malware, sempre più malware. ecco i più diffusi su pc e mobile
Transcript
malware, sempre più malware. ecco i più diffusi su pc e mobile
MALWARE, SEMPRE PIÙ MALWARE. ECCO I PIÙ DIFFUSI SU PC E MOBILE UNA SINTESI DEI RAPPORTI PIÙ AUTOREVOLI SUL TEMA Marco Bozzetti, OAI founder Il Rapporto 2013 OAI chiaramente indica come il malware sia stato l’attacco più diffuso in Italia nel 2012/13, e sia anche il più temuto. Tale evidenza è confermata dal recente Rapporto Clusit 2014 che, grazie ai dati forniti da Fastweb e basati sulle analisi di più di 200.000 indirizzi IP in Italia, indica come i malware non solo sono l’attacco più diffuso, ma hanno registrato una continua crescita nel corso 2013. Nell’ambito del medesimo rapporto, relativamente a un ‘campione Clusit per il 2013’ non specificato, emerge una diversa classifica sugli attacchi più diffusi in Italia, dove al primo posto si posizionano quelli basati sulle vulnerabilità. Le vulnerabilità del software di base e applicativo sono alla base dei malware, così come lo sono anche gli attacchi SQL Injection, XSS e altri, APT inclusi. È quindi evidente che classifiche e percentuali dipendono da come si definiscono le diverse tipologie di attacco e da come si individuano e rilevano gli attacchi. L’ultima indagine IBM X-Force a livello mondiale pone per esempio i malware al quarto posto per diffusione ed evidenzia come questi siano diffusi prevalentemente tramite le vulnerabilità delle più diffuse applicazioni e i più diffusi browser (fig. 1). Ma che cosa si intende per ‘malware’? È un termine generico, che indica un qualsiasi programma software realizzato per causare danni al computer (ai suoi programmi e ai suoi dati) sul quale viene eseguito. Rientrano quindi in questo termine software malevoli quali i virus, i worm, gli spyware, gli 82 maggio 2014 Fig. 1 - Lo sfruttamento delle vulnerabilità applicative (Fonte: IBM X-Force Report 1Q2014) adware, gli scareware, i trojan horse, i back door, i root kit, gli agenti botnet, e così via. La genericità del termine spiega anche la diversità di dati e di rilevazioni nei diversi rapporti nazionali ed internazionali. Indipendentemente dal primo o quarto posto, il dato certo e condiviso è che i malware sono una tipologia di attacco molto diffusa e critica in ogni parte del mondo, prevalente e centrale in Italia. Come già evidenziato in questa rubrica, si creano nuovi malware sia totalmente nuovi sia derivandoli da quelli ‘antichi’, basandosi su vulnerabilità di software (tipicamente di base) senza patch e/o non più supportato dal produttore. Le previsioni per il 2014/15 a livello mondiale, e valide anche per l’Italia, parlano di una forte crescita in volume e so- fisticazione dei malware per tablet e smartphone e per ransomware crittografici che criptano dati e file bloccandoli fino al pagamento di un riscatto. I più diffusi in Italia Il citato Rapporto Clusit 2014, grazie alle rilevazioni Fastweb, indica che i malware più diffusi in Italia sono Downadup e ZeroAccess. Nel seguito sono approfonditi questi due malware e i più diffusi a livello mondiale per i sistemi mobili. Downadup Downadup, chiamato anche Conficker, Downdup o Kido worm, è un worm per Windows diffuso dal 2008 che sfrutta le vulnerabilità di Windows XP SP2 e Windows 2003 SP1 non corrette con l’opportuna patch rilasciata nel 2008 e che ancora si diffonde grazie all’uso diffuso dei sistemi operativi citati non aggiornati a questa patch. È uno dei virus più prolifici che ha creato una delle più grandi botnet a oggi conosciute, con, si stima, più di 3 milioni di sistemi infettati. È un worm intelligente e poliedrico, che scannerizza la rete alla ricerca di altri sistemi vulnerabili e che può infettare e propagarsi via porte USB con l’Universal Plug and Play, copiandosi su chiavette e dischi removibili. È anche in grado di individuare password di rete relativamente semplici. Si interfaccia in modalità ‘peer-to-peer’ con un sistema di comando e controllo centrale (C&C) per aggiornarsi o ricevere ulteriori file, tipicamente altri codici maligni, e per ricevere comandi. Sul sistema attaccato blocca gli accessi, facendoli apparire come in time-out, e disabilita i sistemi di protezione, in particolare le notifiche del Windows Security Alert. ZeroAccess ZeroAccess, chiamato anche Sirefef, è un trojan horse per sistemi operativi Windows che utilizza un rootkit per celarsi nella macchina che lo ospita involontariamente, e sulla quale apre una ‘back door’ utilizzata anche per ricevere comandi (logica C&C) e scaricare file eseguibili, ossia altri malware. Si può diffondere con varie modalità, tipicamente con il ‘drive-by download’, e crea così botnet di grandi dimensioni. ZeroAccess ha il primario obiettivo di compiere frodi finanziarie attraverso il ‘pay per click’ di programmi ‘truffa’ che scarica e attiva sul sistema compromesso. Crea infatti un archivio crittato e nascosto sull’hard disk del sistema violato e vi installa i codici maligni per le attività fraudolente, ivi incluse la possibilità di instradare le ricerche dell’utente verso siti web ‘truffa’. Un esempio è la falsa segnalazione di un codice maligno e la spinta ad acquisire un software per eliminarlo. Un altro è di scaricare software per estrarre ‘bitcoins’, la moneta virtuale ancora embrionale in Italia, per l’attaccante a spese del proprietario del pc attaccato. La truffa, eseguita su grandi botnet, ha portato a frodi economicamente significative. Malware per sistemi mobili L’altro fronte di diffusione dei malware sono i sistemi mobili, che ormai hanno superato come vendite i pc anche di tipo laptop. Tablet e smartphone sono a tutti gli effetti dei potenti pc: essi supportano diversi tipi di sistemi operativi: iOS di Apple per iPhone e iPad; Windows 7 e 8 di Microsoft, in prodotti obsoleti anche Win CE; Linux e sistemi derivati (tra i più recenti Tizen, Sailfish e Firefox), il più noto, diffuso e attaccato dei quali è Android. I malware per sistemi mobili si basano sia sulle vulnerabilità di questi sistemi operativi, sia sulle vulnerabilità delle loro applicazioni, che includono anche, ma non solo, quelle più sopra elencate per i pc. I più diffusi malware per mobile nel 2013 secondo il rapporto Trend Micro risultano essere: • Fakeinst: trojan horse per Android. Una volta attivato, invia SMS a servizi premium a pagamento, con relativo danno economico per il possessore del sistema mobile; esistono numerose varianti; è al primo posto con il 29%. • Opfake: altro trojan horse per Android. Si diffonde tramite gli Android Packet (in sigla APK). Funzionalmente simile a Fakeinst, invia SMS a servizi a pagamento. È al secondo posto con il 24%. • Ginmaster: trojan horse polimorfico per Android. Si diffonde prevalentemente tramite giochi e filmati/foto sexy; è al terzo posto ma nettamente distaccato dai primi due: 7%. • Jifake, trojan horse per Android, Symbian e Windows CE. Si presenta come un’applicazione MMS; è al quarto posto anch’esso con il 7%. Marco Bozzetti [email protected] maggio 2014 83