In pochi hanno notato o visitato il Virus Sensor. Ad oggi ho più di un anno di dati raccolti dalla mia linea ADSL, al netto di qualche giorno di buco per guasti o sospensioni per altre attività.
Da questi dati faccio generare ogni giorno i grafici di attività, sia ogni 24 ore che settimanali. Ma ho anche i grafici di attività sull’ultimo anno.
C’è molto da dire.
Osservando i grafici sorgono considerazioni non proprio confortanti. Andiamo nel dettaglio col primo grafico.
Blaster l’immortale!
E’ pur vero che statisticamente il numero di scansioni casuali si è ridotto ad un quarto, in un anno. Quello che però fa riflettere è che la vulnerabilità cercata e sfruttata da questi malware è stata scoperta nel 2003, informaticamente parlando sono due ere geologiche. A peggiorare le cose, possiamo pensare di stimare il numero di computer infetti che stanno facendo scansioni a caso per cercare vittime, anche se le cose non sono per nulla facili.
Questi malware generano gli indirizzi IP a cui mandare sonde di attacco in questo modo: prendono l’indirizzo IP del computer su cui sono (indesiderati) ospiti, e applicano una netmask pari a 255.255.0.0, ossia i due ultimi ottetti sono generati a caso. Ogni 10-20 indirizzi generati in questo modo ne generano uno totalmente casuale. Quindi potremmo approssimare il tutto dicendo che il 5% dei tentativi vengono da reti “esterne”, ossia di altri provider, anche in altre nazioni, il restante 95% viene dalla stessa subnet/provider a cui appartiene il mio collegamento ad Internet. Inoltre il numero dei tentativi va diviso per tre, che è il numero medio di retry fatti in ogni singolo attacco.
Ad oggi la media è di un attacco ogni 5 minuti. Totale 288 attacchi differenti al giorno solo per questa specifica porta. Supponendo con un calcolo “ottimista” che il malware riesca a sfruttare il 50% della banda nominale in upstream delle linee ADSL base attuali (256kbit al secondo), vuol dire che ogni computer infetto potrebbe mandare circa 200 “sonde” al secondo (80 byte per sonda, ossia 640 bit per sonda, per 200 sonde al secondo fanno 128.000 bit per secondo, il 50% della banda).
Visto che gli indirizzi sono generati casualmente su una subnet 255.255.0.0, un qualsiasi indirizzo ha una probabilità su circa 64.000 di venire generato, per cui un qualsiasi indirizzo IP viene “toccato” ogni 960 secondi (16 minuti), in media (64.000 indirizzi provati tre volte, duecento tentativi al secondo). Questo significa che statisticamente in ogni segmento di rete del provider vi sono almeno 3 computer infetti sempre presenti.
Estendendo in maniera molto conservativa questo al resto della Rete, il numero di computer infetti nel mondo potrebbe essere enorme. Considerando che il 5% degli indirizzi generati va a colpire un qualsiasi indirizzo IP, e supponendo che chi ha fatto il malware abbia fatto escludere in partenza indirizzi IP illegali o impossibili, diciamo che dei 4 miliardi di indirizzi IP possibili, ne viene scartato un quarto in origine, fra riservati, impossibili o illegali. Il tasso di attacco è di circa 15 al giorno da indirizzi non appartenenti alla stessa subnet. Il che significa che in ogni momento nel mondo vi sono non meno di 150.000 computer infetti con malware che cercano di propagarsi sfruttando solo ed esclusivamente questa vulnerabilità. Da notare che stiamo parlando della media giornaliera, un attacco ogni 5 minuti. Ci sono picchi di oltre 10 attacchi differenti nei cinque minuti.
I calcoli sono molto conservativi, ma probabilmente non molto lontani dal vero. E, ripeto, solo per malware che attaccano questa specifica vulnerabilità.
Condividere i malware
Se per Blaster il tempo ha portato un certo ridimensionamento del numero di attacchi, determinato non tanto dal minor numero di computer infetti, quanto dal progressivo abbandono di questo vettore di attacco, lo stesso non si può certo dire per i servizi di condivisione file e stampanti di Windows™, che rimangono costantemente sotto tiro. Nel grafico è abbastanza evidente che al netto delle oscillazioni, la tendenza è sostanzialmente stabile.
Anche qui, ad essere presa di mira è una vulnerabilità del servizio LSA, sfruttata in origine dal malware denominato Sasser, nota dal 2004. In realtà viene portato un doppio attacco, tentando prima di sfruttare la vulnerabilità, poi attraverso la normale condivisione disco, impiegando tecniche di password guessing o di brute force.
In conclusione, il quadro che emerge da questi dati non è per nulla confortante. I malware continuano indisturbati a fare il loro comodo nei computer di forse milioni di ignari utilizzatori, sfruttando capacità di calcolo e la connessione ad Internet per scopi oramai ben noti: spam, phishing, attacchi DoS ed ogni sorta di altre nefandezze. Nel mio libro ne ho spiegato metodi e ragioni, come ho cercato di far capire che razza di errore sia sottovalutare il fenomeno, o peggio di inventarsi complotti inverosimili, tralasciando invece le evidenze.
Questi malware sono strumenti nelle mani di criminali ben organizzati, motivati e preparati. Non è neanche lontanamente pensabile di poterli contrastare con due o tre programmini magici, il cui schema di funzionamento è ben noto a chi crea questi malware. Non è più ammissibile che un esperto di Information Security si limiti a consigliare un paio di antiqualcosa e via.
Se ti piace quello che scrivo registrati al feed RSS
BlogoSquare