21 luglio 2011

[Google] Analisi del traffico per scovare malware

Su questo blog abbiamo spesso parlato di sicurezza, di quali pratiche possano essere messe in atto dagli utenti, e di quali strumenti possono usare gli sviluppatori.
Purtroppo con la crescita esponenziale dell’adozione delle tecnologie informatiche da parte della popolazione, e il conseguente –fisiologico- appiattimento della conoscenza media di queste tecnologie, cresce anche la probabilità di infezione da parte di software malevolo o malware.

Un malware è semplicemente definito come un software il cui scopo è quello di compiere azioni indesiderabili e, generalmente, nascoste agli occhi dell’utente.
Esistono diverse categorie di malware, ma di sicuro l’aspetto più importante e preoccupante al giorno d'oggi è la possibilità di questi software di connettersi in modo silenzioso ad internet per compiere determinati tipi di azioni.
Un caso su tutti è quello dell’utilizzo di centinaia di migliaia di computer “zombie” a scopo di estorsione verso aziende ed organizzazioni. Senza entrare in dettagli tecnici, la logica di base è molto semplice: infettare quanti più computer possibile, minacciare un’azienda ad alto traffico web di bloccare il loro server (normalmente tramite attacco DoS - è famoso il caso di amazon nel 2010) , a seguito di rifiuto dell’azienda attuare l’attacco tramite gli ignari computer degli utenti che inviano una richiesta (si collegano) tutti, nello stesso istante, al server dell’azienda.
Purtroppo la consapevolezza del problema sicurezza è molto bassa nella generalità degli utenti che non comprendono quali sono i rischi (anche per la società) generati dalla noncuranza verso questo aspetto importantissimo legato all’uso delle tecnologie informatiche.
Google da parte sua ha introdotto un sistema di individuazione probabile di malware sui computer client degli utenti, tramite analisi del traffico dati.
Recentemente ad esempio, durante un normale intervento di manutenzione ordinaria di un data center, il team di ingegneri di Google ha individuato un comportamento strano all’interno del traffico legato alla ricerca.
A seguito di accurate analisi, Google ha scoperto che il traffico in questione proveniva da computer infetti da malware. Questa verifica è stata possibile grazie alla collaborazione di molte aziende dai quali computer proveniva il traffico definito come inusuale.
A seguito di questa scoperta molti utenti troveranno un avviso nella homepage di Google che li informa che il loro computer potrebbe essere stato infettato da malware.


Il malware in questione fa in modo che i computer infettati inviino traffico verso Google attraverso una serie di piccoli server proxy
Nel caso in cui Google si accorga che il traffico delle ricerche dal  computer passi attraverso il cluster di poxy, un messaggio verrà mostrato all'utente del computer client. E' possibile che, soprattutto nel caso di grandi aziende o organizzazioni, sia il proxy stesso ad essere infettato, cosa che fa si che il messaggio venga mostrato ad ogni singolo utente dei computer client.
Maggiori informazioni possono essere lette nella pagina di assistenza di Google.
Al momento non è chiaro quale sia lo scopo ultimo che sta dietro al motivo di un comportamento così strano. L’unico motivo che mi viene in mente è il tentativo di architettare un attacco Denial of Service ai danni di Google.
Voi cosa ne pensate?