IBM ha pubblicato i risultati del suo rapporto X-Force 2008 Midyear Trend Statistics, da cui emerge che i cyber-criminali adottano nuove tecniche e strategie di automazione per sfruttare le vulnerabilità con una rapidità senza precedenti. Nuovi tool messi a disposizione su internet da elementi della criminalità organizzata e codici di exploit, resi pubblici dai ricercatori, pongono a rischio un numero sempre crescente di sistemi, database e, in definitiva, persone.
Secondo il rapporto di X-Force, il 94 percento di tutti gli exploit online correlati a browser sono utilizzati entro 24 ore dalla divulgazione ufficiale della vulnerabilità . Questi attacchi, noti come “zero-day exploit”, circolano su internet prima ancora che le persone sappiano di avere una vulnerabilità nel sistema che necessita di una patch.
Questo fenomeno è dovuto all’adozione, da parte di cyber-criminali esperti, di tool automatizzati per creare e distribuire codici di exploit, oltre che alla mancanza di un protocollo predefinito per la divulgazione delle vulnerabilità scoperte dalla ricerca. Infatti la divulgazione del codice di exploit, unitamente agli avvisi di sicurezza, è prassi accettata e seguita da molti ricercatori. Tuttavia, secondo il rapporto di X-Force, le vulnerabilità divulgate da ricercatori indipendenti hanno una probabilità molto maggiore di far sviluppare codice “zero-day exploit”, mettendo così in discussione le modalità di divulgazione delle vulnerabilità ed evidenziando la necessità di definire un nuovo standard nel settore.
“I due temi principali emersi nel primo semestre del 2008 sono l’accelerazione e la proliferazione”, spiega Kris Lamb, X-Force R&D Operations Manager. “Vediamo una notevole accelerazione nel tempo che intercorre tra il momento in cui una vulnerabilità viene divulgata e il momento in cui viene sfruttata, con una parallela proliferazione delle vulnerabilità nel loro complesso. Senza un processo unificato di divulgazione delle vulnerabilità , il settore della ricerca corre il rischio, in realtà , di alimentare l’attività criminale online. Esiste un motivo per cui X-Force non pubblica il codice di exploit per le vulnerabilità scoperte, ed forse è giunto il momento che altri nel nostro settore riconsiderino questa prassi”.
Le conclusioni principali del rapporto X-Force sono sintetizzate di seguito:
– I plug-in dei browser sono i nuovi obiettivi preferiti. Il panorama delle minacce si è evoluto dal sistema operativo al browser web, ai plug-in del browser. Nel primo semestre del 2008, circa il 78 percento degli exploit dei browser web ha avuto come bersaglio i plug-in.
– Gli attacchi manuali singoli si stanno evolvendo in attacchi automatizzati massivi. Più di metà delle divulgazioni delle vulnerabilità risulta correlata ad applicazioni su web server. In particolare, le vulnerabilità da iniezione di codice SQL (Structured Query Language) sono passate dal 25 percento di tutte le vulnerabilità relative ad applicazioni su web server del 2007 al 41 percento nei primi sei mesi del 2008, e hanno coinciso con un’ondata di attacchi automatizzati, che hanno compromesso i server nel tentativo di arrivare a danneggiare un maggior numero di sistemi finali.
– Gli spammer tornano agli elementi base. Lo spamming complesso del 2007 (spam basato sulle immagini, spamdi allegati di file, ecc.) e’ quasi scomparso: ora gli spammer usano semplici spam con URL. Questo nuovo tipo di spam consiste in genere in poche semplici parole e un URL, rendendone difficile la rilevazione da parte dei filtri anti-spam. Circa il 90 percento dello spamming è ormai di questo tipo.
– La maggior parte dello spamming continua a provenire dalla Russia. La Russia è responsabile dell’11 percento dello spam mondiale, seguita dalla Turchia con l’8% e dagli Stati Uniti con il 7,1 percento.
– Gli obiettivi sono i giocatori online. Man mano che i giochi online e le comunità virtuali guadagnano in popolarità , diventano anche un bersaglio allettante per i cyber-criminali. Il rapporto di X-Force indica che i primi quattro trojan per il furto delle password erano tutti indirizzati a giocatori. L’obiettivo è sottrarre gli asset virtuali dei giocatori, vendendoli poi per denaro reale nei mercati online.
– Gli istituti finanziari rimangono gli obiettivi chiave per i phisher. Eccetto due, tutti i primi 20 obiettivi di phishing sono stati istituti finanziari.
– Cresce l’importanza della virtualizzazione sicura. Dal 2006 le divulgazioni di vulnerabilità legate alla virtualizzazione sono triplicate ed è probabile che aumentino ancora, parallelamente alla diffusione degli ambienti virtualizzati.
[A cura di Mauro Notarianni]