Aggiornamento del rapporto sulla sicurezza

Transcript

Aggiornamento del rapporto sulla sicurezza
Questo rapporto fornisce un’analisi completa degli eventi e delle tendenze emersi durante
la prima metà del 2008 e aiuta le aziende a tenersi aggiornate sul numero sempre maggiore
di minacce nascoste.
© Copyright 2008. Sophos Plc.
Tutti i marchi registrati e i copyright sono compresi e riconosciuti da Sophos.
Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema
di recupero dati o trasmessa in qualsiasi forma o con qualsiasi mezzo senza il consenso
scritto degli editori.
Rapporto sulla sicurezza Sophos
2008
Rapporto sulla sicurezza: Luglio 2008
Panoramica
Dalla comparsa dei primi virus nel mondo delle aziende,
verso la metà degli anni ‘80, la natura delle minacce ha
subito notevoli trasformazioni.
I virus si diffondevano lentamente attraverso i dischi floppy,
in un’epoca in cui le unità di rete e la posta elettronica
- per non parlare di Internet - erano ancora sconosciuti.
Gli autori dei misfatti erano alla ricerca di fama e gloria per
le loro ideazioni, oppure desideravano semplicemente fare
danni senza provare alcun rimorso. Con il passare degli
anni le motivazioni sono cambiate e il software malevolo
(malware) adesso è in gran parte nelle mani di organizzazioni
criminali che non sono minimamente interessate alla fama
personale, ma che mirano invece a rubare le identità, violare
e danneggiare i computer per poter inviare spam e ricattare
le aziende tramite attacchi “Denial-of-Service” distribuiti.
I criminali animati da motivazioni finanziarie stanno creando
e diffondendo nuovo codice malevolo a un ritmo sempre
crescente. La società di ricerca indipendente av-test.org ha
classificato finora oltre 11 milioni di tipi di malware unici.
Sei mesi in sintesi
Numero totale di diverse minacce malware esistenti:
oltre 11 milioni
Minaccia malware più grave: attacco con iniezione
di codice SQL contro i siti Web
Nuove infezioni Web: 1 nuova pagina Web infettata
scoperta ogni 5 secondi
Pagine Web correlate allo spam: 1 nuova pagina
scoperta ogni 20 secondi
Principale Paese che ospita malware: U.S.A., con il 38%
Paese che invia più messaggi spam: Asia con il 35%
E-mail con allegati infettati: 1 su 2500
Spam nelle e-mail delle aziende: 97%
Nuovi tipi di spam: Cell, Facebook e spam
a retrodiffusione
Principale host per il malware: Blogger (Blogspot.com)
SophosLabsTM – una rete globale di ricercatori e analisti –
riceve circa 20.000 nuovi campioni di software sospetto
al giorno. Molti di questi campioni sono cavalli di Troia,
progettati per rubare silenziosamente dati agli utenti dei
computer o violare i loro PC e prenderne il controllo.
SophosLabs sta inoltre individuando alcuni virus estremamente
abili (al contrario dei cavalli di Troia), che ricordano il malware
deliberatamente complicato dei primi anni ‘90, come ad
esempio i complessi virus polimorfici che fanno di tutto per
evitare il rilevamento da parte del software antivirus.
Questo “nastro trasportatore” di crimini informatici ha
fatto sì che grandi quantità di nuovo malware venissero
immesse in Internet ogni giorno, nella speranza che in
parte riuscisse a oltrepassare le difese antivirus di qualche
utente innocente e fare altre vittime.
Ancora una volta, la maggiore flessibilità delle procedure
lavorative, i tipi di minacce operative sempre nuovi e più
complessi e tutta una serie di nuove truffe hanno continuato a pesare notevolmente sulle aziende e anche nei
prossimi mesi si prevede che le minacce alla sicurezza
resteranno alquanto numerose.
2008
Web
Pagine Web malevole
La nostra crescente dipendenza dal Web per effettuare
acquisti e raccogliere informazioni ne fa il terreno
di caccia ideale per i criminali informatici alla caccia
di utenti scarsamente protetti e il Web è diventato
il principale vettore con il quale gli hacker tentano
di infettare i computer aziendali con il loro malware.
non vengono filtrati o controllati correttamente e viene
imprevedibilmente eseguito come codice, disseminando
il database di istruzioni malevole. Il ripristino può risultare
difficile ed esistono numerosi casi di proprietari di siti
Web che ripuliscono il loro database per poi subire nuovi
attacchi dopo qualche ora.
Nel 2007, SophosLabs ha scoperto una nuova pagina Web
infettata ogni 14 secondi. Nei primi sei mesi del 2008 questa
cifra è salita a una ogni 5 secondi, ovvero a una media di
16.173 pagine malevole al giorno, e il 90% di queste pagine
Web si trova in siti legittimi che sono stati violati.
La soluzione migliore è la prevenzione. I consigli su come
impedire gli attacchi con iniezione di codice SQL sono
disponibili nel blog SophosLabs8 e in un documento
pubblicato dalla Microsoft alla fine di giugno 2008.9
Quello che segue è solo un piccolo esempio di centinaia
di migliaia di siti Web attaccati in tutto il mondo, vittima
di attacchi malevoli, e dimostra che non sono solo i piccoli
siti a subire attacchi:
•
Gennaio 2008 Migliaia di siti Web di società Fortune 500,
enti statali e scuole sono stati infettati da codice malevolo.1
•
Febbraio 2008 La rete televisiva del Regno Unito,
ITV, è stata vittima di una campagna pubblicitaria via
Web avvelenata, studiata per introdurre scareware nei
computer degli utenti Windows e Mac.2
•
Marzo 2008 Un sito Web per la vendita di biglietti
dei campionati di calcio Euro 2008 è stato violato da
criminali informatici per infettare i computer di ignari tifosi3
e l’azienda produttrice di antivirus Trend Micro ha scoperto
che alcune delle sue pagine Web erano state violate.4
•
•
•
Aprile 2008 Il sito Web della Cambridge University
Press è stato violato e i visitatori del suo dizionario
online hanno subito tentativi di esecuzione di script
non autorizzato nei loro computer.5
Giugno 2008 Subito dopo l’inizio del torneo di tennis di
Wimbledon, il sito Web dell’ATP (Association of Tennis
Professionals) è stato infettato.6
Luglio 2008 Il sito Web della US PlayStation di Sony
ha subito un assalto con iniezione di codice SQL che ha
fatto correre ai visitatori il rischio di subire un attacco
scareware.7
Uno dei motivi per cui il Web subisce così tanti attacchi
è che i siti innocenti possono essere violati e utilizzati per
infettare un gran numero di utenti. Tuttavia, la vittima non
è solo l’ignaro visitatore; anche il proprietario del sito Web
può subire un attacco.
Questo risulta evidente in particolar modo con uno
dei principali protagonisti della prima metà del 2008:
l’attacco con iniezione di codice SQL, che sfrutta le falle
della sicurezza e inserisce codice malevolo (in questo
caso, marcatori di script) nel database in esecuzione in
un sito Web. L’attacco funziona quando i dati immessi
dall’utente, ad esempio quelli contenuti in un modulo Web,
2008
A parte l’iniezione di codice SQL, la prima metà del 2008
ha anche evidenziato altre tendenze del malware basato
sul Web. Per ospitare il loro malware, gli hacker utilizzano
i siti Web conosciuti, come Blogspot e Geocities, che
consentono agli utenti di creare facilmente il loro sito Web
personale, in quanto le nuove pagine sono semplici da
configurare e non richiedono identificazione. Inoltre, alcuni
prodotti per la sicurezza fanno fatica a proteggere i loro
utenti contro il malware presente in questi siti, per paura
di bloccare le pagine legittime. Nel giugno 2008, Blogger
(Blogspot.com) ospitava il 2% del malware basato sul Web
del mondo, diventando il principale host di codice malevolo
a livello mondiale.
Famiglie di malware presenti nel Web
Il grafico seguente mostra i principali malware scoperti
nei siti Web in maggio e giugno 2008.
Mal/Iframe 34,0%
Mal/ObfJS 25,6%
Mal/Badsrc 23,5%
Troj/Unif 7,0%
Troj/Decdec 1,7%
JS/Redir 1,4%
Troj/Fujif 1,0%
Troj/Iframe 0,6%
JS/Encharc 0,4%
Mal/Psyme 0,4%
Altri 4,4%
Il grafico indica principalmente il malware comunemente
associato agli attacchi con iniezione di codice SQL.
Ad esempio, un attacco Mal/Iframe può essere invisibile
all’occhio nudo, in quanto sfrutta il semplice codice
HTML per inserire un elemento di dimensioni minuscole
in scala 1x1 pixel, attraverso il quale il malware può
essere eseguito da un sito Web di terzi. Utilizzato
congiuntamente a un attacco con iniezione di codice
SQL, può essere un’arma efficace per gli hacker.
Controllo dei browser Web all’interno dell’azienda
Infezioni dei server Web
Gli hacker si stanno dedicando sempre più spesso alla
violazione dei siti Web legittimi mediante l’inserimento di
codice malevolo che reindirizza i browser ai siti che ospitano
il malware. Con modalità simili, i phisher sfruttano le
vulnerabilità e le falle nella sicurezza dei browser Web per
ingannare gli utenti mediante siti fotocopia progettati per
raccogliere dati personali e aziendali sensibili che potranno
successivamente essere utilizzati per ricavarne un guadagno.
Il grafico mostra quale software di server Web è utilizzato
il più delle volte nei siti Web infettati.
Un browser Web ben gestito, in cui alle vulnerabilità
vengono applicate delle patch e le opzioni sono impostate
correttamente, facilità il mantenimento dell’integrità delle reti
aziendali. In effetti, il 70% degli amministratori di sistema
desidera poter bloccare i browser Web non autorizzati o le
versioni scadute dei browser approvati presenti nella loro
organizzazione.
23,8%
59,1%
Apache 59,1%
IIS 23,8%
%
7,8%
4,8%
4,5%
GFE 7,8%
nginx 4,8%
Altri 4,5%
Software di server Web colpito più spesso da infezioni
Web. Gennaio–Giugno 2008
42% È essenziale bloccare i browser
Web non autorizzati o le versioni
scadute dei browser approvati
30%
42%
%
28% Desiderate bloccare i browser
Web non autorizzati o le versioni
scadute dei browser approvati
30% Controllo del browser non importante
28%
Sondaggio Web Sophos, 304 partecipanti,
16 maggio – 4 giugno 2008
Il 30% degli amministratori che non considera importante
il controllo del browser magari potrebbe cambiare idea
in merito considerando che i browser non autorizzati
generano veri e propri problemi di sicurezza e produttività.
Predisponendo criteri che controllino quali browser Web
e quale versione utilizzano i dipendenti, gli amministratori
possono semplificare le attività necessarie per la sicurezza
del Web, cosa particolarmente importante alla luce della
crescente attività del malware sul Web.
Quasi il 60% delle minacce basate sul Web da gennaio
a giugno 2008 ha interessato i server Apache. Questo
costituisce un notevole aumento dal livello osservato durante
il 2007, quando i server Web Apache contribuivano per
meno del 49% alle infezioni basate sul Web. Gran parte dei
server Apache è ospitata su Linux o su una qualche versione
di UNIX, il che dimostra come il malware non sia soltanto
un problema di Microsoft.
Anche se è vero che il malware scritto per Linux e UNIX
costituisce una percentuale bassa del totale, i siti Web non
sono necessariamente immuni agli attacchi. Questo perché
gli attacchi prendono di mira il sito Web – non soltanto il
server – e spesso tentano di incorporare script o eseguire
reindirizzamenti al codice malevolo.
A parte i rischi rappresentati dai criminali informatici,
le “guerre dei browser” hanno aperto nuove prospettive
concorrenziali, veloci ed estremamente variegate. Versioni
beta e aggiornamenti dei browser più diffusi entrano in
circolazione praticamente ogni giorno e il più delle volte
includono le funzionalità di streaming e condivisione dei
file, il che rende sempre più difficile per gli amministratori
rendere sicuri i computer endpoint nella loro organizzazione.
2008
Principali Paesi che ospitano il malware
Il grafico che mostra quali Paesi contengono le pagine
Web che ospitano la maggior parte del malware indica
alcuni interessanti cambiamenti:
•
Stati Uniti – Guidano la classifica con poco meno
di 2 pagine Web infettate su 5 nel Paese.
•
Cina – Nel 2007 guidava la classifica e ospitava
il 53,9% delle pagine infettate sul Web, ma adesso
è tornata a occupare la posizione in cui si trovava nel
2005, essendo responsabile di appena un terzo delle
pagine infettate.
•
Repubblica Ceca – Appena entrata in classifica, ospita
poco meno dell’1% di tutto il malware sul Web a livello
mondiale.
•
Francia, Canada, Taiwan e Corea del Sud – Nel grafico
del 2007 occupavano rispettivamente le posizioni sei,
sette, nove e dieci, ma adesso hanno una percentuale
di siti malevoli troppo piccola per essere rappresentata
nel grafico.
Stati Uniti 38,0%
Cina 31,3%
Russia 10,8%
Germania 2,4%
Ucraina 1,9%
Turchia 1,8%
Regno Unito 1,3%
Tailandia 1,1%
Olanda 1,0%
Repubblica Ceca 0,9%
Altri 9,5%
Principali Paesi che ospitano il malware
2008
E-mail
Allegati e-mail malevoli
Solo 1 su 2500 e-mail esaminate durante i primi sei mesi
del 2008 è risultata contenere un allegato e-mail malevolo,
rispetto a 1 su 332 nella prima metà del 2007.
Il grafico mostra le principali famiglie di malware che si
diffondono tramite allegati e-mail da gennaio a giugno 2008.
Troj/Pushdo 31,0%
W32/Netsky 20,1%
W32/Mytob 6,7%
W32/Traxg 6,0%
Le campagne di Pushdo utilizzano tecniche sofisticate nel
tentativo di evitare il rilevamento, tra cui l’offuscamento
del codice mediante vari tipi di packer. Anche se Pushdo di
solito infetta i computer principalmente via e-mail, è anche
ricorso a vari tentativi via Internet per infettare gli utenti.10
Il secondo malware più diffuso che si diffonde tramite gli
allegati e-mail è Netsky, scritto dall’adolescente tedesco Sven
Jaschan e che si sta diffondendo dal 2004, a dimostrazione
di come un preoccupante numero di utenti non abbia ancora
aggiornato le proprie difese antivirus dopo oltre quattro anni.
Troj/Agent 5,9%
W32/MyDoom 3,0%
Troj/Mdrop 1,8%
W32/Zafi 1,6%
W32/Bagle 1,4%
W32/Nyxem 1,3%
Altri 21,2%
Principali dieci famiglie di virus che si
diffondono tramite gli allegati e-mail
La rapida ascesa di Pushdo al vertice del grafico del
malware degli allegati e-mail – che rappresenta quasi
un terzo di tutte le segnalazioni durante i primi sei mesi
del 2008 – è significativa, visto che non figurava nelle
statistiche raccolte per il 2007. Tuttavia, anche se occupa
il primo posto nel grafico, la sua diffusione non è stata
tanto virulenta quanto i worm che inviano e-mail in massa,
come Netsky, Bagle e Sobig, che sono comparsi per la
prima volta nel 2003 e nel 2004.
Cinque minuti in malware – Campagna
di spam Pushdo a rapida diffusione
Il cavallo di Troia Pushdo si diffonde utilizzando una riga
dell’oggetto dell’e-mail, che cambia rapidamente e che
informa, ad esempio, che sono state allegate delle foto
di Angelina Jolie o Nicole Kidman nude. Tipicamente,
il cavallo di Troia rilascia un altro pezzo di malware
(denominato Pushu), il quale a sua volta scarica da
Internet altro malware, come ad esempio un rootkit.
Collegamenti e-mail a pagine Web malevole
L’enorme cambiamento nel numero di allegati e-mail infettati
non significa che la posta elettronica stessa non costituisca
una minaccia. Ciò che è radicalmente cambiato è come la
posta elettronica viene utilizzata per infettare i computer
degli utenti.
Invece di incorporare il malware nell’e-mail sotto forma
di allegato, i criminali informatici stanno utilizzando e-mail
o spam non richiesti per fornire collegamenti a siti Web
violati. Purtroppo è opinione comune che lo spam non
costituisca una minaccia, ma poiché esso è comunque
fastidioso e una percentuale pericolosa di essi contiene
collegamenti a siti Web infetti, le organizzazioni dovrebbero
rendere sicura l’e-mail e i gateway Web dedicandovi
la stessa attenzione riservata a desktop e laptop.
Malware di riferimento
La prima metà del 2008 ha visto attacchi malware
estremamente mirati, con l’obiettivo di infettare utenti
e aziende specifici, piuttosto che la comunità Internet in
senso lato. Come lo spear-phishing (descritto di seguito),
gli attacchi mirati del malware avvengono su piccola scala
e di solito vengono inviati da un dipendente dell’azienda
(in altri termini, qualcuno di cui ci si fida) e di solito sono
studiati per invogliare l’utente a fare clic su un allegato
e-mail infettato.
Nell’aprile 2008 ha avuto luogo una campagna e-mail
che ha preso di mira i principali dirigenti di varie società.
Le e-mail, tutte riguardanti mandati di comparizione
federali, sembravano essere state inviate dalle corti
federali degli U.S.A. e tentavano di impaurire i destinatari
inducendoli ad aprire un allegato pericoloso.11
2008
Malware non Windows
Malware Apple
Apple Mac
Il problema rappresentato dal malware per Apple
è attualmente contenuto rispetto alla situazione per gli
utenti Windows. Tuttavia, dopo la comparsa dei primi
casi di malware animati da motivazioni finanziarie per
Mac OS X alla fine del 200712, ci sono stati più tentativi
da parte degli hacker di infettare i computer Mac.
Tuttavia, è probabile che continuerà a venire scritto malware
per Apple Mac e gli utenti Mac dovrebbero continuare
a seguire le migliori pratiche per l’uso sicuro del computer,
come ad esempio l’installazione di un prodotto antivirus
e l’aggiornamento regolare delle patch per la sicurezza.
Nel febbraio 2008, Sophos ha scoperto un nuovo cavallo
di Troia basato su Flash, Troj/Gida-B, studiato per impaurire
gli utenti e indurli ad acquistare software di protezione
fasullo, mediante l’utilizzo di inserzioni Web infettate
che avrebbero determinato un attacco scareware sia nei
computer Mac che Windows.13
Non vi è alcun dubbio che la versione 3G dell’iPhone si
rivelerà più allettante per le aziende e gli utenti di Internet
rispetto alla versione precedente, grazie alla sua maggiore
connettività Internet e al prezzo più competitivo. Tuttavia,
l’aumento della quota di mercato potrebbe a sua volta
favorire più tentativi di attacco concertati dai criminali,
che in futuro tenteranno di approfittare dei dispositivi.
Il cavallo di Troia OSX/Hovdy-A, scoperto nel giugno 2008,
è in grado di infettare i computer Mac OS X e tenta di
rubare le password, aprire i firewall per consentire l’accesso
agli hacker e disattivare le impostazioni di sicurezza.
Sfrutta la vulnerabilità segnalata di recente in Mac OS X,
ARDAgent, per accedere alla cartella principale. Dopo
che un computer è stato violato, l’hacker può assumere il
controllo completo del Mac compromesso – coprendone le
tracce mediante la disattivazione del registro di sistema.14
Gli utenti Mac dovrebbero fate attenzione per vari motivi:
•
Una maggiore sottovalutazione della sicurezza nella
comunità Apple, in cui molti utenti Apple credono
erroneamente di essere immuni al problema delle minacce
e dei rischi legati alla sicurezza, che fanno degli utenti
Mac un facile bersaglio dei futuri attacchi degli hacker.
•
L’utilizzo di chip basati su Intel nell’hardware Apple Mac
ha contribuito alla diffusione di Windows sui Mac
e quindi i Mac adesso hanno maggiori probabilità
di ospitare e diffondere malware Windows.
•
Apple ha reso noto che la prima metà del 2008 ha visto
una crescita record delle vendite di laptop, agevolata
dalla delusione di alcuni utenti di Windows Vista,
che sono stati attratti dal marchio Macbook.15 Con la
crescita della quota di mercato di Apple Mac, Sophos
ritiene che gli utenti probabilmente assisteranno ad altri
attacchi lanciati contro i loro personal computer.
Ciò nonostante, con così tanti utenti domestici Windows
non in grado di difendersi adeguatamente contro la valanga
di malware e spyware creati per la loro piattaforma, sembra
essere plausibile ritenere che alcuni di essi passeranno alla
piattaforma Apple Mac. Questa ipotesi prende campo non
perché Mac OS X sia superiore, ma semplicemente perché
attualmente per esso viene scritto molto meno malware.
Di conseguenza, nel prossimo futuro, i criminali informatici
che cercano di ottenere il massimo dalle loro azioni
probabilmente continueranno ad attaccare principalmente
i computer Windows.
2008
iPhone
Anche se è già stato rilevato malware semplice,16 l’Apple
iPhone non è ancora stato preso di mira dagli hacker con
motivazioni finanziarie.
Tuttavia, nell’applicazione e-mail mobile e nel browser
Safari di Apple sono state riscontrate delle falle nella
sicurezza e l’azienda è stata criticata17 per non aver
creato delle patch per questi punti deboli nell’iPhone,
come invece è avvenuto per gli altri computer in cui sono
installate le varie versioni di Mac OS X.
Una cosa che gli utenti Apple iPhone devono assolutamente
sapere è che potrebbero essere più vulnerabili agli attacchi di
phishing rispetto ai computer desktop:
•
Dovendo immettere gli URL tramite lo schermo tattile,
gli utenti dell’iPhone potrebbero venire maggiormente
invogliati - rispetto a quando utilizzano una tastiera
vera e propria - a fare clic sui collegamenti indicati
nelle e-mail non richieste e che sembrano essere quelli
della loro banca online, eBay e siti simili.
•
Nella versione iPhone del browser Web Safari, un URL
incorporato in un’e-mail non viene visualizzato fino
a quanto l’utente non ci fa clic sopra, quindi gli utenti
dell’iPhone potrebbero essere più soggetti a truffe, in
quanto per loro è più difficile stabilire se il collegamento
Web che stanno per selezionare conduce, ad esempio,
al sito Web fasullo di una banca.
Inoltre è stato sollevato il problema che, siccome il browser
Apple iPhone visualizza solo URL parziali nella sua barra
degli indirizzi, per i criminali informatici è più semplice
indurre gli utenti a credere che stanno visitando un sito
Web legittimo.18
Malware Linux
Apple non è l’unica piattaforma non Microsoft ad essere
minacciata dagli attacchi malware. Nel febbraio 2008,
Sophos ha segnalato che un virus Linux vecchio di sei anni,
RST-B, era stato visto infettare in grandi quantità i computer
e i server Linux.
Dopo aver rilasciato uno strumento gratuito e aver effettuato
ulteriori ricerche, SophosLabs identificò varie migliaia di
computer Linux con infezioni a livello di cartella principale
di Linux/RST-B, che consentivano agli hacker di utilizzare
i computer Linux per controllare le botnet (reti di computer
violati). Va notato che sono state esaminate solo le infezioni
a livello principale; le cifre relative agli account non principali
violati avrebbero evidenziato numeri addirittura superiori.
L’analisi delle statistiche ha rivelato che la maggior parte
delle infezioni sono avvenute negli USA*, come si può
vedere nel grafico.
La cosa interessante è che il Giappone, che rappresenta un
mercato di grandi dimensioni per Linux, figura in undicesima
posizione con il 2,3% di infezioni.
Invitiamo gli utenti Linux a provare lo strumento Sophos
gratuito e a verificare se sono infettati anche da RST-B.19
USA 22%
Cina 10%
Germania 6,5%
Brasile 6,1%
Corea 4,1%
Taiwan 3,9%
Francia 3,3%
Italia 3,1%
India 3,1%
Polonia 2,9%
Altri 35%
Infezioni Linux/RST-B
* Sophos desidera ringraziare Accretive Networks per il suo aiuto nella realizzazione di queste statistiche
2008
Spam
Spam tramite e-mail
Spear-phishing
Lo spam tramite e-mail continua a infestare gli utenti
di computer. Nel giugno 2008, il livello di spam era salito
al 96,5% di tutte le e-mail commerciali, rispetto al 92,3%
dei primi tre mesi dell’anno. Adesso le aziende devono
prendere atto che solo una su 28 e-mail è legittima.20
Si sono anche verificati altri sofisticati attacchi mirati contro
organizzazioni e utenti particolari. La tecnica, nota come
spear-phishing, prevede l’invio di e-mail personalizzate
per un dominio o un’organizzazione specifici. Sembrano
provenire da una fonte affidabile, come un tecnico IT della
stessa azienda del destinatario e fanno richiesta di nomi
utenti, password e qualsiasi altra informazione personale,
talvolta reindirizzando i destinatari a una versione
fasulla del sito Web o dell’Intranet aziendale. Coloro che
rispondono a questi messaggi forniscono inavvertitamente
delle informazioni che il phisher può utilizzare per scopi
malevoli, come ad esempio il furto di identità.
Nei primi sei mesi del 2008, gli esperti Sophos hanno
scoperto una media di 8.330 nuove pagine Web di spam
al giorno, circa una ogni 20 secondi. Il picco è stato
raggiunto in gennaio, quando ha avuto luogo una grande
epidemia del worm Storm. Nel momento di massima
diffusione, addirittura 1 su 6 e-mail indirizzava i computer
verso una pagina Web infettata.21 Questo contribuì al
raggiungimento di una nuova pagina Web relativa allo
spam ogni tre secondi. Per fortuna, nei mesi successivi la
campagna di spam e malware non raggiunse più tali livelli.
Cina
Gli spammer tendono sempre più a ospitare il loro
contenuto e i loro siti sui server Web cinesi. Questo
ha creato problemi ad alcune aziende del settore della
protezione, in quanto in Cina è più difficile che in altri Paesi
ottenere informazioni in merito al nome dei domini. Inoltre,
vi sono dei problemi di natura linguistica e culturale che
hanno contribuito a rendere più difficile la rapida chiusura
di alcuni siti Web offensivi.
Dal punto di vista dei criminali, l’utilizzo di nomi di
dominio cinesi è interessante, in quando non devono
cambiare dominio con molta frequenza e possono tenerlo
attivo per un periodo di tempo più lungo.
Campagne di phishing
Sophos continua ad assistere a diffuse campagne e-mail
di phishing che prendono di mira gli utenti degli istituti
finanziari online e noti siti Web per aste e pagamenti.
Negli ultimi mesi, i siti di reti sociali come Facebook
hanno anch’essi suscitato l’interesse dei phisher.22
La University of Waterloo23, Oak Ridge National Laboratory24
e la University of Minnesota25 figurano tra le numerose
organizzazioni che hanno subito questo tipo di attacco.
Gli spear-phisher possono facilmente generare gli indirizzi
delle vittime utilizzando il software degli spammer che, ad
esempio, associa determinati nomi e cognomi. Potrebbero
inoltre aver violato il computer di un elenco di dipendenti
trovando una directory in una rete come Facebook
o LinkedIn. E siccome le e-mail di phishing vengono inviate
esclusivamente a un unico dominio, è meno probabile che
vengano individuate dal sistema di protezione del fornitore.
È importante ricordare che le campagne di phishing non
sono specifiche di nessun sistema operativo e possono agire
su qualsiasi utente di Internet, a prescindere dal fatto che
questi utilizzi Microsoft Windows, Mac OS X o UNIX. Poiché
sfruttano la fiducia insita negli esseri umani, piuttosto che
il software, è probabile che continuino a rappresentare un
problema nell’imminente futuro.
Botnet
Praticamente tutti i messaggi spam vengono inviati
da computer violati (chiamati “bot” o “zombi”) che,
all’insaputa dei loro proprietari, vengono usati dagli hacker
per inviare grandi volumi di spam, lanciando attacchi
Denial-of-Service distribuiti o rubando informazioni
riservate. Di solito si tratta di utenti domestici che non
sono adeguatamente protetti con software antivirus
aggiornato, firewall e patch di sicurezza.
È importante che si faccia ancora di più per aumentare
la consapevolezza tra gli utenti dei computer in merito
all’importanza di tenere sicuro il proprio PC.
Un sito Web di phishing Facebook
2008
La sporca dozzina
Spam a retrodiffusione
L’elenco della “sporca dozzina” di Paesi che hanno inviato
più spam da aprile a giugno, riportato nel grafico, mostra
che le botnet stanno avendo un impatto sempre crescente
sui Paesi con l’economia in crescita, in quanto questi
iniziano a figurare nell’elenco.
Una tendenza di rilievo dello spam durante la prima metà
del 2008 è stata la crescita del numero di messaggi di
rapporti di mancata consegna dell’e-mail (NDR, non-delivery
report) generati dai sistemi di posta che non accettano
messaggi spam durante una sessione SMTP. Qualora si
verifichi un errore di consegna (ad esempio, “casella postale
piena” o “l’utente non esiste”), il sistema tenta di reinviare
un messaggio di rimbalzo al presunto mittente originale.
Stati Uniti 14,9%
Russia 7,5%
Turchia 6,8%
Cina (compreso Hong Kong) 5,6%
Il messaggio di rimbalzo viene inviato all’indirizzo e-mail
presente nelle informazioni sul mittente (intestazione
Return‑Path) contenute nel messaggio originale. Poiché questo
indirizzo è stato creato nella maggior parte dei messaggi spam,
il messaggio di rimbalzo viene inviato alla casella postale di un
mittente che non aveva inviato il messaggio spam originale.
Questo sistema è noto come “spam a retrodiffusione”.
Brasile 4,5%
Polonia 3,6%
Italia 3,6%
Corea del Sud 3,5%
Regno Unito 3,2%
Spagna 3,2%
Germania 3,0%
Argentina 2,9%
Altri 37,7%
La “sporca dozzina” di Paesi che inviano più spam.
Aprile-Giugno 2008
•
U.S.A. – Hanno diminuito il loro contributo al problema
dello spam, inviando meno del 15% di tutto lo spam,
rispetto al 20% fatto registrare nello stesso periodo
del 2007.
•
Cina – Non occupa più la seconda posizione, come in
passato, essendo stata spodestata da Russia e Turchia.
•
Argentina – L’economia che sta crescendo più
velocemente in Sud America è entrata a far parte del
grafico di questo trimestre, scalzando la Francia al 12°
posto e adesso contribuisce per il 2,9% all’invio di
spam tramite e-mail a livello mondiale.
•
Turchia – È passata dal nono posto con il 2,9% di
spam nel secondo trimestre del 2007, al terzo posto
con il 6,8% di spam di quest’anno.
Analizzate per continente, le percentuali dei paesi che inviano
spam indicano che l’Asia è responsabile di oltre un terzo di
tutto lo spam.
Asia 35,4%
Europa 29,5%
%
Nord America 18,2%
Sud America 14,8%
Africa 1,2%
Altri 0,9%
Continenti che inviano più spam. Aprile-Giugno 2008
Indirizzi o domini specifici prediletti dagli spammer possono
diventare ogni giorno il bersaglio di centinaia o addirittura
migliaia di messaggi spam a retrodiffusione.
Spam nei cellulari
Un altro metodo sempre più utilizzato con il quale gli
spammer diffondono i loro messaggi consiste nell’invio
di SMS ad altri telefoni cellulari.
Secondo l’Internet Society of China, l’anno scorso
353,8 miliardi di messaggi spam sono stati inviati ai
proprietari di telefoni cellulari del Paese. Di conseguenza,
i 574 milioni di utenti di cellulari cinesi ricevono
mediamente oltre 600 messaggi spam l’anno. Dei
438.668 reclami relativi all’invio di spam ricevuti nel
giugno 2008, il 39,17% era relativo a contenuti fraudolenti
e il 36,28% era costituito da inserzioni pubblicitarie.26
Tuttavia, il problema non è limitato alla Cina. Ad esempio,
nell’aprile 2008, il centralino dello zoo di Dublino fu
subissato di telefonate, dopo che almeno 5000 persone
ricevettero un SMS nei loro cellulari in cui li si invitava
a telefonare urgentemente a un numero e chiedere di
una persona inesistente.27 Il numero era quello della linea
telefonica principale dello zoo di Dublino e i nomi finti
facevano tutti riferimento ad animali (Rory Lion, Anna
Conda, C Lion o G Raffe, stando ai notiziari di allora).
Gli zoo di Houston28 e Brownsville, Texas29 subirono
attacchi simili il mese successivo.
Inviare spam tramite gli SMS costituisce un metodo efficace
per generare attacchi repentini a cascata tipo Denial-ofService contro il sistema telefonico di un’organizzazione.
Poiché i gestori di telefonia mobile inseriscono sempre più
frequentemente un certo numero di SMS mensili nei loro
piani tariffari e mettono a disposizione gateway Web per gli
SMS, sfruttabili dagli hacker, un numero sempre maggiore di
spammer utilizzerà gli SMS per intasare le linee telefoniche.
2008
Web 2.0
Spam e malware di reti sociali/aziendali
Negli ultimi anni, sono diventati molto popolari i siti di reti
sociali, come Facebook, MySpace e Bebos – tendenza che
non è passata inosservata agli occhi dei criminali informatici.
Gli utenti di computer, assuefatti a ricevere nella loro casella
postale tutta una serie di messaggi e-mail non richiesti,
sembrano essere meno cauti quando i messaggi arrivano
da altre fonti, come ad esempio la messaggistica istantanea
o Facebook.30
Nemmeno il sito di rete aziendale, LinkedIn, è restato
immune agli attacchi: phisher e truffatori hanno utilizzato
il sito per prendere di mira uomini d’affari di successo.
Nel maggio 2008, il messaggio della “truffa 419”, partito
dal sito Web LinkedIn, sembrava essere stato inviato da
una donna di 22 anni che abitava in Costa d’Avorio e che
aveva ricevuto in eredità 6,5 miliardi di dollari dal padre
deceduto.31
Truffa LinkedIn
Gli autori di malware hanno inoltre posato il loro avido
sguardo sul gruppo di potenziali vittime presenti nei siti
di reti sociali:
•
Maggio 2008 Vkontakte, il sito di rete sociale più famoso
della Russia, con oltre 12 milioni di iscritti, fu attaccato
da un worm che si diffuse tramite il sistema, cancellando
i file dai dischi rigidi.32
•
Dicembre 2007 Orkut, il sito di rete sociale di Google,
nel mese di dicembre 2007 fu attaccato da malware che
utilizzava uno script trasversale per siti (XSS, Cross-Site
Scripting) per infettare centinaia di migliaia di profili degli
iscritti.33
Spam Facebook
Mano a mano che un numero sempre crescente di aziende
predispone delle difese per il gateway e-mail e gli utenti
domestici vengono protetti dal loro ISP, o fornitore di account
e-mail Web, i criminali dovranno inventarsi sempre qualcosa
di nuovo per recapitare i loro messaggi e malware. Anche se
attualmente il livello di spam di Facebook, Bebo e LinkedIn
resta inferiore a quello dello spam e-mail, è probabile che
vi saranno altri tentativi di utilizzare i siti del Web 2.0 per
diffondere malware e spam in futuro.
2008
10
Crimine
Arresti e sentenze
Nei sei mesi appena trascorsi, grazie agli sforzi congiunti
delle autorità internazionali che si occupano di crimini
informatici - impegnate a contrastare gli hacker, gli autori
di malware e gli spammer - ci sono stati più arresti e dure
sentenze di condanna per i criminali responsabili di crimini
informatici di alto profilo finanziario.
Ecco alcuni dei casi più famosi della prima metà del 2008.
Gennaio 2008 Tre uomini misero in scena un’elaborata
truffa via e-mail basata sull’affermazione che erano affetti
da cancro alla faringe. Nell’aula di un tribunale di New York
si dichiararono colpevoli di aver rubato più di 1,2 milioni di
dollari. Gli uomini misero in circolazione delle e-mail in cui
l’autore affermava di essere vittima di cancro maligno alla
faringe e di avere intenzione di dare in beneficienza 55 milioni
di dollari. Un membro della banda, Nnamdi Chizuba Ainsiobi,
telefonava ai destinatari delle e-mail, contraffacendo la voce
per fingere di essere affetto dalla malattia.34
Aprile 2008 Un tribunale israeliano condannò al carcere
tre membri della società di investigazioni private Modi’in
Ezrahi dopo che risultò colpevole di aver utilizzato un
cavallo di Troia per rubare informazioni commerciali.39
Febbraio 2008 Un adolescente americano si dichiarò
colpevole di aver preso il controllo di centinaia di migliaia di
computer zombi, compresi alcuni computer della “Divisione
armamenti” del Comando di guerra aerea delle forze navali
U.S.A. a China Lake, California del Dipartimento della difesa
U.S.A., utilizzandoli per visualizzare inserzioni pubblicitarie
con le quale fare soldi.35
Maggio 2008 Mark Richman e Nathaniel Seidman,
i proprietari di una società con sede a Boca Raton, Florida,
ricevettero una multa di 75.000 dollari per aver violato la
legge CAN-SPAM e aver inviato messaggi spam indesiderati
con intestazioni finte e righe dell’oggetto oscene nel tentativo
di promuovere siti Web come sexyfriendsearch.com.41
Marzo 2008 Lee Shin-ja, ex amministratore delegato di
Media Port, azienda coreana specializzata in sicurezza
informatica, fu accusato di aver distribuito software
antispyware fasullo a oltre un milione di persone,
guadagnando oltre 9,2 miliardi di won (circa 6 miliardi di
euro) dal 2005 grazie a un programma antispyware gratuito
che visualizzava falsi avvisi di sicurezza e invitava gli utenti
ad acquistare il software per la pulizia del disco Doctor Virus,
prodotto dalla Media Port.36
Marzo 2008 Un tribunale cinese condannò al carcere da sei
a otto anni e mezzo quattro uomini che avevano utilizzato un
cavallo di Troia per rubare i dati di conti bancari in Internet.37
11
Aprile 2008 Edward “Eddie” Davidson fu condannato
a 21 mesi di carcere e al pagamento di 714.139 dollari
all’IRS dopo essere risultato colpevole di evasione fiscale
e falsificazione di intestazioni di messaggi e-mail in centinaia
di migliaia di messaggi spam. Commercializzando profumo
e orologi di lusso e manipolando la borsa con truffe del tipo
“pump-and-dump”, Davidson riuscì a guadagnare almeno
3,5 milioni di dollari.38
Maggio 2008 Il ventiduenne Thomasz Grygoruk fu
condannato a tre anni di prigione dopo essere stato
dichiarato colpevole del furto dei dati personali di migliaia di
persone in Internet, nell’arco di cinque anni, utilizzando una
combinazione di cavalli di Troia e siti Web di banche finti.40
Maggio 2008 Le autorità di U.S.A. e Romania accusarono
38 persone di aver gestito un’organizzazione criminale che
cercava di derubare migliaia di consumatori e che aveva
preso di mira centinaia di istituti finanziari mediante e-mail
di phishing e SMS.42
Giugno 2008 Il diciannovenne Jason Michael Milmont
ammise di essere il programmatore del malware Nugache,
che aveva infettato i computer Windows trasformandoli
in una sofisticata botnet controllata mediante un sistema
peer-to-peer e costituita da circa 5.000-15.000 PC violati
contemporaneamente. Milmont utilizzava i dati bancari
rubati per accedere ai conti delle vittime e ordinare merce
da inviare a indirizzi inesistenti nella zona di Cheyenne,
Wyoming.43
2008
Crimini informatici sponsorizzati dagli stati
I Paesi di tutto il mondo si spiano per ottenere vantaggi
politici, commerciali e militari e sarebbe ingenuo pensare
che le nazioni non sfruttino computer e Internet per
svolgere meglio le loro attività di spionaggio.
Durante il 2007 molti Paesi si accusarono reciprocamente
di attività di spionaggio via Internet. Ad esempio, nel
settembre 2007, l’esercito cinese fu accusato di un attacco
al sistema informatico del Pentagono. Le preoccupazioni
legate ai crimini informatici sponsorizzati dagli Stati
raggiunsero il culmine alla fine del 2007, con la scoperta
che l’MI5, il servizio di sicurezza britannico, aveva scritto
a 300 dirigenti e responsabili della sicurezza di aziende
del Regno Unito avvertendole di un “attacco di spionaggio
elettronico”.44
I primi sei mesi del 2008 hanno visto un numero crescente
di presunti crimini informatici sponsorizzati dai governi
e anche se è estremamente difficile provare che un attacco
è stato organizzato da uno Stato, invece che essere opera
di un gruppo di hacker indipendenti, probabilmente il 2008
vedrà un maggior numero di Paesi che lanciano attacchi
e si spiano via Internet.
In verità, non vi sono prove sufficienti per stabilire se questi
o altri attacchi fossero sponsorizzati dagli Stati oppure
provenissero dalla scrivania di un dipendente statale o dalla
camera da letto di un adolescente. I governi devono pensarci
due volte prima di accusarsi reciprocamente di spionaggio
via Internet, a meno che non abbiano prove certe.
Tuttavia, questi rapporti sottolineano l’importanza di
chiunque consideri prioritaria la sicurezza informatica
e non vi è alcun dubbio circa l’importanza di proteggere
i computer degli Stati contro gli attacchi degli hacker,
siano essi riconducibili a motivazioni politiche, spionaggio
o denaro. Il consiglio per le aziende, le organizzazioni
e i governi è di tenere aggiornate le loro difese contro
il malware e fare in modo siano predisposte misure di
sicurezza adeguate per impedire agli intrusi (siano essi
criminali informatici o spie straniere) di trafugare dati.
Aprile 2008 Der Spiegel pubblicò la notizia che il BND –
Il servizio di spionaggio tedesco – aveva utilizzato spyware
per sorvegliare il Ministero del commercio e dell’industria
in Afganistan. Secondo il settimanale, documenti riservati,
password e comunicazioni e-mail erano state violate dalle
spie tedesche e inviate al quartier generale del BND.
La notizia seguì le rivelazioni che il BND aveva intercettato
le e-mail tra la giornalista dello Spiegel Susanne Koelbl e il
ministro del commercio afgano Amin Farhang, provocando
un incidente diplomatico tra i due Paesi.45
Maggio 2008 Dei funzionari indiani di Nuova Delhi
avrebbero confermato che gli hacker cinesi avevano preso
di mira il Ministero degli esteri e il Centro informatico
nazionale, che costituisce la dorsale della rete per il
governo centrale e la pubblica amministrazione, oltre che
per gli altri enti amministrativi indiani. I funzionari, di cui
non furono rese note le generalità, avrebbero detto che
questo era il modo in cui i cinesi intendevano acquisire
un “vantaggio asimmetrico” sui potenziali avversari.46
Maggio 2008 Anche il Belgio accusò il governo cinese
di spionaggio informatico, affermando che gli attacchi
contro il governo federale belga erano partiti dalla Cina
e probabilmente erano stati ordinati dal governo di
Pechino. In un’altra sede, il ministro degli esteri belga
riferì al parlamento che il suo ministero era stato oggetto
di spionaggio informatico condotto dai cinesi alcune
settimane prima.47
2008
12
Analisi globale strategica di SophosLabs
Grazie alla potente integrazione di competenza per tutte le minacce, sistemi automatizzati e tecnologia
all’avanguardia, SophosLabs ha la visibilità globale e svolge attività di ricerca 24 ore su 24, 7 giorni su 7,
per fornire la protezione proattiva e la rapidità delle risposte di cui le aziende hanno bisogno per proteggere
la loro sicurezza, produttività e conformità alle normative. Le sue competenze spaziano tra tutte le soluzioni
di sicurezza e controllo Web, e-mail ed endpoint di Sophos. I servizi di allarme di SophosLabs, ZombieAlert
e PhishAlert, informano le organizzazioni se il loro marchio viene utilizzato nelle campagne di phishing.
L’ampia base di origini dati di SophosLabs include:
•
Trappole spam in oltre 50 Paesi, che forniscono
visibilità istantanea delle nuove campagne di spam
•
Traffico e-mail globale di migliaia di distribuzioni
dei clienti
•
Risorse di terzi che segnalano e condividono
informazioni sulle minacce
•
Collaborazione con i motori di ricerca per
la condivisione dei dati
•
Milioni di feed di URL malevoli.
Per maggiori informazioni sui prodotti Sophos e su come valutarli, visitate il sito www.sophos.it.
13
2008
Fonti
1.
www.theregister.co.uk/2008/01/08/malicious_website_redirectors
2.
www.sophos.com/news/2008/02/poisoned-adverts.html
3.
www.sophos.com/news/2008/03/euro2008.html
4.
www.sophos.com/security/blog/2008/03/1186.html
5.
6.
www.sophos.com/news/2008/06/infected-tennis-sites.html
7.
www.sophos.com/news/2008/07/playstation.html
8.
9.
www.microsoft.com/technet/security/advisory/954462,mspx
10. www.sophos.com/security/blog/2008/05/1425.html
12. www.sophos.com/news/2007/11/mac-osx-trojan.html
13. www.sophos.com/news/2008/02/poisoned-adverts.html
14. www.sophos.com/news/2008/06/machovdyA.html
15. www.macworld.com/article/133145/2008/04/profit.html
17. blog.washingtonpost.com/securityfix/2008/07/apple_iphone_four_months_behin_1,html
18. ‘iPhish: Phishing Vulnerabilities on Consumer Electronics’, by Yuan Niu, Francis Hsu, Hao Chen, University of California,
www.usenix.org/events/upsec08/tech/full_papers/niu/niu.pdf
20. www.sophos.com/news/2008/07/dirtydozjul08.html
21. www.sophos.com/news/2008/01/storm-timezone.html
23. www.ist.uwaterloo.ca/security/vulnerable/20080403/20080526.html
24. www.eweek.com/c/a/Security/Oak-Ridge-Speared-in-Phishing-Attack-Against-National-Labs
25. www1.umn.edu/oit/security/OIT_ARTICLE_003725,html
26. news.xinhuanet.com/english/2008-07/17/content_8563615,htm
27. www.sophos.com/blogs/gc/g/2008/05/08/zoowatch-continues
28. www.sophos.com/blogs/gc/g/2008/05/07/cellphone-spam-clogs-up-phone-lines-at-houston-zoo
29. www.sophos.com/blogs/gc/g/2008/05/20/mobile-phone-monkey-business-strikes-at-another-zoo
30. www.sophos.com/blogs/gc/g/2008/05/04/facebook-spam
31. www.sophos.com/news/2008/05/linkedin.html
32. www.sophos.com/blogs/gc/g/2008/05/22/russian-social-networking-worm-wipes-hard-drive-files
34. www.sophos.com/news/2008/01/nigerian-scam.html
35. www.sophos.com/news/2008/02/sobe.html
36. www.sophos.com/news/2008/03/lee-shin-ja.html
37. www.sophos.com/news/2008/03/zhang.html
38. www.sophos.com/blogs/gc/g/2008/05/01/prison-for-colorado-spam-king
39. www.sophos.com/blogs/gc/g/2008/04/29/i-spy-with-my-private-eye
40. www.sophos.com/blogs/gc/g/2008/05/30/new-zealand-hacker-jailed-in-computer-fraud-and-blackmail-case
41. www.sophos.com/blogs/gc/g/2008/05/07/sexy-friends-to-spam-no-more
42. www.sophos.com/news/2008/05/phishing-gang.html
43. www.sophos.com/news/2008/06/milmont.html
44. www.sophos.com/news/2007/12/mi5-china-internet-spy.html
45. www.sophos.com/blogs/gc/g/2008/04/28/german-spooks-deploy-spyware-against-afghan-ministry
46. www.sophos.com/blogs/gc/g/2008/05/09/china-crisis-now-india-claims-hackers-are-attacking-it-from-behind-thebamboo-curtain
47. www.sophos.com/news/2008/05/belgium.html
Boston, USA • Oxford, Regno Unito
14
2008

Aggiornamento del rapporto sulla sicurezza

Transcript

Documenti analoghi

italia he index italia he index

manutenzione e tecniche di protezione

protezione totale, semplice, conveniente sophos msp

Configurazione Yahoo Mail

Manifesto Vir.IT eXplorer PRO 2010

Si comunica agli utenti che in seguito all`aggiornamento del

Bryan Barney, senior vice president e general manager di Sophos

Sophos Email Appliance Datasheet

Email Protection

Il valore del software originale - Pc-Rent