Internet Security Threat Report Volume X

Transcript

1 Internet Security Threat Report Volume X Il 28 gennaio 2002 è stato pubblicato il primo volume dell Internet Security Threat Report da Riptech, società di Managed Security Services acquisita da Symantec nel luglio dello stesso anno. Con poco più di 33 pagine, il primo Internet Security Threat Report è stato tra i primi report a riassumere e analizzare le tendenze degli attacchi in rete in un documento unico e completo. La prima edizione si basava su dati raccolti dai sistemi di firewall e rilevamento delle intrusioni di Riptech, sulla base dei quali gli analisti della società hanno prodotto il primo report sulle tendenze degli attacchi, dove Code Red e Nimda risultavano essere i rischi più frequenti, mentre le minacce miste ad ampio raggio e gli attacchi perimetrali costituivano il principale modus operandi degli aggressori. Da quel primo report ad oggi, molte cose sono cambiate. Le grandi ed indiscriminate epidemie di worm hanno lasciato il posto ad attacchi più circoscritti e mirati, perpetrati a scopo di frode, furto di dati e attività criminose. Sono finiti i tempi della manomissione dei siti e degli attacchi mirati alla raccolta di dati, oggi reti bot codificate, violazioni remote dei database, sofisticati attacchi di phishing e codici maligni personalizzati colpiscono singolarmente le aziende. Con l evoluzione delle minacce, è cambiato anche il modo d individuarle e di segnalarle. L Internet Security Threat Report fornisce un aggiornamento semestrale sulle minacce di Internet, con un analisi degli attacchi alla rete, una panoramica delle vulnerabilità note e descrive i rischi posti da codici maligni, phishing, spam e altre minacce alla sicurezza. I risultati raccolti nell ultimo Internet Security Threat Report riportano le minacce incombenti e le tendenze in corso e forniscono alcuni suggerimenti utili per riuscire a proteggersi. Il volume X analizza il semestre dal 1 gennaio al 30 giugno Il Global Intelligence Network di Symantec TM, che comprende Symantec DeepSight TM Threat Management System e Symantec TM Managed Security Services, è costituita da più di sensori che effettuano un monitoraggio costante delle attività in rete in oltre 180 paesi e tengono traccia dell attività degli attacchi a livello globale. Symantec raccoglie inoltre dati sui codici maligni, nonché segnalazioni relative a spyware e adware provenienti da oltre 120 milioni di sistemi client, server e gateway su cui sono stati installati i prodotti antivirus di Symantec. Symantec ha creato uno dei database più completi del mondo sulle vulnerabilità della sicurezza, contenente una descrizione dettagliata di più di vulnerabilità che colpiscono oltre tecnologie di più di produttori. Symantec, inoltre, gestisce BugTraq TM, uno dei forum più utilizzato per la discussione delle vulnerabilità informatiche. Symantec Probe Network, un sistema di più di due milioni di account di richiamo, attira i messaggi di da 20 diversi paesi del mondo, consentendo alla società di misurare l attività di spam e phishing a livello mondiale. Infine, Symantec Phish Report Network è una vasta comunità antifrode i cui membri forniscono e ricevono indirizzi di siti fraudolenti come avvertimento, filtrandoli attraverso una vasta gamma di soluzioni. Queste risorse forniscono agli analisti di Symantec un ampia quantità di dati da utilizzare per identificare e analizzare le tendenze emergenti negli attacchi e nei codici maligni e consente loro di svolgere una delle analisi più approfondite e complete delle minacce alla sicurezza di Internet. L Internet Security Threat Report si basa sull analisi di dati reali. Grazie all esperienza e alla competenza di Symantec, l Internet Security Threat Report contiene una panoramica completa sulle attuali minacce ai danni della rete. Pubblicando i risultati dello studio, Symantec vuole fornire alla comunità degli operatori nella sicurezza dei dati le informazioni necessarie per mantenere oggi e nel futuro la sicurezza dei sistemi. Symantec Internet Security Threat Report X: in sintesi Dalle precedenti edizioni dell Internet Security Threat Report è emerso un cambiamento nel panorama delle minacce. Se da un lato i vendor e le aziende si sono adattati ai mutamenti dell ambiente studiando ed adattando procedure di sicurezza più efficaci e strategie di difesa accurate, dall altro gli aggressori hanno cominciato ad usare nuove tecniche. Mentre in passato gli attacchi provenienti dalla rete erano diffusi e indifferenziati, oggi invece gli aggressori tendono a una maggiore concentrazione, con codici maligni e minacce mirati rivolte alle applicazioni sul lato client, Web e ai servizi in rete.

2 Questo fenomeno è apparso evidente nei primi sei mesi del 2006, quando il 69% delle ultime vulnerabilità identificate riguardavano le applicazioni Web. Un numero così alto è dovuto, tra l altro, alla diffusione delle applicazioni Web e alla relativa facilità con cui queste vulnerabilità vengono rilevate, rispetto a quelle relative alle applicazioni tradizionali. Inoltre le applicazioni Web vengono generalmente diffuse più velocemente di quelle tradizionali per desktop e server, ma non sono sempre soggette allo stesso livello di controllo della sicurezza usato per i software tradizionali. Sempre più spesso, le applicazioni Web sono oggetto di attacchi volti a compromettere le tecnologie Web 2.0 che utilizzano servizi Web multipli come mezzo per diffondere codici maligni, rubare dati riservati o compromettere i sistemi degli utenti finali. Anche i browser Web sono un importante obiettivo degli attacchi e quindi degli studi sulla sicurezza. Nei primi sei mesi del 2006, Symantec ha documentato 47 vulnerabilità dei browser Mozilla, come Mozilla Firefox e Mozilla Browser. Nello stesso periodo, Symantec ha documentato 38 nuove vulnerabilità di Microsoft Internet Explorer, il 52% in più rispetto alle 25 vulnerabilità segnalate nel semestre precedente, mentre ne sono state rilevate 12 di Apple Safari. Il browser Web resta un possibile vettore di numerosi attacchi sul lato client, a causa dell integrazione tra diverse applicazioni per la gestione dei contenuti, come le suite di produttività e i media player. Inoltre, la natura circoscritta degli attacchi ai browser Web li rende ideali per le minacce zero-day mirate. Gli attacchi ai browser Web permettono agli hacker di aggirare i tradizionali dispositivi di sicurezza perimetrale, in quanto viaggiano su porte del network che tradizionalmente non sono filtrate e quindi evitare di essere bloccati utilizzando gli strumenti di sicurezza perimetrale tradizionali, come i firewall. In genere, in seguito a un attacco riuscito a un browser Web, l aggressore riesce a compromettere un computer vulnerabile e a conquistare i privilegi dell utente collegato in quel momento. Una volta lanciato un attacco a un browser Web, l hacker può utilizzare il computer compromesso come piattaforma da cui indirizzare altri attacchi alla rete, agli altri computer collegati oppure spiare il traffico interno alla rete, perché protetto dai dispositivi di sicurezza perimetrale. Nei primi sei mesi del 2006, Microsoft Internet Explorer è stato il più colpito, a cui sono stati rivolti il 47% di tutti gli attacchi mirati ai browser Web, poiché è il più diffuso tra le aziende di ogni dimensione e tra gli utenti domestici. Oggi, il panorama delle minacce è caratterizzato anche da un cambiamento dei codici maligni. Gli attacchi realizzati mediante i codici maligni a scopo di frode, furto di dati e attività criminose non solo sono più circoscritti, ma sempre più spesso sono mirati alle singole imprese. I codici maligni tendono a propagarsi a una velocità minore per evitare di farsi scoprire e gli aggressori sembrano orientarsi sempre più verso gli attacchi mirati realizzati mediante i Trojan. Cinque dei dieci nuovi principali gruppi di codici maligni segnalati nei primi sei mesi del 2006 sono stati di tipo Trojan. I mass-mailing worm tendono ad adottare un approccio indiscriminato, inviandosi in grandi quantità al maggior numero possibile di utenti, anche se oggi i Trojan vengono spesso prodotti per attaccare determinati utenti o gruppi di utenti. Ad esempio, il Trojan Mdropper.H ha sfruttato una vulnerabilità zero-day presente in Microsoft Word per installare una variante del programma backdoor Ginwui. 1 Il documento di Word contenente questa minaccia è stato inviato come spam a un gruppo selezionato di utenti utilizzando un messaggio di social engineering, che tentava d indurre i destinatari ad aprirlo. A causa della natura mirata di questi attacchi, il Trojan viene inviato a un gruppo di utenti più limitato, quindi meno identificabile e meno soggetto ad essere segnalato ai produttori di soluzioni antivirus per un analisi. Dalle precedenti edizioni dell Internet Security Threat Report è emerso che gli attacchi non sono più motivati dalla fama e dalla notorietà, bensì dal profitto finanziario e, di conseguenza, mirano spesso a raccogliere informazioni che hanno un valore per l aggressore, come dati personali da utilizzare a scopo di furto d identità o di frode. Nell ambiente aziendale, le minacce mirate possono essere utilizzate per ottenere un accesso non autorizzato a dati privilegiati e riservati, minacciando in tal modo la proprietà intellettuale dell azienda. Per attacco mirato si intende un attacco rivolto ad almeno tre sensori di un preciso settore, escludendo tutti gli altri. In genere gli attacchi mirati hanno uno scopo specifico, come ad esempio procurarsi dati riservati, al contrario degli attacchi diffusi, come i Denial of Service (DoS), che non ricercano informazioni specifiche. Tra il 1 gennaio e il 30 giugno 2006, gli utenti domestici sono stati oggetto dell 86% di tutti gli attacchi mirati. Gli utenti domestici sono infatti molto più vulnerabili a questo tipo di attacchi, dal momento che è meno probabile che dispongano di misure e procedure di sicurezza efficaci. Costituiscono inoltre un terreno fertile per il furto d identità e molti degli attacchi ai loro danni sono perpetrati a scopo di frode o altro crimine con finalità finanziarie. 1

3 Nella prima metà del 2006 i servizi finanziari sono risultati il secondo settore più colpito, dato che conferma che l obiettivo degli aggressori è sempre più il profitto. Gli hacker che colpiscono i computer di questo settore solitamente mirano a procurarsi dati riservati, come numeri di carte di credito o dati bancari, da utilizzare successivamente con finalità lucrative. Oggi la tecnologia si dimostra sempre più efficace e, per assicurarsi la riuscita degli attacchi, gli aggressori stanno ritornando ad adottare strumenti più datati e meno tecnici, come il social engineering, rivolti dunque non alle infrastrutture di rete o ai sistemi operativi ma all utente finale, in quanto anello più debole della catena di sicurezza. Gli attacchi di phishing, ad esempio, si basano su questa tecnica e sono attuati dai cosiddetti phishers, ovvero gruppi di persone o singoli che tentano d indurre gli utenti a rivelare i propri dati personali, come il numero di carta di credito, le credenziali per l accesso ai conti bancari online e altri dati sensibili allo scopo di riuscire a commettere azioni fraudolente. Nei primi sei mesi del 2006, Symantec Probe Network ha rilevato messaggi singoli di phishing, pari all 81% in più rispetto agli rilevati nella seconda metà del Il settore finanziario è risultato infatti essere il più colpito da questa minaccia, con l 84% dei siti di phishing rilevati da Symantec Phish Report Network e Symantec Brightmail AntiSpam. Gli attacchi di phishing ai danni di questo settore producono il massimo profitto per gli aggressori, poiché, una volta ottenuto l accesso al conto target, possono avviare il trasferimento di fondi e richiedere mutui, linee di credito o carte di credito. Un ulteriore prova dell alta concentrazione di attività di phishing ai danni del settore finanziario è dato dal fatto che nove dei dieci marchi principali colpiti dal phishing in questo periodo appartengono a questo settore. Le applicazioni fraudolente sono un altro esempio dell uso sempre più diffuso del social engineering a scopo di profitto finanziario. Queste applicazioni forniscono segnalazioni false o esagerate delle minacce alla sicurezza del sistema dell utente, al fine d indurlo ad acquistare nuovi software di sicurezza o passare a una versione più aggiornata che sarebbe in grado, presumibilmente, di eliminare le minacce rilevate. Se l utente accetta di acquistare il programma, l aggressore ottiene l accesso ai dati della sua carta di credito, che può poi utilizzare con finalità criminose. Nei primi sei mesi del 2006, tre dei dieci nuovi principali rischi per la sicurezza sono state applicazioni ingannevoli, pari al 50% del volume dei dieci principali nuovi rischi alla sicurezza segnalati nella prima metà dell anno. Due dei tre principali rischi per la sicurezza segnalati in questo periodo sono applicazioni ingannevoli e uno di questi, ErrorSafe, 1 rappresentava il 30% dei dieci principali nuovi rischi per la sicurezza segnalati. Nel capitolo Future Trend della precedente edizione dell Internet Security Threat Report, Symantec ha previsto che i codici maligni modulari avrebbero costituito un grave problema per la sicurezza. 2 I codici maligni modulari funzionano compromettendo un computer e poi scaricando successivamente un codice potenzialmente dotato di funzionalità ancora più dannose. Spesso questi codici sono usati per scaricare applicazioni in grado di raccogliere dati riservati, che gli aggressori possono poi utilizzare a scopo di profitto finanziario. Tra il 1 gennaio e il 30 giugno 2006, i codici maligni modulari hanno rappresentato il 79% del volume totale dei 50 principali codici maligni segnalati a Symantec. Sia nella prima metà del 2006 sia nella seconda metà del 2005, sono stati segnalati 36 singoli campioni di codici maligni modulari. I bot, o host zombie controllati a distanza, possono essere utilizzati dagli hacker per lanciare attacchi di DoS al sito di un impresa, causando un interruzione delle comunicazioni aziendali, una grave perdita di ricavi e spesso anche danni all immagine dell azienda. I bot presenti all interno della rete aziendale possono inoltre essere utilizzati per attaccare i siti di altre compagnie e per diffondere codici maligni, in entrambi i casi con conseguenze legali e commerciali potenzialmente gravi. Nei primi sei mesi del 2006, Symantec ha osservato in media computer con reti bot attive al giorno, per un totale di nell arco dei sei mesi. Nello stesso periodo ha inoltre individuato server di comando e controllo di bot. Nella prima metà del 2006, in Cina è stato rilevato il maggior numero di computer infettati da bot, pari al 20% del totale mondiale, mentre Pechino è stata la città con il maggior numero di computer infettati da bot, pari a quasi il 3% del totale mondiale Internet Security Threat Report, Volume VIII (settembre 2005): p. 83

4 Nella prima metà del 2006, la Cina è stata anche il secondo paese di origine degli attacchi, con il 10% di tutti gli indirizzi IP dannosi. Gli attacchi con origine in Cina sono aumentati del 37% rispetto al secondo semestre del 2005, superando nettamente l aumento medio del 16%. Symantec prevede che gli attacchi con origine in Cina continueranno ad aumentare a causa della sempre maggiore diffusione della banda larga nel paese. Dati salienti Tendenze degli attacchi Microsoft Internet Explorer è il browser Web più colpito, con il 47% di tutti gli attacchi rivolti ai browser Web. Symantec ha osservato in media attacchi di DoS al giorno. Gli Stati Uniti sono l obiettivo della maggior parte degli attacchi di DoS, con il 54% del totale mondiale. Il settore degli Internet Service Provider (ISP) è il più colpito dagli attacchi di DoS. Gli Stati Uniti hanno registrato la massima percentuale di server di comando e controllo di bot, pari al 52%. Gli Stati Uniti sono stati il primo paese di origine degli attacchi, con il 37% del totale mondiale. Tendenze delle vulnerabilità Symantec ha documentato nuove vulnerabilità, il 18% in più rispetto alla seconda metà del È il numero più alto mai registrato in un semestre. Le vulnerabilità delle applicazioni Web costituiscono il 69% di tutte le vulnerabilità osservate nel periodo. I browser Mozilla presenta il maggior numero di vulnerabilità: 47 contro le 38 di Microsoft Internet Explorer. L 80% delle nuove vulnerabilità rilevate sono state considerate facilmente sfruttabili. Il 78% del totale riguarda le applicazioni Web, con un aumento di 19 punti percentuali rispetto al periodo di osservazione precedente. Il periodo di esposizione alle vulnerabilità delle aziende è pari a 28 giorni. Nella prima metà del 2006, il tempo necessario per lo sviluppo delle patch è 89 giorni per Sun Solaris, seguita da Hewlett Packard HP-UX con 53 giorni, Apple con 37 giorni e Microsoft Windows e Red Hat con 13 giorni. Internet Explorer ha un periodo medio di esposizione di nove giorni, seguita da Apple Safari con cinque giorni e Mozilla con una media di un giorno. Tendenze dei codici maligni Il 18% di tutti i campioni di codici maligni rilevati dalla rete honeypot di Symantec tra il 1 gennaio e il 30 giugno 2006 non sono mai stati osservati in precedenza. La famiglia più diffusa di nuovi codici maligni in questo periodo è quella del virus Polip. I worm costituiscono 38 dei 50 principali codici maligni. I worm costituiscono il 75% del volume dei 50 principali codici maligni segnalati. Symantec ha documentato nuovi virus e worm Win32. I bot rappresentano il 22% del volume dei 50 principali codici maligni segnalati, con un leggero aumento rispetto al 20% osservato nel periodo precedente. Trenta dei 50 principali campioni di codici maligni espongono dati riservati.

5 I codici maligni modulari rappresentano il 79% del volume dei 50 principali codici maligni, contro l 88% della seconda metà del Phishing, spam e rischi per la sicurezza La Symantec Probe Network ha rilevato messaggi di phishing, con un aumento dell 81% rispetto al periodo di osservazione precedente. Il settore dei servizi finanziari è il più colpito dal phishing. Lo spam costituisce il 54% di tutto il traffico monitorato, in aumento rispetto al 50% del periodo precedente. Il tipo più comune di spam rilevato nei primi sei mesi del 2006 riguarda i servizi e i prodotti sanitari, con il 26%. Il 58% di tutto lo spam rilevato nel mondo ha origine negli Stati Uniti. Otto dei dieci principali rischi per la sicurezza segnalati sono programmi di adware. Osservazioni future Symantec prevede che gli autori di codici maligni inizieranno a utilizzare sempre più le tecniche polimorfe a tutti i livelli di sviluppo dei codici maligni, perché più difficili da rilevare e rimuovere. Symantec ritiene che la combinazione tra l interoperabilità delle applicazioni Web 2.0 e l uso di AJAX (asynchronous JavaScript and XML) aumenterà il potenziale di attacchi, con un aumento anche degli attacchi di tipo cross-site scripting e content injection. Questa combinazione può esporre molti utenti a un numero sempre più alto di attacchi capaci di aggirare le soluzioni per la sicurezza tradizionali. Nel 2007 è previsto il lancio di Windows Vista TM, il nuovo sistema operativo per desktop di Microsoft. Come è successo con Windows XP SP2, Symantec prevede di assistere a uno sforzo concertato della comunità di ricerca per scoprire e documentare le carenze di Windows Vista, mentre gli aggressori tenteranno di aggirare le nuove tecnologie di sicurezza implementate nel sistema operativo. Symantec ritiene che tutto questo potrà portare alla nascita di nuovi attacchi, come è successo con le versioni precedenti del sistema operativo e dei pacchetti di servizi di Microsoft.