Dal Cto di Trend Micro alcune indicazioni sulle nuove minacce e su come limitarle.
Raimund Genes, Cto Anti malware di Trend Micro è persona che gira il mondo per evangelizzare sui nuovi pericoli della Rete.
È passato in Italia e ci siamo fatti dare qualche pillola di sapienza e buon senso in ordine a ciò che oggi è il malware, come si presenta e come lo si cerca di limitare.
Innanzitutto per Genes oggi il cybercrime è un fatto economico: genera un fatturato equivalente al Pil di un medio stato.
C’è una vera e propria supply chain del malware. Chi installa i keylogger non è la stessa persona che poi li sfrutta. Gli hacker quotano e vendono gli zero day exploit, eseguono anche attacchi su base regionale, a richiesta.
Oramai gli attacchi tramite la navigazione Web hanno superato per portata worm, il che colloca gli antivirus tradizionali in una posizione diversa, assimilabile a quella dei beni commodity.
Oggi tutti gli attacchi più ficcanti partono dai “trigger” su Web, ossia da oggetti che innescano l’infezione mascherati sotto elementi attraenti, come un immagine, un video, la promessa di un facile guadagno, un’informazione sportiva. Quindi il già noto phishing è uno dei tanti trigger, ma non il solo.
Prendiamo l’image spam, in grande diffusione: per distogliersi dal controllo degli strumenti di protezione, il malware tramite immagine cambia dinamicamente alcuni pixel.
Altra forma evoluta di attacco via Web è il video spam, come quello che propone nuovi codec per decrittare un filmato, e invoglia il malcapitato a scaricare quello che invece è un malware.
Se vogliamo, il problema è prettamente comportamentale. Secondo Genes ‘è sempre la mano dell’utente in una intrusione. Un utente che, culturalmente, è stato abituato da Windows a cliccare sull’opzione “si” per installare qualsiasi cosa.
La missione di società come Trend Micro, allora, è rompere la catena del malware, quella che parte dal trigger, passa per l’installazione del malware e si radica nel server.
Tecnicamente, se si bada essenzialmente al rimedio di un inconveniente, è più facile agire sulla terminazione server della catena, ossia quando un’infezione è già in corso, perché la variabile umana li non c’entra più nulla, non agisce più l’elemento comportamentale. Ovvio però che sarebbe meglio limitare il più possibile proprio l’innesco dei trigger.
A tale scopo, c’è uno strumento come il Web reputation database gestito da Trend Micro, che monitora oltre 2 miliardi di siti al giorno mediante Url filtering, e consente di segnalare agli utenti, automaticamente, e in tempo reale, un indirizzo Web sospettabile di attività fraudolenta o minacciosa.
