IBM ha annunciato i risultati dell'X-Force Trend and Risk Report per il 2008, che ha rilevato un aumento allarmante degli hacker che si servono di siti aziendali legittimi come rampa di lancio per gli attacchi nei confronti dei consumatori. Nel costante tentativo di sottrarre i dati personali dei consumatori, i cyber-criminali stanno letteralmente mettendo le aziende in difficoltaà con i propri clienti.

Il nuovo rapporto X-Force identifica due tendenze principali, emerse nel 2008, che evidenziano come i criminali stiano puntando alle masse attraverso gli attacchi ai siti web.

In primo luogo, i siti web sono diventati il tallone d'Achille per la sicurezza IT aziendale. Gli hacker si concentrano intensamente sull'attacco alle applicazioni web, in modo tale da infettare le macchine degli utenti finali. Parallelamente, le aziende utilizzano applicazioni standard disponibili sul mercato, zeppe di vulnerabilità, o peggio ancora applicazioni personalizzate che possono ospitare numerose vulnerabilità ignote, impossibili da correggere con una patch. L'anno scorso più di metà di tutte le vulnerabilità divulgate era correlata ad applicazioni web e, di queste, più del 74 percento non disponeva di patch.

Pertanto, le vulnerabilità da iniezione di codice SQL automatizzate e su grande scala emerse nei primi mesi del 2008, sono proseguite senza tregua. Alla fine del 2008, il volume di attacchi era salito a 30 volte il numero di attacchi osservati inizialmente quest'estate.

Il secondo trend importante svelato da IBM X-Force è il fatto che, sebbene gli hacker continuino a focalizzarsi sul browser e sui controlli ActiveX come mezzo per compromettere le macchine degli utenti finali, stanno ora rivolgendo l'attenzione all'incorporazione di nuovi tipi di exploit che si collegano a filmati (ad es. Flash) e documenti (ad es. PDF) maligni. Solo nel quarto trimestre 2008, IBM X-Force ha individuato un aumento di oltre il 50 percento del numero di URL maligni che "ospitano" exploit, rispetto a quelli rilevati in tutto il 2007. Anche gli spammer si stanno rivolgendo a siti web noti per espandere la portata dei propri attacchi. La tecnica di ospitare messaggi di spam su blog famosi e siti web legati alle news è più che raddoppiata nella seconda metà di quest'anno.

Un'altra osservazione importante contenuta nel rapporto X-Force è che una serie di vulnerabilità critiche evidenziate nel 2008 non ha poi visto un diffuso sfruttamento sul campo. IBM X-Force ritiene che il settore della sicurezza possa stabilire meglio le priorità nella risposta alle divulgazioni delle vulnerabilità. Attualmente, tale prioritizzazione viene effettuata attraverso lo standard di settore Common Vulnerability Scoring System (CVSS). Il CVSS si focalizza sugli aspetti tecnici di una vulnerabilità, quali la gravità e la facilità di sfruttamento. Pur essendo estremamente importanti, questi fattori non colgono appieno la motivazione principale dei crimini informatici: l'opportunità economica.