Un 2007 all’insegno delle minacce informatiche: parola di McAfee


Se state preparando la lista delle cose da fare per il 2007 non dimenticare di aggiungere "maggiore sicurezza informatica" perché se solo la metà delle previsioni fatte dalla McAfee si dovessero avverare (e temo che lo faranno) ci aspetta un 2007 da"paura".


McAfee, Inc. (NYSE: MFE) ha reso note le sue previsioni su quali saranno le 10 principali minacce di sicurezza nel 2007 stilate da McAfee Avert Labs. Secondo in dati di McAfee Avert Labs, con oltre 217.000 diverse tipologie di minacce note e altre non ancora identificate, è chiaro che il malware viene rilasciato sempre più da criminali professionisti e organizzati.



Senza alcun ordine particolare, la Top 10 delle minacce di McAfee Avert Labs per il 2007 prevede:

“In un breve periodo di tempo, i computer sono diventati parte intrinseca e essenziale della vita di tutti i giorni, e come risultato oggi esiste un enorme potenziale di guadagno economico per gli autori di malware,” ha affermato Jeff Green, senior vice president di McAfee Avert Labs e dello sviluppo prodotti. “Stiamo assistendo a una crescita delle tecniche più complesse e diventa sempre più difficile per la base di utenza generale identificare o evitare le infezioni malware.”

Oggi, i ricercatori McAfee hanno la prova della crescita del crimine organizzato e professionale nella creazione di malware, e di conseguenza i team di sviluppo creano software malevolo, lo testano e automatizzano la sua produzione e il conseguente rilascio. Tecniche sofisticate come il polimorfismo, il ritorno periodico di agenti infettanti parassiti e rootkit stanno diventando sempre più diffusi. Inoltre, le minacce vengono compresse o codificate per camuffare il loro scopo malevolo su scala più complessa e rapida.

Nel luglio 2006, McAfee ha annunciato di aver ufficialmente rilasciato protezione per la 200.000ma minaccia all’interno del suo database. Dal 1 gennaio 2006, McAfee ha aggiunto circa 50.000 nuove minacce al proprio database e probabilmente supererà le 225.000 nuove minacce entro la fine dell’anno. Dati i trend attuali, McAfee prevede che la 300.000ma minaccia sarà identificata entro la fine del 2007, a dimostrazione del potenziale di crescita.



Le previsioni di McAfee Avert Labs per le minacce nel 2007



I siti web che “rubano” le password sono in aumento

Nel 2007 saranno sempre più frequenti attacchi che cercano di catturare l’identità e la password degli utenti visualizzando una pagina di sign-in fasulla e aumenteranno quelli volti a colpire servizi online popolari come eBay. Come testimoniato dagli attacchi di phishing che hanno seguito l’uragano Katrina, McAfee Avert Labs prevede anche un maggior numero di attacchi che si avvantaggiano della volontà e disponibilità della gente di aiutare i bisognosi. Per contro, il numero degli attacchi contro gli ISP dovrebbe diminuire mentre gli attacchi volti a colpire il settore finanziario rimarranno stabili.



Lo spam, e in particolare lo spam di immagini, è in crescita

Nel novembre 2006, lo spam di immagini ha rappresentato oltre il 40% dello spam totale ricevuto, rispetto a meno del 10% di un anno fa. Lo spam di immagini è cresciuto considerevolmente nel corso degli ultimi mesi e diverse tipologie di spam, tipicamente speculazioni azionarie, spam di medicinali e lauree, vengono oggi inviate come immagini invece the testi. Lo spam basato su immagini ha una dimensione tipica che è tre volte maggiore a quella di spam basato su testo, perciò si tratta di un aumento significativo nella larghezza di banda utilizzata dai messaggi di spam classici.



La popolarità dei video sul Web li renderà un obiettivo degli hacker

Il crescente utilizzo di formati video su siti di social networking come MySpace, YouTube e VideoCodeZone porterà gli autori di malware a cercare di penetrare all’interno di una rete ampia. Diversamente dalle situazioni che coinvolgono gli allegati email, la maggior parte degli utenti avrà la tendenza ad aprire file multimediali senza alcuna esitazione. Inoltre, poiché il video è un formato semplice da utilizzare, funzionalità come il padding, pubblicità pop-up e reindirizzamento URL diventano gli strumenti di distruzione ideali per gli autori di malware. Insieme, tali problematiche rendono molto probabile un efficace successo degli scrittori di codice malevolo che sfruttano il media malware.

Il worm W32/Realor, scoperto all’inizio di Novembre 2006 da McAfee Avert Labs, rappresenta un caso recente di media malware. Il worm è in grado di lanciare siti web malevoli senza indicazioni da parte dell’utente, esponendo così gli utenti all’attacco di bot o ladri di password caricati su tali siti. Altro media malware come Exploit-WinAmpPLS potrebbe installare di nascosto dello spyware con un’interazione minima da parte dell’utente. Con la diffusione sul web di reti per la condivisione di video e filmati, la possibilità di catturare l’attenzione di un vasto pubblico inciterà gli autori di malware a sfruttare tali canali per ottenere un guadagno economico.



Crescono gli attacchi mobile

Le minacce mobile continueranno a crescere di pari passo con la convergenza tra piattaforme diverse. L’utilizzo della tecnologia degli smartphone ha giocato un ruolo fondamentale nel passaggio delle minacce da PC multifunzione, semi-stazionari a dispositivi palmari “indossabili”. Con l’incremento nella diffusione di connessioni BlueTooth, SMS, instant messaging, email, WiFi, USB, audio, video e Web crescono le possibilità di contaminazione incrociata dei diversi dispositivi.

Il 2006 è stato testimone dei tentativi da parte degli autori di malware mobile di realizzare vettori d’infezione PC-verso-telefono e telefono-verso-PC. Il vettore PC-verso-telefono è stato realizzato creando MSIL/Xrove.A, un malware .NET che può infettare uno smartphone tramite ActiveSync. I vettori telefono-verso-PC esistenti al momento sono in uno stadio ancora primitivo, per esempio quelli che infettano tramite schede di memoria rimovibili. Comunque, McAfee prevede che il secondo livello successivo verranno raggiunto nel corso del 2007.

Anche lo SMiShing, che prevede che le tradizionali tecniche di phishing tramite email vengano sfruttano via SMS (da qui la definizione di SMiShing invece di phishing), vivrà un aumento. Nell’agosto del 2006, McAfee Avert Labs ha ricevuto il suo primo esempio di attacco SMiShing con VBS/Eliles, un worm mass mailing che invia anche messaggi SMS ai telefoni cellulari. Alla fine del mese di Settembre 2006, erano state scoperte quattro varianti del worm.

Inoltre, per il 2007 si prevede un aumento anche del malware mobile a fini di lucro. Mentre la maggior parte del malware con cui McAfee Avert Labs ha avuto a che fare include Trojan horse relativamente semplici, ma la prospettiva è cambiata con il Trojan J2ME/Redbrowser Trojan. J2ME/Redbrowser è un programma Trojan horse che finge di accedere a pagine web WAP (Wireless Access Protocol) tramite messaggi SMS. In realtà, invece di recuperare le pagine WAP, invia messaggi SMS a numeri telefonici a tariffa maggiorata, costando così all’utente molto più di quanto previsto. Anche un secondo J2ME, Wesber, comparso nel corso del 2006, invia messaggi a un numero SMS a tariffa maggiorata.

La fine del 2006 ha registrato un turbine di offerte di spyware nel mondo mobile. La maggior parte vengono creati per monitorare numeri telefonici e registri di chiamate SMS, o per rubare messaggi SMS inoltrandoli a un altro telefono. Uno spyware in particolare, SymbOS/Flexispy.B, è in grado di attivare remotamente il microfono del dispositivo della vittima, permettendo ad altri di origliare le conversazioni di quella persona. Ci sono altri spyware che possono attivare la macchina fotografica. McAfee prevede che l’offerta di spyware commerciale volto a colpire i dispositivi mobile crescerà nel corso del 2007.



L’adware si diffonderà ampiamente

Nel 2006, McAfee Avert Labs ha registrato un aumento dei programmi indesiderati o Potentially Unwanted Programs (PUPs) commerciali, e una crescita ancora maggiore in tipologie correlate di Trojan malevoli, in particolare keylogger, password-stealer, bot e backdoor. Inoltre, è in aumento l’uso improprio di software commerciale da parte del malware che implementa, controllandoli da remoto, adware, keylogger e software di controllo remoto. Comunque, nonostante le implicazioni sociali, legali e tecniche, esiste un interesse commerciale così elevato nel pubblicizzare modelli di guadagno che McAfee prevede ci saranno più aziende legittime che utilizzano o cercano di utilizzare software pubblicitario in modo (si spera) meno discutibile e sgradevole per i consumatori della maggior parte dell’adware attuale.



Furto d’identità e perdita dei dati continueranno a essere un problema pubblico

Secondo l’U.S. Federal Trade Commission, ogni anno circa 10 milioni di americani sono vittime di frodi legate all’identità. Alla radice di questi crimini vi è spesso la perdita di un computer, perdita di backup o sistemi informatici compromessi. Mentre McAfee prevede che il numero di vittime rimarrà stabile, aziende che rendono pubblica la perdita o il furto di dati, un crescente numero di furti informatici e attacchi di hacker su sistemi ATM e di pagamento, e la segnalazione di furti di laptop che contengono dati confidenziali continueranno a fare di questo argomento un elemento di preoccupazione pubblica.

McAfee Avert Labs prevede inoltre che la trasmissione non autorizzata di informazioni diventerà un rischio maggiore per le aziende nelle aree della perdita di dati e non conformità. Ciò include la perdita dei dati dei clienti, informazioni personali relative ai dipendenti e proprietà intellettuale da possibili canali di fuoriuscita dei dati — applicazioni, reti e anche canali fisici, come dispositivi USB, stampanti, fax e storage rimovibile. McAfee prevede inoltre un aumento in codifica e archiviazione man mano che il mercato DLP (data loss prevention) diventerà più maturo.


Anche i bot aumenteranno

I Bot, programmi informatici che eseguono task automatici, sono in crescita, ma si sposteranno da meccanismi di comunicazioni che sfruttano Internet Relay Chat (IRC) verso metodi meno invadenti. Negli ultimi anni recenti, c’è stato un crescente interesse all’interno della comunità degli autori di virus nei confronti delle minacce IRC. Ciò è dovuto alla potenza offerta dal linguaggio di scripting IRC e dalla facilità di coordinare le macchine infette da una struttura di tipo chat-room.

Anche i cosiddetti “Muli” continueranno a costituire un aspetto importante nei piani per guadagnare denaro tramite bot. Si tratta di lavori da svolgere a casa che vengono offerti attraverso siti web dall’aspetto estremamente professionale, tramite annunci economici e anche tramite instant messaging (IM). Questi rappresentano un elemento cruciale del motivo per cui così tante bot sono in grado di essere eseguiti da qualunque posto nel mondo. Per poter ottenere merce (spesso da rivendere) o denaro con credenziali di carte di credito rubate, i ladri devono sottostare a normative più severe se i beni devono andare in altre nazioni. Per aggirare tali normative, utilizzano i cosiddetti “muli” all’interno delle nazioni d’origine.



Il ritorno del malware parassitario

Sebbene il malware parassitario conti poco meno del 10% di tutto il malware (il 90% del malware è statico), sembra che sia tornato di moda. Gli agenti infettanti parassiti sono virus che modificano i file esistenti su un disco, inseriscono codice all’interno del file laddove si trova. Quando l’utente esegue il file infetto, parte anche il virus. W32/Bacalid, W32/Polip e W32Detnat sono tre parassiti infettanti polimorfi popolari identificati nel 2006 che hanno funzionalità stealth e cercano di scaricare i Trojan da siti web compromessi.

E’ importante anche notare che l’80% di tutto il malware è compresso, cifrato o offuscato, in alcuni tentativi di camuffare il suo intento malevolo. Esempi di veicoli infettanti parassiti che vengono offuscati sono w32/Bacalid e w32/Polip.

All’inizio di questo mese, McAfee Avert Labs ha anche tracciato e monitorato il payload implementato da W32/Kibik.a, un exploit parassita e zero-day che include euristica rootkit, rilevamento comportamentale e blacklist di indirizzi IP che sono stati l’argomento di discussione della comunità della sicurezza negli anni recenti. W32/Kibik.a fa un interessante tentativo di sopravvivere nel panorama competitivo odierno. Dall’installazione silenziosa tramite un exploit zero-day, a permanenza e attività silenziose e ricerche Google silenziose e apparentemente innocenti; W32/Kibik.a potrebbe essere l’inizio di un nuovo trend per il 2007 nel malware scalabile controllato da remoto (noto anche come botnet). Non sorprende che, grazie ai suoi elementi clandestini, pochi fornitori di sicurezza ad oggi abbiamo rilevato o trovato una cura per W32/Kibik.a.



I rootkit cresceranno sulle piattaforme a 32-bit — ma cresceranno anche le funzionalità di protezione e remediation. Sulle piattaforme a 64-bit, in particolare Vista, i trend del malware sono difficili da prevedere in attesa dei tassi di utilizzo della piattaforma a 64-bit, ma in generale McAfee Avert Labs prevede:

Una riduzione dei rootkit kernel-mode, almeno nel breve periodo, mentre gli autori di malware inventano nuove tecniche create per sovvertire PatchGuard

Un incremento nei rootkit user-mode, e il malware user-mode in generale, o almeno un maggior impatto del malware a 64-bit, poiché tecniche euristiche e comportamentali più avanzate fornite da più avanzati software di sicurezza sono ostacolate da PatchGuard. Questo stato persisterà almeno fino al rilascio di Vista service pack 1, quando le nuove API verranno introdotte da Microsoft e probabilmente più a lungo, in base all’ammontare della re-ingegnerizzazione necessaria ai fornitori di sicurezza e dal tasso di adozione di SP1.



Le vulnerabilità continuano a preoccupare

Si prevede che il numero delle vulnerabilità rese note aumenterà nel 2007. A questo punto del 2006, Microsoft ha annunciato 140 vulnerabilità attraverso il suo programma mensile di patch. McAfee Avert Labs prevede che tale cifra aumenterà a causa del crescente utilizzo di “fuzzer” che rendono possibile test su larga scala delle applicazioni, e a causa del programma di ricompensa che premia i ricercatori che trovano delle vulnerabilità. Quest’anno, Microsoft ha già rilasciato patch per un numero maggiore di vulnerabilità critiche che nel 2004 e 2005 insieme. A settembre 2006, il totale combinato del 2004 e 2005 che ammonta a 62 vulnerabilità critiche era già stato sorpassato.

McAfee Avert Labs ha inoltre rilevato un trend negli attacchi zero-day a seguito del ciclo mensile di patch di Microsoft. Poiché le patch vengono rilasciate solo una volta al mese, gli autori di exploit sono stimolati a rilasciare exploit Microsoft zero-day subito dopo il Martedì del mese in cui Microsoft annuncia le Patch per massimizzare la finestra di esposizione della vulnerabilità.


Fonte: Anti-Phishing Italia – www.anti-phishing.it