2007: l'anno della "e-criminalità" organizzata

2007: l'anno della "e-criminalità" organizzata

La situazione per quanto riguarda i malware informatici sta letteralmente sfuggendo di mano, le società di antivirus lo sanno e ora cominciano a dichiararlo. C'è bisogno di nuove tecniche e soprattutto di una organizzazione comune che possa far fronte ai cybercriminali.

di Marco Giuliani pubblicata il , alle 18:07 nel canale Sicurezza
 
Che i tempi siano cambiati da quando vecchi virus quali "cascade", "michelangelo" o "junkie" creavano panico tra gli utenti di pc, ormai è fatto noto. Ed è sempre confermato dai report semestrali o annuali delle società di sicurezza che i ritmi di rilascio di nuovi malware informatici siano incrementati in maniera tale da rendere spesso inefficaci i software antivirus.

Più volte su queste pagine online è stato trattato l'argomento secondo il quale le tecnologie utilizzate dai software antivirus da sole non bastino più ad arginare il problema malware. I soldi sono il motore di tutto, della criminalità reale e perché no, anche della criminalità virtuale. Quindi i soldi spesso sono il motivo che muove alla creazione di nuovi malware e, lo sanno tutti, dove dietro ci sono i soldi si può tutto.

Dichiara Michael St. Neitzel, portavoce per Frisk Software International - in un documento rilasciato proprio oggi a questo indirizzo e intitolato "Benvenuto 2007: l'anno dello sviluppo organizzato dei malware" - che è passato il tempo del "rimuovi e dimentica". I malware attuali sono costantemente aggiornati, dietro alle loro spalle ci sono team di programmatori organizzati che seguono l'andamento della propria creatura, si accorgono se è stata individuata da qualche software antivirus e la cambiano rendendola di nuovo invisibile.

Senza parlare di attacchi mirati, di cui gli italiani sono stati - chi consciamente, chi inconsciamente - testimoni oculari durante lo scorso anno. Modalità di attacco che delineano grandi capacità organizzative di piccoli o medi team di sviluppo con lo scopo di fare soldi attraverso dialer o, ancor peggio, attraverso ricatti e minacce di attacchi di tipo DDoS.

La situazione sta sfuggendo di mano, anche perché sono molti i giovani teenager che, affascinati dall'idea del potere e dei soldi facili, si dedicano alla creazione di nuovi malware. Chi d'altronde non è stato mai affascinato dall'idea di poter fare soldi facilmente? Soprattutto in età adolescenziale quando non si ha ben chiaro in mente cosa sia la cosa giusta da fare e cosa invece possa danneggiare altre persone a proprio vantaggio. Una realtà davanti alla quale ci si trova spesso durante questi anni nella vita reale, con l'unica differenza che - se nella vita reale dovrebbero essere presenti figure mature che tengono sotto controllo il ragazzo - internet è uno spazio aperto a tutti, aperto e di difficile controllo.

Ed è proprio questo "difficile controllo" che gioca a vantaggio dei malware writer. Non esistono leggi universali che regolano questo particolare ambito della sicurezza su internet. Si assiste così a situazioni paradossali, quale per esempio la situazione vissuta per quanto riguarda l'infezione Gromozon, libera di diffondersi perché i server che la gestiscono sono ospitati in paesi nei quali la legislazione non regola e punisce la diffusione di malware.

Ci si limita a dire "Sì, siamo sotto attacco, ma non possiamo fare molto". Una situazione paradossale, sottolineata anche dalle parole di Natalya Kaspersky, CEO della omonima società russa di sicurezza produttrice del noto scanner antivirus Kaspersky Antivirus. "Siamo arrivati ad un punto tale che non abbiamo più una soluzione. Pensavamo che con un software antivirus ben sviluppato riuscivamo ad ottenere un'adeguata protezione. Purtroppo sono più quei tempi" ha dichiarato la Kaspersky, che ha poi posto l'accento sulla necessità di collaborare tra le varie nazioni, poiché c'è la seria necessità di una polizia internazionale che si occupi di indagare e perseguire gli autori di malware.

Perché in fondo, nessuna singola società può vincere contro l'intero underground, ma l'unire le forze e collaborare per un unico obiettivo, è questa forse la pozione risolutrice.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
uvz02 Febbraio 2007, 18:36 #1
Mi spiegate come può funzionare il DoS? Denial of service?
Quando ad un sito cercano di accedere tot utenti e il sito stesso non può rispondere a tutti non basta che agli utenti di troppo il sito non risponde? O manda una piccola stringa di testo "server busy" o qual cosa del genere? Se standarizzazzero questa cosa basterebbe un byte fatto in un certo modo e il browser visualizzerebbe un msg tipo "sito con troppo traffico, riprovare più tardi". Con la tecnologia moderna (ma basterebbe anche la "vecchia" una cosa del genere è una schiocchezza. Quindi non riesco a concepire come si può mettere fuori uso un server con questo attacco.
Se c'è qualcuno che riesce a spiegarmelo, senza essere troppo tecnico, lo ringrazio in anticipo.
sgabello02 Febbraio 2007, 18:42 #2
in realtà... quello che dici... è già quel che accade! Non è quello il problema!

Il danno sta nel fatto che se un server è sotto attacco DDoS, nessun utente "vero" riesce più ad accedere al sito... e siccome i guadagni di un sito derivano proprio dal traffico fatto dagli utenti (tramite vendite se si tratta di ecommerce, con le pubblicità tramite banner, etc etc) inevitabilmente l'attacco provoca un danno economico.
Apple8002 Febbraio 2007, 18:45 #3
che schifo. ora pure la criminalità su internet a danno di noi utenti "onesti".
BlackHawkk02 Febbraio 2007, 19:14 #4
<quote user=uvz>Mi spiegate come può funzionare il DoS? Denial of service?</quote>

Praticamente per aprire una comunicazione fra due sistemi il protocollo tcp ip (che permette la comunicazione fra due computer in rete) si basa su un triplice scambio di messaggi.
1. Il client chiede al server la connessione (SYN packet)
2. Il server accetta la connessione (SYN-ACK packet)
3. Il client conferma la sua richiesta di connessione (ACK packet)

I vecchi DoS praticamente mandavano il primo SYN al sever che rispondeva col SYN-ACK e nel frattempo allocava memoria nell'attesa dell'ACK che di fatto non arrivava. Una grande quantità di richieste SYN fa di fatto allocare al server grande memoria fin quando non crasha... Gli attacchi moderni sono più complicati, se ti interessa su wikipedia sono spiegati bene e ci sono link intreressanti.
Ciauz
7110402 Febbraio 2007, 19:21 #5
Originariamente inviato da: Redazione di Hardware Upg
C'è bisogno di nuove tecniche e soprattutto di una organizzazione comune che possa far fronte ai cybercriminali.
"nuove tecniche"??? chissà che leoneazzurro non inizi a concordare con me circa l'uso di sandboxes su Windows
7110402 Febbraio 2007, 19:26 #6
Originariamente inviato da: BlackHawkk
<quote user=uvz>Mi spiegate come può funzionare il DoS? Denial of service?</quote>

Praticamente per aprire una comunicazione fra due sistemi il protocollo tcp ip (che permette la comunicazione fra due computer in rete) si basa su un triplice scambio di messaggi.
1. Il client chiede al server la connessione (SYN packet)
2. Il server accetta la connessione (SYN-ACK packet)
3. Il client conferma la sua richiesta di connessione (ACK packet)

I vecchi DoS praticamente mandavano il primo SYN al sever che rispondeva col SYN-ACK e nel frattempo allocava memoria nell'attesa dell'ACK che di fatto non arrivava. Una grande quantità di richieste SYN fa di fatto allocare al server grande memoria fin quando non crasha... Gli attacchi moderni sono più complicati, se ti interessa su wikipedia sono spiegati bene e ci sono link intreressanti.
Ciauz
indubbiamente quello che hai descritto è un tipo di attacco DoS, ma molto più semplicemente il client può mettersi a chiedere "inutilmente" pagine del sito a gogo: se in tanti fanno la stessa cosa la banda del server si esaurisce in poco tempo, e questo causa l'impedimento per altri clients onesti a visitare siti sullo stesso server. è vero che per realizzare questo DoS più semplice servono più host infettati contemporaneamente, ma è anche vero che ormai al DoS che hai descritto non ci si casca più

è altrettanto vero però che anche non potendo realizzare un DoS con questa strategia si possono usare strategie simili. Apache per esempio qualche anno fa soffriva di un bug che non chiudeva connessioni che inviavano la richiesta di URL composti da spazi a volontà. bastava inviare qualcosa come "GET HTTP/1.0" (c'era qualche slash ma non ricordo, scusate ma non conosco HTTP) seguito da spazi a gogo. Apache memorizzava tutti gli spazi, e in questo modo era possibile esaurire N megabytes di memoria nel server (con N = numero di megabytes di spazi che riuscivi ad inviargli prima che qualcuno se ne accorgesse), fino al DoS (uso intensivo del disco a causa dello swap, fallimento delle malloc, e via dicendo).
guerret02 Febbraio 2007, 19:46 #7
Diciamo che un DoS tipico funziona così: tramite un IP masker io, Mallory, un attaccante, occulto il mio IP con l'indirizzo di Alice che è il mio target, e mando una richiesta di echo all'indirizzo di broadcast della rete di Bob, che uso come base di attacco (Bob ha una rete grossa, migliaia di terminali). Le migliaia di terminali di Bob ricevono la richiesta di echo che credono provenire da Alice, e cominciano a mandare risposte di echo ad Alice. Ripeterò questo procedimento qualche migliaio di volte, così io me la cavo con qualche migliaio di pacchetti, Alice ne riceverà qualche migliaio moltiplicato per il numero di terminali della rete di Bob. Ora, probabilmente la rete di Bob ha una connessione molto ampia e quindi subirà qualche rallentamento da questo ma non una perdita del servizio, ma Alice, che ha una rete più piccola, verrà completamente inondata da queste risposte di echo e non riuscirà più ad usare la connessione in maniera utile.

Questo tipo di attacco è chiamato Smurf. Ormai è obsoleto, perché a seguito di problemi con questo tipo di attacchi, tutte le reti bloccano le richieste di echo inviate agli indirizzi di broadcast.

Si parla di DDoS se usi più reti come trampolini.
matteo102 Febbraio 2007, 19:52 #8
diciamo che il titolo più giusto sarebbe
2007:anno della definitiva svolta criminale per il malware
dal momento che buona parte del 2006 ha mostrato questa tendenza.
Ormai i virus writer non si divertono quasi più a creare danni senza fine di lucro;c'è da dire che bisognerebbe prendere subito provvedimenti anche contro i più grandi spammoni
http://www.spamhaus.org/rokso/
Lud von Pipper02 Febbraio 2007, 21:59 #9
Gia, sanno chi sono ma poi nessuno si muove per spazzolargli la schiena come si deve.
Stargazer02 Febbraio 2007, 23:37 #10
Diciamo che i virus writer, cracker ecc crescendo si sono fatti furbi e sono dinventati social engineering ora

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^