Si rafforza il cybercrime: "Serve una task force globale"

SECURITY 2011

Attacchi informatici sempre più sofisticati e in grado di bypassare anche i sistemi di protezione considerati affidabili. In un'analisi sui trend 2011 Fortinet mette nero su bianco la ricetta per rafforzare la security

di P.A.
Aumento della collaborazione a livello globale riguardo alle misure restrittive nei confronti del cybercrime; aumento del prezzo per i servizi criminali futuri; aumento degli attacchi che bypassano i sistemi di protezione; aumento delle richieste di lavoro per cybercriminali; un maggior numero di cybercriminali entreranno in gioco tentando di riciclare codici sorgente esistenti. Questi nel 2011 i cinque trend salienti nel settore della security segnalati da Fortinet, fornitore globale di sicurezza di rete attivo nel settore Unified threat management (Utm).

Maggiore collaborazione globale contro il cybercrime.
Nel 2011 si prevede che le autorità consolideranno le iniziative di collaborazione globali e lavoreranno con le forze di sicurezza per contrastare i gruppi cybercriminali in crescita. Anche se la European Electronic Crime Task Force è stata un buon passo in avanti nel 2009, non ha avuto ampio raggio di azione. L'interruzione dell'attività di Zeus avvenuta nel 2010, che ha portato alla formulazione di accuse da parte delle autorità competenti negli Stati Uniti e nel Regno Unito, costituisce un ottimo esempio.

Quest'anno ci sono stati esempi di collaborazioni internazionali quali Operation Bot Roast (iniziativa dell’FBI), il Conficker Working Group e i recenti casi di Mariposa/Pushdo/Zeus/Bredolab per smantellare gruppi cybercriminali, ma queste operazioni si sono concentrate solo sulle violazioni con una maggiore visibilità e con un impatto, a volte, solo temporaneo. Ad esempio, a novembre le autorità hanno bloccato il botnet Koobface, ma i server sono stati riconfigurati e sono tornati in piena attività dopo una settimana.

Aumento dei computer infetti. Oggi si assiste a una diffusa preoccupazione per la creazione di imperi malware da parte dei criminali: il controllo delle infezioni gestite può portare a tempi di attività più lunghi e un maggior flusso di denaro. Funzioni dette "bot killers" vengono implementate in nuovi bot destinati genericamente a distruggere altre minacce che potrebbero essere nascoste nel sistema stesso, come Skynet vs. MyDoom/Bagle e Storm vs. Warezov/Stration. È stato osservato, ad esempio, un bot che entra nella memoria alla ricerca di comandi utilizzati da altri bot Irc presenti sullo stesso computer. Una volta individuati, i processi che utilizzano questi comandi vengono eliminati, essendo percepiti come una minaccia per il bot stesso.

Mentre nel 2011 i computer saranno infettati da nuove fonti di attacchi, aumenterà il numero dei computer già contagiati. Di conseguenza, si assisterà probabilmente a un aumento del prezzo dei servizi criminali, ad esempio l'affitto di bot che caricano software dannoso nei computer e di malware che includono la manutenzione del computer per ottimizzare il tempo di attività dei computer infetti.

Aumento degli attacchi che bypassano i sistemi di protezione.
Le tecnologie di sicurezza per prevenire o limitare gli attacchi informatici nei moderni sistemi operativi (Aslr, Dep, sandboxing ecc.) stanno evolvendo notevolmente come le macchine che li supportano. Questa evoluzione ha sicuramente limitato il terreno di diffusione del malware e ciò, nel 2011, aumenterà la domanda di metodi per infrangere queste barriere. Nel 2010, sono stati inoltre osservati rootkit come Alureon che hanno bypassato queste difese e infettato il record di avvio principale per preparare l'attacco.

Si prevede che altri rootkit seguiranno, nel tentativo di introdursi nei computer più recenti, e che verranno sferrati ulteriori attacchi innovativi per aggirare le difese come Aslr/Dep e sandboxing come quelle lanciate da Google Chrome e Adobe nel 2010.

Cybercriminali alla ricerca di nuova manodopera.
I lavori per cybercriminali per cui è stata osservata una crescita della domanda comprendono sviluppatori per piattaforme e pacchetti personalizzati, servizi di hosting per dati e programmi malevoli, persone in grado di bypassare i Captcha, quality assurance (antirilevamento) e distributori (affiliati) per la diffusione di codice dannoso. I programmi per nuovi affiliati saranno probabilmente i più fruttuosi, grazie all'arruolamento di persone che si candidano per distribuire codice dannoso.

Gli operatori di botnet hanno in genere provveduto direttamente al loro sviluppo, ma si ritiene che nel 2011 più operatori inizieranno a delegare questa attività agli affiliati (intermediari su commissione). I botnet Alureon e Hiloti sono due esempi per cui è già stato adottato questo concetto, con la creazione di programmi di affiliazione e la retribuzione di chiunque sia in grado di infettare altri sistemi per conto dell'operatore. Attraverso un'armata di distributori, i botnet continueranno a prosperare.

Diffusione del codice sorgente. Oggi lo stesso malware può nascondersi dietro diversi nomi e alias. Anche il rilevamento incrociato da parte di diversi vendor di sicurezza non fa che aumentare la confusione. Questo è il risultato di una comunità di sviluppatori in crescita, alimentata dalla disponibilità del codice sorgente e delle librerie che vengono "presi a prestito" per creare e vendere nuovo malware. Capita spesso che due malware sottoposti a valutazione rivelino una natura praticamente identica, eccetto la modifica di un piccolo componente al loro interno. Questo tipo di malware "copia & incolla" indica che più sviluppatori hanno adottato lo stesso codice sorgente.

Nel 2011 si prevede che un numero maggiore di criminali parteciperà all'operazione tentando di guadagnare denaro riciclando codice sorgente esistente. Mentre il codice sorgente pubblico (accessibile a tutti) continuerà a creare problemi nel panorama della sicurezza, il codice sorgente privato aumenterà di valore, così come il lavoro degli sviluppatori esperti. In parallelo, si prevede sempre più collaborazione implementando il controllo della fonte come farebbe una qualsiasi azienda legittima di sviluppo software o progetti open source (Source Forge).

17 Dicembre 2010