Ondata di attacchi scuote Internet

Sembra esserci un pericoloso e determinato gruppo di cracker dietro agli attacchi che, in questi mesi, hanno trasformato molti siti Web in untori di trojan, worm ed altri codici malevoli. PI ne parla con un esperto di sicurezza

Roma - Potrebbe essere solo la punta dell'iceberg il clamoroso attacco che, di recente, ha utilizzato un circuito di banner pubblicitari per diffondere un pericoloso worm.

Elia Florio, esperto di sicurezza consultato da Punto Informatico, ha sottolineato come ormai da alcuni mesi sia in corso un massiccio attacco contro numerosi siti che utilizzano Apache su piattaforma Unix/Linux. A quanto pare i cracker penetrano sui server sfruttando vecchie vulnerabilità di OpenSSL, PHP ed altri software open source, e installano sui sistemi compromessi un agente malevolo, conosciuto come "suckit", che si annida nel sistema operativo fornendo ai cracker il controllo totale della macchina.

L'obiettivo finale dei cracker è quello di tramutare i server Web così violati, tra cui quelli di siti molto frequentati, in untori inconsapevoli di vari tipi di codice malevolo: questo viene "iniettato" sui PC degli utenti sfruttando l'ormai famosa falla di Internet Explorer, ancora senza patch, relativa all'attributo IFRAME.
"Il malware punta ad alcuni domini esteri contenenti ogni sorta di exploit per IE e ogni tipo di trojan/backdoor", ha spiegato Florio. "Dalle analisi, le macchine compromesse sono numerose, molte risiedono anche in Italia e montano tutte Linux con una versione di Apache inferiore alle 1.3.31".

Fra l'altro, secondo Florio, molti dei codici malevoli distribuiti dai bot non vengono neppure riconosciuti dagli antivirus. Ma il vero pericolo sta nel fatto che buona parte dei PC infettati si trasformano in "zombie", ossia macchine controllabili da remoto che, nel momento opportuno, possono essere utilizzate all'unisono dai criminali come teste di ponte per aggressioni di vario genere.

I primi attacchi sembrano risalire allo scorso mese di aprile, ma la vera ondata si è registrata a partire da ottobre. Florio ipotizza che l'obiettivo di queste azioni sia quello di creare un'"enorme botnet di zombie" adatta a lanciare attacchi di tipo distributed denial of service (DDoS), oppure quello di raccogliere dati personali e carte di credito.

Sebbene nelle scorse settimane molti dei siti che facevano parte del botnet sono stati chiusi o sanati, attualmente ve ne sono ancora diversi che continuano a sparare dardi avvelenati contro gli utenti di IE. Gli esperti hanno ribadito che chi utilizza browser diversi da IE, come Mozilla ed Opera, non corre alcun rischio.

L'esperto di sicurezza Christopher Boyd, con la collaborazione di Florio Eric Howes ed altre persone, ha recentemente redatto un'approfondita analisi (in formato PDF) degli attacchi che sfruttano la vulnerabilità IFRAME di IE, segnalando inoltre al SANS Institute la lista dei siti che stanno attualmente diffondendo i codici malevoli. Stando a quanto comunicato nelle scorse ore dal SANS, ci si può attendere che tali siti saranno al più presto controllati ed eventualmente chiusi.
55 Commenti alla Notizia Ondata di attacchi scuote Internet
Ordina
  • anche se la maggioranza dei link sembrano ko, alcuni funzionano ancora, e un tentativo di visitarli si traduce in un vero e proprio assalto all'arma bianca, il sito testa ogni possibile vulnerabilità per installare schifezze e trojan, altro che i siti di test A bocca aperta

    Credo che un utente Windows che usi Internet Exploer e abbia meno di WinXP SP2 con tutti gli aggiornamenti installati (compresi quelli di Java!) più antivirus efficiente aggiornatissimo e account con diritti limitati, si infetti automaticamente e senza scampo. E' come esporsi ad un nido di mitragliatrici in uno spiazzo aperto.

    Questo deve essere un pesante monito per chi finora ha sempre trascurato l'aspetto sicurezza: la rete è un posto pericolosissimo per gli utonti, e la Microsoft non può permettersi di rilasciare prodotti così insicuri e pieni di buchi.



    ==================================
    Modificato dall'autore il 28/11/2004 12.10.37
  • Gestivo un server di posta su Linux ed ho avuto la malaugurata idea di applicare una patch non "ufficiale".
    Questa aveva un baco, non un virus o trojan, semplicemente un baco che poteva essere sfruttato per inviare mail non autorizzate da mio server di posta.

    Tempo mezza giornata e gia' alcuni spammer avevano individuato il modo per spedire mail non autorizzateDeluso

    Tempo 10 minuti dall'individuazione del carico anomalo con uptime e la cosa era risolta ripristinando il vecchio file non pachato.

    In rete ce' parecchia gente senza scrupoli che crea sistemi per utilizzare risorse altrui in maniera non autorizzata qui bisogna pensare ai propri computer attaccati alla rete come se fossero automobili parcheggiate in un rione di Napoli.Deluso
    non+autenticato
  • vero.....
    hai detto una cosa giusta

    e passare moooooolto tempo a guardare log e attività (sia su Win sia su Linuxc sia su Brambilla 1.2 xche NON esiste il SO sicuro per che si)
    non+autenticato
  • > vero.....
    > hai detto una cosa giusta
    >
    > e passare moooooolto tempo a guardare log e
    > attività (sia su Win sia su Linuxc
    > sia su Brambilla 1.2 xche NON esiste il SO
    > sicuro per che si)

    Verissimo...
    ma azzo!! chi ti paga per farlo?Deluso
    non+autenticato
  • Ma moooolto vecchie.
    Il software va anche aggiornato una volta ogni tanto, certo non tutti i giorni come con windows.

    Purtroppo e' successo anche a me con un vecchio server di testing collegato alla rete, comunque il tentativo di accedere alla root e' fallito ed ha bloccato il sistema soprattutto perche' l'hacker, pardon il cracker, si aspettava un installazione red hat standard.
    non+autenticato
  • Questo dimostra che il primo fattore di sicurezza è quella cosa posta fra il monitor e la sedia.

    Puoi avere tutti i sistemi che vuoi, ma se uno usa un Linux stravecchio e non gli fa gli aggiornamenti, si fa inchiappettare come i suoi colleghi su Windows.

    non+autenticato
  • E cronometrate per quanti minuti resta up.
    Sul serio!
    non+autenticato
  • 15 secondi netti.

    Ho poi installato una macchina con vindows monitorata tramite firewall, cosi' tanto per vedere come una comunita' di cracker si sarebbe sviluppata dentro questa macchina, bhe devo dire che e' stato interessante.
    non+autenticato

  • - Scritto da: Anonimo
    > 15 secondi netti.
    >
    > Ho poi installato una macchina con vindows
    > monitorata tramite firewall, cosi' tanto per
    > vedere come una comunita' di cracker si
    > sarebbe sviluppata dentro questa macchina,
    > bhe devo dire che e' stato interessante.
    azzzzzz dopo tanti anni dovrei avere più comunità
    che cinesi in cina:|
    non+autenticato

  • - Scritto da: Anonimo
    > 15 secondi netti.
    >
    > Ho poi installato una macchina con vindows
    > monitorata tramite firewall, cosi' tanto per
    > vedere come una comunita' di cracker si
    > sarebbe sviluppata dentro questa macchina,
    > bhe devo dire che e' stato interessante.

    Interessante è il fatto che tu ignori che quegli "attacchi" siano stati in realta worm
    non+autenticato

  • - Scritto da: Anonimo
    > E cronometrate per quanti minuti resta up.
    > Sul serio!

    Io ho un Windows 98SE che sta up per ore attaccato ad adsl (fino a che non lo spengo). Mai avuto problemi. Cosa intendi per *così vecchio* ?
  • Ho indicato "Google" perche' penso sia l'homepage piu' visitata dell'intero pianeta. Praticamente tutte le persone che conosco utilizzano google almeno una volta al giorno.

    Cmq potete sostituire a Google qualsiasi altra pagina visitata da milioni di persone. (io ADORO google!)

    Quindi pensate alle conseguenze di uno scenario del genere:

    -un sistemista di google (chiamiamolo pure "terrorista", cosi' sembra piu' antipatico) scopre una nuova vulnerabilita' di windows Explorer (visti i geniacci che lavorano a google non penso sia improbabile che siano in grado di farlo)

    -quel sistemista prepara un exploit che permette l'esecuzione di codice arbitrario (ad esempio cancellazione della FAT, sovrascrittura di tutti i dati dell'utente, etc etc)

    -il sistemista piazza il codice nella home di google (ovviamente deve avere la possibilita' di farlo: social engineering, sniffing password con dispositivi collegati a tastiere, etc)

    (-opzionale: il codice in questione prima di rendere il pc inutilizzabile cerca di contattare altri IP a caso per infettarli, pero' per fare cio' dovrebbe utilizzare un'altra vulnerabilita' per questa infezione, quella per Explorer non sarebbe utile in questo caso)

    Voila': in poco tempo avremmo milioni di pc "formattati".

    Io non sto sostenendo che google e' pericoloso e sia da chiudere: il ragionamento potrebbe essere esteso a qualsiasi sito molto trafficato.
    Cio' che voglio evidenziare e' che una cosa del genere *potrebbe* accadere, gli strumenti tecnici per fare cio' ci sono.

    Non era verosimile che due aerei si potessero schiantare contro le twin towers. Pero' e' accaduto.

    La mia conclusione? "Backup early, backup often!"

    Cosa ne pensate?
    non+autenticato
  • Il consiglio di "backuppare" spesso è sempre ottimo, qualunque sia il sistema. I fault hw sono sempre in agguato . . .

    Cmq., ammesso che il rischio esista, che cosa si potrebbe fare per porre rimedio?
    non+autenticato
  • > Cmq., ammesso che il rischio esista, che

    Beh, il rischio indubbiamente esiste (vedi "The Register" qualche giorno fa, etc)

    > cosa si potrebbe fare per porre rimedio?

    Scollegare il pc da internet...
    A parte gli scherzi, di rimedi "sicuri" non penso ve ne siano
    non+autenticato

  • - Scritto da: Anonimo
    > > Cmq., ammesso che il rischio esista, che
    >
    > Beh, il rischio indubbiamente esiste (vedi
    > "The Register" qualche giorno fa, etc)
    >
    > > cosa si potrebbe fare per porre rimedio?
    >
    > Scollegare il pc da internet...
    > A parte gli scherzi, di rimedi "sicuri" non
    > penso ve ne siano
    Nel frattempo, continuerò ad usare un desktop con Linux, navigare con firefox ed evitare accuratamente di effettuare transazioni on-line.
    non+autenticato
  • - Scritto da: Anonimo
    > A parte gli scherzi, di rimedi "sicuri" non
    > penso ve ne siano

    E` sufficente evitare in ogni ambito di usare i software mainstream. Nessuno verra` a romperti le scatole cosi` a meno che non ce l'abbia proprio precisamente con te, il che e` improbabile.
    Adesso Linux e Firefox e in generale tutto il sw per Linux sono ancora abbastanza sicuri, ma questo cambiera` purtroppo...
    non+autenticato
  • > E` sufficente evitare in ogni ambito di
    > usare i software mainstream. Nessuno verra`

    Purtroppo nel caso dei browser non e' che ci siano infinite possibilita'... di browser di qualita' non ve ne sono poi molti.

    E anche nel caso dei sistemi operativi non e' che ci siano molte scelte...
    non+autenticato
  • - Scritto da: Anonimo

    > Cmq., ammesso che il rischio esista, che
    > cosa si potrebbe fare per porre rimedio?

    Utilizzare un altro Browser (firefox per esempio).
  • > > Cmq., ammesso che il rischio esista, che
    > > cosa si potrebbe fare per porre rimedio?
    >
    > Utilizzare un altro Browser (firefox per
    > esempio).

    Qualsiasi software contiene dei bug.
    Finora gli exploit sono stati creati quasi esclusivamente per Explorer poiche' e' il browser piu' diffuso.
    Se Firefox diventasse il browser piu' usato state pur sicuri che troverebbero qualche exploit anche per questo...
    Idem per i S.O. (linux vs win, etc).
    Il bersaglio di questi attacchi e' infatti l' "utenti medio".
    non+autenticato
  • - Scritto da: Anonimo
    > Cosa ne pensate?

    Che uno che lavora in g00gl3 non farebbe mai una cosa simile a meno che l'unico scopo sia screditare il suo datore di lavoro.

    Invece creerebbe un sistema di ricerca per informazioni utili (a lui) e quindi installerebbe questo nei computer infettati.
    Poi starebbe a ricevere tonnellate di informazioni riservate altrui aspettando l'occasione d'oro per lucrarci!

    Che malvagita`!
    non+autenticato
  • > Che uno che lavora in g00gl3 non farebbe mai
    > una cosa simile a meno che l'unico scopo sia
    > screditare il suo datore di lavoro.

    google era solo un esempio...

    E cmq i motivi potrebbero essere vari:
    -pazzia, manie di persecuzione, etc
    -terrorismo
    -tendenze suicide (prima di morire voglio vendicarmi...)
    -voglia di passare alla storia (famoso lo diverrebbe sicuramente...)
    -desiderio di essere mantenuto "a sbafo" dalle patrie galere Sorride
    -etc...

    > Invece creerebbe un sistema di ricerca per informazioni utili
    > lui) e quindi installerebbe questo nei computer infettati.
    > Poi starebbe a ricevere tonnellate di informazioni riservate
    > altrui aspettando l'occasione d'oro per lucrarci!

    Io invece sarei piu' preoccupato per attacchi "distruttivi".
    Infatti attacchi "a scopo di lucro" a vasta scala non avrebbero alcun modo di restare impuniti: verrebbero sicuramente individuati in breve tempo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)