Rapporto sulla sicurezza: Aggiornamento luglio 2009

Transcript

Rapporto sulla sicurezza:
Aggiornamento luglio 2009
Uno sguardo alle sfide future
© Copyright 2009. Sophos Plc.
Tutti i marchi registrati e i copyright sono compresi e riconosciuti da Sophos.
Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero dati o
trasmessa in qualsiasi forma o con qualsiasi mezzo senza il consenso scritto degli editori.
Rapporto sulla sicurezza: Aggiornamento luglio 2009
Panoramica
Quando un documento Word fu pubblicato nel newsgroup
usenet alt.sex, il 26 marzo 1999, probabilmente molte
persone ritennero che il file fosse inoffensivo e non
vedevano l'ora di aprirlo e accedere alle password dei siti
Web pornografici.
Questo stratagemma provocò la rapida diffusione del
virus Melissa, che sfruttava il linguaggio macro integrato
in Microsoft Word.
Melissa all'epoca rappresentò certamente un grosso
problema ma, 10 anni dopo, il malware è diventato più
insidioso che mai e ha trasformato i PC non muniti di patch
in vettori malevoli e con motivazioni finanziarie.
23.500 nuove pagine Web infette vengono scoperte
ogni giorno. Ovvero, una pagina ogni 3,6 secondi, 4
volte di più dello stesso periodo del 2008.
Gli Stati Uniti ospitano più malware e diffondono più
spamming di qualsiasi altro Paese.
40.000 nuovi file sospetti sono esaminati ogni giorno
da SophosLabs.
22,5 milioni di diversi campioni di malware presenti
nell'archivio dell'ente di verifica indipendente AV-Test.
org.
Oggi, la maggior parte delle aziende ha protetto i propri
gateway e-mail e ampliato le difese contro il malware
presente nelle e-mail e lo spamming malevolo. Di
conseguenza, i criminali informatici hanno sviluppato
delle tecniche per infettare i sistemi di nascosto,
inserendo codice malevolo in siti Web innocenti nei quali
cercano di attirare le vittime.
15 nuovi siti Web di produttori di antivirus fasulli
vengono scoperti ogni giorno. Questo numero è
triplicato, partendo da una media di cinque siti rilevati
al giorno, nel 2008.
Il 2009 ha dimostrato che gli attacchi stanno
continuando ad intensificarsi. Anche se il numero di
attacchi basati sul Web è superiore a quello degli attacchi
portati attraverso le e-mail, i criminali informatici animati
da motivazioni finanziarie stanno rivolgendo la loro
attenzione alle piattaforme Web 2.0 come Facebook e
Twitter e a programmi e strumenti alternativi come i file
Adobe Flash e PDF.
Ogni giorno vengono scoperti circa 6.500 nuovi siti
Web correlati allo spamming, ossia un nuovo sito Web
ogni 13 secondi, 24 ore su 24. Questa cifra e quasi
doppia rispetto a quella dello stesso periodo del 2008.
Le aziende che adottano nuove tecnologie e i lavoratori
che portano con sé sul posto di lavoro software e
dispositivi in grado di facilitare la comunicazione e la
raccolta di informazioni, stanno offrendo agli hacker nuovi
campi di azione.
Sophos riceve 40.000 file sospetti unici al giorno, ossia
28 file unici al minuto, 24 ore su 24. L'ente di verifica
indipendente AV-Test.org, attualmente ha inserito nel proprio
archivio oltre 22,5 milioni di esempi unici di malware,
1
Sei mesi in sintesi
Rapporto sulla sicurezza Sophos
L'89,7% di tutte le e-mail aziendali è costituito da
spam.
fonte: SophosLabs
rispetto ai 12,3 milioni del giugno 2008, a dimostrazione
che l'entità del problema è praticamente raddoppiata.
È chiaro che il raggio di azione dei criminali globali ha
raggiunto un livello tale da costituire un vero e proprio
“volano del crimine”. Le aziende continuano a trovarsi
di fronte a una serie di minacce sempre più difficili da
combattere.
2009
Web 2.0 e social network
Un campo di battaglia per il malware
Per la maggior parte delle organizzazioni, l'aumento della
produttività dei lavoratori è da sempre una delle principali
priorità. Esso costituisce anche il principale motivo che
induce a controllare l'accesso ai social network. I siti
come Facebook sono stati rapidamente identificati come
il paradiso dei fannulloni. Alcune aziende hanno appurato
che i loro dipendenti non solo trascorrevano più tempo a
utilizzare questo sito di qualunque altro, ma utilizzavano
anche una larghezza di banda eccessiva.
Le organizzazioni si sono preoccupate sempre più degli
attacchi malevoli lanciati dai siti di social network, come
Gli stessi risultati della ricerca indicano inoltre che
un quarto delle aziende è stato vittima di attacchi di
spamming, phishing o malware tramite siti come Twitter,
Facebook, LinkedIn e MySpace.
Ecco un esempio di alcuni degli attacchi ai social network
che Sophos ha scoperto negli ultimi sei mesi:
Gennaio Gli utenti di Twitter ricevettero dei messaggi diretti
dai loro amici in cui venivano invitati a visitare un sito Web
di phishing 4 che poi tentò di rubare il loro nome utente e la
loro password.
Fonte: Ricerca Sophos*
pure dei rischi degli utenti che divulgano in Internet dati
personali o aziendali sensibili.
Le ricerche di Sophos dimostrano che due terzi delle
aziende temono che i social network compromettano la
sicurezza aziendale1.
I risultati delle ricerche hanno inoltre evidenziato che il
63% degli amministratori di sistema temono che i loro
dipendenti condividano troppi dati personali tramite i siti
di social network, mettendo a repentaglio l'infrastruttura
dell'azienda e i dati sensibili memorizzati al suo interno2.
Esistono dei dati che mostrano come tale preoccupazione sia
giustificata. Nel giugno 2009, i dati personali appartenenti
al futuro capo dei servizi segreti inglese MI6 furono divulgati
su tutta la rete di Facebook: sua moglie aveva consentito ai
membri della rete “London” di visualizzare il suo profilo3.
I messaggi diretti indussero i membri di Twitter a visitare il sito
Web di phishing
Gennaio Sophos venne a conoscenza di una truffa in
Facebook5 che consisteva nel trafugare gli account degli
utenti nel tentativo di carpire dati sensibili ad amici e
familiari degli utenti di Facebook.
Gennaio Shane Symington, utente di MySpace, perse oltre
$ 210.000 a causa di una truffa via e-mail6. La donna fu
derubata quando la sua sedicente amica nigeriana iniziò a
chiederle denaro per aiutare la mamma malata. In realtà,
come dimostrò la successiva indagine dell'FBI, si trattava
di una truffa ben congegnata per approfittarsi del buon
cuore della vittima.
Aprile Furono lanciati due attacchi di scripting organizzati
dal diciassettenne Mikeyy Mooney contro gli utenti di
Twitter7. Questi attacchi XSS tentarono di caricare uno
script remoto ben nascosto dal sito Web di un'altra azienda
e di prelevare i profili degli ignari utenti.
2
*A causa dell’arrotondamento, alcuni totali non sono uguali al 100%
2009
Maggio Un hacker francese violò il sistema di
amministrazione interno di Twitter8, accedendo agli account
utente di Twitter. Alcuni degli utenti famosi che subirono gli
attacchi dell'hacker furono Barack Obama, Britney Spears,
Ashton Kutcher e Lily Allen.
Tuttavia, negando completamente l'accesso ai siti di
social network preferiti dai dipendenti, le organizzazioni li
indurranno a cercare altre soluzioni per eludere il divieto,
creando delle falle ancora maggiori nella difesa dell'azienda.
Inevitabilmente, i gruppi IT avranno un controllo minore sulle
attività dei loro utenti.
I social network non scompariranno e, poiché possono offrire
vantaggi alle aziende, oltre che rischi, è meglio assicurarsi
che gli utenti possano partecipare ai social network in modo
ragionevole e sicuro, piuttosto che impedire loro del tutto la
partecipazione.
Per proteggere gli utenti, le aziende dovrebbero ricorrere
a soluzioni di sicurezza in grado di controllare ogni
collegamento e pagina Web non appena l'utente li visita, per
verificare l'eventuale presenza di malware o attività sospette.
Le aziende dovrebbero inoltre:
Maggio Centinaia di account del servizio di micro-blog
di Twitter furono violati dagli spammer che attaccarono i
dietologi di Acai Berry9, evidenziando la necessità di una
migliore protezione tramite password.
Giugno Gli hacker riuscirono ad accedere al nome utente
e alla password di Facebook del politico inglese Michael
Fabricant 10 e a inviare messaggi a 1500 suoi amici,
invitandoli a visitare una pagina Web malevola.
Per contrastare il crescente problema delle minacce sul Web
2.0, Sophos ha scoperto che circa il 50% delle aziende sta
bloccando tutti o alcuni accessi ai social network11.
Informare i propri dipendenti sui rischi che si corrono in
Internet e assicurarsi che tutti i dipendenti siano consapevoli
delle conseguenze che tali azioni potrebbero avere sulla rete
aziendale
Consentire l'accesso ai più diffusi siti di social network tipo
Facebook solo in orari specifici, ad esempio durante la pausa
pranzo
Controllare le informazioni che l’organizzazione e i singoli
team condividono online. Se i dati aziendali confidenziali
sono già stati condivisi, valutare la situazione e agire di
conseguenza
•
Applicare funzionalità di sicurezza a più livelli, sia nel
gateway che nell'endpoint
A causa dell’arrotondamento, alcuni totali non sono uguali al 100%
3
2009
Fuga di dati
Dati non protetti
La fuga dei dati resta una delle principali preoccupazioni
per il 2009, in quanto i relativi scandali continuano a
occupare le prime pagine dei giornali. Molte aziende e
istituzioni dello Stato non sono riuscite a proteggere i loro
dati riservati, comprese le identità di dipendenti, clienti e
utenti.
Non è solo la minaccia di pubblicità negativa a
suscitare interesse nella protezione dei dati, ma anche
la preoccupazione che l'organizzazione non soddisfi gli
standard di sicurezza previsti dalla legge.
Le aziende di tutto il mondo utilizzano una serie di
tecniche per impedire la fuga di dati dai dispositivi mobili
connessi a Internet. Questi strumenti includono software
antivirus, cifratura e firewall, access control, policy
definite e migliore formazione dei dipendenti.
Tuttavia, gli utenti utilizzano e condividono regolarmente
i dati senza preoccuparsi troppo della riservatezza e delle
leggi sulla protezione dei dati stessi. Nei primi sei mesi
del 2009, questo ha provocato numerosi incidenti con
perdita di dati, alcuni accidentali, alcuni malevoli:
Maggio Gli hacker violarono un sito Web del governo della
Virginia, trafugando i dati personali di quasi 8,3 milioni di
pazienti e minacciando di venderli al miglior offerente.12
singolarmente che i loro numeri di previdenza sociale
erano stati violati in seguito all'attacco di un hacker che si
era introdotto nel programma di monitoraggio delle ricette
dello Stato del Virginia 14.
Giugno Le autorità arrestarono un ex dipendente
della Goldman Sachs il quale aveva caricato il codice
sorgente segreto dell'azienda su un server FTP ubicato in
Germania15.
Cifratura
La procedura più importante per bloccare la fuga di dati
consiste nella cifratura di dati sensibili archiviati nei
laptop e nei dispositivi di memorizzazione rimovibili. Se
i dati vengono cifrati con una password, non possono
venire decifrati né utilizzati, a meno che la password
non sia conosciuta. Ciò significa che anche se tutte le
altre misure di sicurezza non riescono a impedire che
un hacker acceda ai dati più sensibili, egli non riuscirà a
leggerle e quindi a comprometterne la riservatezza.
La seconda procedura consiste nel controllare il modo in
cui gli utenti trattano le informazioni. È opportuno non
adottare comportamenti a rischio, come ad esempio il
trasferimento di dati non cifrati su dispositivi USB e via
e-mail. Le organizzazioni dovrebbero estendere la loro
infrastruttura anti-malware al fine di:
Maggio Il furto di un solo laptop nel Regno Unito mise
a rischio le identità personali di 109.000 pensionati. Il
laptop conteneva nomi, indirizzi, date di nascita, numeri di
previdenza sociale, nomi dei dipendenti, informazioni sugli
stipendi e sui conti correnti13.
Proteggere i dati in movimento e quelli in uso
Giugno 530.000 pazienti della Virginia furono informati
Nell'attuale congiuntura economica, le aziende devono
fare molta attenzione per assicurarsi che i dispositivi
dei lavoratori in viaggio siano adeguatamente cifrati
oppure che i dati in essi contenuti vengano correttamente
cancellati.
Garantire un funzionamento efficace.
Assicurarsi che vengano rispettate le norme vigenti.
Il furto di un laptop ha fatto correre seri pericoli a 109.000
pensionati
4
2009
Minacce in Internet
Sfruttamento di siti Web legittimi
Internet resta uno dei principali veicoli di cui si servono
i criminali informatici per infettare i computer in tutto il
mondo.
Gran parte dei siti Web infettati è costituita da siti
legittimi che sono stati violati per veicolare codice
malevolo o, più comunemente, script che scaricano a
loro volta altri script malevoli dai siti Web di terzi. Gli
utenti che visitano i siti Web possono venire infettati
semplicemente visitando pagine Web infette, oppure
essere indotti a scaricare codice malevolo nel loro
computer.
La portata di questi attacchi non può essere sottovalutata,
in quanto sono stati presi di mira tutti i tipi di siti: quelli
della pubblica amministrazione, quelli degli istituti di
istruzione, quelli delle ambasciate, quelli dei partiti
politici, quelli che mettono in vendita dispositivi high-tech
e quelli delle community di programmatori.
Le 10 principali minacce malware presenti in
Internet
Mal/Iframe 29.9%
Mal/ObfJS 24.9%
Troj/JSRedir 18.9%
Mal/Badsrc 18.3%
Troj/Fujif 1.6%
Troj/Badsrc 1.5%
Troj/Iframe 1.4%
Troj/Decdec 1.4%
Troj/Unif 0.6%
Mal/FunDF 0.3%
Other 1.7%
fonte: SophosLabs
Il protagonista più pericoloso è Troj/JSRedir. Nonostante
sia arrivato solo alla fine di aprile, è stato scoperto in
molte migliaia di siti Web. Ad esempio, in appena una
settimana del mese di maggio ha infettato sei volte più
pagine Internet di qualsiasi altro malware.16
Tuttavia, molti siti conosciuti e affidabili sono caduti vittima
di questi tipi di attacchi, evidenziando la necessità da
parte di tutte le organizzazioni, sia grandi che piccole, di
difendere adeguatamente i propri siti.
Quello che segue è solo un piccolo esempio dei siti Web
interessati a livello mondiale che sono caduti vittima di un
attacco malevolo durante i primi sei mesi del 2009:
5
Gennaio Numerosi siti, compreso un sito di social network
di un ex militare in pensione nel Regno Unito, subirono un
attacco SQL e furono infettati da codice malevolo17.
Gennaio L'ambasciata indiana in Spagna fu vittima di un
attacco Mal/IFrame-F18.
Gennaio Sophos scoprì che il sito Pravda.ru, appartenente
al famoso giornale russo, era stato violato da Mal/IframeF19.
Marzo L'ambasciata etiope di Washington D.C. fu vittima
di un attacco Iframe20.
Aprile Il sito di Paul McCartney fu violato21 da un codice
JavaScript nascosto che spiava gli utenti che eseguivano
operazioni di online banking.
Maggio Sophos scoprì che il codice JavaScript nascosto
veniva iniettato nei siti che ospitano il video virale “2 Girls
1 Cup”22. Il malware tentava di reindirizzare l'utente verso
un altro dominio che ospitava un payload malevolo.
Giugno Il sito Internet del partito comunista britannico fu
infettato da Mal/Iframe-F23. Il codice nascosto puntava
verso un sito malevolo cinese che eseguiva spoofing in
Google.
Attacchi con iniezione di codice SQL
Uno dei motivi per cui il Web subisce così tanti attacchi
è che i siti innocenti di cui gli utenti tendono a fidarsi
naturalmente possono essere violati e utilizzati per
infettare un gran numero di utenti. Tuttavia, la vittima non
è solo l'ignaro visitatore, ma anche il proprietario del sito
Web, che può subire un attacco.
Questo risulta particolarmente evidente negli attacchi
con iniezione di codice SQL, i quali sfruttano le falle nella
sicurezza e inseriscono codice malevolo (in questo caso,
tag di script) nel database in esecuzione in un sito Web.
L'attacco funziona quando i dati immessi dall'utente,
ad esempio quelli contenuti in un modulo Web, non
vengono filtrati o controllati correttamente ma vengono
imprevedibilmente eseguiti come codice, disseminando il
database di istruzioni malevole. Il ripristino può risultare
difficile ed esistono numerosi casi di proprietari di siti
Web che ripuliscono il loro database per poi subire nuovi
attacchi dopo qualche ora.
La soluzione migliore è la prevenzione24. Lo sviluppo e il
rispetto delle migliori pratiche può ridurre al minimo la
possibilità di futuri attacchi25.
2009
Collegamenti malevoli
A parte l'iniezione di codice SQL, gli hacker continuano
a utilizzare sistemi automatici per inviare collegamenti
malevoli nelle sezioni relative ai commenti di blog e forum
e a utilizzare servizi gratuiti di web-hosting per creare
siti personalizzati per la diffusione di malware. Questo
è possibile in quanto è facilissimo creare nuove pagine
senza fornire i propri dati di identificazione.
Gli hacker continuano a sviluppare strumenti automatici che
utilizzano motori di ricerca come Google per identificare i siti
Web potenzialmente vulnerabili e iniettare codice nei loro
server. Di conseguenza, sono rari i casi in cui i siti Internet
vengono presi di mira deliberatamente per diffondere
malware. Spesso vengono semplicemente e sfortunatamente
scoperti dallo strumento di distribuzione di malware dei
criminali informatici.
I primi 10 Paesi che ospitano malware sul Web
United States 39.6%
Tuttavia, i proxy anonimi non sono utilizzati
esclusivamente per fini politici; i dipendenti degli uffici
possono servirsene per eludere i criteri aziendali e le
difese perimetrali.
Le informazioni sui proxy anonimi pubblici vengono
condivise liberamente in migliaia di blog, forum e siti Web
ed esiste un numero sconosciuto di proxy anonimi privati
realizzati per essere usati da parte di individui o piccoli
Classifica del malware
Il grafico dei primi 10 Paesi che ospitano malware sul web
indica alcuni interessanti cambiamenti:
La percentuale di malware a livello mondiale ospitato in Cina
si è dimezzata, passando dal 31,3% nel primo periodo del
2008 al 14,7% odierno. Tuttavia, vale la pena ricordare che
durante lo stesso periodo il volume di pagine Web infettate
rilevate da Sophos a livello mondiale è quadruplicato.
China 14.7%
Russia 6.3%
Peru 4.3%
Germany 3.5%
South Korea 2.7%
Turkey 2.5%
Thailand 2.4%
Poland 2.3%
United Kingdom 2.0%
Other 19.7%
Resistenza degli utenti alla sicurezza sul Web
Anche se la sicurezza Web è studiata per proteggere
gli utenti contro malware e altre minacce, alcuni
utenti hanno reagito negativamente e hanno adottato
comportamenti che mettono a repentaglio la protezione.
Questo è particolarmente vero nei casi in cui le aziende e
le organizzazioni filtrano gli URL, bloccando l'accesso per
motivi legati ai criteri adottati. Ad esempio, le aziende
potrebbero scegliere di bloccare l'accesso ai siti Web
di social network o ai siti Web di video, per motivi di
produttività o riservatezza.
Alcuni utenti hanno reagito al filtraggio Web utilizzando
tecnologie come i proxy anonimi26.
I proxy anonimi nascondono la vera natura di un sito Web
e inducono il filtro URL di un'organizzazione a consentire
contenuti impropri o bloccati.
Forse l'utilizzo di più alto profilo dei proxy anonimi è
quello riscontrato di recente in Iran nel giugno 2009,
quando i cittadini ricorsero alla tecnologia nel tentativo di
evitare la censura di Internet a opera del governo27.
I sostenitori che non si trovavano in Iran pubblicarono
addirittura i dettagli dei proxy anonimi su social network come
Twitter e Facebook per aiutare gli iraniani a scoprire cosa stava
raccontando il mondo esterno.
6
Il contributo significativo del Perù alla diffusione del problema
è dipeso in gran parte da un enorme numero di pagine
Internet che erano state violate da Mal/iFrame-F.
Vale la pena notare che, anche se i siti Web trasportano
malware, non significa necessariamente che gli hacker si
trovino fisicamente nello stesso Paese del sito interessato. Nel
tentativo di diffondere il malware, gli hacker abusano dei siti
Web in tutto mondo.
gruppi. Di conseguenza, è facile che gli utenti accedano
ai proxy anonimi, ma per gli amministratori risulta difficile
rilevarli e bloccarli.
Se i dipendenti utilizzano i proxy anonimi, oltre a eludere
il filtraggio URL, evitano anche la scansione perimetrale
dei contenuti. Ovviamente questo può avere delle
ripercussioni sulla sicurezza.
Sophos ha addirittura identificato proxy anonimi che
sono essi stessi infettati da vari tipi di malware. Non
è possibile stabilire se i proxy anonimi siano vittime
innocenti dell'infezione oppure se siano stati configurati
con malware incorporato per violare i computer che li
utilizzano.
Ulteriori ricerche effettuate da SophosLabs evidenziano
come l'utilizzo di proxy anonimi risulti particolarmente
prevalente presso alcuni istituti di istruzione, in cui gli
studenti con conoscenze tecniche avanzate tentano di
sovvertire i criteri di utilizzo accettabili.
Sophos controlla attivamente i forum Internet per scoprire
e bloccare nuovi servizi proxy anonimi e incorpora il
rilevamento in tempo reale di proxy anonimi privati
mediante il controllo del traffico nella relativa Web
appliance per la sicurezza.
2009
Minacce via e-mail
Una fonte di preoccupazione
Anche se le minacce basate sul Web hanno avuto la
tendenza a dettare l'agenda del malware nei primi sei mesi
del 2009, il numero di minacce distribuite per e-mail resta
una grossa fonte di preoccupazione.
Oltre a usare allegati e-mail malevoli, i criminali
informatici inseriscono regolarmente dei collegamenti
malevoli nelle e-mail che puntano a siti Web pericolosi e
lanciano attacchi fantasiosi per attirare gli utenti curiosi.
I 10 principali allegati e-mail contenenti malware
Gen. – Giu. 2009
e-mail invitava gli utenti a visitare una pagina Web
malevola e infettava i PC con WaledPak.
Marzo Gli hacker distribuirono delle e-mail in cui si
affermava che un sito dell'agenzia di stampa Reuters
aveva dato la notizia di una bomba scoppiata in città29.
Ciascuna e-mail conteneva un collegamento a una
pagina Internet che installava codice malevolo e a un
filmato che scaricava WaledPak.
Tuttavia, pur non figurando in cima alla classifica, molti
degli altri virus elencati si sono diffusi durante la prima
metà dell'anno.
Marzo Sophos mise in guardia contro una nuova
campagna malware che aveva interessato i membri
di Classmates e FriendsReunited30. Ciascuna e-mail
induceva gli utenti a fare clic su collegamenti che
consentivano di visualizzare un video relativo a
Mal/WaledPak 20.0%
Troj/Agent 12.8%
Mal/FakeVirPk 9.5%
W32/Netsky 8.5%
W32/Autorun 5.3%
Troj/Invo 5.2%
Mal/EncPk 5.0%
W32/Mytob 3.9%
Mal/Iframe 3.7%
Troj/Waled 3.5%
Other 22.6%
fonte: SophosLabs
Il dominio da parte di WaledPak dello schema di malware
degli allegati e-mail — che rappresenta il 20% di tutti i
rapporti nei primi sei mesi del 2009 — è significativo, in
quanto esso aveva iniziato a diffondersi alla fine di dicembre
2008. Da allora si è propagato ricorrendo a numerosi
travestimenti:
Gennaio Alla vigilia dell'insediamento di Obama, Sophos
scoprì una campagna di spamming malevolo che stava
diffondendo la notizia che Barack Obama aveva rifiutato
di essere eletto Presidente degli Stati Uniti28. Ciascuna
Il malware basato sul Web attaccò i membri di
Classmates
un'imminente riunione di ex compagni di scuola, ma
che invece conduceva a una pagina malevola che
infettava i PC Windows con un Trojan malevolo.
Maggio Una variante della seconda principale famiglia
di malware, Troj/Agent-JUC, fingeva di inviare
comunicazioni da WorldPay31 affermando che Amazon
aveva effettuato un addebito sulla carta di credito
dell'utente. Quando l'utente faceva clic sul file allegato,
Troj/Agent-JUC infettava il sistema.
Giugno Sophos intercettò un attacco diffuso da parte di
hacker che distribuivano Mal/FakeVirPk tramite un finto
biglietto di auguri elettronico inviato da un familiare32.
Quando il destinatario dell'e-mail apriva il biglietto di
auguri, il file malevolo veniva eseguito.
WaledPak e le false notizie sul presidente Obama
7
Giugno Venne ampiamente diffusa un'e-mail contenente
un collegamento a un presunto film pornografico di cui il
destinatario era protagonista33. Tuttavia, quando l'utente
incuriosito faceva clic sul collegamento, veniva indirizzato
al sito che infettava il PC con spyware malevolo.
2009
Spam
Lo spam rappresenta ancora una minaccia
importante
Il fenomeno dello spam continua a flagellare le aziende.
Dai dati raccolti da Sophos emerge che l'89,7% di tutte
le mail aziendali in circolazione è costituito da spam.
Ogni giorno vengono scoperti circa 6.500 nuovi siti Web
relativi allo spam, ossia un nuovo sito Web ogni 13
secondi, 24 ore su 24. Questa cifra è quasi raddoppiata
rispetto allo stesso periodo del 2008 (1 ogni 20 secondi).
Anche se il primo messaggio di spam fu inviato oltre 30
anni fa34, gli spammer creano in continuazione nuovi
domini Web nel tentativo di evitare di essere scoperti da
parte di soluzioni di sicurezza rudimentali che si affidano
esclusivamente a una lista nera di siti Web pericolosi e
conosciuti.
È importante che si faccia ancora di più per aumentare
la consapevolezza tra gli utenti in merito all'importanza
di tenere al sicuro il proprio PC. Si stima che oltre il
99% di tutto lo spam sia inviato dai computer botnet di
utenti domestici non adeguatamente protetti con software
antivirus aggiornato, firewall e patch di protezione.
Sophos ha riscontrato come lo spam venga inviato dai
paesi di tutto il mondo, mettendo in risalto l'esigenza da
parte di tutti i Paesi di garantire una corretta difesa contro
gli attacchi malware.
Siete degli spammer?
Praticamente tutti i messaggi spam provengono da
computer violati (chiamati “bot” o “zombi”) che,
all'insaputa dei loro proprietari, vengono usati dagli
hacker per inviare grandi volumi di spam, lanciando
attacchi Denial-of-Service distribuiti o rubando
informazioni riservate.
Disporre di una protezione antivirus aggiornata,
installare ed eseguire un firewall e assicurarsi che
tutte le patch di sicurezza siano aggiornate sia per il
sistema operativo che per le applicazioni installate
riduce notevolmente la probabilità di subire attacchi.
Il servizio Sophos ZombieAlert identifica i computer
aziendali in balia degli hacker, da cui vengono inviati
messaggi di spam36.
8
Invio di spam in base al Paese
United States 15.7%
Brazil 10.7%
China (Including Hong Kong) 6.0%
India 5.1%
Turkey 4.7%
South Korea 4.3%
Russia 3.5%
Poland 3.4%
Spain 3.2%
Argentina 2.6%
Italy 2.5%
Colombia 2.4%
Romania 2.2%
Vietnam 2.1%
Germany 2.0%
United Kingdom 2.0%
Chile 1.8%
France 1.6%
Thailand 1.4%
Mexico 1.2%
Other 21.6%
fonte: SophosLabs
Gli Stati Uniti hanno visto un leggero aumento della loro
quota di spam inviato a livello mondiale, passando al
15,7%, rispetto al 14,9% nello stesso periodo del 2008.
La Russia è scesa dalla seconda posizione che occupava
in precedenza, passando dal 7,5% al 3,5%. Questo
probabilmente dipende dal fatto che gli ISP sono più
determinati a impedire la diffusione di spam dai computer
dei loro clienti.
La presenza di Paesi come Turchia, Polonia e India
può essere ricondotta alla base utenti in espansione di
coloro che utilizzano Internet ad alta velocità. Tuttavia,
è probabile che gli utenti non siano adeguatamente
consapevoli dell'importanza della sicurezza informatica
(oppure che siano meno disposti a spendere per l'acquisto
di software antivirus).
La previsione di Bill Gates che lo spam sarebbe stato del
tutto eliminato entro il 200635 si è rivelata sbagliata e il
problema delle botnet resta di rilevanza globale. È chiaro
che la lotta contro lo spam va coordinata.
I computer devono essere difesi mediante software
antivirus aggiornato, per impedire che vengano utilizzati
come relay dagli spammer. I perimetri delle e-mail vanno
protetti con soluzioni sofisticate che consentano di bloccare
le minacce in entrata. Le autorità devono disporre delle
risorse necessarie per perseguire gli spammer e affidarli alla
giustizia. Inoltre, gli utenti devono essere maggiormente
consapevoli dell'importanza della sicurezza informatica ed
evitare di acquistare prodotti pubblicizzati tramite spam.
2009
Anche se gli US sono tra i principali Paesi responsabili
della diffusione di spam, i dati relativi ai continenti
indicano che l'Asia è responsabile della diffusione di un
terzo dello spam a livello mondiale.
di messaggistica istantanea tramite il quale una botnet,
travestita da donna, attirava gli utenti in una chat per
cuori solitari, per poi indurli a visitare un sito Web
malevolo37.
Spam diviso per continenti, Gen. – Giu. 2009
Spam di social network
Asia 33.3%
Europe 25.4%
South America 19.3%
North America 19.2%
Africa 2.1%
Oceania 0.6%
Uncategorized 0.1%
fonte: SophosLabs
Gli spammer sfruttano anche la crescente popolarità di
social network come Twitter e Facebook per diffondere le
loro inserzioni e collegamenti pericolosi. Anche se i servizi
e-mail basati sul Web come Gmail, Yahoo e Hotmail sono
maturati nel corso degli anni e hanno sviluppato soluzioni
per proteggere i loro utenti, i social network sono diventati
molto popolari in un breve lasso di tempo, anche se spesso
hanno trascurato la protezione degli utenti contro l'invio di
messaggi indesiderati.
Queste statistiche non sono una sorpresa, ma dimostrano
un'equazione molto semplice: tanto più alto è il numero di
computer connessi e non adeguatamente protetti, quanto
maggiore è la percentuale di spam che essi inviano al
resto del mondo.
Altre nuove tendenze dello spam
Lo spam tramite messaggistica istantanea sta diventando
un metodo di diffusione molto utilizzato; gli spammer
utilizzano applicazioni di messaggistica istantanea,
come MSN Chat, per evitare i filtri antispam e inducono
gli ignari utenti a rivelare informazioni sensibili e di
carattere finanziario. Gli hacker diffondono lo spam da
una botnet, contenente vari indirizzi e-mail e una piccola
randomizzazione del contenuto.
Nel mese di giugno, SophosLabs ha intercettato spam
Lo spam di messaggistica istantanea utilizza MSN Chat
per indurre gli utenti a visitare siti di phishing
9
2009
Malware
Sfruttare la paura
Il business del finto software antivirus continua
a prosperare per i criminali informatici, i quali di
conseguenza ci stanno investendo enormi risorse. Tali
attacchi, comunemente noti come scareware o rogueware,
sfruttano le paure legate alla sicurezza IT e inducono gli
utenti a credere che il loro computer abbia un problema,
mentre in realtà non è così.
Di solito, lo scareware viene installato nei siti Web sotto
forma di messaggi pubblicitari o file scaricabili camuffati.
Tuttavia, vi sono anche dei casi in cui gli hacker hanno
messo in circolazione scareware, o collegamenti ad esso,
utilizzando le tradizionali tecniche di ingegneria sociale
per ingannare gli utenti e indurli a fare clic sull'allegato o
sul collegamento.
Mediamente, Sophos identifica 15 nuovi siti Web di
scareware al giorno. Questo numero è triplicato, partendo
da una media di cinque siti rilevati al giorno, nel 2008.
Le bande di hacker si sono specializzate nella rapida
creazione di siti Web fasulli dall'aspetto professionale,
che sembrano offrire soluzioni di sicurezza legittime. Gli
antivirus fasulli sono inoltre stati distribuiti violando i
risultati dei più diffusi motori di ricerca tramite tecniche e
schemi di ottimizzazione dei motori di ricerca (SEO).
Gennaio SophosLabs scoprì che gli hacker stavano
utilizzando SEO in combinazione con fotografie di
personaggi famosi come Warren Beatty e Shania Twain
nel tentativo di rubare denaro38.
Marzo Gli hacker utilizzarono la morte prematura di
Natasha Richardson per riempire le pagine Web39 di
parole chiavi relative all'attrice deceduta, per indurre gli
ignari navigatori a visitare i loro siti pericolosi e a infettare
conseguentemente i loro computer.
Marzo Gli hacker sfruttarono un noto problema del
prodotto Norton Anti-Virus di Symantec40, violando i
motori nel tentativo di sfruttare a fini di lucro i computer
degli utenti inconsapevoli alla ricerca di informazioni.
Giugno Dei criminali informatici opportunisti sfruttarono
la morte di Farrah Fawcett41 e Michael Jackson42 per
diffondere malware e spam.
Altre tendenze del malware
Non tutto il malware si diffonde tramite e-mail o il Web. Il
worm Conficker43, ad esempio, utilizza Internet e i protocolli
di rete per diffondersi, oltre a infettare le chiavette USB, ma
non infetta né le e-mail né i sistemi Web.
Conficker, che sfruttava una falla nella sicurezza Microsoft
e fece la sua prima apparizione alla fine del 2008, diventò
famoso durante i primi mesi del 2009, grazie al grande
risalto dato dai media alla notizia che il 1° aprile 2009
avrebbe cambiato aspetto per cercare nuove istruzioni.
Anche se è evidente che molte aziende e organizzazioni fecero
fatica a proteggersi adeguatamente contro l'attacco49, è altresì
legittimo nutrire dei dubbi sul fatto che il grande allarme
suscitato dalla comparsa del worm contribuì all'effettivo
miglioramento della sicurezza informatica in senso lato o se
si trattò invece di un allarme decisamente spropositato per la
sicurezza dei computer.
Conficker – Un worm diventa famoso
“Il tuo PC sarà violato il 1° aprile 44” “Il
worm Conficker: pesce d'aprile o disastro
inimmaginabile?45”, “Le forze di sicurezza dei PC si
preparano alla resa dei conti del 1° aprile con il worm
Conficker46” sono solo alcuni dei titoli di giornale
che contribuirono alla "Confickermania" in attesa
dell'arrivo del 1° aprile.
Ironia della sorte, complessivamente, l'industria della
sicurezza informatica non fu responsabile dell'isteria
relativa a Conficker e al 1° aprile. Al contrario,
sembra che la storia fosse stata ampiamente
gonfiata dai media, nonostante molti fornitori di
soluzioni di sicurezza avessero annunciato che molto
probabilmente gli utenti non avrebbero notato alcun
cambiamento al sopraggiungere della data fatidica.
Gli hacker sfruttarono la morte di un'attrice
ricorrendo a tecniche di SEO
10
Certamente, il 1° aprile 2009 non vi fu alcuna attività
insolita da parte di Conficker e molti iniziarono a
chiedersi chi avesse messo in giro la voce 47 e, cosa
più importante, cosa fare per evitare che il fatto si
ripetesse in futuro48.
2009
Uno dei modi in cui Conficker riuscì a diffondersi fu
tramite le chiavette USB, una tecnica che, secondo
le ricerche Sophos, il malware ha adottato in modo
crescente nel corso del 200950. Solitamente, questo
malware sfrutta la funzionalità AutoRun di Windows per
attivarsi automaticamente al momento dell'inserimento in
un computer. Poiché il prezzo di queste unità portatili si
è ridotto notevolmente e il loro uso è sempre più diffuso,
gli hacker hanno iniziato a considerarle alla stregua
dei dischi floppy e le hanno utilizzate per diffondere le
infezioni.
Si trattò di una violazione nella sicurezza lungo la catena
di fornitura dell'hardware per i Bancomat oppure si trattò
di qualcuno che agì dall'interno della banca? Finora
Diebold si è limitata a dire che non si trattò di una
violazione della sicurezza a livello di rete.
Chiaramente, attenersi alle migliori pratiche può
contribuire a ridurre al minimo le possibilità di violazione
della sicurezza dei Bancomat e gli utenti dovrebbero
essere consapevoli che alcuni hacker potrebbero attaccare
i Bancomat direttamente, piuttosto che i clienti della
banca nel momento in cui essi utilizzano Internet per
gestire online i loro conti correnti.
I virus che sfruttano il polimorfismo per mutare il
loro aspetto ebbero il loro momento di gloria all'inizio
degli anni '90. Tuttavia, l'evoluzione recente di questa
tecnologia viene oggi sfruttata dal malware, nel tentativo
di evitare il rilevamento. Le famiglie di virus Scribble55,
Sality56 e Vetor sono esempi di malware che da un lato è
polimorfico e dall'altro si diffonde senza controllo.
Il 2009 ha visto un aumento nell'utilizzo di chiavette USB per la
diffusione del malware
L'epidemia del malware USB ha indotto Microsoft ad
annunciare dei cambiamenti per quanto riguarda la
gestione della funzionalità AutoRun in Windows 751.
Con sempre maggiore frequenza, le organizzazioni sono
alla ricerca di soluzioni di sicurezza in grado di controllare
l'utilizzo delle unità USB, non solo per impedire la
distribuzione del malware, ma anche per impedire la fuga
dei dati dai loro uffici.
Altre tendenze osservate nel malware all'inizio del 2009
includevano la scoperta da parte di SophosLabs del primo
codice malevolo apparentemente studiato per aiutare i
criminali a rubare denaro dagli sportelli Bancomat52.
Diebold rilasciò un aggiornamento del suo software per
sportelli Bancomat53 e ne consigliò l'installazione in
tutti i Bancomat basati su Windows. Secondo l'azienda,
l'aggiornamento avrebbe dovuto impedire al Trojan
Skimer-A54 di rubare informazioni agli utenti degli sportelli
Bancomat.
Inoltre, l'azienda ha confermato che degli hacker russi
avevano tentato di installare software malevolo nei
Bancomat, nel tentativo ambizioso di rubare denaro.
Tuttavia, non è stato ancora reso noto in che modo gli
hacker fossero riusciti ad accedere fisicamente a numerosi
Bancomat in Russia.
11
Scribble, ad esempio, si fece notare non solo per la
capacità di cambiare aspetto ad ogni infezione, ma anche
per la sua abilità nel prendere di mira file HTM, HTML,
PHP e ASP, nonché i file eseguibili Windows, in quanto si
diffondeva tramite alcuni settori della rete e unità USB ad
esecuzione automatica.
Sfruttamento di programmi più ampi
Invece di cercare semplicemente le vulnerabilità del
sistema operativo e del browser, gli hacker stanno anche
analizzando le falle di sicurezza in altri programmi e
strumenti di largo uso, come i file Adobe Flash e PDF.
L'aumento di file malevoli Flash e PDF può essere in parte
spiegabile con l'utilizzo di kit di costruzione di malware
che consentono di creare pagine Web in cui è incorporato
codice-trappola. L'inclusione del contenuto Flash e PDF
prende di mira le vulnerabilità che sono state riscontrate
nei plugin del browser Adobe, a sottolineare l'importanza
di tenere aggiornati questi strumenti.
La preoccupazione che gli hacker sfruttassero le falle
nella sicurezza nel software di lettura dei file PDF di
Adobe indusse l'azienda ad annunciare che avrebbe
messo regolarmente a disposizione gli aggiornamenti
della sicurezza. Adottando un'iniziativa simile a quella
della Microsoft (che rilascia patch di sicurezza il secondo
martedì di ogni mese). Adobe annunciò che avrebbe
messo regolarmente a disposizione aggiornamenti della
sicurezza ogni tre mesi, il secondo martedì del mese 57.
2009
Apple Mac
Un bersaglio facile
Anche se di dimensioni più contenute rispetto a quelle
degli utenti Windows, il problema del malware per Mac
esiste.
Un elevato livello di sottovalutazione del problema
nella community Mac implica che molti utenti credano
erroneamente di essere immuni alle minacce della
sicurezza in Internet. Questo fa di loro un facile bersaglio
per gli attacchi futuri e non tiene conto dei consigli che la
Apple stessa fornisce ai propri utenti.58
Nel mese di giugno 2009, Sophos svolse un'indagine
relativa al modo in cui gli utenti Mac utilizzavano i
loro antivirus. Dallo studio emerse che il 69% dei 108
partecipanti non utilizzava un antivirus. Questi risultati
indicano che alcuni utenti Mac ancora non comprendono
che gli autori del malware utilizzano le stesse tecniche per
infettare sia i computer Windows che Mac, rendendosi in
tal modo più vulnerabili agli attacchi.
plugin, il codice malevolo dell'hacker prende il controllo
del computer, facendo in modo che i dati del Mac
vengano trafugati o entrino a far parte di una botnet. In
altri casi, il malware non è un plugin che consente di
guardare un filmato pornografico, ma contiene un Trojan
sotto forma di un allettante software scaricabile.
Un esempio di questo tipo di ingegneria sociale è la nuova
versione del Trojan OSX/RSPlug, scoperto nel marzo
2009 e distribuito tramite un sito Web apparentemente
legittimo che offriva software HDTV80. Il sito Web era in
grado di infettare sia i computer Mac OS X che Windows e
consentiva agli hacker di rubare dati personali, visualizzare
avvisi di possibilità di guadagnare denaro e installare altro
malware.
Altre prove della crescente vulnerabilità al malware da
parte degli utenti Mac sono state riscontrate nel mese
di giugno 2009, quando un messaggio relativo ad una
Utenti Mac: utilizzate un antivirus?
Malware per Mac sotto forma di video di un personaggio
televisivo famoso
Don’t use 69 %
Use 31 %
fonte: ricerca Sophos
Gran parte del malware esistente per Mac OS X non punta
sulle falle del sistema operativo ma piuttosto sull'utilizzo di
trucchetti di ingegneria sociale per indurre gli ignari utenti
a installare codice pericoloso. Queste caratteristiche sono
simili al funzionamento di gran parte del malware basato su
Windows ed evidenziano come l'anello debole stia nel fatto
che è l'utente a prendere decisioni errate, non il software.
Uno stratagemma tipico è quello con il quale un
utente Mac viene indotto a visitare un sito Web con la
promessa di vedere un video sexy. Quando l'utente arriva
nell'apposita pagina, compare un messaggio in cui lo si
informa che per guardare il filmato deve installare un
plugin o un codec. Tuttavia, scaricando e installando il
12
videocassetta pornografica che vedeva protagonista la
“Gossip Girl” Leighton Meester fu pubblicato da un famoso
blogger di Twitter, Guy Kawasaki81. Chiunque seguisse il
collegamento segnalato da Kawasaki si sarebbe visto il
proprio Mac infettato dal Trojan OSX/Jahlav-C (le vittime
che utilizzavano Windows furono colpite da un malware
che attaccava il sistema operativo).
Oltre ai siti Web che ospitavano malware in grado di
infettare gli Apple Mac, nel 2009 gli hacker lanciarono
una campagna per diffondere infezioni mediante la
distribuzione di codice malevolo sotto forma di versioni
piratate dei più comuni pacchetti software, come Adobe
PhotoShop CS460 e iWork ‘0961 distribuiti tramite
BitTorrent.
Per proteggersi contro questi attacchi, gli utenti dovrebbero
continuare ad adottare le migliori pratiche di uso sicuro del
computer, come ad esempio l'esecuzione di un prodotto
antivirus e l'aggiornamento delle patch di sicurezza.
2009
Telefoni cellulari e dispositivi Wi-Fi
BlackBerry
Anche se non sono stati segnalati casi di malware
che abbia infettato dispositivi BlackBerry, sono state
riscontrate delle vulnerabilità che possono essere sfruttate
nel caso in cui gli hacker dovessero inviare speciali file al
telefono.
Nel gennaio 2009, la società sviluppatrice di BlackBerry,
Research in Motion (RIM), rilasciò una patch per una
vulnerabilità malevola presente nei PDF BlackBerry che
avrebbe potuto essere sfruttata dagli hacker62. Se un
utente BlackBerry tentava di aprire un file PDF, il codice
malevolo presente al suo interno avrebbe potuto essere
eseguito su un computer che ospitasse il servizio allegati
BlackBerry. Una vulnerabilità simile emerse nel mese di
marzo 2009, quando RIM rilasciò un'altra patch 63.
Palm Pre e Google Android
Al momento di andare in stampa, non sono stati segnalati
attacchi malware contro il sistema operativo Android di
Google, né contro Pre, il tanto atteso “iPhone killer” di
Palm. Tuttavia, poiché questi dispositivi diventano sempre
più popolari, gli hacker probabilmente svilupperanno del
malware per sfruttarli al fine di conseguire un guadagno o
semplice notorietà.
Naturalmente, gli attacchi dei criminali informatici non
specifici per il sistema operativo (ad esempio le truffe di
phishing e 419) minacceranno gli utenti di Palm Pre e
Google Android come qualsiasi altro utente di Internet.
iPhone
Gli iPhone vengono utilizzati sempre più all'interno delle
aziende da parte di utenti che li portano da casa o che
richiedono di utilizzarli per il lavoro. Mentre i BlackBerry
(che furono subito apprezzati dalle organizzazioni che
tenevano molto alla sicurezza, come ad esempio quelle
che operavano nei settori dell'industria aerospaziale,
della difesa e della pubblica amministrazione) hanno una
lunga tradizione di sistemi di sicurezza integrati nella loro
architettura, in origine l'iPhone puntava sulla facilità d'uso.
Adesso l'iPhone deve recuperare il terreno perduto nel
campo della sicurezza sul luogo di lavoro.
L'iPhone 3GS ha fatto molti progressi in termini di
sicurezza dei dati e ora offre cifratura hardware e
funzionalità di cancellazione remota. Inoltre, sono state
risolte le falle della sicurezza che erano presenti nelle
precedenti versioni64 .
13
Tuttavia, l'iPhone non è ancora all'altezza del BlackBerry
per quanto riguarda la sicurezza della funzionalità di
messaggistica e le aziende devono quindi scendere a un
compromesso tra facilità d'uso e rischio. Tuttavia è chiaro
che il costo totale di proprietà per la gestione degli iPhone
in ambienti di grandi dimensioni è ancora troppo elevato.
Una buona notizia è che, anche se sono già stati segnalati
casi di malware poco complesso, l'iPhone non è stato
ancora oggetto di attacchi significativi 65.
In passato, la Apple era stata oggetto di critiche per i
ritardi nel risolvere le vulnerabilità dell'iPhone, lasciando in
alcuni casi la piattaforma priva di patch per mesi e mesi,
rispetto alla piattaforma Mac OS X per desktop. Di pari
passo con il crescere della popolarità della piattaforma, il
rilascio puntuale di patch divenne sempre più importante.
La possibilità che le patch vengano rilasciate in ritardo ha
indotto alcuni a supporre che gli hacker potrebbero sfruttare
la vulnerabilità del codice comune condiviso come ad
esempio il browser Safari (che è utilizzato sull'iPhone e che
viene fornito di serie sul Mac OS X) come piattaforma per gli
attacchi66.
Il fatto stesso che uno smartphone come l'iPhone possa
essere utilizzato sia come cellulare che come dispositivo
di elaborazione, può generare nuovi vettori di attacco.
Ad esempio, Charlie Miller, ricercatore nel campo della
sicurezza, ha scoperto un sistema che consente di
disconnettere l'iPhone dalla rete mobile semplicemente
inviando al telefonino un messaggio SMS contenente
codice malevolo67.
Inoltre, gli utenti dell'iPhone devono essere consapevoli
che potrebbero essere più vulnerabili agli attacchi di
phishing rispetto ai computer desktop, in quanto:
Dovendo immettere gli URL tramite lo schermo
tattile potrebbero essere maggiormente tentati di fare
semplicemente clic sui collegamenti indicati nelle e-mail.
La versione iPhone di Safari non visualizza gli URL
incorporati nelle e-mail prima che vi si faccia clic sopra.
Pertanto, per gli utenti è più difficile stabilire se il
collegamento indirizza, ad esempio, al sito fasullo di una
banca online.
Il browser dell'iPhone ha uno spazio limitato. Gli URL
talvolta sono troncati68, il che facilita il compito dei
criminali informatici che desiderano far credere agli utenti
che stanno visitando un sito Web legittimo.
Naturalmente, questi fattori che contribuiscono alla
diffusione di malware potrebbero essere presenti anche su
altri dispositivi smartphone.
2009
Criminali e crimini informatici
Lo spionaggio digitale è in crescita
I Paesi di tutto il mondo si spiano per ottenere vantaggi
politici, commerciali e militari e sarebbe ingenuo pensare
che non sfruttino computer e Internet per svolgere al meglio
le loro attività. Nel 2009 c'è stato un numero ancora
maggiore di segnalazioni di attacchi e crimini informatici:
Febbraio Il Ministero degli esteri indiano (MEA) confermò
che alcuni dei suoi computer erano stati infettati da
spyware69. Alcuni dei PC interessati contenevano documenti
sensibili sulle relazioni con il Pakistan. I computer si
trovavano negli uffici delle segreterie.
Giugno Gli oppositori al neoeletto governo iraniano fecero
conoscere le loro opinioni lanciando attacchi "distributed
denial-of-service" contro il ministero della giustizia iraniano e
i siti Web del Presidente.
Gli utenti di Twitter si scambiarono messaggi
contenenti collegamenti a pagine Web che inondavano
automaticamente di traffico i siti Web del governo iraniano,
sovraccaricandoli e bloccandoli70.
Arresti e sentenze
In considerazione dell'aumento degli attacchi dei crimini
informatici, i governi nazionali hanno effettuato numerosi
tentativi, alcuni dei quali riusciti, per contrastare il malware.
Nella prima metà del 2009 è aumentato il numero dei
casi di siti Web chiusi, arresti e sentenze severe contro i
responsabili di crimini informatici di alto profilo e con finalità
finanziarie.
Forse, la chiusura più importante decisa dal governo in
questi mesi è stata quella relativa al fornitore di servizi
Pricewert da parte dell'FTC nel mese di giugno 200971, in
seguito ai sospetti di partecipazione a grandi campagne di
spamming e phishing, distribuzione di malware e abusi sui
minori.
Secondo le accuse dell'FTC, l'azienda aveva fornito
protezione ai criminali suoi clienti, ignorando i solleciti a
favore della sicurezza inviati dalla comunità di Internet, la
quale chiedeva la rimozione delle pagine pericolose72.
Anche se questo caso deve ancora essere discusso in
tribunale, il coinvolgimento del governo dimostra la ferma
intenzione da parte delle autorità di contrastare le attività
malevole e pericolose.
Ecco altri casi che si sono conclusi con successo e verificatisi
nei primi sei mesi dell'anno:
Gennaio Maksym Yastremskiy, uno dei responsabili della
grave violazione dei dati di TJX fu condannato a 30 anni di
prigione per aver partecipato all'attacco73.
Marzo Hugh Rodley e David Nash furono imprigionati
14
per aver partecipato a quella che sarebbe stata la più
grande rapina di una banca inglese74. Il complesso piano
avrebbe consentito di rubare 229 milioni di sterline
presso la filiale londinese della banca Sumitomo Mitsui,
mediante l'introduzione di hacker75 all'interno degli uffici
fuori dall'orario di lavoro, al fine di installare software di
keylogging nei terminali.
Aprile Quattro donne e cinque uomini furono arrestati,
sospettati di aver attaccato degli istituti finanziari tramite
appositi Trojan76. Si ritiene che la banda avesse fatto ricorso
ad aiuti esterni per trasferire i fondi rubati nei propri forzieri.
Maggio La corte distrettuale degli USA di Minneapolis
condannò un immigrato rumeno di 23 anni a 8 anni e mezzo
di prigione per aver rubato circa $700.000 a oltre 7.000
vittime innocenti77. Secondo la stampa locale, aveva lanciato
una campagna di phishing nel mese di giugno 2000, quando
aveva solo 14 anni.
Dipartimenti per la sicurezza informatica – Una nuova tendenza del governo?
Educare gli utenti e far aumentare la consapevolezza delle
minacce in Internet e della sicurezza informatica è di
fondamentale importanza, specialmente quando può esserci
la tendenza da parte dei Governi a enfatizzare la minaccia
costituta da altri Paesi e gruppi terroristici in altri Paesi,
senza comprendere la minaccia reale costituita dai terroristi
che si trovano all'interno del Paese.
Di recente, il Presidente Obama ha riconosciuto questa
necessità e nel mese di maggio 2009 ha presentato una
nuova strategia del governo tesa a “scoraggiare, evitare,
rilevare e difendersi” contro i crimini informatici, sia
quelli provenienti dai Paesi esteri che dall'interno. Ha
inoltre promesso di creare un coordinatore della sicurezza
informatica il cui principale compito consisterebbe nello
sviluppare e monitorare questa strategia. Questa è una delle
numerose raccomandazioni fatte nello studio di 60 giorni sui
criteri relativi al ciberspazio, studio commissionato nel mese
di febbraio78.
Nel mese di giugno 2009, il governo britannico rese nota la
sua strategia di sicurezza, annunciando l'intenzione di creare
un ente centrale responsabile dei contatti con l'industria
(l'Ufficio della cybersicurezza, o OCS) e un ente separato,
il Centro operativo per la cybersicurezza (CSOC), con sede
presso il Quartier generale governativo per le comunicazioni
(GCHQ) del Regno Unito, a Cheltenham79.
Queste iniziative serviranno da deterrente contro le attività
dei criminali informatici? Non possiamo esserne sicuri.
Tuttavia, è certo che i governi desiderano dimostrare una
serietà sempre crescente per quanto riguarda la lotta contro
i crimini informatici.
2009
Il futuro
Cosa ci riserva il futuro
Prevedere il futuro in un ambiente in così rapida
evoluzione è praticamente impossibile. Per rendersi
conto di quanto la minaccia si sia aggravata è sufficiente
osservare la frequenza con la quale il malware compare
oggi rispetto a cinque anni fa.
Tuttavia, alcune cose sembrano certe:
adotteranno nuove tecniche e dissimulazioni per infettare
gli utenti inconsapevoli e ignari.
I PC violati continueranno a essere la principale fonte di
spam. Gli utenti devono adottare le precauzioni necessarie
per evitare di diffondere gli attacchi.
Il furto di identità diventerà un problema sempre più
I siti del Web 2.0, come Facebook, Twitter e MySpace
diventeranno il principale campo di battaglia per gli
autori di malware, i ladri di identità e gli spammer. Le
aziende devono educare gli utenti a usare in modo sicuro
i siti di social network e assicurarsi che siano difesi
adeguatamente.
grande e continuerà ad avere conseguenze negative per
la lealtà dei clienti. L'anno prossimo, le leggi impediranno
alle aziende di tenere nascosti gli attacchi alla sicurezza
informatica.
I social network diventeranno il principale strumento di
diffusione del malware
La mancanza di sicurezza del Web (in particolare gli
attacchi con iniezioni di codice SQL) continuerà a essere il
principale fattore di distribuzione del malware. I criminali
informatici potranno continuare a inviare messaggi spam
apparentemente innocenti e contenenti collegamenti
a pagine Web legittime, ma violate. Questi siti violati
contengono collegamenti invisibili a contenuti malevoli.
La varietà degli attacchi e il loro numero continueranno
ad aumentare, in quanto gli hacker e gli autori di malware
La prevenzione diventerà più utile della cura, in quanto la
divulgazione obbligatoria anche delle violazioni potenziali
determina la perdita di fiducia dei consumatori.
Gli attacchi tramite e-mail e Web utilizzeranno in misura
sempre maggiore file non appartenenti a programmi
(non EXE), come documenti Word e i PDF. I file di dati
dall'aspetto legittimo possono nascondere exploit contro le
vulnerabilità del software. Sui PC non muniti di patch, tali
file possono attivare il download e l'installazione invisibile
di virus e Trojan.
Gli utenti dei computer continueranno a doversi occupare
dei problemi di sicurezza del controllo dei sistemi,
in quanto i criminali tenteranno di sfruttare le nuove
tecnologie per fare soldi e provocare danni. Inoltre, le
minacce come il furto di identità e le frodi continueranno a
verificarsi a causa degli errori umani.
Tuttavia, se gestito correttamente, il problema può essere
risolto. Pratiche di sicurezza consolidate, aggiornamenti
alla protezione e un impegno attivo per tenersi informati
aiuteranno le imprese a difendere le proprie reti.
La varietà degli attacchi e delle tecniche degli autori di
malware aumenterà
15
La buona notizia è che il software di protezione migliora
in continuazione. Il rilevamento proattivo di malware
nuovo e sconosciuto è sempre all'ordine del giorno e gli
utenti adeguatamente protetti faranno sempre meno fatica
ad accettare i contenuti sicuri ed evitare quelli pericolosi.
2009
Fonti
16
1. http://www.sophos.com/pressoffice/news/articles/2009/04/social-networking.html
3. http://www.sophos.com/blogs/gc/g/2009/07/05/mi6-chiefs-wife-puts-security-risk-facebook/
4. http://www.sophos.com/blogs/gc/g/2009/04/12/mikeyy-attack-hits-twitter-users-bad-24-hours-web-20-
security/
5. http://www.sophos.com/pressoffice/news/articles/2009/05/twitter-hacker.html
6. http://www.sophos.com/blogs/gc/g/2009/05/24/acai-berry-spammers-hack-twitter-accounts-spread-adverts/
7. http://www.sophos.com/blogs/gc/g/2009/06/01/tory-mp-hacked-facebook/
9. http://www.sophos.com/blogs/gc/g/2009/05/06/hackers-demand-10-million-ransom-wiping-patient-data/
10.
http://www.sophos.com/blogs/gc/g/2009/05/29/109000-pension-holders-risk-laptop-stolen/
11.
http://www.sophos.com/blogs/gc/g/2009/06/04/530000-virginia-patients-individually-warned-ssn-hack/
12.
http://www.nytimes.com/2009/07/07/business/07goldman.html?_r=1
13.
http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/
14.
http://www.sophos.com/blogs/sophoslabs/v/post/2737
15.
16.
17.
18.
http://www.sophos.com/blogs/gc/g/2009/04/09/fixing-hole-paul-mccartneys-website-hacked/
19.
20.
21.
http://www.sophos.com/pressoffice/news/articles/2008/08/sql-podcast.html
22.
23.
http://www.sophos.com/security/sophoslabs/anonymizing-proxies.html
24.
http://www.darkreading.com/blog/archives/2009/06/the_iranian_pro.html
25.
http://www.sophos.com/blogs/gc/g/2009/01/19/barack-obama-refused-president/
26.
http://www.sophos.com/blogs/gc/g/2009/03/16/dirty-bomb-news-report-leads-pc-infection/
27.
http://www.sophos.com/blogs/gc/g/2009/01/02/classmates-malware-campaign-poses-school-reunion-invite/
28.
http://www.sophos.com/blogs/gc/g/2009/05/07/worldpay-card-transactions-carry-malware-danger/
29.
http://www.sophos.com/blogs/gc/g/2009/06/03/postcards-family-member-malware/
30.
http://www.sophos.com/blogs/gc/g/2009/06/15/sex-movie-sherrie-open-link/
31.
http://www.sophos.com/pressoffice/news/articles/2008/05/spam-pledge.html
32.
http://news.bbc.co.uk/1/hi/business/3426367.stm
33.
http://www.sophos.com/products/enterprise/alert-services/zombiealert.html
34.
35.
http://www.sophos.com/blogs/gc/g/2009/01/06/hackers-celebrity-image-seo-spread-scareware/
36.
http://www.sophos.com/blogs/gc/g/2009/03/19/natasha-richardsons-death-exploited-hackers/
37.
http://www.sophos.com/blogs/gc/g/2009/03/10/malware-authors-jump-piftsexe-bandwagon/
38.
39.
40.
www.sophos.com/conficker
41.
http://www.sophos.com/blogs/gc/g/2009/03/27/hype-april-fools-day-conficker-worm/
42.
http://bits.blogs.nytimes.com/2009/03/19/the-conficker-worm-april-fools-joke-or-unthinkable-
disaster/?ref=technology
43.
http://www.usatoday.com/money/industries/technology/2009-03-24-conficker-computer-worm_N.htm
44.
http://www.sophos.com/blogs/gc/g/2009/04/10/pcs-patched-conficker-vulnerability/
45.
http://www.sophos.com/products/free-tools/conficker-removal-tool.html
46.
http://www.sophos.com/blogs/gc/g/2009/06/02/ten-work-pcs-fail-basic-security/
47.
2009
17
48.
http://www.sophos.com/blogs/gc/g/205/09/01/microsoft-improves-autoplay-combat-usb-malware/
49.
http://www.sophos.com/blogs/gc/g/203/09/17/malware-lurking-atm/
50.
http://www.sophos.com/blogs/gc/g/203/09/18/details-diebold-atm-trojan-horse-case/
51.
http://www.sophos.com/security/analyses/viruses-and-spyware/trojskimera.html
52.
53.
54.
http://www.sophos.com/blogs/gc/g/205/09/21/adobe-announces-patch-tuesday/
55.
http://www.apple.com/macosx/what-is-macosx/security.html
56.
http://www.sophos.com/blogs/gc/g/206/09/24/leighton-meeter-sex-tape-lure-spread-malware-twitter-users/
57.
http://www.sophos.com/blogs/gc/g/201/09/26/reports-mac-trojan-pirated-adobe-photoshop-cs4/
58.
http://www.sophos.com/blogs/gc/g/201/09/22/reports-mac-trojan-horse-pirated-version-iwork-09/
59.
http://www.sophos.com/blogs/gc/g/201/09/14/blackberry-pdf-vulnerability/
60.
http://www.sophos.com/blogs/gc/g/205/09/27/control-blackberry-enterprise-server-pdf/
61.
62.
http://www.sophos.com/blogs/gc/g/2009/06/18/apple-update-fixes-46-iphone-security-vulnerabilities/
63.
http://blog.washingtonpost.com/securityfix/2008/07/apple_iphone_four_months_behin_1.html
64.
http://www.theregister.co.uk/2009/07/02/critical_iphone_sms_bug/
65.
http://www.usenix.org/events/upsec08/tech/full_papers/niu/niu_html/
66.
http://www.sophos.com/blogs/gc/g/2009/02/16/indian-government-computers-hit-spyware-attack/
67.
http://www.smh.com.au/technology/technology-news/cyber-activists-target-iranian-government-websites- 20090617-chgy.html
68.
http://www.darkreading.com/blog/archives/2009/06/suspected_malwa.html
69.
http://www.ftc.gov/opa/2009/06/3fn.shtm
70.
http://www.sophos.com/blogs/gc/g/2009/01/08/tj-maxx-hacker-jailed-30-years-turkey/
71.
http://www.sophos.com/blogs/gc/g/2009/03/05/men-guilty-botched-229m-hightech-bank-heist/
72.
http://www.sophos.com/blogs/gc/g/2009/01/22/hackers-smuggled-bank-229-million-heist-court-hears/
73.
http://www.sophos.com/blogs/gc/g/2009/04/09/police-arrest-suspected-banking-trojan-gang/
74.
http://www.sophos.com/blogs/gc/g/2009/05/28/guy-phishing-14-years/
75.
76.
http://www.sophos.com/blogs/gc/g/2009/06/26/uk-attack-countries-cyberspace/
77.
http://www.sophos.com/pressoffice/news/articles/2009/03/mac-malware.html
78. http://www.sophos.com/blogs/gc/g/206/09/24/leighton-meeter-sex-tape-lure-spread-malware-twitter-users/
2009
Per maggiori informazioni sui prodotti Sophos e su come valutarli, visitate il sito www.sophos.it.
Boston, USA | Oxford, Regno Unito
© Copyright 2009. Sophos Plc. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari.
tr/090721

Rapporto sulla sicurezza: Aggiornamento luglio 2009

Transcript

Documenti analoghi

protezione totale, semplice, conveniente sophos msp

italia he index italia he index

Consulenza remota

Ridurre il tempo dedicato alla manutenzione dei dispositivi

Scheda tecnica

Brochure OEM Partner Program

Speciale: I casi • Introduzione dell`area tematica • Il caso

Sophos Mobile Control

Scheda tecnica su Sophos Antivirus per vShield

Sophos Anti-Virus —Business