24937 Letture

Principali minacce per la sicurezza: il quadro attuale ed il panorama futuro

Il tema "sicurezza informatica" è di sempre maggior attualità. La complessità che hanno raggiunto i software così come le applicazioni web fruibili "online" semplicemente servendosi di un browser web ha portato gli sviluppatori a doversi quotidianamente misurare con minacce delle più svariate tipologie. Sempre più breve, inoltre, è il lasso di tempo che intercorre tra la scoperta di una nuova vulnerabilità, precedentemente sconosciuta, e la comparsa in Rete dei primi codici "exploit" in grado di sfruttare la stessa falla di sicurezza.
Le cosiddette vulnerabilità "0-day" sono sempre più frequenti: si tratta di attacchi che hanno inizio "nel giorno zero" ossia poco tempo dopo l'individuazione di un problema di sicurezza. Aggressioni del genere possono "mietere molte vittime" dal momento che il produttore non ha ancora rilasciato una patch per la correzione della vulnerabilità presa di mira.
Tutti i principali "vendor" usano comunque pubblicare dei bollettini di sicurezza che contengono importanti indicazioni per ridurre i rischi di infezione nell'attesa che venga rilasciato un aggiornamento ufficiale. Su IlSoftware.it diamo notizia di tutte quelle lacune di sicurezza che per pericolosità e "target" di utenza rappresentano un imminente pericolo offrendo contemporaneamente le soluzioni temporanee che possono essere messe in campo per evitare problemi.

Per fare il punto sul presente e sul futuro delle minacce informatiche abbiamo avuto l'occasione di intervistare Marco Giuliani, uno dei massimi esperti italiani in materia oltre che "malware technlogy specialist" per la società inglese Prevx.
Buona lettura.


Michele Nasi, IlSoftware.it. Il web è un ambiente ostile. Gli aggressori usano mettere a punto pagine web nocive contenenti codici exploit e meccanismi in grado di sfruttare vulnerabilità del browser, dei plugin installati e del sistema operativo. Di quali strumenti dovrebbero dotarsi i produttori di browser web e quali prodotti sono oggi "in prima linea"?

Marco Giuliani. Navigare in Internet è diventata sempre più una giungla piena di pericoli. Come già fatto notare, c'è il rischio sempre più frequente di imbattersi in pagine web non desiderate, o contenenti codici maligni capaci di sfruttare le vulnerabilità del sistema operativo, del browser o di qualche plugin installato nel sistema. Spesso la prima causa di tutto ciò è l'utente stesso che non si preoccupa di tenere aggiornato il proprio sistema, a partire dagli aggiornamenti del sistema operativo fino agli aggiornamenti dei singoli programmi installati.
Non è tuttavia da sottovalutare il rischio causato da falle scoperte dai pirati informatici e sconosciute agli sviluppatori - i cosiddetti exploit “0-day” - che sono sempre più frequenti. Se, nel primo caso, basterebbe avere del buonsenso e tenere il proprio sistema aggiornato, purtroppo si può benissimo ricadere nel secondo caso, in cui nessuno purtroppo può sapere dell'esistenza delle possibili falle.

I produttori di browser web, tuttavia, proprio per ovviare a tali problematiche, stanno sviluppando nuove tecnologie per la prevenzione di attacchi causati da falle conosciute o sconosciute a livello di sistema operativo, browser o dei vari plugin eventualmente installati. Alla base di questo approccio c'è la semplice idea di racchiudere in una zona protetta tutto ciò che accade nel browser: si parla di una “sandbox” isolata dal resto del sistema.

Ogni sviluppatore deve sapere che un codice mediamente complesso potrà avere delle falle, ed un browser è un software molto complesso, con decine di migliaia di righe di codice. Prendendo coscienza di ciò, alcuni produttori di browser web hanno giustamente deciso di scegliere la via della “sandbox” pensando che, anche se una falla dovesse venire scoperta, non potrà comunque fare danni perché il codice nocivo viene eseguito all'interno di un'area sorvegliata e dai confini ben definiti.

Google Chrome ed Internet Explorer sono i due browser più all'avanguardia sotto questo punto di vista. Google e Microsoft hanno infatti deciso di dotare i rispettivi browser di una “sandbox”, capace di rendere la navigazione più sicura, senza preoccuparsi di incappare in pagine web nocive. Entrambi i browser hanno potuto dimostrare che la “sandbox” funziona perfettamente, arginando possibili codici exploit dall'ottenere il controllo del sistema.

Purtuttavia, mentre Internet Explorer - nelle versioni 7 e 8 - sfrutta per la propria “sandbox” le nuove tecnologie implementate in Windows Vista e Windows 7, Google Chrome implementa una propria sandbox basandosi su funzionalità più generiche di Windows. Ciò significa che Internet Explorer 7 e 8 funzioneranno in modalità protetta solo nei sistemi operativi Windows Vista e Windows 7, mentre Google Chrome è capace di sfruttare la propria “sandbox” anche sui sistemi operativi precedenti a Windows Vista (ad esempio, in Windows XP).

Sia Mozilla Firefox che Opera sono rimasti indietro sotto questo punto di vista. Se è vero che il codice dei due browser si è dimostrato spesso più robusto di Internet Explorer, ciò non esclude che si possa scoprire in futuro una eventuale falla in entrambi. E, in caso di una nuova falla, i due browser non dispongono di default – almeno per il momento – di alcun sistema per arginare eventuali codici nocivi.

L'aggiornamento dei plugin, del browser web, l'applicazione delle patch per il sistema operativo e tutte le altre applicazioni installate è un procedimento spesso sottovalutato dagli utenti finali ed è talvolta mal gestito in ambiente aziendale. Quali soluzioni ci sono sul mercato, sia per l'ambiente consumer che per gli utenti business per far fronte al problema?

Per quanto riguarda il sistema operativo, in ambito Microsoft ovviamente, per gli utenti consumer l'unica via sicura è il controllo attraverso Windows Update, o l'attivazione degli aggiornamenti automatici di Windows dal Pannello di controllo del sistema.
Per gli utenti business, ovviamente, si dovrebbe far riferimento al Microsoft Windows Server Update Services (WSUS).


Se non si volesse - o non si fosse in grado - di effettuare dei controlli costanti sullo stato degli aggiornamenti dei software installati nel sistema, invece, per gli utenti consumer ci sono due utility che vengono in aiuto. Una è Secunia Personal Software Inspector (PSI) e l'altra è FileHippo.com Update Checker. Entrambi analizzano i software installati nel sistema e suggeriscono all'utente eventuali aggiornamenti da effettuare. In ambito business si può ricorrere al fratello maggiore del software di Secunia, Secunia Corporate Software Inspector (CSI).

Quali soluzioni ritieni debbano essere adottate dai produttori per facilitare l'applicazione di patch ed aggiornamenti? Vedi possibile la realizzazione, da parte di Microsoft, di una sorta di "packet manager" Linux in ambiente Windows?

Sicuramente l'idea di un repository, come da tempo utilizzato nei sistemi operativi Linux, sarebbe la via più semplice e sicura per distribuire sia software sicuro che eventuali aggiornamenti di tali software. Un utente inesperto scaricherebbe da lì software e aggiornamenti senza dover ricorrere alla navigazione web in siti web che poi potrebbero risultare nocivi o semplici truffe. D'altronde, negli ultimi giorni, si sono diffusi dei rumor riguardo Windows 8 e l'idea di creare un Windows Store, simile all'App Store. Potrebbe essere questa la strada che si vuole seguire anche in casa Microsoft.

Puoi parlarci delle nuove tipologie di attacco che stanno emergendo?

Sul fronte minacce si segue lo stesso passo dell’evoluzione del web. Anni fa c’era il problema delle e-mail con allegati nocivi divenuto oggi abbastanza marginale. Poi si è passato al Web 2.0, con il successo inarrestabile dei social network, ed anche qui i pirati informatici hanno trovato terreno fertile per poter diffondere i propri codici nocivi. Poi, come detto in precedenza, pagine web fittizie che – grazie all'impiego tecniche SEO – riescono ad essere indicizzate nei motori di ricerca prima di altre ed utilizzano "exploit" vari per poter inserire del malware sui sistemi dei "malcapitati".
I malware non vengono inseriti, però, solamente su pagine web "nocive" appositamente preparate. Siti web ritenuti dagli utenti affidabili e sicuri vengono talvolta compromessi inserendo nel loro codice sorgente degli script nocivi.


Per quanto riguarda le tipologie di malware, i rootkit negli ultimi anni hanno avuto un incremento di sviluppo vertiginoso, diventando sempre più ben progettati ed efficaci. Tecnologie rootkit "kernel mode" e rootkit "user mode" sono sempre più presenti all’interno degli ultimi malware.
Microsoft ha tentato una terapia d’urto contro i rootkit inseriti nel kernel, grazie alla tecnologia Kernel Patch Protection (meglio conosciuta come PatchGuard), inserita nei propri sistemi operativi a 64 bit. Ciò non esclude tuttavia la presenza di rootkit "user mode", che sono comunque altrettanto efficaci e compatibili tra i vari sistemi operativi.
Se è vero che un rootkit "user mode" sarà sempre più facile da intercettare e rimuovere rispetto ad un rootkit "kernel mode", è altresì vero che i software di sicurezza si sono sempre dimostrati in difficoltà contro queste minacce, spesso non sufficientemente preparati per rilevarle e rimuoverle.
Come se ciò non bastasse a rendere la vita più difficile ai software di sicurezza, i "malware writer" ricorrono ad "engine" specifici capaci di cambiare il codice dei propri malware continuamente, ricodificandoli lato server. Un esempio fu il worm "Storm", che veniva ricodificato dai server di diffusione ogni cinque minuti, cambiando quindi continuamente la propria forma. Si tratta di una soluzione indubbiamente efficace per riuscire a infrangere le difese di un semplice antivirus basato su firme virali. Lo stesso vale per molti trojan attuali, quali SpyEye, ZeuS o per i "dropper" (modulo dannoso sviluppato con lo scopo di installare ulteriore malware od aprire una "backdoor" sul sistema infettato, n.d.r.) del rootkit TDL3.
Spesso è sufficiente che gli autori di malware mettano in campo espedienti simili per far venire a galla tutti i problemi di un approccio standard, da parte di alcuni software antivirus, basato esclusivamente sull'uso di database delle firme virali.


Oltre all'aggiornamento del sistema ed all'installazione delle patch di sicurezza, quali altri strumenti di difesa è bene vengano adottati in ambito consumer?

Sicuramente l'"adeguamento" del sistema operativo con le ultime patch di sicurezza e l’aggiornamento costante di tutti i software installati sono due azioni che, da sole, consentono di difendersi già in modo piuttosto adeguato in ambito consumer.
Il passaggio ai più recenti sistemi operativi di casa Microsoft sarebbe altrettanto raccomandabile, dal momento che sia Windows Vista che Windows 7 offrono numerose tecnologie di sicurezza aggiuntive rispetto all’ormai anziano Windows XP.

Se si utilizza un sistema operativo Windows XP, sarebbe raccomandabile anche l’utilizzo di un account limitato, per quanto possibile. Capisco che gli utenti sono spesso abituati ad utilizzare un account amministratore e non aver mai problemi nell’installazione di qualsiasi programma, ma facendo così si lascia anche un enorme corridoio aperto a qualsiasi malware che dovesse malauguratamente riuscire a guadagnare l'accesso al sistema in uso.

Se si utilizza Windows Vista o Windows 7, sarebbe raccomandabile non disattivare la tecnologia UAC (User Account Control, un modulo di protezione nato con Vista che blocca i tentativi di modifica sulle aree più delicate del sistema operativo chiedendo, di default, conferma all'utente prima di provvedere alla loro effettiva applicazione, n.d.r.) perché, seppur qualcuno possa trovare questa funzionalità piuttosto noiosa, è un sistema molto utile per separare i privilegi di amministratore dai privilegi dell'utente, non permettendo ad un malware di poter ottenere automaticamente l'autorizzazione per l’accesso totale al sistema. A tutto questo va aggiunto l’utilizzo di un software antivirus, che è fondamentale per poter intercettare possibili infezioni al sistema.


Sento spesso dire che basta un account limitato per poter essere al sicuro dai malware. Un mito, questo, tutto da sfatare. Un malware può infatti riuscire a rubare ugualmente informazioni personali anche da account limitato, può egualmente causare danni ai dati dell’utente e può sopravvivere anche in tale contesto.
Utilizzando un account utente dotato di privilegi limitati, il malware è sicuramente più facile da intercettare e rimuovere, ma l’utente come si accorge della sua presenza se non c’è un software antivirus che potenzialmente segnala questa presenza non desiderata? L’utilizzo di un firewall software, in aggiunta al software antivirus, sarebbe altrettanto raccomandabile, sebbene i firewall software siano diventati con il tempo molto più che semplici firewall, ma veri e propri sistemi di analisi comportamentale che, se da un lato aiutano e contribuiscono molto alla sicurezza del sistema, dall’altro rendono la vita alquanto difficile a qualsiasi utente che non abbia le conoscenze adeguate per rispondere alle domande di allerta.


  1. Avatar
    Ionda
    28/07/2010 14:14:39
    @gianmarco_c è stato dimostrato ormai che le macchine virtuali aiutano ma non risolvono il problema. Non esiste una tecnologia immune al 100%
  2. Avatar
    iOnda
    28/07/2010 14:12:48
    Interessante articolo complimenti. A proposito di "Spesso i malware writer fanno leva sull’ingenuità degli utenti, e, purtroppo, a questo attacco non c’è difesa che possa essere realmente efficace", si dovrebbe iniziare a parlarne a scuola (fin dalle medie ormai), come materia specifica, per educare le nuove generazioni ai nuovi pericoli... Insomma, come li educhiamo ai pericoli della vita reale dovremmo educarli ai pericoli informatici. Andrea
  3. Avatar
    gianmarco_c
    21/07/2010 14:17:45
    Per avere il sistema protetto a volte navigo in internet utilizzando netubuntu da vwmplayer , le macchine virtuali possono essere considerate una sandbox valida?,grazie anticipatamente per una breve risposta
Principali minacce per la sicurezza: il quadro attuale ed il panorama futuro - IlSoftware.it