mappatura del mal web - antivirus software, internet … del mal web 4 • ilischio r è in...

Mappatura del Mal Web 1

Mappatura del Mal WebI domini più pericolosi al mondo

Mappatura del Mal WebI domini più pericolosi al mondo

CONTENUTIAutori:

Barbara Kay, CISSP, Secure by Design Group

Paula Greve, Direttore della Ricerca, McAfee Labs™

Introduzione 3

Punti fondamentali: Mappatura del Mal Web IV 4

L’importanza della mappatura del web 6

Attività illegali relative ai domini di primo livello 7

Metodologia 9

Alcune considerazioni sulle classificazioni 11

Analisi delle classificazioni 12

L’evoluzione delle minacce esistenti 21

Commenti di alcuni registrar e operatori di domini di primo livello 23

Conclusioni 26


Se un utente fosse consapevole del fatto che tre siti su cinque appartenenti a un determinato TLD sono rischiosi, probabilmente sceglierebbe un sito differente per scaricare la foto che sta cercando. Ad esempio, nonostante la popolarità crescente del Vietnam come destinazione turistica, i siti

Le botnet sono grandi fonti di profitto per i criminali? La prossima volta che

cercherete la foto di un personaggio celebre o un tutorial, vi consigliamo di

fare attenzione ai domini di primo livello (TLD), rappresentati dalle ultime

lettere degli URL nei risultati di ricerca. Lo studio Mappatura del Mal Web di

quest’anno, condotto da McAfee, ha sottolineato un incremento record del

livello di rischio, che ha raggiunto il 6,2% degli oltre 27 milioni di domini attivi

analizzati. Per gli utenti che accedono con leggerezza alle pagine web, il rischio

può rivelarsi notevolmente superiore alle aspettative. Quest’anno, il numero

di siti che contengono codici maligni, in grado di sottrarre password e dati

relativi all’identità degli utenti, sfruttare le vulnerabilità dei browser o installare

elementi che trasformano i computer in zombie è maggiore.

Introduzione

registrati in Vietnam (.VN) dovrebbero essere considerati una zona “off-limits”. Quest’anno, il dominio .VN si è piazzato fra i cinque TLD più rischiosi di Internet, con una percentuale di siti che ospitano contenuti o attività pericolosi o potenzialmente rischiosi pari al 58%, fra cui:

•Malware—Codici in grado di danneggiare il sistema o effettuare operazioni dannose su un computer (che comprendono keylogger, codici in grado di sottrarre le password e zombie kit).

• Exploitbrowser—Attacchi e contenuti malware malware che sfruttano le vulnerabilità del software di un computer.

• Phishing—Siti fasulli, apparentemente legittimi, concepiti per sottrarre informazioni agli utenti o installare codici maligni.

• Spam—Moduli di registrazione che, una volta completati, causano l’invio massiccio di messaggi e-mail commerciali o spam.

• Affiliazioniarischio—Siti che contengono link ad altri siti maligni, oppure siti che hanno relazioni sospette, ad esempio in termini di gestione, registrazione o servizio di hosting.

I TLD .INFO e .CM

comprendono

approssimativamente lo

stesso numero di siti sicuri e

siti a rischio, mentre il TLD

.VN comprende un numero

maggiore di siti a rischio

rispetto a quelli sicuri.

Il livello di rischio è determinato mediante la valutazione di diversi parametri per ogni sito web.

)

AnalisidelleminacceperlasicurezzacondottadaMcAfee®GlobalThreatIntelligence™

Exploit browser Reputazione a rischio (file, rete, motori di ricerca web e e-mail)

Adware/spyware/ trojan/virus

Volume elevato di messaggi e-mail commerciali (spam)

Affiliazione con altri siti a rischioUso eccessivo di popup commerciali

http://home.mcafee.com/VirusInfo/Glossary.aspx#P


• Ilrischioèinaumento—La media ponderata complessiva di siti a rischio è aumentata, passando dal 5,8% (2009) al 6,2% (2010). Nel 2007 e nel 2008, la percentuale di siti web classificati in rosso (da evitare) o in giallo (da visitare con prudenza) è risultata pari al 4,1%. Nonostante la metodologia adottata fosse diversa nei primi due anni, l’andamento delle tendenze (in aumento e verso destra) appare costante. Navigare sul web in sicurezza è sempre più difficile.

Nel suo quarto studio annuale sul rischio relativo legato ai TLD, McAfee ha riscontrato

che il livello complessivo di rischio del web è in aumento rispetto all’anno scorso.

In particolare, è stato rilevato un aumento del rischio relativo ai TLD già classificati

come pericolosi, come ad esempio .INFO. Allo stesso tempo, alcuni del TLD risultati

maggiormente a rischio nel 2009, come Singapore (.SG) e Venezuela (.VE), si sono

rivelati più sicuri. Infine, le nuove aree di rischio sono rappresentate da domini di

primo livello come quelli di Vietnam (.VN), Armenia (.AM) e Polonia (.PL).

Nota: l’insieme delle statistiche di rischio fa riferimento alle percentuali di rischio ponderate, salvo diverse indicazioni..

Punti fondamentali: Mappatura del Mal Web IV

• IcinqueTLDpiùrischiosi—Il dominio di primo livello .COM (commerciale; il TLD con maggiori livelli di traffico) è risultato essere il TLD più rischioso, con una percentuale di rischio ponderata del 31,3%. Questo primato negativo apparteneva in precedenza al dominio di primo livello .CM (Camerun), che quest’anno è al quarto posto nella classifica del TLD più rischiosi, mentre il TLD .INFO è passato dal quinto al secondo posto rispetto all’anno precedente. I cinque TLD con la maggior percentuale di registrazioni a rischio sono i seguenti:

- .COM (commerciale) 31,3%

- .INFO (informazioni) 30,7%

- .VN (Vietnam) 29,4%

- .CM (Camerun) 22,2%

- .AM (Armenia) 12,1%

• Distribuzioneglobale—L’area geografica che comprende Europa, Medio Oriente e Africa (EMEA) ha il dubbio privilegio di essere associata a 7 fra i 20 TLD maggiormente a rischio, che comprendono due “new entry”: l’Armenia (.AM) e la Polonia (.PL). L’area geografica Asia-Pacifico (APAC) segue con sei TLD, mentre i domini di primo livello di tipo generico, come .NET (rete), comprendono cinque dei 20 domini maggiormente a rischio. Per quanto riguarda le Americhe, soltanto gli Stati Uniti, col TLD .US, si piazzano in quattordicesima posizione.

7

6

5

4

3

2

1

0

2007

2008

2009

2010

Percentualedisitiarischiosulweb


• ITLDgenericisonointesta—Rispetto ai livelli di rischio rilevati per area geografica, i TLD generici e sponsorizzati risultano essere quelli in media più rischiosi. Questi TLD superano la media complessiva del 7,9%, mentre le tre aree geografiche sono comprese nella media del 6,2%. L’area geografica APAC ha visto una diminuzione della propria media rispetto al 2009, dal 13% al 4,9%; la media per gli Stati Uniti è pari al 2,7%, mentre quella dell’area EMEA è dell’1,9%.

• Progressinotevoli—(.SG) merita un riconoscimento per la riduzione del livello di rischio. Quest’anno, il TLD è infatti passato dalla decima all’ottantunesima posizione nella classifica dei domini di primo livello più a rischio. Allo stesso tempo, il dominio delle isole Filippine (.PH) è sceso in venticinquesima posizione, rispetto alla sesta posizione del 2009.

• ITLDdatenered’occhio—Sono stati presi in esame soltanto i TLD per i quali esistevano risultati relativi a un numero minimo di 2.000 siti attivi. Ciononostante, due TLD caratterizzati da un volume di siti ridotto avrebbero raggiunto i primi cinque posti in termini di rischio:

- Il Senegal (.SN) avrebbe raggiunto la prima posizione, con una percentuale di rischio del 33%, forse perchè non impone particolari restrizioni in termini di registrazione (http://en.wikipedia.org.wiki.sn)

- Il Territorio Britannico dell’Oceano Indiano (.IO) si sarebbe invece aggiudicato il quinto posto (percentuale di rischio: 11,5%). Probabilmente

si tratta di un TLD popolare, in quanto non impone restrizioni di registrazione di secondo livello riguardanti i termini anteposti al TLD, pertanto offre possibilità di riutilizzo interessanti: “il dominio di primo livello .IO è utilizzato all’interno di siti web di hacking quali eugen.io, moustach.io o pistacch.io, nonché per il servizio di hosting di file drop.io”.(http://en.wikipedia.org.wiki.io).

• Massimasicurezza—I cinque TLD che comprendono la minor percentuale di registrazioni a rischio (0,1%) sono risultati essere i seguenti:

- .TRAVEL (settore viaggi e turismo) .02%

- .EDU (didattico) .05%

- .JP (Giappone) .08%

- .CAT (catalano) .09%

- .GG (Guernsey) .10%

Nota: le classificazioni si basano sulla valutazione dei siti nel loro complesso, piuttosto che delle singole pagine. È bene tenere presente che gli URL registrati su domini sicuri da un punto di vista generico possono comunque contenere elementi a rischio: il dominio .EDU (didattico), ad esempio, comprende alcune pagine a rischio.

• Isitigovernativiperdonolaleadership—Il TLD più sicuro del 2009, .GOV (governativo), quest’anno è sceso al ventitreesimo posto; nonostante ciò, la sua percentuale di rischio dello 0,3% resta invariata. Tutti i siti a rischio individuati nel corso dello studio sono stati classificati in rosso.


• Periregistrardeidiversidomini,alloscopodiriconoscere gli operatori che si sono impegnati per la riduzione delle registrazioni fraudolente e per la chiusura dei siti pericolosi, con l’intento di spronare altri registrar a seguire il loro esempio e adottare le migliori pratiche di settore. Uno dei vantaggi è la riduzione del rischio. In passato, abbiamo collaborato con gli enti di registrazione, fornendo loro un elenco dei maggiori fattori di rischio e condividendo i dati relativi alle nostre ricerche sul rischio. In seguito, abbiamo notato una drastica riduzione del numero di siti a rischio all’interno dei loro TLD.

McAfee pubblica il rapporto Mappatura del Mal Web per tre tipi di pubblico,

con tre obiettivi differenti:

• Pergliamministratoridisitiweb,nellasperanza di fornire un’utile guida da consultare per la selezione del dominio di registrazione più adeguato.

• PergliutentieiresponsabiliITaziendali,conl’obiettivo di fornire dati reali sulla situazione del rischio, ormai distribuito in maniera piuttosto omogenea all’interno del web, nonché di segnalare i rischi in aumento, che si avvalgono di tecnologie sempre più sofisticate, e di sottolineare l’importanza, anche per gli utenti più esperti, di avvalersi di un software di sicurezza completo, aggiornato e dotato di funzionalità di ricerca sicure.

L’importanza della mappatura del web


Alcuni TLD sono più rischiosi rispetto ad altri. Truffatori e hacker preferiscono registrare le proprie attività illecite nei paesi in cui le normative commerciali sono più permissive o che rappresentano un’opportunità di profitto legata a errori di digitazione o ad associazioni mentali. Nel digitare un indirizzo .COM, è più probabile che gli utenti si dimentichino di digitare la lettera “O”: ecco perché registrare un sito web

Il TLD è uno degli strumenti di organizzazione del web, formato da lettere e

posto alla fine di un URL per indicare il paese presso il quale un sito web è

registrato. La maggior parte degli utenti riconosce i domini di primo livello

.COM e .GOV, mentre altri TLD non sono di immediata interpretazione; fra

questi, .AM (Armenia) o .CM (Camerun). I truffatori approfittano di questo

aspetto, sfruttando inoltre il fatto che molti utenti semplicemente non prestano

attenzione al TLD durante le proprie ricerche. Molti utenti fanno clic sul primo

risultato che sembra interessante, cadendo preda di criminali che si impegnano

ad ottimizzare i propri siti all’interno dei motori di ricerca.

Attività illegali relative ai domini di primo livello

illecito www.mcafee.cm in Camerun (.CM) consente di ricevere un maggior numero di visite da utenti privati e aziendali preoccupati per la sicurezza del proprio computer. Il sito dell’esempio si presta alla distribuzione di un software antivirus fasullo, nella speranza, da parte dei criminali, che l’utente risponda positivamente alla notifica “è stata rilevata la presenza di un virus, si consiglia di installare questo software”.

I registrar si impegnano costantemente allo scopo di contrastare questo tipo di attività, nota come “typosquatting”. Il typosquatting spazia dai siti che generano introiti pubblicitari a partire dagli errori di battitura degli utenti ai siti “parcheggiati” che propongono l’acquisto di domini, fino ai veri e propri siti di phishing, che acquisiscono dati personali o installano software infetto.

I software più pericolosi, a volte noti come “download guidati”, sono invisibili all’utente: la loro installazione non richiede infatti l’autorizzazione esplicita dello stesso. La maggior parte degli elementi malware e degli attacchi vengono raffinati fino ad essere difficilmente rilevabili. Spesso gli utenti restano inconsapevoli dei problemi del proprio computer per giorni o settimane; nel frattempo, i criminali provvedono a svuotare il loro conto bancario, accedono agli account di gioco online, contagiano gli “amici” dell’utente all’interno dei social network o controllano i cicli di esecuzione della CPU per le proprie botnet.

In genere, l’utente medio non sa riconoscere un sito .COM registrato negli Stati Uniti da uno registrato in Cina. Sono necessarie ricerche approfondite per determinare la sicurezza di un dominio di primo livello, a meno che non si utilizzi uno strumento di classificazione appropriato. Ad esempio: .VN sta per Vietnam o per Venezuela? La risposta può davvero fare la differenza in termini di rischio.

Mentre i buoni lavorano per migliorare il rispetto delle leggi e la supervisione delle registrazioni,


1 i criminali investono per rendere le proprie infrastrutture agili e resistenti (come illustrato nel dettaglio nella colonna laterale). Quando i criteri normativi e di selezione relativi a un TLD si fanno più rigorosi, i criminali vanno alla ricerca di dimore più permissive e flessibili, senza necessariamente trasferire i server fisici o alterare i contenuti.

Il TLD offre indicazioni sulla registrazione di un sito. Tuttavia, il sito vero e proprio, compresi i contenuti,

i server e gli amministratori, non si trovano necessariamente nel paese relativo al dominio di primo livello indicato. Una delle tecniche utilizzate dai criminali è l’inserimento di contenuti all’interno di servizi di condivisione file gratuiti, allo scopo di distribuire tali contenuti ai TLD in questione. I file archiviati su BitTorrent, YouTube e RapidShare cambiano costantemente, pertanto la supervisione dei contenuti si dimostra alquanto complessa.

I fattori che influenzano la scelta di un TLD da parte dei criminali sono diversi:

• Prezzopiùconveniente—A parità di condizioni, i truffatori scelgono i registrar che offrono le tariffe più basse, sconti per volumi elevati e generose politiche di rimborso.

• Mancanzadiregolamentazione—A parità di condizioni, i truffatori preferiscono i registrar che non richiedono requisiti particolari per la registrazione. Minore è il numero di informazioni richieste per la registrazione, meglio è per i truffatori. Allo stesso modo, i criminali dimostrano una preferenza per i registrar che, in caso di notifiche sulla presenza di domini infetti, agiscono molto lentamente, o non agiscono affatto.

• Facilitàdellaproceduradiregistrazione—A parità di condizione, i truffatori scelgono i registrar che consentono la registrazione in blocco. Questo tipo di registrar si presta in particolare alle frodi di phishing e di spamming, che necessitano di un numero elevato di siti per controbilanciare l’altrettanto elevato numero di siti chiusi dai gestori dei TLD.

1Previsioni sulle minacce per il 2010, pag. 9, disponibile in versione scaricabile, tradotta in più lingue, all’indirizzo http://www.mcafee.com/us/threat_center/white_paper.html

2http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars

3http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours

Attenti agli zombie

Gli zombie sono computer corrotti appartenenti ad utenti privati e aziende.

I criminali connettono questi computer fra di loro per lanciare diversi tipi di

attacchi: spam, phishing e furto di dati. Le botnet sono gruppi di zombie

all’interno dei quali le attività sono distribuite: in questo modo, il rilevamento

dei bot diventa un’operazione ancora più difficile, così come la chiusura

delle strutture ISP interessate. Si creano così infrastrutture professionali per il

cybercrimine, a costi alquanto vantaggiosi.

Oltre ad essere soggetti a costi di gestione contenuti, gli zombie consentono ai

botmaster di mantenere l’anonimato. Il successo di questa strategia potrebbe

spiegare le rispettive conseguenze della chiusura della McColo, che ha

notevolmente ridotto i volumi di spam nel 2008, 2 e la chiusura della botnet Zeus

nel mese di marzo 2010, che è durata soltanto poche ore.3

http://www.mcafee.com/us/threat_center/white_paper.html

http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars

http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours


Il nostro approccio all’identificazione del rischio si basa sull’analisi di modelli di traffico web, comportamento dei siti, contenuti ospitati e link. I singoli siti vengono analizzati alla ricerca di contenuti o comportamenti pericolosi o a rischio. Anche il cosiddetto “contesto” di ogni sito (registrazione e utilizzo, riferimenti e modalità di accesso al sito) viene sottoposto ad analisi.

• Isitiwebvengono analizzati per rilevare exploit browser, attività di phishing e popup eccessivi. Gli exploit browser, chiamati anche download guidati, consentono a virus, keystroke logger o spyware di installarsi nel computer del consumatore senza il suo consenso e spesso senza che ne sia a conoscenza. Sono inoltre presi in esame i link a siti esterni, allo scopo di verificare eventuali collegamenti a siti classificati da McAfee come a rischio.

• Idownloadvengono analizzati installando un software sui nostri computer di prova e controllando la presenza di virus ed altri adware, spyware o programmi indesiderati. McAfee non sottopone a test i singoli file trasmessi attraverso

La metodologia di studio non ha subito variazioni rispetto all’anno scorso.

Come per il rapporto del 2009, questo rapporto si basa sui dati del database

McAfee Global Threat Intelligence, che contiene dati raccolti da oltre 1 5

0 milioni di sensori, situati in oltre 1 2 0 paesi. I sensori—singoli computer,

dispositivi di rete gateway, software per la protezione degli endpoint, servizi in-

the-cloud—provengono da clienti, attività di piccole e medie dimensioni, clienti

delle imprese, istituzioni educative ed agenzie governative.

Metodologia

programmi di condivisione peer-to-peer (P2P) e BitTorrent, o attraverso piattaforme di contenuti come iTunes o Rhapsody. Al contrario, sono sottoposti ad analisi i file presenti all’interno di molti siti freeware e shareware, come RapidShare, nonché i software client P2P e BitTorrent. Gli stessi servizi utilizzati per la condivisione gratuita di file funzionano efficacemente anche per la diffusione di malware.

•Imodulidiregistrazionevengono compilati usando un indirizzo e-mail monouso per poter tracciare il volume e il “livello di spamming” di tutte le successive e-mail. Il livello di spamming (spamminess) si riferisce al contenuto commerciale dell’e-mail e all’uso di tattiche per ingannare i software dotati di filtro antispam.

Inoltre, McAfee Global Threat Intelligence mette in correlazione i dati relativi ad altri vettori di minacce, fra cui traffico e-mail, traffico di intrusione di rete e analisi del malware, allo scopo di elaborare un punteggio che rispecchi in maniera esaustiva la reputazione di un sito web.


I siti web che contengono codici maligni (fra cui trojan, virus e spyware) o exploit browser che godono di una cattiva reputazione in termini di file, e-mail, web e rete, vengono classificati in rosso. I siti web che devono essere visitati con prudenza, spesso a causa del livello di spamming, della presenza eccessiva di popup o di link a siti a rischio, sono classificati in giallo. La stragrande maggioranza dei TLD comprende siti classificati sia in rosso che in giallo.

Crimineincontinuaevoluzione,contromisuresemprepiùsofisticate

Ogni anno, i criminali sviluppano tecniche più complesse e innovative per nascondere la propria attività. Quest’anno, ad esempio, le botnet hanno consentito un notevole aumento di nuove categorie di siti maligni, inclusi nelle nostre classificazioni a scopo di analisi, che comprendono virus, trojan e botnet.

Allo stesso tempo, anche le tecnologie contro il crimine cibernetico si fanno sempre più sofisticate. McAfee dispone di oltre 400 ricercatori che si dedicano all’analisi delle minacce. Questo team globale sviluppa nuovi strumenti per il rilevamento delle variazioni del web, analizza i dati provenienti dai sensori e individua comportamenti e impronte digitali che possono segnalare la presenza di un rischio. Tutti i dati acquisiti vengono integrati all’interno della nostra rete Global Threat Intelligence, per un’analisi ancora più rigorosa. Così, mentre la nostra metodologia rimane invariata, l’evoluzione delle nostre tecnologie è costante: in questo modo, siamo certi di valutare in maniera rigorosa il livello reale di rischio al quale gli utenti sono attualmente esposti.

Leclassificazioni

Come indicato in precedenza, lo studio è stato circoscritto ai TLD per i quali sono stati analizzati almeno 2.000 singoli siti. Ai fini del presente rapporto, abbiamo incluso 106 TLD sui 271 analizzati, rappresentando due domini in più rispetto al 2009.

Insiemedeidominiedominiattivi

Sono stati compresi nel rapporto solo i domini attivi durante lo svolgimento dell’indagine, ovvero 27.304.797 domini. I dati provenienti da domini attivi offrono una panoramica obiettiva dello stato del sistema TLD, riferita al momento in cui i dati sono stati acquisiti. Esiste una variazione naturale del rischio; ad esempio, un’indagine condotta a distanza di una settimana potrebbe dare risultati differenti.

Indaginenonprogrammataenonannunciata

Le tempistiche dello studio non sono programmate in precedenza e i risultati non sono riferiti alla media dei risultati relativi a diversi campioni. Inoltre, la data dell’indagine non viene annunciata. In questo modo, utilizzando un campione casuale e non programmato, è possibile garantire la massima obiettività della procedura.

Rischioponderato

Come per il rapporto del 2009, la percentuale di rischio è ponderata: il 50% della percentuale è data dal rapporto fra il numero di siti a rischio legati a un determinato TLD e il numero complessivo di siti appartenenti a tale TLD; il restante 50% è dato dal rapporto fra i siti a rischio legati a un determinato TLD e il numero totale di siti a rischio rilevati. Riteniamo che questa metodologia di classificazione rifletta il livello di rischio al quale un utente è generalmente esposto durante la navigazione dell’intero web. In altre parole, crediamo che un utente del web sia meno propenso a visitare un TLD sapendo che esso comprende il 50% del totale di siti a rischio presenti nel web, anche se tali siti a rischio rappresentassero soltanto l’1% del totale dei domini appartenenti a quel TLD.

Esempio: Un TLD che comprende 100 siti a rischio su 10.000 siti totali e i cui 100 siti a rischio sono parte dei 200 siti a rischio totali riferiti all’insieme dei TLD [(50%*100/10.000)+(50%*100/200)=25,5%] è considerato più rischioso rispetto a un TLD che comprende 10 siti a rischio su 100 totali [(50%*(10/100)+(50%*(10/200)=7,5%].

Utilizzando questa metodologia, in alcuni casi, un TLD che comprende molti siti a rischio ma ha una classificazione di rischio più bassa può essere associato a una percentuale di rischio maggiore rispetto a un TLD di dimensioni ridotte con una maggiore percentuale relativa di siti a rischio.

Esempio: il 6,1% dei 15,5 milioni di siti .COM (commerciali) analizzati è stato classificato come a rischio. Tale percentuale è leggermente inferiore alla media complessiva, pari al 6,2%. Ciononostante, confrontando la percentuale di rischio del dominio di primo livello .COM con il numero totale di siti a rischio presenti sul web, la percentuale di rischio ha raggiunto il 31,3%, facendo di .COM il TLD più rischioso. Al contrario, il 58% dei 24.988 siti web .VN (Vietnam) è stato classificato come a rischio, ma ponderando il rischio rispetto al numero totale di siti a rischio a livello mondiale, la percentuale di rischio è scesa al 29,4%. Secondo questo metodo, pertanto, il TLD .VN è meno rischioso del TLD .COM.

TLD N. 1 TLD N. 2 TLD N. 1 TLD N. 2

Siti rischiosi 10 100 10 100

Numero totale dei siti

100 10,000 100 10,000

Numero totale di siti rischiosi

Non rilevante Non rilevante 200 200

Percentuale di rischio

10,0% 1,0% 7,5% 25,5%

Metodologianonponderata Metodologiaponderata


Lepercentualidirischiononsonoponderateinbasealtraffico

La nostra valutazione del rischio non viene ponderata in base al traffico in entrata dei diversi TLD. Non viene pertanto operata alcuna distinzione fra un TLD molto popolare, con un livello elevato di traffico in entrata e di visite ai siti rischiosi ad esso appartenenti, e un TLD meno popolare, che riceve un livello inferiore di traffico. Questo approccio riflette la situazione reale: i siti web maligni spesso vengono inclusi rapidamente nell’elenco del milione di siti più visitati (in base al traffico), restando nell’elenco per alcune settimane, durante le quali gli utenti vengono infettati. Un utente che si basa esclusivamente sulle classifiche di popolarità non evita pertanto i rischi esistenti.

Lepercentualidirischiononsonoponderateinbaseallatipologiadirischio

La nostra metodologia di analisi non fa distinzione tra le minacce di entità minore, moderata e banale. In altre parole, un dominio classificato in giallo con un numero di dowload infetti ridotto ha lo stesso valore di un dominio classificato in rosso che comprende codici exploit per i download guidati. Un sito con modulo di registrazione che genera spam conta quanto un sito con contenuti scaricabili infettati da virus.

Alcune considerazioni sulle classificazioni

LepercentualidirischiononsonoponderateinbasealledimensionidelTLD

McAfee non ha accesso ai “file di zona” dei singoli registrar, o agli elenchi di tutti i domini pubblici registrati. In alcuni casi, non siamo pertanto in grado di valutare la percentuale dei siti web pubblici di un TLD per i quali abbiamo elaborato una classificazione. Tuttavia, limitandoci alla valutazione dei domini di primo livello per i quali disponiamo di un campione ampio, riteniamo di offrire valutazioni e classificazioni statisticamente attendibili.

Esempio: i domini .PL (Polonia) presi in considerazione ammontano a 297.946. Sul numero totale di domini, 17.398 (il 5,8%) sono risultati essere a rischio. Partendo dal presupposto che il totale dei domini .PL ammonti a 2.970.000, le dimensioni del campione preso in esame corrispondono al 10,0% circa. Con un livello di attendibilità del 95%, il nostro intervallo di confidenza corrisponde a +/- 0,08%. In altre parole, la percentuale effettiva di siti a rischio è compresa fra il 5,72% e il 5,88%, con un livello di attendibilità pari al 95%.

Domini,nonURL

Lo studio si basa esclusivamente su classificazioni relative ai domini, e non ai singoli URL appartenenti a un dominio. Si tratta di un aspetto importante: infatti, McAfee ha rilevato numerosi esempi di singoli URL pericolosi all’interno di domini altrimenti sicuri, fra cui .HR (Croazia) e .EDU (didattico).

Lachiusuradisitiarischiononèstatapresainconsiderazione

Siamo a conoscenza del fatto che gli operatori TLD sono spesso impossibilitati, in virtù degli obblighi contrattuali, a chiudere determinati tipi di domini considerati a rischio da McAfee. Inoltre, il comportamento dei siti web che porta alla chiusura di un dominio da parte di un ente di registrazione può essere considerato accettabile da un altro ente di registrazione. McAfee non opera alcuna distinzione fra le differenti politiche di tali enti.

Altro

Infine, le nostre classificazioni non tengono conto dei domini non analizzati.


Nazioneotipologia

Areageografica

TLD Classificazio-nedirischio

mondialeperil2010

Percentualedirischio

ponderataperil2010

Percentualedirischiononponderataper

il2010

Classificazionedirischio

mondialeperil2009


ponderataperil2009

Variazionedellapercentuale

dirischioponderata

Numerocomplessivo

didominianalizzati

Numerototaledidominiarischio

Commerciale Generico COM 1 31,3% 6,1% 2 32,2% -2,8% ↓ 15.530.183 948.995

Informazioni Generico INFO 2 30,7% 46,6% 5 15,8% 94,5% ↑ 533.711 248.806

Vietnam APAC VN 3 29,4% 58,0% 39 0,9% 3.107,9% ↑ 24.988 14.492

Camerun EMEA CM 4 22,2% 44,2% 1 36,7% -39,5% ↓ 3.947 1.746

Armenia EMEA AM 5 12,1% 24,2% 23 2,0% 512,9% ↑ 3.145 760

Is. Cocos (Keeling)

APAC CC 6 10,5% 20,2% 14 3,3% 215,4% ↑ 58.713 11.869

Asia-Pacifico Generico ASIA 7 10,3% 20,6% N.D. N.D. N.D. 3.122 642

Rete Generico NET 8 10,1% 10,5% 7 5,8% 73,7% ↑ 1.556.813 163.466

Russia EMEA RU 9 10,1% 16,8% 9 4,6% 116,7% ↑ 329.136 55.373

Samoa occidentale

APAC WS 10 8,6% 16,9% 4 17,8% -51,8% ↓ 22.070 3.734

I. Tokelau APAC TK 11 8,4% 15,9% 19 2,3% 262,0% ↑ 91.876 14.630

Organizzazione Generico ORG 12 6,4% 7,4% 11 4,2% 50,3% ↑ 1.224.870 90.290

Professionale Generico BIZ 13 6,3% 11,8% 13 3,6% 74,3% ↑ 121.622 14.350

Stati Uniti Americhe US 14 6,0% 11,2% 17 3,1% 95,7% ↑ 119.861 13.365

Repubblica Popolare Cinese

APAC CN 15 4,8% 8,3% 3 23,4% -79,5% ↓ 261.298 21.711

Ex Unione Sovietica

EMEA SU 16 4,6% 9,2% 8 5,2% -9,8% ↓ 8.478 784

Sao Tome e Principe

EMEA ST 17 3,7% 7,3% 12 3,8% -1,6% ↓ 11.997 880

Romania EMEA RO 18 3,7% 7,1% 20 2,2% 63,5% ↑ 56.312 3.982

Georgia EMEA GE 19 3,5% 7,0% N.D. N.D. N.D. 2.311 162

Polonia EMEA PL 20 3,4% 5,8% 60 0,5% 574,2% ↑ 297.946 17.398

India APAC IN 21 3,4% 6,5% 22 2,0% 67,8% ↑ 49.368 3.218

Montserrat EMEA MS 22 3,2% 6,3% N.D. N.D. N.D. 3.382 213

Pakistan APAC PK 23 2,8% 5,5% 18 2,8% 0,5% ↑ 4.947 273

Is. Niue APAC NU 24 2,5% 5,0% 24 1,9% 32,3% ↑ 27.420 1.362

Filippine APAC PH 25 2,2% 4,3% 6 13,1% -83,4% ↓ 9.625 418

Montenegro EMEA me 26 2,1% 4,3% N.D. N.D. N.D. 5.465 233

Tonga APAC TO 27 2,1% 4,2% 33 1,1% 94,5% ↑ 13.150 550

Trinidad e Tobago

Americhe TT 28 1,9% 3,8% 51 0,6% 217,6% ↑ 4.287 165

Famiglie e privati

Generico NAME 29 1,7% 3,3% 16 3,1% -45,9% ↓ 6.726 223

Tuvalu APAC TV 30 1,7% 3,2% 38 0,9% 80,1% ↑ 40.770 1.316

Kazakhstan EMEA KZ 31 1,5% 3,1% 15 3,1% -50,2% ↓ 4.708 144

Isole Turks e Caicos

Americhe TC 32 1,5% 3,0% 40 0,9% 74,8% ↑ 11.187 338

Dispositivi mobili Generico MOBI 33 1,5% 3,0% 25 1,7% -14,4% ↓ 6.861 204

Marocco EMEA MA 34 1,5% 3,0% N.D. N.D. N.D. 2.024 60

Laos APAC LA 35 1,5% 2,9% 26 1,6% -8,7% ↓ 4.143 122

Colombia Americhe CO 36 1,5% 2,9% 68 0,4% 249,0% ↑ 3.618 106

Belize Americhe BZ 37 1,3% 2,5% 30 1,2% 2,2% ↑ 3.472 88

Classificazioni complessive

Analisi delle classificazioni

LIVELLO DI RISCHIO BASSOLIVELLO DI RISCHIO ELEVATO


Nazioneotipologia

Areageografica


mondialeperil2010


ponderataperil2010


il2010


mondialeperil2009


ponderataperil2009


dirischioponderata

Numerocomplessivo

didominianalizzati


Classificazioni complessive (cont.)

Corea del Sud APAC KR 38 1,1% 2,2% 28 1,5% -26,7% ↓ 70.261 1.530

Isola del Natale APAC CX 39 1,1% 2,2% 74 0,4% 195,6% ↑ 6.084 136

Lettonia EMEA LV 40 1,1% 2,1% 71 0,4% 163,1% ↑ 10.015 210

Canada Americhe CA 41 0,9% 1,6% 64 0,5% 90,5% ↑ 169.543 2.777

Slovacchia EMEA SK 42 0,9% 1,7% 45 0,8% 11,4% ↑ 37.643 649

Serbia EMEA RS 43 0,9% 1,7% N.D. N.D. N.D. 2.031 35

Unione Europea

EMEA EU 44 0,8% 1,6% 59 0,5% 60,3% ↑ 80.278 1.288

Ucraina EMEA UA 45 0,8% 1,6% 36 1,0% -19,7% ↓ 38.619 615

Stati Federati di Micronesia

APAC FM 46 0,7% 1,5% 66 0,4% 69,7% ↑ 4.075 60

Malesia APAC MY 47 0,7% 1,5% 80 0,3% 122,1% ↑ 15.200 221

Tailandia APAC TH 48 0,7% 1,5% 32 1,1% -34,8% ↓ 8.912 130

Regno Unito EMEA UK 49 0,7% 0,9% 55 0,6% 30,3% ↑ 898.229 8.503

Moldavia EMEA MD 50 0,7% 1,4% N.D. N.D. N.D. 2.644 38

Bielorussia EMEA BY 51 0,7% 1,4% 29 1,3% -44,8% ↓ 4.372 62

Georgia del Sud e Isole Sandwich Meridionali

EMEA GS 52 0,6% 1,2% 48 0,6% -7,1% ↓ 4.578 55

Peru Americhe PE 53 0,6% 1,2% 41 0,9% -32,9% ↓ 5.176 60

Repubblica Ceca

EMEA CZ 54 0,6% 1,0% 54 0,6% -4,7% ↓ 101.781 1.068

Iran EMEA IR 55 0,5% 1,1% 37 0,9% -42,5% ↓ 17.874 191

Lituania EMEA LT 56 0,5% 1,1% 44 0,8% -36,9% ↓ 11.517 121

Ecuador Americhe EC 57 0,5% 1,0% 49 0,6% -18,8% ↓ 2.496 26

Emirati Arabi Uniti

EMEA AE 58 0,5% 1,0% 65 0,5% 7,9% ↑ 4.123 42

Uruguay Americhe UY 59 0,5% 1,0% 75 0,4% 35,0% ↑ 3.277 33

Hong Kong APAC HK 60 0,5% 1,0% 34 1,1% -53,8% ↓ 17.960 176

Repubblica di Cina (Taiwan)

APAC TW 61 0,5% 1,0% 52 0,6% -16,3% ↓ 56.000 534

Belgio EMEA BE 62 0,5% 0,9% 81 0,3% 49,2% ↑ 123.606 1.124

Liechtenstein EMEA LI 63 0,5% 1,0% 90 0,2% 110,3% ↑ 3.000 29

Timor Est APAC TL 64 0,5% 1,0% 58 0,5% -11,6% ↓ 5.309 51

Ungheria EMEA HU 65 0,4% 0,9% 53 0,6% -23,9% ↓ 71.650 614

Germania EMEA DE 66 0,4% 0,5% 83 0,3% 43,8% ↑ 1.504.163 7.052

Arabia Saudita EMEA SA 67 0,4% 0,9% 42 0,9% -48,7% ↓ 2.630 23

Bosnia EMEA BA 68 0,4% 0,9% 46 0,8% -43,9% ↓ 2.671 23

Indonesia APAC ID 69 0,4% 0,8% 56 0,6% -23,7% ↓ 6.138 52

Brasile Americhe BR 70 0,4% 0,7% 70 0,4% 5,0% ↑ 290.350 2.084

Finlandia EMEA FI 71 0,4% 0,8% 85 0,3% 41,5% ↑ 35.046 283

Argentina Americhe AR 72 0,4% 0,8% 50 0,6% -36,7% ↓ 80.324 603

Spagna EMEA ES 73 0,4% 0,7% 27 1,6% -75,6% ↓ 103.555 749

Nuova Zelanda APAC NZ 74 0,4% 0,7% 94 0,2% 86,8% ↑ 56.240 416

Francia EMEA FR 75 0,4% 0,7% 61 0,5% -24,8% ↓ 244.237 1.626

Austria EMEA AT 76 0,4% 0,7% 89 0,2% 58,4% ↑ 139.244 966

Israele EMEA IL 77 0,4% 0,7% 31 1,2% -70,4% ↓ 29.113 209



Nauru APAC NR 78 0.4% 0.7% 62 0.5% -29.9% ↓ 8,199 58

Turchia EMEA TR 79 0.4% 0.7% 47 0.7% -46.6% ↓ 36,466 252

Svezia EMEA SE 80 0.4% 0.7% 88 0.3% 35.8% ↑ 102,870 684

Singapore APAC SG 81 0.3% 0.7% 10 4.6% -92.6% ↓ 15,632 105

Norvegia EMEA NO 82 0.3% 0.6% 77 0.4% -8.5% ↓ 50,089 317

Grecia EMEA GR 83 0.3% 0.6% 73 0.4% -22.7% ↓ 41,357 243

Governativo Generico GOV 84 0.3% 0.6% 104 0.0% 1,188.3% ↑ 6,415 38

Messico Americhe MX 85 0.3% 0.6% 69 0.4% -26.7% ↓ 49,601 284

Lussemburgo EMEA LU 86 0.3% 0.6% 98 0.1% 102.4% ↑ 6,750 38

Italia EMEA IT 87 0.3% 0.5% 78 0.3% -17.6% ↓ 314,171 1,495

Venezuela Americhe VE 88 0.3% 0.5% 21 2.1% -86.7% ↓ 5,842 32

Estonia EMEA EE 89 0.3% 0.5% 76 0.4% -30.1% ↓ 11,302 58

Sud Africa EMEA ZA 90 0.3% 0.5% 96 0.2% 50.6% ↑ 72,629 357

Portogallo EMEA PT 91 0.2% 0.5% 86 0.3% -13.2% ↓ 38,869 189

Vanuatu APAC VU 92 0.2% 0.5% 97 0.2% 49.1% ↑ 15,211 70

Olanda EMEA NL 93 0.2% 0.3% 84 0.3% -24.4% ↓ 583,943 1,980

Bułgaria EMEA BG 94 0.2% 0.5% 43 0.8% -73.1% ↓ 17,974 81

Danimarca EMEA DK 95 0.2% 0.4% 91 0.2% 0.7% ↑ 151,472 627

Islanda EMEA IS 96 0.2% 0.4% 87 0.3% -19.8% ↓ 6,102 26

Slovenia EMEA SI 97 0.2% 0.4% 79 0.3% -36.6% ↓ 11,339 48

Australia APAC AU 98 0.2% 0.3% 93 0.2% -4.3% ↓ 256,103 871

Svizzera EMEA CH 99 0.1% 0.3% 95 0.2% -13.3% ↓ 217,863 572

Irlanda EMEA IE 100 0.1% 0.2% 101 0.1% -5.7% ↓ 32,120 71

Croazia EMEA HR 101 0.1% 0.2% 100 0.1% -11.1% ↓ 22,511 50

Guernsey EMEA GG 102 0.1% 0.2% 57 0.6% -81.1% ↓ 12,092 25

Catalano Sponsorizzato CAT 103 0.1% 0.2% 99 0.1% -31.6% ↓ 3,936 7

Giappone APAC JP 104 0.1% 0.1% 103 0.1% 6.6% ↑ 464,408 547

Didattico Generico EDU 105 0.1% 0.1% 102 0.1% -48.6% ↓ 14,002 15

Settore viaggi eturismo

Generico TRAVEL 106 0.0% 0.0% 92 0.2% -88.6% ↓ 2,013 1

Nota: Le voci con valore “N.D.” sono riferite a nuovi TLD inseriti nel rapporto di quest’anno, che non presentano quindi differenze rispetto all’anno precedente..

Classificazioni complessive (cont.)

Nazioneotipologia

Areageografica


mondialeperil2010


ponderataperil2010


il2010


mondialeperil2009


ponderataperil2009


dirischioponderata

Numerocomplessivo

didominianalizzati




• Ildominiodiprimolivello.CO(Colombia)hapresentatounodeimaggiorilivellidiincrementodelrischio,classificandosi36°rispettoal68°postodell’annoprecedente.IprincipalirischilegatialTLD.COèlegatoadattivitàarischio:URLconfunzionediintermediariper altri host maligni, fra cui botnet di sistemi compromessi e centri di comando e controllo responsabili della loro manipolazione.

• IlTLD.VE(Venezuela)èstatounodeidominichehadimostratounamaggiorriduzionedelrischioquest’anno:dopoessersiclassificato21°nel2009,èscesoall’ottantottesimaposizione.

Nazioneotipologia TLD Classificazionedirischio

mondialeperil2010


ponderataperil2010


il2010


mondialeperil2009


ponderata peril2009


dirischioponderata

Numerocomplessivo

didominianalizzatiperil2010

Numerototaledidominia

rischioperil2010

Stati Uniti US 14 6,0% 11,2% 17 3,1% 95,7% ↑ 119.861 13.365

Trinidad e Tobago TT 28 1,9% 3,8% 51 0,6% 217,6% ↑ 4.287 165

Isole Turks e Caicos TC 32 1,5% 3,0% 40 0,9% 74,8% ↑ 11.187 338

Colombia CO 36 1,5% 2,9% 68 0,4% 249,0% ↑ 3.618 106

Belize BZ 37 1,3% 2,5% 30 1,2% 2,2% ↑ 3.472 88

Canada CA 41 0,9% 1,6% 64 0,5% 90,5% ↑ 169.543 2.777

Peru PE 53 0,6% 1,2% 41 0,9% -32,9% ↓ 5.176 60

Ecuador EC 57 0,5% 1,0% 49 0,6% -18,8% ↓ 2.496 26

Uruguay UY 59 0,5% 1,0% 75 0,4% 35,0% ↑ 3.277 33

Brasile BR 70 0,4% 0,7% 70 0,4% 5,0% ↑ 290.350 2.084

Argentina AR 72 0,4% 0,8% 50 0,6% -36,7% ↓ 80.324 603

Messico MX 85 0,3% 0,6% 69 0,4% -26,7% ↓ 49.601 284

Venezuela VE 88 0,3% 0,5% 21 2,1% -86,7% ↓ 5.842 32

Americas region



• Inlineadimassima,l’areageograficaAsia-Pacificodominalacategoriadei“maggioriprogressi”,occupandoquattrodelle cinque prime posizioni, partendo dal TLD di Singapore (.SG), in prima posizione, seguito da Repubblica Popolare Cinese (.CN), Filippine (.PH) e Samoa occidentale (.WS). Si tratta di un risultato particolarmente significativo, poiché questi TLD, l’anno scorso, figuravano fra i dieci più rischiosi.

• Tuttavia,ilVietnam(.VN),piazzatosialtrentanovesimopostonel2009,risultaessereilterzoTLDpiùarischioquest’anno.Come per il TLD della Colombia (.CO), i principali rischi associati a .VN sono relativi ad attività maligne, a siti utilizzati come proxy per altri host maligni e ad attività di controllo.

• IlTLDdelGiapponesièrivelatounodeipiùsicuridelmondo,eilpiùsicuronell’areageograficaAPAC.


mondialeperil2010


ponderataperil2010


il2010


mondialeperil2009


ponderata peril2009


dirischioponderata

Numerocomplessivo



rischioperil2010

Vietnam VN 3 29,4% 58,0% 39 0,9% 3.107,9% ↑ 24.988 14.492

Is. Cocos (Keeling) CC 6 10,5% 20,2% 14 3,3% 215,4% ↑ 58.713 11.869

Samoa occidentale WS 10 8,6% 16,9% 4 17,8% -51,8% ↓ 22.070 3.734

I. Tokelau TK 11 8,4% 15,9% 19 2,3% 262,0% ↑ 91.876 14.630

Repubblica Popolare Cinese

CN 15 4,8% 8,3% 3 23,4% -79,5% ↓ 261.298 21.711

India IN 21 3,4% 6,5% 22 2,0% 67,8% ↑ 49.368 3.218

Pakistan PK 23 2,8% 5,5% 18 2,8% 0,5% ↑ 4.947 273

Is. Niue NU 24 2,5% 5,0% 24 1,9% 32,3% ↑ 27.420 1.362

Filippine PH 25 2,2% 4,3% 6 13,1% -83,4% ↓ 9.625 418

Tonga TO 27 2,1% 4,2% 33 1,1% 94,5% ↑ 13.150 550

Tuvalu TV 30 1,7% 3,2% 38 0,9% 80,1% ↑ 40.770 1.316

Laos LA 35 1,5% 2,9% 26 1,6% -8,7% ↓ 4.143 122

Corea del Sud KR 38 1,1% 2,2% 28 1,5% -26,7% ↓ 70.261 1.530

Isola del Natale CX 39 1,1% 2,2% 74 0,4% 195,6% ↑ 6.084 136

Stati Federati di Micronesia

FM 46 0,7% 1,5% 66 0,4% 69,7% ↑ 4.075 60

Malesia MY 47 0,7% 1,5% 80 0,3% 122,1% ↑ 15.200 221

Tailandia TH 48 0,7% 1,5% 32 1,1% -34,8% ↓ 8.912 130

Hong Kong HK 60 0,5% 1,0% 34 1,1% -53,8% ↓ 17.960 176

Repubblica di Cina (Taiwan)

TW 61 0,5% 1,0% 52 0,6% -16,3% ↓ 56.000 534

Timor Est TL 64 0,5% 1,0% 58 0,5% -11,6% ↓ 5.309 51

Indonesia ID 69 0,4% 0,8% 56 0,6% -23,7% ↓ 6.138 52

Nuova Zelanda NZ 74 0,4% 0,7% 94 0,2% 86,8% ↑ 56.240 416

Nauru NR 78 0,4% 0,7% 62 0,5% -29,9% ↓ 8.199 58

Singapore SG 81 0,3% 0,7% 10 4,6% -92,6% ↓ 15.632 105

Vanuatu VU 92 0,2% 0,5% 97 0,2% 49,1% ↑ 15.211 70

Australia AU 98 0,2% 0,3% 93 0,2% -4,3% ↓ 256.103 871

Giappone JP 104 0,1% 0,1% 103 0,1% 6,6% ↑ 464.408 547

Nota: Le voci con valore “N.D.” sono riferite a nuovi TLD inseriti nel rapporto di quest’anno, che non presentano quindi differenze rispetto all’anno precedente.

Area geografica Asia-Pacifico (APAC)




mondialeperil2010


ponderataperil2010


il2010


mondialeperil2009


ponderata peril2009


dirischioponderata

Numerocomplessivo



rischioperil2010

Camerun CM 4 22,2% 44,2% 1 36,7% -39,5% ↓ 3.947 1.746

Armenia AM 5 12,1% 24,2% 23 2,0% 512,9% ↑ 3.145 760

Russia RU 9 10,1% 16,8% 9 4,6% 116,7% ↑ 329.136 55.373

Ex Unione Sovietica SU 16 4,6% 9,2% 8 5,2% -9,8% ↓ 8.478 784

Sao Tome e Principe ST 17 3,7% 7,3% 12 3,8% -1,6% ↓ 11.997 880

Romania RO 18 3,7% 7,1% 20 2,2% 63,5% ↑ 56.312 3.982

Georgia GE 19 3,5% 7,0% N.D. N.D. N.D. 2.311 162

Polonia PL 20 3,4% 5,8% 60 0,5% 574,2% ↑ 297.946 17.398

Montserrat MS 22 3,2% 6,3% N.D. N.D. N.D. 3.382 213

Montenegro ME 26 2,1% 4,3% N.D. N.D. N.D. 5.465 233

Kazakhstan KZ 31 1,5% 3,1% 15 3,1% -50,2% ↓ 4.708 144

Marocco MA 34 1,5% 3,0% N.D. N.D. N.D. 2.024 60

Lettonia LV 40 1,1% 2,1% 71 0,4% 163,1% ↑ 10.015 210

Slovacchia SK 42 0,9% 1,7% 45 0,8% 11,4% ↑ 37.643 649

Serbia RS 43 0,9% 1,7% N.D. N.D. N.D. 2.031 35

Unione Europea EU 44 0,8% 1,6% 59 0,5% 60,3% ↑ 80.278 1.288

Ucraina UA 45 0,8% 1,6% 36 1,0% -19,7% ↓ 38.619 615

Regno Unito UK 49 0,7% 0,9% 55 0,6% 30,3% ↑ 898.229 8.503

Moldavia MD 50 0,7% 1,4% N.D. N.D. N.D. 2.644 38

Bielorussia BY 51 0,7% 1,4% 29 1,3% -44,8% ↓ 4.372 62

Georgia del Sud e Isole Sandwich Meridionali

GS 52 0,6% 1,2% 48 0,6% -7,1% ↓ 4.578 55

Repubblica Ceca CZ 54 0,6% 1,0% 54 0,6% -4,7% ↓ 101.781 1.068

Iran IR 55 0,5% 1,1% 37 0,9% -42,5% ↓ 17.874 191

Lituania LT 56 0,5% 1,1% 44 0,8% -36,9% ↓ 11.517 121

Emirati Arabi Uniti AE 58 0,5% 1,0% 65 0,5% 7,9% ↑ 4.123 42

Belgio BE 62 0,5% 0,9% 81 0,3% 49,2% ↑ 123.606 1.124

Liechtenstein LI 63 0,5% 1,0% 90 0,2% 110,3% ↑ 3.000 29

Ungheria HU 65 0,4% 0,9% 53 0,6% -23,9% ↓ 71.650 614

Germania DE 66 0,4% 0,5% 83 0,3% 43,8% ↑ 1.504.163 7.052

Arabia Saudita SA 67 0,4% 0,9% 42 0,9% -48,7% ↓ 2.630 23

Bosnia BA 68 0,4% 0,9% 46 0,8% -43,9% ↓ 2.671 23

Finlandia FI 71 0,4% 0,8% 85 0,3% 41,5% ↑ 35.046 283

Spagna ES 73 0,4% 0,7% 27 1,6% -75,6% ↓ 103.555 749

Francia FR 75 0,4% 0,7% 61 0,5% -24,8% ↓ 244.237 1.626

Austria AT 76 0,4% 0,7% 89 0,2% 58,4% ↑ 139.244 966

Israele IL 77 0,4% 0,7% 31 1,2% -70,4% ↓ 29.113 209

Turchia TR 79 0,4% 0,7% 47 0,7% -46,6% ↓ 36.466 252

Svezia SE 80 0,4% 0,7% 88 0,3% 35,8% ↑ 102.870 684

Norvegia NO 82 0,3% 0,6% 77 0,4% -8,5% ↓ 50.089 317

Grecia GR 83 0,3% 0,6% 73 0,4% -22,7% ↓ 41.357 243

Lussemburgo LU 86 0,3% 0,6% 98 0,1% 102,4% ↑ 6.750 38

Italia IT 87 0,3% 0,5% 78 0,3% -17,6% ↓ 314.171 1.495

Estonia EE 89 0,3% 0,5% 76 0,4% -30,1% ↓ 11.302 58

Sud Africa ZA 90 0,3% 0,5% 96 0,2% 50,6% ↑ 72.629 357

Portogallo PT 91 0,2% 0,5% 86 0,3% -13,2% ↓ 38.869 189

Area geografica Europa, Medio Oriente e Africa (EMEA)



• DueTLDdell’areageograficaEMEArisultanonotevolmentepiùarischiorispettoal2009:.PL(Polonia)èsalitodal60°al20°posto quest’anno, mentre il TLD .AM (Armenia) è passato dalla ventitreesima posizione alla quinta.

• Ildominiodiprimolivello.PLcomprendedominiassociatiavarietipologiedirischio,fracuiattivitàmaligne,downloadinfetti e hosting di URL associati a campagne e attacchi di spamming.

• Irischiassociatialdominio.AMsonopiùlimitatiinterminiditipologiaesiconcentranosuattivitàmaligne,fracuicomandoe controllo, e altre attività analoghe.

Olanda NL 93 0,2% 0,3% 84 0,3% -24,4% ↓ 583.943 1.980

Bułgaria BG 94 0,2% 0,5% 43 0,8% -73,1% ↓ 17.974 81

Danimarca DK 95 0,2% 0,4% 91 0,2% 0,7% ↑ 151.472 627

Islanda IS 96 0,2% 0,4% 87 0,3% -19,8% ↓ 6.102 26

Slovenia SI 97 0,2% 0,4% 79 0,3% -36,6% ↓ 11.339 48

Svizzera CH 99 0,1% 0,3% 95 0,2% -13,3% ↓ 217.863 572

Irlanda IE 100 0,1% 0,2% 101 0,1% -5,7% ↓ 32.120 71

Croazia HR 101 0,1% 0,2% 100 0,1% -11,1% ↓ 22.511 50

Guernsey GG 102 0,1% 0,2% 57 0,6% -81,1% ↓ 12.092 25

Nota: Le voci con valore “N.D.” sono riferite a nuovi TLD inseriti nel rapporto di quest’anno, che non presentano quindi differenze rispetto all’anno precedente.

Area geografica Europa, Medio Oriente e Africa (EMEA) (cont.)


mondialeperil2010


ponderataperil2010


il2010


mondialeperil2009


ponderata peril2009


dirischioponderata

Numerocomplessivo



rischioperil2010



• Quasilametà(47%)deisitianalizzatiappartenentialTLDrelativoalleinformazioni(.INFO)sonostaticlassificatiinrossoo in giallo; la maggior parte di questi siti (43%) è stata classificata in rosso. La maggior parte dei rischi associati al TLD .INFO riguardano la presenza di contenuti utilizzati per campagne di spamming. Tali contenuti riguardano varie categorie merceologiche, software antivirus fasulli o contenuti malware. Inoltre, molti siti appartenenti al dominio di primo livello .INFO sono affiliati ad altri domini o server infetti. L’attività di un gran numero di questi siti è apparsa evidente nel corso di campagne antivirus fasulle e nelle attività della botnet Zeus.

• Oltreil14%degliURLdiKoobface (45.213) sono risultati appartenenti al dominio di primo livello commerciale (.COM); la presenza all’interno di altri TLD è trascurabile.

Nazioneotipologia

TLD Classificazionedirischiomondiale peril2010


ponderataperil2010


nonponderataperil2010


mondialeperil2009


ponderata peril2009

Variazionedella

percentuale dirischio

ponderata

Numerocomplessivo

didominianalizzati peril2010


rischioper il2010


rischioperil2010

Commerciale Generico COM 1 31,3% 6,1% 2 32,2% -2,8% ↓ 15.530.183 948.995

Informazioni Generico INFO 2 30,7% 46,6% 5 15,8% 94,5% ↑ 533.711 248.806

Asia-Pacifico Generico ASIA 7 10,3% 20,6% N.D. N.D. N.D. 3.122 642

Rete Generico NET 8 10,1% 10,5% 7 5,8% 73,7% ↑ 1.556.813 163.466

Organizzazione Generico ORG 12 6,4% 7,4% 11 4,2% 50,3% ↑ 1.224.870 90.290

Professionale Generico BIZ 13 6,3% 11,8% 13 3,6% 74,3% ↑ 121.622 14.350

Famiglie e privati

Generico NAME 29 1,7% 3,3% 16 3,1% -45,9% ↓ 6.726 223

Dispositivi mobili Generico MOBI 33 1,5% 3,0% 25 1,7% -14,4% ↓ 6.861 204

Governativo Generico GOV 84 0,3% 0,6% 104 0,0% 1,188,3% ↑ 6.415 38

Catalano Sponsorizzato CAT 103 0,1% 0,2% 99 0,1% -31,6% ↓ 3.936 7

Didattico Generico EDU 105 0,1% 0,1% 102 0,1% -48,6% ↓ 14.002 15

Settore viaggi e turismo

Generico TRAVEL 106 0,0% 0,0% 92 0,2% -88,6% ↓ 2.013 1

TLD generici e sponsorizzati


http://it.wikipedia.org/wiki/Koobface


Prevalenzadisiticlassificatiinrossooingiallo

I siti web che contengono codici maligni (fra cui trojan, virus e spyware) o exploit browser che godono di una cattiva reputazione in termini di file, e-mail, web e rete, vengono classificati in rosso. I siti web che devono essere visitati con prudenza, spesso a causa del livello di spamming, della presenza eccessiva di popup o di link a siti a rischio, sono classificati in giallo.

La maggior parte dei TLD è caratterizzata dalla compresenza di siti classificati in rosso e in giallo. Alcuni, tuttavia, presentano una prevalenza di classificazioni in rosso o in giallo. Ad esempio, fra i 642 domini a rischio del TLD dell’area geografica Asia-Pacifico (.ASIA), 619 sono stati classificati in giallo. Al contrario, il 100% dei domini a rischio appartenenti ai TLD .GOV (governativo), .IS (Islanda), .EDU (didattico) e .TRAVEL (Settore viaggi e turismo) è stato classificato in rosso. Ciononostante, questi quattro TLD non devono destare particolare preoccupazione. Nessuno di questi quattro TLD comprende più di 40 siti a rischio in totale, pertanto sono generalmente sicuri. Il Vietnam (.VN), invece, ha totalizzato 14.492 siti classificati in rosso, corrispondenti al 99,89% dei siti a rischio ad esso appartenenti, il che giustifica la sua terza posizione nella classifica dei TLD più a rischio.

Prevalenza di classificazioni in giallo

Nazioneotipologia TLD Numerototaledisitiarischio

Percentualedisiticlassificatiingiallo

Percentualedisiticlassificatiinrosso

Asia-Pacifico ASIA 642 96,4% 3,6%

Armenia AM 760 94,2% 5,8%

Finlandia FI 283 89,1% 11,0%

I. Tokelau TK 14.630 86,3% 13,7%

Is. Cocos (Keeling) CC 11.869 85,5% 14,5%

Canada CA 2.777 82,0% 18,0%

Regno Unito UK 8.503 77,8% 22,2%

Tuvalu TV 1.316 77,7% 22,3%

Dispositivi mobili MOBI 204 76,0% 24,0%

Malesia MY 221 74,7% 25,3%

Is. Niue NU 1.362 73,3% 26,7%

Svezia SE 684 65,2% 34,8%

Stati Federati di Micronesia FM 60 65,0% 35,0%

Nuova Zelanda NZ 416 61,8% 38,2%

Colombia CO 106 56,6% 43,4%

Samoa occidentale WS 3.734 55,8% 44,2%

Cina CN 21.711 55,5% 44,5%

Russia RU 55.373 55,4% 44,6%

Peru PE 60 51,7% 48,3%

Australia AU 871 51,7% 48,3%

Prevalenza di classificazioni in rosso

Nazioneotipologia TLD Numerototaledisitiarischio

Percentualedisiticlassificatiingiallo

Percentualedisiticlassificatiinrosso

Governativo GOV 38 0,0% 100,0%

Islanda IS 26 0,0% 100,0%

Didattico EDU 15 0,0% 100,0%

Settore viaggi e turismo TRAVEL 1 0,0% 100,0%

Vietnam VN 14.492 0,1% 99,9%

Isole Turks e Caicos TC 338 3,3% 96,8%

Polonia PL 17.398 3,5% 96,5%

Trinidad e Tobago TT 165 4,2% 95,8%

Timor Est TL 51 5,9% 94,1%

Croazia HR 50 8,0% 92,0%

Serbia RS 35 8,6% 91,4%

Informazioni INFO 248.806 8,6% 91,4%

Nauru NR 58 8,6% 91,4%

Arabia Saudita SA 23 8,7% 91,3%

Ungheria HU 614 9,1% 90,9%

Emirati Arabi Uniti AE 42 9,5% 90,5%

Professionale BIZ 14.350 9,8% 90,2%

Sao Tome e Principe ST 880 10,3% 89,7%

Tailandia TH 130 10,8% 89,2%

Georgia GE 162 11,1% 88,9%

Turchia TR 252 11,5% 88,5%

Isola del Natale CX 136 11,8% 88,2%

Guernsey GG 25 12,0% 88,0%

Uruguay UY 33 12,1% 87,9%

Laos LA 122 12,3% 87,7%

Montserrat MS 213 13,6% 86,4%


I siti di social networking rendono la vita facile ai criminali: infatti, post e messaggi provenienti da amici che godono di “fiducia incondizionata” possono contenere link maligni o fasulli. In fondo, perchè non seguire i suggerimenti di un amico fidato? A partire dal 2008, il worm Koobface ha sfruttato la fiducia degli utenti dei siti di social networking allo scopo di mietere nuove vittime da infettare con codici maligni e creare nuovi bot zombie per le botnet gestite da criminali. 5 L’attività del worm Koobface è stata notevole nel 2010. 315.415 URL maligni sono stati correlati a Koobface. Oltre il 14% di questi URL (45.213) appartiene al TLD maggiormente a rischio, .COM; la concentrazione all’interno di altri TLD è trascurabile.

Un altro degli epicentri della diffusione di malware è stato il secondo TLD più a rischio quest’anno: .INFO. Fare clic su un link a questo dominio significa avere il 47% delle possibilità di approdare su una pagina rischiosa. In seguito a una ricerca condotta sulle tipologie di minacce per il TLD .INFO, la maggior parte dei siti è risultata a rischio per via delle modalità di registrazione e delle reputazioni relative ai domini, ricavate osservando nel tempo il nostro database di attività sospette.

Il secondo fattore di rischio legato al dominio .INFO riguarda i siti infetti. Alcuni dei siti appartenenti a questo TLD contengono malware, exploit o entrambi. Alcuni hanno la funzione di server di comando e controllo, server corrotti o domini all’interno di un server controllato da bot. Molti siti contengono inoltre software antivirus fasulli (noti anche come “scareware” o software con notifiche fasulle) e malware legato alla botnet Zeus, il che riflette le attività dominanti dal punto di vista delle minacce presenti in tutto il web.

TLe botnet Zeus si avvalgono di tecniche particolarmente sofisticate per evitare i sistemi di autenticazione più rigorosi, utilizzati per le operazioni bancarie online, fra cui le password monouso. Questo rappresenta una minaccia particolarmente grave e dalla quale è difficile proteggersi, sia per i privati che per le aziende. Infine, una buona percentuale dei siti classificati in rosso del TLD .INFO è rappresentata da siti di phishing.

I volumi di malware sono in continuo aumento anche nel 2010; nei primi sei

mesi dell’anno, i livelli di produzione di malware hanno raggiunto vette senza

precedenti.4 Le tipologie di malware sono in evoluzione, con una prevalenza

di software auto-run (avviati attraverso i dispositivi USB), un maggior numero

di programmi antivirus fasulli (software che inviano notifiche fasulle), una

maggior quantità di malware legata ai siti di social networking e messaggi spam

sempre più personalizzati e credibili. Le minacce persistenti avanzate (Advanced

Persistent Threat, APT) sono in grado di unire diverse tecniche per truffare o

attaccare gli utenti; un sito web infetto è soltanto la punta dell’iceberg.

L’evoluzione delle minacce esistenti

Leminaccesievolvonodiparipassoconletecnichepercontrastarle

Mentre i registrar TLD consolidano le restrizioni relative all’uso dei propri domini, i criminali cercano altri modi per sfruttare il web. Toolkit malware sviluppati in tempi brevissimi sfruttano le vulnerabilità dei sistemi di sicurezza delle tecnologie del web 2.0, come AJAX, XML, Flash, iFrames e JavaScript e browser, computer e siti web non configurati correttamente. Le infinite combinazioni di vulnerabilità relative a strumenti e software rendono semplice l’inserimento di contenuti pericolosi all’interno di domini altrimenti legittimi. Questo tipo di contenuti, invisibile all’utente, non richiede nessuna operazione da parte di quest’ultimo per il download, consentendo quindi ai criminali di sfruttare le vulnerabilità dei browser.

Ad esempio, un hacker può avvalersi di un attacco speciale, conosciuto come iniezione SQL, allo scopo di impiantare un codice invisibile di tipo specifico, chiamato iFrame. L’iFrame, che ha le dimensioni di un pixel e può essere nascosto da immagini o schermate popup, comprende un URL che reindirizza l’utente inconsapevole a un sito infetto.

Nel tentativo di contrastare il rilevamento degli URL fasulli da parte del browser, l’iFrame può avvalersi dei servizi di abbreviazione degli URL, come bit.ly o Tinyurl per mascherare l’URL.

I servizi di abbreviazione degli URL si stanno impegnando per evitare questi abusi; tuttavia, gli sforzi compiuti ad oggi si sono rivelati semplici da aggirare. Ad esempio, i criminali sono in grado di rilevare la provenienza dei visitatori e selezionano esclusivamente il traffico che desiderano connettere ai propri siti.

Utilizzando il reindirizzamento attraverso diversi siti, l’utente malintenzionato separa il contenuto dalla linea iniziale di attacco. I contenuti possono così essere riutilizzati in attacchi in serie, così come in versioni diverse o lievemente modificate, allo scopo di evitare gli strumenti per il rilevamento che si basano sulla frequenza. Rilevare Koobface o Zeus diventa troppo semplice? Esiste una scappatoia.

Un tipo diverso di zombie: malware che non muore mai

Una delle notizie più importanti dei primi

giorni di giugno è stata quella di un attacco

di grandi proporzioni, di tipo iniezione

SQL. Si tratta di un attacco “spatter” che

inserisce all’interno di decine di migliaia di

siti web un iFrame, che reindirizza gli utenti

a una pagina infetta, dalla quale viene

poi scaricato ed eseguito un file. Questi

attacchi si verificano periodicamente,

almeno una volta ogni tre mesi.

Una volta che il dominio “maligno” viene

chiuso, le notizie e la preoccupazione

relative a questo tipo di attaccco passano

in secondo piano. Ciò di cui non siamo

a conoscenza è il numero di siti che non

riescono a liberarsi dell’infezione dovuta

a tale attacco. Un mese dopo l’attacco

del mese di giugno, conosciuto come

ww.robint.us, abbiamo contato 51.900 siti

ancora infettati da quest’iniezione SQL.

L’impossibilità di eliminare definitivamente

l’infezione non è un’esclusiva di questo tipo

di attacco. L’attacco 2677.in dirotta ancora

gli utenti su 26.800 pagine web, yahoosite.ru

ha ancora conseguenze su 1.380 siti, l’exploit

killpp.cn del 2008 è ancora presente su 680

pagine, e k.18xn.com infetta tuttora 538 siti.

Questi tipi di infezioni tendono ad aggravarsi;

inoltre, la natura dinamica e in continua

evoluzione del web rende molto semplice

l’iniezione e l’occultamento di attacchi.

—Report McAfee sulle minacce: secondo trimestre 2010

4 Report McAfee sulle minacce: secondo trimestre 2010, disponibile in versione scaricabile, tradotta in più lingue, all’indirizzo http://www.mcafee.com/us/threat_center/white_paper.html

5 Schmugar, “Koobface remains active on Facebook”, blog di McAfe Labs..

www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/

http://www.mcafee.com/us/threat_center/white_paper.html

http://www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/


Obiettiviincontinuaevoluzione

È possibile inserire contenuti maligni all’interno di siti scarsamente protetti, così come nei contenuti generati dagli utenti, come file JPEG, blog o forum. Benché i siti in cattivo stato di manutenzione ospitino spesso elementi malware conosciuti per mesi o anni (come illustrato nel riquadro a pagina 21), alcune delle minacce più intelligenti appaiono e scompaiono nel giro di poche ore. Un centro di comando e controllo di una botnet può essere attivo soltanto per cinque minuti al giorno.

Per proteggersi da queste attività in continua evoluzione, ma molto proficue, è necessario provvedere frequentemente all’aggiornamento a livello di URL o di percorsi. Ecco perché può essere utile avvalersi avvalersi dell’ispezione dei contenuti (scansioni alla ricerca degli elementi malware più recenti) in tempo reale.

Insieme all’inserimento di malware all’interno di un sito, i termini di ricerca infetti restano una delle tecniche più diffuse e subdole per far sì che un sito infetto sia visitato dal maggior numero di utenti possibile. I criminali prestano attenzione agli eventi come catastrofi naturali, pettegolezzi su personaggi celebri, eventi sportivi e altri argomenti di interesse. I criminali sviluppano quindi pubblicità e siti web contenenti termini popolari, indicizzandoli all’interno dei motori di ricerca e utilizzando quindi le botnet e i “click engine” per far salire i propri siti ai primi posti dei risultati di ricerca. Quando gli utenti fanno clic su

questi risultati di ricerca, accedono a siti che infettano il computer con download maligni. Un sito pericoloso può essere un sito appena aperto, sviluppato ad hoc con contenuti accattivanti, o un sito apparentemente innocuo che ha subito un attacco da parte di hacker.

In entrambi i casi, i criminali riescono ad acquisire dati personali, dati di accesso agli account dell’utente o dei propri amici, password e zombie per le proprie botnet.

Mobileèmeglio

Il TLD dei dispositivi mobili (.MOBI), classificatosi al 33°postointerminidirischio,èunodeidominidiprimo livello più sicuri di quest’anno; tuttavia, stiamo tuttora osservando attentamente l’utilizzo del web attraverso dispositivi mobili. Ad esempio, attualmente esistono più attacchi che minano anche i dispositivi mobili. La botnet Zeus richiede agli utenti il proprio numero di cellulare e un codice di autorizzazione, utilizzando poi queste informazioni per effettuare transazioni finanziarie. Se l’utente inserisce il proprio numero di cellulare all’interno di un messaggio di spam o un modulo di registrazione web, tale numero potrà essere utilizzato per l’invio di ulteriore spam, di frodi di phishing o di link a siti contenenti malware. I milioni di smartphone dotati di accesso Internet sono vittime potenziali di tali crimini.

“Nel 2009, il 6% degli URL

malevoli identificati da McAfee

e per cui ha offerto protezione

ai propri utenti era a livello di

percorso. Già nel 2010, la cifra è

salita al 16%.”

—-Report McAfee sulle minacce: secondo trimestre 2010


.INFO(informazioni)

“In qualità di rappresentante del registro .INFO, Afilias si impegna a combattere le attività illecite legate al dominio .INFO. Abbiamo elaborato una Politica contro gli abusi (Anti-Abuse Policy) nel 2008, ormai considerata uno standard di settore, impegnandoci attivamente con i nostri registrar (che si occupano delle transazioni dirette con gli utenti che richiedono una registrazione) per contrastare attivamente il phishing e altre attività illegali.

Purtroppo, la crescente popolarità di .INFO ha attirato l’attenzione degli spammer, pertanto abbiamo provveduto all’implementazione di alcune strategie mirate, ma il lavoro da fare è ancora molto. Si tratta di una sfida complessa: in quanto operatore di registro di un gTLD, Affilias non ha voce in capitolo sulle modalità di vendita dei domini .INFO e sulla selezione dei richiedenti.

Il dominio .INFO ospita milioni di siti utili e legittimi; alla luce di ciò, il blocco delle e-mail basato esclusivamente sugli indirizzi appartenenti al TLD non è consigliabile, oltre

In aggiunta alle nostre idee, abbiamo dato spazio ai punti di vista della

comunità dei TLD in merito alla gestione del rischio. Abbiamo raccolto i

commenti di alcuni operatori dei TLD menzionati all’interno del rapporto:

una preziosa testimonianza che arricchisce la nostra analisi dal punto di vista

dell’esperienza reale, contestualizzandola maggiormente.

Commenti di alcuni registrar e operatori di domini di primo livello

che ingiustamente dannoso per chi opera nella legalità. Al contrario, tecniche più sofisticate per il filtraggio delle e-mail possono risolvere il problema senza effetti indesiderati.”

—— Roland LaPlante, Vice Presidente Senior e Direttore Marketing, Afilias

.JP(Giappone)

“Credo che i nostri continui sforzi per migliorare la sicurezza dei nomi di dominio JP abbiano portato ad una maggiore fiducia degli utenti e di coloro che effettuano la registrazione al dominio JP.

TLa registazione di un nome di dominio JP richiede la conformità a determinati requisiti di idoneità. In particolare, la registrazione di nomi di dominio JP relativi ad organizzazioni (es. EXAMPLE.CO.JP) è subordinata a una serie di requisiti, a seconda del tipo di dominio (es. soltanto le società costituite in Giappone possono registrare il nome di dominio EXAMPLE.CO.JP).

Se un nome di dominio JP risulta non corrispondente ai requisiti previsti, la registrazione viene invalidata seguendo una procedura adeguata.

In questo caso, in passato, l’ente di registrazione JPRS si occupava di verificare lo stato del nome di dominio e di prendere le contromisure necessarie, attraverso i registrar JP. A partire dal mese di giugno del 2008, JPRS ha imposto norme più rigorose per la registrazione di nomi di dominio JP di tipo CO.JP; in questo modo, l’ente di registrazione ha potuto provvedere all’eliminazione delle false registrazioni, qualora i registrar fossero impossibilitati a farlo. Inoltre, a partire da novembre 2009, abbiamo esteso l’ambito di applicazione del regolamento a tutti i nomi di dominio JP relativi ad organizzazioni e di tipo geografico.

Potenziando le normative e cooperando costantemente con i registrar JP, JPRS ha affrontato in maniera rigorosa e tempestiva il problema delle false registrazioni.


Abbiamo inoltre adottato alcune contromisure riguardanti il problema dei nomi di dominio registrati e utilizzati per attività fraudolente, fra cui il phishing. Grazie alla collaborazione con JPCERT/CC e le altre organizzazioni del settore, JPRS è in grado di analizzare il grado di pericolosità dei domini potenzialmente a rischio. In caso di conferma di abusi relativi a un nome di dominio, JPRS richiede al registrar JP di invalidarlo.

Inoltre, a partire dal 2006, JPRS ha continuamente implementato l’annullamento delle registrazioni di server DNS in caso di nomi di dominio JP non esistenti all’interno del nome dell’host.

Per quanto riguarda il sistema DNSSEC (Domain Name System Security Extensions), abbiamo pianificato l’introduzione delle firme all’interno del dominio JP all’inizio del mese di ottobre 2010, nonchè l’introduzione del sistema DNSSEC all’interno dei servizi del TLD JP a gennaio del 2011. Inoltre, allo scopo di promuovere la diffusione del sistema DNSSEC all’interno del settore, a novembre 2009 è stato creato il forum ‘DNSSEC Japan’. Uno dei membri dello staff di JPRS è il vice responsabile di tale forum.

Il nostro continuo impegno ha dato risultati soddisfacenti; ad esempio, il numero di reclami relativi ad attività di phishing ricevuti da JPRS è stato ridotto drasticamente a circa un reclamo al mese.”

— Yumi Ohashi Responsabile delle relazioni internazionali e governative JPRS

.SG(Singapore)

“Il Singapore Network Information Centre (SGNIC) ha lo scopo di promuovere l’adozione e l’uso dei nomi di dominio ‘.SG’ da parte di aziende e privati. In questo modo, oltre a migliorare l’identificazione nei confronti degli utenti e dei clienti di Singapore, è possibile estendere la propria presenza all’interno del mercato globale.

La sicurezza degli utenti che visitano siti web ‘.SG’ è garantita dai requisiti di registrazione stabiliti da SGNIC. Chi richiede un nome di dominio ‘.SG’ è tenuto a presentare la documentazione adeguata

per la registrazione di un nome di dominio rientrante in una delle categorie ‘.sg’ che rappresentano diversi tipi di enti. Ad esempio, chi richiede un nome di dominio ‘.com.sg’ dovrà provare di essere titolare di un ente commerciale registrato presso l’Accounting Regulatory Authority of Singapore (ACRA) o un altro ente professionale; allo stesso tempo, chi richiede un nome di dominio ‘.EDU.SG’ deve risultare iscritto al Ministry of Education (MOE) o essere riconosciuto da altri enti pertinenti. Le registrazioni da parte di organizzazioni straniere devono essere supportate da un indirizzo di contatto di Singapore.

Quando SGNIC riceve segnalazioni negative in merito all’utilizzo di un nome di dominio ‘.SG’, le indagini vengono avviate immediatamente, in collaborazione con i registrar e, in caso di necessità, con le agenzie pertinenti, allo scopo di garantire la conformità alle norme di registrazione. I nomi di dominio coinvolti in casi di falsa testimonianza o frode o che offrono contenuti che costituiscono violazione delle leggi o dei regolamenti delle autorità normative vengono ritirati dai responsabili; qualora questo non avvenga, SGNIC provvede alla sospensione o all’eliminazione di tali nomi di dominio. I contenuti Internet possono essere ospitati ovunque web, pertanto, anche in seguito alla registrazione di un nome di dominio .SG, SGNIC collabora attivamente con la comunità Internet internazionale, che comprende gruppi specializzati responsabili della sicurezza e della stabilità della Rete, allo scopo di monitorare e prevenire potenziali abusi relativi a nomi di dominio ‘.SG’.

SGNIC ritiene che le misure implementate contribuiscano a rendere i nomi di dominio ‘.SG’ più sicuri, favorendone l’utilizzo nel rispetto della legalità.”

— Lim Choon Sai Direttore Generale Singapore Network Information Centre Pte Ltd.

.WS(Samoaoccidentale)

“Nel corso del 2009, ci siamo concentrati sulla riduzione dei nomi di dominio rischiosi appartenenti al TLD .WS, adottando moduli di verifica e di sicurezza aggiuntivi all’interno dell’infrastruttura del nostro ente di registrazione. Il monitoraggio attivo delle registrazioni di dominio ci consente di prevenire la pubblicazione di contenuti pericolosi.


Abbiamo inoltre intrapreso una collaborazione con società di sicurezza online, con l’obiettivo di implementare un sistema di feedback ottimizzato, per la notifica tempestiva dell’esistenza di domini potenzialmente a rischio, prima che essi siano visitati dagli utenti. La maggiore consapevolezza acquisita in merito alla creazione e al lancio delle nuove minacce online ci permette di individuare e neutralizzare eventuali nomi di dominio rischiosi prima che possano danneggiare gli utenti. Oltre alle informazioni acquisite e al legame consolidato con i registrar .WS accreditati, abbiamo provveduto allo sviluppo di un sistema di notifica che segnala ai registrar la registrazione di nomi di dominio potenzialmente a rischio. Disponiamo inoltre di un servizio che avvisa gli host web che offrono servizi di hosting per i domini .WS. Per contrastare lo spamming, i nostri server effettuano operazioni di monitoraggio avanzato sulle attività e-mail; in questo modo, gli spammer vengono individuati in maniera tempestiva, impedendo loro di svolgere la propria attività.

In veste di ente di registrazione ufficiale del dominio di primo livello .WS, abbiamo sempre dato molta importanza alla nostra reputazione all’interno della comunità online, avendo lanciato il nostro TLD oltre dieci anni fa. Global Domains International è stata una delle prime società di registrazione ad entrare a far parte del Conficker Working Group (gruppo di

lavoro sul worm Conficker). Collaborando a stretto contatto con gli altri membri del gruppo, abbiamo sostenuto gli sforzi volti all’individuazione del worm e alla mitigazione dei danni ad esso correlati, e continueremo a lavorare in tal senso, in modo che il TLD .WS non sia utilizzato per la diffusione della minaccia Conficker.

TLe modifiche apportate al nostro sistema di registrazione sono continue, per garantire un’efficace prevenzione delle tattiche dei criminali, in costante evoluzione. La nostra approfondita conoscenza dei metodi più diffusi utilizzati dai cybercriminali ci consente di garantire integrità e sicurezza all’interno dell’area .WS.”

— Alan Ezeir Presidente Global Domains International


Probabilmente gli utenti non ricorderanno tutti i luoghi a rischio indicati in questo rapporto. In ogni caso, anche se lo facessero, abbiamo dimostrato che il TLD più rischioso potrebbe in seguito rivelarsi quello che ha compiuto maggiori progressi in termini di sicurezza nel giro di un anno. Il modo migliore di evitare i luoghi a rischio del web è l’uso di un software di sicurezza affidabile, costantemente aggiornato e dotato di funzionalità di ricerca sicure, come McAfee Total Protection™. Questo è uno dei tanti esempi dell’utilità della tecnologia.

Le aziende di oggi sono consapevoli del fatto che il web è parte integrante della propria attività, e che molti dipendenti sentono di avere il diritto di accedere al web durante il lavoro. Queste affermazioni saranno sempre più vere, in quanto lavoro e vita domestica tendono a fondersi sempre più, con la diffusione della mobilità e del telelavoro, il maggiore utilizzo di dispositivi personali e una connettività sempre più continua. Il modo più semplice per aiutare gli utenti a navigare in rete evitando i rischi è l’integrazione degli strumenti di difesa informatici con funzionalità di reputazione web. L’uso di notifiche visive in tempo reale mantiene l’utente costantemente aggiornato sui rischi, proteggendolo allo stesso tempo.

Il livello di rischio è in aumento, mentre le tipologie di rischio presenti sul web

si evolvono ogni giorno sempre più rapidamente. Sempre più criminali trovano

il modo di occultare le proprie attività illecite, quindi gli utenti del web devono

trovare nuovi modi per contrastare tali minacce, continuando ad approfittare

delle possibilità di divertimento e dei servizi utili che Internet offre.

Conclusioni

Ci auguriamo che gli operatori di TLD a rischio siano incoraggiati da questo rapporto. Infatti, i dati in esso contenuti dimostrano che è possibile non solo mantenere una buona reputazione, ma anche migliorarne notevolmente una cattiva. Diverse aziende specializzate nel settore della sicurezza informatica, come McAfee, sono disposte ad aiutarvi. Con la più ampia rete mondiale di informazioni sulle minacce globali, siamo in grado di offrire dati aggiornati su ciò che sta accadendo e soluzioni intelligenti per ridurre l’esposizione al rischio.

L’anno prossimo, potremmo scoprire che le botnet composte da zombie sono state soppiantate da una nuova strategia di attacco, a scapito delle centinaia di milioni di dispositivi mobili dotati di connessione Internet utilizzati in tutto il mondo. L’anno prossimo, saremo nuovamente pronti a monitorare l’evoluzione delle minacce e ad elaborare contromisure efficaci per i registrar TLD e la comunità della sicurezza.

http://home.mcafee.com/Store/PackageDetail.aspx?pkgid=275&culture=it-it


Le informazioni contenute in questo documento hanno esclusivamente lo scopo di fornire informazioni utili ai clienti di McAfee. Tali informazioni sono soggette a variazioni senza alcuna notifica, e sono fornite “COSÌ COME PRESENTATE”, senza alcuna garanzia sulla loro precisione o applicabilità in situazioni o in circostanze particolari.

McAfee , il logo McAfee, McAfee Global Threat Intelligence, McAfee Labs e McAfee Total Protection sono marchi o marchi registrati di McAfee, Inc. o di società affiliate negli Stati Uniti e in altri Paesi. Tutti gli altri nomi e marchi possono essere proprietà di terzi. I dettagli, le specifiche e le descrizioni relative al presente prodotto hanno mero scopo informativo, sono soggetti a variazioni senza alcuna notifica e sono forniti senza alcuna garanzia, di natura esplicita o implicita. Copyright © 2010 McAfee, Inc.

10902rpt_mapping-mal-web_0910

McAfee srl Via Fantoli, 7 20138 Milano Tel. 02 554171 www.mcafee.com/it

InformazionisuMcAfee,Inc.

McAfee Inc. è la più importante società nel campo della sicurezza tecnologica, con sede a Santa Clara, California. La società offre soluzioni e servizi comprovati e proattivi per rendere sicuri i sistemi e le reti di tutto il mondo, offrendo agli utenti Internet la possibilità di collegarsi, navigare e fare acquisti online in maniera sicura. Grazie al proprio eccellente team di ricerca, McAfee crea soluzioni innovative, studiate per le esigenze di privati, aziende, pubblica amministrazione e service provider, consentendo loro di proteggere i propri dati in conformità alle normative vigenti, evitando interruzioni delle attività, identificando le vulnerabilità, monitorando e ottimizzando costantemente la loro sicurezza. McAfee è una garanzia di sicurezza informatica.

http://www.mcafee.com/it

http://www.mcafee.com

http://www.mcafee.com/it

mappatura del mal web - antivirus software, internet … del mal web 4 • ilischio r è in...

Documents