Gli attacchi in Rete sfruttano sempre più tecniche miste articolate su più livelli e tempi d’azione. La facilità di reperire indicazioni su come sfruttare le vulnerabilità aumenta la portata delle minacce.
Le minacce provenienti da Internet rappresentano un aspetto consolidato del mondo It e, come tali, risentono dello sviluppo tecnologico e della disponibilità, a basso costo, di macchine di calcolo sempre più potenti. Si tratta di un fenomeno che, oltre a essere da anni in continua crescita, è anche in costante evoluzione per quanto riguarda la sofisticazione dei codici pericolosi, le tecniche di attacco ma anche le strategie, che prevedono attacchi di tipo strutturato, organizzati su più livelli e in tempi successivi.
Questa evoluzione non impedisce, tuttavia, a minacce già manifestatisi da tempo di continuare a circolare nella Rete e a far danni, segno evidente della mancata installazione delle patch e delle contromisure disponibili (spesso gratuitamente). Questo fatto, di apparente inspiegabilità, diventa più comprensibile se si considera il numero di vulnerabilità a cui si trovano esposti i sistemi informativi: basti pensare che nel corso del 2003 Symantec ha documentato ben 2.636 nuove vulnerabilità (una media di 7 al giorno).
Se è vero che si tratta di un numero (quello delle vulnerabilità) che, in base agli ultimi dati, sembra stabilizzarsi, lo è altrettanto il fatto che ci si sta spostando verso vulnerabilità dalle ripercussioni sempre più dannose in termini di importanza degli obiettivi e di danni arrecabili. Inoltre, le vulnerabilità sono sempre più facili da sfruttare. Sia perché su Internet è possibile trovare facilmente elenchi dei “buchi” di sicurezza corredati da istruzioni e tool per poterli sfruttare, sia per il fatto che molte di esse possono essere sfruttate senza che sia richiesto alcun codice per farlo.
Questi aspetti hanno, quindi, ampliato lo spettro del numero dei possibili attaccanti, spostandolo anche nella tipologia, da persone con elevata competenza informatica (quindi necessariamente in numero ridotto e spesso con obiettivi focalizzati), verso l’intera popolazione di naviganti che, per divertimento o spirito di emulazione, si trova ora a disporre dei mezzi per lanciare attacchi in modo indifferenziato. Questo fatto, unitamente allo sviluppo tecnologico citato prima, ha contribuito a ridurre i tempi intercorrenti tra il momento di identificazione di una nuova vulnerabilità e quello in cui viene resa disponibile su Internet la metodologia per sferrare un attacco in grado di sfruttarla. Si avvicina pertanto lo spettro delle minacce del “giorno zero”, termine con cui si indicano gli attacchi in grado di sfruttare vulnerabilità non ancora conosciute o per cui non è stata ancora resa disponibile un’apposita patch di contromisura.
È ormai evidente che non è più possibile, per ogni tipo di azienda, affrontare la questione delle minacce provenienti da Internet semplicemente con la buona volontà o in modo amatoriale; servono competenze e tool specifici e procedure in grado di fornire risposte efficaci in modo automatizzato.
Questo è diventato ancora più vero con l’arrivo delle minacce a tecnica mista (o blended) che attaccano i sistemi e la rete mediante una pluralità di tecniche diverse, col risultato di essere intercettate in modo più difficile e diffondersi molto rapidamente.
Blaster e i suoi fratelli
Appartengono a questa categoria Blaster, Welchia e Sobig.F, comparsi in contemporanea nell’agosto del 2003 e che, in soli 12 giorni, hanno infettato milioni di computer in tutto il mondo. È interessante notare che questo tipo di minacce, che in precedenza si indirizzava prevalentemente alle vulnerabilità dei Web server e dei database server, tende attualmente ad attaccare le vulnerabilità di alcuni componenti base di sistemi operativi quali Windows, che sono presenti sia sulle reti aziendali che su quelle di tipo consumer, ampliando, di conseguenza, la portata dell’attacco.
Gli attacchi a tecnica mista sfruttano sempre più, per la loro aggressione, le backdoor lasciate da precedenti attacchi dello stesso tipo o da worm, che possono essere usate dagli hacker per assumere il controllo di un sistema, installare a loro volta una propria backdoor o utilizzare il sistema target per condurre da esso un attacco di tipo Distributed Denial of Service (che sovraccarica un sistema fino a renderlo inefficiente) sia verso l’interno che verso l’esterno della rete.
Tra gli esempi in tal senso si possono ricordare, oltre a Blaster, MyDoom. Quest’ultimo, in particolare, diffusosi rapidamente all’inizio del 2004 rendeva vulnerabili i sistemi infetti attraverso una backdoor che ha consentito la successiva propagazione dei worm DoomJuice e DeadHat. L’esistenza di queste backdoor può consentire anche di installare sui sistemi nuovo codice pericoloso in grado di rendere accessibili password o registrare le sequenze di tasti digitati dall’utente; uno degli esempi in tal senso è Bugbear.B, una minaccia a tecnica mista che ha l’obiettivo di intercettare dati riservati.
I worm rappresentano attualmente la fonte più comune di attacchi e la posta elettronica resta, in ogni caso, il principale veicolo di diffusione di codici pericolosi, a cui si aggiunge, in misura sempre crescente, la messaggistica. Tra i più dannosi e diffusi restano i worm “mass mailer”, in grado di inviare messaggi infetti agli indirizzi presenti sulle rubriche dei sistemi attaccati e, tra questi, è in crescita il numero di quelli dotati di un proprio motore per l’invio di posta. Sempre parlando di posta elettronica non si può evitare di affrontare il discorso legato allo spam, che sta assumendo proporzioni sempre più preoccupanti, nonostante alcune iniziative attivate di recente per combatterlo e una migliore messa a punto di strumenti di filtraggio dei contenuti. Si tratta, comunque, di soluzioni che non possono proteggere da messaggi che, sebbene non classificabili direttamente come spam, risultano inutili e sottraggono tempo.