Foreign Web Attacks Cambia paradigma di sicurezza

I sistemi di sicurezza tradizionali potrebbero essere inefficaci e diventare obsoleti per scongiurare gli attacchi Web lanciati dai paesi, secondo Val Smith, fondatore di Attack Research. Le nuove tendenze di attacco includono spam per blog e iniezioni SQL da parte della Russia e della Cina, ha detto Smith durante il suo discorso al Source Boston Security Showcase di venerdì.

"Gli attacchi sul lato client sono dove sta andando il paradigma", ha detto Smith. "I sistemi di sicurezza monolitici non funzionano più."

Gli hacker utilizzano i browser Web come strumenti di sfruttamento per diffondere malware e raccogliere informazioni riservate. Smith ha utilizzato esempi dai clienti della sua azienda, che analizzano e ricercano attacchi informatici, per dimostrare la minaccia posta dallo spam dei blog e dagli attacchi SQL.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Gli attacchi mirati in alto -trafficia siti con spam da blog e commenti postati sui blog, ha detto. I commenti sembravano strani e tendevano ad avere frasi non inglesi collocate in grossi blocchi di testo con parole a caso ipertestuali, ha detto. Facendo clic su tali collegamenti portava gli utenti a siti che sembravano blog ma erano pagine caricate di malware, Smith ha detto.

Una banca cinese possedeva i domini per ciascun sito di malware, ma gli indirizzi IP (Internet Protocol) tracciati in Germania. Lo studio dei collegamenti ha rivelato che ciascuno conteneva parole in russo o rumeno, ha detto Smith. Inserendo una rotazione internazionale sulle loro nefande attività, gli hacker speravano di confondere chiunque investigasse il loro lavoro, ha detto.

"Come li rintraccerai ai cattivi?" ha detto, sottolineando che il tracciamento è complicato da barriere linguistiche, lavorando con organizzazioni di diritto straniero e trattando paesi "che potrebbero non voler parlare con noi".

Mentre gli obiettivi degli attacchi spam non sono chiari, Smith ha detto che gli incentivi finanziari servire come motivazione. L'adware installato dopo che un utente visita un sito infetto elimina i soldi degli hacker, così come fa clic su un annuncio sulla pagina. Altri hacker stanno cercando di espandere le loro botnet o reti di macchine compromesse utilizzate per scopi malevoli.

L'indagine di Smith ha tracciato gli attacchi a un account DSL domestico in Russia. La natura internazionale dell'incidente ha reso improbabile il procedimento penale, ha affermato.

L'attacco SQL injection di Smith discusso ha avuto origine in Cina e ha tentato di rubare informazioni sulle attività commerciali che hanno visitato il sito Web dell'azienda, che era il cliente di Smith.

Gli hacker lanciarono per la prima volta un'iniezione SQL e caricarono una backdoor che permise loro di assumere il controllo del sistema.

Iniezioni SQL aggiuntive fallirono, così gli hacker cercarono nel sistema un altro exploit. Hanno trovato un'applicazione di libreria che consente il caricamento delle immagini. Gli hacker hanno caricato un file GIF con una riga di codice contenuta nell'immagine. Il sistema informatico ha letto il tag GIF e caricato la foto ed eseguito automaticamente il codice.

Gli hacker "hanno indirizzato un'app personalizzata, in-house, e lanciato un attacco specifico contro quella app", ha detto Smith.

Gli hacker hanno infine inserito il codice HTML "iFrame" su ogni pagina del sito Web della società. Gli iFrames reindirizzarono il browser della vittima a un server che infettava il computer usando uno strumento chiamato "MPack". Questo strumento ha profilato il sistema operativo e il browser di una vittima e ha lanciato attacchi basati su tali informazioni.

Il risultato è che le vittime vengono colpite da più attacchi, ha detto Smith.

Oggi gli attacchi SQL injection sono la principale minaccia alla sicurezza Web, ha detto Ryan Barnett, direttore della sicurezza delle applicazioni di Breach Security, in un'intervista separata dalla conferenza.

L'anno scorso, i criminali informatici hanno iniziato a scatenare massicci attacchi Web che hanno compromesso più di 500.000 siti Web, secondo il fornitore della sicurezza. "Hanno iniziato a gennaio e sono durati praticamente tutto l'anno", ha detto Barnett. In precedenza, la realizzazione di un attacco SQL injection richiedeva tempo, ma gli hacker dello scorso anno hanno creato un codice worm che poteva individuare e penetrare automaticamente in centinaia di migliaia di siti molto rapidamente.

Ora, invece di rubare dati dai siti Web compromessi, i cattivi si stanno sempre più girando e impiantano script dannosi che attaccano i visitatori del sito. "Ora il sito sta diventando un deposito di malware", ha detto.

(Bob McMillan di San Francisco ha contribuito a questo report.)