Video: Route53 Configure NS Records in GoDaddy to send requests to AWS (Settembre 2024)
Adoriamo il cloud perché è più semplice creare un server per ospitare un sito Web o eseguire un'applicazione Web se qualcun altro si occupa di tutte le attività hardware. Bene, sembra che anche i criminali adorino i provider di hosting, in particolare Amazon e GoDaddy.
I criminali informatici utilizzano il cloud computing per molte delle stesse ragioni per cui sono legittime le aziende e gli individui, Solutionary ha trovato nel Rapporto sulle minacce del quarto trimestre 2013 (PDF). I criminali nascondono anche le loro attività dannose dietro la reputazione dei principali provider di hosting come Amazon, GoDaddy e Google. Infatti, tra i principali provider di hosting Web disponibili, Solutionary ha scoperto che Amazon e GoDaddy erano i più popolari per l'hosting di malware.
"Ora dobbiamo mantenere la nostra attenzione non solo sulle parti più pericolose del Web, ma anche su quelle che prevediamo siano più affidabili", ha affermato Rob Kraus, direttore della ricerca del Security Research Research Team del Solutionary.
Perché Cloud?
Passare al cloud ha molto senso, dal momento che è più veloce sviluppare un sito dannoso e renderlo online, oltre a essere più economico cambiare ripetutamente indirizzi IP e nomi di dominio per evitare il rilevamento. I criminali possono utilizzare più provider ed espandere sostanzialmente le loro operazioni, piuttosto che tentare di configurare server Web fisici in più posizioni. Ad esempio, il rapporto ha rilevato un singolo dominio dannoso che è stato diffuso in 20 paesi, 67 provider e 199 indirizzi IP univoci per evitare di essere rilevato o bloccato.
I distributori di malware stanno "utilizzando le tecnologie e i servizi che semplificano i processi, la distribuzione delle applicazioni e la creazione di siti Web", ha affermato Kraus.
I criminali coprono meglio le loro tracce e hanno un maggior grado di successo se si affidano ai principali provider di hosting. Considerando che le organizzazioni spesso filtrano il traffico utilizzando blacklist geografiche ed elenchi di indirizzi IP non validi noti, i criminali hanno bisogno di un posto "sicuro" che non attivi automaticamente un avviso. È qui che entrano in gioco i principali provider di hosting, in quanto consentono ai distributori di malware di aprire negozi all'interno di uno spazio di indirizzi attendibili. Le organizzazioni che potrebbero bloccare il traffico dall'Ucraina hanno meno probabilità di bloccare il traffico proveniente da Amazon e GoDaddy, ad esempio.
Solutionary ha anche sottolineato che le strategie di blacklist e blocco geografici non sono metodi efficaci per rilevare e bloccare gli attacchi di malware, poiché il 44% del malware mondiale è ospitato negli Stati Uniti per cominciare.
Piggybacking su marchi affidabili
Nascondersi dietro domini e nomi attendibili non è una novità. Agli spammer piace usare i più famosi provider di Webmail perché le persone si fidano automaticamente di un messaggio da @ outlook.com o @ gmail.com più di uno da @ 50orcdn.com, per esempio. Gli aggressori utilizzano anche Google Documenti e Google Sites per creare moduli che possono indurre gli utenti a inviare informazioni riservate o a scaricare malware. I provider di cloud storage come Dropbox sono stati afflitti in passato con i criminali che sfruttano i servizi gratuiti per ospitare malware.
A causa delle enormi dimensioni di Amazon, ha senso che ospita più siti dannosi rispetto ai suoi concorrenti. Indipendentemente da ciò, è chiaro che gli aggressori trattano sempre più i provider di hosting come "punti di distribuzione significativi", ha affermato Kraus.
Nel rapporto di Solutionary, i ricercatori hanno scoperto che gli aggressori acquistano direttamente servizi dai principali provider di hosting o compromettono siti già ospitati su queste piattaforme. Gli utenti generalmente non sanno come adottare misure per rafforzare le proprie applicazioni, rendendole vulnerabili agli attacchi. Alcuni provider, come Amazon con il suo servizio Elastic Cloud Compute (EC2), addebitano la larghezza di banda effettiva consumata. Ciò significa che i criminali possono impostare prima la campagna su piccola scala e poi espandersi se necessario.
"Quanto più redditizia è l'attività criminale, tanto maggiore sarà la disponibilità di fondi per pagare per la crescente capacità necessaria", ha osservato Solutionary.
La maggior parte dei provider di cloud, in particolare Amazon, ha adottato politiche di sicurezza per chiudere siti e account dannosi non appena vengono rilevati. Tuttavia, quando il provider è enorme, con centinaia di migliaia di server e migliaia di utenti che accendono nuove applicazioni ogni mese, questo è un compito impegnativo. Di conseguenza, non dovresti solo supporre che il traffico proveniente da determinati siti sia automaticamente sicuro, o contare sui fornitori per sorvegliare le attività. Sta a te praticare il calcolo sicuro mantenendo il tuo computer sicuro e controllare ogni sito per capire se è legittimo o meno.
