SECURITYNET Servizio Antivirus e Prevenzione Computer Crime

Transcript

1 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 SECURITYNET Servizio Antivirus e Prevenzione Computer Crime VIRUS INFORMATICI INTERNET WORM MALICIOUS SOFTWARE Circolanti in Italia ANNO 2003 PRIMI DATI E TENDENZE DEL 2004 Edizione riservata agli aderenti al servizio SECURITYNET Tutti i diritti sono riservati: OASI S.p.A. Le riproduzioni totale o parziale sono autorizzate citando la fonte Fonte: OASI Servizio SECURITYNET OASI - OUTSOURCING APPLICATIVO E SERVIZI INNOVATIVI Via Domenico Sansotta, 97, ROMA. Tel.: Fax.: Via Verziere, MILANO. Tel. 02/ Centr. Tel. 02/ , Fax 02/ securitynet@oasi-servizi.it OASI - Servizio SECURITYNET 1

2 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 Utilità della ricerca I dati, le analisi e le considerazioni contenute nella presente ricerca, oltre a costituire un tradizionale strumento di supporto per le valutazioni di alcuni specifici rischi informatici e l organizzazione di presidi e di policy per la sicurezza, sono utili anche ai fini della verifica dell'efficacia dei prodotti di protezione dai programmi di cui all'art. 615 quinquies del codice penale. Il rapporto può costituire uno strumento di ausilio anche per le valutazioni di cui al d.lgs. 30 giugno 2003 n.196 Allegato B) in materia di misure di sicurezza per la protezione dei dati personali, nonché al D.P.C.M., Dipartimento per le innovazioni e le tecnologie, del 16 gennaio 2002 in materia di sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni. Ringraziamenti Per il particolare contributo fornito alla ricerca, si desidera ringraziare i sigg. Salvatore Franzoso, Marco Palazzesi, Matteo Bassi, e tutti coloro che con le loro segnalazioni hanno consentito la raccolta dei casi e la conseguente elaborazione dei casi e delle considerazioni di comune utilità. Raccolta e analisi dei dati La raccolta dei dati, la preparazione dei questionari, l elaborazione e la grafica sono stati effettuati da Monica De Baldironi e Panfilo Marcelli. L analisi dei dati, le considerazioni storiche e di tendenza da Paolo Monti e Fulvio Berghella. La sintesi della ricerca e la compilazione del volume annuale su Virus, Worm e Malware è a cura di Fulvio Berghella. OASI - Servizio SECURITYNET 2

3 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 Sommario PRECISAZIONI METODOLOGICHE SULLA RICERCA...5 SINTESI DEI DATI PER L ANNO Numero dei casi...6 Tipi di virus circolanti...6 Virus più diffusi...6 Come avviene la diffusione...6 Distribuzione geografica...6 I periodi dell anno più critici...7 Virus noti e intercettati...7 Tipologia dei danni subiti...7 Chi ha risolto gli incidenti...8 Soluzioni adottate per la prevenzione...8 CONSIDERAZIONI GENERALI E TENDENZE...9 Network worm...9 worm...10 PRIMI DATI DEL Colpiti da MyDoom 100 milioni di in 36 ore...11 Con Netsky e Bagle è guerra tra scrittori di virus...11 Virus e spammer...12 Il caso Sasser...12 Primo virus che infetta i file a 64 bit (W64.Rugrat)...12 Primo worm per i telefoni mobili...12 IPOTESI SUL FUTURO...13 Ridotto il tempo tra scoperta della vulnerabilità e attacchi...13 Backdoor, spammer e spyware...14 INDICAZIONI PER LA PREVENZIONE...15 Indicazioni di sintesi per la prevenzione...15 VIRUS CIRCOLANTI IN ITALIA NEL TIPI DI VIRUS PIU DIFFUSI IN ITALIA NEL CASI RILEVATI PER CIASCUNO DEI VIRUS PIÙ DIFFUSI IN ITALIA NEL DISTRIBUZIONE PERCENTUALE PER TIPOLOGIE DI VIRUS E WORM NEL I DIECI INTERNET WORM E VIRUS PIU DIFFUSI NEL I VIRUS PIU DIFFUSI NEL 2003 E CONFRONTO CON IL BIENNIO PRECEDENTE...21 ANDAMENTO DEI TIPI DI VIRUS NEGLI ULTIMI SETTE ANNI...22 TIPI DI VIRUS DIFFUSI IN ITALIA DAL TIPI DI VIRUS DIFFUSI IN ITALIA DAL COME SI DIFFONDONO I VIRUS...24 MEZZI DI DIFFUSIONE DAL 1998 AL I PERIODI DELL ANNO PIÙ CRITICI...26 DISTRIBUZIONE DEI CASI DI VIRUS SUL TERRITORIO ITALIANO...26 DISTRIBUZIONE DEI CASI DI VIRUS SUL TERRITORIO ITALIANO...27 DISTRIBUZIONE PER REGIONE...27 OASI - Servizio SECURITYNET 3

4 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 APPROFONDIMENTO 1: VIRUS INTERCETTATI IN UNA RETE DI COMPUTER...28 TIPI DI VIRUS PIU INTERCETTATI...28 VIRUS E VULNERABILITA DEL SOFTWARE...29 PRINCIPALI VULNERABILITA NEL PRINCIPALI VULNERABILITA DAL 2000 AL VIRUS CHE DAL 2001 HANNO UTILIZZATO VULNERABILITÀ...33 NUMERO DI VIRUS NOTI NEL MONDO...35 VIRUS E INTERNET WORM CIRCOLANTI IN ITALIA NEL DIFFUSIONE DEI VIRUS DURANTE L ANNO...42 INCIDENZA DEI TIPI DI VIRUS SUL TOTALE DELLE INFEZIONI...44 DISTRIBUZIONE DEI VIRUS SUL TERRITORIO ITALIANO DAL DISTRIBUZIONE DEI VIRUS SUL TERRITORIO ITALIANO...45 INCIDENTI E SOLUZIONI PER LA SICUREZZA ADOTTATE...46 OASI - Servizio SECURITYNET 4

5 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 PRECISAZIONI METODOLOGICHE SULLA RICERCA Di seguito viene riportata la sintesi delle rilevazioni statistiche e delle considerazioni analitiche predisposte dal Servizio SECURITYNET erogato da OASI SpA 1, sulla diffusione dei virus nelle aziende italiane destinatarie delle attività del servizio. La presente edizione è la XII. L autore della rilevazione sul tema Virus informatici, Internet Worm, Malicious software circolanti in Italia nel 2003 è la Business Unit Sicurezza e Controlli di OASI SpA 2 (Via Sansotta 97, Roma) attraverso il proprio servizio antivirus e prevenzione computer crime denominato SECURITYNET che è proprietaria dei dati. La rilevazione non è stata commissionata, viene svolta nell ambito delle attività di assistenza fornite agli utenti del servizio ed è finalizzata a comprendere meglio come si diffondono i c.d. virus dei computer ed a fornire indicazioni utili alla prevenzione degli incidenti informatici. La rilevazione è relativa al periodo gennaio-dicembre Alcuni approfondimenti sono stati fatti analizzando i dati di due diversi gruppi di aziende. Il primo, definito sottogruppo A, comprende aziende operanti sul territorio nazionale la cui rete informatica si compone di computer. Gli approfondimenti relativi al sottogruppo A si riferiscono ad un arco temporale di 12 mesi da febbraio 2003 a febbraio Il secondo, definito sottogruppo B, si compone di 11 aziende di grandi, medie e piccoli dimensioni con un totale di dipendenti dotati di computer connessi in rete. Tali aziende offrono servizi fruibili in Internet a utenti che mediamente effettuano accessi al giorno. Altre considerazioni sono riferite a circostanze rilevate nei primi mesi del La rilevazione è basata sui dati raccolti in seguito alle segnalazioni spontanee pervenute ai servizi di help desk di SecurityNet, nonché dalla compilazione anonima e spontanea di questionari informativi anonimi disponibili sul sito Internet. I dati sono integrati anche da statistiche fatte dagli stessi aderenti nell ambito delle proprie strutture aziendali. Gli utenti aderenti al servizio nel 2003 sono 3.462, appartenenti ad imprese di settori operativi diversi. Nelle analisi dei dati elaborati e nelle sintesi si è preferito non enfatizzare i singoli casi che hanno richiesto un impegno al di fuori dell ordinario per evitare che le percentuali e le medie subissero un influenza palesemente esagerata che avrebbe condizionato la descrizione d insieme, la percezione e la comprensione del fenomeno in esame, condizionando l equilibrio delle indicazioni riassuntive. La ricerca sulla diffusione dei virus dei computer comprende anche i cosiddetti Internet worm ed ogni programma informatico con caratteristiche di malignità che circola in rete. Il termine virus è utilizzato genericamente per indicare ogni codice informatico con finalità o effetti di malignità 3. 1 La B.U. Sicurezza e controlli di EUROS Consulting SpA è stata acquisita da OASI SpA, per cessione di ramo d azienda, dal 1 giugno OASI - OUTSOURCING APPLICATIVO E SERVIZI INNOVATIVI Sede di Roma: Via Domenico Sansotta, 97, ROMA. Tel.: Fax.: Sede di Milano: Via Verziere, MILANO. Tel. 02/ Centr. Tel. 02/ , Fax 02/ securitynet@oasi-servizi.it 3 Il termine malware, deriva dalla contrazione della locuzione malicious software indica tutti i particolari programmi informatici dannosi. OASI - Servizio SECURITYNET 5

6 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 ANALISI DEI DATI SINTESI DEI DATI PER L ANNO 2003 Numero dei casi I casi complessivi segnalati dagli utenti del servizio e/o ricavati dai questionari anonimi sono stati Tipi di virus circolanti I diversi tipi di virus individuati sul territorio italiano dalle aziende che hanno fornito le proprie casistiche sono stati 42. Le principali vulnerabilità Le vulnerabilità individuate nei sistemi operativi che sono state utilizzate negativamente dai virus, con effetti significativi, sono state 7. Virus più diffusi Gli eventi più significativi sono stati provocati da 6 virus che, nel loro insieme, hanno generato il 72% degli incidenti. Tali virus sono noti con i seguenti nomi: 1. W32/Swen 236 casi, pari al 19% del totale; 2. W32/Lovsan 187 casi, pari al 15%; 3. W32/Bugbear B. 177 casi, pari al 14%; 4. W32/Sobig 111 casi, pari al 9%; 5. W32/Opaserv 102 casi, pari all 8%; 6. W32 Mimail 88 casi, pari al 7%. Come avviene la diffusione Tra le aziende segnalanti i principali veicoli di diffusione, di virus e I-worm sono stati: - 80% , - 20% Internet. Nessuna segnalazione di incidenti ha riguardato virus contenuti in supporti rimovibili. Distribuzione geografica La distribuzione dei casi posti in relazione all ubicazione geografica delle aziende segnalanti è stata: - 38% nord Italia, con 480 casi; - 37% centro Italia, con 457 casi; - 25% sud Italia, con 315 casi. Da tutte le regioni sono pervenute segnalazioni, con prevalenza del Lazio e della Lombardia. L incidenza percentuale dei casi, è stata la seguente: 23% Lazio; 16% Lombardia; 9% Campania; 6% Toscana; 5% - ciascuna - Sicilia, Umbria, Liguria, Puglia, Emilia Romagna; 4% Veneto; 3% - ciascuna -Trentino e Sardegna; 2% - ciascuna- Piemonte, Calabria, Friuli, Marche, Molise; 1% - ciascuna - Basilicata e Abruzzo. OASI - Servizio SECURITYNET 6

7 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 I periodi dell anno più critici La presenza di virus nelle aziende segnalanti è stata riscontrata in tutti i mesi dell anno, ma il trimestre agosto, settembre, ottobre con 534 casi, pari al 42% del totale dell anno, è stato il periodo più critico. Le difficoltà sono in iniziate nel mese di agosto durante le ferie estive. Questa coincidenza con le ferie estive ha da una parte limitato la diffusione di una grande epidemia con estensione internazionale, ma dall altra ha contribuito ad accentuare i problemi che si sono concentrati alla riapertura delle aziende. 1. Settembre 226 casi, 19%; 2. Giugno 190 casi, 15%; 3. Ottobre 188 casi, 15%; 4. Agosto 120 casi, 10%; 5. Marzo 102 casi, 8%; 6. Gennaio 93 casi, 7%; 7. Novembre 80 casi, 6%; 8. Maggio 75 casi, 6%; 9. Luglio 52 casi, 4%; 10. Aprile 49 casi, 4%; 11. Dicembre 43 casi, 3%; 12. Febbraio 34 casi, 3%. Le principali diffusioni di virus sono iniziate il venerdì sera, si sono propagate il sabato e la domenica, hanno generato i loro effetti dannosi il lunedì, con espansione massima martedì. Virus noti e intercettati I virus noti e riconosciuti dagli antivirus sono più di Gli incidenti e i danni sono stati quasi sempre provocati da codici maligni nuovi che hanno sorpreso gli utenti. Tali codici vengono inseriti nei prodotti di prevenzione solo successivamente alla loro individuazione, di conseguenza se la loro diffusione è rapida ed avviene in poche ore risultano colpite soprattutto quelle aziende che non sono organizzate per il tempestivo aggiornamento, con modalità automatiche, degli strumenti di prevenzione. L efficacia degli antivirus nell intercettare i virus circolanti risulta elevata. A tal fine, nella presente ricerca, è stato analizzato un gruppo di aziende che gestisce complessivamente stazioni di lavoro informatizzate e connesse in rete, distribuite su quasi tutte le regioni italiane. (Sottogruppo A). Analizzando i dati inerenti il traffico Internet su tale sottogruppo, in dodici mesi, sono state bloccate infette. Le intercettazioni di virus, se riportate ai giorni di calendario sono state 268 al giorno ed a 445 al giorno se proporzionati ai 220 giorni lavorativi convenzionali. L incidenza media riportata al numero di computer è stata di 11 virus l anno (per ogni computer connesso alla rete). Tipologia dei danni subiti Le principali conseguenze subite dalle aziende in seguito all intrusione di virus sono: 1) Servizi non disponibili agli utenti; 2) PC non utilizzabili dagli utenti; 3) Blocchi di sistema; 4) Perdita di tempo produttivo; 5) Perdita di tempo per riunioni dedicate al problema; 6) Perdita di tempo di tecnici impegnati nel ripristino; OASI - Servizio SECURITYNET 7

8 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO ) Invio automatico ed inconsapevole di infette ad altri destinatari; 8) Files corrotti; 9) Spese per nuove soluzioni tecniche; 10) Spese per consulenze specializzate; 11) Ritardi nei tempi di risposta del sistema; 12) Inutili messaggi video; 13) Danni all immagine ed alla reputazione; 14) Conseguenze legali; 15) Altri danni. Chi ha risolto gli incidenti Le azioni di bonifica sono state svolte principalmente in autonomia dal personale interno delle aziende; ma nei casi più critici è stato necessario l intervento di specialisti esterni. Soluzioni adottate per la prevenzione La ricerca è stata integrata con un approfondimento fatto utilizzando un questionario in forma elettronica reso disponibile sul sito SecurityNet, da compilare salvaguardando l anonimato. Hanno compilato il questionario 11 aziende che complessivamente utilizzano dipendenti muniti di computer connessi in rete e che offrono servizi fruibili in Internet da utenti che mediamente effettuano accessi al giorno. Il 36% delle aziende ha subito attacchi che nel 45% dei casi è originato da Internet. Tipologia di attacco o incidente subito Codici Maligni (virus,worm,trojan, ecc) 55% Intrusione dall esterno sulle risorse Internet 36% Attacchi DoS sui servizi Internet 18% L attacco ha avuto implicazioni sui rischi di: Disponibilità dei dati e del servizio 36% Riservatezza ei dati 9% Integrità dei dati 9% In tali aziende sono adottate le seguenti soluzioni per la prevenzione. Strumenti di difesa attiva o passiva Antivirus 100% Firewall (screening router, application gateway, packet filtering) 91% Backup dei sistemi 82% Aggiornamento continuo dei sistemi con le patch rilasciate dai fornitori 82% Sistemi di logging 64% Monitoraggio periodico dei Log 45% IDS (Intrusion Detection Systems) 36% OASI - Servizio SECURITYNET 8

9 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 CONSIDERAZIONI GENERALI E TENDENZE 1. Dai virus ai network worm. 2. La propagazione non solo via , ma anche tramite pacchetti di rete. 3. Virus associati a spammer e guerra tra scrittori di virus. 4. Virus camuffati da finte patch e spyware. 5. Ai fini della sicurezza in rete l incidenza dello spazio e il tempo è modesta. Nel 2003 si sono verificate 9 infezioni da virus informatici a valenza internazionale. Esse hanno interessato contemporaneamente più nazioni e, per tale aspetto, possono essere definite come infezioni planetarie. Due infezioni, in particolare, sono classificabili tra le più vaste e dannose nella storia di Internet. E fondamentale rilevare che entrambe le infezioni non sono state provocate da worm che si diffondono attraverso la posta elettronica, ma da particolari codici dannosi appositamente concepiti per sfruttare le vulnerabilità di alcune applicazioni o protocolli e capaci di replicarsi attraverso pacchetti di rete. Network worm Tre worm, denominati rispettivamente Slammer, Blaster e Nachi, hanno caratterizzato il 2003 come l anno dei network worm. La prima delle suddette infezioni si è avuta a partire dal 25 gennaio del 2003, quando è stato individuato per la prima volta il worm chiamato Slammer, che per diffondersi ha usato una vulnerabilità presente nel software Microsoft SQL Server, controllando intervalli di indirizzi IP alla ricerca di computer di rete dove sfruttare tale vulnerabilità per infettarne la memoria. Con un azione simile al precedente CodeRed del 2001, anche questo worm per diffondersi non ha utilizzato file memorizzati su disco. I computer vulnerabili sono stati attaccati attraverso la porta TCP 1434, dove era in ascolto SQL Server, e una volta penetrato in un sistema il worm ne ha infettato la memoria. Una delle caratteristiche di maggior dannosità di Slammer è stata la sua velocità di replicazione stimata nell ordine di computer l ora. Si consideri che Cod Red nel 2001 infettò computer per ora. Nell arco di pochi minuti questo worm è stato in grado di infettare milioni di computer in tutto il mondo, incrementando in modo considerevole il traffico di rete e paralizzando in modo diretto o indiretto l attività di molte aziende, anche con funzioni sociali rilevanti. L analisi delle caratteristiche della propagazione ha suggerito l ipotesi che il worm sia originato dall estremo oriente, e ciò mette in rilievo ancora una volta che, ai fini della sicurezza informatica, lo spazio e il tempo nella rete hanno scarsa incidenza. La seconda rilevante epidemia informatica, si è verificata a partire dal 12 agosto, ed è dovuta al worm Blaster, conosciuto anche con il nome maggiormente usato dalla cronaca di Lovsan. Anche in questo caso il worm sfruttava una vulnerabilità presente in alcuni sistemi operativi Microsoft, Windows 2000 e XP, attaccando il servizio DCOM/RPC. Pochi giorni dopo la comparsa di questo worm sono state identificate tre nuove sue varianti. La diffusione è stata eccezionale, ma le aziende italiane hanno contenuto i danni grazie alla coincidenza con il periodo di chiusura delle aziende per ferie estive. OASI - Servizio SECURITYNET 9

10 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 Rilevante è stata anche la diffusione del worm Nachi (Welchia) che per diffondersi ha sfruttato la stessa vulnerabilità di Blaster. L originalità di questo worm è consistita nel neutralizzare sul computer colpito l eventuale presenza del Blaster e nel tentare di installare la patch di sicurezza necessaria per eliminare la vulnerabilità DCOM/RPC. worm Oltre ai predetti network worm, anche i più classici worm hanno causato infezioni di grande rilevanza. A gennaio 2003 sono stati individuati i worm Ganda e Avron. Il primo di origine svedese, tuttora uno dei worm via più diffusi in questo paese. L autore del worm è stato arrestato dalla polizia svedese alla fine di marzo. Il secondo, Avron, è stato realizzato, probabilmente, in Kazakistan e, il codice sorgente del worm pubblicato su alcuni siti web, ha dato origine alla successiva scrittura di numerose varianti da parte di altri autori di virus. Sempre in gennaio si è assistito alla diffusione della prima variante del già noto worm della famiglia Sobig, che ha provocato numerose infezioni a livello internazionale. La variante Sobig.F, che ha raggiunto la massima amplificazione nel mese di agosto, è considerata la causa di una delle più vaste infezioni su scala mondiale mai registrate. Uno degli aspetti più dannosi di questa famiglia di worm consiste nel fatto che l autore abbia tentato di creare una vasta rete di computer infettati in modo da scatenare un Distributed Denial of Service contro vari siti web. L insieme dei componenti di rete infettati ha permesso un relay anonimo dei cosiddetti spammer. Nel 2003 è apparsa anche la variante B del worm Bugbear. La prima versione di questo worm è stata scritta verso la metà del 2002 e ha avuto una notevole amplificazione un anno dopo. Il Bugbear.B si è diffuso in tutto il mondo sfruttando con successo una vulnerabilità nel sistema di sicurezza di Microsoft Outlook la vulnerabilità IFRAME per essere eseguito in automatico durante la visualizzazione del messaggio infetto. Nel corso del 2003 si è registrata anche la comparsa di ulteriori varianti del worm Yaha, di possibile origine indiana. Per diffondersi, alcune delle versioni di Yaha usavano degli archivi di tipo ZIP allegati alle infette. Attraverso questo sistema, gli autori di virus hanno tentato di eludere i controlli di sicurezza sul contenuto delle (content filtering) che molte aziende implementano sui loro mail gateway, filtrando ed eliminando in via preventiva tutti gli allegati che hanno estensioni normalmente associate a programmi eseguibili (EXE, COM, PIF, SCR, VBS, WHS, ecc.). Nel 2003 anche gli autori di virus dell Europa orientale sono stati particolarmente attivi. Il worm Mimail, attribuito dai ricercatori all area dei paesi dell ex Unione Sovietica, per replicarsi ha usato una vulnerabilità di Internet Explorer che permetteva l estrazione e l esecuzione automatica di codice binario da un file HTML. Tale vulnerabilità è stata usata per la prima volta in un altro codice dannoso di origine russa, una variante del cavallo di troia Startpage. Questa vulnerabilità di Internet Explorer è stata usata da tutta la famiglia di worm Mimail e da un certo numero di cavalli di troia. Sembra che l autore del Mimail ha rilasciato pubblicamente il codice sorgente del worm, provocando anche in questo caso come già era avvenuto per l Avron la comparsa di numerose varianti scritte in altre paesi, tra cui Francia e gli USA. OASI - Servizio SECURITYNET 10

11 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 Nel settembre del 2003 è stata la volta del worm Swen. Questo worm ha avuto la caratteristica di creare dei messaggi di posta elettronica infetti che si presentavano all utente in modo convincente e ingannandolo, simulando la distribuzione di patch di sicurezza rilasciate da Microsoft. Anche lo Swen ha infettato migliaia di computer ed è stato uno dei worm che si è più diffuso nel corso del In questo caso, per tentare di assicurare la massima amplificazione alla diffusione del worm, l autore ha impiegato con successo una tecnica di social engineering. Infatti, molti utenti erano rimasti vittime delle precedenti infezioni causate da Blaster e da altri worm che per diffondersi sfruttavano diverse vulnerabilità di sistema, e per ciò erano ben disposti ad installare eventuali patch di sicurezza per proteggere i loro computer. Nel 2003 hanno suscitato interesse anche i casi dei worm Sober e della backdoor Afcore. Il primo, probabilmente realizzato in Germania è stato un worm relativamente semplice: in modo simile al Sobig, senza cioè fare uso di tecniche complesse, si è comunque diffuso su vasta scala. La backdoor Afcore, al contrario, non si è particolarmente diffusa, ma ha presentato nuove soluzioni di attacco a causa della tecnica usata per sfuggire all identificazione. Questa backdoor, infatti, si nasconde all interno dei data stream alternativi presenti nel file system NTFS, usando quelli delle directory. PRIMI DATI DEL 2004 I primi mesi dell anno 2004 sono stati caratterizzati da nuove epidemie e dalla presenza di worm aggressivi, di rapida propagazione, che hanno richiesto immediati aggiornamenti di software antivirus. Colpiti da MyDoom 100 milioni di in 36 ore Il 25 gennaio 2004 un nuovo virus informatico chiamato MyDoom letteralmente «il Mio Destino», noto altresì come Norvag, è stato protagonista di una diffusione la cui rapidità ha sorpreso anche il mondo scientifico, contagiando una su ogni tre circolanti in rete. In Europa oltre un terzo di tutti i messaggi di posta elettronica sarebbero stati contagiati. Secondo fonti giornalistiche il virus in 36 ore ha colpito 100 milioni di computer. L Internet worm è stato, probabilmente, il più aggressivo di tutti i tempi nella storia dei virus. In molti casi, il necessario blocco dei filtri, ha generato la perdita di validi messaggi di posta elettronica. Una ricompensa di 250 mila dollari è stata offerta dalla Microsoft a chi sia in grado di fornire informazioni utili all arresto dell autore. L Fbi ha aperto un inchiesta. Con Netsky e Bagle è guerra tra scrittori di virus Altri due virus con caratteristiche di I-worm hanno interessato la quasi totalità delle aziende nel mese di gennaio. Il 18 del mese è apparsa una variante del virus Bagle, il 26 di Netsky. Nelle giornate successive si è registrato un proliferare di varianti privo di precedenti, ne sono state segnalate oltre 25 per virus. Ogni variante ha costretto i produttori di antivirus a creare e mettere tempestivamente in linea gli aggiornamenti delle impronte virali oltre ai tool di rimozione. Conseguentemente le imprese hanno dovuto aggiornare quasi ogni giorno le difese installate. Alcune varianti per diffondersi hanno utilizzato file.zip con password e, come gli altri virus di questo tipo, hanno sfruttato alcune vulnerabilità dei sistemi operativi. OASI - Servizio SECURITYNET 11

12 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 Virus e spammer Tra la fine di febbraio e i primi di marzo 2004 si è assistito ad un episodio insolito innescato dagli autori dei tre virus Bagle, Netsky e MyDoom che ha suscitato nuovi interrogativi sulle motivazioni che stanno alla base del fenomeno sociale. Gli autori dei predetti virus hanno dato origine ad un polemico scambio di reciproche accuse. Gli autori di NetSky hanno sostenuto che quelli che hanno diffuso MyDoom e Bagle sono degli spammer (invio non sollecitato di commerciali) o comunque vicini a gruppi implicati nello spam. Tra gli effetti del virus Netsky quello di disattivare MyDoom. Una delle varianti di NetSky contiene la frase Noi siamo skynet - non potete nascondervi - noi uccidiamo gli autori di malware. Tra le repliche successive una frase contenuta nella versione G di MyDoom rivolta direttamente agli autori di NetSky, che vengono presi in giro per la povertà tecnica del loro worm. Il caso Sasser La Microsoft il 13 aprile 2004 ha segnalato una vulnerabilità del sistema operativo Windows ed ha reso disponibile un aggiornamento. Il 1 maggio è stato individuato un nuovo worm definito Sasser in grado di sfruttare tale vulnerabilità. Il virus ha iniziato a diffondersi nelle giornate di sabato e domenica. Lunedì 3 maggio alla riapertura degli uffici migliaia di computer hanno presentato difficoltà operative. Alcune aziende hanno registrato serie e gravi difficoltà e sono state costrette ad aggiornare o reinstallare il software. Secondo alcune stime 18 milioni di computer risuteranno, poi, colpiti. Anche in questo caso è stata offerta dalla Microsoft una taglia di dollari a chi favorisse l arresto dell autore che sarà individuato e fermato dopo alcuni giorni in Germania a Rotenburg. Si tratta di un giovane di diciotto anni della Bassa Sassonia. Nell'ambito della stessa inchiesta, la polizia di Stato tedesca è riuscita ad individuare ed arrestare anche l'autore del virus 'Phatbot': un giovane di 21 anni che ha confessato di aver creato il virus unitamente ad altri hackers di Baviera, Amburgo e Bassa Sassonia. Primo virus che infetta i file a 64 bit (W64.Rugrat) Il 15 giugno 2004 è stato individuato il primo virus a 64 bit in grado di infettare i file eseguibili Windows con formato Portable Executable IA64 (Intel Architecture a 64 bit). Il virus è stato scritto in assembly a 64 bit e la sua lunghezza è di 3344 byte. Rugrat infetta i file eseguibili a 64 bit che si trovano nella stessa cartella e relative subdirectory - da dove viene eseguito un file infetto, comportandosi come un virus ad azione diretta, ovvero non rimane residente in memoria ma termina le proprie operazioni dopo aver infettato dei file. Il virus non infetta i file PE a 32 bit e non può girare in modo nativo sulle piattaforme Windows a 32 bit. Rugrat è un cosiddetto virus proof-of-concept, cioè scritto per dimostrare una tesi, piuttosto che per rappresentare una minaccia vera e propria, ma ha aperto una nuova strada per possibili metodologie di attacco future. Primo worm per i telefoni mobili Il 16 giugno è stato individuato un altro nuovo worm considerato sperimentale e che attacca i telefoni cellulari. Si diffonde utilizzando la tecnologia wireless Bluetooth e si trasmette da un telefonino all altro sotto forma di un pacchetto Symbian SIS, cioè tramite particolari pacchetti software che facilitano l installazione delle applicazioni su questa piattaforma software. Il worm si attiva sui mobile device OASI - Servizio SECURITYNET 12

13 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 Serie 60 che usano il sistema operativo Symbian Epoc. Il worm non possiede effetti distruttivi ad eccezione del fatto che il controllo costante di device Bluetooth da parte del worm provoca un consumo delle batterie superiore alla norma. IPOTESI SUL FUTURO 1. Verso zero giorni tra scoperta della vulnerabilità e la diffusione di virus per sfruttarle. 2. Worm concepiti per diffondersi direttamente attraverso pacchetti di rete e non via Worm che infettano file a 64 bit. 4. Antivirus e firewall per difendersi. Nel 2003 la tendenza più importante è stata rappresentata dall assoluta predominanza degli Internet worm. In un certo senso è tramontata l era dei virus, sostituiti negli ultimi anni dai worm via , e pare iniziata la moda dei network worm. Questo constatazione evidenzia ancora una volta l importanza di installare firewall per proteggere i singoli computer e la rete aziendale. Ridotto il tempo tra scoperta della vulnerabilità e attacchi La continua scoperta di falle di sicurezza nei software sia applicativi, sia di sistema, è causa di gravi rischi, che spesso si concretizzano in vulnerabilità sfruttate da malintenzionati per penetrare direttamente all interno di reti di computer o per scrivere nuovi, devastanti virus informatici. Negli anni precedenti, le vulnerabilità usate per questi scopi erano conosciute da tempo ed esistevano già le relative patch di sicurezza. L intervallo tra la scoperta di una vulnerabilità e il suo sfruttamento da parte di codice dannoso scritto appositamente era relativamente lungo, o comunque sufficiente per provvedere ad installare il software correttivo. Ma negli ultimi tre anni, ed in particolare nel 2003, questo intervallo di tempo si è ridotto progressivamente. Si consideri, ad esempio, che nel caso di Slammer, la falla presente in Microsoft SQL Server era conosciuta circa sei mesi prima che venisse diffuso questo worm. Nel giro di un paio di mesi dalla scoperta della vulnerabilità, su Internet erano state pubblicate le istruzioni utili per portare un attacco alle piattaforme vulnerabili. Ma per quanto riguarda Blaster, il cui attacco è cominciato il 12 agosto 2003, è importante sottolineare che il worm è comparso a soli ventisei giorni di distanza dalla pubblicazione della vulnerabilità DCOM/RPC in Microsoft Windows, sfruttata dal worm per diffondersi sui sistemi ancora privi di patch. Il rapporto tra vulnerabilità segnalate e giorni dell anno è diminuito. Tale rapporto nel 2001 era di 50 giorni, nel 2002 di 40, nel 2003 di 17, nel 2004 è di 13 giorni. Anche l intervallo tra la scoperta di una vulnerabilità e il suo sfruttamento da parte di codice dannoso si è ridotto progressivamente. La tendenza ha indotto alcuni esperti di sicurezza ad ipotizzare che in futuro si potrà giungere alla realizzazione di worm in grado di sfruttare le falle di sicurezza il giorno stesso della loro scoperta, cioè in giorni zero. Gli autori di worm e virus sanno bene che il metodo migliore per assicurare la rapida diffusione dei loro codici dannosi consiste nello sfruttare tali vulnerabilità. La diffusione del cavallo di troia StartPage è stata registrata a partire dal 20 maggio OASI - Servizio SECURITYNET 13

14 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO Per infettare i sistemi, questo trojan sfrutta la vulnerabilità SelfExecHtml di Internet Explorer per la quale, in quel momento, non esisteva alcuna patch di sicurezza. Se questa tendenza dovesse trovare conferma, il futuro prossimo potrebbe riservare molte coincidenze tra attacchi di nuovi virus e worm e contemporanei annunci della scoperta di nuove vulnerabilità. Backdoor, spammer e spyware Un altra tendenza che si era prospettata già nel 2002 è stata confermata e consolidata nel 2003, consiste nella scrittura di backdoor e spyware. In tale categoria di software dannoso spiccano in modo particolare Agobot e Afcore. Attualmente esistono centinaia di varianti di Agobot, il cui codice sorgente originario è stato pubblicato su Internet e viene continuamente modificato per sfuggire all identificazione dei programmi antivirus. La realizzazione di backdoor e di programmi capaci di funzionare come relay anonimi di non richieste, quali TrojanProxy e Sobig, ha permesso di ipotizzare che alcuni autori di virus, forse, hanno cominciato ad agire di comune accordo con gli spammer. Attacchi ai moderni sistemi Gli autori di virus hanno sempre dimostrato, sin dagli anni ottanta, una rapida capacità di adattarsi alle innovazioni tecnologiche. Si pensi, ad esempio, alla rapidità con la quale abbandonarono gli attacchi al sistema operativo Dos per dedicarsi all ambiente Windows generando i Macrovirus. Con il prossimo avvento dei sistemi a 64 bit è ipotizzabile una rapida diffusione di virus per tali soluzioni, come già dimostrato dal worm Rugrat. Analogamente potranno essere attaccate tutte le soluzioni innovative di strumenti elettronici che interagiscono e si integrano con i computer, come i telefoni mobili di ultimi generazione, computer palmari, ecc.. OASI - Servizio SECURITYNET 14

15 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 INDICAZIONI PER LA PREVENZIONE Per proteggere efficacemente i computer, sono necessarie diverse e contemporanee soluzioni tecniche e azioni organizzative. Innanzitutto l uso degli antivirus deve essere disciplinato da una policy nella quale siano previsti almeno i seguenti tre importanti e indispensabili elementi: 1) l organizzazione tempestiva degli aggiornamenti, 2) la verifica e l installazione delle patch di sicurezza rilasciate per i sistemi e le applicazioni interessate, 3) la diffusione di messaggi di allarme. Gli sviluppatori di software rilasciano gratuitamente tali patch rendendole disponibili sui loro siti web e spesso permettono agli utenti di tenersi aggiornati su vulnerabilità e relative soluzioni tramite l impiego di speciali plug-in, gruppi di discussione o mailing list appositamente concepite. Tali aggiornamenti sono anche richiesti nell ambito delle misure minime di sicurezza poste a protezione dei dati personali nelle prescrizioni di cui al d.lgs. 196/2003. Gli utenti dei sistemi operativi ed in particolare delle applicazioni Microsoft dovrebbero prestare maggior attenzione all aggiornamento di Windows, di Outlook nelle varie versioni e di Internet Explorer. L iscrizione a mailing list specializzate in materia di sicurezza e la consultazione dei relativi archivi saranno utili sia agli amministratori di sistema, sia agli utenti finali. I messaggi di allarme e gli avvisi sulla sicurezza devono essere diffusi in azienda previa individuazione selettiva dei destinatari. Tali attività, tuttavia, risultano particolarmente pesanti da gestire e richiedono risorse dedicate. Per questi motivi risultano utili i servizi accentrati (come il sistema di allarmi ed avvisi del network SecurityNet) che risolvono a monte delle singole organizzazioni gran parte delle attività di ricerca delle necessità di interesse comune. L installazione di programmi antivirus aggiornati e software anti SpyWare può aiutare molto a minimizzare i rischi di diffusione dei virus su reti locali connesse a Internet. Ma oltre a una protezione efficace basata sul software antivirus, l aggiornamento del software a copertura delle vulnerabilità, la diffusione di alert, è anche importante inserire nella policy azioni preventive come: filtri SMTP/POP3/IMAP centralizzati che blocchino allegati sospetti (file EXE, script, ecc.) prima che raggiungano la casella di posta elettronica dell utente finale; firme digitali delle macro e relativa impostazione di sicurezza all interno delle applicazioni Microsoft Office, che nelle versioni più recenti permettono un efficace controllo sull esecuzione del codice; distribuzione centralizzata di patch di sicurezza; firewall e sistemi di auditing che possano rilevare euristicamente la presenza di traffico sospetto (Intrusion Detection System). Indicazioni di sintesi per la prevenzione Sulla base delle analisi dei casi, degli incidenti, delle diverse tipologie di virus e worm circolanti, delle modalità con cui si propaga un infezione all interno di un azienda e degli altri indicatori emersi nella ricerca, è possibile formulare il seguente elenco di raccomandazioni utili per la prevenzione. OASI - Servizio SECURITYNET 15

16 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO Installare ed aggiornare frequentemente senza indugio gli antivirus. 2. Installare sempre le patch di sicurezza rilasciate dai fornitori per i sistemi operativi e le applicazioni interessate, ed organizzare il processo interno per la gestione degli aggiornamenti. 3. Ricevere, consultare ed organizzare la diffusione interna dei messaggi di allarmi. 4. Impostare le regole per la ricezione delle Dotarsi di firewall e sistemi di auditing che possano rilevare euristicamente la presenza di traffico sospetto (Intrusion Detection System). 6. Installare software specifico, per contrastare lo Spamming, che può essere veicolo di file infetti da virus o SpyWare 7. Installare ed aggiornare frequentemente programmi anti SpyWare (SpyBot, Ad-ware etc), che possono essere efficaci laddove non lo sia un antivirus. Nell attività organizzativa e per le disposizioni interne da impartire nelle policy di sicurezza si consideri che: - Nella posta elettronica, quando si introducono allegati alla spedizione del messaggio nel caso vengano inviati documenti scritti con MS Word si usi il formato RTF (Rich Text Format) e non quello.doc (documento MS Word). - Si configuri Windows in maniera che sia possibile visualizzare l estensione dei file. - Non si aprano allegati, se non precedentemente analizzati con un antivirus, che contengono un estensione doppia, in particolare quelli che hanno estensione VBS, SHS, PIF o BAT. - Si eviti, ove possibile e non strettamente necessario, di condividere le proprie risorse con altri utenti. - Se si riceve un messaggio di posta elettronica da una persona conosciuta e tale presenta un contenuto insolito, si effettui un controllo con il proprio corrispondente prima di aprire un eventuale allegato. - Non si accettino file che arrivino da persone sconosciute durante collegamenti a server IRC, ICQ o AOL Instant Messenger. - Non si considerino le icone mostrate dagli allegati come garanzia dell integrità del software. - Quando si ricevono delle non richieste o con contenuti pubblicitari non si eseguano, senza aver preventivamente valutato la circostanza, collegamenti a indirizzi Web presenti nel testo delle . - Se si frequentano dei forum di discussione si eviti di prelevare e/o aprire file che vengono spediti su tali forum se non si è certi del loro contenuto. - Si controlli bene che i CD masterizzati e scambiati siano immuni da virus di file. - Si eviti di prelevare software da sorgenti quali dove gli utenti spesso condividono programmi (che spesso risultano infetti ovvero organizzati in cavalli di Troia mascherati da applicazioni). OASI - Servizio SECURITYNET 16

17 RICERCA SUI VIRUS INFORMATICI CIRCOLANTI IN ITALIA XII RAPPORTO - ANNO 2003 DATI, TABELLE E GRAFICI VIRUS CIRCOLANTI IN ITALIA NEL 2003 La tabella che segue riepiloga i casi di incidenti provocati da virus, internet worm e altri codici pericolosi segnalati dalle aziende aderenti a SecurityNet. Per ciascun tipo di codice pericoloso (per brevità, di seguito: virus) viene indicato il numero dei casi registrati, la percentuale rispetto al totale dei casi e la frequenza cumulata. La quasi totalità dei casi, fatta eccezione per 46 eventi su sono dovuti a virus della tipologia I-worm W32. Venti codici maligni hanno generato la quasi totalità dei casi. VIRUS CASI % Cumulata 1 W32.Swen % 18,85% 2 W32.Lovsan % 33,79% 3 W32.Bugbear.B % 47,92% 4 W32.Sobig 111 9% 56,79% 5 W32.Opaserv 102 8% 64,94% 6 W32.Mimail 88 7% 71,96% 7 W32.Lirva 36 3% 74,84% 8 W32.Lovgate 34 3% 77,56% 9 W32.Nimda 33 3% 80,19% 10 AdClicker-H 32 3% 82,75% 11 W32.Fizzer 29 2% 85,06% 12 W32.Klez 27 2% 87,22% 13 W32.FunLove 25 2% 89,22% 14 W32.Deloder 19 2% 90,73% 15 W32.Datom 15 1% 91,93% 16 JS/Flea 13 1% 92,97% 17 W32.Marque 13 1% 94,01% 18 W32.Yaha 12 1% 94,97% 19 W95.Spaces 10 1% 95,77% 20 W32.Dupator 9 1% 96,49% VIRUS CASI % Cumulata 28 W32.Gaobot 2 29 W32.Js.Noclose 2 30 W32.Spybot.worm 2 31 Form 1 32 JS.Fortnight 1 33 W32.Checkin.b 1 34 W32.Explore.Zip 1 35 W32.Mapson.A 1 36 W32.Oror 1 37 W32.Porkis 1 38 W32.Xorala 1 39 W95.LoveSong 1 40 W97M.Marker 1 41 WM.Cap 1 42 Wyx.B 1 Totale complessivo W32.Sober 6 22 W32.Netspree 5 23 W32.Hybris 4 24 VBS Redolf 3 25 W32.Ganda 3 26 WM.Tristate 3 27 W32.Braid 2 OASI - Servizio SECURITYNET 17

18 TIPI DI VIRUS PIU DIFFUSI IN ITALIA NEL 2003 La tabella che segue permette di evidenziare le tipologie dei virus (worm, macro, boot). Si evidenzia che le infezioni sono state provocate da Internet Worm. Spicca l incidenza dei primi 6 Internet worm, in particolare i primi 3 che da soli hanno generato il 48% dei casi. Tutti e sono basati sullo sfruttamento di vulnerabilità. Virus Totale Tipo % W32.Swen 236 Worm 19% W32.Lovsan (Blaster) 187 Worm 15% W32.Bugbear.B 177 Worm 14% W32.Sobig 111 Worm 9% W32.Opaserv 102 Worm 8% W32.Mimail 88 Worm 7% W32.Lirva 36 Worm 3% W32.Lovgate 34 Worm 3% W32.Nimda 33 Worm 3% AdClicker-H 32 Worm 3% W32.Fizzer 29 Worm 2% W32.Klez 27 Worm 2% W32.FunLove 25 Worm 2% W32.Deloder 19 Worm 2% W32.Datom 15 Worm 1% W32.Marque 13 Worm 1% JS/Flea 13 Worm 1% W32.Yaha 12 Worm 1% W95.Spaces 10 Worm 1% W32.Dupator 9 Worm 1% W32.Sober 6 Worm 0% W32.Netspree 5 Worm 0% W32.Hybris 4 Worm 0% VBS Redolf 3 Worm 0% W32.Ganda 3 Worm 0% WM.Tristate 3 Macro 0% W32.Js.Noclose 2 Worm 0% W32.Braid 2 Worm 0% SWEN - il worm sfrutta una vulnerabilità di Internet Explorer Il messaggio può appare come un aggiornamento di Microsoft Termina i processi degli antivirus e si diffonde anche tramite rete locale. LOVESAN il worm sfrutta una vulnerabilità di alcuni sistemi operativi Microsoft identificata solo un mese prima della sua comparsa. Si diffonde via rete e infetta le macchine che non hanno installato gli aggiornamenti rilasciati da Microsoft senza nessun intervento da parte dell utente. Tutto i mondo è in allarme Microsoft fissa una taglia pubblica per chi fornisca informazioni sull autore dei virus LOVESAN e SOBIG.F BUGBEAR.B Il virus contiene stringhe di testo con un elenco di circa mille nomi di domini di banche. Quelle italiane sono un centinaio. Sfrutta una vulnerabilità di Internet Explorer. Intercetta i tasti premuti dall utente e attiva la porta TCP 1080 per consentire l accesso dall esterno al sistema. Fonte: OASI - SECURITYNET OASI- SECURITYNET 18

19 CASI RILEVATI PER CIASCUNO DEI VIRUS PIÙ DIFFUSI IN ITALIA NEL 2003 Le rappresentazioni grafiche con istogrammi e torte di seguito riportate, permettono la rapida percezione dell incidenza di ciascun tipo di virus sul fenomeno totale ed evidenziano la circostanza che la maggior parte dei casi sono dovuti in particolare a 6 virus. Fonte: OASI - SECURITYNET Swen Lovsan Bugbear.B Sobig Opaserv Mimail Lirva Lovgate Nimda AdClicker-H Fizzer Klez FunLove Deloder Datom Altri Mimail (7%) Opaserv (9%) Lirva (3%) Sobig (9%) Lovgate (3%) Nimda (3%) AdClicker-H (3%) Bugbear.B (15%) Fizzer (2%) Klez (2%) FunLove (2%) Deloder (2%) Lovsan (16%) Swen (19%) Datom (1%) altri (4%) OASI- SECURITYNET 19

20 DISTRIBUZIONE PERCENTUALE PER TIPOLOGIE DI VIRUS E WORM NEL 2003 La situazione osservata può essere sintetizzata nei seguenti aspetti fondamentali: 1. notevole diffusione di virus e worm che sfruttano vulnerabilità nella sicurezza del software e dei sistemi operativi; 2. diffusione di network worm che si affiancano agli worm; 3. comparsa di worm che si diffondono via rete senza usare file memorizzati su disco; 4. predominanza di worm che si propagano in reti Windows; 5. posta elettronica e Internet, insieme, costituiscono gli obiettivi preferiti dagli autori di virus per diffondere software dannoso (virus, cavalli di troia, worm e backdoor); 6. uso di vie alternative alle per propagare i virus: ICQ, Gnutella, MSN Messenger, IRC; 7. scomparsa dei virus basati su macro e script. Il grafico illustra l incidenza percentuale relativa alle tipologie di virus diffusi sul territorio italiano. Worm 100% Boot 0% Macro 0% Fonte: OASI - SECURITYNET I DIECI INTERNET WORM E VIRUS PIU DIFFUSI NEL 2003 W32.Lirva 3% W32.Lovgate 3% W32.Nimda 3% AdClicker-H 3% W32.Swen 24% W32.Mimail 8% W32.Opaserv 10% W32.Sobig 11% W32.Bugbear.B 17% W32.Lovsan 18% OASI- SECURITYNET 20