation Goes Wrong”.

Conosciuti anche come traduttori di protocolli, i gateway industriali permettono ai macchinari, ai sensori e ai computer che operano nelle fabbriche di comunicare tra di loro e con i sistemi IT, sempre più connessi a questi ambienti. 

“I gateway industriali danno poco nell’occhio, ma hanno un’importanza significativa per gli ambienti Industry 4.0 e potrebbero essere identificati dai cyber criminali come un punto debole dell’infrastruttura”. Ha affermato Bill Malik, vice president of infrastructure strategy di Trend Micro. “Trend Micro ha scoperto una decina di vulnerabilità zero-day in questo settore ed è in prima fila per rendere gli ambienti OT più sicuri”.

Trend Micro Research ha analizzato cinque gateway industriali popolari focalizzati sulla traduzione di Modbus, uno dei protocolli per sistemi di controllo industriale (ICS) maggiormente utilizzati al mondo.

Come dettagliato nel report, le vulnerabilità e le debolezze identificate in questi dispositivi includono:

  • Vulnerabilità nelle autenticazioni che permettono accessi non autorizzati
  • Crittografia debole che permette di avere accesso alle configurazioni dei dispositivi
  • Deboli meccanismi di confidenzialità dei dati che danno accesso a informazioni sensibili
  • Condizioni di denial of service
  • Difetti nelle funzioni di traduzione che possono essere utilizzati per operazioni di sabotaggio

Gli attacchi che sfruttano queste problematiche potrebbero permettere di ottenere dati sensibili (ad esempio sulla produzione), sabotare o manipolare importanti processi industriali, attraverso messaggi di attacco che vengono appositamente camuffati in modo da apparire come legittimi, e quindi più difficilmente identificabili dai tradizionali sistemi di detection.

La ricerca fornisce anche una serie di importanti raccomandazioni per venditori, installatori e gli utilizzatori dei gateway industriali industriali:

  • Considerare con attenzione il design del prodotto e assicurarsi che abbia adeguate funzionalità di sicurezza, in modo che i dispositivi non siano soggetti a errori di traduzione o denial of service
  • Non fare affidamento su un unico punto di controllo per la sicurezza della rete. Combinare firewall ICS con il monitoraggio del traffico
  • Dedicare tempo a configurare e proteggere i gateway, utilizzando credenziali forti, togliendo i servizi non necessari e abilitando la crittografia dove supportata
  • Applicare la gestione della security ai gateway industriali e a tutti gli asset OT critici. Per esempio, svolgere valutazioni sulle errate configurazioni o vulnerabilità e provvedere a un patching regolare

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA.

Ulteriori informazioni sono disponibili a questo link

Industria 4.0: gli ambienti di programmazione per robotica industriale nascondono pericolosi difetti e vulnerabilità

Il settore dell’automazione è impreparato a gestire queste criticità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT.

A cura di Federico Maggi, Senior Threat Researcher di Trend Micro

Trend Micro e il Politecnico di Milano presentano una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT.

Trend Micro

La ricerca, dal titolo “Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”, mi vede come autore principale ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche — poco discusse nel mondo della cybersecurity — dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, possono permettere a un aggressore di creare nuove tipologie di malware persistente. Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca.

“Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico”. Ha affermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’automazione industriale si basa su tecnologie legacy che troppo spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la progettazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare codici maligni e vulnerabilità”.

Linguaggi di programmazione che possiamo considerare “legacy”—in quanto cuore delle moderne catene di produzione — come ad esempio RAPID, KRL, AS, PDL2 e PacScript sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività critiche di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono essere messi al sicuro facilmente.

Le vulnerabilità non sono l’unica preoccupazione nei programmi di automazione che utilizzano questi linguaggi. I ricercatori hanno dimostrato come una nuova tipologia di malware in grado di auto-propagarsi potrebbe essere creata utilizzando uno di questi linguaggi come esempio.

Trend Micro Research ha lavorato a stretto contatto con il Robotic Operating System (ROS) Industrial Consortium — un’autorità internazionale in campo di robotica industriale — per proporre delle raccomandazioni con l’obiettivo di ridurre l’impatto delle criticità identificate .

“Molti robot industriali sono progettati per reti di produzione isolate e utilizzano linguaggi di programmazione legacy”. Ha affermato Christoph Hellmann Santos, Program Manager, ROS-Industrial Consortium Europe. “Possono essere vulnerabili agli attacchi nel momento in cui sono connessi a una rete IT. Per questa ragione, ROS-Industrial e Trend Micro hanno collaborato per sviluppare delle line guida per un corretto e sicuro settaggio delle reti per il controllo dei robot idustriali, attraverso il Robotic Operating System”.

“Lavorare con questi sistemi è un po’ come fare un tuffo nel passato: vulnerabilità adesso rare nei tradizionali sistemi IT (come le applicazioni web, ad esempio), si ripresentano attraverso questi linguaggi di programmazione, poco conosciuti ma estremamente critici. Nei prossimi anni il mondo dell’automazione industriale dovrà affrontare le sfide delle vulnerabilità che il mondo IT ha gestito negli ultimi 20 anni.”

Come dimostrano le linee guida, i programmi di automazione industriale, seppur basati su linguaggi “legacy”, possono essere scritti in diversi modi per ridurne i rischi.
Di seguito la checklist essenziale che Trend Micro e Politecnico di Milano propongono per la scrittura di programmi di automazione industriale sicuri:

  • Trattare i macchinari industriali come se fossero computer e i task program come codice sorgente potenzialmente pericoloso
  • Autenticare ogni comunicazione
  • Implementare policy per il controllo degli accessi
  • Eseguire sempre la validazione degli input
  • Eseguire sempre la sanificazione degli output
  • Implementare una gestione degli errori senza esporre i dettagli
  • Implementare una configurazione appropriata e procedure di deployment

Inoltre, Trend Micro Research e Politecnico di Milano hanno sviluppato uno strumento per rilevare codice maligno o vulnerabilità all’interno dei task program, prevenendo eventuali danni al momento della loro esecuzione.

Come risultato di questa ricerca, sono state identificate feature critiche per la sicurezza nelle principali otto piattaforme di programmazione di robot industriali e un totale di 40 istanze di vulnerabilità di codice open source. Un vendor ha rimosso il proprio programma di automazione vulnerabile e altri due sono stati avvisati, dando il via a discussioni per migliorare i propri strumenti. I dettagli delle vulnerabilità sono stati condivisi anche dal ICS-CERT alla propria community, attraverso un alert .

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA e verranno illustrati anche alla conferenza ACM AsiaCCS conference a Taipei nel mese di ottobre.