I sistemi basati su signature sono inutili. È tranchant nel suo giudizio Emiliano Massa, director of regional sales di Websense Italy e Iberia, illustrando i principali risultati del rapporto sulle minacce 2013 stilato dagli esperti dei Websense Security Labs.
Massa sottolinea come anche McAfee, all'ultima RSA Conference, ha annunciato il passaggio a soluzioni euristiche e ribadisce che la complessità degli attuali attacchi richiede un approccio integrato, basato in buona parte sulle tecniche di simulazione.
Il manager di Websense segue le fasi di un attacco (si veda anche "Le 5 fasi di un attacco APT"), per rimarcare come malware di nuova generazione possano eludere le "vecchie" protezioni: "I nuovi codici maligni non contengono 'firme' che possono essere identificate univocamente e, spesso, rimangono inizialmente dormienti, in attesa di attivarsi".
Addirittura, ci svela ancora Massa, esistono codici che effettuano un assessment preventivo della macchina da attaccare, identificando quale vulnerabilità è possibile sfruttare e, solo successivamente, vi installano il malware più adatto.
Inoltre, prevenire il download di questi codici sofisticati è difficile, in realtà, perché vengono abilmente utilizzati messaggi di spear phishing (messaggi fatti su misura che, magari, vengono spediti anche da indirizzi noti), inducendo la malcapitata vittima a scaricare involontariamente il software maligno.
Ecco perché solo sistemi in grado di isolare file eseguibili e di altro tipo possono verificarne il contenuto, simulandone il funzionamento e, quindi, consentendo di identificare i codici dannosi.
Se gli attacchi mirati sono quelli più pericolosi ed efficaci, sussistono comunque molti altri rischi. In sintesi, evidenziamo alcuni dei risultati emersi nel rapporto di Websense, a cominciare dal numero di siti dannosi, cioè siti che in realtà per l'85% sono host Web legittimi, sui quali sono stati però 'annidati' malware che si scaricano insieme alle pagine lecite. Numero che è cresciuto del 600% nell'ultimo anno.
Emiliano Massa, director of Regional Sales di Websense Italy & Iberia
Se il Web è diventato il principale vettore del malware, è specificatamente risultato che il 32% dei collegamenti Web abbreviati (usati sulle piattaforme di social media) nasconde contenuti malevoli.
Questo tipo di siti è ovviamente una scelta privilegiata perché altamente frequentati e perché è facile confondere l'utente dato il susseguirsi di aggiornamenti e rilasci di nuove funzionalità. Anche se i più noti, a cominciare da Facebook sono più sicuri, come evidenzia Massa, ricordando che proprio Facebook ha stretto una partnership con Websense avendo preso atto del problema.
Altro principale veicolo d'infezione sono le applicazioni mobili e il modo in cui sfruttano le autorizzazioni. È lo stesso utilizzatore a scaricare l'app e ad accettare le 'permissions'. In particolare, è molto diffuso l'invio di comunicazioni via SMS: solo poche app legittime le usano, mentre molte app maligne le sfruttano per spedire messaggi a numeri premium e sottrarre denaro dal credito telefonico.
Continua la crescita di spam (+76%) e phising, anche mirato, dato che solo 1 mail su 5 è risultata legittima.
Come accennato il malware è evoluto: il 50% di questo scarica gli eseguibili entro i primi 60 secondi, mentre l'altra metà aspetta minuti, ore o settimane per eludere i sistemi di sandboxing a tempo.
Infine, i tecnici dei Websense Security Labs hanno registrato cambiamenti importanti nei bersagli e nei metodi. In particolare, sono aumentati i furti di proprietà intellettuali e quelli dei dati relativi a carte di credito, nonché quelli relativi alle identità personali.