BOLLETTINO DI SICUREZZA INFORMATICA

Transcript

1 STATO MAGGIORE DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2006 Il bollettino può essere visionato on-line su : Internet : Intranet :

2 INDICE LA FAMIGLIA DEI VIRUS DETTI : RANSOMWARE (RISCATTO)..1 COMPRENDERE I PROGRAMMI NASCOSTI : ROOTKISTS E BOTNETS 4 RICONOSCERE ED EVITARE IL FENOMENO DEL SOCIAL ENGINEERING E ATTACCHI PHISHING....6

3 LA FAMIGLIA DEI VIRUS DETTI : RANSOMWARE (RISCATTO) La diffusione su ampia scala di virus sempre più sofisticati ha enormemente complicato l attività di difesa dagli attacchi. Se nel passato, i virus erano scritti da teenagers per dimostrare la loro bravura, oggi le cose sono cambiate, i creatori di virus mirano ad acquisire profitto dalla loro creazioni. Ad esempio, nel maggio del 2005, la TrendMicro ha scoperto un nuovo virus denominato TROY_PGPCODER.A, basato sulla routine ransomware. Questa routine, derivante dalla parola inglese ransom = riscatto, richiede un riscatto per eliminarsi. La tecnica Dopo aver contagiato il PC dell utente vittima, usando dei vettori che potrebbero essere: l , il P2P o siti WEB costruiti ad hoc, il codice dannoso ricerca all interno dell hard disk i file con le seguenti estensioni : ASC - DB - DB1 - DB2 DBF DOC HTM HTML RTF TXT - XLS ZIP - RAR - PGP JPG che da quel momento, come conseguenza dell infezione, diventano inaccessibili e non più leggibili, in quanto vengono criptati e zippati. Insieme a questi file è presente anche un file di testo riportante le condizioni del riscatto. Come esempio, riportiamo di seguito la visualizzazione del file di testo contenuto all interno del file zippato riferito al virus Troj/Zippo-A, proveniente dalla Russia (conosciuto anche come CryZip) (Figura 1), dove sono riportate le istruzioni per poter ricevere la password per decrittare i file, dietro il pagamento di 300 dollari. Figura 1

4 Si noti dal testo come si tratti di un vero e proprio ricatto, cioè la richiesta di denaro in cambio della password per sbloccare i file criptati. Nel caso del trojan Troj/Zippo-A, il personale tecnico della Sophos è riuscito a risalire alla password, che è la seguente : C:\Program Files\Microsoft Visual Studio\VC98. Una variante è data dal virus Troy/Ransom-A che, una volta avviato, visualizza un messaggio con il quale si avverte l utente che ogni 30 minuti verrà cancellato un file dal disco fisso. I file cancellati saranno memorizzati in una cartella nascosta ed inaccessibile, probabilmente mediante un rootkit. Nel messaggio, il cracker afferma che il processo di cancellazione non può essere fermato e che la combinazione dei tasti Ctrl+Alt+Del non sortisce alcun effetto. L unica possibilità per riavere i file cancellati è quella di pagare. Di seguito riportiamo l avviso che l autore del virus presenta all utente vittima : "Deleted files are going to be saved into a hidden directory and replaced during uninstallation." "(1) files are being deleted every 30 minutes" Troj/Ransom-A visualizza una figura pornografica ed il seguente messaggio: environment locked windows locked listen up muthafucka is this computer valuable. it better not be. is this a business computer. it better not be. do you keep important company records or files on this computer.you'd better hope not. because there are files scattered all over it tucked away in invisible hidden folders undetectable by antivirus software the only way to remove them and this message is by a CIDN number This X.aip will load everytime you start windows scattering more and more copies of itself until your computer is fried to a pulp. until then you may even notice other programs missing critical files. How to Remove it Simple. you must receive a CIDN: number from Western Union go to Western union, fill out the grey form labelled "SwiftPay" pay $10.99 as your customer access number enter " " you may sign any name, i.e John Doe and wait for a receipt from the clerk. Look on the top right-hand corner of the receipt for a number that starts with CIDN: i.e CIDN: comeback to this computer and enter your CIDN number. The uninstall process will begin. note: if you don't pay exactly $10.99 you will generate an invalid CIDN number and be forced to start all over. If you have a valid CIDN Number and have problems uninstalling send a request to unlock3713@yahoo.com I will research the problem and if applicable send a alternate CIDN: universal key by .

5 Troj/Ransom-A mette in atto processi multipli di se stesso e quando qualcuno tenta di bloccare uno di questi processi appare una figura con il seguente messaggio : Yeah, We don't die, We multiply! Ctrl+Alt+Del isn't quite working today, is it? I'm not the sharpest tool in the shed but Crtl+Alt+Del is everyone's S.O.S L ultimo virus ransomware in ordine di apparizione è il Trojan conosciuto con il nome di Arhiveus-A segnalato da Sophos nel mese di maggio 2005, questo, conserva l archivio compresso in un file chiamato EncryptedFiles.als protetto da una passoword lunga 30 caratteri alfanumerici. Gli esperti di Sophos hanno disassemblato il trojan e scoperto la seguente password per decomprimere il file : "mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw" Il pagamento Le modalità di pagamento cambiano da virus a vurus, ad esempio, per quanto riguarda il virus Troy/Ransom-A,, il pagamento avviene tramite la banca Western Union per un importo di 10,99 dollari, mentre il trojan Troj/Zippo-A, richiede che il pagamento e lo scambio denaro-password avvenga tramite e-gold, il servizio di pagamento on-line della banca americana Gold & Silver Reserve, per un importo di 300 dollari. Curiosamente, gli autori di tali codici malevoli, si rendono disponibili a fornire assistenza via , nel caso la procedura di unlock non dovesse funzionare. Conclusioni La diffusione di questo tipo di codici malevoli, riporta alla ribalta la necessità di eseguire copie di backup con una certa frequenza, in quanto per poter risolvere l infezione in tempi brevi, l unica via ò quella di re-installare una versione precedente dei file infettati. Come raccomandazione, si consiglia di effettuare copie di back-up con brevi scadenze e di tenere sempre aggiornato il proprio programma antivirus (si ricorda che gli aggiornamenti dei programmi antivirus ormai hanno cadenza giornaliera se non oraria).

6 COMPRENDERE I PROGRAMMI NASCOSTI : ROOTKITS E BOTNETS Gli attaccanti sono continuamente alla ricerca di nuovi metodi per avere accesso ai sistemi. L uso di metodi che si possono facilmente mascherare all interno del sistema senza essere rilevati come i rootkits e botnets, sono in forte crescita, e gli utenti potrebbero essere delle potenziali ignare vittime. Cosa sono i rootkits e le botnets? Per rootkit si intende quella porzione di software che può essere installato e nascosto su un computer all insaputa dell utente. Questo può essere incluso in un software di grandi dimensioni o installato sfruttando una vulnerabilità sul computer o tramite un convincimento psicologico diretto all utente (social engineering). I rootkits non sono necessariamente dannosi, ma possono avere al loro interno dei payload dannosi. Un attaccante tramite il loro utilizzo, potrebbe essere in grado di acquisire informazioni, monitorare le azioni sul sistema, modificare programmi oppure avviare altri programmi all insaputa dell utente. Botnet è un termine derivante dall unione di due parole inglesi : bot e network. Nella sua forma più elementare bot è semplicemente un programma automatico per computer o robot. Nel contesto delle botnets, la parola bots è riferita a più computer che possono essere controllati da una o più risorse esterne. Un attaccante solitamente guadagna il controllo di un computer dapprima infettandolo con un virus o altri codici malevoli, in modo da poter potervi accedere in qualsiasi momento. Il vostro computer potrebbe essere parte di una botnet, sebbene sembri funzionare regolarmente. Le reti botnets sono spesso usate per condurre un ampia gamma di attività, dallo spam distribuito ad attacchi denial of service. Perché sono considerate delle minacce? Il problema principale con i rootkit e le botnets è che sono nascosti. Sebbene le botnets non siano nascoste come lo sono i rootkits, queste possono essere localizzate solo durante una loro attività illecita. Se un rootkit viene installato su un sistema, l utente non sarà consapevole di questa installazione non autorizzata, considerata più pericolosa dal fatto che i normali programma antivirus non riescono a rilevarlo. Gli attaccanti stanno anche perfezionando questi rootkit in modo che si autoaggiornino e questo comporta che sia sempre più difficile riconoscerli. Gli attaccanti possono usare rootkits and botnets per accedere e modificare informazioni riservate, possono attaccare altri computer e commettere altri crimini informatici, rimanendo anonimi. Questo fenomeno ha la tendenza ad amplificarsi, considerando che gli attaccanti hanno la possibilità di infettare un grande numero di computer e di gestirli a proprio piacimento per eseguire un comando all unisono.

7 Come ci si difende? I seguenti consigli possono contribuire ad alzare il livello di protezione contro dette minacce : usare e mantenere aggiornato il proprio programma antivirus l antivirus riconosce e protegge il computer contro la maggior parte dei virus in circolazione. La guerra, comunque, tra creatori di nuovi virus e le case produttrici di programmi antivirus continua, per questo si consiglia giornalmente di controllare se ci sono degli aggiornamenti al proprio programma; cambiare frequentemente le proprie password le password di default, come le password usate da troppo tempo vanno cambiate immediatamente e frequentemente, incluse le password per i siti web; impiegare sempre password composte minimo da otto caratteri; mantenere aggiornato il software installare le patch appena vengono pubblicate sia per il proprio sistema operativo e sia per tutti gli applicativi installati sul sistema dovrebbe essere una buona consuetudine; installare ed usare un personal firewall i personal firewall sono in grado di prevenire determinate infezioni bloccando traffico non desiderato e potenzialmente dannoso. Sia in ingresso che in uscita, alcune volte la presenza di un personal firewall non potrebbe bastare, ci si assicuri che sia su posizione Enable ; usare programmi anti-spyware l uso di questi tipi di programmi ha la funzione di completare l opera del programma antivirus riconoscendo altri tipi di virus rientranti nella categoria degli spyware; seguire sempre i consigli sulla sicurezza prendere sempre appropriate precauzioni quando si usa l account o quando si naviga con un browser in modo da poter diminuire i rischi di infezioni. In commercio esistono dei tool capaci di localizzare e in alcuni casi cancellare i rootkit, ma se questi non dovessero riuscire nel loro intento, bisognerà in ultima analisi formattare l hard disk perdendo così tutti i dati e i programmi installati, in tal caso assicurarsi di aver disponibili dei back-up non infetti.

8 RICONOSCERE ED EVITARE IL FENOMENO DEL SOCIAL ENGINEERING E ATTACCHI PHISHING Non fornire informazioni sensibili a nessuno a meno che non si è sicuri dell identità dell interlocutore e della sua necessità di avere accesso al tipo di informazioni richieste. Che cosa è il Social Engineering? Per lanciare un attacco di social engineering, l attaccante utilizza tecniche di comunicazione e di persuasione per ottenere o compromettere informazioni riguardanti una organizzazione e/o il suo sistema informatico. Un attaccante potrebbe mostrarsi gentile e rispettabile, fingere di essere un nuovo impiegato, un manutentore, o ricercatore ed offrire magari anche delle credenziali a supporto della sua identità. Comunque, attraverso delle domande, lui o lei potrebbero essere in grado di mettere assieme informazioni sufficienti per infiltrarsi nella rete aziendale. Se un attaccante non è in grado di mettere assieme gli elementi necessari da una sola persona potrebbe contattarne altre e affidandosi sulle informazioni avute dalla prima aumentare la propria credibilità. Che cosa è il phishing? Il Phishing è una specie di social engineering. Gli attacchi Phishing utilizzano o website finti per attirare la gente ed indurla a fornire ciò che si desidera avere per usi illeciti. L hacker potrebbe inviare fingendosi un istituto di credito, una azienda finanziaria o simili alla ricerca di gente disposta a fornirgli i dati relativi ai loro account, inventando magari che servono alla soluzione di un problema. Non appena fornite tali informazioni l hacker le può utilizzare per avere accesso all account. Come si può evitare di rimanerne vittima? Sospettate delle telefonate da parte di sconosciuti, visite inaspettate da parte di tecnici o da parte di soggetti che dicendo di appartenere a fantomatiche ditte chiedono di avere notizie circa la vostra organizzazione interna ed i vostri colleghi. Se necessario accertatevi preventivamente della loro identità contattando voi direttamente la loro ditta. Non fornite informazioni personali o riguardanti la vostra organizzazione compreso la sua struttura, la rete informatica eccetera, a meno che non siate certi della necessità di conoscere della persona. Non rivelare informazioni personali o finanziarie tramite e non rispondere ad che richiedono tali dati. Questo vuol dire pure non cliccare su link di tali . Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito

9 Fare attenzione all URL del sito. Siti malevoli possono sembrare identici a quelli legittimi ma l URL potrebbe essere differente nello spelling o appartenere ad un dominio diverso (ad esemio.com anzichè.net). Se non si è certi della legittimità dell ricevuta o di quanto in essa contenuto contattare direttamente l originatario della stessa. Non utilizzando ovviamente il numero di telefono specificato nella stessa ma bensì quello preso da un vecchio estratto conto. Maggiori informazioni sugli attacchi phishing sono reperibili on-line su blog e newsgroup come ad esempio Anti-Phishing Working Group ( Installa ed aggiorna costantemente l antivirus, il firewall e gli altri eventuali programmi specifici contro gli spam per mitigare il rischio di attacchi di questo tipo. Che fare se si è comunque rimasti vittima di un attacco? Se si ritiene di aver fornito informazioni sensibili circa la propria organizzazione riportarlo immediatamente ai propri superiori o alle organizzazioni preposte eventualmente esistenti nell ambito della propria Unità o all amministratore di rete. Se si ritiene che il proprio conto corrente possa essere stato compromesso contattare l Istituto con il quale si intrattiene il rapporto per chiudere prontamente lo stesso o fare in modo che vengano subito modificati i dettagli compromessi. Riportare l accaduto alle Forze dell Ordine mediante apposita denuncia.