Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del secondo trimestre del 2012 le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato oltre 1 miliardo di oggetti nocivi.
Jurij NamestnikovRispetto al trimestre precedente, nel corso del periodo analizzato nel presente report il numero dei programmi Trojan appositamente sviluppati dai virus writer per attaccare la piattaforma mobile Android è in pratica quasi triplicato. Nel breve volgere di tre mesi, difatti, sono stati aggiunti alla nostra “collezione” oltre 14.900 software nocivi.
Uno sviluppo così rapido dei programmi dannosi specificamente destinati a colpire il sistema operativo Android testimonia inequivocabilmente come un numero sempre maggiore di autori di virus si stia attivamente dedicando all’elaborazione di software dannosi per dispositivi mobili. Così come è avvenuto per i software dannosi rivolti alla piattaforma Windows, il repentino sviluppo del malware mobile ha generato la formazione di un vero e proprio mercato nero specializzato in ogni genere di servizi preposti alla sua diffusione. I principali canali di distribuzione dei programmi nocivi per smartphone, tablet ed altri apparecchi mobili sono attualmente rappresentati dagli app store non ufficiali e dai programmi di partenariato. E’ di fondamentale importanza osservare come i software nocivi “dedicati” ai sistemi operativi mobili presentino un livello di complessità sempre maggiore; in effetti, i malintenzionati stanno attivamente sviluppando sofisticate tecnologie di offuscazione e di protezione del codice nocivo, al fine di impedire l’analisi, il rilevamento e la successiva inibizione delle loro “creature” da parte delle soluzioni anti-malware.
Circa la metà (49%) dei file malevoli analizzati e trattati da Kaspersky Lab nel corso del secondo trimestre del 2012 è costituita da Trojan multifunzionali di vario tipo, volti principalmente a realizzare il furto di dati dagli smartphone degli utenti (nominativi presenti nell’elenco dei contatti, indirizzi di posta elettronica, numeri di telefono e via dicendo); al tempo stesso, i suddetti software nocivi sono in grado di generare il download di moduli aggiuntivi dai server predisposti dai malintenzionati.
Esattamente un quarto dei programmi malware destinati alla piattaforma mobile Android è rappresentato dai cosiddetti Trojan-SMS. Si tratta di software malevoli appositamente elaborati dai virus writer per sottrarre illecitamente cospicue somme di denaro dagli account telefonici degli utenti-vittima, tramite l’invio di SMS verso costosi numeri a pagamento, a totale insaputa dei proprietari dei dispositivi mobili. Sino ad un paio di anni fa, i suddetti programmi dannosi risultavano diffusi esclusivamente nei paesi ubicati nello spazio geografico precedentemente occupato dalle repubbliche dell’Unione Sovietica, così come in Cina e nel Sud-Est asiatico. Al momento attuale, tali software nocivi si stanno invece rapidamente propagando in ogni angolo del pianeta: basti pensare che, nel secondo trimestre del 2012, le nostre soluzioni antivirus hanno protetto nei confronti dei famigerati Trojan-SMS gli utenti di ben 47 diversi paesi.
Il 18% dei malware rivolti al sistema operativo mobile Android, individuati e neutralizzati nel corso del secondo trimestre del 2012, è rappresentato da programmi Backdoor. Si tratta, nella circostanza, di software dannosi malevoli che offrono ai cybercriminali l’opportunità di ottenere il pieno controllo del dispositivo contagiato. Difatti, è proprio sulla base dei Backdoor che vengono create le botnet mobili.
Ripartizione deiprogrammimalware per Android OS,rilevati nel secondo trimestre del 2012, sullabasedeivaricomportamenti
Nello scorso mese di giugno, gli esperti di Kaspersky Lab hanno individuato una nuova versione di un malware mobile specificamente progettato e sviluppato dai suoi autori per intercettare i messaggi SMS in entrata. Tale software nocivo risultava abilmente introdotto con l’allettante denominazione di “Android Security Suite Premium”. Il Trojan in questione, comunque, si è poi rivelato di particolare interesse soprattutto per un altro motivo: in effetti, tutti i server di controllo allestiti per impartire comandi alla falsa “suite di sicurezza” risultavano registrati a nome di un’unica e medesima persona. Si trattava naturalmente di dati falsi, ma l’elemento di maggior rilievo individuato dai nostri analisti è che quegli stessi identici dati erano stati precedentemente utilizzati per effettuare le procedure di registrazione di tutta una serie di domini preposti al controllo del famigerato trojan Zbot (ZeuS). Tali elementi ci hanno permesso di trarre importanti conclusioni: il furto degli SMS mirava all’ottenimento dei codici segreti utilizzati per autorizzare le transazioni bancarie; il suddetto programma si rivelava quindi direttamente riconducibile alla famiglia di malware Trojan-Spy.AndroidOS.Zitmo.
E’ diminuito, rispetto al primo trimestre dell’anno in corso, il numero dei programmi dannosi - individuati dalle soluzioni anti-malware di Kaspersky Lab - appositamente elaborati dai virus writer per attaccare il sistema operativo Mac; nei nostri database antivirus sono state difatti aggiunte soltanto 50 nuove firme in grado di rilevare e neutralizzare software dannosi destinati a Mac OS X.
A seguito dell’inattesa scoperta, nel precedente trimestre, dell’estesa botnet FlashFake, composta da oltre 700.000 computer targati Apple, la società di Cupertino si è occupata ancor più attivamente delle questioni inerenti alla sicurezza del proprio sistema operativo. Sono state ad esempio rilasciate alcune patch critiche per Oracle Java, contemporaneamente alle versioni per Windows. Apple ha inoltre annunciato nuove funzionalità di protezione che saranno implementate nella prossima versione del sistema operativo Mac OS X, quali l’impostazione di default relativa alla possibilità di effettuare esclusivamente l’installazione di programmi provenienti dallo store ufficiale, l’utilizzo di una specifica sandbox per le applicazioni scaricate dal negozio online, l’installazione automatica degli aggiornamenti, e così via.
Numero di nuove firme rilasciate per la piattaforma Mac OS X, aggiunte ai database antivirus di Kaspersky Lab. Il secondo trimestre del 2012 a confronto con i trimestri precedenti.
Le previsioni da noi effettuate riguardo al probabile protrarsi, nel secondo trimestre del 2012, di attacchi informatici condotti nei confronti di utenti Mac, si sono puntualmente avverate. Alla fine del mese di giugno, in effetti, i nostri “radar” antivirus hanno individuato un nuovo attacco mirato, rivolto agli utenti uiguri (etnia turcofona che vive nella regione autonoma dello Xinjiang, nel nord-ovest della Repubblica Popolare Cinese) del sistema operativo Mac, ubicati in Cina. A differenza del precedente attacco sferrato contro i computer della Mela, da noi descritto nell’analogo report relativo al primo trimestre dell’anno, stavolta i malintenzionati, per recapitare il malware sui computer sottoposti ad assalto, non si sono avvalsi di nessun exploit; essi hanno invece fatto ricorso all’invio, ad un determinato numero di persone, di messaggi e-mail recanti un archivio zip dannoso. Tale archivio compresso conteneva un file in formato .jpg ed un’applicazione per Mac, contraddistinta dalla tradizionale icona che identifica i documenti di testo. Si è trattato, nella circostanza, di un classico esempio di utilizzo di un astuto metodo di ingegneria sociale. Il componente principale dell’attacco in questione è risultato essere un file eseguibile, mascherato sotto forma di documento di testo, e più precisamente un backdoor per Mac OS Х, in grado di funzionare sia nell’ambito specifico dell’architettura i386, sia in ambiente PowerPC, malware rilevato dai nostri prodotti per la sicurezza IT come Backdoor.OSX.MaControl.b. Allo stesso tempo, è stato ugualmente individuato un programma backdoor destinato all’OS Windows, anch’esso utilizzato dai malintenzionati nel corso del medesimo attacco informatico.
Il backdoor in questione si caratterizza per le sue molteplici funzionalità; in particolar modo, esso consente ai malintenzionati di impadronirsi dei file memorizzati nel computer-vittima. Le analisi condotte su tale software malevolo hanno evidenziato come i dati relativi alla configurazione dei server di comando e controllo fossero stati codificati in maniera piuttosto elementare; si è così potuto agevolmente stabilire che i suddetti server C&C erano dislocati sul territorio cinese.
Come è noto, i prodotti targati Apple godono di notevole popolarità presso folte schiere di influenti uomini politici ed importanti businessmen; naturalmente, le informazioni sensibili custodite sui dispositivi appartenenti a tali persone risultano sempre di particolare interesse per numerose categorie di malintenzionati della Rete. Ciò significa, in pratica, che i cybercriminali continueranno di sicuro a condurre attivamente ripetuti attacchi APT (Advanced Persistent Threat) nei confronti degli utenti Mac. Il processo evolutivo degli attacchi informatici di natura mirata potrà facilmente portare allo creazione, da parte dei virus writer, di un nutrito numero di programmi malware di tipo “cross-platform”, i quali saranno presumibilmente provvisti di codici nocivi alquanto simili tra loro e risulteranno ovviamente in grado di agire all’interno di alcuni dei sistemi operativi più diffusi.
Nel corso del secondo trimestre del 2012 hanno suscitato particolare clamore le notizie relative alla violazione dei database degli hash delle password relative agli account di alcuni servizi online particolarmente popolari presso il pubblico della Rete. Uno degli avvenimenti più eclatanti in tal senso è indubbiamente rappresentato dall’attacco hacker che ha portato alla pubblicazione online di una consistente porzione del database (ben 6,5 milioni di hash delle password) di LinkedIn, l’esteso social network frequentato da professionisti, manager e businessmen di ogni angolo del pianeta. Il 6 giugno scorso, ovverosia il giorno dopo la diffusione di tale notizia, LinkedIn ha confermato l’ingente fuga di dati, affermando tuttavia di aver subito adottato adeguate contromisure per fronteggiare il pesante attacco informatico subito; in effetti, il social network in questione dichiarava di aver già provveduto a disabilitare immediatamente le password rese di pubblico dominio dagli hacker, mentre gli utenti di LinkedIn i cui account risultavano violati erano già stati sollecitati a creare nuove password di accesso al network.
Purtroppo, nel momento in cui gli amministratori del noto social network globale per professionisti provvedevano a rilasciare la dichiarazione sopra riportata, oltre la metà delle password utilizzate dagli utenti di LinkedIn era già stata sottratta dal database degli hash. Viene spontaneo chiedersi come mai il furto di un simile numero di password sia potuto avvenire così rapidamente. Il fatto è che LinkedIn, non si sa per quale motivo, custodiva gli hash senza ricorrere all’utilizzo di un apposito “salt” crittografico, ovvero quella stringa di caratteri (bit) casuali che viene di solito aggiunta alla password iniziale prima dell’esecuzione delle procedure di hashing. In tal modo, visto il mancato impiego di tale specifica tecnologia di codifica, gli hash SHA-1 (Secure Hash Algorithm; l'SHA-1 è il più diffuso algoritmo della famiglia SHA) sono stati carpiti dai malintenzionati con modalità estremamente rapide, mediante una procedura di selezione effettuata sulla base di hash pre-calcolati relativi a password di uso particolarmente frequente, ricavate da “dizionari”. Una raccolta così veloce delle password in questione si è resa ugualmente possibile per il fatto che le password di oltre la metà degli utenti del popolare social network si sono rivelate essere molto semplici; i malintenzionati non hanno così incontrato particolari ostacoli sul loro cammino. Dopo l’incidente descritto nel presente capitolo del report trimestrale sull’evoluzione delle minacce informatiche, gli amministratori di LinkedIn hanno ufficialmente comunicato che, per conferire un maggior livello di sicurezza alla custodia delle password degli utenti, si era provveduto ad implementare l’utilizzo congiunto di hash e salt crittografico
Per non divenire vittima di attacchi informatici del genere, gli utenti debbono in primo luogo ricorrere all’impiego di password sufficientemente lunghe e complesse, che non possano essere utilizzate dai malintenzionati nei cosiddetti “attacchi a dizionario “. Non bisogna oltretutto dimenticare che l’uso di un’unica password per accedere a vari servizi online amplifica considerevolmente i possibili danni derivanti dal furto della stessa
Agli amministratori dei siti web, relativamente alla custodia delle password, consigliamo invece di utilizzare contemporaneamente, come minimo, hash e salt. Tuttavia, l’impiego di un algoritmo di hash rapido (quale può essere, ad esempio, SHA-1 o MD5) e del relativo salt, viste le notevoli potenzialità che sono attualmente in grado di dispiegare le GPU nel processo di raccolta delle password, può rivelarsi non sufficiente ad impedire la violazione dei database da parte degli hacker. Una soluzione ben più efficace è indubbiamente rappresentata dall’impiego di algoritmi quali PBKDF2 (Password-Based Key Derivation Function 2) o “bcrypt”, i quali non solo utilizzano di default il salt crittografico, ma permettono allo stesso tempo di rallentare considerevolmente il processo di raccolta delle password
L’avvenimento di maggior rilievo legato ai torbidi scenari del cyber-spionaggio mondiale è indubbiamente rappresentato dalla scoperta del worm Flame, un programma nocivo altamente complesso e sofisticato.
Kaspersky Lab ha condotto un’approfondita indagine, commissionata dall’International Telecommunication Union (ITU), volta all’individuazione di un programma malware sconosciuto in grado di sottrarre dati sensibili da un certo numero di computer dislocati in paesi dell’area medio-orientale. Il processo di ricerca condotto dai nostri esperti ha portato al rilevamento di un nuovo sample di software nocivo, classificato con la denominazione di Worm.Win32.Flame.
Per quanto sia dotato di funzionalità sostanzialmente diverse, Flame presenta molte cose in comune con Duqu e Stuxnet, le altre due note minacce informatiche utilizzate in qualità di cyber-armi: in primo luogo la particolare ubicazione geografica dei computer-vittima, la specifica natura degli attacchi condotti, tutti estremamente mirati, combinata con lo sfruttamento di determinate vulnerabilità. Tali caratteristiche conferiscono di diritto al worm Flame l’appellativo di super-arma cibernetica, dispiegata in Medio Oriente da hacker tuttora sconosciuti
Indubbiamente, Flame possiede un livello di complessità ben superiore a quello di cui è provvisto Duqu; si tratta, in pratica, di un sofisticato ed ingegnoso kit di strumenti per la conduzione di attacchi informatici mirati. Oltretutto, le dimensioni del malware in questione sono davvero ragguardevoli, quasi 20 megabyte. Flame è un trojan-backdoor che presenta, al contempo, i tratti più caratteristici dei worm: esso può diffondersi attraverso le reti locali e le unità rimovibili, a seconda dello specifico comando impartito dai suoi stessi “padroni”. La modalità di propagazione più temibile in assoluto è quella che vede Flame riprodursi all’interno di una rete locale già infetta, sotto forma di falsi aggiornamenti per Windows. Il codice nocivo di cui si compone il pericoloso worm è tra l’altro risultato “debitamente” provvisto di certificato digitale, originariamente emesso da Microsoft. L’uso illegittimo di tale firma digitale è stato individuato dalla stessa Microsoft, la quale ha provveduto all’immediata revoca dell’attendibilità del certificato in questione. La società di Redmond ha inoltre pubblicato un apposito comunicato informativo riguardante la suddetta minaccia informatica (security advisory), rilasciando infine l’aggiornamento KB2718704.
Flame è stato progettato per effettuare il furto di una vasta gamma di dati e informazioni, tra cui file video e conversazioni audio, i contenuti presenti sul display del computer-vittima, disegni tecnici eseguiti tramite AutoCAD; i computer sinora sottoposti ad assalto da parte del più avanzato e completo attack-toolkit attualmente in circolazione sono risultati ubicati in varie aree del Medio-Oriente (Iran, Sudan, Siria, etc.).
Al giorno d’oggi, Flame costituisce indubbiamente una delle minacce informatiche più insidiose sinora apparse nel panorama del malware mondiale. Come abbiamo visto, si tratta di un software nocivo di notevoli dimensioni, per di più strutturato in maniera incredibilmente complessa; è del tutto lecito affermare che ci troviamo di fronte ad un’efficace dimostrazione pratica di come, nel XXI° secolo, si possano condurre temibili operazioni di spionaggio internazionale.
Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo.
Tutte le statistiche esaminate in questo capitolo del report trimestrale sono state ottenute sulla base delle attività svolte dall'anti-virus web, preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di codice nocivo da una pagina web infetta. Possono risultare infetti i siti Internet appositamente allestiti da cybercriminali, le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), così come i siti legittimi violati.
Nel secondo trimestre del 2012 sono stati respinti ben 434.143.004 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi. Complessivamente, nel corso di tali incidenti virali sono state identificate 145.007 varianti uniche di software dannosi o potenzialmente indesiderati.
TOP-20 relativa agli oggetti infetti rilevati in Internet
| Posizione | Denominazione* | %sultotalecomplessivodegliattacchi** |
| 1 | Malicious URL | 85,8% |
| 2 | Trojan.Script.Iframer | 3,9% |
| 3 | Trojan.Script.Generic | 2,7% |
| 4 | Exploit.Script.Blocker | 0,6% |
| 5 | Trojan.JS.Popupper.aw | 0,4% |
| 6 | Trojan.Win32.Generic | 0,4% |
| 7 | Trojan-Downloader.JS.Iframe.cxk | 0,3% |
| 8 | Trojan-Downloader.JS.Expack.sn | 0,2% |
| 9 | Exploit.Script.Generic | 0,2% |
| 10 | Trojan-Downloader.Script.Generic | 0,2% |
| 11 | Trojan-Downloader.JS.Agent.gqu | 0,2% |
| 12 | Trojan-Downloader.Win32.Generic | 0,2% |
| 13 | Hoax.HTML.FraudLoad.h | 0,1% |
| 14 | Trojan-Downloader.SWF.FameGake.a | 0,1% |
| 15 | Trojan.JS.Iframe.aaw | 0,1% |
| 16 | Trojan.JS.Agent.bxw | 0,1% |
| 17 | AdWare.Win32.IBryte.x | 0,1% |
| 18 | AdWare.Win32.ScreenSaver.i | 0,1% |
| 19 | Trojan-Downloader.JS.Agent.grd | 0,1% |
| 20 | Trojan-Downloader.JS.JScript.ag | 0,1% |
* Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente anti-virus web; le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici.
Come si evince dalla tabella sopra riportata, al primo posto della speciale classifica dedicata agli oggetti nocivi rilevati in Internet figurano ancora una volta gli URL maligni - ovverosia quei link che conducono a programmi malware di vario tipo - con una quota pari all' 85,8% del volume complessivo dei rilevamenti eseguiti dal modulo anti-virus web (+ 1,5% rispetto all'analogo valore riscontrato nel primo trimestre del 2012). In precedenza, tali oggetti infetti venivano da noi identificati con la denominazione generica “Blocked”. Si tratta, in sostanza, di indirizzi Internet inseriti nella nostra blacklist, relativi ad un consistente numero di siti malevoli verso i quali vengono reindirizzati gli ignari utenti-vittima; in genere, tali pagine web contengono kit di exploit, bot, trojan “estorsori”, etc. Nella maggior parte dei casi, gli utenti giungono sui suddetti siti web dannosi dopo aver visitato con il proprio browser risorse Internet del tutto legittime - ma violate dai cybercriminali - all'interno delle quali i malintenzionati hanno provveduto ad iniettare pericolosi codici maligni, spesso sotto forma di script nocivi (tale tipologia di attacco informatico viene definita dagli esperti di sicurezza IT con l'appellativo di “drive-by download”). Oltre a ciò, le infezioni informatiche possono prodursi anche quando gli utenti cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti “pirata”. Così come nei trimestri precedenti, una significativa parte degli oggetti infetti classificati con la denominazione di “ Malicious URL” è rappresentata da siti web contenenti pericolosi kit di exploit.
Ben 13 posizioni della classifica esaminata nel presente capitolo del report trimestrale sulle attività del malware risultano occupate da programmi nocivi appositamente sviluppati dai virus writer per sfruttare le falle di sicurezza - o per meglio dire le vulnerabilità – individuate all’interno di applicazioni e sistemi operativi; tali programmi malevoli vengono utilizzati per convogliare ulteriori software dannosi verso i computer-vittima degli ignari utenti della Rete. Desideriamo porre in evidenza, tra di essi, due software maligni abitualmente rilevati dalle nostre soluzioni anti-malware tramite metodi euristici: si tratta, nella fattispecie, dei malware denominati Exploit.Script.Blocker ed Exploit.Script.Generic
Sottolineiamo inoltre come stia continuando a diminuire, all’interno del rating sopra riportato, il numero dei programmi AdWare; la Top-20 relativa al secondo trimestre del 2012, difatti, ne annovera solamente due. Tali software agiscono in pratica come vere e proprie estensioni per i browser, le popolari applicazioni utilizzate dagli utenti per la navigazione sul world wide web; in particolare, gli AdWare presenti nella graduatoria del trimestre oggetto del presente resoconto, provvedono sia ad aggiungere una nuova barra di ricerca, sia a modificare la pagina web iniziale visualizzata tramite il browser. Di per se stessi, tali software sono programmi del tutto legittimi; i loro creatori pagano abitualmente determinate somme di denaro a quei membri delle partnership che si occupano della diffusione ed installazione sui computer degli utenti degli AdWare in questione. Vi sono tuttavia numerosi “distributori” di programmi AdWare che non si fanno di certo troppi scrupoli, e sono pronti ad intascare ugualmente denaro senza ritenere in alcun modo opportuno richiedere previamente all’utente il necessario permesso per l’installazione.
La maggior parte degli attacchi condotti attraverso i siti Internet viene abitualmente realizzata tramite i famigerati exploit - i quali, ricordiamo, sfruttano le vulnerabilità presenti nei software utilizzati dall'utente al fine di scardinare il sistema di protezione implementato nel computer sottoposto ad assalto e, di conseguenza, ottenere la possibilità di eseguire codice nocivo all'interno della macchina infettata, a totale insaputa della «vittima».
Sorge, a questo punto, una domanda spontanea: quali sono i programmi più frequentemente presi di mira dagli exploit? La risposta ci giunge dal grafico qui sotto riportato: si tratta di Adobe Acrobat Reader, Java, Android Root e Adobe Flash Player. E' evidente come, nella circostanza, gli utenti debbano in primo luogo provvedere agli indispensabili aggiornamenti rilasciati per tali software, meglio se ricorrendo all'efficace procedura degli aggiornamenti automatici.
Applicazionilecuivulnerabilitàsonostatesfruttatedagliexploitweb.
Situazionerelativaalsecondotrimestredel2012
Paesi nelle cui risorse web si celano maggiormente i programmi malware
Per determinare l'origine geografica degli attacchi informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP).
Rileviamo in primo luogo come, relativamente al secondo trimestre del 2012, l' 85% delle risorse web utilizzate per la distribuzione di programmi malevoli da parte dei malintenzionati della Rete risulti concentrato in una ristretta cerchia di dieci paesi, evidenziati nel grafico qui sotto rappresentato. L'indice sopra menzionato ha fatto pertanto registrare un incremento dell’ 1% rispetto all'analogo valore riscontrato per il trimestre precedente.
Distribuzione geografica delle risorse web contenenti programmidannosi (ripartizione per paesi) -
Situazione relativa al secondotrimestre del 2012
La composizione della Top-10 analizzata nel presente capitolo del report trimestrale dedicato all’evoluzione del malware non presenta variazioni rispetto all’analoga graduatoria da noi stilata riguardo al trimestre precedente; in effetti, in essa ritroviamo gli stessi paesi presenti nel rating relativo al primo trimestre del 2012. Rileviamo, inoltre, come nel corso degli ultimi tre mesi sia sensibilmente aumentata la quota riconducibile agli hosting nocivi ubicati sul territorio degli Stati Uniti (+ 7%); tale repentino incremento dell’indice relativo agli USA è stato controbilanciato dalla contemporanea diminuzione delle quote ascrivibili agli altri paesi di cui si compone la Top-10 sopra riportata: Federazione Russa (- 1,5%), Germania (- 1,9%), Paesi Bassi (- 1,2%), Regno Unito (- 1%) e Francia (- 1,7%). Nonostante l’evidente calo della propria quota, la Russia è andata ad occupare il secondo gradino del “podio” virtuale (facendo segnare un indice pari al 14%), “relegando” in tal modo l’Olanda alla terza piazza della graduatoria in questione (12%).
Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web - rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo - abbiamo stimato la frequenza con la quale, nel corso del trimestre qui analizzato, gli utenti della Rete ubicati nelle varie regioni geografiche mondiali hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel world wide web.
I 20 paesi nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet*. Situazione relativa al secondotrimestre del 2012
* Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.
La Top-20 qui sopra inserita risulta letteralmente “dominata” da paesi ubicati nello spazio geografico post-sovietico; è ugualmente elevato il numero di paesi situati nel Sud-Est asiatico. Rileviamo inoltre la presenza in classifica di varie nazioni africane.
In base al livello di «contaminazione» informatica cui sono stati sottoposti i computer degli utenti nel trimestre preso in esame, risulta possibile suddividere i vari paesi del globo in gruppi distinti.
- Gruppo ad alto rischio. Sono entrati a far parte di tale gruppo - contraddistinto da quote che vanno dal 41% al 60% - i primi 18 paesi che compongono la Top-20 relativa al secondo trimestre 2012, tra cui: Russia (59,5%), Kazakhstan (54%), Ukraina (47,3%), India (48%), Indonesia (42,2%) e Malaysia (41,8%).
- Gruppo a rischio. Esso è relativo agli indici percentuali che spaziano nel range 21% - 40%. Complessivamente, sono entrati a far parte di questo secondo gruppo ben 103 paesi, tra cui Spagna (37,8%), Italia (34,8%), Canada (36%), Stati Uniti (35,7%) e Gran Bretagna (31,6%).
- Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura. Per ciò che riguarda il secondo trimestre del 2012 in tale gruppo figurano soltanto 16 paesi, i quali presentano quote percentuali comprese nella forchetta 12,3-20%.
Le percentuali più basse riguardo al numero di utenti sottoposti ad attacchi informatici durante l'esplorazione del world wide web si sono avute a Taiwan (15,2%), in Giappone (18,1%), Danimarca (18,9%), Lussemburgo (19,7%) e Repubblica Ceca (20%). Da notare come facciano parte di tale specifico gruppo anche vari paesi situati nella parte meridionale del continente africano, anche se in questi ultimi la speculare situazione relativa alle infezioni informatiche di natura “locale” non risulta, di fatto, particolarmente positiva.
Quadro globale dei paesi i cui utenti sono stati sottoposti al rischio di infezioni informatiche attraverso Internet - Situazione relativa al2° trimestre del 2012
In media, nel corso del trimestre qui preso in esame, il 39,7% del numero complessivo di computer facenti parte del Kaspersky Security Network - in pratica quattro computer su dieci - ha subito almeno un attacco informatico durante la quotidiana navigazione in Internet da parte degli utenti della Rete. Sottolineiamo ad ogni caso come, rispetto al trimestre precedente, la quota percentuale media di computer sottoposti ad attacchi durante l'esplorazione del web - e, di conseguenza, esposti al rischio di pericolose infezioni informatiche - abbia fatto registrare un aumento di ben 11 punti percentuali.
Il presente capitolo del nostro consueto report trimestrale dedicato all'evoluzione delle minacce informatiche analizza i dati statistici ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili.
Nell'arco del secondo trimestre del 2012 le nostre soluzioni antivirus hanno bloccato 1.041.194.194 tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network.
Grazie all’azione svolta dal modulo “on-access scanner” sono state complessivamente identificate ben 383.667 varianti uniche di software dannosi o potenzialmente indesiderati; tali oggetti nocivi sono stati rilevati e neutralizzati nel momento in cui essi hanno effettuato i loro tentativi di avviarsi sui computer degli utenti del KSN.
Oggetti maligni rilevati nei computer degli utenti: TOP-20
| Posizione | Denominazione | % di utenti unici sottoposti ad attacco* |
| 1 | Trojan.Win32.AutoRun.gen | 17,8% |
| 2 | Trojan.Win32.Generic | 17,4% |
| 3 | DangerousObject.Multi.Generic | 16,1% |
| 4 | Trojan.Win32.Starter.yy | 7,4% |
| 5 | Virus.Win32.Sality.bh | 6,7% |
| 6 | Virus.Win32.Virut.ce | 5,4% |
| 7 | Net-Worm.Win32.Kido.ih | 5,1% |
| 8 | Virus.Win32.Sality.aa | 4,2% |
| 9 | HiddenObject.Multi.Generic | 3,6% |
| 10 | Virus.Win32.Nimnul.a | 3,1% |
| 11 | Trojan.WinLNK.Runner.bl | 2,2% |
| 12 | Worm.Win32.AutoRun.hxw | 2,0% |
| 13 | Trojan.Win32.Hosts2.gen | 1,4% |
| 14 | Virus.Win32.Sality.ag | 1,4% |
| 15 | Worm.Win32.Mabezat.b | 1,0% |
| 16 | AdWare.Win32.GoonSearch.b | 0,8% |
| 17 | AdWare.Win32.BHO.aqbp | 0,7% |
| 18 | Trojan-Dropper.Script.Generic | 0,5% |
| 19 | AdWare.Win32.HotBar.dh | 0,3% |
| 20 | Trojan-Downloader.WMA.Wimad.ag | 0,3% |
I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
* Quote percentuali relative agli utenti unici sui computer dei quali l'anti-virus ha rilevato l'oggetto dannoso. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte dell'anti-virus.
Con un indice pari al 17,8% di utenti unici sottoposti ad attacco, è andato ad occupare la prima posizione del rating relativo al secondo trimestre del 2012 un oggetto dannoso rilevato grazie ad un metodo euristico recentemente aggiornato e perfezionato dai nostri esperti antivirus; tale malware è solito diffondersi tramite i supporti di memoria rimovibili, in particolar modo le flash drive USB. Il fatto che il primo gradino del “podio” virtuale in questione sia andato ad appannaggio di un rilevamento euristico del genere testimonia inequivocabilmente come, nel corso dei tre mesi esaminati nel presente report, sia risultato particolarmente elevato il numero di supporti rimovibili sui quali sono state individuate “tracce” di attività nocive svolte da programmi malevoli.
La seconda piazza della graduatoria è andata ad appannaggio di Trojan.Win32.Generic (17,4%), malware individuato tramite analizzatore euristico, nel corso delle procedure di rilevamento proattivo effettuate su un cospicuo numero di software nocivi.
LeRispetto al trimestre precedente, i programmi malware rilevati con l'ausilio delle nuove ed avanzate tecnologie «in-the-cloud» (16,1%) sono passati dalla prima alla terza posizione della TOP 20. Tali tecnologie intervengono proprio quando non esiste ancora, all'interno di un database anti-virus, la firma di un determinato software nocivo, né risulta possibile l'applicazione del metodo di rilevamento euristico, mentre la società produttrice di soluzioni anti-malware dispone già, «nella nuvola telematica», delle informazioni relative all'oggetto maligno in questione. In tal caso, all'oggetto individuato e neutralizzato viene assegnata la denominazione di DangerousObject.Multi.Generic.
Il 16°, 17° e 20° posto della graduatoria risultano occupati da programmi AdWare; sottolineiamo in particolar modo la comparsa in classifica della famiglia di software “pubblicitari” denominata AdWare.Win32.GoonSearch (0,8%), “new entry” assoluta nel rating qui esaminato. Tali programmi rappresentano in sostanza delle estensioni (add-on) per Internet Explorer; sono stati tuttavia individuati dei casi in cui i suddetti AdWare sono apparsi sui computer senza l’esplicito consenso degli utenti: è per tale motivo che la diffusione di questo genere di software viene opportunamente contrastata tramite le soluzioni antivirus.
Osserviamo infine come Net-Worm.Win32.Kido (5,1%) continui a perdere ulteriori posizioni in classifica. Allo stesso tempo, il rating qui sopra riportato si è “arricchito” di un ulteriore rappresentante della nutrita categoria dei “file infector”: in effetti, la Top-20 relativa al secondo trimestre del 2012 annovera, oltre a Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a e Trojan.Win32.Starter.yy, anche il famigerato Virus.Win32.Virut.ce (5,4%), pericoloso malware in grado di formare un’estesa botnet composta da computer-vittima da esso infettati, rete-zombie attraverso la quale i malintenzionati possono poi distribuire ulteriori software nocivi
E' stata da noi determinata la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del secondo trimestre del 2012, sono stati bloccati tentativi di infezione informatica di natura «locale». Le cifre ricavate dalle elaborazioni statistiche da noi eseguite riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria da noi stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti-virus di Kaspersky Lab. In media, nel 36,5% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN), è stato individuato perlomeno una volta un file dannoso, residente nel computer stesso o in supporti rimovibili ad esso collegati; tale valore ha fatto registrare una diminuzione del 5,7% rispetto all’analogo indice riscontrato nel trimestre precedente.
TOP-20inerente allequote percentuali relative al numero di computer degli utenti KSN sui quali sono stati rilevati programmi nocivi, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese*. Dati relativi al secondo trimestre del 2012.
* Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti).
** Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.
La Top-20 sopra riportata è composta quasi integralmente da paesi ubicati nel continente africano e nel Sud-Est asiatico. Nel Bangladesh i nostri prodotti anti-malware hanno individuato e bloccato pericolosi programmi malware in pratica su quasi tutti i computer degli utenti (ben 98 su 100).
Così come per le infezioni informatiche che si diffondono attraverso il world wide web, anche relativamente alle minacce IT che si manifestano localmente sui computer degli utenti, risulta possibile stilare una sorta di graduatoria «geografica», suddividendo i vari paesi del globo in categorie ben distinte, a seconda del livello di «contaminazione» informatica che ha contraddistinto questi ultimi nel corso del secondo trimestre dell'anno.
- Massimo livello di rischio di infezione informatica. In tale gruppo, che si contraddistingue per un indice di rischio di «contaminazione» informatica superiore al 60% di utenti unici, figurano 20 paesi, ubicati in prevalenza nella macro-regione asiatica (India, Vietnam, Mongolia ed altri paesi), in Medio Oriente (Irak, Afghanistan) e nel continente africano (Sudan, Angola, Nigeria, Camerun ed altri).
- Elevato livello di rischio di infezione informatica. Di questo secondo raggruppamento, la cui forbice percentuale spazia dal 41 al 60%, fanno parte ben 51 paesi, tra cui Indonesia (58,3%), Kazakhstan (46,1%), Cina (43,9%), Ecuador (43,8%), Russia (42,6%) ed Emirati Arabi Uniti (42,3%).
- Medio livello di rischio di infezione informatica. Il terzo gruppo (21 - 40%) annovera invece 43 nazioni, tra cui Turchia, Messico, Israele, Lettonia, Portogallo, Italia, USA, Australia, Francia.
- Minimo livello di rischio di infezione informatica: rientrano in tale categoria 23 paesi, tra cui Canada, Nuova Zelanda e Porto Rico; tra di essi troviamo inoltre ben 13 nazioni situate in Europa (tra cui Norvegia, Finlandia, Paesi Bassi, Irlanda, Germania, Estonia) e 2 in Asia, ovverosia Giappone ed Hong Kong, la regione amministrativa speciale della Repubblica Popolare Cinese.
Quadro mondiale relativo al rischio del prodursi di infezioni informatiche “locali” sui computer degli utenti ubicati nei vari paesi.Situazione relativa al secondo trimestredel2012
La TOP 10 qui sotto inserita si riferisce a quei paesi che vantano in assoluto le quote percentuali più basse in termini di rischio di contagio dei computer degli utenti da parte di infezioni informatiche locali:
| Posizione | Paese | | %di utenti unici |
| 1 | Danimarca | Denmark | 12,0 |
| 2 | La Réunion | Reunion | 13,4 |
| 3 | Repubblica Ceca | Czech Republic | 13,6 |
| 4 | Giappone | Japan | 14,6 |
| 5 | Lussemburgo | Luxembourg | 15,0 |
| 6 | Svezia | Sweden | 15,0 |
| 7 | Svizzera | Switzerland | 16,2 |
| 8 | Finlandia | Finland | 16,3 |
| 9 | Germania | Germany | 17,2 |
| 10 | Paesi Bassi | Netherlands | 17,7 |
Danimarca, Lussemburgo, Repubblica Ceca e Giappone fanno contemporaneamente parte della lista dei paesi più sicuri per ciò che riguarda la navigazione in Internet. E’ tuttavia significativo il fatto che, anche nella Danimarca stessa siano stati individuati oggetti maligni in ben 12 computer su 100.
Nel secondo trimestre del 2012 sono state individuate nei computer degli utenti di KSN ben 31.687.277 vulnerabilità (tra applicazioni e file vulnerabili). In media, su ogni computer che ha evidenziato falle di sicurezza sono state rilevate 9 diverse vulnerabilità.
La TOP-10 relativa alle vulnerabilità più diffuse viene presentata nella dettagliata tabella qui sotto riportata.
| Secunia ID, unico identificatore di vulnerabilità | Denominazione della vulnerabilità e link alla relativa descrizione | Possibilità consentite ai cybercriminali dallo sfruttamento della vulnerabilità | Percentuale di utenti presso i quali è stata individuata la vulnerabilità* | Ultima modifica | Livello di pericolosità della vulnerabilità |
| 1 | SA48009 | Oracle Java JDK / JRE / SDK Multiple Vulnerabilities http://www.securelist.com/en/advisories/48009 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. Accessoaidaticonfidenzialicustoditinelsistema. Manipolazionedati.
AttaccoDoS(DenialofService). | 31,4% | 10.04.2012 | Altamente Critico |
| 2 | SA48281 | Adobe Flash Player Two Vulnerabilities http://www.securelist.com/en/advisories/48281 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. Accessoaidaticonfidenzialicustoditinelsistema. | 20,9% | 10.04.2012 | Altamente Critico |
| 3 | SA48500 | VLC Media Player Multiple Vulnerabilities http://www.securelist.com/en/advisories/48500 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. | 19,3% | 21.03.2012 | Altamente Critico |
| 4 | SA 49472 | Oracle Java Multiple Vulnerabilities http://www.securelist.com/en/advisories/49472 | AttaccoDoS(DenialofService). Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. Cross-Site Scripting(XSS). Accessoaidaticonfidenzialicustoditinelsistema. Manipolazionedati. | 16,5% | 18.07.2012 | Altamente Critico |
| 5 | SA47133 | Adobe Reader/Acrobat Multiple Vulnerabilities http://www.securelist.com/en/advisories/47133 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. | 14,4% | 11.01.2012 | Estremamente Critico |
| 6 | SA 23655 | Microsoft XML Core Services Multiple Vulnerabilities http://www.securelist.com/en/advisories/23655 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. AttaccoDoS(DenialofService). Cross-Site Scripting(XSS). | 13,5% | 13.07.2011 | Altamente Critico |
| 7 | SA49086 | Adobe Shockwave Player Multiple Vulnerabilities http://www.securelist.com/en/advisories/49086 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. | 11,4% | 10.05.2012 | Altamente Critico |
| 8 | SA 47447 | Apple QuickTime Multiple Vulnerabilities http://www.securelist.com/en/advisories/47447 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. | 11,3% | 29.06.2012 | Altamente Critico |
| 9 | SA 47932 | Adobe Shockwave Player Multiple Vulnerabilitieshttp://www.securelist.com/en/advisories/47932 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. | 9,8% | 15.02.2012 | Altamente Critico |
| 10 |
SA 49388
| Adobe Flash Player Multiple Vulnerabilitieshttp://www.securelist.com/en/advisories/49388 | Accessoalsistemaedesecuzionedelcodicespontaneoconprivilegidiutentelocale. Elusionedelsistemadiprotezione. | 9,2% | 18.06.2012 | Altamente Critico |
*Nello stilare la Top-10 sono stati presi in considerazione gli utenti nei computer dei quali sia stata rilevata perlomeno una vulnerabilità.
Il primo posto della graduatoria che riassume il quadro delle vulnerabilità maggiormente diffuse e sfruttate dai malintenzionati nel periodo analizzato nel presente report, risulta occupato, così come nell’analogo rating relativo al trimestre precedente, da una specifica vulnerabilità individuata in Java, la nota piattaforma di Oracle. Tale falla di sicurezza è stata rilevata nel 31% dei computer rivelatisi vulnerabili. Complessivamente, la speciale Top-10 da noi stilata annovera 2 vulnerabilità Java.
Così come in precedenza, cinque posizioni della Top-10 da noi elaborata risultano occupate da prodotti sviluppati da Adobe: si tratta di Flash Player e Shockwave, al pari della diffusissima applicazione utilizzata per la lettura dei documenti in formato .pdf, ovverosia Acrobat Reader. Rileviamo come nel corso di questi ultimi anni siano state create decine di exploit specificamente dedicati a tali popolari programmi; la maggior parte di essi, tra l'altro, risulta di pubblico accesso. Viste le circostanze, riteniamo sia quantomai doveroso, per gli utenti, procedere al tempestivo aggiornamento dei suddetti prodotti software sui propri computer
L’unica “new entry” della graduatoria in questione è rappresentata da una vulnerabilità individuata in VLC Media Player, il noto lettore multimediale open source.
*Nello stilare la Top-10 sono stati presi in considerazione gli utenti nei computer dei quali sia stata rilevata perlomeno una vulnerabilità.
Tutte le vulnerabilità presenti nella TOP 10 inserita nel presente capitolo del report trimestrale possono avere effetti nefasti sulla sicurezza del computer, in quanto esse consentono al malintenzionato - tramite l'utilizzo da parte di quest'ultimo di appositi exploit - di ottenere il pieno controllo sul sistema informatico sottoposto a contagio. Delle dieci vulnerabilità elencate nel rating riportato nella parte iniziale del capitolo, ben tre offrono ai cybercriminali l'opportunità di condurre attacchi di tipo DoS (Denial of Service) nei confronti della macchina sulla quale risulta installata l'applicazione vulnerabile, offrendo ugualmente ai malintenzionati l'opportunità di accedere ai dati confidenziali custoditi nel computer-vittima. Oltre a ciò, sono entrate a far parte della TOP 10 in questione alcune vulnerabilità che permettono ai malfattori di poter effettuare la manipolazione dei dati, eludere il sistema di protezione implementato nel computer dell’utente ed eseguire attacchi di tipo Cross-site scripting (XSS).
Ripartizione delle vulnerabilità presenti nella TOP-10
secondo i vari produttori di software. Secondo trimestre del 2012
Nel secondo trimestre del 2012 è continuata l’impetuosa crescita del numero di programmi malware specificamente destinati a colpire il sistema operativo mobile Android. Nell’arco di soli tre mesi, difatti, sono stati aggiunti alla nostra “collezione” quasi 15.000 file nocivi provvisti di estensione .dex. I software dannosi appositamente creati per attaccare la piattaforma mobile Android si stanno evolvendo anche dal punto di vista qualitativo: i virus writer stanno difatti attivamente sviluppando vari metodi e tecnologie al fine di impedire l’analisi ed il rilevamento degli stessi da parte delle soluzioni anti-malware. Tali elementi testimoniano inequivocabilmente come stia rapidamente aumentando il numero degli autori di virus che si dedicano all’elaborazione di programmi malevoli per dispositivi mobili. Al tempo stesso, si sta sempre più sviluppando un vero e proprio mercato nero specializzato in ogni genere di servizi preposti alla diffusione del malware mobile. E’ lecito pertanto presupporre che, da qui a breve, tale situazione porti ad un sensibile aumento del numero degli attacchi informatici condotti nei confronti dei proprietari di apparati mobili; presumibilmente, gli assalti lanciati dal malware mobile verso smartphone, tablet ed altri apparecchi portatili diverranno ancor più sofisticati.
Le ingenti fughe di dati che hanno interessato alcuni dei più importanti servizi online - divenute ormai abituali a seguito dell’intensa attività di un crescente numero di hacktivisti - nel corso del trimestre esaminato nel presente report hanno prodotto la pubblica diffusione in Rete delle password relative agli account di milioni di utenti. Purtroppo, come è noto, un elevatissimo numero di navigatori utilizza la medesima combinazione di login e password per accedere a numerosi siti web; ovviamente, ciò aumenta in maniera esponenziale il rischio di perdita di dati sensibili. Desideriamo tuttavia evidenziare come la rapida decodifica - nel corso di tali attacchi - delle password custodite nei database, sia da imputare non solo agli utenti (i quali notoriamente prediligono l’utilizzo di password alquanto semplici), ma anche a quegli amministratori di siti web che fanno uso di tecnologie di criptaggio non sufficientemente sicure. Tale problematica, naturalmente, non è affatto nuova ; esistono, ad ogni caso, alcune valide soluzioni in materia. Ci auguriamo davvero che, a seguito delle numerose ed insistite violazioni di siti web recentemente verificatesi, gli amministratori delle risorse Internet inizino ad avvalersi di algoritmi più solidi ed affidabili per ciò che riguarda la custodia delle password.
Nel prossimo trimestre si svolgeranno due importanti conferenze di hacker, BlackHat e Defcon, nel corso delle quali, come da tradizione, saranno effettuate dimostrazioni di un certo numero di nuove tecniche di attacco, le quali troveranno poi, verosimilmente, applicazione pratica nel mondo del cybercrimine. E’ per tale motivo che, già durante il terzo trimestre del 2012, ci attendiamo l’utilizzo di nuove tecniche da parte dei malintenzionati della Rete.
Il tema di maggior rilievo del secondo trimestre dell’anno in corso è tuttavia rappresentato dalla scoperta di Flame, il sofisticato programma malware utilizzato per compiere mirate operazioni di cyber-spionaggio. Come abbiamo visto nel capitolo del presente report dedicato alla nuova super-arma informatica, oltre che per le notevoli dimensioni (20 megabyte) e l’ampia gamma di strumenti utilizzati per sottrarre informazioni sensibili dai computer da esso infettati, Flame si contraddistingue per l’impiego di un singolare metodo di diffusione nell’ambito delle reti locali, ovverosia la creazione di un server fasullo per l’esecuzione degli aggiornamenti di Windows. Lo stesso identico codice nocivo che caratterizza una specifica sezione di Flame era già stato precedentemente individuato in una versione del famigerato worm Stuxnet, rilasciata dai malintenzionati nel 2009. Ciò significa, in maniera inequivocabile, che gli sviluppatori di tali software malevoli, altamente sofisticati e complessi, sono certamente collegati tra loro.
L’inquietante situazione che al momento attuale sembra caratterizzare il panorama delle cyber-armi ricorda inevitabilmente il mito del vaso di Pandora, il leggendario contenitore di tutti i mali del mondo impossibile da richiudere. Le autorità di numerosi paesi hanno ufficialmente dichiarato che provvederanno ad elaborare e mettere in pratica particolari politiche e dottrine riguardanti le attività condotte nel cyberspazio, le quali prevedono, tra l’altro, la creazione di corpi e unità speciali. La storia e l’evoluzione delle cyber-armi, pertanto, non si arresterà di sicuro con i temibili malware Duqu e Flame. In tale specifica congiuntura, la difficoltà maggiore sembra proprio essere rappresentata dalla mancanza, sulla scena internazionale, di un valido deterrente, sotto forma di efficaci meccanismi di regolazione in materia, a livello globale.
