Pc zombie, la nuova minaccia Nel mondo sono già due milioni

CYBERCRIME


Pc zombie, la nuova minaccia
Nel mondo sono già due milioni

Il computer diventa parte di una 'robot rete', controllata dagli hacker senza che il legittimo proprietario se ne accorga. Unico rimedio: antivirus sempre aggiornati

CYBERCRIME Roma, 6 gennaio 2006. - Migliaia di pc «in sonno», al chiuso dei nostri uffici e delle nostre case, controllati a distanza da hacker che aspettano solo l'ora e l'occasione più propizia per «risvegliarli», a nostra insaputa, e utilizzarli ai fini più diversi. Tutti rigorosamente illegali.
Sembra lo scenario nemmeno troppo originale di un film di fantascienza e invece è la nuova, concretissima frontiera del cybercrime. Che dopo aver attraversato mezzo mondo - secondo Symantec nei primi sei mesi del 2006 i computer «zombie», come vengono definiti in gergo, erano tra 1,5 e 2 milioni, il 140% in più rispetto all'ultima rilevazione - ha raggiunto anche l'Italia.

Difficile, se non impossibile, azzardare stime precise, ma le macchine infettate anche da noi dovrebbero essere nell'ordine di diverse decine di migliaia. Un numero destinato inevitabilmente a crescere con la diffusione di Internet.

«È attraverso la rete che si diffonde il 'contagio' - conferma infatti il colonnello delle Fiamme gialle Umberto Rapetto, comandante dello speciale Nucleo frodi telematiche -: il meccanismo di trasmissione ripete in sostanza quello degli immortali 'trojan' (i programmi 'cavalli di troia', ndr) con utenti che, convinti in buona fede di installare ed eseguire un certo programma, si trovano a scaricare applicazioni di tutt'altro tipo».

Il risultato finale è inquietante: «da quel momento il nostro pc diventerà infatti parte integrante di una rete, in gergo di una 'botnet', contrazione di robot network, comprendente decine di migliaia di altri pc, controllati remotamente da terzi».

La possibilità che il legittimo proprietario se ne accorga sono praticamente nulle: «il computer infettato potrà rallentare la sua velocità di esecuzione, ma non è detto, e in ogni caso si tratterà di un rallentamento impercettibile all'occhio di un utente medio».

Ma quali sono i rischi legati alla crescita esponenziale del fenomeno? «Le possibilità di applicazione sono numerose, e in parte ancora da esplorare - ammette Francesca Di Massimo, responsabile dei programmi di sicurezza di Microsoft Italia -: il capitano, come viene chiamato in gergo l'hacker autore dell'infezione può ordinare ai 'suoi' pc veri e propri attacchi web del tipo spam (la famigerata posta spazzatura che intasa le nostre e-mail) o denial-of-service (la paralisi di siti indotta da migliaia di accessi contemporanei mirati) ma può servirsene anche per la propagazione di virus tradizionali, furti di identità, attività di vero e proprio spionaggio».

I pc zombie - forti di un ritmo di crescita pari, nel mondo, a 350 mila nuove reclute al mese - rappresentano una minaccia potenzialmente devastante anche, se non soprattutto, per l'economia legale, per le transazioni commerciali, per il business on line in generale: «in questo senso non sembra casuale - avverte Di Massimo - che l'8% dei pc zombie di tutto il mondo sia concentrato a Londra, una delle capitali della finanza, e un altro 8% negli Stati Uniti».

E l'Italia? «Il fenomeno è talmente dinamico da non potersi fotografare in termini statistici», risponde il colonnello Rapetto: «un esempio? La polizia olandese, di recente, ha scoperto una rete di pc zombie da un milione e mezzo di nodi coinvolti».

Ma l'ultimo report della CipherTrust, la società che monitora i tempo reale il fenomeno, segnala come il nostro Paese, con oltre 30 mila pc contagiati in una settimana, avrebbe scalato rapidamente posizioni tanto da entrare nella top ten dei Paesi coinvolti.

Ma è proprio impossibile difendersi? Anche in questo caso, rispondono in coro gli esperti, l'unica strada percorribile è quella della prevenzione.

«Lasciare a lungo il pc acceso, ad esempio di notte, per scaricare dei programmi, è quanto meno imprudente - spiega il comandante del Nucleo frodi telematiche -: in questi momenti il processore non è 'stressato' dalle richieste del legittimo utente ma mantiene le sue capacità di reazione ed è più soggetto a manipolazioni esterne. È allora che l'hacker ha buon gioco nel prenderne il controllo e piegarla ai propri bisogni, alterandone quello che è il naturale 'ciclo biologico': il computer continuerà ad obbedire ai comandi dell'utente ma al tempo stesso comincerà a vivere una vera e propria vita parallela».

Una curiosità: secondo uno studio citato dalla Bbc, un pc acceso e collegato alla rete da una postazione domestica è esposto, ogni notte, a una cinquantina di attacchi informatici di vario tipo, tentativi di intrusione compresi.

I creatori delle botnet - conclude Francesca Di Massimo - «sfruttano eventuali errori di configurazione ma soprattutto le vulnerabilità del sistema: ecco perché è fondamentale proteggere il pc usando solo software originale e aggiornandolo puntualmente. Così come vitale è il ricorso sistematico a buoni antivirus e firewall personali».

qn.quotidiano.net/chan/tecnologia:5454941:/2007/01/06:

DoS o DDOS


Il DoS, scritto con la maiuscola al primo e terzo posto, è la sigla di denial of service, letteralmente negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio.

Anche limitando il discorso al blocco di un sito web, esistono, e sono stati utilizzati, parecchi modi di ottenere questo risultato.

Attacchi portati da un singolo host

Questi tipi di attacco, provenendo da un'unica fonte, sono potenzialmente rintracciabili.


Cosa è un HOst?

Si definisce host o end system (terminali) ogni terminale collegato ad Internet. Gli host possono essere di diverso tipo, ad esempio computer, palmari, dispositivi mobili e così via, fino a includere web TV, dispositivi domestici e thin client.

L'host è definito in questo modo perché ospita programmi di livello applicativo che sono sia client (ad esempio browser web, reader di posta elettronica), sia server (ad esempio, web server).

Uno stesso host può agire contemporaneamente da client e da server, in particolare con le applicazioni peer to peer (esempio Napster, Kazaa, Direct Connect etc.).

I terminali sono collegati attraverso link di comunicazione.

Syn-Flood


Il più banale, e storicamente il primo, si chiama Syn-Flood o Syn-Flooding, letteralmente "inondazione di pacchetti di tipo Syn". Tutte le volte che un utente fa click su di un link di una pagina web richiede l'apertura di una connessione (di tipo TCP) verso quel sito; questo avviene seguendo una serie di passi, il primo dei quali consiste nell'invio di un pacchetto TCP che richiede l'apertura di una connessione.

Le regole di funzionamento del protocollo TCP esigono che il sistema risponda allocando alcune risorse (in pratica memoria) per la connessione. Se si programma opportunamente un semplice PC, è possibile richiedere l'apertura di diverse migliaia di connessioni al secondo, che "inondando" il server, ne consumano rapidamente tutta la memoria, bloccandolo o mandandolo in crash.

Il problema di questo tipo di attacco è che il computer attaccante deve poter mandare il flusso di pacchetti attraverso la connessione ad Internet fino al server attaccato; poiché le connessioni che sono normalmente disponibili, sia per i buoni che per i cattivi, sono lente, questo diventa impossibile.

Smurf

Una modalità di attacco più sofisticata, detta Smurf, utilizza un flusso di pacchetti modesto, in grado di passare attraverso una normale connessione via modem, ed una rete esterna, che sia stata mal configurata, che agisce da moltiplicatore di pacchetti, i quali si dirigono infine verso il bersaglio finale lungo linee di comunicazione ad alta velocità.

Tecnicamente, viene mandato uno o più pacchetti di broadcast verso una rete esterna composta da un numero maggiore possibile di host e con l'indirizzo mittente che punta al bersaglio (broadcast storm).

Si noti che questo tipo di attacco è possibile solo in presenza di reti che abbiano grossolani errori di configurazione dei sistemi (detti router) che le collegano tra loro e con Internet.

Attacchi da più hosts

In questi attacchi il bersaglio viene attaccato contemporaneamente da più fonti, rendendo difficile rintracciare l'attaccante originario.


DDoS

Una variante di tale approccio è il DDoS (Distributed Denial of Service) dal funzionamento identico ma realizzato utilizzando numerose macchine attaccanti che insieme costituiscono una botnet.

Gli attaccanti tendono a non esporsi direttamente, dato che per le forze dell'ordine sarebbe relativamente semplice risalire ai computer utilizzati per l'attacco. Gli attaccanti, per evitare di essere individuati e per avere a disposizione un numero sufficiente di computer per l'attacco inizialmente, infettano un numero elevato di computer con dei virus o worm che lasciano aperte delle backdoor a loro riservate. I computer che sono controllati dall'attaccante vengono chiamati zombie. Quando il numero di zombie è ritenuto adeguato, o quando scatta una specifica data, i computer infetti si attivano e sommergono il server bersaglio di false richieste. Con l'avvento della banda larga il fenomeno dei DDOS sta assumendo proporzioni preoccupanti, dato che attualmente esistono milioni di persone dotate di una connessione ad Internet molto veloce e permanente ma con scarse o nulle conoscenze e contromisure riguardanti la sicurezza informatica.



DRDoS

Una particolare categoria di DDoS è il cosí detto Distributed Reflection Denial of Service (DRDoS). In questa particolare tipologia di attacco, il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci utilizzando come indirizzo di provenienza non il proprio bensí quello del bersaglio dell'attacco. In questo modo i server risponderanno affermativamente alla richiesta di connessione non all'attaccante ma al bersaglio dell'attacco. Un tale scenario vede immediatamente esaurirsi le risorse del bersaglio.

Quest'ultimo tipo di attacco è particolarmente subdolo perché, a causa della natura delle risposte, è difficilmente schermabile dall'utente comune: infatti se si filtrassero le risposte dei server verrebbe compromessa la funzionalitá stessa della connessione di rete impedendo, di fatto, la ricezione anche delle informazioni desiderate. Le risposte dei server, sollecitate dall'attaccante, sono infatti indistinguibili da quelle generate da una richiesta legittima della vittima. Il problema si sta presentando con maggiore incidenza da quando Microsoft ha deciso di rendere le "Raw Sockets", interfaccia di accesso al TCP/IP, facilmente disponibili. Le RAW sockets permettono appunto di cambiare l'indirizzo di provenienza del pacchetto per sostituirlo con quello della vittima, fatto che è strumentale per questo tipo di attacco.

Un attacco DRDoS subito nel 2002 da GRC è stato dettagliatamente analizzato. E' disponibile online un resoconto completo in lingua ingles

Netstrike

Un netstrike è un attacco informatico non invasivo che consiste nel moltiplicare le connessioni contemporanee al sito-target al fine di rallentarne o impedirne le attività.

Storia

Questa metodologia di attacco è stata inventata da un gruppo italiano nel 1995, che invitava a questa protesta elettronica di massa con questo testo:
«A differenza del nome (che comunque suona bene), è una versione distribuita di un sit-in pacifico. La metafora che meglio rappresenta il concetto di netstrike è la seguente: si immagini un numero di persone che cammina in un incrocio pedonale pieno di segnali e insegne, se il loro numero è veramente grande, potrebbero bloccare il traffico per un tempo significativo. Il primo obiettivo per un netstrike è stato un sito del governo francese che in quel periodo conduceva test nucleari nell'atollo di Mururoa. Da quel momento in poi sono stati effettuati infiniti netstrike, in alcuni casi da noi promossi, in molti altri, invece, su iniziativa di tutte le persone del mondo»

Principi dell'attacco



Un netstrike può avere o meno le seguenti caratteristiche:

* Tipicamente il bersaglio viene avvisato che, in forma di protesta, un numero considerevole di utenti farà accesso al sito in un determinato giorno e in una determinata ora.
* Questo attacco avviene ripetendo in maniera coatta il refresh della pagina in questione.
* Altre volte vengono create delle pagine ad-hoc che simulano in maniera ripetitiva quest'azione.

In questo modo, le risorse della macchina che ospita il sito-target verranno presto saturate, rendendolo quindi inaccessibile. Altre volte vengono create delle pagine ad-hoc che simulano in maniera ripetitiva quest'azione.

Il problema principale nei Netstrike sono i proxy-server con cache web (o cached proxy). Infatti se il browser del computer è configurato in modo da ricaricare la cache locale è comunque possibile disattivare l'opzione in modo da renedere i refresh delle pagine efficaci. Tuttavia non è sempre possibile modificare le opzioni dei proxy-server poiché non è permesso accedere alla configurazione del server proxy (usatissimi non solo nelle reti locali aziendali, scolastiche e universitarie).

Per risolvere questo problema vengono spesso aggiunti dei parametri casuali simulando una query alla pagina o al file richiesto. Per fare questo è sufficiente concatenare all'indirizzo del file richiesto l'ora di sistema locale (ottenibile con uno script in javascript).

Esempio di attacco

Supponendo di voler caricare il file all'indirizzo: www.sito.com/file.jpg (che viene salvato nella cache dei proxy). Si puo', invece, caricare il file: www.sito.com/file.jpg? (viene ricaricato a ogni richiesta).

Esempi:

* www.sito.com/file.jpg?1150799123 (con timestamp UNIX)
* www.sito.com/file.jpg?12/11/2006+10:11:41

Ovviamente il parametro (la data) dovrà essere aggiornata a ogni nuova richiesta della pagina o file remoto.

In alcuni casi si utilizza anche la funzione random di javascript per concatenare anche un numero casuale. Infatti con le data è possibile eseguire una nuova richeista solo ogni secondo. il risultato completo è quindi:

* www.sito.com/file.jpg?1150799123&736874 (timestamp UNIX e numero casuale successivo)

È da notare come in questo modo si superi automaticamente anche il problema di cache delle pagine nel browser locale, senza bisgono di cambiare la sua configurazione poiché la richiesta è comunque sempre verso a un file diverso.