Le scorse due settimane hanno portato all’attenzione del pubblico un worm che ha fatto un gran parlare di sé per la sua incredibile velocità di diffusione: Conficker (o Downadup). Cerchiamo di fare un’analisi il più esaustiva possibile del problema.
Per diffondersi questo worm sfrutta una vulnerabilità nella gestione del protocollo RPC da parte del servizio Windows Server, che affligge tutti i sistemi operativi di casa Microsoft da Windows 2000 a Windows Server 2008 ed è dettagliata dal bollettino MS08-067.
Data la gravità di questa vulnerabilità, BigM aveva deciso di rilasciare, a fine ottobre, tre mesi fa, una patch al di fuori del classico ciclo di distribuzione dei bollettini, ma evidentemente sono in molti a non averne percepito l’importanza.
I primi esemplari del worm sono comparsi su Internet già a fine novembre, ma quello che si sta diffondendo su larga scala in questi giorni, Conficker.B, è una variante del ceppo iniziale molto più virulenta.
La società finlandese di sicurezza informatica F-Secure stima che martedì 13 i computer infetti fossero circa 2,4 milioni, mentre per la fine della giornata di venerdì 16 la cifra era arrivata a sfiorare addirittura i 9 milioni, per assestarsi a circa 10 milioni secondo le stime degli ultimi giorni, e avviandosi, forse, alla fase calante.
Questo lo rende il worm più virulento degli ultimi anni, pronto a competere con alcuni suoi illustri predecessori come Blaster (16 milioni), Sasser, Slammer, CodeRed e Nimda.
Nella classifica dei paesi più infetti l’Italia si aggiudica un dignitoso settimo posto con quasi 40.000 sistemi compromessi, mentre a capeggiare la lista vi sono Cina, Russia e Brasile, che da soli rappresentano circa il 40% del totale. Si tratta, non a caso, di paesi con una prevalenza di copie illegali di Windows, scarse nozioni di security e protagonisti nel crimine informatico.
Il successo del worm sta soprattutto nelle sue eccellenti capacità di diffusione. Una volta infettata una macchina, esso utilizza quattro principali vie per attaccare altri sistemi: cerca computer non adeguatamente patchati, cerca computer che abbiano aperte le condivisioni di rete, effettua degli attacchi di forza bruta con una word list per individuare password deboli in alcune risorse di rete o, infine, si inserisce in dispositivi rimovibili come le penne USB utilizzando poi il classico autorun.inf per eseguirsi.
In particolare, potrebbero essere proprio queste ultime tipologie di diffusione la chiave del successo di Conficker.B, d’altro canto Conficker.A, che si diffondeva unicamente sfruttando la vulnerabilità relativa al bollettino MS08-067, è in giro da almeno due mesi, ma non si è dimostrato così pervasivo come il suo successore.
Al momento sembra che i bersagli preferiti dal worm siano le ampie reti enterprise, facendo segnare per esse la peggiore infezione dal 2001, anno di Nimda. E infatti proprio di questo tipo sono i primi eclatanti casi di infezione: in panne la rete di un ospedale inglese e problemi anche per il Ministero della Difesa britannico.
Benché per ora il worm non sembri causare particolari danni alle macchine infette, esso è in grado di connettersi a domini difficilmente predicibili dove può aggiornarsi e mutare così comportamento (è questa sua caratteristica che ha permesso ad F-Secure di dedurre il numero di computer infetti); l’unico danno al momento è il blocco o la deviazione dell’accesso a certi siti web che potrebbero mettere a rischio la sua sopravvivenza, come quello della Microsoft, che distribuisce il Malicious Software Removal Tool, della Symantec, della McAfee, della Kaspersky, e così via.
A questo punto è tutt’altro che improbabile uno scenario dove i milioni di computer infetti si trasformino in computer zombie facenti parte di una gigantesca botnet in grado di far impallidire la già enorme botnet Ozdok, famosa per l’invio di spam, che può contare attualmente su circa 120.000 bots.
Per rendere più complessa la vita ad utenti e produttori di anti-virus, Conficker.B utilizza sofisticate tecniche di polimorfismo che consistono nel criptare e comprimere se stesso per mutare in continuazione e rendere difficilmente praticabile l’approccio signature-based della maggior parte degli anti-virus (approccio criticato ormai da parecchi anni).
Come se tutto questo ancora non bastasse, la società di sicurezza Qualys ha stimato, due settimane fa, come circa il 30% delle macchine Windows collegate ad Internet non fossero ancora state patchate con l’update MS08-067. La situazione oggi dovrebbe essere auspicabilmente migliorata.
Interessante, infine, la riflessione di Joe Stewart della SecureWorks: si potrebbe arrivare ad un punto di criticità tale da invogliare qualcuno a mettere in piedi un server camuffato da uno gestito dal creatore del worm ma che invece diffonde un codice di disinfezione a tutte le macchine infette che gli si connettono. Certo non senza difficoltà tecniche e fastidiose implicazioni legali.
I metodi per proteggersi da queste pandemie sono gli stessi che si ripetono da anni: aggiornare costantemente il proprio sistema con le ultime patch critiche, usare password robuste, disattivare i servizi inutilizzati e rinforzare i rimanenti.
Piccola riflessione conclusiva. Erano tre o quattro anni che non si vedeva un disastro simile. Perché? Gli utenti sono diventati più rispettosi dei principi base della sicurezza informatica? Difficile… E poi si crea nuova e impreparata utenza in continuazione.
Windows è diventato più sicuro? In parte. E’ indubbio che a Redmond negli ultimi anni dell’ottimo lavoro sia stato fatto (l’SDL di Microsoft potrebbe essere argomento di un post futuro). Ma non è facile sanitizzare milioni di righe di codice e cambiare mentalità in pochi anni, e le vulnerabilità sono sempre dietro l’angolo.
Allora gli attaccanti sono diventati meno bravi? Tutt’altro… Quello che io ritengo è che vi sia stata una maturazione degli attaccanti, che, da “hobbisti”, sono diventati veri e propri professionisti del crimine, e come tutti i criminali il loro intento è fare profitto, non più divertirsi o dimostrare le proprie abilità.
Negli ultimi anni hanno preferito fare meno azioni rumorose ed eclatanti come rilasciare worm a diffusione globale, i quali non fanno altro che accentuare la consapevolezza dell’insicurezza dei sistemi, hanno bensì preferito fare azioni più mirate e “chirurgiche”.
Detto questo, è ancora da vedere come si evolverà nelle prossime settimane il problema Conficker, molti sospettano che il worm non sarà più così dormiente nei sistemi infetti.
Proprio per evitare eventuali minacce di worm future si consiglia di installare il primo aggiornamento di sicurezza che Microsoft ha rilasciato nel 2009; esso risolve delle gravi falle, sfruttabili remotamente e senza bisogno di autenticazione, nella gestione del protocollo SMB: MS09-001.
Tutti i dettagli tecnici del worm sono reperibili a questo indirizzo.