Mondo
Secondo i risultati dell’X-Force Trend and Risk Report per il 2008 di IBM, l’Italia si conferma al secondo posto mondiale come luogo d’origine delle mail di pishing (14,0%), leggermente dietro la Spagna (15,1%) ma distanziando in misura notevole Paesi tecnologicamente avanzati come Francia (6,4%), Germania (4,4%) e Usa (2,8%).
In calo invece la presenza del dominio .it tra quelli di origine dello spam: se infatti nel 2007 i server italiani erano responsabili del 3,9% della posta spazzatura, nel 2008 questa cifra si assesta al di sotto del 3% (la Cina primeggia con 20,6% e ha recentemente superato gli Usa, fermi al 19,4%).
Questo trend declinante si è accentuato dopo la chiusura nello scorso novembre del sito Mc Colo.com, l’hub considerato uno dei maggiori responsabili a livello mondiale nella produzione di spam.
Ugualmente in calo la percentuale di siti italiani con contenuti “socialmente devianti” (estremismo politico, odio,discriminazione…) con una percentuale che passa dal 2,1% del 2007 all’1,3% del 2008.
A livello generale, il report evidenzia come i siti web delle aziende rappresentino per i cyber criminali veri e propri trampolini di lancio per i propri attacchi, che essi dimostrano di saper sfruttare al meglio al fine di sottrarre dati personali dei consumatori.
Il report registra ad esempio un incremento del 13,5% delle vulnerabilità rispetto al 2007 e una vera e propria esplosione – + 3000% rispetto all’estate 2008 – delle minacce che utilizzano codice SQL.
In allarmante aumento, dunque, il numero degli hacker che si servono di siti aziendali legittimi come rampa di lancio per gli attacchi nei confronti dei consumatori. Nel costante tentativo di sottrarre i dati personali dei consumatori, i cyber-criminali stanno letteralmente mettendo le aziende in difficoltà con i propri clienti.
Il nuovo rapporto X-Force identifica due tendenze principali, emerse nel 2008, che evidenziano come i criminali stiano puntando alle masse attraverso gli attacchi ai siti web.
In primo luogo, i siti web sono diventati il tallone d’Achille per la sicurezza IT aziendale. Gli hacker si concentrano intensamente sull’attacco alle applicazioni web, in modo tale da infettare le macchine degli utenti finali. Parallelamente, le aziende utilizzano applicazioni standard disponibili sul mercato, zeppe di vulnerabilità, o peggio ancora applicazioni personalizzate che possono ospitare numerose vulnerabilità ignote, impossibili da correggere con una patch. L’anno scorso più di metà di tutte le vulnerabilità divulgate era correlata ad applicazioni web e, di queste, più del 74 percento non disponeva di patch. Pertanto, le vulnerabilità da iniezione di codice SQL automatizzate e su grande scala emerse nei primi mesi del 2008, sono proseguite senza tregua. Alla fine del 2008, il volume di attacchi era salito a 30 volte il numero di attacchi osservati inizialmente quest’estate.
“Lo scopo di questi attacchi automatizzati è ingannare e re-indirizzare gli internauti verso strumenti di exploit dei web browser”, spiega Kris Lamb, senior operations manager di IBM ISS X-Force Research and Development. “Si tratta di una delle più antiche forme di attacco di massa tuttora esistenti. È sconcertante continuare a vedere il diffuso utilizzo di attacchi con iniezione di codice SQL senza patch adeguate, a quasi 10 anni dalla loro prima divulgazione. I cyber-criminali puntano alle aziende perché rappresentano un bersaglio facile per lanciare attacchi verso chiunque visiti il web”.
Il secondo trend importante svelato da IBM X-Force è il fatto che, sebbene gli hacker continuino a focalizzarsi sul browser e sui controlli ActiveX come mezzo per compromettere le macchine degli utenti finali, stanno ora rivolgendo l’attenzione all’incorporazione di nuovi tipi di exploit che si collegano a filmati (ad es. Flash) e documenti (ad es. PDF) maligni. Solo nel quarto trimestre 2008, IBM X-Force ha individuato un aumento di oltre il 50 percento del numero di URL maligni che “ospitano” exploit, rispetto a quelli rilevati in tutto il 2007. Anche gli spammer si stanno rivolgendo a siti web noti per espandere la portata dei propri attacchi. La tecnica di ospitare messaggi di spam su blog famosi e siti web legati alle news è più che raddoppiata nella seconda metà di quest’anno.
Un’altra osservazione importante contenuta nel rapporto X-Force è che una serie di vulnerabilità critiche evidenziate nel 2008 non ha poi visto un diffuso sfruttamento sul campo. IBM X-Force ritiene che il settore della sicurezza possa stabilire meglio le priorità nella risposta alle divulgazioni delle vulnerabilità. Attualmente, tale prioritizzazione viene effettuata attraverso lo standard di settore Common Vulnerability Scoring System (CVSS). Il CVSS si focalizza sugli aspetti tecnici di una vulnerabilità, quali la gravità e la facilità di sfruttamento. Pur essendo estremamente importanti, questi fattori non colgono appieno la motivazione principale dei crimini informatici: l’opportunità economica.
“Il CVSS fornisce una base essenziale, di cui il settore della sicurezza ha disperato bisogno per misurare le minacce”, spiega Lamb. “Ma ci rendiamo conto anche che i cyber-criminali sono motivati dal denaro e dobbiamo considerare a fondo come gli hacker valutano l’opportunità economica di una vulnerabilità rispetto ai costi dello sfruttamento della stessa. Se il settore della sicurezza riuscirà a comprendere meglio le motivazioni dei criminali informatici, potrà stabilire con più precisione quando è maggiormente necessaria una patch di emergenza, alla luce delle minacce immediate. Possiamo essere anche più precisi nel determinare quando lo sfruttamento diffuso di una vulnerabilità impiegherà molto tempo ad emergere, e quando è probabile che non emerga mai. Questa analisi potrebbe tradursi in un uso più efficiente di tempo e risorse”.
X-Force cataloga, analizza e conduce ricerche sulle divulgazioni delle vulnerabilità sin dal 1997. Possiede il più grande database delle vulnerabilità di sicurezza al mondo che, catalogandone quasi 40.000, aiuta i ricercatori X-Force a comprendere le dinamiche che ne permettono la relativa scoperta e divulgazione .
Il nuovo rapporto X-Force di IBM rivela inoltre che:
• Il 2008 è stato l’anno in cui l’attività di scoperta delle vulnerabilità è stata più intensa, con un aumento del 13,5% rispetto al 2007.
• Alla fine del 2008, il 53% di tutte le vulnerabilità divulgate nel corso dell’anno non disponeva di patch rilasciate dal fornitore. Inoltre, il 46% delle vulnerabilità emerse nel 2006, e il 44% di quelle del 2007, non disponevano ancora di una patch alla fine del 2008.
• La chiusura di McColo ha avuto il maggiore impatto sull’attività di spam nel 2008, influendo non solo sulla quantità ma anche sulla tipologia di spam inviato e sui paesi che frequentemente lo inviano.
• La Cina è emersa come principale mittente di spam, subito dopo la chiusura di McColo, sostituita dal Brasile alla fine dell’anno. Per molti anni prima della chiusura, gli Stati Uniti avevano occupato la prima posizione.
• I principali paesi di origine dello spam, per tutto il 2008, sono stati la Russia con il 12%, gli Stati Uniti con il 9,6% e la Turchia con il 7,8%. Anche se l’origine dello spam non è necessariamente correlata al luogo in cui risiedono gli spammer.
• Per la prima volta, nel 2008, la Cina ha superato gli USA come paese numero uno nell’hosting di siti web maligni.
• I phisher continuano ad attaccare le istituzioni finanziarie. Quasi il 90 percento degli attacchi di phishing era rivolto a istituzioni finanziarie, la maggior parte delle quali in Nord America.
• Il 46% di tutto il malware nel 2008 era costituito da trojan mirati agli utenti di giochi online e banking online. Secondo le previsioni del rapporto X-Force, è probabile che questi specifici gruppi di utenti continueranno a costituire un bersaglio anche nel 2009.