Italia patria del malware?

Italia patria del malware?

di C. Giustozzi - Belpaese promosso o bocciato a seconda della classifica. Belpaese rimandato al 2013. In attesa, finalmente, di un CERT nazionale che faccia fronte al problema sicurezza complessivo
di C. Giustozzi - Belpaese promosso o bocciato a seconda della classifica. Belpaese rimandato al 2013. In attesa, finalmente, di un CERT nazionale che faccia fronte al problema sicurezza complessivo

Due diversi report, pubblicati negli scorsi giorni, ci forniscono interessanti anche se contrastanti analisi sulle attività malevole perpetrate sul pianeta nell’ultimo anno. Classifiche e distribuzioni geografiche delle minacce, con tutte le loro limitazioni, ci aiutano comunque a comprendere ed interpretare i fenomeni guardandoli in termini più globali. Il metodo scientifico ci dice che per poter comprendere un fenomeno occorre prima osservarlo. Il fenomeno costituito dall’insieme delle attività malevole e dalle minacce di sicurezza non fa eccezione, ed anzi a causa della sua complessità lo si può valutare efficacemente solo disponendo di dati e statistiche globali che forniscano indicazioni di alto livello sui suoi megatrend.

Proprio per tale motivo molti “addetti ai lavori”, tipicamente fornitori di prodotti o servizi di sicurezza, da diversi anni pubblicano report periodici nei quali, sfruttando la loro conoscenza di prima mano sulle minacce rilevate, forniscono le proprie statistiche ed analisi sui principali aspetti e tendenze nel mondo della information security. Leggere tali report è utile in quanto consente non solo di rimanere aggiornati sulle ultime minacce, ma anche in qualche modo di anticiparne gli andamenti e quindi poter prendere tempestivamente le adeguate contomisure.

Proprio in questi ultimi giorni sono stati pubblicati ben due report focalizzati sui fenomeni rilevati nell’anno 2011. Il primo proviene da Symantec, player di enorme peso nel mercato dei sistemi di protezione, ed è addirittura il diciassettesimo nella serie denominata “Internet Security Threat Report”; la sua presentazione ha peraltro avuto un certo risalto sulla stampa generalista, la quale ha rimarcato come il nostro Paese appaia quest’anno ai vertici della classifica delle nazioni europee più infestate dalle botnet.

Il secondo , che è invece al suo numero di esordio, è stato preparato dai ricercatori indipendenti di HostExploit con la collaborazione di Group-IB in Russia e CSIS in Danimarca: esso si focalizza soprattutto sulla distribuzione geografica dei fenomeni di cybercriminalità, prendendo in considerazione gli Autonomous Systems da cui originano o si diffondono attività malevole e mappando su ciascun Paese le minacce per tipologia e rilevanza. Due visioni ortogonali e complementari, quindi, che prese assieme consentono di comprendere meglio i fenomeni limitando gli errori di interpretazione forniti da ciascuna metodologia.

Secondo Symantec le tendenze globali vedono una diminuzione dello spam, cui però corrisponde un’analoga crescita del phishing e delle minacce veicolate tramite social network. In grande incremento gli attacchi basati su Web, e le vulnerabilità su prodotti e dispositivi mobili. Java inoltre balza al primo posto tra i software più a rischio per la sicurezza, scavalcando Acrobat e Flash. La distribuzione geografica delle minacce vede l’Italia al nono posto tra i Paesi del mondo per livello complessivo di attività malevole, in lieve miglioramento rispetto al 2010 quando era all’ottavo; tuttavia per quanto riguarda lo specifico caso delle botnet l’Italia sembrerebbe essere repentinamente salita al primo posto in EMEA, e al quarto mondiale, per numero di computer infestati.

Secondo i ricercatori di HostExploit, invece, l’Italia se la cava piuttosto bene su tutti i fronti: si piazza infatti al ventottesimo posto globale considerando il livello complessivo di attività malevole, e non compare in nessuna “top ten” relativamente a specifici settori d’interesse. Nella classifica globale il paese con i server e le reti più pulite è la Finlandia, che si situa al 219° ed ultimo posto, mentre quello col maggior livello di attività malevole è la Lituania la quale è balzata al primo posto a causa di una crescita costante dei livelli di minaccia rilevati negli ultimi due anni. Da notare che in questa classifica tra i paesi più virtuosi si annoverano Cipro e Porto Rico, ma anche la Siria e la Grecia; tra quelli più pericolosi vi sono invece l’Azerbaigian e la Lettonia, ma anche la Russia e l’Olanda. Tra i motivi addotti dai ricercatori di HostExploit per giustificare il successo della Finlandia, il principale consiste nel fatto che in quel Paese gli ISP non si limitano a fornire connettività ma svolgono un ruolo proattivo nel verificare lo stato della Rete in cerca di attività anomale riconducibili alla presenza di botnet, o più in generale a minacce di cui potrebbero essere stati vittima i propri clienti, e lavorano di concerto col CERT nazionale per combatterle e sradicarle.

In conclusione i dati contrastanti tra i due report, dovuti ovviamente alle differenti fonti di dati ed alle diverse metodologie impiegate per analizzarli, non permettono di attribuire con certezza all’Italia il titolo sicuramente poco invidiabile di “maglia nera” della sicurezza europea: in attesa di ulteriori verifiche potremmo così cavarcela dicendo che il record non è stato omologato per “contrasto tra i giudici”. Ma non dovremmo comunque essere troppo soddisfatti di questo salvataggio in corner: è infatti sensazione comune tra gli addetti ai lavori che nel nostro Paese non si faccia abbastanza per la sicurezza, soprattutto in termini di azioni globali.

Molte aziende piccole e piccolissime infatti non si proteggono abbastanza, e soprattutto non si preoccupano del fatto che con le loro vulnerabilità mettono a rischio l’intero sistema; e analogamente molti ISP non si curano della sicurezza dei propri clienti, ritenendo che il proprio compito istituzionale si esaurisca solo col fornir loro la banda richiesta. In tutto ciò pesa storicamente e culturalmente l’annosa assenza di un CERT nazionale che da un lato ispiri comportamenti virtuosi e dall’altro vigili sullo stato della Rete nazionale: tuttavia almeno questa carenza sta per essere colmata in quanto, per direttiva europea, anche l’Italia come gli altri Paesi dovrà dotarsi di un CERT entro la fine di quest’anno.

Consideriamoci quindi rimandati all’anno prossimo, sperando che nel frattempo il Paese faccia qualcosa di più per spostarsi maggiormente verso un modello più virtuoso della sicurezza globale della propria rete.

Nota: il report di Symantec si può consultare qui . Quello di HostExploit si può consultare qui , mentre le mappe interattive si possono consultare su globalsecuritymap.com .

Corrado “NightGaunt” Giustozzi
nightgaunt.org

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
7 mag 2012
Link copiato negli appunti