La scorsa settimana ha avuto una certa risonanza la notizia che un gruppo di ricerca della University of California a Santa Barbara fosse riuscito ad entrare, all’inizio di quest’anno, nel cuore di una grossa botnet ed avesse così ottenuto un’enorme mole di dati riservati.
La botnet in questione si chiama Torpig (o Sinowal, Anserin, Mebroot), dal nome del malware che la controlla, il quale è specializzato nella cattura di dati personali e informazioni finanziarie degli utenti Windows.
Il cuore del malware consiste in un rootkit, Mebroot, che si inserisce nel Master Boot Record dell’hard disk così da eseguirsi in fase di boot, prima che il sistema operativo venga caricato, per massimizzare invasività e invisibilità ad anti-virus e simili.
Una volta infettata la macchina, il bot contatta ad intervalli di 20 minuti un server di Comando e Controllo (C&C) da cui riceve istruzioni e a cui passa i dati catturati, tra cui credenziali di accesso per Web-mail, FTP, POP3, SMTP, HTTP, password di Windows ed in pratica tutto ciò che viene digitato su tastiera, compresi messaggi su forum e chat, vista la presenza di un keylogger.
Torpig è solito diffondersi attraverso siti di drive-by download.
I ricercatori, come spiegano nel loro report, sono riusciti a dirottare il traffico della botnet sfruttando il modo in cui essa riceve comandi. Similmente a Conficker, infatti, Torpig genera una lista di domini con cui prova a comunicare (i server C&C), il primo che risulterà attivo potrà far eseguire operazioni a piacimento alla botnet, in particolare potrà catturare i dati che essa colleziona.
Siccome i domini che contatterà sono predicibili, e alcuni di essi non sono stati ancora registrati dai gestori della botnet, i ricercatori sono riusciti a registrarli al loro posto, prendendo così il controllo della botnet stessa per 10 giorni, dopo i quali i controllori “ufficiali” hanno cambiato il modo in cui Torpig cerca i server di C&C.
Durante quest’arco di tempo i ricercatori della UCSB hanno raccolto 70GB di dati tra cui quasi 300.000 credenziali di accesso (coppie username e password (cifrate e non)) provenienti da 53.000 distinti computer infetti, di cui 173.000 password univoche.
Hanno poi deciso di testare la robustezza di queste password, dandole in pasto al celebre password cracker John the Ripper, e riuscendo a recuperare circa 70.000 password in soli 75 minuti: più del 40%!
Hanno inoltre constatato che il 28% delle vittime erano solite riutilizzare le credenziali per accedere a siti differenti, risultato, purtroppo, assolutamente in linea con i dati snocciolati a marzo da Sophos sulle cattive abitudini degli utenti in fatto di password.
Ma l’aspetto forse più preoccupante di Torpig è la sua specialità nel catturare credenziali di accesso a servizi di online banking o numeri di carte di credito e non fa certo piacere constatare che l’Italia è al secondo posto in tutte le statistiche di credenziali rubate elencate nel report.
Al primo posto dei paesi con il maggior numero di host infetti da Torpig troviamo gli USA con 55.000 vittime, al secondo c’è l’Italia con 47.000 e al terzo la Germania con 24.000.
Per quanto riguarda il numero di credenziali per l’accesso a servizi di istituzioni finanziarie catturate dai ricercatori durante i 10 giorni di dirottamento della botnet, i dati parlano di 4.300 account per 60 diverse istituzioni negli USA, 1.500 account per 34 istituzioni in Italia, per un totale di 8.300 account considerando tutti i paesi. Al primo posto delle istituzioni troviamo PayPal (1.800), al secondo Poste Italiane (800) e al terzo Capital One (300).
I numeri di carta di credito catturati sono stati circa 1700, di cui il 49% dagli USA e il 12% dall’Italia.
Particolarmente sconcertante è il caso della cattura di 30 numeri di carta di credito da un singolo utente che si è rilevato poi essere un dipendente di un call center in lavoro da casa propria, mentre i numeri appartenevano ai clienti dell’azienda di cui lui era dipendente.
È un po’ come in auto: tu puoi essere il guidatore più prudente del mondo, ma il rischio che uno ti venga addosso non lo puoi gestire.
I ricercatori hanno ovviamente passato i dati ai soggetti coinvolti che hanno provveduto ad avvertire le proprie vittime.
Ricordo che in questi casi tutte le belle scritte che campeggiano sui siti di online commerce come “questo sito è protetto con SSL a 128 bit”, sono assolutamente inutili. Con Torpig (e tanti altri malware), la cattura della password avviene direttamente sul computer dell’utente, non quando viene trasferita sulla Rete.
In particolare, è risultato che il 38% delle password catturate fossero state ottenute dal password manager dei browser, piuttosto che da una sessione di login vera e propria.
Come è ovvio che sia, i ricercatori hanno affermato che la maggior parte delle vittime della botnet fossero utenti con sistemi malamente mantenuti e password facilmente indovinabili (ricordo che Conficker, oltre che sfruttano vulnerabilità in Windows, si diffonde anche, in LAN, indovinando le password delle condivisioni di rete).
Questo evidenzia come il problema del malware sia essenzialmente un problema culturale: “benché la gente sia istruita e capisca bene concetti come la sicurezza fisica e le necessità di mantenimento di un’auto, non comprende appieno le conseguenza di un comportamento irresponsabile durante l’uso di un computer.”