Nimda e BadTrans.B
 |
Data
documento:
19 Ottobre 2003 |
Nimda e BadTrans.B
Introduzione
Gli autori di virus stanno usando tecniche sempre più complesse
e raffinate nel loro tentativo di aggirare i software anti-virus e diffondere
i propri virus. Un esempio in tal senso è costituito dal noto virus Nimda che
ha utilizzato molteplici metodi per diffondersi. Il suo comportamento era molto
più vicino ad un exploit che un virus/Trojan, eludendo pertanto il controllo
anti-virus che tipicamente si occupa di questi ultimi. Gli strumenti per la
sicurezza e-mail devono essere perfezionati se s'intende bloccare tale minaccia
prima che causi danni irreparabili. Un software anti-virus, in ogni caso essenziale,
non è in grado di combattere tali minacce da solo; uno strumento per la scoperta
di e-mail exploit è anch'esso necessario.
Che
cosa è un exploit?
Un exploit usa le vulnerabilità conosciute di applicazioni o sistemi operativi
per eseguire un programma o un codice. Tale codice "exploit", ossia acquisisce
illegalmente il controllo di una caratteristica di un programma o del sistema
operativo per scopi propri, in questo modo è possibile eseguire ad arbitrio
codice macchina, lettura/scrittura di file presenti sull'hard disk, o avere
accessi illeciti.
Che cosa è un e-mail exploit?
Un e-mail exploit è un exploit lanciato via e-mail. Un e-mail
exploit è essenzialmente un exploit che può essere allegato in un e-mail, ed
eseguito sul computer ricevente una volta che l’utente ha ricevuto e/o aperto
l’e-mail. Questo consente all’hacker di bypassare la maggior parte dei prodotti
anti-virus e firewall.
Differenze tra
software anti-virus e software per la ricerca degli e-mail exploit
Un software anti-virus è realizzato per individuare codici
dannosi CONOSCIUTI. Un motore per e-mail exploit ha un approccio differente:
esso analizza il codice per l'exploit che PUÒ ESSERE dannoso. Questo significa
che può proteggere da nuovi virus, ma soprattutto, può proteggere da virus/codici
dannosi SCONOSCIUTI. Questo è fondamentale poiché un virus sconosciuto può essere
un'unica parte di un codice, realizzato appositamente per danneggiare il vostro
network. Un software per la ricerca di e-mail exploit analizza le e-mail alla
ricerca di exploit - per esempio, ricerca i metodi usati per "exploit" il sistema
operativo, il client e-mail o Internet Explorer - che possono consentire l'esecuzione
di codici o programmi sul vostro sistema. Esso non esamina se il programma è
dannoso o no. Semplicemente, se l'e-mail sta utilizzando un exploit per eseguire
un programma o un'unica parte di un codice, rileva la presenza di un rischio
per la sicurezza.
In questo modo, un motore per e-mail exploit lavora per scoprire
le intrusioni nel sistema tramite e-mail. Un tale motore può causare falsi allarmi,
ma aggiunge senza dubbio, un nuovo livello di protezione che non è normalmente
contenuto in un pacchetto anti-virus, semplicemente perché utilizza un metodo
completamente diverso per la sicurezza e-mail.
I motori anti-virus forniscono protezione contro alcuni exploit
ma non rilevano tutti gli exploit ed i vari attacchi. Un motore per la scoperta
degli exploit ricerca ogni exploit conosciuto. Poiché un motore per exploit
è ottimizzato per la ricerca di e-mail exploit, significa che può realizzare
tale lavoro molto meglio di un generico motore anti-virus.
Un motore per exploit richiede aggiornamenti meno frequenti
rispetto ad un motore anti-virus, questo perché più che riguardare uno specifico
virus esso si riferisce ad un 'metodo'.
Sebbene l'aggiornamento dei motori anti-virus e di exploit richiede operazioni
molto simili, i risultati sono differenti. Una volta che un exploit è stato
identificato ed integrato in un motore di exploit, tale motore è in grado di
proteggere da tutti i nuovi virus basati sull'exploit conosciuto. Questo significa
che un motore per exploit bloccherà il virus prima ancora che il motore anti-virus
si renda conto del pericolo, e certamente prima che l'anti-virus sia aggiornato
per contrastare l'attacco. Questo costituisce un vantaggio fondamentale, così
come illustrano gli esempi seguenti verificatesi nel 2001.
Le lezioni di Nimda
e BadTrans.B
Nimda e BadTrans.B sono due virus che sono diventati enormemente
famosi nel mondo Internet nel 2001, infatti, infettarono un numero impressionante
di computer con accesso ad Internet. Il solo Nimda, secondo l'agenzia di ricerca
Computer Economics (USA, 2001), ha infettato circa 8,3 milioni di network nel
mondo.
Nimda è un worm che utilizza metodologie multiple per infettare
automaticamente altri computer. Si può moltiplicare e diffondere via email tramite
l'uso di un exploit realizzato ed emesso mesi prima dell'attacco, l'exploit
MIME. BadTrans.B è un warm di mass-mailing che si diffonde grazie al reinvio
dell'exploit MIME. BadTrans.B è il primo warm ad essere comparso dopo lo scoppio
di Nimda.
Grazie alla loro rapida diffusione, sia Nimda che BadTrans.B
colsero di sorpresa i produttori di anti-virus. Infatti, sebbene i produttori
cercassero di aggiornare i propri anti-virus mano a mano che acquisivano informazioni
su ognuno di loro, durante il tempo per la realizzazione degli aggiornamenti
i virus avevano già contagiato un gran numero di computer.
Sebbene entrambi i virus utilizzassero lo stesso exploit, i
produttori di anti-virus dovevano comunque realizzare un file di aggiornamento
per ognuno di loro. Utilizzando invece un motore per la scoperta di exploit,
si sarebbe potuto riconoscere l'exploit usato ed evitare il tentativo di esecuzione
automatica dei file eseguibili attraverso il reinvio dell'exploit MIME.
Test di vulnerabilità
agli exploit
Si può facilmente testare se il vostro sistema è vulnerabile
o meno agli exploit descritti sopra, e/o a minacce ed e-mail exploit simili.
GFI ha realizzato una zona test che consente a tutti di verificare la sensibilità
del proprio sistema alle e-mail exploit quali alterazioni degli header MIME,
exploit active, file CLSID, ed altro. I test eseguibili in tale zona sicuri
e non provocano alcun tipo di danno. Con questi test si può facilmente conoscere
se il vostro sistema è al sicuro o meno da un numero consistente di minacce
e-mail.
E' possibile realizzare i test al sito:http://www.gfi.com/emailsecuritytest/.
GFI MailSecurity
Il primo prodotto per la sicurezza contro gli e-mail exploit
è GFI MailSecurity for Exchange/SMTP. Si tratta di un pacchetto software che
tra i quattro elementi chiave, realizzati per fornire una protezione completa
contro le minacce via e-mail, include un motore per la scoperta degli exploit.
Realizzato dalla GFI, tra i principali ricercatori nel campo
degli exploit, questo primo motore per aziende rileva le firme degli exploit
conosciuti e blocca tutti i messaggi contenenti tali firme. La maggior parte
delle minacce identificate dal motore exploit di MailSecurity non è individuata
da nessun altro programma presente oggi sul mercato.
Connesse a questa caratteristica innovativa, GFI MailSecurity
for Exchange/SMTP include anche multipli motori anti-virus, per garantire
una più alta percentuale di scoperta ed una più veloce risposta ai nuovi virus;
controllo del contenuto della posta e degli allegati, per mettere in
quarantena gli allegati ed i contenuti pericolosi; un motore per le minacce
HTML, per disabilitare gli script HTML; uno Scanner per i Trojan &
gli Eseguibili, per scoprire gli eseguibili potenzialmente pericolosi; ed
altro. GFI MailSecurity è disponibile come versione gateway SMTP e per VS API
(Exchange 2000/2003). La versione gateway dovrebbe essere dispiegata nel perimetro
del network come un relay del server di posta e controllare la posta in entrata
ed uscita.
Ulteriori informazioni ed una versione di valutazione sono
disponibili a: http://www.gfi-italia.com/italia/mailsecurity/.
|
