Nove previsioni sulla sicurezza per il 2015 realizzate dal GReAT di Kasperksy Lab

 Siamo quasi a metà dicembre, l’anno nuovo si avvicina ed è tempo per gli esperti di fare alcune previsioni sulle tendenze che emergeranno nel 2015. Come sempre, si parlerà sia di nuove tendenze ma anche di fenomeni che si ripetono ogni anno. Ecco a voi le nove previsioni sulla sicurezza elaborate dal Global Research and Analysis Team di Kaspersky Lab.

I cybercriminali si uniscono con i gruppi di campagne APT

Si tratta di una delle previsioni più interessanti. Come ben evidenziano gli esperti di Kaspersky Lab, il prossimo anno assisteremo all’adozione da parte di gruppi cybercriminali di tattiche normalmente impiegate da stati e governi. Troels Oerting, al comando del Cybercrime Center di Europol, la scorsa settimana durante un discorso alla Georgetown Law, ha dichiarato che tale fenomeno è già una realtà.

I ricercatori di Kaspersky Lab, involontariamente o no, mi hanno fatto venire in mente un altro possibile scenario: i gruppi che realizzano campagne APT promosse dai governi, come nei casi DarkHotel, Regin e Crouching Yeti/Energetic Bear poco a poco andranno a unirsi e a partecipare attivamente a campagne di attacco informatico realizzate da cybercriminali, come è avvenuto nei casi JP Morgan Chase, Target e altri.

In due situazioni soprattutto il potenziale è piuttosto alto: i gruppi promossi dai governi potrebbero collaborare con i cybercriminali per raggiungere un obiettivo comune. Mi riferisco, ad esempio, agli attacchi DDoS, presumibilmente provenienti dall’Iran, perpetrati a danno di banche statunitensi tra il 2012 e il 2013 o altri attacchi rivolti a mantenere temporaneamente fuori servizio alcuni sistemi.

Inoltre, i gruppi che si occupano di campagne APT potrebbero servirsi di strumenti e “personale” appartenenti al mondo del cybercrimine per portare a termine le proprie campagne di spionaggio, appropriarsi di materiale soggetto a segreto industriale o per ottenere informazioni riservate in merito a vulnerabilità presenti nelle infrastrutture critiche.

I gruppi si frammentano, gli attacchi APT aumentano e si diversificano

I ricercatori di Kaspersky Lab ritengono che, se le aziende che si occupano di sicurezza e i ricercatori indipendenti continuano a dare la caccia ai grandi gruppi di hacker finanziati dai governi, tali gruppi saranno costretti a frammentarsi e ad operare come campagne APT indipendenti. In questo modo, è probabile che gli attacchi saranno più frequenti e diversificati.

Nuovi bug in codici vecchi e ampiamente utilizzati

Come abbiamo affermato più volte in questo blog, ma anche su Threatpost, siamo ormai nell’era in cui un bug può colpire l’intera rete o è possibile individuare più bug in strumenti molto popolari e ampiamente utilizzati. Il Global Research and Analysis Team di Kaspersky Lab ritiene che i casi come GotoFail di Apple saranno sempre più frequenti, oltre a errori in grado di compromettere parti importanti di Internet, come è avvenuto con Heartbleed di OpenSSLo Shellshock/Bashbug.

Gli hacker attaccano bancomat e PoS

Il 2014 è stato l’anno degli attacchi ai PoS e i ricercatori di Kaspersky Lab non scartano l’ipotesi che ciò avverrà anche nel futuro. E siamo sicuri che non sono i soli a crederlo.

Anche i bancomat hanno vissuto un’annata negativa. Se consideriamo il fatto che la maggior parte dei dispositivi di questo tipo funzionano ancora con Windows XP, un sistema operativo ormai datato e per il quale non è più possibile ricevere assistenza tecnica, siamo sicuri che gli attacchi ai bancomat saranno sempre più frequenti.

L’ascesa dei malware per Apple

I casi come il bug Masque (iOS) e il corrispettivo malware WireLurker rivolto a dispositivi iOS (in grado di infiltrarsi grazie a dispositivi Apple e Windows), fanno ritenere che sia ormai giunta l’era dei malware in grado di attaccare anche Apple. Tuttavia anche nel 2011, con il malware MacDefender, molti esperti si erano sbilanciati in tal senso, e lo stesso è accaduto nel 2013 con il Trojan Flashback. Solo il tempo ci dirà se è così o no. In ogni caso, prevedere l’ascesa di malware per OS X è sempre una scelta vincente, anche se fino ad ora abbiamo solo assistito a una manciata di malware in grado di attaccare questa piattaforma.

Gli esperti di Kaspersky Lab sono certi che la grande popolarità dei dispositivi OS X attirerà l’attenzione dei cybercriminali. Gli esperti sono anche consapevoli che l’ecosistema Apple, chiuso per definizione, rende più difficile portare a termine attacchi malware, anche se ciò è comunque possibile soprattutto se gli utenti decidono di disabilitare alcune opzioni di sicurezza (ci riferiamo in particolare a quelli che utilizzano software piratati). I cybercriminali potrebbero trovare terreno fertile nei programmi piratati, che utilizzerebbero come via d’entrata nei dispositivi OS X.

Attacchi alle macchinette di emissione di biglietti

Questa previsione viene dall’America Latina, una sorta di “punto caldo” per il cybercrimine, soprattutto economie emergenti come Brasile e Argentina.  Ricordiamo il caso della truffa dei Boleto o l’attacco riuscito al meccanismo di emissione di biglietti che ha coinvolto il sistema di trasporto pubblico cileno.

Così come i bancomat, molte macchinette di questo tipo adottano il vulnerabile Windows XP. Molti attaccano questi sistemi solo per “scroccare” qualche viaggio gratis, ma i ricercatori di Kaspersky Lab vedono del potenziale maggiore in questi attacchi, come la possibilità di accedere ai dati bancari degli utenti.

Sistemi di pagamento virtuali

“Alcuni paesi, come Ecuador, si sono affrettati ad adottare questo sistema e sicuramente i cybercriminali sfrutteranno ogni opportunità possibile. Potrebbero ingannare gli utenti con tecniche di ingegneria sociale, oppure attaccare gli endpoint (telefoni cellulari in molti casi) o direttamente le banche: i cybercriminali si fionderanno su ogni possibilità di guadagno e i primi a farne le spese saranno i sistemi di pagamento virtuale”.

Apple Pay

Anche questo fenomeno andrà seguito con attenzione. Si è parlato molto di Apple Pay, nel bene e nel male, e c’è molta aspettativa intorno a questo sistema di pagamento sviluppato da una delle aziende più famose al mondo. I cybercriminali sono soliti attaccare le piattaforme nel loro picco di popolarità. Se in pochi decideranno di usare Apple Pay, non sarà di loro interesse. Ma se Apple Pay diventerà cosi diffuso come i dispositivi Apple in generale, allora gli hacker si faranno sentire presto.

“Apple si è dedicata molto alla messa in sicurezza di questa piattaforma (adottando, ad esempio, il trasferimento virtuale dei dati); tuttavia siamo molto curiosi di vedere in che modo gli hacker sfrutteranno le possibilità che Apple Pay  potrebbe offrire loro”, hanno dichiarato i ricercatori di Kaspersky Lab.

Internet delle cose

Ultimo ma non meno importante: il cosiddetto “Internet delle cose” sarà bersaglio dei cybercriminali nel 2015. Così come è avvenuto durante le ultime conferenze DEFCON e Black Hat, negli anni a venire assisteremo sempre più a dimostrazioni su come hackerare dispositivi connessi a Internet o impianti di domotica. Fino ad ora si è trattato di dimostrazioni basate su teorie e non facili da realizzare concretamente. In ogni caso, come sottolineato settimana scorsa durante l’evento alla Georgetown Law, nel futuro emergeranno progetti e sistemi sempre più in grado di puntare con efficacia all’Internet delle cose.

“Nel 2015, assisteremo sicuramente ad attacchi in-the-wild rivolti a stampanti wireless o ad altri dispositivi collegati a Internet che consentono ai cybercriminali di penetrare in una rete aziendale e di rimanerci senza essere notati”, hanno dichiarato i ricercatori di Kaspersky Lab. “Ci aspettiamo che i dispositivi appartenenti all’Internet delle cose diventeranno delle armi importanti nelle mani dei gruppi che si occupano di campagne APT, soprattutto quando vorranno attaccare obiettivi per i quali la connessione a Internet è indispensabile per portare avanti la produzione industriale”. Per quanto riguarda noi gente comune: “Dal punto di vista del consumatore, gli attacchi a questi dispositivi evidenzieranno la debolezza dei protocolli di sicurezza implementati e porteranno come risultato, ad esempio, alla ricezione di pubblicità  (e, perché no, di adware o spyware) che disturberà la visione dei programmi sulle smart TV”.

Fonte: Kaspersky Blog

Cyberpol, la webpolizia mondiale

La nuova divisione dell'Interpol sarà attiva 24 ore su 24 e avrà compito di vigilare su reati digitali e molto di più

Si chiama Noboru Nakatani ed è l’ex direttore del Dipartimento anticrimine organizzato transnazionale della polizia giapponese. L’Interpol lo ha scelto per guidare la creazione del nucleo più avanzato di lotta ai reati del ventunesimo secolo, il Global Complex for Innovation (Igci). Il nome in codice del centro è Cyberpol e avrà il compito di fornire supporto tecnico e coordinare lo scambio di informazioni tra i 190 paesi membri. Nella sede di Singapore, troveranno posto anche laboratori di ricerca e sviluppo, addestramento e analisi dati. 

"L’apertura dei casi, e la conduzione delle indagini, spetta sempre ai corpi di polizia nazionale",sottolinea Nakatani, che di Cyberpol è il direttore esecutivo . "Purtroppo l’Interpol non è quella dei film: non abbiamo jet, rifugi segreti, armi e nemmeno gadget alla James Bond". Ci sono, però, tanti Dottor Q: specialisti altamente qualificati in prestito da Kaspersky Lab. "Tecnici e analisti verranno mandati a Singapore per curare la formazione degli agenti operativi e per aiutare nell’analisi e nell’interpretazione dei dati", spiega Eugene Kaspersky, Ceo e co-fondatore dell’azienda, che già anni fa aveva lanciato l’idea di una Interpol di internet. 

Il team avrà il compito di condividere con l’Interpol informazioni e competenze e di guidare la ricerca a caccia di nuove minacce . "La polizia deve adattarsi ai nuovi strumenti, usando le stesse armi dei criminali per le sue indagini. Parliamo di mobile, ma anche di email, di social media", continua Nakatani. A differenza dei crimini digitali, che si compiono completamente in rete, il cybercrime non si limita al web. In pratica è qualsiasi tipo di illecito con una componente online. Possono essere singoli eventi come phishing e hacking, furto d’identità, furto e manipolazione di dati e frodi bancarie o comportamenti prolungati, come cyberstalking, molestie, estorsione e ricatto, spionaggio e manipolazione dei mercati finanziari. 

L’obiettivo di Cyberpol è formare un gruppo di 140 persone entro il 2016. I primi sono già al lavoro nelle due sedi provvisorie di Lione e Singapore, ma Cyberpol sarà operativo solo tra un anno, a settembre 2014. Intanto, si lavora a costruire una rete tra le unità investigative. A fine mese a L’Aja si è tenuta la prima Cybercrime conference da replicare ogni anno in collaborazione con l’Europol tra Olanda e Singapore.

Come si fa per diventare cyberpoliziotti? Inizialmente una decina saranno assunti direttamente dall’Interpol, mentre tutti gli altri saranno agenti di polizie nazionali distaccati presso l’Igci, insieme ai tecnici di Kaspersky, di Trend Micro e di Nec .

Fonte: Wired - Autore: Maurizio Pesce

Kaspersky Lab, i malware nel mese di febbraio

Dopo un’analisi delle aziende colpite e della tipologia degli obiettivi colpiti, gli esperti di Kaspersky Lab hanno concluso che i cyber criminali erano alla ricerca di informazioni sui sistemi di gestione della produzione in alcuni settori industriali dell’Iran, oltre a dettagli sulle relazioni commerciali tra le diverse imprese iraniane. È stato inoltre rilevato che, oltre ad utilizzare una tipologia di piattaforma standardizzata, gli autori di Duqu molto probabilmente utilizzano anche un proprio linguaggio di programmazione sconosciuto agli esperti. All’inizio del mese di febbraio, Kaspersky Lab ha rilevato un’ondata di infezioni che avvenivano attraverso un codice nocivo che aveva le sembianze di Google Analytics. I visitatori che si trovavano sui siti hackerati, venivano reindirizzati verso un server che ospitava il Kit BlackHole Exploit. Se l’exploit veniva lanciato con successo, il computer dell’utente era infettato dal malware. Nei primi giorni di febbraio sono stati rilevati due metodi di hacking attraverso Google Wallet, un sistema di e-payment che consente agli utenti che utilizzano i telefoni Android il pagamento attraverso la tecnologia Near Field Communication (NFC). Prima di tutto si è scoperto che grazie ad un accesso root, i cybercriminali potevano ‘craccare’ il codice PIN composto da quattro cifre necessario per accedere all’applicazione Google Wallet. Il giorno successivo è stata rilevata un’altra vulnerabilità nell’applicazione Google Wallet, che permetteva di accedere agli account Google Wallet di un telefono smarrito o rubato senza dover intervenire direttamente sul sistema o utilizzare l’accesso root. Gli autori dei virus cinesi sono in grado di creare botnet mobile come RootSmart, che ha infettato tra i 10.000 e i 30.000 dispositivi. Il numero totale di dispositivi infettati dalle botnet raggiunge le centinaia di migliaia. Tutti i dispositivi infettati tramite la botnet RootSmart sono in grado di ricevere da remoto comandi da un server C&C. “I cyber criminali che controllano la botnet RootSmart sono in grado di impostare una frequenza con cui vengono inviati messaggi di testo ad una tariffa maggiorata, il periodo di tempo di invio dei messaggi e il numero”, ha spiegato Denis Maslennikov, Senior Malware Analyst di Kaspersky Lab. “A differenza degli SMS Trojan, questo approccio permette ai cyber criminali di creare un cash flow per un lungo periodo di tempo”. I recenti avvenimenti che riguardano le minacce mobile diffuse in tutto il mondo, dimostrano che nel 2012 le botnet mobile diventeranno uno dei principali problemi sia per gli utenti di smartphone che per le aziende produttrici di anti-virus. Gli attacchi degli hacktivist sono continuati durante tutto il mese di febbraio e Anonymous è rimasto in primo piano grazie ad attacchi a istituzioni finanziarie e politiche. Gli incidenti di maggior rilievo sono relativi ai siti web delle aziende che fanno parte di Combined Systems Inc. (CSI) e Sur-Tec Inc. Queste aziende producono dispositivi di sorveglianza utilizzati per controllare i cittadini e gas lacrimogeni utilizzati durante le manifestazioni. Attacchi DDoS hanno colpito siti web come NASDAQ, BATS, Chicago Boards Options Exchange (CBOE) e Miami Stock Exchange. In Russia, in vista delle elezioni presidenziali, DDos e gli attacchi hacker sono stati impiegati come strumenti di campagna elettorale. I siti degli organi di stampa, dei gruppi di opposizione e delle agenzie governative sono stati oggetto di attacchi a sfondo politico.

Fonte: Megamodo

Kaspersky: "Trasformare la rete per sconfiggere il malware"

La ricetta del guru (patron dell'omonima azienda di sicurezza informatica): «Social network più responsabili e carte d'identità per tutti gli internauti»

È dalla Russia che provengono i cyber criminali più scaltri e organizzati: per molti giovani (e non), mettere a punto programmi nocivi (malware) e rubare dati, è la maniera più veloce per fare tantissimi soldi con grande rapidità. Russi sono i creatori di alcuni dei virus più diffusi e micidiali come il trojan Zeus e il più recente SpyEye, il cui creatore pare guadagni qualcosa come 50.000 dollari alla settimana semplicemente rivendendo il prodotto ad altri malfattori. Non tutti però scelgono il lato oscuro della forza: le stesse ottime università che formano i cyber criminali sfornano anche alcuni dei migliori cacciatori di virus in circolazione. Russa è infatti anche Kaspersky Lab, la maggiore società produttrice di soluzioni di sicurezza informatica in Europa e una delle prime quattro al mondo. Fondata nel 1997, oggi ha 2300 dipendenti sparsi in tutto il globo, ed è tutt'ora in mano al creatore Eugene Kaspersky, che la controlla assieme a una decina di altri soci e al fondo di investimento General Atlantic. Nel 2010 il fatturato dell'azienda è stato di 538 milioni di dollari, con una crescita del 38 % rispetto all'anno precedente. Il quarantaseienne Eugene, che ha cominciato la sua carriera lavorando come crittografo per il Ministero della Difesa, è un miliardario abbastanza sui generis, a cui piace girare in camicia hawaiana, regalare magliette con la sua faccia al posto di quella di Che Guevara, e parlare a braccio alle presentazione aziendali, giocando sulle pause e infilando qua e là una frase a effetto, con i grafici delle slide in Power Point a fare da semplice scenografia. Gusto per il teatro a parte, non è certo uno che ha paura di prendere posizioni scomode e di parlare chiaro. Lo abbiamo incontrato a Malaga, nel corso del press tour internazionale organizzato da Kaspersky Lab sulle ultime evoluzioni del malware informatico.

Lei ha un'esperienza ormai ultra decennale in materia di lotta al crimine informatico. Come è mutato, in questi anni, lo scenario della delinquenza online?

«È cambiato molto. Il crimine informatico vero e proprio è iniziato attorno al 2002, quando il malware ha cominciato a prendere di mira i salvadanai elettronici come eGold o WebMoney, e a rubare denaro, non solo password e login della connessione a Internet. Ed è cominciato ad opera di singoli individui non organizzati fra loro; ora, invece, sono per la maggior parte professionisti ben strutturati, divisi, per quanto riguarda il malware, in tre categorie: quelli che attaccano computer scelti a caso, solitamente di privati; poi ci sono i cyber criminali più giovani che prendono di mira gli smartphone, e la terza è composta da quelli che prendono di mira le corporation. Un caso a parte sono gli hacker “attivisti” che attaccano le società statali, la Cia, le grandi multinazionali, con una motivazione ideale o politica».

È possibile stimare l'impatto del crimine cibernetico sull'economia mondiale?

«A grandi linee, sì. Da una nostra ricerca, effettuata calcolando il numero di Pc infettati dalle principali organizzazioni criminali e la percentuale di computer contenenti informazioni che possono essere monetizzate (estremi delle carte di credito, password) abbiamo ricavato una cifra di 100 miliardi di dollari all'anno, provenienti dal solo malware. Uno dei nostri principali concorrenti, McAfee, ha effettuato una ricerca simile, ma su tutti i tipi di crimine cibernetico e ha ricavato una cifra di di mille miliardi l'anno».

Lei un paio d'anni fa ha fatto scalpore sostenendo che su Internet non dovrebbe essere consentito l'anonimato. La pensa ancora così, o ha cambiato opinione?

«No, credo ancora che debba esserci un'evoluzione, un superamento dell'anarchia iniziale. La nostra civiltà ha una storia simile: quando hanno inventato le auto all'inizio non c'erano targhe e patenti, ma poi con la diffusione al pubblico hanno cominciato a mettere dei paletti. Credo che avremo sempre più controllo dei governi su Internet; ci sarà una specie di carta di identità per usare la Rete, per accedere al banking online, per votare. Il sistema di identificazione potrebbe consistere in un codice alfanumerico o, più probabilmente, tramite qualcosa di simile alle impronte digitali».

Il crimine sulle nuove piattaforme come tablet e smartphone è diverso da quello tradizionale? E anche le strategie di difesa sono in qualche modo differenti?

«Per quanto riguarda i dispositivi basati su Android non cambia molto, rispetto agli attacchi ai Pc con Windows. Android è basato su Linux, ma Microsoft e Linux vengono entrambi da Unix. Per quanto riguarda invece iOS, Windows Phone e Symbian, il discorso è un po' diverso; in questi sistemi ogni applicazione possiede un certificato digitale crittografato, per cui queste piattaforme sono un po' più sicure; questo però fa sì che sia molto più difficile sviluppare software per esse. Per questo Android dominerà il mercato: già oggi gli ingegneri sviluppano prima programmi per questo sistema operativo, e poi per gli altri. È quello che è successo in passato nel campo dei computer, quando si facevano concorrenza Windows, Novell NetWare, Mac Os e altri, il primo era più facile per i programmatori e perciò si è affermato maggiormente sul mercato».

Cosa ne pensa dei sistemi operativi basati interamente sulla nuvola, come Chrome Os di Google, e della sicurezza del cloud computing in genere?

«Non credo che un concetto di cloud computing come quello proposto da Google avrà una grande quota di mercato, credo che la maggior parte della gente vorrà conservare almeno una parte dei dati sul proprio Pc. Dal punto di vista aziendale credo che dopo vicende come quelle di Amazon, Sony le grandi società porranno molta più attenzione alla sicurezza, è stata una brutta storia, ma positiva come lezione. Il concetto alla base della “nuvola” può comunque essere usato anche per migliorare la sicurezza. Come altri produttori, abbiamo iniziato a inserire nei nostri anti virus dei sistemi di protezione basati sul cloud: se un Pc viene in qualche modo compromesso, l'informazione viene trasmessa agli altri computer della rete e la protezione aggiornata in due o tre minuti. In questo modo il malware non ha la possibilità di diffondersi su larga scala e il crimine diventa molto meno remunerativo».

E per quanto riguarda la sicurezza dei social network?

«I social network devono educare meglio i loro utenti, spiegare i pericoli che corrono e migliorare le procedure di login; prevedere ad esempio un doppio livello di autenticazione: spingere l'utente a inserire oltre ai dati di accesso anche un codice di conferma inviato via Sms. È un sistema costoso, ma necessario. Credo che sia bisogno anche di regole a livello governativo, per costringere i social network a non indurre ai loro utenti a divulgare sempre e sempre più dati. Le reti sociali come Facebook devono diventare responsabili per legge della protezione dei dati dei loro utenti. Per questo sarà necessario un accordo inter governativo a livello internazionale».

Fonte: La Stampa - Autore: Federico Guerrini

Un virus per pc inchioda Bisignani lo Stato diventa hacker a fin di bene

L'inchiesta della procura di Napoli sulla P4 ha utilizzato un software per trasformare il pc di Bisignani in una microspia. In grado di intercettare anche le telefonate su Skype. Così le tecniche dei pirati informatici, spesso usate per spionaggio e guerre cibernetiche, in Italia diventano uno strumento in mano agli inquirenti

La chiave dell'inchiesta sulla P4 sta anche in qualche byte di codice, in un programma per computer - un virus si potrebbe dire - che i pm Henry John Woodcock e Francesco Curcio sono riusciti a installare nel portatile di Luigi Bisignani, trasformandolo di fatto in una cimice. Un esempio di una tecnologia 'da hacker' utilizzata per fini nobili: come un Robin Hood che intercetta gli indagati per aiutare la giustizia. Il faccendiere teneva le fila del suo governo-ombra ¹ in un piccolo bunker. Impossibile entrare. Inoltre sapeva di essere intercettato: infatti cambiava spesso schede telefoniche, per rendere la vita difficile agli investigatori. E telefonava attraverso il web, utilizzando software come Skype nella convinzione - più che diffusa - che queste chiamate fossero sicure. Errore: perché se è vero che la tecnologia aiuta tutti, anche le forze dell'ordine possono utilizzarla a proprio vantaggio. Tecnicamente si chiamano trojan, e prendono il nome dal famoso cavallo omerico: sono dei programmi che si installano all'insaputa del proprietario del computer e agiscono in silenzio, senza farsi notare, ma con risultati spesso distruttivi. I trojan classici sono utilizzati dagli hacker per rubare dati personali agli utenti (come i numeri delle carte di credito) o per inviare e-mail di spam, o ancora per guidare da lontano un computer infetto. La differenza è che 'Querela' - questo il nome del file installato sul pc di Bisignani - è un programma sviluppato interamente dalle forze dell'ordine italiane e la sua funzione è quella di trasformare un pc in una cimice: prendendo il controllo della scheda audio, può catturare attraverso il microfono tutto quello che succede nella stanza e inviarlo agli investigatori. Non solo: registrando direttamente dalla scheda audio, può aggirare le difficoltà di intercettazione dei software per le chiamate Voip (voice over internet protocol, come Skype). C'è quindi anche uno spirito piratesco - ma legalizzato - in 'Querela', un software che si sta rivelando fondamentale nelle inchieste contro la criminalità organizzata. A infettare il computer di Bisignani è stata, come succede a tutti prima o poi, una semplice mail: all'apparenza un messaggio in arrivo da un social network (come Facebook o Linkedin) che però porta l'utente su un sito creato ad hoc che installa il software-spia. 'Querela' è quindi un esempio positivo di quello che uno Stato può fare con la tecnologia. Ma è un caso limite. Se, grazie allo sviluppo di internet, la vita è migliorata (o semplicemente cambiata, per chi preferisce evitare giudizi di valore) si sono anche moltiplicate le occasioni per hacker e cybercriminali di danneggiare gli utenti e trarne vantaggio. E sempre più la tecnologia è diventata anche strumento di competizione internazionale e di guerra 'fredda'. È ormai finito il tempo delle spie classiche, quelle stile James Bond o quelle in impermeabile che si incontrano in vicoli bui: la spia del nuovo millennio è un geniale ventenne seduto dietro uno schermo, dall'altra parte del mondo, che cerca di entrare nelle reti protette di governi e grandi aziende. Il caso Aurora, l'attacco da parte di hacker cinesi ai server di Google nel 2009, o casi più recenti (sempre Cina contro Google ²) hanno fatto raffreddare i rapporti tra Washington e Pechino, per i sospetti sull'origine governativa di queste aggressioni. Solo una settimana fa, l'ex consigliere per la sicurezza nazionale Usa Richard Clarke ha lanciato un ulteriore allarme: "In privato, i funzionari statunitensi ammettono che il governo non ha alcuna strategia per fermare l'assalto cibernetico della Cina". E ha aggiunto che "Pechino sta rubando grandi quantità di informazioni dagli Stati Uniti". Non solo Cina, in ogni caso: è emblematica la storia di Stuxnet, il primo worm creato per infettare sistemi industriali. Gli esperti lo definiscono come "il virus più potente mai visto" e finora è stata, per scelta dei suoi creatori, un'arma senza scopo: ha infettato milioni di computer senza fare danni, una semplice dimostrazione di forza. È l'equivalente di avere una pistola puntata alla testa: fa paura anche se nessuno ha premuto il grilletto. E fino a quando non succederà, non si potrà conoscere l'effettiva potenza distruttiva di questo virus. Chi l'abbia creato è un mistero, ma qualche indizio c'è: la maggior parte dei computer infettati è in Iran ³, per questo si è ipotizzato che potesse essere un'arma per fermare il programma atomico di Teheran. Quando uno Stato si fa hacker, il confine tra legittima difesa, spionaggio, guerra informatica o criminalità è molto labile. Fatto è che non tutti possono contare su queste tecnologie: "Sono in pochi i Paesi con ingegneri di livello tale da sfruttare questi sistemi", ha spiegato Eugene Kaspersky ⁴, esperto di sicurezza e creatore dell'omonimo antivirus, parlando dei rischi del cyberterrorismo: "Ci sono gli Stati Uniti, i Paesi europei, Israele, la Russia, la Cina e l'India. Ma sono anche conoscenze che si possono acquistare da veri hacker, interessati solo al guadagno". Non serve più la fedeltà delle vecchie spie: per mettere in ginocchio un avversario basta pagare. Al di fuori di questa zona grigia ricade 'Querela', lo strumento giudiziario più avanzato - e assolutamente legale - per il contrasto alla criminalità. Un semplice software, una lunga sequenza di 0 e 1, che oggi segna un punto a suo favore grazie ai risultati nell'inchiesta su Luigi Bisignani e Alfonso Papa.

Fonte: Repubblica - Autore: Alessio Sgherza

Pochi rischi e altissimi profitti: è l'epoca d'oro dei pirati informatici

Un passaporto italiano clonato, in tutto e per tutto simile all’originale ma con la vostra foto associata all’identità di un’altra persona? Su Internet si trova per 600 euro. Spendendo qualcosa in più, 850 euro, si può portare a casa un pacchetto comprendente passaporto, carta di identità e patente di guida. “Basta sapere dove cercare – spiega Dmtry Bestuzhev, ricercatore di Kaspersky Lab che ha tratto l’evoluzione del cybercrime durante il summit internazionale sulla sicurezza di Malaga promosso in questi giorni dall’azienda – e in Rete si trova qualsiasi cosa”. Sono in vendita online milioni di dati di accesso ai social network, licenze di attivazione di programmi e sistemi operativi, e perfino degli anti-virus, server di grandi corporation già infettati e pronti per essere venduti a terzi. L’importante, come sottolineato da Bestuzhev, è saper trovare i canali giusti. “Un tempo – racconta – tutti gli annunci di compravendita di dati rubati si trovavano in forum pubblici, persino indicizzati dai motori di ricerca. Oggi è una tecnica che usano solo gli scammer, i truffatori; chi volesse procurarsi delle informazioni in questo modo nella stragrande maggioranza dei casi va incontro a una fregatura”. Come procedere, allora? Nel grande mercato nero dei cyber criminali oggi si entra solo se si viene introdotti da una persona considerata affidabile; le organizzazioni di pirati hanno delle piattaforme di e-commerce nascoste ai più, ma con tutte le funzioni di un normale negozio online: si sceglie la quantità di beni richiesta (per esempio un lotto di numeri di carta di credito o il codice di un virus), si riempie il carrello e si passa alla cassa. Per accedere ai servizi si paga una tassa di ingresso fissa di 50 dollari, di cui 12,50 vengono usati dai gestori per migliorare la loro piattaforma e il resto viene accreditato sul bilancio privato dell’utente, da cui potrà attingere per gli acquisti. “C’è perfino il servizio di supporto clienti – aggiunge Bestuzhev - e negli ultimi tempi si è diffusa l’offerta di servizi on demand: se vuoi qualcosa che non hanno in listino, dopo poco te la procurano”. I cyber criminali sono diventati dei veri e propri imprenditori insomma, e di un settore assai lucroso. L’investimento iniziale è piuttosto basso: i tecnici di Kaspersky calcolano che con 6.130 dollari si possa acquistare tutto il necessario a stare sul mercato, dal kit di strumenti di hackeraggio al tool per fabbricare malware, al servizio di hosting iper protetti. Si possono abbattere ancor più i costi acquistando online delle botnet, ovvero delle reti di computer già infetti e controllabili a distanza: con 200 dollari se ne porta a casa una da 2.000 computer e il suo team hanno messo a punto uno strumento che consente di calcolare il valore medio di ciascun utente, in base ai dati che è possibile trafugare impadronendosi del suo Pc: a seconda del numero di Pc, carte di credito e profili online posseduti, si aggira fra i 500 e gli 800 dollari. Spendendo 200 dollari per ottenere 2.000 vittime, si può ottenere dunque un profitto compreso fra un milione e un milione e seicentomila euro. Anche tenendo conto che al momento dell’acquisto non tutti i membri di una botnet risultano attivi, ma solo il 40 %, si raggiungono comunque guadagni astronomici, impossibili da realizzare in qualsiasi altro settore, escluso forse il narcotraffico. Il che spiega perché molti giovani e abilissimi programmatori, specie dell’Est Europa, si gettino in questo business. Forse, invece di consigliare alle giovani precarie di mettersi con un milionario per risolvere i propri problemi economici, come adombrato da qualche politico nostrano, sarebbe il caso di adeguarsi ai tempi e suggerire “signorina, sposi un pirata informatico!”.

Fonte: La Stampa - Autore: Federico Guerrini

Bin Laden, per i cyber-criminali è un'esca sul web immagini false per rubare dati

Dietro presunte immagini di Osama, siti malevoli pronti a infettare i computer degli utenti. Ma anche pagine Facebook con video inesistenti di torture al leader di Al Quaeda, realizzate per trafugare dati. Sono solo le ultime trovate di criminali informatici, capaci di sfruttare ogni tema di cronaca per ottenere informazioni e accessi

Bin Laden non è più una minaccia, ma la sua immagine sì, almeno su internet. Sul web sono attivi siti malevoli che sostengono di possedere la ricercatissima ultima foto dello sceicco del terrore: in realtà si tratta di esche, realizzate per attirare utenti, rubare i loro dati personali e ottenere accesso ai pc. Secondo Fabio Assolini, esperto di sicurezza IT di Kaspersky, sono già presenti sul web delle immagini, reperibili con una semplice ricerca con Google, che una volta cliccate rimandono a domini maligni. I browser di ultima generazione sono in grado di avvertire l'utente dell'inaffidabilità di queste pagine, ma i cybercriminali sono sempre un passo avanti. Per l'utente l'unico modo di proteggersi adeguatamente resta informarsi. Attenzione quindi ai siti non noti e a quelli dal comportamento sospetto.

Attenzione anche ai social network. E' sempre Kaspersky a lanciare l'allarame Bin Laden anche sull reti sociali, in particolare Facebook: sarebbe presente sul network un'inserzione sponsorizzata, che rimanda a un presunto "video delle torture". Cliccando sul link truffaldino ci si ritrova però su una pagina in cui si è invitati a lasciare un messaggio per avere maggiori informazioni. Da lì in poi, i dati di accesso dell'utente sono in pericolo. E' opportuno evitare di cliccare sul link a priori, anche perché al momento, non esiste nessun "video delle torture".

Senza scrupoli. Anche la recente scomparsa di Liz Taylor e la tragedia dello tsunami in Giappone sono state utilizzate da malintenzionati come "cavalli di Troia" per accedere a dati e computer. Una serie di link collegati a presunte "ultime notizie dal Giappone" in realtà nascondeva attacchi ai pc degli utenti. Da non considerare attendibili neanche siti web o "spam nigeriano" che richiedevano l'invio di soldi per far fronte alla distruzione del paese nipponico.

Fonte: Repubblica.it

Cybercriminali aumentano il business con le calamità naturali

Gli esperti di Kaspersky Lab diffondono i dati di marzo sulle attività malevole

Link ingannevoli. Il mese di marzo è stato caratterizzato dalla creazione di siti web e link ingannevoli, da parte dei cyber criminali, che sfruttavano la tragedia avvenuta in Giappone. Una serie di link collegati ad “ultime notizie dal Giappone” in realtà guidava attacchi drive-by ai computer degli utenti. Da non considerare attendibili neanche siti web o “spam nigeriano” che richiedevano l’invio di soldi per far fronte alla distruzione del paese nipponico. Neanche la morte di Liz Taylor è rimasta immune dallo sfruttamento da parte dei creatori di virus che hanno usato la notizia per diffondere malware.

Velocità. I creatori di virus sono tra l’altro sorprendentemente veloci nel reagire agli annunci di vulnerabilità. Adobe ha annunciato una vulnerabilità per Flash Player il 14 marzo e già il giorno successivo Kaspersky Lab ha trovato un exploit che andava a colpire proprio li.

Intrusioni tecniche. Si conferma la predilezione dei cyber criminali per gli exploit di Java. Ben 3 exploit su 5, nella top 20 di marzo, nascono da vulnerabilità Java.

Anche gli hacker si proteggono. Per evitare di essere individuati dai programmi antivirus i cyber criminali proteggono le pagine HTML, attraverso cui diffondono malware. A Febbraio il sistema usato erano le CSS, a marzo abbiamo la tag "textarea". Questa tag viene usata come contenitore in cui raccogliere dati che serviranno in seguito come script principale. Un esempio può essere il Trojan-Downloader JS Agent che si posiziona nono nella Top 20 di Marzo. Inoltre secondo il Kasperesky Security Network (KSN) i creatori di virus modificano gli exploit usati per gli attacchi drive-by in modo da non essere identificati.

Attenti alle App. All’inizio di Marzo gli esperti di Kaspersky Lab hanno scoperto che alcune applicazioni legittime per il Mercato Android sono state usate per infettare gli smartphone. Queste app contenevano dei root exploit, il cui scopo era quello di aprire l’accesso ai dati sensibili. Oltre questo l’archivio malevolo APK conteneva altre due componenti malevoli, una di queste inviava ad un server gestito da hacker, un file XML con IMEI e IMSI.

I numeri di Marzo

• 241 mln di attacchi di rete bloccati;

• 85,8 mln di attacchi provenienti dal web prevenuti;

• 219,8 mln di programmi malevoli scoperti e neutralizzati;

• 96,7 mln di verdetti euristici registrati.

Dati basati su statistiche di studio effettuate su utenti che utilizzano i prodotti Kaspersky Lab.

Più dettagli sul report mensile di KasperskyLab si possono scaricare: http://www.kaspersky.com/it/news?id=338

Fonte: Data Manager

Attenti alle falle nella sicurezza dei software e al loro sfruttamento da parte dei malware.

Cosa bolle nel torbido calderone dei kit di exploit

Kaspersky Lab ha pubblicato un articolo dal titolo "I kit di exploit da una nuova prospettiva", scritto da due esperti di Kasperky Lab: Marco Preuss (capo del team Global Research & Analysis in Germania) e Vicente Diaz (senior malware analyst). L'articolo fa luce sull'oscuro mondo dei kit di exploit, sulle vulnerabilità che prendono di mira e in che modo vengono copiati ed adattati per garantire proventi agli autori.I kit di exploit, come implica il nome, sfruttano le varie vulnerabilità che continuano a essere scoperte nei software più diffusi. I kit contengono diversi programmi maligni e sono utilizzati principalmente per sferrare attacchi automatici in modalità "drive-by download", allo scopo di diffondere malware quali trojan e di altri tipi. Quelli descritti nell'articolo sono reperibili sul mercato nero, con prezzi che vanno da alcune centinaia a oltre mille euro. I più conosciuti sono Phoenix, Eleonore e Neosploit. Secondo l'articolo, le vulnerabilità Java, Internet Explorer e PDF rappresentano insieme il 66% dei vettori di attacco utilizzati dai kit di exploit più popolari. Si tratta per la maggior parte di vulnerabilità vecchie, per le quali sono disponibili delle patch. Tuttavia continuano ad essere sfruttate con successo perché alcuni utenti non aggiornano i propri sistemi. Da un'analisi degli exploit più recenti, come Crimepack e SEO Sploit Pack, si evince che i loro creatori conoscono bene le vulnerabilità più diffuse e creano dei nuovi malware appositamente per sfruttarle. Inoltre, la maggior parte degli exploit sembra avere delle origini comuni. Phoenix Exploit Kit, ad esempio, utilizza del codice proveniente dai precedenti kit Fire-Pack e ICE-Pack. "Più un kit di exploit assume popolarità maggiori saranno i guadagni che gli autori ricaveranno dalle vendite. C'è una cosa che un kit di exploit deve offrire per acquisire popolarità in questo mercato fortemente competitivo: un tasso di infezioni elevato. Per questo i nuovi arrivati nel settore usano metodi già esistenti e comprovati, il che potrebbe spiegare le tante similarità tra i vari pacchetti" concludono gli autori dell'articolo.

La versione completa dell'articolo "I kit di exploit da una nuova prospettiva" è disponibile all'indirizzo: kaspersky.com/it/reading_room?chapter=207717037

Fonte: Kaspersky Lab

Nel terzo trimestre 2010 raddoppia lo spam con allegati pericolosi

Spammer e cybercriminali iniziano ad agire insieme in una strategia criminale comune
Secondo l’ultimo rapporto diffuso da Kaspersky Lab, azienda da sempre impegnata nel settore della sicurezza e delle soluzioni di gestione delle minacce informatiche, la quota di spam con allegati pericolosi nel traffico di posta elettronica è più che raddoppiato nel terzo trimestre del 2010, con una media annua del 4,6% rispetto all’1,9% del secondo trimestre. All’inizio del terzo trimestre 2010, invece - un fatto senza precedenti - questa percentuale ha superato il 6,3% del traffico email generale. Gli analisti di Kaspersky Lab suggeriscono che questo fenomeno sia dovuto agli spammer, che avrebbero semplicemente concentrato di più la loro attenzione dai singoli utenti individuali ai programmi partner, inclusi quelli connessi alla diffusione di malware. Il genere di “mailing di massa” con il maggiore aumento è quello delle finte notifiche provenienti da fonti apparentemente ufficiali, come Twitter, Facebook, WindowsLive, MySpace e diversi notissimi negozi on line. I link contenuti in queste notifiche fasulle dirottano gli utenti ad uno spammer service che scarica il backdoor Bredolab nei computer degli utenti, ed è poi usato a sua volta per scaricare vari altri Trojan. “L’aumento del volume e della qualità di queste mailing di massa conferma l’ipotesi che gli spammer e i cybercriminali hanno iniziato ad agire all’unisono e di comune accordo per creare delle strategie d’infezione nuove e più complesse, come connettere il computer di una vittima a un Botnet inviandogli spam, per rubare i suoi dati personali e via dicendo” afferma Darya Gudkova, Head of Content Analysis & Research alla Kaspersky Lab. Complessivamente, il livello di spam nel terzo trimestre è calato rispetto al trimestre precedente, con una media dell’82,3%. Gli utenti hanno quindi trovato nelle proprie caselle di posta elettronica, a settembre, una quantità di spam considerevolmente inferiore rispetto al mese di agosto, con una flessione di 1,5 punti percentuali. La causa della flessione è dovuta principalmente alla chiusura di oltre 20 centri di controllo usati dal Botnet Pushdo / Cutwail, che era responsabile di circa il 10% di tutto lo spam mondiale. Questa minaccia non era solo legata all’enorme volume di spam distribuito, ma anche al suo collegamento con la diffusione di programmi particolarmente dannosi come Zbot (ZeuS) e TDSS. Quando i centri di comando del Bootnet sono stati chiusi, un enorme numero di bot ha smesso di distribuire spam, non essendo più sotto il controllo degli spammer. Un’altra chiusura nel terzo trimestre è stata avviata dagli stessi spammer, quando il programma partner SpamIt, responsabile di enormi quantitativi di spam del settore farmeaceutico, ha annunciato la fine delle sue attività. I siti di questo programma, SpamIt.biz e Spamit.com, hanno anche “postato” le motivazioni della loro chiusura concentrandole in “una lunga lista di eventi negativi nel corso dello scorso anno e la più intensa e maggiore attenzione prestata alle operazioni del nostro programma partner.” “La chiusura di un programma partner – anche di uno dei maggiori – avrà solo il risultato di fare arrivare meno pubblicità di viagra nella nostra posta ricevuta; ma è un effetto temporaneo, gli spammer non stanno certo abbandonando un business così redditizio” dice ancora la Gudkova. “Facile presumere che i gestori del programma ne apriranno semplicemente uno nuovo che, per un po’, resterà al di sotto dei radar dei venditori di anti-spam e delle forze dell’ordine.” Il trend principale nel terzo quarto è stato l’allineamento tra l’industria dello spam e i produttori di virus. Lo spam oggi non è più un semplice fastidio, ma è una componente importante usata all’interno di schemi strategici illegali per rubare dati confidenziali, che possono essere usati per fare soldi. In ogni caso, questa situazione sta attirando l’attenzione dei legislatori e delle forze dell’ordine.

Fonte: Kaspersky

Hackerato il sito americano di Kaspersky

E' quasi un paradosso la vicenda che, domenica scorsa, ha visto protagonista il sito di Kaspersky, la nota azienda specializzata nella distribuzione di software antivirus. Il sito americano è stato violato da alcuni hacker che lo hanno utilizzato per distribuire una versione contraffatta e potenzialmente dannosa del pacchetto. Lo ha reso noto la società con un comunicato ufficiale, confermando l’attacco e ammettendo l’impossibilità di risalire ai suoi responsabili, almeno per il momento. La falla, già corretta al fine di ripristinare il normale funzionamento del sito, è stata individuata in un’applicazione di terze parti utilizzata per la gestione del portale. Ai malcapitati utenti, intenzionati a scaricare una versione originale del software Kaspersky, è stata mostrata una finestra pop-up contenente una fittizia scansione del sistema in cerca di malware e un link per il download e l’installazione del falso applicativo. Secondo gli esperti che hanno analizzato l’attacco, il problema si è protratto per un periodo pari a circa tre ore e mezza. Al fine di garantire la piena sicurezza durante la navigazione, una volta scoperto e sistemato il malfunzionamento, il team ha dichiarato di aver analizzato a fondo ogni singola pagina del proprio sito. Questa non è la prima volta che Kaspersky ha dovuto controllare il sito web dopo un incidente. Nel febbraio 2009 un hacker è riuscito a entrare nel sito dell'azienda dopo aver scoperto un difetto di programmazione web. Questo difetto potrebbe aver dato il potenziale accesso ad hacker agli indirizzi emali dei clienti e ai codici di attivazione del prodotto tramite una tecnica di attacco comune, chiamato SQL injection. Nell'attacco di Domenica non sono state compromesse le informazioni di nessuno, ha dichiarato Kaspersky. "Tuttavia, Kaspersky Lab prende seriamente ogni tentativo di compromettere la sua sicurezza. I nostri ricercatori stanno lavorando per individuare le possibili conseguenze degli attacchi per gli utenti coinvolti, e sono a disposizione per fornire aiuto per rimuovere il software falso antivirus", ha detto la società.

Fonte: Future Web

Non solo non esiste un'effettiva sicurezza tecnologica, ma non sappiamo nemmeno cosa sia di preciso e cosa si dovrebbe fare per ottenerla

Questo è il punto di svolta in una nuova era: quella del cyber-terrorismo, le cyber-guerre o il cyber-sabotaggio». Eugene Kaspersky, a capo dell'omonima azienda di sicurezza informatica, non ha dubbi: Stuxnet, attaccando le centrali energetiche nucleari iraniane, ha cambiato l'intero scenario di riferimento. Prima di Stuxnet, il malware era "cyber-crime", usato quasi solo a scopo di profitto. Si può dire quindi che siamo entrati nella terza era del malware: la prima, nei tempi dell'ingenuità di internet, era dominata da virus fatti per scherzo o per ottenere fama. Certo, anche negli anni scorsi ci sono stati esempi di malware che accompagnavano tensioni o conflitti politico-militari. Stuxnet però è diverso perché è mirato contro uno specifico obiettivo e quindi molto più pericoloso e intelligente. I precedenti malware "politici" sembrano ingenui a confronto: colpivano in massa cercando di paralizzare i sistemi internet di un Paese. «Stuxnet attacca come un missile: dritto contro l'obiettivo», dice Kaspersky. La sua origine resta un giallo, ma l'ipotesi più probabile è che sia il parto di autori ispirati dal governo Usa o israeliano. Dopo l'Iran, infatti, è passato a colpire fabbriche e servizi pubblici cinesi. «Forse si tratta di spionaggio o sabotaggio di Stato. Non si vede infatti il profitto; non c'è un evidente scopo di ricatto o estorsione. È molto insolito per un malware», conferma Rick Ferguson, senior security advisor di Trend Micro. «Confermiamo che quest'attacco potrebbe essere condotto con il coinvolgimento di uno Stato e il supporto delle banche – aggiunge Kaspersky –. Stimiamo che hanno speso circa un milione di dollari per eseguirlo». Stuxnet è infatti «il codice più complesso mai visto finora per un attacco specifico ("targeted"). Mira solo ai sistemi di controllo industriale», dice Ferguson. Gli sviluppatori del codice hanno sfruttato cinque vulnerabilità zero-day di Windows. In più, rivela una conoscenza approfondita dei sistemi Scada (controllo di supervisione e acquisizione dati) di Siemens. Riuscire a mettere insieme tutte queste armi e conoscenze è molto costoso. Non solo, Stuxnet è certo opera di un'organizzazione perché «è un virus modulare – dice Ferguson –. Ciascun modulo ha uno specifico impatto sui sistemi informatici colpiti ed è stato probabilmente creato da un diverso gruppo di sviluppatori, gli uni indipendentemente dagli altri». Stuxnet può infiltrarsi nei sistemi per modificare processi e rubare vari dati.In generale, «gli attacchi targeted sono uno dei principali trend del momento, per i malware», continua. Finora però sono stati diretti solo contro specifici beni o infrastrutture di aziende e per scopo di profitto. Gli attacchi targeted funzionano grazie a conoscenze interne ai sistemi e alle aziende colpite. Significa che il business del malware è cresciuto al punto da riuscire a ottenere il supporto di "talpe" dall'altra parte della barricata. «Solo un esempio del giro di denaro dietro al crimine informatico: questa settimana nel Regno Unito è stato arrestato un gruppo criminale che ha intascato 6 milioni di sterline in appena tre mesi», dice Toralv Dirro, Emea McAfee Labs Security Strategist.

Fonte: Il Sole 24 Ore - Autore: Alessandro Longo

Safer Internet Day 2010: Kaspersky Lab sostiene la lotta contro la "Digital Pollution" !

Kaspersky Lab: Safer Internet Day 2010: Kaspersky Lab sostiene la lotta contro la "Digital Pollution" ! L’inquinamento digitale è in crescita e molti utenti sono ancora inconsapevoli delle minacce in internet Roma 09 Febbraio 2010 Per gli utenti di tutte le età, Internet fa parte della vita quotidiana. I bambini ed i giovani lo usano per incontrare gli amici grazie ai social networks, i genitori per fare shopping online e per operazioni bancarie, e gli adulti in generale per pianificare viaggi. Tuttavia, l’Inquinamento Digitale è in crescita e costituisce un serio rischio per gli utenti di Internet - il rischio che Kaspersky Lab porterà all’attenzione del pubblico, il 9 Febbraio 2010 in occasione del Safe Internet Day. Kaspersky Lab sostiene l’iniziativa del "Digital Pollution", che mira ad una campagna di sensibilizzazione verso l’inquinamento digitale, fornendo un sito web dedicato e http://www.stopdigitalpollution.eu/ video a supporto. "Perché dovrebbero attaccare proprio me? Non ho nulla di valore sul mio PC " è l’atteggiamento della maggior parte degli utenti quando si naviga in Internet. Le Statistiche però rivelano quanto questo comportamento sia imprudente e rischioso. Secondo gli esperti di Kaspersky Lab, l’inquinamento informatico sta crescendo rapidamente. Attualmente vengono rilevate in rete fino a 30.000 nuove minacce al giorno, e questo numero è in costante aumento. Una recente indagine svolta dall’Istituto Forsa per l’associazione della Germania BITKOM ha rivelato che il 38 per cento degli utenti di Internet di età superiore ai 14 - circa 20 milioni di tedeschi -- sono già stati colpiti da minacce di tipo crimeware. (1). È inoltre emerso che i siti di social networks sono di recente diventati una piattaforma particolarmente popolare per la diffusione di malware. "Prevediamo che il crimine informatico che sfrutta i siti di social networks sia una delle minacce più drammatiche e in forte aumento nel 2010", afferma Alexander Moiseev, Managing Director di Kaspersky Lab Italia. "Sosteniamo pienamente l’iniziativa del Safer Internet Day, che aiuta a promuovere un uso sicuro e responsabile di Internet, soprattutto tra i bambini e gli anziani".

Bambini e adolescenti: Pensate prima di agire! Come le persone utilizzano Internet dipende principalmente dalla loro età. Secondo le statistiche fornite da un’organizzazione MPFS della Germania, i giovani tra i 12 ed i 19 anni, usano Internet principalmente per scopi di comunicazione. (2) Quest’ultimi spendono circa il 50 per cento del loro tempo online e utilizzano siti di social networks, servizi di messaggistica e programmi di posta elettronica. Spesso si è inconsapevoli o non ci si cura del fatto che delle impostazioni di sicurezza permissive possano consentire a chiunque di leggere le proprie informazioni. Chiunque può, per esempio, utilizzare facilmente un motore di ricerca per raccogliere dati personali da fonti on-line come i profili di Facebook o gli elenchi di Amazon. Essi possono quindi utilizzare queste informazioni per creare un profilo personale completo. E’anche importante considerare che spesso è impossibile eliminare completamente le foto o commenti pubblicati sui siti di social networks. Questo, a sua volta, può influenzare il modo in cui i potenziali datori di lavoro valutano la richiesta di lavoro degli utenti. "Think before you post" ("pensa prima di agire!"), il motto del Safer Internet Day 2010, è quindi inteso come un orientamento chiaro da seguire quando si utilizzano siti di social networks. Anche le persone che non spendono tutto il loro tempo libero su Internet, come per esempio gli anziani e la maggior parte degli adulti, si trovano di fronte a pericoli crescenti e scenari di attacco più sofisticati. Secondo gli esperti di Kaspersky Lab, questo è anche una delle principali tendenze della sicurezza informatica nel 2010. "Quest’anno ci aspettiamo attacchi malware molto più sofisticati, causando problemi anche a utenti occasionali", afferma Alexander Moiseev. "Se un computer non è protetto da un programma antivirus aggiornato, attacchi di tipo phishing e drive-by download avranno successo. Un solo clic del mouse è sufficiente per installare il software dannoso in background. Da lì si possono spiare le password, le informazioni relative alla carta di credito e i numeri di TAN. " Per saperne di più sull’ampia gamma di attività incentrata sul Safer Internet Day, visita il sito www.saferinternet.org.

(1) www.bitkom.org/files/document/bitkom_bka_presseinfo_it-kriminalitaet_08_10_2009.pdf

(2) www.mpfs.de/fileadmin/JIM-pdf09/JIM-Studie2009.pdf

Fonte: Adnkronos

Malware 2.0: l'evoluzione della specie

L'evoluzione del malware è un tema che sta sollevando, negli ultimi tempi, enormi dibattiti. Lo scenario a livello globale è mutato drasticamente rispetto agli inizi del millennio, e le previsioni future non sono semplici. In questo articolo analizzeremo i cambiamenti filosofici e strutturali dei software nocivi, vedendo quanto e come sono cambiati in termini di scopo e tecnologie adottate; verrà spiegato come funzionano i malware moderni, anche per mezzo di un esempio pratico: la recente analisi del bot Bootkit presentata da Kaspersky Lab. Prima però è bene fare un po' di chiarezza nell'uso della terminologia.
I termini virus e worm indicano malware pensato per replicarsi lungo la rete, nel primo caso infettando un eseguibile già presente nel sistema e nel secondo caso in modo del tutto indipendente e spesso trasparente, ad esempio mediante un exploit di una vulnerabilità nota. È evidente che i virus per propagarsi dipendono dalla diffusione dell'eseguibile infetto, mentre i worm sono in questo del tutto autonomi, e anche per questa ragione sicuramente più efficienti e diffusi oggigiorno.
I termini trojan, rootkit e backdoor definiscono invece malware in grado, rispettivamente, di insediarsi nel sistema camuffandosi in un'applicazione legittima, di nascondere la propria presenza e quella di altri processi o file dannosi nel sistema e di garantire una via d'accesso alla macchina che aggiri le regolari procedure di autenticazione e autorizzazione.
Infine, ricordiamo che una botnet è una rete di computer infettati da un malware (bot) comandabile da remoto, solitamente per mezzo di un cosiddetto server di command and control (C&C), il cui scopo è sia consentire l'ulteriore propagazione del malware sia recapitare i comandi ai singoli bot - solitamente indicazioni per ingenti operazioni di spamming o denial of service.

Un mondo che cambia
Negli ultimi anni invece le cose sono mutate radicalmente: Internet è divenuta un terreno sempre più a diretto contatto con gli interessi di piccole e grandi aziende, sempre più ricco di informazioni sensibili. In parole povere, è nata e cresciuta una vera e propria scena del cybercrimine, finalizzato ai puri e semplici ritorni economici: commercio di exploit, di account, di botnet, tutto può essere venduto o affittato a cifre nel complesso considerevoli. Questo ha portato all'evoluzione del vecchio malware nel cosiddetto Malware 2.0.
In questo nuovo modello di malware, che ha avuto i primi timidi vagiti nel 2006 e si è sempre più perfezionato, abbiamo un'infezione e una propagazione che tendono alla trasparenza: meno polvere si solleva, più sarà semplice insediarsi e rimanere insediati. Lo scopo non è più un danno diretto, evidente e fondamentalmente incontrollato, quanto una silente compromissione dei sistemi vittima: i worm sono solo il primo passo per l'installazione di una backdoor che consenta il controllo remoto di un bot. Il codice nocivo dev'essere difficile da riconoscere ed analizzare, e il controllo delle stesse botnet dev'essere il meno tracciabile possibile. I vettori d'infezione si spostano, anch'essi, da ambienti plateali (i classici allegati nelle email) a luoghi più insospettabili (ad esempio, iframe infetti in siti Web fidati). Alle complessità tecniche sono inoltre affiancati meccanismi di social engineering per spingere sempre più utenti a compiere le azioni necessarie per essere infettati o per inserire dati confidenziali in form malevole.

Parlando di antivirus...
Un importante argomento è il funzionamento dei software utilizzati per contrastare le infezioni, in particolare gli antivirus. Per il riconoscimento di un file potenzialmente dannoso esistono due grandi categorie di possibilità: sfruttare una conoscenza a priori oppure analizzare dinamicamente il comportamento di un applicativo.
Fino a pochi anni fa, con lo scenario descritto in precedenza e caratterizzato da worm statici e ben noti, oltretutto sviluppati in modo non eccessivamente sofisticato e attento, il primo approccio non dava grossi problemi. In sostanza il classico antivirus lavora su un archivio di firme (una sorta di "impronte digitali", una per ogni malware noto), e confrontando i programmi eseguiti con ciascuna firma è in grado di rilevare una corrispondenza: se un programma si rivela essere - o contenere - un malware noto, l'esecuzione viene interrotta e con essa l'infezione della macchina.
A patto di aggiornare spesso il database di firme, il rischio di contrarre un'infezione era relativamente basso. Ovviamente rimane il problema della finestra temporale seguente il rilascio del malware ma antecedente l'aggiornamento dell'antivirus: in questo caso si possono utilizzare ad esempio tecniche euristiche, che analizzano il contenuto del file e calcolano la probabilità che si tratti di un file nocivo.
L'analisi comportamentale, invece, monitora in tempo reale le azioni svolte da un applicativo per stimare le probabilità che si tratti di un malware: se il software esegue azioni potenzialmente dannose, viene identificato come rischio per il sistema. Il grosso vantaggio di questo approccio è che esso non dipende da informazioni già collezionate, ma agisce dinamicamente: questo consente di rilevare e bloccare software pericolosi anche se non corrispondono a una entry nel database di firme e anche se il loro contenuto e la loro struttura non è analizzabile staticamente.
Nell'attuale panorama del malware, l'efficacia degli antivirus basati su conoscenza a priori (firme e euristiche) è di molto ridimensionata rispetto al passato, come vedremo fra poco, mentre l'analisi comportamentale sembra essere l'unica possibilità per il futuro. Il rovescio della medaglia di questa tecnologia è l'enorme difficoltà implementativa, che costringe a formulare modelli sufficientemente accurati da raggiungere il giusto compromesso tra la sicurezza e il proliferare di falsi positivi (che rappresentano un fastidio per l'utente e un deterrente a prendere sul serio gli alert).

Malware 2.0: i dettagli
Abbiamo visto il trend evolutivo del malware negli ultimi anni e capito come funzionano i principali metodi di rilevamento adottabili contro di esso, è ora il momento di analizzare più in dettaglio le caratteristiche del Malware 2.0 e alcune delle tecniche utilizzate per ottenerle.

Passare inosservati
Partiamo proprio dagli antivirus: lo scopo è quello di passare inosservati ai loro controlli, riuscendo quindi ad infettare anche le vittime che dispongano di programmi antivirus correttamente aggiornati. L'aggiornamento delle firme è innanzitutto uno dei punti deboli degli strumenti di difesa classici: il database di firme dev'essere costantemente modificato per aggiungere i nuovi malware e le relative varianti; questo non era un problema quando si parlava di numeri relativamente bassi, ma negli ultimi tempi il ritmo con cui compaiono nuove minacce è ben più preoccupante e difficile da seguire. Inoltre i virus-writer hanno affinato diverse tecniche per eludere del tutto i controlli: è possibile per un malware riconoscere e arrestare i processi relativi ai più conosciuti antivirus, impedirne l'aggiornamento, oppure cancellare la propria firma dall'archivio, ad esempio facendo in modo di entrare in esecuzione al riavvio della macchina, prima dell'antivirus stesso, con un hook nel registro di sistema.

Il packing
Più interessante ancora è il caso delle tecniche di autodifesa del malware, come ad esempio il packing. Lo scopo di un packer è, in questo caso, rendere un file eseguibile difficile da analizzare; gli analisti di malware fanno uso di tecniche di reverse engineering per riconoscere e classificare i file nocivi, e rallentare, rendendole difficoltose, queste analisi consente di avere una più ampia finestra temporale in cui il malware è in circolazione senza poter essere riconosciuto adeguatamente. Si è anche parlato delle tecniche di controllo degli antivirus basata sulla conoscenza a priori (le firme degli antivirus si basano, ovviamente, sul codice analizzato) o sull'analisi statica del codice dei file (metodi euristici): un packer è in grado di comprimere e cifrare il codice del malware, in modo tale che esso riesca ad infettare la macchina eludendo i controlli antivirus. In questo caso la distribuzione del malware comprende una parte cifrata e un modulo per la decrittazione della stessa: le funzionalità non cambiano, ma una normale scansione viene elusa perché il corpo (payload) dell'eseguibile è crittato, solitamente con una chiave diversa ad ogni infezione, il che impedisce di accedere al codice vero e proprio riconoscendolo come nocivo. Tra i packer più utilizzati segnaliamo ad esempio UPX e Themida; è importante sottolineare come questo tipo di strumenti non sia pensato esplicitamente per nascondere software nocivo, ma possa essere usato anche in modo perfettamente lecito, per comprimere eseguibili in modo trasparente o per tentare di proteggerli dal cracking. Nel mondo del malware, si stima che l'80% dei malware moderni sfruttino tecniche di packing.

L'unpacking
Riassumendo brevemente, il packing consente di rendere più difficoltosa l'analisi dei malware analyst e permette di passare inosservato ai controlli antivirus, perchè occulta il codice dell'eseguibile senza modificarne le funzionalità. Ci sono, ovviamente, delle contromisure nei confronti di entrambi i problemi: esistono tool di unpacking, pensati proprio per analizzare anche i file compressi con i più famosi packer: possono essere usati software per il reverse engineering con funzionalità di unpacking, come CFF Explorer, oppure tool per il debugging, come OllyDbg. Tuttavia questa soluzione dipende dall'insieme limitato di packer previsti dallo strumento utilizzato, e bisogna considerare che i malware più evoluti contengono controlli in grado di rilevare attività di emulazione e debugging, e agiscono di conseguenza limitando le proprie funzionalità nocive quando riconoscono di essere preda di un'analisi. Per questo la ricerca punta verso nuove soluzioni, in grado di superare queste problematiche.Per quanto riguarda gli antivirus, esistono suite che consentono di riconoscere file compressi con i packer più noti, ma la cosa va a scapito delle performance e ovviamente non è garantita la stessa percentuale di successo offerta da una coppia composta da un malware non cifrato e la sua firma già presente nel database dell'antivirus.

Il polimorfismo
Concettualmente simili al packing, vi sono le tecniche di polimorfismo: lo scopo è ancora quello di offuscare il codice del malware per sfuggire ai controlli basati sulle firme. Ad ogni infezione, il malware cambierà parte del proprio codice, riuscendo così ad eludere i controlli pur eseguendo sempre le medesime funzionalità. Il metamorfismo è un approccio ancora più complesso e radicale: in questo caso è l'intero software ad essere riscritto ad ogni nuova infezione, e non viene mai realmente decifrato in memoria, come accade invece nel caso del polimorfismo. Gli antivirus possono utilizzare tecniche euristiche per riconoscere codice nocivo in grado di mutare così spesso il proprio payload.

Infezione e propagazione
Passiamo ora ad analizzare le tecniche di infezione e propagazione dei malware moderni. I worm di mass mailing, che si propagano via email, stanno rapidamente lasciando spazio ai mondi del file sharing e del Web. Se nel primo caso i metodi di infezione sono facilmente immaginabili (condividere file nocivi, camuffandoli da qualcosa di interessante per gli utenti dei programmi di file sharing), il secondo caso è senz'altro più sofisticato. Il vettore d'attacco è una pagina Web, che può essere costruita e pubblicata ad hoc oppure ottenuta attaccando un sito Web potenzialmente molto visitato; al primo approccio viene affiancata una campagna di spam atta a linkare la pagina Web nociva, in modo tale che l'ignaro utente ci arrivi cliccando un collegamento su un'email forgiata appositamente per ingannarlo - facendogli credere ad esempio che andrà ad acquistare prodotti farmaceutici incredibilmente performanti.
Il secondo approccio prevede invece di "iniettare" codice all'interno di una pagina già esistente, sfruttando le tecniche di Cross-Site Scripting o SQL Injection o, più raramente, violando il server che ospita l'applicazione Web. Successivamente, quando l'utente visiterà la pagina - che ricordiamo appartenere a un sito fidato, ma compromesso - si ritroverà con un malware che tenterà di fare breccia nel suo sistema attraverso lo sfruttamento di vulnerabilità note nei più diffusi software utilizzati durante la navigazione Web (browser, lettori di file pdf, Flash player, ...) o nello stesso sistema operativo. Quindi, ad esempio, mentre la vittima sta semplicemente leggendo una notizia, nella stessa pagina Web è presente un iframe o uno script che lancia sulla sua macchina, in automatico e quindi senza bisogno di interazione o conferme (drive-by download), del codice che, se trova un applicativo vulnerabile, infetterà la macchina stessa in modo del tutto trasparente.
Per questo motivo, mantenere aggiornati i software e il sistema operativo, installando prontamente le ultime patch, è oggi tanto importante quanto l'aggiornamento dell'antivirus lo era a inizio millennio. Senza una vulnerabilità non patchata su cui appoggiarsi, una propagazione via drive-by download è resa molto più difficile.

Le funzionalità
Dopo aver visto alcune delle tecniche usate dai malware più sofisticati per eludere le difese e riuscire a propagarsi, infettando quante più macchine possibile, possiamo chiederci: qual è, ad oggi, lo scopo del codice maligno? Quali sono, cioè, le funzionalità di questi malware?
Gli ambiti in cui lavorano sono essenzialmente due: il furto di credenziali e la costituzione di botnet. Insediare su una macchina un malware in grado di monitorare le attività dell'utente dà la possibilità di ricevere a intervalli regolari i dati rubati, quali account bancari, account email o altro; tali dati vengono depositati in delle cosiddette dropzone, server adibiti a contenere le informazioni sottratte. Le dropzone possono essere molteplici e dinamiche, ovviamente allo scopo di essere il meno tracciabili possibile. Il furto di credenziali può avvenire in vari modi: attraverso l'installazione di keylogger o screen grabber, ossia software in grado di registrare i dati digitati dall'utente o di prendere un'instantanea dello schermo (tecnica utile nel caso i siti bancari utilizzino tecniche anti-keylogger, come le tastiere virtuali); oppure modificando i resolver sulla macchina vittima, e indirizzandola quindi verso siti forgiati appositamente per apparire identici al reale sito Web della banca, ma facenti capo a tutt'altra organizzazione; ancora, mediante il phishing più semplice, attraverso campagne di spam che spingano l'utente ad inserire le proprie credenziali in siti anche in questo caso forgiati sulle sembianze dell'originale ma con un URL diverso, facente quindi capo a un diverso server, ovviamente nocivo. I dati così recuperati possono poi essere rivenduti sul mercato nero (fino a 1000 dollari per un account bancario).
L'installazione di trojan, rootkit e backdoor per la costituzione di un bot consente di ottenere un computer zombie, ossia facente parte di una rete di computer tutti sotto il controllo di agenti esterni all'insaputa dei legittimi proprietari; il bot può scaricare dal C&C server (che, come per le dropzone, è spesso indirizzato in modo da cambiare spesso e risultare difficile da rintracciare) sia degli aggiornamenti, ossia ulteriore codice nocivo, sia dei comandi specifici, in modo tale che il botmaster abbia a disposizione una enorme rete al suo completo servizio. I bot potranno quindi cercare di propagarsi infettando altre macchine, rubare credenziali o essere usati per attacchi DDoS o, più spesso, per campagne di spam... Finalizzate ovviamente all'invio di mail di phishing per il furto di account e l'installazione di altro malware, chiudendo il cerchio. Le botnet possono ovviamente essere utilizzate anche da persone diverse rispetto a chi le ha costituite: possono cioè essere affittate, a tariffa mensile (migliaia di dollari al mese).

Un esempio reale di malware 2.0
Analizziamo ora, per concludere, un caso reale esaminato nei primi mesi del 2009 nei laboratori di Kaspersky Lab: il cosiddetto Bootkit, ritenuto uno dei malware più evoluti al tempo attuale.
La propagazione avviene con l'iniezione di codice su pagine Web esterne; in questo caso non si tratta di script o iframe (metodi più efficienti ma anche più tracciabili), ma di una sostituzione del parametro href dei link. Per l'infezione è richiesto quindi di cliccare su uno dei link modificati: in questo modo inizia una procedura che registra alcune informazioni sull'utente (referrer, indirizzo IP, nomi e versioni dei plugin installati sul browser) e le utilizza per creare un ID unico e per scaricare un exploit personalizzato; ad esempio, se viene rilevato un plug-in per i pdf non aggiornato, viene predisposto un exploit per sfruttarne la vulnerabilità. L'exploit viene eseguito, senza ovviamente che l'utente possa accorgersene, e scarica un trojan dropper sulla macchina della vittima, dopodiché reindirizza l'utente sulla reale pagina che voleva visitare: un procedimento del tutto trasparente che avviene nel tempo di un click su un link e dell'attesa di apertura della pagina richiesta. A questo punto, il trojan dropper entra in esecuzione e rilascia l'installer del bootkit sulla macchina, contrassegnandolo con l'ID personalizzato dell'utente. L'installer viene avviato e installa su disco il payload del malware, dopodichè viene lanciato un reboot: al riavvio, il bootkit entra in esecuzione con un hook, nasconde la propria presenza e inizia a funzionare come bot. Il C&C server della botnet risulta variabile: il suo nome di dominio può cambiare anche più volte in un solo giorno, rendendolo difficile da tracciare. Il bot contiene un algoritmo per la generazione di nomi di dominio, in modo tale da poter tentare la connessione diverse volte verso nuovi C&C server se l'indirizzo attuale venisse rifiutato.
Una volta stabilita una connessione con un corretto C&C server, il bot può scaricare moduli aggiuntivi e iniziare a inviare informazioni sull'utente infetto. In particolare, il modulo aggiuntivo scaricato (una DLL) viene caricato unicamente in memoria e non viene mai tenuto su disco, rendendolo non rilevabile dalle scansioni antivirus su filesystem; ovviamente al riavvio della macchina sarà cancellato dalla memoria centrale, ma prontamente riscaricato dalla Rete e ricaricato in memoria. Questo modulo si occupa di collezionare dati, come password presenti nel sistema e traffico di rete diretto verso i siti di banking, e inviarlo prontamente al server dell'attaccante, ma contiene anche più o meno tutte le funzionalità viste in precedenza nell'articolo: keylogging, redirect verso siti di phishing, e così via.
Abbiamo quindi visto un esempio reale e pratico del funzionamento di un sofisticato malware moderno, in grado di infettare le vittime in modo silenzioso e personalizzato, e capace di nascondere la propria presenza sul sistema vittima, pur continuando a comunicare con un sistema centralizzato ma in costante movimento, cui invia dati confidenziali di ogni tipo appartenenti all'utente vittima, che rimane all'oscuro di tutto.

Come difendersi?
È evidente che i tempi delle semplici scansioni basate su firme sono finiti, e che per difendersi dalle minacce informatiche quest'oggi sia necessario qualche strumento in più. Posto che il buon senso e una conoscenza di base sono sempre fondamentali, almeno per distinguere una form fasulla da una genuina, tecnicamente parlando, alla luce di quanto visto in questo articolo, cosa si può fare?
Installare sempre patch e aggiornamenti, una procedura magari tediosa ma che, come abbiamo visto, assicura robustezza contro i drive-by download, una delle minacce più serie visto che la procedura di infezione è automatizzata anzichè passare per la conferma dell'utente; utilizzare un firewall che filtri le connessioni in ingresso e quelle in uscita, per rilevare e bloccare eventuali tentativi di connessione da parte di bot insediatisi sulla macchina; ricorrere a suite di sicurezza sempre aggiornate e il più possibile complete, che integrino cioè non solo la verifica basata su firme, ma anche controlli proattivi basati su euristiche, ricerca delle vulnerabilità, unpacking, anti-rootkit, blacklist di siti malevoli e così via; alcuni esempi sono le soluzioni "Internet Security" di Kaspersky, Norton, AVG, Panda, F-Secure, McAfee, Avira, Nod32 e altri ancora. Nel caso voleste sperimentare l'analisi comportamentale, da affiancare ai tradizionali antivirus, potreste provare prodotti come NovaShield o ThreatFire. Per i più smaliziati, l'uso di ambienti sandbox, come macchine virtuali, per l'esecuzione delle attività più a rischio può essere un'utile aggiunta ai propri layer di sicurezza.

Fonte: HTML.IT - Autore: Giovanni Tugnolo