Last Updated on January 6, 2011

Dopo le previsioni in giallo e in rosso, rispettivamente di Symantec e McAfee, è la volta di Trend Micro, gigante della sicurezza informatica proveniente dal Sol Levante, curiosamente contraddistinto anche lui da una livrea rossa, che ha appena diramato le proprie previsioni per il 2011.

Diversamente dalle ultime previsioni in rosso che abbiamo commentato su queste pagine, le previsioni del colosso nipponico pongono il cloud come uno dei punti di attenzione per il 2011, ma non disdegnano il social network, il mondo mobile e i sistemi operativi più obsoleti, per i quali i produttori saranno costretti a rimuovere le signature.

Ma andiamo con ordine:

L’OS è bello perché è vario

La biodiversità ormai vale anche per i sistemi operativi e le componenti di middleware e applicative (soprattutto quando si parla di virtualizzazione). Provate a dare un’occhiata ai link seguenti per verificare la biodiversità, nel solo mese di dicembre, di sistemi operativi e browser (rilevata in base al traffico Internet) e noterete come ormai siamo ben lontani dai tempi in cui dominavano un solo sistema operativo e un solo browser con percentuali di diffusione bulgare (a proposito, sembra che nel Vecchio Continente il Panda Rosso abbia superato l’Esploratore di Redmond). La biodiversità dei sistemi operativi e delle applicazioni si rifletterà anche nella biodiversità del malware, per la quale, il colosso nipponico prevede una motivazione dei malintenzionati maggiore rispetto alla difficoltà di costruire software malevolo per diverse piattaforme. Anche se non esplicitamente citato, all’interno di questa biodiversità rientrano anche i sistemi operativi con la mela.

Infrastruttura Virtuale, (In)Sicurezza Reale

Trend Micro prevede che il cloud, e più in generale le infrastrutture virtualizzate, saranno al centro dell’attenzione dei malintenzionati nel corso del 2011. Secondo il colosso nipponico assisteremo ad un incremento degli attacchi di tipo proof-of-concept verso le nubi. Anche in questo caso lo sforzo di costruire un attacco è commisurato al valore dell’asset. Visti i dati di diffusione del Cloud nel corso del 2011 (come ho già avuto di indicare su queste pagine Gartner prevede che nel 2011 gli early technology adopters acquisteranno il 40% delle loro infrastrutture IT come servizi mentre IDC stima che nel 2012 il mercato mondiale dei cloud services varrà complessivamente circa 43 miliardi di dollari) è prevedibile che gli attacchi veicolati verso Cloud e Servizi Virtuali nel corso dell’anno saranno più di semplici esercizi di stile.

L’eredità pesante…

E’ quella dei sistemi operativi più vetusti (ad esempio Windows 2000 o Windows XP) che continuano comunque ad avere un peso influente sulle percentuali di diffusione globali (e chissà quanti degli XP saranno ancora SP2), ma che non potranno continuare ad essere protetti a lungo, fondamentalmente per motivi di patching (se un sistema operativo è giunto al termine del suo ciclo di vita non è più possibile applicare aggiornamenti di sicurezza). La conseguenza è che per il povero Windows XP la strada verso la strameritata pensione sarà funestata di minacce (informatiche).

In questo item incorporerei anche un’altra interessante previsione: secondo il produttore nipponico alcune tecnologie di sicurezza dispongono di spazio per le signature limitato, e questo costringe a rimuovere i pattern relativi a minacce più vecchie. In sostanza: a volte ritornano, ovvero nel corso del 2011 potremo assistere a varianti opportunamente rinnovate di malware obsoleto per il quale alcuni produttori di sicurezza potrebbero aver rimosso incautamente (ma per necessità) l’antidoto dal proprio database locale di signature. Personalmente ritengo che questo problema sia reale, ma credo che possano essere d’aiuto (visto che si parla di cloud) le tecnologie hosted, ovvero le tecnologie che demandano  ad un database centralizzato (connessione ad internet e banda permettendo) l’analisi di comportamenti anomali per cui non è stata rilevata una signature locale.

Social Network Engineering per tutti

Il produttore del Sol Levante prevede che la modalità di trasmissione del malware, nel corso del 2011 varierà, passando dalla diffusione tramite Web alla diffusione tramite tecniche di Social Engineering (ad esempio messaggi di posta malevoli opportunamente forgiati per condurre il malcapitato a scaricare software malevolo). In questo caso, come disse Luigi Garzya: “Sono pienamente d’accordo a metà col Mister” nel senso che probabilmente, agli occhi di un malintenzionato, un sito web non è il modo più efficace di trasmettere malware (occorre attraversare troppi livelli di difesa) e comunque la responsabilità degli utenti sui rischi di navigazione è leggermente aumentata. Ritengo però che, come ho avuto modo di approfondire,  il Social Network sia preferibile alla posta elettronica, sia perché agisce in tempo reale, sia perché consente di raggiungere in tempo reale n utenti (in)consapevoli.

Dispositivi Mobili

Invertendo l’ordine dei fattori il risultato non cambia. Su questo punto i produttori sono tutti d’accordo: per l’Androide di Mountain View e la Mela Morsicata di Cupertino sarà un annus horribilis. Qualunque geek smaliziato (e non solo) sa bene che, per impostazione predefinita, Android e iphoneOS non consentono agli utenti accesso completo al terminale, a meno che non si installino opportune ROM modificate (io ho rischiato di buttare via un Motorola Milestone) o si faccia un bel jailbreak. Questo fatto implica l’impossibilità di arrivare a basso livello nel dispositivo e di conseguenza spiega apparentemente la difficoltà di costruire malware ad-hoc per questi dispositivi (e difatti Geinimi richiede per qualsiasi operazione il permesso dell’utente). Occorre però considerare che le vulnerabilità sono dietro l’angolo (l’Androide Verde si difende bene con i suoi 0,47 bachi ogni 1000 linee di codice ben al di sotto dei 5bugs/Kloc considerati fisiologici, ma comunque basta una sola vulnerabilità ben fatta per compromettere tutto), e che gli utenti continuano a rootare o jailbreakare anche i dispositivi che utilizzano al lavoro sui quali depositano importanti documenti.

Per questo motivo il produttore nipponico dichiara che:

I primi attacchi a buon fine ai danni di Google Android potrebbero vedersi già nel 2011

A meno che Geinimi non si consideri già tale…

Last but not least(s)

Altre previsioni per il 2011 includono:

• Aumento dell’uso, da parte del malware, di certificati legittimi o sottratti a terzi: direi che questa previsione coincide con quanto previsto da altri produttori (il malware ha la necessità di camuffarsi con software legittimo) ed in parte si è già avverata grazie al mai troppo citato Stuxnet.
• Aumenterà la diffusione delle Botnet, nonostante gli sforzi da parte delle forze bene, dal momento che, si prevede, molti gruppi tenderanno a fondersi per aumentare la potenza di fuoco e, presumibilmente, l’attenzione pubblica.
• Del problema relativo alla rimozione delle signature più obsolete abbiamo già parlato.
• Infine secondo il produttore nipponico assisteremo ad aumento degli algoritmi di generazione domini da parte degli attacchi Advanced Persistent Threat e ad un incremento degli attacchi basati su Java.

Concludendo, Concludendo…

Il primo aspetto che ho notato è che Trend Micro ha richiamato l’attenzione al problema della sicurezza relativa ai sistemi virtuali e cloud (la cui assenza mi aveva un po’ sorpreso nel caso delle previsioni di un altro gigante rosso).

Curiosamente, inoltre, il gigante nipponico richiama l’attenzione ai problemi di sicurezza derivanti dalla biodiversità dei sistemi operativi e derivanti inoltre dalla presenza, ancora importante statisticamente, di sistemi operativi obsoleti.

Un ulteriore aspetto che ha attirato la mia attenzione, anche se evidenziato in tono minore, è quello relativo ai rischi connessi al malware obsoleto (d’altronde il primo software malevolo facente utilizzo della vulnerabilità CVE-2010-2568 alla base di Stuxnet, fu una variante Trojan.Zlob del 2008). Come ho già avuto di indicare, probabilmente per contrastare questa categoria di malware saranno utili motori di scansione che mantengono porzioni del database remotamente sul cloud.

Il richiamo ai problemi del mobile è scontato, sacrosanto è condivisibile. Mentre, a mio modesto parere, l’impatto del social network avrà una influenza maggiore di quella evidenziata dal gigante giapponese.