About these ads

Archive

Posts Tagged ‘Geinimi’

Nine Months Of Living Dangerously

May 18, 2011 3 comments

The title of this post is not a subset of the famous Peter Weir’s MovieThe Year Of Living Dangerously“, featuring Mel Gibson and Sigourney Weaver, but rather refers to the dangerous months which the Android is living, from the second half of 2010 to this first half of 2011, which saw a dramatic increase in Android Malware.

I enjoyed in summarizing in a single picture the mobile malware which affected Google Mobile OS from August 2010 to the present day. As shown the results are not encouraging and seems to confirm, in a qualitative form, the 400% increase in mobile malware (in six months) recently stated by Juniper Networks: un the second half of 2011 we assisted mainly to variants of the first Trojan. In the first half of 2011 the landscape has become much more complicated with mobile malware tailored “for different needs”.

So far the threats are can be divided essentially into two categories:

  • Malware capable of stealing data, sending them to a remote C&C, which in a mobile platform may have worst consequences since it may send remote data to a C&C Server);
  • Malware capable of sending SMS to premium rate numbers without the user permission (and awareness).

In many cases the malware was downloaded by parallel markets (most of all from China and Russia), with often the pornography acting like a decoy for the unfortunates, hence showing the risks connected with sideloading, that is the practice to enable installation of applications downloaded from external markets.

Two examples were particularly meaningful: the example of Geinimi, which showed all the features of a Botnet. And the example of DroidDream which bypassed all the security control of Android Market and infected something between 50.000 and 200.000 users according to Symantec and were remotely removed by Google, thus prefiguring a new security model which remotely manages the security functions of endpoint (and everything suggests that this trend will soon spread to more traditional endpoints: just today I stumbled upon this really interesting article).

By the way… Just today, three German security researchers discovered a serious flaw on the ClientLogin Authentication Protocol affecting almost all the Android powered devices… Ok it is not a malware, but the security concerns for the Google Mobile Operating System are more relevant than ever…

About these ads

Chronicles Of The Android

April 1, 2011 2 comments

The title of this post recalls a science fiction novel, but actually summarizes well a couple of news concerning the Android, which bounced in these days. Even if they seem apparently disjoined I decided to insert them in the same post: there is a logical link which connects the commercial success of a platform and the attention it attracts by malicious, and this seems to be the destiny of Android, to which the market share reserves a bright future, which become much less bright if one considers the information security consequences.

 

Part 1: Smartphone Market Share

This seems to be the right time for predictions as far as the smartphone market is concerned, that is the reason why I really was enjoyed in comparing the projections of ABI Research (released today), with the ones released from IDC a couple of days ago. The results are summarized in the following tables. Even if they are targeted at different years in the near future (respectively 2016 for ABI Research and 2015 for IDC), comparing the two reports is interesting for imaging what the future of the smartphone Operating System will be.

ABI Research IDC
Operating System 2010 2016 Operating System 2011 2015
Android 23,00% 45,00% Android 39,50% 45,40%
RIM 16,00% 14,00% RIM 14,90% 13,70%
iOS 15,00% 19,00% iOS 15,70% 15,30%
Symbian 36,00% - Symbian 20,90% 0,20%
Windows Phone 7/Windows Mobile 0,60% 7,50% Windows Phone 7/Windows Mobile 5,50% 20,90%
Others 9,40% 14,50% Others 3,50% 4,60%

Often the providers of market intelligence do not agree on anything, but in this case, if there is one thing that seems to have no doubt, is the scepter of the Android, which seems to be destined, for both reports, to rule the market with nearly one half of the total smartphones shipped after 2015. The data also confirm a stable position for RIM (around 13%-14%), while do not completely agree as far as Apple is concerned, for which ABI research estimates a market share of 19% in 2016 and IDC a market share of 15% in 2015. But were the data are surprisingly different, is on the Windows Phone Market Share. According to ABI Research, Windows Phone will reach the 7% of the market (which become 7.5 adding the market share of its predecessor Windows Mobile). Unfortunately I do not think that, according to Microsoft’s hopes, the number 7 which identifies the mobile operating system series, pertains to the market share in 2016. Last and (unfortunately) least? IDC is more optimistic and foresees a bright future for Redmond in the mobile arena, with its creature ranking immediately behind the Android with the 20% of the market. Will be very amusing to see (in 5 years if we will remember) who was right.

Last and (unfortunately) least, the poor Symbian, sacrificial victim of Nokia and Microsoft agreement, which, in 5 years will remain little more than a romantic remembrance for mobile lovers, while, surprisingly, ABI research foresees a surprising 10% market share for Samsung Bada in 2016.

Part 2: Mobile Malware Market Share

Of course I am an infosec guy so I wonder if also the mobile malware will follow the same trend. This consideration arises from an interesting article I found in the Fortinet blog. Of course data must be taken with caution, but I could not help noticing that when one switches from smartphone market share to mobile malware market share, the ranking positions are reversed: over 50% of mobile malware families detected by the security firm concern Symbian, approximately 15% are Java ME midlets, while the Android approximately suffers only of the 5% of the infections. Of course, as correctly stated on the article, this does not means that Symbian is the less secure. In my opinion the bigger percentage of mobile malware is a simple consequence of the fact that Symbian is still the Operating System with the greater spread. Of course malware writers deserve bigger attention to those platforms which offer the wider attack surface (that is the wider possibility to spread infections). And in this moment, Symbian is an attractive prey from this point of view. My sixth sense (and one half as we say in Italy) says that the Android will not take a long time in order to achieve also the unenviable first position also in the mobile malware market share, not only because it is spreading at an incredible speed, but also because it is becoming an enterprise platform (so the value of the data stored are much more attractive for Cyber Crooks.

As if on purpose, today Symantec discovered yet another malware for Android (Android.Walkinwat), which, at least for this time, tries to discipline users that download files illegally from unauthorized sites. Analogously to some of its noble malware predecessors (Geinimi, HongTouTou, Android.Pjapps), the malware is hidden inside a non-existent version of a true application (in this case Walk and Text) and downloaded from parallel markets from Asia and United States, but instead of stealing private data, simply floods of SMS the contacts.

Hey, just downloaded a pirated App off the Internet, Walk and Text for Android. I am stupid and cheap, it costed only 1 buck. Don’t steal like I did.

At the hand, after sending the SMS (affecting the user’s phone bill) it warns the user with the following message.

Unfortunately downloading malware from Asian parallel market is not new, and it is not a coincidence that the same report from Fortinet indicates that most mobile malware families are implemented by Russian or Chinese coders. This is undoubtely an increasing trend, and I am afraid that Chinese coders will soon shift their Cyber Espionage Operations to mobile devices…

DroidDream: Google lo Sradica da Remoto

March 6, 2011 1 comment

Qualche giorno fa ho dedicato un post all’ultimo malware (è proprio il caso di dire da sogno) dell’Androide: il famigerato DroidDream. L’ennesima minaccia mobile per l’androide ha creato un pericoloso precedente, essendo il primo malware, a differenza dai suoi illustri predecessori (Geinimi, HongTouTou e ), ad aver fatto breccia direttamente nel market ufficiale.

Da subito si è saputo che il “Sogno d’Androide”, utilizzando l’invontolontario tramite di applicazioni lecite, è stato in grado di iniettare nei terminali infetti codice malevolo in grado di prendere la root (o meglio la radice) del dispositivo (da cui il nome di Android.Rootcager) in maniera autonoma (ovviamente senza il minimo consenso da parte dell’utente).

Ora cominciano a trapelare notizie un po’ più precise sul malware (che ne riducono in parte la pericolosità, poiché sembra che l’applicazione malevola “si limiti” a trasmettere al server remoto i soli IMEI, IMSI, modello del dispositivo e versione del SDK),  tuttavia, proprio in queste ore Google ha reso nota la propria strategia per (è proprio il caso di dire) sradicare il malware e risolvere il problema alla root radice. Il gigante di Mountain View ha deciso di premere il grilletto ed azionare, per la seconda volta nella sua storia, l’operazione di pulizia remota degli Androidi Malati. La prima volta era accaduta a giugno 2010, quando il colosso di Mountain View si rese conto che due ricercatori avevano iniettato, a scopo dimostrativo, una falsa applicazione nel Market (uno sniffer che poteva essere usato con conseguenze ben più serie).

Ovviamente questo modus operandi ha nuovamente sollevato l’annoso interrogativo se certe pratiche siano attuabili o ledano in maniera eccessiva la libertà e la privacy dell’utente. In teoria la pulizia remota rappresenta un valido strumento di sicurezza, in pratica riapre l’annosa questione della privacy e se sia lecito che un produttore, anche se animato da buone intenzioni, si spinga un po’ troppo oltre la linea rossa che separa la proprietà del terminale da parte di chi ci ha speso, nel migliore dei casi, 500 Euri). La questione è tanto più spinosa quanto più si considera il fatto che certe mosse risolutiive (a mali estremi estremi rimedi) sono causate da una filiera di controlli nel market non rigorosa come quella di Cupertino (e verrebbe da dire anche da un OS non proprio in forma smagliante in questo periodo).

D’altronde i Termini di Servizio dell’Android Market parlano (poco) chiaro. L’articolo 2.4 dei sopra citati termini di servizio recita infatti:

Google può venire a conoscenza che un Prodotto viola i termini del Contratto di Distribuzione con gli Sviluppatori per Android Market o le leggi applicabili e/o le regole di Google. In tal caso, Google potrà disabilitare l’accesso a tali Prodotti a propria discrezione e senza preavviso.

A questo punto i possessori di Android (tra cui il sottoscritto) si sentiranno un po’ tra l’incudine e il martello: effettivamente non so se è preferibile la consapevolezza che il proprio sistema operativo del cuore ultimamente venga preso un po’ troppo di mira dai Cybercriminali (oggi per gioco, ma domani?),  oppure il fatto che, in caso di contagio da malware, si può sempre sperare che il Grande Fratello effettui un accesso remoto al nostro terminale, rigorosamente non richiesto, per ristabilire l’ordine delle applicazioni.

Si dirà che queste cose capitano anche ai possessori della Mela (con tanto di minacce di class action). Corretto, ma almeno in questo momento il cuore di Mela, dati di malware alla mano, è certamente più sicuro.

Non resta che installare droidwall, magari bloccando tutte le connessioni in ingresso e uscita… Bene ora lo vado a vedere al market… Aspetta, che cos’è la prima cosa che c’e’ scritta…”ATTENTION: ROOT REQUIRED!!!”

Un Androide Da Sogno… Anzi Da Incubo… Magari Alieno…

March 2, 2011 1 comment

Il sogno è quello del nuovo (ennesimo) malware che ha preso di mira il povero Androide (chiamato romanticamente DroidDream). L’incubo è questo scorcio di 2011 che si dimostra veramente un anno di passione per la creatura di Mountain View. L’Alieno è quello con cui l’Androide potrebbe ben presto infettare altri dispositivi (magari anche qualche bella Mela…)

Ma andiamo con ordine: l’ultimo allarme  di sicurezza in ordine di tempo proviene ancora una volta da Lookout (che dimostra una volta  in più di vederla lunga in fatto di mobile malware) ed è stato ripreso poco dopo da Symantec che lo ha invece battezzato il malware nuovo arrivato Android.Rootcager.

La differenza rispetto agli illustri predecessori d’oriente (Geinimi, HongTouTou e l’ultimo arrivato ) risiede nel fatto che questa volta il nemico è tra noi: la nuova minaccia è stata difatti abilmente celata dentro 50 applicazioni ufficiali, regolarmente mantenute nell’Android Market ufficiale. Secondo una stima di Symantec, addirittura, sono stati tra 50.000 e  200.000 gli utenti che hanno scaricato le applicazioni vettori di infezione nei  4 giorni in cui queste sono state nella cresta dell’onda, o sarebbe meglio dire nella cresta dell’onta di Google che se ne è accorta tardivamente e addirittura, secondo Lookout, non ha intrapreso subito azioni efficaci.

Tanto per cambiare il malware prende di mira i dati personali ed il primo utente ad accorgersi dell’anomalia è stato Lampolo, un utente del Social Network Reddit, che ha analizzato due applicazioni sospette, allarmato dal fatto che avessero cambiato nome dello sviluppatore. Analizzando le applicazioni sosepette, Lampolo ha scoperto al loro interno codice maligno in grado di scavalcare il recinto di sabbia di sicurezza (la famigerata sandbox)  in cui l’Androide dovrebbe far girare ile applicazioni impedendogli di accedere direttamente al sistema (ma d’altronde che il recinto di sabbia dell’Androide non sia il massimo della sicurezza non è una novità).

Un ulteriore blogger di Android Police, Justin Case, ha dato uno sguardo un po’ più da vicino alle applicazioni malevole e ha scoperto che il codice maligno è in grado di rootare il dispositivo, mediante lo strumento rageagainstthecage ben noto a chi ha come hobby quello di comprare un androide per prendergli subito la root. Una volta ottenuti i privilegi il malware è in grado di inviare (questa non me l’aspettavo proprio) informazioni sensibili del dispositivo (IMEI e IMSI) ad un server remoto. Il codice cela anche un ulteriore pacchetto APK nascosto all’interno del codice che è in grado di rubare ulteriori dati sensibili.

A questo link, (o quest’altro) la lista completa delle applicazioni infette, riconoscibili per essere riconducibili a tre autori ben precisi: “Kingmall2010″, “myournet” o “we20090202″. Chi non si sentisse particolarmente sicuro può controllare anche la presenza del servizio com.android.providers.downloadsmanager (DownloadManageService) tra i servizi in esecuzione.

Tutti questi mali di stagione sono solo eccezioni, ovvero coda di un Inverno che per l’Androide non sembra mai finire, oppure prefigurano quella che sarà una battaglia senza fine tra autori di malware e forze del bene?

Purtroppo propendo di più per la seconda ipotesi involontariamente rafforzata anche dal fatto che l’Androide, per semplificare la vita agli sviluppatori, utilizza una Java Virtual Machine (la famigerata Dalvik al centro di una causa contro l’Oracolo di Larry Ellison) per far girare il codice, evidenza architetturale che sicuramente aiuta gli sviluppatori, ma, per contro, potrebbe avere pesanti ripercussioni in termini di sicurezza. Il perchè è spiegato in questo articolo di McAfee: “Write Once, Mobile Malware Anywhere“, l’utilizzo di Macchine Virtuali per lo sviluppo ha implicitamente diversi benefici (o sarebbe meglio dire malefici) per il malware.

In effetti se si utilizza una macchina virtuale:

  • Si mantiene la compatibilità visto che le API rimangono le stesse;
  • E’ possibile riutilizzare il codice (alcune porzioni quali l’invio di SMS, il trasferimento Bluetooth, etc.) non devono essere riscritte;
  • Soprattutto rende il malware estremamente contagioso visto che può attaccare diversi dispositivi o Sistemi Operativi che utilizzino una macchina virtuale compatibile con l’originaria.

Poiché la macchina virtuale Dalvik potrebbe presto sbarcare su altri dispositivi,  ne consegue che ben preso l’Androide potrebbe diventare il paziente zero per altri dispositivi. Del lavoro di RIM per sviluppare una JavaVirtual Machine compatibile con l’Androide avevo già parlato in questo post, ora sembra che anche Myriad, un membro della Open Handset Alliance che collabora con Google per lo sviluppo di Android sia al lavoro per un Androide Alieno (ovvero una macchina virtuale compatibile con Dalvik definita scherzosamente Alien Dalvik) in grado di far girare applicazioni Android non modificate su piattaforme aliene, per giunta alla stessa velocità dell’androide nativo (dopo il danno del contagio la beffa della stessa velocità di propagazione dell’infezione).

Certo, conoscendo le politiche di Cupertino, dubito che vedremo mai una Macchina Virtuale Aliena nel cuore della Mela, ad ogni modo, tutto lascia comunque suppore che l’Androide possa diventare la piattaforma di riferimento (anche) per il malware con la conseguenza che  ben presto non dovremo più preooccuparci del solo malware mobile terrestre, ma anche di quello Alieno (molto più alieno di quello con cui Jeff Goldblum salva la Terra su Indipence Day).

Se L’Androide Evapora

L’ultima segnalazione in fatto di malware per il povero Androide ce la segnala Symantec. E’ di queste ore la notizia della scoperta di un nuovo malware per il povero Androide senza pace. Android.Pjapps, questo il nome del malware, che si nasconde dietro una applicazione lecita: Steamy Window che nella sua versione pulita, vaporizza lo schermo dell’Androide, e nella versione bacata ne vaporizza anche la sicurezza.

Anche in questo caso siamo alle solite: permessi sospetti durante l’installazione, e mentre l’utente gioca a pulire lo schermo con il ditino, il trojan imprigiona l’Androide dentro una botnet controllata da alcuni server di Comando e Controllo (C&C). Una volta infettato l’Androide Impazzito è in grado di installare applicazioni contro la volontà dell’utente, navigare verso siti web, aggiungere bookmark al browser, inviare messaggi di testo e anche, bloccare le risposte a messaggi.

Il tutto, come nelle migliori tradizioni, rigorosamente in background senza che l’utente se ne accorga minimamente. Ad un cambiamento dell’intensità del segnale il servizio si avvia e tenta di connettersi al seguente server di comando e controllo:

http://mobile.meego91.com/mm.do?.. (parametri di controllo)

Come si nota agli autori del malware non è mancato il sense of humor, visto che a controllare i dispositivi è un server che richiama meego, il (quasi) defunto sistema operativo figlio della scellerata alleanza tra Nokia e Intel.

Assieme al Check-In, il malware invia informazioni sensibili ottenute dal dispositivo, tra cui:

Alla risposta invia un messaggio con l’IMEI del dispositivo compromesso ad un numero ottenuto dall’indirizzo seguente:

http://log.meego91.com:9033/android.log?(parametri di controllo)

Anche in questo caso c’è un richiamo al povero MeeGo. Ovviamente il numero a cui viene inviato il messaggio è controllato dall’attaccante che è in grado di nascondere la sua identità.

Di tanto in tanto, inoltre, il servizio malevolo, mediante un proprio protocollo basato su XML, controlla il server di Comando e Controllo per verificare se ci sono altri comandi.

http://xml.meego91.com:8118/push/newandroidxml/...(comandi).

Anche in questo caso il problema è sempre lo stesso, una applicazione apparentemente lecita presa da un market parallelo e con permessi di installazione improbabili. Manca solo il terzo aspetto che sino ad oggi ha contraddistinto tutti i malware per il povero Androide (dopo i casi di Geinimi e HongTouTou), ovvero la Cina. Forti dubbi mi sono venuti da questa illustrazione che ho trovato sul Blog Symantec, ma poi scavando nella Rete ho scoperto che nelle stesse ore una azienda di sicurezza Cinese (guarda a caso) Netquin ha scoperto due varianti (chiamate SW.SecurePhone e SW.Qieting) presumibilmente riconducibili al malware rilevato da Symantec.

Devo ammettere che il dubbio che siano proprio le aziende d’Oriente a mettere in circolazione le infezioni per l’Androide non si è ancora completamente dissolto…

La Sindrome Cinese

February 17, 2011 Leave a comment

Nel giorno in cui anche alla RSA Conference 2011 è stato ribadito che “E’ ora di prepararsi per le minacce mobili”, la Sindrome Cinese ha nuovamente colpito l’Androide che, in poche ore, è stato vittima di un nuovo malanno informatico. Ancora proveniente dalla Cina, ancora caratterizzato dal fatto di utilizzare come vettore di infezione un store di applicazioni parallelo cinese. A quanto pare quindi il malware Geinimi ha fatto proseliti.

A seguire le sue orme è oggi il malware HongTouTou (conosciuto anche con il nome di Android.Adrd o anche Android/Adrd.A nella sua ultima variante).

Le dinamiche di questo nuovo contagio dell’Androide Cagionevole (che alcuni ritengono essere una variante di Geinimi) sono le medesime, purtroppo collaudatissime, del suo illustre predecessore: il malware è rimpacchettato dentro applicazioni Android popolari e distribuito tramite market di applicazioni parallele e forum frequentati da utenti di lingua cinese. Ovviamente l’utente dovrebbe accorgersi dei permessi sospetti richiesti durante la fase di installazione.

Il malware, di cui sono state rilevate 14 istanze, è impacchettato dentro applicazioni lecite (tra cui il famosissimo Robo Defense con cui ho passato ore di riposo all’ombra di un ombrellone sotto il Sol Leone dell’Agosto passato). Una volta installata l’applicazione richiede i seguenti permessi, in realtà un po’ sospetti per un semplice passatempo o per un wallpaper:

android.permission.WRITE_APN_SETTINGS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.INTERNET
android.permission.MODIFY_PHONE_STATE

 

All’avvio dell’applicazione infetta,  il malware si insinua nel telefono colpito viene eseguito al verificarsi di una delle condizioni sottostanti:

  • Sono passate 12 ore dell’avvio del Sistema Operativo;
  • E’ cambiata la connettività di rete (ad esempio è stata persa e ristabilita);
  • Il dispositivo infetto riceve una chiamata.

All’avvio il Trojan tenta di rubare le seguenti informazioni;

  • 3gnet
  • 3gwap
  • APN
  • cmnet
  • cmwap
  • Hardware information
  • IMEI
  • IMSI
  • Network connectivity
  • uninet
  • uniwap
  • Wifi

e le invia cifrate ad una coppia di domini remoti:

http://adrd.taxuan.net/index
http://adrd.xiaxiab.com/pic.

 

In risposta, HongTouTou riceve una pagina Web, ed un insieme di parole chiave di ricerca da inviare come query. Le richieste vengono inviate ad alcuni link noti. Un esempio di stringa è la seguente:

wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]

 

Lo scopo delle query è quello di incrementare il ranking e quindi la visibilità del sito Web.

A questo punto il malware emula il processo di richiesta utilizzando le parole chiave, analizza i risultati della ricerca con il ranking maggiore ed emula i click su specifici risultati, come se fosse l’utente ad effettuarli. Per il motore di ricerca truffato, le richieste sembrano provenire da un utente mobile che utilizza come browser il programma UCWeb Browser, “casualmente” un progamma di navigazione mobile “Made in China” (l’User-Agent corrisponde a J2ME/UCWEB7.4.0.57).

Il malware inoltre è in grado di scaricare pacchetti di installazione Android APK e quindi di autoaggiornarsi. Anche se ancora non è stato osservato sembrerebbe che il malware sia anche in grado di monitorare le conversazioni SMS e inserire contenuto inopportuno all’interno della conversazione SMS.

Ancor prima di dotarsi di una applicazione anti-malware mobile, come al solito le raccomandazioni sono sempre le stesse:

  • Evitare, a meno che non sia strettamente necessario, di abilitare l’opzione di installazione delle applicazioni da Sorgenti Sconosciute (pratica definita anche “sideloading”).
  • Fare attenzione in generale a ciò che si scarica e comunque installare esclusivamente applicazioni da sorgenti fidate (ad esempio l’Android Market ufficiale, le cui applicazioni non sono infette). Buona abitudine è anche quella di verificare il nome dello sviluppatore, le recensioni e i voti degli utenti;
  • Controllare sempre i permessi delle applicazioni durante l’installazione. Naturalmente il buon senso corrisponde al migliore anti-malware per verificare se i permessi sono adeguati allo scopo dell’applicazione;
  • Fare attenzione ai sintomi comportamenti inusuali del telefono (ad esempio SMS inusuali o una sospetta attività di rete) che potrebbero essere indicatori di una possibile infezione.

Aldilà delle raccomandazioni, applicabili in qualsiasi contesto, non posso fare a meno di notare che HongTouTou (o Android.Adrd) è il secondo malware per l’Androide proveniente dalla Cina in meno di due mesi. Poiché sovente i produttori cinesi di sicurezza sono  stati accusati di mettere in circolazione essi stessi il malware per promuovere i propri prodotti, mi domando a questo punto se certe scorciatoie non siano sbarcate anche nel mondo mobile…

Report McAfee Q4 2010: Il Malware è Mobile Qual Piuma Al Vento!

February 9, 2011 3 comments

I Laboratori McAfee hanno appena pubblicato il report relativo alle minacce informatiche del quarto trimestre 2010 (McAfee Q4 Threat Report). Oramai sembra un immancabile e monotono refrain ma, tanto per cambiare, nel corso dell’ultimo scorcio del 2010 i malware per i dispositivi mobili l’hanno immancabilmente fatta da padroni.

I dati sono impressionanti: le infezioni dei dispositivi mobili nel corso del 2010 sono cresciute del 46% rispetto all’anno precedente. Nell’anno passato sono stati scoperti 20 milioni di nuovi esemplari di software malevolo, corrispondenti a circa 55.000 nuovi vettori di infezione al giorno. In effetti nel 2010 gli sviluppatori malevoli si sono dati molto da fare se si considera che i Laboratori McAfee hanno identificato in totale 55 milioni di tipologie di malware, da cui su evince che il malware sviluppato nel 2010 corrisponda al 36% del totale.

Una cosa è certa: i cybercriminali si stanno concentrando su dispositivi popolari che garantiscono il  massimo risultato con il minimo sforzo, con una tendenza destinata ad accenturarsi nel 2011 verso un fenomeno che si potrebbe riassumere benissimo con il termine ipocalypse.

I risultati del report si possono così sintetizzare:

Dispositivi mobili sempre più in pericolo per le botnet

Non è una novità, e la mia prima previsione in proposito risale a dicembre 2010 quando, commentando le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi. Da lì a breve è stato un climax ascendente che ha portato dapprima alla rilevazione del trojan Geinimi al termine del 2010, ed in seguito alla creazione di un malware botnet-like in laboratorio.

Il report di McAfee conferma questo trend (scusate il gioco di parole), assegna a Geinimi il titolo di una delle minacce più importanti dell’ultimo trimestre 2010, e sancisce perentoriamente che i Cybercriminali utilizzeranno sempre di più, nel corso del 2011, tecniche di botnet per infettare i dispositivi mobili.

I motivi sono presto detti: maggiore popolarità (e portabilità) dei dispositivi mobili come strumenti di lavoro implicano maggiore contenuto sensibile immagazzinato senza le stesse misure di sicurezza e la stessa sensibilità dell’utente (non a caso Geinimi, come anche altre minacce mobili) sono false applicazioni scaricata da market paralleli. D’altronde una botnet di dispositivi mobili ha una duplice valenza malevola: da un lato consente di rubare dati e informazioni sensibili (dalla rubrica alla posizione) dall’altro potrebbe essere utilizzata con intenti malevoli con maggiori capacità di mimetismo all’interno della rete di un operatore mobile (come confermato indirettamente anche dal report di Arbor Networks.

Ad ogni modo nel Q4 2010, Cutwail ha perso lo scettro di botnet più attiva, ad appannaggio della rete di macchine compromesse appartenenti alla rete Rustock, seguita a ruota da Bobax

Almeno una buona notizia, lo Spam è un Periodo di Transizione

Sebbene i mezzi favoriti dai Cybercriminali in questo trimestre siano stati il malware di tipo AutoRun (Generic!atr), i trojan di tipo banking o downloader (PWS or Generic.dx), o anche gli exploit  web-based (StartPage and Exploit-MS04-028), perlomeno si è registrato un leggero abbassamento dei livelli di spam, che sebbene rappresenti ancora l’80% di tutti i messaggi di posta elettronica, si è comunque attestato ai livelli del 1 trimestre 2007. Questo periodo di transizione è verosimilmente dovuto al letargo di alcune botnet (ad esempio Rustock, Letic e Xarvester) e alla chiusura di altre (ad esempio Bredolab o in parte Zeus). In questo trimestre, al vertice delle reti di macchine compromesse si sono posizionate Bobax e Grum.

Se aumentano gli apparati aumentano le minacce web

In base ai dati dell’ultimo trimestre 2010, in cui  i domini malevoli sono cresciuti velocemente grazie alle minacce più attive del calibro di Zeus, Cornficker e Koobface; McAfee rivela che le i vettori di infezione basati sul web continueranno a crescere in dimensioni e complessità , di pari passo con il crescere degli apparati eterogenei che accedono alla rete.

Ovviamente non poteva mancare il phishing e il malvertising e SEO Poisoning in virtù del quale McAfee Labs rivela che all’interno dei primi 100 risultati delle principali ricerche quotidiane, il 51% conduce l’ignaro navigatore verso siti poco sicuri che contengono più di cinque link malevoli. Non è un caso che il produttore rosso preveda che gli attacchi facenti uso di tecniche di manipolazione dei risultati dei motori di ricerca cresceranno notevolmente nel 2011, focalizzandosi soprattutto (tanto per cambiare) ai dispositivi di nuova generazione.

Le vulnerabilità Adobe come mezzo di distribuzione del malware

Nel corso del 2010 le vulnerabilità dei prodotti Adobe (Flash e PDF), inseparabili compagni di navigazione, sono stati il mezzo principale di distribuzione del malware preferito dai Cybercriminali. C’e’ da aspettarsi una inversione di tendenza per il 2011? Nemmeno per idea, almeno secondo McAfee che prevede, per quest’anno, una prosecuzione del trend, anche a causa del supporto per le varie tecnologie Adobe, da parte dei dispositivi mobili e dei sistemi operativi non Microsoft.

Hacktivissimi!

Anche l’hactivism vedrà la sua azione proseguire nel 2011 dopo i botti di fine anno compiuti dal gruppo Anonymous, (e anche il Governo Italiano ne sa qualcosa in questi giorni. Anzi, secondo il produttore dichiara che il confine tra hactivism e cyberwarfare diventerà sempre più confuso.

Quando Gli Androidi Diventano Zombie

January 29, 2011 4 comments

Chissà se George Romero possiede uno smartphone Android? Magari il padre dei film di serie B con protagonisti gli Zombie, rimarrebbe incuriosito (e forse un po’ deluso) nel constatare che gli eserciti di esseri affamati di carne umana protagonisti del grande schermo rischiano seriamente di essere sostituiti, nel mondo reale, da meno prosaici eserciti di dispositivi  mobili (Androidi Zombie) affamati di Indirizzi IP da attaccare o Indirizzi di posta elettronica da saturare con messaggi di Spam.

Facciamo un breve salto indietro. Nel commentare le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi.

Un segnale in questa direzione era arrivato alla fine del 2011, dalla terra dei Mandarini, dove aveva fatto la sua comparsa il primo malware mobile con gli occhi a mandorla, Geinimi, avente tutte le potenzial caratteristiche di un trojan bot-like.

Non è passato nemmeno un mese e Georgia Weidman, ricercatrice di sicurezza, ha creato in laboratorio un malware in grado di prendere il controllo remoto di un Androide e comandarlo tramite SMS (rigorosamente autocancellanti). Le istruzioni che è possibile impartire remotamente includono (ma non si limitano a) l’invio di messaggi (di posta elettronica e SMS) di Spam, la partecipazione in attacchi di tipo DDoS o anche il semplice degrado delle comunicazioni. Il tutto finalizzato alla creazione di un esercito agguerrito di Androidi al soldo del Cybercriminale di turno.

I risultati dello studio stann0 per essere presentati alla Shmoocon in corso a Washington (per la precisione domenica 30 gennaio alle ore 12:00 locali). Per ora non sono noti molti particolari se non che l’azione nefanda del malware si manifesta mediante un rootkit da installare sul terminale mobile che agisce come proxy tra il modem GSM e il livello applicativo, rendendo i messaggi di comando  e le azioni eseguite trasparenti all’utente (presumibilmente fino alla prossima bolletta). In laboratorio è stata creata una mini botnet con tre differenti modelli di Androidi, ma l’autrice promette di rilasciare, durante il suo speech, codice di esempio per altre piattaforme.

Ovviamente il potere processivo di un terminale mobile, per quanto notevole, non è confrontabile con quello di una postazione fissa tradizionale; tuttavia due fattori giocano a favore delle botnet mobili: la rapida diffusione dei terminali (Gartner prevedeva, entro la fine del 2010, 1.2 miliardi di terminali in grado di offire una elevata esperienza di accesso ad Internet) e soprattutto il fatto che i modelli di comportamento di una botnet all’interno della rete di un operatore (diversamente dalle botnet tradizionali che proliferano su Internet) non sono prevedibili e soprattutto consentono un migliore mascheramento dei terminali compromessi (gli zombie virtuali) origini degli attacchi.

Allo stato attuale non è noto l’aspetto a mio avviso più importante di tutta la questione, ovvero se il malware necessiti o  meno dei permessi di root per agire (ma presumibilmente si tratta di attendere solo qualche ora per avere la risposta). Anche se, come più volte ribadito, la prima barriera di sicurezza è rappresentata dall’utente a cui si demanda la responsabilità e la verifica delle applicazioni che si installano; certo è che nel caso in cui il malware non abbia necessità dei permessi di root (operazione a quasi esclusivo appannaggio degli “smanettoni” e quindi meno probabile per una utenza responsabile), la probabilità di diffusione, e di conseguenza l’impatto della minaccia, sarebbe notevolmente superiore.

In ogni caso, se le botnet mobili fossero realmente in grado di diffondersi, sarebbe drammaticamente evidenziata la necessità di un nuovo modello di sicurezza per gli operatori mobili: come noto all’interno della big Internet i grandi carrier collaborano per il controllo su scala globale degli attacchi di tipo DDoS, tuttavia sino ad oggi una tale esigenza non è mai stata sentita per le reti mobili dove probabilmente sarebbe più complesso adottare un modello di controllo globale considerata la frammentazione delle reti e le diverse modalità di accesso delle singole reti mobili nella Big Internet.

Nei famigerati anni 80 qualcuno sosteneva che un miliardo di cinesi che saltassero contemporaneamente sarebbero stati in grado di perturbare la rotazione dell’asse terrestre. Cosa succederebbe oggi se milioni di dispositivi facessero squillassero contemporaneamente?

Gennaio si tinge di rosso: Altre previsioni per il 2011

January 6, 2011 3 comments

Dopo le previsioni in giallo e in rosso, rispettivamente di Symantec e McAfee, è la volta di Trend Micro, gigante della sicurezza informatica proveniente dal Sol Levante, curiosamente contraddistinto anche lui da una livrea rossa, che ha appena diramato le proprie previsioni per il 2011.

Diversamente dalle ultime previsioni in rosso che abbiamo commentato su queste pagine, le previsioni del colosso nipponico pongono il cloud come uno dei punti di attenzione per il 2011, ma non disdegnano il social network, il mondo mobile e i sistemi operativi più obsoleti, per i quali i produttori saranno costretti a rimuovere le signature.

Ma andiamo con ordine:

L’OS è bello perché è vario

La biodiversità ormai vale anche per i sistemi operativi e le componenti di middleware e applicative (soprattutto quando si parla di virtualizzazione). Provate a dare un’occhiata ai link seguenti per verificare la biodiversità, nel solo mese di dicembre, di sistemi operativi e browser (rilevata in base al traffico Internet) e noterete come ormai siamo ben lontani dai tempi in cui dominavano un solo sistema operativo e un solo browser con percentuali di diffusione bulgare (a proposito, sembra che nel Vecchio Continente il Panda Rosso abbia superato l’Esploratore di Redmond). La biodiversità dei sistemi operativi e delle applicazioni si rifletterà anche nella biodiversità del malware, per la quale, il colosso nipponico prevede una motivazione dei malintenzionati maggiore rispetto alla difficoltà di costruire software malevolo per diverse piattaforme. Anche se non esplicitamente citato, all’interno di questa biodiversità rientrano anche i sistemi operativi con la mela.

Infrastruttura Virtuale, (In)Sicurezza Reale

Trend Micro prevede che il cloud, e più in generale le infrastrutture virtualizzate, saranno al centro dell’attenzione dei malintenzionati nel corso del 2011. Secondo il colosso nipponico assisteremo ad un incremento degli attacchi di tipo proof-of-concept verso le nubi. Anche in questo caso lo sforzo di costruire un attacco è commisurato al valore dell’asset. Visti i dati di diffusione del Cloud nel corso del 2011 (come ho già avuto di indicare su queste pagine Gartner prevede che nel 2011 gli early technology adopters acquisteranno il 40% delle loro infrastrutture IT come servizi mentre IDC stima che nel 2012 il mercato mondiale dei cloud services varrà complessivamente circa 43 miliardi di dollari) è prevedibile che gli attacchi veicolati verso Cloud e Servizi Virtuali nel corso dell’anno saranno più di semplici esercizi di stile.

L’eredità pesante…

E’ quella dei sistemi operativi più vetusti (ad esempio Windows 2000 o Windows XP) che continuano comunque ad avere un peso influente sulle percentuali di diffusione globali (e chissà quanti degli XP saranno ancora SP2), ma che non potranno continuare ad essere protetti a lungo, fondamentalmente per motivi di patching (se un sistema operativo è giunto al termine del suo ciclo di vita non è più possibile applicare aggiornamenti di sicurezza). La conseguenza è che per il povero Windows XP la strada verso la strameritata pensione sarà funestata di minacce (informatiche).

In questo item incorporerei anche un’altra interessante previsione: secondo il produttore nipponico alcune tecnologie di sicurezza dispongono di spazio per le signature limitato, e questo costringe a rimuovere i pattern relativi a minacce più vecchie. In sostanza: a volte ritornano, ovvero nel corso del 2011 potremo assistere a varianti opportunamente rinnovate di malware obsoleto per il quale alcuni produttori di sicurezza potrebbero aver rimosso incautamente (ma per necessità) l’antidoto dal proprio database locale di signature. Personalmente ritengo che questo problema sia reale, ma credo che possano essere d’aiuto (visto che si parla di cloud) le tecnologie hosted, ovvero le tecnologie che demandano  ad un database centralizzato (connessione ad internet e banda permettendo) l’analisi di comportamenti anomali per cui non è stata rilevata una signature locale.

Social Network Engineering per tutti

Il produttore del Sol Levante prevede che la modalità di trasmissione del malware, nel corso del 2011 varierà, passando dalla diffusione tramite Web alla diffusione tramite tecniche di Social Engineering (ad esempio messaggi di posta malevoli opportunamente forgiati per condurre il malcapitato a scaricare software malevolo). In questo caso, come disse Luigi Garzya: “Sono pienamente d’accordo a metà col Mister” nel senso che probabilmente, agli occhi di un malintenzionato, un sito web non è il modo più efficace di trasmettere malware (occorre attraversare troppi livelli di difesa) e comunque la responsabilità degli utenti sui rischi di navigazione è leggermente aumentata. Ritengo però che, come ho avuto modo di approfondire,  il Social Network sia preferibile alla posta elettronica, sia perché agisce in tempo reale, sia perché consente di raggiungere in tempo reale n utenti (in)consapevoli.

Dispositivi Mobili

Invertendo l’ordine dei fattori il risultato non cambia. Su questo punto i produttori sono tutti d’accordo: per l’Androide di Mountain View e la Mela Morsicata di Cupertino sarà un annus horribilis. Qualunque geek smaliziato (e non solo) sa bene che, per impostazione predefinita, Android e iphoneOS non consentono agli utenti accesso completo al terminale, a meno che non si installino opportune ROM modificate (io ho rischiato di buttare via un Motorola Milestone) o si faccia un bel jailbreak. Questo fatto implica l’impossibilità di arrivare a basso livello nel dispositivo e di conseguenza spiega apparentemente la difficoltà di costruire malware ad-hoc per questi dispositivi (e difatti Geinimi richiede per qualsiasi operazione il permesso dell’utente). Occorre però considerare che le vulnerabilità sono dietro l’angolo (l’Androide Verde si difende bene con i suoi 0,47 bachi ogni 1000 linee di codice ben al di sotto dei 5bugs/Kloc considerati fisiologici, ma comunque basta una sola vulnerabilità ben fatta per compromettere tutto), e che gli utenti continuano a rootare o jailbreakare anche i dispositivi che utilizzano al lavoro sui quali depositano importanti documenti.

Per questo motivo il produttore nipponico dichiara che:

I primi attacchi a buon fine ai danni di Google Android potrebbero vedersi già nel 2011

A meno che Geinimi non si consideri già tale…

Last but not least(s)

Altre previsioni per il 2011 includono:

  • Aumento dell’uso, da parte del malware, di certificati legittimi o sottratti a terzi: direi che questa previsione coincide con quanto previsto da altri produttori (il malware ha la necessità di camuffarsi con software legittimo) ed in parte si è già avverata grazie al mai troppo citato Stuxnet.
  • Aumenterà la diffusione delle Botnet, nonostante gli sforzi da parte delle forze bene, dal momento che, si prevede, molti gruppi tenderanno a fondersi per aumentare la potenza di fuoco e, presumibilmente, l’attenzione pubblica.
  • Del problema relativo alla rimozione delle signature più obsolete abbiamo già parlato.
  • Infine secondo il produttore nipponico assisteremo ad aumento degli algoritmi di generazione domini da parte degli attacchi Advanced Persistent Threat e ad un incremento degli attacchi basati su Java.

Concludendo, Concludendo…

Il primo aspetto che ho notato è che Trend Micro ha richiamato l’attenzione al problema della sicurezza relativa ai sistemi virtuali e cloud (la cui assenza mi aveva un po’ sorpreso nel caso delle previsioni di un altro gigante rosso).

Curiosamente, inoltre, il gigante nipponico richiama l’attenzione ai problemi di sicurezza derivanti dalla biodiversità dei sistemi operativi e derivanti inoltre dalla presenza, ancora importante statisticamente, di sistemi operativi obsoleti.

Un ulteriore aspetto che ha attirato la mia attenzione, anche se evidenziato in tono minore, è quello relativo ai rischi connessi al malware obsoleto (d’altronde il primo software malevolo facente utilizzo della vulnerabilità CVE-2010-2568 alla base di Stuxnet, fu una variante Trojan.Zlob del 2008). Come ho già avuto di indicare, probabilmente per contrastare questa categoria di malware saranno utili motori di scansione che mantengono porzioni del database remotamente sul cloud.

Il richiamo ai problemi del mobile è scontato, sacrosanto è condivisibile. Mentre, a mio modesto parere, l’impatto del social network avrà una influenza maggiore di quella evidenziata dal gigante giapponese.

Anno Nuovo… Minacce Nuove

January 3, 2011 5 comments

Il 2011 è appena arrivato e in attesa dell’immancabile sacco di carbone portato in dono dalla Befana (credo di non essere stato buonissimo nel 2010), in compenso ci ha portato in regalo i primi report di sicurezza con le previsioni per l’anno appena iniziato. Dopo le previsioni in giallo di Symantec è ora il turno di McAfee che ha da poco rilasciato le proprie indicazioni per il 2011.

Secondo Intel Mcafee nel 2011 dovremo sostanzialmente preoccuparci dei tweet e in generale delle attività eseguite sui social network (soprattutto se effettuate da terminali mobili), siano esse relative a stati d’animo personali o alla condivisione di informazioni della nostra organizzazione, con implicazioni che vanno dalla minaccia dei dati (personali o professionali) sino ad apparentemente imprevedibili conseguenze politiche o sociali. Assisteremo quindi a:

Un maggiore impatto delle minacce veicolate dai Social Media

Ormai il Social Network è utilizzato anche in ambito enterprise per la collaborazione e la condivisione delle informazioni. La causa risiede sostanzialmente nella velocità con cui i dati fluiscono nel nostro ecosistema, velocità che nel corso degli ultimi anni è spaventosamente aumentata e ha reso necessario il passaggio da un approccio 1-to-1 (o 1-to-few), non in tempo reale, garantito dalla posta elettronica ad un approccio 1-to-n, proprio dei social network e instant messaging, che permette il flusso dell’informazione in tempo reale nei confronti di un pubblico molto ampio. Una minaccia veicolata tramite questi mezzi (koobface docet) consente di raggiungere istantaneamente una platea molto vasta, sovente facendo leva sull’atteggiamento disinvolto (e la scarsa attenzione verso le impostazioni di privacy) proprie di molti utilizzatori. Nell’anno che verrà occorrerà pertanto prestare molta attenzione alle minacce celate dietro Short URL (le URL compatte tipiche di Social Network e IM) e utilizzare con cautela l’integrazione con le possibilità di Geolocalizzazione, senza dimenticare che qualsiasi cosa viene tweettata o pubblicata (incluse preferenze politiche) raggiunge potenzialmente anche chi è interessato a compiere azioni malevole nei confronti o della nostra organizzazione (i sei gradi di separazione non valgono solo per le richieste di amicizia).

Dispositivi mobili… Ma non per le minacce

Ormai è un refrain tristemente noto: il 2011 segnerà il punto di svolta per le minacce verso i dispositivi mobili. In effetti il report di McAfee era stato appena pubblicato e contemporaneamente dalla Cina con furore è spuntato Geinimi, il malware con gli occhi a mandorla che ha preso di mira gli Androidi. Se è vero che per ora l’ambito di infezione appare limitato (il malware si nasconde dietro applicazioni scaricate da un market parallelo e richiede comunque il consenso dell’utente per le proprie azioni malevole), è altrettanto vero che il software malevolo in questione presenta, per la prima volta in un dispositivo mobile, una discreta complessità e tratti somatici (oltre agli occhi a mandorla) propri di una botnet. Questa previsione si è già avverata anche se, considerato il trend della seconda metà del 2010, non era poi così difficile (se non altro perché era stata prevista anche dal sottoscritto).

La mela con il baco

Altro refrain prevedibile ma da non sottovalutare. Anche per quanto riguarda i gioielli di Cupertino il 2011 sarà un anno difficile. I dispositivi di Casa Jobs hanno terminato la propria metamorfosi sdoganandosi da giocattoli per giovanotti bene a validi strumenti di lavoro, ambita preda dei livelli esecutivi sia per il valore tecnologico intrinseco che per il potente messaggio a livello di immagine che gli stessi sono in grado di fornire (fate una presentazione aprendo un portatile con una mela illuminata e ve ne renderete conto). Ovviamente lo sforzo per costruire malware specifico per questa piattaforma è commisurato alla diffusione e al valore dell’asset; ed ecco che l’equazione ha una facile soluzione: maggiore diffusione dei dispositivi di Cupertino, soprattutto verso i livelli alti di una organizzazione, implica maggiore probabilità che gli stessi contengano dati di valore (siano essi personali o aziendali) e di conseguenza maggiore danno (ed eco) in caso di infezione, a loro volta questi fattori implicano una maggiore attenzione dei malintenzionati per scopi ludici o “commerciali”. Il livello di esposizione della mela va di pari passo con il fiorire di jailbreak al suo interno e la conseguente diffusione di store di terze parti ove è possibile installare applicazioni senza certificazione. Se poi a questo si aggiunge la la portabilità del codice tra iPhone e iPad si comprende come il 2011 presumibilmente registrerà un incremento di malware e botnet per Mac OS X e iOS.

C’è un App per tutto, anche per il malware!

Viviamo in un mondo incentrato sull’informazione (information-centric). L’informazione non ha valore se non viene condivisa e utilizzata in maniera efficace. Per eseguire questi compiti servono applicazioni che, in virtù della convergenza dei dispositivi, si stanno diffondendo notevolmente e stanno sempre di più diventando cross-platform. McAfee prevede che le applicazioni nel 2011 diventeranno prevedibilmente anche vettori di malware. Le cause sono molteplici: da un lato le applicazioni mobili tendono ad utilizzare in maniera un po’ troppo disinvolta i dati degli utenti (lo dimostrano la recente Class Action contro Apple e le continue critiche al concetto di Privacy rivolte verso colossi del calibro di Facebook e Google), dall’altro lato gli utenti non disdegnano di utilizzare applicazioni (spesso di dubbia provenienza) su dispositivi dove vengono conservati datti personali o documenti della propria organizzazione. E’ possibile che nel 2011 gli autori di malware facciano leva su questi fattori per sviluppare applicazioni in grado di violare volutamente la privacy dell’utente e rubare dati personali o documenti aziendali contenuti nel nostro dispositivo mobile. Naturalmente il rischio di applicazioni malevole va di pari passo con la diffusione di jailbreak e relativi store paralleli visti al punto precedente, che andrebbero considerati con attenzione se effettuati su un dispositivo sul quale transitano dati personali o informazioni della propria organizzazione. Ovviamente i giganti del software e dei dispositivi mobili stanno correndo ai ripari ma dubito che entro il 2011 assisteremo alla diffusione massiccia di piattaforme di virtualizzazione per il mobile.

I Virus Camaleonti

Nel 2011, sempre secondo McAfee sarà sempre più difficile distinguere software malevolo da software lecito. Gli eseguibili malevoli saranno in grado di simulare applicazioni firmate, agevolmente nascoste tra i meandri del social network che  (tanto per cambiare) sarà uno dei mezzi maggiori di diffusione (perché è difficile pensare che una persona che riteniamo amica possa indirettamente e inconsapevolmente effettuare azioni nocive nei nostri confronti). Anche se del tutto avulso dal mondo del social network, devo ammettere che leggendo questa previsione mi è tornato in mente il virus Stuxnet caratterizzato, tra le altre cose da una modalità di azione estremamente mirata e distribuita nel tempo, facilmente scambiabile per una avaria dell’hardware, e di conseguenza di difficile identificazione (e le similitudini non finiscono qui visto che Stuxnet è stato anche in grado di utilizzare certificati falsi per la firma del software: se proprio voleva essere nascondersi, lo faceva in grande stile).

Botnet

Nonostante le azioni di contrasto il rateo di crescita delle Botnet non si arresterà nel 2011. Le reti di macchine compromesse cambieranno però il loro profilo, da sorgenti di spam diventeranno eserciti utilizzati per rubare dati personali o per effettuare azioni relative ad attività di Hactivism. Come è prevedibile, anche in questo caso il mai troppo abusato social network giocherà un ruolo fondamentale per la diffusione delle botnet che, nel corso del 2011 faranno uso anche di proprietà di geolocalizzazione.

Hactivism

Le attività di hacking aventi scopi politici registreranno una impennata nel 2011. Secondo un recente rapporto dell’Università di Hardvard, nel corso dell’anno appena passato, da novembre a dicembre, limitandosi al solo Distributed Denial of Service, sono stati registrati 140 attacchi verso 280 siti legati associazioni per i diritti umani o soggetti indipendenti, e comunque di chiara matrice politica. Questo trend è destinato a crescere e le linee di codice malevolo diventeranno le nuove armi per combattere le guerre politiche, come accaduto nel caso dei presunti attacchi DDoS verso Wikileaks e l’immediata rappresaglia Operation Payback condotta dal gruppo “Anonymous”, non nuovo a questo genere di imprese, nei confronti dei siti accusati di opporsi a Wikilieaks. Tornando alle previsioni per il 2011, il gigante rosso della sicurezza informatica prevede che questo genere di attacchi diventeranno molto comuni, con livelli di complessità e sofisticazione maggiori rispetto ai tradizionali defacciamenti o DDos, venendo utilizzati per rubare dati e informazioni personali e facendo leva (ancora una volta) il social network come mezzo di diffusione e camera di risonanza per le proprie gesta (come accaduto nel caso di Operation Aurora, in cui Google dichiarò il furto di credenziali e dati da alcuni account appartenenti a dissidenti cinesi).

Minacce Avanzate Persistenti

McAfee ha identificato una nuova classe di malware, destinata a crescere nel 2010, battezzata APT (Advanced Persistent Threat). In questa categoria rientrano tutte le minacce che presentano un elevato grado di complessità (spesso facendo leva su vulnerabilità 0-day) tale da giustificarne la realizzazione da parte di governi (anche se non sempre dietro le APT si celano interessi di stato). Nel corso del 2010 esempi di APT che presumibilmente hanno una origine “bellica” da parte di un governo sono stati lo stesso Stuxnet e Operation Aurora citata in precedenza.

In conclusione…

Si tende, forse in maniera un po’ superficiale, a criticare rapporti di questo tipo perché si dice, alimentino il timore tra gli utenti di dispositivi mobili e social network. In realtà, una buona parte delle previsioni stilate ci hanno già dato (poco) gustose anteprime nel 2010 (pensiamo al caso Wikileaks, come anche a Geinimi, Stuxnet, Operation Aurora) ed è prevedibile che nel 2011 saranno purtroppo la norma tra le minacce informatiche e non eccezioni isolate, anche se di vasta eco. Un aspetto tuttavia è evidente: tutti i punti sopracitati hanno una matrice in comune rappresentata dal Social Network che costituirà, nell’anno appena iniziato, il minimo comune denominatore per la diffusione del malware, facendo leva sulla natura virale (in senso buono) dei Social Media, e sulla scarsa attenzione verso le impostazioni di sicurezza da parte degli utenti (spesso alimentate, all’interno del social network, da un modello di privacy quantomeno originale).

Infine mi ha un po’ sorpreso la mancanza, all’interno delle previsioni, di un item relativo all’incremento delle minacce connesse al mondo virtuale (o inerenti al cloud), come previsto da Symantec. Probabilmente, vista anche l’estensione della propria offerta, il colosso giallo ha attualmente una visione maggiormente ampia su questo fronte. Il mio sesto senso e mezzo (di DylanDogiana memoria) mi dice che anche su questo fronte ne vedremo delle belle brutte.

Follow

Get every new post delivered to your Inbox.

Join 2,944 other followers