lunedì 23 aprile 2007

Sistemi sotto osservazione


Il rapporto Symantec sulla sicurezza per la prima volta dedica ampio spazio all'analisi delle vulnerabilità di browser e sistemi. Dalla conoscenza dei propri utenti alla creazione di una rete di informazioni condivise.

L'undicesima edizione dell'Internet Security Threat Report realizzata da Symantec fotografa l'attuale panorama della sicurezza sul Web per la prima volta soffermandosi su una serie di dati nuovi riguardanti i sistemi e i browser utilizzati dagli utenti. I computer domestici, infatti, sono sempre più sotto tiro: mentre aziende ed enti cercano di dare risposte concrete ai problemi di sicurezza informatica, gli utenti sono un passo indietro. E i malintenzionati puntano su di loro.

La ricerca
La ricerca si riferisce al secondo semestre 2006 e si basa su dati raccolti in Paesi di tutto il mondo. Alcuni dati sono presi in considerazione per la prima volta, come la finestra di esposizione dei Web browser, allo scopo di fornire informazioni ancora più dettagliate. Il report analizza minuziosamente tali prospettive a livello mondiale, con un duplice obiettivo: creare informazione a proposito della sicurezza e migliorare le tecnologie e le tecniche difensive.

Allarme bot
Sulla base dei dati ricavati, il rapporto Symantec mette in luce alcuni aspetti allarmanti: in primo luogo, nel secondo semestre del 2006, in tutto il mondo oltre 6 milioni di computer risultavano infettati da programmi bot, con un incremento del 29% rispetto al periodo precedente. I bot sono applicazioni che simulano la presenza di un utente in Rete compiendo una serie di azioni automatiche (in questo caso criminali). Per contro, diminuiscono del 25% i server di "comando e controllo" delle reti bot, a conferma della tendenza alla riduzione di numero e all'ingrandimento per dimensioni di queste reti. Poche persone riescono, attraverso appositi malware, a controllare migliaia, forse milioni di computer in tutto il mondo.

Gli altri pericoli
I trojan, i cavalli di troia, programmi con cui si può prendere controllo di un computer o di determinate applicazioni da remoto, costituiscono il 45% dei cinquanta codici maligni più diffusi identificati da Symantec nei secondi sei mesi del 2006, quasi raddoppiando la loro percentuale rispetto alla prima metà dell'anno. Si tende ad abbandonare i worm inviati con mailing di massa a favore dei trojan. Attenzione, però, anche a fenomeni in forte crescita come lo spam e le frodi online basate su phishing.

Cambio di strategia
Gli aggressori, inoltre, cercano tecniche sempre nuove, come i codici maligni rivolti specificatamente ai client, compresi Web browser, e-mail client e altre applicazioni per i desktop. Nella prima metà del 2006, le vulnerabilità delle applicazioni Web hanno rappresentato il 69% di tutte le vulnerabilità documentate da Symantec. Anche le vulnerabilità dei Web browser sono sempre più diffuse: ne sono state documentate 47 in Mozilla (contro le 17 del periodo di osservazione precedente), 38 in Microsoft Internet Explorer (contro 25) e 12 in Apple Safari (contro 6).

I cambiamenti nei pericoli
Nel rapporto, inoltre, sono state documentate dodici vulnerabilità "zero-day", con un drastico incremento rispetto alla prima metà dell'anno quando era stata identificata soltanto un caso di questo tipo. Questa tendenza accentua l'esposizione di aziende e consumatori a minacce ignote. All'inizio degli anni Novanta c'erano minacce (file-virus, macro-virus ed e-mail worm) per le quali il tempo di infezione variava da settimane a giorni, per poi ridursi a ore verso la fine del decennio. All'inizio del 2000 invece il tempo di infezione è sceso da ore a minuti, e si sono riscontrati virus e worm per i quali la reazione umana non sempre è possibile e che necessitano di una maggiore automatizzazione. Nel futuro le minacce "zero-day" saranno lo standard operativo dei codici maligni, con tempi di reazione per fermare l'infezione abbattuti a pochi minuti se non secondi.

Le reazioni
In particolare il tempo di latenza tra la scoperta di una vulnerabilità di un sistema e lo sfruttamento illecito da parte di hacker va sempre più diminuendo. Nella prima metà del 2006, Symantec ha documentato 2.249 nuove vulnerabilità, il 18% in più rispetto al periodo di analisi precedente e il numero più alto mai registrato in qualsiasi periodo di osservazione. La finestra di esposizione delle aziende e dei Web browser ai pericoli è di 28 giorni, contro i 50 del periodo precedente. Microsoft Internet Explorer presenta una finestra di esposizione media di 9 giorni (contro i 25 del semestre precedente), Apple Safari di 5 giorni (contro 0), Opera di 2 giorni (contro 18) e Mozilla di 1 giorno (contro 2). I produttori di sistemi operativi rilasciano una patch per una specifica vulnerabilità in media con molto ritardo: Sun 89 giorni, HP 53 giorni, Apple 37 giorni, Microsoft e Red Hat 13 giorni.

Ogni nodo parte attiva
Questi dati, oltre a far riflettere sul problema sicurezza in generale, devono spingere i web master e le aziende a farsi parte attiva nel processo di contenimento della diffusione di worm e virus. In un momento di dibattito ampio sulle tecnologie di condivisione e collaborazione, rendersi parte attiva in un processo di lotta ai pericoli informatici rappresenta una sfida qualificante per qualsiasi sito, e l'analisi delle statistiche d'accesso ai propri siti può fornire alcune indicazioni di massima per indirizzare al meglio i propri sforzi. Prima di tutto è necessario conoscere quali sono i sistemi e i browser maggiormente in uso da parte dei propri utenti. Non ci si limiti alle banalità: se è vero che Windows e Internet Explorer dominano il mercato, provate a verificare il dettaglio degli accessi al proprio sito. Quale versione di Internat Explorer? E quali altri browser si stanno facendo spazio? E se i nostri utenti appartenessero alla community linux in buona parte? Conoscere è diverso da supporre.

Creare una rete informativa
Una volta individuati i sistemi e i browser di riferimento dei propri utenti, si possono poi ottenere informazioni mirate da parte dei principali siti d'informazione sulla sicurezza e di produttori in modo da renderle evidenti sul proprio e girarle nel minor tempo possibile agli utenti. Per farlo, si possono utilizzare anche strumenti automatici come i feed rss.
In questo modo non si risolve il problema sicurezza, ma si contribuisce a creare una rete di difesa ampia e articolata, in grado di abbattere i tempi di reazione complessivi, almeno nella parte finale della catena, ovvero da quando il produttore rilascia la patch a quando l'utente ne viene a conoscenza e la installa.

L'ultimo aiuto dalle statistiche
Infine, non si trascuri il ruolo che la conoscenza dei propri utenti può esercitare sulle proprie difese. Oltre a essere essenziali nel supporto alle politiche di marketing, infatti, le informazioni derivanti dalle statistiche si prestano a diversi altri usi per migliorare la presenza aziendale e l'indirizzo strategico sul Web. Sarebbe per esempio opportuno introdurre, con cadenza regolare, l'analisi delle statistiche prodotte anche da parte dei propri responsabili della sicurezza informatica. Pur non potendo ottenere dettagli immediatamente significativi, dagli scostamenti nel tempo e dalle provenienze, un esperto può andare a individuare possibili anomalie, e magari adottare per tempo livelli di protezione più alta rispetto a specifiche minacce.