L’Enisa (European Union Agency for Network and Information Security) ha pubblicato di recente il suo Threat Landscape, ovvero il rapporto annuale sulle minacce e i pericoli del web.
Il rapporto si basa essenzialmente sui dati delle indagini delle polizie specializzate di tutta Europa sui crimini informatici, e – ovviamente – omette le indagini sottoposte a segreto e quelle sul cyber terrorismo, la diffusione delle cui informazioni potrebbe compromettere le indagini stesse.
Questa apparente omissione tuttavia non deve far pensare a lacune macroscopiche del rapporto, che ha una utilità molto rilevante per aziende e comuni cittadini per comprendere i trend delle minacce da cui difendersi, scoprirne di nuove – che spesso non sono neanche percepite come tali – ma anche per gli “addetti ai lavori” che possono facilmente leggere, nelle pieghe dei macrodati, elementi importanti su strumenti e tecnologie.
Il primo dato significativo è la mole di dati analizzata per realizzare il rapporto, qualcosa come 600 milioni di campioni identificati ogni trimestre, tra cui malware mobile, ransomware e ladri di informazioni tra le principali aree di innovazione del malware criminale.
Nel report è stato rilevato che la vita media degli hash di malware si è ridotta anche a sole poche ore, il che ci dimostra la velocità di mutazione del malware sia per evitare l’individuazione che per colpire le mancanze dei software antivirus o delle misure di protezione preventive.
Sono stati individuati casi che rendono disponibile online le offerte di malware-as-a-service, ovvero i malware a noleggio, con i quali è possibile noleggiare l’infrastruttura per qualche migliaio di dollari al mese per il lancio, ad esempio, di attacchi ransomware che garantiscono un giro di affari fino a 100mila dollari.
Gli attacchi DDoS, una volta utilizzati dagli attivisti per distruggere i siti web aziendali, vengono ora utilizzati per tentativi di estorsione, come parte integrante delle azioni che puntano alla monetizzazione dell’hacking. Allo stesso modo, il rapporto osserva che il phishing ha raggiunto con successo il livello esecutivo: le frodi a danno dei CEO stanno causando perdite significative alle aziende.
Frodi sempre più sofisticate come quelle che promettono di dare soldi da presunti bug di Western Union o di banche blasonate, o carte di credito clonate, anche pubblicizzate con pagine Facebook o siti/blog creati ad arte.
Sino a quella messa in evidenza da Paolo Attivissimo qualche giorno fa, dove viene presa di mira la disperazione di chi si riduce a vendersi un rene, mentre viene truffato due volte, sia in denaro che in dati personali.
Ecco infatti quello che hanno in comune i trend di tutti i casi presi singolarmente in esame dal rapporto. Il vero tesoro cui mirano oggi i criminali informatici sono i dati personali, in misura sufficiente a creare identità digitali parallele. Sia per coprire se stessi (facendo ricadere eventuali responsabilità su altri) sia per frodare successivamente.
Spicca che il cyber spionaggio sia in fondo alla lista, nonostante le polemiche attorno alle elezioni presidenziali degli Stati Uniti, l’ENISA ha osservato: “I casi noti e quelli confermati sono solo la punta dell’iceberg e ciò accade perché le campagne di spionaggio sono difficili da individuare. E una volta individuate sono difficili e onerose da analizzare. Si ritiene che il cyber-spionaggio sia il motivo di campagne molto più rilevanti. In questo senso, la tendenza decrescente di valutare tali minacce non può essere pienamente valida. In secondo luogo, il cyber-spionaggio è molto mirato e utilizza gli stessi metodi del cyber-crimine, ma possiede l’intelligenza che gli permette di attirare le vittime in modo più efficiente”.
Tag: Malware
Che cosa sono i malware?
Nella sicurezza informatica il termine malware indica un qualsiasi software creato allo scopo di causare danni a un computer, ai dati degli utenti del computer, o a un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato di “programma malvagio”; in italiano è detto anche codice maligno.
Abbiamo analizzato alcune delle informazioni che Google ha reso disponibili nella sezione navigazione sicura del suo rapporto sulla trasparenza.
La tecnologia navigazione sicura di Google esamina miliardi di URL al giorno alla ricerca di siti web non sicuri molti dei quali sono siti web legittimi che tuttavia sono stati compromessi, ovvero “iniettati” di codice ed usati per diffonderlo.
I siti definiti da Google “non sicuri” rientrano in due categorie che costituiscono entrambe una minaccia per la privacy e la sicurezza degli utenti:
• I siti di malware – contengono codice per l’installazione di software dannoso sui computer degli utenti. Gli hacker possono utilizzare questo software per acquisire e trasmettere informazioni private o riservate degli utenti.
• I siti di phishing – sono apparentemente legittimi ma tentano invece di indurre con l’inganno gli utenti a digitare nome utente e password o a condividere altre informazioni private. Alcuni esempi comuni sono le pagine web che assumono l’identità di siti web di banche o negozi online regolari.
Quasi mezzo milione di siti di malware
Il numero dei siti contenente malware continua a crescere, raggiungendo un nuovo picco di 489.801 nel mese di ottobre del 2015. Una crescita del 160% rispetto allo stesso periodo del 2014.
Un sito web che è stato infettato da malware in grado di installare software dannoso sul computer se lo si visita. Gli aggressori utilizzano spesso il software per rubare informazioni sensibili, come i dati della carta di credito e numeri di previdenza sociale, e le password per accedere a social network e posta elettronica.
In particolare le mail sono importanti perchè spesso – senza rendercene conto – contengono le “recovery”, ovvero il sistema che usiamo quando cambiamo password per molti siti, tra cui conti bancari e paypal.
Secondo Google attualmente sono 293,747 i siti di phishing su Internet, rispetto ai 113.132 di luglio dello scorso anno.In questo caso siamo la crescita è del 150% in soli sette mesi.
Un sito di phishing tenta di ingannare l’utente, far credere di essere legittimo, simula la pagina di accesso di una banca, di un sito di ecommerce etc. Attraverso queste schermate, e mail in cui si afferma che l’account è compromesso, o si invita a cambiare password, l’utente fornisce i propri dati, consentendo spesso frodi informatiche diffuse.
Esistono molti sistemi di rilevamento che segnalano quando un sito è stato attaccato, e se contiene malware. Molti di questi tool e widget peraltro sono gratuiti. Sviluppati da e per piattaforme come WordPress e Magento, le più diffuse per siti amatoriali, blog, piccoli siti di ecommerce, e normalmente anche quelli più attaccati perchè spesso sviluppati a livello poco più che amatoriale, e altrettanto spesso allocati su hosting molto economici, senza badare all’acquisto di pacchetti di sicurezza.
Un dato molto interessante è il tempo di risposta estremamente lenta da parte del gestore/amministratore del sito alla notifica che il suo sito è compromesso. Si arriva anche a tre mesi. Questo periodo non è generalmente dovuto ad apatia, o a scarso interesse, ma da un lungo intervallo di tempo tra quando viene compromesso un sito e il suo rilevamento.
Ma è anche dovuto al fatto che molti pagano siti pensando che poi “facciano tutto da soli” e che un sito sia di per sé sicuro. Molti non considerano la sicurezza una priorità ma un onere. Molto infine dipende dal fatto che spesso i siti vengono creati in modo amatoriale e che i loro creatori – improvvisati deesigner che personalizzano i design di wordpress – non sanno che fare, come risolvere il problema, e non sono disposti a spendere 100 dollari per un software che risolva il problema.
Non a caso il malware – come i virus – è tanto diffuso anche perchè è un business per molte aziende che “curano” il problema, ma anche per i servizi di hosting per vendere pacchetti più costosi, implementazioni, azioni di manutenzione, specie se i siti cominciano ad avere un certo numero di visite.
Tutti questi, e non solo questi, sono i problemi della nuova era del web.
Quando hanno venduto al mondo la necessità di avere tutti un sito, e che questa fosse un’azione facile e gratuita alla portata di tutti. Oggi questo patrimonio di siti web sparsi per il mondo “va messo a reddito” e spesso la diffusione di malware è un modo per vendere servizi aggiuntivi.
La riflessione ovviamente è aperta, e credo che i dati riportati possano offrire ulteriori spunti di riflessione.