Rapporto sulla sicurezza: Aggiornamento luglio 2009
Transcript
Rapporto sulla sicurezza: Aggiornamento luglio 2009
Rapporto sulla sicurezza: Aggiornamento luglio 2009 Uno sguardo alle sfide future © Copyright 2009. Sophos Plc. Tutti i marchi registrati e i copyright sono compresi e riconosciuti da Sophos. Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero dati o trasmessa in qualsiasi forma o con qualsiasi mezzo senza il consenso scritto degli editori. Rapporto sulla sicurezza: Aggiornamento luglio 2009 Panoramica Quando un documento Word fu pubblicato nel newsgroup usenet alt.sex, il 26 marzo 1999, probabilmente molte persone ritennero che il file fosse inoffensivo e non vedevano l'ora di aprirlo e accedere alle password dei siti Web pornografici. Questo stratagemma provocò la rapida diffusione del virus Melissa, che sfruttava il linguaggio macro integrato in Microsoft Word. Melissa all'epoca rappresentò certamente un grosso problema ma, 10 anni dopo, il malware è diventato più insidioso che mai e ha trasformato i PC non muniti di patch in vettori malevoli e con motivazioni finanziarie. 23.500 nuove pagine Web infette vengono scoperte ogni giorno. Ovvero, una pagina ogni 3,6 secondi, 4 volte di più dello stesso periodo del 2008. Gli Stati Uniti ospitano più malware e diffondono più spamming di qualsiasi altro Paese. 40.000 nuovi file sospetti sono esaminati ogni giorno da SophosLabs. 22,5 milioni di diversi campioni di malware presenti nell'archivio dell'ente di verifica indipendente AV-Test. org. Oggi, la maggior parte delle aziende ha protetto i propri gateway e-mail e ampliato le difese contro il malware presente nelle e-mail e lo spamming malevolo. Di conseguenza, i criminali informatici hanno sviluppato delle tecniche per infettare i sistemi di nascosto, inserendo codice malevolo in siti Web innocenti nei quali cercano di attirare le vittime. 15 nuovi siti Web di produttori di antivirus fasulli vengono scoperti ogni giorno. Questo numero è triplicato, partendo da una media di cinque siti rilevati al giorno, nel 2008. Il 2009 ha dimostrato che gli attacchi stanno continuando ad intensificarsi. Anche se il numero di attacchi basati sul Web è superiore a quello degli attacchi portati attraverso le e-mail, i criminali informatici animati da motivazioni finanziarie stanno rivolgendo la loro attenzione alle piattaforme Web 2.0 come Facebook e Twitter e a programmi e strumenti alternativi come i file Adobe Flash e PDF. Ogni giorno vengono scoperti circa 6.500 nuovi siti Web correlati allo spamming, ossia un nuovo sito Web ogni 13 secondi, 24 ore su 24. Questa cifra e quasi doppia rispetto a quella dello stesso periodo del 2008. Le aziende che adottano nuove tecnologie e i lavoratori che portano con sé sul posto di lavoro software e dispositivi in grado di facilitare la comunicazione e la raccolta di informazioni, stanno offrendo agli hacker nuovi campi di azione. Sophos riceve 40.000 file sospetti unici al giorno, ossia 28 file unici al minuto, 24 ore su 24. L'ente di verifica indipendente AV-Test.org, attualmente ha inserito nel proprio archivio oltre 22,5 milioni di esempi unici di malware, 1 Sei mesi in sintesi Rapporto sulla sicurezza Sophos L'89,7% di tutte le e-mail aziendali è costituito da spam. fonte: SophosLabs rispetto ai 12,3 milioni del giugno 2008, a dimostrazione che l'entità del problema è praticamente raddoppiata. È chiaro che il raggio di azione dei criminali globali ha raggiunto un livello tale da costituire un vero e proprio “volano del crimine”. Le aziende continuano a trovarsi di fronte a una serie di minacce sempre più difficili da combattere. 2009 Web 2.0 e social network Un campo di battaglia per il malware Per la maggior parte delle organizzazioni, l'aumento della produttività dei lavoratori è da sempre una delle principali priorità. Esso costituisce anche il principale motivo che induce a controllare l'accesso ai social network. I siti come Facebook sono stati rapidamente identificati come il paradiso dei fannulloni. Alcune aziende hanno appurato che i loro dipendenti non solo trascorrevano più tempo a utilizzare questo sito di qualunque altro, ma utilizzavano anche una larghezza di banda eccessiva. Le organizzazioni si sono preoccupate sempre più degli attacchi malevoli lanciati dai siti di social network, come Gli stessi risultati della ricerca indicano inoltre che un quarto delle aziende è stato vittima di attacchi di spamming, phishing o malware tramite siti come Twitter, Facebook, LinkedIn e MySpace. Ecco un esempio di alcuni degli attacchi ai social network che Sophos ha scoperto negli ultimi sei mesi: Gennaio Gli utenti di Twitter ricevettero dei messaggi diretti dai loro amici in cui venivano invitati a visitare un sito Web di phishing 4 che poi tentò di rubare il loro nome utente e la loro password. Fonte: Ricerca Sophos* pure dei rischi degli utenti che divulgano in Internet dati personali o aziendali sensibili. Le ricerche di Sophos dimostrano che due terzi delle aziende temono che i social network compromettano la sicurezza aziendale1. I risultati delle ricerche hanno inoltre evidenziato che il 63% degli amministratori di sistema temono che i loro dipendenti condividano troppi dati personali tramite i siti di social network, mettendo a repentaglio l'infrastruttura dell'azienda e i dati sensibili memorizzati al suo interno2. Esistono dei dati che mostrano come tale preoccupazione sia giustificata. Nel giugno 2009, i dati personali appartenenti al futuro capo dei servizi segreti inglese MI6 furono divulgati su tutta la rete di Facebook: sua moglie aveva consentito ai membri della rete “London” di visualizzare il suo profilo3. I messaggi diretti indussero i membri di Twitter a visitare il sito Web di phishing Gennaio Sophos venne a conoscenza di una truffa in Facebook5 che consisteva nel trafugare gli account degli utenti nel tentativo di carpire dati sensibili ad amici e familiari degli utenti di Facebook. Gennaio Shane Symington, utente di MySpace, perse oltre $ 210.000 a causa di una truffa via e-mail6. La donna fu derubata quando la sua sedicente amica nigeriana iniziò a chiederle denaro per aiutare la mamma malata. In realtà, come dimostrò la successiva indagine dell'FBI, si trattava di una truffa ben congegnata per approfittarsi del buon cuore della vittima. Aprile Furono lanciati due attacchi di scripting organizzati dal diciassettenne Mikeyy Mooney contro gli utenti di Twitter7. Questi attacchi XSS tentarono di caricare uno script remoto ben nascosto dal sito Web di un'altra azienda e di prelevare i profili degli ignari utenti. Fonte: Ricerca Sophos* 2 Rapporto sulla sicurezza Sophos *A causa dell’arrotondamento, alcuni totali non sono uguali al 100% 2009 Maggio Un hacker francese violò il sistema di amministrazione interno di Twitter8, accedendo agli account utente di Twitter. Alcuni degli utenti famosi che subirono gli attacchi dell'hacker furono Barack Obama, Britney Spears, Ashton Kutcher e Lily Allen. Tuttavia, negando completamente l'accesso ai siti di social network preferiti dai dipendenti, le organizzazioni li indurranno a cercare altre soluzioni per eludere il divieto, creando delle falle ancora maggiori nella difesa dell'azienda. Inevitabilmente, i gruppi IT avranno un controllo minore sulle attività dei loro utenti. I social network non scompariranno e, poiché possono offrire vantaggi alle aziende, oltre che rischi, è meglio assicurarsi che gli utenti possano partecipare ai social network in modo ragionevole e sicuro, piuttosto che impedire loro del tutto la partecipazione. Per proteggere gli utenti, le aziende dovrebbero ricorrere a soluzioni di sicurezza in grado di controllare ogni collegamento e pagina Web non appena l'utente li visita, per verificare l'eventuale presenza di malware o attività sospette. Le aziende dovrebbero inoltre: Maggio Centinaia di account del servizio di micro-blog di Twitter furono violati dagli spammer che attaccarono i dietologi di Acai Berry9, evidenziando la necessità di una migliore protezione tramite password. Giugno Gli hacker riuscirono ad accedere al nome utente e alla password di Facebook del politico inglese Michael Fabricant 10 e a inviare messaggi a 1500 suoi amici, invitandoli a visitare una pagina Web malevola. Per contrastare il crescente problema delle minacce sul Web 2.0, Sophos ha scoperto che circa il 50% delle aziende sta bloccando tutti o alcuni accessi ai social network11. Informare i propri dipendenti sui rischi che si corrono in Internet e assicurarsi che tutti i dipendenti siano consapevoli delle conseguenze che tali azioni potrebbero avere sulla rete aziendale Consentire l'accesso ai più diffusi siti di social network tipo Facebook solo in orari specifici, ad esempio durante la pausa pranzo Controllare le informazioni che l’organizzazione e i singoli team condividono online. Se i dati aziendali confidenziali sono già stati condivisi, valutare la situazione e agire di conseguenza • Applicare funzionalità di sicurezza a più livelli, sia nel gateway che nell'endpoint Fonte: Ricerca Sophos* A causa dell’arrotondamento, alcuni totali non sono uguali al 100% 3 Rapporto sulla sicurezza Sophos 2009 Fuga di dati Dati non protetti La fuga dei dati resta una delle principali preoccupazioni per il 2009, in quanto i relativi scandali continuano a occupare le prime pagine dei giornali. Molte aziende e istituzioni dello Stato non sono riuscite a proteggere i loro dati riservati, comprese le identità di dipendenti, clienti e utenti. Non è solo la minaccia di pubblicità negativa a suscitare interesse nella protezione dei dati, ma anche la preoccupazione che l'organizzazione non soddisfi gli standard di sicurezza previsti dalla legge. Le aziende di tutto il mondo utilizzano una serie di tecniche per impedire la fuga di dati dai dispositivi mobili connessi a Internet. Questi strumenti includono software antivirus, cifratura e firewall, access control, policy definite e migliore formazione dei dipendenti. Tuttavia, gli utenti utilizzano e condividono regolarmente i dati senza preoccuparsi troppo della riservatezza e delle leggi sulla protezione dei dati stessi. Nei primi sei mesi del 2009, questo ha provocato numerosi incidenti con perdita di dati, alcuni accidentali, alcuni malevoli: Maggio Gli hacker violarono un sito Web del governo della Virginia, trafugando i dati personali di quasi 8,3 milioni di pazienti e minacciando di venderli al miglior offerente.12 singolarmente che i loro numeri di previdenza sociale erano stati violati in seguito all'attacco di un hacker che si era introdotto nel programma di monitoraggio delle ricette dello Stato del Virginia 14. Giugno Le autorità arrestarono un ex dipendente della Goldman Sachs il quale aveva caricato il codice sorgente segreto dell'azienda su un server FTP ubicato in Germania15. Cifratura La procedura più importante per bloccare la fuga di dati consiste nella cifratura di dati sensibili archiviati nei laptop e nei dispositivi di memorizzazione rimovibili. Se i dati vengono cifrati con una password, non possono venire decifrati né utilizzati, a meno che la password non sia conosciuta. Ciò significa che anche se tutte le altre misure di sicurezza non riescono a impedire che un hacker acceda ai dati più sensibili, egli non riuscirà a leggerle e quindi a comprometterne la riservatezza. La seconda procedura consiste nel controllare il modo in cui gli utenti trattano le informazioni. È opportuno non adottare comportamenti a rischio, come ad esempio il trasferimento di dati non cifrati su dispositivi USB e via e-mail. Le organizzazioni dovrebbero estendere la loro infrastruttura anti-malware al fine di: Maggio Il furto di un solo laptop nel Regno Unito mise a rischio le identità personali di 109.000 pensionati. Il laptop conteneva nomi, indirizzi, date di nascita, numeri di previdenza sociale, nomi dei dipendenti, informazioni sugli stipendi e sui conti correnti13. Proteggere i dati in movimento e quelli in uso Giugno 530.000 pazienti della Virginia furono informati Nell'attuale congiuntura economica, le aziende devono fare molta attenzione per assicurarsi che i dispositivi dei lavoratori in viaggio siano adeguatamente cifrati oppure che i dati in essi contenuti vengano correttamente cancellati. Garantire un funzionamento efficace. Assicurarsi che vengano rispettate le norme vigenti. Il furto di un laptop ha fatto correre seri pericoli a 109.000 pensionati 4 Rapporto sulla sicurezza Sophos 2009 Minacce in Internet Sfruttamento di siti Web legittimi Internet resta uno dei principali veicoli di cui si servono i criminali informatici per infettare i computer in tutto il mondo. Gran parte dei siti Web infettati è costituita da siti legittimi che sono stati violati per veicolare codice malevolo o, più comunemente, script che scaricano a loro volta altri script malevoli dai siti Web di terzi. Gli utenti che visitano i siti Web possono venire infettati semplicemente visitando pagine Web infette, oppure essere indotti a scaricare codice malevolo nel loro computer. La portata di questi attacchi non può essere sottovalutata, in quanto sono stati presi di mira tutti i tipi di siti: quelli della pubblica amministrazione, quelli degli istituti di istruzione, quelli delle ambasciate, quelli dei partiti politici, quelli che mettono in vendita dispositivi high-tech e quelli delle community di programmatori. Le 10 principali minacce malware presenti in Internet Mal/Iframe 29.9% Mal/ObfJS 24.9% Troj/JSRedir 18.9% Mal/Badsrc 18.3% Troj/Fujif 1.6% Troj/Badsrc 1.5% Troj/Iframe 1.4% Troj/Decdec 1.4% Troj/Unif 0.6% Mal/FunDF 0.3% Other 1.7% fonte: SophosLabs Il protagonista più pericoloso è Troj/JSRedir. Nonostante sia arrivato solo alla fine di aprile, è stato scoperto in molte migliaia di siti Web. Ad esempio, in appena una settimana del mese di maggio ha infettato sei volte più pagine Internet di qualsiasi altro malware.16 Tuttavia, molti siti conosciuti e affidabili sono caduti vittima di questi tipi di attacchi, evidenziando la necessità da parte di tutte le organizzazioni, sia grandi che piccole, di difendere adeguatamente i propri siti. Quello che segue è solo un piccolo esempio dei siti Web interessati a livello mondiale che sono caduti vittima di un attacco malevolo durante i primi sei mesi del 2009: 5 Rapporto sulla sicurezza Sophos Gennaio Numerosi siti, compreso un sito di social network di un ex militare in pensione nel Regno Unito, subirono un attacco SQL e furono infettati da codice malevolo17. Gennaio L'ambasciata indiana in Spagna fu vittima di un attacco Mal/IFrame-F18. Gennaio Sophos scoprì che il sito Pravda.ru, appartenente al famoso giornale russo, era stato violato da Mal/IframeF19. Marzo L'ambasciata etiope di Washington D.C. fu vittima di un attacco Iframe20. Aprile Il sito di Paul McCartney fu violato21 da un codice JavaScript nascosto che spiava gli utenti che eseguivano operazioni di online banking. Maggio Sophos scoprì che il codice JavaScript nascosto veniva iniettato nei siti che ospitano il video virale “2 Girls 1 Cup”22. Il malware tentava di reindirizzare l'utente verso un altro dominio che ospitava un payload malevolo. Giugno Il sito Internet del partito comunista britannico fu infettato da Mal/Iframe-F23. Il codice nascosto puntava verso un sito malevolo cinese che eseguiva spoofing in Google. Attacchi con iniezione di codice SQL Uno dei motivi per cui il Web subisce così tanti attacchi è che i siti innocenti di cui gli utenti tendono a fidarsi naturalmente possono essere violati e utilizzati per infettare un gran numero di utenti. Tuttavia, la vittima non è solo l'ignaro visitatore, ma anche il proprietario del sito Web, che può subire un attacco. Questo risulta particolarmente evidente negli attacchi con iniezione di codice SQL, i quali sfruttano le falle nella sicurezza e inseriscono codice malevolo (in questo caso, tag di script) nel database in esecuzione in un sito Web. L'attacco funziona quando i dati immessi dall'utente, ad esempio quelli contenuti in un modulo Web, non vengono filtrati o controllati correttamente ma vengono imprevedibilmente eseguiti come codice, disseminando il database di istruzioni malevole. Il ripristino può risultare difficile ed esistono numerosi casi di proprietari di siti Web che ripuliscono il loro database per poi subire nuovi attacchi dopo qualche ora. La soluzione migliore è la prevenzione24. Lo sviluppo e il rispetto delle migliori pratiche può ridurre al minimo la possibilità di futuri attacchi25. 2009 Collegamenti malevoli A parte l'iniezione di codice SQL, gli hacker continuano a utilizzare sistemi automatici per inviare collegamenti malevoli nelle sezioni relative ai commenti di blog e forum e a utilizzare servizi gratuiti di web-hosting per creare siti personalizzati per la diffusione di malware. Questo è possibile in quanto è facilissimo creare nuove pagine senza fornire i propri dati di identificazione. Gli hacker continuano a sviluppare strumenti automatici che utilizzano motori di ricerca come Google per identificare i siti Web potenzialmente vulnerabili e iniettare codice nei loro server. Di conseguenza, sono rari i casi in cui i siti Internet vengono presi di mira deliberatamente per diffondere malware. Spesso vengono semplicemente e sfortunatamente scoperti dallo strumento di distribuzione di malware dei criminali informatici. I primi 10 Paesi che ospitano malware sul Web United States 39.6% Tuttavia, i proxy anonimi non sono utilizzati esclusivamente per fini politici; i dipendenti degli uffici possono servirsene per eludere i criteri aziendali e le difese perimetrali. Le informazioni sui proxy anonimi pubblici vengono condivise liberamente in migliaia di blog, forum e siti Web ed esiste un numero sconosciuto di proxy anonimi privati realizzati per essere usati da parte di individui o piccoli Classifica del malware Il grafico dei primi 10 Paesi che ospitano malware sul web indica alcuni interessanti cambiamenti: La percentuale di malware a livello mondiale ospitato in Cina si è dimezzata, passando dal 31,3% nel primo periodo del 2008 al 14,7% odierno. Tuttavia, vale la pena ricordare che durante lo stesso periodo il volume di pagine Web infettate rilevate da Sophos a livello mondiale è quadruplicato. China 14.7% Russia 6.3% Peru 4.3% Germany 3.5% South Korea 2.7% Turkey 2.5% Thailand 2.4% Poland 2.3% United Kingdom 2.0% Other 19.7% Resistenza degli utenti alla sicurezza sul Web Anche se la sicurezza Web è studiata per proteggere gli utenti contro malware e altre minacce, alcuni utenti hanno reagito negativamente e hanno adottato comportamenti che mettono a repentaglio la protezione. Questo è particolarmente vero nei casi in cui le aziende e le organizzazioni filtrano gli URL, bloccando l'accesso per motivi legati ai criteri adottati. Ad esempio, le aziende potrebbero scegliere di bloccare l'accesso ai siti Web di social network o ai siti Web di video, per motivi di produttività o riservatezza. Alcuni utenti hanno reagito al filtraggio Web utilizzando tecnologie come i proxy anonimi26. I proxy anonimi nascondono la vera natura di un sito Web e inducono il filtro URL di un'organizzazione a consentire contenuti impropri o bloccati. Forse l'utilizzo di più alto profilo dei proxy anonimi è quello riscontrato di recente in Iran nel giugno 2009, quando i cittadini ricorsero alla tecnologia nel tentativo di evitare la censura di Internet a opera del governo27. I sostenitori che non si trovavano in Iran pubblicarono addirittura i dettagli dei proxy anonimi su social network come Twitter e Facebook per aiutare gli iraniani a scoprire cosa stava raccontando il mondo esterno. 6 Rapporto sulla sicurezza Sophos Il contributo significativo del Perù alla diffusione del problema è dipeso in gran parte da un enorme numero di pagine Internet che erano state violate da Mal/iFrame-F. Vale la pena notare che, anche se i siti Web trasportano malware, non significa necessariamente che gli hacker si trovino fisicamente nello stesso Paese del sito interessato. Nel tentativo di diffondere il malware, gli hacker abusano dei siti Web in tutto mondo. gruppi. Di conseguenza, è facile che gli utenti accedano ai proxy anonimi, ma per gli amministratori risulta difficile rilevarli e bloccarli. Se i dipendenti utilizzano i proxy anonimi, oltre a eludere il filtraggio URL, evitano anche la scansione perimetrale dei contenuti. Ovviamente questo può avere delle ripercussioni sulla sicurezza. Sophos ha addirittura identificato proxy anonimi che sono essi stessi infettati da vari tipi di malware. Non è possibile stabilire se i proxy anonimi siano vittime innocenti dell'infezione oppure se siano stati configurati con malware incorporato per violare i computer che li utilizzano. Ulteriori ricerche effettuate da SophosLabs evidenziano come l'utilizzo di proxy anonimi risulti particolarmente prevalente presso alcuni istituti di istruzione, in cui gli studenti con conoscenze tecniche avanzate tentano di sovvertire i criteri di utilizzo accettabili. Sophos controlla attivamente i forum Internet per scoprire e bloccare nuovi servizi proxy anonimi e incorpora il rilevamento in tempo reale di proxy anonimi privati mediante il controllo del traffico nella relativa Web appliance per la sicurezza. 2009 Minacce via e-mail Una fonte di preoccupazione Anche se le minacce basate sul Web hanno avuto la tendenza a dettare l'agenda del malware nei primi sei mesi del 2009, il numero di minacce distribuite per e-mail resta una grossa fonte di preoccupazione. Oltre a usare allegati e-mail malevoli, i criminali informatici inseriscono regolarmente dei collegamenti malevoli nelle e-mail che puntano a siti Web pericolosi e lanciano attacchi fantasiosi per attirare gli utenti curiosi. I 10 principali allegati e-mail contenenti malware Gen. – Giu. 2009 e-mail invitava gli utenti a visitare una pagina Web malevola e infettava i PC con WaledPak. Marzo Gli hacker distribuirono delle e-mail in cui si affermava che un sito dell'agenzia di stampa Reuters aveva dato la notizia di una bomba scoppiata in città29. Ciascuna e-mail conteneva un collegamento a una pagina Internet che installava codice malevolo e a un filmato che scaricava WaledPak. Tuttavia, pur non figurando in cima alla classifica, molti degli altri virus elencati si sono diffusi durante la prima metà dell'anno. Marzo Sophos mise in guardia contro una nuova campagna malware che aveva interessato i membri di Classmates e FriendsReunited30. Ciascuna e-mail induceva gli utenti a fare clic su collegamenti che consentivano di visualizzare un video relativo a Mal/WaledPak 20.0% Troj/Agent 12.8% Mal/FakeVirPk 9.5% W32/Netsky 8.5% W32/Autorun 5.3% Troj/Invo 5.2% Mal/EncPk 5.0% W32/Mytob 3.9% Mal/Iframe 3.7% Troj/Waled 3.5% Other 22.6% fonte: SophosLabs Il dominio da parte di WaledPak dello schema di malware degli allegati e-mail — che rappresenta il 20% di tutti i rapporti nei primi sei mesi del 2009 — è significativo, in quanto esso aveva iniziato a diffondersi alla fine di dicembre 2008. Da allora si è propagato ricorrendo a numerosi travestimenti: Gennaio Alla vigilia dell'insediamento di Obama, Sophos scoprì una campagna di spamming malevolo che stava diffondendo la notizia che Barack Obama aveva rifiutato di essere eletto Presidente degli Stati Uniti28. Ciascuna Il malware basato sul Web attaccò i membri di Classmates un'imminente riunione di ex compagni di scuola, ma che invece conduceva a una pagina malevola che infettava i PC Windows con un Trojan malevolo. Maggio Una variante della seconda principale famiglia di malware, Troj/Agent-JUC, fingeva di inviare comunicazioni da WorldPay31 affermando che Amazon aveva effettuato un addebito sulla carta di credito dell'utente. Quando l'utente faceva clic sul file allegato, Troj/Agent-JUC infettava il sistema. Giugno Sophos intercettò un attacco diffuso da parte di hacker che distribuivano Mal/FakeVirPk tramite un finto biglietto di auguri elettronico inviato da un familiare32. Quando il destinatario dell'e-mail apriva il biglietto di auguri, il file malevolo veniva eseguito. WaledPak e le false notizie sul presidente Obama 7 Rapporto sulla sicurezza Sophos Giugno Venne ampiamente diffusa un'e-mail contenente un collegamento a un presunto film pornografico di cui il destinatario era protagonista33. Tuttavia, quando l'utente incuriosito faceva clic sul collegamento, veniva indirizzato al sito che infettava il PC con spyware malevolo. 2009 Spam Lo spam rappresenta ancora una minaccia importante Il fenomeno dello spam continua a flagellare le aziende. Dai dati raccolti da Sophos emerge che l'89,7% di tutte le mail aziendali in circolazione è costituito da spam. Ogni giorno vengono scoperti circa 6.500 nuovi siti Web relativi allo spam, ossia un nuovo sito Web ogni 13 secondi, 24 ore su 24. Questa cifra è quasi raddoppiata rispetto allo stesso periodo del 2008 (1 ogni 20 secondi). Anche se il primo messaggio di spam fu inviato oltre 30 anni fa34, gli spammer creano in continuazione nuovi domini Web nel tentativo di evitare di essere scoperti da parte di soluzioni di sicurezza rudimentali che si affidano esclusivamente a una lista nera di siti Web pericolosi e conosciuti. È importante che si faccia ancora di più per aumentare la consapevolezza tra gli utenti in merito all'importanza di tenere al sicuro il proprio PC. Si stima che oltre il 99% di tutto lo spam sia inviato dai computer botnet di utenti domestici non adeguatamente protetti con software antivirus aggiornato, firewall e patch di protezione. Sophos ha riscontrato come lo spam venga inviato dai paesi di tutto il mondo, mettendo in risalto l'esigenza da parte di tutti i Paesi di garantire una corretta difesa contro gli attacchi malware. Siete degli spammer? Praticamente tutti i messaggi spam provengono da computer violati (chiamati “bot” o “zombi”) che, all'insaputa dei loro proprietari, vengono usati dagli hacker per inviare grandi volumi di spam, lanciando attacchi Denial-of-Service distribuiti o rubando informazioni riservate. Disporre di una protezione antivirus aggiornata, installare ed eseguire un firewall e assicurarsi che tutte le patch di sicurezza siano aggiornate sia per il sistema operativo che per le applicazioni installate riduce notevolmente la probabilità di subire attacchi. Il servizio Sophos ZombieAlert identifica i computer aziendali in balia degli hacker, da cui vengono inviati messaggi di spam36. 8 Rapporto sulla sicurezza Sophos Invio di spam in base al Paese United States 15.7% Brazil 10.7% China (Including Hong Kong) 6.0% India 5.1% Turkey 4.7% South Korea 4.3% Russia 3.5% Poland 3.4% Spain 3.2% Argentina 2.6% Italy 2.5% Colombia 2.4% Romania 2.2% Vietnam 2.1% Germany 2.0% United Kingdom 2.0% Chile 1.8% France 1.6% Thailand 1.4% Mexico 1.2% Other 21.6% fonte: SophosLabs Gli Stati Uniti hanno visto un leggero aumento della loro quota di spam inviato a livello mondiale, passando al 15,7%, rispetto al 14,9% nello stesso periodo del 2008. La Russia è scesa dalla seconda posizione che occupava in precedenza, passando dal 7,5% al 3,5%. Questo probabilmente dipende dal fatto che gli ISP sono più determinati a impedire la diffusione di spam dai computer dei loro clienti. La presenza di Paesi come Turchia, Polonia e India può essere ricondotta alla base utenti in espansione di coloro che utilizzano Internet ad alta velocità. Tuttavia, è probabile che gli utenti non siano adeguatamente consapevoli dell'importanza della sicurezza informatica (oppure che siano meno disposti a spendere per l'acquisto di software antivirus). La previsione di Bill Gates che lo spam sarebbe stato del tutto eliminato entro il 200635 si è rivelata sbagliata e il problema delle botnet resta di rilevanza globale. È chiaro che la lotta contro lo spam va coordinata. I computer devono essere difesi mediante software antivirus aggiornato, per impedire che vengano utilizzati come relay dagli spammer. I perimetri delle e-mail vanno protetti con soluzioni sofisticate che consentano di bloccare le minacce in entrata. Le autorità devono disporre delle risorse necessarie per perseguire gli spammer e affidarli alla giustizia. Inoltre, gli utenti devono essere maggiormente consapevoli dell'importanza della sicurezza informatica ed evitare di acquistare prodotti pubblicizzati tramite spam. 2009 Anche se gli US sono tra i principali Paesi responsabili della diffusione di spam, i dati relativi ai continenti indicano che l'Asia è responsabile della diffusione di un terzo dello spam a livello mondiale. di messaggistica istantanea tramite il quale una botnet, travestita da donna, attirava gli utenti in una chat per cuori solitari, per poi indurli a visitare un sito Web malevolo37. Spam diviso per continenti, Gen. – Giu. 2009 Spam di social network Asia 33.3% Europe 25.4% South America 19.3% North America 19.2% Africa 2.1% Oceania 0.6% Uncategorized 0.1% fonte: SophosLabs Gli spammer sfruttano anche la crescente popolarità di social network come Twitter e Facebook per diffondere le loro inserzioni e collegamenti pericolosi. Anche se i servizi e-mail basati sul Web come Gmail, Yahoo e Hotmail sono maturati nel corso degli anni e hanno sviluppato soluzioni per proteggere i loro utenti, i social network sono diventati molto popolari in un breve lasso di tempo, anche se spesso hanno trascurato la protezione degli utenti contro l'invio di messaggi indesiderati. Queste statistiche non sono una sorpresa, ma dimostrano un'equazione molto semplice: tanto più alto è il numero di computer connessi e non adeguatamente protetti, quanto maggiore è la percentuale di spam che essi inviano al resto del mondo. Altre nuove tendenze dello spam Lo spam tramite messaggistica istantanea sta diventando un metodo di diffusione molto utilizzato; gli spammer utilizzano applicazioni di messaggistica istantanea, come MSN Chat, per evitare i filtri antispam e inducono gli ignari utenti a rivelare informazioni sensibili e di carattere finanziario. Gli hacker diffondono lo spam da una botnet, contenente vari indirizzi e-mail e una piccola randomizzazione del contenuto. Nel mese di giugno, SophosLabs ha intercettato spam Lo spam di messaggistica istantanea utilizza MSN Chat per indurre gli utenti a visitare siti di phishing 9 Rapporto sulla sicurezza Sophos 2009 Malware Sfruttare la paura Il business del finto software antivirus continua a prosperare per i criminali informatici, i quali di conseguenza ci stanno investendo enormi risorse. Tali attacchi, comunemente noti come scareware o rogueware, sfruttano le paure legate alla sicurezza IT e inducono gli utenti a credere che il loro computer abbia un problema, mentre in realtà non è così. Di solito, lo scareware viene installato nei siti Web sotto forma di messaggi pubblicitari o file scaricabili camuffati. Tuttavia, vi sono anche dei casi in cui gli hacker hanno messo in circolazione scareware, o collegamenti ad esso, utilizzando le tradizionali tecniche di ingegneria sociale per ingannare gli utenti e indurli a fare clic sull'allegato o sul collegamento. Mediamente, Sophos identifica 15 nuovi siti Web di scareware al giorno. Questo numero è triplicato, partendo da una media di cinque siti rilevati al giorno, nel 2008. Le bande di hacker si sono specializzate nella rapida creazione di siti Web fasulli dall'aspetto professionale, che sembrano offrire soluzioni di sicurezza legittime. Gli antivirus fasulli sono inoltre stati distribuiti violando i risultati dei più diffusi motori di ricerca tramite tecniche e schemi di ottimizzazione dei motori di ricerca (SEO). Gennaio SophosLabs scoprì che gli hacker stavano utilizzando SEO in combinazione con fotografie di personaggi famosi come Warren Beatty e Shania Twain nel tentativo di rubare denaro38. Marzo Gli hacker utilizzarono la morte prematura di Natasha Richardson per riempire le pagine Web39 di parole chiavi relative all'attrice deceduta, per indurre gli ignari navigatori a visitare i loro siti pericolosi e a infettare conseguentemente i loro computer. Marzo Gli hacker sfruttarono un noto problema del prodotto Norton Anti-Virus di Symantec40, violando i motori nel tentativo di sfruttare a fini di lucro i computer degli utenti inconsapevoli alla ricerca di informazioni. Giugno Dei criminali informatici opportunisti sfruttarono la morte di Farrah Fawcett41 e Michael Jackson42 per diffondere malware e spam. Altre tendenze del malware Non tutto il malware si diffonde tramite e-mail o il Web. Il worm Conficker43, ad esempio, utilizza Internet e i protocolli di rete per diffondersi, oltre a infettare le chiavette USB, ma non infetta né le e-mail né i sistemi Web. Conficker, che sfruttava una falla nella sicurezza Microsoft e fece la sua prima apparizione alla fine del 2008, diventò famoso durante i primi mesi del 2009, grazie al grande risalto dato dai media alla notizia che il 1° aprile 2009 avrebbe cambiato aspetto per cercare nuove istruzioni. Anche se è evidente che molte aziende e organizzazioni fecero fatica a proteggersi adeguatamente contro l'attacco49, è altresì legittimo nutrire dei dubbi sul fatto che il grande allarme suscitato dalla comparsa del worm contribuì all'effettivo miglioramento della sicurezza informatica in senso lato o se si trattò invece di un allarme decisamente spropositato per la sicurezza dei computer. Conficker – Un worm diventa famoso “Il tuo PC sarà violato il 1° aprile 44” “Il worm Conficker: pesce d'aprile o disastro inimmaginabile?45”, “Le forze di sicurezza dei PC si preparano alla resa dei conti del 1° aprile con il worm Conficker46” sono solo alcuni dei titoli di giornale che contribuirono alla "Confickermania" in attesa dell'arrivo del 1° aprile. Ironia della sorte, complessivamente, l'industria della sicurezza informatica non fu responsabile dell'isteria relativa a Conficker e al 1° aprile. Al contrario, sembra che la storia fosse stata ampiamente gonfiata dai media, nonostante molti fornitori di soluzioni di sicurezza avessero annunciato che molto probabilmente gli utenti non avrebbero notato alcun cambiamento al sopraggiungere della data fatidica. Gli hacker sfruttarono la morte di un'attrice ricorrendo a tecniche di SEO 10 Rapporto sulla sicurezza Sophos Certamente, il 1° aprile 2009 non vi fu alcuna attività insolita da parte di Conficker e molti iniziarono a chiedersi chi avesse messo in giro la voce 47 e, cosa più importante, cosa fare per evitare che il fatto si ripetesse in futuro48. 2009 Uno dei modi in cui Conficker riuscì a diffondersi fu tramite le chiavette USB, una tecnica che, secondo le ricerche Sophos, il malware ha adottato in modo crescente nel corso del 200950. Solitamente, questo malware sfrutta la funzionalità AutoRun di Windows per attivarsi automaticamente al momento dell'inserimento in un computer. Poiché il prezzo di queste unità portatili si è ridotto notevolmente e il loro uso è sempre più diffuso, gli hacker hanno iniziato a considerarle alla stregua dei dischi floppy e le hanno utilizzate per diffondere le infezioni. Si trattò di una violazione nella sicurezza lungo la catena di fornitura dell'hardware per i Bancomat oppure si trattò di qualcuno che agì dall'interno della banca? Finora Diebold si è limitata a dire che non si trattò di una violazione della sicurezza a livello di rete. Chiaramente, attenersi alle migliori pratiche può contribuire a ridurre al minimo le possibilità di violazione della sicurezza dei Bancomat e gli utenti dovrebbero essere consapevoli che alcuni hacker potrebbero attaccare i Bancomat direttamente, piuttosto che i clienti della banca nel momento in cui essi utilizzano Internet per gestire online i loro conti correnti. I virus che sfruttano il polimorfismo per mutare il loro aspetto ebbero il loro momento di gloria all'inizio degli anni '90. Tuttavia, l'evoluzione recente di questa tecnologia viene oggi sfruttata dal malware, nel tentativo di evitare il rilevamento. Le famiglie di virus Scribble55, Sality56 e Vetor sono esempi di malware che da un lato è polimorfico e dall'altro si diffonde senza controllo. Il 2009 ha visto un aumento nell'utilizzo di chiavette USB per la diffusione del malware L'epidemia del malware USB ha indotto Microsoft ad annunciare dei cambiamenti per quanto riguarda la gestione della funzionalità AutoRun in Windows 751. Con sempre maggiore frequenza, le organizzazioni sono alla ricerca di soluzioni di sicurezza in grado di controllare l'utilizzo delle unità USB, non solo per impedire la distribuzione del malware, ma anche per impedire la fuga dei dati dai loro uffici. Altre tendenze osservate nel malware all'inizio del 2009 includevano la scoperta da parte di SophosLabs del primo codice malevolo apparentemente studiato per aiutare i criminali a rubare denaro dagli sportelli Bancomat52. Diebold rilasciò un aggiornamento del suo software per sportelli Bancomat53 e ne consigliò l'installazione in tutti i Bancomat basati su Windows. Secondo l'azienda, l'aggiornamento avrebbe dovuto impedire al Trojan Skimer-A54 di rubare informazioni agli utenti degli sportelli Bancomat. Inoltre, l'azienda ha confermato che degli hacker russi avevano tentato di installare software malevolo nei Bancomat, nel tentativo ambizioso di rubare denaro. Tuttavia, non è stato ancora reso noto in che modo gli hacker fossero riusciti ad accedere fisicamente a numerosi Bancomat in Russia. 11 Rapporto sulla sicurezza Sophos Scribble, ad esempio, si fece notare non solo per la capacità di cambiare aspetto ad ogni infezione, ma anche per la sua abilità nel prendere di mira file HTM, HTML, PHP e ASP, nonché i file eseguibili Windows, in quanto si diffondeva tramite alcuni settori della rete e unità USB ad esecuzione automatica. Sfruttamento di programmi più ampi Invece di cercare semplicemente le vulnerabilità del sistema operativo e del browser, gli hacker stanno anche analizzando le falle di sicurezza in altri programmi e strumenti di largo uso, come i file Adobe Flash e PDF. L'aumento di file malevoli Flash e PDF può essere in parte spiegabile con l'utilizzo di kit di costruzione di malware che consentono di creare pagine Web in cui è incorporato codice-trappola. L'inclusione del contenuto Flash e PDF prende di mira le vulnerabilità che sono state riscontrate nei plugin del browser Adobe, a sottolineare l'importanza di tenere aggiornati questi strumenti. La preoccupazione che gli hacker sfruttassero le falle nella sicurezza nel software di lettura dei file PDF di Adobe indusse l'azienda ad annunciare che avrebbe messo regolarmente a disposizione gli aggiornamenti della sicurezza. Adottando un'iniziativa simile a quella della Microsoft (che rilascia patch di sicurezza il secondo martedì di ogni mese). Adobe annunciò che avrebbe messo regolarmente a disposizione aggiornamenti della sicurezza ogni tre mesi, il secondo martedì del mese 57. 2009 Apple Mac Un bersaglio facile Anche se di dimensioni più contenute rispetto a quelle degli utenti Windows, il problema del malware per Mac esiste. Un elevato livello di sottovalutazione del problema nella community Mac implica che molti utenti credano erroneamente di essere immuni alle minacce della sicurezza in Internet. Questo fa di loro un facile bersaglio per gli attacchi futuri e non tiene conto dei consigli che la Apple stessa fornisce ai propri utenti.58 Nel mese di giugno 2009, Sophos svolse un'indagine relativa al modo in cui gli utenti Mac utilizzavano i loro antivirus. Dallo studio emerse che il 69% dei 108 partecipanti non utilizzava un antivirus. Questi risultati indicano che alcuni utenti Mac ancora non comprendono che gli autori del malware utilizzano le stesse tecniche per infettare sia i computer Windows che Mac, rendendosi in tal modo più vulnerabili agli attacchi. plugin, il codice malevolo dell'hacker prende il controllo del computer, facendo in modo che i dati del Mac vengano trafugati o entrino a far parte di una botnet. In altri casi, il malware non è un plugin che consente di guardare un filmato pornografico, ma contiene un Trojan sotto forma di un allettante software scaricabile. Un esempio di questo tipo di ingegneria sociale è la nuova versione del Trojan OSX/RSPlug, scoperto nel marzo 2009 e distribuito tramite un sito Web apparentemente legittimo che offriva software HDTV80. Il sito Web era in grado di infettare sia i computer Mac OS X che Windows e consentiva agli hacker di rubare dati personali, visualizzare avvisi di possibilità di guadagnare denaro e installare altro malware. Altre prove della crescente vulnerabilità al malware da parte degli utenti Mac sono state riscontrate nel mese di giugno 2009, quando un messaggio relativo ad una Utenti Mac: utilizzate un antivirus? Malware per Mac sotto forma di video di un personaggio televisivo famoso Don’t use 69 % Use 31 % fonte: ricerca Sophos Gran parte del malware esistente per Mac OS X non punta sulle falle del sistema operativo ma piuttosto sull'utilizzo di trucchetti di ingegneria sociale per indurre gli ignari utenti a installare codice pericoloso. Queste caratteristiche sono simili al funzionamento di gran parte del malware basato su Windows ed evidenziano come l'anello debole stia nel fatto che è l'utente a prendere decisioni errate, non il software. Uno stratagemma tipico è quello con il quale un utente Mac viene indotto a visitare un sito Web con la promessa di vedere un video sexy. Quando l'utente arriva nell'apposita pagina, compare un messaggio in cui lo si informa che per guardare il filmato deve installare un plugin o un codec. Tuttavia, scaricando e installando il 12 Rapporto sulla sicurezza Sophos videocassetta pornografica che vedeva protagonista la “Gossip Girl” Leighton Meester fu pubblicato da un famoso blogger di Twitter, Guy Kawasaki81. Chiunque seguisse il collegamento segnalato da Kawasaki si sarebbe visto il proprio Mac infettato dal Trojan OSX/Jahlav-C (le vittime che utilizzavano Windows furono colpite da un malware che attaccava il sistema operativo). Oltre ai siti Web che ospitavano malware in grado di infettare gli Apple Mac, nel 2009 gli hacker lanciarono una campagna per diffondere infezioni mediante la distribuzione di codice malevolo sotto forma di versioni piratate dei più comuni pacchetti software, come Adobe PhotoShop CS460 e iWork ‘0961 distribuiti tramite BitTorrent. Per proteggersi contro questi attacchi, gli utenti dovrebbero continuare ad adottare le migliori pratiche di uso sicuro del computer, come ad esempio l'esecuzione di un prodotto antivirus e l'aggiornamento delle patch di sicurezza. 2009 Telefoni cellulari e dispositivi Wi-Fi BlackBerry Anche se non sono stati segnalati casi di malware che abbia infettato dispositivi BlackBerry, sono state riscontrate delle vulnerabilità che possono essere sfruttate nel caso in cui gli hacker dovessero inviare speciali file al telefono. Nel gennaio 2009, la società sviluppatrice di BlackBerry, Research in Motion (RIM), rilasciò una patch per una vulnerabilità malevola presente nei PDF BlackBerry che avrebbe potuto essere sfruttata dagli hacker62. Se un utente BlackBerry tentava di aprire un file PDF, il codice malevolo presente al suo interno avrebbe potuto essere eseguito su un computer che ospitasse il servizio allegati BlackBerry. Una vulnerabilità simile emerse nel mese di marzo 2009, quando RIM rilasciò un'altra patch 63. Palm Pre e Google Android Al momento di andare in stampa, non sono stati segnalati attacchi malware contro il sistema operativo Android di Google, né contro Pre, il tanto atteso “iPhone killer” di Palm. Tuttavia, poiché questi dispositivi diventano sempre più popolari, gli hacker probabilmente svilupperanno del malware per sfruttarli al fine di conseguire un guadagno o semplice notorietà. Naturalmente, gli attacchi dei criminali informatici non specifici per il sistema operativo (ad esempio le truffe di phishing e 419) minacceranno gli utenti di Palm Pre e Google Android come qualsiasi altro utente di Internet. iPhone Gli iPhone vengono utilizzati sempre più all'interno delle aziende da parte di utenti che li portano da casa o che richiedono di utilizzarli per il lavoro. Mentre i BlackBerry (che furono subito apprezzati dalle organizzazioni che tenevano molto alla sicurezza, come ad esempio quelle che operavano nei settori dell'industria aerospaziale, della difesa e della pubblica amministrazione) hanno una lunga tradizione di sistemi di sicurezza integrati nella loro architettura, in origine l'iPhone puntava sulla facilità d'uso. Adesso l'iPhone deve recuperare il terreno perduto nel campo della sicurezza sul luogo di lavoro. L'iPhone 3GS ha fatto molti progressi in termini di sicurezza dei dati e ora offre cifratura hardware e funzionalità di cancellazione remota. Inoltre, sono state risolte le falle della sicurezza che erano presenti nelle precedenti versioni64 . 13 Rapporto sulla sicurezza Sophos Tuttavia, l'iPhone non è ancora all'altezza del BlackBerry per quanto riguarda la sicurezza della funzionalità di messaggistica e le aziende devono quindi scendere a un compromesso tra facilità d'uso e rischio. Tuttavia è chiaro che il costo totale di proprietà per la gestione degli iPhone in ambienti di grandi dimensioni è ancora troppo elevato. Una buona notizia è che, anche se sono già stati segnalati casi di malware poco complesso, l'iPhone non è stato ancora oggetto di attacchi significativi 65. In passato, la Apple era stata oggetto di critiche per i ritardi nel risolvere le vulnerabilità dell'iPhone, lasciando in alcuni casi la piattaforma priva di patch per mesi e mesi, rispetto alla piattaforma Mac OS X per desktop. Di pari passo con il crescere della popolarità della piattaforma, il rilascio puntuale di patch divenne sempre più importante. La possibilità che le patch vengano rilasciate in ritardo ha indotto alcuni a supporre che gli hacker potrebbero sfruttare la vulnerabilità del codice comune condiviso come ad esempio il browser Safari (che è utilizzato sull'iPhone e che viene fornito di serie sul Mac OS X) come piattaforma per gli attacchi66. Il fatto stesso che uno smartphone come l'iPhone possa essere utilizzato sia come cellulare che come dispositivo di elaborazione, può generare nuovi vettori di attacco. Ad esempio, Charlie Miller, ricercatore nel campo della sicurezza, ha scoperto un sistema che consente di disconnettere l'iPhone dalla rete mobile semplicemente inviando al telefonino un messaggio SMS contenente codice malevolo67. Inoltre, gli utenti dell'iPhone devono essere consapevoli che potrebbero essere più vulnerabili agli attacchi di phishing rispetto ai computer desktop, in quanto: Dovendo immettere gli URL tramite lo schermo tattile potrebbero essere maggiormente tentati di fare semplicemente clic sui collegamenti indicati nelle e-mail. La versione iPhone di Safari non visualizza gli URL incorporati nelle e-mail prima che vi si faccia clic sopra. Pertanto, per gli utenti è più difficile stabilire se il collegamento indirizza, ad esempio, al sito fasullo di una banca online. Il browser dell'iPhone ha uno spazio limitato. Gli URL talvolta sono troncati68, il che facilita il compito dei criminali informatici che desiderano far credere agli utenti che stanno visitando un sito Web legittimo. Naturalmente, questi fattori che contribuiscono alla diffusione di malware potrebbero essere presenti anche su altri dispositivi smartphone. 2009 Criminali e crimini informatici Lo spionaggio digitale è in crescita I Paesi di tutto il mondo si spiano per ottenere vantaggi politici, commerciali e militari e sarebbe ingenuo pensare che non sfruttino computer e Internet per svolgere al meglio le loro attività. Nel 2009 c'è stato un numero ancora maggiore di segnalazioni di attacchi e crimini informatici: Febbraio Il Ministero degli esteri indiano (MEA) confermò che alcuni dei suoi computer erano stati infettati da spyware69. Alcuni dei PC interessati contenevano documenti sensibili sulle relazioni con il Pakistan. I computer si trovavano negli uffici delle segreterie. Giugno Gli oppositori al neoeletto governo iraniano fecero conoscere le loro opinioni lanciando attacchi "distributed denial-of-service" contro il ministero della giustizia iraniano e i siti Web del Presidente. Gli utenti di Twitter si scambiarono messaggi contenenti collegamenti a pagine Web che inondavano automaticamente di traffico i siti Web del governo iraniano, sovraccaricandoli e bloccandoli70. Arresti e sentenze In considerazione dell'aumento degli attacchi dei crimini informatici, i governi nazionali hanno effettuato numerosi tentativi, alcuni dei quali riusciti, per contrastare il malware. Nella prima metà del 2009 è aumentato il numero dei casi di siti Web chiusi, arresti e sentenze severe contro i responsabili di crimini informatici di alto profilo e con finalità finanziarie. Forse, la chiusura più importante decisa dal governo in questi mesi è stata quella relativa al fornitore di servizi Pricewert da parte dell'FTC nel mese di giugno 200971, in seguito ai sospetti di partecipazione a grandi campagne di spamming e phishing, distribuzione di malware e abusi sui minori. Secondo le accuse dell'FTC, l'azienda aveva fornito protezione ai criminali suoi clienti, ignorando i solleciti a favore della sicurezza inviati dalla comunità di Internet, la quale chiedeva la rimozione delle pagine pericolose72. Anche se questo caso deve ancora essere discusso in tribunale, il coinvolgimento del governo dimostra la ferma intenzione da parte delle autorità di contrastare le attività malevole e pericolose. Ecco altri casi che si sono conclusi con successo e verificatisi nei primi sei mesi dell'anno: Gennaio Maksym Yastremskiy, uno dei responsabili della grave violazione dei dati di TJX fu condannato a 30 anni di prigione per aver partecipato all'attacco73. Marzo Hugh Rodley e David Nash furono imprigionati 14 Rapporto sulla sicurezza Sophos per aver partecipato a quella che sarebbe stata la più grande rapina di una banca inglese74. Il complesso piano avrebbe consentito di rubare 229 milioni di sterline presso la filiale londinese della banca Sumitomo Mitsui, mediante l'introduzione di hacker75 all'interno degli uffici fuori dall'orario di lavoro, al fine di installare software di keylogging nei terminali. Aprile Quattro donne e cinque uomini furono arrestati, sospettati di aver attaccato degli istituti finanziari tramite appositi Trojan76. Si ritiene che la banda avesse fatto ricorso ad aiuti esterni per trasferire i fondi rubati nei propri forzieri. Maggio La corte distrettuale degli USA di Minneapolis condannò un immigrato rumeno di 23 anni a 8 anni e mezzo di prigione per aver rubato circa $700.000 a oltre 7.000 vittime innocenti77. Secondo la stampa locale, aveva lanciato una campagna di phishing nel mese di giugno 2000, quando aveva solo 14 anni. Dipartimenti per la sicurezza informatica – Una nuova tendenza del governo? Educare gli utenti e far aumentare la consapevolezza delle minacce in Internet e della sicurezza informatica è di fondamentale importanza, specialmente quando può esserci la tendenza da parte dei Governi a enfatizzare la minaccia costituta da altri Paesi e gruppi terroristici in altri Paesi, senza comprendere la minaccia reale costituita dai terroristi che si trovano all'interno del Paese. Di recente, il Presidente Obama ha riconosciuto questa necessità e nel mese di maggio 2009 ha presentato una nuova strategia del governo tesa a “scoraggiare, evitare, rilevare e difendersi” contro i crimini informatici, sia quelli provenienti dai Paesi esteri che dall'interno. Ha inoltre promesso di creare un coordinatore della sicurezza informatica il cui principale compito consisterebbe nello sviluppare e monitorare questa strategia. Questa è una delle numerose raccomandazioni fatte nello studio di 60 giorni sui criteri relativi al ciberspazio, studio commissionato nel mese di febbraio78. Nel mese di giugno 2009, il governo britannico rese nota la sua strategia di sicurezza, annunciando l'intenzione di creare un ente centrale responsabile dei contatti con l'industria (l'Ufficio della cybersicurezza, o OCS) e un ente separato, il Centro operativo per la cybersicurezza (CSOC), con sede presso il Quartier generale governativo per le comunicazioni (GCHQ) del Regno Unito, a Cheltenham79. Queste iniziative serviranno da deterrente contro le attività dei criminali informatici? Non possiamo esserne sicuri. Tuttavia, è certo che i governi desiderano dimostrare una serietà sempre crescente per quanto riguarda la lotta contro i crimini informatici. 2009 Il futuro Cosa ci riserva il futuro Prevedere il futuro in un ambiente in così rapida evoluzione è praticamente impossibile. Per rendersi conto di quanto la minaccia si sia aggravata è sufficiente osservare la frequenza con la quale il malware compare oggi rispetto a cinque anni fa. Tuttavia, alcune cose sembrano certe: adotteranno nuove tecniche e dissimulazioni per infettare gli utenti inconsapevoli e ignari. I PC violati continueranno a essere la principale fonte di spam. Gli utenti devono adottare le precauzioni necessarie per evitare di diffondere gli attacchi. Il furto di identità diventerà un problema sempre più I siti del Web 2.0, come Facebook, Twitter e MySpace diventeranno il principale campo di battaglia per gli autori di malware, i ladri di identità e gli spammer. Le aziende devono educare gli utenti a usare in modo sicuro i siti di social network e assicurarsi che siano difesi adeguatamente. grande e continuerà ad avere conseguenze negative per la lealtà dei clienti. L'anno prossimo, le leggi impediranno alle aziende di tenere nascosti gli attacchi alla sicurezza informatica. I social network diventeranno il principale strumento di diffusione del malware La mancanza di sicurezza del Web (in particolare gli attacchi con iniezioni di codice SQL) continuerà a essere il principale fattore di distribuzione del malware. I criminali informatici potranno continuare a inviare messaggi spam apparentemente innocenti e contenenti collegamenti a pagine Web legittime, ma violate. Questi siti violati contengono collegamenti invisibili a contenuti malevoli. La varietà degli attacchi e il loro numero continueranno ad aumentare, in quanto gli hacker e gli autori di malware La prevenzione diventerà più utile della cura, in quanto la divulgazione obbligatoria anche delle violazioni potenziali determina la perdita di fiducia dei consumatori. Gli attacchi tramite e-mail e Web utilizzeranno in misura sempre maggiore file non appartenenti a programmi (non EXE), come documenti Word e i PDF. I file di dati dall'aspetto legittimo possono nascondere exploit contro le vulnerabilità del software. Sui PC non muniti di patch, tali file possono attivare il download e l'installazione invisibile di virus e Trojan. Gli utenti dei computer continueranno a doversi occupare dei problemi di sicurezza del controllo dei sistemi, in quanto i criminali tenteranno di sfruttare le nuove tecnologie per fare soldi e provocare danni. Inoltre, le minacce come il furto di identità e le frodi continueranno a verificarsi a causa degli errori umani. Tuttavia, se gestito correttamente, il problema può essere risolto. Pratiche di sicurezza consolidate, aggiornamenti alla protezione e un impegno attivo per tenersi informati aiuteranno le imprese a difendere le proprie reti. La varietà degli attacchi e delle tecniche degli autori di malware aumenterà 15 Rapporto sulla sicurezza Sophos La buona notizia è che il software di protezione migliora in continuazione. Il rilevamento proattivo di malware nuovo e sconosciuto è sempre all'ordine del giorno e gli utenti adeguatamente protetti faranno sempre meno fatica ad accettare i contenuti sicuri ed evitare quelli pericolosi. 2009 Fonti 16 1. http://www.sophos.com/pressoffice/news/articles/2009/04/social-networking.html 2. http://www.sophos.com/pressoffice/news/articles/2009/04/social-networking.html 3. http://www.sophos.com/blogs/gc/g/2009/07/05/mi6-chiefs-wife-puts-security-risk-facebook/ 4. http://www.sophos.com/blogs/gc/g/2009/04/12/mikeyy-attack-hits-twitter-users-bad-24-hours-web-20- security/ 5. http://www.sophos.com/pressoffice/news/articles/2009/05/twitter-hacker.html 6. http://www.sophos.com/blogs/gc/g/2009/05/24/acai-berry-spammers-hack-twitter-accounts-spread-adverts/ 7. http://www.sophos.com/blogs/gc/g/2009/06/01/tory-mp-hacked-facebook/ 8. http://www.sophos.com/pressoffice/news/articles/2009/04/social-networking.html 9. http://www.sophos.com/blogs/gc/g/2009/05/06/hackers-demand-10-million-ransom-wiping-patient-data/ 10. http://www.sophos.com/blogs/gc/g/2009/05/29/109000-pension-holders-risk-laptop-stolen/ 11. http://www.sophos.com/blogs/gc/g/2009/06/04/530000-virginia-patients-individually-warned-ssn-hack/ 12. http://www.nytimes.com/2009/07/07/business/07goldman.html?_r=1 13. http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/ 14. http://www.sophos.com/blogs/sophoslabs/v/post/2737 15. http://www.sophos.com/blogs/sophoslabs/v/post/2827 16. http://www.sophos.com/blogs/sophoslabs/v/post/2819 17. http://www.sophos.com/blogs/sophoslabs/v/post/3564 18. http://www.sophos.com/blogs/gc/g/2009/04/09/fixing-hole-paul-mccartneys-website-hacked/ 19. http://www.sophos.com/blogs/sophoslabs/v/post/4325 20. http://www.sophos.com/blogs/sophoslabs/v/post/4736 21. http://www.sophos.com/pressoffice/news/articles/2008/08/sql-podcast.html 22. http://www.sophos.com/blogs/sophoslabs/v/post/1545 23. http://www.sophos.com/security/sophoslabs/anonymizing-proxies.html 24. http://www.darkreading.com/blog/archives/2009/06/the_iranian_pro.html 25. http://www.sophos.com/blogs/gc/g/2009/01/19/barack-obama-refused-president/ 26. http://www.sophos.com/blogs/gc/g/2009/03/16/dirty-bomb-news-report-leads-pc-infection/ 27. http://www.sophos.com/blogs/gc/g/2009/01/02/classmates-malware-campaign-poses-school-reunion-invite/ 28. http://www.sophos.com/blogs/gc/g/2009/05/07/worldpay-card-transactions-carry-malware-danger/ 29. http://www.sophos.com/blogs/gc/g/2009/06/03/postcards-family-member-malware/ 30. http://www.sophos.com/blogs/gc/g/2009/06/15/sex-movie-sherrie-open-link/ 31. http://www.sophos.com/pressoffice/news/articles/2008/05/spam-pledge.html 32. http://news.bbc.co.uk/1/hi/business/3426367.stm 33. http://www.sophos.com/products/enterprise/alert-services/zombiealert.html 34. http://www.sophos.com/blogs/sophoslabs/v/post/4927 35. http://www.sophos.com/blogs/gc/g/2009/01/06/hackers-celebrity-image-seo-spread-scareware/ 36. http://www.sophos.com/blogs/gc/g/2009/03/19/natasha-richardsons-death-exploited-hackers/ 37. http://www.sophos.com/blogs/gc/g/2009/03/10/malware-authors-jump-piftsexe-bandwagon/ 38. http://www.sophos.com/blogs/sophoslabs/v/post/5023 39. http://www.sophos.com/blogs/sophoslabs/v/post/5070 40. www.sophos.com/conficker 41. http://www.sophos.com/blogs/gc/g/2009/03/27/hype-april-fools-day-conficker-worm/ 42. http://bits.blogs.nytimes.com/2009/03/19/the-conficker-worm-april-fools-joke-or-unthinkable- disaster/?ref=technology 43. http://www.usatoday.com/money/industries/technology/2009-03-24-conficker-computer-worm_N.htm 44. http://www.sophos.com/blogs/gc/g/2009/04/10/pcs-patched-conficker-vulnerability/ 45. http://www.sophos.com/products/free-tools/conficker-removal-tool.html 46. http://www.sophos.com/blogs/gc/g/2009/06/02/ten-work-pcs-fail-basic-security/ 47. http://www.sophos.com/blogs/sophoslabs/v/post/279 Rapporto sulla sicurezza Sophos 2009 17 48. http://www.sophos.com/blogs/gc/g/205/09/01/microsoft-improves-autoplay-combat-usb-malware/ 49. http://www.sophos.com/blogs/gc/g/203/09/17/malware-lurking-atm/ 50. http://www.sophos.com/blogs/gc/g/203/09/18/details-diebold-atm-trojan-horse-case/ 51. http://www.sophos.com/security/analyses/viruses-and-spyware/trojskimera.html 52. http://www.sophos.com/blogs/sophoslabs/v/post/3130 53. http://www.sophos.com/blogs/sophoslabs/v/post/4060 54. http://www.sophos.com/blogs/gc/g/205/09/21/adobe-announces-patch-tuesday/ 55. http://www.apple.com/macosx/what-is-macosx/security.html 56. http://www.sophos.com/blogs/gc/g/206/09/24/leighton-meeter-sex-tape-lure-spread-malware-twitter-users/ 57. http://www.sophos.com/blogs/gc/g/201/09/26/reports-mac-trojan-pirated-adobe-photoshop-cs4/ 58. http://www.sophos.com/blogs/gc/g/201/09/22/reports-mac-trojan-horse-pirated-version-iwork-09/ 59. http://www.sophos.com/blogs/gc/g/201/09/14/blackberry-pdf-vulnerability/ 60. http://www.sophos.com/blogs/gc/g/205/09/27/control-blackberry-enterprise-server-pdf/ 61. http://www.sophos.com/blogs/sophoslabs/v/post/975 62. http://www.sophos.com/blogs/gc/g/2009/06/18/apple-update-fixes-46-iphone-security-vulnerabilities/ 63. http://blog.washingtonpost.com/securityfix/2008/07/apple_iphone_four_months_behin_1.html 64. http://www.theregister.co.uk/2009/07/02/critical_iphone_sms_bug/ 65. http://www.usenix.org/events/upsec08/tech/full_papers/niu/niu_html/ 66. http://www.sophos.com/blogs/gc/g/2009/02/16/indian-government-computers-hit-spyware-attack/ 67. http://www.smh.com.au/technology/technology-news/cyber-activists-target-iranian-government-websites- 20090617-chgy.html 68. http://www.darkreading.com/blog/archives/2009/06/suspected_malwa.html 69. http://www.ftc.gov/opa/2009/06/3fn.shtm 70. http://www.sophos.com/blogs/gc/g/2009/01/08/tj-maxx-hacker-jailed-30-years-turkey/ 71. http://www.sophos.com/blogs/gc/g/2009/03/05/men-guilty-botched-229m-hightech-bank-heist/ 72. http://www.sophos.com/blogs/gc/g/2009/01/22/hackers-smuggled-bank-229-million-heist-court-hears/ 73. http://www.sophos.com/blogs/gc/g/2009/04/09/police-arrest-suspected-banking-trojan-gang/ 74. http://www.sophos.com/blogs/gc/g/2009/05/28/guy-phishing-14-years/ 75. http://www.sophos.com/blogs/sophoslabs/v/post/4568 76. http://www.sophos.com/blogs/gc/g/2009/06/26/uk-attack-countries-cyberspace/ 77. http://www.sophos.com/pressoffice/news/articles/2009/03/mac-malware.html 78. http://www.sophos.com/blogs/gc/g/206/09/24/leighton-meeter-sex-tape-lure-spread-malware-twitter-users/ Rapporto sulla sicurezza Sophos 2009 Per maggiori informazioni sui prodotti Sophos e su come valutarli, visitate il sito www.sophos.it. Boston, USA | Oxford, Regno Unito © Copyright 2009. Sophos Plc. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. tr/090721