L’attacco di ZeuS

Deliziosa notiziola di oggi:

“WASHINGTON – Oltre 75 mila tra computer e server di circa 2.500 aziende, violati in 196 paesi: è il bilancio del più grande e sofisticato attacco hacker mai registrato fino a ggi. Lo rivelano oggi alcuni quotidiani statunitensi.”

“L’intrusione è stata scoperta il 26 gennaio scorso da Alex Cox, un ingegnere di NetWitness: l’esperto ha individuato il cosiddetto Kneber bot, un sistema interlacciato di almeno 20 server e computer gestito da un gruppo di hacker localizzati nell’Est Europa”

“Per l’intrusione è stato utilizzato uno tra gli spyware più insidiosi, denominato ZeuS.”

[Da Repubblica Online: http://www.repubblica.it/esteri/2010/02/18/news/maxi_attacco_hacker-2341272/ ]

L’articolo originale degli scopritori (in inglese) è qui:

http://www.netwitness.com/resources/pressreleases/feb182010.aspx

Parliamone…

Windows, oh Windows…

Innanzitutto, si è costretti a notare, ancora una volta, come Microsoft Windows sia l’unico sistema operativo interessato al fenomeno:

“Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000.”

[Dalla scheda di Symantec relativa a Zbot/ZeuS, reperibile qui: http://www.symantec.com/security_response/writeup.jsp?docid=2008-072400-0415-99&tabid=2]

Come sempre, MacOS X, Linux ed i vari BSD non sono coinvolti in epidemie su larga scala come queste (e neanche in quelle su piccola scala).

Microsoft può sicuramente pacchi e pacchi di documenti che spiegano come tutto questo non dipenda da loro ma i fatti restano: chi usa un MacIntosh od un PC Linux può tranquillamente ignorare gran parte di queste minacce.

Gran parte degli specialisti di sicurezza continua a ripetere, da circa vent’anni: “Non usate Windows. Non usate software Microsoft in generale.” Ma non c’è niente da fare: la paura del nuovo e dell’ignoto (Linux, BSD, etc.) avrà sempre la meglio, soprattutto in un paese di persone perdutamente innamorate del passato e della tradizione come il nostro. Mille volte meglio beccarsi questo tipo di infezioni (e rischiare di rimetterci l’intero contenuto del conto corrente) che dover affrontare qualcosa di nuovo, di sconosciuto e che potrebbe farvi fare la figura dei cretini mentre imparate a conoscerlo. La pensate così anche voi.

O no?

Antivirus

In ogni caso, è interessante notare quanto siano realmente efficaci gli antivirus che vengono abitualmente usati su Windows:

“We measured the efficiency of antivirus products in the wild, against Zeus. In a sense, it’s more accurate than in-the-lab experiments, since it measures the real phenomenon – the actual infections in the wild, vs. real antivirus deployment in the wild. The result we measured, efficiency level of 23%, is disturbing, and reveals that the vast majority of Zeus infections go unnoticed by antivirus products. ”

[Da “Measuring the in-the-wild effectiveness of Antivirus against Zeus” di Trusteer]

In buona sostanza, questo trojan passa inosservato nel 23% dei casi. Voi in che percentuale siete? Nel 77% fortunato o nel 23% sfortunato? Come sta il vostro conto corrente?

Come abbiamo già detto, il mondo a cui appartengono Linux, BSD e MacOS non sa cosa siano i virus e, di conseguenza, non sa nemmeno cosa siano gli antivirus. In questi ambienti semplicemente non ce n’è bisogno. Altri 70 od 80 € l’anno risparmiati.

Two-factors Authentication

Per fortuna, tutte (ma proprio tutte) le banche, al giorno d’oggi utilizzano qualche schema di “autenticazione a due fattori” (“two-factors authentication”), ovvero identificano i loro utenti con due diversi parametri: la loro normale password “statica” ed una seconda password “dinamica” che solitamente viene generata da un apposito “gadget” (che si chiama “One-Time Password generator”, “OTP generator” o semplicemente “token”). In questo modo i siti di home banking risultano sostanzialmente inattaccabili a questo tipo di attacchi.

Tuttavia, questo non è più vero se si prendono in considerazione le decine di siti di ecommerce che accettano pagamenti con la carta di credito ed altri sistemi simili. Mentre alcuni di essi fanno uso di qualche sistema di sicurezza, come il Visa/MasterCard “Secure Code”, molti altri non mettono in atto nessuna contromisura.

Questo succede soprattutto perchè i “token” di autenticazione sono costosi e sono un vero incubo da gestire a livello logistico. Per questa ragione si stanno diffondendo sistemi che inviano una password a perdere ad un telefono cellulare registrato dall’utente per questo scopo. In pratica, il cellulare e la sua SIM diventano l’equivalente del token usato ora dalle banche. Nel prossimo futuro questi sistemi potrebbero diventare una soluzione standard e piuttosto robusta contro questo tipo di attacchi.

Password e Password Manager

Nel frattempo, resta di fondamentale importanza usare delle password decenti e conservarle in modo adeguato. Rileggetevi questo mio recente articolo:

https://alessandrobottoni.wordpress.com/2010/01/24/password/

Buona fortuna…

Alessandro Bottoni

Comments
5 Responses to “L’attacco di ZeuS”
  1. Antonio scrive:

    purtroppo la maggior parte della gente che usa il pc è niubba ! sarei daccordo sul principio di usare altro sistema operativo ! ma fino a che punto i creatori di malaware starebbero lontani da linux ? se questo avrebbe un espansione moltiplicata notevolmente ? meditate gente, è sopratutto usate il cervallo prima di dare ok al mouse!

    • Scrivere malware per Linux è molto più difficile che farlo per Windows. Sono più di dieci anni che i ricercatori del settore ci provano, senza mai essere riusciti a creare un “virus” in grado di propagarsi all’interno dell’ecosistema Linux (e nemmeno all’interno di quelli BSD, Solaris, Unix e MacOS X).

      Purtroppo, è proprio Windows (e tutto il software Microsoft) che fornisce ai “cattivi” gran parte degli strumenti necessari a questo tipo di attacchi.

      Non è un caso, ad esempio, che sia lo US CERT che diversi dipartimenti di sicurezza informatica nazionali (Francia, Germania, etc.) consiglino, per esempio, di NON usare Microsoft Internet Explorer per navigare sul web. Questo avviene, ininterrottamente, da oltre 12 anni.

      La maggiore robustezza di Linux è dovuta in larga misura all’esistenza di maggiori barriere difensive interne all’ecosistema, ad un maggiore quantità di strumenti di difesa disponbili ed alla maggiore semplicità nell’utilizzarli.

      A parte questo, vi ricordo che Windows è lo UNICO sistema operativo esistente afflitto in maniera sistematica da questo tipo di problemi. Nessun altro sistema operativo si trova in queste condizioni, nemmeno il pur diffusissimo MacOS X (circa il 3% del mercato, cioè oltre trenta milioni di macchine sul mercato). Meno che mai i sistemi Unix, Linux e BSD usati sul oltre 100 milioni di server su Internet.

      Francamente, non vedo scuse che Microsoft possa ancora invocare per giustificare questa situazione (a parte, forse, la totale irresponsabilità degli utenti che essa stessa ha diseducato nel corso degli anni).

  2. Sabino scrive:

    Molto interessante, come sempre. Purtroppo devo smorzare ulteriormente il tuo già scarso (e giustamente) ottimismo facendoti notare che la giusta traduzione dall’inglese indica che nel 77% dei casi il trojan passa inosservato agli antivirus, non il contrario.

    Preoccupante, vero? È come andare in giro in mutande…

    • Già, è vero. Il mio cervello si è rifiutato di credere ad una realtà così inquietante ed ha ribaltato le statistiche. E’ come dici tu: nel 77% dei casi ZeuS passa inosservato.

      Purtroppo, le statistiche non sono molto più confortanti nemmeno quando si parla di altri malware.

      Siamo in mutande….

  3. Luca Sognatore scrive:

    Semi-OT: vorrei avere una tua opinione su questa intervista ed in particolare sul fatto che Linux sia “probabilmente” più semplice da bucare rispetto a Windows.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: