Stavo leggendo ieri sera alcune dichiarazioni di David Dagon, ricercatore del Georgia Institute of Technology, il quale afferma che ben l’11% dei pc che sono su internet – stimati intorno ai 650 milioni – è infetto da malware che trasforma i pc in zombie. Si parla dunque di circa 71 milioni di pc.

La situazione è effettivamente grave e non è un inno alla vendita di prodotti antivirus, proprio le società di antivirus dovrebbero essere le prime a rivedere le tecnologie per l’individuazione di queste infezioni. La situazione attuale è che vengono isolati ogni giorno migliaia di nuovi malware, ma altrettanti non vengono neanche visti da lontano. Semplicemente perché è umanamente impossibile riuscire ad analizzare tutte le infezioni, farne un’analisi e rilasciare signature a questo ritmo. Senza considerare che – visto l’attuale trend degli attacchi mirati – alcune infezioni molto diffuse difficilmente vengono identificate in tempo dai laboratori di ricerca, perché non sono infezioni sotto l’occhio di tutti in campo internazionale.

Dall’altra parte, i malware writer si stanno attrezzando sempre più per creare ogni giorno nuovi malware, o varianti offuscate, in modo tale da evitare i controlli dei software antivirus. Sono sempre più frequenti malware offuscati da server, in modo che ogni vittima scarichi una versione differente da altri utenti. La semplice tecnologia di individuazione tramite signature, se non arricchita con altre tecniche, sta facendo sentire le proprie debolezze, intrinseche nella natura stessa della tecnologia.

A che pro dunque questo grande movimento dell’underground in termini di malware? Chiaramente a scopo di lucro. Come ho scritto nel report già disponibile qui, i malware writer hanno capito che è possibile fare soldi con le infezioni, i pc sono dappertutto. E come è possibile fare soldi? Nel report ho parlato di dialer principalmente, la modalità probabilmente più veloce di fare soldi e che investe per la maggior parte l’Italia.

Ma un altro grave problema a livello mondiale sono le botnet. Molti pc vengono infettati da rootkit, backdoor e trojan – i primi solitamente per nascondere i secondi – senza che gli utenti se ne rendano conto. Non parlo di utenti singoli, qualcuno può tranquillamente dire “io non sono infetto, mi preoccupo della difesa del mio pc con un antivirus aggiornato, non vedo tutto questo allarme“. Il problema non è quel singolo utente però, ci sono centinaia di migliaia di pc infetti, aziende, enti, ma anche singoli computer desktop casalinghi, che sono infetti a loro insaputa.
Quei pc entrano a far parte di reti mondiali, reti controllate dai creatori di malware. I pc infetti restano in attesa di comandi, di azioni da eseguire.

Non sono fantascienza le botnet, non è fantascienza questa tecnica di fare soldi. Come è possibile fare soldi con le botnet? Basta immaginare una botnet di pc zombie utilizzata come smtp relay server per mandare spam. Migliaia e migliaia di pc che mandano spam a comando. Oppure i ricatti, il pagamento di “pizzo” virtuale. A dicembre c’erano i saldi, le offerte natalizie di attacchi DDoS. Della serie “compra due attacchi DDoS e il terzo è gratis“, questo è quello che avevano intercettato i laboratori Kaspersky.

Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.

Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost – dove è ospitato anche questo sito – alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale.

Il sito gmer.net è stato attaccato i primi di Dicembre e tutt’ora è sotto attacco DDoS. É stato cambiato server più volte, e nel giro di poche ore tutti i nuovi server sono stati attaccati. Anche i mirror sono stati attaccati.

Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.

Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.

Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?