“I cybercriminali si stanno dando un gran daffare in questo periodo: rubano milioni di identità, sottraggono numeri di carte di credito e di bancomat e sferranno una miriade di altri attacchi contro utenti, aziende e siti Web vulnerabili del tutto ignari di ciò che sta accadendo. L’arma preferita di questi criminali è l’iniezione di malware: ogni cinque secondi viene infettata una pagina Web, il triplo rispetto al 2007. I più vulnerabili sono i siti più conosciuti e legittimi, e anche i più remunerativi per i cybercriminali, visto l’enorme numero di visite da parte degli internauti, che presentano vulnerabilità senza patch” spiega Davide Carlesi, Country Manager Blue Coat Italia, e prosegue “All’incirca a metà del 2007, il malware iniettato attraverso iFrame e SQL ha iniziato ad infettare siti Web legittimi e il pubbllico ha cominciato a prestare attenzione agli avvisi di analisti ed esperti della sicurezza IT il cui tono risultava pacato, ma inequivocabile: il Web 2.0 e le sue peculiari caratteristiche come il social networking, i feed RSS, la dinamicità, i contenuti generati dall’utente, le applicazioni mash-up avrebbero rappresentato nuove opportunità per i cybercriminali. Il cybercrimine rappresenta oggi un mercato con un valore pari a circa 100 miliardi di dollari, cifra che supera quella del commercio illegale di droga”.
In tutta la rete, sistemi “predatori” continuano ad esaminare i siti legittimi alla ricerca di vulnerabilità, e quando ne identificano una, parte immediatamente un attacco di tipo injection. Spesso si tratta di un semplice pixel bianco 1x1 non rilevabile sul fondo della pagina Web e che nasconde un script attivo per scaricare malware da un host sconosciuto. Un utente visita una pagina Web infetta e il codice chiama in modo dinamico l’host di malware per infettarne il computer. Nel marzo di quest’anno, una campagna di malware basata sulla tecnica di iFrame injection ha sconvolto siti di alto profilo tra i quali USAToday.com, Target.com e Walmart.com.
A differenza della più comune modalità di attacco nel corso della quale i criminali manipolano i sistemi e creano botnet per portare a termine il loro “sporco lavoro” che non vede mai sosta, questa campagna ha utilizzato i motori di ricerca interni inserendo codice nocivo nei risultati che tali motori producono. Il risultato “ha avvelenato” la funzione di caching del motore di ricerca (infatti spesso i siti memorizzano le ricerche interne per aumentare i livelli di classificazione di Google).
Quando un utente cerca una parola chiave molto conosciuta utilizzando Google, compare la pagina memorizzata nella cache precedentemente corrotta. Un comando HTML inserito alla fine di questa parola chiave molto nota apre un iFrame invisibile nel browser dell’utente che lo ridireziona verso un host nocivo dove tenta di installare un anti-spyware fasullo o un malware Trojan sul PC dell’utente. Oltre un milione di pagine Web sono state infettate secondo Dancho Danchev, analista della sicurezza e blogger. Con Google come punto di ingresso, gli hacker hanno la potenziale sicurezza di poter contare su un’enorme diffusione. E nel mondo del cybercrimine più computer vengono infettati meglio è per coloro che raccolgono informazioni sensibili per trarne profitto.
Secondo quanto indicato dal report sulle minacce pubblicato nel luglio di quest’anno da Sophos Labs, il 90% dei malware basati su Web appare su siti molto noti e legittimi, la grande maggioranza dei quali è stata categorizzata come tale dalle soluzioni di sicurezza, il che significa che le difese del gateway Web ne consentono l’accesso agli utenti. Ma i siti legittimi possono diventare pericolosi nel giro di pochi minuti, cosa che richiede una rete di computer realizzata da una comunità di sorveglianza che tenga gli occhi bene aperti su tutta la rete e sui milioni di accessi, unendo in questo modo tutti gli utenti e offrendo protezione grazie all’elevato numero di utenti coinvolti. Un approccio difensivo del tipo “uno contro il Web” non funziona contro la rete di computer dei cybercriminali che sono molto ben organizzati e operano 24 ore su 24, 7 giorni su 7 per trovare vulnerabilità che consentano di espandersi e trarne profitto.
La cosa migliore è rivolgersi a servizi di sicurezza Web in ambiente “cloud” che si basano sulle richieste Web di milioni di utenti e consentono un’analisi costante per rilevare attacchi di tipo malware injection. I servizi della comunità di sorveglianza in ambiente cloud sono caratterizzati da un volume di traffico Web superiore a qualsiasi singola organizzazione e possono sfruttare più difese rispetto a quelle gestibili da un’azienda quali, ad esempio, fino a 10 motori di identificazione delle minacce, analisi automatica delle pagine Web ogni minuto oltre alla conferma da parte degli utenti della rilevazione effettuata. Ogni richiesta dell’utente viene analizzata da questi sistemi di difesa in ambiente cloud alleggerendo in questo modo il gateway Web che sarà in grado di offrire prestazioni più veloci. Inoltre, il servizio cloud risulta più economico sia per le aziende di piccole che di grandi dimensioni.
Vista la rapida diffusione dei malware e la velocità con cui i cybercriminali costruiscono e smantellano siti nel giro di minuti è necessario unirsi in una vera e propria comunità Web in quanto la protezione, come in natura, dipende dalla quantità di individui coinvolti. Una soluzione di sicurezza ibrida che sfrutta il servizio cloud e funziona all’unisono con i gateway Web di sicurezza alla periferia della rete offre una migliore protezione per gli odierni attacchi malware. Inoltre il servizio cloud può essere utilizzato allo stesso modo per la protezione degli utenti remoti in quanto non sono in grado di sfruttare i tradizionali sistemi di difesa della rete quando si trovano in aeroporti, hotel e coffee shop. L’elemento chiave di una comunità di sorveglianza basata sul servizio cloud è il volume e la ripetitività, attraverso analisi dinamiche ogni minuto dei servizi cloud degli elementi che compongono le pagine Web. Quante più aziende e utenti domestici entreranno a far parte di questa comunità tanto superiore diventerà la possibilità di frenare la diffusione di malware.
Per le reti aziendali l’approccio migliore è rappresentato da un gateway Web abbinato al sistema di protezione offerto dal servizio della comunità di sorveglianza in ambiente cloud. Il servizio cloud WebPulse di Blue Coat analizza oltre un miliardo di richieste Web alla settimana ed estende le difese per la sicurezza del gateway Web. Blue Coat fornisce inoltre una soluzione per utenti domestici chiamata K9 che utilizza il servizio cloud WebPulse per bloccare gli host malware e valutare i contenuti Web per bloccare siti Web ambigui e di dubbia affidabilità, cosa molto utile soprattutto per gli studenti. Inoltre AVG offre una soluzione anti-virus che unisce tutti gli utenti in una rete di computer per offrire protezione reciproca da malware e minacce provenienti dal Web. Total Smart Network di Trend Micro è un altro servizio cloud di sicurezza Web che serve per bloccare malware e minacce provenienti dal Web. È necessario aggiungere ancora un altro livello di protezione, solo che questa volta sarà grazie a un fronte comune “fra le nuvole”.
Best practice per la sicurezza Web Le misure di sicurezza adottate dalla maggior parte delle aziende all’interno delle reti devono estendersi anche a Internet. Si raccomanda un approccio multilivello. 1. Utilizzare una soluzione di sicurezza Web di elaborazione in ambiente cloud per proteggere tutta la comunità e quindi ogni singolo utente e organizzazione. 2. Installare software di identificazione dei malware a livello del gateway Web. 3. Implementare i controlli dei contenuti Web che bloccano il download di contenuti inappropriati e nocivi provenienti da siti Web non legittimi. 4. Assicurarsi che la soluzione di sicurezza implementata prevenga la fuga dei dati aziendali. 5. Estendere la sicurezza Web al crescente numero di client mobili e remoti.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!