Un rapporto di Websense fa il punto della situazione dei pericoli della rete. C’è molto da preoccuparsi
La sicurezza è ormai il problema principale della Rete. Fra nuove
vulnerabilità dei software, virus e altro non passa giorno che qualche notizia
non arrivi a turbare il sonno di chi in azienda, dove spesso non c’è un
responsabile It, vorrebbe non dover perdere tempo a occuparsi di questi
problemi.
Eppure la situazione è sempre più
preoccupante.
Per dare un quadro della situazione generale
Websense
, società specializzata nella sicurezza, ha redatto un rapporto “E-crime e minacce del Web” che cerca di fare il punto sulla situazione.
“Scordatevi hacker adolescenti – afferma il report – e pensate piuttosto che ora si tratta di affrontare criminali incalliti dediti all’e-crime perché hanno scoperto che rende di più ed è meno rischioso di altre forme di delinquenza. Il loro obbiettivo sono le informazioni riservate”.
I mezzi usati per questi attacchi
(globalmente definibili come crimeware) sono i più diversi: spyware,
phishing e pharming, bot network, keylogging e spesso un insieme di
diversi tipi di attacchi. P2P, instant messaging (Im) e Voip sono anch’essi a
rischio. I file distribuiti da questi sistemi P2P, infatti, possono essere
pericolosi veicoli di infezioni, con programmi quali eDonkey, Kazaa e BitTorrent
tra i target, mentre popolari proposte Voip come Skype devono ancora dimostrare
che la loro sicurezza è adeguata a un uso aziendale.
Un altro trend preoccupante
è quello degli attacchi ai web server,
che creano siti web corrotti che lanciano attacchi a chi li visita
sfruttando le vulnerabilità dei browser. Particolarmente vulnerabili
risultano i siti sviluppati usando Php il linguaggio di
programmazione web più diffuso. Secondo il rapporto di Sans
Institute sulle 20 principali vulnerabilità, nel 2005 non è trascorsa
una settimana senza che venisse registrato un problema in qualche
software creato con Php.
E in futuro, non saranno solo i sistemi operativi ad aver
bisogno di patch, ma anche le applicazioni, perché proprio queste sono sempre
più oggetto di attacchi.
Dopo questa preoccupante premessa il rapporto passa a esaminare in dettaglio i pericoli della rete.
Spyware e keylogging: lo spyware incorpora
programmi come keylogger e tool di spionaggio che registrano i comportamenti in
Internet degli utenti. In pratica vedono quello che l’utente fa sul web,
registrando le email inviate e ricevute e le comunicazioni Im, inviando poi le
stesse informazioni a soggetti terzi. I tipi di informazioni catturati variano,
ma di solito includono username, password e informazioni personali quali account
e dettagli di login, oltre a file e documenti riservati. Lo spyware
riesce a intrufolarsi in un computer in diversi modi: può essere
installato inconsapevolmente in quanto parte di un programma gratuito, come ad
esempio uno screen saver. Oppure scaricando programmi dichiarati necessari per
la visualizzazione di alcuni siti, o ancora attraverso email usando tecniche del
social engeneering per allettare gli ingenui utenti con offerte fasulle.
Uno dei problemi con lo spyware è che le infezioni sono
difficili da individuare. Uno dei sintomi più comuni, tuttavia, è che i computer
cominciano a comportarsi in modo strano. Sono più lenti o più instabili, perché
spyware, Trojan e altri fastidiosi programmi consumano risorse quali Cpu,
memoria e banda. Attenzione quindi ai bruschi cambiamenti di comportamento del
vostro computer: potrebbero essere un segno che lo spyware si sta dando da fare
sulla vostra macchina C’è una certa confusione tra adware e spyware. L’adware è
un software che instrada verso di voi pubblicità non richiesta o punta il vostro
browser su siti che forniscono advertising. L’adware è un fastidio, mentre lo
spyware è un rischio per la sicurezza delle informazioni. Negli Stati Uniti, un
broker ha perso 40.000 dollari dopo aver installato quello che pensava fosse un
programma di analisi finanziaria, ma che invece era uno spyware che ha trasmesso
i dettagli per il login al suo conto.
Phishing e pharming: il phishing usa siti web fasulli, email spam e altre tecniche basate su codice maligno per spingere le persone a divulgare le proprie informazioni personali confidenziali.
Il phishing usa la tecnica definita del social engineering, ovvero fa leva sulla psicologia degli individui per ottenere informazioni su un’organizzazione o i suoi sistemi informatici.
In un attacco di phishing condotto con le tecniche del social
engineering, i phisher di solito inviano ondate di email spam
contenenti un messaggio che finge di provenire da
un’organizzazione autorevole: una banca o una
multinazionale con un marchio molto noto. Il messaggio sembra
credibile perché sia la mail che il sito cui punta il link in essa
contenuto appaiono estremamente simili al look del marchio
contraffatto.
Il pharming è un tipo di attacco che reindirizza verso siti
fraudolenti gli utenti che tentano di connettersi a un sito
autentico. L’utente ignaro digita l’indirizzo del a quello che sembra un sito di banking online familiare e viene indirizzato su un sito fraudolento.
Bot: I Bot sono insiemi di computer trasformati in robot da virus Trojan. Un pc con software Bot installato viene chiamato zombie. Questi zombie vengono
controllati da remoto dai cybercriminali. Una volta installato su un pc, il
software Bot tipicamente si collega a Internet relay chat per ricevere i
comandi. Il fenomeno è preoccupante perché le bot offrono la protezione
dell’anonimità. Una botnet può essere predisposta per operare da qualsiasi luogo
del mondo per infettare i vostri computer o mandare in down il vostro sito
mediante un attacco Distributed denial of service (DDos) e
individuare chi ha sferrato l’attacco sarà molto diffiicile. La preoccupazione è
che le botnet sono diventate uno dei più efficaci “modelli di business”
per il cybercrime. I pc di una
grande azienda potrebbero essere ai comandi di un gruppo di
creatori di malware senza che nessuno se ne accorga. Una
botnet potrebbe perfino essere affittata a un’azienda per sferrare
un attacco DDoS a un concorrente. La cosa è meno incredibile di
quanto potrebbe sembrare.
Ma allora come possono difendersi le organizzazioni contro un
attacco botnet? Nel caso di Zotob, uno dei Bot più famosi, si crede che molte delle aziende potrebbero essere state colpite quando un notebook infetto è stato ricollegato alla rete aziendale, senza patch
installate e quindi non sicuro. E’ infatti più una scarsa
propensione al patching che una mancanza di sistemi di difesa a
mettere spesso a rischio i sistemi. Sistemi con tutti i patch a
posto e aggiornati sono meno vulnerabili agli attacchi Bot.
Instant messaging e P2p: da semplice strumento per lo scambio istantaneo di messaggi, l’Im sta evolvendo verso una piattaforma di front-end per le applicazioni aziendali.
Oltre al rischio di spionaggio industriale, le applicazioni Im e P2p
offrono anche ulteriori punti di ingresso alla rete aziendale per
intrusioni, furti di dati, attacchi denial-of-service, virus e worm. I
sistemi P2p spesso favoriscono lo spyware tramite reti per il
music-sharing come Kazaa.
Le applicazioni Im e P2p sono
abili a bypassare i firewall, usando tecniche di port-scanning e tunnelling. Il
consiglio per le organizzazioni che stanno pensando di usare Skype è di gestirlo
con attenzione e policy di sicurezza idonee.
