91302 Letture

Sicurezza: minacce, difese e consigli tecnici

Lo scenario dei malware è in continua evoluzione: il 2008 si è chiuso portando all'attenzione pubblica una serie di tematiche che le società attive nel campo della sicurezza informatica debbono necessariamente tenere in considerazione se desiderano migliorare i propri strumenti di rilevazione e rimozione delle nuove minacce. Rispetto al passato, chi sviluppa malware ha raffinato le proprie conoscenze mettendo a punto codici nocivi che sfruttano tutta una serie di tecniche per passare inosservati ai software di sicurezza. Si rilevano oggi sempre più efficaci, inoltre, anche gli espedienti impiegati per trarre in inganno gli utenti e spingerli all'esecuzione di programmi dannosi.

Rootkit: una delle minacce più pericolose

"Nascondere il più possibile" è l'imperativo di chi oggi sviluppa malware a fini di lucro.
Se, come abbiamo visto, sono profondamente cambiate la filosofia alla base della creazione di applicazioni nocive e le loro modalità di distribuzione, di pari passo hanno iniziato ad essere impiegate tecniche nuove che rendono ancor più complicata la fase di riconoscimento ed eliminazione del malware. L'uso di rootkit è divenuto sempre più gettonato: un dato, questo, su cui concordano tutti i principali produttori di soluzioni per la sicurezza. Gli analisti hanno previsto, per il prossimo futuro, un pesante incremento nella diffusione dei cosiddetti “kernel rootkit” la cui caratteristica principale consiste nel modificare porzioni degli aspetti chiave del sistema operativo con lo scopo di nascondere all'utente ed ai software antivirus/antimalware l'avvio di attività maligne.
Gli autori di malware abbracciano l'uso dei rootkit per nascondere in modo più efficace le proprie “creature”: l'intento è quello di nascondere il malware sviluppato all'interno di un altro contenitore “ostile”, capace di creare una sorta di barriera difficilmente penetrabile dalle classiche soluzioni antivirus.

Nel corso del 2008, i rootkit si sono confermati come una delle armi preferite da coloro che svilupano malware. Basti pensare alla diffusione di "MBR Rootkit". Conosciuto anche con il nome di "Mebroot", è probabilmente uno dei rootkit più raffinati in circolazione. Questo malware infetta il Master Boot Record (MBR) del disco fisso in modo da autoavviarsi subito dopo l'accensione del computer, prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, "Mebroot" sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware. I rootkit che infettano il MBR sono spesso portatori di trojan in grado di sottrarre informazioni di tipo bancario e credenziali di accesso a servizi finanziari.
Una volta eseguito nel sistema, infatti, il rootkit è in grado di bypassare eventuali firewall installati e di connettersi all'esterno, aprendo backdoor e scaricando nuove infezioni all'interno del PC.
L'infezione del MBR è oggi "tornata di moda" perché i malware sfruttano, contemporaneamente, unzioni mimetiche a livello kernel. Se la strategia che vede l'infezione del MBR è molto vecchia (i primi virus che infettavano il MBR risalgono ai tempi del DOS), i malware moderni abbinano l'impiego di efficaci e purtroppo pericolose tecniche rootkit. Grazie a questo tipo di approccio, i nuovi malware possono garantirsi l'esecuzione all'avvio del sistema operativo (il MBR è il primo ad essere caricato) senza rischiare di essere smascherati facilmente (uso di tecniche rootkit).


Un altro esempio di rootkit, tecnicamente molto avanzato e che si è ampiamente diffuso nel corso del 2008, è "Rustock.C". Il malware fa uso di un evoluto sistema di codifica che rende particolarmente arduo il compito di analizzarne il codice da parte dei ricercatori delle società di sicurezza. Tutta la struttura del malware è infatti crittografata con l’algoritmo RC4 e compresso con aPlib. L'infezione da Rustock.C si è rivelata particolarmente subdola poiché il rootkit integra funzionalità di "file infector" ossia “inietta” il suo codice nocivo all'interno di driver di sistema, presenti sulla macchina in uso. Qualsiasi tentativo di analizzare il driver infetto darà esito negativo poiché il rootkit è capace di filtrare le comunicazioni provenienti da alcuni componenti di sistema essendo così in grado di mostrare una copia “pulita” del driver ad ogni esame operato ricorrendo ad un software antimalware.

Botnet: quando il sistema entra a far parte di una rete di computer “violati”

Nel corso del 2008 si sono registrati decine di esempi di malware che, una volta infettato il sistema, così come Rustock.C, lo inseriscono in una botnet, insiemi di computer controllati illecitamente all'insaputa del legittimo proprietario.
Secondo diversi studi il numero di sistemi coinvolti in reti botnet sarebbe aumentato a dismisura nel corso degli ultimi mesi. I sistemi infettati da bot sarebbero responsabili dell'invio, addirittura, dell'80% dell'intero quantitativo di e-mail indesiderate ricevute quotidianamente. Il controllo delle macchine infettate viene infatti spesso venduto, da criminali informatici, ad altre organizzazioni che effettuano attività illecite come l'invio di campagne spam. Chi gestisce "botnet" è arrivato ad offrire l'invio di ben 20 milioni di e-mail di spam per soli 350 Euro. Un dato, questo, assolutamente allarmante che mostra, da un lato, come ormai - grazie alla presenza in Rete di sistemi non adeguatamente controllati, non aggiornati mediante l'installazione di patch di sicurezza, vulnerabili su più fronti - gli aggressori remoti stiano creando botnet sempre più vaste, estese in modo capillare in molti Paesi. Dall'altro lato si osserva come malware e spam siano sempre più sinonimo di un crescente business (criminoso). Le botnet vengono anche utilizzate per lanciare attacchi Denial of Service (DoS) il cui scopo consiste nel mettere fuori uso o comunque rendere irraggiungibili sistemi di aziende od organizzazioni specifiche inviando, contemporaneamente e per periodi di tempo anche piuttosto ampi, continue richieste di connessione. Chi ha il controllo su di una botnet composta, ad esempio, da migliaia di sistemi, può raggiungere l'intento in modo molto semplice.
Le botnet, composte sostanzialmente da sistemi precedentemente violati, possono poi essere impiegate per molti altri scopi criminosi.


Attacchi che sfruttano social network ed ingegneria sociale

Il 2009 è destinato a registrare un crescente utilizzo delle tecniche di ingegneria sociale adattate ai servizi di social network, ormai sempre più diffusi, quali Facebook. Il “valore” dell'identità digitale di una persona, inoltre, sta crescendo in modo vertiginoso. L'incredibile quantità di dati pubblicati su siti come Facebook, LinkedIn e MySpace ha reso più semplice, per gli aggressori, danneggiare o presentare in modo distorto un'identità professionale o personale sul web.
Le varie aziende operanti nel campo della sicurezza informatica sono concordi nell'affermare come nei prossimi mesi vi possa un significativo aumento nel numero di casi di pirateria delle identità digitali. In risposta, dovrà essere necessariamente posto in essere un serio cambiamento nei meccanismi di controllo e validazione delle identità sul web.


Il numero delle vulnerabilità di sicurezza individuate nelle applicazioni web è cresciuto a dismisura. Il “Web 2.0”, puntando a massimizzare l'interazione con gli utenti, necessita di un maggior controllo sulle tematiche collegate con l'aspetto sicurezza (fonte: IBM X-Force).

I malintenzionati inoltre possono servirsi delle informazioni personali pubblicate sui social network talvolta con troppa leggerezza, per violare servizi utilizzati dagli utenti. Emblematico il caso di Sarah Palin, governatrice dello stato dell'Alaska. Durante la campagna per la presidenza degli Stati Uniti, sul web iniziarono a diffondersi dettagli sulla corrispondenza della Palin, che avveniva attraverso un account di posta elettronica gratuito registrato su Yahoo. La casella di posta elettronica della politica era sta insomma violata. Com'è potuto accadere? Le indagini dell'FBI, subito attivatasi, hanno portato all'individuazione del colpevole che sarebbe riuscito a violare l'account di posta della Palin semplicemente raccogliendo informazioni su di lei in Rete e rispondendo correttamente alla "domanda segreta" impostata dalla governatrice dell'Alaska. In questo modo l'aggressore sarebbe riuscito a "resettare" la password della casella di posta ed a guadagnare l'accesso al contenuto della "scottante" mailbox.
L'accaduto fa riflettere su quanto sia importante adottare tutte le principali misure di sicurezza atte a scongiurare situazioni simili, soprattutto nell'era Web 2.0 dove tutto sembra più facile da accedere e più semplice da condividere.
Quando si registra un account e-mail gratuito presso uno dei tanti fornitori disponibili (Google GMail, Yahoo Mail, Microsoft Hotmail tanto per citarne alcuni) è bene dare massima importanza alla risposta fornita alla cosiddetta “domanda segreta”. Trattarla con leggerezza indicando magari una risposta pubblicata, ad esempio, sul proprio profilo Facebook è cosa assolutamente da evitare.


Tra i malware che hanno bersagliato direttamente gli utenti di Facebook vi è Koobface. Diffusosi nel mese di Luglio 2008, il worm tentava di installare codice nocivo sul sistema dell'utente unitamente ad un keylogger, in grado di sottrarre informazioni sensibili. Koobface, poi, inviava messaggi di spam ai contatti amici attraverso l'interfaccia di Facebook. Con un clic sul link maligno, facente riferimento ad una falsa pagina di YouTube, veniva avviata l'esecuzione del malware.


Esempio di un tentativo di attacco sferrato attraverso Facebook (fonte: Aladdin).


  1. Avatar
    Salvos404
    12/04/2009 21:46:16
    Ho scaricato e installato correttamente l'aggiornamento kb967715 per windows xp(x86),ho anche controllato che sia stato installato,fin qui tutto ok;ma quando apro la finestra Criterio gruppo e faccio doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer),la voce "sistema" non compare e di conseguenza non posso andare avanti. Esiste una soluzione? P.S.complimenti per l'articolo e soprattutto per il tool Secunia UTILISSIMO E LEGGERISSIMO!
  2. Avatar
    Gigiweb
    19/03/2009 00:32:27
    Senza parole ( e senza più fiato :D ) .........davvero complimenti per questo grande e completo articolo!!
  3. Avatar
    Leolas
    06/03/2009 20:18:27
    wow, complimenti per l'articolo, michele :wink: direi che di completi come questi se ne vedono davvero pochi in giro :)
Sicurezza: minacce, difese e consigli tecnici - IlSoftware.it