Dodici esperti di sicurezza informatica, con una approfondita conoscenza di diversi tipi di attacchi emergenti, hanno lavorato insieme per compilare una lista degli attacchi che potranno provocare danni significativi durante il 2008.

La lista dei partecipanti include Stephen Northcutt, Ed Skoudis, Marc Sachs, Johannes Ullrich, Tom Liston, Eric Cole, Eugene Schultz, Rohit Dhamankar, Amit Yoran, Howard Schmidt, Will Pelgrin, and Alan Paller.

Il lavoro è pubblicato dal SANS Institute (www.sans.org)

Questi, in ordine di importanza, sono i pericoli:

1. Incremento del grado di sofisticatezza degli attacchi da siti web che sfruttano le vulnerabilità dei browser - in modo particolare da siti web fidati

Gli attacchi ai browser provenienti da web stanno prendendo di mira ulteriori componenti, come Flash e QuickTime, che non vengono aggiornati automaticamente quando si installano le patch per il browser. Intanto sono cambiati anche gli attacchi provenienti dai siti web e si è passati da attacchi piuttosto semplici, che sfruttano uno o due exploit presenti sul sito, ad altri più elaborati basati su script che eseguono in sequenza diversi exploit, fino ad attacchi ancora più sofisticati che utilizzano moduli pacchettizzati che mascherano in modo efficace la loro pericolosità. Mpack, uno dei più recenti fra questi moduli, arriva a una percentuale di successo che si stima tra il 10 e il 25% nel mettere a segno gli attacchi ai browser che vistano siti infettati. Mentre tutto questo sta accadendo, gli attaccanti stanno attivamente piazzato codici di exploit su siti web popolari e fidati, che gli utenti considerano effettivamente sicuri. Piazzare i migliori strumenti d’attacco su siti fidati significa concedere agli attaccanti un immenso vantaggio nei confronti di utenti imprudenti.

2. Incremento di efficacia e di raffinatezza dei botnet

Il cosiddetto "Storm worm" (in realtà non è propriamente un worm) ha iniziato a diffondersi nel gennaio del 2007 attraverso un mail che diceva "230 dead as batters Europe", seguita da altre versioni simili. Nel giro di una settimana, il worm è stato causa di una infezione su dodici in Internet, installando rootkit e rendendo ogni sistema infettato un membro di un nuovo tipo di botnet. I botnet precedenti utilizzavano un sistema di comando e controllo centralizzato; Storm worm, invece, utilizza un controllo peer to peer, per cui non vi è più un centro di controllo da fermare. Alcune varianti hanno utilizzato messaggi con oggetti di diverso tipo e hanno migliorato la capacità del rootkit. Nel 2008 nuove varianti e una aumentata di questo worm lo porteranno (magari assieme ad altri ancora più elaborati) in cima a qualsiasi lista di minacce.

3. Tentativi di spionaggio informatico da parte di organizzazioni con grandi risorse che cercano di carpire grandi quantità di dati – in particolare grazie all’utilizzo di phishing mirato

Una delle vicende più clamorose del 2007 nel settore della sicurezza è rappresentata dalle dichiarazioni effettuate al Congresso americano da parte di alti funzionari del Dipartimento della Difesa USA di episodi di massiccia intrusione perpetrati dalla Cina e da altre nazioni ai danni di agenzie federali statunitensi e di appaltatori nel campo della difesa, conclusesi con il furto di terabite di dati riservati. Nel 2008, malgrado i maggiori controlli, questi attacchi da parte di Stati esteri tenderanno ad aumentare; l’incremento del grado di elaborazione e della definizione del target da colpire si tradurranno in un alta percentuale di attacchi condotti con successo. Lo spionaggio economico e industriale farà registrare un incremento significativo dei furti di dati da parte di nazioni che utilizzeranno tali informazioni per ottenere un vantaggio economico connesso agli interessi multinazionali. La scelta delle tecniche di attacco si orienterà verso operazioni di spear phishing realizzate attraverso gli allegati, l’utilizzo di metodi di social engineering ben studiati per far credere alle vittime prescelte che l’allegato provenga da una fonte attendibile e lo sfruttamento delle più recenti vulnerabilità scoperte in Microsoft Office con tecniche di aggiramento capaci di superare i controlli effettuati dagli antivirus.

4. Minacce per la telefonia mobile: in particolare per telefoni iPhone e Android; attacchi ai sistemi VOIP

I più recenti dispositivi di telefonia mobile sono ormai dei veri e propri computer e di conseguenza aumenteranno sempre più gli attacchi di virus, worm e altri malware verso questi dispositivi. Il recente lancio di “Android” da parte di Google rappresenta uno spartiacque per il mercato della telefonia mobile. Il nuovo cellulare, sostenuto da una Open Handset Alliance che comprende 34 tra i maggiori protagonisti del settore, si basa su una piattaforma Open Source. Un vero cellulare a codice aperto rappresenta però un incubo imprevisto per la sicurezza. Gli strumenti di sviluppo che fornisce potrebbero consentire un facile accesso agli hacker. E gli hacker già prendono appunti: l'autore di Metasploit, H.D. Moore, ha già programmato una conferenza sull’argomento.

Gli attacchi ai sistemi VoIP si profilano già all’orizzonte e potrebbero sorgere definitivamente nel corso del 2008. Sono state pubblicate numerose vulnerabilità relative ai telefoni VoIP e ai PBX IP. I tool di attacco che sfruttano queste vulnerabilità sono già stati programmati e sono presenti su internet. In breve tempo, gli attacchi si estenderanno a macchia d’olio.

5. Attacchi interni

Gli attacchi interni alle organizzazioni provengono da impiegati, consulenti e collaboratori malfidati. Il rischio legato agli attacchi provenienti dall’interno è stato da sempre amplificato dal fatto che coloro che lo sferrano possiedono già un qualche grado di accesso fisico e logico ai sistemi, ai database e alle reti prese di mira, il che da loro un significativo vantaggio nel portare a termine il proprio attacco. Nonostante questo, recentemente la sicurezza perimetrale è stata abbassata, permettendo al personale interno di attaccare sia dall’interno che dall’esterno le reti aziendale. I rischi interni (come quelli provenienti dall’esterno) salgono in questo modo alle stelle. Le aziende hanno quindi l’obbligo di implementare una difesa sostanziale contro ogni tipo di rischio: una delle misure più urgenti da attuare consiste nel limitare gli accessi assegnando agli utenti i privilegi minimi necessari a svolgere il loro lavoro.

6. Furti di identità avanzati tramite bot persistenti

Sono state perfezionate nuove tecniche che prefigurano una nuova generazione di furto di identità realizzato da bot che rimangono sulle macchine per un periodo che va dai tre ai cinque mesi, raccogliendo password, informazioni bancarie, la cronologia della navigazione internet, indirizzi di posta utilizzati di frequente e altre informazioni personali. Questi bot raccoglieranno spesso dati sufficienti a consentire tentativi di estorsione (ricattando, ad esempio, persone che navigano su siti pedopornografici) e realizzando tentativi avanzati di furto d’identità che permetteranno ai criminali di raccogliere informazioni sufficienti a oltrepassare le misure e i controlli di sicurezza di base.

7. Incremento di spyware maligno

I criminali e gli Stati che compiono attacchi affinano continuamente la qualità dei loro codici maligni, utilizzano tecniche in continuo mutamento che mimetizzano la loro infrastruttura e rendono difficile la localizzazione dei loro server. Oltre a ciò, le più recenti varianti di Storm sono capaci di rilevare l’attività degli investigatori e di rispondere con un attacco flooding massiccio che, diventando sempre più potente, protegge chi compie l’attacco e rende più difficile indagine. Anche i tool utilizzati si evolvono per aumentare i loro obiettivi ed eludere i sistemi anti-virus, anti-spyware e anti-rootkit strumenti, permettendo così agli aggressori di conservare il controllo della macchina di coloro che ne sono vittima il più a lungo possibile. In breve, il malware diventerà più resistente sulle macchine colpite e più difficile da arrestare.

8. Attacchi alla sicurezza delle applicazioni web

Un larga percentuale di siti internet presentano vulnerabilità di cross site scripting, SQL injection e altre che derivano da errori di programmazione. Fino al 2007 erano pochi i malintenzionati che attaccavano questi siti vulnerabili perché erano altri gli obiettivi e i metodi in grado di condurre ad un vantaggio economico o ad accedere ad informazioni riservate. Nonostante questo, l’incremento di attacchi XSS ed altri, dimostrano che ai criminali interessano sia i guadagni finanziari derivanti dallo sfruttamento delle vulnerabilità dovute ad errori di programmazione, sia i nuovi metodi di intrusione in importanti organizzazioni. Le applicazione del web 2.0 sono vulnerabili perché i dati degli utenti non possono essere considerati sicuri; anche gli script che vengono eseguiti sui browser degli utenti costituiscono “dati forniti dagli utenti”. Nel 2008, le vulnerabilità del web 2.0 si sommeranno agli errori di programmazione e alle vulnerabilità tradizionali, facendo crescere in modo notevolmente il numero degli attacchi alle applicazioni web.

9. Social Engineering sempre più sofisticato che comprende azioni di Phishing anche combinate con il VoIP

Gli approcci che integrano diversi forme di attacco amplificano la pericolosità delle minacce classiche. I casi di successo degli attacchi phishing, ad esempio, sono radicalmente aumentati dagli esordi. Gli utenti di Saleforce.com sono stati presi di mira da una email di phishing molto curata che sembrava provenire dalla Federal Trade Commission, gli utenti di Monster.com sono stati bersagliati di attacchi phishing tramite email che sembravano offrire posti di lavoro. Anche quando non sono mirati, i casi di phishing crescono per grado di elaborazione. Nell’ultimo anno si sono moltiplicate le comunicazioni truffaldine che riguardano oneri fiscali, o le elezioni americane, e molte di queste hanno raccolto buone percentuali di successo. Una nota con il soggetto “Hillary si ritira dalla corsa” o “Rudy e una componente del suo staff ripresi in un filmato” potrebbero generare nuove diffusissime botnet costituite da individui interessati alla politica che non hanno aggiornato i propri sistemi informatici. Se a questo aggiungiamo i potenziali falsi siti di raccolta fondi o che trattano dei trucchi utilizzati in campagna elettorale, otteniamo un legame esplosivo tra politica ed attacchi hacker.

Una seconda area di novità riguarda il phishing che combina posta elettronica e VoIP. Una mail in entrata, apparentemente inviata da una compagna di carte di credito, chiede ai destinatari di “ri-autorizzare” la propria carta di credito chiamando un numero 1-800. Il numero si connette (via VoIP) a un sistema automatico situato in un paese straniero che, in modo abbastanza convincente, richiede numeri, codici di controllo e date di scadenza delle carte di credito .

10. Attacchi nella catena di distribuzione che infettano i dispositivi degli utenti (Dispositivi USB, sistemi GPS, apparati per fotografie digitali ecc) forniti da organizzazioni fidate

Alcuni punti vendita al dettaglio stanno diventando degli inconsapevoli distributori di malware. Dispositivi con connessioni USB e i CD forniti con tali dispositivi talvolta contengono malware che infettano i computer di chi li installa e li connette a una botnet. Esistono anche attacchi di phishing mirati che colpiscono i partecipanti a conferenze che utilizzano drive USB e CD che, invece di contenere solo i documenti del convegno, spesso contengono software dannoso.