Introduzione
È giunto il momento di tirare le somme sulla prima parte dell'anno in corso e fare il punto della situazione nell'ottica di Norman, ovvero di chi si occupa di sicurezza.
Particularly noteworthy pieces of malware
È opportuno focalizzare l'attenzione su alcuni casi verificatisi nel 2009.
Conficker
Questo worm, benché apparso inizialmente alla fine del 2008, è nel 2009 che ha causato più problemi, in particolare alle organizzazioni.
Esistono diverse varianti di W32/Conficker, worm che si diffonde in rete ed è in grado di aggiornarsi mediante download da Internet. I download provengono da un insieme di server scelti dal worm tra un'ampia gamma di server potenzialmente utili per le operazioni.
La caratteristica più rilevante di questo worm è il fatto che uno dei suoi meccanismi di diffusione sfrutta una vulnerabilità del servizio Windows Server. Questa gli consente di avviare il proprio download nel computer remoto sotto attacco all'insaputa dell'utente.
Questo worm si diffonde inoltre agli altri computer tra loro collegati in una rete e a/da unità rimovibili, come ad esempio le penne USB. Il primo aspetto ne rende difficile la rimozione dalle reti, mentre il secondo ha provocato diversi casi di infezione in organizzazioni di alto profilo, che normalmente dispongono di sistemi di sicurezza piuttosto efficienti.
I worm Conficker si avvalgono di sistemi avanzati per evitare che vengano disattivati da antivirus e altre applicazioni di sicurezza.
Ulteriori informazioni su Conficker sono riportate nella descrizione del virus di Norman.
Virut
W32/Virut è una famiglia di virus estremamente polimorfici che si avvalgono di numerosi meccanismi di diffusione, compresa la funzionalità di esecuzione automatica per penne USB, che esegue il virus quando una periferica di questo tipo viene collegata al computer (a meno che questa funzionalità non sia disattivata).
Al di là della sua elevata polimorfia, la caratteristica più interessante di Virut è che alcune varianti sono in grado di disattivare la funzionalità di protezione dei file Windows per infettare essenziali file di sistema Windows protetti.
I virus Virut utilizzano tecniche che consentono loro di non essere disattivati da antivirus e altre applicazioni di sicurezza. Ottengono ciò bloccando l'accesso dei computer infetti a diversi siti Web che offrono servizi di sicurezza informatica.
Ulteriori informazioni su Virut sono riportate nella descrizione del virus di Norman.
Koobface
W32/Koobface è interessante principalmente perché si avvale di meccanismi di diffusione che sfruttano social network come Facebook. Ha fatto la sua prima comparsa nel 2008, ma è stato molto attivo nella prima metà del 2009.
Un computer infettato da Koobface invia messaggi automatici contenenti collegamenti dannosi ai contatti dell'utente su vari siti di social network. Si tratta di un worm che scandaglia i cookie contenuti nel computer alla ricerca di credenziali di login per vari social network on-line. Mediante le informazioni raccolte dai cookie, si collega ai siti e inizia a inviare messaggi ad amici e contatti.
Ulteriori informazioni su Koobface sono riportate nella descrizione del virus di Norman.
Tendenze e trend generali
Malware in aumento
Un indicatore dell'aumento dei malware in un determinato periodo è il numero di firme relative ai programmi nocivi nei file di rilevamento virus di Norman. Nel 2007 sono state aggiunte più firme che in tutti gli anni precedenti messi insieme. Quelle aggiunte nel 2008 hanno superato il numero totale raggiunto fino all'inizio dell'anno.
Alla fine di giugno 2009 è stato rilevato un numero di firme superiore del 40% rispetto all'inizio dell'anno. Ciò sembra indicare che la crescita si sia stabilizzata verso un andamento più lineare rispetto agli aumenti esponenziali degli anni precedenti. La quantità totale delle nuove firme in questa fase è comunque sbalorditiva se confrontata con le cifre di inizio decennio.
Il seguente diagramma mostra l'aumento di firme nei file di rilevamento virus di Norman nel corso del 2008 e della prima metà del 2009.
Software legittimo rilevato come maligno
Questo enorme aumento di malware rappresenta un rischio aggiuntivo per i software legittimi, che possono essere rilevati come nocivi perché corrispondono in parte ai file delle firme dei fornitori di soluzioni antivirus o di altre tecnologie di rilevamento virus. Ciò si è verificato anche quest'anno, con software di protezione di diversi fornitori, compreso Norman.
Sfortunatamente questo accadrà di nuovo in futuro. La sfida più importante per i fornitori di soluzioni di sicurezza informatica consiste nell'evitare che questo avvenga con file di sistema cruciali e applicazioni utilizzate intensivamente. A tale scopo, i fornitori sostengono grossi investimenti in attrezzature che consentono una verifica approfondita dei file di rilevamento malware in relazione a tutti i tipi di software legittimo, prima che i file delle firme vengano resi disponibili per i clienti.
In un articolo sulla sicurezza pubblicato quest'anno, ci siamo occupati della questione in generale prendendo spunto da un problema simile nel sistema di Google per l'identificazione dei siti web dannosi.
Aumentano i programmi fraudolenti
Le applicazioni software che tentano di spacciarsi per quello che non sono, sono sempre esistite (nell'era dell'informatica). La tendenza nel 2008, che ha visto un aumento di programmi camuffati da applicazioni antivirus e antispyware, prosegue.
La loro crescita sembra aver dato vita a un settore rilevante, con notevoli potenzialità economiche.
Social network: rifugi felici per la diffusione del malware
Il successo dei social network come Facebook e Twitter è cresciuto sempre di più nel corso dell'anno. Non deve sorprendere se ciò è andato di pari passo con il loro sfruttamento come meccanismi di diffusione di malware.
Ne è un esempio Koobface, di cui abbiamo discusso sopra, ma ne esistono diversi. È importante essere consapevoli del fatto che le tecniche di social engineering intelligenti saranno frequentemente sfruttate con successo.
Continua lo sfruttamento delle vulnerabilità di sistemi operativi e applicazioni
Continua la tendenza degli autori di malware a usare come mezzi di diffusione le vulnerabilità insite nei sistemi operativi e nelle applicazioni software. Prodotti diffusi come i Web browser, le applicazioni Adobe, i sistemi operativi più comuni e così via: tutti sono stati coinvolti. Infatti il problema non ha interessato solo le applicazioni Microsoft più diffuse, ma anche quelli di altre case.
I creatori di malware riescono ad avvalersi molto rapidamente delle nuove vulnerabilità con applicazioni in grado di sfruttarle. Di conseguenza, le aziende di software sono costrette a reagire sempre più tempestivamente con la pubblicazione di patch e altre soluzioni. Prendiamo Microsoft, ad esempio, che solo pochi giorni fa ha pubblicato un avviso sulla sicurezza con una soluzione per una vulnerabilità zero-day sfruttata attivamente in alcune versioni di Internet Explorer, con siti Web compromessi come principali vettori di diffusione.
Gli autori di malware raffinano sempre di più le proprie tecniche e realizzano codici in grado di sfruttare non solo una ma varie vulnerabilità (con patch o meno) contemporaneamente. Ciò è reso ancora più facile dalla possibilità di acquistare in Internet gli exploit che più si preferisce per poi utilizzarli nelle proprie attività di programmazione.
Ormai è possibile creare programmi dannosi senza possedere alcune capacità di programmazione. Ciò implica, tra l'altro, che le abilità di social engineering del "programmatore" diventano sempre più importanti nel far emergere un determinato malware su tutti gli altri.
Grandi eventi mediatici come trampolino di lancio per la distribuzione di malware
Non è nulla di rivoluzionario né nuovo. Tuttavia, questa tendenza è sembrata crescere nella prima metà dell'anno. Gli autori di malware sono sempre più propensi all'impiego di tecniche di social engineering usando grandi eventi mediatici come trampolini di lancio.
Ce ne sono stati diversi esempi negli ultimi mesi, tra cui l'ultimo e forse il più rilevante è stato rappresentato dalla morte e dal funerale di Michael Jackson.
Sono molti gli strumenti di cui può disporre un individuo che intende sfruttare le proprie doti di social engineering in combinazione con Internet. Quest'anno, negli articoli dedicati alla sicurezza, abbiamo trattato:
- Utilizzo di URL brevi per nascondere la vera destinazione dei link
- Registrazione di nomi di dominio con importanti eventi mediatici a comporre parte del nome
Sfruttamento di nuovi dispositivi da parte dei malware
Si tratta di un fenomeno molto interessante. Quest'anno ne sono stati rilevati due esempi. Entrambi hanno fornito lo spunto per articoli sulla sicurezza:
Probabilmente è solo la punta dell'iceberg. In futuro, i dispositivi precedentemente mai considerati vulnerabili o pericolosi dai normali utenti potranno diventare vittime comuni per i malware. Ciò è particolarmente allarmante, poiché occorre continuare a sottolineare quanto segue: la gente è consapevole dei malware distribuiti attraverso mezzi tradizionali, ma non appena vengono utilizzati nuovi meccanismi di diffusione, le difese cadono.
Vertici politici consapevoli delle minacce a Internet
Infine, è il caso di menzionare che verso la fine del primo semestre del 2009, i vertici politici hanno sottolineato la centralità di Internet nei meccanismi di funzionamento delle società moderne. Il presidente degli Stati Uniti Barack Obama ha approfondito questo argomento in un discorso tenuto il 29 maggio, su cui si è molto discusso.
Il fatto che la consapevolezza delle sfide che gli specialisti della sicurezza ritengono così importanti sia ora condivisa dai vertici politici è motivo di soddisfazione. La società moderna sa ormai bene che i problemi relativi alla sicurezza che interessano Internet e la sua infrastruttura dovrebbero ricevere l'attenzione che meritano, ed essere considerati potenziali minacce al normale funzionamento di una nazione moderna.
Per ulteriori dettagli, leggere il seguente articolo sulla sicurezza:
Previsioni
Riguardo alle previsioni per il 2009 rimandiamo alla sintesi sul 2008 disponibile qui di seguito. Non ci sembra opportuno nei confronti dei lettori correggere le previsioni a metà dell'anno in corso.
Senza la possibilità di ricorrere a tale correzione, chi prevede il futuro ha ovviamente maggiori probabilità di sbagliare. Ecco dunque…
