• Articolo

Rete

Report Microsoft sullo stato della protezione

Tim Rains

 

Panoramica:

  • Le tendenze di divulgazione e sfruttamento delle vulnerabilità del software
  • L'impatto delle minacce sulle diverse versioni di Windows
  • Le aree più e meno colpite del mondo

I dati di centinaia di milioni di sistemi connessi a Internet e di alcuni dei servizi online più trafficati del mondo consentono a Microsoft di godere di un punto di vista privilegiato sui rischi di protezione che gli utenti di Internet devono affrontare ogni giorno.

Microsoft pubblica questi dati due volte l'anno nel Report Microsoft sullo stato della protezione (SIR). Alla stesura del report collaborano Microsoft® Malware Protection Center (MMPC), Microsoft Security Response Center (MSRC), il gruppo Trustworthy Computing (TwC) e alcuni gruppi che lavorano ad altri prodotti. Il SIR costituisce un'analisi approfondita delle tendenze più recenti nella divulgazione di vulnerabilità del software e nella diffusione di software dannoso e potenzialmente indesiderato, come spyware e adware. Il report contiene, inoltre, informazioni sul comportamento delle diverse versioni del sistema operativo Windows nell'ambito dei rischi di protezione e sulle aree del mondo più colpite da malware e altro software intrusivo. La versione più recente del report, che riguarda le tendenze osservate nella prima metà del 2007, contiene una nuova sezione sugli exploit delle vulnerabilità del software. Chiunque sia responsabile o interessato alla protezione dei computer troverà il SIR una lettura estremamente utile, poiché il rapporto è stato progettato per informare gli utenti sui rischi di protezione correlati all'utilizzo di Internet.

Il SIR più recente rivela che i professionisti della protezione informatica hanno trovato più vulnerabilità nel software di tutti i produttori. Infatti, solo nella prima metà del 2007 sono state scoperte 3.400 nuove vulnerabilità del software. Tuttavia, nonostante questa considerevole cifra, la percentuale complessiva di vulnerabilità scoperte nel sistema operativo è in calo.

Qual è il significato di questi dati? Una possibilità è che i ricercatori e i professionisti della protezione si siano concentrati di più sulle applicazioni, perché la protezione del sistema operativo ha continuato a migliorare. Inoltre, poiché il numero di nuove applicazioni è molto superiore al numero di nuovi sistemi operativi, la proliferazione di applicazioni è probabilmente una forza trainante per le tendenze di divulgazione delle vulnerabilità più recenti.

Nel 2006, il 29,3% delle vulnerabilità note dei prodotti Microsoft aveva del codice di sfruttamento pubblicamente disponibile mentre, a tutto il 1 agosto 2007, solo il 20,9% delle vulnerabilità note aveva del codice di sfruttamento pubblicamente disponibile. Sebbene il numero di vulnerabilità continui ad aumentare, il rapporto con il codice di sfruttamento disponibile resta stabile con una lieve tendenza al ribasso. È più difficile trovare del codice per sfruttare le vulnerabilità dei prodotti più recenti. È stata condotta una comparazione prodotto per prodotto, che suggerisce che le versioni più recenti dei prodotti sono meno esposte al rischio delle versioni che sono sul mercato da maggior tempo. In media, la sfruttabilità tende a diminuire lungo il ciclo di vita di un prodotto, vale a dire che per una maggioranza di prodotti le versioni più recenti sono meno sfruttabili. Questo è particolarmente evidente per Windows e per i prodotti Microsoft Office System. Con le ultime versioni di entrambi (Windows Server® 2003, Windows Vista®, Office 2003 e Office System 2007) si è osservata una netta riduzione nel numero di vulnerabilità durante il ciclo di vita del prodotto.

Il SIR offre preziose informazioni sulle tendenze del software dannoso (noto come malware). Queste tendenze sono indicative delle tattiche utilizzate per attaccare gli utenti. L'analisi dei dati raccolti da alcune fonti significative, tra cui Microsoft Exchange Hosted Services (EHS), Windows Live® OneCare e Windows Live OneCare Safety scanner, Strumento di rimozione malware per Microsoft Windows (MSRT) e Windows Defender, offre una panoramica sui rischi di protezione da alcuni punti di vista privilegiati.

L'ingegneria sociale assume un ruolo sempre crescente nella distribuzione del malware. Con attacchi di questo tipo si riesce spesso a convincere gli utenti a eseguire delle azioni che possono ridurre l'efficacia dei meccanismi di protezione. I dati EHS indicano che, durante la prima metà del 2006, i worm diffusi tramite posta elettronica classici hanno rappresentato la maggiore minaccia diffusa tramite posta elettronica, raggiungendo il 95% del malware rilevato nei messaggi di posta elettronica. All'inizio della seconda metà del 2006, la percentuale è scesa al 49% restando invariata per tutta la prima metà del 2007 (vedere la Figura 1). Gli attacchi tramite phishing e i messaggi di posta elettronica con attacchi IFrame dannosi assommavano al 27% dei rilevamenti di malware diffuso tramite posta elettronica nella seconda metà del 2006, raggiungendo il 37% nella prima metà del 2007. I trojan downloader trasportati da messaggi di posta elettronica hanno raggiunto un picco del 20% nella seconda metà del 2006, scendendo quindi al 7% nella prima metà del 2007.

Figura 1 Composizione dei messaggi di posta elettronica infetti nella prima metà del 2007

Figura 1** Composizione dei messaggi di posta elettronica infetti nella prima metà del 2007 **(Fare clic sull'immagine per ingrandirla)

I dati di telemetria raccolti da Windows Live OneCare e Windows Live OneCare Safety scanner (safety.live.com) indicano che nella prima metà del 2007 sono aumentati i tassi di infezione da virus, backdoor, programmi di intercettazione password e trojan progettati per il furto di dati.

MSRT è progettato per facilitare l'individuazione e rimozione del malware dai computer dei clienti. Viene rilasciato principalmente come aggiornamento critico tramite Windows Update (WU), Microsoft Update (MU) e Aggiornamenti automatici (AU). Negli ultimi due anni MSRT ha rimosso 50,3 milioni di infezioni da 20,5 milioni di computer nel mondo. Il numero totale delle sessioni di esecuzione di MSRT alla data del report è pari a oltre 7,4 miliardi, di cui 1,9 miliardi nella prima metà del 2007.

MSRT è un'ottima fonte di dati per Microsoft e i suoi clienti. I tassi di infezione osservati da MSRT sono molto più bassi nei sistemi Windows Vista e Windows XP SP2 rispetto ai sistemi operativi Windows meno recenti, come illustrato nella Figura 2. MSRT ha eliminato malware da computer che utilizzano Windows Vista con una frequenza inferiore del 60% rispetto ai computer che utilizzano Windows XP SP2 e inferiore del 91,5% rispetto ai computer che utilizzano Windows XP senza alcun Service Pack installato. È interessante notare che il numero di disinfezioni per computer è rimasto invariato nel tempo, con una media di 2,2 disinfezioni per computer infettato.

Figura 2 Versioni di sistema operativo pulite da MSRT nella prima metà del 2007

Figura 2** Versioni di sistema operativo pulite da MSRT nella prima metà del 2007 **(Fare clic sull'immagine per ingrandirla)

In generale, la maggiore quantità di malware viene rilevato da MSRT, in proporzione, nei paesi in via di sviluppo. Ad esempio, i paesi con il maggior numero di infezioni in Europa sono Albania e Turchia, mentre le infezioni sono meno frequenti in Italia e Finlandia. Nell'area Asia-Pacifico, i paesi con più infezioni sono Mongolia e Tailandia, mentre il numero minimo di infezioni si rileva in Nuova Zelanda e Giappone. Negli Stati Uniti si registrano, in proporzione, meno infezioni che nella maggior parte degli altri paesi delle Americhe e il tasso di infezione USA equivale per grandi linee alla media mondiale. In media MSRT ha pulito infezioni da un computer ogni 216 durante la prima metà del 2007.

Windows Defender viene eseguito su Windows Vista, Windows XP e Windows Server 2003. In totale, nella prima metà del 2007 sono stati rilevati 50,7 milioni di software potenzialmente indesiderati. Sui computer che utilizzano Windows Vista i rilevamenti sono stati inferiori di 2,8 volte rispetto ai computer che utilizzano Windows XP SP2. Allo stesso modo, il numero di rilevamenti di software potenzialmente indesiderato sui computer che utilizzano Windows Vista è risultato essere pari alla metà dei rilevamenti analoghi sui computer con Windows Server 2003.

Per quanto possano sembrare interessanti, è naturale chiedersi in che modo queste statistiche possono aiutare a migliorare la protezione del proprio ambiente informatico? Nell'ultimo SIR ciascuna sezione è preceduta da un riepilogo con i dati principali della sezione e una serie di strategie, attenuazioni e contromisure. È possibile utilizzare questi elenchi per apprendere rapidamente le informazioni sui risultati di ciascuna sezione del report.

I dati, i dettagli e i consigli proposti dal SIR possono inoltre essere impiegati per valutare e migliorare le condizioni di protezione correnti, dato il paesaggio in continua evoluzione. È possibile scaricare il report completo, che propone anche strategie, attenuazioni e contromisure sulla base dei dati più importanti, dall'indirizzo microsoft.com/sir.

Tim Rains è un Product Manager del Microsoft Malware Protection Center (MMPC). Gestisce la produzione del Report Microsoft sullo stato della protezione (SIR). Gli autori del SIR sono Jeff Jones (Direttore, gruppo Microsoft Trustworthy Computing), Jeff Williams (Direttore per il MMPC), Mike Reavey (Group Manager, Microsoft Security Response Center) e Ziv Mador (Senior Program Manager e Response Coordinator, MMPC).

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.