1) Maggiore collaborazione globale contro il cybercrime
Quest'anno ci sono stati esempi di collaborazioni internazionali quali Operation Bot Roast (iniziativa dell’Fbi), il Conficker Working Group e i recenti casi di Mariposa/Pushdo/Zeus/Bredolab per smantellare gruppi cybercriminali, ma queste operazioni si sono concentrate solo sulle violazioni con maggiore visibilità e impatto, a volte, solo temporaneo.
Ad esempio, a novembre le autorità hanno bloccato il botnet Koobface, ma i server sono stati riconfigurati e tornati in piena attività dopo una settimana.
Nel 2011 si prevede che le autorità consolideranno le iniziative di collaborazione globali e lavoreranno con le forze di sicurezza per contrastare i gruppi cybercriminali in crescita. Anche se la European Electronic Crime Task Force del 2009 è stata un buon passo avanti non ha avuto ampio raggio di azione. L'interruzione dell'attività di Zeus avvenuta nel 2010, che ha portato alla formulazione di accuse da parte delle autorità competenti negli Stati Uniti e nel Regno Unito, costituisce un ottimo esempio.
2) Aumento dei computer infetti
Oggi si assiste a una diffusa preoccupazione per la creazione di imperi malware da parte dei criminali, poiché il controllo delle infezioni gestite può portare a tempi di attività più lunghi e un maggior flusso di denaro. Funzioni dette "bot killers" vengono implementate in nuovi bot destinati genericamente a distruggere altre minacce che potrebbero essere nascoste nel sistema stesso, come Skynet vs. MyDoom/Bagle e Storm vs. Warezov/Stration. È stato osservato, ad esempio, un bot che cerca nella memoria alla ricerca di comandi utilizzati da altri bot Irc presenti sullo stesso computer. Una volta individuati, i processi che utilizzano questi comandi vengono eliminati, essendo percepiti come una minaccia per il bot stesso.
Mentre nel 2011 i computer saranno infettati da nuove fonti di attacchi, il numero dei computer già contagiati aumenterà. Di conseguenza, si assisterà ad un probabile aumento del prezzo dei servizi criminali, ad esempio l'affitto di bot che caricano software dannoso nei computer e di malware che includono la manutenzione del computer per ottimizzare il tempo di attività dei computer infetti.
3) Aumento degli attacchi che bypassano i sistemi di protezione
Le tecnologie di sicurezza per prevenire o limitare gli attacchi informatici nei moderni sistemi operativi (Aslr, Dep, sandboxing…) stanno evolvendo notevolmente, come le macchine che li supportano. Questa evoluzione ha limitato il terreno di diffusione del malware e ciò, nel 2011, aumenterà la domanda di metodi per infrangere queste barriere. Nel 2010 sono stati inoltre osservati rootkit come Alureon che hanno bypassato queste difese e infettato il record di avvio principale per preparare l'attacco. Si prevede che altri rootkit seguiranno, nel tentativo di introdursi nei computer più recenti, e che verranno sferrati ulteriori attacchi innovativi per aggirare le difese come Aslr/Dep e sandboxing come quelle lanciate da Google Chrome e Adobe nel 2010.
4) Cybercriminali alla ricerca di nuova manodopera
I lavori per cybercriminali, di cui è stata osservata una crescita della domanda, comprendono sviluppatori per piattaforme e pacchetti personalizzati, servizi di hosting per dati e programmi malevoli, persone in grado di bypassare i Captcha, quality assurance (antirilevamento) e distributori (affiliati) per la diffusione di codice dannoso. I programmi per nuovi affiliati saranno probabilmente i più fruttuosi, grazie all'arruolamento di persone che si candidano per distribuire codice dannoso. Gli operatori di botnet hanno in genere provveduto direttamente al loro sviluppo, ma si ritiene che nel 2011 più operatori inizieranno a delegare questa attività agli affiliati (intermediari su commissione). I botnet Alureon e Hiloti sono due esempi per cui è già stato adottato questo concetto, con la creazione di programmi di affiliazione e la retribuzione di chiunque sia in grado di infettare altri sistemi per conto dell'operatore. Attraverso un'armata di distributori, i botnet continueranno a prosperare.
5) Diffusione del codice sorgente
Oggi lo stesso malware può nascondersi dietro diversi nomi e alias. Anche il rilevamento incrociato da parte di diversi vendor di sicurezza non fa che aumentare la confusione. Questo è il risultato di una comunità di sviluppatori in crescita, alimentata dalla disponibilità del codice sorgente e delle librerie che vengono "presi a prestito" per creare e vendere nuovo malware. Capita spesso che due malware sottoposti a valutazione rivelino una natura praticamente identica, eccetto la modifica di un piccolo componente al loro interno. Questo tipo di malware "copia & incolla" indica che più sviluppatori hanno adottato lo stesso codice sorgente Nel 2011 si prevede che un numero maggiore di criminali parteciperà all'operazione tentando di guadagnare denaro riciclando codice sorgente esistente. Mentre il codice sorgente pubblico (accessibile a tutti) continuerà a creare problemi nel panorama della sicurezza, il codice sorgente privato aumenterà di valore, così come il lavoro degli sviluppatori esperti. In parallelo, si prevede sempre più collaborazione implementando il controllo della fonte come farebbe una qualsiasi azienda legittima di sviluppo software o progetti open source (Source Forge).