Le cinque tendenze della sicurezza nel 2011

CyberwarMarketingSicurezza

Fortinet delinea i cinque maggiori trend della sicurezza per l’anno nuovo. Si spazia dala collaborazione al riciclo di codice sorgente esistente

Fortinet prevede cinque tendenze per la sicurezza 2011: l’aumento della collaborazione a livello globale riguardo le misure restrittive nei confronti del cybercrime; il rialzo del prezzo per i servizi criminali futuri; l’incremento degli attacchi che bypassano i sistemi di protezione; la crescita delle richieste di lavoro per cybercriminali; un maggior numero di cybercriminali entreranno in gioco tentando di riciclare codice sorgente esistente. Vediamo in cosa consistono nel dettaglio questi trend delineati da Fortinet.

Serve maggiore collaborazione globale contro il cybercrime. Quest’anno ci sono stati esempi di collaborazioni internazionali quali Operation Bot Roast (iniziativa dell’FBI), il Conficker Working Group e i recenti casi di Mariposa/Pushdo/Zeus/Bredolab per smantellare gruppi cybercriminali, ma queste operazioni si sono concentrate solo sulle violazioni con una maggiore visibilità e con un impatto, a volte, solo temporaneo. Per esempio, a novembre le autorità hanno bloccato il botnet Koobface, ma i server sono stati riconfigurati e sono tornati in piena attività dopo una settimana. Nel 2011 si prevede che le autorità consolideranno le iniziative di collaborazione globali e lavoreranno con le forze di sicurezza per contrastare i gruppi cybercriminali in crescita. Anche se la European Electronic Crime Task Force è stata un buon passo in avanti nel 2009, non ha avuto ampio raggio di azione.  L’interruzione dell’attività di Zeus avvenuta nel 2010, che ha portato alla formulazione di accuse da parte delle autorità competenti negli Stati Uniti e nel Regno Unito, costituisce un ottimo esempio.

Sono in aumento i computer infetti. Oggi si assiste a una diffusa preoccupazione per la creazione di imperi malware da parte dei criminali, poiché il controllo delle infezioni gestite può portare a tempi di attività più lunghi e un maggior flusso di denaro. Funzioni dette “bot killers” vengono implementate in nuovi bot destinati genericamente a distruggere altre minacce che potrebbero essere nascoste nel sistema stesso, come Skynet vs. MyDoom/Bagle e Storm vs. Warezov/Stration. È stato osservato, ad esempio, un bot che cerca nella memoria alla ricerca di comandi utilizzati da altri bot IRC presenti sullo stesso computer. Una volta individuati, i processi che utilizzano questi comandi vengono eliminati, essendo percepiti come una minaccia per il bot stesso.

Mentre nel 2011 i computer saranno infettati da nuove fonti di attacchi, il numero dei computer già contagiati aumenterà. Di conseguenza, si assisterà probabilmente a un’impennata del prezzo dei servizi criminali, per esempio l’affitto di bot che caricano software dannoso nei computer e di malware che includono la manutenzione del computer per ottimizzare il tempo di attività dei computer infetti.

Aumenteranno gli attacchi che bypassano i sistemi di protezione. Le tecnologie di sicurezza per prevenire o limitare gli attacchi informatici  nei moderni sistemi operativi (ASLR, DEP, sandboxing…) stanno evolvendo notevolmente come le macchine che li supportano. Questa evoluzione ha sicuramente limitato il terreno di diffusione del malware e ciò, nel 2011, aumenterà la domanda  di metodi per infrangere queste barriere. Nel 2010, sono stati inoltre osservati rootkit come Alureon che hanno bypassato queste difese e infettato il record di avvio principale per preparare l’attacco.

Si prevede che altri rootkit seguiranno, nel tentativo di introdursi nei computer più recenti, e che verranno sferrati ulteriori attacchi innovativi per aggirare le difese come ASLR/DEP e sandboxing  come quelle lanciate da Google Chrome e Adobe nel 2010.

I cybercriminali
sono alla ricerca di nuova manodopera. I lavori per cybercriminali per cui è stata osservata una crescita della domanda comprendono sviluppatori per piattaforme e pacchetti personalizzati, servizi di hosting per dati e programmi malevoli, persone in grado di bypassare i CAPTCHA, quality assurance (antirilevamento) e distributori (affiliati) per la diffusione di codice dannoso. I programmi per nuovi affiliati saranno probabilmente i più fruttuosi, grazie all’arruolamento di persone che si candidano per distribuire codice dannoso. Gli operatori di botnet hanno in genere provveduto direttamente al loro sviluppo, ma si ritiene che nel 2011 più operatori inizieranno a delegare questa attività agli affiliati (intermediari su commissione). I botnet Alureon e Hiloti sono due esempi per cui è già stato adottato questo concetto, con la creazione di programmi di affiliazione e la retribuzione di chiunque sia in grado di infettare altri sistemi per conto dell’operatore. Attraverso un’armata di distributori, i botnet continueranno a  prosperare.

Altra incognita è la diffusione del codice sorgente. Oggi lo stesso malware può nascondersi dietro diversi nomi e alias. Anche il rilevamento incrociato da parte di diversi vendor di sicurezza non fa che aumentare la confusione. Questo è il risultato di una comunità di sviluppatori in crescita, alimentata dalla disponibilità del codice sorgente e delle librerie che vengono “presi a prestito” per creare e vendere nuovo malware. Capita spesso che due malware sottoposti a valutazione rivelino una natura praticamente identica, eccetto la modifica di un piccolo componente al loro interno. Questo tipo di malware “copia & incolla” indica che più sviluppatori hanno adottato lo stesso codice sorgente.
Nel 2011 si prevede che un numero maggiore di criminali parteciperà all’operazione tentando di guadagnare denaro riciclando codice sorgente esistente. Mentre il codice sorgente pubblico (accessibile a tutti) continuerà a creare problemi nel panorama della sicurezza, il codice sorgente privato aumenterà di valore, così come il lavoro degli sviluppatori esperti. In parallelo, si prevede sempre più collaborazione implementando il controllo della fonte come farebbe una qualsiasi azienda legittima di sviluppo software o progetti open source (Source Forge).

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore