Matteo Flora

(in)sicurezza: Che fine hanno fatto i Virus?

di Matteo Flora - La fonte forse più redditizia di introiti delle Bot Network di macchine contagiate è data dall'unica vera funzionalità che terrorizza qualunque realtà web: il DDoS

Roma - È notizia di qualche giorno fa, apparsa sui principali quotidiani, che il "furto di dati digitale" dell'estate di quest'anno ai danni del Ministero della Difesa americana ha recuperato molti più dati di quelli ipotizzati in un primo momento. Data la natura dei dati l'entità non è stata, ovviamente, divulgata, ma lo stesso annuncio pubblico la dice lunga sulla effettiva mole della manovra.

Ma a parte la notizia in sé, che ovviamente suscita un piccolo sadico sorriso nell'anti-americano che è in tutti noi (nascosto ma c'è, non foss'altro che per dire "Visto che bucano anche loro?"), la vera notizia, secondo me, più che l'illazione su un attacco proveniente dalla Repubblica Popolare Cinese, sono le modalità dell'attacco stesso, che è stato condotto, per ammissione della stessa agenzia, utilizzando una vulnerabilità conosciuta e non patchata.
In altre parole, anche al Pentagono qualcuno non aggiorna le macchine.

Certo, è sempre la solita storia per chi in questo campo ci vive e ci lavora: il cliente a cui si fa presente la vulnerabilità e che nel buon 80% dei casi risponde con un laconico "A Dottò! Ma tanto a noi chi vuole che ci buchi?". Il problema sembra infatti essere la mancanza di dati "appetibili" per un attaccante, come ad esempio contabilità o brevetti e marchi: mancando queste informazioni la piccola PMI si vede al sicuro poiché non ha nulla di "appetibile" per il possibile attaccante.
In altre parole, i sistemi sono sicuri perché praticamente inutili se non al fine aziendale.
Ed è proprio di questo atteggiamento che la nuova criminalità su web vive, l'esatta attitudine mentale che da gloria e ricchezza a chi vive di DDOS, phishing e click scam.
Mentre stavo preparando una conferenza che terrò la prossima settimana, mi sono interrogato su come portare all'occhio di un uditorio non tecnico le nuove frontiere della criminalità informatica, di come fare trasparire i tempi che cambiano con un concetto che fosse comprensibile da parte di chiunque e che potesse fare inquadrare il problema. Alla fine credo di aver trovato questo concetto con una semplice domanda da porvi: "Che fine hanno fatto, secondo voi, i virus?".

Già, perché sicuramente ricorderete sino ad un paio di anni fa come ogni circa 6 settimane arrivasse puntuale la ventata del nuovo Virus. Ricorderete la corsa ai gazzettini ed agli avvertimenti (anche su Punto Informatico) per le nuova variante che doveva essere osservata, sul nuovo virus che l'antivirus Tizio o Caio ancora non rilevava e via dicendo. Una corsa, vera e propria, alla patch ed all'aggiornamento che ora sembra magicamente essere sparita.
Che gli antivirus siano arrivati alla perfezione? Scusatemi, ma non credo proprio. Quelli che si sono trasformati non sono i guardiani ma i prigionieri: i virus si sono evoluti e, soprattutto, non danno più il fastidio di prima.

Già, perché un po' come è successo con gli Spyware i virus storici davano fastidio: reboot, macchine inchiodate, spam di infezione, comportamenti assurdi del computer. In altre parole una serie di "fastidi" digitali che portavano innanzitutto a notarli ed in secondo luogo a prodigarsi per la loro rimozione. Perché l'obiettivo di questi virus che chiamerei "adolescenti" era quello di una gara alla diffusione fine a se stessa, senza scopo altro che non la visibilità del writer o del gruppo che li aveva creati. Una sorta di POC (proof of concept) di cosa era possibile fare con i mezzi adeguati.
Ma anche il mercato è cambiato ed ora i vecchi virus vedono una nuova rinascita in altre spoglie: come macchine per soldi.

L'esempio nefasto di Storm Worm è all'occhio di tutti e parla di una nuova strategia. Parla di virus "silenti" e non fastidiosi, semplici accoglienti tane dove incubare ed essere pronti all'occorrenza. E quale occorrenza? Moltissime e variegate.

Innanzitutto i vari Form Grabber, che altro non fanno che recuperare le credenziali introdotte non "ovunque" come un normale keylogger, ma all'interno di specifiche pagine web. Così facendo un Form Grabber può agilmente essere programmato per recuperare le credenziali di ingresso a svariati portali come banche, servizi web, posta elettronica o extranet aziendali, per poi inviare i dati altamente selezionati e pronti all'uso indietro verso il proprietario, quel "Signore dei Robot" (gioco sul termine inglese "bot Master") che possiede decine di migliaia se non centinaia di macchine contagiate e che non deve fare altro che attendere.

Oltre a questo il proliferare di servizi di "pay per click", primo tra tutti Google AdSense dove l'utente viene pagato in quid per ogni click che viene fatto su un banner che espone, ha creato un vero e proprio mercato di servizi di Click Fraud, dove le centinaia di migliaia di macchine contagiate altro non fanno che cliccare saltuariamente su questo o un altro banner al fine di creare un indotto economico per chi controlla la pubblicazione del banner stesso, il criminale o l'organizzazione di turno che ha creato spazi e siti appositi per questi precisi scopi.

Ma la fonte forse più redditizia di introiti delle Bot Network di macchine contagiate è data dall'unica vera funzionalità che terrorizza qualunque realtà web: il DDoS.

Già, perché non esiste realtà che possa ad oggi efficacemente contrastare un DDoS (distributed denial of service) in cui centinaia di migliaia di macchine non fanno altro che inviare traffico anche legittimo verso una unica destinazione. E se ci pensiamo bene l'Italia, da questo punto di vista, è un bersaglio goloso per i bot Masters: centinaia di migliaia, se non qualche milione, di terminali connessi con ampiezza di banda dai 10Mb ai 30Mb. Anche supponendo un traffico in uscita tra i 300Kb ed i 1500Kb per singola macchina significa che con un migliaio di macchine posso ottenere quasi un Gigabit di traffico da indirizzare contro il portalone o l'istituzione di turno per metterlo, letteralmente, in ginocchio.
Non esiste realtà preparata ad affrontare attacchi per decine e decine di Gigabit che arrivino saltuariamente e senza preavviso, e la vicenda Estone di qualche tempo fa ne è l'esempio lampante.

E quindi che fine hanno fatto i Virus? Si sono evoluti. Non danno fastidio per non essere individuati e divengono quasi inoffensivi parassiti dell'organismo che li ospita. Hanno una fase, se così vogliamo dire, di incubazione molto lunga e piccoli, brevi episodi di infezione vera e propria.
Ma bisogna ricordare che, nel frattempo, la nostra macchina è un filino meno nostra. I nostri dati sono un filino meno nostri.

Come contrastare il fenomeno? Comportandosi come se vi fosse sempre e comunque il pericolo, aggiornando i computer ad ogni possibilità, aggiornando sistemi vari di rilevazione in modo automatico e, soprattutto, preparandoci al peggio con un buon piano di intervento.
Certo non eviteremo tutti i problemi, ma per lo meno eviteremo l'imbarazzo di spiegare a qualcuno perché la nostra rete aziendale è un vivaio di ospiti indesiderati che nessuno ha verificato solo perché da tempo non vediamo sul giornale avvisi di Virus importanti.

"Estote Parati".

Matteo Flora
LastKnight.com

I precedenti interventi di M.F. sono disponibili a questo indirizzo

NB: nel corso di questo articolo ho utilizzato il termine virus in senso lato. Il termine corretto per la definizione di malware propagantesi in modo autonomo sul web è Worm ed un Worm è anche lo Storm citato. Ho semplicemente ritenuto che l'utilizzo del termine Virus fosse più intuibile all'utente medio del termine "Codice Malevolo".
93 Commenti alla Notizia (in)sicurezza: Che fine hanno fatto i Virus?
Ordina
  • e' pero' innegabile che ci sia anche stato un aumento della sicurezza media dei pc, sia come sistema operativo sia nei setup di default (firewall, antivirus ecc); inoltre e' nettamente migliorata la rete degli aggiornamenti. questi
    sono fatti innegabili. che poi oggi i virus siano piu nascosti e finalizzati, sara probabilmente vero, ma da cio a pensarci tutti infestati da virus ignoti ce ne passa, secondo me.
    non+autenticato
  • - Scritto da: roberto
    > e' pero' innegabile che ci sia anche stato un
    > aumento della sicurezza media dei pc, sia come
    > sistema operativo sia nei setup di default
    > (firewall, antivirus ecc); inoltre e' nettamente
    > migliorata la rete degli aggiornamenti.
    > questi sono fatti innegabili.

    C'e' da dire che dopo i buchi che hanno lasciato passare Blaste, sasser e compagnia era difficile fare peggio...
    krane
    22544
  • - Scritto da: roberto
    > e' pero' innegabile che ci sia anche stato un
    > aumento della sicurezza media dei pc, sia come
    > sistema operativo sia nei setup di default
    > (firewall, antivirus ecc); inoltre e' nettamente
    > migliorata la rete degli aggiornamenti.
    > questi
    > sono fatti innegabili. che poi oggi i virus siano
    > piu nascosti e finalizzati, sara probabilmente
    > vero, ma da cio a pensarci tutti infestati da
    > virus ignoti ce ne passa, secondo
    > me

    Beh, non e' affatto come dici tu, invece. La percentuale di computer infettata da malware oggi e' MOLTO maggiore di quella infettata da malware 10 anni fa.
    non+autenticato
  • virus, spyware, trojan... ma usare linux?A bocca aperta
    ciao!
    non+autenticato
  • - Scritto da: freeman
    > virus, spyware, trojan... ma usare linux?A bocca aperta
    > ciao!

    Non ti salva, anzi: se non sai cosa stai facendo puoi fare un botto ancora piu' grosso.
    Un po' come il "virus di albània".
    Tu ti domanderai: "ma chi e' cosi' cretino da formattare il proprio hdd e di chiedere a tutti i propri amici di fare altrettanto?" la risposta e' "chi autorizza con privilegi di root senza usare prima il cervello":

    Saluti
    GT
  • Che i virus writer ed il malware in generale sia cambiato lo si sente da tempo, è passata l'età dell'oro degli script kiddies e dei cracker "etici" (questo è un ossimoro ma se scrivo hacker poi mi accusano tutti di non capire un cazzo perchè un hacker non è un cracker).

    cosa rimane?

    lo stesso identico business della malavita, invece di bruciarti il negozio se non paghi il pizzo ti faccio il DDOS del sito se non mi dai i soldi,
    invece dello scippo all'uscita della posta ti metto il keylogger etc. etc. etc.
    nessuno dei reati informatici moderni non ha na controparte reale.

    cmq la cultura informatica piano piano avanza, se non altro ora di internet in TV si parla come di una opportunità e le maggiori testate giornalistiche fanno addirittura le pubbliclità dicendo di andare sul loro sito...cosa impensabile anni fà e da cosa nasce cosa.

    ma devvero il pc non è un elettrodomestico ma una automobile?

    noi sappiamo di sì ma i rischi collegati all'uso sconsiderato della'utomobile sono lampanti e nessuno non se ne rende conto, i richi collegati all'uso sconsiderato del PC sono tanti allo stesso modo ma sono invisibili, chi glielo spiega al 65 enne che usa il pc per andare a controllare il sito della gazzetta che deve aggiornare quando windows glielo dice sennò il suo pc diventerà uno strumento per attaccare le banche?
    non+autenticato
  • Condivido tutto ciò che hai scritto nell'articolo a parte una cosa: cultura del PC? Ma dove? Per il 99% della gente è solo un mezzo per scaricare film e musica e scrivere stronzate su Messenger.
    non+autenticato
  • Prima di tutto, informati:
    i virus ci sono e continuano a trovarli
    http://www.trendmicro.com/vinfo/
    vatti a vedere sul sito le segnalazioni invece di parlare a vanvera.
    I virus non sono spariti (anche se nella tua immaginazione probabilmente si)
    non sono diventati silenziosi, semplicemente sta aumentando un minimo di cultura sull'utilizzo del personal computer, che fino a qualche tempo fa, c'e' la sognavamo. Molti portatili venduti hanno gia' installato l'antivirus e molte persone usano quelli gratuiti.
    Ti e' chiaro.
    Non sono spariti agli occhi degli utenti e si sono infurbiti i virus codewriters, solamente e' cresciuta di un pochino la conoscenza di come usarlo un computer, anche perche' oggi con la banca on-line molta gente se la fa sotto.

    X la redazione: ma questi articoli li pubblicate ad occhi chiusi oppure c'e' qualcuno che legge l'articolo e lo rinvia a chi lo ha scritto con il subject "ciarpame lo abbiamo rifiutato"?
    non+autenticato
  • - Scritto da: abatone
    > I virus non sono spariti (anche se nella tua
    > immaginazione probabilmente
    > si)

    Bello vedere che c'è gente che NON sa leggere...

    Complimentoni, signor Abatone!

    Ma malede******o, ci sarà qualcuno che LEGGE e capisce prima di postare?

    > X la redazione: ma questi articoli li pubblicate
    > ad occhi chiusi oppure c'e' qualcuno che legge
    > l'articolo e lo rinvia a chi lo ha scritto con il
    > subject "ciarpame lo abbiamo
    > rifiutato"?

    Puoi essere tu il primo! Invia e viste le tue capacità critiche non ho dubbi della risposta che ti arriverà!
    non+autenticato
  • Magari Abatone... Magari tu avessi ragione.

    Il problema principale non è tanto i virus rivelati... quelli ci sono e ci saranno sempre ...credo che all'articolo si parli di virus non rivelati !!!
    Che la cultura informatica sia aumentata... questa credo propio sia quasi un eresia, o tu vivi nel mondo dei sogni ... si i portatili venduti in negozio hanno gli antivirus installati ...che dopo 3 mesi scadono ... e io conosco pochissime persone che aggiornano il tutto. (questa dell'installazione di antivirus a scadenza è un'arma a doppio taglio... perchè danno un senso di sicurezza a molti che li hanno ... anche se non aggiornati).

    Comunque la storia dei virus ti dà torto in pieno ... ora i virus non sono creati per farsi notare come succedeva un po di anni fa (i ragazzini brufolosi che attaccavano la NASA Sorride) ).. ma per lucrarci sopra e quindi molto silenzionsi... i motori della stragrande maggioranza degli antivirus rilevano solo i virus conosciuti (quindi qualcuno prima deve prenderlo, poi accorgersene e contattare la casa antivirus per "l'antidoto") la bella tecnologia euristica è ancora molto latente in tutti i casi.

    Va da se che se nessuno si accorge di nulla...l'antivirus non fa nulla (per non parlare dei Root Kit, c'è un bell'articolo di Microsoft ,che purtroppo non trovo più, che parlava di uno studio dei rootkit applicato alla virtualizzazione dei sistemi operativi...in pratica avevano creato (gli stessi programmatori Microsoft)una sorta di SO virtuale parallelo alla propia installazione tramite un rootkit, l'unico modo per accorgersene magari era vedere il pc un po più lento ;l'articolo è del 2002!!! 6 ANNI FA!!!

    ciao
    non+autenticato
  • > non sono diventati silenziosi, semplicemente sta
    > aumentando un minimo di cultura sull'utilizzo del
    > personal computer

    se usi il computer per scrivere ste fesserie, la tua non è aumentata
    non+autenticato
  • Mai lette tante scemenze in vita mia. Evidentemente ti piace molto parlare di cose che non conosci assolutamente, eh?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)