44232 Letture

"Rogue software": cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce

Per diffondersi ed insediarsi su quanti più sistemi possibile, però, i "rogue software" non sfruttano solamente attacchi di "ingegneria sociale". Ossia, l'infezione del sistema può verificarsi non soltanto acconsentendo all'installazione di un "rogue software" cliccando su un messaggio apparso in una finestra pop-up del browser, durante la navigazione in Rete, ma può concretizzarsi anche qualora si dovesse visitare una pagina web "malevola" da un personal computer sul quale sono in uso software non aggiornati.
Versioni obsolete del browser web e dei plugin (Java, Flash Player, QuickTime, Adobe Reader in primis) sono spesso responsabili delle infezioni da malware aprendo la porta ai cosiddetti attacchi "drive-by download". Essi vengono generalmente utilizzati per provocare il download automatico e l'esecuzione di codice dannoso sfruttando vulnerabilità - non sanate dall'utente mediante l'installazione delle varie patch di sicurezza - del browser web e del sistema operativo.
Vulnerabilità irrisolte nei vari programmi che si impiegano a cadenza giornaliera restano quindi il "tallone d'Achille" che può esporre sia l'utente comune, sia il professionista, sia la grande azienda a rischi d'infezione.
Ed è quindi proprio la diffusione tra gli utenti della consapevolezza circa le problematiche che potrebbero nascondersi nei software utilizzati quotidianamente e l'adozione di una valida strategia che permetta di evidenziare eventuali "punti deboli" a consentire di ridurre drasticamente i rischi derivanti dall'utilizzo di un sistema non adeguatamente aggiornato. A trarne vantaggio, nel caso delle imprese di piccole e di più grandi dimensioni, sarà l'intera infrastruttura IT.
Come ha più volte evidenziato Secunia, società con sede in Danimarca che ha sviluppato un nutrito parco software in grado di rilevare la presenza di versioni obsolete di applicazioni e plugin sui propri sistemi, purtroppo, ancora oggi, i software sviluppati da terze parti (quindi fatta eccezione per il sistema operativo e gli altri programmi Microsoft il cui aggiornamento è direttamente gestito dalla funzionalità Windows Update) non sono spesso percepite come uno dei vettori d'attacco preferiti da parte dei malintenzionati.
Ecco allora che un software gratuito come Secunia PSI può offrire un valido aiuto nell'individuazione di tutte quelle applicazioni che, sui propri sistemi, non risultano aggiornate e che quindi possono rappresentare un valido appiglio per coloro che sviluppano malware. Facendo riferimento a questo nostro articolo, potete consultare una recensione dettagliata di Secunia PSI.

I "rogue software", così come altre tipologie di malware, utilizzano pagine web malevole per diffondersi ed eventualmente intentare attacchi "drive-by download" ma è bene tenere presente che anche siti web famosi ed assolutamente legittimi potrebbero talvolta divenire, ad insaputa dei loro amministratori, fonte d'infezioni. Gli aggressori, infatti, sono sempre costantemente alla ricerca di siti web da "bersagliare": le vulnerabilità di tipo "SQL injection" sono ad esempio la "bestia nera" per chi gestisce siti web ad elevato traffico. Si chiama "SQL injection" una particolare pratica di attacco che mira a colpire applicazioni web che si appoggiano a DBMS (ad esempio, Access, SQL Server, MySQL, Oracle e così via) per la memorizzazione e la gestione di dati. L'attacco si concretizza quando l'aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria. Quando i dati ricevuti in ingresso dalla pagina web dinamica non vengono opportunamente filtrati, l'interrogazione SQL posta in input dall'aggressore - direttamente nell'URL richiamato da client -, potrebbe essere "agganciata" alla query legittima effettuata a livello server dall'applicazione web. I risultati possono essere drammatici: l'aggressore, nel caso in cui l'attacco dovesse andare a buon fine, può essere in grado di alterare i dati memorizzati nel database ed aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati. Il criminale informatico, quindi, potrebbe riuscire ad aggiungere una tag HTML che invochi, a sua volta, uno script maligno dalle varie pagine web che compongono il sito legittimo, noto agli utenti. Tale script, che generalmente fa uso di codice JavaScript offuscato, solitamente cerca di provocare il download di malware, spesso di "rogue software" ospitati su server remoti, sfruttando vulnerabilità note del browser o dei plug-in installati. Ecco perché è importantissimo mantenere sempre costantemente aggiornati i software che si utilizzano, soprattutto tutti quelli che s'impiegano per "comunicare" in Rete. Sulla problematica "SQL injection" vi invitiamo a fare riferimento ai tanti nostri articoli sull'argomento.