Aggiornamento del rapporto sulla sicurezza
Transcript
Aggiornamento del rapporto sulla sicurezza
Aggiornamento del rapporto sulla sicurezza Questo rapporto fornisce un’analisi completa degli eventi e delle tendenze emersi durante la prima metà del 2008 e aiuta le aziende a tenersi aggiornate sul numero sempre maggiore di minacce nascoste. © Copyright 2008. Sophos Plc. Tutti i marchi registrati e i copyright sono compresi e riconosciuti da Sophos. Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero dati o trasmessa in qualsiasi forma o con qualsiasi mezzo senza il consenso scritto degli editori. Rapporto sulla sicurezza Sophos 2008 Rapporto sulla sicurezza: Luglio 2008 Panoramica Dalla comparsa dei primi virus nel mondo delle aziende, verso la metà degli anni ‘80, la natura delle minacce ha subito notevoli trasformazioni. I virus si diffondevano lentamente attraverso i dischi floppy, in un’epoca in cui le unità di rete e la posta elettronica - per non parlare di Internet - erano ancora sconosciuti. Gli autori dei misfatti erano alla ricerca di fama e gloria per le loro ideazioni, oppure desideravano semplicemente fare danni senza provare alcun rimorso. Con il passare degli anni le motivazioni sono cambiate e il software malevolo (malware) adesso è in gran parte nelle mani di organizzazioni criminali che non sono minimamente interessate alla fama personale, ma che mirano invece a rubare le identità, violare e danneggiare i computer per poter inviare spam e ricattare le aziende tramite attacchi “Denial-of-Service” distribuiti. I criminali animati da motivazioni finanziarie stanno creando e diffondendo nuovo codice malevolo a un ritmo sempre crescente. La società di ricerca indipendente av-test.org ha classificato finora oltre 11 milioni di tipi di malware unici. Sei mesi in sintesi Numero totale di diverse minacce malware esistenti: oltre 11 milioni Minaccia malware più grave: attacco con iniezione di codice SQL contro i siti Web Nuove infezioni Web: 1 nuova pagina Web infettata scoperta ogni 5 secondi Pagine Web correlate allo spam: 1 nuova pagina scoperta ogni 20 secondi Principale Paese che ospita malware: U.S.A., con il 38% Paese che invia più messaggi spam: Asia con il 35% E-mail con allegati infettati: 1 su 2500 Spam nelle e-mail delle aziende: 97% Nuovi tipi di spam: Cell, Facebook e spam a retrodiffusione Principale host per il malware: Blogger (Blogspot.com) SophosLabsTM – una rete globale di ricercatori e analisti – riceve circa 20.000 nuovi campioni di software sospetto al giorno. Molti di questi campioni sono cavalli di Troia, progettati per rubare silenziosamente dati agli utenti dei computer o violare i loro PC e prenderne il controllo. SophosLabs sta inoltre individuando alcuni virus estremamente abili (al contrario dei cavalli di Troia), che ricordano il malware deliberatamente complicato dei primi anni ‘90, come ad esempio i complessi virus polimorfici che fanno di tutto per evitare il rilevamento da parte del software antivirus. Questo “nastro trasportatore” di crimini informatici ha fatto sì che grandi quantità di nuovo malware venissero immesse in Internet ogni giorno, nella speranza che in parte riuscisse a oltrepassare le difese antivirus di qualche utente innocente e fare altre vittime. Ancora una volta, la maggiore flessibilità delle procedure lavorative, i tipi di minacce operative sempre nuovi e più complessi e tutta una serie di nuove truffe hanno continuato a pesare notevolmente sulle aziende e anche nei prossimi mesi si prevede che le minacce alla sicurezza resteranno alquanto numerose. Rapporto sulla sicurezza Sophos 2008 Web Pagine Web malevole La nostra crescente dipendenza dal Web per effettuare acquisti e raccogliere informazioni ne fa il terreno di caccia ideale per i criminali informatici alla caccia di utenti scarsamente protetti e il Web è diventato il principale vettore con il quale gli hacker tentano di infettare i computer aziendali con il loro malware. non vengono filtrati o controllati correttamente e viene imprevedibilmente eseguito come codice, disseminando il database di istruzioni malevole. Il ripristino può risultare difficile ed esistono numerosi casi di proprietari di siti Web che ripuliscono il loro database per poi subire nuovi attacchi dopo qualche ora. Nel 2007, SophosLabs ha scoperto una nuova pagina Web infettata ogni 14 secondi. Nei primi sei mesi del 2008 questa cifra è salita a una ogni 5 secondi, ovvero a una media di 16.173 pagine malevole al giorno, e il 90% di queste pagine Web si trova in siti legittimi che sono stati violati. La soluzione migliore è la prevenzione. I consigli su come impedire gli attacchi con iniezione di codice SQL sono disponibili nel blog SophosLabs8 e in un documento pubblicato dalla Microsoft alla fine di giugno 2008.9 Quello che segue è solo un piccolo esempio di centinaia di migliaia di siti Web attaccati in tutto il mondo, vittima di attacchi malevoli, e dimostra che non sono solo i piccoli siti a subire attacchi: • Gennaio 2008 Migliaia di siti Web di società Fortune 500, enti statali e scuole sono stati infettati da codice malevolo.1 • Febbraio 2008 La rete televisiva del Regno Unito, ITV, è stata vittima di una campagna pubblicitaria via Web avvelenata, studiata per introdurre scareware nei computer degli utenti Windows e Mac.2 • Marzo 2008 Un sito Web per la vendita di biglietti dei campionati di calcio Euro 2008 è stato violato da criminali informatici per infettare i computer di ignari tifosi3 e l’azienda produttrice di antivirus Trend Micro ha scoperto che alcune delle sue pagine Web erano state violate.4 • • • Aprile 2008 Il sito Web della Cambridge University Press è stato violato e i visitatori del suo dizionario online hanno subito tentativi di esecuzione di script non autorizzato nei loro computer.5 Giugno 2008 Subito dopo l’inizio del torneo di tennis di Wimbledon, il sito Web dell’ATP (Association of Tennis Professionals) è stato infettato.6 Luglio 2008 Il sito Web della US PlayStation di Sony ha subito un assalto con iniezione di codice SQL che ha fatto correre ai visitatori il rischio di subire un attacco scareware.7 Uno dei motivi per cui il Web subisce così tanti attacchi è che i siti innocenti possono essere violati e utilizzati per infettare un gran numero di utenti. Tuttavia, la vittima non è solo l’ignaro visitatore; anche il proprietario del sito Web può subire un attacco. Questo risulta evidente in particolar modo con uno dei principali protagonisti della prima metà del 2008: l’attacco con iniezione di codice SQL, che sfrutta le falle della sicurezza e inserisce codice malevolo (in questo caso, marcatori di script) nel database in esecuzione in un sito Web. L’attacco funziona quando i dati immessi dall’utente, ad esempio quelli contenuti in un modulo Web, 2008 A parte l’iniezione di codice SQL, la prima metà del 2008 ha anche evidenziato altre tendenze del malware basato sul Web. Per ospitare il loro malware, gli hacker utilizzano i siti Web conosciuti, come Blogspot e Geocities, che consentono agli utenti di creare facilmente il loro sito Web personale, in quanto le nuove pagine sono semplici da configurare e non richiedono identificazione. Inoltre, alcuni prodotti per la sicurezza fanno fatica a proteggere i loro utenti contro il malware presente in questi siti, per paura di bloccare le pagine legittime. Nel giugno 2008, Blogger (Blogspot.com) ospitava il 2% del malware basato sul Web del mondo, diventando il principale host di codice malevolo a livello mondiale. Famiglie di malware presenti nel Web Il grafico seguente mostra i principali malware scoperti nei siti Web in maggio e giugno 2008. Mal/Iframe 34,0% Mal/ObfJS 25,6% Mal/Badsrc 23,5% Troj/Unif 7,0% Troj/Decdec 1,7% JS/Redir 1,4% Troj/Fujif 1,0% Troj/Iframe 0,6% JS/Encharc 0,4% Mal/Psyme 0,4% Altri 4,4% Il grafico indica principalmente il malware comunemente associato agli attacchi con iniezione di codice SQL. Ad esempio, un attacco Mal/Iframe può essere invisibile all’occhio nudo, in quanto sfrutta il semplice codice HTML per inserire un elemento di dimensioni minuscole in scala 1x1 pixel, attraverso il quale il malware può essere eseguito da un sito Web di terzi. Utilizzato congiuntamente a un attacco con iniezione di codice SQL, può essere un’arma efficace per gli hacker. Rapporto sulla sicurezza Sophos Controllo dei browser Web all’interno dell’azienda Infezioni dei server Web Gli hacker si stanno dedicando sempre più spesso alla violazione dei siti Web legittimi mediante l’inserimento di codice malevolo che reindirizza i browser ai siti che ospitano il malware. Con modalità simili, i phisher sfruttano le vulnerabilità e le falle nella sicurezza dei browser Web per ingannare gli utenti mediante siti fotocopia progettati per raccogliere dati personali e aziendali sensibili che potranno successivamente essere utilizzati per ricavarne un guadagno. Il grafico mostra quale software di server Web è utilizzato il più delle volte nei siti Web infettati. Un browser Web ben gestito, in cui alle vulnerabilità vengono applicate delle patch e le opzioni sono impostate correttamente, facilità il mantenimento dell’integrità delle reti aziendali. In effetti, il 70% degli amministratori di sistema desidera poter bloccare i browser Web non autorizzati o le versioni scadute dei browser approvati presenti nella loro organizzazione. 23,8% 59,1% Apache 59,1% IIS 23,8% % 7,8% 4,8% 4,5% GFE 7,8% nginx 4,8% Altri 4,5% Software di server Web colpito più spesso da infezioni Web. Gennaio–Giugno 2008 42% È essenziale bloccare i browser Web non autorizzati o le versioni scadute dei browser approvati 30% 42% % 28% Desiderate bloccare i browser Web non autorizzati o le versioni scadute dei browser approvati 30% Controllo del browser non importante 28% Sondaggio Web Sophos, 304 partecipanti, 16 maggio – 4 giugno 2008 Il 30% degli amministratori che non considera importante il controllo del browser magari potrebbe cambiare idea in merito considerando che i browser non autorizzati generano veri e propri problemi di sicurezza e produttività. Predisponendo criteri che controllino quali browser Web e quale versione utilizzano i dipendenti, gli amministratori possono semplificare le attività necessarie per la sicurezza del Web, cosa particolarmente importante alla luce della crescente attività del malware sul Web. Quasi il 60% delle minacce basate sul Web da gennaio a giugno 2008 ha interessato i server Apache. Questo costituisce un notevole aumento dal livello osservato durante il 2007, quando i server Web Apache contribuivano per meno del 49% alle infezioni basate sul Web. Gran parte dei server Apache è ospitata su Linux o su una qualche versione di UNIX, il che dimostra come il malware non sia soltanto un problema di Microsoft. Anche se è vero che il malware scritto per Linux e UNIX costituisce una percentuale bassa del totale, i siti Web non sono necessariamente immuni agli attacchi. Questo perché gli attacchi prendono di mira il sito Web – non soltanto il server – e spesso tentano di incorporare script o eseguire reindirizzamenti al codice malevolo. A parte i rischi rappresentati dai criminali informatici, le “guerre dei browser” hanno aperto nuove prospettive concorrenziali, veloci ed estremamente variegate. Versioni beta e aggiornamenti dei browser più diffusi entrano in circolazione praticamente ogni giorno e il più delle volte includono le funzionalità di streaming e condivisione dei file, il che rende sempre più difficile per gli amministratori rendere sicuri i computer endpoint nella loro organizzazione. Rapporto sulla sicurezza Sophos 2008 Principali Paesi che ospitano il malware Il grafico che mostra quali Paesi contengono le pagine Web che ospitano la maggior parte del malware indica alcuni interessanti cambiamenti: • Stati Uniti – Guidano la classifica con poco meno di 2 pagine Web infettate su 5 nel Paese. • Cina – Nel 2007 guidava la classifica e ospitava il 53,9% delle pagine infettate sul Web, ma adesso è tornata a occupare la posizione in cui si trovava nel 2005, essendo responsabile di appena un terzo delle pagine infettate. • Repubblica Ceca – Appena entrata in classifica, ospita poco meno dell’1% di tutto il malware sul Web a livello mondiale. • Francia, Canada, Taiwan e Corea del Sud – Nel grafico del 2007 occupavano rispettivamente le posizioni sei, sette, nove e dieci, ma adesso hanno una percentuale di siti malevoli troppo piccola per essere rappresentata nel grafico. Stati Uniti 38,0% Cina 31,3% Russia 10,8% Germania 2,4% Ucraina 1,9% Turchia 1,8% Regno Unito 1,3% Tailandia 1,1% Olanda 1,0% Repubblica Ceca 0,9% Altri 9,5% Principali Paesi che ospitano il malware 2008 Rapporto sulla sicurezza Sophos E-mail Allegati e-mail malevoli Solo 1 su 2500 e-mail esaminate durante i primi sei mesi del 2008 è risultata contenere un allegato e-mail malevolo, rispetto a 1 su 332 nella prima metà del 2007. Il grafico mostra le principali famiglie di malware che si diffondono tramite allegati e-mail da gennaio a giugno 2008. Troj/Pushdo 31,0% W32/Netsky 20,1% W32/Mytob 6,7% W32/Traxg 6,0% Le campagne di Pushdo utilizzano tecniche sofisticate nel tentativo di evitare il rilevamento, tra cui l’offuscamento del codice mediante vari tipi di packer. Anche se Pushdo di solito infetta i computer principalmente via e-mail, è anche ricorso a vari tentativi via Internet per infettare gli utenti.10 Il secondo malware più diffuso che si diffonde tramite gli allegati e-mail è Netsky, scritto dall’adolescente tedesco Sven Jaschan e che si sta diffondendo dal 2004, a dimostrazione di come un preoccupante numero di utenti non abbia ancora aggiornato le proprie difese antivirus dopo oltre quattro anni. Troj/Agent 5,9% W32/MyDoom 3,0% Troj/Mdrop 1,8% W32/Zafi 1,6% W32/Bagle 1,4% W32/Nyxem 1,3% Altri 21,2% Principali dieci famiglie di virus che si diffondono tramite gli allegati e-mail La rapida ascesa di Pushdo al vertice del grafico del malware degli allegati e-mail – che rappresenta quasi un terzo di tutte le segnalazioni durante i primi sei mesi del 2008 – è significativa, visto che non figurava nelle statistiche raccolte per il 2007. Tuttavia, anche se occupa il primo posto nel grafico, la sua diffusione non è stata tanto virulenta quanto i worm che inviano e-mail in massa, come Netsky, Bagle e Sobig, che sono comparsi per la prima volta nel 2003 e nel 2004. Cinque minuti in malware – Campagna di spam Pushdo a rapida diffusione Il cavallo di Troia Pushdo si diffonde utilizzando una riga dell’oggetto dell’e-mail, che cambia rapidamente e che informa, ad esempio, che sono state allegate delle foto di Angelina Jolie o Nicole Kidman nude. Tipicamente, il cavallo di Troia rilascia un altro pezzo di malware (denominato Pushu), il quale a sua volta scarica da Internet altro malware, come ad esempio un rootkit. Rapporto sulla sicurezza Sophos Collegamenti e-mail a pagine Web malevole L’enorme cambiamento nel numero di allegati e-mail infettati non significa che la posta elettronica stessa non costituisca una minaccia. Ciò che è radicalmente cambiato è come la posta elettronica viene utilizzata per infettare i computer degli utenti. Invece di incorporare il malware nell’e-mail sotto forma di allegato, i criminali informatici stanno utilizzando e-mail o spam non richiesti per fornire collegamenti a siti Web violati. Purtroppo è opinione comune che lo spam non costituisca una minaccia, ma poiché esso è comunque fastidioso e una percentuale pericolosa di essi contiene collegamenti a siti Web infetti, le organizzazioni dovrebbero rendere sicura l’e-mail e i gateway Web dedicandovi la stessa attenzione riservata a desktop e laptop. Malware di riferimento La prima metà del 2008 ha visto attacchi malware estremamente mirati, con l’obiettivo di infettare utenti e aziende specifici, piuttosto che la comunità Internet in senso lato. Come lo spear-phishing (descritto di seguito), gli attacchi mirati del malware avvengono su piccola scala e di solito vengono inviati da un dipendente dell’azienda (in altri termini, qualcuno di cui ci si fida) e di solito sono studiati per invogliare l’utente a fare clic su un allegato e-mail infettato. Nell’aprile 2008 ha avuto luogo una campagna e-mail che ha preso di mira i principali dirigenti di varie società. Le e-mail, tutte riguardanti mandati di comparizione federali, sembravano essere state inviate dalle corti federali degli U.S.A. e tentavano di impaurire i destinatari inducendoli ad aprire un allegato pericoloso.11 2008 Malware non Windows Malware Apple Apple Mac Il problema rappresentato dal malware per Apple è attualmente contenuto rispetto alla situazione per gli utenti Windows. Tuttavia, dopo la comparsa dei primi casi di malware animati da motivazioni finanziarie per Mac OS X alla fine del 200712, ci sono stati più tentativi da parte degli hacker di infettare i computer Mac. Tuttavia, è probabile che continuerà a venire scritto malware per Apple Mac e gli utenti Mac dovrebbero continuare a seguire le migliori pratiche per l’uso sicuro del computer, come ad esempio l’installazione di un prodotto antivirus e l’aggiornamento regolare delle patch per la sicurezza. Nel febbraio 2008, Sophos ha scoperto un nuovo cavallo di Troia basato su Flash, Troj/Gida-B, studiato per impaurire gli utenti e indurli ad acquistare software di protezione fasullo, mediante l’utilizzo di inserzioni Web infettate che avrebbero determinato un attacco scareware sia nei computer Mac che Windows.13 Non vi è alcun dubbio che la versione 3G dell’iPhone si rivelerà più allettante per le aziende e gli utenti di Internet rispetto alla versione precedente, grazie alla sua maggiore connettività Internet e al prezzo più competitivo. Tuttavia, l’aumento della quota di mercato potrebbe a sua volta favorire più tentativi di attacco concertati dai criminali, che in futuro tenteranno di approfittare dei dispositivi. Il cavallo di Troia OSX/Hovdy-A, scoperto nel giugno 2008, è in grado di infettare i computer Mac OS X e tenta di rubare le password, aprire i firewall per consentire l’accesso agli hacker e disattivare le impostazioni di sicurezza. Sfrutta la vulnerabilità segnalata di recente in Mac OS X, ARDAgent, per accedere alla cartella principale. Dopo che un computer è stato violato, l’hacker può assumere il controllo completo del Mac compromesso – coprendone le tracce mediante la disattivazione del registro di sistema.14 Gli utenti Mac dovrebbero fate attenzione per vari motivi: • Una maggiore sottovalutazione della sicurezza nella comunità Apple, in cui molti utenti Apple credono erroneamente di essere immuni al problema delle minacce e dei rischi legati alla sicurezza, che fanno degli utenti Mac un facile bersaglio dei futuri attacchi degli hacker. • L’utilizzo di chip basati su Intel nell’hardware Apple Mac ha contribuito alla diffusione di Windows sui Mac e quindi i Mac adesso hanno maggiori probabilità di ospitare e diffondere malware Windows. • Apple ha reso noto che la prima metà del 2008 ha visto una crescita record delle vendite di laptop, agevolata dalla delusione di alcuni utenti di Windows Vista, che sono stati attratti dal marchio Macbook.15 Con la crescita della quota di mercato di Apple Mac, Sophos ritiene che gli utenti probabilmente assisteranno ad altri attacchi lanciati contro i loro personal computer. Ciò nonostante, con così tanti utenti domestici Windows non in grado di difendersi adeguatamente contro la valanga di malware e spyware creati per la loro piattaforma, sembra essere plausibile ritenere che alcuni di essi passeranno alla piattaforma Apple Mac. Questa ipotesi prende campo non perché Mac OS X sia superiore, ma semplicemente perché attualmente per esso viene scritto molto meno malware. Di conseguenza, nel prossimo futuro, i criminali informatici che cercano di ottenere il massimo dalle loro azioni probabilmente continueranno ad attaccare principalmente i computer Windows. 2008 iPhone Anche se è già stato rilevato malware semplice,16 l’Apple iPhone non è ancora stato preso di mira dagli hacker con motivazioni finanziarie. Tuttavia, nell’applicazione e-mail mobile e nel browser Safari di Apple sono state riscontrate delle falle nella sicurezza e l’azienda è stata criticata17 per non aver creato delle patch per questi punti deboli nell’iPhone, come invece è avvenuto per gli altri computer in cui sono installate le varie versioni di Mac OS X. Una cosa che gli utenti Apple iPhone devono assolutamente sapere è che potrebbero essere più vulnerabili agli attacchi di phishing rispetto ai computer desktop: • Dovendo immettere gli URL tramite lo schermo tattile, gli utenti dell’iPhone potrebbero venire maggiormente invogliati - rispetto a quando utilizzano una tastiera vera e propria - a fare clic sui collegamenti indicati nelle e-mail non richieste e che sembrano essere quelli della loro banca online, eBay e siti simili. • Nella versione iPhone del browser Web Safari, un URL incorporato in un’e-mail non viene visualizzato fino a quanto l’utente non ci fa clic sopra, quindi gli utenti dell’iPhone potrebbero essere più soggetti a truffe, in quanto per loro è più difficile stabilire se il collegamento Web che stanno per selezionare conduce, ad esempio, al sito Web fasullo di una banca. Inoltre è stato sollevato il problema che, siccome il browser Apple iPhone visualizza solo URL parziali nella sua barra degli indirizzi, per i criminali informatici è più semplice indurre gli utenti a credere che stanno visitando un sito Web legittimo.18 Rapporto sulla sicurezza Sophos Malware Linux Apple non è l’unica piattaforma non Microsoft ad essere minacciata dagli attacchi malware. Nel febbraio 2008, Sophos ha segnalato che un virus Linux vecchio di sei anni, RST-B, era stato visto infettare in grandi quantità i computer e i server Linux. Dopo aver rilasciato uno strumento gratuito e aver effettuato ulteriori ricerche, SophosLabs identificò varie migliaia di computer Linux con infezioni a livello di cartella principale di Linux/RST-B, che consentivano agli hacker di utilizzare i computer Linux per controllare le botnet (reti di computer violati). Va notato che sono state esaminate solo le infezioni a livello principale; le cifre relative agli account non principali violati avrebbero evidenziato numeri addirittura superiori. L’analisi delle statistiche ha rivelato che la maggior parte delle infezioni sono avvenute negli USA*, come si può vedere nel grafico. La cosa interessante è che il Giappone, che rappresenta un mercato di grandi dimensioni per Linux, figura in undicesima posizione con il 2,3% di infezioni. Invitiamo gli utenti Linux a provare lo strumento Sophos gratuito e a verificare se sono infettati anche da RST-B.19 USA 22% Cina 10% Germania 6,5% Brasile 6,1% Corea 4,1% Taiwan 3,9% Francia 3,3% Italia 3,1% India 3,1% Polonia 2,9% Altri 35% Infezioni Linux/RST-B * Sophos desidera ringraziare Accretive Networks per il suo aiuto nella realizzazione di queste statistiche Rapporto sulla sicurezza Sophos 2008 Spam Spam tramite e-mail Spear-phishing Lo spam tramite e-mail continua a infestare gli utenti di computer. Nel giugno 2008, il livello di spam era salito al 96,5% di tutte le e-mail commerciali, rispetto al 92,3% dei primi tre mesi dell’anno. Adesso le aziende devono prendere atto che solo una su 28 e-mail è legittima.20 Si sono anche verificati altri sofisticati attacchi mirati contro organizzazioni e utenti particolari. La tecnica, nota come spear-phishing, prevede l’invio di e-mail personalizzate per un dominio o un’organizzazione specifici. Sembrano provenire da una fonte affidabile, come un tecnico IT della stessa azienda del destinatario e fanno richiesta di nomi utenti, password e qualsiasi altra informazione personale, talvolta reindirizzando i destinatari a una versione fasulla del sito Web o dell’Intranet aziendale. Coloro che rispondono a questi messaggi forniscono inavvertitamente delle informazioni che il phisher può utilizzare per scopi malevoli, come ad esempio il furto di identità. Nei primi sei mesi del 2008, gli esperti Sophos hanno scoperto una media di 8.330 nuove pagine Web di spam al giorno, circa una ogni 20 secondi. Il picco è stato raggiunto in gennaio, quando ha avuto luogo una grande epidemia del worm Storm. Nel momento di massima diffusione, addirittura 1 su 6 e-mail indirizzava i computer verso una pagina Web infettata.21 Questo contribuì al raggiungimento di una nuova pagina Web relativa allo spam ogni tre secondi. Per fortuna, nei mesi successivi la campagna di spam e malware non raggiunse più tali livelli. Cina Gli spammer tendono sempre più a ospitare il loro contenuto e i loro siti sui server Web cinesi. Questo ha creato problemi ad alcune aziende del settore della protezione, in quanto in Cina è più difficile che in altri Paesi ottenere informazioni in merito al nome dei domini. Inoltre, vi sono dei problemi di natura linguistica e culturale che hanno contribuito a rendere più difficile la rapida chiusura di alcuni siti Web offensivi. Dal punto di vista dei criminali, l’utilizzo di nomi di dominio cinesi è interessante, in quando non devono cambiare dominio con molta frequenza e possono tenerlo attivo per un periodo di tempo più lungo. Campagne di phishing Sophos continua ad assistere a diffuse campagne e-mail di phishing che prendono di mira gli utenti degli istituti finanziari online e noti siti Web per aste e pagamenti. Negli ultimi mesi, i siti di reti sociali come Facebook hanno anch’essi suscitato l’interesse dei phisher.22 La University of Waterloo23, Oak Ridge National Laboratory24 e la University of Minnesota25 figurano tra le numerose organizzazioni che hanno subito questo tipo di attacco. Gli spear-phisher possono facilmente generare gli indirizzi delle vittime utilizzando il software degli spammer che, ad esempio, associa determinati nomi e cognomi. Potrebbero inoltre aver violato il computer di un elenco di dipendenti trovando una directory in una rete come Facebook o LinkedIn. E siccome le e-mail di phishing vengono inviate esclusivamente a un unico dominio, è meno probabile che vengano individuate dal sistema di protezione del fornitore. È importante ricordare che le campagne di phishing non sono specifiche di nessun sistema operativo e possono agire su qualsiasi utente di Internet, a prescindere dal fatto che questi utilizzi Microsoft Windows, Mac OS X o UNIX. Poiché sfruttano la fiducia insita negli esseri umani, piuttosto che il software, è probabile che continuino a rappresentare un problema nell’imminente futuro. Botnet Praticamente tutti i messaggi spam vengono inviati da computer violati (chiamati “bot” o “zombi”) che, all’insaputa dei loro proprietari, vengono usati dagli hacker per inviare grandi volumi di spam, lanciando attacchi Denial-of-Service distribuiti o rubando informazioni riservate. Di solito si tratta di utenti domestici che non sono adeguatamente protetti con software antivirus aggiornato, firewall e patch di sicurezza. È importante che si faccia ancora di più per aumentare la consapevolezza tra gli utenti dei computer in merito all’importanza di tenere sicuro il proprio PC. Un sito Web di phishing Facebook 2008 Rapporto sulla sicurezza Sophos La sporca dozzina Spam a retrodiffusione L’elenco della “sporca dozzina” di Paesi che hanno inviato più spam da aprile a giugno, riportato nel grafico, mostra che le botnet stanno avendo un impatto sempre crescente sui Paesi con l’economia in crescita, in quanto questi iniziano a figurare nell’elenco. Una tendenza di rilievo dello spam durante la prima metà del 2008 è stata la crescita del numero di messaggi di rapporti di mancata consegna dell’e-mail (NDR, non-delivery report) generati dai sistemi di posta che non accettano messaggi spam durante una sessione SMTP. Qualora si verifichi un errore di consegna (ad esempio, “casella postale piena” o “l’utente non esiste”), il sistema tenta di reinviare un messaggio di rimbalzo al presunto mittente originale. Stati Uniti 14,9% Russia 7,5% Turchia 6,8% Cina (compreso Hong Kong) 5,6% Il messaggio di rimbalzo viene inviato all’indirizzo e-mail presente nelle informazioni sul mittente (intestazione Return‑Path) contenute nel messaggio originale. Poiché questo indirizzo è stato creato nella maggior parte dei messaggi spam, il messaggio di rimbalzo viene inviato alla casella postale di un mittente che non aveva inviato il messaggio spam originale. Questo sistema è noto come “spam a retrodiffusione”. Brasile 4,5% Polonia 3,6% Italia 3,6% Corea del Sud 3,5% Regno Unito 3,2% Spagna 3,2% Germania 3,0% Argentina 2,9% Altri 37,7% La “sporca dozzina” di Paesi che inviano più spam. Aprile-Giugno 2008 • U.S.A. – Hanno diminuito il loro contributo al problema dello spam, inviando meno del 15% di tutto lo spam, rispetto al 20% fatto registrare nello stesso periodo del 2007. • Cina – Non occupa più la seconda posizione, come in passato, essendo stata spodestata da Russia e Turchia. • Argentina – L’economia che sta crescendo più velocemente in Sud America è entrata a far parte del grafico di questo trimestre, scalzando la Francia al 12° posto e adesso contribuisce per il 2,9% all’invio di spam tramite e-mail a livello mondiale. • Turchia – È passata dal nono posto con il 2,9% di spam nel secondo trimestre del 2007, al terzo posto con il 6,8% di spam di quest’anno. Analizzate per continente, le percentuali dei paesi che inviano spam indicano che l’Asia è responsabile di oltre un terzo di tutto lo spam. Asia 35,4% Europa 29,5% % Nord America 18,2% Sud America 14,8% Africa 1,2% Altri 0,9% Continenti che inviano più spam. Aprile-Giugno 2008 Rapporto sulla sicurezza Sophos Indirizzi o domini specifici prediletti dagli spammer possono diventare ogni giorno il bersaglio di centinaia o addirittura migliaia di messaggi spam a retrodiffusione. Spam nei cellulari Un altro metodo sempre più utilizzato con il quale gli spammer diffondono i loro messaggi consiste nell’invio di SMS ad altri telefoni cellulari. Secondo l’Internet Society of China, l’anno scorso 353,8 miliardi di messaggi spam sono stati inviati ai proprietari di telefoni cellulari del Paese. Di conseguenza, i 574 milioni di utenti di cellulari cinesi ricevono mediamente oltre 600 messaggi spam l’anno. Dei 438.668 reclami relativi all’invio di spam ricevuti nel giugno 2008, il 39,17% era relativo a contenuti fraudolenti e il 36,28% era costituito da inserzioni pubblicitarie.26 Tuttavia, il problema non è limitato alla Cina. Ad esempio, nell’aprile 2008, il centralino dello zoo di Dublino fu subissato di telefonate, dopo che almeno 5000 persone ricevettero un SMS nei loro cellulari in cui li si invitava a telefonare urgentemente a un numero e chiedere di una persona inesistente.27 Il numero era quello della linea telefonica principale dello zoo di Dublino e i nomi finti facevano tutti riferimento ad animali (Rory Lion, Anna Conda, C Lion o G Raffe, stando ai notiziari di allora). Gli zoo di Houston28 e Brownsville, Texas29 subirono attacchi simili il mese successivo. Inviare spam tramite gli SMS costituisce un metodo efficace per generare attacchi repentini a cascata tipo Denial-ofService contro il sistema telefonico di un’organizzazione. Poiché i gestori di telefonia mobile inseriscono sempre più frequentemente un certo numero di SMS mensili nei loro piani tariffari e mettono a disposizione gateway Web per gli SMS, sfruttabili dagli hacker, un numero sempre maggiore di spammer utilizzerà gli SMS per intasare le linee telefoniche. 2008 Web 2.0 Spam e malware di reti sociali/aziendali Negli ultimi anni, sono diventati molto popolari i siti di reti sociali, come Facebook, MySpace e Bebos – tendenza che non è passata inosservata agli occhi dei criminali informatici. Gli utenti di computer, assuefatti a ricevere nella loro casella postale tutta una serie di messaggi e-mail non richiesti, sembrano essere meno cauti quando i messaggi arrivano da altre fonti, come ad esempio la messaggistica istantanea o Facebook.30 Nemmeno il sito di rete aziendale, LinkedIn, è restato immune agli attacchi: phisher e truffatori hanno utilizzato il sito per prendere di mira uomini d’affari di successo. Nel maggio 2008, il messaggio della “truffa 419”, partito dal sito Web LinkedIn, sembrava essere stato inviato da una donna di 22 anni che abitava in Costa d’Avorio e che aveva ricevuto in eredità 6,5 miliardi di dollari dal padre deceduto.31 Truffa LinkedIn Gli autori di malware hanno inoltre posato il loro avido sguardo sul gruppo di potenziali vittime presenti nei siti di reti sociali: • Maggio 2008 Vkontakte, il sito di rete sociale più famoso della Russia, con oltre 12 milioni di iscritti, fu attaccato da un worm che si diffuse tramite il sistema, cancellando i file dai dischi rigidi.32 • Dicembre 2007 Orkut, il sito di rete sociale di Google, nel mese di dicembre 2007 fu attaccato da malware che utilizzava uno script trasversale per siti (XSS, Cross-Site Scripting) per infettare centinaia di migliaia di profili degli iscritti.33 Spam Facebook Mano a mano che un numero sempre crescente di aziende predispone delle difese per il gateway e-mail e gli utenti domestici vengono protetti dal loro ISP, o fornitore di account e-mail Web, i criminali dovranno inventarsi sempre qualcosa di nuovo per recapitare i loro messaggi e malware. Anche se attualmente il livello di spam di Facebook, Bebo e LinkedIn resta inferiore a quello dello spam e-mail, è probabile che vi saranno altri tentativi di utilizzare i siti del Web 2.0 per diffondere malware e spam in futuro. 2008 Rapporto sulla sicurezza Sophos 10 Crimine Arresti e sentenze Nei sei mesi appena trascorsi, grazie agli sforzi congiunti delle autorità internazionali che si occupano di crimini informatici - impegnate a contrastare gli hacker, gli autori di malware e gli spammer - ci sono stati più arresti e dure sentenze di condanna per i criminali responsabili di crimini informatici di alto profilo finanziario. Ecco alcuni dei casi più famosi della prima metà del 2008. Gennaio 2008 Tre uomini misero in scena un’elaborata truffa via e-mail basata sull’affermazione che erano affetti da cancro alla faringe. Nell’aula di un tribunale di New York si dichiararono colpevoli di aver rubato più di 1,2 milioni di dollari. Gli uomini misero in circolazione delle e-mail in cui l’autore affermava di essere vittima di cancro maligno alla faringe e di avere intenzione di dare in beneficienza 55 milioni di dollari. Un membro della banda, Nnamdi Chizuba Ainsiobi, telefonava ai destinatari delle e-mail, contraffacendo la voce per fingere di essere affetto dalla malattia.34 Aprile 2008 Un tribunale israeliano condannò al carcere tre membri della società di investigazioni private Modi’in Ezrahi dopo che risultò colpevole di aver utilizzato un cavallo di Troia per rubare informazioni commerciali.39 Febbraio 2008 Un adolescente americano si dichiarò colpevole di aver preso il controllo di centinaia di migliaia di computer zombi, compresi alcuni computer della “Divisione armamenti” del Comando di guerra aerea delle forze navali U.S.A. a China Lake, California del Dipartimento della difesa U.S.A., utilizzandoli per visualizzare inserzioni pubblicitarie con le quale fare soldi.35 Maggio 2008 Mark Richman e Nathaniel Seidman, i proprietari di una società con sede a Boca Raton, Florida, ricevettero una multa di 75.000 dollari per aver violato la legge CAN-SPAM e aver inviato messaggi spam indesiderati con intestazioni finte e righe dell’oggetto oscene nel tentativo di promuovere siti Web come sexyfriendsearch.com.41 Marzo 2008 Lee Shin-ja, ex amministratore delegato di Media Port, azienda coreana specializzata in sicurezza informatica, fu accusato di aver distribuito software antispyware fasullo a oltre un milione di persone, guadagnando oltre 9,2 miliardi di won (circa 6 miliardi di euro) dal 2005 grazie a un programma antispyware gratuito che visualizzava falsi avvisi di sicurezza e invitava gli utenti ad acquistare il software per la pulizia del disco Doctor Virus, prodotto dalla Media Port.36 Marzo 2008 Un tribunale cinese condannò al carcere da sei a otto anni e mezzo quattro uomini che avevano utilizzato un cavallo di Troia per rubare i dati di conti bancari in Internet.37 11 Aprile 2008 Edward “Eddie” Davidson fu condannato a 21 mesi di carcere e al pagamento di 714.139 dollari all’IRS dopo essere risultato colpevole di evasione fiscale e falsificazione di intestazioni di messaggi e-mail in centinaia di migliaia di messaggi spam. Commercializzando profumo e orologi di lusso e manipolando la borsa con truffe del tipo “pump-and-dump”, Davidson riuscì a guadagnare almeno 3,5 milioni di dollari.38 Rapporto sulla sicurezza Sophos Maggio 2008 Il ventiduenne Thomasz Grygoruk fu condannato a tre anni di prigione dopo essere stato dichiarato colpevole del furto dei dati personali di migliaia di persone in Internet, nell’arco di cinque anni, utilizzando una combinazione di cavalli di Troia e siti Web di banche finti.40 Maggio 2008 Le autorità di U.S.A. e Romania accusarono 38 persone di aver gestito un’organizzazione criminale che cercava di derubare migliaia di consumatori e che aveva preso di mira centinaia di istituti finanziari mediante e-mail di phishing e SMS.42 Giugno 2008 Il diciannovenne Jason Michael Milmont ammise di essere il programmatore del malware Nugache, che aveva infettato i computer Windows trasformandoli in una sofisticata botnet controllata mediante un sistema peer-to-peer e costituita da circa 5.000-15.000 PC violati contemporaneamente. Milmont utilizzava i dati bancari rubati per accedere ai conti delle vittime e ordinare merce da inviare a indirizzi inesistenti nella zona di Cheyenne, Wyoming.43 2008 Crimini informatici sponsorizzati dagli stati I Paesi di tutto il mondo si spiano per ottenere vantaggi politici, commerciali e militari e sarebbe ingenuo pensare che le nazioni non sfruttino computer e Internet per svolgere meglio le loro attività di spionaggio. Durante il 2007 molti Paesi si accusarono reciprocamente di attività di spionaggio via Internet. Ad esempio, nel settembre 2007, l’esercito cinese fu accusato di un attacco al sistema informatico del Pentagono. Le preoccupazioni legate ai crimini informatici sponsorizzati dagli Stati raggiunsero il culmine alla fine del 2007, con la scoperta che l’MI5, il servizio di sicurezza britannico, aveva scritto a 300 dirigenti e responsabili della sicurezza di aziende del Regno Unito avvertendole di un “attacco di spionaggio elettronico”.44 I primi sei mesi del 2008 hanno visto un numero crescente di presunti crimini informatici sponsorizzati dai governi e anche se è estremamente difficile provare che un attacco è stato organizzato da uno Stato, invece che essere opera di un gruppo di hacker indipendenti, probabilmente il 2008 vedrà un maggior numero di Paesi che lanciano attacchi e si spiano via Internet. In verità, non vi sono prove sufficienti per stabilire se questi o altri attacchi fossero sponsorizzati dagli Stati oppure provenissero dalla scrivania di un dipendente statale o dalla camera da letto di un adolescente. I governi devono pensarci due volte prima di accusarsi reciprocamente di spionaggio via Internet, a meno che non abbiano prove certe. Tuttavia, questi rapporti sottolineano l’importanza di chiunque consideri prioritaria la sicurezza informatica e non vi è alcun dubbio circa l’importanza di proteggere i computer degli Stati contro gli attacchi degli hacker, siano essi riconducibili a motivazioni politiche, spionaggio o denaro. Il consiglio per le aziende, le organizzazioni e i governi è di tenere aggiornate le loro difese contro il malware e fare in modo siano predisposte misure di sicurezza adeguate per impedire agli intrusi (siano essi criminali informatici o spie straniere) di trafugare dati. Aprile 2008 Der Spiegel pubblicò la notizia che il BND – Il servizio di spionaggio tedesco – aveva utilizzato spyware per sorvegliare il Ministero del commercio e dell’industria in Afganistan. Secondo il settimanale, documenti riservati, password e comunicazioni e-mail erano state violate dalle spie tedesche e inviate al quartier generale del BND. La notizia seguì le rivelazioni che il BND aveva intercettato le e-mail tra la giornalista dello Spiegel Susanne Koelbl e il ministro del commercio afgano Amin Farhang, provocando un incidente diplomatico tra i due Paesi.45 Maggio 2008 Dei funzionari indiani di Nuova Delhi avrebbero confermato che gli hacker cinesi avevano preso di mira il Ministero degli esteri e il Centro informatico nazionale, che costituisce la dorsale della rete per il governo centrale e la pubblica amministrazione, oltre che per gli altri enti amministrativi indiani. I funzionari, di cui non furono rese note le generalità, avrebbero detto che questo era il modo in cui i cinesi intendevano acquisire un “vantaggio asimmetrico” sui potenziali avversari.46 Maggio 2008 Anche il Belgio accusò il governo cinese di spionaggio informatico, affermando che gli attacchi contro il governo federale belga erano partiti dalla Cina e probabilmente erano stati ordinati dal governo di Pechino. In un’altra sede, il ministro degli esteri belga riferì al parlamento che il suo ministero era stato oggetto di spionaggio informatico condotto dai cinesi alcune settimane prima.47 2008 Rapporto sulla sicurezza Sophos 12 Analisi globale strategica di SophosLabs Grazie alla potente integrazione di competenza per tutte le minacce, sistemi automatizzati e tecnologia all’avanguardia, SophosLabs ha la visibilità globale e svolge attività di ricerca 24 ore su 24, 7 giorni su 7, per fornire la protezione proattiva e la rapidità delle risposte di cui le aziende hanno bisogno per proteggere la loro sicurezza, produttività e conformità alle normative. Le sue competenze spaziano tra tutte le soluzioni di sicurezza e controllo Web, e-mail ed endpoint di Sophos. I servizi di allarme di SophosLabs, ZombieAlert e PhishAlert, informano le organizzazioni se il loro marchio viene utilizzato nelle campagne di phishing. L’ampia base di origini dati di SophosLabs include: • Trappole spam in oltre 50 Paesi, che forniscono visibilità istantanea delle nuove campagne di spam • Traffico e-mail globale di migliaia di distribuzioni dei clienti • Risorse di terzi che segnalano e condividono informazioni sulle minacce • Collaborazione con i motori di ricerca per la condivisione dei dati • Milioni di feed di URL malevoli. Per maggiori informazioni sui prodotti Sophos e su come valutarli, visitate il sito www.sophos.it. 13 Rapporto sulla sicurezza Sophos 2008 Fonti 1. www.theregister.co.uk/2008/01/08/malicious_website_redirectors 2. www.sophos.com/news/2008/02/poisoned-adverts.html 3. www.sophos.com/news/2008/03/euro2008.html 4. www.sophos.com/security/blog/2008/03/1186.html 5. www.sophos.com/security/blog/2008/04/1292.html 6. www.sophos.com/news/2008/06/infected-tennis-sites.html 7. www.sophos.com/news/2008/07/playstation.html 8. www.sophos.com/security/blog/2008/07/1545.html 9. www.microsoft.com/technet/security/advisory/954462,mspx 10. www.sophos.com/security/blog/2008/05/1425.html 11. www.sophos.com/security/blog/2008/05/1425.html 12. www.sophos.com/news/2007/11/mac-osx-trojan.html 13. www.sophos.com/news/2008/02/poisoned-adverts.html 14. www.sophos.com/news/2008/06/machovdyA.html 15. www.macworld.com/article/133145/2008/04/profit.html 16. www.sophos.com/security/blog/2008/01/975.html 17. blog.washingtonpost.com/securityfix/2008/07/apple_iphone_four_months_behin_1,html 18. ‘iPhish: Phishing Vulnerabilities on Consumer Electronics’, by Yuan Niu, Francis Hsu, Hao Chen, University of California, www.usenix.org/events/upsec08/tech/full_papers/niu/niu.pdf 19. www.sophos.com/security/blog/2008/02/1062.html 20. www.sophos.com/news/2008/07/dirtydozjul08.html 21. www.sophos.com/news/2008/01/storm-timezone.html 22. www.sophos.com/security/blog/2008/01/963.html 23. www.ist.uwaterloo.ca/security/vulnerable/20080403/20080526.html 24. www.eweek.com/c/a/Security/Oak-Ridge-Speared-in-Phishing-Attack-Against-National-Labs 25. www1.umn.edu/oit/security/OIT_ARTICLE_003725,html 26. news.xinhuanet.com/english/2008-07/17/content_8563615,htm 27. www.sophos.com/blogs/gc/g/2008/05/08/zoowatch-continues 28. www.sophos.com/blogs/gc/g/2008/05/07/cellphone-spam-clogs-up-phone-lines-at-houston-zoo 29. www.sophos.com/blogs/gc/g/2008/05/20/mobile-phone-monkey-business-strikes-at-another-zoo 30. www.sophos.com/blogs/gc/g/2008/05/04/facebook-spam 31. www.sophos.com/news/2008/05/linkedin.html 32. www.sophos.com/blogs/gc/g/2008/05/22/russian-social-networking-worm-wipes-hard-drive-files 33. www.sophos.com/security/blog/2007/12/900.html 34. www.sophos.com/news/2008/01/nigerian-scam.html 35. www.sophos.com/news/2008/02/sobe.html 36. www.sophos.com/news/2008/03/lee-shin-ja.html 37. www.sophos.com/news/2008/03/zhang.html 38. www.sophos.com/blogs/gc/g/2008/05/01/prison-for-colorado-spam-king 39. www.sophos.com/blogs/gc/g/2008/04/29/i-spy-with-my-private-eye 40. www.sophos.com/blogs/gc/g/2008/05/30/new-zealand-hacker-jailed-in-computer-fraud-and-blackmail-case 41. www.sophos.com/blogs/gc/g/2008/05/07/sexy-friends-to-spam-no-more 42. www.sophos.com/news/2008/05/phishing-gang.html 43. www.sophos.com/news/2008/06/milmont.html 44. www.sophos.com/news/2007/12/mi5-china-internet-spy.html 45. www.sophos.com/blogs/gc/g/2008/04/28/german-spooks-deploy-spyware-against-afghan-ministry 46. www.sophos.com/blogs/gc/g/2008/05/09/china-crisis-now-india-claims-hackers-are-attacking-it-from-behind-thebamboo-curtain 47. www.sophos.com/news/2008/05/belgium.html Boston, USA • Oxford, Regno Unito 14 Rapporto sulla sicurezza Sophos 2008