Il 2009 si è appena concluso e Norman tira le somme sui principali problemi di sicurezza IT che si sono presentati durante l’anno e prevede quali saranno le possibili minacce nel 2010.
Le attività malware più rilevanti del 2009 sono state sicuramente quelle relative ai vari social network, come Twitter e Facebook, sempre più bersagliati dagli autori dei programmi dannosi.
2009: le principali minacce alla sicurezza
Conficker – Nonostante questo worm sia apparso inizialmente già alla fine del 2008, è nel 2009 che ha causato più problemi, in particolare alle aziende. Il worm è stato particolarmente attivo nella prima metà del 2009, ma la sua diffusione continua anche nelle prime settimane del 2010.
W32/Virut – Estremamente polimorfici. I virus della famiglia Virut sono stati attivi tutto l’anno e probabilmente si ripresenteranno sotto forma di nuove varianti anche nel prossimo anno.
W32/Koobface – E’ interessante principalmente perché si avvale di meccanismi di diffusione che sfruttano social network come Facebook. Ha fatto la sua prima comparsa nel 2008, ma la sua diffusione ha raggiunto l’apice nel 2009.
Fino a poco tempo fa, gli utenti e le aziende operative nell’ambito della sicurezza dovevano affrontare i malware in un modo molto diverso rispetto a quello attuale.
La tecnica più diffusa tra gli autori di malware consisteva essenzialmente nella creazione di un programma dannoso e nell’utilizzo di diverse tecniche di diffusione.
La situazione negli anni si è evoluta e la tendenza attuale è quella di creare veri e propri cocktail dannosi, composti da una linea intera di diversi tipi di programmi nocivi e degli stessi tipi con diverse funzionalità.
Tendenze generali
Malware in aumento. Un indicatore dell’aumento dei malware in un determinato periodo è il numero di firme relative ai programmi nocivi nei file di rilevamento virus di Norman.
Nel 2007 sono state aggiunte più firme che in tutti gli anni precedenti messi insieme: le firme aggiunte nel 2008 hanno superato il numero totale raggiunto fino all’inizio dell’anno mentre quelle aggiunte nel 2009 erano leggermente inferiori al numero totale dell’inizio dell’anno.
Ciò indica che la crescita si sia stabilizzata verso un andamento più lineare rispetto agli aumenti esponenziali degli anni precedenti il 2008. La quantità totale delle nuove firme in questa fase è comunque sbalorditiva se confrontata con le cifre di inizio decennio.
Software legittimo rilevato come maligno. L’enorme aumento di malware rappresenta un ulteriore rischio per i software autentici, che possono essere rilevati come nocivi perché corrispondono in parte ai file delle firme dei fornitori di soluzioni antivirus o di altre tecnologie di rilevamento virus.
Ciò si è verificato anche quest’anno, con software di protezione di diversi fornitori, compreso Norman e sfortunatamente si prevede che questo possa accadere di nuovo in futuro.
La sfida più importante per i fornitori di soluzioni di sicurezza informatica consiste nell’evitare che ciò avvenga con file di sistema cruciali e applicazioni utilizzate in modo intensivo.
A tale scopo, i fornitori stanno investendo in strumenti che consentono una verifica approfondita dei file di rilevamento malware in relazione a tutti i tipi di software legittimo, prima che i file delle firme vengano resi disponibili per i clienti.
Aumento dei programmi fraudolenti. Le applicazioni software che tentano di spacciarsi per quello che non sono, sono sempre esistite. La tendenza nel 2008, che ha visto un aumento di programmi camuffati da applicazioni antivirus e antispyware, è proseguita anche nel 2009 e si è persino intensificata.
Sfruttamento dei social network per la diffusione del malware. Il successo dei social network, come Facebook e Twitter, è cresciuto sempre di più nel corso dell’anno ed è andato di pari passo con il loro sfruttamento per la diffusione di malware.
Nel 2009 il più grande problema di sicurezza è stato proprio quello relativo alla diffusione di malware tramite l’utilizzo dei social network, in genere mediante il social engineering.
Sfruttamento delle vulnerabilità di sistemi operativi e applicazioni. Continua la tendenza degli autori di malware a usare come mezzi di diffusione le vulnerabilità insite nei sistemi operativi e nelle applicazioni software dei prodotti più diffusi come Web browser, applicazioni Adobe e i sistemi di Office più comuni. E il problema non ha interessato solo le applicazioni Microsoft più diffuse ma anche quelli di altri produttori.
Negli scorsi anni gli autori di malware si sono concentrati prevalentemente sulle vulnerabilità dei sistemi operativi. Ultimamente però questa tendenza è cambiata e le applicazioni utilizzate di frequente, come quelle citate sopra, sono sempre più prese di mira.
Una problematica particolare per gli utenti riguarda l’assenza di standard per la distribuzione di aggiornamenti e patch alle applicazioni, che comporta la necessità di ricorrere a diversi meccanismi di aggiornamento. I creatori di malware riescono ad avvalersi molto rapidamente delle nuove vulnerabilità con applicazioni in grado di sfruttarle.
Di conseguenza, le aziende di software sono costrette a reagire sempre più tempestivamente con la pubblicazione di patch e altre soluzioni. Gli autori di malware affinano sempre più le proprie tecniche e realizzano codici in grado di sfruttare non solo una, ma varie vulnerabilità (con patch o meno) contemporaneamente.
Ciò è reso ancora più facile dalla possibilità di acquistare in Internet gli exploit che più si preferisce per poi utilizzarli nelle proprie attività di programmazione. Ormai è possibile creare programmi dannosi senza possedere alcune capacità di programmazione. Ciò implica, tra l’altro, che le abilità di social engineering del "programmatore" diventino sempre più importanti nel far emergere un determinato malware su tutti gli altri.
Grandi eventi mediatici come trampolino di lancio per la distribuzione di malware. Non è nulla di rivoluzionario né nuovo. Tuttavia, questa tendenza è cresciuta nel 2009 dal momento che gli autori di malware sono sempre più propensi all’impiego di tecniche di social engineering usando grandi eventi mediatici come trampolini di lancio.
Diversi sono gli esempi che si possono citare: l’evento più sfruttato del 2009 per la diffusione di malware è stato sicuramente la morte e il funerale di Michael Jackson.
Sfruttamento di nuovi dispositivi da parte dei malware. Quest’anno sono stati riscontrati due esempi di questo caso: i malware che hanno infettato i bancomat e i malware che sfruttano router/modem DSL. Probabilmente è solo la punta dell’iceberg. In futuro, i dispositivi che non sono stati mai considerati vulnerabili o pericolosi dagli utenti potranno diventare vittime comuni di malware.
Vertici politici consapevoli delle minacce a Internet. A metà del 2009 i vertici politici si sono detti consapevoli della centralità di Internet nei meccanismi di funzionamento delle società moderne.
Ci si aspetta quindi un significativo passo avanti in termini di regole e sanzioni per questo tipo di attività illegale nonché una maggiore attenzione alla protezione dei dati sensibili presenti nella Pubblica Amministrazione.
Previsioni per il 2010
• Sfruttamento ancora più intenso e più sofisticato dei social network per la diffusione di malware
• Continua diffusione dei software per la sicurezza fraudolenti
• I cocktail di programmi maligni persisteranno, saranno più flessibili e la tecnologia dei rootkit diventerà sempre più avanzata
• Gli aggiornamenti automatici dei malware saranno più innovativi.
