Il punto sulla sicurezza

Aziende

Partendo dal rapporto semestrale pubblicato da F-Secure cerchiamo di
delineare lo stato attuale della sicurezza informatica e le possibili evoluzioni

In base ai risultati del rapporto F-Secure, i primi 6 mesi del 2006 sono stati fondamentalmente caratterizzati da due importanti avvenimenti: si è “celebrato” il ventennale della scoperta di Brain, il primo virus per PC e il numero di malware per telefoni cellulari cellulare ha superato la quota 200. Il cambiamento di scenario nei 20 anni trascorsi dalla scoperta del primo virus non è tanto nella tipologia o nella quantità di malware quanto nelle motivazioni che spingono gli autori di virus, che pian piano si sono trasformati da ” hobbisti” ad autentici criminali spesso riuniti in bande, che scrivono virus per procurarsi guadagni illeciti.

Calma apparente

I primi 6 mesi del 2006 sono stati relativamente “tranquilli”. Non bisogna comunque abbassare la guardia perché, nell’ombra, i criminali della rete continuano a sviluppare nuovi malware e a scoprire nuovi exploit da sfruttare. Le nuove minacce sono spesso molto più mirate e abili a mascherarsi e i criminali scoprono ogni giorno nuovi modi per procurarsi i loro illeciti guadagni oltrepassando le barriere di difesa. Iniziamo dai classici virus. Ad oggi sono circa 185.000 i virus noti e il numero è in continua crescita. Il cambiamento di scenario di maggior rilievo nei 20 anni trascorsi dalla scoperta del primo virus non è tanto nella tipologia o nella quantità di malware quanto nelle motivazioni che spingono gli autori di virus, che pian piano si sono trasformati da ?hobbisti? ad autentici criminali spesso riuniti in bande, che scrivono virus per procurarsi guadagni illeciti. Quasi tutto il nuovo malware viene sviluppato con questo obiettivo: centinaia di PC vengono così trasformati in bot (abbreviazione per ?robot?) risvegliabili a distanza all’occorrenza e usati per distribuire spam o email per attacchi phishing o per sottrarre informazioni personali e finanziarie. Una minaccia in crescita è rappresentata dai rootkit. I rootkit sono tecniche di mascheramento che consentono agli autori di malware di entrare in un computer e fare i propri comodi senza essere scoperti. Nonostante il malware che usa tecniche rootkit sia in costante aumento e il clamore suscitato sul finire del 2005 dal caso Sony, curiosamente la maggior parte dei fornitori di prodotti per la sicurezza ancora non offre una tecnologia per fronteggiarli. L’episodio noto più recente si è verificato lo scorso maggio, quando è stata scoperta una backdoor collegata a un sito per il gioco online che usava tecniche rootkit per sottrarre informazioni ai giocatori inconsapevoli che effettuavano il download di un programma per giocare a poker apparentemente utile e innocuo. In base a quanto accaduto nei primi mesi dell’anno il 2006 inizia a delinearsi come l’anno del malware che attacca i dispositivi mobili, con oltre 200 episodi noti. A confronto con la situazione nel mondo PC certo non si può ancora parlare di allarme rosso, ma sicuramente il trend è in crescita. I cellulari di ultima generazione sono sempre più simili a veri e propri computer e quanto più si diffonderà la possibilità di usarli anche per effettuare transazioni finanziarie tanto più la comunità dei creatori di malware troverà nuovi modi per violarne la sicurezza.

Un inizio d’anno turbolento

Il 2006 si è aperto con i danni causati dalla vulnerabilità del Windows Graphics Rendering e della gestione delle immagini Windows Metafiles (WMF), scoperta alla fine del 2005. In pochi giorni, è stato scoperto un gran numero di file maligni in grado di sfruttare l’exploit, mentre il patch tardava ad arrivare. Ilfak Guilfanov di DataRescue è stato il primo a creare un patch temporaneo per fronteggiare questa vulnerabilità. Microsoft ha rilasciato l’update il 5 di gennaio, facendo un’eccezione all’abitudine di fornirne solo una volta al mese. La tensione è stata alta per tutto gennaio. Non si era ancora spento l’eco degli episodi descritti che un altro worm email ha fatto la sua comparsa il 17 del mese, diffondendosi subito in modo molto aggressivo. Il nuovo worm, battezzato Nyxem.E (e noto anche con i soprannomi MyWife, Blackworm e Blackmal) era interessante per due aspetti: usava un web counter (strumento per contare i numeri degli accessi alle pagine web) per tenere traccia dei computer infettati ed era programmato per sovrascrivere i file in una certa data di ogni mese. Anche di questi tempi nei quali il cybercrime si dimostra sempre più aggressivo, un malware così devastante è cosa rara. I paesi più colpiti sono stati India, Perù, Turchia e Italia. Fortunatamente, prima che il malware si attivasse il 3 febbraio, la maggior parte degli utenti aveva già ripulito i computer, anche grazie agli allarmi diffusi dai Media. Molti però non hanno saputo evitare che i loro documenti Excel o Word venissero sovrascritti. In totale, 11 diversi formati file sono stati interessati dal fenomeno di sovrascrittura generato dal worm Nyxem.E, che ancora non è stato debellato e continua a mietere vittime ogni terzo giorno del mese. Al momento, la maggior parte degli utenti colpiti si trova in India. Il 2006 ha inoltre segnato la fine del mito dei Macintosh virus-free. A distruggerlo, la comparsa a febbraio di Leap.A, il primo virus per Mac OSX. Il malware è stato originariamente postato sul forum MacRumors. Il virus, che si diffonde via iChat e infettando file locali, è stato immediatamente seguito da altri ?compari? indirizzati alla piattaforma Mac. Tra questi, un virus sperimentale denominato OSX/Inqtana.A, che usa una vulnerabilità della funzionalità Bluetooth OBEX Push per diffondersi da computer a computer.

Sempre più rootkit

I rootkit hanno continuato a essere un problema anche nel primo trimestre del 2006, durante il quale molto del nuovo malware ha usato questa tecnica per nascondere la sua presenza. Ne sono un esempio le varianti del worm Feebs, che si diffonde autoallegandosi a una email in uscita senza che l’utente ne sia consapevole. Il vantaggio, ovviamente, è che l’email appare autentica, poiché di fatto lo è! In ogni caso, rispetto ad altri worm email, questo metodo di trasmissione riduce la portata della diffusione. Due dei worm più usati per installare bot-client includono tecnologia rootkit: le varianti delle famiglie Bagle e Mydoom scoperte a marzo. Le varianti Bagle sono le più interessanti da esaminare quali esempi di evoluzione virale e collaborazione tra autori di virus. Due anni fa, Bagle era un virus relativamente semplice, che consisteva in un file EXE che si auto inviava a destra e a manca via email. Oggi è qualcosa di ben diverso e gli autori di Bagle hanno creato una vera e propria rete di collaborazione e una suite di programmi che lavorano insieme. La tecnica usata in entrambi i casi citati è il cosiddetto kernel-mode rootkit, il cui nome indica che il rootkit ha accesso diretto a tutte le funzioni di sistema, rendendo così ancora più complessa la sua identificazione. Se gli autori di Bagle hanno seriamente deciso di concentrarsi sul potenziamento delle loro suite di malware con i rootkit, bisogna stare molto attenti e tenerli d’occhio.

Malware mobile

Il malware indirizzato ai dispositivi mobili ha fatto la sua prima comparsa nel giugno 2004 e fino a oggi i danni che ha causato sono stati tutto sommato contenuti. E’ della fine di febbraio la comparsa del primo malware Java o J2ME: il trojan Redbrowser, che tenta di sottrarre denaro presentandosi come un modo per utilizzare gratis i servizi WAP. Se lanciato, invia SMS a un numero in Russia: ogni messaggio costa all’utente circa 5 dollari. Per fortuna il danno è stato limitato dal fatto che la lingua usata per attirare i malcapitati era il russo. Attacchi dello stesso genere verranno però sicuramente riproposti in altre lingue nel prossimo futuro. A marzo di quest’anno è apparso anche il primo spyware mobile, Fl exispy, un’applicazione commerciale pubblicizzata come strumento per controllare le attività online del partner. Il cliente era chiamato a effettuare il log in a un portale dal quale scaricare sul dispositivo mobile un software che, una volta installato, registrava chiamate, SMS e MMS e li inviava a un server remoto. F-Secure Mobile Anti-Virus è in grado di rimuovere questa applicazione spyware. A marzo, il numero di malware mobile individuato ha raggiunto quota 200.

Phishing in evoluzione

Purtroppo il phishing funziona. Uno studio recente che esaminava le tecniche di phishing dei siti web ha dimostrato che i siti web fasulli più curati dal punto di vista grafico erano in grado di trarre in inganno il 90% dei partecipanti all’indagine. Questa percentuale includeva anche utenti competenti in materia di tecnologie. Gli esperti di F-Secure si chiedono perché le banche non consentano ai loro correntisti di personalizzare le loro pagine per il banking online con l’immagine preferita: la foto del passaporto, del cane, del gatto o di un familiare; qualcosa, insomma, la cui mancanza sia immediatamente in grado di insospettire l’utente. Un’idea in fondo semplice, che forse potrebbe contribuire a ridurre la portata del phishing.

I ladri d’auto si aggiornano

Una questione diversa dai virus, ma sempre connessa con il cybercrimine, è quella dei moderni ladri d’auto, che per impadronirsi delle auto di nuova generazione non usano più piedi di porco o altri aggeggi di scasso: ora quel che serve è un notebook. Se la vostra nuova, costosa auto usa un sistema di accensione senza chiave con autenticazione basata su crittografia a 40-bit, potrebbero bastare 60 secondi perché si volatilizzi. Robert Vamosi di CNET Review lo scorso maggio ha scritto un articolo proprio su questo argomento, basandosi su uno studio della Johns Hopkins Uni versity e di RSA. Vamosi conclude osservando come i produttori di sistemi RFID non sembrino ammettere che il problema esista. Bisognerebbe forse chiedere cosa ne pensa a David Beckham, cui proprio usando questa tecnica hanno rubato in Spagna la BMW X5. Finchè la situazione non cambia, se possedete un’auto con un sistema di accensione senza chiave di questo tipo, il consiglio è di?coprirlo con un foglio d’alluminio!

Dulcis in fundo

A fine maggio, si è discusso di una nuova vulnerabilità che sarebbe stata scoperta in Word. Secondo alcune fonti, una società americana sarebbe stata destinataria di email provenienti dall’esterno ma falsificate in modo da apparire come mail di dipendenti. Queste mail avevano un allegato Word. Se aperto, il file lanciava una backdoor nascosta da un rootkit che forniva accesso illimitato al sistema a cybercriminali che operavano da un host registrato sotto il dominio cinese 3322.org. I file .DOC sono vettori di attacchi piuttosto sgradevoli per una serie di ragioni. Qualche anno fa, quando i virus macro erano il problema numero uno, molte aziende negavano l’accesso ai file DOC allegati alle email. Oggi, invece, essi vengono in genere ammessi. Il motivo principale per essere preoccupati è che anche Word ha delle vulnerabilità, ma gli utenti in genere non installano le patch per Word quasi quanto non installano quelle per Windows. Veniamo infine all’episodio più recente, legato ai mondiali di calcio in corso in Germania. Un nuovo worm denominato Banwarum (noto anche come Zasran e Ranchneg) che usa email a tema potrebbe causare sgradevoli sorprese ai tifosi di calcio. Il worm si auto-invia fingendosi un archivio protetto da una password, che viene inclusa nella email. Le email inviate dal worm sono in tedesco e alcune offrono biglietti per le partite dei Mondiali. Sono già tre le varianti funzionalmente simili scoperte di questo worm, tutte individuate dalla soluzione antivirus di F-Secure. Tornando ai più classici virus riassumiamo la situazione attuale con le statistiche fornite dalla F-Secure Worldmap per il primo semestre 2006:

1. Email-Worm.Win32.Nyxem.e 17,3 % 2. Net-Worm.Win32.Mytob.x 11,2 % 3. Email-Worm.Win32.NetSky.q 11,2 % 4. Net-Worm.Win32.Mytob.az 11 % 5. Email-Worm.Win32.Sober.y 5,7 % 6. Email-Worm.Win32.Bagle.fj 4,3 % 7. Email-Worm.Win32.Mydoom.m 3,3 % 8. Email-Worm.Win32.Doombot.g 2,4 % 9. Net-Worm.Win32.Mytob.c 2,2 % 10. Net-Worm.Win32.Mytob.bi 2,2 %

Non ci resta quindi che darci appuntamento a fine anno per verificare quali delle tendenze in atto sono riuscite ad affermarsi. Nel frattempo?occhi aperti.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore