Stavo leggendo ieri sera alcune dichiarazioni di David Dagon, ricercatore del Georgia Institute of Technology, il quale afferma che ben l’11% dei pc che sono su internet – stimati intorno ai 650 milioni – è infetto da malware che trasforma i pc in zombie. Si parla dunque di circa 71 milioni di pc.
La situazione è effettivamente grave e non è un inno alla vendita di prodotti antivirus, proprio le società di antivirus dovrebbero essere le prime a rivedere le tecnologie per l’individuazione di queste infezioni. La situazione attuale è che vengono isolati ogni giorno migliaia di nuovi malware, ma altrettanti non vengono neanche visti da lontano. Semplicemente perché è umanamente impossibile riuscire ad analizzare tutte le infezioni, farne un’analisi e rilasciare signature a questo ritmo. Senza considerare che – visto l’attuale trend degli attacchi mirati – alcune infezioni molto diffuse difficilmente vengono identificate in tempo dai laboratori di ricerca, perché non sono infezioni sotto l’occhio di tutti in campo internazionale.
Dall’altra parte, i malware writer si stanno attrezzando sempre più per creare ogni giorno nuovi malware, o varianti offuscate, in modo tale da evitare i controlli dei software antivirus. Sono sempre più frequenti malware offuscati da server, in modo che ogni vittima scarichi una versione differente da altri utenti. La semplice tecnologia di individuazione tramite signature, se non arricchita con altre tecniche, sta facendo sentire le proprie debolezze, intrinseche nella natura stessa della tecnologia.
A che pro dunque questo grande movimento dell’underground in termini di malware? Chiaramente a scopo di lucro. Come ho scritto nel report già disponibile qui, i malware writer hanno capito che è possibile fare soldi con le infezioni, i pc sono dappertutto. E come è possibile fare soldi? Nel report ho parlato di dialer principalmente, la modalità probabilmente più veloce di fare soldi e che investe per la maggior parte l’Italia.
Ma un altro grave problema a livello mondiale sono le botnet. Molti pc vengono infettati da rootkit, backdoor e trojan – i primi solitamente per nascondere i secondi – senza che gli utenti se ne rendano conto. Non parlo di utenti singoli, qualcuno può tranquillamente dire “io non sono infetto, mi preoccupo della difesa del mio pc con un antivirus aggiornato, non vedo tutto questo allarme“. Il problema non è quel singolo utente però, ci sono centinaia di migliaia di pc infetti, aziende, enti, ma anche singoli computer desktop casalinghi, che sono infetti a loro insaputa.
Quei pc entrano a far parte di reti mondiali, reti controllate dai creatori di malware. I pc infetti restano in attesa di comandi, di azioni da eseguire.
Non sono fantascienza le botnet, non è fantascienza questa tecnica di fare soldi. Come è possibile fare soldi con le botnet? Basta immaginare una botnet di pc zombie utilizzata come smtp relay server per mandare spam. Migliaia e migliaia di pc che mandano spam a comando. Oppure i ricatti, il pagamento di “pizzo” virtuale. A dicembre c’erano i saldi, le offerte natalizie di attacchi DDoS. Della serie “compra due attacchi DDoS e il terzo è gratis“, questo è quello che avevano intercettato i laboratori Kaspersky.
Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.
Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost – dove è ospitato anche questo sito – alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale.
Il sito gmer.net è stato attaccato i primi di Dicembre e tutt’ora è sotto attacco DDoS. É stato cambiato server più volte, e nel giro di poche ore tutti i nuovi server sono stati attaccati. Anche i mirror sono stati attaccati.
Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.
Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.
Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?
Hit sta per bit?
Ciao
Dunque, hit è generico e dipende ovviamente cosa è considerato come hit. In questo caso si tratta di connessioni, di richeste GET per esempio o di pacchetti ICMP provenienti da determinati IP classificati come attacker.
Ah ok
Grazie
Ciao
Io mi reputavo un esperto (neppure lontanamente esperto quanto te ma comunque uno che ci capisce) eppure vedere così ben spiegati i rischi delle botnet è impressionante!
Non lo immaginavo minimamente 🙁
ciao marco!
ricordi il problema che avevo sul tuo sito fino a qualche settimana fa?
in questo articolo hai scritto”Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost – dove è ospitato anche questo sito – alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale.”
considerando che ora riesco a visualizzarlo senza nessun problema,pensi che ci possa essere una relazione tra le due cose?
Ciao 🙂
No, quello che ricevevi tu era (è, perché sono riuscito a replicarlo anche ieri) un filtro applicato sul server web da tophost per evitare possibili tentativi di hacking. Sembra qualcosa di euristico, per cui probabilmente lo stanno adattando per evitare dei falsi – come per l’appunto il tuo.
Marco, sappiamo che se gli utenti di un PC non hanno diritti amministrativi, se al PC vengono applicate la patch di sicurezza di Microsoft, mettici pure anche un’antivirus .. la probabilita` di rimanere infettati tende allo zero.
Ora, queste dovrebbero essere le condizioni NORMALI di utilizzo di un PC in un’organizzazione. Se ci sono davvero tanti PC infettati dentro le aziende e gli enti, vuol dire che non c’e` una gestione oppure e` fatta con un basso livello di professionalita`.
Non bisognerebbe partire da questo per affrontare il problema?
Piero, hai perfettamente ragione, non è la prima volta che lo dico. Se leggi il mio report (http://www.pcalsicuro.com/report2006.pdf) vedrai, soprattutto nelle conclusioni, che la sicurezza informatica – parlo ovviamente di quello che ho visto qui in Italia in quelle conclusioni – è presa leggermente sottogamba.
Se vai a vedere, molti pc sono infetti dal DialCall ma pochissimi lo sanno. Molti pc erano infetti dal Gromozon ma pochissimi (e tutt’ora pochi) lo sanno. Come mai non si sensibilizza l’utenza? Chi è che all’estero ha capacità di far conoscere le cose? Testate come ZDnet, PCmagazine, TheRegister, eWeek. E quando ci sono notizie importanti in campo informatico pubblicano subito le informazioni.
Qui in Italia, chi lo fa? A parte rari casi ovviamente.
Chi ha il potere di arrivare più degli altri nelle case degli italiani, alle orecchie degli italiani, dovrebbe avere il compito più grave di sensibilizzarli su vari argomenti. E la sicurezza informatica al giorno d’oggi è una di quelle.
Marco
Certo, e` il problema della sicurezza che troppo spesso viene affrontato, o divulgato, nel modo sbagliato.
Faccio un altro esempio: parlando di infezioni, generalmente si affronta l’argomento come 1) una specie di colpo di sfortuna piovuto dal cielo oppure 2) il solito problema del software Microsoft insicuro e scadente. Invece si tratta soltanto di computer gestiti male (e in secondo luogo di scadente educazione degli utenti). E ribadisco che e` senz’altro cosi` per i PC del 99% delle organizzazioni.
(per i PC domestici la cosa e` un po` diversa, MS ha effettivamente delle grosse responsabilita` non avendo mai rilasciato un sistema operativo che possa essere utilizzato facilmente da utenti senza diritti amministrativi. Vedremo con Vista e IE7, puo` darsi che le cose miglioreranno lentamente da sole con il diffondersi di queti prodotti).
Più che altro, sebbene in “alcuni” casi sia in effetti difficile l’utilizzo con account non amminsitrativo, la maggior parte delle volte neanche lo sanno gli utenti di questa possibilità. Che poi non sia facile una configurazione con account non amministrativo è in effetti altresì vero, ma in casi di un utilizzo base del sistema non è neanche impossibile come cosa.
E, a parte tutto, anche per gli utenti casalinghi manca molto una diffusione mediatica delle informazioni e dei pericoli.
Per quanto riguarda comunque il tuo post, non posso che concordare in toto, in ogni singola parola.
Marco
Ma secondo voi all’interno di una rete mediamente complessa e sicuramente infettata dal problema in oggetto (grossa azienda o ISP) quali strumenti si potrebbero adottare per far si di individuare centralmente i PC infetti o per avere almeno una percezione di quanti utenti potrebbero essere impattati? (es: IDS , analisi file di log DNS, ecc…) ??
Geomag
Per esempio, secondo me, si potrebbero fare alcune cose:
1) Filtraggio del firewall aziendale in modo tale da bloccare connessioni verso l’esterno che non siano su protocolli necessari (vedi protocollo http per esempio);
2) Bloccare assolutamente connessioni di protocollo irc, che sono quelli più utilizzati per le botnet;
3) Analisi di log ids per identificare IP della rete interna che tentano connessioni di tipo irc e analisi di log dei firewall per connessioni tentate al di fuori di quelle stabilite e bloccate;
Dopo di che si potrebbe passare alla bonifica dei pc, cioè monitorare i pc alla ricerca di possibili infezioni. Scansioni con software antivirus centralizzati (non so se per esempio kaspersky ha soluzioni simili, tipo quelle modulari) ovviamente ben aggiornati. Stavo vedendo che si parla spesso in questo sito di Prevx, sul sito c’è una cosa molto carina che secondo me potrebbe rendersi utile in ambito aziendale. http://www.prevx.com/business.asp mi sembra di capire che abbia un controllo centralizzato su tutti i pc dell’azienda, con la possibilità di controllare quelli infetti. Se funziona come dice potrebbe essere un buon compagno ad un software antivirus centralizzato.
Boh, poi per carità Marco e tutti gli altri correggetemi…sono idee che mi sono fatto sul campo io e che solitamente funzionano. Saluti
>
Nulla vieta (anzi scommetto che è proprio così..) al malware di usare proprio l’http per parlare con l’esterno. Quindi sarebbe necessario un’analisi del traffico alla ricerca di attività anomale, ammesso che sia possibile differenziarle dalla normale attività web degli utenti. Non ho idea se qualcuno ci stia lavorando su…
No beh, molti malware utilizzano l’http per parlare con il mondo esterno, questo si. Ma solitamente per far parte di una botnet serve qualcosa di centralizzato, spesso è utilizzato il protocollo IRC per far ciò. Poi per carità, quasi tutti i trojan downloader utilizzano il protocollo http per uscire su internet, assolutamente. Ma non basta che esca su internet, deve stabilire una connessione verso qualcosa possibilmente di centralizzato. Un chan irc solitamente è l’ideale per queste cose. Ciò non toglie che si possa fare in qualche modo un server http, ma per la maggior parte sono utilizzati canali irc per vari motivi (vedi IRCBot, SDBot, RBot).
Ovvio, poi una analisi completa del traffico internet alla ricerca di anormalità è la cosa migliore ma è anche immensa da fare…in qualche modo bisogna porre almeno qualche paletto.
Ovviamente, tutto imho
Certo, ma visto che questo sw si evolve in modo piuttosto sofisticato c’e` da aspettarsi dei miglioramenti anche dal punto di vista della capacita` di camuffare il traffico generato.
Alla fine, credo che si torni sempre all’assunto di base: bisogna innanzitutto evitare che il software non autorizzato giri sui nostri computer. Imho e` da questa prospettiva che bisogna affrontare il problema, poi naturalmente tutti gli strumenti e le metodologie per individuare le infezioni sono utili e complementano le attivita’ di difesa.
Marco, fatti un giro su questo sito:
http://www.openwares.org/
Troverai diversi software (per non dire tutti) che contengono malware. Ad esempio arcade contiene una libreria che molti antivirus riconoscono come adware.bho
Il sito è tristemente famoso e i produttori di antivirus e antispyware dovrebbero sempre esaminare il software che si trova su questo sito.
Se volete vedere un esempio di ddos i nostri server sono attualmente sotto attacco.
Si tratta di un server su cui teniamo un gioco online e il server contenente il relativo forum.
http://www.egamers.it / http://www.egforum.it
Attualmente il server di gioco è stato scollegato dalla rete perchè si trova in una webfarm e gli amministratori di tale webfarm hanno preferito isolare la nostra macchina per evitare danni anche agli altri server mentre quello del forum sta avendo molti problemi, da errori di script a numerosi downtime.
Adesso vorrei capire una cosa: sappiamo chi è perchè si vanta apertamente dei danni che ci sta causando (siamo una community che vanta più di 1000 utenti attivi quindi il danno è abbastanza ingente) ma in termini legali cosa possiamo fare?
L’attacco DDOS viene lanciato da pc/server inconsapevoli e il lamer si vanta di non poter essere accusato di nulla non sferrando un attacco direttamente dal suo pc.
è veramente così intoccabile o c’è modo di fregarlo? Perchè noi ci siamo rivolti alla polizia postale ma per ora ancora nessuna notizia.
Non è possibile risalire al computer infetto e partire da quello per rintracciare il pc che lo comanda?
Grazie.
Sono sotto attacco anke i server di mindforge. Ai quali sono collegate molte chat. Io vorrei proprio sapere quale gusto ci provano questi a bloccare i servizi che tutti i giorni la gente utilizza. E poi andare la e spaccargli la faccia solo x divertimento, com probabilmente stanno facendo loro.
salve.non centra molto la mia domanda ma sto cercando un antivirus che protegga decentemente il mio computer.se possibile mi piacerebbe sapere qual’è il miglior antivirus in circolazione.mi daresti qualche suggerimento?molte grazie…