Valutazione dell'andamento della sicurezza nel 2006

Introduzione

Queste Informazioni sulla sicurezza sono incentrate sui trend osservati nel corso del 2006 e offrono alcune brevi previsioni su quanto potrà accadere nel 2007.

Virus, worm e altri programmi maligni - Panoramica

Nel 2006 Norman ha emesso un solo avviso riguardante programmi maligni:

• W32/Small.KI

È lo stesso numero di avvisi registrato nell'anno trascorso, mentre vi sono stati più di dieci avvisi sia nel 2004, sia nel 2003.

Ciò evidenzia chiaramente che il trend di programmi maligni registrato nel 2005 è tuttora in corso. L'argomento verrà approfondito più avanti.

Diverse famiglie di malware con molte nuove varianti.

Anche se nel 2006 il numero di programmi maligni di alto profilo è stato inferiore rispetto agli anni precedenti, diverse famiglie di malware si sono ingrandite con un flusso continuo di nuove varianti di pari livello .

Le famiglie con il maggior numero di "fratelli e sorelle" nei file di rilevamento virus di Norman sono le seguenti:

• DLoader
• Spybot
• Agent
• Banker
• Dialer
• SDBot
• Hupigon
• Delf
• Zlob
• Smalldoor
• Smalltroj
• Tibs

Per tutte le famiglie sopra elencate esistono oltre 10.000 diverse varianti di pari livello.

Aumento considerevole di firme di malware

Come menzionato in precedenza, nel 2006 non sono stati registrati molti incidenti specifici legati a programmi maligni, tuttavia il numero di diversi tipi di malware ha riportato un tasso di crescita senza precedenti. Di seguito è riportato un esempio dei numeri di diverse firme malware presenti nei file di rilevamento virus di Norman:

• 1 gennaio 2006: 150 000 firme diverse
• 31 dicembre 2006: 550 000 firme diverse

Queste cifre mostrano che la minaccia rappresentata dal malware non si è affatto ridotta. Esaminando le tendenze nel corso dell'anno, tuttavia, si può considerare che la tipologia di minaccia è cambiata da vaste infezioni a incidenti più circoscritti e di durata più breve.

Bot in costante aumento

"Bot" è un'abbreviazione di robot, ovvero programmi controllati da qualcuno.

Il 2004 è stato l'anno di diffusione massima di tali programmi, con centinaia di nuove varianti. I bot si diffondono tra le connessioni di rete, spesso sfruttando falle di sicurezza, e possono eseguire varie attività, tra cui:

• Eseguire attacchi di tipo Denial of Service (DoS) contro computer
• Aggiornarsi automaticamente
• Scaricare o caricare file
• Avviare programmi
• Infettare altri computer

Qui è disponibile una descrizione generica di una famiglia di tali bot, SDbots (viene aperta una nuova finestra del browser).

Il trend del 2005/2005 è continuato nel 2006. Le botnet create sono numerose e di breve durata. Per questo motivo si ritiene che il trend continuerà nel 2007.

Assenza di epidemie gravi

Come già detto nell'introduzione, nel 2006 non sono state evidenziate epidemie paragonabili a quelle tristemente famose degli anni precedenti il 2005. Si è invece assistito a un'introduzione contenuta, ma costante, di nuovi codici maligni.

Questi programmi non hanno in genere lunga durata e vengono creati unicamente per scopi commerciali e pubblicitari.

Exploit del giorno zero

Non è diminuita la tendenza dei creatori di virus a sfruttare le falle di sicurezza dei sistemi operativi e di altri software.

L'anno iniziò con l'allora privo di patch exploit del giorno zero del motore di rendering grafico di Microsoft (verrà aperta una nuova finestra del browser) proveniente dal 2005. La patch di Microsoft venne rilasciata all'inizio di gennaio 2006 al di fuori del normale ciclo di rilascio, evento alquanto raro.

È interessante notare che l'anno si è concluso in modo simile: con un exploit del giorno zero in un prodotto Microsoft (Word). La prima vulnerabilità venne annunciata pubblicamente all'inizio di dicembre del 2006 ma né la patch Microsoft di dicembre 2006, né quella di gennaio 2007 erano in grado di risolvere tale vulnerabilità. Al momento di scrivere non si è ancora a conoscenza del rilascio di altre patch. La conclusione di questa vicenda sarà uno degli argomenti riepilogativi per l'anno 2007. In alternativa, è possibile consultare gli Avvisi sulla sicurezza di Norman, in continuo aggiornamento (verrà aperta una nuova finestra del browser).

Nel corso dell'anno, sono stati pubblicati diversi altri exploit del giorno zero per prodotti di vari fornitori. Tali exploit sono stati sfruttati da diversi malware.

Norman prevede che la tendenza tra gli autori di programmi maligni all'utilizzo delle vulnerabilità nei programmi continuerà nel corso del 2007.

Previsioni per il 2007

Si presume che la maggior parte delle tendenze osservate nel 2006 continueranno nel 2007, con particolare attenzione ai seguenti obiettivi:

• Computer infetti da programmi maligni utilizzati come server di spam per l'invio di posta indesiderata a utenti finali.
  
• Computer infetti da programmi maligni utilizzati come parti di botnet per partecipare alla distribuzione del malware. Ciascuna botnet avrà durata breve e la rimozione da Internet non avrà molta efficacia, dato che ne vengono create continuamente altre nuove.
  
• Il "phishing" continuerà a costituire un problema. Il phishing è il tentativo di ingannare un utente richiedendo informazioni personali, ad esempio il numero di carta di credito. Tali informazioni vengono spesso utilizzate per il furto di identità. Con tutta probabilità il 2007 evidenzierà un aumento nel numero di attacchi mirati (il cosiddetto "spear phishing"). Si tratta di un tipo di attacco che ha come obiettivo una particolare organizzazione.
  
• Si sta assistendo a un aumento di codici maligni creati a scopo di lucro piuttosto che con semplici intenti di creare danno. Anche questo trend, iniziato qualche anno fa, è destinato a proseguire nel 2007, con gruppi sempre più organizzati che utilizzeranno software di vario genere per compiere attività criminali.
  
• Lo SPAM continuerà a costituire un problema. L'utilizzo di messaggi spam con immagine come strumento per aggirare la protezione dei prodotti antispam continuerà a diffondersi così come ne aumenterà il livello di sofisticazione.

Le tendenze degli anni precedenti vengono discusse qui: