Dalla diffusione dei rootkit, alle tecnologie di protezione in-the-cloud, l’analisi delle principali minacce che hanno caratterizzato l’anno appena concluso.
“Il 2008 si è chiuso ponendo alcuni paletti che necessariamente le società
di sicurezza devono tenere in considerazione per poter pensare di essere ancora
competitive e, soprattutto, per poter pensare di tenere il passo dei malware
writer“, osserva Marco Giuliani nella sua analisi
di fine anno.
Il documento fa una disamina del problema rootkit, divenuto sempre più importante
nel corso dell’anno appena lasciato alle spalle. Basti pensare alla diffusione
di “MBR Rootkit”.
Conosciuto anche con il nome di “Mebroot”, è probabilmente uno dei rootkit
più raffinati in circolazione. Questo malware infetta il Master Boot Record
(MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer,
prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit
viene caricato automaticamente prima di qualsiasi altro componente software,
“Mebroot” sa così nascondersi alle attività di scansione operate dai vari prodotti
antimalware. I rootkit che infettano il MBR sono spesso portatori di trojan
in grado di sottrarre informazioni di tipo bancario e credenziali di accesso
a servizi finanziari.
Una volta eseguito nel sistema, infatti, il rootkit è in grado di bypassare
eventuali firewall installati e di connettersi all’esterno, aprendo backdoor
e scaricando nuove infezioni all’interno del PC.
Giuliani ricorda la grande diffusione di un rootkit, tecnicamente molto avanzato,
come “Rustock.C”. Il malware “utilizza un avanzato sistema di codifica che
rende particolarmente arduo il compito di analizzarne il codice da parte dei
ricercatori delle società di sicurezza. L’intero corpo del malware è cifrato
con l’algoritmo RC4 e compresso con aPlib“. L’infezione da Rustock.C è inoltre
particolarmente subdola poiché il rootkit ha funzionalità di “file infector”:
copia cioè il suo codice all’interno di altri driver di sistema. “Qualunque
tentativo di leggere il driver infetto risulterà in un nulla di fatto, perché
il rootkit filtra i file system driver fastfat.sys e ntfs.sys mostrando ad ogni
lettura il driver pulito dall’infezione“, spiega Giuliani.
Nel 2008 si sono registrati decine di esempi di malware che, una volta infettato
il sistema, così come Rustock.C, lo inseriscono in una “botnet”, insiemi di
computer in genere controllati illecitamente all’insaputa del legittimo proprietario.
Le “botnet” vengono frequentemente impiegate per l’invio di enormi quantità
di e-mail di spam.
L’anno appena trascorso ha visto poi, sul lato degli strumenti di difesa dalle
minacce informatiche, la diffusione di tecnologie di protezione in-the-cloud.
Questo tipo di approccio sfrutta la ormai continua fruibilità della connessione
Internet per rivoluzionare le modalità con cui i nuovi malware vengono rilevati,
classificati e rimossi. Se fino ad ora un personal computer veniva trattato
come una singola unità e gli eventuali componenti nocivi rilevati considerati
singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati.
Sempre più produttori di soluzioni per la sicurezza si stanno accorgendo come
il fenomeno malware non sia contrastabile se non vengono offerte soluzioni basate
su un approccio centralizzato svincolato dal modello “PC-centric” sinora adottato.
F-Secure DeepGuard 2.0, McAfee Artemis, Panda Collective Intelligence, Norton
Community Watch e Prevx sono alcuni dei protagonisti della battaglia “in-the-cloud”.
Ogni volta che un software viene eseguito, il client cerca nel proprio database
online se il file è già conosciuto o meno, e nel caso sia conosciuto come malevolo
ne blocca immediatamente l’esecuzione.
Grazie a questo “modus operandi”, un prodotto antivirus non deve più aggiornare
il proprio archivio delle firme virali ma può fare affidamento sul database
online mantenuto costantemente “up-to-date”.
Come ricorda Giuliani, l’impiego di account utente dotati di diritti limitati
è un’ottima prassi per prevenire eventuali problemi derivanti dall’azione di
malware. Non si tratta certo della soluzioni definitiva al problema malware
ma può aiutare i software di sicurezza ad individuare più facilmente la presenza
di un componente nocivo nella malaugurata situazione in cui esso dovesse riuscire
ad insediarsi sul sistema.
I rischi più pesanti, tuttavia, si corrono utilizzando applicazioni non correttamente
aggiornate all’ultima versione. Secondo i dati pubblicati da Secunia, meno del
2% dei sistemi analizzati sarebbe immune da qualunque tipo di attacco in grado
di sfruttare vulnerabilità del sistema operativo e delle principali applicazioni
(codici exploit).
Ecco quindi come sempre più pagine web hanno iniziato a pullulare di codici
exploit in grado di far leva su vulnerabilità del browser, in primis, per eseguire
azioni pericolose sul sistema dell’utente. La miglior difesa consiste nella
tempestiva installazione di tutte le patch di sicurezza rilasciate dai vari
produttori.
Giuliani evidenzia come il 2008 abbia segnato anche la scelta di Mac OS X quale
sistema operativo maggiormente d’interesse per i “malware writer” dopo Windows.
Il numero dei codici nocivi sviluppati per Mac OS X è assolutamente esiguo e
del tutto irrilevante rispetto a Windows. La comparsa dei primi malware per
il sistema operativo della mela, secondo Giuliani, “potrebbe comunque suonare
come un preavviso di un possibile cambio di rotta. Con la crescente diffusione
di Mac OS X, il sistema operativo di casa Cupertino rischia di trovarsi ad affrontare
gli stessi problemi che deve affrontare ora Microsoft Windows“.
Il 2009 sarà l’anno dell’utilizzo crescente di tecniche di ingegneria sociale
adattata ai servizi di social network quali Facebook, sempre più diffusi.
Le aziende che sviluppano soluzioni per la sicurezza tenderanno a sviluppare
nuove tecnologie per la prevenzione di exploit, un’emergenza considerata sempre
più prioritaria.