Un documento che riassume quali sono state le principali tendenze relative alla sicurezza informatica nel 2009 e quali le tendenze da seguire nel 2010

1. Sicurezza Internet: le principali tendenze del 2009
• Malware contenente spam – Generalmente si pensa allo spam come a
qualcosa di fastidioso ma non di necessariamente pericoloso. Al
contrario, fra i mesi di settembre e ottobre oltre il 2% in media delle
e-mail spam celava malware; un dato nove volte superiore alla
quantità registrata in passato relativamente ai messaggi spam
contenenti malware.
• Gli attacchi ai siti di social networking sono divenuti la norma – Il 2009 è stato
l'anno in cui gli attacchi rivolti ai siti e agli utenti di social networking
si sono affermati come una pratica standard da parte dei
cybercriminali. La seconda metà del 2009, in particolare, ha visto un
incremento di questo tipo di attacchi sia in termini di frequenza che
di livello di sofisticazione. Questo perché la tipologia dei siti li rende
particolarmente interessanti per un'attività criminale online: essi
concentrano, infatti, enormi quantità di utenti e un elevato grado di
fiducia tra gli stessi.
• Finti software di sicurezza – Symantec ha identificato ben 250 diverse
applicazioni fasulle che si spacciavano per software di sicurezza
legittimi, riuscendo in parecchi casi a essere convincenti. Al contrario
queste soluzioni non solo non forniscono alcun tipo di protezione, o
comunque in minima parte, ma addirittura rischiano di infettare la
macchina attraverso il malware in esse contenuto. Dal 1° luglio 2008
al 30 giugno 2009 Symantec ha ricevuto segnalazioni per 43 milioni
di tentativi di installazione di finto software di sicurezza.
• Malware Ready-Made – Nel corso del 2009 il malware è divenuto più che
mai semplice da creare. Un fatto dovuto principalmente alla
disponibilità di toolkit molto diffusi come ad esempio Zeus, strumenti
che consentono anche agli hacker, di nuova leva e ancora inesperti,
di creare malware e reti bot. Molte delle minacce “ready-made”
sono in realtà un agglomerato di componenti provenienti da altre
forme di malware già sperimentate. È il caso ad esempio di Dozer,
che conteneva componenti provenienti da MyDoom e da Mytob.
Questa tendenza ha anche permesso di eliminare e distruggere il
malware con maggiore facilità, con casi di minacce apparse e
scomparse anche solo nell'arco di 24 ore.
• Netto aumento delle reti bot – Le reti bot si stanno rapidamente
affermando quale fondamento di tutte le attività cybercriminali.
Secondo quanto osservato da Symantec, la maggioranza del

2. malware attuale contiene un canale di comando e controllo
associato a reti bot. Nel 2009 si è anche assistito a un rafforzamento
delle capacità di coloro che progettano reti bot utilizzando i siti di
social networking come canali di comunicazione.
• Cooperazione intra e intersettoriale finalizzata a contrastare le minacce Internet –
L'anniversario della prima variante di Conficker ha ricordato
l'evoluzione che il cybercrimine ha saputo concretizzare sul piano
della capacità organizzativa e della crescente sofisticazione; uno
scenario che a sua volta ha portato i vendor del mercato della
sicurezza, i service provider Internet e i responsabili
dell'implementazione normativa a favorire una maggiore
cooperazione reciproca. Fra gli esempi del 2009 vi sono il Conficker
Working Group (CWG), l'operazione “Phish Fry” dell'FBI e il Digital
Crimes Consortium inaugurato lo scorso ottobre.
• L’attualità utilizzata più che mai come fonte di attacchi – Il giorno di San
Valentino, il torneo di basket March Madness della NCAA, l'influenza
suina H1N1, lo schianto del volo 447 dell'Air France, Serena Williams,
Bubble Boy e la scomparsa di Michael Jackson e Patrick Swayze:
tutti questi avvenimenti, insieme a moltissimi altri, sono stati utilizzati
dagli autori di malware e dagli spammer nel corso del 2009 per fare
in modo che ignari utenti Internet scaricassero malware,
acquistassero prodotti e fossero vittime di truffe. Siamo arrivati a un
punto in cui non viene ignorata nessuna notizia che generi
attenzione. Per questo il fenomeno è destinato a continuare, ad
esempio in occasione dei prossimi Giochi Olimpici invernali e dei
Campionati Mondiali di Calcio del 2010.
• Spopolano i drive-by-download – Nel corso dell'anno si è accresciuta la
diffusione di attacchi finalizzati a infettare gli utenti Internet durante la
loro navigazioni su siti violati. Nel 2008 Symantec aveva rilevato un
totale di 18 milioni di tentativi di infezione drive-by download; un dato
che nel solo periodo agosto-ottobre 2009 aveva già sfiorato i 17,4
milioni di casi.
• Lo spam ritorna ai livelli pre-McColo – Symantec ha registrato un calo del
65% dei livelli totali di messaggi spam nel periodo compreso fra le 24
ore precedenti la chiusura di McColo alla fine del 2008 e le 24 ore
successive, con una conseguente diminuzione dei livelli di spam al
69,8% di tutte le e-mail. Ciò nonostante nel 2009 i volumi totali di
spam sono ritornati a una media dell'87,4% di tutte le e-mail, con un
picco massimo del 95% di tutti i messaggi alla fine di maggio.

3. • L’avanzamento delle minacce polimorfe – Si tratta di minacce in grado di
mutare, nelle quali ogni istanza del malware risulta leggermente
differente da quella precedente. Le modifiche automatiche del
codice eseguite per ciascuna istanza non alterano le funzionalità del
malware, e anzi rendono praticamente inutili e impotenti le
tecnologie di rilevamento antivirus tradizionali. Secondo i dati di
Symantec, questo tipo di minacce polimorfe come Waladac, Virut e
Sality è divenuto sempre più comune in quanto i cybercriminali sono
sempre alla ricerca di nuovi metodi in grado di aggirare l'ostacolo
delle tecnologie di rilevamento.
• Incremento della violazione della reputazione – Geocities è un marchio noto
che è stato sfruttato dagli spammer nel tentativo di ingannare gli
utenti; la recente chiusura del servizio di web hosting di Yahoo alla
fine di ottobre ha generato, secondo quanto analizzato da Symantec,
un forte aumento del numero di servizi Web gratuiti, come i siti per le
abbreviazioni degli URL, i cui nomi, e le cui legittime reputazioni, sono
stati violati dagli spammer. Una situazione che di certo ha tratto
vantaggio anche dai progressi compiuti dalla tecnologia per
l'aggiramento dei CAPTCHA, che semplifica la creazione di molteplici
account e profili usa e getta utilizzabili per lo spam. Symantec ha
inoltre osservato come alcuni di questi siti appartenenti a società
minori sono dovuti ricorrere alla chiusura come unico modo per
bloccare lo spam.
• Il fenomeno delle perdite di dati continua – Al 13 ottobre 2009 i casi totali di
perdite dei dati ammontavano a 403, pari a oltre 220 milioni di
informazioni, come indicato dall'Identity Theft Resource Center. I
dipendenti in buona fede continuano a rappresentare la principale
causa di perdite di dati, pesando per l'88% di tutti gli incidenti di
questo tipo causati da persone interne alle aziende, come appunto
dipendenti o partner, secondo quanto riportato da Ponemon
Institute. Cresce però la preoccupazione anche sul fronte delle
perdite intenzionali; uno studio di Ponemon ha, infatti, messo in luce
come il 59% degli ex-dipendenti abbia ammesso di aver sottratto
dati aziendali al termine del rapporto di lavoro. Le aziende stanno di
certo dedicando un'attenzione maggiore al problema, ma è
necessario fare ancora di più al fine di evitare che i dati corporate
fuoriescano dal perimetro aziendale.

4. Le tendenze da seguire nel 2010
• L’antivirus non è sufficiente – Con l'aumento delle minacce polimorfe e
l'esplosione di particolari varianti di malware nel 2009, il settore sta
rapidamente realizzando come gli approcci antivirus tradizionali - sia
le signature dei file che le funzioni euristiche/comportamentali - non
siano più sufficienti a contrastare le minacce attuali. Siamo arrivati a
un punto in cui lo sviluppo di nuovi programmi pericolosi avviene
molto più rapidamente di quello dei programmi legittimi. Di
conseguenza, anche analizzare il malware non è più sufficiente. Gli
approcci alla sicurezza destinati ad affermarsi durante il 2010 sono,
infatti, rappresentati da tecniche in grado di considerare il software
nel suo complesso, per cui ad esempio anche la sicurezza basata
sulla reputazione.
• Il social engineering tra I principali vettori di attacco – Sempre più spesso gli
artefici degli attacchi cercano di ingannare gli utenti finali spingendoli
a scaricare inconsapevolmente malware o a rilasciare informazioni
sensibili con la convinzione di agire in maniera del tutto corretta. La
diffusione del social engineering è in parte alimentata anche dal fatto
che il sistema operativo e il browser Web di un computer sono
irrilevanti in quanto è l'utente stesso a essere oggetto di attacco, e
non necessariamente le vulnerabilità potenzialmente presenti sulla
macchina. Il social engineering si è pertanto già affermato come uno
dei principali vettori di attacco attuale; al riguardo Symantec stima
che il numero degli attacchi sferrati utilizzando le tecniche di social
engineering sarà destinato ad aumentare nel corso del 2010.
• Aumento dell’impegno dei produttori di software di sicurezza fasulli – Per il 2010 si
prevede che i vendor di software di sicurezza fasulli si impegneranno
al massimo arrivando addirittura a violare i computer degli utenti per
renderli inutilizzabili fintanto che non venga pagato un riscatto.
Un'evoluzione meno drastica potrebbe essere rappresentata dallo
sviluppo di software non esplicitamente pericoloso ma quanto meno
dubbio. Ad esempio, Symantec ha già osservato che alcuni vendor di
soluzioni antivirus fasulle ribrandizzano le copie di software antivirus
gratuiti prodotti da altri spacciandoli come propri. In questi casi gli
utenti ricevono tecnicamente il prodotto che hanno pagato, ma in
realtà si tratta di un software scaricabile gratuitamente in rete.
• Social Networking, le applicazioni di terze parti saranno obiettivi di frodi – Tenendo
conto che la diffusione dei siti di social networking è destinata ad
aumentare anche nell'anno a venire, bisogna aspettarsi da un lato un
incremento delle frodi ai danni degli utenti, e dall'altro un maggior

5. ricorso dei siti stessi a misure proattive atte a contrastare tali
minacce. Con i siti che forniranno agli sviluppatori terzi l'accesso alle
proprie relative API, i cybercriminali prenderanno probabilmente di
mira le vulnerabilità presenti nelle applicazioni indipendenti: una
situazione analoga a quella verificatasi con i plug-in per i browser,
divenuti obiettivi sempre più interessanti a seguito del rafforzamento
della sicurezza dei browser stessi.
• Windows 7 sarà un bersaglio per gli attacchi – Microsoft ha già rilasciato le
prime patch di sicurezza per il suo nuovo sistema operativo. Nella
fase di programmazione del codice è inevitabile che vengano
introdotte delle falle a prescindere da quanto i test possano essere
minuziosi ed esaurienti; inoltre, più il codice è complesso, più
esistono vulnerabilità latenti. Il nuovo sistema operativo di Microsoft
non fa eccezione; per questo non appena Windows 7 si diffonderà e
si affermerà sul mercato, i cybercriminali non mancheranno di
mettere a punto tecniche in grado di attaccarne gli utenti.
• Aumento delle reti Fast Flux – Fast Flux è una tecnica utilizzata da alcune
reti bot, come ad esempio Storm, per celare elementi di phishing e
siti Web pericolosi dietro a una rete in continua mutazione di host
compromessi che agiscono come proxy. Grazie a una combinazione
di networking peer-to-peer, funzioni di comando e controllo
distribuite, load balancing basato su Web e ridirezione dei proxy,
diventa difficile tracciare l'esatta ubicazione geografica della rete
bot. Se è vero che da un lato le misure di contrasto attuate tendono
a ridurre l'efficacia delle reti bot tradizionali, è altrettanto realistico
prevedere un incremento di queste tecniche a supporto
dell'esecuzione di attacchi.
• I servizi di abbreviazione URL sono il miglior amico dei phisher – Spesso gli utenti
ignorano la destinazione di arrivo di un URL abbreviato, motivo che
permette ai phisher di dissimulare dei link altrimenti sospetti agli
occhi di un utente attento alla sicurezza. Symantec ha già registrato
una tendenza nell'uso di questa tattica finalizzata alla distribuzione di
applicazioni ingannevoli, e attende un'ulteriore evoluzione dello
scenario. Symantec prevede inoltre che gli spammer faranno leva
sugli URL abbreviati al fine di scavalcare i filtri antispam tramite la
tecnica dell'offuscamento.
• Malware Mac e Mobile destinato ad un incremento – Il numero di attacchi
progettati per violare un determinato sistema operativo o
piattaforma è direttamente collegato alla percentuale di
penetrazione nel mercato di riferimento detenuta da quello stesso
sistema operativo o piattaforma: questo avviene perché gli autori di
malware sono sempre a caccia di guadagni e scelgono pertanto di
attaccare i sistemi più diffusi e redditizi. Nel 2009 Mac e smartphone

6. sono stati bersaglio di attacchi malware, ad esempio la rete bot Sexy
Space ha preso di mira il sistema operativo per dispositivi mobili
Symbian mentre l'OSX.Iservice Trojan si è rivolto in particolar modo
agli utenti Mac. Per il 2010 si attende un'ulteriore diffusione di Mac e
smartphone, una tendenza che di certo troverà corrispondenza nella
maggiore attenzione che i cybercriminali dedicheranno a queste
piattaforme.
• Gli spammer infrangono le regole – Con l'economia che continua a soffrire e
sempre più persone che cercano di aggirare le deboli restrizioni
della legge CAN SPAM, sempre più organizzazioni cercheranno di
vendere liste di indirizzi e-mail non autorizzate e marketer di dubbia
reputazione utilizzeranno tali elenchi a scopo di spamming.
• Gli spammer si adattano, I volumi di spam continuano a fluttuare – Dal 2007 lo
spam ha registrato un incremento medio del 15%. Se è vero che
questo ritmo di crescita non è sostenibile nel lungo termine, è
comunque chiaro che gli spammer non hanno di certo intenzione di
abbandonare il colpo in presenza di una motivazione economica. I
volumi di spam continueranno a fluttuare anche nel 2010 in quanto gli
spammer continueranno ad adattarsi ai livelli di sofisticazione dei
software di sicurezza e alle azioni intraprese da ISP e agenzie
governative responsabili.
• Malware specializzato – Nel 2009 sono stati rilevati episodi di malware
altamente specializzato destinato a sfruttare determinati sportelli
bancomat, a indicare una conoscenza interna del loro funzionamento
e delle modalità con cui è possibile violarli. Una tendenza destinata
ad aumentare nel corso del 2010, e che include anche la potenziale
violazione dei sistemi elettorali elettronici, sia quelli utilizzati per le
elezioni politiche che quelli di votazione telefonica, ad esempio nel
caso di reality show ed eventi sportivi.
• CAPTCHA, una tecnologia in miglioramento – Il rafforzamento di questa
tecnica suggerirà a molte aziende operanti nelle economie
emergenti di offrire personale per la creazione manuale di account
su siti Web legittimi, soprattutto quelli che supportano contenuti
generati dagli utenti, per fini di spamming. Secondo le valutazioni di
Symantec questi individui verranno pagati meno del 10% del costo
sostenuto dagli spammer, con un guadagno per i produttori di
account pari a circa 30-40 dollari per 1.000 account.
• Lo spam nell’Instant Messaging – Dato che i cybercriminali sono alla ricerca
di modi sempre nuovi per scavalcare le tecnologie CAPTCHA, gli
attacchi agli instant messenger (IM) cresceranno di popolarità. Le
minacce IM includeranno messaggi di spam non richiesti contenti link
pericolosi, soprattutto attacchi destinati a compromettere gli

7. account legittimi. Entro la fine del 2010 Symantec prevede che un
messaggio IM su 300 conterrà un URL. Inoltre, per il 2010 un
hyperlink su 12 sarà collegato a un dominio noto per essere utilizzato
per ospitare malware. Di conseguenza, un hyperlink su 12, contenuto
nei messaggi IM, conterrà un dominio sospetto o pericoloso. Alla
metà del 2009 tale rapporto era di 1 hyperlink su 78.