Introduzione

Negli ultimi due anni il monitoraggio delle tendenze relative alle attività Internet dannose in generale e al software dannoso in particolare ha rilevato un cambiamento significativo. In passato la comunità Internet ha affrontato diffusioni pandemiche di software dannoso che hanno richiamato una grande attenzione da parte dei media. Tale fenomeno è quasi del tutto scomparso. Come è possibile vedere nell’elenco "NOTIFICHE DI VIRUS" di Norman riportato sul lato destro, nella maggior parte dei casi i virus riportati sono piuttosto datati. Il motivo è attribuibile al fatto che non è apparso quasi nessun nuovo malware che pone per gli utenti un rischio di infezione maggiore rispetto a quelli ancora attivi.

Nelle Informazioni sulla sicurezza, settimana 11 di quest’anno sono stati presi in esame i cambiamenti nell’attività relativa al malware, con una particolare attenzione al ruolo svolto dai media nell’analisi dello stato delle minacce. Nelle Informazioni sulla sicurezza verrà adottato un approccio diverso.

Un malware di minore importanza comporta un minore rischio di infezione?

L’assenza di pandemie di virus come Melissa, LoveLetter, Sobig.F e altro malware diffuso, che attirano l’attenzione dei media, potrebbe erroneamente indurre a pensare che l’utente Internet occasionale sia meno esposto alle infezioni di software dannoso.
Purtroppo non è affatto così.

La distribuzione meno capillare di singoli elementi di software dannoso non costituisce, con ogni probabilità, un metodo pertinente attraverso il quale misurare l’esposizione al malware in generale. La quantità totale di software dannoso “circolante" è ciò che determina il rischio di esposizione. Per stabilire se il rischio di esposizione è minore rispetto a qualche anno fa, è più importante considerare la somma dei malware messi in circolazione piuttosto che l’attenzione ricevuta da un specifico elemento.

I file per il rilevamento dei virus offrono alcune indicazioni sulla quantità di malware diversi che vengono creati. Gli utenti che utilizzano da tempo il nostro software avranno avuto modo di constatare un sorprendente aumento della dimensione dei file di definizione dei virus negli ultimi anni e mesi. Attualmente, vengono aggiunte ogni giorno oltre mille firme e non di rado diverse migliaia. L’aumento della dimensione dei file di firma si è verificato anche per i prodotti antivirus di altri fornitori.

Anche l’elevata quantità di software dannoso contribuisce a rendere difficile la definizione dei nomi precisi degli agenti dannosi da parte del settore antivirus e protezione. La recente famiglia di worm denominata Stration da Norman è stata indicata con nomi quali Email-Worm.Win32.Warezov; W32/Spamta.worm da altri fornitori di antivirus. Ciò naturalmente contribuisce all’impossibilità dei media, e del pubblico in generale, di valutare in modo accurato la situazione delle minacce.

Che cosa è successo?

Prima di esaminare il significato che questo cambiamento della situazione del malware assume per i fornitori di software per la protezione e per gli utenti Internet, occorre riepilogarne le ragioni:

• Gli autori di software dannoso spesso non sono "giovani pirati informatici", ma persone o organizzazioni coinvolte in attività illegali e dotate di una quantità di risorse disponibili notevolmente maggiore. Attualmente la comunità Internet sta assistendo a uno spostamento dalla creazione di attività dannose fini a se stesse allo svolgimento di attività dannose motivate da un interesse economico. 
• È in atto in processo di convergenza tra vari tipi di malware; virus, worm, keylogger, trojan, spyware e adware. Spesso sono raggruppati in “cocktail" di cui, una volta infetti, è difficile liberarsi. 
• Gli autori di malware spesso utilizzano le vulnerabilità del giorno zero di sistemi operativi e applicazioni. In questo modo il malware può esistere per un periodo di tempo senza alcun rimedio o protezione da parte del fornitore del software vulnerabile. 
• Ciascun componente di malware è concepito per avere una breve durata. Ciononostante, vengono create a una velocità impressionante nuove varianti che richiedono proprie firme di virus. Gli autori spesso utilizzano tecniche complesse per “occultare" le affinità di una nuova variante rispetto a una versione precedente, rendendo in tal modo difficile per i fornitori di antivirus riuscire a rilevare una specifica famiglia di malware in modo generico. 
• Gli autori di software dannoso spesso creano malware avendo come obiettivo una specifica organizzazione o gruppo di organizzazioni. Ciò significa che è più difficile per il settore antivirus rendersi conto dell’esistenza di tale malware da aggiungere ai file di firma.

Lo schema di protezione

La situazione per la maggior parte degli utenti

Per certi versi questa nuova situazione ha posto una nuova sfida al settore antivirus. L’individuazione di nuovo malware, nonché l’aggiunta dei nuovi file di firma a esso relativi, sono attività più che mai impegnative e dispendiose in termini di tempo.

La necessità di software per la protezione che sia meno dipendente da tecniche basate sulla firma è considerata di primaria importanza e diversi fornitori di antivirus hanno creato propri strumenti per soddisfare questa esigenza. La tecnologia Norman SandBox, che è integrata in tutti i prodotti antivirus di Norman, è tra gli strumenti di protezione proattiva più avanzati. Ulteriori informazioni sulla tecnologia SandBox sono disponibili qui (si apre una finestra distinta del browser).

Gli utenti finali spesso utilizzano anche diversi tipi di protezione software allo scopo di ottenere la massima protezione, partendo dal presupposto che se un software per la protezione non rileva il malware, un altro potrebbe essere in grado di farlo.

Utenti che potrebbero essere esposti al rischio di attacchi specifici

Come precedentemente accennato, alcune organizzazioni specifiche vengono prese di mira con una maggiore frequenza rispetto ad altre. Se gli attacchi vengono condotti utilizzando software dannoso, la protezione risulta difficile in quanto il malware potrebbe avere una diffusione talmente contenuta da non essere incluso nei file di firma del settore antivirus.

Esempi di organizzazioni che potrebbero rientrare nell’area di rischio sono: 

• aziende del settore bancario e assicurativo; 
• aziende high-tech che hanno sviluppato una tecnologia considerata strategicamente importante per altre aziende e organizzazioni (o paesi); 
• ogni genere di organizzazioni per la sicurezza.

Questi obiettivi potenziali spesso dispongono di un proprio arsenale di software per la protezione, sviluppato internamente o come progetti speciali da parte di fornitori terzi. Di recente Norman ha sviluppato un insieme di strumenti particolarmente utili per questo gruppo di organizzazioni: i prodotti SandBox Malware Analyzer. Ulteriori informazioni su questi prodotti sono disponibili qui (si apre una finestra distinta del browser).