G DATA, software house tedesca con esperienza decennale nell’area della sicurezza, ha diffuso un interessante resoconto che analizza le principali minacce che si sono diffuse in Rete nel corso del primo semestre di quest’anno.
Stando a quanto dichiarato, G DATA – nei primi mesi del 2008 – avrebbe individuato ben 318.000 nuovi malware, un numero superiore a quello registrato in tutto il 2007. Quotidianamente, vengono sviluppati circa 1.500 nuovi malware. Se il trend dovesse continuare sino a fine anno, si registrerebbe un aumento percentuale delle minacce pari al 500%.
Il sistema più bersagliato si conferma Windows mentre i dispositivi mobili (essenzialmente, gli “smartphone”) rimangono ancora praticamente ignorati da coloro che creano malware. Secondo G DATA, “il previsto pericolo per questo genere di periferiche si è rivelata solamente una manovra di marketing”.
Per Ralf Benzmüller, responsabile di G DATA Security Labs, “la criminalità online è cresciuta fino a trasformarsi in una vera e propria industria che decide i suoi target sulla base di una precisa strategia di marketing. Il 2008 ha già battuto ogni record e scritto un nuovo e spiacevole capitolo nella storia di Internet”.
La strategia per la guerra su Internet è “attaccare, infettare e derubare”. Ed ecco che, contrariamente a quanto si pensava, la maggior parte dei siti web infetti non fa parte dei cosiddetti “distretti a luci rosse” della Rete. La minaccia arriva sempre più sovente, invece, dai siti web ritenuti affidabili. Gli aggressori, infatti, tentano sempre più frequentemente di inserire codice dannoso nelle pagine di siti conosciuti e considerati assolutamente benigni. Ciò può avvenire attraverso tecniche di SQL Injection, attacchi XSS combinati con attività SEO, vere e proprie vulnerabilità dell’applicazione web o del server.
La diffusione di malware ha luogo principalmente tramite le pagine web all’interno delle quali, se in qualche modo vulnerabili vengono inseriti codici nocivi, installati sui sistemi degli utenti (client) tramite la metodologia “drive-by download”. Già l’anno scorso è stato ridimensionato il ruolo, fino ad allora dominante, degli allegati ai messaggi di posta come portatori di programmi nocivi, i quali vengono ora usati principalmente per attirare le vittime su pagine Internet nocive preparate “ad hoc”.
Con il termine “drive-by download” si definiscono tutti quei programmi che si insediano, in modo automatico, sul sistema dell’utente senza che questi abbia concesso la sua autorizzazione. Questo genere di infezione si può verificare non appena l’utente visiti un sito web “maligno” utilizzando un sistema che non è stato opportunamente “messo in sicurezza” mediante la tempestiva applicazione delle patch via a via rese disponibili. L’aggressore, sfruttando le vulnerabilità non sanate, insite nel browser o nel sistema operativo dell’utente, può così riuscire ad installare automaticamente dei programmi dannosi sulla macchina del “malcapitato”, semplicemente persuadendolo a visitare una pagina web allestita allo scopo.
I malware “drive-by download” aggiungono insomma un’altra pericolosa minaccia. Non è ormai più possibile, per un utente responsabile, difendersi da potenziali problematiche semplicemente stando alla larga da siti web nocivi (è noto come siti web che sviluppano i temi della pirateria, offrono materiale pornografico, informazioni sul gioco d’azzardo e sulle droghe siano quelli maggiormente “popolati” di malware). Oggi, anche i siti web assolutamente benigni possono diventare veicolo per la diffusione di malware.
La migliore difesa è, in primo luogo, conoscere il funzionamento delle possibili minacce e mantenere il sistema sempre aggiornato. In quest’ottica, assume un’importanza fondamentale l’installazione delle patch di sicurezza per il sistema operativo e per tutte le applicazioni in uso.
G DATA ricorda anche il caso degli “storm worm”. Ritenuti da molti definitivamente debellati alla fine del 2007, hanno potuto festeggiare il loro compleanno in maniera molto particolare.
La banda degli storm worm ha suddiviso le reti Bot di modo che i computer dietro a un router inviassero solo spam. I computer senza router vengono utilizzati per ospitare pagine di spam e phishing. La risoluzione di un nome di dominio fa riferimento costantemente ad altri computer della rete Bot (metodo “Fast Flux”). Pertanto, è molto più difficile individuare in Rete le pagine Web che contengono file nocivi.
La software house teutonica esamina anche molte novità che sono apparse nei primi mesi dell’anno. Tra le più interessanti c’è l’apparizione di un virus che sovrascrive il record di avvio (MBR; Master Boot Record) del disco fisso impiegando però alcune funzioni mimetiche a livello kernel. Nel primo semestre del 2008 sono apparse 97 varianti di questo virus. Una rivisitazione di una vecchia strategia (i virus che infettavano il MBR risalgono ai tempi del DOS) che vede impiegate, in chiave moderna, tecniche rootkit.
L’intero resoconto prodotto da GDATA, è consultabile scaricando questo documento in formato PDF.