Secondo Microsoft moltissimi business a livello globale stanno trascurando un aspetto chiave del proprio perimetro di sicurezza digitale: la protezione dall’attacco al firmware di computer, server e altri dispositivi.
Sulla base di un sondaggio che ha coinvolto 1.000 persone con potere decisionale in ambito cyber security di aziende britanniche, statunitensi, tedesche, giapponesi e cinesi, ha rivelato che l’80% delle aziende aveva vissuto almeno un “firmware attack” nei due anni precedenti. Ma ciononostante solo il 29% (in media) del budget per la sicurezza veniva allocato a protezione del firmware.
Indice degli argomenti
Come si svolge un attacco al firmware
Il firmware è una tipologia di codice software permanente utilizzato per controllare ogni componente hardware presente in un PC. Sono in aumento i malware creati specificamente per addentrarsi nel firmware delle schede madri, il cuore decisionale in cui viene dato il comando al PC di accendersi, spegnersi e altre funzioni chiave (magari assolte dai driver hardware).
Un metodo piuttosto arguto per aggirare il sistema operativo di un computer o qualsiasi software creato per rilevare un malware, perché il codice del firmware si trova nell’hardware, in uno strato inferiore rispetto al sistema operativo.
Anche se i team IT stanno seguendo le best practice in termini di installazione delle patch nei software o di protezione delle reti informatiche da intrusioni dannose, in molti casi ci si dimentica del firmware.
Attacco al firmware: tanti esempi recenti
Negli ultimi due anni ci sono stati diversi importanti attacchi ai firmware, come quello che ha visto protagonista RobbinHood, un ransomware che sfrutta il firmware per ottenere accesso root al computer della vittima e dopo cifra tutti i file, concedendo la chiave di decifratura solo ad avvenuto pagamento del riscatto. Proprio questo malware, nel maggio del 2019, aveva preso in ostaggio i sistemi informatici di diverse città statunitensi.
Questa tipologia di offensiva è così silenziosa e difficile da rilevare che un aggressore potrebbe leggere e copiare tutti i dati presenti su un computer senza lasciare alcuna traccia e l’attacco sarebbe possibile anche nel caso in cui l’hard drive fosse cifrato, il computer fosse bloccato o in stand-by.
Un problema per le grandi aziende
L’aspetto “positivo” è che gli attacchi ai firmware hanno una minor probabilità di mettere nel mirino i consumatori ma le grandi imprese dovrebbero prestare attenzione, specialmente nel caso in cui vengano colpite alcune schede madre e determinati firmware.
Un fenomeno in aumento
Solitamente i cyber criminali tendono ad attaccare i sistemi operativi e i software di maggiore uso perché il ritorno economico è maggiore se riescono a colpire un numero maggiore di utenti finali.
Gli attacchi ai firmware sono meno comuni e più complicati da implementare rispetto ad altre cyber offensive ma sfortunatamente la pandemia da coronavirus sembra aver accelerato il problema.
Il NIST (National Institute of Standards and Technology), agenzia statunitense impegnata ad aggiornare costantemente il National Vulnerability Database (NVD), ha registrato un aumento di cinque volte degli attacchi verso i firmware negli ultimi quattro anni. Le misure di lockdown applicate in diversi Paesi, fra cui il nostro, ha portato moltissime persone a lavorare da casa e a connettersi da remoto ai server aziendali. Agli occhi di un criminale, ogni computer connesso da casa a una rete societaria è un’occasione.
Se l’esecuzione di un firmware attack potrebbe essere complessa, nel caso in cui gli aggressori riuscissero a sottrarre informazioni critiche dal laptop di una figura manageriale, come le password, potrebbero infiltrarsi nella rete aziendale e sottrarre dati sensibili.
Attacco al firmware: una minaccia presente
Anche se gli attacchi ai firmware non sono così comuni come altre offensive come quelle di phishing o basate su malware, è arrivata l’ora giusta affinché le aziende e l’industria della tecnologia prestino maggiore attenzione alla sicurezza dal lato hardware. Talvolta, i dati statistici non riescono a rilevare la gravità del problema poiché molte persone non sanno nemmeno che il proprio dispositivo è stato infettato con un attacco di questo tipo.
La situazione è simile a quella vissuta quando comparvero per la prima volta i ransomware: la gente non sapeva nemmeno di essere stata colpita e, nel caso in cui fosse stata coinvolta una grande azienda, non l’avrebbe rivelato a nessuno per paura di danni reputazionali, pagando per cercare di insabbiare la situazione il prima possibile.
Una generazione cresciuta a pane e hardware modificati potrebbe creare nuove minacce in tal senso. Dopo essersi fatti le ossa con il modding di console per videogiochi negli ultimi anni, potrebbero decidere di convertire tali competenze in un altro ambito.
Il problema va posto con urgenza, come sottolineato da Microsoft, perché i designer di firmware e gli esperti di tecnologia operativa devono entrare nella discussione verso standard superiori nel mondo della cyber security.
