[English readers: you can find English links in this post for your convenience]

In occasione dell’RSA Security Conference Europe 2010 a Londra, Adrienne Hall di Microsoft ha annunciato la nuova edizione, la nona, del Microsoft Security Intelligence Report (SIRv9)

The Official Microsoft Blog – News and Perspectives from Microsoft > In Pursuit of Cyber Crime

Questa nuova edizione del SIR ha alcune particolarità rispetto alle versioni precedenti:

• è basato sull’analisi di un numero di dati ancor maggiore: dati generati da circa 600 milioni di PC sparsi in più di 200 paesi
• ha iniziato a presentare le statistiche delle famiglie di malware e di infezioni su base trimestrale anziché semestrale (nei prossimi report tutte le statistiche diventeranno trimestrali)
• presenta una sezione speciale, tipo dossier, questa volta dedicato al tema delle Botnet, dal titolo “Battling Botnets for Control of Computers”
• è corredato da un nuovo sito che raccoglie tutte le risorse a corredo di questo report e che permetterà nel tempo di fare analisi incrociate sulle diverse basi di dati. Grazie allo spostamento su questo sito di diverse risorse di riferimento in modo da poterle aggiornare in tempo reale, il documento è ora più snello.

Quali sono i risultati principali di questa nona edizione?

• Ci sono diversi segnali positivi che indicano l’efficacia degli sforzi messi in atto da Microsoft e da tutti gli operatori impegnati nel rafforzamento del livello di sicurezza del software (leggasi SDL): descrescita della divulgazione di vulnerabilità (in particolare decrescono anche quelle di gravità media/alta, e quelle di complessità media/bassa), diminuzione delle violazioni che coinvolgono dati personali, maggior utilizzo degli strumenti di aggiornamento (Windows Update e Microsoft Update) ed evidenza che le versioni più recenti di Windows, in particolare Windows 7 e Windows Server 2008, mostrano tassi di infezione regolarmente inferiori a quelli delle versioni precedenti.
• L’elemento di preoccupazione che rimane e si rafforza è quello della pericolosità delle Botnet: una ricerca estesa ed approfondita, documentata dalla sezione speciale del report, dimostra la vera natura di questo fenomeno, l’estensione su scala internazionale e il livello di minaccia che ci pone
• In particolare è conclamata la profonda integrazione e reciprocità tra le Botnet e i Malware: le Botnet vengono usate per diffondere malware (e non solo), e il malware a sua volta viene arricchito con le funzioni per poter reclutare nuovi PC e permettere di ampliare le estensioni delle Botnet.
• Gli elementi che stanno facilitando la diffusione del fenomeno Botnet non sono nuovi, ma stanno diventando endemici: non si seguono adeguatamente i fondamentali di sicurezza (aggiornamento costante dei programmi, password robuste, etc), lenta adozione delle nuove tecnologie (molto più robuste dal punto di vista della sicurezza) da parte delle aziende, diffusione degli attacchi che indirizzano l’atteggiamento degli utenti e la loro buona fede (social engineering).

Se desiderate approfondire tutti i risultati principali vi consiglio la lettura del documento di Key Findings, disponibile anche in italiano,  che è sempre scaricabile dalla sezione Download presente in home page.

Il nuovo portale SIR permette di consultare i dati specifici per l’Italia che inducono ad un cauto ottimismo per la situazione nel nostro Bel Paese: come ho provato a esplicitare nel grafico che segue, l’andamento delle specifiche infezioni da malware di tipo Bot mostra una lieve tendenza in diminuzione (freccia azzurra) che appare in controtendenza rispetto alla tendenza mondiale (freccia rossa):

L’ovvio auspicio è che questa tendenza possa stabilizzarsi e accentuarsi nei prossimi mesi in modo analogo a quanto si osserva con gli andamenti delle infezioni da Malware non specifico:

Quali sono le indicazioni utili che emergono alla luce di queste analisi?

1. E’ necessario non abbassare la guardia sulla diffusione della consapevolezza e sensibilità verso i fondamentali di sicurezza: tra questi, i dati di diffusione in Italia dello strumento gratuito antimalware Microsoft Security Essentials sono incoraggianti e mi auguro che l’estensione di licenza all’uso gratuito da parte delle piccole aziende fino a 10 PC possa migliorare ulteriormente la situazione nei prossimi mesi.
2. E’ opportuno mettere in atto nuove forme di collaborazione su scala globale per contrastare minacce altrettanto strutturate e globali: ne sono un’esempio l’operazione di takedown della Botnet Waledac, e la proposta di Scott Charney per un modello di difesa collettivo che ricalchi quello che usiamo per le infezioni reali non informatiche (le influenze varie). Conto di postare appena possibile su quest’ultimo tema che sta sollevando un interessante discussione sia in merito alla sua fattibilità che rispetto alla sua opportunità.

Naturalmente non si può esaurire il commento di un report di 134 pagine in un solo post, spero di poter tornare presto con altre analisi.

Feliciano

Other related posts/resources:

• [EN] http://www.microsoft.com/sir
• [EN] The Official Microsoft Blog: Pursuit of Cyber Crime
• [EN] Microsoft Malware Protection Center > Announcing Microsoft Security Intelligence Report version 9
• [IT] MClips: Dal SIRv9 lo stato della Sicurezza: l’Italia è su un percorso virtuoso, ma dobbiamo collaborare contro le Botnet
• [IT] Articolo di Tiziano Toniutti su Repubblica.it con il punto di vista di Matteo Cavallini di CONSIP
• [IT] Articolo di Luca Annunziata di Punto Informatico con il punto di vista di Andrea Rigoni del GC-SEC