Il rischio che un computer connesso a Internet sia infettato da malware non sarà mai riducibile a zero. È solo la natura del software che si verificano errori. Dove ci sono errori di progettazione del software, ci sono persone che sfrutteranno quegli errori a loro vantaggio.

I migliori utenti di PC possono sperare di minimizzare le possibilità di un'infezione e di mitigare il danno che un pezzo di malware può infliggere - se intende rubare i dati sensibili di un utente o impadronirsi della macchina come parte di un attacco informatico sui server migliaia di chilometri di distanza.

La scorsa settimana, gli utenti di Internet sono rimasti intrappolati nel fuoco incrociato di una battaglia online. Da una parte c'erano spammer e altri tipi malvagi che inviavano malware via e-mail. Dall'altro c'era l'organizzazione antispam Spamhaus. Come ha riferito Don Reisinger mercoledì scorso, diversi siti europei hanno subito rallentamenti significativi a seguito dell'attacco, che potrebbe aver coinvolto anche bande criminali in Russia e nell'Europa orientale.

In un post di venerdì scorso, Declan McCullagh ha spiegato che la tecnologia per sconfiggere tali attacchi è nota da oltre un decennio, sebbene l'implementazione della tecnologia su Internet sia difficile e, in pratica, potrebbe essere impossibile.

Quindi, da dove viene il tuo utente medio di Internet di tutti i giorni? La nostra capacità di impedire che le nostre macchine vengano dirottate dal malware sarà sempre limitata dalla nostra innata suscettibilità. Abbiamo semplicemente troppe probabilità di essere ingannato nell'aprire un file o una pagina Web che non dovremmo.

I tassi di infezione del PC rimangono costanti nonostante la prevalenza del software antivirus gratuito. Anche i migliori programmi di sicurezza non riescono a individuare alcuni malware, come indicano i risultati dei test di AV Comparatives (PDF). Ad esempio, nei test condotti nell'agosto 2011, Microsoft Security Essentials è stato valutato come Avanzato (il secondo più alto livello di punteggio) con un tasso di rilevamento del 92, 1% e "pochissimi" falsi positivi.

Poiché non elimineremo mai le infezioni da PC, la migliore difesa contro le botnet non è all'origine, ma piuttosto al punto di ingresso nella rete dell'ISP. Nel luglio dello scorso anno l'Internet Engineering Task Force ha pubblicato una bozza delle Raccomandazioni per il risanamento dei robot nelle reti ISP che evidenzia le sfide poste dal rilevamento e dalla rimozione dei bot.

Sfortunatamente, rilevare e rimuovere botnet non è molto più semplice per gli ISP. Quando gli ISP scandiscono i computer dei loro clienti, il PC può percepire la scansione come un attacco e generare un avviso di sicurezza. Molte persone sono preoccupate per le implicazioni sulla privacy degli ISP che analizzano il contenuto delle macchine dei loro clienti. Poi c'è la riluttanza di base degli ISP a condividere dati e lavorare insieme in generale.

Gran parte della riparazione suggerita da IETF si riduce all'educazione degli utenti circa la necessità di scansionare i loro PC per individuare infezioni e rimuovere quelli che scoprono. Mentre la maggior parte delle infezioni da virus rende nota la loro presenza rallentando il sistema e causando problemi, la natura stealth di molti robot indica che gli utenti potrebbero non esserne affatto consapevoli. Se il bot è progettato per non rubare i dati dell'utente, ma solo per partecipare a un attacco DDoS, gli utenti potrebbero non sentire la necessità di rilevare ed eliminare il bot.

Uno dei suggerimenti del rapporto IETF è che gli ISP condividono dati "selettivi" con terze parti, compresi i concorrenti, per facilitare l'analisi del traffico. Nel marzo dello scorso anno il Consiglio per la sicurezza, l'affidabilità e l'interoperabilità della comunicazione ha pubblicato il suo Codice di condotta volontario per gli ISP (PDF). Oltre a essere volontario, tre delle quattro raccomandazioni contenute negli "ABC per ISP" si basano sugli utenti finali:

Educare gli utenti finali della minaccia posta dai bot e delle azioni che gli utenti finali possono adottare per aiutare a prevenire le infezioni bot;

Rileva le attività dei bot o ricava informazioni, anche da terze parti credibili, sulle infezioni dei bot tra la loro base di utenti finali;

Notifica agli utenti finali di sospette infezioni bot o aiuta gli utenti finali a determinare se sono potenzialmente infetti da bot; e

Fornire informazioni e risorse, direttamente o con riferimento ad altre fonti, agli utenti finali per assisterli nel rimedio alle infezioni bot.

Un documento intitolato "Modellazione di criteri di scala Internet per ripulire il malware" (PDF) scritto da Stephen Hofmeyr di Lawrence Berkeley National Laboratory e altri suggerisce che avere grandi ISP che lavorano insieme per analizzare il traffico nei punti di accesso alla rete è più efficace del rilevamento dei bot sui computer degli utenti finali.

Ma questo non ci toglie del tutto. Se ogni PC Windows venisse scansionato alla ricerca di malware una volta al mese, ci sarebbero molti meno bot disponibili per il prossimo attacco DDoS. Poiché i lettori di CNET tendono ad essere più esperti di tecnologia rispetto alla media, suggerisco un programma di adozione di computer: tutti scansionano due o tre PC che sospettano non siano regolarmente gestiti dai loro proprietari (come i parenti) su base pro bono.

Ecco tre passaggi che è possibile adottare per ridurre al minimo la possibilità che un PC Windows venga elaborato in un esercito di botnet.

Non utilizzare un account amministratore di Windows

La stragrande maggioranza dei malware si rivolge a sistemi Windows. In gran parte è semplicemente dovuto ai numeri: ci sono molte più installazioni di Windows di qualsiasi altro sistema operativo che sfruttando Windows massimizza l'efficacia di un malware.

Molte persone non hanno altra scelta che usare Windows, molto probabilmente perché il loro datore di lavoro lo richiede. Per molti altri, l'uso di un sistema operativo diverso da Windows non è pratico. Ma pochissime persone hanno bisogno di utilizzare un account di amministratore di Windows su base giornaliera. Negli ultimi due anni ho utilizzato solo un account Windows standard sul mio PC di tutti i giorni, con una o due eccezioni.

Infatti, mi dimentico spesso che l'account non ha i privilegi di amministratore finché un'installazione o un aggiornamento software non richiede l'inserimento di una password di amministratore. L'utilizzo di un account standard non rende il tuo PC a prova di malware, ma farlo sicuramente aggiunge un livello di protezione.

Imposta il tuo software per l'aggiornamento automatico

Non molti anni fa, gli esperti consigliarono agli utenti PC di aspettare un giorno o due prima di applicare patch per Windows, lettori multimediali e altre applicazioni per garantire che le patch non causassero più problemi di quanti ne avessero impediti. Ora il rischio rappresentato dal software non aggiornato è di gran lunga superiore a qualsiasi potenziale problema derivante dall'aggiornamento.

Nel maggio 2011 ho confrontato tre scanner gratuiti che individuano software obsoleti e insicuri. Il mio preferito dei tre al momento era il TechTracker di CNET per la sua semplicità, ma ora mi affido a Personal Software Inspector di Secunia, che tiene traccia degli aggiornamenti passati e fornisce un punteggio di sistema complessivo.

L'impostazione predefinita in Windows Update è scaricare e installare gli aggiornamenti automaticamente. Sono inoltre selezionate per impostazione predefinita le opzioni per ricevere gli aggiornamenti consigliati e quelli contrassegnati come importanti e per aggiornare automaticamente altri prodotti Microsoft.

Utilizzare un secondo programma anti-malware per eseguire la scansione del sistema

Poiché nessun programma di sicurezza rileva ogni potenziale minaccia, è logico installare un secondo scanner di malware per la scansione occasionale del sistema manuale. I miei due programmi di scansione antivirus preferiti sono Malwarebytes Anti-Malware e Microsoft Malicious Software Removal Tool, entrambi gratuiti.

Non ero particolarmente sorpreso quando Malwarebytes trovava tre istanze del virus PUP.FaceThemes nelle chiavi di registro del mio PC Windows 7 di tutti i giorni (mostrato sotto), ma non mi aspettavo che il programma rilevasse quattro virus diversi nelle vecchie cartelle di sistema di Windows. un sistema di test con una configurazione predefinita di Windows 7 Pro (come mostrato sullo schermo nella parte superiore di questo post).

Un vantaggio inaspettato della rimozione del malware è stata una riduzione del tempo di avvio per la macchina Windows 7 da più di due minuti a poco più di un minuto.

Aiuto per gli operatori del sito che vengono attaccati

Gli attacchi DDoS sono motivati ​​principalmente da guadagni finanziari, come l'incidente dello scorso dicembre che ha svuotato un conto online della Bank of the West di $ 900.000, come riportato da Brian Krebs. Gli attacchi potrebbero anche essere un tentativo di vendetta, che molti analisti ritengono sia stato implicato nell'assalto DDoS della scorsa settimana contro Spamhaus.

Storie correlate

• Dongle scherza e un tweet porta a licenziamenti, minacce, attacchi DDoS
• La lotta contro lo spam ha davvero rallentato Internet?
• Anonymous chiede agli Stati Uniti di vedere gli attacchi DDoS come protesta legale

Il governo iraniano è stato accusato di una recente serie di attacchi DDoS contro banche americane, come riportato dal New York Times lo scorso gennaio. Sempre più spesso le botnet vengono dirette da attivisti politici contro la loro opposizione, come l'ondata di attacchi hacktivisti contro le banche riportati da Tracy Kitten sul sito BankInfoSecurity.com.

Mentre siti di grandi dimensioni come Google e Microsoft dispongono delle risorse per assorbire gli attacchi DDoS senza intoppi, gli operatori di siti indipendenti sono molto più vulnerabili. Electronic Frontier Foundation offre una guida per i proprietari di piccoli siti per aiutarli a far fronte agli attacchi DDoS e ad altre minacce. Il programma Keep your site alive comprende aspetti da considerare quando si sceglie un host Web, alternative di backup e mirroring del sito.

Il crescente impatto degli attacchi DDoS è uno degli argomenti del Global Threat Intelligence Report 2013 rilasciato dalla società di sicurezza Solutionary. Il download del report richiede la registrazione, ma se sei di fretta, Bill Brenner offre una sinossi del report sul blog Salted Hash di CSO.

Come riportato da Brenner, due tendenze identificate da Solutionary sono che il malware è sempre più abile nell'evitare il rilevamento e Java è il bersaglio preferito dei kit di exploit malware, sostituendo Adobe PDF in cima alla lista.

La vulnerabilità del server DNS dietro gli attacchi DDoS

L'innata apertura di Internet rende possibili gli attacchi DDoS. Il fornitore di software DNS JH Software spiega come le impostazioni di ricorsione del DNS consentano un flusso di richieste botnet per sommergere un server DNS. Patrick Lynch di CloudShield Technologies analizza il problema dei "risolutori aperti" da una prospettiva aziendale e ISP.

Paul Vixie esamina i pericoli legati al blocco del DNS sul sito del Consorzio Internet Systems. Vixie contrasta il blocco con la proposta Secure DNS per dimostrare l'autenticità o l'inautenticità di un sito.

Infine, se hai due ore e mezzo da uccidere, guarda l'interessante tavola rotonda tenutasi a New York lo scorso dicembre intitolata Mitigating DDoS Attacks: le migliori pratiche per un panorama delle minacce in evoluzione. Il panel è stato moderato dal CEO di Public Interest Registry Brian Cute e ha incluso dirigenti di Verisign, Google e Symantec.

Sono rimasto colpito da un tema ricorrente tra i partecipanti al panel: abbiamo bisogno di educare gli utenti finali, ma in realtà non è colpa loro e anche non del tutto il loro problema. Per me, sembrava più che un po 'come gli ISP che passavano il tempo.