(in)sicurezza: Che fine hanno fatto i Virus?

di Matteo Flora - La fonte forse più redditizia di introiti delle Bot Network di macchine contagiate è data dall'unica vera funzionalità che terrorizza qualunque realtà web: il DDoS

Roma – È notizia di qualche giorno fa, apparsa sui principali quotidiani, che il “furto di dati digitale” dell’estate di quest’anno ai danni del Ministero della Difesa americana ha recuperato molti più dati di quelli ipotizzati in un primo momento. Data la natura dei dati l’entità non è stata, ovviamente, divulgata, ma lo stesso annuncio pubblico la dice lunga sulla effettiva mole della manovra.

Ma a parte la notizia in sé, che ovviamente suscita un piccolo sadico sorriso nell’anti-americano che è in tutti noi (nascosto ma c’è, non foss’altro che per dire “Visto che bucano anche loro?”), la vera notizia, secondo me, più che l’illazione su un attacco proveniente dalla Repubblica Popolare Cinese, sono le modalità dell’attacco stesso, che è stato condotto, per ammissione della stessa agenzia, utilizzando una vulnerabilità conosciuta e non patchata.
In altre parole, anche al Pentagono qualcuno non aggiorna le macchine.

Certo, è sempre la solita storia per chi in questo campo ci vive e ci lavora: il cliente a cui si fa presente la vulnerabilità e che nel buon 80% dei casi risponde con un laconico “A Dottò! Ma tanto a noi chi vuole che ci buchi?”. Il problema sembra infatti essere la mancanza di dati “appetibili” per un attaccante, come ad esempio contabilità o brevetti e marchi: mancando queste informazioni la piccola PMI si vede al sicuro poiché non ha nulla di “appetibile” per il possibile attaccante.
In altre parole, i sistemi sono sicuri perché praticamente inutili se non al fine aziendale.
Ed è proprio di questo atteggiamento che la nuova criminalità su web vive, l’esatta attitudine mentale che da gloria e ricchezza a chi vive di DDOS, phishing e click scam.

Mentre stavo preparando una conferenza che terrò la prossima settimana, mi sono interrogato su come portare all’occhio di un uditorio non tecnico le nuove frontiere della criminalità informatica, di come fare trasparire i tempi che cambiano con un concetto che fosse comprensibile da parte di chiunque e che potesse fare inquadrare il problema. Alla fine credo di aver trovato questo concetto con una semplice domanda da porvi: “Che fine hanno fatto, secondo voi, i virus?”.

Già, perché sicuramente ricorderete sino ad un paio di anni fa come ogni circa 6 settimane arrivasse puntuale la ventata del nuovo Virus. Ricorderete la corsa ai gazzettini ed agli avvertimenti (anche su Punto Informatico) per le nuova variante che doveva essere osservata, sul nuovo virus che l’antivirus Tizio o Caio ancora non rilevava e via dicendo. Una corsa, vera e propria, alla patch ed all’aggiornamento che ora sembra magicamente essere sparita.
Che gli antivirus siano arrivati alla perfezione? Scusatemi, ma non credo proprio. Quelli che si sono trasformati non sono i guardiani ma i prigionieri: i virus si sono evoluti e, soprattutto, non danno più il fastidio di prima.

Già, perché un po’ come è successo con gli Spyware i virus storici davano fastidio: reboot, macchine inchiodate, spam di infezione, comportamenti assurdi del computer. In altre parole una serie di “fastidi” digitali che portavano innanzitutto a notarli ed in secondo luogo a prodigarsi per la loro rimozione. Perché l’obiettivo di questi virus che chiamerei “adolescenti” era quello di una gara alla diffusione fine a se stessa, senza scopo altro che non la visibilità del writer o del gruppo che li aveva creati. Una sorta di POC (proof of concept) di cosa era possibile fare con i mezzi adeguati.
Ma anche il mercato è cambiato ed ora i vecchi virus vedono una nuova rinascita in altre spoglie: come macchine per soldi.

L’esempio nefasto di Storm Worm è all’occhio di tutti e parla di una nuova strategia. Parla di virus “silenti” e non fastidiosi, semplici accoglienti tane dove incubare ed essere pronti all’occorrenza. E quale occorrenza? Moltissime e variegate.

Innanzitutto i vari Form Grabber, che altro non fanno che recuperare le credenziali introdotte non “ovunque” come un normale keylogger, ma all’interno di specifiche pagine web. Così facendo un Form Grabber può agilmente essere programmato per recuperare le credenziali di ingresso a svariati portali come banche, servizi web, posta elettronica o extranet aziendali, per poi inviare i dati altamente selezionati e pronti all’uso indietro verso il proprietario, quel “Signore dei Robot” (gioco sul termine inglese “bot Master”) che possiede decine di migliaia se non centinaia di macchine contagiate e che non deve fare altro che attendere.

Oltre a questo il proliferare di servizi di “pay per click”, primo tra tutti Google AdSense dove l’utente viene pagato in quid per ogni click che viene fatto su un banner che espone, ha creato un vero e proprio mercato di servizi di Click Fraud, dove le centinaia di migliaia di macchine contagiate altro non fanno che cliccare saltuariamente su questo o un altro banner al fine di creare un indotto economico per chi controlla la pubblicazione del banner stesso, il criminale o l’organizzazione di turno che ha creato spazi e siti appositi per questi precisi scopi.

Ma la fonte forse più redditizia di introiti delle Bot Network di macchine contagiate è data dall’unica vera funzionalità che terrorizza qualunque realtà web: il DDoS.

Già, perché non esiste realtà che possa ad oggi efficacemente contrastare un DDoS (distributed denial of service) in cui centinaia di migliaia di macchine non fanno altro che inviare traffico anche legittimo verso una unica destinazione. E se ci pensiamo bene l’Italia, da questo punto di vista, è un bersaglio goloso per i bot Masters: centinaia di migliaia, se non qualche milione, di terminali connessi con ampiezza di banda dai 10Mb ai 30Mb. Anche supponendo un traffico in uscita tra i 300Kb ed i 1500Kb per singola macchina significa che con un migliaio di macchine posso ottenere quasi un Gigabit di traffico da indirizzare contro il portalone o l’istituzione di turno per metterlo, letteralmente, in ginocchio.
Non esiste realtà preparata ad affrontare attacchi per decine e decine di Gigabit che arrivino saltuariamente e senza preavviso, e la vicenda Estone di qualche tempo fa ne è l’esempio lampante.

E quindi che fine hanno fatto i Virus? Si sono evoluti. Non danno fastidio per non essere individuati e divengono quasi inoffensivi parassiti dell’organismo che li ospita. Hanno una fase, se così vogliamo dire, di incubazione molto lunga e piccoli, brevi episodi di infezione vera e propria.
Ma bisogna ricordare che, nel frattempo, la nostra macchina è un filino meno nostra. I nostri dati sono un filino meno nostri.

Come contrastare il fenomeno? Comportandosi come se vi fosse sempre e comunque il pericolo, aggiornando i computer ad ogni possibilità, aggiornando sistemi vari di rilevazione in modo automatico e, soprattutto, preparandoci al peggio con un buon piano di intervento.
Certo non eviteremo tutti i problemi, ma per lo meno eviteremo l’imbarazzo di spiegare a qualcuno perché la nostra rete aziendale è un vivaio di ospiti indesiderati che nessuno ha verificato solo perché da tempo non vediamo sul giornale avvisi di Virus importanti.

Estote Parati “.

Matteo Flora
LastKnight.com

I precedenti interventi di M.F. sono disponibili a questo indirizzo

NB: nel corso di questo articolo ho utilizzato il termine virus in senso lato. Il termine corretto per la definizione di malware propagantesi in modo autonomo sul web è Worm ed un Worm è anche lo Storm citato. Ho semplicemente ritenuto che l’utilizzo del termine Virus fosse più intuibile all’utente medio del termine “Codice Malevolo”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • @Flag@ scrive:
    Siamo messi peggio della Cina!
    Ma che governo, sono 4 ignoranti malavitosi.
  • Ponzio Pilato scrive:
    Aboliamo l'Assoprovider
    Da che pulpito arrivano le critiche ...
    • anonymous scrive:
      Re: Aboliamo l'Assoprovider
      - Scritto da: Ponzio Pilato
      Da che pulpito arrivano le critiche ...Vogliono abolire le attuali caste per introdurre la loro casta...Comunque la loro casta mi pare di capire che sarebbe milioni di volte meglio della casta attuale.... forse e' bene scegliere il minor male ?
      • Alessandrox scrive:
        Re: Aboliamo l'Assoprovider
        - Scritto da: anonymous
        - Scritto da: Ponzio Pilato

        Da che pulpito arrivano le critiche ...

        Vogliono abolire le attuali caste per introdurre
        la loro
        casta...

        Comunque la loro casta mi pare di capire che
        sarebbe milioni di volte meglio della casta
        attuale.... forse e' bene scegliere il minor male
        ?Vogliamo impedire ad ogni settore economico di creare una propria associazioe di categoria?Non confondiamo gli ALBI con le associazioni di categoria... sono 2 cose diverse.
  • er meglio scrive:
    RE:
    non mi smebra davvero sia stato il governo del dialogo,e nn credo sarà nemmeno quello di
    BErlusconi o Vetron..Sarà una posizione un po pessimista ma io la vedo davvero in questo modo
    • anonymous scrive:
      Re: RE:
      - Scritto da: er meglio
      non mi smebra davvero sia stato il governo del
      dialogo,
      e nn credo sarà nemmeno quello di
      BErlusconi o
      Vetron..
      Sarà una posizione un po pessimista ma io la vedo
      davvero in questo
      modoGia' sappiamo CHI e' che potrebbe dialogare, non fare troppi interessi privati, rivalutare la rete e le tecnologie, non restare in pianta stabile sulle poltrone, rigettare i candidati politici delinquenti condannati etc etc,,..
  • Nguulo scrive:
    Ma non era il governo del dialogo ?
    Come da oggetto
    • anonymous scrive:
      Re: Ma non era il governo del dialogo ?
      - Scritto da: Nguulo
      Come da oggettoSi, dialogo tra loro ed i soliti noti.
  • ... scrive:
    Fenice
    Tanto risorgerebbe dalle sue ceneri come il Ministero dell'Agricoltura (abolito dai Cittadini mediante referendum!), usando un nome simile...
  • Garlini Valter scrive:
    Calabrò vattene.....
    La colpa NON è solo del Ministero... ma anche di un'Autorità Garante che garantisce solo l'ex (molto ex) Monopolista... ovvero Telecom ex (molto ex) Italia !I 9,71 Euro + IVA imposti dall'autorità garante sulle ADSL Naked (quella senza linea telefonica) ne costituiscono una prova schiacciante !
    • Ricky scrive:
      Re: Calabrò vattene.....
      Ancora a dire VATTENE...come se chi subentra provenisse da un altro pianeta...LA gente si TURNA nei posti di comando ma resta sempre lo stesso problema:CHI CI ARRIVA PASSA DA UN FILTRO BEN PRECISO...quello che cerca di agevolare SOLO gli interessi di chi PAGA MEGLIO.I politici sono corrotti, asserviti e senza scrupoli, le loro decisioni creano problemi alla massa che,spesso e volentieri, impattano sulla qualita' della vita e a volte sulla VITA STESSA mietendo vittime su vittime.E credete veramente che CAMBIARLO serva?!Ma va'...NOI dobbiamo cambiare....NOI dovremmo piallare i loro deretani a vangate e mandarli in miniera!Se ci aspettiamo che le cose ci cadano dal cielo rischiamo una forte delusione...Sono anni che promettono MENTENDO SPUDORATAMENTE e non mantengono MAI.Volete ancora crederegli?
      • Kyashan scrive:
        Re: Calabrò vattene.....
        Alle prossime elezioni invece di Votantonio Votantonio il mio slogan sarà NONVOTARE NONVOTARE NONVOTARE NONVOTARE!!!!!!!!!Il mio voto non lo avranno mai,almeno questi qui...
        • anonymous scrive:
          Re: Calabrò vattene.....
          - Scritto da: Kyashan
          Alle prossime elezioni invece di Votantonio
          Votantonio il mio slogan sarà NONVOTARE NONVOTARE
          NONVOTARE NONVOTARE!!!!!!!!!Il mio voto non lo
          avranno mai,almeno questi
          qui...Forse sarebbe meglio votare chi ci crede nella rete e specialmente non fa il politico di professione ma la rete la conosce e la usa... ho detto tutto, a buon intenditore.. capito mi hai!
  • un utente scrive:
    sacrosanto!
    non ci sono altre parole: una fotografia puntualissima sulla situazione che abbiamo da parecchio tempo e della quale non si vede la fine ancor oggi... BRAVI quegli STR**** delle TLC e pure CHI GLIELO LASCIA FARE!
    • clic scrive:
      Re: sacrosanto!
      - Scritto da: un utente
      non ci sono altre parole: una fotografia
      puntualissima sulla situazione che abbiamo da
      parecchio tempo e della quale non si vede la fine
      ancor oggi... BRAVI quegli STR**** delle TLC e
      pure CHI GLIELO LASCIA
      FARE!Come non quotare? in piazza bisogna scendere, altroché...
      • er meglio scrive:
        Re: sacrosanto!
        piebamente daccordo con quello che voi dite..Il problema credo che sia un altro...Enunciatemi qualcosa che va davvero bene in quest'Italia, divisa digitalmete...(naturalkmente nel campo dell'IT)non dovremmo scendere in piazza quindi solo per questa cosa ma per tutte le altre cose che non vanno!!
      • anonymous scrive:
        Re: sacrosanto!
        - Scritto da: clic
        - Scritto da: un utente

        non ci sono altre parole: una fotografia

        puntualissima sulla situazione che abbiamo da

        parecchio tempo e della quale non si vede la
        fine

        ancor oggi... BRAVI quegli STR**** delle TLC e

        pure CHI GLIELO LASCIA

        FARE!

        Come non quotare? in piazza bisogna scendere,
        altroché...il V-Day e' alle porte... ricordiamocelo e ricordiamolo agli altri...
Chiudi i commenti