REPORT SULLE MINACCE ALLA SICUREZZA DEI SITI WEB 2013 PARTE 2

Transcript

1 REPORT SULLE MINACCE ALLA SICUREZZA DEI SITI WEB 2013 PARTE 2

2 BENVENUTI Report Symantec sulle minacce alla sicurezza dei siti Web Ogni anno Symantec pubblica l Internet Security Threat Report. Quello che qui presentiamo è un estratto del documento completo, redatto con particolare attenzione ai pericoli che minacciano i siti Web e le attività online. L intento è di fornire, a partire da una ricognizione degli eventi dell anno passato, un quadro aggiornato e fedele della realtà online. Nella realtà online, dove spesso la reputazione e il successo di un azienda si misurano in base alla fiducia attribuita dai clienti alla sicurezza del sito Web, è fondamentale capire come conservare e consolidare tale fiducia. In questo campo, SSL/TLS rappresenta da oltre un decennio uno strumento essenziale per rendere Internet affidabile e lo sarà ancora a lungo ogni volta che si tratterà di fornire i massimi livelli di protezione contro le minacce alla sicurezza informatica. In fondo, se la tecnologia impiegata è sofisticata e all avanguardia, l obiettivo è semplice: rendere Internet più sicuro per chiunque desideri svolgervi transazioni commerciali, siano essi gli operatori, i clienti o gli altri utenti con cui i primi interagiscono online. L invito è di utilizzare questo documento come riferimento per comprendere il panorama delle minacce e i mezzi a disposizione per proteggere l azienda e la relativa infrastruttura. Per ulteriori informazioni, contattare Symantec al numero o visitare symantecwss.com/it p. 2

3 VULNERABILITÀ EXPLOIT E TOOLKIT

4 VULNERABILITÀ, EXPLOIT E TOOLKIT Introduzione Una recente ricerca condotta dal Ponemon Institute mostra come i costi del crimine informatico siano aumentati del 6% nel 2012, con un incremento del 42% nel numero degli attacchi. In media, le aziende che ne sono vittima pagano, al fenomeno, un dazio di dollari. 1 Data la crescente disponibilità delle vulnerabilità e degli exploit, non sorprende la maggiore profittabilità che i criminali informatici riescono oggi a ottenere dalle loro attività. Individuare le vulnerabilità, creare gli strumenti per sfruttarle e sferrare l attacco per mezzo di questi richiedono una serie di competenze specifiche. I criminali informatici possono tuttavia contare su un fiorente mercato nero, in cui queste competenze possono essere facilmente acquisite sotto forma di toolkit. Vi sono hacker che individuano e sfruttano o vendono ad altri le vulnerabilità scoperte. Gli autori di toolkit trovano o acquistano codice exploit e lo incorporano nei propri prodotti. I criminali informatici, a loro volta, acquistano o rubano le versioni aggiornate dei toolkit che consentono loro di sferrare attacchi massicci senza nemmeno dover acquisire le competenze necessarie per realizzare l intera operazione. Dati salienti Le vulnerabilità zero-day sfruttate dagli hacker sono passate da 8 a 14 nel 2012 La disponibilità di un mercato nero sempre più sofisticato supporta un industria criminale online multimiliardaria Queste vulnerabilità vengono successivamente commercializzate e aggiunte ai toolkit di attacco Web, in genere dopo essere state rese pubbliche Nel 2012, gli attacchi Web drive-by sono aumentati di un terzo, verosimilmente a causa del malvertising Circa sono stati i Mac infettati dal malware Flashback nell anno Il toolkit Sakura, il cui impatto nel 2011 fu trascurabile, adesso è responsabile di circa il 22% degli attacchi con toolkit basati su Web, arrivando, in alcune occasioni, a superare Blackhole Data Vulnerabilità dei browser Fonte: Symantec Vulnerabilità dei plug-in Fonte: Symantec 50% Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera 50% Adobe Flash Player Oracle Sun Java Adobe Acrobat Reader Apple QuickTime p. 4

5 VULNERABILITÀ, EXPLOIT E TOOLKIT Vulnerabilità totali Fonte: Symantec GEN FEB 527 MAR APR 422 MAG GIU LUG AGO SET 517 OT NOV 292 DIC Sono state le vulnerabilità segnalate nel 2012, rispetto alle del 2011 Il numero delle vulnerabilità segnalate nel 2012 si aggirava tra le 300 e le 500 ogni mese Nel 2012, sono state scoperte 85 vulnerabilità dei sistemi SCADA (Supervisory Control and Data Acquisition) pubblici, una diminuzione netta rispetto alle 129 rilevate nel sono state le vulnerabilità mobili identificate nel 2012, rispetto alle 315 del 2011 Vulnerabilità zero-day Fonte: Symantec Una vulnerabilità zero-day è una vulnerabilità che è stata già sfruttata prima di diventare di dominio pubblico e che venga resa disponibile una patch per eliminarla Le vulnerabilità zero-day segnalate nel 2012 sono state 14 Le vulnerabilità zero-day segnalate ogni mese sono state fino a 3 GEN FEB MAR APR MAG GIU JUL LUG SET OTT NOV DIC p. 5

6 VULNERABILITÀ, EXPLOIT E TOOLKIT Analisi Attacchi Web in aumento Si è assistito a un aumento del numero di attacchi Web di almeno un terzo. Questi attacchi infettano in modo silenzioso i dispositivi degli utenti aziendali o privati che visitano un determinato sito Web. In altri termini, si può rimanere infettati semplicemente visitando un sito Web legittimo. In genere, gli aggressori si infiltrano nel sito Web per installare i propri toolkit di attacco e i payload del malware, all insaputa del proprietario del sito o delle vittime potenziali. Il payload del malware rilasciato dai toolkit di attacco Web utilizza spesso il polimorfismo lato server o viene generato in modo dinamico, rendendo le aziende che si proteggono tramite semplici antivirus basati sulla firma inermi di fronte a questi attacchi silenziosi. Una porzione nascosta di JavaScript o alcune righe di codice che collega a un altro sito Web possono installare malware molto difficile da rilevare. Quindi, verificano il sistema di ciascun visitatore alla ricerca di vulnerabilità del browser o del sistema informatico e, se ne trovano una utile allo scopo, la sfruttano per installare il malware nel computer della vittima. Il successo di questi attacchi è dovuto al fatto che i sistemi aziendali o privati non sono aggiornati alle patch più recenti per i plug-in dei browser, da Adobe Flash Player e Acrobat Reader alla piattaforma Java di Oracle. Se il fenomeno può essere in parte attribuito alla disattenzione dei consumatori per gli aggiornamenti dei loro dispositivi, si deve tuttavia tenere presente che spesso, nelle grandi aziende, una certa resistenza all aggiornamento alle versioni più recenti è dovuta all esigenza di mantenere versioni legacy dei plugin richieste da sistemi aziendali critici. Tali policy di gestione delle patch, che ne rallentano la distribuzione, rendono le aziende particolarmente vulnerabili agli attacchi Web. È importante notare che il volume delle vulnerabilità non ha alcuna relazione con l aumento dei livelli di rischio. Una singola vulnerabilità in un applicazione può rappresentare un rischio critico per un organizzazione, se sfruttata in modo efficace. L analisi del rischio posto dalle vulnerabilità sfruttate nei toolkit di attacco Web è un area a cui Symantec dedicherà ulteriore attenzione nel corso di quest anno. p. 6 Il dato chiave è il seguente: la responsabilità del successo di questo tipo di attacchi non è delle nuove vulnerabilità zero-day. La frequenza degli attacchi provenienti da siti Web compromessi è aumentata del 30%, mentre il tasso di rilevamento delle vulnerabilità è cresciuto appena del 6%. In altri termini, sono le vulnerabilità preesistenti, non contrastate con nuove patch, a causare la compromissione della maggior parte dei sistemi. La corsa agli armamenti per la guerra delle vulnerabilità Quest anno abbiamo assistito a un aumento delle vulnerabilità zero-day. Sono state 14 le vulnerabilità non segnalate sfruttate indiscriminatamente dagli hacker nel 2012, quando ancora nel 2011 erano 8. Nel complesso, le vulnerabilità segnalate sono lievemente aumentate nel 2012, dalle del 2011 alle del Anche le vulnerabilità mobili sono aumentate, dalle 315 del 2011 alle 415 segnalate nel Gruppi organizzati, come quello dietro gli attacchi Elderwood, hanno mirato alla ricerca di nuovi punti deboli nel software di uso quotidiano, come i browser e i relativi plug-in. Quando una vulnerabilità diventa nota, sono in grado di individuarne rapidamente una nuova, capacità che la dice lunga sul grado di sofisticatezza delle competenze di questi gruppi. È in corso una vera e propria corsa agli armamenti tra i criminali informatici e gli sviluppatori di software legittimo. Tuttavia, alla rapidità con cui i primi sono capaci di trovare e sfruttare nuove vulnerabilità non corrisponde un analoga tempestività da parte dei produttori di software nel rimuoverle e creare apposite patch. Alcune software house rilasciano le loro patch solo trimestralmente, altre sono lente a prendere atto delle vulnerabilità. E anche quando queste sviluppano aggiornamenti ben congegnati, le aziende sono spesso lente a distribuirli. Se le vulnerabilità zero-day rappresentano una grave minaccia per la sicurezza, le vulnerabilità note o persino già contemplate da patch sono pericolose quando vengono ignorate. Molte aziende e privati non applicano gli aggiornamenti pubblicati in tempo utile. Grazie ai toolkit che sfruttano le vulnerabilità note, i criminali possono facilmente prendere di mira milioni di PC e trovare quelli che non offrono resistenza all infezione. In realtà, le vulnerabilità che vengono sfruttate più spesso non sono le più nuove.

7 VULNERABILITÀ, EXPLOIT E TOOLKIT Malvertising e compromissione dei siti Web Come riesce un hacker a introdurre codice in un sito Web legittimo? In modo molto semplice, grazie ai toolkit oggi disponibili. Ad esempio, nel maggio 2012, il toolkit LizaMoon si è servito di una tecnica di tipo SQL injection per infettare almeno un milione di siti Web. 2 Altri metodi sono: Lo sfruttamento di una vulnerabilità nota nel software di hosting o di gestione del contenuto del sito Web L impiego di phishing, spyware o social engineering per ottenere la password del webmaster L intrusione nell infrastruttura di backend del server Web, come i pannelli di controllo o i database La richiesta di pubblicare a pagamento una pubblicità contenente un infezione Pubblicità online di toolkit malware Quest ultima tecnica, nota come malvertising (da malicious advertising, pubblicità dannosa), implica che siti legittimi possono venire coinvolti in questo schema criminale senza nemmeno essere compromessi. Questa forma di attacco pare molto comune. Utilizzando software di scansione sperimentale, Symantec ha rilevato che la metà dei siti testati era infetta da malvertising. Il malvertising apre un autostrada agli attacchi utilizzati dagli hacker per compromettere un sito Web senza necessità di violarlo direttamente. Tramite queste pubblicità dannose, gli hacker possono infettare in modo silenzioso gli utenti, spesso installando malware creato dinamicamente, non rilevabile dal solo antivirus. La gravità del problema è confermata dal fatto che Google e altri motori di ricerca sottopongono a scansione anti-malware i siti e inseriscono nelle blacklist quelli in cui è stata rilevata la presenza di malware. In alcune occasioni, a cadere preda del malware sono state reti pubblicitarie famose, con effetti che hanno raggiunto alcuni nomi di spicco del panorama dei media online. 3 Situazioni come questa possono avere un impatto rilevante sui siti Web il cui successo dipende spesso dalle entrate che generano, essendo in grado di minare la credibilità esercitata sui propri lettori. Di fronte a decine di reti pubblicitarie e pubblicità in continua rotazione, tenere traccia del malvertising e prevenirlo diventa estremamente difficile. p. 7

8 VULNERABILITÀ, EXPLOIT E TOOLKIT Toolkit di attacco Web Un conto è scoprire nuove vulnerabilità, un altro è implementare un modo per sfruttarle. Coloro che ne fanno un business le trasformano in toolkit che possono essere acquistati e utilizzati anche dagli utenti meno tecnicamente preparati. Tali toolkit arrivano a includere persino supporto e garanzie, come il software commerciale. Gli autori accettano i pagamenti su conti anonimi tenuti presso servizi di pagamento online. Esistono toolkit di attacco per creare una grande varietà di malware e per attaccare i siti Web. Un esempio famoso è il popolare toolkit Blackhole. La strategia di aggiornamento suggerisce che siamo di fronte a una forma di fidelizzazione del marchio, che gli autori sfruttano allo stesso modo dei produttori di software legittimo, alimentandola con aggiornamenti e nuove edizioni. Blackhole ha continuato a far sentire la sua presenza nel 2012, rappresentando il 41% del totale degli attacchi basati su Web. In settembre ne è anche stata rilasciata una versione aggiornata, denominata Blackhole 2.0. Tuttavia, il dominio di Blackhole potrebbe essere in lieve declino, dopo essere stato sorpassato per alcuni mesi nella seconda metà del 2012 da un altro toolkit Toolkit di attacco Web nel tempo Fonte: Symantec 90% di attacco Web: Sakura, una novità assoluta del mercato, ha raggiunto picchi del 60% dell intera attività legata ai toolkit e ha rappresentato il 22% del utilizzo complessivo dei toolkit nel Toolkit di attacco Web più diffusi (%) Fonte: Symantec Sakura 22% Blackhole 41% Altri 20% 10% Phoenix 7% Redkit Circa il 41% dei toolkit di attacco Web nel 2012 era riconducibile al toolkit Blackhole, rispetto al 44% del Il toolkit Sakura non compare tra i primi 10 nel 2011, mentre nel 2012 è responsabile di circa il 22% degli attacchi Web da toolkit, superando lo stesso Blackhole in alcuni momenti dell anno. Altri Blackhole Sakura Nuclear Redkit 10 Phoenix GEN FEB MAR APR MAG GIU LUG AGO SET OTT NOV DIC p. 8

9 VULNERABILITÀ, EXPLOIT E TOOLKIT Scansione anti-malware e valutazione della vulnerabilità del sito Web Nel 2012, la tecnologia delle soluzioni per la sicurezza dei siti Web di Symantec (precedentemente VeriSign) ha permesso di analizzare oltre 1,5 milioni di siti Web nell ambito dei servizi di scansione anti-malware e di valutazione della vulnerabilità dei siti Web. Oltre URL sono stati analizzati ogni giorno per rilevare l eventuale presenza di malware, con una frequenza di 1 sito Web infetto ogni 532. La forma più comune di violazione è stata l utilizzo dei download drive-by. Valutando le vulnerabilità potenzialmente violabili dei siti Web, sono state inoltre eseguite oltre scansioni al giorno. In circa il 53% dei siti Web analizzati sono stati riscontrate vulnerabilità non coperte da patch e potenzialmente violabili (36% nel 2011), di cui il 24 considerato critico (25% nel 2011). La vulnerabilità più comune è stata quella relativa al Cross Site Scripting. L espansione delle connessioni sicure Un modo per valutare l aumento dell utilizzo di SSL consiste nel monitorare le variazioni statistiche delle ricerche OCSP (Online Certificate Status Protocol, utilizzato per ottenere lo stato di revoca di un certificato digitale) e CRL (Certificate Revocation List). Quando viene stabilita una connessione sicura SSL, viene eseguito un controllo di revoca mediante OCSP o CRL e viene tenuta traccia del numero delle ricerche effettuate nei sistemi Symantec. In questo modo si ottiene un indicatore di crescita del numero delle sessioni protette SSL eseguite online. Ciò implica che più persone usano il Web e che lo fanno su connessioni sicure (indicando così, ad esempio, un aumento delle transazioni di e-commerce). Può inoltre mostrare l impatto di un adozione di SSL più ampia, in più aree e per più utenti, come l utilizzo crescente dei certificati SSL Extended Validation, che attivano la visualizzazione della barra degli indirizzi verde nei browser quando l utente visita un sito sicuro, e di Always On SSL (adottato in massa nel corso del 2012 dai social network, dai servizi di ricerca e dai fornitori di online). Inoltre, può essere un risultato dei dispositivi diversi dai desktop e dai laptop tradizionali che consentono l accesso online, ad esempio smartphone e tablet. Nel 2012, Symantec ha rilevato che il numero medio di ricerche OCSP è aumentato del 31% tra 2011 e 2012, con oltre 4,8 miliardi di ricerche eseguite ogni giorno nel Il picco delle ricerche OCSP è stato di 5,8 miliardi in un solo giorno nel Vale la pena notare che OCSP è la moderna metodologia di verifica delle revoche. Inoltre, le ricerche CRL di Symantec sono aumentate del 45% annuo tra il 2011 e il 2012, con circa 1,4 miliardi al giorno e un picco di 2,1 miliardi. CRL è la tecnologia di ricerca precedente, ormai superata da OCSP. Norton Secured Seal e marchi di fiducia Nel 2012 i consumatori che hanno scelto di visitare i siti che esponevano marchi di fiducia (come il Norton Secured Seal) sono stati più numerosi rispetto al In base alle statistiche fornite dai marchi di fiducia di Symantec, l aumento nel corso dell anno è stato dell 8%. Il Norton Secured Seal è stato visualizzato fino a 750 milioni di volte al giorno nel 2012, a riprova che più utenti online necessitano di una protezione più solida a tutela delle loro attività sul Web. Furto di certificati con chiavi di firma Il 2012 mostra come le organizzazioni, di qualsiasi dimensione esse siano, continuino a essere suscettibili di diventare protagonisti inconsapevoli della rete globale di distribuzione del malware. Si è rilevato un aumento dell attività relativa a malware firmato con certificati di firma del codice legittimi. Dal momento che il codice del malware è firmato e che, pertanto, sembra a tutti gli effetti legittimo, incontra meno ostacoli nel diffondersi. Gli sviluppatori di malware utilizzano spesso chiavi private di firma del codice rubate. Per riuscirvi, attaccano le autorità di certificazione e, una volta introdottisi nelle loro reti, cercano e rubano le chiavi private. In altri casi, l assenza di procedure di sicurezza rigorose permette loro di acquistare certificati legittimi dietro falsa identità. È il caso di Comodo, un autorità di certificazione di grandi dimensioni, che nel maggio 2012 ha autenticato e rilasciato erroneamente un certificato di firma del codice legittimo a un organizzazione fittizia gestita da hacker. 4 p. 9

10 RACCOMANDAZIONI Utilizzare uno spettro completo di tecnologie di protezione Se il panorama delle minacce fosse meno avanzato, la tecnologia di scansione dei file (comunemente denominata antivirus) sarebbe sufficiente per prevenire le infezioni malware. Tuttavia, al cospetto dei toolkit che consentono di creare malware on-demand, malware polimorfico ed exploit zero-day, l antivirus non è più sufficiente. Per prevenire gli attacchi è necessario installare negli endpoint sistemi di protezione basata su rete e tecnologie di reputazione. Oltre a ciò, devono essere utilizzati il blocco dei comportamenti sospetti e la scansione programmata dei file per trovare malware che sfugge alla difesa preventiva. Proteggere i siti Web pubblici Prendere in considerazione l impiego di Always On SSL per crittografare le interazioni dei visitatori non solo nelle pagine di pagamento o di registrazione, ma nell intero sito. Aggiornare il sistema di gestione del contenuto e il software del server Web esattamente come qualsiasi PC client. Eseguire strumenti di valutazione della vulnerabilità e di scansione antimalware sui siti Web per rilevare tempestivamente i problemi. Per proteggere le credenziali contro il social engineering e il phishing, utilizzare password complesse per gli account amministrativi e gli altri servizi. Limitare l accesso con credenziali per i server Web importanti agli utenti che devono realmente disporne. L adozione di un approccio Always On SSL salvaguarda le informazioni degli account dalle connessioni non crittografate e rende pertanto gli utenti meno vulnerabili agli attacchi man-inthe-middle. Proteggere i certificati di firma del codice I proprietari dei certificati devono applicare policy di protezione e di sicurezza rigorose a tutela delle chiavi. Ciò include una sicurezza di rete adeguata, l utilizzo di moduli di sicurezza hardware basata su crittografia e sistemi di sicurezza di rete e degli endpoint efficaci, inclusa la prevenzione della perdita di dati sui server utilizzati per la firma del codice e la sicurezza totale delle applicazioni adibite al medesimo scopo. Inoltre, è necessario che le autorità di certificazione si assicurino di applicare le procedure ottimali in ogni passaggio del processo di autenticazione. Applicare senza esitazioni gli aggiornamenti del software e rivedere i processi di patching La maggior parte degli attacchi basati sul Web sfrutta le 20 vulnerabilità più comuni. Pertanto, l installazione delle patch sviluppate per le vulnerabilità note permetterà di evitare gli attacchi più frequenti. È essenziale applicare gli aggiornamenti e le patch al software con tempestività. In particolare, di fronte a rischi come gli attacchi Flashback basati su Java, è importante eseguire la versione più recente di tale software oppure rinunciare a utilizzarlo. Queste prassi valgono sia per i CIO che gestiscono migliaia di utenti che per i proprietari di PMI con qualche decina di utenti che per i privati che operano nell ambiente domestico. Aggiornare, applicare patch ed effettuare la migrazione da browser, applicazioni e componenti aggiuntivi obsoleti e non sicuri alle nuove versioni, utilizzando i meccanismi di aggiornamento automatico offerti dai fornitori, specialmente per le vulnerabilità software più diffuse. La maggior parte dei fornitori di software agiscono con diligenza riguardo al rilascio di patch per la risoluzione di vulnerabilità nel software sfruttabili. Tali patch, tuttavia, possono essere efficaci unicamente quando implementate in modo sistematico. Prestare particolare attenzione alla distribuzione di immagini standard aziendali che contengono versioni obsolete di browser, applicazioni e componenti aggiuntivi superati e insicuri. Valutare l opportunità di rimuovere plugin vulnerabili dalle immagini utilizzate da dipendenti che non necessitano di quel software. Ovunque possibile, automatizzare la distribuzione delle patch per mantenere efficace la protezione contro le vulnerabilità in tutta l organizzazione. p. 10

11 SOCIAL NETWORKING MOBILE E CLOUD

12 SOCIAL NETWORKING, MOBILE E CLOUD Lo spam e il phishing si trasferiscono nei social media Negli ultimi anni abbiamo assistito a un significativo diffondersi dello spam e del phishing nei siti di social media. I criminali seguono gli utenti nei siti che frequentano di più. La fortuna che Facebook e Twitter hanno conosciuto in tempi recenti ha, naturalmente, attirato altrettanta attività illecita. Tuttavia, nell ultimo anno, i criminali online hanno anche iniziato a interessarsi di siti più nuovi e in rapida crescita come Instagram, Pinterest e Tumblr. Le minacce tipiche vanno dai falsi buoni regalo ai sondaggi fraudolenti. Questo tipo di frodi mascherate dietro offerte fittizie rappresenta più della metà (56%) di tutti gli attacchi condotti contro i social media. Uno schema di esempio è il seguente: la vittima vede un post sulla bacheca di un amico su Facebook o nei propri feed di Pinterest (il cui contenuto viene generato dagli utenti seguiti o dalle categorie di proprio interesse) che annuncia Fai clic qui per ottenere un buono regalo da $ 100. Una volta che l utente fa clic sul link, viene indirizzato a un sito Web in cui gli viene richiesto di registrarsi per approfittare delle varie offerte, fornendo informazioni personali nel corso della procedura. Gli spammer ottengono una commissione su ogni registrazione e questa, come si temeva, non prevede alcun buono regalo alla fine Sito Web falso con un sondaggio fittizio Un tipico esempio di frode su social media.un altro trucco consiste nell utilizzare un sito Web fittizio per persuadere la vittima a rivelare dati personali e password, ad esempio le informazioni dell account Facebook o Twitter. Queste frodi di phishing sono insidiose e spesso fanno leva sul richiamo che celebrità come campioni dello sport, star del cinema o cantanti esercitano sulle persone. Lo confermano i dati che mostrano un aumento dei casi di phishing rivolto a specifici paesi e alle loro celebrità. Nel 2012, il riscontro dell aumento delle minacce mirate ai siti di social media ha fatto eco al proliferare di nuovi canali e piattaforme, in particolare quelli disponibili solo come app mobili. È lecito aspettarsi che questi canali di social media vengano ulteriormente presi di mira nel 2013, soprattutto quelli orientati a un pubblico di teenager o giovanile, meno incline a riconoscere questi attacchi e a dare peso alle informazioni personali. p. 12

13 RACCOMANDAZIONI Le minacce dei social media sono un problema per l azienda Le aziende sono spesso riluttanti a bloccare completamente l accesso ai siti di social media, ma non possono evitare di proteggersi dal malware online che può essere presente in questi e altri siti. Per questo, è necessario distribuire software di sicurezza su più livelli in corrispondenza del gateway della rete aziendale e sui PC client, nonché provvedere a un applicazione intensiva delle patch e degli aggiornamenti per ridurre il rischio di infezioni drive-by. Inoltre, è essenziale formare gli utenti e fornire loro policy chiare, in particolare per ciò che concerne la quantità delle informazioni personali rese note dagli stessi utenti online. p. 13

14 MALWARE SPAM E PHISHING

15 MALWARE, SPAM E PHISHING Il malware e il social engineering continuano a essere problemi enormi e cronicizzati. Per quanto noti da parecchi anni, gli attacchi continuano a evolvere e sono ancora in grado di causare gravi danni ai consumatori e alle aziende. Inoltre, producono un danno più generale, che è quello di minare la fiducia in Internet. Queste minacce croniche non ottengono molto risalto perché rappresentano una sorta di rumore di fondo, tanto costante da venire dimenticato, ma ciò non significa affatto che non siano importanti. Potremmo confrontare la diversa attenzione riservata a questo fenomeno con il rilievo ottenuto, nelle cronache, dagli incidenti aerei e da quelli d auto. Un singolo incidente aereo ottiene i titoli di testa, mentre il bilancio giornaliero delle vittime della strada passa ormai in secondo piano, nonostante le fatalità causate dal fenomeno ogni anno siano decisamente più numerose. 5 Un esempio di questa differenza di attenzione sta nella popolarità tributata al ransomware. Il suo effetto è rendere permanentemente inaccessibile il computer al legittimo proprietario o utente finché questi non paga un riscatto all hacker. È corrosivo nei confronti della fiducia, costoso da rimuovere e rivela un livello del tutto inedito di aggressività e di sofisticazione. Le cifre sono eloquenti. In un caso, è stato riscontrato il tentativo da parte di un malware denominato Reveton (ossia Trojan.Ransomlock.G) di infettare computer nell arco di 18 giorni. Secondo un sondaggio condotto recentemente da Symantec tra individui adulti in 24 paesi, le perdite dovute a episodi di crimine informatico si attestano mediamente sui 197 dollari. 6 Si stima che, negli ultimi 12 mesi, 556 milioni di adulti in tutto il mondo abbiano sperimentato forme di attacco. Dati salienti Con il ransomware, il malware è diventato ancora più dannoso e redditizio I volumi dello spam sono ancora in discesa, con una flessione del 29% nel 2012, dato legato allo spostamento dell interesse degli spammer verso i social media Il phishing si fa più sofisticato e prende di mira i siti di social networking Il ransomware irreversibile rende il computer inaccessibile alla vittima finché questa non paghi un riscatto, che nella maggior parte dei casi non rimuove il blocco. p. 15

16 MALWARE, SPAM E PHISHING Malware Nel 2012, un su 291 conteneva un virus, rispetto al dato di una su 239 rilevato nel Di questo genere di malware legato all , il 23% conteneva URL che indirizzavano a siti Web dannosi. Anche qui si osserva una flessione rispetto al 2011, in cui era il 39% del malware a contenere un link a un sito dannoso. Esattamente come per la flessione dello spam e del phishing, quella delle contenenti virus non implica necessariamente che gli hacker abbiano smesso di prendere di mira gli utenti. Piuttosto, sembra indicare un mutamento nelle tattiche, ora rivolte verso le attività online quali i social media. Primi 5 settori con maggiore attività malware Settore 1 su Settore pubblico 1 su 72 Istruzione 1 su 163 Finanza 1 su 218 Marketing/Media 1 su 235 Alberghiero/Ristorazione 1 su 236 Primi 5 paesi con maggiore attività malware Paese 1 su Paesi Bassi 1 su 108 Lussemburgo 1 su 144 Regno Unito 1 su 163 Sudafrica 1 su 178 Germania 1 su 196 Prime 5 dimensioni aziendali con maggiore attività malware Dimensione aziendale 1 su su su su su su 252 > su 252 Traffico in cui sono stati rilevati virus nel 2012 rispetto al 2011 Fonte: Symantec 1 su 50 1 su su su su su 300 Le cifre nel complesso sono diminuite: a risultare infetta è stata un su 291. Nel 2011, il rapporto medio delle contenenti malware sul totale era di una su su su 400 GEN FEB MAR APR MAG GIU LUG AGO SET OTT NOV DIC p. 16

17 MALWARE, SPAM E PHISHING Traffico contenente malware associato a URL nel 2012 rispetto al 2011 Fonte: Symantec 70% Le contenenti un URL dannoso sono diminuite significativamente nel In alcuni mesi, la frequenza è addirittura più che dimezzata rispetto a quella dello stesso mese nel GEN FEB MAR APR MAG GIU LUG AGO SET OTT NOV DIC Nel 2012, circa il 23% del malware associato a conteneva un URL anziché un allegato, contro il 39% del Malware dei siti Web bloccato ogni giorno Fonte: Symantec MIGLIAIA Nel 2012, ogni giorno sono stati bloccati attacchi Web. Nel 2011, il dato era di circa al giorno. L aumento che ne risulta è pari al 30% LUG AGO SET OTT NOV DIC GEN FEB MAR APR MAG GIU LUG AGO SET OTT NOV DIC p. 17

18 MALWARE, SPAM E PHISHING Violazioni di siti Web per tipo di sito In base ai dati di Norton Safe Web, la tecnologia Symantec che analizza il Web in cerca di siti Web che ospitano malware, è stato determinato che il 61% dei siti dannosi sono in realtà siti Web autentici che sono stati compromessi e infettati con codice nocivo. La categoria Business, che include i settori dei beni e dei servizi al consumo e all industria, occupa il primo posto quest anno. Ciò potrebbe essere conseguenza del gran numero di siti compromessi a danno di PMI che non investono in risorse appropriate per la loro difesa. I siti di pirateria informatica, che includono siti che promuovono o forniscono i mezzi per portare a termine le attività criminali, sono balzati al secondo, mentre non comparivano tra i primi 15 del La categoria Tecnologia e telecomunicazioni, che fornisce informazioni relative ai computer, a Internet e le telecomunicazioni, si colloca terza quest anno; tuttavia, con il suo 5,7% sul totale dei siti compromessi, mostra una flessione minima rispetto al 2011 (-1,2%). I siti di shopping che forniscono i mezzi per l acquisto di prodotti o servizi online rimangono tra i primi cinque, ma vedono un calo complessivo del 4,1%. È interessante notare come la categoria Hosting, che si era classificata seconda nel 2011, sia scesa al settimo posto quest anno. La categoria include i servizi che forniscono, a singoli o a organizzazioni, accesso ai sistemi online per i siti Web o lo storage. A causa del proliferare di soluzioni quali quelle di Google, Dropbox e altri, si è assistito a un abbandono progressivo delle soluzioni di hosting meno affidabili, fatto che potrebbe avere contribuito alla flessione. Anche la categoria Blog testimonia un calo significativo nel 2012, passando alla quarta posizione. Ciò parrebbe confermare la teoria secondo la quale le persone tendono sempre più a utilizzare i social network e a scambiarsi informazioni tramite quelle reti. Gli sviluppatori del malware riescono facilmente a inoculare codice dannoso in questi siti e a diffonderlo tramite vari mezzi. Violazioni di siti Web per tipo di sito Fonte: Symantec Class. Principali categorie per numero di siti violati 1 Business 7,7% 2 Pirateria 7,6% 3 Tecnologia e telecomunicazioni 5,7% 4 Blog 4,5% 5 Shopping 3,6% 6 Domini noti per presenza di malware 2,6% 7 Hosting 2,3% 8 Auto e moto 1,9% 9 Salute 1,7% 10 Istruzione 1,7% 10 malware più diffusi nel 2012 Fonte: Symantec Class. Nome del malware % 1 W32.Sality.AE 6,9% 2 W32.Ramnit.B 5,1% 3 W32.Downadup.B 4,4% 4 W32.Virut.CF 2,2% 5 W32.SillyFDC 1,1% 6 W32.Mabezat.B 1,1% 7 W32.Xpaj.B 0,6% 8 W32.Changeup 0,6% 9 W32.Downadup 0,5% % sul totale dei siti Web infettati 10 W32.Imaut 0,4% p. 18

19 MALWARE, SPAM E PHISHING Malware nascosto a lungo termine I criminali informatici traggono profitto anche da malware che ha la facoltà di rimanere nascosto nei computer delle vittime. Operando in botnet formate da svariate migliaia di computer, questi programmi nascosti inviano spam o generano clic fittizi sulle pubblicità dei siti Web (che producono un introito di affiliazione per il proprietario del sito). Queste tecniche non generano guadagni fulminei come nel caso del ransomware, ma sono meno suscettibili di essere scoperti e, grazie a codice ben congegnato, molto difficili da rimuovere. Di conseguenza, producono un flusso costante di reddito nel tempo. Phishing avanzato Mentre lo spam ha conosciuto una lieve flessione nel 2012, gli attacchi di phishing sono aumentati. I phisher utilizzano siti Web fittizi altamente sofisticati, in alcuni casi repliche perfette di siti noti, per indurre le vittime a rivelare informazioni personali, password, dati delle carte di credito e credenziali per il banking online. Se un tempo si erano perlopiù affidati alle false, adesso, invece, abbinano queste a link analogamente manipolati e postati sui siti dei social media per attirare le vittime verso i nuovi siti di phishing più avanzati. Tipici esempi di siti contraffatti sono, oltre, comprensibilmente, a quelli delle banche e delle società delle carte di credito, i più frequentati siti di social media. Il numero di siti di phishing che replicavano illecitamente i siti di social network sono aumentati del 123% nel Se i criminali riescono ad acquisire le credenziali di accesso dell utente di un sito di social media, possono tranquillamente utilizzare il suo account per inviare di phishing a tutti i suoi amici. E un messaggio apparentemente proveniente da un amico non desta in genere dubbi di fiducia. Un altro modo con cui gli account di social media violati vengono utilizzati è per l invio di una falsa richiesta di aiuto economico ad amici. Ad esempio: Ho bisogno del tuo aiuto! Sono all estero e mi hanno rubato il portafoglio. Mi manderesti 200 dollari il prima possibile? Nel tentativo di schivare la sicurezza e il software di filtro, i criminali fanno uso di indirizzi Web complessi e di servizi di abbreviazione degli URL annidati. Il mix di tecniche comprende anche il social engineering, utilizzato per indurre le vittime a fare clic sui link. Nell ultimo anno, gli hacker hanno puntato sull effetto celebrità, pubblicizzando nei loro messaggi personaggi noti del cinema o dello sport o gadget di grido come smartphone e tablet. Nel 2012, il numero dei siti Web di phishing che utilizzavano certificati SSL nel tentativo di comunicare alle vittime un falso senso di sicurezza è aumentato del 46% rispetto al precedente anno. Inoltre, sempre nel 2012, si è assistito a un sensibile aumento (3x) del phishing in area non anglofona nel In particolare, il dato della Corea del Sud ha mostrato una crescita significativa. Le aree non anglofone che hanno ospitato il più alto numero di siti di phishing sono state quelle di lingua francese, italiana, portoghese, cinese e spagnola. p. 19

20 RACCOMANDAZIONI Proteggersi dal social engineering Per gli individui, come per le aziende, è essenziale che le persone imparino a riconoscere gli indizi del social engineering, che possono andare dalle pressioni indebite alle blandizie o a un falso senso di urgenza, dalle offerte troppo convenienti per essere credibili ai messaggi scritti in burocratese nel tentativo di far sembrare il contenuto autentico (ad esempio, numeri di riferimento esageratamente lunghi), ai prestesti poco plausibili (ad esempio, un rappresentante Microsoft che contatti l utente per comunicargli che il suo computer contiene un virus) fino alle false offerte di scambio (come quella di ricevere un omaggio in cambio di informazioni personali o confidenziali). Prima di fare clic... Un non sollecitata, proveniente da una persona a noi nota, come nostra madre o un collega, potrebbe non essere autentica. Il mittente potrebbe essere caduto nella rete del social engineering e il suo account essere stato compromesso. p. 20