Dopo essere stata per molto tempo poco più che un bersaglio immobile sotto i colpi degli hacker e dei cracker che attaccavano senza pietà i suoi prodotti, Microsoft ha ormai da diversi anni preso con molta più serietà il proprio ruolo di leader mondiale nel software per PC, attivando una campagna sistematica fatta di molteplici iniziative finalizzate sia a migliorare la robustezza intrinseca dei propri prodotti, sia a contrastare lo sviluppo e la diffusione dei malware ed exploit ad essi riferiti.Nell'ambito della prima classe di iniziative si annoverano ad esempio l'introduzione nei più recenti sistemi operativi di moderne caratteristiche di sicurezza e protezione quali il Data Execution Prevention, l'Address Space Layout Randomization o la firma dei device driver, e di tool quali lo strumento di rimozione malware (MSRT) che viene aggiornato automaticamente ogni mese e il nuovo Windows Defender. Nell'ambito della seconda classe di iniziative l'azienda di Redmond è giunta perfino ad intraprendere attività operative, in autonomia o in collaborazione con le forze dell'ordine, per sgominare botnet o sconfiggere spammer attivi non solo a livello nazionale ma anche internazionale e addirittura planetario.
Come necessaria premessa a tutto ciò, Microsoft ha costituito tre centri operativi per la sicurezza oltre ad una sorta di osservatorio strategico che, ricevendo informazioni di dettaglio sulle minacce e gli exploit sia dai centri in questione che direttamente dai sistemi in uso presso i clienti, contribuisce a identificare tempestivamente i nuovi rischi ed a indirizzare al meglio le relative azioni di mitigazione e contrasto.
Mettendo inoltre a frutto l'immenso patrimonio di dati raccolti da tale struttura, dal 2006 Microsoft ha intrapreso la pubblicazione di un interessante report nel quale fa periodicamente il punto della situazione relativamente al panorama delle minacce e delle vulnerabilità che affliggono i propri prodotti, analizzandone le peculiarità e delineandone i trend evolutivi. Tale documento, denominato Security Intelligence Report (SIR) viene pubblicato su base semestrale e rappresenta un interessante spaccato della situazione della sicurezza del software vista dal punto di osservazione molto privilegiato di colui che, controllando di fatto la maggior parte dei PC del pianeta, è in grado di capire meglio di tutti cosa davvero succede sulle macchine che ciascuno di noi ha sulla scrivania.
Oggi diamo uno sguardo all'ultima edizione del SIR, recentemente pubblicata, che si riferisce al secondo semestre del 2010. Da notare che il report completo riporta addirittura la situazione analitica di ben 117 nazioni, ma noi ci limiteremo soprattutto ai fenomeni di carattere globale e a quelli riguardanti il nostro Paese.
SIR 2010: i trend globali
Giunto oramai alla sua decima edizione, il report SIR per il 2010 fornisce una notevole analisi prospettica dei principali fenomeni correlati alla diffusione di fenomeni quali malware, exploit, vulnerabilità, spam e phishing, sia presso l'utenza domestica che quella aziendale. Esso infatti aggrega ed analizza i cosiddetti “dati di telemetria” forniti da oltre seicento milioni di computer (!) appartenenti ad utenti finali che hanno accettato, su base volontaria, di configurare i propri sistemi in modo da inviare a Microsoft i dettagli (ovviamente anonimi) delle attività di analisi e protezione messe in atto da Windows Defender e da MSRT (Malicious Software Removal Tool).
Il report è organizzato in varie sezioni specifiche, per ciascuna delle quali vengono presentate statistiche sull'andamento del relativo fenomeno negli ultimi cinque anni. Le sezioni prendono in esame i seguenti aspetti: vulnerabilità, exploit, malware e software indesiderato, minacce diffuse mediante e-mail, siti Web dannosi, siti che ospitano malware. Non possiamo ovviamente prenderle in esame tutte, quindi ci limiteremo a riportare le informazioni più rilevanti da alcune di esse.
Per quanto riguarda il numero di vulnerabilità identificate (con riferimento allo standard CVE), è interessante notare come il loro numero globale stia progressivamente diminuendo; a fronte tuttavia di una marcata riduzione di quelle applicative, segno che gli standard di sviluppo e testing adottati dai produttori di software stanno globalmente migliorando, si nota un aumento percentualmente significativo di quelle legate ai browser, chiaro segnale del fatto che in questo campo c'è ancora molto da fare.
L'andamento del numero di vulnerabilità scoperte per tipologia di software
Passando agli exploit, a fronte di una crescita costante di quelli legati ai linguaggi HTML e JavaScript tipici del mondo Web, balza all'occhio lo straordinario incremento di ben quattordici volte che ha portato Java al primo posto assoluto nella seconda metà dell'anno; esso è stato dovuto allo sfruttamento massiccio ed improvviso di due vulnerabilità identificate sin dal 2008 nella Java Virtual Machine di Sun (oggi Oracle) ma mai utilizzate sistematicamente prima d'ora. Anche gli exploit legati ai sistemi operativi sono cresciuti nel medesimo periodo grazie a due vulnerabilità importanti identificate nei sistemi Windows; sono invece diminuiti quelli legati a documenti Office o Acrobat.
Il numero di exploit per tipologia di applicazione vulnerabile
Sul fronte del malware e dei software indesiderati le analisi sono presentate utilizzando un parametro denominato CCM (computers cleaned per mille), che rappresenta il numero di computer che sono stati puliti ogni 1.000 esecuzioni dello strumento MSRT. Con questa metrica emerge che i cinque Paesi più afflitti dal problema sono, in ordine decrescente, Corea, Spagna, Turchia, Taiwan e Brasile: tutti in relativa diminuzione tranne la Corea, recente vittima di poderose e ripetute campagne di attacchi. Tutti e cinque questi Paesi si situano ben al di sopra delle medie mondiali, nelle quali l'Italia risulta al decimo posto.
Il numero di infezioni nei Paesi più colpiti, misurato secondo la metrica CCM (computer infettati per mille esecuzioni di MSRT)
L'analisi condotta per tipologia di sistema operativo mostra invece chiaramente, come ci si poteva peraltro attendere, che i prodotti più recenti risultano meno vulnerabili grazie alle loro maggiori protezioni intrinseche, specialmente per quanto riguarda le versioni a 64 bit.
Il numero di infezioni per tipologia di sistema operativo
I malware di più rapida diffusione sono stati JS/Pornpop, Win32/Autorun, Win32/Zwangi, Win32/ClickPotato e Win32/Hotbar, cresciuti rapidissimamente nel corso della seconda metà dell'anno; minacce sempre presenti, anzi in rapida moltiplicazione, sono invece i falsi antivirus per Windows che invece sono essi stessi degli agenti nocivi.
I cinque malware in più rapida crescita
Passando al fronte spam, i dati provenienti dai server di posta aziendali muniti di FOPE (Forefront Online Protection for Exchange) mostrano come negli ultimi mesi dell'anno il livello di traffico spazzatura sulla Rete sia inaspettatamente calato: i motivi di ciò non sono del tutto chiari, anche se un contributo può essere stato dato dall'eradicazione dello spambot Win32/Cutwail avvenuta verso la fine di agosto.
Il numero di messaggi di spam bloccati dal tool FOPE
I dati sul phishing infine mostrano la chiara tendenza ad utilizzare sempre di più i social network come territorio preferito di pesca, come dimostrato dal conteggio degli accessi bloccati da Internet Explorer; e ciò anche se il numero di siti di phishing non è in sé cresciuto in modo particolare.
L'andamento degli accessi verso siti di phishing bloccati da Internet Explorer, suddivisi per categoria di sito
La situazione italiana
Passiamo ora a verificare brevemente come si situi il nostro Paese rispetto agli altri.
Notiamo innanzitutto che, con riguardo al tasso di infezione, la nostra situazione è praticamente sovrapponibile alla media mondiale. Gli agenti maggiormente diffusi sono praticamente gli stessi incontrati nel caso generale: ai primi tre posti troviamo infatti JS/Pornpop, Win32/Hotbar e Win32/Zwangi, che assieme coprono oltre il 37% delle infezioni rilevate. Stupisce però trovare ancora nella lista il famigerato Win32/Conficker: essendo noto sin dal 2008 avrebbe infatti dovuto essere oramai scomparso, ed invece si situa ben vivo e vegeto all'ottavo posto della classifica con ben il 6% di infezioni a suo carico.
L'andamento delle infezioni in Italia segue molto da vicino la media mondiale
Per quanto riguarda invece le tipologie di malware, rispetto alle medie mondiali il report ci accredita un numero sostanzialmente più elevato di infezioni da adware e software non desiderato, di worm, e di backdoor e spyware: un record assai poco invidiabile. Siamo invece più bravi coi virus e gli exploit, che risultano inferiori ai corrispondenti valori di riferimento.
Le tipologie di malware rilevate sui sistemi italiani
Conclusioni finali
Dall'analisi del report SIR si possono trarre, in conclusione, alcune considerazioni interessanti.
Una è che i sistemi operativi più recenti (Vista, Windows 7) risultano effettivamente più robusti dei loro precedessori specie nelle versioni a 64 bit.
Un'altra riguarda il fatto che sono in aumento non tanto le minacce più sofisticate quanto quelle dirette verso sistemi di ampio utilizzo, che per la loro diffusione si presume siano usati da utenti meno alfabetizzati.
La terza è che l'attenzione dei phisher si sta rapidamente spostando verso i social network ed i loro utenti, che essendo generalmente poco esperti sono più facili vittime di truffe ed inganni. Insomma, la “casalinga di Voghera” ormai è su Facebook: però non ne conosce i rischi, e diventa quindi l'anello debole di tutta la catena della sicurezza.
