“Il 2008 si è chiuso ponendo alcuni paletti che necessariamente le società di sicurezza devono tenere in considerazione per poter pensare di essere ancora competitive e, soprattutto, per poter pensare di tenere il passo dei malware writer“, osserva Marco Giuliani nella sua analisi di fine anno, liberamente consultabile in formato PDF.
Il documento fa una disamina del problema rootkit, divenuto sempre più importante nel corso dell’anno appena lasciato alle spalle. Basti pensare alla diffusione di “MBR Rootkit”. Conosciuto anche con il nome di “Mebroot”, è probabilmente uno dei rootkit più raffinati in circolazione. Questo malware infetta il Master Boot Record (MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer, prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, “Mebroot” sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware. I rootkit che infettano il MBR sono spesso portatori di trojan in grado di sottrarre informazioni di tipo bancario e credenziali di accesso a servizi finanziari.
Una volta eseguito nel sistema, infatti, il rootkit è in grado di bypassare eventuali firewall installati e di connettersi all’esterno, aprendo backdoor e scaricando nuove infezioni all’interno del PC.
Giuliani ricorda la grande diffusione di un rootkit, tecnicamente molto avanzato, come “Rustock.C”. Il malware “utilizza un avanzato sistema di codifica che rende particolarmente arduo il compito di analizzarne il codice da parte dei ricercatori delle società di sicurezza. L’intero corpo del malware è cifrato con l’algoritmo RC4 e compresso con aPlib“. L’infezione da Rustock.C è inoltre particolarmente subdola poiché il rootkit ha funzionalità di “file infector”: copia cioè il suo codice all’interno di altri driver di sistema. “Qualunque tentativo di leggere il driver infetto risulterà in un nulla di fatto, perché il rootkit filtra i file system driver fastfat.sys e ntfs.sys mostrando ad ogni lettura il driver pulito dall’infezione“, spiega Giuliani.
Nel 2008 si sono registrati decine di esempi di malware che, una volta infettato il sistema, così come Rustock.C, lo inseriscono in una “botnet”, insiemi di computer in genere controllati illecitamente all’insaputa del legittimo proprietario. Le “botnet” vengono frequentemente impiegate per l’invio di enormi quantità di e-mail di spam.
L’anno appena trascorso ha visto poi, sul lato degli strumenti di difesa dalle minacce informatiche, la diffusione di tecnologie di protezione in-the-cloud. Questo tipo di approccio sfrutta la ormai continua fruibilità della connessione Internet per rivoluzionare le modalità con cui i nuovi malware vengono rilevati, classificati e rimossi. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati.
Sempre più produttori di soluzioni per la sicurezza si stanno accorgendo come il fenomeno malware non sia contrastabile se non vengono offerte soluzioni basate su un approccio centralizzato svincolato dal modello “PC-centric” sinora adottato.
F-Secure DeepGuard 2.0, McAfee Artemis, Panda Collective Intelligence, Norton Community Watch e Prevx sono alcuni dei protagonisti della battaglia “in-the-cloud”.
Ogni volta che un software viene eseguito, il client cerca nel proprio database online se il file è già conosciuto o meno, e nel caso sia conosciuto come malevolo ne blocca immediatamente l’esecuzione.
Grazie a questo “modus operandi”, un prodotto antivirus non deve più aggiornare il proprio archivio delle firme virali ma può fare affidamento sul database online mantenuto costantemente “up-to-date”.
Come ricorda Giuliani, l’impiego di account utente dotati di diritti limitati è un’ottima prassi per prevenire eventuali problemi derivanti dall’azione di malware. Non si tratta certo della soluzioni definitiva al problema malware ma può aiutare i software di sicurezza ad individuare più facilmente la presenza di un componente nocivo nella malaugurata situazione in cui esso dovesse riuscire ad insediarsi sul sistema.
I rischi più pesanti, tuttavia, si corrono utilizzando applicazioni non correttamente aggiornate all’ultima versione. Secondo i dati pubblicati da Secunia (ved. questo articolo), meno del 2% dei sistemi analizzati sarebbe immune da qualunque tipo di attacco in grado di sfruttare vulnerabilità del sistema operativo e delle principali applicazioni (codici exploit).
Ecco quindi come sempre più pagine web hanno iniziato a pullulare di codici exploit in grado di far leva su vulnerabilità del browser, in primis, per eseguire azioni pericolose sul sistema dell’utente. La miglior difesa consiste nella tempestiva installazione di tutte le patch di sicurezza rilasciate dai vari produttori.
Giuliani evidenzia come il 2008 abbia segnato anche la scelta di Mac OS X quale sistema operativo maggiormente d’interesse per i “malware writer” dopo Windows. Il numero dei codici nocivi sviluppati per Mac OS X è assolutamente esiguo e del tutto irrilevante rispetto a Windows. La comparsa dei primi malware per il sistema operativo della mela, secondo Giuliani, “potrebbe comunque suonare come un preavviso di un possibile cambio di rotta. Con la crescente diffusione di Mac OS X, il sistema operativo di casa Cupertino rischia di trovarsi ad affrontare gli stessi problemi che deve affrontare ora Microsoft Windows“.
Il 2009 sarà l’anno dell’utilizzo crescente di tecniche di ingegneria sociale adattata ai servizi di social network quali >Facebook, sempre più diffusi.
Le aziende che sviluppano soluzioni per la sicurezza tenderanno a sviluppare nuove tecnologie per la prevenzione di exploit, un’emergenza considerata sempre più prioritaria.