Facebook sviluppa nuovi sistemi antimalware contro Koobface

Un amico su Facebook suggerisce di guardare un video divertente o incredibilmente sexy. Il collegamento può sembrare abbastanza innocuo. Ma con un semplice click, si potrebbe finire per infettare il PC con il worm Koobface. Koobface, il cui nome è un anagramma della sua rete sociale preferita, è un programma dannoso che ha oppresso Facebook per più di due anni, capace di intrappolare centinaia di migliaia di persone e di mantenere alta la difesa del team di sicurezza.

Il worm è stato la prima sfida importante alla sicurezza di Facebook e resta la minaccia più persistente sul sito. Come tale, Koobface ha giocato un ruolo importante nel plasmare Facebook sull'approccio alla lotta contro il software dannoso o malware, e spinto lo sviluppo di difese sempre più elaborate. Eppure, il worm continua ad essere una spina nel fianco degli investigatori di Facebook in-house, che dicono di essere sulle tracce del gruppo criminale organizzato che l'ha creato ma, finora, è stata negata la soddisfazione degli arresti. Koobface, che si diffonde soltanto sui social network, è apparso su Facebook nel maggio 2008 e ha colpito quasi tutti i maggiori social network da allora. Pur non essendo il primo worm nato solo per colpire i siti sociali, si distingue per il modo in cui è inesorabilmente tornato nuovamente, in particolare su Facebook. Ci sono state ben 136 versioni del componente principale di Koobface, ha detto Ryan R. Flores, un ricercatore della security software company di Trend Micro. Continuamente adeguatosi agli ostacoli istituiti dal settore sicurezza Facebook, "Koobface è quello che lo ha reso grande" ha detto. Gli attacchi hanno spinto Facebook ad ampliare il proprio team di sicurezza, di sviluppare un apparato per la rapida individuazione e l'arresto di attività dannose, di creare strumenti per parlare con i propri utenti circa la sicurezza e per costruire relazioni all'interno del settore della sicurezza. E l'azienda continua a raccogliere prove che possano aiutare l'arresto dell'applicazione e perseguire i responsabili secondo la legge. "Il nostro obiettivo in materia di Koobface è quello di assicurare lo stop del danno, è questa è la nostra priorità numero 1", ha detto Joe Sullivan, Chief Security Officer di Facebook. "Vogliamo che il messaggio esca fuori ed aggressivi andremo all'attacco in questi tipi di casi".


La dimostrazione di forza viene dopo che Nick Bilogorskiy, un esperto di malware su Facebook, ha parlato in una conferenza industriale sulla sicurezza nel mese di settembre, sul fatto che Facebook conosce l'identità dei creatori Koobface e sta lavorando con le forze dell'ordine. Sullivan ha rifiutato di fornire ulteriori dettagli, citando una politica aziendale che non discute sulle indagini. La mancanza di arresti sottolinea quanto sia difficile di trovare e catturare i criminali online, che spesso nascondono le loro tracce e vivono in paesi in cui hanno poco da temere dalla legge. I ricercatori di Information Warfare Monitor, un gruppo canadese, ha pubblicato un rapporto dettagliato sull'impresa criminale Koobface, dicendo che i suoi gestori vivono a San Pietroburgo, Russia. "La banda Koobface potrebbe vivere anche su Marte, talmente poco sviluppati sono i meccanismi di cooperazione per l'applicazione del diritto internazionale", ha scritto Ron Deibert e Rafal Rohozinski nella relazione. Nart Villeneuve, ricercatore principale del rapporto, ha stimato che il gruppo ha guadagnato più di 2 milioni di dollari da giugno 2009 a giugno 2010, fornendo le vittime del suo verme di marketing senza scrupoli e responsabili di falsi software antivirus. Ha detto che il rilascio del rapporto ha coinciso con uno sforzo multiweek per smantellare le infrastrutture del gruppo e togliere le "botnet", o la rete di PC infettati da Koobface, anche se ha ammesso che può essere ricostruito. Con il gruppo ancora in libertà, Facebook può solo limitare i danni agendo velocemente per fermare gli attacchi. La squadra di sicurezza della società ha circa 20 membri, ma in qualsiasi momento, circa 50 dipendenti di Facebook da diversi reparti si concentrano su questi problemi.


"Quando si tratta di malware, è una specie di sforzo a livello aziendale, perché è uno delle nostri maggiori minacce", ha detto Sullivan, che ha trascorso otto anni come procuratore con il Dipartimento di Giustizia ed è stato il suo procuratore prima di concentrarsi a tempo pieno alla criminalità tecnologica, in stretta collaborazione con l'FBI ed altre agenzie. Un attacco di Koobface inizia con un invito a guardare un video e un messaggio riguardante l'aggiornamento del software Flash del computer. Si fa clic per scaricare l'aggiornamento ed inizia il download di Koobface, che permette ai criminali di controllare il computer, mentre il worm cerca di diffondersi ulteriormente attraverso la rete di contatti sociali della vittima. Il computer diventa quindi parte della botnet Koobface, che la società di software di sicurezza Kaspersky Lab stima sia costituito da 400.000 a 800.000 PC in tutto il mondo. "Questo rende sicuramente Koobface una delle botnet più significative là fuori", ha dichiarato Roel Schouwenberg, ricercatore senior. Per fermare Koobface, Facebook utilizza algoritmi in grado di rilevare i messaggi sospetti e sequestrando gli account, alla ricerca di comportamenti insoliti come log-in da posti strani e un forte aumento nei messaggi inviati. Facebook mantiene anche una lista nera di collegamenti Web dannosi per impedire loro di essere condivisi sul sito. Quando i messaggi Koobface trovano un modo diverso, i membri del team operativo li rimuovono. Tutto questo avviene in genere entro un'ora o poco più dai post sospetti, il signor Sullivan ha detto. "Lo scopo di un social network è quello di contribuire a facilitare la comunicazione. Così come risultato, c'è la potenziale veloce propagazione se non ci si muove velocemente". Facebook ha anche sistemi per individuare i profili fake il gruppo utilizzati per gli attacchi. Ancora, i ricercatori hanno recentemente identificato più di 20.000 account falsi, che hanno segnalato a Facebook come parte dello sforzo della rimozione.


I profili tendono a includere le immagini di donne attraenti, e alcuni accumulato fino a un migliaio di "amici", anche se Facebook avverte gli utenti di non fare amicizia con gli estranei sul sito. Gli sviluppatori di Facebook hanno creato posti di blocco che possono aiutare a fermare gli attacchi. Per esempio, se Facebook rileva attività dannose e sospette sul PC di un utente che è stato infettato, sarà temporaneamente sospeso l'account e verrà richiesto all'utente di eseguire una scansione antivirus gratuita di McAfee e rimuovere le infezioni. Le garanzie non sono sempre infallibili. Il gruppo di Koobface è riuscito ad aggirare prove "Captcha", o requisiti per scrivere parole che sono difficili per le macchine da leggere, ingannando le proprie vittime. Alcuni nel settore della sicurezza hanno espresso frustrazione per la mancanza di progressi nel caso di Koobface. Mr. Rohozinski detto che il suo gruppo ha deciso di parlare al pubblico con le sue conclusioni dopo essersi convinto che non ci sarebbe nessun arresto. Sullivan sta adottando un approccio più paziente. "La velocità con le quali indagini e azioni penali muovono, a volte possono sembrare da fuori lente", ha detto. Se gli ostacoli sono reali - la raccolta di prove al di là delle frontiere è particolarmente lunga in termini di tempo - l'applicazione della legge americana è impegnata a combattere la criminalità internazionale su Internet, ha detto. Raymond A. Pompon, responsabile della sicurezza senior di HCL CapitalStream, che fornisce servizi elettronici per le istituzioni finanziarie, ha detto che tali procedimenti penali si sono rivelati difficili. "Spesso si riesce a sapere chi è, ma in realtà non si hanno le prove su questa persona". Se o quando il tempo per il procedimento penale verrà, per Facebook è improbabile da sapere. Ha comunque perseguito un certo numero di cause civili contro gli spammer e truffatori che hanno portato a registrare giudizi. "Siamo abbastanza inarrestabili", ha concluso Sullivan.

Fonte: http://www.nytimes.com/

Nessun commento:

Posta un commento