Il nuovo Microsoft Security Intelligence Report (SIRv7) è un report estremamente corposo con il quale Microsoft intende fotografare l’andamento delle minacce per la sicurezza informatica in tutto il mondo. Il gruppo ha preso a cuore il problema ormai da tempo, identificando nei pericoli gravanti sull’ecosistema Windows la peggior piaga per il proprio mercato. Con Vista si son fatti notevoli passi avanti, ma la sicurezza rimane un concetto relativo che può essere affrontato solo in modo multiforme, con software di controllo, con sondaggi di monitoraggio e con l’educazione dell’utente finale. L’ultimo report fotografa le dinamiche del malware degli ultimi mesi partendo anzitutto dai dati raccolti dal Malicious Software Removal Tool su 450 milioni di Pc in tutto il mondo.
«Il volume 7 del report sullo stato della protezione Microsoft offre una descrizione dettagliata dei malware e software potenzialmente indesiderati, gli exploit software, le violazioni della protezione e le vulnerabilità software (sia Microsoft che di terze parti). Le conclusioni di Microsoft si basano sull’analisi dettagliata degli ultimi anni, con una particolare attenzione al primo semestre 2009». Il SIRv7 sottolinea anzitutto la forte presenza di Conficker in ambito aziendale. Un worm che in ambito consumer non compare neppure tra le prime 10 minacce, in contesto enterprise è invece una minaccia primaria a causa della più lenta diffusione degli aggiornamenti di sicurezza. Ma il report premia anche tre paesi particolarmente virtuosi nella battaglia al malware: Giappone, Austria e Germania, infatti, hanno implementato sistemi di sicurezza validi che hanno permesso all’ecosistema informatico nazionale di tenere basso il livello di infezione, ed in tutti i casi è soprattutto la collaborazione con gli ISP a determinare i maggiori risultati.
Ogni paese, però, risulta avere dinamiche proprie specifiche (frutto della combinazione di parametri variegati quali «disponibilità di connessioni Internet a banda larga, l’uso di software non originale e la percentuale di computer gestiti in ambienti aziendali»): «Negli Stati Uniti, nel Regno Unito, in Francia e in Italia i Trojan hanno rappresentato la categoria di minacce più diffusa; in Cina hanno prevalso minacce basate su browser specifiche della lingua cinese; in Brasile si è registrata una diffusione di malware indirizzati alle attività di Internet banking; in Spagna e Corea hanno prevalso i worm, in particolare minacce indirizzate agli utenti di siti di gaming online». In Italia, in particolare, Microsoft ha identificato ripulito il 21.9% in più di pc infetti.
Incidenza del malware sui sistemi operativi MS
Come in evidenza nel grafico precedente, lo stato di aggiornamento del software è un elemento imprescindibile in questa valutazione, e l’uso di un sistema operativo di nuova generazione è un punto di vantaggio per il sistema. I dati parlano chiaro: «Diverse versioni del sistema operativo Microsoft Windows mostrano frequenze di infezione diverse dovute alle funzioni peculiari e ai Service Pack disponibili per ciascuna di esse, e alle differenze nel modo in cui singoli utenti e organizzazioni utilizzano ogni versione». Windows XP, il SO più diffuso, risulta essere di gran lunga quello più colpito. Windows Vista (meno presente e più sicuro) conta percentuali di infezione molto più basse («La frequenza di infezioni in Windows Vista SP1 è stata del 61,9 % inferiore rispetto a Windows XP SP3»). L’analisi dell’incidenza degli Exploit basati su browser a tal proposito parla chiaro: «Per gli attacchi basati su browser su computer Windows XP, le vulnerabilità Microsoft ammontavano al 56,4% del totale. Su computer Windows Vista, le vulnerabilità Microsoft ammontavano a solo il 15,5% del totale».
Il SIRv7 ha identificato tre tendenze evidenti per quanto concernente le categorie di malware maggiormente presenti negli ultimi mesi:
- «i Trojan di vario tipo (inclusi software di protezione non autorizzati) si sono confermati come la categoria più diffusa»;
- «i worm sono saliti dal quinto posto occupato nel secondo semestre 2008 al secondo nel primo semestre 2009»;
- «è aumentata anche l’incidenza di software di intercettazione delle password e strumenti di monitoraggio, aumento dovuto in parte alla crescita di malware indirizzato contro i giocatori online».
Tra le tendenze più evidenti, però, v’è l’uso di siti contraffatti per proporre in modo subdolo agli utenti il malware passando per pagine conosciute e con una certa reputazione. Così facendo:
- «Le impression di siti contraffatti sono aumentate significativamente nel primo semestre 2009, principalmente a causa della forte crescita di attacchi di tipo phishing indirizzati a siti di social networking»;
- «I creatori di siti contraffatti hanno ampliato la gamma di tipologie di siti Web attaccati rispetto al passato: siti per il gaming online, portali e presenze online delle più importanti aziende sono stati alcuni dei bersagli preferiti nel primo semestre 2009»;
- «Dopo essere rimasto sostanzialmente invariato per tutto il secondo semestre 2008 e fino ad aprile 2009, il numero di impression è improvvisamente quasi raddoppiato a maggio e ha proseguito nella sua ascesa anche a giugno, in parte in seguito a campagne indirizzate contro i siti di social networking».
Cinque tra le falle più compite da exploit su Windows XP erano originate da software Microsoft. Seguivano nella top 10 una vulnerabilità in Adobe Reader, una in Apple QuickTime ed una in WinZip. Su Vista il quadro è radicalmente cambiato con un solo problema addebitabile a Microsoft all’interno della top 10 delle falle più colpite, mentre il resto è lasciato a vulnerabilità di aziende terze (Adobe, Baidu, RealNetworks). Adobe Flash Player, risulta essere l’applicazione maggiormente nel mirino negli ultimi mesi.
Il quadro relativo ad Office denota invece una pesante responsabilità dell’utenza sulle minacce incontrate. Gran parte delle vulnerabilità sfruttate dagli attacchi, infatti, potrebbero essere facilmente risolte a priori aggiornando i prodotti in uso. La realtà, però, racconta una storia differente:
- «La gran parte delle vulnerabilità di applicazioni Microsoft Office sfruttate con maggiore frequenza nel primo semestre 2009 erano tra quelle meno recenti. Più della metà delle vulnerabilità sfruttate erano state identificate e risolte dagli aggiornamenti per la protezione Microsoft nel 2006»;
- «Il 71,2% degli attacchi ha sfruttato un’unica vulnerabilità per la quale era disponibile da tre anni un aggiornamento per la protezione (MS06-027). I computer che avevano applicato l’aggiornamento sono stati protetti da tutti gli attacchi.»;
- La maggior parte degli attacchi a Office rilevati nel primo semestre 2009 (55,5%) hanno riguardato installazioni di programmi Office che erano state aggiornate tra luglio 2003 e giugno 2004. La maggior parte di questi attacchi hanno riguardato gli utenti di Office 2003 che non avevano applicato un Service Pack o un aggiornamento per la protezione dopo il rilascio della versione originale di Office 2003 nell’ottobre 2003 […] Microsoft raccomanda di configurare il computer per l’utilizzo di Microsoft Update, che si occupa di aggiornare il sistema operativo Windows e tutti i software Microsoft»
L’uso di Microsoft Update è ora in forte aumento, segno di una maggiore informazione che ha portato presso l’utenza una maggiore disponibilità nei confronti di un controllo più vasto su tutti i software Microsoft (Windows Update, al contrario, monitora soltanto il sistema operativo):
Uso di Windows Update e Microsoft Update