SINTESI Drive-by download. Il web sotto assedio Lo scritto parla del download di malware a partire dai siti web su cui si trova l’utente, senza che questo sia consapevole di ciò che sta avvenendo: i cosiddetti attacchi “drive-by download”. L’autore si sofferma a descrivere come gli utenti vengano indotti a visitare siti infetti, quali tecnologie vengano adottate per organizzare gli attacchi, come con l’aiuto del download drive-by i cybercriminali rubino i dati personali e si impadroniscano dei computer degli utenti. I criminali informatici impiegano ampiamente Internet per diffondere virus, rootkit, spyware, Trojan e adware, software fasulli per la protezione dei dati e utility per la creazione di botnet. La consegna del malware dai siti web tramite download drive-by permette di infettare i computer in maniera invisibile e, di conseguenza, di condurre con più successo gli attacchi. Proprio per questo tale metodo risulta molto popolare tra i Cybercriminali: stando ai dati riportati da ScanSafe, il 74% di tutto il malware individuato nel terzo trimestre del 2008 era collocato su siti web infetti. L’attacco drive-by download si realizza in due fasi. Inizialmente l’utente viene ingannato da un annuncio di spam diffuso via e-mail o affisso su una bacheca di qualche sito, successivamente il codice maligno ivi contenuto inoltra la richiesta del browser verso un server estraneo dove si trova l’exploit. Durante gli attacchi drive-by i malintenzionati usano pacchetti di exploit acquistati su siti illegali gestiti da hacker. Gli exploit colpiscono le vulnerabilità del web browser, o un suo plug-in sprovvisto di patch, o un controllo ActiveX vulnerabile, oppure ogni altra falla presente all’interno di software di terze parti. Il server sul quale sono collocati i kit degli exploit può utilizzare le request header HTTP provenienti dall’apertura di un browser per determinare il tipo di browser, la sua versione e il sistema operativo adoperato. Page 1 Non appena è stato definito il sistema operativo della vittima, dal kit si attiva il relativo exploit. In alcuni casi possono essere attivati contemporaneamente diversi exploit, che cercano di infettare il computer utilizzando le vulnerabilità nelle applicazioni di terze parti. Nel caso di successo, sul computer si installa, senza che ce ne si accorga, un Trojan che consente ai malintenzionati di ottenere il controllo totale del PC ormai infetto. Ne consegue che i criminali informatici ottengono l’accesso ai dati confidenziali contenuti nel computer colpito e la possibilità di realizzare, partendo da esso, attacchi DDoS. Prima i criminali informatici creavano siti contenenti malware, ma ultimamente pare preferiscano infettare risorse web legittime collocando in esse exploit o codici che eseguano il redirect delle richieste, cosa che rende gli attacchi via browser ancora più pericolosi. Gli esperti di sicurezza IT parlano di epidemia su larga scala creata proprio dai download di tipo drive-by. Negli ultimi 10 mesi il Google Anti-Malware Team ha analizzato miliardi di pagine alla ricerca di “attività maligna”, ed ha riscontrato oltre 3 milioni di URL contenenti exploit che utilizzano drive-by download. Tale epidemia è essenzialmente dovuta al fatto che su molti computer non sono installati gli aggiornamenti di Windows, perciò la maggior parte degli exploit utilizza vulnerabilità note per le quali sono già disponibili le patch, che però sono state ignorate dagli utenti. L’autore conclude l’articolo con alcune raccomandazioni e consigli che possono aiutare gli utenti a realizzare un’efficace difesa contro gli attacchi che utilizzano download driveby. Un approccio decisamente efficace per proteggersi da questa minaccia consiste nell’installazione di tutti gli aggiornamenti rilasciati dai produttori di software. Page 2 È indispensabile, inoltre, usare web-browser che eseguano il blocco di siti di phishing e malware (Internet Explorer, Mozilla Firefox e Opera). Va attivato un firewall, installati tutti gli aggiornamenti del sistema operativo Microsoft, usato un software anti-virus e mantenerlo aggiornato. È anche molto importante che il prodotto anti-virus analizzi il traffico Internet, in modo da identificare in tempo eventuali tentativi di attacco tramite drive-by download. La versione integrale dell’articolo è disponibile nella sala di lettura www.kaspersky.com/it/reading_room?chapter=207716733<. Kaspersky Lab acconsente alla ristampa dei propri materiali previa indicazione completa della fonte (autore e società). Informazioni su Kaspersky Lab Kaspersky Lab è tra le aziende leader nello sviluppo di software per la sicurezza dei dati, con sedi a Mosca (Russia), Cambridge (Regno Unito), Pleasanton (California, Stati Uniti). L’azienda conta oltre 1000 impiegati, distribuiti in 13 Paesi: Russia, Germania, Inghilterra, Francia, Italia, Spagna, Olanda, Giappone, Polonia, Romania, Cina, Corea del Sud e Stati Uniti. Fondata nel 1997, Kaspersky Lab focalizza la sua attività nello sviluppo di tecnologie e software per la sicurezza informatica. Il prodotto principale di Kaspersky Lab, conosciuto come Kaspersky Anti-Virus, è in costante sviluppo dal 1989 per offrire il massimo livello di sicurezza agli utenti privati e corporate. Kaspersky ha siglato in questi anni importanti partnership con SUSE e Red Hat e, dal 2003, è Gold Certified Partner Microsoft. Per ulteriori informazioni su Kaspersky Lab, visitate il sito www.kaspersky.it © 2009 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein. Page 3