Sophos Threat Report 2010 Wpit

Rapporto sulla sicurezza: 2010
Sommario
Social network ............................................................................................. 2 Perdita di dati e cifratura ............................................................................... 7 Minacce in Internet ...................................................................................... 9 Minacce via e-mail ..................................................................................... 13 Spam ....................................................................................................... 15 Tendenze del malware ................................................................................ 18 Windows 7................................................................................................ 21 Apple Mac................................................................................................. 23 Dispositivi mobili........................................................................................ 25 Crimini informatici...................................................................................... 28 Guerra e terrore informatici .......................................................................... 31 Il futuro: cosa ci riserva il 2010? .................................................................. 33

Durante la prima decade del 21 secolo abbiamo assistito a notevoli mutamenti nella natura dei crimini informatici. Mentre in passato gli hacker erano rappresentati da adolescenti che diffondevano graffiti per divertirsi e acquisire notoriet, oggi si tratta di gruppi organizzati di persone animati da motivazioni finanziarie. In passato, gli scrittori di virus avevano come obiettivo la visualizzazione di immagini offensive ed erano fieri del malware che scrivevano. Oggi, invece, gli hacker prendono di mira le aziende per trafugare propriet intellettuale, creare reti complesse di PC violati e rubare le identit degli utenti. Nel corso del 2009, Facebook, Twitter e altri siti di social network hanno consolidato la loro posizione al centro delle attivit quotidiane svolte in Internet da molti utenti e tali siti sono diventati i principali bersagli degli hacker. Pertanto, i social network figurano ormai tra i principali responsabili dei casi di perdita di dati e furto di identit. Inoltre, l'anno scorso sono state lanciate nuove piattaforme informatiche, le quali poco dopo sono cadute vittime dei criminali informatici. Ci che era stato perduto fu ritrovato nel 2009, in quanto le vecchie tecniche di pirateria informatica trovarono nuova linfa per penetrare nei sistemi di protezione dei dati. Con una maggiore comprensione dei problemi del passato, forse gli utenti di Internet riusciranno a plasmare un futuro migliore e pi sicuro.
Aggiungimi
Social network
Il campo di battaglia gi pronto

Nel 2004, quando sulla scena inizi ad affacciarsi il Web 2.0, molti ritennero che si trattasse di un fenomeno fastidioso e fonte di perdite di tempo. Allo stesso modo, le organizzazioni erano preoccupate dalle potenziali perdite di tempo durante l'orario di lavoro, in quanto i dipendenti potevano accedere ai siti Internet ed esaurire la banda larga o, ancora peggio, far uscire inavvertitamente dall'azienda informazioni riservate. Tuttavia, nel 2009, questi atteggiamenti vennero considerati ormai superati, in quanto le aziende iniziarono ad adottare su vasta scala le tecniche dei social network. Ora, per le aziende, prassi comune utilizzare i blog per divulgare e condividere informazioni. I forum rappresentano una forma di supporto tecnico grazie alla quale professionisti possono risolvere problemi collaborando con amici e colleghi. Nel frattempo, molte aziende hanno volto lo sguardo a Facebook e MySpace in quanto questi siti sono ottimi per entrare in contatto con i clienti e diffondere tra il pubblico le ultime notizie sull'azienda e i prodotti. Secondo Cisco, quasi il 2% di tutti i clic del mouse effettuati nel 2009 tramite le 4.000 web security appliance di Cisco hanno interessato i siti di social network, 1 di cui l'1,35% solo su Facebook . Le aziende commetterebbero un grave errore se ignorassero un livello di attivit talmente elevato e una risorsa dalle enormi potenzialit economiche.
4%
17%
Facebook MySpace
18%
61%
Twitter LinkedIn
Quale social network ritieni che rappresenti il rischio pi grande per la sicurezza?
Le preoccupazioni delle aziende

Per molte aziende, l'idea di controllare i social network imponendo semplicemente dei rigidi controlli sui siti che li ospitano decisamente poco pratica. Servono controlli pi raffinati e granulari, quali il monitoraggio della perdita di dati, che consente di cercare tipi di informazioni specifici che passano all'esterno dei confini aziendali tramite vettori non approvati e criteri di utilizzo rigidamente configurabili in grado di limitare l'uso illegittimo di determinati siti e tecnologie e garantire al tempo stesso l'accesso a coloro che ne hanno bisogno. Secondo una ricerca Sophos svolta nel dicembre 2009, il 60% dei partecipanti ritiene che Facebook costituisca il rischio pi grande per la sicurezza dei siti di social network, molto pi di MySpace, Twitter e LinkedIn. Anche se la produttivit continua a essere il motivo principale per il quale le aziende bloccano l'accesso ai social network (un terzo delle aziende afferma che sia questo il motivo per cui bloccano Facebook), dall'aprile 2009 si verificato un notevole aumento del numero di aziende che ritengono che il malware Incremento delle segnalazioni di attacchi spam, phishing e malware nei social network
33.4% Spam reports 57% 21% 30% 21.2% Malware Apr 2009 Dec 2009 36%
sia la principale fonte di preoccupazione relativamente a tali siti. Sembra che le preoccupazioni suscitate dal malware siano decisamente fondate, visto che nel 2009 c' stato un aumento del 70% della percentuale di aziende che hanno segnalato attacchi di spam e malware avvenuti tramite i social network. Pi di met delle aziende che hanno partecipato all'indagine afferma di aver ricevuto spam tramite i siti di social network e oltre un terzo sostiene di aver ricevuto malware. Inoltre, oltre il 72% delle aziende ritiene che il comportamento dei dipendenti nei siti di social network potrebbe compromettere la sicurezza delle attivit aziendali. Nello studio precedente, questa percentuale di aziende era pari al 66%. Il numero di aziende prese di mira dagli attacchi di spam, phishing e malware tramite i social network aumentato notevolmente e lo spam ha evidenziato l'aumento pi elevato, passando dal 33,4% in aprile al 57% in dicembre. Questi dati evidenziano un incremento dello sfruttamento di tali siti da parte degli spammer2.
Aziende che indicano il malware come loro principale fonte di preoccupazione nei social network
9.3% 14% 6.9% Twitter 10% 8.3% Facebook 11% 6.5% 8% Apr 2009 Dec 2009
3
MySpace
Phishing
LinkedIn
Koobface
Chi si preoccupa dei pericoli dei siti di social network fa bene a farlo, in quanto molti malware, spam e data harvester sfruttano i punti deboli degli utenti sprovveduti. In particolare, Koobface, la ben nota famiglia di worm, nel 2009 divenne pi variegata e sofisticata. La sofisticatezza di Koobface tale da essere in grado di registrare un account Facebook, attivarlo mediante conferma di un'e-mail inviata a un indirizzo Gmail, offrire aiuto ai visitatori del sito scelti a caso, consentire l'ingresso casuale nei gruppi di Facebook e pubblicare messaggi per gli amici di Facebook (spesso, con il pretesto di contenere collegamenti a video sexy pieni di malware). Inoltre, include codice che distoglie l'attenzione degli utenti, limitando il numero di nuovi amici Facebook che si possono fare giornalmente. I vettori di attacchi di Koobface sono aumentati e hanno preso di mira un'ampia gamma di siti, oltre a quello che ha ispirato il suo nome (ossia, Facebook). I siti di social network, tra cui MySpace e Bebo, furono aggiunti all'arsenale del worm nel 2008; Tagged e Friendster si aggiunsero all'elenco all'inizio del 2009 e, di recente, il codice stato esteso per includere Twitter nella lista sempre pi nutrita di obiettivi degli attacchi.3 Probabilmente assisteremo ad un numero sempre maggiore di malware che seguiranno le orme di Koobface, creando botnet del Web 2.0 con l'obiettivo di rubare dati, visualizzare falsi avvisi antivirus e far guadagnare soldi alle bande di hacker. I social network sono diventati piattaforme importantissime e redditizie per la distribuzione di malware.
4
I worm Mikeyy Mooney

Nell'aprile del 2009, il worm StalkDaily impervers su Twitter con messaggi pieni di spam e si diffuse da un tweeter all'altro.4 Il worm risult essere opera del diciassettenne Mikeyy Mooney,5 il cui nome comparve nella seconda ondata di attacchi, qualche ora dopo la prima manifestazione di StalkDaily.6 Poco tempo dopo, un altro worm creato sfruttando le tecniche di scripting multisito inizi a diffondersi facendo riferimento a Mikeyy.7 Altri attacchi,8 in aprile, provocarono ulteriori disagi agli utenti di Twitter.9 La velocit alla quale questi attacchi si sono manifestati e diffusi costituisce ormai un grande problema, che dovrebbe suscitare l'attenzione delle grandi aziende del Web 2.0. Tuttavia, molti devono comunque controllare attentamente i loro sistemi e le loro procedure per determinare come proteggere i propri utenti contro queste minacce. La maggior parte dei problemi pu essere risolta facilmente migliorando i criteri di progettazione, programmazione e utilizzo dei dati e, cosa ancor pi importante, reagendo tempestivamente ai problemi emergenti.
Un problema localizzato
Anche se i principali siti di social network sembrano rappresentare gran parte del problema, in realt non sono altro che la punta dell'iceberg costituita dal Web 2.0. Numerosi Paesi, regioni, gruppi e ambienti culturali dispongono di propri siti di social network. Questi siti localizzati, come la rete cinese Renren, non soltanto sono vulnerabili agli attacchi, ma favoriscono anche le perdite di tempo all'interno delle aziende e diventano anche dei vettori per l'infiltrazione di dati. Si sono verificati degli attacchi di malware contro siti locali, come ad esempio il worm W32/PinkRen, che prese di mira la rete Renren di 40 milioni di utenti nel mese di agosto 2009, nascondendosi all'interno di un video di una famosa canzone dei Pink Floyd, Wish you were here.10 Alcuni di questi siti sono decisamente pi piccoli di quelli delle grandi multinazionali e di conseguenza le difficolt nel risolvere problemi, correggere le vulnerabilit ed eseguire adeguati controlli a tutela della riservatezza e della sicurezza risultano ancora maggiori. W32/PinkRen
Vettori emergenti degli attacchi contro i social network

Il numero di utenti e aziende che usufruiscono dei social network sempre maggiore. I criminali informatici se ne sono accorti e stanno sfruttando la situazione per trarne un guadagno. Non sono soltanto le conseguenze negative pi note, quali le perdite di tempo e il consumo di banda larga a carico delle aziende a rappresentare un serio problema per i social network e i loro utenti, ma anche tutti quei problemi derivanti dal furto di dati. Lo spam ormai presente in tutti i siti di social network e le tecniche di ingegneria sociale, che consistono
Lo presenza di spam ormai comune nei siti di social network e le tecniche di ingegneria sociale sono in aumento
nell'indurre gli utenti a rendere noti dati di fondamentale importanza o a convincerli a visitare siti Web pericolosi, sono in continuo aumento. Le credenziali di accesso ai social network sono diventate preziose quanto gli indirizzi e-mail e contribuiscono alla divulgazione dello spam, in quanto le e-mail che le contengono hanno maggiori possibilit di venire aperte e di essere considerate affidabili rispetto ai messaggi standard. In molti casi, la distribuzione di spam e malware strettamente correlata.11
Impostazioni di Facebook per la privacy
Le informazioni pubblicate in tali siti possono costituire una risorsa preziosa per alcuni in quanto gli attacchi di phishing mirati utilizzano le informazioni convalidate raccolte da Internet e i controlli di identit utilizzati dai siti legittimi. Il pericolo insito nel mettere online troppi dati personali, in particolare nei siti di social network, risult evidente quando la moglie del capo dell'MI6 (i servizi segreti britannici) pubblic nella sua pagina di Facebook delle informazioni estremamente sensibili in merito alla sua residenza e ai suoi amici.12
La moglie del capo dell'MI6 (i servizi segreti britannici) pubblic nella sua pagina di Facebook delle informazioni estremamente sensibili in merito alla sua residenza e ai suoi amici
Come ridurre i rischi

Il caso degli hacker che in novembre violarono le misure di sicurezza e trafugarono i dati da Twitter13 dimostra che i siti di social network sono tanto vulnerabili quanto un qualsiasi altro programma o risorsa Internet. Naturalmente, il problema della perdita di dati a causa dei social network aggravato dalla volont degli utenti di condividere troppe informazioni con troppe persone. Molti siti hanno preso coscienza dei pericoli che possono rappresentare e Facebook in dicembre ha introdotto una nuova e importante serie di impostazioni per la tutela della riservatezza. Purtroppo, nel rendere nota la notizia, Facebook ha consigliato agli utenti di adottare tutta una serie di nuove impostazioni di riservatezza che prevedono la divulgazione dei dati personali a chiunque sia presente in Internet, per sempre.14 Nel frattempo, bit.ly, il servizio di accorciamento di URL preferito di Twitter, ha tentato di difendersi dai tentativi di sfruttamento di tali servizi al fine di offuscare i link dannosi e ha iniziato a collaborare con Sophos e altre aziende fornitrici di prodotti per la sicurezza per proteggere i propri link.15 Il successo dei siti di social network non accenna a diminuire e le aziende non possono pi fare finta di nulla. Ormai essi costituiscono una parte vitale di numerose strategie di marketing e vendita. Pertanto, non possono essere bloccati, ma non possono nemmeno essere autorizzati a consumare le risorse aziendali, n a fungere da vettori per la perdita di dati o la penetrazione di malware. Per potersi muovere con flessibilit in un mondo collegato ai social network, le aziende non possono prescindere da un approccio unificato che fornisca funzionalit di controllo dell'accesso razionali e granulari, cifratura e monitoraggio dei dati sicuri e protezione completa contro il malware.
6
Perdita di dati e cifratura

Un'importante fuga di dati in grado di mandare in fallimento un'azienda e coprire di ridicolo un'istituzione
Le fughe di dati provocano il fallimento delle aziende

Ora pi che mai, i dati costituiscono la principale risorsa delle aziende. A causa della sofisticatezza delle tecniche adottate dalle bande di criminali informatici, i dati bancari sono diventati tanto preziosi quanto il denaro stesso. La reputazione dell'azienda ha la stessa importanza dei processi, delle precauzioni e delle soluzioni di protezione adottate per proteggere l'azienda e i dati dei clienti. Un'importante fuga di dati in grado di mandare in fallimento un'azienda e coprire di ridicolo un'istituzione. Grandi multinazionali, come ad esempio TJX, hanno rischiato di perdere la loro credibilit, nonch la fiducia dei clienti, in seguito alla divulgazione di un gran numero di dati dei clienti.16 Nel 2009, uno dei casi pi clamorosi di fuga di dati si rivelato anche uno dei pi imbarazzanti. In ottobre, un disco rigido contenente una parte del database di 76 milioni di reduci dell'esercito degli Stati Uniti fu mandato in riparazione anche se conteneva dati ancora intatti e accessibili.17 Nel 2009, negli Stati Uniti, si registrarono altre fughe di dati da universit, banche e societ di credito, ospedali e istituti sanitari, enti pubblici e amministrazioni locali, ditte e addirittura aziende produttrici di software per la sicurezza.18 Negli ultimi anni, nel Regno Unito, il governo e gli enti nazionali, compreso il servizio sanitario nazionale, l'esercito e i
servizi segreti MI5, hanno subito tutta una serie di fughe di dati che avrebbero potuto avere gravi conseguenze. Nel 2009, molte aziende a livello globale hanno dovuto affrontare problemi simili: Maggio: gli hacker violarono un sito Web del governo della Virginia, trafugando i dati personali di quasi 8,3 milioni di pazienti e minacciando di venderli al miglior offerente.19 Maggio: ci fu una fuga di informazioni relative agli ufficiali senior della Royal Air Force, con conseguenti timori di ricatto. 20 Novembre: alcuni dipendenti malintenzionati della societ di telefonia mobile T-Mobile comunicarono i dati di migliaia di clienti alle aziende concorrenti.21 Novembre: gli hacker divulgarono le e-mail dell'Unit di ricerca sul clima della University of East Anglia.22 Per contrastare questo crescente problema, l'Information Commissioners Office (ICO) del Regno Unito ha proposto di punire le aziende e le organizzazioni che dovessero dare prova di negligenza nei casi in cui venga concesso l'accesso a dati personali sensibili a persone non autorizzate.23 In tutto il mondo, le normative relative alla compliance e alla divulgazione dei dati personali stanno diventando sempre pi numerose e restrittive, con la conseguenza che le aziende devono sostenere costi sempre crescenti per garantire la compliance ai criteri di protezione dei dati.24
7
Le maggiori perdite di dati del decennio

Gennaio 2000: 300.000 numeri di carte di credito vengono rubati alla CD Universe, azienda venditrice di CD musicali online. La notizia viene diffusa in Internet in seguito al rifiuto delle richieste di riscatto.25 Novembre 2000: Travelocity divulga i dati relativi a 51.000 clienti sul server Internet di un'azienda.26 Marzo 2001: Bibliofind.com, un sito Web di servizi di propriet di Amazon, viene violato e vengono trafugati i dati di 98.000 clienti.27 Aprile 2001: gli hacker annunciano il furto di dati personali di 46.000 clienti a danno della ADDR.com, un'azienda americana di Web hosting.28 Febbraio 2002: un ex dipendente della societ di servizi finanziari Prudential Insurance Company viene accusato del furto e del tentativo di vendita online di un database di 60.000 clienti.29 Marzo 2003: 5 milioni di numeri di carte di credito e date di scadenza vengono rubati a Data Processors International. Si sospetta un attacco dall'interno dell'azienda. Giugno 2004: 92 milioni di indirizzi e-mail di abbonati ad AOL vengono venduti agli spammer.30 Giugno 2005: 40 milioni di numeri di carte di credito vengono rubati a una societ di elaborazione di dati di carte di credito. Maggio 2006: gli hacker rubano i dati di 26,5 milioni di reduci dell'esercito degli Stati uniti. Giugno 2006: la societ di telecomunicazioni giapponese KDDI ammette di aver subito il furto dei dati di 4 milioni di clienti.31 Gennaio 2007: TJX Companies Inc., il gruppo di multinazionali comprendenti T.J. Maxx, T.K. Maxx, Marshalls e Winners, perde almeno 45 milioni di dati relativi ad altrettante carte di credito in seguito alla violazione dei propri sistemi informatici da parte degli hacker. 32 Novembre 2007: l'HM Revenue and Customs (HMRC) - l'agenzia delle entrate del Regno Unito - perde i dati dettagliati di 25 milioni di contribuenti.33 Marzo 2008: 12,5 milioni di archivi memorizzati su nastri di backup vengono perduti dalla societ di servizi finanziari BNY Mellon. Settembre 2008: due CD contenenti i dati personali di 11 milioni di persone vengono rinvenuti in una discarica di Seoul. I dati appartenevano alla raffineria petrolifera GS Caltex. Ottobre 2008: T-Mobile (Germania) perde un disco rigido contenente i dati personali di 17 milioni di clienti. Gennaio 2009: le reti di Heartland Payment Systems vengono violate, con conseguente fuga dei dati di 130.000.000 utenti di carte di credito.34 Maggio 2009: le informazioni segrete relative al Joint Strike Fighter e all'elicottero personale del Presidente USA Obama vengono trafugate mediante le reti P2P . Ottobre 2009: sui dischi rigidi inviati presso un centro di riparazione vengono rinvenuti i dati personali di 76 milioni di reduci dell'esercito degli Stati Uniti.
Impedire la perdita di dati

La maggior parte di questi incidenti, se non tutti, avrebbe potuto essere evitata se le aziende e gli enti coinvolti avessero implementato delle procedure di gestione dei dati pi rigorose. La procedura pi importante per bloccare la fuga di dati consiste nella cifratura di dati sensibili archiviati nei laptop e nei dispositivi di memorizzazione rimovibili. Se i dati vengono cifrati con una password, non possono venire decifrati n utilizzati, a meno che la password non sia conosciuta. Ci significa che anche se tutte le altre misure di sicurezza non riescono a impedire che un hacker acceda ai dati pi sensibili, egli non riuscir a leggerle e a comprometterne la riservatezza. La seconda procedura consiste nel controllare il modo in cui gli utenti trattano le informazioni. opportuno non adottare comportamenti a rischio, come ad esempio il trasferimento di dati non cifrati su dispositivi USB e via e-mail. Le organizzazioni dovrebbero estendere la loro infrastruttura anti-malware al fine di:
Proteggere i dati in movimento e quelli in uso Garantire un funzionamento efficace Assicurarsi che vengano rispettate le norme vigenti
La procedura pi importante per bloccare la fuga di dati consiste nella cifratura di dati sensibili archiviati nei laptop e nei dispositivi di memorizzazione rimovibili.
Un'unit disco contenente dati perduti
Minacce in Internet
Internet resta il principale veicolo di malware.

Il metodo tradizionale con il quale i siti malevoli attiravano le loro vittime ignare con la promessa di contenuti rari e allettanti continua ad avere successo, ma ora subisce la concorrenza dei siti legittimi violati dai criminali informatici e utilizzati per ospitare le loro creazioni. Tali siti sono particolarmente pericolosi, in quanto i visitatori si sentono rassicurati dal fatto che essi siano considerati "affidabili" e pertanto tendono ad abbassare la guardia e a credere alle affermazioni di messaggi popup e materiali pubblicitari. I siti legittimi violati fecero parlare di s nel 2009, in seguito all'iniezione di codice SQL e alle inserzioni pubblicitarie malevole (malvertising) introdotte in siti grandi e professionali. Tra i siti Web che caddero vittima degli attacchi di malvertising c'erano il New York Times35 e il sito della societ high-tech Gizmodo.36 Nel frattempo, il sito Web della principale catena di fish-and-chip del Regno Unito, Harry Ramsdens, venne violato e inizi a distribuire pericolosi iFrames.37 Anche i fan di Van Morrison dovettero correre dei rischi quando gli hacker introdussero pericolosi iFrames nella pagine del suo sito,38 che dirottavano i visitatori verso dei siti russi.39
I visitatori si sentono rassicurati dai siti considerati "affidabili" e pertanto tendono ad abbassare la guardia e a credere alle affermazioni di messaggi popup e i materiali pubblicitari
Antivirus fasulli e malware SEO creano problemi

L'anno scorso, molti siti Web di ambasciate e consolati sono stati presi di mira dagli hacker, mettendo spesso a repentaglio la sicurezza dei loro visitatori. Tra i siti violati figurano quello dell'ambasciata indiana in Spagna,40 i siti dell'Azerbaigian in Pakistan e Ungheria,41 l'ambasciata d'Etiopia a Washington DC,42 il Consolato Generale degli USA a San Pietroburgo43 e l'ambasciata della Repubblica del Sudan a Londra.44 La maggior parte di questi siti stata utilizzata per la distribuzione di falso software antivirus. Nel frattempo, la fuga o il furto di credenziali di login FTP ha consentito agli hacker di prendere il controllo di un gran numero di siti Web di aziende a conduzione familiare. Il malware Gumblar fece capolino la prima volta nel maggio del 2009, provocando un notevole aumento dei casi di rilevamento di siti malevoli,45 e continu a evolversi e a crescere a ondate durante tutto l'anno. L'attacco, come molti altri, consiste nel penetrare nei siti grazie a dati FTP rubati e nell'inserire iFrames e script PHP malevoli che inducono gli utenti a scaricare altro malware.46
10
Molti di questi siti violati, come ad esempio quelli creati con intenti esplicitamente malevoli, attraggono i visitatori grazie a tecniche di ottimizzazione dei motori di ricerca (SEO) studiate per inserire i link in cima all'elenco dei risultati di ricerca, approfittando spesso di notizie di attualit, mode del momento e grandi eventi. Gli Stati Uniti restano il principale terreno di diffusione delle pagine Web malevole. Anche se Cina e Russia sono ancora concorrenti temibili, la quota cinese calata notevolmente, passando dal 27,7% del 2008 all'11,2% del 2009. Questi dati confermano la tendenza del 2008, quando la quota della Cina era gi notevolmente diminuita rispetto al 51,4% fatto registrare nel 2007. Il resto delle pagine malevoli sparso in tutto il mondo, con il Per che ha risalito molte posizioni, fino al quarto posto, con il 3,7%.
United States 37.4% Russia 12.8% China 11.2% Peru 3.7% Germany 2.6% South Korea 2.4% Poland 2.1% Thailand 2.0% Turkey 1.9% United Kingdom 1.6% Other 22.3%
I primi 10 Paesi che ospitano malware sul Web
11
Cosa significa SEO e che uso ne fanno i malintenzionati?
Ricerca
SEO l'acronimo di Search Engine Optimization (ottimizzazione dei motori di ricerca), una tecnica di marketing standard utilizzata da molte aziende legittime per meglio promuovere la loro presenza in Internet. La SEO comporta l'attenta selezione di parole chiave e argomenti in modo da ottenere la visualizzazione di una pagina quando gli utenti immettono i termini da cercare e la manipolazione dei link tra le risorse per aumentare la popolarit e la classificazione di una pagina nei risultati della ricerca, ordinati in base alle posizioni dei link. I criminali informatici si servono della SEO per prendere di mira gli argomenti di attualit, come ad esempio gli eventi di straordinaria importanza o i giorni festivi. I siti malevoli fanno riferimento ai termini cercati e sono ottimizzati per attirare il traffico generato dai motori di ricerca. Degli strumenti personalizzati vengono messi in vendita nei forum discreti dei criminali informatici per generare contenuti che sembrano essere originali e per collegare le pagine tra i domini in modo da avere la massima visibilit. I visitatori delle pagine subiscono attacchi malware che prendono di mira le vulnerabilit del browser, truffe scareware e altro ancora.
Riduzione dei rischi in Internet

Le minacce di Internet costituiscono un grave problema per le aziende, considerato che un numero sempre crescente di dipendenti ha bisogno di accedere a Internet per svolgere il proprio lavoro. L'approccio del perimetro chiuso, che consiste nel limitare la navigazione a un numero ristretto di siti sicuri e conosciuti, fornisce una flessibilit decisamente insufficiente per la maggior parte degli utenti e di fatto ormai applicabile soltanto ai regimi di controllo pi restrittivi dell'attivit in Internet da parte dei minorenni. Per ridurre i rischi, l'utilizzo del Web deve essere monitorato mediante tecnologie di protezione avanzate, in grado di rilevare malware e siti violati e di reagire rapidamente alle minacce emergenti che attaccano domini e URL. Coloro che sono tentati di raggirare le misure di protezione
dovrebbero acquisire consapevolezza del suo valore e dovrebbe essere loro impedito di accedere a proxy e altri sistemi di elusione delle misure di sicurezza. Nonostante l'educazione del cliente alle buone pratiche di sicurezza in Internet, ci saranno sempre degli utenti che eluderanno i filtri. In questo scenario, l'accesso ai proxy dovrebbe essere monitorato e controllato attentamente, per evitare che gli utenti visitino siti malevoli o impropri. Internet pu essere un luogo pericoloso. Tuttavia, prestando la dovuta attenzione al momento della scelta e dell'implementazione delle tecnologie di sicurezza, gli utenti potranno accedere liberamente a tutte le risorse necessarie per essere produttivi e nel contempo godere della protezione contro il crescente pericolo rappresentato da siti malevoli e violati.
12
Minacce via e-mail
Il malware e-mail tutt'altro che defunto

Anche se il Web ha sorpassato da tempo le e-mail come principale vettore di distribuzione del malware, la diffusione delle minacce attraverso gli allegati e-mail e i link incorporati non si mai arrestata ed entrambe hanno ricominciato a crescere nel corso del 2009. Gli attacchi del malware e-mail tradizionalmente attiravano gli utenti grazie ad argomenti interessanti e stimolanti, per poi mettere a disposizione dei link incorporati o dei file allegati grazie ai quali approfondire gli argomenti. Inevitabilmente, tali link conducevano a siti di diffusione del malware tramite exploit, mentre gli allegati contenevano Trojan o sfruttavano le vulnerabilit di Office o dei programmi di visualizzazione di file PDF per eseguire codice dannoso. La famiglia di malware WaledPak dominava la prima met del 2009. Si manifest la prima volta nel dicembre 2008, sotto forma di campagna spam che sfruttava l'entusiasmo suscitato dall'elezione di Obama alla presidenza degli Stati Uniti d'America.
Una valanga di e-mail che all'apparenza fornivano notizie sul Presidente indusse ignari utenti a visitare i siti contenenti malware. Era fine dicembre 2008 e la prima ondata di attacchi ebbe inizio subito dopo la chiusura dei seggi elettorali. Una sola campagna dedicata all'elezione di Barack Obama fu responsabile del 60% del totale di e-mail di spam segnalate nel giro di un'ora.47
La diffusione delle minacce attraverso gli allegati di posta elettronica e i collegamenti incorporati non si mai fermata ed entrambi i fenomeni sono in crescita dal 2009
Nel gennaio 2009, una seconda campagna, programmata per coincidere con l'insediamento di Obama, diffuse la falsa notizia che Obama non aveva accettato la presidenza degli Stati Uniti e fece s che molti lettori subissero gli attacchi del malware Waled.48
13
Campagne simili continuarono per tutti i primi sei mesi del 2009. Gli ultimi casi sfruttavano le paure di attacchi terroristici, mandando in giro notizie false su una bomba fatta esplodere in una citt vicina,49 utilizzando dati Geo-IP per segnalare un bersaglio idoneo vicino al luogo in cui si trovava il destinatario. Alcune delle campagne includevano allegati di malware, rispolverando una tattica che ormai si riteneva superata. Nella seconda met del 2009 si fece strada il malware proveniente dalle e-mail, come Bredolab. Bredo, in genere, si nascondeva e si propagava assumendo la forma di fatture per acquisti inesistenti o spedizioni tramite DHL,50 FedEx51 o UPS52. Alcuni attacchi sfruttavano la popolarit dei siti di social network, inviando allegati compressi che avrebbero dovuto contenere le nuove password di Facebook.53 La diffusione di Bredo determin un notevole aumento del numero totale di e-mail infette. Alcuni vecchi malware, tra cui W32/Mytob, W32/Netsky e W32/MyDoom continuarono a restare tra i 20 pi diffusi grazie anche all'esistenza di sistemi non protetti che continuarono a diffondere e-mail infettate anni e anni dopo l'infezione iniziale. Tuttavia, questi attacchi rappresentavano una percentuale meno significativa del malware degli allegati, rispetto agli anni precedenti.
Troj/Bredo 42.8% Mal/EncPk 8.4% Troj/Agent 7.2% Mal/WaledPak 5.9% Troj/Invo 5.3% Troj/ZipMal 4.8% W32/Netsky 3.7% Mal/FakeVirPk 2.8% Mal/Iframe 1.7% Mal/ZipMal 1.6% Other 15.8%
14
Spam
Lo spam resta un vettore importante della propagazione del malware. Dopo la cessazione dell'attivit della McColo, la pericolosa azienda di hosting, insieme a molte altre societ di servizi che agevolavano lo spam, alla fine del 2008,54 la diffusione dello spam sub un repentino calo del 75%, ma inizi rapidamente a risalire, raggiungendo e superando i livelli precedenti.55
Anche se questi sforzi a livello macro riscuotono un certo successo nell'ostacolare i tentativi degli spammer, rimane di fondamentale importanza privare i controllori delle botnet di spam dei loro computer zombie violati. Tutti possono dare il loro contributo assicurandosi che il computer che utilizzano sia sicuro, evitando in tal modo di aiutare involontariamente i criminali informatici.
Come si diffonde lo spam

La maggior parte dello spam viene inviata tramite le botnet di sistemi violati presso le abitazioni e gli uffici di utenti indifesi e inconsapevoli del loro ruolo per quanto riguarda il problema globale dello spam. Le botnet rappresentano un risorsa preziosa per gli hacker, come anche i servizi di hosting che forniscono ai criminali informatici spazio su server e banda per ospitare i loro siti Web e centri di controllo. E chi controlla le botnet disposto a fare qualsiasi cosa per proteggere le sue risorse. Ad esempio, quando la rete di McColo venne chiusa, la botnet gigante Rustock perse il collegamento con il suo sistema di comando e controllo. Tuttavia, una breve ripresa dei servizi di hosting forn alla rete giusto il tempo sufficiente per essere reindirizzata ai nuovi responsabili del suo controllo, provocando in pochi giorni un enorme aumento del livello di spam.56
Continua a essere di fondamentale importanza privare gli spammer del controllo sui computer zombie violati
Anche la posta elettronica continua a essere un veicolo di trasmissione per gli spammer, nonostante gli sforzi fatti dai provider per evitare che i lori utenti non subiscano gli attacchi delle botnet. Purtroppo, nell'ottobre 2009 fu scoperto un elenco di credenziali di accesso che consentiva di accedere a migliaia di account Hotmail,57 Gmail, Yahoo! Mail, AOL e altri noti servizi di posta elettronica,58 a dimostrazione del fatto che gli spammer continuano a sviluppare sofisticate tecniche di elusione dei controlli.
15
Ancora una volta, gli USA guidano la classifica dei Paesi diffusori di spam, contribuendo al 14,4% del traffico mondiale di spam. L'unico Paese che sfida il predominio americano il Brasile, che passato dalla quinta posizione occupata nel 2008, con appena il 4,4%, alla seconda posizione nel 2009, con oltre l'11% di e-mail spazzatura rilevate a livello mondiale. Scendendo nella classifica, i "soliti sospetti" Cina, Corea del Sud e Turchia restano tra i primi 10, sorpassati dall'India, passata dalla decima posizione occupata nel 2008 alla terza del 2009. Il Regno Unito si mosso decisamente in direzione opposta, scendendo dall'ottava alla sedicesima posizione.
United States 14.4% Brazil 11.3% India 5.3% China 5.1% South Korea 4.9% Turkey 3.8% Poland 3.7% Vietnam 3.7% Russia 3.2% Spain 2.9% Italy 2.4% Argentina 2.3% Other 37%
Analizzando i dati per continente, l'Asia resta al primo posto con il 34,9%, che rappresenta oltre un terzo di tutto lo spam mondiale e l'Europa saldamente al secondo posto con il 25%. Tuttavia, entrambi i continenti hanno perso terreno nei confronti del Sud America, che ha superato il Nord America balzando in terza posizione, passando dal 13,4% del 2008 al 19,5% del 2009. L'Africa ha visto un leggero aumento, a indicare il futuro aggravamento del problema, quando i Paesi in via di sviluppo saranno meglio connessi a Internet.
Asia 34.9% Europe 25% South America 19.5% North America 17.5% Africa 2.1% Oceania 0.6% Other 0.3%
Spam per continente
La sporca dozzina di Paesi che inviano pi spam.
16
Spam di IM e social network

La messaggistica istantanea (IM) diventata un pericoloso vettore di spam e anche lo spam dei social network cresciuto in maniera esponenziale. Gli spammer utilizzano gli account utente violati per inviare messaggi ad altri utenti tramite link di phishing o malware, oppure sfruttando metodi di interazione specifici come Twitter, per indurre gli utenti a seguire i loro link offuscati.59
Gli spammer si servono degli account utente per inviare alle loro vittime dei link contenenti attacchi di phishing e malware
Altre forme di spam

Lo spam dei commenti nei forum e nei blog continua a essere un problema, in quanto numerosi siti vengono manomessi da messaggi automatici e attacchi ben congegnati. Secondo Akismet, azienda fornitrice di filtri antispam, l'83% dei commenti inviati ai blog costituito da spam.60 Anche se i siti che cercano di dare vita a una comunit di partecipanti attivi privilegiano i commenti non moderati, con il tempo questa opzione diventer insostenibile, a meno che non vengano predisposti degli efficaci strumenti di protezione antispam. Nel gennaio 2010, il protocollo Internet IPv6 stato utilizzato dagli spammer per la prima volta come sistema di recapito di e-mail indesiderate.61
17
Tendenze del malware
Malware: una macchina per fare soldi

Il malware continua a essere un affare e di conseguenza i criminali informatici ci investono notevoli risorse.
ad esso, utilizzando le tradizionali tecniche di ingegneria sociale per ingannare gli utenti e indurli a fare clic sull'allegato o sul collegamento. Queste truffe sfruttano l'intera gamma di vettori disponibili per raggiungere nuovi utenti: link inviati tramite e-mail e che promettono vincite alla lotteria,62 malvertising installato surrettiziamente nei siti Web legittimi63 o addirittura a pagamento,64 messaggi diffusi tramite siti di Social network, come Twitter65 o Facebook66 e, sistema ancor pi raffinato, tramite l'utilizzo dell'ottimizzazione dei motori di ricerca. Gli attacchi SEO inducono gli utenti a cercare informazioni su notizie ed eventi di attualit, come ad esempio la morte di una pop star67 o di un attore cinematografico,68 siano essi veri o falsi69 e addirittura su attacchi informatici realmente accaduti.70 Queste minacce malware nascono generalmente in Internet e si diffondono tramite link nelle e-mail o nei risultati alterati dei motori di ricerca. Ormai questo vettore diventato di gran lunga il metodo principale di diffusione del malware.
Una tendenza del malware che mira alla generazione di profitti, nel corso del 2009, stata l'enorme diffusione dello scareware, ovvero di prodotti antivirus fasulli.
Una tendenza del malware che mira alla generazione di profitti, nel corso del 2009, stata l'enorme diffusione dello scareware, ovvero prodotti antivirus fasulli. Tali attacchi sfruttano le paure legate alla sicurezza IT e inducono gli utenti a credere che il loro computer abbia un problema, mentre in realt non cos. Di solito, lo scareware viene installato nei siti Web sotto forma di messaggi pubblicitari o file scaricabili camuffati. Vi sono anche dei casi in cui gli hacker hanno messo in circolazione scareware, o collegamenti
18
Adobe Reader uno dei principali bersagli del malware

Nel 2009, il ritorno degli allegati malevoli vecchia maniera dipeso in parte da un incremento delle vulnerabilit dei formati di documenti, in particolare dell'onnipresente Adobe Reader, software di visualizzazione di documenti PDF. Numerosissimi documenti vengono forniti in formato PDF, e di conseguenza Adobe Reader diventato parte integrante del corredo di software della maggior parte degli utenti. Queste caratteristiche hanno fatto s che Adobe Reader e altri prodotti inclusi nei pacchetti forniti dall'azienda diventassero uno dei principali bersagli degli hacker. Nel tentativo di contrastare gli attacchi al software Reader e Acrobat, Adobe ha iniziato a mettere regolarmente a disposizione degli strumenti di sicurezza proprietari, con aggiornamenti forniti almeno ogni tre mesi.71 L'aggiornamento regolare del software da parte degli utenti ormai diventato un fattore di vitale importanza. In alcuni casi, le operazioni di aggiornamento vengono rese pi difficili dal fatto che altre aziende produttrici di software forniscono, con cognizione di causa o meno, delle vecchie versioni poco sicure di prodotti Adobe insieme al software da esse stesse prodotto.72
probabile che avesse disseminato un payload sconosciuto e misterioso. Quale che fosse il piano originario, l'effetto finale non fu cos devastante come avevano annunciato alcuni mezzi di comunicazione. Il payload pi pericoloso di Conficker, almeno finora, sembra essere stato la diffusione di scareware. Per qualche tempo, distribu anche la famiglia di malware Waledpak. Anche se l'attenzione dei media nei confronti di Conficker cal notevolmente nella seconda met dell'anno e nel frattempo furono implementati dei sistemi di protezione contro le principali vulnerabilit,74 Conficker continua a rappresentare un grave pericolo. Nel primo elenco di statistiche dei casi di rilevamento di malware nei computer desktop pubblicato da Virus Bulletin nel dicembre del 2009, elenco stilato analizzando un'ampia gamma di sistemi, Conficker risult al primo posto assoluto, con oltre il 9% dei rilevamenti totali.75 Uno dei modi in cui Conficker riesce a diffondersi consiste nello sfruttare l'impostazione AutoPlay di Windows per i dispositivi rimovibili, come le unit USB. Nella maggior parte delle versioni di Windows, questa opzione attiva automaticamente i file eseguibili quando riceve l'apposita istruzione da una nuova unit collegata. Con il rapido diffondersi dell'uso di gadget USB, hanno iniziato a sorgere anche i problemi, in quanto questi dispositivi possono fungere da veicoli di distribuzione di malware. Anche se Microsoft ha fatto degli sforzi per ridurre i pericoli in Windows 7,76 gli esperti di sicurezza continuano a invitare gli utenti e gli amministratori a disattivarli, quando possibile. I meccanismi di controllo dei dispositivi sono in grado di proteggere i sistemi contro i dispositivi non autorizzati e pericolosi, nel rispetto dei criteri di utilizzo aziendale.
Il worm Conficker diventa famoso

Eludendo i sistemi di protezione di e-mail e browser, la minaccia che nel 2009 ha fatto maggiormente parlare di s stata il worm Conficker (noto anche con il nome Downadup). Conficker si diffuso direttamente tra le reti sfruttando le vulnerabilit del sistema operativo Windows. Il worm Conficker si manifest la prima volta alla fine del 2008,73 facendosi notare per aver infettato le sue vittime nei primi mesi del 2009. L'attenzione dei media raggiunse il culmine il 1 aprile, quando alcuni annunciarono che quel giorno era
19
Conficker: un anno di attivit

Ottobre 2008: in uno speciale avviso di aggiornamento fondamentale fuori banda, Microsoft fornisce anche i dettagli della vulnerabilit MS08-067 presenti nel servizio server di Windows.77 Gli esperti Sophos prevedono i potenziali pericoli di massicci attacchi di worm, confrontando la vulnerabilit con quella che aveva attivato il worm Sasser.78 Novembre 2008: viene rilevata la prima variante del worm Conficker (noto anche come Downadup) in libert. 79 Gennaio 2009: Conficker riappare con una nuova variante, contenente funzionalit aggiuntive, e si diffonde tramite le unit USB e le reti aperte condivise,80 utilizzando un'ampia gamma di password comuni.81 Secondo un'indagine Sophos, anche se il 53% dei partecipanti d la colpa ai creatori del malware e il 17% ritiene che la responsabilit della diffusione del malware sia della Microsoft, il 30% punta il dito contro gli amministratori di sistema che non hanno messo rapidamente a disposizione le patch con rapidit sufficiente ad arginare il diffondersi delle infezioni. Febbraio 2009: Microsoft mette in palio $250.000 per chi riuscir a scovare i creatori del worm.82 Marzo 2009: si sparge la voce che i sistemi infettati da Conficker si collegheranno tutti alla base il 1 aprile e i83 media iniziano a parlare di una potenziale "Apocalisse in Internet" che dovrebbe scattare in coincidenza del giorno del "Pesce d'aprile". 84 Sophos parla di una sorta di isteria collettiva.85 Aprile 2009: l'interesse dei media si trasforma in ludibrio, quando il 1 aprile trascorre senza che accada nulla di rilevante.86 Gli esperti Sophos pubblicano un'analisi dettagliata della variante pi recente, Conficker-C.87 Secondo i dati forniti da Sophos, nel 10% dei sistemi non stata ancora applicata la patch MS08-067. 88 Maggio 2009: Microsoft rende noti i suoi piani che prevedono di rendere pi sicuro il sistema AutoPlay di Windows 7, per contrastare l'utilizzo dei file autoeseguibili da parte di worm come Conficker.89 Ottobre 2009: parte una campagna di spam sotto le sembianze di un avviso inviato dalla Microsoft in merito al worm Conficker-B. l link contenuti nelle e-mail conducono ad altro malware, ma nel testo contengono il nome Conficker.90 Dicembre 2009: i dati sulla diffusione resi noti da Virus Bulletin, aggregati da numerosi e diversi sistemi di monitoraggio, mostrano che pi di un anno dopo la sua prima comparsa, Conficker resta il malware rilevato pi di frequente dai programmi antivirus per desktop.91
Altri veicoli di malware

Non tutti i casi di malware riscontrati nel 2009 erano completamente malevoli o con finalit di lucro. Alcuni casi verificatisi durante l'anno avevano esclusivamente finalit dimostrative o tendenti a dimostrare l'abilit e le conoscenze dei loro creatori.
tristemente famoso video di YouTube nei sistemi infetti,96 mentre un nuovo worm fu il primo a colpire gli iPhone, cambiando lo sfondo impostato dagli utenti per visualizzare una foto di Astley.97 Questi malware possono apparire innocui e divertenti agli occhi dei loro creatori, ma in realt il malware inoffensivo non esiste. Chi scrive i virus non effettua test e controlli qualit e pertanto il malware pu fare gravi danni, anche se nelle intenzioni degli autori dovrebbe essere del tutto innocuo. Qualsiasi malware in grado di diffondersi, ad esempio, pu esaurire la banda e le risorse della CPU. Come minimo, il costante aumento dei casi di malware fa aumentare il carico di lavoro dei ricercatori addetti alla sicurezza e determina un aumento delle dimensioni dei file degli aggiornamenti destinati agli utenti dei computer. Durante il 2009, la rete globale di laboratori Sophos ha ricevuto circa 50.000 nuovi campioni di malware.
Il malware innocuo non esiste.

Il virus W32/Induc, scoperto in agosto, introdusse un concetto completamente nuovo di infezione, in quanto esso si diffondeva infettando il software compilatore per il linguaggio di programmazione Delphi. Senza nessun altro payload, in apparenza il malware prendeva di mira soltanto gli sviluppatori. 92 93 Tuttavia, fu scoperto un gran numero di file infetti in libert, dopo che esso riusc a penetrare all'interno dei computer di alcune importanti software house94 e quando i CD infettati furono messi in vendita.95 Nel 2009, suscit molto clamore anche il fenomeno del rickrolling, che consisteva nell'indurre i navigatori di Internet a guardare un famoso video del cantante inglese degli anni '80 Rick Astley. Un Trojan scoperto in febbraio apriva l'ormai
Worm dell'iPhone
20
Windows 7
Nuove piattaforme, nuove sfide

Alla fine del 2009, Microsoft ha rilasciato il suo nuovo sistema operativo, Windows 7, collocandosi automaticamente in prima linea per i futuri attacchi malware. Un paio di anni fa, con il rilascio di Windows Vista, Windows fu oggetto di un importante aggiornamento, ma in realt la maggior parte degli utenti ha continuato a utilizzare Windows XP. Rilasciato nel 2001 e principale piattaforma informatica di tutto il decennio, XP resta il principale obiettivo dei criminali informatici, ospita la maggiore parte delle infezioni di malware, contribuisce ad alimentare la potenza di elaborazione delle botnet e diffonde la maggior parte dello spam. Pertanto, il rilascio di Windows 7 come prodotto sostitutivo di Vista e che avrebbe dovuto eliminare i problemi che affliggevano il suo predecessore e l'affermarsi tra la massa di utenti come piattaforma del futuro, offre la grande opportunit di ridurre quelle falle nella sicurezza che avevano portato all'esplosione dei casi di malware e crimini informatici nel decennio precedente.
Le falle nella sicurezza di Windows 7 sono poche, ma significative
21
Funzionalit di sicurezza di Windows 7

Da un rapido sguardo alle caratteristiche di Windows 7 si nota subito come Microsoft abbia prestato una notevole attenzione ai problemi di sicurezza: Il sistema UAC (User Account Control, controllo account utente) stato riprogettato in modo da ridurre il numero di fastidiosi popup visualizzati. Microsoft spera che questo contribuir ad attenuare il riflesso condizionato che induce gli utenti a fare semplicemente clic su qualsiasi cosa abbia il potere di far scomparire i popup dallo schermo. Anche se introduce un evidente miglioramento, l'UAC continua ad affidare a utenti finali inesperti gran parte della responsabilit della sicurezza dei sistemi. La cifratura a livello di disco viene fornita tramite BitLocker. Tuttavia, poich BitLocker disponibile solo nelle piattaforme pi recenti e costose di Windows, sussistono ancora notevoli rischi di perdita di dati. Ormai i firewall costituiscono una barriera di protezione completa e offrono una buona protezione agli utenti domestici privi del senso pratico necessario a gestire da soli il loro firewall. Tuttavia, possibile che gli amministratori dei sistemi di sicurezza delle aziende giudichino un po' troppo ripida la curva di apprendimento di un nuovo sistema di gestione dei gruppi, rispetto ai metodi ormai collaudati e affidabili messi a disposizione da altri produttori e applicabili a reti multipiattaforma. Le falle nella sicurezza di Windows 7 sono poche ma significative. Le modifiche al vecchio Centro sicurezza PC, ora denominato Centro operativo, sono principalmente positive e forniscono una maggiore granularit per le soluzioni di
22
sicurezza, in modo da tenere informato il sistema operativo sul loro stato, e vengono inviati degli avvisi pi dettagliati per tenere informati gli utenti sui problemi che potrebbero dover affrontare. Tuttavia, gli avvisi, in particolare le icone della barra delle applicazioni utilizzate al posto dei vecchi scudi di protezione, potrebbero risultare incomprensibili per molti utenti. Inoltre, non stato risolto l'annoso problema delle estensioni dei file nascoste
Globalmente, Windows 7 fornisce un ambiente pi sicuro, ma c' ancora spazio per ulteriori miglioramenti
per impostazione predefinita. La questione stata fatta presente a Microsoft da molti esperti di sicurezza molti anni fa, insieme alla richiesta di trovare una soluzione. L'impostazione predefinita che prevede la non visualizzazione delle estensioni consente a molti scrittori di malware di "travestire" i loro file eseguibili, adottando estensioni del tipo FriendlyPicture.jpeg.exe, dove l'estensione .exe resta invisibile agli occhi della maggior parte degli utenti. Globalmente, Windows 7 fornisce un ambiente pi sicuro, ma c' ancora spazio per ulteriori miglioramenti Quando uscirono le prime versioni di Windows XP, furono riscontrati problemi molto pi gravi di quelli evidenziatisi in Windows 7 - e molti furono risolti con il Service Pack 2. Resta da vedere se le funzionalit di sicurezza di Windows 7 verranno implementate correttamente con il primo service pack.
Apple Mac
Obiettivi facili, ma significativi

Microsoft non stata l'unica azienda a rilasciare un nuovo sistema operativo nel 2009. Il rilascio di Mac OS X v10.6, o Snow Leopard, implica il tacito riconoscimento da parte di Apple che il malware non interessa la sua piattaforma, visto che la nuova piattaforma munita di una protezione antimalware alquanto rudimentale.98 99 Anche se Snow Leopard impedisce solo l'installazione di una piccola quantit di Trojan conosciuti tramite una ridotta serie di vettori,100 non segnala un cambiamento dellatteggiamento di Apple nei confronti del malware. Tuttavia, un'indagine svolta da Sophos a met del 2009 ha evidenziato come il 69% degli utenti Mac intervistati non utilizzi alcun software antivirus per proteggere i propri sistemi e dati, evidenziando la gravit del problema di attacchi malware e phishing sui computer Mac.
31% Dont use Use 69%
Utilizzi un antivirus per proteggere il tuo Mac?
23
Cronologia del malware Mac nel 2009

Il malware che ha preso di mira i sistemi Mac scoperti durante il 2009 includevano: Gennaio: la famiglia di Trojan OSX/ iWorkS, che si spacciavano da copie pirata di Apple iWork 101 e Adobe Photoshop CS4102 Marzo: OSX/RSPlug-F, che aveva l'aspetto di file piratati/decifrati e,103 utilizzando tecniche di ingegneria sociale, induceva gli utenti a installarli104 Maggio: OSX/Tored, un worm e-mail, responsabile della creazione della prima botnet Mac OS X105 Giugno: dei Trojan si spacciano per componenti ActiveX necessari per visualizzare video pornografici106 Giugno: dei collegamenti inviati tramite Twitter conducevano a un presunto video pornografico con la partecipazione del famoso personaggio televisivo Leighton Meester e che in realt era il Trojan OSX/Jahlav-C107 Luglio: ancora OSX/Jahlav-C, questa volta installato nei siti creati per sfruttare le voci che circolavano sull'esistenza di un video piccante con protagonista la reporter di ESPN TV, Erin Andrews 108 Agosto: torna OSX/Jahlav-C, sotto forma di un programma di installazione del software MacCinema109 Agosto: ancora OSX/Jahlav-C, questa volta nelle vesti di Ashley Greene, protagonista del film Twilight e sotto forma di aggiornamenti QuickTime110 Novembre: OSX/LoseGame-A, uno strano esempio di malware simile al vecchio videogioco Space Invaders che cancella i file dellutente (non esattamente un Trojan in quanto le sue intenzioni sono chiare, anche se rappresenta comunque un pericolo per gli utenti ignari o che non conoscono l'inglese.)111
La diffusione di questo malware affidata in gran parte all'ingegneria sociale e veicola agli utenti Mac il messaggio che essi non possono affidare la propria sicurezza alla sola buona reputazione del loro sistema operativo. Chiunque pu essere ingannato da truffe ben congegnate e l'esecuzione di software antimalware di qualit e aggiornato di gran lunga la migliore opzione. Con il rilascio di Snow Leopard, emersa la necessit di ricorrere a un software correttivo e di aggiornare la protezione contro le vulnerabilit pi recenti. La build di Snow Leopard includeva una versione del software Adobe Flash Player, contenente una vulnerabilit conosciuta, e una vulnerabilit che era stata precedentemente corretta da Adobe.112 Adobe flash
Snow Leopard includeva una versione del software Adobe Flash Player che conteneva una vulnerabilit conosciuta
ADOBE FLASH PLAYE
Poich le vulnerabilit di Adobe Flash vengono prese di mira da attacchi exploit provenienti da siti Web malevoli o violati, possibile che gli utenti siano stati esposti ad attacchi quando ritenevano, a ragione, di essere protetti. Gli utenti Mac, come tutti gli altri, devono restare all'erta e dare la giusta importanza alla sicurezza.
24
Dispositivi mobili
Nel 2009, i dispositivi mobili hanno ampliato ulteriormente la loro quota di mercato, grazie in particolare al successo dell'iPhone di Apple. Anche senza attacchi malware di particolare intensit, i dispositivi mobili sono comunque vulnerabili agli attacchi di ingegneria sociale, mirati a trafugare i dati sensibili: Touchscreen e piccoli schermi si rivelano un vantaggio per i malintenzionati, in quanto limitano la quantit di informazione disponibili per gli utenti, inducendoli ad accettare offerte ingannevoli. I dispositivi mobili, inoltre, vengono smarriti o rubati con facilit. Se non sono adeguatamente protetti e cifrati, gli hacker possono accedere ai dati memorizzati al loro interno.
Alla fine del 2009, Sophos ha svolto un'indagine in cui si chiedeva ai partecipanti se i loro smartphone fossero cifrati. Il 26% dei partecipanti ha risposto che i loro dati erano cifrati, il 50% che non erano protetti contro il furto o lo smarrimento del dispositivo e il 24% non ha saputo rispondere. Questi risultati mostrano che necessario aumentare la consapevolezza sui pericoli legati alla sicurezza dei dispositivi mobili.
24% Not encrypted 50% 26% Encrypted Unsure
Il tuo smartphone cifrato?
25
Malware del BlackBerry

Al momento, i principali marchi di dispositivi mobili sono il BlackBerry e l'iPhone, la cui base utenti sostanzialmente divisa tra utenti aziendali e domestici. Il BlackBerry stato progettato con un occhio di riguardo alla sicurezza e di conseguenza il modello preferito in ambito aziendale. Tuttavia, sono state riscontrate anche delle falle.
Malware dell'iPhone
necessario educare e informare gli utenti, in quanto molti possessori di iPhone e membri della comunit Mac ritengono che la sicurezza incorporata di Apple sia impenetrabile, nonostante le chiare prove del contrario. Gli attacchi potenziali ai dispositivi, generalmente incentrati sullo sfruttamento di software vulnerabile sono gi stati evidenziati dai ricercatori.117
Nel 2009, fu individuata una vulnerabilit nell'elaborazione dei file PDF, la quale potrebbe consentire l'esecuzione del codice sui server che ospitano servizi BlackBerry, qualora gli utenti BlackBerry tentassero di aprire il file PDF malevoli.113 Alcuni mesi dopo emerso un problema simile e anche in questo caso dovette essere risolto dagli sviluppatori BlackBerry della Research In Motion (RIM).114 In luglio, scoppi il caso di una societ degli Emirati Arabi Uniti che riusc a installare spyware nei dispositivi, evidenziando nuovamente il pericolo rappresentato dal codice inviato ai telefoni da parte dei provider di servizi. RIM rispose prontamente mettendo a disposizione dei programmi correttivi per rimuovere il software malevolo, ma ormai la fiducia degli utenti era stata gravemente minata.115 Inoltre, si scoperto che nei dispositivi BlackBerry riescono a insediarsi dei programmi malware in grado di trasferirsi nei sistemi Windows quando il dispositivo collegato alla rete per scaricare aggiornamenti o in ricarica.116
Alcuni utenti di iPhone ritengono che la sicurezza integrata Apple sia impenetrabile, nonostante molti casi che provano il contrario
Gli iPhone standard vengono venduti con un sistema operativo bloccato, che permette l'installazione esclusivamente di software approvato. Tuttavia, non tutti gli utenti accettano di buon grado di limitarsi alle funzionalit di un telefono bloccato e di conseguenza lo sblocco del sistema (noto come "jailbreaking"), diventato una prassi abbastanza comune. I pericoli di questa tendenza sono stati evidenziati nel mese di novembre dall'ampia diffusione del worm Ikee. Successivamente, ulteriori attacchi malevoli contro gli iPhones sottoposti a jailbraking hanno evidenziato i rischi cui vanno incontro gli utenti inesperti che manomettono i propri dispositivi. Apple non smette di avvisare gli utenti che il jailbreaking viola le condizioni contrattuali e compromette la funzionalit del telefono.
26
Cronologia di Ikee e Duh 2009

8 novembre: le prime segnalazioni sul worm Ikee provengono dall'Australia: i telefoni sottoposti a jailbraking con password SSH non modificate visualizzano sullo sfondo un'immagine del cantante Rick Astley.118 9 novembre: in seguito alla segnalazione della prima epidemia di worm dell'iPhone, Ikee, l'autore del worm, Ashley Towns, informa i media via Twitter di aver gi infettato 100 telefoni.119 Un sondaggio effettuato da Sophos rivela che il 75% dei partecipanti ritiene che Towns abbia fatto un favore agli utenti dell'iPhone, mettendo in evidenza il pericolo.120 11 novembre: vengono scoperti degli strumenti per il furto di dati che sfruttano i servizi SSH non protetti sugli iPhones sottoposti a jailbraking.121 23 novembre: inizia a diffondersi un attacco di Ikee, che collega i dispositivi violati a una botnet di iPhones.122 Il worm viene denominato Duh, in riferimento ai commenti presenti nel codice. 26 novembre: a Towns viene offerto un lavoro da Mogeneration, una ditta produttrice di applicazioni per iPhone.123
Il codice di Ikee
A Towns viene offerto un lavoro da una ditta produttrice di applicazioni per iPhone
Google Android, Palm Pre e Nokia Maemo

Le piattaforme rivali che contrastano le due grandi aziende si basano su dispositivi muniti dei sistemi operativi Google Android, Palm Pre e Maemo, la variante Linux di Nokia. Il livello di interesse che susciteranno negli hacker dipender dalla crescita della loro base utenti. Solo il tempo dir se saranno pi o meno sicuri degli attuali leader del mercato degli smartphone. Gi sono stati riscontrati i primi casi di malware di Android. Nel gennaio 2010, uno sviluppatore di applicazioni chiamato 09Droid cre dei programmi che apparentemente erano solo applicazioni di "mobile banking", ma che in realt erano in grado di rubare le coordinate bancarie dell'utente.124 Presumibilmente, le informazioni sarebbero state utilizzate ai fini del furto di identit. Il mercato di Android non monitorato da vicino come quello di Apple e adotta la filosofia va tutto bene. Questo, unitamente alle voci che circolano in merito all'adozione di Android da parte di nuovi telefoni, come il DROID di Motorola e il Nexus One di Google, potrebbe rendere la piattaforma pi allettante per i criminali informatici del futuro.
La filosofia del va tutto bene che ha reso Android pi allettante per i criminali informatici del futuro
Poich, inevitabilmente, un numero crescente di utenti sfrutter la possibilit offerta dagli smartphone di accedere ai propri conti in banca, la tentazione degli hacker di sfruttare i sistemi diventer ancora maggiore. Una cosa certa: quali che saranno le funzionalit di protezione attuate, gli utenti resteranno vulnerabili alle tecniche di ingegneria sociale e al semplice furto, in quanto i dispositivi diventeranno sempre pi ricchi di funzionalit, specialmente per quanto riguarda la diffusione dei sistemi di pagamento diretto tramite cellulare. probabile che il futuro stia tutto nella mobilit, ma certamente i criminali informatici non resteranno a guardare.
27
Crimini informatici
Nell'ultimo decennio, le attivit legate al malware si sono notevolmente evolute, fino a diventare una grande industria. Oggi esse possono contare su un'efficiente infrastruttura economica e gruppi ben organizzati di bande criminali, programmatori altamente motivati e competenti che riescono a produrre enormi volumi di codice ed exploit malevoli, di persone creative in grado di ideare metodi sempre pi sofisticati per violare l'anello pi debole di qualsiasi sistema di sicurezza elettronico: la mente umana.
L'economia dei crimini informatici

I profitti dei criminali informatici sono immensi. Di conseguenza, la quantit di risorse dedicate ai crimini informatici aumenta enormemente ogni anno. A causa della recessione mondiale, il problema cresciuto. Guadagnare in modo onesto diventato pi difficile, molti sono allettati dal mondo del crimine e i programmatori che non riescono a trovare lavoro presso le software house che operano nella legalit vengono assunti con maggiore facilit dalle bande di criminali. Inoltre, pi facile per gli hacker coinvolgere le persone semplici in attivit di riciclaggio di denaro sporco, furto di denaro e di dati. I criminali informatici impauriscono la gente facendogli credere che i loro dati bancari siano stati rubati, spesso via e-mail. Queste tecniche si sono diffuse di pari passo con quelle che si basano sulle promesse di grandi affari, come
le farmacie online e le campagne di spam di prodotti firmati contraffatti. In seguito all'aumento della consapevolezza del pericolo costituito dalla continua crescita delle minacce, le polizie di tutto il mondo hanno moltiplicato gli sforzi per combattere i criminali informatici. Gli sforzi fatti a livello internazionale, che in precedenza erano stati spesso ostacolati dalla mancanza di un coordinamento globale, stanno evidenziando grandi passi di miglioramento, grazie alla condivisione di informazioni e risorse e nel 2009 si assistito a un notevole aumento del numero di arresti e processi.
28
Anche tu puoi diventare ricco, secondo la rete di affiliati di criminali informatici
Partnerka: reti di affiliati dediti al crimine

Partnerka un termine russo che indica reti o
affiliazioni complesse, unite dal comune desiderio di fare soldi in Internet. Questi gruppi sono ben organizzati, gestiti da russi e responsabili di una percentuale molto elevata di campagne di spam e malware. quello delle farmacie online, promosso tramite spam e SEO (ottimizzazione dei motori di ricerca) e la vendita di farmaci illegali, senza ricetta medica e spesso dannosi per la salute Il gruppo Canadian Pharmacy una delle partnerka pi note. a fare soldi in tutti i modi possibili. Molte truffe basate sulla vendita di antivirus fasulli sono anch'esse gestite da organizzazioni facenti parte della partnerka, cos come numerosi siti di merci contraffatte che vendono falsi Rolex e altri prodotti firmati contraffatti, casin online (il metodo preferito per il riciclaggio di denaro sporco), siti di materiali pornografici e addirittura siti di incontri per adulti.
Il denaro deriva direttamente dalla vendita di merci

contraffatte o illegali o da complesse affiliazioni con societ di marketing "pay-per-click" o "payper-install", le quali a loro volta vengono pagate da aziende spesso legittime che sperano di attirare il traffico sui propri siti.
Il settore pi ampio dell'attivit delle partnerka
All'interno della rete partnerka gira molto denaro, in
Le reti affiliate alla partnerka gestiscono aziende dedite
quanto gli spammer gestiscono le botnet, i phisher vendono i dati ai carder, i quali elaborano e sfruttano i dati rubati delle carte di credito. I creatori di malware vendono Trojan e strumenti, come ad esempio i sistemi automatici per l'invio di spam ai forum o la creazione di siti Web per la manipolazione SEO. sullentit delle attivit della partnerka in occasione della conferenza Virus Bulletin del 2009. I dati mostrano come una sola campagna di spam della Canadian Pharmacy sia in grado di generare 200 acquisti, pari a $16.000 al giorno, mentre un webmaster affiliato in grado di reindirizzare 10.000 contatti al giorno verso un unico sito di scareware riesce a guadagnare fino a $180.000 l'anno.125
SophosLabs ha presentato una nuova ricerca
Il settore pi ampio dell'attivit di partnerka quello delle farmacie online, promosso tramite spam e SEO (ottimizzazione dei motori di ricerca) e la vendita di farmaci illegali, senza ricetta medica e spesso dannosi per la salute
Spam di prodotti farmaceutici della partnerka
29
Cronologia di crimini informatici, arresti e sentenze nel 2009

Gennaio: uno scassinatore di casseforti neozelandese viene acciuffato dalla polizia in seguito alla pubblicazione delle sue foto su Facebook.126 Gennaio: un impiegato statunitense licenziato da un'azienda produttrice di sistemi informatici per la ristorazione viene dichiarato colpevole di avere installato malware nella rete del suo ex datore di lavoro. 127 Gennaio: un dipendente del colosso finanziario americano Fannie Mae viene accusato di aver installato una "bomba logica" studiata per distruggere dati dell'azienda. 128 Febbraio: l'FBI d notizia di un furto ai danni degli sportelli Bancomat pari a 9 milioni di dollari, effettuato utilizzando carte clonate contenenti i dati trafugati dai sistemi di pagamento WorldPay. 129 Febbraio: Microsoft offre una ricompensa di $250.000 a chi fornir informazioni sugli autori di Conficker.130 Marzo: vengono imprigionati i membri di una banda del Regno Unito che si erano serviti di keylogger e spyware nel fallito tentativo di derubare la Sumitomo Bank. 131 Marzo: un rumeno viene arrestato negli Stati Uniti, sospettato di aver violato i sistemi del Pentagono.132 Marzo: il componente di una banda che aveva inviato delle e-mail di phishing ai clienti di AOL viene condannato a quattro anni di reclusione.133 Aprile: la polizia del Regno Unito fa una retata e cattura i membri di una banda di cittadini est europei e russi accusati di aver partecipato al furto di denaro ai danni di alcune banche mediante l'utilizzo di Trojan.134 Maggio: la Serious Organised Crime Agency (SOCA) del Regno Unito pubblica un resoconto annuale con l'indicazione dei successi ottenuti nella lotta contro il crimine.135 Giugno: nel corso del processo all'insegnante della Louisiana accusato di atti sessuali con un'alunna minorenne, il giudice ritiene ammissibili come prove le informazioni raccolte dalla madre della vittima tramite un programma spyware.136 Luglio: un indiano viene estradato da Hong Kong agli Stati Uniti, con l'accusa di aver gestito truffe spam di tipo "pump-and-dump".137 Luglio: un coreano trentanovenne viene arrestato per aver perpetrato degli attacchi denial-of-service contro un sito Web di recensioni di videogiochi.138 Luglio: Tony Troutex, funzionario della pubblica amministrazione della South Carolina viene condannato a 366 giorni di prigione per aver installato spyware nel computer di un collega.139 Agosto: Albert Gonzalez e due russi sono accusati di aver rubato 130 milioni di dati relativi a carte di credito e debito Heartland e di altre societ.140 Grazie al patteggiamento della pena da parte di Gonzalez, furono confiscati beni immobili, automobili e 1,65 milioni di dollari in contanti e fu emessa una sentenza di condanna da 15 a 25 anni.141 Agosto: l'hacker Ehun Tenenbaum si dichiara colpevole del furto di 10 milioni di dollari a danno delle banche degli Stati Uniti.142 Ottobre: un hacker di Bancomat australiano ruba $30.000, ma viene condannato a due anni di prigione in regime di semilibert, affidamento ai servizi sociali e pagamento di una multa.143 Ottobre: Facebook acquisisce il diritto al risarcimento con 711 milioni di dollari dal famoso spammer Sanford Wallace, detto Spamford, ma improbabile che vedr mai i soldi.144 Ottobre: l'FBI incrimina 53 persone in tre Stati e inizia ad arrestarli per il phishing delle credenziali bancarie di ignari utenti145 e della sottrazione di fondi ai danni della Bank of America e della Wells Fargo Bank, nell'ambito dell'operazione "Phish Phry".146 Novembre: quattro uomini vengono condannati a 13 anni di prigione nel Regno Unito, per aver partecipato a furti di home banking tramite Trojan.147 Novembre: una coppia inglese viene arrestata per aver creato il Trojan Zbot (noto anche come Zeus).148 Novembre: il Padrino dello spam, Alan Ralsky, viene condannato a quattro anni di prigione negli Stati Uniti.149 Novembre: l'FBI incrimina gli hacker che avevano pianificato il furto di oltre 9,4 milioni di dollari ai danni della societ di carte di credito RBS WorldPay.150 Dicembre: Albert Gonzalez si dichiara colpevole dell'organizzazione della violazione dei sistemi informatici di T.J. Maxx, Heartland Payment Systems, 7-Eleven e della catena di supermercati Hannaford Bros. Gonzalez rischia una condanna ad almeno 17 anni per i reati commessi.151
Albert Gonzalez e due russi sono accusati di aver rubato 130 milioni di dati relativi a carte di credito e debito
30
Guerra e terrore informatici
I facili guadagni non costituiscono l'unica motivazione dei criminali informatici. Stanno crescendo i timori che delle infrastrutture di fondamentale importanza possano essere vulnerabili agli attacchi remoti di pirateria informatica e controllo non autorizzato, con danni potenzialmente devastanti, in quanto i terroristi rivolgono la loro attenzione in altri campi, per diffondere il panico. Finora non ci sono stati casi confermati di servizi come la fornitura di energia elettrica e acqua, centrali nucleari o sistemi di controllo del traffico che abbiano subito attacchi da parte dei terroristi informatici.
In alcuni Paesi, l'utilizzo di tecnologie informatiche, la pirateria informatica e l'utilizzo di codice malevolo sono diventati parte integrante degli arsenali militari. I dati rubati sono stati utilizzati per prendere di mira centrali nucleari sospette in Siria153 e in Corea del Nord.154 La necessit di tali misure risultata evidente in seguito a operazioni su scala ridotta condotte contro i siti Web della pubblica amministrazione, come ad esempio ambasciate, sedi di polizia ed enti pubblici, portate a termine senza che venissero comminate sanzioni ufficiali n accertamenti di responsabilit. Tuttavia, molti di questi eventi sono stati attribuiti a gruppi speciali organizzati da nazioni rivali, sia da parte dei Paesi vittime degli attacchi che dai media di tutto il mondo. Nel luglio 2009 furono lanciati degli attacchi malware contro la Casa Bianca, il Ministero della difesa e la Borsa di New York, a opera degli stessi hacker che erano gi stati autori di attacchi contro istituiti analoghi in Corea del Sud.155 Tutti questi episodi fecero sorgere degli atti di accusa di coinvolgimento da parte del governo nord coreano, ma in realt i responsabili avrebbero potuto essere dei semplici attivisti isolati.
31
Stanno crescendo i timori che delle infrastrutture di fondamentale importanza possano essere vulnerabili agli attacchi remoti di pirateria informatica e controllo non autorizzato, con danni potenzialmente devastanti
Tuttavia i ricercatori hanno messo in guardia contro il potenziale pericolo costituito da questo tipo di possibili azioni.152
Coinvolgimento degli Stati nella guerra informatica nel 2009

Molti Paesi hanno gi adottato provvedimenti seri per il controllo e la protezione delle reti Internet e la creazione di deterrenti informatici:
Aprile: il Governo del Regno Unito conferma il progetto di creazione di un sistema di monitoraggio del costo di 2 miliardi di sterline che consentir di spiare il traffico della rete alla ricerca di attivit criminali o comunque pericolose. Il progetto si chiama IMP (Interception Modernisation Programme).156 Giugno: gli Stati Uniti annunciano la costituzione dello US Cyber Command, un corpo militare ufficiale dedito sia alla difesa dagli attacchi informatici che all'offensiva contro le reti informatiche nemiche.157 Giugno: il Regno Unito annuncia la sua intenzione di costituire un corpo militare al "Cyber Command" degli Stati Uniti, denominato "Office for Cyber Security" e non smentisce l'ipotesi di eventuali attacchi informatici contro altri Paesi.158 Luglio: un membro repubblicano del Congresso e noto esponente dell'House Intelligence Committee, sollecita il Presidente Obama a intraprendere azioni risolute contro la Corea del Nord, in risposta agli attacchi informatici contro gli USA e la Corea del Sud.159 Novembre: l'India annuncia un progetto simile a quello dell'IMP del Regno Unito, dopo aver scoperto che i terroristi responsabili dei numerosi attentati di Mumbai avevano utilizzato VoIP e Google Earth per pianificare e coordinare le loro azioni.160 Inoltre, all'inizio dell'anno, l'India aveva subito anche attacchi spyware contro il Ministero dell'istruzione, di cui secondo molti era stata responsabile la Cina.161 Dicembre: il Presidente degli Stati Uniti Obama nomina Howard Schmidt "Zar del ciberspazio".162
Nel gennaio 2010, Google annunci, tra lo stupore generale, di essere stata vittima (insieme ad altre 30 aziende) di un attacco di pirateria informatica contro gli account Gmail di attivisti cinesi impegnati nella lotta per il riconoscimento dei diritti umani.163 Di conseguenza, Google dichiar di non essere pi disposta a censurare l'edizione cinese del proprio motore di ricerca e avvert che stava prendendo in considerazione l'ipotesi di ritirarsi dal mercato cinese, a meno di raggiungere un accordo con il governo della Cina circa la fornitura di servizi non censurati.164 Anche se le presunte attivit dei governi nazionali hanno spesso occupato i titoli del giornali, Internet si rivelata anch'essa un valido strumento di protesta. Twitter si rivelato uno strumento di fondamentale importanza per la libert di espressione dell'opposizione in occasione delle elezioni iraniane, suscitando l'interesse di tutto il mondo,165 grazie anche, a quanto sembra, al sostegno attivo del Dipartimento di Stato degli USA.166
Nel dicembre 2009, i record DNS (Domain Name System) di Twitter furono violati e i visitatori reindirizzati verso un sito che sosteneva di essere stato violato dal Cyberesercito iraniano. Molti commentatori ipotizzarono un collegamento diretto con i risultati delle recenti elezioni.167 Twitter sub anche delle ripercussioni politiche, nell'agosto 2009, quando un imponente attacco DDoS contro il sito fece pensare a un tentativo di aggressione contro uno specifico blogger antirusso residente a Tblisi, in Georgia.168 Sia i governi che gli attivisti politici sembrano considerare Internet come il grande campo di battaglia del futuro, dove si scontreranno sia le espressioni di protesta politica legittime che quelle pi estreme. La rete sta penetrando in tutti gli aspetti del nostro vivere quotidiano e sembra che anche il crimine, il terrorismo e la guerra siano destinati a seguire le orme dell'umanit, quale che sia la strada intrapresa.
32
Il futuro: cosa ci riserva il 2010?
Dall'analisi degli eventi e degli episodi avvenuti nel 2009 e dal loro confronto con quelli del decennio precedente, emergono alcune chiare tendenze, per lo pi poco incoraggianti. Il volume di programmi malevoli, e-mail contenenti spam e pagine Web infette sta aumentando e i SophosLabs stanno riscontrando un gran numero di tecniche differenti utilizzate per penetrare nei sistemi.
Gli hacker continueranno ad aumentare la velocit e l'efficacia con le quali sviluppano e perfezionano nuovi attacchi
I computer e Internet sono diventanti cos strettamente interdipendenti nell'uso quotidiano che ormai quasi pi nessun abitante del mondo sviluppato riesce a fare a meno di queste moderne tecnologie. E quando anche i Paesi in via di sviluppo avranno colmato il loro ritardo, i computer si diffonderanno ancora di pi.
In seguito all'enorme diffusione dell'uso delle tecnologie nei Paesi in via di sviluppo, un notevole pericolo nel breve periodo costituito dal numero crescente di sistemi non protetti, o comunque insufficientemente protetti, collegati alla rete globale. Questo fenomeno determiner l'aumento del numero di sistemi potenzialmente infettabili e assorbibili dalle botnet, le quali potranno inviare ovunque grandi quantit di spam e lanciare attacchi DDoS. Queste reti di zombie continueranno a rappresentare un'enorme risorsa per i criminali informatici, fornendo una potenza di elaborazione sufficiente a portare a termine una grande quantit di azioni malevole e ingannevoli. La loro crescita determiner l'aumento, di pari passo, del fenomeno dello spamming. Molti utenti di computer collegati in rete reagiranno lentamente alle aggressioni, mentre gli hacker continueranno ad aumentare la velocit e l'efficacia con la quale svilupperanno e perfezioneranno nuovi attacchi. L'attivit economica dei criminali informatici continuer a crescere.
33
Sono sempre di pi le prove che dimostrano che i criminali informatici sono animati da una terza motivazione: lutilizzo di malware e Internet per conseguire vantaggi di natura commerciale, politica, economica e militare
Attualmente, il settore informatico che si sta sviluppando maggiormente quello dei social network, i quali sono gi stati oggetto di numerosi attacchi e probabilmente continueranno a esserlo anche in futuro, di pari passo con la crescita della loro popolarit. Per riuscire a resistere alle ondate crescenti di attacchi malware e spam, gli utenti dovranno forse contare sulla capacit di reazione dei provider e sulla capacit di questi di implementare misure in grado di garantire la sicurezza e la riservatezza. Anche i Governi nazionali svolgeranno un ruolo importante nel rendere sicure le reti di domani e dovranno fare sforzi notevoli per combattere contro i criminali informatici e scoraggiare i potenziali nuovi adepti, attratti dal crimine. Questi sforzi vanno profusi sia a livello locale che globale, per far s che i crimini e i criminali non trovino rifugio e collaborazione negli "Stati canaglia", senza rispettare il diritto internazionale. Le nuove leggi dovranno fornire una protezione adeguata contro i criminali, ma anche indurre a predisporre una protezione adeguata ai custodi di dati sensibili, alcuni dei quali, senza ombra di dubbio, non faranno nulla per impedirne la divulgazione, in misura sempre maggiore, come abbiamo potuto vedere nel corso del decennio trascorso. Gli altri grandi protagonisti che avranno il potere di garantire a tutti un futuro pi sicuro sono gli ideatori e gli sviluppatori del software e dei sistemi operativi che utilizziamo. Le tecnologie stanno diventando sempre pi sofisticate e nel contempo crescono anche le possibilit che esse contengano degli errori. Gli eventuali errori presenti nel software spesso generano delle vulnerabilit che possono essere sfruttate dagli attacchi malware. Grazie alla crescente diffusione del sistema operativo Google Chrome e alla costante crescita della base utenti delle distribuzioni per Apple
34
Mac e Linux, come Ubuntu, possibile che il predominio di Microsoft Windows inizi a essere scalfito. Quasi sicuramente, questa sar una vera e propria manna per gli addetti alla sicurezza, non fosse altro per la maggiore diversit dei frequentatori di Internet. Tuttavia, l'aumento dei servizi basati su cloud, inevitabilmente, render meno importante per gli hacker il tipo di sistema operativo scelto dagli utenti. Con l'aumento del numero di dati sensibili archiviati in Internet e il numero crescente di attacchi che si diffondono esclusivamente via Internet, senza nemmeno sfiorare i computer degli utenti, sussistono tutte le condizioni potenzialmente favorevoli alla violazione dei sistemi di sicurezza e al furto di un maggior numero di informazioni, pi velocemente che mai. E infine, l'accusa da parte di Google che gli hacker cinesi erano penetrati nei propri sistemi e in quelli di altre aziende, a caccia di informazioni, potrebbe essere il segnale dell'inizio della terza era del malware. La pirateria informatica e la scrittura di virus ebbero inizio come attivit hobbistiche, spesso pi con l'intento di dimostrare l'intelligenza dei programmatori che per provocare gravi danni nel lungo periodo. Poi evolvette fino a diventare una vera e propria attivit criminale organizzata. Attratte dal miraggio di enormi guadagni, le bande di criminali si dedicano ai furti di identit e aIla pubblicizzazione e vendita di merci contraffatte, a danno degli ignari utenti. Gi in questo inizio di 2010 sono sempre di pi le prove che dimostrano che i criminali informatici sono animati da una terza motivazione: l'utilizzo di malware e Internet per trarne vantaggi di natura commerciale, politica, economica e militare ai danni dei loro rivali.
Riferimenti
http://cisco.com/en/US/prod/vpndevc/annual_security_report.html http://www.sophos.com/pressoffice/news/articles/2009/04/social-networking.html http://www.sophos.com/blogs/sophoslabs/v/post/5431 http://www.sophos.com/blogs/gc/g/204/09/12/stalkdaily-twitter-users-warn-attack/ http://www.sophos.com/blogs/gc/g/204/09/12/17yearold-claims-creator-stalkdaily-twitter-worm/ http://www.sophos.com/blogs/gc/g/2009/04/12/mikeyy-attack-hits-twitter-users-bad-24-hours-web-20-security/ http://www.sophos.com/blogs/gc/g/204/09/13/mikeyy-worm-madness-twitter/ http://www.sophos.com/blogs/gc/g/204/09/17/mikeyy-worm-targets-oprah-york-times/ http://www.sophos.com/blogs/gc/g/204/09/18/mikeyy-worm-jokes-twitters-expense/ http://www.sophos.com/blogs/gc/g/208/09/25/chinese-social-network-hit-pink-floyd-video-worm/ http://www.sophos.com/blogs/sophoslabs/v/post/7248 http://www.sophos.com/blogs/gc/g/207/09/05/mi6-chiefs-wife-puts-security-risk-facebook/ http://www.securegoose.org/2009/11/tls-renegotiation-vulnerability-cve.html http://www.sophos.com/blogs/gc/g/212/09/10/facebook-privacy/ http://www.sophos.com/blogs/gc/g/212/09/01/sophos-bitly-making-short-links-safer/ http://www.computerweekly.com/Articles/2007/04/02/222827/tjx-hack-the-biggest-in-history.htm http://www.wired.com/threatlevel/2009/10/probe-targets-archives-handling-of-data-on-70-million-vets/ http://datalossdb.org/ http://www.sophos.com/blogs/gc/g/2009/05/06/hackers-demand-10-million-ransom-wiping-patient-data/http://news.cnet. com/2100-1017-251344.html http://www.sophos.com/blogs/gc/g/205/09/25/fear-blackmail-raf-loses-sensitive-personal-data/ http://www.sophos.com/blogs/gc/g/211/09/17/tmobile-customers-personal-data-sold-rivals/ http://www.sophos.com/blogs/gc/g/211/09/20/hackers-steal-information-climate-research-unit/ http://www.sophos.com/blogs/gc/g/211/09/27/ico-warns-tougher-penalties-future-data-leaks/l http://www.sophos.com/security/topic/privacy-data-security-compliance.html http://attrition.org/dataloss/2000/01/cduniv01.html http://news.cnet.com/2100-1017-251344.html http://news.cnet.com/2100-1017-253601.html
1. -gizmo
http://attrition.org/dataloss/2001/04/addr01.html http://www.nytimes.com/2002/03/02/nyregion/us-says-ex-prudential-worker-stole-colleagues-id-s-and-sold-them-online.html http://www.sophos.com/pressoffice/news/articles/2005/02/sa_aolemail.html/ http://attrition.org/dataloss/2006/06/kddi01.html/ http://www.sophos.com/pressoffice/news/articles/2007/03/tjx.html http://www.sophos.com/pressoffice/news/articles/2007/11/hmrc-id-theft.html http://www.sophos.com/blogs/gc/g/208/09/18/men-charged-130-million-credit-card-identity-theft/ http://www.sophos.com/blogs/gc/g/209/09/14/fake-antivirus-attack-hits-york-times-website-readers/ http://gizmodo.com/5390520/apologies-we-had-malware-running-as-ads-on-gizmodo http://www.sophos.com/blogs/sophoslabs/v/post/7388 http://www.sophos.com/blogs/sophoslabs/v/post/7032 http://www.sophos.com/blogs/sophoslabs/v/post/7056 http://www.sophos.com/blogs/sophoslabs/v/post/2827 http://ddanchev.blogspot.com/2009/03/azerbaijanian-embassies-in-pakistan-and.html http://www.sophos.com/blogs/sophoslabs/v/post/3564 http://www.sophos.com/blogs/sophoslabs/v/post/580 http://www.sophos.com/blogs/sophoslabs/v/post/6480 http://www.sophos.com/blogs/sophoslabs/v/post/4405 http://www.sophos.com/blogs/sophoslabs/v/post/7342 http://www.sophos.com/blogs/gc/g/2008/11/05/the-president-elects-first-malware-campaign http://www.sophos.com/blogs/gc/g/2009/01/19/barack-obama-refused-president http://www.sophos.com/blogs/gc/g/203/09/16/dirty-bomb-news-report-leads-pc-infection/ http://www.sophos.com/blogs/gc/g/212/09/08/danger-lies-bogus-emails-claiming-dhl-facebook/ http://www.sophos.com/blogs/gc/g/210/09/20/malicious-bogus-dhl-fedex-emails-bombard-inboxes/ http://www.sophos.com/blogs/gc/g/2009/10/28/ups-invoice-5305325782943-malware-attack/ http://www.sophos.com/blogs/gc/g/210/09/27/facebook-password-reset-confirmation-emails-carry-malware/ http://www.sophos.com/blogs/sophoslabs/v/post/1970 http://www.scmagazineus.com/spam-back-up-to-pre-mccolo-levels/article/129723/ http://www.sophos.com/blogs/sophoslabs/v/post/2028 http://www.sophos.com/blogs/chetw/g/210/09/06/hotmail-heist-update-release/ http://www.sophos.com/blogs/sophoslabs/v/post/6330 http://www.sophos.com/blogs/sophoslabs/v/post/6719 http://www.akismet.com/stats
http://blog.mailchannels.com/2010/01/first-ipv6-spam-message-caught-in-wild.html http://www.sophos.com/blogs/gc/g/211/09/04/bogus-lottery-email-carries-fake-antivirus-payload/ http://www.sophos.com/blogs/gc/g/210/09/27/gizmodo-hit-malware-adverts/ http://www.sophos.com/blogs/gc/g/209/09/15/hackers-bought-ad-space-york-times/ http://www.sophos.com/blogs/gc/g/209/09/21/fake-antivirus-attack-twitter/ http://www.sophos.com/blogs/gc/g/202/09/23/sting-tail-error-check-system-facebook-scare/ http://www.sophos.com/blogs/gc/g/210/09/12/stephen-gatelys-death-exploited-scareware-hackers/ http://www.sophos.com/blogs/gc/g/203/09/19/natasha-richardsons-death-exploited-hackers/ http://www.sophos.com/blogs/gc/g/210/09/21/kanye-west-died-car-crash-hackers-exploit-rumour/ http://www.sophos.com/blogs/gc/g/203/09/10/malware-authors-jump-piftsexe-bandwagon/ http://www.sophos.com/blogs/gc/g/205/09/21/adobe-announces-patch-tuesday/ http://www.sophos.com/blogs/gc/g/209/09/02/apple-ships-vulnerable-version-flash-snow-leopard/ http://www.sophos.com/blogs/gc/g/211/08/27/confick-worm-exploits-microsoft-ms08-067-vulnerability/ http://www.sophos.com/blogs/gc/g/210/08/23/more-information-about-critical-microsoft-vulnerability/ http://www.virusbtn.com/resources/malwareDirectory/prevalence/index.xml?200910 http://www.sophos.com/blogs/gc/g/205/09/01/microsoft-improves-autoplay-combat-usb-malware/ http://www.sophos.com/blogs/gc/g/210/08/23/more-information-about-critical-microsoft-vulnerability/ http://www.sophos.com/blogs/sophoslabs/v/post/1878 http://www.sophos.com/blogs/gc/g/211/08/27/confick-worm-exploits-microsoft-ms08-067-vulnerability/ http://www.sophos.com/blogs/gc/g/201/09/15/stop-conficker-worm-unpatched-pc/ http://www.sophos.com/blogs/gc/g/201/09/16/passwords-conficker-worm/ http://www.sophos.com/blogs/gc/g/202/09/12/microsoft-offers-250000-head-confickers-author/ http://www.sophos.com/blogs/gc/g/203/09/25/conficker-april-1st/ http://www.sophos.com/blogs/gc/g/203/09/27/hype-april-fools-day-conficker-worm/ http://www.sophos.com/blogs/gc/g/203/09/31/confickers-impact-google-search/ http://www.sophos.com/blogs/gc/g/204/09/01/hype-conficker/ http://www.sophos.com/blogs/gc/g/204/09/01/confickerc-technical-analysis/ http://www.sophos.com/blogs/gc/g/204/09/10/pcs-patched-conficker-vulnerability/ http://www.sophos.com/blogs/gc/g/205/09/01/microsoft-improves-autoplay-combat-usb-malware/ http://www.sophos.com/blogs/gc/g/210/09/19/beware-fake-microsoft-alerts-regarding-conficker-worm/ http://www.virusbtn.com/resources/malwareDirectory/prevalence/index.xml?200910
http://www.sophos.com/blogs/sophoslabs/v/post/6117 http://www.sophos.com/blogs/sophoslabs/v/post/6189 http://www.sophos.com/blogs/gc/g/208/09/19/w32induca-spread-delphi-software-houses/ http://www.sophos.com/blogs/gc/g/2009/08/20/magazine-ships-induc-delphi-virus-cover-cd-rom/ http://www.sophos.com/blogs/sophoslabs/v/post/3349 http://www.sophos.com/blogs/gc/g/211/09/08/iphone-worm-discovered-wallpaper-rick-astley-photo/ http://www.sophos.com/blogs/gc/g/208/09/25/mac-os-snow-leopard-include-antivirus-protection/ http://www.sophos.com/blogs/gc/g/208/09/28/snow-leopard-malware-protection/ http://www.sophos.com/blogs/sophoslabs/v/post/6269 http://www.sophos.com/blogs/gc/g/201/09/22/reports-mac-Trojan-horse-pirated-version-iwork-09/ http://www.sophos.com/blogs/sophoslabs/v/post/2778 http://www.sophos.com/blogs/sophoslabs/v/post/3710 http://www.sophos.com/blogs/gc/g/203/09/25/apple-mac-malware-caught-camera/ http://www.sophos.com/blogs/gc/g/205/09/05/lame-email-worm-mac-os/ http://www.sophos.com/blogs/gc/g/206/09/10/mac-malware-adopts-porn-video-disguise/ http://www.sophos.com/blogs/gc/g/206/09/24/leighton-meeter-sex-tape-lure-spread-malware-twitter-users/ http://www.sophos.com/blogs/gc/g/207/09/19/erin-andrews-peephole-video-spreads-malware/ http://www.sophos.com/blogs/gc/g/208/09/12/reports-apple-mac-Trojan-horse-wild/ http://www.sophos.com/blogs/gc/g/208/09/14/ashley-greene-dirty-pics-lead-danger/ http://www.sophos.com/blogs/gc/g/2009/11/04/mac-shootemup-zaps-files-game-common-sense/ http://www.sophos.com/blogs/gc/g/209/09/02/apple-ships-vulnerable-version-flash-snow-leopard/ http://www.sophos.com/blogs/gc/g/201/09/14/blackberry-pdf-vulnerability/ http://www.sophos.com/blogs/gc/g/205/09/27/control-blackberry-enterprise-server-pdf/ http://www.sophos.com/blogs/gc/g/207/09/23/blackberry-customers-revolt-after-spyware-scandal/ http://www.sophos.com/blogs/chetw/g/210/09/30/apple-antivirus-detecting-infected-blackberries/ http://www.theregister.co.uk/2009/07/02/critical_iphone_sms_bug/ http://www.sophos.com/blogs/gc/g/211/09/08/iphone-worm-discovered-wallpaper-rick-astley-photo/ http://www.sophos.com/blogs/gc/g/2009/11/09/worm-author-tells-media-initially-infected-100-iphones/ http://www.sophos.com/blogs/gc/g/211/09/09/75-worm-author-iphone-users-favour-poll-reveals/ http://www.sophos.com/blogs/gc/g/211/09/11/tool-hacking-jailbroken-iphones-discovered/ http://www.sophos.com/blogs/gc/g/211/09/23/lightning-strikes-iphone-malware-malicious/ http://www.sophos.com/blogs/gc/g/211/09/26/ikee-worm-author-job-iphone-app-firm/ http://www.sophos.com/blogs/gc/g/201/10/11/banking-malware-android-marketplace/
Sophos lascia liberi i responsabili IT di concentrarsi sulle loro attivit. L'azienda fornisce soluzioni di sicurezza endpoint, cifratura, e-mail, Web e NAC semplici da distribuire, gestire e usare. Oltre 100 milioni di utenti si affidano a Sophos per ottenere la protezione migliore contro le complesse minacce di oggi e gli analisti considerano l'azienda un leader del settore. L'azienda vanta oltre vent'anni di esperienza e dispone di una rete globale di centri di analisi delle minacce che consente di rispondere rapidamente alle minacce emergenti. Di conseguenza, Sophos raggiunge i livelli pi elevati di soddisfazione dei clienti del settore. Le sedi principali dell'azienda si trovano a Boston, Massachusetts (U.S.A.) e ad Oxford (Regno Unito).
Copyright 2010 Sophos Group. Tutti i diritti riservati. Nessuna parte di questa pubblicazione pu essere riprodotta, memorizzata in un sistema di recupero dati o trasmessa, in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la registrazione o altri mezzi, senza previa autorizzazione scritta del titolare dei diritti dautore. Sophos e Sophos Anti-Virus sono marchi registrati di Sophos Plc e Sophos Group. Tutti i nomi di marchi, prodotti e aziende sono marchi registrati appartenenti ai rispettivi detentori.

Sophos Threat Report 2010 Wpit

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Sophos Threat Report 2010 Wpit

Caricato da

Copyright:

Formati disponibili

Rapporto sulla sicurezza: 2010

Rapporto sulla sicurezza: 2010

Rapporto sulla sicurezza: 2010

Rapporto sulla sicurezza: 2010

Rapporto sulla sicurezza: 2010

Il campo di battaglia gi pronto

Rapporto sulla sicurezza: 2010

Le preoccupazioni delle aziende

Rapporto sulla sicurezza: 2010

I worm Mikeyy Mooney

Rapporto sulla sicurezza: 2010

Vettori emergenti degli attacchi contro i social network

Rapporto sulla sicurezza: 2010

Impostazioni di Facebook per la privacy

Come ridurre i rischi

Rapporto sulla sicurezza: 2010

Perdita di dati e cifratura

Le fughe di dati provocano il fallimento delle aziende

Rapporto sulla sicurezza: 2010

Le maggiori perdite di dati del decennio

Impedire la perdita di dati

Un'unit disco contenente dati perduti

Rapporto sulla sicurezza: 2010

Internet resta il principale veicolo di malware.

Rapporto sulla sicurezza: 2010

Antivirus fasulli e malware SEO creano problemi

Rapporto sulla sicurezza: 2010

I primi 10 Paesi che ospitano malware sul Web

Rapporto sulla sicurezza: 2010

Cosa significa SEO e che uso ne fanno i malintenzionati?

Riduzione dei rischi in Internet

Rapporto sulla sicurezza: 2010

Minacce via e-mail

Il malware e-mail tutt'altro che defunto

Rapporto sulla sicurezza: 2010

Rapporto sulla sicurezza: 2010

Come si diffonde lo spam

Rapporto sulla sicurezza: 2010

Spam per continente

La sporca dozzina di Paesi che inviano pi spam.

Rapporto sulla sicurezza: 2010

Spam di IM e social network

Altre forme di spam

Rapporto sulla sicurezza: 2010

Tendenze del malware

Malware: una macchina per fare soldi

Rapporto sulla sicurezza: 2010

Adobe Reader uno dei principali bersagli del malware

Il worm Conficker diventa famoso

Rapporto sulla sicurezza: 2010

Conficker: un anno di attivit

Altri veicoli di malware

Il malware innocuo non esiste.

Rapporto sulla sicurezza: 2010

Nuove piattaforme, nuove sfide

Le falle nella sicurezza di Windows 7 sono poche, ma significative

Rapporto sulla sicurezza: 2010

Funzionalit di sicurezza di Windows 7

Rapporto sulla sicurezza: 2010

Obiettivi facili, ma significativi

31% Dont use Use 69%

Utilizzi un antivirus per proteggere il tuo Mac?

Rapporto sulla sicurezza: 2010

Cronologia del malware Mac nel 2009