Sicurezza Internet: le principali tendenze del 2009

Malware contenente spam – Generalmente si pensa allo spam come a qualcosa di fastidioso ma non di necessariamente pericoloso. Al contrario, fra i mesi di settembre e ottobre oltre il 2% in media delle e-mail spam celava malware; un dato nove volte superiore alla quantità registrata in passato relativamente ai messaggi spam contenenti malware.

Gli attacchi ai siti di social networking sono divenuti la norma – Il 2009 è stato l'anno in cui gli attacchi rivolti ai siti e agli utenti di social networking si sono affermati come una pratica standard da parte dei cybercriminali. La seconda metà del 2009, in particolare, ha visto un incremento di questo tipo di attacchi sia in termini di frequenza che di livello di sofisticazione. Questo perché la tipologia dei siti li rende particolarmente interessanti per un'attività criminale online: essi concentrano, infatti, enormi quantità di utenti e un elevato grado di fiducia tra gli stessi.

Finti software di sicurezza – Symantec ha identificato ben 250 diverse applicazioni fasulle che si spacciavano per software di sicurezza legittimi, riuscendo in parecchi casi a essere convincenti. Al contrario queste soluzioni non solo non forniscono alcun tipo di protezione, o comunque in minima parte, ma addirittura rischiano di infettare la macchina attraverso il malware in esse contenuto. Dal 1° luglio 2008 al 30 giugno 2009 Symantec ha ricevuto segnalazioni per 43 milioni di tentativi di installazione di finto software di sicurezza.

Malware Ready-Made – Nel corso del 2009 il malware è divenuto più che mai semplice da creare. Un fatto dovuto principalmente alla disponibilità di toolkit molto diffusi come ad esempio Zeus, strumenti che consentono anche agli hacker, di nuova leva e ancora inesperti, di creare malware e reti bot. Molte delle minacce “ready-made” sono in realtà un agglomerato di componenti provenienti da altre forme di malware già sperimentate. È il caso ad esempio di Dozer, che conteneva componenti provenienti da MyDoom e da Mytob. Questa tendenza ha anche permesso di eliminare e distruggere il malware con maggiore facilità, con casi di minacce apparse e scomparse anche solo nell'arco di 24 ore.

Netto aumento delle reti bot – Le reti bot si stanno rapidamente affermando quale fondamento di tutte le attività cybercriminali. Secondo quanto osservato da Symantec, la maggioranza del malware attuale contiene un canale di comando e controllo associato a reti bot. Nel 2009 si è anche assistito a un rafforzamento delle capacità di coloro che progettano reti bot utilizzando i siti di social networking come canali di comunicazione.

Cooperazione intra e intersettoriale finalizzata a contrastare le minacce Internet – L'anniversario della prima variante di Conficker ha ricordato l'evoluzione che il cybercrimine ha saputo concretizzare sul piano della capacità organizzativa e della crescente sofisticazione; uno scenario che a sua volta ha portato i vendor del mercato della sicurezza, i service provider Internet e i responsabili dell'implementazione normativa a favorire una maggiore cooperazione reciproca. Fra gli esempi del 2009 vi sono il Conficker Working Group (CWG), l'operazione “Phish Fry” dell'FBI e il Digital Crimes Consortium inaugurato lo scorso ottobre.

L’attualità utilizzata più che mai come fonte di attacchi – Il giorno di San Valentino, il torneo di basket March Madness della NCAA, l'influenza suina H1N1, lo schianto del volo 447 dell'Air France, Serena Williams, Bubble Boy e la scomparsa di Michael Jackson e Patrick Swayze: tutti questi avvenimenti, insieme a moltissimi altri, sono stati utilizzati dagli autori di malware e dagli spammer nel corso del 2009 per fare in modo che ignari utenti Internet scaricassero malware, acquistassero prodotti e fossero vittime di truffe. Siamo arrivati a un punto in cui non viene ignorata nessuna notizia che generi attenzione. Per questo il fenomeno è destinato a continuare, ad esempio in occasione dei prossimi Giochi Olimpici invernali e dei Campionati Mondiali di Calcio del 2010.

Spopolano i drive-by-download – Nel corso dell'anno si è accresciuta la diffusione di attacchi finalizzati a infettare gli utenti Internet durante la loro navigazioni su siti violati. Nel 2008 Symantec aveva rilevato un totale di 18 milioni di tentativi di infezione drive-by download; un dato che nel solo periodo agosto-ottobre 2009 aveva già sfiorato i 17,4 milioni di casi.

Lo spam ritorna ai livelli pre-McColo – Symantec ha registrato un calo del 65% dei livelli totali di messaggi spam nel periodo compreso fra le 24 ore precedenti la chiusura di McColo alla fine del 2008 e le 24 ore successive, con una conseguente diminuzione dei livelli di spam al 69,8% di tutte le e-mail. Ciò nonostante nel 2009 i volumi totali di spam sono ritornati a una media dell'87,4% di tutte le e-mail, con un picco massimo del 95% di tutti i messaggi alla fine di maggio.

L’avanzamento delle minacce polimorfe – Si tratta di minacce in grado di mutare, nelle quali ogni istanza del malware risulta leggermente differente da quella precedente. Le modifiche automatiche del codice eseguite per ciascuna istanza non alterano le funzionalità del malware, e anzi rendono praticamente inutili e impotenti le tecnologie di rilevamento antivirus tradizionali. Secondo i dati di Symantec, questo tipo di minacce polimorfe come Waladac, Virut e Sality è divenuto sempre più comune in quanto i cybercriminali sono sempre alla ricerca di nuovi metodi in grado di aggirare l'ostacolo delle tecnologie di rilevamento.

Incremento della violazione della reputazione – Geocities è un marchio noto che è stato sfruttato dagli spammer nel tentativo di ingannare gli utenti; la recente chiusura del servizio di web hosting di Yahoo alla fine di ottobre ha generato, secondo quanto analizzato da Symantec, un forte aumento del numero di servizi Web gratuiti, come i siti per le abbreviazioni degli URL, i cui nomi, e le cui legittime reputazioni, sono stati violati dagli spammer. Una situazione che di certo ha tratto vantaggio anche dai progressi compiuti dalla tecnologia per l'aggiramento dei CAPTCHA, che semplifica la creazione di molteplici account e profili usa e getta utilizzabili per lo spam. Symantec ha inoltre osservato come alcuni di questi siti appartenenti a società minori sono dovuti ricorrere alla chiusura come unico modo per bloccare lo spam.

Il fenomeno delle perdite di dati continua – Al 13 ottobre 2009 i casi totali di perdite dei dati ammontavano a 403, pari a oltre 220 milioni di informazioni, come indicato dall'Identity Theft Resource Center. I dipendenti in buona fede continuano a rappresentare la principale causa di perdite di dati, pesando per l'88% di tutti gli incidenti di questo tipo causati da persone interne alle aziende, come appunto dipendenti o partner, secondo

quanto riportato da Ponemon Institute. Cresce però la preoccupazione anche sul fronte delle perdite intenzionali; uno studio di Ponemon ha, infatti, messo in luce come il 59% degli ex-dipendenti abbia ammesso di aver sottratto dati aziendali al termine del rapporto di lavoro. Le aziende stanno di certo dedicando un'attenzione maggiore al problema, ma è necessario fare ancora di più al fine di evitare che i dati corporate fuoriescano dal perimetro aziendale.

Le tendenze da seguire nel 2010

L’antivirus non è sufficiente – Con l'aumento delle minacce polimorfe e l'esplosione di particolari varianti di malware nel 2009, il settore sta rapidamente realizzando come gli approcci antivirus tradizionali - sia le signature dei file che le funzioni euristiche/comportamentali - non siano più sufficienti a contrastare le minacce attuali. Siamo arrivati a un punto in cui lo sviluppo di nuovi programmi pericolosi avviene molto più rapidamente di quello dei programmi legittimi. Di conseguenza, anche analizzare il malware non è più sufficiente. Gli approcci alla sicurezza destinati ad affermarsi durante il 2010 sono, infatti, rappresentati da tecniche in grado di considerare il software nel suo complesso, per cui ad esempio anche la sicurezza basata sulla reputazione.

Il social engineering tra I principali vettori di attacco – Sempre più spesso gli artefici degli attacchi cercano di ingannare gli utenti finali spingendoli a scaricare inconsapevolmente malware o a rilasciare informazioni sensibili con la convinzione di agire in maniera del tutto corretta. La diffusione del social engineering è in parte alimentata anche dal fatto che il sistema operativo e il browser Web di un computer sono irrilevanti in quanto è l'utente stesso a essere oggetto di attacco, e non necessariamente le vulnerabilità potenzialmente presenti sulla macchina. Il social engineering si è pertanto già affermato come uno dei principali vettori di attacco attuale; al riguardo Symantec stima che il numero degli attacchi sferrati utilizzando le tecniche di social engineering sarà destinato ad aumentare nel corso del 2010.

Aumento dell’impegno dei produttori di software di sicurezza fasulli – Per il 2010 si prevede che i vendor di software di sicurezza fasulli si impegneranno al massimo arrivando addirittura a violare i computer degli utenti per renderli inutilizzabili fintanto che non venga pagato un riscatto. Un'evoluzione meno drastica potrebbe essere rappresentata dallo sviluppo di software non esplicitamente pericoloso ma quanto meno dubbio. Ad esempio, Symantec ha già osservato che alcuni vendor di soluzioni antivirus fasulle ribrandizzano le copie di software antivirus gratuiti prodotti da altri spacciandoli come propri. In questi casi gli utenti ricevono tecnicamente il prodotto che hanno pagato, ma in realtà si tratta di un software scaricabile gratuitamente in rete.

Social Networking, le applicazioni di terze parti saranno obiettivi di frodi – Tenendo conto che la diffusione dei siti di social networking è destinata ad aumentare anche nell'anno a venire, bisogna aspettarsi da un lato un incremento delle frodi ai danni degli utenti, e dall'altro un maggior ricorso dei siti stessi a misure proattive atte a contrastare tali minacce. Con i siti che forniranno agli sviluppatori terzi l'accesso alle proprie relative API, i cybercriminali prenderanno probabilmente di mira le vulnerabilità presenti nelle applicazioni indipendenti: una situazione analoga a quella verificatasi con i plug-in per i browser, divenuti obiettivi sempre più interessanti a seguito del rafforzamento della sicurezza dei browser stessi.

Windows 7 sarà un bersaglio per gli attacchi – Microsoft ha già rilasciato le prime patch di sicurezza per il suo nuovo sistema operativo. Nella fase di programmazione del codice è inevitabile che vengano introdotte delle falle a prescindere da quanto i test possano essere minuziosi ed esaurienti; inoltre, più il codice è complesso, più esistono vulnerabilità latenti.

Il nuovo sistema operativo di Microsoft non fa eccezione; per questo non appena Windows 7 si diffonderà e si affermerà sul mercato, i cybercriminali non mancheranno di mettere a punto tecniche in grado di attaccarne gli utenti.

Aumento delle reti Fast Flux – Fast Flux è una tecnica utilizzata da alcune reti bot, come ad esempio Storm, per celare elementi di phishing e siti Web pericolosi dietro a una rete in continua mutazione di host compromessi che agiscono come proxy. Grazie a una combinazione di networking peer-to-peer, funzioni di comando e controllo distribuite, load balancing basato su Web e ridirezione dei proxy, diventa difficile tracciare l'esatta ubicazione geografica della rete bot. Se è vero che da un lato le misure di contrasto attuate tendono a ridurre l'efficacia delle reti bot tradizionali, è altrettanto realistico prevedere un incremento di queste tecniche a supporto dell'esecuzione di attacchi.

I servizi di abbreviazione URL sono il miglior amico dei phisher – Spesso gli utenti ignorano la destinazione di arrivo di un URL abbreviato, motivo che permette ai phisher di dissimulare dei link altrimenti sospetti agli occhi di un utente attento alla sicurezza. Symantec ha già registrato una tendenza nell'uso di questa tattica finalizzata alla distribuzione di applicazioni ingannevoli, e attende un'ulteriore evoluzione dello scenario. Symantec prevede inoltre che gli spammer faranno leva sugli URL abbreviati al fine di scavalcare i filtri antispam tramite la tecnica dell'offuscamento.

Malware Mac e Mobile destinato ad un incremento – Il numero di attacchi progettati per violare un determinato sistema operativo o piattaforma è direttamente collegato alla percentuale di penetrazione nel mercato di riferimento detenuta da quello stesso sistema operativo o piattaforma: questo avviene perché gli autori di malware sono sempre a caccia di guadagni e scelgono pertanto di attaccare i sistemi più diffusi e redditizi. Nel 2009 Mac e smartphone sono stati bersaglio di attacchi malware, ad esempio la rete bot Sexy Space ha preso di mira il sistema operativo per dispositivi mobili Symbian mentre l'OSX.Iservice Trojan si è rivolto in particolar modo agli utenti Mac. Per il 2010 si attende un'ulteriore diffusione di Mac e smartphone, una tendenza che di certo troverà corrispondenza nella maggiore attenzione che i cybercriminali dedicheranno a queste piattaforme.

Gli spammer infrangono le regole – Con l'economia che continua a soffrire e sempre più persone che cercano di aggirare le deboli restrizioni della legge CAN SPAM, sempre più organizzazioni cercheranno di vendere liste di indirizzi e-mail non autorizzate e marketer di dubbia reputazione utilizzeranno tali elenchi a scopo di spamming.

Gli spammer si adattano, I volumi di spam continuano a fluttuare – Dal 2007 lo spam ha registrato un incremento medio del 15%. Se è vero che questo ritmo di crescita non è sostenibile nel lungo termine, è comunque chiaro che gli spammer non hanno di certo intenzione di abbandonare il colpo in presenza di una motivazione economica. I volumi di spam continueranno a fluttuare anche nel 2010 in quanto gli spammer continueranno ad adattarsi ai livelli di sofisticazione dei software di sicurezza e alle azioni intraprese da ISP e agenzie governative responsabili.

Malware specializzato – Nel 2009 sono stati rilevati episodi di malware altamente specializzato destinato a sfruttare determinati sportelli bancomat, a indicare una conoscenza interna del loro funzionamento e delle modalità con cui è possibile violarli. Una tendenza destinata ad aumentare nel corso del 2010, e che include anche la potenziale

violazione dei sistemi elettorali elettronici, sia quelli utilizzati per le elezioni politiche che quelli di votazione telefonica, ad esempio nel caso di reality show ed eventi sportivi.

CAPTCHA, una tecnologia in miglioramento – Il rafforzamento di questa tecnica suggerirà a molte aziende operanti nelle economie emergenti di offrire personale per la creazione manuale di account su siti Web legittimi, soprattutto quelli che supportano contenuti generati dagli utenti, per fini di spamming. Secondo le valutazioni di Symantec questi individui verranno pagati meno del 10% del costo sostenuto dagli spammer, con un guadagno per i produttori di account pari a circa 30-40 dollari per 1.000 account.

Lo spam nell’Instant Messaging – Dato che i cybercriminali sono alla ricerca di modi sempre nuovi per scavalcare le tecnologie CAPTCHA, gli attacchi agli instant messenger (IM) cresceranno di popolarità. Le minacce IM includeranno messaggi di spam non richiesti contenti link pericolosi, soprattutto attacchi destinati a compromettere gli account legittimi. Entro la fine del 2010 Symantec prevede che un messaggio IM su 300 conterrà un URL. Inoltre, per il 2010 un hyperlink su 12 sarà collegato a un dominio noto per essere utilizzato per ospitare malware. Di conseguenza, un hyperlink su 12, contenuto nei messaggi IM, conterrà un dominio sospetto o pericoloso. Alla metà del 2009 tale rapporto era di 1 hyperlink su 78.