Symantec ha pubblicato il dodicesimo resoconto sulla sicurezza in rete. Il rapporto si pubblica due volte l'anno e offre una panoramica sull'attività criminali in internet: phishing, spamming, codici nocivi, vulnerabilità identificate e i rischi.

Il Volume XII di Internet Security Threat Report mette in evidenza la crescita della professionalità dei cybercriminali - il cui lavoro a volte assume persino una connotazione commerciale - nello sviluppo, nella distribuzione e nell'utilizzo di servizi e codice maligni. Mentre il cybercrimine continua a essere motivato dal lucro, per le loro attività illegali i cybercriminali ricorrono a metodi di attacco, strumenti e strategie di natura sempre più professionale.

L'attuale ambiente delle minacce è caratterizzo da un aumento dei furti di dati e la creazione di codici nocivi che prende di mira organizzazioni specifiche da utilizzare con lo scopo di ottenere informazioni riservate e guadagni economici illeciti.

Si nota inoltre un incremento notevole del traffico illegale dei dati rubati. Password, numeri di carte di credito, indirizzi email sono messi in vendita sui fiorenti mercati neri. Bastano un centinaio di dollari per comprare un milione di indirizzi email.

Per gli aspiranti hacker sono disponibili i pacchetti software maligno con il database trojan aggiornatissimo. Per esempio, è possibile acquistare il noto pacchetto crea-malware MPack al modico prezzo di 1000 dollari.

MPack è un toolkit sviluppato in maniera professionale che viene commercializzato nei canali underground. Una volta acquistato, un hacker è in grado di sfruttare i componenti software di MPack per installare codici maligni su migliaia di computer in tutto il mondo e monitorare quindi il successo dell'operazione attraverso una console di controllo e gestione online, protetta da password, che riepiloga tutti i parametri necessari.

MPack rappresenta anche un esempio di attacco coordinato, ovvero una combinazione di attività pericolose condotte dai cybercriminali, che la precedente edizione di Symantec ISTR evidenziava tra le tendenze in atto.

Un interessante approfondimento su MPack è disponibile sul sito di Panda Software.

Anche i toolkit per phishing, ovvero una serie di script grazie ai quali un cybercriminale può aprire automaticamente siti di phishing somiglianti in tutto e per tutto a quelli legittimi, sono ormai disponibili per condurre attività cybercriminali professionali e commerciali. I tre toolkit più utilizzati in questo settore sono stati responsabili del 42% di tutti gli attacchi di phishing rilevati nel periodo analizzato.

Dalla dodicesima edizione del report emerge che sono in aumento gli attacchi ai siti web. I malintenzionati sfruttano le vulnerabilità dei server e iniettano i codici javascript offuscati o iframe nei siti più frequentati.

Nel corso del primo semestre 2007, sono stati osservati attacchi indiretti che raggiungono le loro vittime sfruttando per prima cosa le vulnerabilità di ambienti considerati sicuri, come ad esempio alcuni noti siti Web di servizi finanziari, social networking o ricerca del personale. Il 61% di tutte queste vulnerabilità risiedeva in applicazioni Web. Una volta che un sito Web affidabile è compromesso, i cybercriminali possono usarlo come fonte per la distribuzione di codici maligni al fine di colpire i computer degli utenti finali.

Questo metodo di attacco consente di attendere passivamente le potenziali vittime anziché ricercarle in modo attivo. I siti di social networking sono particolarmente apprezzati dagli hacker, dal momento che permettono di raggiungere un gran numero di persone, molte delle quali non nutrono dubbi sulla sicurezza e sull'affidabilità di tali siti.

Su questi siti si possono inoltre reperire molte informazioni personali utilizzabili successivamente per tentativi di furti di identità, frodi online o accesso ad altri siti Web da cui lanciare ulteriori attacchi. In questi mesi sono stati sviluppati attacchi finalizzati a colpire gli utenti delle piattaforme popolari come MySpace, Facebook e simili.

Durante i primi sei mesi del 2007 è incrementato il numero di attacchi multi-fase, composti da un attacco iniziale non finalizzato ad avviare immediatamente attività illegali ma utilizzabile per sferrare attacchi successivi. Un esempio di attacco multi-fase è rappresentato da un codice maligno noto come "staged downloader", che permette agli aggressori di modificare le componenti scaricabili sulla base della minaccia meglio rispondente agli obiettivi del caso.

28 dei primi 50 campioni di codice maligno raccolti da Symantec corrispondevano a "staged downloader". Peacomm Trojan, meglio noto come Storm Worm, è uno staged downloader legato alla nuova famiglia di codici maligni più frequentemente rilevata nel corso del primo semestre. Oltre a servire da toolkit, MPack è un altro esempio di attacco multi-fase, che comprende anche un componente staged downloader.

Le carte di credito sono la commodity più pubblicizzata sui server sommersi, con il 22% di tutte le offerte; i conti bancari seguono a brevissima distanza con il 21%.

Sono state scoperti 237 vulnerabilità dei browser o nei loro moduli aggiuntivi: le falle sono in costante crescita. Infatti nella seconda metà del 2006 tali vulnerabilità erano stati soltanto 74, e solo 34 nella prima metà dell'anno.

Lo spam occupa il 61% del volume totale di corrispondenza. Nel secondo semestre del 2006 corrispondeva al 59%, quindi l'incremento percentuale è modesto ma i numeri rimangono elevati.

Un'altro particolare atipico, notano gli esperti, sono decine di codici maligni finalizzati al furto attraverso i popolari giochi on line. I giochi on line stanno infatti diventando una delle attività più popolari su Internet, e spesso prevedono la possibilità di acquistare oggetti virtuali con denaro reale - creando così un'opportunità di guadagno illecito per gli hacker. Questo dimostra che per alcuni i giochi per Pc con la loro economia virtuale può portare i guadagni più che reali.

Lo studio copre il periodo compreso tra il 1 gennaio e il 30 giugno 2007, basandosi su dati raccolti da oltre 40.000 sensori installati in più di 180 paesi e su un database che include oltre 22.000 vulnerabilità relative a più di 50.000 tecnologie di oltre 8.000 produttori. La copia completa comprende ulteriori dettagli e dati statistici ed è disponibile presso il sito di Symantec.