Gli strumenti open source servono agli esperti di cyber security per difendere le infrastrutture delle imprese. Però possono essere usati anche dai cyber criminali per creare i loro malware. Fortinet ha esaminato questa doppia valenza dei tool open source, indicando alcune contromisure da mettere in campo per difendersi.

I "buoni" usano gli strumenti open source in vari modi. Ad esempio per analizzare gli exploit ed effettuare test di difesa. Ci sono poi tool che consentono di monitorare nel tempo i comportamenti del malware e dei cybercriminali. In questo modo offrono informazioni su come identificare gli sviluppatori di malware. Ma anche per prevedere quali saranno le caratteristiche dei malware di prossima generazione e le possibili strategie di attacco.

I "cattivi" hanno però accesso a molte delle risorse usate dai ricercatori, risorse che usano con scopi completamente diversi. Inoltre stanno sempre più puntando lo sguardo su strumenti malware open source, da utilizzare per le loro attività criminali. Secondo Anthony Giandomenico di Fortinet, i cyber criminali che sviluppano malware sono guidati dagli stessi modelli economici del loro target. Perciò, ottimizzano gli investimenti e non creano un attacco da zero se qualcuno ha già fatto gran parte del lavoro.

Vantaggi per tutti

Un esempio di questa ottimizzazione è la botnet Mirai. Gli sviluppatori ne hanno rilasciato il codice sorgente, così diversi siti l'hanno pubblicato online. Così oggi continuano a esserne rilevate nuove varianti, sviluppate a partire da quel codice. Altro caso: diversi hacker ostili combinano il proprio codice con Veil, uno strumento open source di obfuscation. Così possono creare malware che bypassare molti software di protezione.

In alcuni casi adattare il codice già disponibile per generare nuovi malware richiede una certa abilità. Ma molti dei tool malware disponibili online sono facilmente modificabili, senza particolari competenze. Il tipico "script kid" può ad esempio usare un ransomware proof-of-concept per infettare una rete di computer e fare danni (quasi) come i criminali esperti.

Come affrontare il malware open source

Gli strumenti open source per la sicurezza nascono spesso dal lavoro dei migliori professionisti. Proprio per questo, sono particolarmente pericolosi se "adattabili" dai criminali per i loro scopi. Possono ad esempio penetrare rapidamente la superficie di attacco, stabilire e oscurare un punto di ingresso senza che l'attività venga rilevata, quindi spostarsi in rete con facilità.


Per affrontare in modo adeguato questa sfida servono specifiche contromisure. Secondo Fortinet queste includono attività di segmentazione per prevenire i movimenti laterali attraverso il network. Ma anche analisi comportamentale per rilevare i minimi cambiamenti nel traffico, automazione per migliorare il rilevamento delle minacce. Poi servono threat intelligence per prendere decisioni critiche in tempo reale, e machine learning per automatizzare le operazioni di difesa.

Funzioni di protezione avanzata, come il sandboxing, possono rilevare le minacce sconosciute. Infine, soluzioni per la sicurezza davvero integrate possono condividere informazioni e rispondere come un sistema unico, anche se ampiamente distribuito.