Informazioni sul Global Internet Security Threat Report di Symantec

Transcript

1 Informazioni sul Global Internet Security Threat Report di Symantec Il Global Internet Security Threat Report di Symantec fornisce una panoramica e un analisi delle attività delle minacce di Internet a livello mondiale, un esame delle vulnerabilità note e alcune informazioni importanti sui codici maligni. Valuta inoltre le tendenze di phishing e spam e osserva le attività in corso sui server dell economia sommersa. Il Volume XV del Global Internet Security Threat Report di Symantec informa i lettori sui trend e sui rischi imminenti che Symantec ha monitorato per tutto il Il Global Intelligence Network di Symantec raccoglie alcune delle fonti più complete di dati sulle minacce di Internet esistenti al mondo. Più di sensori in oltre 200 paesi tengono sotto costante controllo gli attacchi attraverso una combinazione tra prodotti e servizi, quali Symantec DeepSight Threat Management System, Symantec Managed Security Services e i software Norton per gli utenti privati, oltre ad alcune risorse di terze parti. Symantec raccoglie informazioni sui codici maligni da oltre 133 milioni di sistemi client, server e gateway su cui sono installati i suoi prodotti antivirus. Inoltre, la rete distribuita honeypot di Symantec raggruppa dati da tutto il mondo, rilevando minacce e attacchi inediti e fornendo informazioni importanti sui metodi di aggressione. Symantec gestisce uno dei database delle vulnerabilità più completi del mondo, attualmente contenente più di vulnerabilità registrate (in oltre vent anni) che colpiscono più di tecnologie di oltre fornitori. Symantec promuove inoltre la mailing list BugTraq, uno dei forum più diffusi per la divulgazione e il dibattito delle vulnerabilità su Internet, che conta su circa abbonati che forniscono e ricevono contributi e discutono ogni giorno della ricerca sulle vulnerabilità. I dati di spam e phishing sono raccolti da varie fonti tra cui Symantec Probe Network, un sistema di oltre 5 milioni di decoy account; MessageLabs Intelligence, fonte autorevole di analisi relative a questioni di sicurezza, tendenze e statistiche sulla messaggistica sicura, e altre tecnologie Symantec. Le informazioni provengono da più di 86 paesi. Ogni giorno vengono elaborate oltre 8 milioni di e oltre 1 miliardo di richieste in rete attraverso 16 data center. Symantec raccoglie inoltre dettagli sul phishing attraverso una vasta comunità antifrode d imprese, distributori di prodotti di sicurezza e oltre 50 milioni di consumatori. Queste risorse garantiscono agli analisti di Symantec una fonte di dati unica con cui identificare, analizzare e fornire commenti aggiornati sulle tendenze emergenti in fatto di attacchi, codici maligni, phishing e spam. Il risultato è il Global Internet Security Threat Report di Symantec, che fornisce a privati e imprese informazioni essenziali per garantire la sicurezza dei propri sistemi oggi e in futuro.

2 Symantec Internet Security Threat Report, Volume XV: Tendenze La precedente edizione dell Internet Security Threat Report di Symantec rilevava uno spostamento delle attività maligne verso i paesi emergenti, una tendenza che si è rafforzata nel Ad esempio, per la prima volta da quando Symantec ha cominciato a esaminare le attività maligne nei diversi paesi nel 2006, un paese diverso da Stati Uniti, Cina o Germania è tra i primi tre: si tratta del Brasile, che nel 2009 è al terzo posto per intensità delle attività maligne dopo Stati Uniti e Cina. Il Brasile è emerso in tutte le categorie specifiche rilevate nel 2009, eccetto gli spam zombies, in cui era già al primo posto. Il notevole innalzamento della sua posizione in classifica per tutte le categorie è legato alla crescente espansione dell uso di Internet e della banda larga nel paese. Nel 2009 anche in India si è riscontrato un forte aumento delle attività maligne, passando dall undicesimo posto nel 2008 al quinto nel periodo di osservazione. Nel 2009, infatti, in India si è verificato il 15% di tutte le attività malevole in corso nella regione Asia-Pacifico/Giappone, contro il 10% del Se si considerano le singole categorie, l India è salita nelle classifiche di codici maligni, spam zombies e phishing rispetto al Vista la sua alta posizione della classifica degli spam zombies, si è trovata al terzo posto anche per origine dello spam a livello globale. Come già osservato, l attività maligna tende ad aumentare nei paesi dove la crescita della banda larga e della connettività è stata rapida. In India, infatti, il livello di attività maligne è costantemente aumentato parallelamente alla crescita dell infrastruttura a banda larga e dell utenza per diversi periodi di rilevazione. Nelle edizioni precedenti, Symantec aveva già rilevato e riportato il trend che vedeva il continuo aumento del numero totale di attività maligne di paesi come Brasile, Turchia, Polonia, India e Russia a causa della rapida crescita della popolazione connessa tramite la banda larga e l espansione dell infrastruttura di Internet. Questa tendenza è proseguita e, fatta eccezione della Turchia che si trova al 12 posto, questi paesi sono tutti tra i primi 10 per attività maligne. Questa discesa in classifica si spiega con l aumento dell attività maligna in Russia, India e Polonia, nonostante ci sia stato un aumento nelle categorie di codici maligni e phishing. Questi paesi continuano a mostrare percentuali elevate per determinate categorie perché le loro infrastrutture Internet, relativamente nuove e in crescita, sono destinate a rimanere esposte a livelli elevati di attività malevole finché i protocolli e le misure di sicurezza non saranno abbastanza maturi per contrastarla. I primi mesi del 2010 si sono caratterizzati per attacchi mirati che sfruttano le minacce avanzate persistenti (advanced persistent threats o APT) osservate nel Il più significativo è stato Trojan Hydraq (noto anche come Aurora), che in gennaio 2010 ha colpito numerose grandi aziende. Non si è trattato di un nuovo metodo di aggressione, ma di una dimostrazione di come si possa compromettere l attività di una grande società. In genere, una volta ottenuto l accesso all impresa, l aggressore lo utilizza per tentare di connettersi con altri computer e server e comprometterli a loro volta. Per farlo, sottrae le credenziali da un computer locale o raccoglie dati installando un keystroke logger. In genere, se perpetrato ai danni di un privato o da un aggressore poco sofisticato, questo tipo di attacco permette di raccogliere tutte le informazioni prontamente disponibili per poi concentrarsi sull obiettivo successivo. Tuttavia, gli attacchi APT sono studiati per passare inosservati e poter così raccogliere informazioni per periodi di tempo prolungati, con violazioni di dati su larga scala che hanno provocato l esposizione di un gran numero d identità. Nel 2009 il 60% delle identità esposte sono state compromesse da attacchi di hacking. Secondo il Symantec State of Enterprise Security Report del 2010, il 75% delle imprese studiate ha subito qualche tipo di attacco cyber nel 2009, dimostrando che il problema non è limitato a poche entità di grandi dimensioni. Per mitigare o prevenire gli attacchi mirati di questo tipo è importante proteggere l infrastruttura e i dati dell impresa, sviluppare e attuare policy informatiche e gestire correttamente i sistemi. Gli amministratori possono limitare la potenziale esposizione a questi rischi mettendo in sicurezza endpoint, messaggistica e ambienti web, nonché attuando metodi studiati per contrastare le minacce. Negli ultimi anni gli attacchi web-based hanno sostituito i mass-mailer worm come vettore preferito da molti hacker che, utilizzando strumenti di social engineering quali lo spam, già menzionato

3 attirano l utente in un sito che sfrutta le vulnerabilità di browser e plug-in. Questi attacchi vengono poi impiegati per installare codici maligni o altre applicazioni, quali software di sicurezza contraffatto, sul computer della vittima. Tra le vulnerabilità più frequentemente sfruttate osservate da Symantec nel 2009, quattro delle cinque principali riguardavano il lato client, spesso target degli attacchi in rete. Due di queste sono di Adobe Acrobat e Adobe Acrobat Reader, una di Microsoft Internet Explorer, un altra in un controllo ActiveX. Questo dimostra che, pur sfruttando anche le vulnerabilità in altri servizi di rete, gli aggressori tendono a preferire quelle contenute nei Web browser e nelle tecnologie associate, probabilmente perché in genere questi attacchi vengono perpetrati attraverso il protocollo HTTP e le porte associate, utilizzati per la maggior parte del traffico in rete, dove può risultare difficile rilevare o bloccare le attività maligne che lo utilizzano. Nei forum dell economia sommersa è stato rilevato un aumento dei toolkit di crimeware in vendita (un kit di crimeware è uno strumento che permette di personalizzare un codice maligno studiato per sottrarre dati e altre informazioni personali). Questi kit consentono agli aggressori non specializzati di compromettere con facilità i computer e sottrarre dati. Uno di questi, denominato Zeus, è in vendita per soli 700 dollari, ma in alcuni forum è disponibile anche gratuitamente. Un effetto collaterale è la creazione di decine di migliaia di nuove varianti del codice maligno, ciascuna delle quali è visibile a un solo utente. Nel 2009 Symantec ha osservato quasi varianti uniche di file binari creati dal toolkit Zeus. Circa il 57% delle minacce da cui Symantec ha protetto i suoi clienti attraverso le tecniche reputation based erano uniche (visibili su un solo computer), il che indica che le tecnologie di sicurezza che si basano sulle signature devono essere integrate con l euristica, le tecniche di monitoraggio comportamentale e la sicurezza reputation based. L abbattimento delle barriere all accesso alla criminalità informatica da parte dei neofiti è dimostrato dall aumento dei codici maligni che sottraggono informazioni riservate. Ad esempio, la percentuale di minacce per i dati riservati che incorporano funzionalità di accesso remoto è salita al 98 percento nel 2009, contro l 83% nel La popolarità di questi kit tra i criminali informatici è ormai tale da dare luogo a concorrenza e a nuovi modelli di business. Ad esempio, il kit SpyEye, oltre a sottrarre dati, è anche in grado di rilevare se Zeus è installato su un certo computer e, se sì, d intercettarne le comunicazioni. In un altro esempio, il kit Fragus contiene meccanismi per impedire all acquirente di rivenderne poi delle copie a sua volta. Il notevole aumento del numero di nuovi malicious code, associato alla costante tendenza degli attacchi web based, rafforza ulteriormente la necessità di una sicurezza collaborativa. La scansione antivirus, il rilevamento euristico e la prevenzione delle intrusioni restano misure di sicurezza fondamentali ma nuove tecnologie, quale la sicurezza reputation based, sono destinate a prendere sempre più piede. La crisi economica globale non sembra avere ostacolato in misura significativa l economia sommersa o il cyber crime verso i servizi finanziari. Nel 2009 il settore finanziario è stato nuovamente il più colpito dagli attacchi di phishing, con il 74% dei marchi colpiti da questo fenomeno. Al secondo posto ci sono gli Internet service provider, con solo il 9%, il che indica che il phishing ai danni dei servizi finanziari rimane sempre redditizio per gli aggressori. I livelli dello spam e del phishing mirati ai servizi finanziari sono rimasti relativamente costanti malgrado la recente crisi economica, ma gli aggressori hanno modificato le proprie tattiche. Ad esempio, Symantec ha osservato più messaggi pubblicitari sul rifinanziamento di debiti e mutui insieme a offerte di prestiti o all opportunità di guadagnare lavorando da casa. Questo dimostra che gli aggressori sono capaci di adattare velocemente le proprie tecniche di social engineering per approfittare al meglio degli eventi e del contesto attuale. Nel 2009 i botnet hanno costituito circa l 85% di tutto lo spam osservato da MessageLabs Intelligence, nonostante nell anno siano stati rilevati e bloccati numerosi botnet in funzione presso gli ISP. Sembra

4 che i botnet controller abbiano incorporato la ridondanza nelle proprie reti, dal momento che spesso i botnet riprendevano a funzionare poco dopo l arresto. Probabilmente questo è dovuto al fatto che gli aggressori incorporavano servizi denominati come dominio fast flux nei propri botnet, rendendoli meno esposti a un singolo guasto, come ad esempio all arresto del funzionamento in un singolo ISP. Fast flux è una tecnica che permette di nascondere siti di phishing e maligni dietro una rete di host compromessi, in continuo mutamento, che agiscono in qualità di delegati. Utilizzando una combinazione tra collegamento in rete P2P, C&C distribuito, bilanciamento del carico in rete e reindirizzamento del proxy, diventa difficile rintracciare la posizione geografica originale dei botnet. Nonostante le contromisure dell industria riducano costantemente l efficacia dei botnet tradizionali, Symantec prevede un aumento continuo degli attacchi basati su questa tecnica.

5 Symantec Internet Security Threat Report, Volume XV: Highlights Highlights sui trend relativi alle minacce Nel 2009 negli Stati Uniti si è verificata l attività maligna generale più intensa misurata da Symantec, pari al 19% del totale in calo rispetto al 23% del 2008, quando gli Stati Uniti erano già al primo posto. Nel 2009 gli Stati Uniti sono stati il primo paese di origine degli attacchi con il 23% dell attività mondiale, in calo rispetto al 25% del Il principale attacco in rete nel 2009 è stato associato a un attività maligna di Adobe Acrobat PDF, che ha rappresentato il 49% del totale. Nel 2009 gli Stati Uniti sono stati il principale paese di origine degli attacchi in rete, con il 34% del totale mondiale. Nel periodo di analisi il settore dell istruzione, più di qualsiasi altro, ha raccolto il 20% delle violazioni di dati in grado di determinare un furto d identità, con un calo rispetto al 27% del 2008 quando era già il settore più colpito dalla sottrazione di dati. Nel 2009 il settore finanziario è stato il più esposto al furto d identità, con il 60% del totale, in notevole aumento rispetto al 29% del Nel 2009 il furto o la perdita fisica hanno rappresentato il 37% delle violazioni di dati in grado di determinare un furto d identità, in calo rispetto al 48% del Nel 2009 le attività degli hacker hanno costituito il 60% dei furti d identità, in notevole aumento rispetto al 22% del Nel 2009 Symantec ha osservato in media computer attivi infettati da bot, il 38% in meno rispetto alla media giornaliera di osservata nel Nel periodo di osservazione, Symantec ha rilevato diversi computer infettati da bot, con un calo del 28% rispetto al Gli Stati Uniti sono stati il paese sede del maggior numero di computer infettati da bot osservati da Symantec nel 2009, pari all 11% del totale globale e in leggero calo rispetto al 12% del Taipei è stata la città sede del maggior numero di computer infettati da bot nel 2009, pari al 5% del totale mondiale. Nel 2009 Symantec ha rilevato nuovi server colpiti da bot di comando e controllo, in aumento rispetto ai del 2008; di questi, il 31% funzionavano attraverso i canali IRC e il 69% utilizzavano l HTTP. Nel 2009 gli Stati Uniti sono stati il paese con il maggior numero di server colpiti da bot di comando e controllo, con il 34% del totale osservato da Symantec e in aumento rispetto al 33% del 2008, quando gli Stati Uniti erano già al primo posto. Gli Stati Uniti sono stati anche il paese più colpito dagli attacchi denial of service, pari al 56% del totale mondiale e in aumento rispetto al 51% del Highlights sui trend relativi alle vulnerabilità Nel 2009 Symantec ha documentato vulnerabilità, in calo rispetto alle documentate nel 2008.

6 Nel 2009 Mozilla Firefox ha presentato 169 nuove vulnerabilità, più di qualsiasi altro browser; sono state identificate 94 nuove vulnerabilità in Apple Safari, 45 in Microsoft Internet Explorer, 41 in Google Chrome e 25 in Opera. Al momento di andare in stampa, il 14% delle 374 vulnerabilità documentate nei Web browser nel 2009 sono ancora prive di patch forniti dai produttori, contro il 18% delle 232 vulnerabilità dei Web browser documentate nel Tra tutti i browser analizzati da Symantec nel 2009, Safari presentava la finestra di esposizione (il periodo tra il rilascio del codice di sfruttamento di una vulnerabilità e il rilascio di una patch da parte del produttore) più lungo, con una media di 13 giorni; Internet Explorer, Firefox e Opera avevano invece la finestra di esposizione più breve, pari a meno di un giorno ciascuno. Nel 2009 sono state identificate 321 vulnerabilità nei plug-in dei browser, in calo rispetto alle 410 identificate nel Le tecnologie ActiveX costituivano ancora la maggioranza delle nuove vulnerabilità dei plug-in dei browser, pari a 134, comunque in calo del 53% rispetto alle 287 vulnerabilità di ActiveX identificate nel La vulnerabilità più attaccata nel 2009 è stata quella relativa all esecuzione del codice remoto _smb2validateprovidercallback() di Microsoft Windows SMB2. Nel 2009 Symantec ha documentato 12 vulnerabilità zero day, contro 9 nel Highlights sui trend relativi ai codici maligni Nel 2009 Symantec ha creato nuovi profili di codici maligni, il 71% in più rispetto al 2008; il dato del 2009 corrisponde al 51% di tutti i profili di codici maligni creati da Symantec. Circa il 57% di tutte le minacce da cui le tecniche reputation based di Symantec hanno protetto gli utenti nel 2009 erano uniche (singoli casi su un solo computer). Tra le 10 principali famiglie di codici maligni rilevate nel 2009, sei erano Trojan, due erano worm con componenti back door incorporate, una era un worm e una era un virus. I Trojan hanno costituito il 51% del volume dei principali 50 campioni di codici maligni osservati nel 2009, in calo rispetto al 68% del Quattro dei 10 principali downloader nel 2009 erano Trojan, due erano worm con una componente back door incorporata, tre erano worm e uno era un worm con una componente virale incorporata. Nel 2009 otto delle 10 principali componenti dannose scaricate da software maligno modulare erano Trojan, una era un worm e una era un back door. Nel 2009 l aumento proporzionale delle potenziali infezioni da codice maligno è stato massimo nella regione di Europa, Medio Oriente e Africa. Nel 2009 la percentuale di minacce ai danni dei dati riservati con funzionalità di accesso remoto è salita al 98%, con un notevole aumento rispetto all 83% del Nel 2009 l 89% delle minacce ai danni dei dati riservati ha esportato i dati degli utenti e l 86% aveva una componente di keystroke logging in aumento rispettivamente del 78% e del 76% rispetto al Nel 2009 la propagazione attraverso eseguibili di file sharing ha rappresentato il 72% dei codici maligni propagati, contro il 66% nel La percentuale di campioni di codici maligni documentati che sfruttavano le vulnerabilità è aumentata leggermente, dal 5% nel 2008 al 6% nel 2009.

7 Le principali infezioni potenziali nel 2009 erano, nell ordine, il virus Sality.AE, il Trojan Brisv e il worm SillyFDC. Highlights sui trend relativi a phishing, server dell economia sommersa e spam La maggioranza dei marchi colpiti dagli attacchi di phishing nel 2009 apparteneva al settore dei servizi finanziari, con il 74%, in calo rispetto al 79% nel Nel 2009 Symantec ha rilevato host di phishing, in aumento del 7% rispetto ai rilevati nel Nel 2009 il 36% di tutti gli URL di phishing identificati da Symantec si trovava negli Stati Uniti, in notevole calo rispetto al 2008, quando erano pari al 43%. Il dominio top level più spesso utilizzato per le truffe di phishing osservate nel 2009 è stato.com, pari al 68% del totale; era al primo posto anche nel 2008, quando rappresentava il 39% del totale. I cinque principali toolkit di phishing osservati da Symantec nel 2009 sono stati responsabili di una media del 23% di tutti gli attacchi di phishing osservati nell anno. I dati delle carte di credito sono stati più spesso oggetto di pubblicità per la vendita nei server dell economia sommersa noti a Symantec, pari al 19% di tutti i beni e i servizi pubblicizzati e in calo rispetto al 32% del totale nel I dati delle carte di credito sono stati pubblicizzati nei server dell economia sommersa noti a Symantec a un prezzo variabile tra 0,85 e 30 dollari per numero di carta, a seconda di fattori quali acquisto in massa, rarità del tipo di carta e quantità di dati personali legati al numero della carta. Gli Stati Uniti sono stati il principale paese per la pubblicità dei dati delle carte di credito nei server dell economia sommersa, pari al 67% del totale; il dato è rimasto invariato rispetto al Il tipo di spam osservato più frequentemente nel 2009 riguarda beni e servizi legati a Internet, quali le lauree online, che hanno costituito fino al 29% di tutto lo spam rilevato; questo è stato il tipo più di spam diffuso anche nel 2008, pari al 24 percento del totale. Nel 2009 lo spam ha costituito l 88% di tutte le osservate da Symantec. Nel 2009 gli Stati Uniti sono stati ancora al primo posto per origine dello spam, con il 23% del totale globale e in calo rispetto al 29% del Nel 2009 le reti bot sono state responsabili della distribuzione di circa l 85% di tutte le di spam.