64475 Letture

Le minacce più diffuse in Rete: come operano i malware

Una visione d'insieme sulle più diffuse minacce
per la sicurezza del sistema... e dei dati in esso memorizzati.


Virus. I virus sono veri e propri piccoli programmi in grado di causare, una volta mandati in esecuzione, gravi danni sul personal computer. Fino a qualche tempo fa era possibile inquadrare i virus in circolazione in varie tipologie; oggi sono sempre di più gli esempi di virus che integrano funzionalità spyware (o viceversa), che sfruttano - per insediarsi indisturbati - exploit (vere e proprie vulnerabilità di sicurezza) del sistema operativo o dei software installati, di "dialer" che per diffondersi si comportano come virus.
Per difendersi da queste bestiacce, l'installazione di un buon software antivirus rimane l'azione più sensata da compiere. Ci preme comunque ricordare che un antivirus deve essere mantenuto costantemente aggiornato utilizzando la funzionalità di Update di solito integrata all'interno del programma. Un antivirus non aggiornato non è infatti in grado di riconoscere tutte le ultime minacce virus, rendendo così il sistema una potenziale facile preda per i virus più recenti. Nelle pagine che seguono vi presentiamo quattro antivirus completamente gratuiti e le procedure passo-passo per utilizzarli senza problemi.
Chi sviluppa virus (o, più in generale, malware) sempre più sovente fa uso di algoritmi che sfruttano falle di sicurezza, vulnerabilità e bug più o meno noti dei componenti software usati per operare in Rete. L'obiettivo è sempre lo stesso: cercare di insediarsi il più facilmente possibile su un maggior numero di sistemi e diffondersi con rapidità e magari senza che l'utente - proprietario del personal computer infetto - possa accorgersene.
Dopo l'installazione dell'antivirus, quindi, il secondo passo fondamentale da compiere - spesso trascurato dalla maggioranza degli utenti domestici così come in molte realtà aziendali - consiste nel mantenere sempre aggiornati il sistema operativo ed i programmi che si utilizzano in Rete.
Non pensiate di essere al sicuro se non aprite gli allegati della posta elettronica: gran parte dei virus sanno "auto-eseguirsi" (sfruttando vulnerabilità del client di posta) anche senza il classico doppio clic da parte dell'utente proprio sfruttando vulnerabilità del sistema operativo, del browser o del client di posta elettronica non risolte applicando le opportune patch di sicurezza. Antivirus aggiornato e sistema "allo stato dell'arte" (mediante l'applicazione di tutte le patch di sicurezza Microsoft) consentiranno di scongiurare gran parte delle infezioni.
Il vecchio consiglio che invita a riflettere più e più volte prima dell'apertura di un allegato è comunque sempre valido. Tenete presente che gran parte dei virus in circolazione è in grado di falsificare ("spoofing") l'indirizzo del mittente. Può capitare, quindi, che un'e-mail apparentemente proveniente da un contatto fidato possa contenere un pericoloso virus in allegato. Cautela.
Non incolpate, inoltre, i mittenti apparenti indicati nelle e-mail infette che ricevete nella casella di posta elettronica. In generale l'utente indicato come mittente non è quello che ha spedito l'e-mail con l'allegato virale: il suo indirizzo di posta elettronica viene infatti di solito "rubato" dalla Rubrica di Outlook Express o di altri client e-mail sulle macchine infette.
Virus possono insediarsi nelle pagine web (sfruttando le vulnerabilità del browser o del sistema operativo per installarsi), inviati attraverso software di messaggistica istantanea come Messenger o via IRC (Internet Relay Chat), nei file scaricati dai circuiti peer-to-peer (WinMX, Kazaa, e-Mule e così via). A tal proposito, va ricordato che alcuni virus possono nascondersi all'interno di documenti (per esempio i normali .doc di Microsoft Word: un esempio sono i macro virus) ma anche nei file musicali, nei video. Ha destato qualche imbarazzo, di recente, la diffusione di alcuni trojan in grado di sfruttare una lacuna nella tecnologia DRM antipirateria integrata in Windows Media Player: dopo aver scaricato (in genere da network peer-to-peer) alcuni file che all'apparenza potevano sembrare normali video, una volta riprodotti con Windows Media Player si collegavano a siti web maligni e tentavano il download di software dannosi.


Tipologie di virus e minacce ampiamente diffuse in Rete:

Malware. Termine utilizzato per identificare tutti quei programmi, spesso causa di grossi problemi sul "computer-vittima", che vengono installati sul sistema senza l'autorizzazione dell'utente. Si tratta sempre di programmi nocivi.
Virus. Poiché il confine tra virus in senso stretto e altre tipologie di minacce quali worm, trojan e dialer è divenuto oggi molto sfumato, il termine virus è divenuto sinonimo di "malware".
Virus polimorfico. Implementa un algoritmo che ne consente la mutazione ad ogni infezione. In questo modo, risulta di più difficile rilevamento da parte dei software antivirus.
Virus di boot. Oggi pressoché scomparsi, questi tipi di virus infettano il settore di avvio di floppy disk e dischi fissi anziché singoli file.
Macrovirus. Infettano documenti Word, Excel, Powerpoint e simili "nascondendosi" all'interno di essi sotto forma di macro nocive.
Worm. Non necessita di legarsi a file eseguibili come i classici virus ma richiede l'intervento dell'utente per infettare il sistema. Quest'ultima barriera è ormai caduta da tempo, poiché gran parte dei worm sfruttano vulnerabilità del sistema operativo (non risolte da parte dell'utente mediante l'applicazione delle patch di sicurezza opportune) per "autoavviarsi". Come i virus, i worm integrano un payload (la parte contenente il codice dannoso vero e proprio) e sempre più spesso attivano una backdoor o un keylogger aprendo la porta ad altri tipi di attacco provenienti dalla Rete.
Trojan o Cavallo di Troia. Versione digitale dello stratagemma utilizzato da Ulisse per entrare in città con i suoi soldati, il trojan "informatico" vuol sembrare all'utente ciò che non è per indurlo a lanciare il programma, in realtà dannoso. I trojan in genere non si diffondono automaticamente come virus e worm e vengono usati per installare backdoor e keylogger sul "computer-vittima".
Backdoor. Aprono una o più porte "di servizio" che consentono di superare dall'esterno tutte le misure di sicurezza adottate sul sistema. Utilizzate per prendere il controllo di una macchina. Molti virus "moderni" integrano anche una o più backdoor.
Keylogger. Programmi maligni che registrano tutti i tasti premuti da parte dell'utente e ritrasmettono password e dati personali in Rete. Se sul proprio sistema si è rinvenuto un keylogger oppure un virus che integra questa funzionalità, dopo la sua eliminazione è bene provvedere immediatamente alla modifica di tutte le proprie password.
Exploit. Falle di sicurezza presenti nel sistema operativo e nei software in uso. In Rete pullulano i software che consentono di sfruttarle per far danni (aver accesso al sistema, guadagnare diritti amministrativi, rubare password e così via). Una ragione in più per mantenere i software utilizzati (a partire dal sistema operativo) sempre costantemente aggiornati.


Phishing. E' il metodo utilizzato per rubare informazioni personali quali password, numeri di carte di credito, informazioni finanziarie e così via. Si tratta di vere e proprie truffe che utilizzano e-mail e siti web appositamente creati, per spingere l'utente ad inserire dati personali. L'uso di elementi grafici e formule testuali proprie di famosi servizi online (istituti di credito, portali di e-commerce, aziende di telecomunicazioni,...) possono rappresentare la chiave di volta per spingere i più creduloni ad inserire informazioni confidenziali.
I tentativi di frode online sono in continua crescita: il numero dei messaggi di posta elettronica e dei siti web espressamente creati con lo scopo di truffare gli utenti meno attenti, sta raggiungendo dimensioni davvero spaventose.
Il meccanismo è sempre lo stesso: malintenzionati remoti cominciano con l'inviare migliaia di e-mail ad account di posta elettronica di tutto il mondo. All'interno del corpo del messaggio, si spiega che un famoso istituto di credito, un'azienda di servizi online od un portale sul web, hanno la necessità di verificare i vostri dati personali. Si invita quindi l'utente a cliccare su un link (che porta ad un sito web) spingendolo ad inserire username, password o codici di accesso.
I "messaggi-esca" sono solitamente inviati in formato HTML: i truffatori possono così inserire nel messaggio loghi ed altri elementi grafici propri di famosi istituti con l'intento di "abbindolare" l'utente ma, soprattutto, mascherare il falso link.
Ultimamente sono propro le banche ad essere prese più di mira: una volta che l'utente clicca sul link indicato nell'e-mail truffaldina ed inserisce i dati per l'accesso, ad esempio, al proprio conto online, il malintenzionato può acquisire quei dati e dilapidarlo completamente.
Gli istututi di credito maggiormente oggetto di phishing sono quelli statunitensi: sono decine i tentativi di truffa messi in atto grazie all'invio di false e-mail e siti web appositamente sviluppati.
Ma non solo. Anche l'Italia sta divenendo sempre più spesso oggetto di attenzione: gli esempi più critici, registratisi più di recente, sono quelli che hanno coinvolto Poste Italiane, Banca Intesa, Unicredit Banca e molte altre.


Generalmente i truffatori inviano casualmente ad indirizzi e-mail reperiti in Rete (utilizzando la stessa logica e le medesime tecniche adoperate dagli spammer) i loro messaggi-esca. Il messaggio riportato nel corpo del testo tenta di indurre l'utente a cliccare su un falso link camuffato con l'URL del sito web ufficiale della banca italiana, richiedendo poi di introdurre i dati di accesso personali. Per mettere a nudo tutti i tentativi di truffa, è bene disattivare la visualizzazione - all'interno del client di posta elettronica - dei messaggi in formato HTML preferendo sempre il testo puro. In questo modo è immediato accorgersi di come l'indirizzo venga camuffato.
Diffidate sempre di chi vi richiede, via e-mail, la conferma di dati personali. Istituti di credito, siti di e-commerce e così via non richiedono - tramite l'invio di messaggi di posta elettronica - questo tipo di informazioni.
Fate sempre riferimento ai siti web ufficiali e non cliccate mai sui link presenti nelle e-mail di questo tipo.

Pharming (o "DNS poisoning"). E' sempre più diffusa l'abitudine, da parte di molti worm, di modificare il contenuto del file HOSTS di Windows. Tale file permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: ciò ricorda da vicino il funzionamento del server DNS del provider Internet. Ogni volta che si digita un indirizzo nella barra degli URL del browser, il sistema verifica - prima di tutto - se vi sia un'associazione corrispondente all'interno del file HOSTS. Solo quando questa non viene trovata si passa all'interrogazione del server DNS del provider. La modifica del file HOSTS era prima "prerogativa" di spyware e hijackers: oggi sta divenendo pratica sempre più diffusa anche tra i virus. Potrebbe capitare, quindi, digitando l'URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente "proiettati" verso siti web che non si sono assolutamente richiesti. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che si sta utilizzando. In Windows NT/2000/XP/2003 è in genere salvato nella cartella \SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella cartella d'installazione di Windows. La modifica del file HOSTS di Windows può quindi essere sfruttata per sferrare attacchi "phishing".
Il pharming, invece, è una diversa tipologia di attacco indirizzata in primo luogo ai server DNS. Una volta infettato, il server DNS indirizza i navigatori ad un sito fraudolento malgrado abbiano digitato l'Url corretto nel loro browser.
Il pharming è più difficilmente rilevabile dal momento che il browser non segnala nessuna anomalia lasciando credere all'utente di navigare in un sito legittimo. La maggiore pericolosità del pharming, rispetto al phishing, è che non viene colpito il singolo navigatore, destinatario di una e-mail con un link fraudolento, ma un elevato numero di vittime attaccate nello stesso istante in cui accedono a un falso dominio.


Siti maligni. Sempre più spesso vengono recapitate, nella nostra casella di posta elettronica, e-mail fraudolente contenenti link a siti web davvero pericolosi. E' possibile incappare in siti web maligni anche semplicemente "navigando" in Rete. Aggressori remoti rimpinguano questi siti dannosi con script e controlli attivi in grado di eseguire codice nocivo sul personal computer dell'utente. Tutto ciò semplicemente visitando con il browser una pagina creata allo scopo.
Per difendersi da questi attacchi è bene accertarsi di installare con regolarità tutte le patch rilasciate per il sistema operativo e per le applicazioni in uso.
In uno studio effettuato da Symantec e riferito al secondo semestre dello scorso anno, si legge come fossero addirittura più di 1.400 le nuove vulnerabilità di sicurezza (addirittura 54 per settimana!) scoperte nei vari software. Tra queste, più del 97% sono considerate rischiose o molto pericolose (la presenza di queste vulnerabilità può condurre ad attacchi remoti in grado di compromettere completamente il sistema preso di mira). In aggiunta a questo idilliaco scenario, il 70% di esse è stato definito come facilmente sfruttabile da remoto, cosa che estende in modo impressionante il numero dei possibili attacchi.
Un esempio? Websense Security Labs ha lanciato qualche tempo fa l'allarme circa un tentativo di estorsione perpetrato via web. Visitando un sito web maligno con Internet Explorer senza aver applicato tutte le patch di sicurezza Microsoft, ci si potrebbe ritrovare con tutti propri documenti resi assolutamente illeggibili. L'aggressore remoto, quindi, intenta una vera e propria estorsione nei confronti dell'utente: "o acquisti lo speciale software di decodifica o perderai tutto." E' questa la sostanza della minaccia.
Accedendo al sito web dell'aggressore senza aver applicato la patch MS05-023 per Internet Explorer, il browser effettuerà automaticamente il download di un trojan ("download-aag") e provvederà ad eseguirlo sul sistema dell'ignaro utente. A questo punto, il trojan si connetterà ad un altro sito web maligno provvedendo a prelevare ed attivare un software "ad hoc" che codificherà tutti i documenti personali presenti sul disco fisso. Viene quindi mostrato un messaggio con le indicazioni per l'acquisto del software di decodifica (costo: 200 Dollari).
L'applicazione tempestiva di patch di sicurezza e l'effettuazione periodica di copie di backup permettono di evitare di incappare in simili problemi.


Trojan "estorsori". Seguendo la stessa scia, informiamo i nostri lettori sulla diffusione di PGPcoder (Gpcode), un malware che - una volta mandato in esecuzione (è possibile ritrovarselo nella casella di posta elettronica) - codifica alcuni file presenti sul disco fisso (per, esempio, tutti quelli con estensione .doc) tentando di estorcere una somma di denaro all'utente che desideri rientrarne in possesso. Alcuni produttori di software antivirus (ad esempio, F-Secure), essendo l'agoritmo di codifica usato fortunatamente molto semplice, hanno prontamente fornito i tool per operare una decodifica.

"Typosquatting". E' noto come molti malintenzionati registrino nomi a dominio simili a quelli di famosi siti web con lo scopo di "catturare" tutti quegli utenti che digitino erroneamente l'URL nella barra degli indirizzi del browser. Esistono però siti web con nomi molto simili a quelli di famosi portali ed apprezzate realtà "internettiane" che contengono ogni sorta di nefandezza. Il caso più famoso è quello di un sito web che imitava l'indirizzo www.google.com a meno di una lettera. Basta quindi digitare erroneamente l'indirizzo proprio del famoso motore di ricerca, aggiungendo una lettera in più (la "k"), per ritrovarsi all'interno di un sito pieno zeppo di componenti nocivi di ogni genere: una volta aperto con il browser, il sito sfrutta una vasta gamma di vulnerabilità note del sistema operativo e dei browser per cercare di installare sul personal computer del malcapitato spyware e malware di ogni tipo. Domini Internet con materiale pericoloso che ricalcano da vicino URL di famosi portali nascono però ogni giorno: l'installazione di un buon "personal firewall", di un software antivirus aggiornato e l'applicazione delle patch di sicurezza per sistema operativo e browser sono sempre l'arma migliore per evitare problemi!


Le minacce più diffuse in Rete: come operano i malware - IlSoftware.it