Skimmer, ransomware, data breach. Le minacce alla sicurezza informatica sono molte. Altrettante sono le soluzioni per abbassare la soglia di rischio: dal backup alle infrastrutture. Una su tutte però è la tecnologia che può calmierare il pericolo che i dati riservati vengano letti: la crittografia.

Soddisfa le normative di conformità più rigorose per la tutela della privacy come il GDPR europeo. È alla base di un numero sempre crescente di strategie di difesa informatica. Secondo Gartner, oltre l'80% del traffico web aziendale è stato crittografato nel 2019. Anche se pochi lo sanno, siamo circondati dalla crittografia. Basti pensare ai messaggi WhatsApp, all'online banking, ai pagamenti sui maggiori siti di ecommerce. Alla base della tecnologia ci sono il protocollo Secure Socket Layer (SSL) e il suo successore, ilTransport Layer Security (TLS).
La crittografia dà ad aziende e utenti un senso di protezione. Ma è legittimo sentirsi al sicuro? Lo è solo in parte, perché se da un lato i dati cifrati sono più difficili da esfiltrare, dall'altro i cyber criminali hanno imparato ad attaccare con l'arma con cui ci si difende.

Quello con cui combattono più duramente esperti di sicurezza, aziende, Stati e istituzioni è proprio la crittografia. In particolare, il malware crittografato. Lo scopo per il quale la criminalità impiega la crittografia è lo stesso degli enti onesti: celare dati. Quello che nascondo i cyber criminali è il codice malevolo che viene disseminato per mietere vittime. Grazie alla crittografia può passare indenne ai controlli di sicurezza e centrare obiettivi strategici, creando danni materiali e finanziari.

I malware cifrati

Il 2019 è stato l'anno dei malware crittografati. Ne sono stati usati diversi, e tutti hanno mietuto vittime. Ricordiamo in particolare Emotet, Ryuk, Sodinokibi, TrickBot. L'ultimo è riapparso nel 2019 con un asso nella manica: disabilita Windows Defender. Ryuk e Sodinokibi hanno arricchito i cyber criminali. Il secondo, in particolare, è un ransomware-as-a-service, ossia un'arma fornita sul dark web come servizio a pagamento. Gli attacchi con queste armi hanno avuto quasi tutti successo, proprio per la loro peculiarità: sono quasi impossibili da rilevare con strumenti tradizionali.
La questione è piuttosto semplice: per bloccare un attacco con un malware crittografato bisogna "vedere" all'interno dei flussi di dati crittografati. L'operazione da svolgere comporta la decodifica del traffico in entrata e in uscita dalle reti, accompagnata da una scansione mirata. Quindi una nuova cifratura dei dati. In linea di principio sembra semplice, l'attuazione è impegnativa dal punto di vista strutturale e finanziario.

Prima di tutto decifrare tutto il traffico per ispezionalo e poi crittografarlo nuovamente espone i dati, anche se solo per un breve periodo. In secondo luogo, questa procedura, applicata a milioni di dati, crea problemi di latenza. Terzo e non meno importante, fa lievitare i costi finanziari per pagare l'occorrente per elaborare il più velocemente possibile l'enorme quantità di dati.

Problemi e soluzioni

Molte aziende seguono questa procedura impegnativa per garantirsi un buon livello di sicurezza. Tuttavia, la decifrazione dei dati così come descritta non sarà più possibile con l'introduzione di TLS 1.3. È il nuovo protocollo crittografico, che ha come vantaggio una cifratura più forte e processi di autenticazione semplificati. Per contro, contrassegna qualsiasi tentativo di decifrazione come un attacco man-in-the-middle e interrompe immediatamente la sessione. Questo impedisce di fatto il rilevamento di traffico dannoso.

La notizia ha destato molta preoccupazione, dato che molte aziende basano le proprie difese di sicurezza proprio sull'ispezione del traffico di rete. A questo punto si pone l'esigenza di trovare sistemi alternativi per rilevare i vettori d'attacco. Anche perché, secondo i dati di Gartner, quest'anno oltre il 70% delle campagne malware utilizzerà la crittografia.

La strada da percorrere è affidarsi alle moderne tecniche di Intelligenza Artificiale e machine learning. Effettuano comunque l'analisi del traffico, ma senza decifrare e poi crittografare tutto nuovamente. Ispezionano i metadati, evitano problemi di conformità, esposizione dei dati, di latenza e gli ostacoli del TLS 1.3. un approccio proattivo al rilevamento di malware che diventerà uno strumento essenziale nel breve periodo.