Hardware Upgrade Forum - View Single Post

giannola · 19-01-2007, 08:19

Gennaio 13th, 2007

Stavo leggendo ieri sera alcune dichiarazioni di David Dagon, ricercatore del Georgia Institute of Technology, il quale afferma che ben l’11% dei pc che sono su internet - stimati intorno ai 650 milioni - è infetto da malware che trasforma i pc in zombie. Si parla dunque di circa 71 milioni di pc.

La situazione è effettivamente grave e non è un inno alla vendita di prodotti antivirus, proprio le società di antivirus dovrebbero essere le prime a rivedere le tecnologie per l’individuazione di queste infezioni. La situazione attuale è che vengono isolati ogni giorno migliaia di nuovi malware, ma altrettanti non vengono neanche visti da lontano. Semplicemente perché è umanamente impossibile riuscire ad analizzare tutte le infezioni, farne un’analisi e rilasciare signature a questo ritmo. Senza considerare che - visto l’attuale trend degli attacchi mirati - alcune infezioni molto diffuse difficilmente vengono identificate in tempo dai laboratori di ricerca, perché non sono infezioni sotto l’occhio di tutti in campo internazionale.

Dall’altra parte, i malware writer si stanno attrezzando sempre più per creare ogni giorno nuovi malware, o varianti offuscate, in modo tale da evitare i controlli dei software antivirus. Sono sempre più frequenti malware offuscati da server, in modo che ogni vittima scarichi una versione differente da altri utenti. La semplice tecnologia di individuazione tramite signature, se non arricchita con altre tecniche, sta facendo sentire le proprie debolezze, intrinseche nella natura stessa della tecnologia.

A che pro dunque questo grande movimento dell’underground in termini di malware? Chiaramente a scopo di lucro. Come ho scritto nel report già disponibile qui, i malware writer hanno capito che è possibile fare soldi con le infezioni, i pc sono dappertutto. E come è possibile fare soldi? Nel report ho parlato di dialer principalmente, la modalità probabilmente più veloce di fare soldi e che investe per la maggior parte l’Italia.

Ma un altro grave problema a livello mondiale sono le botnet. Molti pc vengono infettati da rootkit, backdoor e trojan - i primi solitamente per nascondere i secondi - senza che gli utenti se ne rendano conto. Non parlo di utenti singoli, qualcuno può tranquillamente dire “io non sono infetto, mi preoccupo della difesa del mio pc con un antivirus aggiornato, non vedo tutto questo allarme“. Il problema non è quel singolo utente però, ci sono centinaia di migliaia di pc infetti, aziende, enti, ma anche singoli computer desktop casalinghi, che sono infetti a loro insaputa.
Quei pc entrano a far parte di reti mondiali, reti controllate dai creatori di malware. I pc infetti restano in attesa di comandi, di azioni da eseguire.

Non sono fantascienza le botnet, non è fantascienza questa tecnica di fare soldi. Come è possibile fare soldi con le botnet? Basta immaginare una botnet di pc zombie utilizzata come smtp relay server per mandare spam. Migliaia e migliaia di pc che mandano spam a comando. Oppure i ricatti, il pagamento di “pizzo” virtuale. A dicembre c’erano i saldi, le offerte natalizie di attacchi DDoS. Della serie “compra due attacchi DDoS e il terzo è gratis“, questo è quello che avevano intercettato i laboratori Kaspersky.

Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.

Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost - dove è ospitato anche questo sito - alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale.

Il sito gmer.net è stato attaccato i primi di Dicembre e tutt’ora è sotto attacco DDoS. É stato cambiato server più volte, e nel giro di poche ore tutti i nuovi server sono stati attaccati. Anche i mirror sono stati attaccati.

Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.

Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.

Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?
(pcalsicuro.com)

cos'è una botnet ?

Botnet
Da Wikipedia, l'enciclopedia libera.

Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Questi ultimi possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali.

Modalità di funzionamento e uso

I virus creati per far parte di una botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i canali IRC (Internet Relay Chat) e si connettono ad un dato canale, situato su un dato server, il quale spesso è protetto da una password per dare accesso esclusivo all'autore. Tramite il canale di chat l'autore è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi. Per fare un esempio, con un solo comando potrebbe far partire un attacco DDoS verso un sistema a sua scelta. Le botnet vengono spesso utilizzate anche per altri scopi oltre al DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor oppure servizi proxy che garantiscono l'anonimato in rete.

19-01-2007, 08:19	#12
giannola Senior Member Iscritto dal: Oct 2005 Città: Palermo Messaggi: 2521	Il grave problema delle botnet Gennaio 13th, 2007 Stavo leggendo ieri sera alcune dichiarazioni di David Dagon, ricercatore del Georgia Institute of Technology, il quale afferma che ben l’11% dei pc che sono su internet - stimati intorno ai 650 milioni - è infetto da malware che trasforma i pc in zombie. Si parla dunque di circa 71 milioni di pc. La situazione è effettivamente grave e non è un inno alla vendita di prodotti antivirus, proprio le società di antivirus dovrebbero essere le prime a rivedere le tecnologie per l’individuazione di queste infezioni. La situazione attuale è che vengono isolati ogni giorno migliaia di nuovi malware, ma altrettanti non vengono neanche visti da lontano. Semplicemente perché è umanamente impossibile riuscire ad analizzare tutte le infezioni, farne un’analisi e rilasciare signature a questo ritmo. Senza considerare che - visto l’attuale trend degli attacchi mirati - alcune infezioni molto diffuse difficilmente vengono identificate in tempo dai laboratori di ricerca, perché non sono infezioni sotto l’occhio di tutti in campo internazionale. Dall’altra parte, i malware writer si stanno attrezzando sempre più per creare ogni giorno nuovi malware, o varianti offuscate, in modo tale da evitare i controlli dei software antivirus. Sono sempre più frequenti malware offuscati da server, in modo che ogni vittima scarichi una versione differente da altri utenti. La semplice tecnologia di individuazione tramite signature, se non arricchita con altre tecniche, sta facendo sentire le proprie debolezze, intrinseche nella natura stessa della tecnologia. A che pro dunque questo grande movimento dell’underground in termini di malware? Chiaramente a scopo di lucro. Come ho scritto nel report già disponibile qui, i malware writer hanno capito che è possibile fare soldi con le infezioni, i pc sono dappertutto. E come è possibile fare soldi? Nel report ho parlato di dialer principalmente, la modalità probabilmente più veloce di fare soldi e che investe per la maggior parte l’Italia. Ma un altro grave problema a livello mondiale sono le botnet. Molti pc vengono infettati da rootkit, backdoor e trojan - i primi solitamente per nascondere i secondi - senza che gli utenti se ne rendano conto. Non parlo di utenti singoli, qualcuno può tranquillamente dire “io non sono infetto, mi preoccupo della difesa del mio pc con un antivirus aggiornato, non vedo tutto questo allarme“. Il problema non è quel singolo utente però, ci sono centinaia di migliaia di pc infetti, aziende, enti, ma anche singoli computer desktop casalinghi, che sono infetti a loro insaputa. Quei pc entrano a far parte di reti mondiali, reti controllate dai creatori di malware. I pc infetti restano in attesa di comandi, di azioni da eseguire. Non sono fantascienza le botnet, non è fantascienza questa tecnica di fare soldi. Come è possibile fare soldi con le botnet? Basta immaginare una botnet di pc zombie utilizzata come smtp relay server per mandare spam. Migliaia e migliaia di pc che mandano spam a comando. Oppure i ricatti, il pagamento di “pizzo” virtuale. A dicembre c’erano i saldi, le offerte natalizie di attacchi DDoS. Della serie “compra due attacchi DDoS e il terzo è gratis“, questo è quello che avevano intercettato i laboratori Kaspersky. Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate. Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost - dove è ospitato anche questo sito - alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale. Il sito gmer.net è stato attaccato i primi di Dicembre e tutt’ora è sotto attacco DDoS. É stato cambiato server più volte, e nel giro di poche ore tutti i nuovi server sono stati attaccati. Anche i mirror sono stati attaccati. Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server. Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare. Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo? (pcalsicuro.com) cos'è una botnet ? Botnet Da Wikipedia, l'enciclopedia libera. Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Questi ultimi possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. Modalità di funzionamento e uso I virus creati per far parte di una botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i canali IRC (Internet Relay Chat) e si connettono ad un dato canale, situato su un dato server, il quale spesso è protetto da una password per dare accesso esclusivo all'autore. Tramite il canale di chat l'autore è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi. Per fare un esempio, con un solo comando potrebbe far partire un attacco DDoS verso un sistema a sua scelta. Le botnet vengono spesso utilizzate anche per altri scopi oltre al DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor oppure servizi proxy che garantiscono l'anonimato in rete. __________________ Utente gran figlio di Jobs ed in via di ubuntizzazione Lippi, perchè non hai convocato loro ? Ultima modifica di giannola : 19-01-2007 alle 08:23.