Maggiore collaborazione globale contro il cybercrime, aumento degli attacchi e dei computer infetti e nuove figure di “manodopera” fra le evoluzioni segnalate da Fortinet.
Il 2010 si è caratterizzato per una sempre maggiore consapevolezza del fenomeno della sicurezza all’interno delle aziende. E cosa ci si attende per il 2011? Di seguito le previsioni stilate da Fortinet.
1. Maggiore collaborazione globale contro il cybercrime
Quest’anno ci sono stati esempi di collaborazioni internazionali quali Operation Bot Roast (iniziativa dell’FBI), il Conficker Working Group e i recenti casi di Mariposa/Pushdo/Zeus/Bredolab per smantellare gruppi cybercriminali.
Il problema è che queste operazioni si sono spesso concentrate solo sulle violazioni con una maggiore visibilità e con un impatto, a volte, solo temporaneo. Ad esempio, a novembre le autorità hanno bloccato il botnet Koobface, ma i server sono stati riconfigurati e sono tornati in piena attività dopo una settimana.
Nel 2011, Fortinet prevede che le autorità consolideranno le iniziative di collaborazione globali e lavoreranno con le forze di sicurezza per contrastare i gruppi cybercriminali in crescita. Anche se la European Electronic Crime Task Force è stata un buon passo in avanti nel 2009, non ha avuto ampio raggio di azione.
2. Aumento dei computer infetti
Mentre nel 2011 i computer saranno infettati da nuove fonti di attacchi, il numero dei computer già contagiati aumenterà. Di conseguenza, si assisterà probabilmente a un aumento del prezzo dei servizi criminali, ad esempio l’affitto di bot che caricano software dannoso nei computer e di malware che includono la manutenzione del computer per ottimizzare il tempo di attività dei computer infetti.
3. Aumento degli attacchi che aggirano i sistemi di protezione
L’evoluzione delle tecnologie per prevenire o limitare gli attacchi informatici nei sistemi operativi (ASLR, DEP, sandboxing e via dicendo) ha sicuramente limitato il terreno di diffusione del malware e ciò, nel 2011, aumenterà la domanda di metodi per infrangere queste barriere. Nel 2010, sono stati inoltre osservati rootkit come Alureon che hanno già aggirato queste difese.
Fortinet prevede che altri rootkit seguiranno, nel tentativo di introdursi nei computer più recenti, e che verranno sferrati ulteriori inediti attacchi per aggirare difese quali ASLR/DEP e sandboxing come quelle lanciate da Google Chrome e Adobe nel 2010.
4. Cybercriminali alla ricerca di nuova manodopera
Sul "mercato del lavoro" dei cybercriminali si assiste a un aumento della domanda per alcuni particolari figure quali: sviluppatori per piattaforme e pacchetti personalizzati, servizi di hosting per dati e programmi maligni, programmatori in grado di bypassare i CAPTCHA, quality assurance (antirilevamento) e affiliati per la diffusione di codice dannoso.
Le attività per reclutare nuovi affiliati saranno probabilmente le più fruttuose, grazie all’arruolamento di figure che si candidano per distribuire codice dannoso. I produttori di botnet hanno in genere provveduto direttamente al loro sviluppo, ma Fortinet ritiene che nel 2011 quets aattività verrà asempre più delegata agli affiliati (intermediari su commissione).
I botnet Alureon e Hiloti sono due esempi per cui è già stato adottato questo concetto, con la creazione di programmi di affiliazione e la retribuzione di chiunque sia in grado di infettare altri sistemi per conto del "committente".
5. Diffusione del codice sorgente
Attualmente il medesimo malware può nascondersi dietro diversi nomi e alias. Anche il rilevamento incrociato da parte di diversi vendor di sicurezza non fa che aumentare la confusione.
Questo è il risultato di una comunità di sviluppatori in crescita, alimentata dalla disponibilità del codice sorgente e delle librerie che vengono "presi a prestito" per creare e vendere nuovo malware.
Capita spesso che due malware sottoposti a valutazione rivelino una natura praticamente identica, eccetto la modifica di un piccolo componente al loro interno. Questo tipo di malware "copia & incolla" indica che più sviluppatori hanno adottato lo stesso codice sorgente
Nel 2011 si prevede che un numero maggiore di criminali parteciperà all’operazione riciclando codice sorgente esistente.
Mentre il codice sorgente pubblico (accessibile a tutti) continuerà a creare problemi nel panorama della sicurezza, il codice sorgente privato aumenterà di valore, così come il lavoro degli sviluppatori esperti.