I diversi malicious code di tipo mass mailing based possono essere arginati attraverso la pratica accorta di semplici politiche di sicurezza. Prima fra tutte, l’astensione da qualsiasi tipo di social engineering, una lusinga a cui sembra davvero difficile sottrarsi.
In questo ultimo quarter, le attività dannose poste in essere dai vari malicious code sono aumentate, con particolare riferimento ai blend threat basati su attachment di posta elettronica. La loro capacità di penetrazione sta aumentando in maniera evidentemente tangibile, anche perché gli utenti finali di postazione sembrano ancora non aver metabolizzato i princìpi fondamentali del comportamento collegato alla sicurezza della posta elettronica. Spesso gli utenti cedono ancora alle lusinghe del social engineering, mettendo in difficoltà gli amministratori di sistema che devono bene o male movimentare ingenti quantità di risorse al fine di risolvere problemi che potrebbero comunque essere evitati.
Ma andando nel dettaglio e visto che di Netsky e Bagel stiamo ancora avendo delle casistiche: quali sono stati i reali effetti del problema MyDoom?
Sembra, infatti, che molti abbiano notato una certa discrepanza tra quanto dichiarato dai vari produttori di antivirus e quanti, invece, sia stato annotato dai responsabili della sicurezza a livello di utenti finali.
Vi sono stati poi degli analisti che hanno effettuato un survey finalizzato alla comprensione del reale impatto sul business da parte di questo worm. TruSecure, per esempio, uno dei più importanti player degli Stati Uniti, ha effettuato uno studio su 1.610 business worldwide, dimostrando che la paura di MyDoom è stata forse un po’ troppo amplificata.
In pratica, sono stati effettuati alcuni accertamenti sotto forma di questionario, dai quali è emerso che solo una parte delle stazioni di lavoro classificate come critiche ha effettivamente subìto dei danni dal malicious code in trattazione. Uno dei fattori più interessanti riguarda il fatto che solo il 13% delle aziende intervistate ha dichiarato di avere subìto un impatto più che moderato.
La ricerca, inoltre, ha dimostrato che, in occasione dei worm più importanti degli ultimi cinque anni, la percentuale delle aziende colpite da problemi medio alti è dal 27 al 40%.
Dal punto di vista dell’analisi del payload e degli effetti del malicious code, gli studiosi di TruSecure hanno notato alcune similitudini relative al modus operandi tra Sobig e LoveLetter, che hanno in comune con MyDoom il fatto che sono tutti da considerare, operativamente parlando, dei primary e-mail infector.
@mm e worm puri
Ma l’analisi di TruSecure non si è fermata qui. Il portavoce dell’azienda ha anche ricordato che MyDoom non si può paragonare ad altri fenomeni come Blaster, Slammer, Nachi, Nimda e Code Red. Questo sia per diffusione sia per tipologia/modus operandi. Questo esclude MyDoom dalla ristretta cerchia degli important worm.
Il motivo è evidentemente da individuare nel fatto che MyDoom è un malicious code di tipo @mm (mass mailing based) che ha, quindi, la necessità di avere una condizione diffusiva consistente nello spread dell’allegato tramite programmi di posta elettronica. Diverso il discorso degli altri malicious code, fondamentalmente worm puri (almeno per quanto concerne la loro capacità di autodiffondersi), i quali hanno avuto uno spreading maggiore fondamentalmente a causa dell’indipendenza dal comportamento dell’utente finale.
Considerato che, lo scorso anno, un survey effettuato dalla stessa TruSecure relativo a Blaster worm aveva dimostrato una media di danno attorno ai 475mila dollari ad azienda, uno degli effetti più tangibili di MyDoom sembra essere stato proprio quello di tipo Denial of Service contro alcuni Isv, Sco in testa.
Il sito Web di Santa Cruz Operations è stato fermo per alcuni giorni e il danno che ne è scaturito è stato davvero ingente. Oltre a Sco, poi, c’è stato anche un tentativo di DoS effettuato nei confronti di Microsoft che sembra, però, non aver sofferto del problema.
Riteniamo, in questo caso, che il gigante di Redmond sia stato aggredito da una forza di attacco sensibilmente inferiore rispetto a quello del MyDoom originale. In termini pratici il numero di varianti e la rispettiva incisività di queste ultime ha creato problemi minori a Microsoft rispetto a Sco.
La guerra degli autori
Un’interessante nota di colore è stata data dalla recente comparazione dei codici sorgenti di Bagle, MyDoom e Netsky, i cui rispettivi autori avrebbero scambiato tra loro e a mezzo di messaggi nascosti nel codice sorgente, una serie di insulti basati su pseudo guerre di religione e su giudizi più o meno drastici in ordine alla qualità e all’efficacia dei virus in questione.
Questo episodio pone l’accento su un problema ben più ampio che riguarda le politiche di sicurezza sul comportamento degli utenti finali.
Se da un lato, infatti, questi ultimi non sono diretti responsabili di problemi come Blaster, dall’altro potrebbero costituire una prima efficace barriera di prevenzione per malicious code come MyDoom che si basano, lo ripetiamo ancora, proprio sulle basi del social engineering.
