:: NORMAN :: Antivirus | Firewall

Home

Notizie

Prodotti e servizi

Partner

Selezionare il paese

Selezionare il prodotto

Virus e sicurezza » Informazioni sulla sicurezza » 2006 » Considerazioni sull'opportunità di riferire di avere subito un attacco di tipo DoS (Denial of Service)

Considerazioni sull'opportunità di riferire di avere subito un attacco di tipo DoS (Denial of Service)

Aggiungere ai preferiti di Norman

Informazioni sulla sicurezza, settimana 19, 2006

Security Information

Introduzione - una breve panoramica dell’esperienza Norman

Pochi giorni dopo le vacanze pasquali, uno dei computer di Norman è stato oggetto di un attacco DDoS (Distributed Denial of Service) (1).

Il computer attaccato era Norman Sandbox Information Center - il server Web in cui è possibile visualizzare le statistiche sui codici maligni inviate a Norman per l’analisi automatica Sandbox e così via.

Dal punto di vista dei pirati informatici, l’attacco ha avuto successo, in quanto è stato necessario disattivare temporaneamente il Norman Sandbox Information Center a causa dell’ingente carico causato dall’attacco.

Norman Sandbox Information Center è stato il bersaglio di molti computer che hanno sferrato il cosiddetto attacco SYN (2). Le indagini hanno mostrato che i computer facevano parte di una BOTNET (3).

Norman ha comunicato la situazione al proprio Internet Service Provider (Ventelo Comnet) -collegamento a un sito Web norvegese), che ha interrotto l’accesso al Sandbox Center e ha contattato l’ente per la sicurezza nazionale norvegese (Nasjonal sikkerhetsmyndighet - collegamento a un sito Web norvegese). Inoltre, si è rivolta, a livello informale, a diversi addetti alla sicurezza di tutto il mondo, i quali hanno fornito una risposta positiva e hanno mostrato la ferma intenzione di bloccare l’attacco. Pertanto, è stato possibile raccogliere informazioni estremamente utili da una serie di fonti diverse.

Nel giro di poco tempo, la botnet è stata bloccata.

Norman ha denunciato l’incidente alle autorità norvegesi che hanno aperto delle indagini il cui esito sicuramente coinvolgerà altri paesi oltre alla Norvegia. Al momento della stesura delle presenti Informazioni sulla sicurezza i dettagli sulle investigazioni non sono stati ancora resi noti.

Le azioni da intraprendere in questi casi

Se una società diventa il bersaglio di attacchi informatici e non è in grado di svolgere le proprie funzioni in modo soddisfacente, sorgono alcuni problemi, a volte in conflitto fra loro:

La necessità di mantenere un basso profilo relativamente all’incidente per evitare reazioni avverse dai clienti e dai mezzi di informazione per quanto riguarda la mancanza di sicurezza.
È possibile mantenere questo atteggiamento per un certo periodo di tempo, occultando il motivo per il quale i computer oggetto degli attacchi non sono disponibili, con messaggi del tipo "Manutenzione in corso" e così via.
La necessità di essere in grado di trovare e perseguire i pirati informatici
Ovviamente è difficile denunciare un reato se non si riconosce in prima istanza che il reato è stato effettivamente commesso.
La necessità di stabilire un esempio NON nascondendo l’incidente
Qualsiasi società nel campo della sicurezza, anche se per ovvi motivi sarebbe incline ad adottare la soluzione 1, potrebbe volere costituire un esempio per gli altri cercando di NON minimizzare l’incidente.

La risposta di Norman all’attacco

Norman ha scelto di divulgare il fatto di essere stato oggetto di un attacco DDoS.

Non appena si è determinata la natura dell’attacco, le relative informazioni sono state pubblicate sul sito Web principale di Norman (durante i tentativi di accesso a Sandbox Center)

Sandbox center unavailable

Norman ha preso una decisione di condotta. Si è deciso che era importante non nascondere ciò che era successo, incoraggiando in questo modo altre società e persone ad agire in modo analogo. Norman ritiene che tale atteggiamento sia più produttivo nel bloccare i singoli e le organizzazioni di pirateria informatica che iniziano e proseguono questo tipo di attacchi contro altre società.
Dopo tutto, alcune delle maggiori società del mondo sono state oggetto di attacchi informatici, con conseguenze simili. Se qualcuno con intenti maligni è disposto a dedicare tempo e risorse sufficienti a sferrare l’attacco, è quasi impossibile impedirlo a priori.

In questo caso, tuttavia, è importante ottenere log che possano essere utilizzati per stabilire la causa e l’origine dell’attacco. Ciò è fondamentale per bloccare l’attacco temporaneamente, per individuare e bloccare i computer da cui ha avuto origine e pertanto per bloccarlo in modo permanente. In seguito, ciò servirà a promuovere un’azione legale nei confronti delle persone o delle società responsabili dell’attacco.

Perché Norman Sandbox Information Center?

Si possono solo ipotizzare i motivi per cui Norman Sandbox Information Center è stato il bersaglio dell’attacco.

È bene ricordare, tuttavia, che Sandbox Information Center è uno strumento utilizzato da società e persone del settore della sicurezza di tutto il mondo per analizzare in modo automatico i programmi maligni e il relativo comportamento. Il fatto che ciò possa avere disturbato i creatori di codici maligni, dando origine all’attacco, è molto più di un sospetto.

Lo stesso comportamento è osservabile nei reati che avvengono nel mondo reale, quando i colpevoli tentano di disattivare i dispositivi di sicurezza prima di mettere in pratica il piano criminale.

Presumibilmente, le risorse di sicurezza su Internet sono fra i bersagli degli attacchi più gravi, come ad esempio quelli provenienti da pirati esperti, sferrati allo scopo di guadagnare ingenti somme di denaro mediante attività illegali e semi illegali.

Gli attacchi tramite codici maligni diventano ogni giorno più sofisticati e cominciano a essere uno strumento utilizzato sempre più di frequente dalla criminalità organizzata, si prevede che questa tendenza continuerà.

Breve spiegazione di alcuni termini utilizzati in queste Informazioni sulla sicurezza

(1) Attacco DDoS (Distributed Denial of Service)
Una situazione in cui potenzialmente milioni di computer attaccano simultaneamente un altro computer o una rete. L’obiettivo è quello di impedire al computer o alla rete oggetto dell’attacco lo svolgimento dei normali servizi.
(2) Attacco SYN
Un attacco in cui un computer con un indirizzo IP nascosto invia una richiesta di sincronizzazione (SYN) a un altro computer (server). Tale server risponde inviando una conferma (SYN-ACK) e attende la corrispondente conferma ACK dal computer di origine. Tuttavia, tale conferma ACK dell’IP del computer non verrà mai ricevuta, poiché l’indirizzo IP di origine è stato nascosto.
(3) BOTNET
Computer di una rete controllati da uno o più "bot" (robot). I computer di una botnet in genere non si rendono conto di fare parte di tale rete, poiché sono stati oggetto di un qualche attacco e risultano compromessi. I computer compromessi potrebbero in teoria venire utilizzati a qualsiasi scopo, ad esempio l’invio di spam e/o l’attacco di altri computer.
Chi controlla la botnet spesso utilizza server IRC (Internet Relay Chat) per gestire i computer (definiti anche zombie). Spesso si riscontra che il server IRC è un altro computer compromesso. Poiché la catena potrebbe essere formata da vari anelli, l’individuazione dei responsabili della botnet è tutt’altro che facile.

NOTIFICHE DI VIRUS

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2009-01-07

Informazioni sulla sicurezza

>>	Summing up 2008 and predictions for 2009
>>	Natale: periodo di gioia e terrore

Avviso sulla sicurezza

>>	Unscheduled update for Microsoft Internet Explorer
>>	Sei aggiornamenti critici per i sistemi Microsoft a dicembre 2008

Norman is one of the world’s leading companies within the field of data security. With products for antivirus (virus control), personal firewall, antispam and antiadware, the company plays an important role in the data industry.