BOLLETTINO DI SICUREZZA INFORMATICA

Transcript

1 STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa BOLLETTINO DI SICUREZZA INFORMATICA N. 1/2008 Il bollettino può essere visionato on-line su : Internet : Intranet :

2 INDICE EVOLUZIONE E TENDENZE DEL CODICE MALEVOLO NEL INTRODUZIONE pag. 3 - PRINCIPALI CODICI MALEVOLI DEL 2007 Pag. 4 - CONCLUSIONI Pag. 10 Difficoltà: MEDIO-ALTA A cura di: SMD II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa 2

3 EVOLUZIONE E TENDENZE DEL CODICE MALEVOLO NEL 2007 INTRODUZIONE L esigenza di interdipendenza fra gli elementi costitutivi le organizzazioni sociali complessamente strutturate, quali sono le realtà sociali occidentali/occidentalizzate del 21 secolo, ha portato, nel corso degli ultimi tre decenni e grazie all avvento dell IT- Information Technology 1, alla nascita, sviluppo e consolidamento di un modello comunicativo basato sull integrazione in Rete sia dei servizi sia delle procedure finalizzate allo scambio e la condivisione di informazioni e risorse. La capillarizzazione della connettività 2 a tutti i livelli del tessuto sociale ed il conseguente incremento degli accessi alla Rete, che sono la risposta più efficace alla domanda di disponibilità immediata e condivisa del dato informativo e che consentono di conseguire enormi benefici economici e sociali, hanno però introdotto numerosi nuovi rischi, incrementando l esposizione dei dati in Rete alle attività malevole di chiunque abbia il know how sufficiente e la motivazione a modificarne le caratteristiche di disponibilità, integrità e riservatezza. L'anno 2007 ha mostrato essenzialmente il consolidamento delle seguenti tendenze: l accresciuta capacità da parte dei cyber-criminali di adeguare continuamente le tecniche di attacco per superare le strategie di difesa messe in atto a protezione dell informazione: la tecnica utilizzata è quella di aggirare i software anti-virus (la cui azione di contrasto nei confronti dei virus si esplica prevalentemente attraverso il riconoscimento delle loro caratteristiche o firme) modificando alcuni elementi di malware già esistente, creando così una nuova versione di un virus, la cui firma risulta essere sconosciuta ad ogni software anti-virus; sempre maggiore impiego, da parte dei malintenzionati, di Trojan quali vettori per installare codice malevolo sui computer bersaglio, realizzando degli attacchi di tipo multistadio. Tale tecnica si sostanzia fondamentalmente in più fasi: nella prima fase il Trojan viene scaricato fraudolentemente sul PC bersaglio attraverso ad 1 IT indica l'uso della tecnologia nella gestione e nel trattamento dell'informazione. In particolare l'it riguarda l'uso di apparecchi digitali e di programmi software che ci consentono di creare, memorizzare, scambiare e utilizzare informazioni (o dati) nei più disparati formati: dati numerici, testuali, comunicazioni vocali e molto altro. 2 é la capacità di intercomunicazione tra sistemi diversi per lo scambio di informazioni. 3

4 esempio una il cui testo è formattato ad hoc per indurre l utente ad aprire l allegato, costituito di solito da un file MS-Office (Word, Power Point, etc.) che sfruttando una vulnerabilità del sistema installa il trojan. Quest ultimo, in modalità nascosta, tenta di connettersi al sito del proprio creatore per scaricare ulteriori componenti malevole che potrebbero consentire il controllo remoto del pc o la sottrazione dei dati del malcapitato. Alcuni analisti riportano che la tipologia di attacchi multistadio sia ormai la metodologia verso cui, in maggior misura, tende l attività malevola in generale; essendo ormai il denaro la maggiore motivazione per i cybercriminali per commettere i propri reati, questi hanno rivolto la loro attenzione verso gli utenti singoli sia per tentare di carpire codici di accesso alle banche on-line o carte di credito, sia perché ritenuti bersagli più semplici rispetto agli utenti aziendali; una più matura comprensione, da parte degli utenti, dell esposizione ai rischi, anche penali, che derivano dall utilizzo improprio dei sistemi informatici da parte di terzi malintenzionati (che impiegano i PC di ignari utenti per perpetrare reati informatici). In tale quadro di evoluzione della minaccia, si è ritenuto d interesse focalizzare l attenzione sulle tipologie di codice malevolo maggiormente diffuso nel corso dello scorso anno. PRINCIPALI CODICI MALEVOLI DEL 2007 Nel corso del 2007 si è notato un maggior incremento del numero dei worm e trojan rispetto alle altre tipologie di codice malevolo. In particolare i trojan stanno guadagnando popolarità in quanto è un prodotto che soddisfa al meglio gli obiettivi degli attaccanti. Fonte Trend Micro 4

5 I Trojan sono programmi che simulano essere software legittimo, ma in realtà, nascondono funzionalità dannose. In particolare un Trojan finge di avere una funzione (e può persino simulare di svolgerla) ma, in realtà, fa altro, normalmente all insaputa dell utente, ad esempio un Trojan potrebbe accompagnarsi quale allegato di una mascherandosi sotto forma di un aggiornamento importante a qualche programma legittimo installato sul PC. Un Trojan è capace di risiedere su computer infetti per periodi più lunghi di tempo incrementando la probabilità di reperire informazioni confidenziali, scaricare ulteriori componenti malevoli per attacchi successivi e, quindi, provocare maggiore danno. I Trojan non possono diffondersi con la stessa rapidità del virus, perché non creano copie di sé stessi. Tuttavia la loro azione viene combinata spesso a quella dei virus: ad esempio, i virus possono scaricare Trojan keylogger che registrano i caratteri digitati sulla tastiera sottraendo informazioni sensibili quali ad esempio le credenziali di accesso a siti protetti. Fonte Symantec La famiglia di Trojan più rilevata nel 2007 è stata quella dei Peacomm Trojan, altrimenti nota come Storm Trojan. La sua diffusione è stata consentita da un Worm noto come Mixor.Q. Una volta installato, Peacomm nasconde sé stesso usando tecniche di rootkit 3 e detiene una lista di altri computer compromessi che viene utilizzata per realizzare una rete criptata, simile ad una Bot 4, che invece dei canali di comunicazione IRC 5 utilizza il protocollo Overnet Peer-to-Peer per comunicare. 3 Un rootkit è una tecnologia software in grado di occultare la propria presenza all'interno del sistema operativo. Negli ultimi anni s'è molto diffusa la pratica tra i creatori di malware di utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e spyware proprio grazie alla possibilità di occultarne i processi principali. 4 diminutivo del termine RO-BOT, sono sitemi controllati da remoto da malintenzionati per commettere atti criminali. 5 "Internet Relay Chat" protocollo molto diffuso per la comunicazione e per lo scambio di file in tempo reale. 5

6 Peacomm si pone in ascolto sul canale di comunicazione istituito nella propria rete Peer-to-Peer e,individuando un PC vulnerabile vi scarica ed installa file quali Mespam e Abwiz.F (altri Trojan): questi possono a loro volta, accedendo alla lista dei contatti ivi residente, inviare tali informazioni confidenziali all attaccante remoto, che potrebbe utilizzarle, ad esempio, per effettuare attività di spamming. Il Virus Whybo, rilevato essere stato fra i più diffusi codici malevoli utilizzati nel corso del 2007, opera infettando i file eseguibili presenti nei dischi fissi del computer attaccato. A questo punto scarica da remoto ed esegue un file criptato che disattiva ogni dispositivo di sicurezza (firewall, antivirus) installato sulla macchina. Gli analisti hanno rilevato che Whybo è stato sviluppato soprattutto per obiettivi geolocati in Cina. Fonte Trend Micro Il Trojan Metajuan, che conferma la tendenza all utilizzo degli attacchi multistadio, può essere installato da altri codici malevoli o da pagine Web appositamente sviluppate per sfruttare vulnerabilità di Internet Explorer. Una volta installato, Metajuan contatta un sito remoto e scarica ed esegue altro codice malevolo sul PC ormai compromesso. Kakavex, altro codice malevolo ampiamente diffusosi nel corso del trascorso anno, rappresenta la fase iniziale di una interessante tendenza. Tradizionalmente i virus infettano file eseguibili e quindi svolgono alcune azioni dannose. Questo virus, invece, oltre alla propria abituale attività, sottrae informazioni confidenziali dal computer compromesso che vengono inviate a siti Web remoti. Questo codice malevolo, quindi, mostra come l attività di sottrazione di informazioni confidenziali stia diventando una tecnica malevola sempre più diffusa. In passato, si usavano Trojan o BackDoor, ma adesso, come Kakavex dimostra, vengono usati anche virus per portare lo stesso tipo di attacco, ampliando così la gamma di strumenti disponibili per tali attività. 6

7 Il 2007 ha visto la rilevazione di circa duecentomila nuove minacce, con un incremento rispetto all anno precedente di circa il 200%. Tale preoccupante crescita può principalmente essere attribuita alla produzione di nuovi Trojan, nella quale possono essere inclusi anche gli Staged Downloaders: categoria di codice malevolo di piccole dimensioni la cui attività principale consiste nell agire quale testa di ponte scaricando ed installando altro codice malevolo (attacco multistadio). La grande produzione di questo Downloader indica come sia in corso continua attività specificatamente destinata ad eludere lo sviluppo di prodotti di protezione. Da qui la grande importanza che, per gli utenti finali, riveste l aggiornamento frequente dei prodotti antivirus allo scopo di assicurare la protezione costante contro lo sviluppo di codice malevolo. I Trojan, inoltre possono essere usati per inviare di spam o in attacchi di phishing. Il Flush Trojan modifica la configurazione DNS di un computer compromesso reindirizzando il browser vero siti che effettuano phishing 6 : evidente è il rischio connesso se, ad esempio, l ignaro utente tenti di connettersi al sito da lui utilizzato per i propri servizi di home-banking. Nel 2007 il minor incremento del numero di worm è da imputare all incremento delle misure di sicurezza messe in atto, quali ad esempio, il blocco degli allegati delle a livello di gateway SMTP o il blocco delle porte usate da applicazioni peer-to-peer per prevenire la loro propagazione all interno delle reti aziendali. E ragionevole supporre che gli autori di codice malevolo stiano sperimentando ulteriori metodologie per permettere alle loro creazioni di propagarsi. L'aumento di virus è in relazione all aumento nel numero di Worm. Questi impiegano metodologie di infezioni di file che determinano la loro classificazione nella categoria dei virus. Un esempio è Looked.BK, che infetta archivi eseguibili nei drive locali e nelle condivisioni di rete. 6 Il phishing è una frode il cui obiettivo è quello di rubare l'identità di una persona appropriandosi d'informazioni quali a titolo esemplificativo: numeri di carta di credito, password, account. Il maggiore strumento di diffusione è la posta elettronica indesiderata o spam. 7

8 Alcuni codici malevoli sono disegnati specificamente per diffondere informazioni confidenziali conservate in un computer infetto, quali, ad esempio, informazioni di sistema, file e documenti privati e credenziali di log-on. Il codice malevolo può compromettere le informazioni confidenziali in vari modi. Il più comune consiste nel rendere possibile l accesso ad un computer compromesso, ad esempio, attraverso una BackDoor. Ciò si traduce in numerose attività quali, il cambio di configurazione, il download di informazioni contenute nei dischi, la cancellazione di file. L utilizzo di Keystroke 7 logger può rendere più insidiosa la minaccia: ad esempio la memorizzazione delle pressioni dei tasti che un utente compie durante la propria attività, può fraudolentemente essere inviata ad un attaccante remoto che può a sua volta utilizzarle per finalità criminali. Le organizzazioni possono fare parecchio per difendersi contro questo tipo di attacchi. Ad esempio, per limitare la sottrazione di informazioni confidenziali a seguito di possibili intrusioni, si possono crittografare i dati sensibili allo scopo di inibire la visibilità di questi dati da parte di un attaccante. La tecnica, però, presuppone l utilizzo di risorse elaborative adeguate e non protegge da eventuali punti di ascolto posti tra la sorgente in chiaro e i sistema crittografico. Un ulteriore protezione sarebbe costituita da utilizzo di canali di comunicazione maggiormente sicuri quali SSH, SSL e IPSec. Uno dei principali canali di propagazione di Worm e Virus è l utilizzo di protocolli Peerto-Peer 8. Ciò evidenzia la necessità, per i responsabili dei sistemi, di curare particolarmente il blocco di porte specifiche e l implementazione di filtri nei firewall. Un altra analisi effettuata, conferma che quasi il 50% di codice malevolo è stato propagato via . Questo vettore di trasmissione, può essere limitato assicurando una adeguata scansione degli allegati alle , già a livello dei gateway di posta. Ovviamente, ogni file eseguibile, indifferentemente se ricevuto via o scaricato dal Web dovrebbe essere controllato da un antivirus costantemente aggiornato. 7 Strumento, Hardware o Software in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. 8 Generalmente per peer-to-peer (o P2P) si intende una rete di computer o qualsiasi rete informatica che non possiede client o server fissi, ma un numero di nodi equivalenti (peer, appunto) che fungono sia da client che da server verso altri nodi della rete. Questo modello di rete è l'antitesi dell'architettura client-server. Mediante questa configurazione qualsiasi nodo è in grado di avviare o completare una transazione. I nodi equivalenti possono differire nella configurazione locale, nella velocità di elaborazione, nella ampiezza di banda e nella quantità di dati memorizzati. L'esempio classico di P2P è la rete per la condivisione di file (File sharing). 8

9 Di seguito, una tabella che riporta le più utilizzate modalità di propagazione del codice malevolo. Fonte Symantec Come si può notare uno dei meccanismi più usati è l utilizzo del protocollo CIFS (Common Internet File Sharing). Esso costituisce una minaccia per le organizzazioni in quanto diversi file server utilizzano tale protocollo per fornire l accesso ai file condivisi. La protezione contro questi meccanismi dovrebbe prevedere l utilizzo di password robuste per le condivisioni fornite nonché la garanzia dell accesso alle condivisioni solo ed esclusivamente a utenti che ne necessitano e che siano adeguatamente controllati, ovviamente le condivisioni non dovranno mai essere esposte su internet. Alto impatto hanno avuto anche quelle minacce che hanno come target un determinato set di vittime come, ad esempio, i gruppi d interesse a livello regionale o locale o determinati ceti sociali. Gli autori di malware stanno diventando estremamente abili nel sfruttare notizie di pubblico interesse per diffondere il malware, specialmente con allegati ad create ad hoc per indurre gli utenti ad aprire gli allegati. Di seguito una tabella riporta alcuni esempi di eventi, del mondo reale, sfruttati per la diffusione di codice malevolo. Fonte Trend Micro Inoltre, sebbene il volume di codice malevolo propagato sfruttando vulnerabilità sembra stia decrescendo, la minaccia risulta ancora elevata. Una delle minacce che più sfruttano le vulnerabilità sono i bot. 9

10 In aumento risulta l impiego di una metodologia che tende a far sì che l utente si infetti ad esempio visitando siti Web compromessi che possono trasferire codice malevolo sfruttando vulnerabilità dei browser Web. CONCLUSIONI Come raccomandazione generale ai fini della protezione dei sistemi di competenza, si consiglia agli amministratori e ai responsabili delle reti, a porre particolare attenzione nell aggiornamento delle protezione delle patch dei propri sistemi, soprattutto di quelli che espongono servizi ed applicazioni sul Web, quali HTTP, FTP, SMTP e DNS server che devono essere allocati all interno di una DMZ protetti da firewall Inoltre i server di posta dovrebbero essere configurati per permettere solo la trasmissione/ricezione di allegati giudicati sicuri, mentre per la protezione contro il codice malevolo che si installa sfruttando vulnerabilità di Web browser o plug-in potrebbe essere assicurata dall utilizzo di tecnologie IPS 9 (Intrusion Prevention System). Gli utenti finali devono adottare una strategia di protezione adeguata, la quale dovrebbe prevedere almeno un Antivirus costantemente aggiornato, un Personal Firewall adeguatamente configurato e la puntuale installazione delle patch 10 per tutto il software utilizzato. Un aspetto di fondamentale importanza è, infine, il continuo indottrinamento alla sicurezza agli utenti, considerando che la maggior parte del codice malevolo ancora sfrutta la buona fede dell utente quale debolezza intrinseca del sistema uomomacchina per tentare di effettuare attività malevola. L importanza, ad esempio, di non eseguire mai un allegato di posta elettronica, un documento o un URL proveniente da fonte sconosciuta o non attendibile va costantemente ribadita, così come il controllo sulla intenzionalità nell invio di allegati o URL che giungono inaspettatamente, anche da una fonte affidabile. 9 dispositivo software e hardware utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici. 10 Aggiornamento software in grado di porre rimedio a specifiche vulnerabilità. 10