96644 Letture

Un'analisi delle minacce informatiche presenti e future

Che il numero di malware, contando le innumerevoli varianti di ogni singolo componente nocivo, stia aumentando in modo esponenziale è cosa ormai nota. Il dato allarmante è che un considerevole numero di infezioni interessa anche molti sistemi protetti mediante l'installazione di una suite di sicurezza. Lo studio è stato condotto da Panda, famoso vendor di soluzioni per la sicurezza, esaminando personal computer installati in ambiente domestico ed in azienda in più di 80 Paesi. Le macchine oggetto di test installavano soluzioni per la sicurezza prodotte da oltre 40 vendor differenti.
Tra i dati più disarmanti, vi è quello che esprime la percentuale di sistemi protetti e quelli non dotati di alcuna protezione o di antivirus/antimalware "scaduti". Nonostante gli sforzi dei vari produttori nello sviluppo di funzionalità che consentono l'aggiornamento semplificato dei vari pacchetti software, ben il 62,5% dei sistemi non disporrebbero di alcun tipo di protezione oppure non risulterebbero aggiornati.
Altrettanto impressionante la percentuale (circa il 23%) dei sistemi protetti con soluzioni antimalware, attive ed aggiornate, che sono comunque risultati infetti.
Le conclusioni sono piuttosto amare: l'indagine mostra, da un lato, come ancora oggi vi sia una scarsa consapevolezza delle problematiche connesse con la sicurezza informatica, soprattutto in ambiente consumer, dall'altro si evidenzia come le attuali soluzioni di sicurezza presenti sul mercato risultino inadeguate nei confronti dei malware recentemente rilasciati.

AusCERT, autorità australiana che si interessa di sicurezza informatica, conferma i dati parlando di un 80% di nuovi malware in grado di passare inosservati all'azione di software antivirus ed antimalware. Nel corso dell'articolo, abbiamo illustrato i motivi della "débacle" delle soluzioni tradizionali per la protezione: le motivazioni sono riconducibili ai mutati interessi di chi sviluppa malware, alla crescita esponenziale del fenomeno, alle tecniche sempre più complesse e raffinate impiegate dagli aggressori, alla semplicità - anche per chi abbia un minimo di competenza in ambito informatico - di creare codice maligno.

Attacchi "zero-day": come prevenirli e come sfruttare le tecnologie di riconoscimento comportamentale


Delle vulnerabilità di sicurezza insite nei software che utilizziamo quotidianamente si fa sempre un gran parlare.
Da tempo, ormai, si susseguono gli annunci della scoperta di attacchi, da parte di malintenzionati, che utilizzano file opportunamente modificati in formato Office, PDF, QuickTime e così via per eseguire codice arbitrario.

Molto spesso, il problema deriva dalla non corretta gestione, da parte dell'applicazione, di alcune informazioni presenti nel file o nel documento ed inserite da parte dell'aggressore. Nel caso degli attacchi rivolti ai file PDF, evitabili semplicemente assicurandosi di utilizzare sempre l'ultima versione - la più aggiornata - di Acrobat Reader, gli aggressori inserivano alcuni indirizzi "maligni" all'interno del documento. Il file PDF dannoso si presentava solitamente come allegato ad un normale messaggio di posta elettronica e poteva avere una denominazione variabile. Ad essere stata presa di mira, in questo caso, la modalità con cui veniva gestito il protocollo mailto:. Gli attacchi assunsero sempre più la forma di pesanti campagne di spam: nel caso in cui l'utente apra uno dei file PDF "maligni", ancora oggi in circolazione, con una versione non aggiornata di Adobe Acrobat Reader, verrebbe immediatamente "infettato". Sul sistema viene infatti installata, all'insaputa dell'utente, una combinazione di trojan horse, rootkit ed oggetti software in grado di scaricare altri elementi maligni. Viene disabilitato, inoltre, il firewall di Windows ed insediato un codice in grado di catturare tutte le informazioni inserite in qualsiasi modulo online e di ritrasmetterle agli aggressori remoti. Uno dei malware “inseriti” sul personal computer degli utenti, è una variante di "Gozi", trojan che è stato ritenuto responsabile del furto di circa 2 milioni di dollari da conti correnti bancari e carte di credito.

Microsoft confermò, tramite le parole di Bill Sisk, membro del "Security Response Team" della società di Redmond, di essere al lavoro per sistemare la vulnerabilità di sicurezza alla base del problema. Sisk comunicò come come la falla di sicurezza non riguardasse principalmente Adobe ma, piuttosto, fosse riconducibile alla funzione ShellExecute, utilizzata in Windows XP e Windows Server 2003. "Aggiornamenti rilasciati da terze parti (come quello di Adobe) non risolvono la vulnerabilità alla radice, pongono fine solo ad un vettore d'attacco", spiegò Sisk.
Microsoft ha rilasciato a Novembre 2007 una patch di sicurezza (MS07-061) che modifica le modalità con cui la shell di Windows gestisce gli URI (Uniform Resource Identifier), indirizzi che - in forma compatta - consentono di identificare una qualsiasi risorsa come una pagina web, un documento, un'immagine, un indirizzo e-mail e così via. Gli URI sono definiti utilizzando una specifica sintassi, facente riferimento all'uso di differenti protocolli. URL (Uniform Resource Locator) e URN (Uniform Resource Name) possono essere considerati sottoinsiemi di URI. Uno URI si compone di più parti: uno schema che fornisce informazioni sul protocollo usato (ad esempio, http:, ftp:, mailto:) ed una serie di dati, aggiunti in successione, che dipendono dallo specifico schema.


Sintassi e semantica di queste ultime informazioni sono determinate dalle specifiche dello schema che viene impiegato. Gli schemi degli URI mantenuti dallo IANA - organismo che tra l'altro si occupa dell'assegnazione di indirizzi IP a livello mondiale -, sono consultabili facendo riferimento a questa pagina.
Alcuni software possono utilizzare e registrare sul sistema altri protocolli utilizzando un proprio schema URI, ad esempio il callto: di Skype.


A causa di una lacuna nella gestione degli URI, diversi ricercatori hanno verificato come, ad esempio, utilizzando un URI contenente il carattere non valido % (mailto:test%../../../../windows/system32/calc.exe".cmd), l'applicazione "vulnerabile" esegua un comando non richiesto dall'utente (in questo caso verrebbe avviata la Calcolatrice di Windows).

Quando un'applicazione si trova a gestire un URI, decide autonomamente come questo debba essere trattato. Nel caso dei protocolli considerati per anni come "sicuri" (ad esempio, mailto: oppure http:), le applicazioni solitamente effettuano solamente una verifica del prefisso invocando poi la funzione di Windows ShellExecute() per la loro esecuzione. In alcuni casi può accadere che i controlli non avvengano nel modo adeguato e che vengano trasmessi alla funzione ShellExecute() URI che poi potrebbero essere trattati come file locali, così come se fossero lanciati o comunque richiesti dall'utente. Il rischio è quello che un malintenzionato possa eseguire codice dannoso, semplicemente spronando l'utente ad aprire un file apparentemente “sicuro” come sono spesso ritenuti i documenti in formato PDF.

Il team di Microsoft ha iniziato a suggerire alle varie software house di contare meno sulle funzionalità di base di Windows ed effettuare un filtraggio degli URI anche in forma autonoma.
L'aggiornamento di sicurezza MS07-061 di Microsoft, destinato agli utenti di Windows XP e di Windows Server 2003, è il primo passo verso la corretta gestione di attacchi che stanno interessando un sempre maggior numero di applicazioni, ampiamente conosciute ed utilizzate.

Per difendersi da attacchi “zero-day” è indispensabile che l'utente faccia proprio un concetto fondamentale: non esistono applicazioni “sicure” e qualsiasi programma può essere oggetto di attacco. In quest'ottica, assume un'importanza evidentemente cruciale l'installazione delle ultime versioni dei prodotti, via a via rilasciate, nonché delle patch e degli aggiornamenti di sicurezza messi a disposizione.


Ecco come l'approccio di alcune suite per la sicurezza che mette dei paletti alla libertà d'azione di ogni programma può essere una buona scelta. "Quali applicazioni debbono poter eseguire il comando cmd? Non certo Adobe Acrobat, né Windows Media Player, né RealPlayer" osservò qualche tempo fa Pedro Bustamante di Panda.

  1. Avatar
    Michele Nasi
    05/05/2010 12.03.22
    Grazie, sei troppo gentile. Resto in attesa, allora, di osservazioni e richieste. Magari nelle pagine del forum. :wink:
  2. Avatar
    NetWorkers
    05/05/2010 11.05.06
    Michele Nasi, sei una manna dal cielo. Non hai la minima idea quanto ho imparato da te... Prometto che cerchero di mettere dei commenti piu technici e meno "lecca lecca" nelle prossime. Grazie
  3. Avatar
    Red Baron
    11/05/2009 01.33.59
    Articolo interessante e molto chiaro.
    Le informazioni vanno date così !!
    Bravo Michele!
  4. Avatar
    imarcello0001
    17/12/2008 13.31.41
    Favoloso e piacevole nella lettura, semplice e di impatto.
    Al momento mi sto occupando di effettuare delle ricerche a livello datore di lavoro/dipendente che comportino la spiegazione di come eventualmente proteggersi da comportamenti infedeli di propri subordinati dipendenti.
    Sugli articoli del Nasi mi sono già abbondantemente chiarito diversi aspetti, per il resto proseguo nella gustosissima lettura.
    Qui ti accorgi di come è applichi delle regole e politiche di sicurezza senza minimamente preoccuparti di come se approfondissi alcune tesi o suggerimenti della casa potresti fare certissimamente meglio il tuo lavoro.
    Saluti
  5. Avatar
    Opensource
    22/10/2008 20.55.43
    articolo OTTIMO OTIIMO OTTIMI OTTIMO OTTIMO....
    per me la vera disgrazia è la totale mancanza di una cultura della sicurezza informatica , in quanto vedo spesso computer con installato appena un antivirus. Quest'ultimo senza essere configurato adeguatamente, senza un buon firewall installato e senza un antimalware generico con protezione in real time.
    Certo che accanto a questi software è indispensabile avere un certo comportamento , non metto in discussione che anche con questi programmi ci si può infettare, ma già è un buon punto di partenza.

    Non tocchiamo poi il tasto "update", per la maggioranza delle persone sono solo tempo perso ("funziona???allora va bene così").
  6. Avatar
    niki
    21/10/2008 22.13.55
    Oggigiorno si parla tanto del problema dovuto alla posta elettronica indesiderata e considerando che uno dei tanti scopi dei creatori di malware più evoluti è anche quello di creare delle botnet atte a generare campagne spam, mi sono sempre chiesto: ma alla fine, le aziende che pubblicizzano i loro prodotti attraverso "e-mail spazzatura", ottengono profitti? o quello che si cerca di vendere è nulla di vero ma solo frode?
    Esiste una statistica in merito?
  7. Avatar
    Michele Nasi
    21/10/2008 15.09.03
    Grazie infinite. Troppo buoni. :) Se, secondo voi, fosse opportuno approfondire qualche aspetto, inviate pure le vostre osservazioni. Grazie.
  8. Avatar
    niki
    20/10/2008 23.11.39
    Condivido. L'articolo è un capolavoro di contenuti e di esposizione,
    ORO colato. :wink:
  9. Avatar
    Chulo
    20/10/2008 20.41.30
    Articolo semplicemente splendido!
    Appena letto tutto, scorre molto bene linguisticamente, esaustivo,
    comprensibilissimo ad una vasta utenza, non tecnica.

    Ci fosse più attenzione per articoli come questi...Internet sarebbe un posto migliore, meno "infestato"...dalla complicità (seppur in buona fede naturalmente) degli utenti.
Un'analisi delle minacce informatiche presenti e future - IlSoftware.it - pag. 3