- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
Server Web non protetti, malware sempre più diffuso
Informazioni sulla sicurezza, settimana 48, 2007
Introduzione
Ai primordi del software dannoso (malware) i floppy disk erano il principale meccanismo di diffusione e le grandi epidemie erano rare. Quando la posta elettronica è diventata il primo vettore del malware, la dimensione del problema si è amplificata e le grandi epidemie sono diventate un fenomeno comune.
Attualmente le grandi epidemie di malware sono sparite quasi del tutto. Tuttavia, la minaccia per gli utenti online è di per sé più grave di quanto non sia mai stata. Un nuovo vettore di diffusione sta riscuotendo un crescente successo tra i malintenzionati: i siti web dannosi.
Un altro tipo di zombie
Il termine "zombie" si usa spesso per descrivere i computer che fanno parte di una rete bot, ossia che vengono utilizzati per partecipare a un attacco di tipo Distributed Denial of Service attack (DDOS) ) o per la diffusione di spam. Normalmente i proprietari di questi computer non sanno di partecipare a tale attacco, perché i computer sono spesso infettati da malware senza che l'utente ne sia consapevole.
Oggi il malware utilizza frequentemente diversi vettori di attacco per diffondere e installare altro codice nocivo. Uno di questi meccanismi di diffusione è rappresentato dai server Web. Prima questo metodo non era particolarmente comune, in quanto in genere il malintenzionato configurava il proprio server e cercava di indurre con l'inganno qualcuno a visitare un determinato sito Web. Questa modalità aveva almeno tre grossi svantaggi:
- Indurre con l'inganno molti utenti a visitare un nuovo sito Web in particolare non è facile.
- Di norma contattando l'Internet Service Provider (ISP) si ottiene abbastanza velocemente il distacco da Internet di un server nocivo.
- Il rischio di essere scoperti e di conseguenza puniti è piuttosto alto.
Questa situazione è stata però modificata da diversi fenomeni non correlati tra loro. I server Web sono così diventati un vettore comune di diffusione del malware. Alcune delle ragioni verranno qui esaminate in modo più dettagliato.
Quasi ogni utente ha il proprio server Web
Negli ultimi anni i computer di casa sono diventati sempre più comuni, come il collegamento continuo a Internet tramite uno dei tipi di accesso diretto (connessione xDSL), spesso con un indirizzo IP permanente e un dominio registrato.
I computer di casa sono spesso configurati come server Web per le ragioni più varie e sono accessibili tramite Internet ad amici, colleghi e a chiunque sia interessato al contenuto fornito dall'utente e dai suoi familiari.
Purtroppo è un fatto che molti utenti privati non sono consapevoli dei problemi della sicurezza quanto i professionisti dei reparti IT. Questi server Web installati in casa sono quindi spesso non protetti e possono essere facilmente utilizzati da persone animate da cattive intenzioni, spesso senza che il proprietario del server Web ne sia a conoscenza.
Maggiore attenzione alle vulnerabilità dei sistemi operativi e delle applicazioni
L'attenzione alle vulnerabilità dei sistemi operativi e delle applicazioni da parte della comunità dei "black hat" o pirati informatici è aumentata. Esistono persino speciali mercati in Internet per la vendita e l'acquisto di exploit e di codice exploit. Come conseguenza, molte varianti di software maligno utilizzano questi tipi di vulnerabilità. Non si ripeterà mai abbastanza quanto sia importante avere un computer completo di tutte le patch disponibili.
Un server Web gestito da persone, e pensiamo anche agli utenti privati, che non abbiano la sicurezza tra le priorità e quindi non eseguano i continui aggiornamenti e non installino con costanza tutte le patch disponibili, è aperto ad attacchi svolti anche con malware che utilizza vecchie falle dei sistemi operativi e delle altre applicazioni.
I firewall in genere non bloccano il traffico Web
Il semplice navigatore del Web generalmente non sa se il sito Web che sta visitando è legittimo o maligno. La maggior parte dei firewall (personali e aziendali) consente il passaggio del traffico http (Web), e il contenuto maligno viene facilmente dissimulato nel traffico http legittimo.
Alcune organizzazioni hanno impostato regole tali per cui il firewall ammette solo il passaggio di traffico proveniente da siti Web predefiniti. Questa soluzione protegge efficacemente dagli attacchi provenienti da siti Web sconosciuti, ma naturalmente presenta altri palesi svantaggi.
Addio intrusioni, arriva il reato di tipo economico
Alcuni anni fa l'intrusione nei siti Web era un'attività comune tra coloro che usavano Internet per agire illegalmente. Di per sé questo non aveva implicazioni economiche, al massimo era in questione la credibilità di gruppi poco noti, ma quando Internet è diventata un grande palcoscenico per vari tipi di attività criminali, l'interesse si è spostato dalla semplice intrusione per dimostrare la vulnerabilità del sito, all'accesso al server Web di un'altra persona per svolgere attività criminali di tipo più tradizionale con fini di lucro.
Padrone del vostro server Web
Il malintenzionato che può accedere a una serie di server Web in tutto il mondo dispone di molte possibilità.
- Può utilizzare il vostro sito come sito di phishing, ad esempio camuffandolo come se fosse il sito legittimo di una banca.
Questa configurazione naturalmente presenta lo svantaggio di un'alta probabilità che vi accorgiate in tempi brevi che il vostro sito Web è stato radicalmente modificato. - Può utilizzare tecniche che alterano le vostre pagine Web in modo che voi o i vostri visitatori potreste non accorgervi per niente dell'avvenuta modifica del sito,
per esempio inserendo nelle pagine del codice che scarica malware nel computer del visitatore, e questo malware può provenire da altri server in altre parti del mondo a vostra completa insaputa. - Può usare il vostro sito Web come sito di download di malware collegato, prendendolo da altri server Web compromessi in altre parti del mondo. A meno che non analizziate i file di registro per verificare le risorse Web richieste, potreste non accorgervi di nulla.
- Alcuni server Web sono stati usati in modi molto sofisticati in quanto fanno parte di una grande serie di server Web che offrono gli stessi contenuti. Il malintenzionato che controlla i server Web compromessi può registrare nomi DNS che modifichino molto spesso gli indirizzi IP, ad esempio ogni minuto.
Con la continua variazione del server che fornisce i contenuti, è difficile ricostruire l'intera struttura e bloccare questi diffusori di malware.
Chi è legalmente responsabile del contenuto del server Web
La legislazione che regola la responsabilità del contenuto residente su un server Web varia nei diversi paesi. In molti casi probabilmente potreste sostenere (non sappiamo con quanto successo) che il vostro server Web è stato danneggiato e che non dovete rispondere di ciò che altri ci hanno riversato. Dimostrarlo potrebbe essere però difficile, a meno che non possiate fornire registri che riportino l'effettiva intrusione.
Anche se sarete in grado di provare in modo assoluto la vostra innocenza, potrebbero trascorrere giorni, settimane o mesi piuttosto sgradevoli prima di riuscire a convincere gli investigatori (e prima che il vostro ISP ripristini la connessione a Internet).
Secondo un punto di vista interessante, che ha diversi sostenitori, il proprietario di un computer compromesso ha dimostrato una "grave negligenza" nella protezione del proprio computer e potrebbe essere perseguibile pur non essendo la persona che ha materialmente commesso il reato. Se questa linea di pensiero dovesse tradursi in legge, molti proprietari di server Web rischierebbero di essere definiti criminali...
Come proteggersi
Come sempre, esistono delle operazioni piuttosto semplici che dovrebbero essere obbligatorie per chiunque gestisca un server Web pubblico da casa (in pratica, per chiunque possieda un computer connesso a Internet):
- Verificare che il computer sia aggiornato con le ultime patch di sicurezza del fornitore del sistema operativo e delle applicazioni. Questo va fatto continuamente: non è un'operazione da svolgere una tantum, perché vengono continuamente scoperte nuove vulnerabilità.
- Utilizzare un software antivirus e mantenerlo aggiornato. Un'applicazione antivirus non aggiornata non è in grado di proteggere da malware nuovo, questo è ovvio.
- Utilizzare un firewall tra computer/rete e Internet. Consentire l'accesso unicamente a/da porte (servizi) desiderate.
