Rapporto sulla sicurezza 2004

Aziende

L’analisi degli attacchi individuati nel corso dell’anno nella sintesi del rapporto stilato da F-Secure

Dal punto di vista della sicurezza informatica, il 2004 può essere diviso in due parti ben distinte. La prima metà dell’anno è stata infatti caratterizzata da un attivismo record da parte dei vari criminali della rete con la conseguente apparizione di un numero enorme di nuovi virus, mentre da giugno in poi le acque si sono calmate e il numero di epidemie gravi è stato relativamente contenuto. Il 2004 è stato l’anno in cui i virus noti hanno raggiunto e superato quota 100.000 e sono esplosi i fenomeni del phishing (e-mail false che provengono da società apparentemente affidabili con l’obiettivo di catturare dati personali riservati e usarli a scopi illeciti) e delle botnet, ovvero reti di computer (soprattutto di ignari utenti domestici) infettati e controllati da soggetti che li utilizzano a scopi illeciti (ad esempio affittando tali reti a produttori di pubblicità spazzatura, truffatori e associazioni a delinquere che operano sul web).Tuttavia il 2004 è stato anche l’anno in cui il più alto numero di virus writer e criminali informatici è stato assicurato alla giustizia. F-Secure Corporation classifica i virus sulla base della loro gravità, mediante una scala denominata Radar. Nel 2004 sono stati classificati 4 allarmi Radar di livello uno (massima pericolosità), contro i 7 del 2003. Gran parte degli allarmi Radar del 2004 sono stati concentrati nei primi cinque mesi dell’anno. Se consideriamo l’anno nel suo insieme, sei famiglie di virus si sono fatte notare in particolare: Bagle, Mydoom, Netsky, Sasser, Korgo e Sober. È interessante rilevare che, di questi sei, tre sarebbero a scopo di lucro (Bagle, Mydoom e Korgo) e riconducibili ad attività di spamming o tentativi di sottrazione fraudolenta di informazioni bancarie. Oggi, circa il 70% delle e-mail è costituito da spam e gran parte viene inviata da computer infetti di utenti privati. A causa del crimine organizzato che si cela dietro taluni virus, dal 2003 la quantità di e-mail infette è cresciuta in modo esponenziale. Malgrado ciò, nel secondo semestre del 2004 abbiamo assistito solo a un numero contenuto di attacchi altamente distruttivi.

La guerra ai virus Il 2004 è iniziato con un’intensa gara tra i creatori di tre diversi virus: Bagle, Mydoom (“specializzati” nella creazione di agenti di spam) e Netsky. Tutti e tre sono worm che agiscono mediante la posta elettronica e si diffondono inviando allegati infetti. Nel periodo tra gennaio e maggio, è stata osservata un’inconsueta competizione tra i tre virus, con la costante uscita di nuove varianti. Il picco è stato raggiunto il 3 marzo, giorno in cui è stata riscontrata una nuova variante all’ora. L’epidemia singola più virulenta è stata quella di Mydoom.A, il cui primo attacco, sferrato il 26 gennaio 2004, è stato il più grande attacco via e-mail della storia, superando addirittura l’epidemia di Sobig.F del 2003. Nella fase più critica, quasi il 10% di tutto il traffico e-mail mondiale era provocato da Mydoom.A. Numerose varianti di Mydoom lanciavano attacchi del tipo denial-of-service (interruzione di servizio): Mydoom.A ha attaccato e mandato in crash il sito di SCO (tanto che la società ha dovuto mettere off-line il dominio per cinque settimane). Mydoom.B ha attaccato il sito di Microsoft, anche se con scarsi risultati visibili.Anche Doomjuice.A ha attaccato Microsoft, con un certo grado di successo. Mydoom.F ha attaccato e costretto alla resa il sito della RIAA. Mydoom.M si è servito di Google per catturare indirizzi e-mail (tanto che il sito di Google è rimasto offline per parecchie ore a causa del numero eccessivo di richieste). È interessante osservare la molteplicità di tecniche che abbiamo visto all’opera nelle diverse varianti di questi worm. In taluni casi sono state utilizzate icone fortemente ambigue, che spingevano gli utenti ad aprire gli allegati di posta elettronica; in alcuni casi Bagle utilizzava icone simili ai folder, mentre in realtà si trattava di eseguibili infettati da virus. Mydoom, invece, inseriva nei propri allegati le icone di applicazioni familiari, così che apparentemente il virus si presentava sotto forma di innocuo documento Word o di un filmato. Le successive varianti di Bagle si presentavano con stratagemmi sempre nuovi: – In una prima fase Bagle inviava eseguibili infetti come allegati. – I produttori di antivirus cominciarono a individuarli. – Successivamente, Bagle iniziò a inviare eseguibili zippati. – I produttori di antivirus hanno iniziato ad estrarre i file ZIP e individuare il virus. – Allora Bagle ha iniziato a criptare gli ZIP con una password, che comunicava all’utente nel testo dell’email. – I produttori di antivirus hanno quindi proceduto ad esaminare le mail alla ricerca delle password e a decriptare i file ZIP allegati. – Bagle ha allora iniziato a presentare la password incorporata in un’immagine, così da renderla invisibile alla scansione all’interno del testo e-mail. ?e così via, come in una grande sfida a guardia e ladri. Netsky aveva trucchi propri ancora diversi, ad esempio includendo nelle e-mail falsi banner del tipo “Questo messaggio è stato sottoposto a scansione antivirus”. Netsky.X impiegava anche un altro stratagemma: inviava messaggi in lingue diverse, in funzione del dominio dei destinatari. Il messaggio poteva essere in inglese, svedese, finlandese, polacco, norvegese, portoghese, italiano, francese, tedesco, etc. L’obiettivo principale di Bagle e di Mydoom era quello di trasformare la macchina infetta in un agente di spam, che gli spammer potessero utilizzare per inviare grandi quantità di e-mail. Il trojan Mitglieder rappresenta un interessante colle- gamento tra questi due virus: la prima versione nota di questo trojan è stata utilizza nel gennaio 2004 da Bagle.A, che l’aveva scaricata da un sito e installata nei computer infettati. Mydoom.A apriva una piccola backdoor sui computer infettati, in maniera tale che diversi giorni dopo l’attacco iniziale, chi era in grado di utilizzare questa apertura poteva installare su queste macchine una versione del trojan Mitglieder e avviare così l’invio di spam. Il fatto che sia Bagle sia Mydoom utilizzano il trojan Mitglieder potrebbe indicare che dietro entrambi si cela un unico gruppo di scrittori di virus. Alcune varianti hanno avuto più successo di altre: la massima diffusione l’ha avuta Netsky.P, che secondo le nostre statistiche è risultato il virus più diffuso tra aprile e agosto 2004 e ancora a dicembre figurava nella nostra top 10. Come risultato di questa situazione, i primi mesi dell’anno sono stati caratterizzati da un vistoso attivismo da parte dei virus, probabilmente il più intenso mai registrato, mentre verso giugno le acque si sono relativamente calmate.

Il 1° maggio 2004 si è verificato l’attacco worm più rilevante dell’anno: il worm Sasser ha iniziato la sua diffusione sfruttando una nuova falla nel servizio LSASS di Windows 2000 e XP. Microsoft aveva distribuito la patch per questa “falla” solo 18 giorni prima e molte aziende non avevano ancora potuto installarla. Tale fenomeno – ovvero di un virus di portata mondiale messo in circolazione pochi giorni dopo l’annuncio di una vulnerabilità di un sistema operativo – si è ripetuto poi più volte nel corso dell’anno. Il caso Sasser è sotto molti punti di vista paragonabile all’attacco di Blaster nell’agosto 2003. Entrambi erano worm destinati alle reti degli utenti di Windows 2000 e Windows XP, che effettuavano la scansione random di indirizzi IP e quindi utilizzavano il protocollo FTP (o TFTP) per trasferire il file contenente il worm all’host infetto. Inoltre, entrambi i worm obbligavano le macchine prive di patch a riavviarsi, creando gravi problemi nei sistemi del computer e a carico delle reti in generale. Almeno tre importanti istituti bancari sono stati vittime dei problemi causati da Sasser. Inoltre, nella giornata di sabato Sasser è riuscito a bloccare il traffico della RailCorp, la rete ferroviaria australiana, lasciando a piedi 300.000 viaggiatori. In Svezia sono stati colpiti due ospedali regionali. Risultato: 5000 computer bloccati e apparecchiature radiografiche fuori uso. L’attacco ha interessato anche la Commissione Europea di Bruxelles e la Guardia Costiera britannica, oltre a numerose altre organizzazioni in tutto il mondo. L’attacco Sasser è stato sferrato nelle prime ore della giornata di sabato 1 maggio; il venerdì successivo la polizia tedesca arrestava un giovane con l’hobby della programmazione, Sven Jaschen, il quale confessava di essere l’autore delle famiglie dei virus Sasser e Netsky. L’avrebbe fatto per combattere gli spammer che si celavano dietro Bagle e Mydoom. I virus di Sven Jaschen sono rimasti tra i più diffusi anche a diversi mesi dal suo arresto. Ancora nel mese di dicembre 2004, cinque dei principali 10 virus risultavano essere varianti di Netsky, dei quali Netsky.P è sicuramente il più diffuso.

L’anno 2004 è stato quello di maggior successo nella lotta al crimine informatico, con l’individuazione di un cospicuo numero di autori di virus e altri cybercriminali. Già dalla fine del 2003 Microsoft ha cominciato a offrire taglie sugli autori di taluni virus, che ad oggi non sono ancora state assegnate, ma che hanno tuttavia creato una certa pressione sui delinquenti informatici, che hanno cominciato a temere di essere traditi. Le informazioni utilizzate ad esempio per arrestare Sven Jaschen sono state fornite alla Polizia con la speranza di incassare le taglie offerte da Microsoft. In molti paesi le autorità hanno portato a termine importanti operazioni per l’arresto di criminali informatici. I servizi segreti USA hanno chiuso siti come carderplanet. cc e shadowcrew.com, utilizzati per sottrarre numeri di carte di credito. Numerosi pirati di origine russa, lituana e ucraina ritenuti responsabili di attività di phishing negli Stati Uniti, in Gran Bretagna e in Australia sono stati arrestati. Tra gli arrestati figurava Andrew Schwarmkoff, accusato di frodi con carte di credito e furto d’identità a Brighton, nei pressi di Boston. In apparenza Schwarmkoff inviava e-mail del tipo phishing per rac- cogliere dati relativi relativi a carte di credito e a coordinate bancarie. L’uomo, accusato anche di avere legami con la mafia russa, è stato arrestato con circa 200.000 dollari di merce rubata, attrezzature per la clonazione delle carte di credito, oltre 100 documenti d’identità contenenti dati ottenuti mediante attività fraudolente e quasi 15.000 dollari in contanti. Anche gli attacchi del tipo denial-of-service (ovvero in grado di causare l’interruzione del servizio da parte dei siti Web colpiti) vengono oggi sferrati secondo modalità più organizzate. Jay Echouafni, ceo di Orbit Communication, rivenditore di ricevitori satellitari, è stato accusato di aver pagato degli hacker per sferrare attacchi DDoS contro società concorrenti. Il suo obiettivo era di mandare in tilt i sistemi di ordini on-line di importanti concorrenti come rapidsatellite.com e weaknees.com. Dopo la formalizzazione dell’accusa, Echouafni, che era in libertà provvisoria, è scomparso e oggi è uno dei most wanted dell’FBI.

Il 2004 è stato anche l’anno in cui sono apparsi i primi veri virus per i telefoni cellulari. Nel giugno 2004 abbiamo rilevato Cabir, il primo virus destinato ai telefoni Symbian con tecnologia Bluetooth e il primo virus informatico a diffondersi mediante la semplice vicinanza con un altro dispositivo. Nel mese di luglio abbiamo poi rilevato Duts, una sorta di “virus di prova” destinato ai palmari e poco dopo abbiamo individuato la prima backdoor per palmari (Brador). Nella primavera del 2004 è apparso un gioco destinato ai telefoni Symbian (Mosquitos), che inviava segretamente messaggi a numeri telefonici a pagamento molto costosi, generando spese telefoni che invisibili per l’utente. Nel mese di novembre abbiamo scoperto una nuova minaccia: un trojan denominato Skulls. Il trojan era presente su alcuni programmi shareware Symbian scaricabili da web tra cui “Extended Theme Manager” e “Camera Timer”. Se installato su uno smartphone, ne annulla tutte le funzionalità che ne fanno un dispositivo intelligente consentendo all’utente di effettuare solo telefonate, senza però poter inviare messaggi né utilizzare la connessione al web o le altre applicazioni. Il ripristino delle funzioni smart può essere complesso e provocare la perdita dei dati personali salvati sul telefono, tra cui rubrica, agenda e archivio messaggi. Il sintomo più ovvio del trojan è che i programmi non funzionano più e le icone dei programmi vengono sostituite dall’immagine di un teschio. I telefoni cellulari godono di un successo crescente e la loro popolarità li rende bersagli ambiti dagli autori di virus. Quanto più ampio è il target, tanto più allettante sarà la sfida agli occhi di questi pirati. L’aumento di virus a scopo di lucro aumenta la possibilità di attacchi importanti contro i telefoni cellulari.Tutte le telefonate o gli SMS inviati mediante un telefono cellulare sono al tempo stesso transazioni finanziarie, che aprono innumerevoli possibilità di guadagno per gli hacker for-profit e per gli autori dei virus.

Sul fronte dello spamming, la situazione va peggiorando. Oggi circa il 70% delle e-mail è costituito da spam e la gran parte viene inviata da computer domestici infetti. La legge denominata CAN SPAM, promulgata negli Stati Uniti all’inizio del 2004, è risultata di scarsa efficacia nella risoluzione del problema dello spamming. Molti sono anzi dell’idea che la legge abbia ulteriormente complicato la situazione, dato che ? ottemperando ad alcune restrizioni ? negli USA lo spamming potrebbe anche essere un’attività legale. Gli spammer guadagnano parecchio dalla loro attività; ciò significa che sono disposti a investire per “ampliare e rafforzare” il loro business, peggiorando di conseguenza il problema per gli utenti. Uno dei pochi spammer condannati, Jeremy Jaynes (noto anche come Gaven Stubberfield) offre un buon esempio di come funzioni il mondo degli spammer. Originario della Carolina del Nord, questo spammer si stava arricchendo inviando sino a 20 milioni di e-mail spam al giorno. Solo poche centinaia si concludevano con una vendita effettiva (percentuale di risposta più o meno nell’ordine dello 0,00005%), che gli consentiva tuttavia di guadagnare sino a 750.000 dollari al mese. Jaynes si era costruito qualcosa come un patrimonio di 24 milioni di dollari, investiti tra l’altro in automobili e case, una delle quali dotata di una rete ad altissima ampiezza di banda, atta a consentire il massimo livello di spamming. La buona notizia è che il signor Jaynes è stato arrestato e condannato a nove anni di carcere, che sta scontando. Una sentenza davvero esemplare, anche se il suo avvocato difensore ha sostenuto che in realtà l’accusa non è stata in grado di dimostrare che le e-mail inviate da Jaynes fossero effettivamente indesiderate. La cattiva notizia è che vi sono centinaia di altri spammer in circolazione che si dedicano indisturbati a questa lucrativa attività. Vari indizi sembrerebbero indicare che alcuni spammer stanno reclutando dipendenti di società operanti nello sviluppo di software antispam. Sembra quasi la trama di un brutto film di fantascienza: “Passa dalla parte del male e raddoppieremo il tuo stipendio”. Coloro che progettano software antispam sono infatti i più abili nel comprendere i meccanismi attraverso i quali lo spam supera gli appositi filtri. È noto, inoltre, che gli spammer si rivolgono anche ad esperti del linguaggio che li aiutano a sviluppare messaggi spam in grado di bypassare le trappole dei filtri. Sulla destra è possibile scaricare l’elenco delle aziende Security

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore