Introduzione

All’inizio di quest’anno è stata svolta un’attività di valutazione della sicurezza informatica relativa al 2004 e si è cercato di delineare una previsione per il 2005. Già nel primo trimestre risulta evidente che rispetto allo scorso anno la situazione delle minacce di virus sta cambiando.

Il presente articolo enfatizza alcune tendenze del momento.

Un’esplosione di nuovi "bot"

Alcuni mesi fa gli analisti dei virus di Norman ricevevano quotidianamente circa 50 nuovi programmi diversi di codice "maligno";

ora ne ricevono fino a 500 tipi diversi al giorno, un aumento senza precedenti nella storia del codice "maligno".

È interessante notare che tale aumento non ha causato alcun tipo di “epidemia", come invece gli attacchi Sobig.F e MyDoom dello scorso anno.

L’aumento è costituito da un gran numero di "bot" (robot). Questi programmi possono agire in vari modi, ad esempio:

• connettersi a diversi siti Web e scaricare altro codice "maligno", come programmi backdoor
• installare codice "maligno" sul computer, come programmi backdoor
• esplorare la rete per individuare computer vicini privi di patch da attaccare
• raccogliere informazioni personali come numeri di conti bancari, di carte di credito e password

Poiché questi bot non sono molto diffusi e l’attenzione su ognuno di essi è scarsa, è facile subirne l’attacco senza che esista una particolare minaccia.

Quando un computer viene infettato da un programma che genera un backdoor, chiunque conosca le credenziali, se esistenti, per completare la connessione può accedere a distanza alle sue risorse. A prescindere dal fatto che nel computer siano presenti informazioni personali o aziendali, il sistema può essere utilizzato per azioni maligne, ad esempio:

Un punto di diffusione per l’invio di spam

Poiché tale azione è illegale in diversi paesi, naturalmente gli spammer evitano di inviare i messaggi spam dai propri computer e in questo caso il computer compromesso è molto utile.

Uno zombie da utilizzare per attacchi contro terzi

Nel corso degli anni, diversi siti Web in posizioni di primo piano sono stati colpiti da attacchi di tipo Distributed Denial of Service (DDoS). Questi attacchi vengono eseguiti da una serie di computer (tra cui, potenzialmente, quelli di utenti inconsapevoli) che inviano simultaneamente un gran numero di comandi contro un altro computer in particolare (ad esempio, un server web) o una rete. La quantità di dati in ingresso è talmente alta che i computer attaccati non riescono a gestirla e non sono più disponibili per l’utilizzo legittimo.

I computer infetti vengono quindi utilizzati, all’insaputa dei proprietari, come aggressori: i computer zombie. Il vero aggressore è seduto da qualche altra parte e si limita a premere il pulsante per dare inizio all’attacco controllando migliaia di computer zombie.

Nuove applicazioni utilizzate per infettare gli utenti

Negli ultimi anni, la posta elettronica ha rappresentato di gran lunga il metodo più comune ed efficace di diffusione di codice "maligno". Sono state riscontrate anche diverse istanze di codice "maligno" diffuso (solamente) in rete, come ad esempio Pinfi (il collegamento viene aperto in una nuova finestra del browser). È difficile liberarsi di questo codice "maligno" diffuso in rete dal momento che anche un solo computer non pulito può generare messaggi di tentativo di infezione dall’intera rete o addirittura infettare in pochi secondi l’intera rete se questa non è protetta contro la minaccia specifica.

All’inizio del 2005, MSN Messenger è stato spesso utilizzato come strumento di diffusione di software maligni.

Il primo caso (e quello tecnicamente più interessante) è stato l’utilizzo di una vulnerabilità appena scoperta per infettare un altro utente inviando un’immagine contenente un virus. Microsoft ha risolto il problema disabilitando l’uso di MSN Messenger e richiedendo all’utente l’aggiornamento a una versione più recente priva di tale vulnerabilità.

Quindi, gli autori di software maligni sono tornati alle tecniche di base, ovvero agli attacchi di carattere "sociale":

l’invio di un messaggio da un utente presente nell’elenco dei contatti MSN che invita a fare clic su un collegamento Web per vedere qualcosa di divertente, interessante, audace e così via, nonché ad aprire il programma che il collegamento richiede di aprire.

In tal modo perfino utenti che non avrebbero mai osato aprire un allegato e-mail o fare clic ed eseguire un collegamento e-mail senza avere la certezza della sua autenticità, hanno seguito l’invito e sono stati infettati...

La stessa vecchia tecnica, con un mezzo leggermente diverso.

È presumibile che nelle settimane e nei mesi successivi si verifichino molti tentativi di infezione simili. A un certo punto, la maggior parte degli utenti comprenderà quanto sia imprudente aprire collegamenti/programmi ricevuti tramite e-mail.

La fusione di diversi tipi di codice "maligno"

A prescindere dagli strumenti utilizzati per diffondere il codice "maligno", è possibile osservare che i diversi tipi di codice "maligno" sono sempre più integrati. 

• I virus vengono utilizzati per installare backdoor in modo da consentire l’invio di spam 
• I worm si collegano a siti Web ed eseguono programmi che installano spyware e adware
• I bot appaiono sempre più sofisticati nel loro tentativo di sfruttare le vulnerabilità dei sistemi operativi e delle applicazioni e possono lasciare i computer aperti e disponibili a persone con intenti maligni

È probabile che questa tendenza prosegua nel corso dell’anno.

Le sfide di quest’anno per chi si occupa di sicurezza non sono meno impegnative di quelle affrontate negli anni precedenti.

Per Olav Førland