Non fatevi trascinare nell'armata della botnet

Gli eserciti di malware stanno crescendo, con un forte aumento del numero di computer corrallati in botnet - reti distanti di PC infetti utilizzati dai criminali digitali per rubare dati di account finanziari, inoltrare spam e lanciare Internet paralizzante attacchi. Ora che i popolari siti Web possono diffondere in modo invisibile e involontario software malevolo, i giorni in cui stare tranquilli solo facendo attenzione a dove si naviga sono passati tristemente. Ma puoi prendere provvedimenti per proteggere te stesso e il tuo PC da queste minacce.

I cappelli bianchi volontari di Shadowserver, un'organizzazione no profit dedicata alla lotta contro il flagello bot, mantengono un conteggio di quanti PC infettati da bot vedono con il loro distribuito Sensori di Internet A metà giugno il conteggio iniziò a salire drammaticamente, finendo per esplodere da un campione compreso tra 100.000 e 200.000 per la maggior parte dell'anno fino a un picco di circa 500.000 a metà settembre.

Poiché i sensori di Shadowserver non vedono tutte le botnet, il numero totale di macchine infette da bot è quasi certamente molto più grande. E alcuni degli aumenti apparenti derivano dal fatto che Shadowserver abbia lanciato più sensori. Ma "ci sono chiaramente più robot e PC infetti", afferma Andre M. DiMino, fondatore di Shadowserver. "C'è un aumento nella superficie delle infezioni e di conseguenza il numero di bot che stiamo vedendo."

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Alcuni esperti legano l'aumento della botnet a un recente ondata di attacchi basati sul Web. Gli attacchi di SQL injection, un tipo di attacco contro le applicazioni online, possono aprire siti vulnerabili ma altrimenti benigni e consentire a un hacker malintenzionato di inserire codice bloccato. Quando qualcuno ignora inconsapevolmente un sito avvelenato, la trappola esplosa innesca in modo invisibile i buchi del software sfruttabili attraverso i quali può installare un bot o altro malware. Una volta che infetta un PC, un bot contatta un server su Internet per raccogliere i comandi, come per rubare i log-in del sito finanziario, dal suo controller ladro.

"Nel momento in cui questo salto [nel numero di macchine bot infette] ", afferma John Bambenek, un gestore di incidenza presso l'Internet Storm Center," c'è stato un giro di attacchi SQL injection contro migliaia di siti Web ". L'ISC è un'altra organizzazione di volontari che traccia gli attacchi su Internet diffusi.

I siti innocenti subiscono

Proprio come il software bot che installano, l'iniezione SQL e simili attacchi Web costringono i siti delle vittime a fare le loro offerte. E hanno un numero crescente di buchi da raggiungere: nel 2007 un'azienda di sicurezza, SecureWorks, ha trovato 59 difetti nelle applicazioni che consentivano attacchi con SQL injection. Finora nel 2008, ha trovato 366.

Tracciare e chiudere quei buchi prima che i truffatori li trovino può essere una vera sfida. Basta chiedere a BusinessWeek.com. Quel sito era solo l'ultima proprietà online di grande nome a subire un attacco. Quando abbiamo controllato il rapporto di scansione di Navigazione sicura di Google alla fine di settembre nella nostra ricerca per la versione rivista di questa storia, il rapporto diceva che tra le 2484 pagine di BusinessWeek.com il gigante della ricerca aveva rilevato che "il download di software dannoso veniva scaricato e installato senza il consenso dell'utente "negli ultimi 90 giorni. Il rapporto non ha elencato il sito come sospetto nel suo insieme e ha dichiarato che "l'ultima volta in cui il contenuto sospetto è stato trovato su questo sito è stato il 09/11/2008." In risposta alle nostre richieste, un portavoce di BusinessWeek ha scritto che "l'attacco ha interessato solo un'applicazione all'interno di una sezione specifica del nostro sito Web e tale applicazione è stata rimossa."

Il grande rischio: exploit web

Secondo Joe Stewart, direttore della ricerca sui malware di SecureWorks, per un potenziale criminale di botnet questi attacchi di exploit Web sono di gran lunga la scelta preferita per la distribuzione di codice malvagio. "È quasi impossibile in questi giorni per questi ragazzi provare a inviare l'allegato via e-mail", dice. "Persino le e-mail ti indirizzano in genere verso un sito infetto."

Stewart non ha notato alcuna crescita importante nelle grandi botnet che guarda, ma dice che in genere vede un flusso e riflusso delle dimensioni delle reti di malware distribuite. Quando i dipendenti IT e le società antivirus si attaccano alle infezioni dei bot e le puliscono, i criminali rispondono infettando un nuovo lotto di PC. "Devono continuare queste campagne di seeding per mantenere le dimensioni della botnet", afferma la Stewart.

Queste campagne di seeding in genere utilizzano attacchi Web indirizzati a plug-in browser obsoleti e altri software vulnerabili. "Flash e RealPlayer [plug-in] - quelli sono i più grandi", afferma Stewart. Gli attacchi hanno spesso successo perché può essere difficile per gli utenti sapere quando un plug-in è vecchio e suscettibile, specialmente se è così vecchio da predare gli aggiornamenti automatici.

Il Software Personal Inspector (o PSI) gratuito di Secunia può rendere questo compito più facile. Analizzerà il software obsoleto e fornirà anche collegamenti a patch o versioni aggiornate. Un buon programma antivirus aiuterà, naturalmente, e un firewall in grado di bloccare le connessioni di un telefono cellulare di un bot può fornire un livello secondario di difesa.