IBM fotografa la sicurezza violata

IBM nel suo X-Force Trend and Risk Report per il 2008, ha rilevato un aumento allarmante degli criminali che si servono di siti aziendali legittimi come rampa di lancio per gli attacchi nei confronti dei consumatori. Nel costante tentativo di sottrarre i dati personali dei consumatori, i cyber-criminali stanno letteralmente mettendo le aziende in difficoltà con i propri clienti.

Il nuovo rapporto  identifica due tendenze principali, emerse nel 2008, che evidenziano come i criminali stiano puntando alle masse attraverso gli attacchi ai siti web.

In primo luogo, i siti web sono diventati il tallone d’Achille per la sicurezza IT aziendale. I criminali si concentrano intensamente sull’attacco alle applicazioni web, in modo tale da infettare le macchine degli utenti finali. Parallelamente, le aziende utilizzano applicazioni standard disponibili sul mercato, zeppe di vulnerabilità, o peggio ancora applicazioni personalizzate che possono ospitare numerose vulnerabilità ignote, impossibili da correggere con una patch.

L’anno scorso più di metà di tutte le vulnerabilità divulgate era correlata ad applicazioni web e, di queste, più del 74% non disponeva di patch. Pertanto, le vulnerabilità da iniezione di codice SQL automatizzate e su grande scala emerse nei primi mesi del 2008, sono proseguite senza tregua. Alla fine del 2008, il volume di attacchi era salito a 30 volte il numero di attacchi osservati inizialmente quest’estate.

“Lo scopo di questi attacchi automatizzati è ingannare e re-indirizzare gli internauti verso strumenti di exploit dei web browser”, spiega Kris Lamb, senior operations manager di IBM ISS X-Force Research and Development. “Si tratta di una delle più antiche forme di attacco di massa tuttora esistenti. È sconcertante continuare a vedere il diffuso utilizzo di attacchi con iniezione di codice SQL senza patch adeguate, a quasi 10 anni dalla loro prima divulgazione. I cyber-criminali puntano alle aziende perché rappresentano un bersaglio facile per lanciare attacchi verso chiunque visiti il web".

Il secondo trend importante svelato da IBM X-Force è il fatto che, sebbene i criminali continuino a focalizzarsi sul browser e sui controlli ActiveX come mezzo per compromettere le macchine degli utenti finali, stanno ora rivolgendo l’attenzione all’incorporazione di nuovi tipi di exploit che si collegano a filmati (ad es. Flash) e documenti (ad es. PDF) maligni.

Solo nel quarto trimestre 2008, IBM X-Force ha individuato un aumento di oltre il 50% del numero di URL maligni che “ospitano” exploit, rispetto a quelli rilevati in tutto il 2007.

Anche gli spammer si stanno rivolgendo a siti web noti per espandere la portata dei propri attacchi. La tecnica di ospitare messaggi di spam su blog famosi e siti web legati alle news è più che raddoppiata nella seconda metà di quest’anno.

Un’altra osservazione importante contenuta nel rapporto X-Force è che una serie di vulnerabilità critiche evidenziate nel 2008 non ha poi visto un diffuso sfruttamento sul campo. IBM  ritiene che il settore della sicurezza possa stabilire meglio le priorità nella risposta alle divulgazioni delle vulnerabilità. Attualmente, tale prioritizzazione viene effettuata attraverso lo standard di settore  Common Vulnerability Scoring System (CVSS). Il CVSS si focalizza sugli aspetti tecnici di una vulnerabilità, quali la gravità e la facilità di sfruttamento. Pur essendo estremamente importanti, questi fattori non colgono appieno la motivazione principale dei crimini informatici: l’opportunità economica.

Italia e malware
Il report, nella sua analisi della provenienza territoriale delle minacce, segnala come l’Italia si confermi al secondo posto a livello mondiale come luogo d’origine delle mail di pishing (14%), leggermente dietro la Spagna (15,1%) ma distanziando in misura notevole Paesi tecnologicamente avanzati come Francia (6,4%), Germania (4,4%) e Usa (2,8%).

In calo invece la presenza del dominio  .it tra quelli di origine dello Spam: se infatti nel 2007 i server italiani erano responsabili del 3,9 della mail spazzatura, nel 2008 questa cifra si assesta al di sotto del 3% (la Cina primeggia con 20,6% e ha recentemente superato gli Usa, fermi al 19,4%).

Questo trend declinante si è accentuato dopo la chiusura del sito Mc Colo.com nello scorso novembre, l’hub considerato uno dei maggiori responsabili a livello mondiale nella produzione di spam.

Ugualmente in calo la percentuale di siti italiani con contenuti socialmente devianti (estremismo politico, odio,discriminazione…) con una percentuale che passa dal 2,1% del 2007 all’1,3% del 2008.

Per la prima volta, nel 2008, la Cina ha superato gli USA come paese numero uno nell’hosting di siti web maligni.
I phisher continuano ad attaccare le istituzioni finanziarie. Quasi il 90% degli attacchi di phishing era rivolto a istituzioni finanziarie, la maggior parte delle quali in Nord America.

Infine da notare che il Il 46% di tutto il malware nel 2008 era costituito da trojan mirati agli utenti di giochi online e banking online.

Secondo le previsioni del rapporto X-Force, è probabile che questi specifici gruppi di utenti continueranno a costituire un bersaglio anche nel 2009.