Aumento della collaborazione a livello globale riguardo alle misure
restrittive nei confronti del cybercrime; aumento del prezzo per i
servizi criminali futuri; aumento degli attacchi che bypassano i
sistemi di protezione; aumento delle richieste di lavoro per
cybercriminali; un maggior numero di cybercriminali entreranno in
gioco tentando di riciclare codici sorgente esistenti. Questi nel
2011 i cinque trend salienti nel settore della security segnalati
da Fortinet, fornitore globale di sicurezza di rete attivo nel
settore Unified threat management (Utm).
Maggiore collaborazione globale contro il cybercrime. Nel
2011 si prevede che le autorità consolideranno le iniziative di
collaborazione globali e lavoreranno con le forze di sicurezza per
contrastare i gruppi cybercriminali in crescita. Anche se la
European Electronic Crime Task Force è stata un buon passo in
avanti nel 2009, non ha avuto ampio raggio di azione.
L'interruzione dell'attività di Zeus avvenuta nel 2010,
che ha portato alla formulazione di accuse da parte delle autorità
competenti negli Stati Uniti e nel Regno Unito, costituisce un
ottimo esempio.
Quest'anno ci sono stati esempi di collaborazioni
internazionali quali Operation Bot Roast (iniziativa dell’FBI),
il Conficker Working Group e i recenti casi di
Mariposa/Pushdo/Zeus/Bredolab per smantellare gruppi
cybercriminali, ma queste operazioni si sono concentrate solo sulle
violazioni con una maggiore visibilità e con un impatto, a volte,
solo temporaneo. Ad esempio, a novembre le autorità hanno bloccato
il botnet Koobface, ma i server sono stati riconfigurati e sono
tornati in piena attività dopo una settimana.
Aumento dei computer infetti. Oggi si assiste a
una diffusa preoccupazione per la creazione di imperi malware da
parte dei criminali: il controllo delle infezioni gestite può
portare a tempi di attività più lunghi e un maggior flusso di
denaro. Funzioni dette "bot killers" vengono implementate
in nuovi bot destinati genericamente a distruggere altre minacce
che potrebbero essere nascoste nel sistema stesso, come Skynet vs.
MyDoom/Bagle e Storm vs. Warezov/Stration. È stato osservato, ad
esempio, un bot che entra nella memoria alla ricerca di comandi
utilizzati da altri bot Irc presenti sullo stesso computer. Una
volta individuati, i processi che utilizzano questi comandi vengono
eliminati, essendo percepiti come una minaccia per il bot
stesso.
Mentre nel 2011 i computer saranno infettati da nuove fonti di
attacchi, aumenterà il numero dei computer già contagiati. Di
conseguenza, si assisterà probabilmente a un aumento del prezzo
dei servizi criminali, ad esempio l'affitto di bot che caricano
software dannoso nei computer e di malware che includono la
manutenzione del computer per ottimizzare il tempo di attività dei
computer infetti.
Aumento degli attacchi che bypassano i sistemi di
protezione. Le tecnologie di sicurezza per prevenire o
limitare gli attacchi informatici nei moderni sistemi operativi
(Aslr, Dep, sandboxing ecc.) stanno evolvendo notevolmente come le
macchine che li supportano. Questa evoluzione ha sicuramente
limitato il terreno di diffusione del malware e ciò, nel 2011,
aumenterà la domanda di metodi per infrangere queste barriere. Nel
2010, sono stati inoltre osservati rootkit come Alureon che hanno
bypassato queste difese e infettato il record di avvio principale
per preparare l'attacco.
Si prevede che altri rootkit seguiranno, nel tentativo di
introdursi nei computer più recenti, e che verranno sferrati
ulteriori attacchi innovativi per aggirare le difese come Aslr/Dep
e sandboxing come quelle lanciate da Google Chrome e Adobe nel
2010.
Cybercriminali alla ricerca di nuova manodopera. I lavori
per cybercriminali per cui è stata osservata una crescita della
domanda comprendono sviluppatori per piattaforme e pacchetti
personalizzati, servizi di hosting per dati e programmi malevoli,
persone in grado di bypassare i Captcha, quality assurance
(antirilevamento) e distributori (affiliati) per la diffusione di
codice dannoso. I programmi per nuovi affiliati saranno
probabilmente i più fruttuosi, grazie all'arruolamento di
persone che si candidano per distribuire codice dannoso.
Gli operatori di botnet hanno in genere provveduto direttamente al
loro sviluppo, ma si ritiene che nel 2011 più operatori
inizieranno a delegare questa attività agli affiliati
(intermediari su commissione). I botnet Alureon e Hiloti sono due
esempi per cui è già stato adottato questo concetto, con la
creazione di programmi di affiliazione e la retribuzione di
chiunque sia in grado di infettare altri sistemi per conto
dell'operatore. Attraverso un'armata di distributori, i
botnet continueranno a prosperare.
Diffusione del codice sorgente. Oggi lo stesso
malware può nascondersi dietro diversi nomi e alias. Anche il
rilevamento incrociato da parte di diversi vendor di sicurezza non
fa che aumentare la confusione. Questo è il risultato di una
comunità di sviluppatori in crescita, alimentata dalla
disponibilità del codice sorgente e delle librerie che vengono
"presi a prestito" per creare e vendere nuovo malware.
Capita spesso che due malware sottoposti a valutazione rivelino una
natura praticamente identica, eccetto la modifica di un piccolo
componente al loro interno. Questo tipo di malware "copia &
incolla" indica che più sviluppatori hanno adottato lo stesso
codice sorgente.
Nel 2011 si prevede che un numero maggiore di criminali
parteciperà all'operazione tentando di guadagnare denaro
riciclando codice sorgente esistente. Mentre il codice sorgente
pubblico (accessibile a tutti) continuerà a creare problemi nel
panorama della sicurezza, il codice sorgente privato aumenterà di
valore, così come il lavoro degli sviluppatori esperti. In
parallelo, si prevede sempre più collaborazione implementando il
controllo della fonte come farebbe una qualsiasi azienda legittima
di sviluppo software o progetti open source (Source Forge).
