Store
|
Contatti Norman
|
Informazioni su Norman
|
Selezionare il paese
Corporate
Norge
France
Deutschland
Sverige
Danmark
Suomi
Nederland
Schweiz
España
United States
United Kingdom
Italia
Sicurezza IT proattiva
Utenza domestica Aziende di piccole / medie dimensioni Imprese La tecnologia Norman Centro di sicurezza Norman come partner aziendale Supporto   Web Partner
Home
>
Centro di sicurezza
>
Articoli sulla sicurezza - archivio
>
2009
>
RIEPILOGO SUL 2009 E PREVISIONI PER IL PROSSIMO ANNO
Norman SandBox center
Inviare file per l'analisi SandBox [EN]
Ricercare nel database di analisi del malware [EN]
Visualizzare le analisi SandBox più recenti [EN]
Statistiche sui malware[EN]
Descrizione dei virus [EN]
Articoli sulla sicurezza - archivio
Tipi di malware [EN]
Livello di pericolosità [EN]
Minacce attuali di virus
Blog sulla sicurezza [EN]
Statistiche sulla posta elettronica [EN]
Testi, white paper generici ed altro

RIEPILOGO SUL 2009 E PREVISIONI PER IL PROSSIMO ANNO

2009-12-17 [Discussione sui malware, Meccanismi di diffusione, Social engineering, Tendenze e previsioni]

Introduzione

Dicembre è il mese in cui si tirano le somme sull’anno che sta per concludersi; cercheremo di riassumere la situazione percepita dal punto di vista della sicurezza aziendale. L’osservazione più rilevante sulle attività malware di quest’anno riguarda i principali social network, sempre più bersagliati dagli autori dei programmi dannosi.

Malware particolarmente rilevanti

È opportuno focalizzare l'attenzione su alcuni casi di malware.

Conficker

Questo worm, benché apparso inizialmente alla fine del 2008, è nel 2009 che ha causato più problemi, in particolare alle organizzazioni. Il worm è stato particolarmente attivo nella prima metà del 2009, ma continua a diffondersi anche al momento della stesura del presente articolo alla fine dell’anno.

Esistono diverse varianti di W32/Conficker, worm che si diffonde in rete ed è in grado di aggiornarsi mediante download da Internet. I download provengono da un insieme di server scelti dal worm tra un'ampia gamma di server potenzialmente utili per le operazioni.

La caratteristica più rilevante di questo worm è il fatto che uno dei suoi meccanismi di diffusione sfrutta una vulnerabilità del servizio Windows Server. Questa gli consente di avviare il proprio download nel computer remoto sotto attacco all'insaputa dell'utente.

Questo worm si diffonde inoltre agli altri computer Windows tra loro collegati in una rete e a/da unità rimovibili, come ad esempio le penne USB. Il primo aspetto ne rende difficile la rimozione dalle reti, mentre il secondo ha provocato diversi casi di infezione in organizzazioni di alto profilo, che normalmente dispongono di sistemi di sicurezza piuttosto efficienti.

I worm Conficker si avvalgono di sistemi avanzati per evitare che vengano disattivati da antivirus e altre applicazioni di sicurezza.

Ulteriori informazioni su Conficker sono riportate nella descrizione del virus di Norman.

Virut

W32/Virut è una famiglia di virus estremamente polimorfici che si avvalgono di numerosi meccanismi di diffusione, compresa la funzionalità di esecuzione automatica per penne USB, che esegue il virus quando una periferica di questo tipo viene collegata al computer (a meno che questa funzionalità non sia disattivata).

Al di là della sua elevata polimorfia, la caratteristica più interessante di Virut è che alcune varianti sono in grado di disattivare la funzionalità di protezione dei file Windows per infettare essenziali file di sistema Windows protetti.

I virus Virut utilizzano tecniche che consentono loro di non essere disattivati da antivirus e altre applicazioni di sicurezza. Ottengono ciò bloccando l'accesso dei computer infetti a diversi siti Web che offrono servizi di sicurezza informatica.

I virus della famiglia Virut sono stati attivi tutto l’anno e probabilmente saranno presenti sotto forma di nuove varianti anche nel prossimo anno.

Ulteriori informazioni su Virut sono riportate nella descrizione del virus di Norman.

Koobface

W32/Koobface è interessante principalmente perché si avvale di meccanismi di diffusione che sfruttano social network come Facebook. Ha fatto la sua prima comparsa nel 2008, ma la sua diffusione ha raggiunto l’apice nel 2009.

Un computer infettato da Koobface invia messaggi automatici contenenti collegamenti dannosi ai contatti dell'utente su vari siti di social network. Si tratta di un worm che scandaglia i cookie contenuti nel computer alla ricerca di credenziali di login per vari social network on-line. Mediante le informazioni raccolte dai cookie, si collega ai siti e inizia a inviare messaggi ad amici e contatti.

Ulteriori informazioni su Koobface sono riportate nella descrizione del virus di Norman.

Cocktail maligni

Ai “bei vecchi tempi” dei programmi dannosi, gli utenti e le organizzazioni che si occupano di sicurezza dovevano affrontare i malware in un modo diverso da adesso. La tecnica più diffusa tra gli autori di malware consisteva nella creazione di un programma dannoso e nell’utilizzo di diverse tecniche di propagazione.

La situazione negli anni si è evoluta ed ora il quadro generale è sostanzialmente cambiato. La tendenza attuale è quella di creare cocktail dannosi, composti da una linea intera di diversi tipi di programmi dannosi e dagli stessi tipi con diverse funzionalità.

Questi cocktail dannosi spesso vengono serviti tramite un rootkit, che ne rende ancora più complessa l’individuazione. Alcuni rootkit standard utilizzano tecnologie molto avanzate per nascondersi e per celare anche gli altri componenti del cocktail.

Come ha affermato uno degli analisti di malware di Norman: "è come un coltellino svizzero di malware".

Il compito dei “buoni”, pertanto, è cambiato sostanzialmente: non basta più individuare e rimuovere uno specifico programma dannoso. perché gli altri ingredienti del cocktail potrebbero essere ancora attivi sul computer o sulla rete infetta e/o scaricare nuovi componenti. Ciò ovviamente complica notevolmente la pulizia dei sistemi infetti.

Tendenze e trend generali

Malware in aumento

Un indicatore dell'aumento dei malware in un determinato periodo è il numero di firme relative ai programmi nocivi nei file di rilevamento virus di Norman. Nel 2007 sono state aggiunte più firme che in tutti gli anni precedenti messi insieme. Quelle aggiunte nel 2008 hanno superato il numero totale raggiunto fino all'inizio dell'anno. Quelle aggiunte nel 2009 erano leggermente inferiori al numero totale raggiunto all'inizio dell'anno.

Ciò sembra indicare che la crescita si sia stabilizzata verso un andamento più lineare rispetto agli aumenti esponenziali degli anni precedenti. La quantità totale delle nuove firme in questa fase è comunque sbalorditiva se confrontata con le cifre di inizio decennio.

Il seguente diagramma mostra l'aumento di firme nei file di rilevamento virus di Norman nel corso del 2008 fino alla metà del mese di dicembre del 2009.

Software legittimo rilevato come maligno

Questo enorme aumento di malware rappresenta un rischio aggiuntivo per i software legittimi, che possono essere rilevati come nocivi perché corrispondono in parte ai file delle firme dei fornitori di soluzioni antivirus o di altre tecnologie di rilevamento virus. Ciò si è verificato anche quest'anno, con software di protezione di diversi fornitori, compreso Norman.

Sfortunatamente questo accadrà di nuovo in futuro. La sfida più importante per i fornitori di soluzioni di sicurezza informatica consiste nell'evitare che questo avvenga con file di sistema cruciali e applicazioni utilizzate intensivamente. A tale scopo, i fornitori sostengono grossi investimenti in attrezzature che consentono una verifica approfondita dei file di rilevamento malware in relazione a tutti i tipi di software legittimo, prima che i file delle firme vengano resi disponibili per i clienti.

In un articolo sulla sicurezza pubblicato quest'anno, ci siamo occupati della questione in generale prendendo spunto da un problema simile nel sistema di Google per l'identificazione dei siti web dannosi.

Aumentano i programmi fraudolenti

Le applicazioni software che tentano di spacciarsi per quello che non sono, sono sempre esistite (nell'era dell'informatica). La tendenza nel 2008, che ha visto un aumento di programmi camuffati da applicazioni antivirus e antispyware, è proseguita nel 2009.

Nel corso del 2009 si è persino intensificata. Alla fine dell’anno, la crescita dei programmi fraudolenti ha dato vita a un settore rilevante. Il potenziale ritorno economico per le parti coinvolte è elevato, mentre il rischio è limitato.

Lo sfruttamento dei social network per la diffusione del malware

Il successo dei social network come Facebook e Twitter è cresciuto sempre di più nel corso dell'anno. Non deve sorprendere se ciò è andato di pari passo con il loro sfruttamento come meccanismi di diffusione di malware.

Ne è un esempio Koobface, di cui abbiamo discusso sopra, ma ne esistono diversi. È importante essere consapevoli del fatto che le tecniche di social engineering intelligenti saranno frequentemente sfruttate con successo.

Come già detto nell’introduzione, se si deve indicare un particolare problema di sicurezza come il più importante del 2009, il favorito è l’utilizzo dei social network come mezzo per la diffusione e lo sfruttamento di malware, in genere mediante il social engineering.

Nel corso dell’anno negli articoli sulla sicurezza sono stati trattati diversi aspetti dei social network. Ad esempio:

Continua lo sfruttamento delle vulnerabilità di sistemi operativi e applicazioni

Continua la tendenza degli autori di malware a usare come mezzi di diffusione le vulnerabilità insite nei sistemi operativi e nelle applicazioni software. Prodotti diffusi come i Web browser, le applicazioni Adobe, i sistemi di Office più comuni e così via: tutti sono stati coinvolti. Infatti il problema non ha interessato solo le applicazioni Microsoft più diffuse, ma anche quelli di altre case.

Gli scorsi anni gli autori di malware si sono concentrati prevalentemente sulle vulnerabilità dei sistemi operativi. Ultimamente però questa tendenza è cambiata e le applicazioni utilizzate di frequente, come quelle citate sopra, sono sempre più prese di mira. Una problematica particolare per gli utenti riguarda l’assenza di standard per la distribuzione di aggiornamenti e patch alle applicazioni, che comporta la necessità di ricorrere a diversi meccanismi di aggiornamento.

I creatori di malware riescono ad avvalersi molto rapidamente delle nuove vulnerabilità con applicazioni in grado di sfruttarle. Di conseguenza, le aziende di software sono costrette a reagire sempre più tempestivamente con la pubblicazione di patch e altre soluzioni.

Gli autori di malware raffinano sempre di più le proprie tecniche e realizzano codici in grado di sfruttare non solo una ma varie vulnerabilità (con patch o meno) contemporaneamente. Ciò è reso ancora più facile dalla possibilità di acquistare in Internet gli exploit che più si preferisce per poi utilizzarli nelle proprie attività di programmazione.

Ormai è possibile creare programmi dannosi senza possedere alcune capacità di programmazione. Ciò implica, tra l'altro, che le abilità di social engineering del "programmatore" diventino sempre più importanti nel far emergere un determinato malware su tutti gli altri.

Nel corso del 2009 questo tema è stato affrontato in modo approfondito negli articoli sulla sicurezza, ad esempio:

Grandi eventi mediatici come trampolino di lancio per la distribuzione di malware

Non è nulla di rivoluzionario né nuovo. Tuttavia, questa tendenza è sembrata crescere nel 2009. Gli autori di malware sono sempre più propensi all'impiego di tecniche di social engineering usando grandi eventi mediatici come trampolini di lancio.

Ce ne sono stati diversi esempi, il più rilevante probabilmente è stato in occasione della morte e del funerale di Michael Jackson.

Sono molti gli strumenti di cui può disporre un individuo che intende sfruttare le proprie doti di social engineering in combinazione con Internet. Quest'anno, negli articoli dedicati alla sicurezza, abbiamo trattato:

Sfruttamento di nuovi dispositivi da parte dei malware

Si tratta di un fenomeno molto interessante. Quest'anno ne sono stati rilevati due esempi. Entrambi hanno fornito lo spunto per articoli sulla sicurezza:

Probabilmente è solo la punta dell'iceberg. In futuro, i dispositivi precedentemente mai considerati vulnerabili o pericolosi dai normali utenti potranno diventare vittime comuni per i malware. Ciò è particolarmente allarmante, poiché occorre continuare a sottolineare quanto segue: la gente è consapevole dei malware distribuiti attraverso mezzi tradizionali, ma non appena vengono utilizzati nuovi meccanismi di diffusione, le difese cadono.

Vertici politici consapevoli delle minacce a Internet

Infine, è il caso di menzionare che a metà dell’anno i vertici politici hanno sottolineato la centralità di Internet nei meccanismi di funzionamento delle società moderne. Il presidente degli Stati Uniti Barack Obama ha approfondito questo argomento in un discorso tenuto il 29 maggio, su cui si è molto discusso.

Il fatto che la consapevolezza delle sfide che gli specialisti della sicurezza ritengono così importanti sia ora condivisa dai vertici politici è motivo di soddisfazione. La società moderna sa ormai bene che i problemi relativi alla sicurezza che interessano Internet e la sua infrastruttura dovrebbero ricevere l'attenzione che meritano, ed essere considerati potenziali minacce al normale funzionamento di una nazione moderna.

Per ulteriori dettagli, leggere il seguente articolo sulla sicurezza:

Previsioni per il 2010

Our forecast for 2010 is not one which introduces fundamentally new security issues (though they may nevertheless appear, of course).  The forecast is rather "increased focus on recent popular trends".

We expect that these security trends will be focused upon by creators of malware in 2010:

  • Sfruttamento più intenso e più sofisticato dei social network.
  • I software per la sicurezza fraudolenti resteranno diffusi.
  • I cocktail di maligni persisteranno, saranno più flessibili e la tecnologia dei rootkit diventerà sempre più avanzata.
  • Gli aggiornamenti automatici dei malware saranno più innovativi.

Due problematiche in particolare saranno tenute sotto stretto controllo:

  • I malware per la telefonia mobile rappresenteranno una vera e propria minaccia per un numero significativo di utenti?
  • La tecnologia "nel cloud" verrà utilizzata in modo dannoso?

È possibile accedere agli argomenti trattati l'anno precedente attraverso i link qui sotto

 

Tipo Titolo Commento Utilizzo
Riepilogo sul 2008 e previsioni per il 2009    
Valutazione dell'andamento della sicurezza nel 2006    
Valutazione dell'andamento della sicurezza nel 2005    
Valutazione dell'andamento della sicurezza nel 2004    
2003 - the worst year ever regarding malicious programs?    
2002 - a quiet year with respect to malicious programs, or not?    

Articoli sulla sicurezza correlati

Number of vulnerabilities on the rise [en]
Mandatory electronic identification card with RFID chip [en]
Complete access to all information [en]
A plethora of malware for mobile phones to be expected soon (?) [en]
Self-protection from malware - part II [en]
RSS FEEDS
Latest Security articles
Latest Blog items
Latest News
Latest Support issues
Current Virus treats
Privacy di Norman
|
Contratto di licenza [EN]
|
Marchi
|
Mappa del sito
FacebookTwitterYouTubeLinkedIn