Qualcuno ci spia

Sistemi OperativiWorkspace

Rallentano il lavoro del computer, ci inondano di pop up pubblicitari, ci dirottano su siti che non volevamo visitare, rubano informazioni private. Sono gli spyware, una spiacevole realtà di cui sempre più utenti hanno fatto esperienza

Non c’è pace sul fronte sicurezza, mentre ormai quasi tutti possiedono un antivirus e fanno attenzione a cosa scaricano dalla posta, una minaccia ancora più invasiva si è ormai diffusa a macchia d’olio: sono gli spyware che si intrufolano nel Pc di casa o anche in ufficio navigando su Internet, più facilmente se si scaricano musiche, filmati o software gratuiti, ma spesso anche visitando siti insospettabili. Per il canale l’aspetto positivo di questa minaccia si traduce in nuove opportunità di business, perché utenti domestici e aziende sempre meno potranno fare a meno di software ad hoc e anche di servizi e di procedure di sicurezza. E spesso specie nelle piccole e medie imprese occorre anche qualcuno che li gestisca. Ma è altrettanto chiaro che non si può lasciare spazio all’improvvisazione: capire quali sono le soluzioni disponibili, scegliere la migliore per i propri clienti e inserirla appropriatamente all’interno di una soluzione è assolutamente necessario. Gli effetti e le conseguenze sono di questi programmi sono disparati si va dal semplice rallentamento della connessione, al furto di dati sensibili come il numero di carta di credito, al dirottamento, a nostra insaputa, della connessione verso siti a pagamento. Il senso di smarrimento, per l’utente comune che improvvisamente si ritrova il desktop disseminato di icone sconosciute o la pagina Internet iniziale cambiata magari con qualche scena di sesso spinto, è grande, ma anche per le aziende le conseguenze sono tutt’altro che trascurabili. E non si parla solo di una minore redditività dei dipendenti: in marzo una banda di criminali high tech ha tentato di rubare 220 milioni di sterline dalla sede di Londra del Gruppo bancario giapponese Sumitomo, usando un software keylogging. Clamoroso il furto di 40 milioni di dollari a Mastercard, causato da una falla nel software che ha consentito l’installazione di malware. Ancora più grave quello che è successo in Israele, dove la polizia ha arrestato 18 persone che attraverso uno spyware avevano fatto spionaggio industriale in molte grosse aziende israeliane, fra cui una centrale nucleare e alcune aziende Telecom. La versione digitale del New York Times invece un bel giorno si è trovata invasa da messaggi pubblicitari che rimbalzavano su un monitor illeggibile e fuori controllo. Il disastro era stato provocato da Claria, una delle società leader in questo marketing digitale, che vanta 426 inserzionisti, tra cui nomi importanti della net economy. Perché va detto che spyware e adware (software pubblicitario) si muovono ancora in un’area grigia poco regolamentata dalla legge in cui non si capisce cosa sia reato e cosa no, ma che in ogni caso sarà difficile da persegui re, visto che nella maggioranza dei casi l’attacco parte da un Paese diverso da quello del Pc infettato. Nel frattempo l’industria del software non ha ancora una risposta univoca, certo esistono molti prodotti antispyware, ma non si è ancora arrivati a definire i confini del problema: si discute, per esempio, se i cookies debbano essere annoverati fra gli spyware o no. Esiste poi il problema dei falsi positivi: alcuni prodotti sono talmente solerti da scambiare il driver della stampante per un trojan, o da impedire il collegamento a Google. E se l’industria è ancora immatura è perché l’infernale miscuglio e mescolanza di freeware, shareware e software commerciale impedisce lo sviluppo di definizioni universali o di database. Webroot Software, Aluria Software e Computer Associates avevano dato vita nel 2003 al Coast (Consortium of Anti- Spyware Technology), il consorzio che si proponeva di quantificare e analizzare le differenti forme di spyware e soprattutto fissare gli standard dei programmi anti-spyware. Un esperimento fallito visto che un membro del consorzio era fortemente sospettato di produrre adware. Ora è nata con le stesse finalità la Anti-Spyware Coalition, dove i candidati saranno ammessi solo previa approvazione e di cui faranno parte produttori di anti-spyware, associazioni di consumatori e distributori di tool di protezione (produttori di Pc e provider Internet). “È un ambito ancora non maturo dove solo ora si sta iniziando a creare un linguaggio internazionale con definizioni standard, dove anche le leggi non sono adeguate”. È questa l’opinione di Rossano Ferraris, che in Computer Associates svolge attività di ricerca, supporto e analisi spyware ed è referente tecnico specializzato di eTrust PestPatrol Antispyware in ambito europeo. In Italia non esistono assolutamente leggi che possano colpire questi reati che spaziano dalle truffe, alla violazione della privacy allo spionaggio industriale, al vero e proprio furto, mentre in alcuni stati degli Usa sono state approvate leggi ad hoc. “Sono anche reati difficili da perseguire – dice Giuseppe Borgonovo, Pre-Sales Technical Manager Symantec Italia – perché spesso il malware (cioè il software dannoso) parte da siti che hanno sede in Paesi poco regolamentati come l’Est Europeo o l’Africa e rimbalzano di server in server per mezzo mondo”.

Secondo l’analista Idc il 67% dei computer sono affetti da qualche forma di spyware e mentre molti di questi sono Pc di casa anche per le aziende i rischi sono considerevoli. Le stime di Webroot Software nel suo periodico Spyaudit sono ancora più spietate: nel primo trimestre del 2005 le infezioni hanno riguardato l’87% dei Pc aziendali e l’88% di quelli domestici. Un dato sorprendentemente alto, che però risulta inferiore a quello registrato nell’ultimo trimestre del 2004, quando il 92% dei Pc nelle case e l’88% di quelli aziendali mostravano segni di infezione. In sostanza quindi si tratterebbe di un fenomeno che ha raggiunto il suo apice e non è un caso se 4 It manager su 5 si stanno concentrando su questo problema, molto più che rispetto un anno fa, come risulta da uno studio di TheInfoPro commissionato da Secure Computing. Gli spyware hanno insomma scalzato il timore dello Spam o degli attacchi di hacker per quanto riguarda gli allarmi in rete. “Anche se gli spyware non si replicano come i virus all’interno del Pc – spiega Ferraris di Ca -, possono essere anche più pericolosi. Innanzitutto non sono studiati da adolescenti ribelli e ‘smanettoni’, ma da team operativi di professionisti, pagati da aziende anche grandi”. Dello stesso parere è Ruben Savazzi, Sales Manager Webroot Italia. “Si calcola che l’economia generata dallo spyware valga 2,4 milioni di dollari, per esempio ogni volta che un utente ignaro clicca su un sito collegato a CoolWebSearch, all’organizzazione vanno alcuni centesimi di dollaro, per non parlare dei dirottatori che generano chiamate internazionali o satellitari carissime. Si calcola anche che mediamente ogni Pc infettato ospiti 27 malware diversi e che questo segmento stia crescendo molto più velocemente dei tradizionali virus”. Anche l’Internet Security Threat Report, realizzato semestralmente da Symantec, documenta come “alcuni malicious code vengono creati con il preciso scopo di rubare informazioni confidenziali da un computer compromesso. Tra il 1° luglio e il 31 dicembre del 2004 queste minacce hanno rappresentato il 54% dei primi 50 malicious code classificati da Symantec, nei primi sei mesi erano il 44%”. Se fino a oggi il browser preso di mira è stato l’immancabile Internet Explorer di Microsoft, Symantec ha documentato anche 21 vulnerabilità di Firefox e Mozilla. Sono state riscontrate 4300 diverse varianti di Spybot, in aumento del 180% rispetto al semestre precedente e una correlazione molto stretta fra spyware e spam: con una crescita del 77% di quest’ultimo nelle aziende infettate. Il Regno Unito è risultato il Paese con il maggior numero di Pc infettati da bot (vedi glossario), mentre gli Stati Uniti rimangono il principale Paese di origine degli attacchi, seguito da Cina e Germania.

La protezione dagli spyware, come sempre in materia di sicurezza, difficilmente può essere risolto da un singolo prodotto, si tratta piuttosto di un processo, anche nelle case: l’installazione di un firewall, l’aggiornamento dell’antivirus e dell’antispyware (che non deve solo eliminare a posteriori i software dannosi, ma fare anche da schermo attivo), si accompagnano al back up del lavoro svolto, per non perdere in caso di danni i propri documenti. E non basta: l’aggiornamento del sistema operativo, con Microsoft seriamente impegnata in materia di sicurezza, è caldamente consigliato, così come fare attenzione a quello che si scarica da Internet. Scaricare software gratuito è il modo più semplice per venire invasi dalle spie, quindi meglio farlo solo da siti che si conoscono e sono affidabili, va tenuto presente che alcuni siti P2P come Kazaa, quando vengono installati sono accompagnati da adware. Inoltre è necessario leggere con attenzione il contratto, l’end user licensing agreement, spesso senza accorgersene si accondiscende a installarsi oltre al software desiderato anche l’odiato spyware. “Un’azienda ovviamente dovrà implementare una soluzione più completa – dice Borgonovo di Symantec – occorre monitorare il traffico di rete, magari con un’appliance che unisca all’antivirus e antispyware anche un sistema di intrusion prevention, protezione quindi non solo dei client ma anche della rete”. Particolarmente vulnerabili sono ovviamente i sistemi operativi Microsoft e il browser correlato anche se abbiamo visto che anche Firefox comincia a essere meno sicuro mentre a livello di dispositivi Giuseppe Borgonovo e Ruben Savazzi mettono l’accento sugli apparecchi mobili. “Mentre in azienda l’ambiente è spesso sicuro – dice Savazzi – il portatile può venire collegato da casa, o negli hot spot tramite wireless Lan, può infettarsi all’esterno e trasmettere l’infezione una volta ricollegato alla rete aziendale”. Il trend nelle grandi aziende degli Stati Uniti, secondo un recente studio di Gartner, è quello di spendere di più in sicurezza e di concentrarsi oltre che su firewall, intrusion prevention, antivirus, anche sul patch management, una stringente user authentication, vulnerability assessment, identity management, reporting, spam filtering e web-site filtering. Più della metà degli interpellati ha detto che preferisce prendere il meglio da più vendor, piuttosto che una soluzione globale, e più di un terzo vorrebbe una suite multi-vendor sotto un framework comune, ma si tratta ovviamente di grandi aziende.

E se attualmente gli spyware non sono uno scherzo, in futuro potranno essere molto peggio. “La tendenza è quella di rendere sempre più difficile l’identificazione e la rimozione di questi software che già oggi spesso modificano il registro di sistema e aggiungono numerosi file e cartelle all’interno del sistema operativo”, conclude Ferraris di cui sta per uscire un libro sull’argomento, “Spyware e dintorni… Minacce dal Web”, edito da Mondadori. “Una caratteristica dei nuovi pest potrebbe essere quella di nascondersi nel sistema sotto forma di Alternate Data Stream sfruttando la canalizzazione di attributi supplementari dei file del sistema (quindi spazi vuoti dove il pest può inserirsi). Oppure potrebbero disabilitare dei servizi di amministratore, per esempio non consentendo più all’utente di rimuovere le modifiche apportate dal pest. Un’altra possibilità è quella dell’iniezione di processi maligni (pest) all’interno dei processi già preesistenti, nascondendo quindi la propria attività usando un processo ospite legittimo del sistema (esempio: dll-injection) e quindi non intercettabile dagli attuali anti spyware. La soluzione potrebbe essere l’implementazione di metodi di behaviour detection nel software anti spyware, garantendo all’intero sistema di processi (sistema operativo) di essere sorvegliato in real-time e qualora qualche processo risulti avere “strani” comportamenti allora verrebbe identificato come sospetto”. Intanto Richard Stiennon Vice president of Threat Research di Webroot Software, ha stilato sette predizioni che dovrebbero avverarsi entro il 2005, a partire dall’apparizione del primo spyware per il browser Mozilla Firefox (previsione già avveratasi), nel frattempo crescerà anche il numero delle vulnerabilità Microsoft, mentre Europa e Stati Uniti si doteranno di leggi anti spyware. Il numero dei differenti tipi di spyware triplicherà fino a raggiungere il numero di 4.500, che verranno distribuiti nei modi più disparati: e-mail, P2P, http, attraverso virus, worm, spam e Web browsing. La novità in quest’area sarà la distribuzione attraverso l’Rss (Really Simple Syndication), una forma di distribuzione delle informazioni. Infine, i più sofisticati scrittori di spyware cominceranno a fare uso di tecniche di offuscamento del Root kit file, creando un muro fra il disco e il sistema operativo così che l’antivirus o l’anti spyware non possano vedere il malware installato. Il target favorito al momento è l’NTdll un componente critico di tutti i sistemi operativi Microsoft.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore