Oasi SecurityNet

Transcript

Oasi SecurityNet

RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA – XII° RAPPORTO - ANNO 2003
SECURITYNET ®
Servizio Antivirus e Prevenzione Computer Crime
VIRUS INFORMATICI
INTERNET WORM
MALICIOUS SOFTWARE
Circolanti in Italia
ANNO 2003
PRIMI DATI E TENDENZE DEL 2004
Edizione riservata agli aderenti al servizio SECURITYNET®
Tutti i diritti sono riservati:  OASI S.p.A.
Le riproduzioni totale o parziale sono autorizzate citando la fonte
Fonte: OASI – Servizio SECURITYNET
OASI - OUTSOURCING APPLICATIVO E SERVIZI INNOVATIVI –
Via Domenico Sansotta, 97, 00144 – ROMA. Tel.: 06 52614.1 - Fax.: 06 52614.544
Via Verziere, 11 - 20122 MILANO. Tel. 02/76092.256 Centr. Tel. 02/76092.1, Fax 02/76.092.240.
[email protected]
OASI - Servizio SECURITYNET
1
Utilità della ricerca
I dati, le analisi e le considerazioni contenute nella presente ricerca, oltre a costituire
un tradizionale strumento di supporto per le valutazioni di alcuni specifici rischi
informatici e l’organizzazione di presidi e di policy per la sicurezza, sono utili anche
ai fini della verifica dell'efficacia dei prodotti di protezione dai programmi di cui all'art.
615 quinquies del codice penale. Il rapporto può costituire uno strumento di ausilio
anche per le valutazioni di cui al d.Lgs. 30 giugno 2003 n.196 – Allegato B) in
materia di misure di sicurezza per la protezione dei dati personali, nonché al
D.P.C.M., Dipartimento per le innovazioni e le tecnologie, del 16 gennaio 2002 in
materia di sicurezza informatica e delle telecomunicazioni nelle pubbliche
amministrazioni.
Ringraziamenti
Per il particolare contributo fornito alla ricerca, si desidera ringraziare i sigg.
Salvatore Franzoso, Marco Palazzesi, Matteo Bassi, e tutti coloro che con le loro
segnalazioni hanno consentito la raccolta dei casi e la conseguente elaborazione
dei casi e delle considerazioni di comune utilità.
Raccolta e analisi dei dati
La raccolta dei dati, la preparazione dei questionari, l’elaborazione e la grafica sono
stati effettuati da Monica De Baldironi e Panfilo Marcelli. L’analisi dei dati, le
considerazioni storiche e di tendenza da Paolo Monti e Fulvio Berghella. La sintesi
della ricerca e la compilazione del volume annuale su Virus, Worm e Malware è a
cura di Fulvio Berghella.
2
Sommario
PRECISAZIONI METODOLOGICHE SULLA RICERCA .......................5
SINTESI DEI DATI PER L’ANNO 2003 ........................................................6
Numero dei casi ..........................................................................................................6
Tipi di virus circolanti .................................................................................................6
Virus più diffusi ..........................................................................................................6
Come avviene la diffusione ..........................................................................................6
Distribuzione geografica ..............................................................................................6
I periodi dell’anno più critici........................................................................................7
Virus noti e intercettati ................................................................................................7
Tipologia dei danni subiti.............................................................................................7
Chi ha risolto gli incidenti............................................................................................8
Soluzioni adottate per la prevenzione ............................................................................8
CONSIDERAZIONI GENERALI E TENDENZE .........................................9
Network worm............................................................................................................9
E-mail worm .............................................................................................................10
PRIMI DATI DEL 2004 .............................................................................................11
Colpiti da “MyDoom”100 milioni di e-mail in 36 ore ..................................................11
Con “Netsky” e “Bagle” è guerra tra scrittori di virus ..................................................11
Virus e spammer .......................................................................................................12
Il caso “Sasser” .............................................................................................................12
Primo virus che infetta i file a 64 bit (W64.Rugrat) ......................................................12
Primo worm per i telefoni mobili ................................................................................12
IPOTESI SUL FUTURO ........................................................................................13
Ridotto il tempo tra scoperta della vulnerabilità e attacchi ............................................13
Backdoor, spammer e spyware ...................................................................................14
INDICAZIONI PER LA PREVENZIONE ............................................................15
Indicazioni di sintesi per la prevenzione ............................................................15
VIRUS CIRCOLANTI IN ITALIA NEL 2003 ..........................................................17
TIPI DI VIRUS PIU’ DIFFUSI IN ITALIA NEL 2003.............................................18
CASI RILEVATI PER CIASCUNO DEI VIRUS PIÙ DIFFUSI IN ITALIA NEL
2003 ............................................................................................................................19
DISTRIBUZIONE PERCENTUALE PER TIPOLOGIE DI VIRUS E WORM NEL
2003 ............................................................................................................................20
I DIECI INTERNET WORM E VIRUS PIU’ DIFFUSI NEL 2003 ..........................20
I VIRUS PIU’ DIFFUSI NEL 2003 E CONFRONTO CON IL BIENNIO
PRECEDENTE...........................................................................................................21
ANDAMENTO DEI TIPI DI VIRUS NEGLI ULTIMI SETTE ANNI ....................22
TIPI DI VIRUS DIFFUSI IN ITALIA DAL 1998 .....................................................22
TIPI DI VIRUS DIFFUSI IN ITALIA DAL 1998 .....................................................23
COME SI DIFFONDONO I VIRUS ..........................................................................24
MEZZI DI DIFFUSIONE DAL 1998 AL 2003 .........................................................25
I PERIODI DELL’ANNO PIÙ CRITICI ...................................................................26
DISTRIBUZIONE DEI CASI DI VIRUS SUL TERRITORIO ITALIANO ............26
DISTRIBUZIONE DEI CASI DI VIRUS SUL TERRITORIO ITALIANO ............27
DISTRIBUZIONE PER REGIONE...........................................................................27
3
APPROFONDIMENTO 1: VIRUS INTERCETTATI IN UNA RETE DI 9.000
COMPUTER...............................................................................................................28
TIPI DI VIRUS PIU’ INTERCETTATI.....................................................................28
VIRUS E VULNERABILITA’ DEL SOFTWARE ...................................................29
PRINCIPALI VULNERABILITA’ NEL 2003 ..........................................................29
PRINCIPALI VULNERABILITA’ DAL 2000 AL 2004 ..........................................29
VIRUS CHE DAL 2001 HANNO UTILIZZATO VULNERABILITÀ....................33
NUMERO DI VIRUS NOTI NEL MONDO ............................................................35
VIRUS E INTERNET WORM CIRCOLANTI IN ITALIA NEL 2004 ....................36
DIFFUSIONE DEI VIRUS DURANTE L’ANNO....................................................42
INCIDENZA DEI TIPI DI VIRUS SUL TOTALE DELLE INFEZIONI................44
DISTRIBUZIONE DEI VIRUS SUL TERRITORIO ITALIANO DAL 1997..........45
DISTRIBUZIONE DEI VIRUS SUL TERRITORIO ITALIANO............................45
INCIDENTI E SOLUZIONI PER LA SICUREZZA ADOTTATE ..........................46
4
PRECISAZIONI METODOLOGICHE SULLA RICERCA
Di seguito viene riportata la sintesi delle rilevazioni statistiche e delle considerazioni
analitiche predisposte dal Servizio SECURITYNET erogato da OASI SpA1, sulla
diffusione dei virus nelle aziende italiane destinatarie delle attività del servizio. La
presente edizione è la XII°.
L’autore della rilevazione sul tema “Virus informatici, Internet Worm, Malicious
software” circolanti in Italia nel 2003 è la Business Unit Sicurezza e Controlli di OASI
SpA2 (Via Sansotta 97, 00144 – Roma) attraverso il proprio servizio antivirus e
prevenzione computer crime denominato SECURITYNET che è proprietaria dei dati.
La rilevazione non è stata commissionata, viene svolta nell’ambito delle attività di
assistenza fornite agli utenti del servizio ed è finalizzata a comprendere meglio
come si diffondono i c.d. virus dei computer ed a fornire indicazioni utili alla
prevenzione degli incidenti informatici.
La rilevazione è relativa al periodo gennaio-dicembre 2003. Alcuni approfondimenti
sono stati fatti analizzando i dati di due diversi gruppi di aziende.
Il primo, definito sottogruppo A, comprende aziende operanti sul territorio nazionale
la cui rete informatica si compone di 9.000 computer. Gli approfondimenti relativi al
sottogruppo A si riferiscono ad un arco temporale di 12 mesi da febbraio 2003 a
febbraio 2004. Il secondo, definito sottogruppo B, si compone di 11 aziende di
grandi, medie e piccoli dimensioni con un totale di 22.652 dipendenti dotati di
computer connessi in rete. Tali aziende offrono servizi fruibili in Internet a 27.540
utenti che mediamente effettuano 11.350 accessi al giorno.
Altre considerazioni sono riferite a circostanze rilevate nei primi mesi del 2004.
La rilevazione è basata sui dati raccolti in seguito alle segnalazioni spontanee
pervenute ai servizi di help desk di SecurityNet, nonché dalla compilazione anonima
e spontanea di questionari informativi anonimi disponibili sul sito Internet. I dati sono
integrati anche da statistiche fatte dagli stessi aderenti nell’ambito delle proprie
strutture aziendali. Gli utenti aderenti al servizio nel 2003 sono 3.462, appartenenti
ad imprese di settori operativi diversi.
Nelle analisi dei dati elaborati e nelle sintesi si è preferito non enfatizzare i singoli
casi che hanno richiesto un impegno al di fuori dell’ordinario per evitare che le
percentuali e le medie subissero un’influenza palesemente esagerata che avrebbe
condizionato la descrizione d’insieme, la percezione e la comprensione del
fenomeno in esame, condizionando l’equilibrio delle indicazioni riassuntive.
La ricerca sulla diffusione dei virus dei computer comprende anche i cosiddetti
Internet worm ed ogni programma informatico con caratteristiche di malignità che
circola in rete. Il termine “virus” è utilizzato genericamente per indicare ogni codice
informatico con finalità o effetti di malignità 3.
1
La B.U. Sicurezza e controlli di EUROS Consulting SpA è stata acquisita da OASI SpA, per cessione
di ramo d’azienda, dal 1 giugno 2004.
2
OASI - OUTSOURCING APPLICATIVO E SERVIZI INNOVATIVI –
Sede di Roma: Via Domenico Sansotta, 97, 00144 – ROMA. Tel.: 06 52614.1 - Fax.: 06 52614.544
Sede di Milano: Via Verziere, 11 - 20122 MILANO. Tel. 02/76092.256Centr. Tel. 02/76092.1, Fax
02/76.092.240. e-mail: [email protected]
3
Il termine “malware”, deriva dalla contrazione della locuzione malicious software indica tutti i
particolari programmi informatici dannosi.
5
ANALISI DEI DATI
SINTESI DEI DATI PER L’ANNO 2003
Numero dei casi
I casi complessivi segnalati dagli utenti del servizio e/o ricavati dai questionari
anonimi sono stati 1.252.
Tipi di virus circolanti
I diversi tipi di virus individuati sul territorio italiano dalle aziende che hanno fornito le
proprie casistiche sono stati 42.
Le principali vulnerabilità
Le vulnerabilità individuate nei sistemi operativi che sono state utilizzate
negativamente dai virus, con effetti significativi, sono state 7.
Virus più diffusi
Gli eventi più significativi sono stati provocati da 6 virus che, nel loro insieme, hanno
generato il 72% degli incidenti. Tali virus sono noti con i seguenti nomi:
1. W32/Swen 236 casi, pari al 19% del totale;
2. W32/Lovsan 187 casi, pari al 15%;
3. W32/Bugbear B. 177 casi, pari al 14%;
4. W32/Sobig 111 casi, pari al 9%;
5. W32/Opaserv 102 casi, pari all’8%;
6. W32 Mimail 88 casi, pari al 7%.
Come avviene la diffusione
Tra le aziende segnalanti i principali veicoli di diffusione, di virus e I-worm sono stati:
- 80% e-mail,
- 20% Internet.
Nessuna segnalazione di incidenti ha riguardato virus contenuti in supporti rimovibili.
Distribuzione geografica
La distribuzione dei casi posti in relazione all’ubicazione geografica delle aziende
segnalanti è stata:
- 38% nord Italia, con 480 casi;
- 37% centro Italia, con 457 casi;
- 25% sud Italia, con 315 casi.
Da tutte le regioni sono pervenute segnalazioni, con prevalenza del Lazio e della
Lombardia. L’incidenza percentuale dei casi, è stata la seguente:
23% Lazio;
16% Lombardia;
9% Campania;
6% Toscana;
5% - ciascuna - Sicilia, Umbria, Liguria, Puglia, Emilia Romagna;
4% Veneto;
3% - ciascuna -Trentino e Sardegna;
2% - ciascuna- Piemonte, Calabria, Friuli, Marche, Molise;
1% - ciascuna - Basilicata e Abruzzo.
6
I periodi dell’anno più critici
La presenza di virus nelle aziende segnalanti è stata riscontrata in tutti i mesi
dell’anno, ma il trimestre agosto, settembre, ottobre con 534 casi, pari al 42% del
totale dell’anno, è stato il periodo più critico. Le difficoltà sono in iniziate nel mese di
agosto durante le ferie estive. Questa coincidenza con le ferie estive ha da una
parte limitato la diffusione di una grande epidemia con estensione internazionale,
ma dall’altra ha contribuito ad accentuare i problemi che si sono concentrati alla
riapertura delle aziende.
1. Settembre 226 casi, 19%;
2. Giugno 190 casi, 15%;
3. Ottobre 188 casi, 15%;
4. Agosto 120 casi, 10%;
5. Marzo 102 casi, 8%;
6. Gennaio 93 casi, 7%;
7. Novembre 80 casi, 6%;
8. Maggio 75 casi, 6%;
9. Luglio 52 casi, 4%;
10. Aprile 49 casi, 4%;
11. Dicembre 43 casi, 3%;
12. Febbraio 34 casi, 3%.
Le principali diffusioni di virus sono iniziate il venerdì sera, si sono propagate il
sabato e la domenica, hanno generato i loro effetti dannosi il lunedì, con espansione
massima martedì.
Virus noti e intercettati
I virus noti e riconosciuti dagli antivirus sono più di 80.000. Gli incidenti e i danni
sono stati quasi sempre provocati da codici maligni nuovi che hanno sorpreso gli
utenti. Tali codici vengono inseriti nei prodotti di prevenzione solo successivamente
alla loro individuazione, di conseguenza se la loro diffusione è rapida ed avviene in
poche ore risultano colpite soprattutto quelle aziende che non sono organizzate per
il tempestivo aggiornamento, con modalità automatiche, degli strumenti di
prevenzione.
L’efficacia degli antivirus nell’intercettare i virus circolanti risulta elevata. A tal fine,
nella presente ricerca, è stato analizzato un gruppo di aziende che gestisce
complessivamente 9.000 stazioni di lavoro informatizzate e connesse in rete,
distribuite su quasi tutte le regioni italiane. (Sottogruppo A).
Analizzando i dati inerenti il traffico Internet su tale sottogruppo, in dodici mesi, sono
state bloccate 98.000 e-mail infette. Le intercettazioni di virus, se riportate ai giorni
di calendario sono state 268 al giorno ed a 445 al giorno se proporzionati ai 220
giorni lavorativi convenzionali.
L’incidenza media riportata al numero di computer è stata di 11 virus l’anno (per
ogni computer connesso alla rete).
Tipologia dei danni subiti
Le principali conseguenze subite dalle aziende in seguito all’intrusione di virus sono:
1) Servizi non disponibili agli utenti;
2) PC non utilizzabili dagli utenti;
3) Blocchi di sistema;
4) Perdita di tempo produttivo;
5) Perdita di tempo per riunioni dedicate al problema;
6) Perdita di tempo di tecnici impegnati nel ripristino;
7
7) Invio automatico ed inconsapevole di e-mail infette ad altri destinatari;
8) Files corrotti;
9) Spese per nuove soluzioni tecniche;
10) Spese per consulenze specializzate;
11) Ritardi nei tempi di risposta del sistema;
12) Inutili messaggi video;
13) Danni all’immagine ed alla reputazione;
14) Conseguenze legali;
15) Altri danni.
Chi ha risolto gli incidenti
Le azioni di bonifica sono state svolte principalmente in autonomia dal personale
interno delle aziende; ma nei casi più critici è stato necessario l’intervento di
specialisti esterni.
Soluzioni adottate per la prevenzione
La ricerca è stata integrata con un approfondimento fatto utilizzando un questionario
in forma elettronica reso disponibile sul sito SecurityNet, da compilare
salvaguardando l’anonimato. Hanno compilato il questionario 11 aziende che
complessivamente utilizzano 22.652 dipendenti muniti di computer connessi in rete
e che offrono servizi fruibili in Internet da 27.540 utenti che mediamente effettuano
11.350 accessi al giorno.
Il 36% delle aziende ha subito attacchi che nel 45% dei casi è originato da Internet.
Tipologia di attacco o incidente subito
Codici Maligni (virus,worm,trojan, ecc)
Intrusione dall’esterno sulle risorse Internet
Attacchi DoS sui servizi Internet
55%
36%
18%
L’attacco ha avuto implicazioni sui rischi di:
Disponibilità dei dati e del servizio
Riservatezza ei dati
Integrità dei dati
36%
9%
9%
In tali aziende sono adottate le seguenti soluzioni per la prevenzione.
Strumenti di difesa attiva o passiva
Antivirus
Firewall (screening router, application gateway, packet filtering)
Backup dei sistemi
Aggiornamento continuo dei sistemi con le patch rilasciate dai fornitori
Sistemi di logging
Monitoraggio periodico dei Log
IDS
(Intrusion Detection Systems)
100%
91%
82%
82%
64%
45%
36%
8
CONSIDERAZIONI GENERALI E TENDENZE
1. Dai virus ai network worm.
2. La propagazione non solo via e-mail, ma anche tramite pacchetti di
rete.
3. Virus associati a spammer e guerra tra scrittori di virus.
4. Virus camuffati da finte patch e spyware.
5. Ai fini della sicurezza in rete l’incidenza dello spazio e il tempo è
modesta.
Nel 2003 si sono verificate 9 infezioni da virus informatici a valenza internazionale.
Esse hanno interessato contemporaneamente più nazioni e, per tale aspetto,
possono essere definite come “infezioni planetarie”.
Due infezioni, in particolare, sono classificabili tra le più vaste e dannose nella storia
di Internet. E’ fondamentale rilevare che entrambe le infezioni non sono state
provocate da worm che si diffondono attraverso la posta elettronica, ma da
particolari codici dannosi appositamente concepiti per sfruttare le vulnerabilità di
alcune applicazioni o protocolli e capaci di replicarsi attraverso pacchetti di rete.
Network worm
Tre worm, denominati rispettivamente Slammer, Blaster e Nachi, hanno
caratterizzato il 2003 come l’anno dei “network worm”.
La prima delle suddette infezioni si è avuta a partire dal 25 gennaio del 2003,
quando è stato individuato per la prima volta il worm chiamato Slammer, che per
diffondersi ha usato una vulnerabilità presente nel software Microsoft SQL Server,
controllando intervalli di indirizzi IP alla ricerca di computer di rete dove sfruttare tale
vulnerabilità per infettarne la memoria. Con un’azione simile al precedente CodeRed
del 2001, anche questo worm per diffondersi non ha utilizzato file memorizzati su
disco. I computer vulnerabili sono stati attaccati attraverso la porta TCP 1434, dove
era “in ascolto” SQL Server, e una volta penetrato in un sistema il worm ne ha
infettato la memoria.
Una delle caratteristiche di maggior dannosità di Slammer è stata la sua velocità di
replicazione stimata nell’ordine di 100.000 computer l’ora. Si consideri che Cod Red
nel 2001 infettò 2.777 computer per ora. Nell’arco di pochi minuti questo worm è
stato in grado di infettare milioni di computer in tutto il mondo, incrementando in
modo considerevole il traffico di rete e paralizzando in modo diretto o indiretto
l’attività di molte aziende, anche con funzioni sociali rilevanti. L’analisi delle
caratteristiche della propagazione ha suggerito l’ipotesi che il worm sia originato
dall’estremo oriente, e ciò mette in rilievo ancora una volta che, ai fini della
sicurezza informatica, lo spazio e il tempo nella rete hanno scarsa incidenza.
La seconda rilevante epidemia informatica, si è verificata a partire dal 12 agosto, ed
è dovuta al worm Blaster, conosciuto anche con il nome maggiormente usato dalla
cronaca di Lovsan. Anche in questo caso il worm sfruttava una vulnerabilità
presente in alcuni sistemi operativi Microsoft, Windows 2000 e XP, attaccando il
servizio DCOM/RPC. Pochi giorni dopo la comparsa di questo worm sono state
identificate tre nuove sue varianti. La diffusione è stata eccezionale, ma le aziende
italiane hanno contenuto i danni grazie alla coincidenza con il periodo di chiusura
delle aziende per ferie estive.
9
Rilevante è stata anche la diffusione del worm Nachi (Welchia) che per diffondersi
ha sfruttato la stessa vulnerabilità di Blaster. L’originalità di questo worm è consistita
nel neutralizzare sul computer colpito l’eventuale presenza del Blaster e nel tentare
di installare la patch di sicurezza necessaria per eliminare la vulnerabilità
DCOM/RPC.
E-mail worm
Oltre ai predetti “network worm”, anche i più classici “e-mail worm” hanno causato
infezioni di grande rilevanza.
A gennaio 2003 sono stati individuati i worm Ganda e Avron. Il primo di origine
svedese, tuttora uno dei worm via e-mail più diffusi in questo paese. L’autore del
worm è stato arrestato dalla polizia svedese alla fine di marzo. Il secondo, Avron, è
stato realizzato, probabilmente, in Kazakistan e, il codice sorgente del worm
pubblicato su alcuni siti web, ha dato origine alla successiva scrittura di numerose
varianti da parte di altri autori di virus.
Sempre in gennaio si è assistito alla diffusione della prima variante del già noto
worm della famiglia Sobig, che ha provocato numerose infezioni a livello
internazionale. La variante Sobig.F, che ha raggiunto la massima amplificazione nel
mese di agosto, è considerata la causa di una delle più vaste infezioni su scala
mondiale mai registrate. Uno degli aspetti più dannosi di questa famiglia di worm
consiste nel fatto che l’autore abbia tentato di creare una vasta rete di computer
infettati in modo da scatenare un Distributed Denial of Service contro vari siti web.
L’insieme dei componenti di rete infettati ha permesso un relay anonimo dei
cosiddetti spammer.
Nel 2003 è apparsa anche la variante B del worm Bugbear. La prima versione di
questo worm è stata scritta verso la metà del 2002 e ha avuto una notevole
amplificazione un anno dopo. Il Bugbear.B si è diffuso in tutto il mondo sfruttando
con successo una vulnerabilità nel sistema di sicurezza di Microsoft Outlook – la
vulnerabilità IFRAME – per essere eseguito in automatico durante la visualizzazione
del messaggio infetto.
Nel corso del 2003 si è registrata anche la comparsa di ulteriori varianti del worm
Yaha, di possibile origine indiana. Per diffondersi, alcune delle versioni di Yaha
usavano degli archivi di tipo ZIP allegati alle e-mail infette. Attraverso questo
sistema, gli autori di virus hanno tentato di eludere i controlli di sicurezza sul
contenuto delle e-mail (content filtering) che molte aziende implementano sui loro
mail gateway, filtrando ed eliminando in via preventiva tutti gli allegati che hanno
estensioni normalmente associate a programmi eseguibili (EXE, COM, PIF, SCR,
VBS, WHS, ecc.).
Nel 2003 anche gli autori di virus dell’Europa orientale sono stati particolarmente
attivi. Il worm Mimail, attribuito dai ricercatori all’area dei paesi dell’ex Unione
Sovietica, per replicarsi ha usato una vulnerabilità di Internet Explorer che
permetteva l’estrazione e l’esecuzione automatica di codice binario da un file HTML.
Tale vulnerabilità è stata usata per la prima volta in un altro codice dannoso di
origine russa, una variante del cavallo di troia Startpage. Questa vulnerabilità di
Internet Explorer è stata usata da tutta la famiglia di worm Mimail e da un certo
numero di cavalli di troia. Sembra che l’autore del Mimail ha rilasciato
pubblicamente il codice sorgente del worm, provocando anche in questo caso –
come già era avvenuto per l’Avron – la comparsa di numerose varianti scritte in altre
paesi, tra cui Francia e gli USA.
10
Nel settembre del 2003 è stata la volta del worm Swen. Questo worm ha avuto la
caratteristica di creare dei messaggi di posta elettronica infetti che si presentavano
all’utente in modo convincente e ingannandolo, simulando la distribuzione di patch
di sicurezza rilasciate da Microsoft. Anche lo Swen ha infettato migliaia di computer
ed è stato uno dei worm che si è più diffuso nel corso del 2003. In questo caso, per
tentare di assicurare la massima amplificazione alla diffusione del worm, l’autore ha
impiegato con successo una tecnica di social engineering. Infatti, molti utenti erano
rimasti vittime delle precedenti infezioni causate da Blaster e da altri worm che per
diffondersi sfruttavano diverse vulnerabilità di sistema, e per ciò erano ben disposti
ad installare eventuali patch di sicurezza per proteggere i loro computer.
Nel 2003 hanno suscitato interesse anche i casi dei worm Sober e della backdoor
Afcore. Il primo, probabilmente realizzato in Germania è stato un worm
relativamente semplice: in modo simile al Sobig, senza cioè fare uso di tecniche
complesse, si è comunque diffuso su vasta scala. La backdoor Afcore, al contrario,
non si è particolarmente diffusa, ma ha presentato nuove soluzioni di attacco a
causa della tecnica usata per sfuggire all’identificazione. Questa backdoor, infatti, si
nasconde all’interno dei data stream alternativi presenti nel file system NTFS,
usando quelli delle directory.
PRIMI DATI DEL 2004
I primi mesi dell’anno 2004 sono stati caratterizzati da nuove epidemie e dalla
presenza di worm aggressivi, di rapida propagazione, che hanno richiesto immediati
aggiornamenti di software antivirus.
Colpiti da “MyDoom”100 milioni di e-mail in 36 ore
Il 25 gennaio 2004 un nuovo virus informatico chiamato MyDoom letteralmente «il
Mio Destino» , noto altresì come Norvag, è stato protagonista di una diffusione la cui
rapidità ha sorpreso anche il mondo scientifico, contagiando una e-mail su ogni tre
circolanti in rete. In Europa oltre un terzo di tutti i messaggi di posta elettronica
sarebbero stati contagiati. Secondo fonti giornalistiche il virus in 36 ore ha colpito
100 milioni di computer. L’Internet worm è stato, probabilmente, il più aggressivo di
tutti i tempi nella storia dei virus. In molti casi, il necessario blocco dei filtri, ha
generato la perdita di validi messaggi di posta elettronica.
Una ricompensa di 250 mila dollari è stata offerta dalla Microsoft a chi sia in grado di
fornire informazioni utili all’arresto dell’autore. L’Fbi ha aperto un’inchiesta.
Con “Netsky” e “Bagle” è guerra tra scrittori di virus
Altri due virus con caratteristiche di I-worm hanno interessato la quasi totalità delle
aziende nel mese di gennaio. Il 18 del mese è apparsa una variante del virus
“Bagle”, il 26 di “Netsky”. Nelle giornate successive si è registrato un proliferare di
varianti privo di precedenti, ne sono state segnalate oltre 25 per virus. Ogni variante
ha costretto i produttori di antivirus a creare e mettere tempestivamente in linea gli
aggiornamenti delle impronte virali oltre ai tool di rimozione. Conseguentemente le
imprese hanno dovuto aggiornare quasi ogni giorno le difese installate. Alcune
varianti per diffondersi hanno utilizzato file .zip con password e, come gli altri virus di
questo tipo, hanno sfruttato alcune vulnerabilità dei sistemi operativi.
11
Virus e spammer
Tra la fine di febbraio e i primi di marzo 2004 si è assistito ad un episodio insolito
innescato dagli autori dei tre virus “Bagle”, “Netsky” e “MyDoom” che ha suscitato
nuovi interrogativi sulle motivazioni che stanno alla base del fenomeno sociale. Gli
autori dei predetti virus hanno dato origine ad un polemico scambio di reciproche
accuse. Gli autori di NetSky hanno sostenuto che quelli che hanno diffuso MyDoom
e Bagle sono degli “spammer” (invio non sollecitato di e-mail commerciali) o
comunque vicini a gruppi implicati nello spam. Tra gli effetti del virus Netsky quello
di disattivare MyDoom. Una delle varianti di NetSky contiene la frase “Noi siamo
skynet - non potete nascondervi - noi uccidiamo gli autori di malware”. Tra le
repliche successive una frase contenuta nella versione G di MyDoom rivolta
direttamente agli autori di NetSky, che vengono presi in giro per la povertà tecnica
del loro worm.
Il caso “Sasser”
La Microsoft il 13 aprile 2004 ha segnalato una vulnerabilità del sistema operativo
Windows ed ha reso disponibile un aggiornamento. Il 1 maggio è stato individuato
un nuovo worm definito “Sasser” in grado di sfruttare tale vulnerabilità. Il virus ha
iniziato a diffondersi nelle giornate di sabato e domenica. Lunedì 3 maggio alla
riapertura degli uffici migliaia di computer hanno presentato difficoltà operative.
Alcune aziende hanno registrato serie e gravi difficoltà e sono state costrette ad
aggiornare o reinstallare il software. Secondo alcune stime 18 milioni di computer
risuteranno, poi, colpiti.
Anche in questo caso è stata offerta dalla Microsoft una taglia di 250.000 dollari a
chi favorisse l’arresto dell’autore che sarà individuato e fermato dopo alcuni giorni in
Germania a Rotenburg. Si tratta di un giovane di diciotto anni della Bassa Sassonia.
Nell'ambito della stessa inchiesta, la polizia di Stato tedesca è riuscita ad
individuare ed arrestare anche l'autore del virus 'Phatbot': un giovane di 21 anni che
ha confessato di aver creato il virus unitamente ad altri hackers di Baviera, Amburgo
e Bassa Sassonia.
Primo virus che infetta i file a 64 bit (W64.Rugrat)
Il 15 giugno 2004 è stato individuato il primo virus a 64 bit in grado di infettare i file
eseguibili Windows con formato Portable Executable IA64 (Intel Architecture a 64
bit). Il virus è stato scritto in assembly a 64 bit e la sua lunghezza è di 3344 byte.
Rugrat infetta i file eseguibili a 64 bit che si trovano nella stessa cartella – e relative
subdirectory - da dove viene eseguito un file infetto, comportandosi come un virus
ad azione diretta, ovvero non rimane residente in memoria ma termina le proprie
operazioni dopo aver infettato dei file. Il virus non infetta i file PE a 32 bit e non può
girare in modo nativo sulle piattaforme Windows a 32 bit. Rugrat è un cosiddetto
virus proof-of-concept, cioè scritto per dimostrare una tesi, piuttosto che per
rappresentare una minaccia vera e propria, ma ha aperto una nuova strada per
possibili metodologie di attacco future.
Primo worm per i telefoni mobili
Il 16 giugno è stato individuato un altro nuovo worm considerato “sperimentale” e
che attacca i telefoni cellulari. Si diffonde utilizzando la tecnologia wireless Bluetooth
e si trasmette da un telefonino all’altro sotto forma di un pacchetto Symbian SIS,
cioè tramite particolari pacchetti software che facilitano l’installazione delle
applicazioni su questa piattaforma software. Il worm si attiva sui mobile device
12
Serie 60 che usano il sistema operativo Symbian Epoc. Il worm non possiede effetti
distruttivi ad eccezione del fatto che il controllo costante di device Bluetooth da
parte del worm provoca un consumo delle batterie superiore alla norma.
IPOTESI SUL FUTURO
1. Verso zero giorni tra scoperta della vulnerabilità e la diffusione di virus
per sfruttarle.
2. Worm concepiti per diffondersi direttamente attraverso pacchetti di
rete e non via e-mail.
3. Worm che infettano file a 64 bit.
4. Antivirus e firewall per difendersi.
Nel 2003 la tendenza più importante è stata rappresentata dall’assoluta
predominanza degli Internet worm. In un certo senso è tramontata l’era dei virus,
sostituiti negli ultimi anni dai worm via e-mail, e pare iniziata la moda dei network
worm. Questo constatazione evidenzia ancora una volta l’importanza di installare
firewall per proteggere i singoli computer e la rete aziendale.
Ridotto il tempo tra scoperta della vulnerabilità e attacchi
La continua scoperta di falle di sicurezza nei software sia applicativi, sia di sistema,
è causa di gravi rischi, che spesso si concretizzano in vulnerabilità sfruttate da
malintenzionati per penetrare direttamente all’interno di reti di computer o per
scrivere nuovi, devastanti virus informatici.
Negli anni precedenti, le vulnerabilità usate per questi scopi erano conosciute da
tempo ed esistevano già le relative patch di sicurezza. L’intervallo tra la scoperta di
una vulnerabilità e il suo sfruttamento da parte di codice dannoso scritto
appositamente era relativamente lungo, o comunque sufficiente per provvedere ad
installare il software correttivo. Ma negli ultimi tre anni, ed in particolare nel 2003,
questo intervallo di tempo si è ridotto progressivamente.
Si consideri, ad esempio, che nel caso di Slammer, la falla presente in Microsoft
SQL Server era conosciuta circa sei mesi prima che venisse diffuso questo worm.
Nel giro di un paio di mesi dalla scoperta della vulnerabilità, su Internet erano state
pubblicate le istruzioni utili per portare un attacco alle piattaforme vulnerabili. Ma per
quanto riguarda Blaster, il cui attacco è cominciato il 12 agosto 2003, è importante
sottolineare che il worm è comparso a soli ventisei giorni di distanza dalla
pubblicazione della vulnerabilità DCOM/RPC in Microsoft Windows, sfruttata dal
worm per diffondersi sui sistemi ancora privi di patch.
Il rapporto tra vulnerabilità segnalate e giorni dell’anno è diminuito. Tale rapporto nel
2001 era di 50 giorni, nel 2002 di 40, nel 2003 di 17, nel 2004 è di 13 giorni.
Anche l’intervallo tra la scoperta di una vulnerabilità e il suo sfruttamento da parte di
codice dannoso si è ridotto progressivamente. La tendenza ha indotto alcuni esperti
di sicurezza ad ipotizzare che in futuro si potrà giungere alla realizzazione di worm
in grado di sfruttare le falle di sicurezza il giorno stesso della loro scoperta, cioè in
“giorni zero”.
Gli autori di worm e virus sanno bene che il metodo migliore per assicurare la rapida
diffusione dei loro codici dannosi consiste nello sfruttare tali vulnerabilità. La
diffusione del cavallo di troia StartPage è stata registrata a partire dal 20 maggio
13
2003. Per infettare i sistemi, questo trojan sfrutta la vulnerabilità SelfExecHtml di
Internet Explorer per la quale, in quel momento, non esisteva alcuna patch di
sicurezza. Se questa tendenza dovesse trovare conferma, il futuro prossimo
potrebbe riservare molte coincidenze tra attacchi di nuovi virus e worm e
contemporanei annunci della scoperta di nuove vulnerabilità.
Backdoor, spammer e spyware
Un’altra tendenza che si era prospettata già nel 2002 è stata confermata e
consolidata nel 2003, consiste nella scrittura di backdoor e spyware. In tale
categoria di software dannoso spiccano in modo particolare Agobot e Afcore.
Attualmente esistono centinaia di varianti di Agobot, il cui codice sorgente originario
è stato pubblicato su Internet e viene continuamente modificato per sfuggire
all’identificazione dei programmi antivirus.
La realizzazione di backdoor e di programmi capaci di funzionare come relay
anonimi di e-mail non richieste, quali TrojanProxy e Sobig, ha permesso di
ipotizzare che alcuni autori di virus, forse, hanno cominciato ad agire di comune
accordo con gli spammer.
Attacchi ai moderni sistemi
Gli autori di virus hanno sempre dimostrato, sin dagli anni ottanta, una rapida
capacità di adattarsi alle innovazioni tecnologiche. Si pensi, ad esempio, alla
rapidità con la quale abbandonarono gli attacchi al sistema operativo Dos per
dedicarsi all’ambiente Windows generando i Macrovirus. Con il prossimo avvento
dei sistemi a 64 bit è ipotizzabile una rapida diffusione di virus per tali soluzioni,
come già dimostrato dal worm Rugrat. Analogamente potranno essere attaccate
tutte le soluzioni innovative di strumenti elettronici che interagiscono e si integrano
con i computer, come i telefoni mobili di ultimi generazione, computer palmari, ecc..
14
INDICAZIONI PER LA PREVENZIONE
Per proteggere efficacemente i computer, sono necessarie diverse e
contemporanee soluzioni tecniche e azioni organizzative. Innanzitutto l’uso degli
antivirus deve essere disciplinato da una policy nella quale siano previsti almeno i
seguenti tre importanti e indispensabili elementi:
1) l’organizzazione tempestiva degli aggiornamenti,
2) la verifica e l’installazione delle patch di sicurezza rilasciate per i sistemi e le
applicazioni interessate,
3) la diffusione di messaggi di allarme.
Gli sviluppatori di software rilasciano gratuitamente tali patch rendendole disponibili
sui loro siti web e spesso permettono agli utenti di tenersi aggiornati su vulnerabilità
e relative soluzioni tramite l’impiego di speciali plug-in, gruppi di discussione o
mailing list appositamente concepite. Tali aggiornamenti sono anche richiesti
nell’ambito delle misure minime di sicurezza poste a protezione dei dati personali
nelle prescrizioni di cui al d.lgs. 196/2003.
Gli utenti dei sistemi operativi ed in particolare delle applicazioni Microsoft
dovrebbero prestare maggior attenzione all’aggiornamento di Windows, di Outlook
nelle varie versioni e di Internet Explorer. L’iscrizione a mailing list specializzate in
materia di sicurezza e la consultazione dei relativi archivi saranno utili sia agli
amministratori di sistema, sia agli utenti finali.
I messaggi di allarme e gli avvisi sulla sicurezza devono essere diffusi in azienda
previa individuazione selettiva dei destinatari. Tali attività, tuttavia, risultano
particolarmente pesanti da gestire e richiedono risorse dedicate. Per questi motivi
risultano utili i servizi accentrati (come il sistema di allarmi ed avvisi del network
SecurityNet) che risolvono a monte delle singole organizzazioni gran parte delle
attività di ricerca delle necessità di interesse comune.
L’installazione di programmi antivirus aggiornati e software anti SpyWare può
aiutare molto a minimizzare i rischi di diffusione dei virus su reti locali connesse a
Internet. Ma oltre a una protezione efficace basata sul software antivirus,
l’aggiornamento del software a copertura delle vulnerabilità, la diffusione di alert, è
anche importante inserire nella policy azioni preventive come:
§
§
§
§
filtri SMTP/POP3/IMAP centralizzati che blocchino allegati sospetti (file EXE,
script, ecc.) prima che raggiungano la casella di posta elettronica dell’utente
finale;
firme digitali delle macro e relativa impostazione di sicurezza all’interno delle
applicazioni Microsoft Office, che nelle versioni più recenti permettono un
efficace controllo sull’esecuzione del codice;
distribuzione centralizzata di patch di sicurezza;
firewall e sistemi di auditing che possano rilevare euristicamente la presenza
di traffico sospetto (Intrusion Detection System).
Indicazioni di sintesi per la prevenzione
Sulla base delle analisi dei casi, degli incidenti, delle diverse tipologie di virus e
worm circolanti, delle modalità con cui si propaga un’infezione all’interno di
un’azienda e degli altri indicatori emersi nella ricerca, è possibile formulare il
seguente elenco di raccomandazioni utili per la prevenzione.
15
1. Installare ed aggiornare frequentemente senza indugio gli antivirus.
2. Installare sempre le patch di sicurezza rilasciate dai fornitori per i sistemi
operativi e le applicazioni interessate, ed organizzare il processo interno per
la gestione degli aggiornamenti.
3. Ricevere, consultare ed organizzare la diffusione interna dei messaggi di
allarmi.
4. Impostare le regole per la ricezione delle e-mail.
5. Dotarsi di firewall e sistemi di auditing che possano rilevare euristicamente la
presenza di traffico sospetto (Intrusion Detection System).
6. Installare software specifico, per contrastare lo Spamming, che può essere
veicolo di file infetti da virus o SpyWare
7. Installare ed aggiornare frequentemente programmi anti SpyWare (SpyBot,
Ad-ware etc), che possono essere efficaci laddove non lo sia un antivirus.
Nell’attività organizzativa e per le disposizioni interne da impartire nelle policy di
sicurezza si consideri che:
-
Nella posta elettronica, quando si introducono allegati alla spedizione del
messaggio nel caso vengano inviati documenti scritti con MS Word si usi il
formato RTF (Rich Text Format) e non quello .DOC (documento MS Word).
Si configuri Windows in maniera che sia possibile visualizzare l’estensione
dei file.
Non si aprano allegati, se non precedentemente analizzati con un antivirus,
che contengono un’estensione doppia, in particolare quelli che hanno
estensione VBS, SHS, PIF o BAT.
Si eviti, ove possibile e non strettamente necessario, di condividere le
proprie risorse con altri utenti.
Se si riceve un messaggio di posta elettronica da una persona conosciuta e
tale e-mail presenta un contenuto insolito, si effettui un controllo con il
proprio corrispondente prima di aprire un eventuale allegato.
Non si accettino file che arrivino da persone sconosciute durante
collegamenti a server IRC, ICQ o AOL Instant Messenger.
Non si considerino le icone mostrate dagli allegati come garanzia
dell’integrità del software.
Quando si ricevono delle e-mail non richieste o con contenuti pubblicitari non
si eseguano, senza aver preventivamente valutato la circostanza,
collegamenti a indirizzi Web presenti nel testo delle e-mail.
Se si frequentano dei forum di discussione si eviti di prelevare e/o aprire file
che vengono spediti su tali forum se non si è certi del loro contenuto.
Si controlli bene che i CD masterizzati e scambiati siano immuni da virus di
file.
Si eviti di prelevare software da sorgenti quali dove gli utenti spesso
condividono programmi (che spesso risultano infetti ovvero organizzati in
cavalli di Troia mascherati da applicazioni).
16
DATI, TABELLE E GRAFICI
VIRUS CIRCOLANTI IN ITALIA NEL 2003
La tabella che segue riepiloga i 1.252 casi di incidenti provocati da virus, internet
worm e altri codici pericolosi segnalati dalle aziende aderenti a SecurityNet. Per
ciascun tipo di codice pericoloso (per brevità, di seguito: virus) viene indicato il
numero dei casi registrati, la percentuale rispetto al totale dei casi e la frequenza
cumulata.
La quasi totalità dei casi, fatta eccezione per 46 eventi su 1.252 sono dovuti a virus
della tipologia I-worm W32. Venti codici maligni hanno generato la quasi totalità dei
casi.
VIRUS
CASI %
Cumulata
VIRUS
CASI %
1 W32.Swen
236 19% 18,85%
28 W32.Gaobot
2
2 W32.Lovsan
3 W32.Bugbear.B
187 15% 33,79%
177 14% 47,92%
29 W32.Js.Noclose
2
30 W32.Spybot.worm
2
4 W32.Sobig
111 9% 56,79%
31 Form
1
102 8% 64,94%
88 7% 71,96%
32 JS.Fortnight
1
33 W32.Checkin.b
1
1
5 W32.Opaserv
6 W32.Mimail
7 W32.Lirva
36 3% 74,84%
34 W32.Explore.Zip
8 W32.Lovgate
9 W32.Nimda
34 3% 77,56%
33 3% 80,19%
35 W32.Mapson.A
1
36 W32.Oror
1
10 AdClicker-H
32 3% 82,75%
37 W32.Porkis
1
1
12 W32.Klez
29 2% 85,06%
27 2% 87,22%
38 W32.Xorala
39 W95.LoveSong
1
13 W32.FunLove
25 2% 89,22%
40 W97M.Marker
1
14 W32.Deloder
41 WM.Cap
1
15 W32.Datom
19 2% 90,73%
15 1% 91,93%
42 Wyx.B
1
16 JS/Flea
13 1% 92,97%
17 W32.Marque
18 W32.Yaha
13 1% 94,01%
12 1% 94,97%
19 W95.Spaces
10 1% 95,77%
20 W32.Dupator
9 1% 96,49%
21 W32.Sober
6
22 W32.Netspree
5
23 W32.Hybris
4
24 VBS Redolf
25 W32.Ganda
3
26 WM.Tristate
3
27 W32.Braid
2
11 W32.Fizzer
Cumulata
Totale complessivo 1252
3
17
VIRUS INFORMATICI - RAPPORTO STATISTICO 2003
TIPI DI VIRUS PIU’ DIFFUSI IN ITALIA NEL 2003
La tabella che segue permette di evidenziare le tipologie dei virus (worm, macro, boot). Si evidenzia
che le infezioni sono state provocate da Internet Worm. Spicca l’incidenza dei primi 6 Internet worm, in
particolare i primi 3 che da soli hanno generato il 48% dei casi. Tutti e sono
basati sullo sfruttamento di vulnerabilità.
Virus
Totale
Tipo
%
W32.Swen
236 Worm
19%
W32.Lovsan (Blaster)
187 Worm
15%
W32.Bugbear.B
177 Worm
14%
W32.Sobig
111 Worm
9%
W32.Opaserv
102 Worm
8%
W32.Mimail
88 Worm
7%
W32.Lirva
36 Worm
3%
W32.Lovgate
34 Worm
3%
W32.Nimda
33 Worm
3%
AdClicker-H
32 Worm
3%
W32.Fizzer
29 Worm
2%
W32.Klez
27 Worm
2%
W32.FunLove
25 Worm
2%
W32.Deloder
19 Worm
2%
W32.Datom
15 Worm
1%
W32.Marque
13 Worm
1%
JS/Flea
13 Worm
1%
W32.Yaha
12 Worm
1%
W95.Spaces
10 Worm
1%
W32.Dupator
9 Worm
1%
W32.Sober
6 Worm
0%
W32.Netspree
5 Worm
0%
W32.Hybris
4 Worm
0%
VBS Redolf
3 Worm
0%
W32.Ganda
3 Worm
0%
WM.Tristate
3 Macro
0%
W32.Js.Noclose
2 Worm
0%
W32.Braid
2 Worm
0%
SWEN - il worm sfrutta una
vulnerabilità di Internet Explorer – Il
messaggio può appare come un
aggiornamento di Microsoft – Termina
i processi degli antivirus e si diffonde
anche tramite rete locale.
LOVESAN – il worm sfrutta una
vulnerabilità di alcuni sistemi operativi
Microsoft identificata solo un mese
prima della sua comparsa. Si diffonde
via rete e infetta le macchine che non
hanno installato gli aggiornamenti
rilasciati da Microsoft senza nessun
intervento da parte dell’utente.
Tutto i mondo è in allarme
Microsoft fissa una taglia pubblica per
chi fornisca informazioni sull’autore dei
virus LOVESAN e SOBIG.F
BUGBEAR.B – Il virus contiene
stringhe di testo con un elenco di circa
mille nomi di domini di banche. Quelle
italiane sono un centinaio. Sfrutta una
vulnerabilità di Internet Explorer .
Intercetta i tasti premuti dall’utente e
attiva la porta TCP 1080 per
consentire l’accesso dall’esterno al
sistema.
Fonte: OASI - SECURITYNET
OASI- SECURITYNET
18
CASI RILEVATI PER CIASCUNO DEI VIRUS PIÙ DIFFUSI IN ITALIA NEL 2003
Le rappresentazioni grafiche con istogrammi e torte di seguito riportate, permettono la rapida
percezione dell’incidenza di ciascun tipo di virus sul fenomeno totale ed evidenziano la circostanza che
la maggior parte dei casi sono dovuti in particolare a 6 virus.
300
250
236
200
187
177
150
101
111
102
88
19
15
Altri
25
Datom
27
Deloder
29
FunLove
32
Klez
33
Fizzer
34
AdClicker-H
Lirva
Mimail
Opaserv
Sobig
Bugbear.B
Lovsan
Swen
0
36
Nimda
50
Lovgate
100
Mimail (7%)
Opaserv (9%)
Lirva (3%)
Lovgate (3%)
Sobig (9%)
Nimda (3%)
AdClicker-H (3%)
Fizzer (2%)
Bugbear.B (15%)
Klez (2%)
FunLove (2%)
Deloder (2%)
Datom (1%)
Lovsan (16%)
altri (4%)
Swen (19%)
19
DISTRIBUZIONE PERCENTUALE PER TIPOLOGIE DI VIRUS E WORM NEL 2003
La situazione osservata può essere sintetizzata nei seguenti aspetti fondamentali:
1. notevole diffusione di virus e worm che sfruttano vulnerabilità nella sicurezza del software e dei
sistemi operativi;
2. diffusione di network worm che si affiancano agli e-mail worm;
3. comparsa di worm che si diffondono via rete senza usare file memorizzati su disco;
4. predominanza di worm che si propagano in reti Windows;
5. posta elettronica e Internet, insieme, costituiscono gli obiettivi preferiti dagli autori di virus per
diffondere software dannoso (virus, cavalli di troia, worm e backdoor);
6. uso di vie alternative alle e-mail per propagare i virus: ICQ, Gnutella, MSN Messenger, IRC;
7. scomparsa dei virus basati su macro e script.
Il grafico illustra l’incidenza percentuale relativa alle tipologie di virus diffusi sul territorio italiano.
Worm 100%
Boot 0%
Macro 0%
I DIECI INTERNET WORM E VIRUS PIU’ DIFFUSI NEL 2003
W32.Lirva
3%
W32.Lovgate
W32.Nimda
3%
3%
AdClicker-H
3%
W32.Swen
24%
W32.Mimail
8%
W32.Opaserv
10%
W32.Lovsan
18%
W32.Sobig
11%
W32.Bugbear.B
17%
20
I VIRUS PIU’ DIFFUSI NEL 2003 E CONFRONTO CON IL BIENNIO PRECEDENTE
Virus
2001
2002
2003
W32.Swen
W32.Lovsan
W32.Bugbear.B
W32.Sobig
0,00%
0,00%
0,00%
0,00%
0,00% 18,85% New
0,00% 14,94% New
0,00% 14,14% New
0,00%
8,87% New
0,00% 17,61%
0,00%
0,00%
0,00%
0,00%
0,00%
0,00%
19,28%
2,04%
0,00%
0,00%
0,00%
0,00%
W32.Klez
W32.FunLove
W32.Deloder
W32.Datom
JS/Flea
W32.Marque
0,00% 28,16%
2,59%
3,11%
0,00%
0,00%
0,00%
1,26%
0,00%
0,00%
0,00%
0,00%
2,16% ⇓
2,00% ⇓
1,52% New
1,20% =
1,04% New
1,04% New
W32.Yaha
W95.Spaces
0,00%
0,00%
0,96%
0,80%
3,06%
0,44%
8,15%
7,03%
2,88%
2,72%
2,64%
2,56%
2,32%
⇓
W32.Opaserv
W32.Mimail
W32.Lirva
W32.Lovgate
W32.Nimda
AdClicker-H
W32.Fizzer
New
New
New
=
New
New
⇓
La tabella che segue elenca i virus più diffusi nel
2003 ed indica, per ciascuno di essi, in relazione
al biennio precedente, se la loro diffusione risulta
in aumento, in decrescita oppure è costante.
I virus qualificati come NEW non risultavano
diffusi negli anni precedenti.
Risulta evidente che la diffusione di nuovi virus è
correlata all'utilizzo di Internet e della posta
elettronica.
Ai fini della prevenzione viene confermata anche
la circostanza che i virus che creano incidenti
sono quelli nuovi (“New” in tabella), e ciò rende
indispensabile il ricorso ai frequenti e tempestivi
aggiornamenti dei prodotti antivirus, delle patch
di correzione dei sistemi operativi e delle
applicazioni, spesso dei firewall, nonché la
diffusione di allarmi interni.
=
E’ raro che un virus che abbia già esercitato la
sua azione in un certo anno si ripresenti con la
W32.dupator
0,00%
0,29%
0,72% ⇑
stessa intensità anche nell’anno successivo. Ciò
W32.Sober
0,00%
0,00%
0,48% New
è dovuto alle correzioni delle vulnerabilità
W32.Netspree
0,00%
0,00%
0,40% New
individuate nel sistema colpito che hanno
W32.Hybris
2,98%
1,90%
0,32% ⇓
permesso la diffusione del virus, all’immediato
VBS Redolf
0,00%
0,00%
0,24% New
aggiornamento degli antivirus da parte dei
W32.Ganda
0,00%
0,00%
0,24% New
fornitori e la successiva installazione degli
WM.Tristate
0,00%
0,39%
0,24% ⇓
aggiornamenti nei sistemi colpiti, alle azioni di
bonifica che vengono svolte dopo aver subito un
W32.Js.Noclose
0,00%
0,00%
0,16% New
incidente, al mezzo di diffusione del virus
W32.Braid
0,00%
0,00%
0,16% New
(Internet).
W32.Gaobot
0,00%
0,00%
0,16% New
Questa dinamica, nel suo insieme, è diversa da
W32.Spybot.worm
0,00%
0,00%
0,16% New
quella che si manifestava con i virus di prima
generazione che si propagavano soprattutto
tramite supporti rimovibili. In quei casi un virus
che colpiva un’azienda si manifestava di nuovo
nei sei mesi successivi al primo evento, a causa
della permanenza nella struttura aziendale dei supporti infetti. Tutto ciò, se da un lato comporta
vantaggi connessi alla scarsa probabilità che un evento accaduto si ripeta di nuovo, dall’altro ribadisce
il rischio che l’incidente sia connesso solo a virus nuovi che, come tali, hanno più alte probabilità di
sorprendere ed eludere le difese preventive poste in essere dalle strutture aziendali.
21
ANDAMENTO DEI TIPI DI VIRUS NEGLI ULTIMI SETTE ANNI
Gli andamenti registrati negli ultimi anni dal servizio SecurityNet mostrano la crescita dei virus c.d.
Internet worm (programmi pericolosi) e la progressiva riduzione della diffusione degli altri tipi di virus.
L’aumento della presenza degli -Iworm, già evidente dal 1999 e proseguita negli anni successivi,
permette di ipotizzare, anche per il futuro prossimo, una prosecuzione della proliferazione degli
Internet worm. E’ soprattutto su tali codici, perciò, che devono essere concentrate le azioni
organizzative finalizzate alla prevenzione.
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
1999
2000
macro
2001
boot
2002
worm
2003
file
L’interpretazione è anche confortata dall’esame di dati storici. Infatti, è interessante osservare che sin
dal 1997 si è evidenziata la tendenza al crescente utilizzo di internet per la propagazione dei codici
virali, insieme alla correlata decrescita dei supporti (in particolare dei floppy disk).
80
70
60
50
40
30
20
1997
1998
Floppy
1999
E-mail/Internet
22
TIPI DI VIRUS DIFFUSI IN ITALIA DAL 1998
I virus conosciuti e censiti in tutto il mondo sono diverse migliaia, oltre 80.000 quelli riconosciuti dai
migliori antivirus, ma – sulla base delle rilevazioni svolte - soltanto alcune decine di essi circolano in
maniera significativa nel nostro Paese e provocano incidenti. Nel 2003 il numero di nuovi virus è
risultato superiore a quello dei due anni precedenti. Molti virus si diffondono in diversi modi, usando
una combinazione di e-mail, IRC (Internet Relay Chat), condivisioni di rete e/o piattaforme P2P per la
condivisione di file. Gli autori di virus non si affidano più soltanto alle e-mail per diffondere il loro codice
maligno, pertanto è opportuno organizzare sia sul proprio desktop, sia sui server di rete una
protezione anti-virus in grado di rilevare codici maligni indipendentemente dai loro metodi di diffusione.
60
52
50
49
42
40
29
20
1998
1999
2000
28
2001
2002
2003
E’ da riscontrare che dal 1998 il numero dei tipi di virus che si diffondono tendeva a ridursi. Dai 52 del
1998 erano scesi ai 28 del 2002. Questa tendenza si è interrotta ed invertita nel 2003. La crescita è
dovuta dalle nuove tipologie di infezione (network worm) e, probabilmente, anche dal fatto che molti
codici sorgenti di innovativi virus sono stati pubblicati dagli autori in siti web consentendo così ad altri
malintenzionati di utilizzare il codice maligno per compilare variazioni e nuovi programmi nocivi.
L’istogramma che segue pone in relazione il numero dei virus più diffusi in ogni anno, rispetto alla loro
crescita nell’anno successivo. Si evidenzia che fino all’anno 2000 pur proliferando il fenomeno,
l’incremento di un anno sul precedente risultava contenuto e negativo nel 2001. La tendenza si è
invertita dal 2002. Tali indicatori permettono di formulare l’ipotesi che pur diminuendo il numero
complessivo di virus che vengono prodotti, quelli che circolano e che colpiscono le aziende aumentano.
60
52
50
50%
50
49
42
40
40%
20%
30
-6%
2%
29
28
0%
-3%
20
-20%
-42%
10
-40%
0
-60%
1998
60%
1999
2000
2001
2002
2003
Incremento n. virus annuo %
TIPI DI VIRUS PIU' DIFFUSI
E INCREMENTO SULL'ANNO PRECEDENTE
23
COME SI DIFFONDONO I VIRUS
La posta elettronica e Internet sono, nella pratica, ormai gli unici veicoli di diffusione. Fino al 1997 il
principale veicolo di propagazione erano i supporti removibili. Dal 1998 iniziò una progressiva crescita
dei casi derivati da connessioni ad Internet ed e-mail. Nei precedenti 2 anni (2003 e 2002) si
registrarono ancora casi (3%) attribuibili ai supporti (CD e dischetti).
COME ENTRANO I VIRUS IN AZIENDA: ANNI 2003 - 2004
Internet
20%
E-mail
80%
COME ENTRANO I VIRUS IN AZIENDA ANN0 2002
e-mail
internet
supporti
24
MEZZI DI DIFFUSIONE DAL 1998 AL 2003
Il grafico mostra l'andamento delle sorgenti di infezione da virus negli ultimi sei anni. Internet,
progressivamente, a decorrere dal 1998, è diventato il principale ed unico veicolo di infezione.
100%
82%
97%
100%
68%
80%
51%
60%
40%
97%
Internet
Supporti
49%
32%
20%
18%
3%
0%
1998
1999
2000
2001
3%
2002
2003
100%
3%
3%
97%
97%
100%
2001
2002
2003
18%
80%
32%
49%
60%
82%
40%
68%
Supporti
Internet
51%
20%
0%
1998
1999
2000
25
I PERIODI DELL’ANNO PIÙ CRITICI
La presenza di virus nelle aziende segnalanti viene riscontrata in tutti i mesi dell’anno.
Nel 2003 il maggior numero di infezioni sono state riscontrate nel mese di settembre con 226, seguito
da ottobre e giugno con 188 casi, agosto con 120. Il trimestre agosto, settembre, ottobre con 534
(42%) casi è stato il periodo più critico. Durante le ferie estive e alla riapertura dai periodi di ferie molte
aziende hanno dovuto affrontare seri problemi (virus sobig.f, lovesan, Swen).
250
200
150
100
50
0
casi
set
226
mag
6%
giu
190
ott
188
lug
4%
ago
120
apr
4%
mar
102
gen
93
feb
3%
dic
3%
nov
80
mag
75
lug
52
apr
49
dic
43
feb
34
set
19%
nov
6%
giu
15%
gen
7%
mar
8%
ago
10%
ott
15%
26
DISTRIBUZIONE DEI CASI DI VIRUS SUL TERRITORIO ITALIANO
I virus, censiti sulla base delle ubicazioni territoriali degli utenti segnalanti, sono presenti su tutto il
territorio nazionale. Si precisa che gli aderenti alla ricerca sono maggiormente concentrati nel nord e
centro Italia.
NORD
Lombardia
Liguria
Emilia Romagna
Veneto
Trentino
Piemonte
Friuli
Val d'Aosta
Totale
CENTRO 37%
Lazio
Toscana
Umbria
Marche
Molise
Abruzzo
Totale
38%
275
69
60
22
21
10
457
198
59
57
51
43
31
23
18
480
SUD
Campania
Sicilia
Puglia
Sardegna
Calabria
Basilicata
Totale
25%
113
66
58
32
28
18
315
DISTRIBUZIONE PER REGIONE
Molise
2%
Marche
2%
Friuli
Calabria
2%
2%
Piemonte
2%
Sardegna
3%
Abruzzo
1%
Basilicata
1%
Lazio
22%
Trentino
3%
Veneto
4%
Emilia Romagna
5%
Lombardia
16%
puglia
5%
Liguria
5%
Umbria
5%
Sicilia
5%
Toscana
6%
Campania
9%
27
APPROFONDIMENTO 1: VIRUS INTERCETTATI IN UNA RETE DI 9.000 COMPUTER
Il grafico illustra i virus intercettati su una rete distribuita su tutto il territorio nazionale di circa 9.000
computer dal 2 febbraio 2003 al 5 febbraio 2004. Nei mesi di gennaio e inizio febbraio 2004 sono
state bloccate decine di migliaia di e-mail infette.
VIRUS INTERCETTATI SU UNA RETE DI 9.000 COMPUTER IN UN ANNO
40000
30000
20000
10000
0
-
feb-03
mar-03
apr-03
mag-03
giu-03
lug-03
ago-03
set-03
ott-03
nov-03
dic-03
gen-04
1-5 feb 04
332
225
236
670
4200
2281
14322
3090
979
2148
1453
45649
23187
TIPI DI VIRUS PIU’ INTERCETTATI
W32/Sobig (16%)
W32/Sober (14%)
W32/Bugbear.b 9%
W32/Klez (2%)
W32/Swen (1%)
W32/Mydoom (55%)
W32/Dumaru (1%)
Altri (2%)
Casi di intercettazione di W32/Mydoom nell’arco di 10 giorni. Il worm è stato identificato il 27/1/04.
INTERCETTAZIONI IN 10 GIORNI DEL VIRUS W32/MYDOOM
10000
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
4
4
4
4
4
4
4
4
4
4
00
00
00
00
00
00
00
00
00
00
1/2 /01/2 /01/2 /01/2 /01/2 /02/2 /02/2 /02/2 /02/2 /02/2
0
/
27
28
29
30
31
01
02
03
04
05
28
VIRUS E VULNERABILITA’ DEL SOFTWARE
I virus più recenti ed in particolare gli I-worm utilizzano le vulnerabilità del software per propagarsi ed
attivare i propri effetti. I worm più diffusi hanno utilizzato vulnerabilità note o nuove e hanno richiesto la
tempestiva installazione di patch. La tabella che segue riepiloga i virus, le connesse vulnerabilità
individuate, il periodo in cui è avvenuta la prima segnalazione, l’indirizzo Internet del fornitore presso il
quale la vulnerabilità e’ commentata e dal quale è possibile prelevare la patch che risolve il problema.
PRINCIPALI VULNERABILITA’ NEL 2003
Gennaio 2003
W32/Lirva.worm
Gennaio 2003
W32/Slammer
Luglio 2003
JS/Forthnight
Luglio 2003
Agosto 2003
Settembre 2003
Settembre 2003
Incorrect MIME Header Can Cause IE to Execute E-mail
Attachment
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Buffer Overruns in SQL Server 2000 Resolution Service Could
Enable Code Execution
Flaw in Microsoft VM Could Enable System Compromise
Codebase Exploit
W32/Mimail
MHTML Exploit
W32/MSBLAST.A Buffer Overrun In RPC Interface Could Allow Code Execution
- W32/LOVSAN http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
Unchecked Buffer In Windows Component Could Cause Server
Compromise
W32/Nachi
http://www.microsoft.com/technet/security/bulletin/ms03-007.asp
Buffer Overrun In RPC Interface Could Allow Code Execution
Incorrect MIME Header Can Cause IE to Execute E-mail
W32/Swen
Attachment
PRINCIPALI VULNERABILITA’ DAL 2000 AL 2004
VULNERABILITÀ SEGNALATE
Luglio 2000
'Malformed E-mail Header' Vulnerability
ANNO 2001
29
Febbraio 2001
Outlook, Outlook Express VCard Handler Contains Unchecked Buffer
Marzo 2001
Vulnerabilità sistema Windows NT
Http://www.microsoft.com/technet/security/bulletin/ms99-025.asp
Marzo 2001
Http://www.microsoft.com/technet/security/bulletin/ms00-014.asp
Marzo 2001
Marzo 2001
Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard
Aprile 2001
Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
Maggio 2001
Giugno 2001
Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server
Incorrect Attachment Handling in Exchange OWA Can Execute Script
Dicembre 2001
Unchecked Buffer in Universal Plug and Play can Lead to System Compromise
Dicembre 2001
Specially Formed Script in HTML Mail can Execute in Exchange 5.5 OWA
ANNO 2002
Gennaio 2002
Vulnerabilità Sull'applicativo American On Line Instant Messenger (Aim)
Febbraio 2002
Unchecked Buffer in SNMP Service Could Enable Arbitrary Code to be Run
Aprile 2002
28 March 2002 Cumulative Patch for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/MS02-015.asp.
Maggio 2002
Unchecked Buffer in MSN Chat Control Can Lead to Code Execution
Giugno 2002
Unchecked Buffer in ASP.NET Worker Process
http://www.microsoft.com/technet/technet/security/bulletin/ms02-026.asp
VULNERABILITA' CHE COLPISCE IL SERVER DNS, BIND
Giugno 2002
Luglio 2002
VULNERABILITA' PER I SERVER WEB CHE UTILIZZANO APACHE
http://httpd.apache.org/info/security_bulletin_20020620.txt
Luglio 2002
26 June 2002 Cumulative Patch for Windows Media Player
Settembre 2002
Flaw in Certificate Enrollment Control Could Allow Deletion of Digital Certificates
30
ANNO 2003
Marzo 2003
VULNERABILITÀ NEL SOFTWARE DI POSTA SENDMAIL
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.security.cr.patch
Marzo 2003
Unchecked Buffer In Windows Component Could Cause Server Compromise
Aprile 2003
Flaw In Winsock Proxy Service And ISA Firewall Service Can Cause Denial Of Service
Luglio 2003
Luglio 2003
VULNERABILITA' DEL SISTEMA OPERATIVO CISCO IOS (INTERNETWORK OPERATING SYSTEMS)
http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml.
Luglio 2003
Agosto 2003
Settembre 2003
Unchecked Buffer in DirectX Could Enable System Compromise
http://www.microsoft.com/security/security_bulletins/ms03-030.asp
MS03-033 : Unchecked Buffer in MDAC Function Could Enable System Compromise (823718)
MS03-032 : Cumulative Patch for Internet Explorer (822925)
Buffer Overrun In RPCSS Service Could Allow Code Execution
Ottobre 2003
Cumulative Patch for Internet Explorer
Ottobre 2003
MICROSOFT SERVER EXCHANGE
Bollettino MS03-046
MICROSOFT SERVER EXCHANGE
Bollettino MS03-047
MICROSOFT WINDOWS
Bollettino MS03-041
MICROSOFT WINDOWS
Bollettino MS03-042
MICROSOFT WINDOWS
Bollettino MS03-043
MICROSOFT WINDOWS
Bollettino MS03-044
MICROSOFT WINDOWS
Bollettino MS03-045
Novembre 2003
Cumulative Security Update for Internet Explorer
Novembre 2003
Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution
Novembre 2003
Buffer Overrun in the Workstation Service Could Allow Code Execution
31
ANNO 2004
Gennaio 2004
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
Febbraio 2004
Febbraio 2004
http://www.microsoft.com/technet/security/bulletin/ms04-010.mspx
Marzo 2004
Marzo 2004
http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml
Aprile 2004
Aprile 2004
Aprile 2004
Aprile 2004
La continua scoperta di falle di sicurezza nei software applicativi e di sistema è causa di seri rischi che,
spesso, si concretizzano in vulnerabilità sfruttate da malintenzionati per penetrare direttamente
all’interno di reti di computer o per scrivere nuovi codici maligni. Negli ultimi tre anni è accaduto 27
volte. In media nove volte l’anno, con due casi molto seri ed uno dei due gravissimo.
Il rapporto tra vulnerabilità segnalate e giorni dell’anno è diminuito, agli inizi del fenomeno erano
necessari alcuni mesi, nel 2001 il tempo medio scese a 50 giorni, nel 2002 a 40, nel 2003 a 17, nel
2004 è di 13 giorni.
Anche l’intervallo tra la scoperta di una vulnerabilità e il suo sfruttamento da parte di codice dannoso si
è ridotto progressivamente. La tendenza ha indotto alcuni esperti di sicurezza ad ipotizzare che in
futuro si potrà giungere alla realizzazione di worm in grado di sfruttare le falle di sicurezza il giorno
stesso della loro scoperta, cioè in “giorni zero”.
32
VIRUS CHE DAL 2001 HANNO UTILIZZATO VULNERABILITÀ
VIRUS/WORM
VULNERABILITÀ DEL SO UTILIZZATA PER LA DIFFUSIONE
Febbraio 2001
VBS/[email protected]
Alias VBS/Anna
scriptlet.typelib/Eyedog vulnerability patch
Maggio 2001
Sadmind/IIS Worm
Patch Available for 'Web Server Folder Traversal' Vulnerability
DATA
Anno 2001
Sun Microsystems, Inc. Security Bulletin
http://sunsolve.sun.com/pub-cgi/retrieve.pl?
doctype=coll&doc=secbull/191&type=0&nav=sec.sba
Luglio 2001
VBS\MAWANELLA
Luglio 2001
CODE RED
Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server
Compromise
Luglio 2001
W32/Leave.worm.gen
Settembre 2001
W32/[email protected]
Malformed Word Document Could Enable Macro to Run Automatically
Cumulative Patch for IIS
'Web Server Folder Traversal' Vulnerability
Novembre 2001
Novembre 2001
Dicembre 2001
Gennaio 2002
Febbraio 2002
JS/Exploit-Messenger
Frame Domanin Vulnerability -Internet Explorer vulnerability which affects MSN
Messenger
Maggio 2002
JS/SQLSpida.a.worm
Luglio 2002
BSD/Scalper.worm
Exploit in the FreeBSD Apache server
http://httpd.apache.org/info/security_bulletin_20020620.txt
Luglio 2002
http://www.microsof t.com/technet/security/bulletin/MS01-020.asp
'Share Level Password' Vulnerability
http://www.microsoft.com/technet/s ecurity/bulletin/ms99-032.asp
Anno 2002
Luglio 2002
Ottobre 2002
Ottobre 2002
W32/Opaserv.worm
Novembre 2002
W32/Korvar.worm
http://www.microsoft.com/technet/s ecurity/bulletin/MS02-005.asp
Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a
Worm
33
Microsoft VM ActiveX Component Vulnerability to register the file extension .CEO in
the registry
Anno 2003
6 Gennaio 2003
W32/Lirva.worm
Gennaio 2003
W32/Slammer
Luglio 2003
JS/Forthnight
Luglio 2003
W32/Mimail
Agosto 2003
Settembre 2003
W32/MSBLAST.A W32/LOVSAN
W32/Nachi
Settembre 2003
W32/Swen
Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code
Execution
Flaw in Microsoft VM Could Enable System Compromise
Codebase Exploit http://www.microsoft.com/technet/security/bulletin/MS02-015.asp
MHTML Exploit
Anno 2004
Febbraio 2004
W32/Nachi.b
Buffer Overrun in the Workstation Service Could Allow Code Execution
Unchecked Buffer in Locator Service Could Lead to Code Execution
Marzo 2004
W32/BEAGLE.Q
Marzo 2004
W32/NETSKY.P
Marzo 2004
W32/SNAPPER
Maggio 2004
W32/SASSER
Object Tag vulnerability
Object Tag vulnerability
Security Update for Microsoft Windows
LSASS Vulnerabilità
34
NUMERO DI VIRUS NOTI NEL MONDO
Un preciso censimento dei virus realizzati e circolanti in tutto il mondo non è facile da realizzare,
comunque una stima prudenziale per difetto attesta il numero dei virus circolanti nel 2003 in circa
81.000.
90000
81000
80000
70000
60000
64000
60000
50000
50000
33000
40000
22000
30000
20000
10000
67 481 1199 1830 2864 5303
7700
11630
0
1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
INCREMENTO DEI VIRUS NOTI NEL MONDO
Fino all’anno 2000 l’incremento dei virus registrato in anno, rispetto all’anno precedente,
oscillava intorno al 50%. Nel 2001 l’incremento è sceso al 20%, nel 2002 al 7%. Nel 2003 si è
registrata una nuova crescita stimata nell’ordine del 27% rispetto al 2002.
VIRUS NEL MONDO,
QUANTITA' E INCREMENTO SULL'ANNO PRECEDENTE
81000
80000
50%
52%
50%
70000
64000
60000
60000
60%
40%
50000
50000
27%
40000
30000
33000
30%
20%
20%
22000
20000
10%
7%
10000
Aumento n. virus annuo %
90000
0%
0
1998
1999
2000
2001
2002
2003
35
PRIMI DATI DEL 2004
VIRUS E INTERNET WORM CIRCOLANTI IN ITALIA NEL 2004
dal 1 gennaio al 6 maggio 2004
(RILEVATI DA SECURITYNET)
VIRUS
CASI
%
Cumulata
1 W32.Netsky.Q
200
19%
19%
2 W32.Mydoom.A
159
15%
33%
3 W32.Netsky.P
122
11%
45%
4 W32.Netsky.X
93
9%
53%
5 W32.Netsky.B
77
7%
60%
6 W32.Netsky.D
74
7%
67%
7 Trojan Agobot
66
6%
73%
8 W32.Nachi.B
62
6%
79%
9 W32.Sasser.A-D
49
5%
84%
10 W32.Bagle.W
33
3%
87%
11 W32.Netsky.AB
30
3%
90%
12 W32.Sober.C
29
3%
92%
13 W32.Bagle.E
15
1%
94%
14 W32.Lovsan
15 Trojan
Downloader.A1
15
1%
95%
13
1%
16 W32.Bagle.A
10
1%
17 W32.Mydoom.F
10
1%
18 W32.Bagle.B
6
1%
19 W32.Netsky.C
4
0%
20 W32.Swen.A
3
0%
21 W32.Doomjuice
2
0%
22 W32.Sober.F
2
0%
23 W32.Opaserv.P
1
0%
24 W32.Sober.D
1
0%
25 W32..Sobig.F
1
0%
Totale
1077
36
La tabella riepiloga i virus maggiormente circolanti nel 2004, raggruppati nelle principali famiglie, quelle
denominate Netsky e Beagle sono composte da numerose varianti: circa 25 ciascuna.
Tipo VIRUS
Varianti W32.Netsky
Varianti W32.Mydoom
Trojan Agobot
Varianti W32.Beagle
W32.Nachi.B
W32.Sasser.A-D
Vriani W32.Sober
W32.Lovsan
Trojan Downloader.A1
W32.Swen.A
W32.Doomjuice
W32.Opaserv.P
Totale
600
169
66
64
62
49
33
15
13
3
2
1
1077
% Cumulata
56%
56%
16%
71%
6%
78%
6%
83%
6%
89%
5%
94%
3%
1%
1%
0%
0%
0%
W32.Mydoom16%
Trojan Agobot (6%)
Var. W32.Beagle (6%)
W32.Nachi.B (6%)
W32.Sasser.A-D (5%)
Var.W32.Sober (3%)
W32.Lovsan (1%)
Var. W32.Netsky (55%)
Trojan Downloader.A...
Altri (1%)
37
0
W32.Bagle.A
10
altri
13
W32.Mydoom.F
15
Trojan Downloader.A1
15
W32.Lovsan
W32.Bagle.E
30
W32.Sober.C
33
W32.Netsky.AB
50
W32.Bagle.W
W32.Sasser.A-D
66
W32.Nachi.B
Trojan Agobot
77
W32.Netsky.D
W32.Netsky.B
100
W32.Netsky.X
W32.Netsky.P
W32.Mydoom.A
W32.Netsky.Q
200
200
159
150
122
93
74
62
49
29
10
20
38
DATI STORICI
39
N. DI VIRUS PRINCIPALI DIFFUSI IN ITALIA
90
89
76
80
70
60
59
60
50
52
49
50
41
42
40
29
30
28
20
10
0
93
19
94
19
95
19
96
19
97
19
98
19
99
19
00
20
01
20
02
20
03
20
Il numero di virus circolanti dal 1996 al 2002 è progressivamente diminuito. Dal 2003 la tendenza si è
interrotta. L’incremento è dovuto alla genesi del network worm.
TIPI DI VIRUS DIFFUSI IN ITALIA
100
90
80
70
60
50
40
30
20
10
0
1993 1994
1995 1996 1997 1998 1999 2000 2001 2002
2003
40
1998
1999
2000
2001
2002
1998
1999
2000
2001
2002
5,27%
4,13%
4,21%
5,76%
2,53%
7,43%
4,92% Gennaio
123
71
59
118
52
93
516
3%
9,91%
8,37%
5,35%
2,49%
3,40%
2,72%
5,77% Febbraio
231
144
75
51
70
34
605
3%
9,18%
9,70%
5,56%
5,03%
8,22%
8,15%
7,95% Marzo
214
167
78
103
169
102
833
8%
8,28%
9,88%
5,42%
4,44% 12,40%
3,91%
7,96% Aprile
193
170
76
91
255
49
834
12%
9,18%
9,41% 20,68%
3,42% 11,96%
5,99%
10,08% Maggio
214
162
290
70
246
75
1.057
12%
4,18% 15,18%
8,33% Giugno
225
178
102
92
86
190
873
4%
MESI
2003 Totale
Percent.
9,65% 10,34%
7,28%
5,70%
6,33%
4,71% 13,03%
8,56%
4,15%
7,66% Luglio
133
109
66
267
176
52
803
9%
4,80%
5,23%
5,06%
3,11%
9,58%
2,23% Agosto
112
90
71
108
64
120
234
3%
5,32%
5,69%
9,20% 17,81%
9,55% Settembre
124
98
129
365
59
226
1.001
3%
9,99%
8,89%
5,71% 14,10% 21,79% 15,02%
13,27% Ottobre
233
153
80
289
448
188
1.391
22%
6,39%
12,13% Novembre
244
171
211
261
304
80
1.271
15%
3,43%
10,14% Dicembre
286
208
165
234
127
43
1.063
6%
2.332 1.721
1.402
2.049 2.056
1.252
10.481
100%
10,46%
4,49%
2003 Totale
5,27%
2,87% 18,05%
9,94% 15,05% 12,74% 14,79%
12,26% 12,09% 11,77% 11,42%
6,18%
100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% Totale
1997
1,04%
1998
3,99%
1997
1,04%
2000
2,43%
0,65% 3,77% 0,65% 2,21%
0,35% 3,82% 0,35% 1,28%
2,04% 5,10% 2,04% 2,43%
5,61% 4,93% 5,61% 3,71%
1,19% 3,90% 1,19% 2,21%
31,59% 7,25% 31,59% 12,20%
1,29% 4,16% 1,29% 3,28%
20,72% 7,76% 20,72% 24,47%
1,59% 4,59% 1,59% 3,07%
2,98% 3,95% 2,98% 2,14%
13,11% 5,79% 13,11% 8,56%
1,44% 4,25% 1,44% 7,20%
1,19% 4,55% 1,19% 3,85%
2,98% 5,23% 2,98% 2,92%
4,97% 10,59% 4,97% 4,42%
1,34% 4,20% 1,34% 2,28%
0,94% 3,86% 0,94% 3,92%
0,50% 4,03% 0,50% 2,71%
4,47% 4,29% 4,47% 4,71%
2001
4,73%
2002
2,43%
2003 TOTALE REGIONE
0,80% 2,91% Abruzzo
4,54% 0,54% 1,44% 2,39% Basilicata
3,56% 1,51% 2,24% 2,39% Calabria
3,61% 8,51% 9,03% 4,93% Campania
3,42% 4,77% 4,55% 4,63% Emilia Romagna
2,73% 1,22% 1,84% 2,47% Friuli
7,86% 17,41% 21,96% 14,81% Lazio
5,47% 4,47% 4,71% 4,04% Liguria
9,18% 14,98% 15,81% 14,20% Lombardia
4,88% 4,43% 1,76% 3,59% Marche
4,15% 1,90% 1,68% 3,01% Molise
7,52% 8,27% 2,48% 7,91% Piemonte
4,83% 4,04% 4,63% 4,47% Puglia
3,76% 2,58% 2,56% 3,21% Sardegna
3,90% 2,53% 5,27% 3,74% Sicilia
6,44% 7,44% 5,51% 6,91% Toscana
2,83% 1,31% 3,43% 2,62% Trentino
4,69% 4,38% 4,79% 3,82% Umbria
3,95% 0,97% 1,44% 2,43% Val d'Aosta
7,96% 6,32% 4,07% 5,50% Veneto
100,00%100,00%100,00%100,00% 100,00%100,00%100,00%100,00%
1997 1998 1999 2000 2001 2002 2003 TOTALE PERCENT
21
93
68
34 97
50
10
373
2,91%
13
7
41
113
24
636
26
417
32
60
264
29
24
60
100
27
19
10
90
88
89
119
115
91
169
97
181
107
92
135
99
106
122
247
98
90
94
100
52
61
76
89
67
130
86
186
66
59
141
104
66
59
123
51
80
51
106
31
18
34
52
31
171
46
343
43
30
120
101
54
41
62
32
55
38
66
93
73
74
70
56
161
112
188
100
85
154
99
77
80
132
58
96
81
163
11
18
306
2,39%
31
28
307
2,39%
175 113
632
4,93%
98
57
594
4,63%
25
23
317
2,47%
358 275 1.900 14,81%
92
59
518
4,04%
308 198 1.821 14,20%
91
22
461
3,59%
39
21
386
3,01%
170
31 1.015
7,91%
83
58
573
4,47%
53
32
412
3,21%
52
66
480
3,74%
153
69
886
6,91%
27
43
336
2,62%
90
60
490
3,82%
20
18
312
2,43%
130
51
706
5,50%
2.013 2.332 1.721 1.4022.049 2.056 1.252 12.825 100,00%
41
DIFFUSIONE DEI VIRUS DURANTE L’ANNO
2003
7%
2002
3% 3%
2001
3%
4%
8%
6%
15%
12%
12%
6% 2% 5% 4% 3% 4%
2000
4% 5%
1999
4%
1998
5%
Gennaio
8%
6%
8%
5%
Febbraio
9%
Marzo
4%
13%
Aprile
10%
9%
18%
3% 3%
5%
21%
10%
10%
4%
22%
18%
7%
5%
15%
15%
14%
5%
9%
6% 3%
13%
6%
6%
11%
15%
12%
10%
9%
10%
6%
5%
6%
9%
10%
12%
8%
9%
10%
6%
5%
5%
10%
10%
12%
Maggio
Giugno
Luglio
Agosto
Novembre
Dicembre
Settembre
Ottobre
42
La frequenza massima delle infezioni si registra tendenzialmente nell’ultimo
quadrimestre dell’anno solare. In questi periodi è opportuno aumentare la vigilanza e la
tempestività di reazione ad ogni segnale sospetto o comunicazione di allarme.
43
INCIDENZA DEI TIPI DI VIRUS SUL TOTALE DELLE INFEZIONI
2003
100%
2%
2002 1%
97%
1%
2001
6%
93%
2%
40%
2000 2%
1999
1998
57%
55%
8%
21%
16%
44%
16%
39%
Boot
File
Macro
1%
Worm
L’efficacia degli antivirus insieme ai nuovi veicoli di comunicazione ed al nuovo e
diverso modo di lavorare in azienda hanno generato un radicale mutamento nella
tipologia dei virus diffusi.
In tutto il mondo le abitudini di lavoro sono cambiate. L’uso dei dischetti e dei Cd è
stato sostituito dallo scambio di file in allegato alla posta elettronica. Le nuove modalità
hanno di conseguenza spostato le attenzione dei creatori di virus che si sono dedicati
progressivamente alla sola rete.
44
DISTRIBUZIONE DEI VIRUS SUL TERRITORIO ITALIANO DAL 1997
1000
971
911
900
870
777
800
1000
882
700
798
NORD
781
671
600
600
500
868
800
728
526
400
480
400
457
395
200
1997
1998
1999
2000
2001
2002
2003
CENTRO
0
1997
1998
1999
2000
2001
700
623
600
500
496
418
400
300
200
405
315
279
174
SUD
100
0
1997
1998
1999
2000
2001
2002
2003
Internet ha influenzato anche la distribuzione dei virus sul territorio. Quando la
diffusione risultava correlata ai supporti rimovibili si registrava una maggiore
correlazione tra aziende informatizzate, numero di computer installati, quantità di floppy
disk scambiati ed infezioni registrate. Con la rete un virus si diffonde rapidamente e
indiscriminatamente in ogni luogo.
DISTRIBUZIONE DEI VIRUS SUL TERRITORIO ITALIANO
100%
9%
90%
27%
24%
20%
24%
20%
33%
38%
25%
80%
70%
43%
28%
31%
60%
34%
37%
50%
CENTRO
NORD
40%
30%
20%
SUD
48%
39%
45%
52%
43%
42%
38%
2001
2002
2003
10%
0%
1997
1998
1999
2000
45
2002
2003
APPROFONDIMENTO 2
INCIDENTI E SOLUZIONI PER LA SICUREZZA ADOTTATE
E’ stata condotta una rilevazione mirata a particolari aspetti della sicurezza informatica,
utilizzando un questionario in forma elettronica reso disponibile sul sito SecurityNet, da
compilare salvaguardando l’anonimato. Hanno compilato il questionario 11 aziende.
I dipendenti complessivi delle aziende che hanno risposto sono 22.652. Tali aziende
offrono servizi fruibili in Internet a 27.540 utenti che mediamente effettuano 11.350
accessi al giorno.
Le risposte al questionario anonimo sono di seguito sintetizzate.
1. L’azienda offre i propri servizi su Internet?
Si
No
91%
9%
2. Quali tra questi?
Trading on-line
e-banking
Sito Informativo
Altro
73%
73%
82%
18%
Servizi offerti
100%
80%
60%
40%
Sito
Informativo
e-banking
Trading
on-line
0%
Altro
20%
46
4.
Quali sono gli strumenti di difesa attiva o passiva adottati?
Antivirus
Firewall (screening router, application gateway, packet filtering)
Backup dei sistemi
Aggiornamento continuo dei sistemi in base alle ultime patch rilasciate dai fornitori
Sistemi di Logging
Sicurezza fisica
Monitoraggio periodico dei Log
IDS
(intrusion detection Systems)
Personal Firewall sulle postazioni utente
100%
91%
82%
82%
64%
64%
45%
36%
0%
Strumenti di difesa
100%
100%
91%
82%
82%
80%
64%
64%
60%
45%
36%
40%
IDS
Monitoraggio
Log
Sicurezza fisica
Sistemi di
Logging
Aggiornamento
sistemi
Backup
Firewall
0%
Antivirus
20%
47
5. Vengono effettuati interventi di audit sulla sicurezza ?
Si
No
Sono in previsione
45%
27%
27%
6. Nel caso vengono fatti di che tipo sono ?
Security Assessment completi
Vulnerability Assessment
Penetration Test
45%
36%
27%
7. Tali interventi con quale periodicità sono svolti ?
Semestrale
Annuale
Su necessità
Su richiesta
9%
9%
27%
36%
Tipo Audit
25%
42%
Security Assessment
completi
Vulnerability
Assessment
Penetration Test
33%
Verifiche periodiche
11%
33%
11%
Semestrale
Annuale
su necessità
su richiesta
45%
8. Tali attività di audit da chi sono svolte ?
Personale interno dedicato alla gestione dei sistemi
45%
48
Personale interno in collaborazione con consulenti esterni
Personale interno specializzato in E-Security
Consulenti indipendenti
Fornitori HW / SW
Fornitori di servizi di outsorcing
Carrier di telecomunicazioni
36%
27%
27%
9%
0%
0%
9. Qual è il motivo principale alla base dell’ audit ?
Per conoscere il grado di affidabilità e sicurezza dei sistemi
Per disposizioni di legge
Indicazioni del management a seguito di un analisi dei rischi
Su richiesta del Responsabile dei S.I.
Per tutelare i propri partner commerciali e offrire un servizio
“sicuro”
Su richiesta dei propri clienti e partner commerciali
Incidenti verificatisi in passato
18%
0%
n.r.
personale interno dedicato
alla gestione dei sistemi
Verifiche effettuate da
6%
19%
45%
45%
27%
27%
Personale interno in
collaborazione con
consulenti esterni
31%
personale interno
specializzato in E-Security
Consulenti indipendenti
19%
Fornitori HW / SW
25%
Motivi dell'Audit
11%
per conoscere il grado di affidabilità e
sicurezza dei sistemi
per disposizioni di legge
27%
17%
indicazioni del management a seguito di un
analisi dei rischi
su richiesta del Responsabile dei S.I.
per tutelare i propri partner commerciali e
offrire un servizio “sicuro”
17%
28%
11. L’azienda ha subito incidenti o attacchi ?
Si
No
36%
n.r.
49
12. In caso di attacco, quanti hanno avuto successo anche
parziale?
n.r.
13. Quanti attacchi sono stati denunciati alle autorità
competenti?
n.r.
14. Se non denunciati, perché?
Per mancanza di danni tangibili
Per evitare pubblicità negativa
Per evitare aspetti burocratici e legali troppo onerosi
Non si conosce l’organo di competenza o le procedure di notifica
15. Quanti sono stati i tentativi di attacco subiti e falliti ?
Circa (numero)
Numerosi, ma non riportati
Nessuno
16. L’incidente/attacco ha interessato le risorse di quali reti?
La rete privata
La rete Internet (WWW) dell’azienda (sia interna sia presso
outsourcer)
27%
n.r.
n.r.
n.r.
150
6
n.r.
18%
36%
17. L’azione perpetrata proviene:
Da Internet
Dall’esterno della rete mediante collegamenti remoti
Non si conosce la provenienza
Dall’interno della rete privata
45%
9%
9%
0%
18. Quale la tipologia di attacco o incidente?
Codici Maligni (virus,worm,trojan, ecc)
Intrusione dall’esterno sulle risorse Internet
Attacchi DoS sui servizi Internet della banca
Accesso non autorizzato di personale interno
Intrusione dall’esterno sulla rete privata
Incidente dovuto all’errore di dipendenti nella amm.delle risorse
Sabotaggio da dipendenti interni
55%
36%
18%
9%
0%
0%
n.r.
50
19. Nel caso di attacco subito si presume che sia da attribuire
a:
Hacker (indipendente)
Dipendenti infedeli
Concorrenti
Non si sa
27%
n.r.
n.r.
9%
20. L’azione ha avuto implicazioni sui rischi di:
Disponibilità
Nessuna
Riservatezza
Integrità
36%
27%
9%
9%
Reti coinvolte
la rete privata
33%
la rete Internet
(WWW) della
banca (sia interna
sia presso
outsourcer)
67%
Provenienza
non si conosce la
dall’esterno della provenienza
rete mediante
14%
collegamenti
remoti
14%
da Internet
72%
51
Tipo di attacco
Attacchi DoS sui
servizi Internet
della banca
15%
Accesso non
autorizzato di
personale interno
8%
Codici Maligni
(virus,worm,troja
n, ecc)
46%
Intrusione
dall’esterno sulle
risorse Internet
31%
Impatto sui rischi
Riservatezza
11%
Integrità
11%
Disponibilità
45%
Nessuna
33%
21. Specificatamente ai servizi WWW l’azione è stata mirata
a:
Non si sa
Interrompere il servizio
Rubare informazioni
Modificare i dati memorizzati
Cambiare alcune pagine del sito
27%
18%
9%
n.r.
n.r.
22. L’attacco/incidente ha avuto come conseguenza:
Nessuna implicazione economica
Un costo legato al ripristino delle attività e dei sistemi
Una perdita finanziaria diretta
Una perdita di immagine
Un costo legato al risarcimento di terzi
36%
18%
n.r.
n.r.
n.r.
52
23. I sistemi/servizi sono stati ripristinati in:
Meno di un ora
Più di un ora
Più di 4 ore
Più di 12 ore
Più di 24 ore
36%
9%
9%
n.r.
n.r.
Obiettivi degli attacchi
Rubare
informazioni
17%
Non si sa
50%
Interrompere il
servizio
33%
Conseguenze degli attacchi
Un costo legato al
ripristino delle
attività e dei
sistemi
33%
Nessuna
implicazione
economica
67%
53
Tempi di ripristino
più di 4 ore
17%
più di un
ora
17%
meno di un
ora
66%
54
Il glossario del “malware”
I virus si differenziano in funzione dell'ambiente che colpiscono, del modo in cui
agiscono, delle loro proprietà dannose.
Boot sector: virus che infettano i settori di sistema, presenti nella struttura di dischetti
removibili o sui dischi rigidi.
File infector: virus che infetta i file, modificandone la struttura interna in modo tale da
essere eseguito quando viene lanciata l’applicazione ospite.
Hoax: (burla) messaggio di posta elettronica che diffonde notizie false su presunti
virus dagli effetti devastanti, raccomandando di inviare tale allarme al maggior numero
di persone possibili.
In the wild: locuzione inglese attribuita ai virus diffusi in tutto mondo.
I-worm: worm diffusi sulla rete Internet.
Macro virus: infetta le macro usate da alcuni tipi di file e applicazioni per
automatizzare l’esecuzione di un certo numero di compiti.
Malware: contrazione della frase malicious software (software dannoso). Indica tutti i
tipi di software volutamente dannosi.
Multipartito: virus per infettare i file e settori di sistema.
Network-worm: worm concepiti per sfruttare le vulnerabilità di alcune applicazioni o
protocolli ed in grado di replicarsi attraverso pacchetti di rete.
Payload: è l'azione (effetto) del virus.
Polimorfo: virus che impiega tecniche per cambiare continuamente alcune parti del
suo codice al fine di rendere difficile la sua individuazione.
Residente in memoria: virus che rimane attivo nella memoria del sistema, monitorando
alcune funzioni che gli permettono di infettare file e/o settori e di attuare contromisure
stealth.
Retrovirus: attacca uno o più antivirus per neutralizzarli.
Script virus: virus realizzato con un linguaggio di tipo script. Stealth virus: virus che
tenta di eludere il controllo degli antivirus.
Trojan horse (Cavallo di troia): programma software che effettua una o più operazioni
nascoste, e non replica se stesso.
Joke: innocuo programma che simula il payload di un virus.
Worm: particolare virus che si diffonde in reti di computer.
Zoo virus: virus noto solo ai laboratori di ricerca.
55
NOTE
56

Oasi SecurityNet

Commenti

Transcript

Documenti analoghi

VIRUS W32.Blaster.Worm alias W32/Lovesan

Virus, worm, trojan horse, spamming e falsi messaggi

Stampa - Virus BadTrans: gravi rischi per la privacy

Vaiolo - Cts Fano

Nuovi agenti antivirali aprono la strada a un unico farmaco contro i

Gentile utente [indirizzo email utente], sono l`avvocato Gianluca

Stampa - Allarme virus ``innamorato`

I cacciatori di virus - Pianeta Scuola Gallery

Stampa - Attenzione: virus in agguato!