Ci sono in giro sempre meno vulnerabilità, ma sono sempre più facili da colpire. È questo il primo dato basilare restituito dal Microsoft Security Intelligence Report, uno studio “made in Redmond” che fotografa l’andamento della sicurezza informatica nell’ultimo semestre. Due i punti chiavi evidenziati dal report:
- «Il numero totale dei rilevamenti delle singole vulnerabilità nel settore è diminuito nella prima metà del 2008, precisamente del 4% rispetto alla seconda metà del 2007 e del 19% rispetto alla prima metà del 2007»;
- «Nonostante la diminuzione dei rilevamenti totali nell’intero settore, le vulnerabilità classificate nella fascia di gravità Elevata secondo il Common Vulnerability Scoring System (CVSS)2 sono aumentate del 13% nella seconda metà del 2007, con circa il 48% di tutte le vulnerabilità nella fascia di gravità Elevata. Queste cifre confermano un’ulteriore diminuzione del 28% rispetto alla prima metà del 2007».
Ma i dati risultano oltremodo significativi se analizzati più approfonditamente. Le vulnerabilità di fascia elevata soggette ad exploit di complessità bassa, infatti, sarebbero ben il 56% del totale, rendendo facile il lavoro per malintenzionati desiderosi di portare avanti truffe basate sui bachi rilevati. Per contro, i pericoli si sarebbero spostati nel tempo sempre più sul piano delle applicazioni, lasciando ai sistemi operativi una responsabilità diretta soltanto sul 10% delle vulnerabilità emerse. Per Microsoft è questo un dato che equivale ad un sospiro di sollievo, dopo che soprattutto nel 2003 il gruppo era stato bersagliato di critiche per i problemi scatenati dai bug del codice proveniente dai propri laboratori. «Nella prima metà del 2008 i rilevamenti delle vulnerabilità nei software Microsoft hanno subito una costante diminuzione, sia in termini di numero totale di rilevamenti che di numero totale di rilevamenti del settore»: il valore addebitato al gruppo è oggi pari al 4% del totale.
Il report restituisce inoltre un credito specifico a Windows Vista. Un punto specifico nella sua progettazione era relativo alla necessità di limitare i pericoli provenienti da browser, ed il risultato pare essere stato raggiunto: «Per gli attacchi basati su browser nei computer con Windows XP, le vulnerabilità Microsoft ammontavano al 42% del totale. Nei computer con Windows Vista, tuttavia, la proporzione di vulnerabilità sfruttate nei software Microsoft era di gran lunga inferiore, ammontando al 6% del totale». Non solo: con alcuni grafici Microsoft evidenzia come i problemi derivino soprattutto da software di terze parti, mentre «Il software Microsoft è stato interessato da 5 delle 10 principali vulnerabilità basate su browser sfruttate nei computer con Windows XP nella prima metà del 2008, rispetto al valore zero dei computer con Windows Vista».
La perdita di dati sensibili viene attribuita dal report (e dai dati della Data Loss Database della Open Security Foundation) soprattutto al furto di apparecchiature: è dunque una matrice fisica, e non tecniche di hacking o virus, il mezzo prediletto per far propri dati di importante valore commerciale sul mercato di riferimento (i dati vengono venduti in speciali pacchetti che, in base a quantità, affidabilità ed importanza, possono avere valutazioni differenti in quello che è un autentico incontro tra domanda ed offerta).
A livello di malware, invece, c’è una distribuzione particolare sul territorio legata strettamente alle condizioni economiche internazionali: «il numero di infezioni rilevate tende ad essere più elevato nei paesi e nelle aree in via di sviluppo rispetto ai paesi e alle aree sviluppate». Non a caso Brasile, nord Africa e zona Mediorientale risultano essere quelle a maggior rischio. L’Italia, per contro, risulta essere una zona di rischio relativamente basso, condividendo sostanzialmente le percentuali di Australia, Cina ed India. Nel nostro paese «la categoria di minacce più diffusa è quella dei software potenzialmente dannosi, principalmente client peer-to-peer (P2P) Win32/BearShare e la barra degli strumenti pubblicitaria Win32/Hotbar».
Tre i trend evidenziati dal Microsoft Security Intelligence Report per quanto concernente i pericoli del malware:
- «Nella prima metà del 2008 il totale di malware e software potenzialmente indesiderati rimossi dai
computer di tutto il mondo è aumentato di oltre il 43% rispetto alla seconda metà del 2007»; - «I modelli di malware individuati e rimossi dai prodotti di protezione Microsoft possono variare a seconda
dei paesi analizzati; tuttavia, i trojan downloader e dropper costituiscono oltre il 30% di tutto il malware
rimosso grazie ai prodotti di protezione Microsoft nel mondo. Questa tendenza si basa sui notevoli
aumenti di volume di trojan downloader e dropper rilevati durante gli ultimi anni»; - «Come nella seconda metà del 2007, i downloader e i dropper rappresentano la principale categoria di minacce, in quanto utilizzano numerose tecniche di ingegneria sociale per diffondersi. Due di tali famiglie
di malware, Win32/Zlob e Win32/Renos, sono responsabili di oltre il 96% dei computer ripuliti di questa
categoria»./li>
Il report affronta quindi il problema dello spam a partire dai dati del Microsoft Exchange Hosted Services, strumento utilizzato per bloccare qualcosa come il 90% dei messaggi in circolazione sugli account Microsoft nei mesi compresi dal rilevamento cui fa capo la ricerca.
«Gli annunci pubblicitari di prodotti farmaceutici hanno costituito il 51,5% dei messaggi di spamming bloccati da Exchange Hosted Services nella prima metà del 2008, la maggior parte dei quali promuovevano prodotti quali Viagra e Cialis (30,6% del totale). Nella maggior parte dei casi, gli annunci
pubblicitari sono fraudolenti. Gli annunci pubblicitari che promuovevano prodotti non farmaceutici ammontano al 19,9% del totale»: non c’è dunque solo un problema di frode fine a se stessa, ma anche un problema di email scollegate da finalità fraudolente ed orientate ad un vero e proprio commercio basato sul distorto canale promozionale della posta non desiderata.
Il report sembra minimizzare i rischi relativi al phishing: il problema è attribuito ad appena il 2.5% dei messaggi bloccati dal filtro Microsoft, con un numero di pagine fraudolente attive rimasto sostanzialmente costante durante i primi mesi dell’anno. Il problema ha probabilmente trovato un primo ostacolo serio sul proprio percorso ed ora i malfattori stanno tentando di spostare altrove il proprio campo d’applicazione: «Sebbene le istituzioni finanziarie con sede negli Stati Uniti restino l’obiettivo più frequente dei tentativi di phishing, i ricercatori Microsoft hanno osservato uno spostamento verso altri paesi in cui si parla molto l’inglese, ovvero il Regno Unito e l’India».
Per quanti volessero analizzare nei dettagli il Microsoft Security Intelligence Report, il tutto è disponibile al download anche con abstract in lingua italiana.