Guida alla sicurezza del PC. Telematica Avanzata PROSMART a.a

Transcript

1 Guida alla sicurezza del PC Telematica Avanzata PROSMART a.a

2 Premessa Connettersi ad altri computer all'interno di una LAN (casalinga o aziendale) per condividere un documento, navigare sulla rete alla ricerca dell'offerta del mutuo più conveniente o dell'ultima versione di un software da scaricare, ricevere una comunicazione nella propria casella di posta elettronica sono ormai diventate azioni comuni grazie all'utilizzo sempre più crescente del PC sia in casa propria sia sul posto di lavoro. D'altra parte, al di là degli innegabili vantaggi che l'era telematica ha apportato alle nostre abitudini di vita e lavorative, esistono anche altri aspetti da considerare ed, in particolar modo, quelli legati all'esistenza di una serie di "rischi" che possono derivare dall'espletamento di una tra le tante attività precedentemente citate a titolo soltanto esemplificativo.

3 Le fonti di questi rischi potenziali possono essere veramente molteplici: dai virus informatici, ormai creati in quantità industriali, al codice alterato scaricato da qualche sito "corrotto" fino ad arrivare, nel peggiore dei casi, all'azione distruttiva di qualche hacker. Indubbiamente non è facile rendersi conto della complessità e della vastità della problematica oggi comunemente nota con il nome di Sicurezza informatica, ma è evidente che quest'ultima non può più essere né trascurata né sottovalutata da parte di chi usa un PC per un scopo non soltanto ludico. In questa breve introduzione faremo pertanto delle considerazioni di carattere generale sulla tematica della sicurezza informatica mentre, nel seguito degli altri paragrafi, verranno approfonditi soprattutto gli aspetti tecnici e le soluzioni pratiche.

4 Luoghi comuni Quali prodotti devo acquistare per sentirmi veramente al sicuro? Al riguardo possiamo affermare con assoluta certezza che la sicurezza non si identifica in un prodotto specifico ma in un processo lungo e ripetitivo che consiste nell'adottare una serie di misure volte a prevenire e scoprire i tentativi di accesso non autorizzato ad un sistema informatico. In questa prospettiva dunque non è sufficiente acquistare un antivirus od un firewall per risolvere tutti i problemi poiché, come prima cosa, occorre cambiare le nostre abitudini in modo da riadattarle ad una nuova prospettiva in cui la sicurezza è l'obiettivo finale.

5 Perché dovrei occuparmi degli aspetti inerenti la sicurezza del mio sistema? Per il semplice motivo che ormai l'uso del computer non è più limitato alle sole ore d'ufficio ma investe svariati altri aspetti della nostra vita privata (dal divertimento, all'acquisizione e scambio di notizie, al disbrigo di pratiche burocratiche, ecc.). Nel momento stesso in cui accediamo all'immenso database di risorse che rappresenta la rete Internet noi diventiamo parte integrante di quest'ultima e siamo sicuramente interessati ad evitare che qualunque individuo possa penetrare nel nostro sistema ed usarlo come base per sferrare attacchi contro altri oppure per rubare la nostra o carpire qualsiasi altro genere di informazione rilevante.

6 Chi può essere interessato ad accedere al mio sistema? Praticamente chiunque sia motivato da intenzioni non proprio encomiabili. Per un aggressore l'identità della persona cui appartiene un determinato sistema non ha alcuna importanza poiché l'unico obiettivo è penetrare il sistema stesso per poterlo successivamente riutilizzare o per compiere attività dannose od anche, a volte, per il solo gusto di farlo.

7 Con quale facilità è possibile irrompere in un sistema informatico? In alcuni casi si tratta di una facilità disarmante. Purtroppo la complessità del software che viene oggigiorno prodotto si accompagna in alcuni casi ad un livello di imperfezione tale da determinare l'insorgenza di gravi problemi di sicurezza. Queste vere e proprie "falle" sono quelle alla cui ricerca si spingono gli hacker e sono quelle che vengono sfruttate (da chi non appare motivato da una solida etica) per penetrare illecitamente nei sistemi informatici. Per far fronte a queste lacune i produttori di software sono costretti a rilasciare frequenti patch di aggiornamento la cui applicazione rientra però nella sola responsabilità di noi utenti finali. Inoltre non va dimenticato che la complessità del software può a volte investire gli aspetti attinenti la sua corretta configurazione ad un livello tale da spingere l'utente ad usare configurazioni cd. di default che aprono la strada a pericolose inadeguatezze in termini di sicurezza.

8 Chi mi garantisce che seguendo un certo tipo di approccio il mio sistema diventa veramente sicuro? Nessuno. Qualunque siano le azioni intraprese o le procedure seguite non sarà mai possibile ottenere una garanzia di protezione al 100%. Nella realtà l'unica cosa di cui si può veramente essere certi è che quanto più si affronta con criterio la tematica tanto minore sarà la probabilità che qualcuno o qualcosa riesca a procurarci un danno.

9 La sicurezza informatica si basa sulla difesa della privacy! Questa affermazione è vera soltanto in minima parte: in effetti la privacy, intesa come diritto alla tutela delle notizie e delle informazioni riguardanti la propria identità personale e sociale, è senza dubbio uno degli aspetti principali riguardanti la problematica della sicurezza ma non è l'unico né tanto meno il più importante. Fatta questa precisazione, è tuttavia importante sapere che esiste il rischio reale che qualcuno possa catturare informazioni inerenti le nostre abitudini in rete oppure possa carpire altre notizie attraverso gli stessi strumenti che normalmente utilizziamo (ad esempio il browser) ma, al tempo stesso, occorre anche sapere che esistono dei rimedi utilizzabili per scongiurare questo genere di attività. Peraltro, fermo restando che l'analisi di questi rimedi non è l'obiettivo di questo corso, possiamo ricordare che il modo migliore per proteggere la nostra privacy consiste nell'adottare comportamenti prudenti ed ispirati al buon senso come potrebbe essere quello di non diffondere ingenuamente informazioni di carattere riservato riempiendo spesso inspiegabili forms di registrazione oppure quello di usare forme di navigazione e di posta elettronica di carattere anonimo (ne esistono ormai in buon numero sulla rete).

10 Approccio del tipo "step by step" Definizione dello scenario Questa prima fase consiste nell'individuare con esattezza le entità da proteggere (ad es. dati personali, documenti ed informazioni riservate, messaggi di posta elettronica, sistema operativo, ecc.) nonché la natura e le fonti dei possibili eventi dannosi (ad es. virus, intrusioni ed attacchi dall'esterno, malfunzionamenti, ecc.). Sicuramente in questa fase è di fondamentale importanza fare una considerazione generale su quale sia l'uso principale che si fa del PC poiché questo influisce molto nella successiva definizione dello scenario risultante. E' evidente infatti che le preoccupazioni di chi usa il computer soltanto per redigere documenti devono essere molto diverse da quelle di chi invece ne fa uso principalmente per navigare in rete e scaricare software;

11 Valutazione dei rischi In secondo luogo occorre valutare il rischio del verificarsi degli eventi dannosi individuati nella precedente fase (ad es. qual'è la probabilità di subire intrusioni durante la navigazione su Internet? qual'è il rischio che un allegato di posta elettronica od un software scaricato dalla rete contenga un virus od un cavallo di troia?...);

12 Adozione di possibili azioni correttive Una volta completate le prime due fasi siamo già in possesso di uno scenario ed in relazione a questo possiamo individuare una serie di azioni correttive da adottare che siano in grado di ridurre al minimo i rischi del verificarsi degli eventi dannosi (ad es. cominciare ad evitare i comportamenti "ingenui" nell'utilizzo del PC, oppure acquistare ed installare software come un antivirus od anche un firewall ad uso personale, oppure applicare al sistema operativo le varie patch rilasciate dal produttore, ecc.). Lo sviluppo di un approccio di questo tipo ha degli innegabili vantaggi poiché in primo luogo aiuta a focalizzare l'attenzione soltanto sugli aspetti veramente importanti ed, in secondo luogo, si basa su un processo decisionale aperto e flessibile che in quanto tale può sempre essere riadattato ai mutamenti tecnologici e abitudinari che nel tempo possono intervenire.

13 Il decalogo della sicurezza Sebbene non sia possibile individuare un complesso ideale di misure di prevenzione possiamo con certezza affermare che molti dei problemi che tipicamente si presentano quando si tratta della sicurezza di un sistema informatico possono essere evitati attraverso l'adozione delle seguenti azioni correttive che, nel loro complesso, possono essere trattate come una sorta di decalogo:

14 usare un buon antivirus: qualunque computer connesso alla rete Internet deve esserne munito; inoltre è altrettanto importante provvedere con regolarità all'aggiornamento del file delle firme; usare un firewall: può sembrare eccessivo ma l'uso di dispositivi di filtraggio come i firewall, purché opportunamente configurati, è in grado di offrire un discreto grado di protezione contro determinati tipi di attacco e soprattutto contro tutta una serie di attività preparatorie (come ad es. la scansione delle porte TCP/UDP) che un aggressore in genere compie prima di tentare un accesso non autorizzato;

15 non aprire ingenuamente allegati di posta elettronica: questa semplice regola vale anche per i messaggi di posta che sembrano originati da un indirizzo conosciuto; in ogni caso è sempre opportuno salvare in un file l'allegato e sottoporlo ad una scansione virale prima di aprirlo; non eseguire ingenuamente programmi di ogni tipo: è buona regola accertarsi sempre della genuinità di qualsiasi programma prima di eseguirlo e lo stesso dicasi per tutti quei documenti che possono contenere delle macro;

16 applicare sempre le più recenti patch: questo vale non soltanto per il sistema operativo ma anche per il software applicativo; prestare la massima attenzione al funzionamento anomalo del sistema operativo: è assolutamente opportuno guardare sempre con sospetto ai funzionamenti apparentemente inspiegabili del sistema operativo e cercare di individuarne le cause per quanto possibile anche con l'uso di strumenti specifici;

17 disabilitare Java, JavaScript ed ActiveX: queste tecnologie possono costituire una vera spina nel fianco durante la navigazione su Internet; in alternativa, per non rendere la navigazione su alcuni siti frustrante, è possibile proteggersi, ma entro certi limiti, facendo uso di software specifico che funge da filtro per i contenuti interattivi che vengono normalmente ricevuti o utilizzando forme di navigazione anonime tramite proxy server; disabilitare le funzionalità di scripting nei client di posta elettronica: spesso infatti le maggiori vulnerabilità che colpiscono i browser, legate alla presenza di contenuti interattivi, si presentano anche in questo genere di software;

18 fare un backup regolare di tutti i dati sensibili: ugualmente importante è tenere in posti sicuri le copie generate; creare un disco di boot: ciò può aiutare in un eventuale attività di recovery di un sistema compromesso a patto però che la copia sia assolutamente genuina e sia conservata in un luogo sicuro.

19 Che cos'è un firewall e come funziona I firewall sono dispositivi software od hardware posti a protezione dei punti di interconnessione eventualmente esistenti tra una rete privata interna (ad es. una Intranet) ed una rete pubblica esterna (ad. es. Internet) oppure tra due reti differenti. Usando una metafora è come se questi dispositivi rappresentassero i punti di una dogana: la loro funzione principale è quella di agire come dei filtri controllando tutto il traffico di rete che proviene dall'esterno, nonché quello che viene generato dall'interno, e permettendo soltanto quel traffico che risulta effettivamente autorizzato.

20 Amarcord Prima di addentrarci nel discorso è opportuno fare una breve premessa per ricordare i principi di funzionamento sui quali si basa il TCP/IP (Transport Control Protocol/Internet Protocol) poiché questa diffusissima suite di protocolli garantisce ormai la stragrande maggioranza dei servizi all'interno sia delle reti private che di quelle pubbliche. In un network basato sul TCP/IP ciascun sistema è identificato in modo univoco da un indirizzo IP, costituito da quattro ottetti del tipo aaa.bbb.ccc.ddd, e comunica con altri sistemi scambiando messaggi sotto forma di pacchetti, detti anche datagrammi, tramite un determinato protocollo.

21 Diamoci una bella stretta! In sostanza ogni forma di comunicazione tra i sistemi di un network di questo tipo presuppone l'esistenza di due punti distinti ciascuno dei quali è rappresentato da un coppia univoca di elementi costituiti oltre che da un indirizzo IP anche da una porta di comunicazione: l'indirizzo IP, analogamente ad un numero di telefono, garantisce la possibilità di instaurare una comunicazione con un determinato sistema mentre la porta non è altro che un numero che serve a differenziare il servizio di rete, cioè l'applicazione usata per la comunicazione stessa (ad es. il servizio http ha tipicamente un numero di porta uguale ad 80, quello ftp la 21, ecc...). Il meccanismo che sta alla base dell'intero scambio informativo è quello che permette l'instaurazione di una connessione ed è chiamato three-way handshake termine che, tradotto letteralmente, significa "stretta di mano a tre vie": senza di esso nessun successivo flusso comunicativo potrebbe esistere tra due sistemi differenti.

22 Volendo ricorrere ad una metafora possiamo dire che la logica sulla quale si fonda questo meccanismo è molto simile a quella delle raccomandate con ricevuta di ritorno (Figura): il client che intende connettersi ad un server invia a quest'ultimo un messaggio di sincronizzazione attivo ed uno di conferma non attivo; sull'altro capo della connessione il server risponde con un messaggio di conferma attivo ed uno di sincronizzazione attivo; infine il client risponde con un messaggio di conferma attivo ed uno di sincronizzazione non attivo; Terminata l'ultima fase la connessione può dirsi instaurata mentre nel caso in cui il messaggio di conferma non arriva entro un tempo stabilito si procede alla ritrasmissione. Client Messaggio Server SINCRONIZZA=SI - CONFERMA=NO SINCRONIZZA=SI - CONFERMA=SI SINCRONIZZA=NO - CONFERMA=SI

23 Perché impiegare un firewall a difesa personale? Quando un PC accede ad Internet esso diventa, a tutti gli effetti e per tutta la durata del collegamento, un nodo della rete. Il sistema connesso, come del resto qualsiasi altro nodo, può esporre dei servizi di rete cioè delle applicazioni che hanno delle funzionalità specifiche e che rimangono in ascolto su una porta determinata (ad es. un server ftp o telnet od anche il classico servizio di condivisione dei file e delle stampanti di Windows). In alcuni casi può capitare che questi servizi nascondano al loro interno delle vulnerabilità o, comunque, rendano manifesti dei difetti di configurazione tali da poter essere sfruttati per guadagnare l'accesso non autorizzato ad un sistema.

24 Ma allora è facile? In genere prima di tentare una qualsiasi forma di intrusione un aggressore fa uso di un software specifico per effettuare la scansione del target alla ricerca di eventuali porte in ascolto. Una volta individuate queste porte è molto facile risalire al tipo di applicazione in esecuzione e, da qui, al genere di problemi di sicurezza che affliggono l'applicazione stessa e, di conseguenza, diventa possibile sfruttare un exploit (una tecnica di attacco particolare che si basa sulla presenza di vulnerabilità note) in modo da ottenere l'accesso al sistema. Naturalmente, nella realtà dei fatti, quasi mai le cose sono così semplici ma l'esempio è diretto a sottolineare un dato di fatto di fondamentale importanza: l'uso di un firewall, in combinazione con altri strumenti, può effettivamente garantire un livello di protezione discreto non soltanto contro i tentativi di sfruttare vulnerabilità più o meno note di un servizio ma anche e soprattutto contro l'attività di scansione delle porte che normalmente costituisce sempre il preludio di un attacco.

25 L aggiornamento del software I firewall che non hanno natura di dispositivi hardware sono delle vere e proprie applicazioni ed, in quanto tali, possono essere affetti da imperfezioni così come qualsiasi altro prodotto di questo genere. L'unica differenza con le applicazioni tradizionali è che in questi casi il firewall rappresenta l'ultimo baluardo di difesa per cui se un aggressore riesce a superare questa barriera sfruttando una vulnerabilità specifica del prodotto egli può avere pieno accesso al sistema protetto e compiere di conseguenza ogni tipo di attività. Per evitare che ciò accada è assolutamente necessario applicare sempre tutte le patch rilasciate dal produttore del software, anche quelle che non sono dirette a risolvere uno specifico problema di sicurezza, dal momento che questa abitudine è in grado di migliorare non soltanto la longevità del prodotto ma anche la sua resistenza intrinseca a forme di attacco più o meno note.

26 Software da utilizzare In rete esiste un buon numero di prodotti freeware, shareware o commerciali che rientrano nella fascia di mercato dei cd. firewall a difesa personale ma prenderemo in esame soltanto i più diffusi e conosciuti. Il primo prodotto è ZoneAlarm per Windows 9.x,Me,NT4,2000/XP in versione freeware scaricabile dall'indirizzo Questo prodotto (Figura 2) combina le funzionalità di un firewall con quelle di un sistema di controllo delle applicazioni e presenta una serie di caratteristiche quali: possibilità di scegliere tra tre livelli di protezione predefiniti (Basso,Medio,Alto); flessibilità e facilità di configurazione; analisi in tempo reale dei tentativi di connessione verso l'esterno (l'utente conserva la possibilità di scegliere se continuare o bloccare la connessione); produzione di file di log;

27 Figura 2 - Zone Alarm

28 Il secondo prodotto è Tiny Personal Firewall (Figura 3) per Windows 9.x,Me,NT4,2000 freeware, liberamente scaricabile all'indirizzo Questo prodotto oltre a fornire le classiche funzioni di filtraggio dei pacchetti è anche in grado di costruire dei filtri a livello delle applicazioni e mette a disposizione una serie di ulteriori funzionalità quali : amministrazione remota; verifica della impronta MD5 delle applicazioni; capacità di memorizzare le informazioni di log su un server syslog centralizzato; creazione dinamica delle regole di filtro; possibilità di definire una lista di indirizzi di fiducia; possibilità di applicare le regole di filtro soltanto durante un preciso intervallo temporale; possibilità di scegliere tra tre livelli predefiniti di comportamento (blocco di tutto il traffico, richiesta esplicita di conferma per ciascuna connessione per la quale non sia presente una regola di filtraggio oppure nessun tipo di blocco).

29 Figura 3 - Tiny Personal Firewall

30 L'ultimo prodotto è Black Ice Defender (Figura 4) per Windows 9.x,NT4,2000 disponibile all'indirizzo Si tratta di un prodotto commerciale (il costo è di $ 39.95) che unisce le funzionalità tipiche di un firewall con quelle di un sistema per la scoperta delle intrusioni (IDS). Il software analizza in tempo reale tutti i pacchetti in transito e, grazie ad un database interno aggiornabile che raccoglie le impronte caratteristiche delle varie tipologie di attacco, è in grado di riconoscere svariati tentativi di intrusione e di bloccarli prima che essi siano portati a compimento fornendo un immediato riscontro all'utente e raccogliendo in un file di log le informazioni relative all'aggressore quali l'indirizzo IP, l'eventuale nome NETBIOS della macchina utilizzata ed il suo indirizzo hardware. Altre caratteristiche interessanti sono: facilità di configurazione con la possibilità di scegliere tra quattro tipologie differenti di livelli: trusting, cautious, nervous e paranoid; possibilità di definire gruppi di indirizzi di fiducia; produzione di log dettagliati;

31 Figura 4 - BlackIce Defender

32 Che cos'è un antivirus e come funziona Ogni giorno nel mondo vengono creati e diffusi nuovi virus sempre più sofisticati ed in possesso di tecniche offensive evolute in grado di attaccare un sistema e renderlo instabile fino a provocarne il malfunzionamento od il blocco totale. Questo scenario non riguarda più soltanto le grandi entità che, peraltro, spendono centinaia di milioni per proteggersi ma anche e soprattutto l'utente comune che accede alla rete dal PC di casa per compiere operazioni di vario genere In effetti con l'avvento dell'era telematica i veicoli di una possibile infezione virale si sono enormemente moltiplicati ed il pericolo non è più rappresentato soltanto dai classici virus ma anche da una nuova classe di codice nocivo costituita da cavalli di Troia e backdoor: i primi sono in genere programmi che, all'insaputa dell'utente, compiono operazioni dannose sul sistema mentre le backdoor sono applicazioni che lasciano aperti dei varchi che consentono ad un aggressore di riacquisire in un momento successivo il possesso di un determinato sistema. Naturalmente non esiste un rimedio unico per far fronte a questo tipo di attacchi ma un insieme di accorgimenti e strumenti da adottare primo fra i quali un buon prodotto antivirus.

33 Caratteristiche di un buon antivirus Innanzitutto è necessario sottolineare che, a causa della continua evoluzione ed affinamento delle tecniche di programmazione impiegate per la costruzione di codice virale, un antivirus non può più limitarsi a rilevare ed eliminare soltanto i virus noti ma deve anche essere progettato per identificare, anche se in modo probabilistico, nuove tipologie di virus. Di conseguenza il primo requisito fondamentale è rappresentato dalla presenza di un motore di scansione cd. euristico in grado di ricercare all'interno dei file la presenza di particolari sequenze di byte che possono essere sintomo tipico di codice nocivo. Ovviamente poiché questo tipo di scansione non fa uso di metodi deterministici essa non è in grado di offrire lo stesso livello di protezione ed affidabilità della scansione tradizionale, basata invece sull'individuazione di una impronta nota, e di conseguenza può generare un numero più o meno frequente di falsi allarmi chiamati anche falsi positivi che, pur richiedendo una ulteriore fase di analisi, svolgono tuttavia un compito importantissimo vale a dire richiamare l'attenzione dell'utente sull'esistenza di una possibile fonte di rischio.

34 In ogni caso, al di là di questa precisazione, è utile suddividere in due gruppi distinti le funzionalità che possono essere rinvenute in un prodotto antivirus: nel primo gruppo comprendente funzionalità cd. di base rientrano le seguenti caratteristiche: verifica della integrità del settore di boot, del Master Boot Record (MBR) e dei file di sistema durante la fase iniziale di avvio del sistema; scansione in tempo reale della memoria; scansione in tempo reale dei file; scansione degli allegati di posta elettronica; capacità di individuazione delle altre tipologie di codice nocivo (cavalli di troia, backdoor, macro virus, ecc.); possibilità di creare dischetti di emergenza da utilizzare in caso di ripristino del sistema; rilascio da parte del produttore di frequenti aggiornamenti del file delle firme;

35 Nel secondo gruppo invece rientrano alcune funzionalità che possiamo considerare avanzate nel senso che esse facilitano l'utilizzo del prodotto od il suo aggiornamento ma non hanno alcuna influenza sulla sua efficacia ed affidabilità: possibilità di programmare scansioni del file system ad intervalli regolari; distribuzione centralizzata degli aggiornamenti (utile soprattutto in un ambiente di rete); possibilità di effettuare gli aggiornamenti attraverso Internet; capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia; presenza di una guida esauriente che descriva le tipologie note di virus, cavalli di troia e backdoor e le loro caratteristiche principali;

36 L aggiornamento del file delle firme Generalmente il funzionamento degli antivirus si basa sulla presenza di un motore di scansione che, operando in background, disassembla in tempo reale i vari file e ricerca all'interno degli stessi la presenza di determinate sequenze di byte che costituiscono l'impronta digitale identificativa di un virus. Pertanto, considerata la frequenza con la quale i nuovi virus vengono messi in circolazione, l aggiornamento periodico del file delle definizioni diventa fondamentale per garantire l individuazione e ove possibile la rimozione anche dei virus più recenti.

37 Software Antivirus In commercio esistono svariati prodotti antivirus ma tra questi i migliori sono sicuramente Symantec Norton AntiVirus 2001, McAfee VirusScan 5, PC-Cillin 2000 i quali si distinguono per la facilità d uso, le numerose funzioni e la disponibilità di frequenti aggiornamenti del file delle firme. A fianco viene riportata una lista di indirizzi utili: Prodotto Symantec Norton AntiVirus 2001 McAfee VirusScan 5 PC-Cillin 2000 F-Sicure AntiVirus AntiViral ToolKit Pro Panda AntiVirus URL

38 Cosa sono i "malicious software" o malware Le cronache informatiche di questi ultimi tempi hanno fornito la dimostrazione pratica di un dato di fatto innegabile: nessuno può dirsi veramente al sicuro dagli attacchi portati attraverso il cosiddetto codice nocivo. Ma che cosa si intende per codice nocivo ed in quale modo questo può effettivamente produrre un danno? Con il termine inglese di "malware", contrazione di malicious software, generalmente si intende un qualsiasi frammento di codice di lunghezza variabile che, penetrato all'interno di un computer, si dimostra potenzialmente in grado di danneggiarlo. Dunque la caratteristica che giustifica l'appellativo di nocivo è l'attitudine a causare danni a prescindere dalla circostanza che poi questi effettivamente si verifichino. Per questo motivo in questa categoria rientrano tradizionalmente i virus, i macro virus, i worm ed i cavalli di troia.

39 I Virus La RFC 1135 definisce come virus qualsiasi porzione di codice che si installa all'interno di un programma host al fine di utilizzare quest'ultimo come mezzo di propagazione. Un virus non può essere eseguito in maniera autonoma ed indipendente ma richiede che sia stato attivato un programma host. Due sono gli elementi che è necessario prendere in considerazione quando si parla di virus: il meccanismo di propagazione ed il tipo di operazioni eseguite (cd. payload) una volta che il virus sia attivo e residente in memoria. Il meccanismo di propagazione è forse l'aspetto più importante nel valutare la pericolosità di una determinata classe di codice nocivo. Infatti mentre in passato il pericolo di una infezione da virus poteva dirsi limitato a pochi pc ed il mezzo di diffusione era costituito principalmente da floppy disk o da cassette attualmente l'avvento di Internet ha dato un forte impulso alla crescita delle infrastrutture di rete per cui negli scenari odierni i danni causati dai virus possono colpire centinaia di migliaia di sistemi in poco più di una settimana sfruttando mezzi di connettività globale velocissimi come ad esempio la posta elettronica.

40 A seconda delle caratteristiche di diffusione di cui sono in possesso i virus appartengono a due distinte categorie: virus di tipo parassita: infettano i classici file eseguibili (.com,.exe e.dll) lasciandoli perfettamente utilizzabili ma al tempo stessi utilizzandoli come mezzi di propagazione; virus del settore di avvio: copiano se stessi nel settore di avvio dei dischetti o del disco rigido e si dimostrano particolarmente subdoli poiché sono in grado di acquisire il controllo del sistema al momento del suo bootstrap e quindi molto prima che sia caricato il sistema operativo e, conseguentemente, qualsiasi programma antivirus;

41 In quest'ultimo gruppo rientra anche il codice virale che, anziché colpire il settore di avvio, infetta il Master Boot Record vale a dire quell'insieme di istruzioni localizzate all'inizio di qualsiasi disco fisso, cioè nel primo settore del primo cilindro del primo piatto, in grado di interpretare la tabella delle partizioni che contiene la mappa della configurazione dell'intero disco. Peraltro è proprio questa tipologia di virus quella che presenta le particolarità più insidiose in quanto tende ad acquisire il controllo dell'mbr rilocandolo altrove ed inserendo il proprio codice nocivo all'interno dello stesso. In questo modo, durante il riavvio della macchina, il virus riesce ad eseguire qualsiasi tipo di operazione: modificare le chiamate del BIOS od intercettare quelle dirette a leggere lo stesso MBR dirottandole verso la copia precedentemente rilocata (l'uso di queste tecniche cosiddette stealth è normalmente diretto ad evitare l'identificazione da parte dei normali antivirus).

42 Infine non è raro trovare anche virus cosiddetti multi-partiti capaci non soltanto di infettare l'mbr od il settore di boot del disco ma anche di esporre caratteristiche di tipo parassita che li rendono idonei a sfruttare una ampia gamma di mezzi di diffusione. Per quanto riguarda invece le operazioni compiute va detto che non tutti i virus sono caratterizzati dalla presenza di un payload mentre, tra quelli che ne sono in possesso, alcuni sono programmati in modo tale da avere una sorta di trigger che al verificarsi di determinate circostanze scatena l'esecuzione delle operazioni nocive.