BOLLETTINO DI SICUREZZA INFORMATICA

Transcript

1 STATO MAGGIORE DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio- CERT Difesa BOLLETTINO DI SICUREZZA INFORMATICA N. 5/ Il bollettino può essere visionato on-line su : Internet : Intranet :

2 INDICE ATTACCHI INFORMATICI PARTE PRIMA - INTRODUZIONE pag. 3 - PARTE PRIMA pag. 5 - ADWARE pag. 5 - BLUJACKING pag. 5 - BACKDOOR TROJANS pag. 6 - BLUSNARFING pag. 6 - BOOT VIRUS pag. 6 - BROWSER HIJACKING pag. 7 - COOKIE pag. 7 - DENIAL OF SERVICE (DoS) pag. 8 - DIALER pag. 9 - HOAX pag. 9 - INTERNET WORM pag MOUSE-TRAPPING pag PAGE-JACKING pag PHARMING pag PHISHING pag. 12 Difficoltà: MEDIO-ALTA A cura di: SMD II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa 2

3 INTRODUZIONE John Von Neumann, il matematico ed informatico cui si deve il progetto dei primi calcolatori elettronici, comprese piuttosto precocemente la possibilità di creare un programma che si propagasse autonomamente in un sistema. Più tardi, dei programmatori dei Bell Laboratories svilupparono "Core Wars", un gioco in cui ciascuno dei programmatori scriveva un programma in grado di riprodursi e che, alla ricezione di uno specifico comando, cercava di distruggere gli altri programmi. Il primo virus informatico in senso stretto è stato scritto circa vent anni fa, apparentemente con lo scopo di evitare la duplicazione illegale di un software salvato su floppy disk. Da allora si sono diffusi centinaia di migliaia di virus e altro software malevolo (malware) inviato tramite , via Internet, alcuni dei quali con effetti devastanti in tutto il mondo. Con l evolversi degli strumenti e delle competenze dei pirati informatici, sono cambiate anche le modalità e, soprattutto, le finalità per cui i cyber criminali sferrano i loro attacchi. Mentre in principio la creazione e la diffusione di virus e malware era effettuata a solo titolo dimostrativo, attualmente il software malevolo viene realizzato principalmente a scopo di lucro. I virus in circolazione sono in grado di codificare i files per rubare informazioni sensibili e/o riservate (quali coordinate bancarie e credenziali di accesso ai servizi di home banking o per clonare le carte di credito ed appropriarsi illecitamente di denaro) eventualmente anche al fine di estorcere denaro agli utenti in cambio della restituzione dei dati trafugati. Altre attività illecite sono costituite dagli attacchi di tipo DoS ( Denial of Service, letteralmente negazione del servizio ), perpetrate principalmente a danno dei siti istituzionali, governativi e delle grandi aziende, che saturando le capacità elaborative delle macchine colpite, ne determinano il blocco operativo impedendone conseguentemente l accesso via rete all utenza. Sono, in definitiva, mutati gli obiettivi degli attacchi. Essi vertono maggiormente su target specifici e circoscritti. I crackers, infatti, non si concentrano più nelle azioni di massa, mirate a colpire il maggior numero possibile di persone, in quanto ciò richiama l attenzione delle aziende sviluppatrici del software antivirus specificatamente mirato a contrastare/neutralizzare il malware. Inoltre, la facile reperibilità di software malevolo sviluppato ad-hoc, corredato eventualmente delle informazioni d uso, può consentire a dei malintenzionati di effettuare degli attacchi di livello molto superiore alle loro effettive conoscenze tecniche e capacità. Dalla breve panoramica sopra esposta risulta evidente che lo scenario degli attacchi informatici è stato, e continua ad essere, in continua evoluzione. Lo sviluppo di nuove 3

4 tecniche e metodologie di attacco comporta la comparsa di nuove denominazioni e terminologie che non sono di uso comune e possono ingenerare perplessità e disorientamento tra gli utenti di Reti e Personal Computer. Partendo da tale considerazione, il personale del CERT Difesa ha ritenuto utile procedere alla redazione di un glossario di termini e tecniche informatici/che avente lo scopo di contribuire alla diffusione della conoscenza in tale settore e che per motivi di spazio sarà distribuito in due fasi tramite il presente e successivo Bollettino di Sicurezza Informatica. 4

5 ATTACCHI INFORMATICI Parte Prima ADWARE L adware è un programma che mostra messaggi pubblicitari sul monitor del computer. L adware (in inglese, contrazione di advertisingsupported software, ovvero software sovvenzionato da pubblicità ) mostra messaggi pubblicitari (banner o finestre pop-up) durante l uso di un applicazione, direttamente sullo schermo dell utente. Non si tratta necessariamente di un azione dannosa, finanziando tali pubblicità, in diversi casi, lo sviluppo di programmi di utilità distribuiti gratuitamente (ad esempio, il browser Opera). Tuttavia, l adware può rappresentare una minaccia se: si installa direttamente sul computer senza il consenso dell utente; si installa in applicazioni diverse da quelle di origine e fa apparire messaggi pubblicitari durante l utilizzo di tali applicazioni; cambia le impostazioni del browser per scopi pubblicitari (vedi browser hijacker ); raccoglie, senza il consenso dell utente, informazioni riservate riguardanti le attività svolte online per trasmetterle via Internet ad altri utenti (vedi Spyware ); è difficile da disinstallare. I software adware possono rallentare le operatività del computer, così come la navigazione, a causa dell eccessiva occupazione di banda causata da tali messaggi pubblicitari, fino al limite dell instabilità del pc stesso. Alcuni software antivirus sono in grado di individuare gli adware e classificarli come applicazioni potenzialmente indesiderate. Sta all utente decidere se autorizzare la presenza dell adware ovvero, come è consigliabile, rimuoverlo dal proprio computer. BLUEJACKING Il Bluejacking consiste nell invio di messaggi anonimi e indesiderati ad utenti che utilizzano cellulari o computer portatili dotati di tecnologia Bluetooth. Il Bluejacking sfrutta la tecnologia Bluetooth (tecnologia che consente di far dialogare e interagire fra loro dispositivi quali telefoni, stampanti, notebook, PDA, impianti HiFi, tv,computer, PC, cellulari, elettrodomestici, senza la necessità di collegamenti via cavo) per individuare e contattare altri dispositivi wireless presenti nelle vicinanze. Il cracker utilizza una funzionalità originariamente sviluppata per scambiare le informazioni sui contatti in forma di biglietti da visita elettronici, aggiungendo un nuovo contatto nella rubrica, digitando un messaggio ed inviandolo via Bluetooth. Il telefono cellulare cerca altri dispositivi Bluetooth disponibili e, appena ne individua uno, invia il messaggio. Il Bluejacking non è particolarmente pericoloso, non essendo infatti sottratti dati personali e non perdendo il controllo del proprio telefono. 5

6 Il Bluejacking può essere, tuttavia, fastidioso se utilizzato per inviare messaggi osceni e minacce, ovvero a fini pubblicitari. Per evitare questo tipo di messaggi, è sufficiente disattivare il Bluetooth oppure utilizzarlo in modalità invisibile. I dispositivi attivi possono essere esposti a minacce molto più serie come il Bluesnarfing (si veda oltre). BACKDOOR TROJANS Un backdoor Trojan è un programma che consente di assumere da remoto, tramite una connessione internet, il controllo del computer di un utente senza il suo consenso. Un backdoor Trojan può sembrare un software apparentemente innocuo. Gli ignari utenti possono diventare vittime di un Trojan semplicemente cliccando sul link contenuto in una derivante da attività di spam (invio di grandi quantità di messaggi indesiderati, generalmente commerciali). Una volta eseguito, il Trojan si aggiunge automaticamente alla routine di avvio del computer, rimanendo silente ed inattivo fino a quando il pc dell utente infettato non si collega ad Internet. A questo punto, a connessione eseguita, il pirata che ha inviato il Trojan può eseguire da remoto - programmi sul computer infetto, accedere modificare e caricare file personali, registrare le digitazioni dell utente sulla tastiera oppure inviare e.mail di spam. Tra i backdoor Trojan più noti figurano Subseven, BackOrifice e Graybird, quest ultimo millantandosi quale rimedio contro il famigerato worm Blaster. Per evitare di essere colpiti da backdoor Trojan, è bene tenere sempre aggiornato il sistema operativo con le ultime patch disponibili (per ridurre le vulnerabilità del sistema), oltre ad utilizzare software antivirus e antispam. È preferibile, inoltre, attivare anche un firewall, che impedisca ai Trojan di accedere ad Internet e quindi di mettersi in contatto con il loro creatore. BLUESNARFING Il Bluesnarfing consiste nella sottrazione dei dati presenti su un telefono cellulare provvisto di tecnologia Bluetooth (vedi sopra), sfruttando tale tecnologia per individuare ed entrare in contatto con altri dispositivi presenti entro il proprio raggio d azione. In linea teorica, un pirata provvisto di un computer portatile e di adeguato software è in grado di individuare un telefono cellulare e, senza il consenso dell utente, scaricare informazioni riservate quali la rubrica, le immagini dei contatti e l agenda. Oltre a ciò, può essere letto anche il numero seriale del telefono cellulare ed utilizzato per operazioni di clonazione. Si raccomanda, pertanto, di disattivare il dispositivo Bluetooth oppure utilizzarlo in modalità invisibile. La modalità invisibile permette, infatti, di continuare ad utilizzare alcuni indispensabili funzionalità Bluetooth, come ad esempio l auricolare quando si sta guidando, senza che il telefono risulti visibile ad altri. BOOT VIRUS I boot virus (virus del settore di avvio) sono quei programmi malevoli capaci di modificare il programma di avvio del computer (detta, appunto, fase di boot). All accensione del computer, l hardware cerca il boot sector, o settore di avvio, sull hard disk (ma può anche trattarsi di un floppy o un CD), ed esegue il programma di avvio del sistema. Questo programma carica l intero sistema operativo in memoria. 6

7 Un boot virus sostituisce il boot sector originale con una versione modificata (e normalmente nasconde l originale in un altra sezione del disco rigido). All avvio viene così utilizzato il boot sector modificato e il virus diventa attivo. Il computer può essere infettato solo se viene avviato da un disco infetto, ad esempio un floppy disk con boot sector infetto. I boot virus sono stati i primi virus utilizzati e sono ormai superati, tanto che oggi si incontrano molto raramente. BROWSER HIJACKING I browser hijacker ( dirottatori del browser ) modificano la pagina iniziale e le pagine di ricerca del programma di navigazione (Internet Explorer piuttosto che Netscape Navigator o Mozilla Firefox). Alcuni siti web contengono uno script (linee di codice di programma) che modifica le impostazioni del browser di navigazione senza il consenso dell utente. Questi software di dirottamento possono aggiungere nuovi collegamenti nella cartella Preferiti o, ancora peggio, cambiare la pagina iniziale (home page) che appare quando si lancia il browser, rendendo in alcuni casi impossibile reimpostare la home page prescelta. Alcuni browser hijacker modificano, infatti, il registro di Windows in modo che le impostazioni di dirottamento vengano ripristinate ogni volta che si riavvia il computer. Altri, invece, eliminano la voce Opzioni dal menù Strumenti del browser, impedendo all utente di reimpostare la pagina iniziale. In ogni caso, lo scopo è identico: obbligare l utente a visitare un determinato sito Internet. Queste procedure gonfiano il numero di visite e il sito sale nelle classifiche dei motori di ricerca, aumentando il grado di visibilità e gli introiti pubblicitari. Questi software di dirottamento possono essere molto resistenti. Alcuni vengono rimossi in maniera automatica dai software di sicurezza, altri invece devono essere eliminati manualmente. In alcuni casi è più semplice reinstallare il sistema operativo o riportarlo a un punto di ripristino precedente all infezione. COOKIE I cookies sono file che permettono ad un sito Web di registrare le visite e memorizzare i dati degli utenti. Quando si visitano alcuni siti internet, viene installato sul computer un piccolo pacchetto dati, chiamato appunto cookie (letteralmente biscottino ) che permette al sito di salvare i dati dell utente e tenere traccia delle visite. Questi file non rappresentano una minaccia per i dati, ma possono violare la privacy degli utenti. I cookies sono stati originariamente progettati per semplificare alcune operazioni. In particolare, nella fase di identificazione ed autenticazione presso un sito web, il cookie permette di salvare le necessarie informazioni in modo da non doverle inserire ogni volta che si visiterà il medesimo sito. Risultano sicuramente d ausilio per i webmaster (responsabili di un sito web), poiché indicano le abitudini di navigazione degli utenti, fornendo quindi utili indicazioni in fase di aggiornamento e rinnovo di un sito. 7

8 I cookies possono, tuttavia, diventare veicolo di violazione della privacy, poiché vengono salvati automaticamente sul computer dell utente senza il suo consenso e contengono informazioni difficilmente accessibili alla potenziale vittima. Quando si accede nuovamente al sito interessato, tali dati vengono inviati al web server, sempre senza alcuna richiesta di autorizzazione verso l utente. GIi amministratori e sviluppatori dei siti web Internet riescono, in questo modo, a creare un profilo degli utenti e dei loro interessi. Queste informazioni possono essere rivendute ovvero condivise con altri siti, permettendo ai produttori di offerte commerciali di predisporre ed inviare pubblicità di prodotti tarate sugli specifici interessi degli utenti, di visualizzare banner mirati e di contabilizzare (quindi quantificare economicamente) il numero di volte che un determinato annuncio pubblicitario viene visualizzato. Se si preferisce quindi restare anonimi e non offrire al fianco a proposte commerciali indesiderate, è bene modificare le impostazioni di sicurezza del browser disabilitando i cookies. DENIAL-OF-SERVICE (DoS) In un attacco di tipo DoS (Denial-of-service, negazione del servizio ) si cerca di portare il funzionamento di un sistema informatico - che fornisce l accesso ad un servizio quale un sito web - al limite delle prestazioni, fino a renderlo incapace di erogare il servizio stesso, impedendo così agli utenti di accedere ad un computer o ad un sito web. La strategia più comune per effettuare un attacco Dos consiste nel generare un traffico più intenso di quello che il computer riesce a gestire, inviando molti pacchetti di richieste dati o messaggi di posta elettronica con allegati che hanno nomi più lunghi di quelli gestiti dai programmi di posta, tipicamente diretti ad un server Web, FTP o di posta elettronica. Ciò porta alla saturazione delle risorse ed all instabilità del sistema, rendendo inaccessibili i siti che girano su tali server. Nessun dato viene sottratto o danneggiato, ma l interruzione del servizio può infliggere danni considerevoli a chi ne venga colpito. In virtù di tale modo di operare, quindi, qualsiasi sistema collegato ad Internet e che fornisca servizi di rete basati sul TCP è soggetto al rischio di attacchi DoS L attacco può anche sfruttare il modo in cui viene instaurata la sessione di comunicazione quando l utente entra in contatto con il computer. Se il cracker richiede l apertura di numerose connessioni e poi ignora la risposta del server, le richieste vengono lasciate pendenti nel buffer per un certo periodo. Così facendo, le reali richieste degli utenti non possono essere processate e quindi risulta per essi impossibile instaurare un collegamento con il computer. Un altra metodologia di attacco sfrutta l invio di un messaggio del tipo IP ping (messaggi che richiedono una risposta da altri computer), apparentemente proveniente dal computer della vittima, ad un elevato numero di computer, ciascuno dei quali fornisce la propria risposta. Il computer della vittima viene così inondato da tali risposte, diventando incapace di gestire il traffico abnorme venutosi a creare. Una variante di tale tipo di attacco è costituita dal DDoS (Distributed Denial of Service), il cui funzionamento è identico, ma realizzato utilizzando numerose macchine contemporaneamente attaccanti, che insieme costituiscono una botnet (rete di computer che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan, consentendo ai loro creatori di controllare il sistema da remoto). 8

9 Una particolare categoria di DDoS è il cosiddetto Distributed Reflection Denial of Service (DRDoS), in cui il computer attaccante produce delle richieste di connessione verso server con connessioni di rete molto veloci, utilizzando come indirizzo di provenienza non il proprio, bensì quello del bersaglio dell'attacco. DIALER I dialer modificano il numero telefonico della connessione Internet del pc dell utente, ad insaputa di questi, sostituendolo con un servizio a pagamento. I dialer non sono sempre illegali. Alcune aziende, infatti, richiedono lecitamente di scaricare prodotti o giochi collegandosi a un numero di telefono a tariffa maggiorata. Una finestra di popup invita l utente a scaricare il dialer e lo informa del costo della chiamata. Altri dialer, invece, si installano automaticamente senza alcuna autorizzazione nel momento in cui si clicca su un pop-up (ad esempio un messaggio che avverte della presenza di virus sul vostro computer ed offre una soluzione): tali programmi in realtà cambiano semplicemente i parametri della connessione Internet, dirottandola su un numero a pagamento. Coloro che utilizzano una connessione a banda larga, non dovrebbero correre rischi anche qualora si dovesse installare un dialer sul proprio pc, ciò perché la banda larga non utilizza i normali numeri telefonici e gli utenti, normalmente, non sono connessi alla rete tramite un modem abalogico tradizionale. HOAX Gli hoax sono falsi allarmi relativi a virus inesistenti. Solitamente gli hoax sono messaggi di posta elettronica che si comportano, in tutto o in parte, in uno dei seguenti modi: segnalano la presenza di un virus altamente distruttivo che non può essere rilevato; chiedono di non leggere messaggi di posta elettronica con un determinato oggetto; ingannano circa la provenienza della segnalazione, facendo credere che l avvertimento provenga da un grande produttore di software, da un Internet Provider o da un agenzia governativa; fanno credere che il nuovo virus possa fare qualcosa di assolutamente improbabile (ad esempio, il falso allarme A moment of silence sosteneva che non era necessario alcun trasferimento di file affinché un nuovo computer venisse infettato); usano il gergo tecnologico per descrivere gli effetti del virus; inducono l utente a diffondere la segnalazione. L inoltro via di un falso allarme a tutti gli amici e colleghi, può generare un vero e proprio effetto valanga, con la conseguente saturazione e crash dei server di posta elettronica. L effetto è identico a quello di un virus, ma l hoaxer non ha avuto bisogno di scrivere neppure una riga di codice malevolo. Tale azione sfrutta sostanzialmente l eccesso di reazione da parte degli utenti: aziende che ricevono questi falsi allarmi spesso prendono contromisure drastiche, disattivando o spegnendo, ad esempio, il server di posta o l intera rete. Ciò rende tali attacchi ancora più 9

10 efficaci dei virus veri e propri, in termini di danni provocati nelle comunicazioni, impedendo l accesso e la visione di messaggi che possono essere importanti. Poiché gli hoax non sono virus reali, il software antivirus non è in grado di individuarli né di neutralizzarli, facendo sì che essi possano sopravvivere a lungo nei sistemi infetti. INTERNET WORM I worm sono programmi che si replicano e si diffondono attraverso le connessioni Internet. Essi si differenziano dai virus perché sono in grado di autoreplicarsi - creando copie esatte di se stessi ed utilizzando le connessioni Internet per diffondersi - senza la necessità di un programma o di un documento che li ospiti. Gli Internet worm possono propagarsi da un computer all altro sfruttando le falle di sicurezza presenti nel sistema operativo. Molti virus odierni, come MyDoom o Bagle si comportano esattamente come i worm ma per propagarsi.utilizzano la posta elettronica. Gli effetti negativi prodotti vanno dall utilizzo dei computer infetti per creare un enorme volume di traffico attraverso un attacco di tipo DoS (vedi sopra) al danneggiamento di specifici siti Web (saturandoli di richieste o dati), fino alla codifica di file dell utente in modo da renderli inutilizzabili. Diversi worm aprono, invece, una backdoor che consente ai malintenzionati di assumere il controllo dei computer. Le macchine infette possono, quindi, essere utilizzate per distribuire di spam. Oltre a questi effetti, i worm sono casua di rallentamento delle comunicazioni, generando un enorme volume di traffico su Internet. E il caso del worm Blaster che si diffonde sulla rete e intensifica il traffico, rallentando le comunicazioni e causando il crash dei computer. Le diverse aziende che producono e sviluppano sistemi operativi, rilasciano puntualmente delle patch per correggere le vulnerabilità presenti nel sistema di sicurezza. Ogni utente dovrebbe visitare regolarmente i siti dei produttori di software per aggiornare il proprio PC. MOUSE-TRAPPING Il mouse-trapping impedisce all utente di uscire da un determinato sito Internet. Se si viene indirizzati su un falso sito Web, potrebbe capitare di non essere più in grado di uscirne - utilizzando il pulsante Indietro del browser o Chiudi della finestra. In alcuni casi, anche se si digita un nuovo indirizzo Internet nell apposita barra indirizzi, non si riesce comunque a uscire dalla trappola. Il sito che cattura l ignaro utente potrebbe impedirgli di visitare altri indirizzi ovvero aprire un altra finestra nella quale viene visualizzata la stessa pagina. In alcuni casi l utente, dopo molti tentativi, riesce a uscire, ma in alcuni casi non c è proprio via di scampo. Per sfuggire alla trappola è necessario allora selezionare un indirizzo dall elenco Preferiti (o Segnalibri ) oppure aprire la Cronologia dei siti web e cliccare sul penultimo indirizzo visitato. Si potrà anche digitare Ctrl+Alt+Canc ed utilizzare il Task Manager per terminare il browser oppure, qualora ciò non fosse ancora possibile, riavviare il computer. Per evitare i pericoli del mouse-trapping è consigliabile disattivare l esecuzione dei Javascript nel browser Internet. Se tale accorgimento permette di innalzare il livello di 10

11 sicurezza, evitando l esecuzione di questi script (linee di codice), è anche vero che verranno influenzate la visualizzazione e la funzionalità dei siti Internet, che potrebbero risultare non completamente corrette. PAGE-JACKING Con il termine page-jacking si intende l uso di repliche di pagine web molto visitate per dirottare gli utenti su altri siti Internet. I page-jacker copiano le pagine da un sito Web noto e le inseriscono in un nuovo sito apparentemente autentico, quindi registrano quest ultimo sito sui principali motori di ricerca, in modo che gli utenti vi vengano indirizzati. Quando l utente accede al sito Web, viene automaticamente indirizzato su un altro sito, il quale contiene pubblicità od offerte di servizi diversi da quelli ricercati. Alcuni siti potrebbero addirittura impedire all utente di uscire dal sito senza prima riavviare il computer (Mouse-trapping, vedi paragrafo precedente). Il page-jacking viene utilizzato per aumentare, con l inganno, il numero di visitatori di un determinato sito, per garantirsi maggiori introiti pubblicitari e far acquistare così maggior valore commerciale allo stesso da sfruttare nel caso di vendita. Ovvero, il pirata informatico può reindirizzare i visitatori su un determinato sito al fine di chiedere un compenso per averli dirottati. Tale fenomeno è sicuramente molto fastidioso, causando all utente la visione di materiale ed immagini poco graditi, riducendo il fatturato dei siti originali e ridimensionando l utilità dei motori di ricerca. In alcuni casi, il page-jacking può essere utilizzato per il phishing (vedi più avanti). Per evitare tale fenomeno, si consiglia di utilizzare i link nella lista dei Preferiti (o Segnalibri ), essendo sicuri di non aver ivi salvato il sito incriminato. In alternativa, è possibile digitare l indirizzo del sito Web direttamente nell apposita barra (URL). PHARMING Il termine pharming (manipolazione di indirizzi web) indica il reindirizzamento del traffico su Internet da un sito Web ad un altro del tutto identico, appositamente creato per frodare gli utenti e persuaderli ad inserire dati sensibili nel database del sito falsificato. Esso opera manipolando la struttura degli indirizzi internet. Ogni computer collegato alla rete internet (host) ha un indirizzo IP numerico, ad esempio , di non facile memorizzazione. Per questo motivo gli indirizzi web dispongono anche di una sigla alfanumerica, il dominio o URL (Uniform Resource Locator, una sequenza di caratteri che identifica univocamente l'indirizzo di una risorsa in Internet), come, ad esempio Ogni volta che un utente digita nel proprio browser l indirizzo di una pagina web, questo viene tradotto automaticamente in un indirizzo IP, attraverso il DNS (Domain Name System) servizio che gestisce tale risoluzione di nomi di host in indirizzi IP e viceversa, tramite un database distribuito, costituito dai server DNS. Ciò a meno che un file host nel computer dell utente non abbia già effettuato tale operazione. I pirati informatici possono sconvolgere questo processo seguendo due metodologie di attacco. Un primo metodo consiste nell utilizzare programmi Trojan che modificano i file host direttamente nel computer dell utente, in modo tale che associno il nome del dominio con il sito web falsificato. In questo modo, l utente viene indirizzato sul sito clonato anche se 11

12 digita correttamente l indirizzo. Un metodo alternativo fa sì che i cracker possano operare delle variazioni nelle directory dei server DNS, modificando gli abbinamenti nome hostindirizzo IP. Gli utenti connessi, pur digitando il corretto indirizzo, verranno inconsapevolmente reindirizzati ad un sito trappola. Per evitare il fenomeno del pharming è sempre bene assicurarsi che la connessione sia protetta, ovviamente prima di inserire eventuali dati sensibili. E sufficiente controllare il prefisso nell indirizzo Web digitato nell apposita barra. Se un cracker clona un sito protetto, un messaggio avvertirà che il certificato del sito non corrisponde all indirizzo che si sta visitando. Se i messaggi indicano che il certificato non è valido oppure non è rilasciato da fonte affidabile, non si dovrebbe accedere al sito. PHISHING Il phishing consiste nell uso di e di falsi siti Web per indurre con l inganno gli utenti a fornire informazioni confidenziali, sensibili o personali. Solitamente l utente riceve una che sembra provenire da un utente affidabile, ad esempio quello di una banca o di un ente postale, contenente quello che sembra essere il collegamento (link) al relativo sito Internet. Tuttavia, selezionando il collegamento, l utente viene reindirizzato su un sito fittizio. Tutti i dati inseriti quali coordinate bancarie, codici PIN o password possono essere sottratti ed utilizzati a fini illegali dai pirati che hanno creato la replica del sito. A volte il collegamento è diretto al sito originale, seppur quest ultimo venga nascosto da una finestra di popup sovrapposta: in tal modo l utente visualizza l indirizzo del sito originale sullo sfondo, ma le informazioni vengono inserite nella finestra di popup falsa. Talvolta i cracker utilizzano una tecnica chiamata cross-site scripting (XSS in gergo informatico), nella quale il collegamento sul quale si clicca conduce effettivamente al sito originale, laddove i contenuti vengono però gestiti dai criminali per scopi illegali. Il fenomeno del phishing ha avuto iniziato negli anni Novanta, utilizzato come tecnica per rilevare le informazioni relative agli utenti del sito AOL (America On Line), al fine di accedere ai servizi Internet gratuitamente. Le informazioni sottratte erano chiamate phish, poiché pescate in seguito alla digitazione dell utente ( fish in inglese significa pesce ; la grafia ph rimanda alla parola phreaker, termine utilizzato per indicare coloro che compiono operazioni illecite sulla rete telefonica). E bene, quindi, prestare sempre attenzione ai messaggi di posta elettronica che utilizzano formule generiche quali Gentile cliente ed evitare di cliccare sui link in essa contenuti. E consigliabile, piuttosto, digitare l indirizzo del sito nell apposita barra per navigare all interno della pagina originale, oppure utilizzare un collegamento dalla lista Preferiti (o Segnalibri ). I software antispam disponibili in commercio sono in grado di bloccare i tentativi di phishing condotti tramite alcuni programmi riescono anche ad individuare il contenuto potenzialmente pericoloso delle pagine Web o delle e forniscono una barra strumenti grazie alla quale è possibile verificare il dominio effettivo a cui si accede selezionando un determinato link. 12