Symantec fa il punto sulla sicurezza

Sicurezza

L’occasione è rappresentata dalla pubblicazione dell’undicesima edizione
dell’Internet Security Threat Report, l’aggiornamento semestrale sul tema delle
minacce Internet, delle vulnerabilità note e delle tipologie di codice maligno
identificate dai laboratori della società

Symantec per la redazione dei propri report può avvalersi di numerosi fonti mondiali di informazioni sulle minacce Internet. Symantec Global Intelligence Network, comprendente Symantec DeepSight Threat Management System e Symantec Managed Security Services, monitora infatti le attività su Internet a livello globale. Il sistema dispone di oltre 40.000 sonde che controllano il traffico online in oltre 180 Paesi. Symantec raccoglie inoltre dati riguardanti il codice maligno anche attraverso i report su spyware e adware provenienti dagli oltre 120 milioni di sistemi client, server e gateway sui quali sono installate le soluzioni antivirus della società. In particolare, l’undicesima edizione del rapporto evidenzia che il panorama attuale delle minacce Internet è caratterizzato da un sensibile incremento dei furti di dati, fughe di informazioni e creazione di codice maligno progettato su misura per carpire a specifiche aziende informazioni da utilizzare nell’ottenimento di guadagni economici illeciti. I criminali informatici inoltre sono sempre più abili nell’affinare i metodi di attacco per prolungare, senza essere scoperti, la loro permanenza all’interno dei sistemi e dare vita a organizzazioni globali atte a supportare un numero sempre maggiore di attività criminali. Nel dettaglio, dalla nuova edizione del Symantec Internet Security Threat Report Volume XI emerge quanto segue:

? Nel secondo semestre del 2006 Symantec ha identificato in tutto il mondo oltre 6 milioni di computer infettati da programmi BOT, con un incremento del 29% rispetto al periodo precedente. Per contro, il numero dei server di ?comando e controllo? delle reti BOT è diminuito del 25%, a conferma della tendenza al consolidamento e all’espansione di questo tipo di infrastrutture da parte dei loro proprietari.

? I Trojan horse hanno costituito il 45% della Top 50 del codice maligno identificato da Symantec nel periodo in esame, con un incremento del 23% rispetto alla prima metà dell’anno. A conferma dell’ipotesi effettuata da Symantec nell’edizione precedente dello studio Internet Security Threat Report, questo incremento significativo accentua la tendenza da parte degli hacker ad abbandonare i worm mass-mailing a favore dei Trojan horse.

? Nella seconda metà del 2006 Symantec ha documentato 12 vulnerabilità ?zero-day?, con un drastico incremento rispetto alla prima metà dell’anno quando era stata identificata soltanto una vulnerabilità di questo tipo. Questa tendenza accentua in maniera significativa l’esposizione di aziende e consumatori alle minacce ignote.

?I server sommersi vengono utilizzati frequentemente da singoli e organizzazioni criminali per contrabbandare dati rubati. Tali informazioni possono comprendere numeri di carte di identità, carte di credito, bancomat, codici PIN (Personal Identification Number), account utente online ed elenchi di indirizzi e-mail.

? La perdita o il furto di computer o altro dispositivo per l’archiviazione di informazioni, come una chiave USB, ha totalizzato il 54% di tutti i furti di informazioni finalizzati alla sottrazione di identità.

? Per la prima volta nella storia di questo report, Symantec ha identificato i Paesi di origine della maggior parte delle attività pericolose. Nel periodo in oggetto gli Stati Uniti hanno generato la porzione più consistente delle attività pericolose con il 31% del totale, seguiti dalla Cina con il 10% e dalla Germania con il 7%.

Nuove tendenze

Per la prima volta nella storia del report, Symantec ha monitorato anche il commercio delle informazioni rubate. Tale attività ha spesso luogo su server sommersi, utilizzati frequentemente da singoli e organizzazioni criminali per contrabbandare dati quali numeri di carte di identità, carte di credito, bancomat, codici PIN (Personal Identification Number), account utente online ed elenchi di indirizzi e-mail. Negli ultimi sei mesi del 2006 il 51% di tutti i server sommersi noti a Symantec risiedeva negli Stati Uniti. Su tali sistemi era possibile acquistare numeri di carte di credito emesse negli USA con i relativi codici di verifica a fronte di un costo variabile tra 1 e 6 dollari. Per 14-18 dollari era possibile acquistare anche un’identità completa (numero di conto corrente su una banca statunitense, data di nascita e numero di carta di identità). Naturalmente le informazioni in vendita devono essere procurate in qualche modo, ed ecco infatti che nel periodo coperto dal report Symantec si è osservata l’intensificazione delle minacce per le informazioni riservate provocate dai Trojan horse e dalle reti BOT, utilizzate per guadagnare l’accesso ai computer delle vittime. Gli attacchi miranti a raccogliere i dati sensibili archiviati sui computer infetti possono comportare ingenti danni economici, in particolare nel caso in cui siano coinvolte informazioni relative a carte di credito o conti correnti bancari. Negli ultimi sei mesi del 2006 le minacce per le informazioni riservate sono cresciute dal 48% al 66% nella classifica delle prime 50 tipologie di codice pericoloso. I programmi in grado di esportare dati utente, quali username e password, hanno rappresentato il 62% delle minacce per le informazioni riservate rilevate nel secondo semestre del 2006, in salita rispetto al 38% della prima metà dell’anno.

Sempre più sofisticati

Symantec ha osservato alti livelli di attività coordinate tra varie tipologie di minaccia, in particolare spam, codice maligno e frodi online. Nella seconda metà del 2006 lo spam ha totalizzato il 59% di tutto il traffico e-mail monitorato, mentre il 30% di tutto lo spam relativo al settore dei servizi finanziari è stato generato principalmente dall’aumento delle frodi azionarie su larga scala. In questo tipo di attacchi i criminali informatici acquistano titoli a basso prezzo diffondendo successivamente messaggi spam contenenti false previsioni di crescita per le azioni in oggetto e generando dunque aspettative illusorie. I destinatari dei messaggi che acquistano quei titoli contribuiscono a farne lievitare il prezzo, consentendo ai criminali informatici di ottenere guadagni significativi rivendendo a prezzi elevati i titoli acquistati precedentemente a prezzi notevolmente inferiori. Nel secondo semestre del 2006 Symantec ha rilevato anche un incremento dei messaggi di phishing per complessivi 166.248 messaggi, equivalenti a una media di 904 al giorno, con un incremento del 6% rispetto al periodo precedente. Per la prima volta Symantec ha analizzato anche il giorno della settimana e la stagionalità degli attacchi phishing. In tutto il 2006 Symantec ha identificato durante i fine settimana un numero di messaggi phishing mediamente inferiore del 27% rispetto alla media giornaliera di 961 tentativi registrata nei giorni lavorativi. Questa tendenza è indicativa della volontà degli attaccanti di mimetizzare il phishing all’interno dell’attività e-mail legittima delle aziende. D’altra parte, questo trend testimonia anche la breve durata delle campagne di phishing e la loro maggiore efficacia quando il messaggio viene ricevuto e letto a breve distanza dalla sua distribuzione. Symantec ha osservato anche un’intensificazione delle attività di phishing nell’imminenza di festività o di grandi eventi mediatici, come i Campionati del Mondo di Calcio, che offrono ai malintenzionati l’opportunità di sfruttare temi specifici di social engineering legati a questi momenti.

Conclusioni

Nell’arco dell’ultimo anno, Symantec ha osservato un sostanziale mutamento nella natura degli attacchi Internet, con il passaggio da operazioni fini a se stesse ad attività criminose a scopo di lucro. Il panorama attuale è caratterizzato da un sensibile incremento dei furti di dati, delle fughe di informazioni e della creazione di codice maligno tagliato su misura per carpire a specifiche aziende informazioni utilizzabili per ottenere un illecito guadagno economico. Anziché sfruttare le vulnerabilità più gravi per sferrare attacchi diretti, i malintenzionati tendono oggi a scoprire e sfruttare vulnerabilità di media gravità all’interno del software di terze parti, come applicazioni e browser Web. Tali vulnerabilità vengono spesso utilizzate nei cosiddetti attacchi ?gateway?, nei quali la violazione iniziale non ha come scopo la sottrazione immediata di dati quanto piuttosto la creazione di una presenza stabile per lanciare successivamente attacchi ben più pericolosi. Symantec ha osservato su Internet alti livelli di attività pericolose caratterizzate da un sostanziale incremento di phishing, spam, reti bot, Trojan horse e minacce ?zero-day?. Tuttavia, mentre in passato queste minacce venivano utilizzate separatamente, ora i malintenzionati stanno affinando i loro metodi e consolidando le loro risorse con l’obiettivo di creare reti globali in grado di supportare attività criminali coordinate. Questa tendenza ha portato a una crescente interoperabilità tra i vari metodi e le varie tipologie di minaccia. Ad esempio, alcuni tipi di codice maligno mirato possono sfruttare tecnologie Web e applicazioni di terze parti per creare backdoor e successivamente scaricare e installare software bot. I sistemi bot così creati possono poi essere utilizzati per distribuire spam, gestire siti di phishing oppure lanciare attacchi finalizzati alla creazione di un insieme coordinato di attività criminose. Vari gruppi di sistemi compromessi possono anche essere utilizzati in concerto come sistemi globali per attività pericolose in grado di alimentare autonomamente la propria crescita. Per la prima volta nella storia di questo report, Symantec ha identificato i Paesi di origine della maggior parte delle attività pericolose prendendo in esame spam, phishing, codice maligno, attacchi di vario tipo e attività di reti bot provenienti da ciascun Paese. Nel periodo compreso tra il 1′ luglio e il 31 dicembre 2006 gli Stati Uniti hanno generato la quantità più consistente delle attività pericolose con il 31% del totale, seguiti dalla Cina con il 10% e dalla Germania con il 7%.

Symantec ha stilato anche una classifica dei primi 25 Paesi di origine di attività pericolose in base al numero di utenti Internet attivi in ognuno di essi. Scopo di questa graduatoria è misurare la quantità media di attività pericolosa attribuibile a un singolo utente Internet di ciascun Paese. Dei 25 Paesi valutati, Israele è risultato essere la nazione con il tasso più alto di attività pericolose per utente Internet con il 9%, seguita da Taiwan con l’8% e dalla Polonia con il 6%.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore