Symantec Internet Security Threat Report, aumento del cybercrime

ymantec ha presentato la nuova edizione dell’Internet Security Threat Report, una delle fonti d’informazione più autorevoli a livello mondiale sulle minacce di Internet. Il rapporto semestrale, che prende in considerazione il periodo dal 1° luglio al 31 dicembre 2005, rileva un aumento delle minacce volte a facilitare il cybercrime. Mentre in passato gli attacchi avevano lo scopo di distruggere i dati, oggi sono sempre più spesso studiati per sottrarre silenziosamente informazioni a scopo di lucro, senza però arrecare danni evidenti che segnalino la loro presenza all’utente. Nella precedente edizione dell’Internet Security Threat Report, Symantec aveva annunciato che si sarebbe verificato un aumento dei codici maligni a scopo di lucro e questa previsione è stata confermata nella seconda metà del 2005. Tra i 50 principali campioni di codici maligni, si è rilevato che l’esposizione dei dati riservati è aumentata dal 74% all’80% rispetto al semestre precedente.

“Oggi il cybercrime rappresenta la minaccia più grave per l’attività e online degli utenti”, ha affermato Marco Riboli, Country Manager di Symantec Italia. “L’analisi approfondita del modo in cui vengono realizzati questi crimini e delle possibilità di prevenirli, permette a Symantec di poter contribuire concretamente alla protezione dei sistemi informatici dei propri clienti a livello mondiale”.

Dal report emerge, inoltre, un aumento nella tendenza degli attacchi a ricorrere a reti bot, ad attacchi mirati alle applicazioni e browser Web e a codici maligni modulari. Considerati i dati emersi negli ultimi sei mesi del 2005 e nei periodi di osservazione precedenti, Symantec prevede la comparsa di minacce più diversificate e sofisticate e un aumento dei furti di dati riservati, finanziari e personali a scopo di lucro.

Aumento nella diffusione dei crimini cibernetici Le minacce legate ai crimini cibernetici sono sempre più frequenti grazie all’uso del crimeware, software creati allo scopo di commettere truffe online e sottrarre informazioni a privati e imprese. Come era già emerso nell’ottava edizione dell’ISTR, gli aggressori stanno abbandonando gli attacchi diffusi e rivolti a obiettivi multipli, contro i dispositivi di sicurezza tradizionali come firewall e router, concentrando invece i loro sforzi su obiettivi in aree specifiche, desktop e applicazioni Web che consentano loro di sottrarre dati aziendali, personali, finanziari o riservati, da utilizzare in seguito per altre attività criminose.

Anche i programmi che consentono agli aggressori il controllo non autorizzato di un computer, detti bot, contribuiscono all’aumento dei crimini in rete. Mentre il numero di computer infettati da bot è sceso dell’11% rispetto al semestre precedente – con una media di 9.163 sistemi infettati identificati ogni giorno nel secondo semestre del 2005 – le reti bot vengono utilizzate sempre più spesso per attività criminose, come ad esempio i tentativi di estorsione basati su DoS (Denial of Service). Secondo le stime di Symantec, questa misura esprime solo in parte l’entità dell’attività mondiale ed è probabile che il numero effettivo delle infezioni sia molto più alto. In media, sono stati osservati 1.402 attacchi DoS al giorno, il 51% in più rispetto al semestre precedente. Symantec presume che questa tendenza caratterizzerà anche il futuro, dal momento che sempre più spesso gli aggressori sfruttano le vulnerabilità di applicazioni e browser basati sul Web.

Nell’ottavo report relativo al semestre gennaio-giugno 2005, Symantec avanzava l’ipotesi di un aumento degli attacchi rivolti alle applicazioni Web. Questa previsione è stata confermata negli ultimi sei mesi del 2005, infatti il 69% delle vulnerabilità segnalate a Symantec hanno interessato le tecnologie relative alle applicazioni Web, il 15% in più rispetto al periodo precedente. Le tecnologie legate alle applicazioni Web, la cui interfaccia utente dipende da un browser, costituiscono un obiettivo più facile per gli aggressori, essendo disponibili attraverso protocolli comunemente ammessi, come HTTP.

Symantec ha inoltre rilevato un aumento dei codici maligni modulari, che, dotati inizialmente di funzionalità limitate, sono studiati per aggiornarsi con caratteristiche nuove e più dannose. I codici maligni modulari espongono dati riservati che vengono poi utilizzati per il furto d’identità, le frodi legate alle carte di credito o altre attività criminose di carattere finanziario. Negli ultimi sei mesi del 2005, i codici maligni modulari hanno rappresentato l’88% dei 50 principali campioni di codici maligni segnalati a Symantec, contro il 77% nel semestre precedente.

Altri risultati significativi • Il phishing, ovvero i tentativi d’indurre con l’inganno gli utenti a rivelare dati riservati, è costantemente aumentato nella seconda metà del 2005, con una focalizzazione su obiettivi geografici specifici più limitati. Negli ultimi sei mesi del 2005, sono stati identificati 7,92 milioni di tentativi di phishing al giorno, contro 5,70 milioni al giorno nel semestre precedente. Per il futuro, Symantec prevede un aumento del numero di messaggi di phishing e di codici maligni diffusi attraverso i sistemi di messaggistica istantanea.

• Symantec ha documentato 1.895 nuove vulnerabilità a livello di software, il numero massimo registrato dal 1998, il 97% delle quali sono state considerate moderatamente o molto gravi e il 79% classificate come facilmente sfruttabili.

• Alla luce del numero significativo di vulnerabilità rilevate, Symantec ha anche valutato la velocità con cui le imprese sono riuscite ad applicare patch ai sistemi vulnerabili. Durante gli ultimi sei mesi del 2005, sono trascorsi in media 6,8 giorni tra l’annuncio di una vulnerabilità e il rilascio del codice di sfruttamento, contro i 6 giorni del semestre precedente. Sono invece trascorsi in media 49 giorni tra la scoperta di una vulnerabilità e il rilascio di una patch da parte del produttore. Di conseguenza imprese e privati sono risultati vulnerabili a potenziali attacchi per 42 giorni, il che sottolinea l’importanza di applicare le patch ai sistemi o adottare altre misure di protezione non appena possibile. Symantec prevede un aumento della commercializzazione degli studi sulle vulnerabilità, con una crescita parallela dei forum del mercato nero e dell’acquisto di dati sulle vulnerabilità per scopi criminosi.

• Al fine di sottolineare l’importanza di un aggiornamento veloce e puntuale delle patch ai sistemi operativi e alle applicazioni, Symantec ha stimato il tempo necessario agli aggressori per compromettere i sistemi operativi di nuova installazione nelle situazioni standard, come Web server e desktop. Tra i server, il Windows 2000 Server senza patch è stato compromesso nel tempo minore mentre Windows 2003 Web Edition dotato di patch e RedHat Enterprise Linux 3 con e senza patch non sono stati compromessi nel periodo di valutazione. Tra i desktop, Microsoft Windows XP Professional senza patch è stato compromesso nel tempo minore, mentre lo stesso sistema dotato di patch e SuSE Linux 9 Desktop non sono stati compromessi.

• Symantec ha rilevato un modesto aumento delle varianti di virus e worm Win32: 10.992 in questo semestre contro 10.866 nei primi sei mesi del 2005. Questa tendenza è dovuta a un notevole calo delle minacce di categoria 3 e 4 (moderate ed estremamente gravi) e in un aumento parallelo delle minacce di categoria 1 e 2 (modeste e molto modeste). Inoltre, il numero di varianti di virus e worm Win32 è diminuito del 39 percento – da 170 nella prima metà del 2005 a 104 in questo semestre – il che indica che probabilmente gli sviluppatori di codici maligni preferiscono modificare codici sorgente attualmente in circolazione anziché svilupparne di nuovi.

• La Cina ha registrato l’aumento più significativo di computer infettati da bot, con una percentuale pari al 37% – 24 punti percentuali al disopra dell’aumento medio – che le è valso il secondo posto dopo gli Stati Uniti per questa categoria. Questo dato è probabilmente legato alla rapida crescita del numero di connessioni Internet a banda larga nel paese. La Cina ha inoltre registrato la massima crescita generale del numero di attacchi con origine nel paese, pari al 153% in più rispetto al periodo precedente, ovvero 72 punti percentuali al disopra dell’aumento medio. I bot potrebbero costituire una fonte sempre più frequente di queste attività.