- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
"Ve l'avevamo detto" - il senno di poi è di solito corretto
Introduzione
La necessità di applicare patch di sicurezza a sistemi operativi e applicazioni è stata discussa diverse volte nei nostri articoli a questo riguardo. L'ultimo articolo su questo argomento, Patch di sicurezza : un ulteriore problema di sicurezza, è stato scritto appena alla fine del mese di ottobre 2008.
Tuttavia, gli eventi recenti dimostrano che questa è una missione che non può essere abbandonata.
Il 23 ottobre 2008, Microsoft ha rilasciato uno dei suoi rari aggiornamenti non pianificati per un problema di sicurezza nel servizio Windows Server.
Il malware che sfruttava questa vulnerabilità è stato scoperto qualche tempo dopo. Di recente sono state pubblicate nella comunità Internet diverse centinaia di varianti di una famiglia malware di worm, noti come "Conficker" (alcune aziende che si occupano di sicurezza li chiamano Downadup). Sembra che siano state infettate diverse centinaia di migliaia di computer. Questo rende la famiglia Conficker una delle peggiori minacce singole che si siano mai verificate in tanti anni nei confronti degli utenti di computer.
In questo articolo sulla sicurezza non discuteremo di Conficker, né lo analizzeremo. Tuttavia, utilizzeremo alcune tecniche implementate da Conficker come una sorta di case-study per esaminare come sarebbe stato possibile proteggersi da questa minaccia.
Conficker as a case study for protection techniques
Conficker come case-study per tecniche di protezione
Come anticipato nell'introduzione, Conficker sfrutta la vulnerabilità nella gestione del traffico delle chiamate di procedura remota (RPC) nel servizio Server per compromettere i computer privi di patch. Questa operazione viene effettuata mediante l'emissione di comandi (soprattutto pacchetti http creati appositamente) dal computer compromesso in modo che si colleghi a un computer vulnerabile. Il processo di infezione procede quindi mediante lo scaricamento e l'esecuzione del worm come descritto di seguito.
I computer che hanno implementato il patch da ottobre 2008 non sono vulnerabili a questo sfruttamento.
Sembra rischioso per qualsiasi organizzazione utilizzare un regime in cui non vengano applicati patch entro due mesi e più dal rilascio. È opportuno quindi concludere che le organizzazioni che sono state infettate perché i loro computer erano vulnerabili dovrebbero rivedere e migliorare il regime di patch adottato.
Nei computer di utenti singoli è opportuno configurare Windows Update in modo che i patch del sistema operativo vengano scaricati (e installati) non appena sono disponibili. Solo i computer non configurati per lo scaricamento e l'installazione automatici dei patch erano vulnerabili allo sfruttamento di RPC utilizzato da Conficker.
- Consiglio 1: aggiornare i computer non appena un produttore di programmi rende disponibile un patch per una vulnerabilità, configurando Windows Update in modo che scarichi e installi gli aggiornamenti in modo automatico o almeno manuale visitando regolarmente Windows Update.
Esecuzione di un server Web
Il worm configura un server (Web) http sui computer compromessi, in modo che gli altri computer che subiscono lo sfruttamento suddetto si colleghino a quello compromesso e scarichino il worm.
- Consiglio 2: limitare l'accesso a computer da parte di protocolli non necessari. È necessario configurare le regole nel firewall aziendale in modo da soddisfare tale requisito. È possibile effettuare questa operazione su ogni singolo computer configurando le regole del firewall locale.
Connessione a condivisioni ADMIN$
Conficker tenta di diffondersi anche mediante la connessione a condivisioni ADMIN$. Il worm dispone di un elenco di password che utilizza per accedere alle condivisioni. Se riesce a effettuare tale operazione, il worm si replica nelle condivisioni e configura l'esecuzione giornaliera dell'attività pianificata.
- Consiglio 3: disattivare le condivisioni ADMIN$ sui computer. Visto che alcune applicazioni potrebbero dipendere da ADMIN$, tale operazione deve essere gestita con cautela.
- Consiglio 4: imporre un regime con password complessa agli utenti dell'organizzazione.
Il malware scarica aggiornamenti di se stesso
Il worm dispone anche della possibilità di aggiornare se stesso collegandosi a determinati siti Web e scaricando nuovi aggiornamenti e funzionalità.
- Consiglio 5: limitare l'accesso nel firewall (aziendale o personale) solo a siti Web approvati.
Propagazione tramite penne USB
Un altro mezzo di propagazione utilizzato da Conficker è rappresentato da penne USB infette. Il meccanismo di diffusione implementato utilizzando tali dispositivi è stato discusso nel nostro articolo sulla sicurezza pubblicato a metà novembre 2008, I fantasmi del passato tornano in vita attraverso le penne USB.
- Consiglio 6: proibire l'uso di penne USB nell'organizzazione.
- Consiglio 7: limitare l'uso di penne USB nell'organizzazione solo a penne predefinite.
- Consiglio 8: disattivare il meccanismo di esecuzione automatica di Windows per penne USB.
Comunicazione peer-to-peer
Alcune analisi indicano inoltre che il worm potrebbe utilizzare meccanismi peer-to-peer per comunicare con altri computer infetti. Un computer infetto potrebbe quindi avere la possibilità di partecipare a una rete di robot (botnet).
- Consiglio 9 (stesso del 2): limitare l'accesso solo ai protocolli necessari. Questa operazione può essere effettuata sia a livello di firewall aziendale che singolarmente su ogni computer.
Altre tecniche utilizzate da Conficker
Conficker utilizza una serie di altre tecniche per oscurare la sua presenza, disattiva la connessione a siti sicuri (incluso quello di Norman) da computer infetti, viene eseguito ogni volta che il computer viene avviato e così via. Tuttavia, questi aspetti non sono rilevanti per la discussione affrontata nel presente articolo sulla sicurezza. Per ulteriori informazioni, è possibile consultare la descrizione del virus di Norman.
Altri consigli per prevenire l'infezione della rete da parte di malware simili
La LAN virtuale (VLAN) può essere utilizzata per creare segmenti "virtuali" in una rete fisica. I vantaggi di uno scenario come quello descritto nel presente articolo sono costituiti dal fatto che i computer all'interno di una VLAN non possono comunicare con i computer all'interno di un'altra VLAN. In tal modo si blocca in modo efficace la propagazione di un worm di rete da un segmento virtuale all'altro, anche se i computer si trovano sullo stesso segmento fisico.
Conclusione
Come illustrato in questo articolo, esistono numerosi provvedimenti che le organizzazioni e i singoli possono prendere per proteggersi da alcune delle tecniche che i software dannosi utilizzano per propagarsi.
Per le organizzazioni di maggiori dimensioni l'implementazione di alcuni consigli menzionati in precedenza può risultare impegnativa, altri provvedimenti non possono essere implementati perché questo provocherebbe l'interruzione dei servizi necessari, altri sono in conflitto tra loro (ad esempio i consigli 6 e 7).
Pertanto, la conclusione è che ognuno deve valutare le proprie esigenze e in base a queste adattare i criteri di sicurezza. Per evitare che la propria rete venga compromessa dalla variante successiva del worm Conficker o, ancor più probabilmente, dal prossimo tipo di worm che di sicuro è già in fase di realizzazione da qualche parte, è necessario un approccio attivo al problema della sicurezza.