le botnet in italia
Transcript
le botnet in italia
LE BOTNET IN ITALIA SISTEMI MOBILI E PC INCONSAPEVOLI STRUMENTI DI ATTACCO Marco Bozzetti, OAI founder normative. Al contrario, come dimostra anche GOZ, Le recenti notizie della scoperta della rete mondiai criminali informatici operano a livello mondiale e le di computer ‘zombie’ chiamata GameOver Zeus troppo spesso con un’elevata probabilità di rima(GOZ) hanno riportato al centro dell’attenzione il nere impuniti, proprio sfruttando le difficoltà nella problema delle botnet, che in questa rubrica già reale cooperazione tra le poera stata trattata circa due anni lizie e le istituzioni giudiziarie. fa. La notizia su GOZ, ampiaLe più autorevoli ricerche inmente ripresa anche da orgaternazionali evidenziano come ni di informazione non tecniLa botnet GZO l’Italia sia da tempo un paeci, riguarda la scoperta di una è stata scoperta grazie se con numerosissimi zombie, botnet mondiale che in Italia al coordinamento usati come basi di attacchi versi stima abbia infettato circa dell’European Cyber Crime so obiettivi di altri paesi. diecimila computer e nel reCentre di Europol sto del mondo tra 500.000 e tra le polizie di diversi Paesi, 1 milione di sistemi, in particoCome è fatta la GZO a cui partecipa anche l’Italia lare in Ucraina, Regno Unito, Approfondiamo tecnicamente Germania, Giappone, Francia, come operava la botnet GZO, Olanda e Canada, con un danbasata, come dice il nome, sul no economico che potrebbe aggirarsi sui 100 micodice maligno GameOver Zeus e sul ransomware lioni di euro. L’FBI ha identificato in un trentenne Cryptolocker. Ricordiamo che in informatica con il della Federazione Russa, che è attualmente al vertermine zombie si identifica un computer, server, tice dei cyber criminali più ricercati, il leader degli pc o sistema mobile, infettato da codici maligni e attaccanti che hanno realizzato GZO. collegato a internet. Completamente all’insaputa È importante evidenziare come la botnet GZO sia dell’utente, uno zombie è sotto il controllo di un stata scoperta grazie al coordinamento dell’Eurosistema centrale, chiamato C&C, Command and pean Cyber Crime Centre di Europol tra le polizie Control, che ne prende il controllo per attivare spedei diversi paesi coinvolti, in Italia la Polizia Postale cifiche attività malevoli. Tali attività malevoli non e delle Comunicazioni. sono normalmente rivolte allo stesso zombie ma Uno dei problemi nella repressione del cybercriad altri obbiettivi target: lo zombie è in pratica una me risiede infatti nella collaborazione dei diversi base e uno strumento di attacco guidato dal C&C. organi di polizia delle varie nazioni, tenendo conto Più sistemi zombie sotto il controllo di un medesianche dei diversi ambiti legislativi e delle diverse mo C&C costituiscono una botnet, che può essere » 66 luglio-agosto 2014 » © Gunnar Assmy - fotolia.com costituita da migliaia di inconsapevoli unità che, contemporaneamente, sotto il comando di C&C, sferrano attacchi informatici. I codici più utilizzati I codici maligni usati negli zombie possono essere molteplici e cambiare nel tempo: tipici attacchi riguardano spamming, phishing e saturazione di risorse, il così detto DDoS (distribuited denial of service). Nel caso GZO il codice maligno usato è una versione del ben noto ‘cavallo di troia’ Zeus per frodi in ambito bancario - finanziario chiamata GameOver Zeus: esso realizza comunicazioni peer-to-peer crittate tra i vari nodi e zombie con sistemi operativi Windows, utilizzando vari componenti di Zeus. Quest’ultimo, sfruttando browser con vulnerabilità, sottrae informazioni finanziarie inserite nella transazione, tipicamente di home o corporate banking, tramite la cattura dei caratteri digitati dalla tastiera (key logging), oppure tramite la cattura dei dati inseriti nei form di log-in e delle transazioni via browser (tecnica chiamata ‘form grapping’). Il malware GameOver Zeus è in grado di attivare anche il ransomware crittografico Cryptolocker, che cripta dati e file sul pc oggetto dell’attacco e lo blocca fino al pagamento di un riscatto. Come scoprire se il proprio sistema ICT è uno zombie L’individuazione di una botnet, in particolare dei nodi che operano come C&C, è attività da specialisti ed esula dagli scopi di questa rubrica. Invece è importante saper scoprire se i propri pc, tablet e smartphone sono degli zombie. Per verificarlo occorre effettuare periodicamente almeno i seguenti controlli, tenendo presente che essi potrebbero non essere sufficienti: - attivare e aggiornare sistematicamente e automaticamente programmi antivirus, anti adware, anti spyware, anti rootkit: alcune soluzioni commerciali sul mercato già integrano tutte queste funzionalità di protezione; far questo sui sistemi Windows attivare la gestione (basta schiacciare contemporaneamente i tasti Alt Control Canc) e verificare i dati prestazionali forniti; - verificare tramite il pannello di controllo che sul vostro sistema non siano stati installati dei programmi non voluti, soprattutto se nascosti; in caso affermativo, disinstallarli e cancellarli sempre tramite il pannello di controllo; - verificare che non ci siano URL a voi sconosciute nell’elenco dei siti preferiti del browser. Qualora sorgesse il dubbio di essere stati infettati da Zeus, è opportuno attivare un programma per identificare e rimuovere ogni malware del ceppo Zeus, quale ad esempio il Zeus Trojan Remover. Marco Bozzetti [email protected] - aggiornare sistematicamente le patch dei browser e installare e usare, se possibile, le loro ultime versioni; - verificare che le prestazioni del sistema ICT in esame non siano complessivamente peggiorate, senza avere fatto alcuna significativa modifica allo stesso (numero utenti non aumentato, nessun nuovo programma installato, hard disk non vicino alla saturazione, idem per CPU e RAM, ecc.); per luglio-agosto 2014 67