c.m.g
01-01-2009, 19:53
30 dicembre 2008 alle 18.38 di netquik
http://www.tweakness.net/imgarchive2/Web_Malware.jpg
Marco Giuliani, malware analyst per l'azienda di sicurezza PrevX, ha reso disponibile (http://www.pcalsicuro.com/main/2008/12/report-annuale-pdf/) pubblicamente un report che descrive le principali minacce a livello di malware riscontrate durante il 2008 (http://www.pcalsicuro.com/2008%20-%20Il%20web%20si%20tinge%20di%20giallo.pdf), con accenni alle possibili evoluzioni di malware e prodotti di sicurezza per l'ormai imminente 2009. Di seguito alcuni estratti del report.
IL PROBLEMA DEI ROOTKIT. Il 2008 è iniziato subito nel peggiore dei modi. Gli strascichi degli attacchi di fine 2007 da parte del worm Storm si sono allungati per tutto l'inizio dell'anno successivo e si sono sovrapposti ad un altro tipo di attacco che ha colto l'intero mondo della sicurezza informatica di sorpresa. L'anno in questione verrà ricordato probabilmente come l'anno del MBR rootkit (http://www.tweakness.net/news/keys=mbr%20rootkit&wherenews=HEADER), anche conosciuto come Mebroot: un rootkit che infetta il Master Boot Record dell'hard disk per garantirsi l'avvio alla partenza del sistema operativo … A Maggio 2008 viene aperto il sipario su un nuovo e misterioso rootkit che aveva fatto parlare di sé nei mesi precedenti: Rustock.C. La famiglia dei rootkit Rustock è conosciuta da molto tempo nel mondo della sicurezza informatica. Rustock è stato uno dei rootkit più diffusi e, contemporaneamente, uno dei più tecnicamente avanzati.
Sia con Rustock.C sia con l'MBR Rootkit i malware writer hanno voluto mettere in evidenza come le attuali misure di sicurezza siano insufficienti a contenere ed isolare gli attacchi. Situazione sottolineata ulteriormente all'Xcon conference 2008 questo Novembre dal ricercatore Wenbing Zheng che ha mostrato il proprio rootkit denominato Tophet, una sorta di evoluzione del MBR Rootkit. Questi sono tuttavia solo alcuni esempi eclatanti. Molti sono i malware che nel 2008 hanno fatto uso di tecnologie rootkit, forti delle lacune dei software di sicurezza. Srizbi, Storm, Rustock, Cutwail sono solo alcuni dei rootkit le cui relative botnet sono capaci di inviare milioni di e-mail di spam al giorno.
Al momento, i malware writer non vedono la necessità di sviluppare questa tipologia di attacchi così sofisticati visto che il parco giochi del sistema operativo è ancora particolarmente vasto e gran parte delle tecnologie antirootkit sono tristemente insufficienti a contenere gli attacchi. In altre parole, il guadagno - in termini di soldi - derivante dall'utilizzo delle tecnologie rootkit esistenti applicate ai malicious software è ancora ottimo e non giustifica lo spostamento a nuove tipologie di attacchi che prevedono, invece, notevoli conoscenze tecniche e uno sforzo di programmazione non indifferente.
TECNOLOGIA "IN-THE-CLOUD". Il 2008 è stato l'anno della diffusione delle tecnologie in-the-cloud. L'utilizzo di un database collettivo mondiale permette di tenere traccia in maniera molto più rapida ed efficace delle nuove minacce. Le società di sicurezza configurano la propria "rete" mondiale, dove i client – i computer protetti dai software di sicurezza – non sono più esclusivamente fruitori del servizio, ma diventano parte integrante e fondamentale della rete, delle sentinelle che permettono di tenere sotto controllo l'intero panorama internazionale. F-Secure DeepGuard 2.0, McAfee Artemis, Panda Collective Intelligence, Norton Community Watch percorrono la strada intrapresa già da alcuni anni da Prevx. Ogni volta che un software viene eseguito, il client cerca nel proprio database online se il file è già conosciuto oppure no, e nel caso sia conosciuto come malevolo ne blocca immediatamente l'esecuzione.
Questa applicazione della tecnologia permette chiaramente di non dover più aggiornare le basi virali, perché tutto il database è costantemente aggiornato online. I risultati sono stati particolarmente interessanti: i prodotti che utilizzano tale tecnologia hanno visto incrementare il proprio detection rate di numerosi punti percentuale, eliminando così il gap che sussiste tra il rilascio di un nuovo malware e l'aggiunta di una firma virale.
USO DI ACCOUNT LIMITATI. Grazie all'utilizzo sempre più diffuso di Windows Vista Microsoft ha re-implementato nella quotidianità l'uso dell'account limitato, tramite lo User Account Control (http://www.tweakness.net/news/keys=uac&wherenews=HEADER). Una pratica chiaramente molto più sicura, soprattutto visto che, fino ad oggi, i sistemi Windows venivano per la gran parte installati e configurati per l'uso tramite account amministratore ... L'utilizzo di un account limitato è particolarmente efficace nella lotta contro i malicious software, poiché eventuali codici nocivi sarebbero limitati nell'azione dai controlli del sistema operativo che ne impedirebbe danni a livello globale nel sistema. Il limitare i danni grazie all'account limitato significa essere meno esposti agli attacchi di malware, ma non significa essere totalmente al sicuro. Configurare un account limitato standard, così come è l'account creato in Windows Vista, significa essere ancora vulnerabili ad eventuali attacchi di malware. Se è vero che limitare l'attacco al solo account dell'utente non permette al malware danni gravi al sistema, è pur sempre vero che il malware è ancora in grado di poter intercettare le azioni dell'utente – quindi catturarne informazioni quali ad esempio dati personali per l'accesso a servizi bancari. È ancora in grado di poter installare rootkit user mode all'interno del sistema per nascondere eventuali backdoor o trojan che possono comunicare con l'esterno e scaricare ulteriori infezioni.
EXPLOIT PADRONI DEL WEB. Se tempo fa le e-mail, il p2p erano i mezzi principali di infezione, ora il rischio viene dalle pagine web. Il 2008 ha visto il proliferare di tool pronti all'uso, script da caricare su server – preferibilmente su network difficilmente rintracciabili – contenenti exploit che vanno a colpire applicazioni vulnerabili. Secondo alcune statistiche collezionate da Secunia, società di sicurezza che mantiene un database di vulnerabilità di applicazioni e sistemi operativi, 98 computer su 100 hanno installate vecchie versioni di programmi vulnerabili ad alcune tipologie di attacchi. Solo l'1.91% dei computer sono costantemente aggiornati e, come tali, più difficilmente sono vittime di attacchi. I malware writer sfruttano questa situazione, scrivendo exploit al fine di far eseguire codice nocivo senza che l'utente si accorga di niente.
Se i principali target sono ovviamente i browser, non mancano applicazioni quali Real Player, Acrobat Reader, fino a immagini volutamente malformate per sfruttare bug del sistema operativo. Toolkit quali MPack, IcePack, Neosploit, WebAttacker sono particolarmente diffusi e sono ancor più pericolosi considerando il fatto che, alle pagine web civetta opportunamente create per colpire gli utenti, si aggiungono spesso siti web più o meno famosi compromessi, nelle cui pagine vengono inseriti codici javascript offuscati utilizzati per reindirizzare l'utente ai server contenenti gli exploit.
Link per approfondimenti:
2008: il web si tinge di giallo - Report (http://www.pcalsicuro.com/2008%20-%20Il%20web%20si%20tinge%20di%20giallo.pdf)
PC Al Sicuro (http://www.pcalsicuro.com/main/2008/12/report-annuale-pdf/)
Fonte: Pcalsicuro.com (http://www.pcalsicuro.com/) via Tweakness (http://www.tweakness.net/news/4893)
http://www.tweakness.net/imgarchive2/Web_Malware.jpg
Marco Giuliani, malware analyst per l'azienda di sicurezza PrevX, ha reso disponibile (http://www.pcalsicuro.com/main/2008/12/report-annuale-pdf/) pubblicamente un report che descrive le principali minacce a livello di malware riscontrate durante il 2008 (http://www.pcalsicuro.com/2008%20-%20Il%20web%20si%20tinge%20di%20giallo.pdf), con accenni alle possibili evoluzioni di malware e prodotti di sicurezza per l'ormai imminente 2009. Di seguito alcuni estratti del report.
IL PROBLEMA DEI ROOTKIT. Il 2008 è iniziato subito nel peggiore dei modi. Gli strascichi degli attacchi di fine 2007 da parte del worm Storm si sono allungati per tutto l'inizio dell'anno successivo e si sono sovrapposti ad un altro tipo di attacco che ha colto l'intero mondo della sicurezza informatica di sorpresa. L'anno in questione verrà ricordato probabilmente come l'anno del MBR rootkit (http://www.tweakness.net/news/keys=mbr%20rootkit&wherenews=HEADER), anche conosciuto come Mebroot: un rootkit che infetta il Master Boot Record dell'hard disk per garantirsi l'avvio alla partenza del sistema operativo … A Maggio 2008 viene aperto il sipario su un nuovo e misterioso rootkit che aveva fatto parlare di sé nei mesi precedenti: Rustock.C. La famiglia dei rootkit Rustock è conosciuta da molto tempo nel mondo della sicurezza informatica. Rustock è stato uno dei rootkit più diffusi e, contemporaneamente, uno dei più tecnicamente avanzati.
Sia con Rustock.C sia con l'MBR Rootkit i malware writer hanno voluto mettere in evidenza come le attuali misure di sicurezza siano insufficienti a contenere ed isolare gli attacchi. Situazione sottolineata ulteriormente all'Xcon conference 2008 questo Novembre dal ricercatore Wenbing Zheng che ha mostrato il proprio rootkit denominato Tophet, una sorta di evoluzione del MBR Rootkit. Questi sono tuttavia solo alcuni esempi eclatanti. Molti sono i malware che nel 2008 hanno fatto uso di tecnologie rootkit, forti delle lacune dei software di sicurezza. Srizbi, Storm, Rustock, Cutwail sono solo alcuni dei rootkit le cui relative botnet sono capaci di inviare milioni di e-mail di spam al giorno.
Al momento, i malware writer non vedono la necessità di sviluppare questa tipologia di attacchi così sofisticati visto che il parco giochi del sistema operativo è ancora particolarmente vasto e gran parte delle tecnologie antirootkit sono tristemente insufficienti a contenere gli attacchi. In altre parole, il guadagno - in termini di soldi - derivante dall'utilizzo delle tecnologie rootkit esistenti applicate ai malicious software è ancora ottimo e non giustifica lo spostamento a nuove tipologie di attacchi che prevedono, invece, notevoli conoscenze tecniche e uno sforzo di programmazione non indifferente.
TECNOLOGIA "IN-THE-CLOUD". Il 2008 è stato l'anno della diffusione delle tecnologie in-the-cloud. L'utilizzo di un database collettivo mondiale permette di tenere traccia in maniera molto più rapida ed efficace delle nuove minacce. Le società di sicurezza configurano la propria "rete" mondiale, dove i client – i computer protetti dai software di sicurezza – non sono più esclusivamente fruitori del servizio, ma diventano parte integrante e fondamentale della rete, delle sentinelle che permettono di tenere sotto controllo l'intero panorama internazionale. F-Secure DeepGuard 2.0, McAfee Artemis, Panda Collective Intelligence, Norton Community Watch percorrono la strada intrapresa già da alcuni anni da Prevx. Ogni volta che un software viene eseguito, il client cerca nel proprio database online se il file è già conosciuto oppure no, e nel caso sia conosciuto come malevolo ne blocca immediatamente l'esecuzione.
Questa applicazione della tecnologia permette chiaramente di non dover più aggiornare le basi virali, perché tutto il database è costantemente aggiornato online. I risultati sono stati particolarmente interessanti: i prodotti che utilizzano tale tecnologia hanno visto incrementare il proprio detection rate di numerosi punti percentuale, eliminando così il gap che sussiste tra il rilascio di un nuovo malware e l'aggiunta di una firma virale.
USO DI ACCOUNT LIMITATI. Grazie all'utilizzo sempre più diffuso di Windows Vista Microsoft ha re-implementato nella quotidianità l'uso dell'account limitato, tramite lo User Account Control (http://www.tweakness.net/news/keys=uac&wherenews=HEADER). Una pratica chiaramente molto più sicura, soprattutto visto che, fino ad oggi, i sistemi Windows venivano per la gran parte installati e configurati per l'uso tramite account amministratore ... L'utilizzo di un account limitato è particolarmente efficace nella lotta contro i malicious software, poiché eventuali codici nocivi sarebbero limitati nell'azione dai controlli del sistema operativo che ne impedirebbe danni a livello globale nel sistema. Il limitare i danni grazie all'account limitato significa essere meno esposti agli attacchi di malware, ma non significa essere totalmente al sicuro. Configurare un account limitato standard, così come è l'account creato in Windows Vista, significa essere ancora vulnerabili ad eventuali attacchi di malware. Se è vero che limitare l'attacco al solo account dell'utente non permette al malware danni gravi al sistema, è pur sempre vero che il malware è ancora in grado di poter intercettare le azioni dell'utente – quindi catturarne informazioni quali ad esempio dati personali per l'accesso a servizi bancari. È ancora in grado di poter installare rootkit user mode all'interno del sistema per nascondere eventuali backdoor o trojan che possono comunicare con l'esterno e scaricare ulteriori infezioni.
EXPLOIT PADRONI DEL WEB. Se tempo fa le e-mail, il p2p erano i mezzi principali di infezione, ora il rischio viene dalle pagine web. Il 2008 ha visto il proliferare di tool pronti all'uso, script da caricare su server – preferibilmente su network difficilmente rintracciabili – contenenti exploit che vanno a colpire applicazioni vulnerabili. Secondo alcune statistiche collezionate da Secunia, società di sicurezza che mantiene un database di vulnerabilità di applicazioni e sistemi operativi, 98 computer su 100 hanno installate vecchie versioni di programmi vulnerabili ad alcune tipologie di attacchi. Solo l'1.91% dei computer sono costantemente aggiornati e, come tali, più difficilmente sono vittime di attacchi. I malware writer sfruttano questa situazione, scrivendo exploit al fine di far eseguire codice nocivo senza che l'utente si accorga di niente.
Se i principali target sono ovviamente i browser, non mancano applicazioni quali Real Player, Acrobat Reader, fino a immagini volutamente malformate per sfruttare bug del sistema operativo. Toolkit quali MPack, IcePack, Neosploit, WebAttacker sono particolarmente diffusi e sono ancor più pericolosi considerando il fatto che, alle pagine web civetta opportunamente create per colpire gli utenti, si aggiungono spesso siti web più o meno famosi compromessi, nelle cui pagine vengono inseriti codici javascript offuscati utilizzati per reindirizzare l'utente ai server contenenti gli exploit.
Link per approfondimenti:
2008: il web si tinge di giallo - Report (http://www.pcalsicuro.com/2008%20-%20Il%20web%20si%20tinge%20di%20giallo.pdf)
PC Al Sicuro (http://www.pcalsicuro.com/main/2008/12/report-annuale-pdf/)
Fonte: Pcalsicuro.com (http://www.pcalsicuro.com/) via Tweakness (http://www.tweakness.net/news/4893)