Virus e spam per principianti

Transcript

1 Virus e spam per principianti

2 Virus e spam per principianti Questo opuscolo è destinato agli amministratori di rete, a coloro che utilizzano il computer per lavoro, o che semplicemente utilizzano la posta elettronica. I virus informatici e il fenomeno dello spamming vengono descritti con un linguaggio chiaro e comprensibile. Sophos, leader mondiale nella produzione di software antispam e antivirus, protegge più di 25 milioni di utenti aziendali. Per maggiori informazioni sulla gamma completa delle soluzioni Sophos per la protezione dallo spam e dai virus, e per l implementazione delle policy sull uso della posta elettronica, visitate il sito Web 1

3 Copyright 2001, 2003, 2004 by Sophos Plc Tutti i diritti riservati. Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero informazioni, o trasmessa, in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la registrazione o altri mezzi, senza previa autorizzazione scritta del titolare dei diritti d autore. Qualsiasi nome deve essere inteso come marchio registrato, se non diversamente specificato. Sophos è un marchio registrato di Sophos Plc. ISBN Sito Web: 2

4 Sommario Virus, Trojan e worm 5 Spam 27 Hoax e scam 41 Consigli per un uso più sicuro del computer 49 Glossario 53 Indice analitico 63 3

5

6 Virus, Trojan e worm Verso la metà degli anni 80, due fratelli pakistani scoprirono che qualcuno duplicava illegalmente il loro software. Reagirono all accaduto scrivendo il primo virus informatico della storia, un programma che inseriva copie di sé stesso e un avviso di copyright in ogni copia creata dai loro clienti. Da questi semplici inizi si è giunti a una vera e propria controcultura dei virus. Oggi i nuovi virus fanno il giro del pianeta in pochi minuti danneggiando i dati, rallentando le reti, o nuocendo alla reputazione degli utenti. 5

7 Che cos'è un virus? Un virus, o un worm, è un programma che può diffondersi sui computer e sulle reti creando delle copie di sé stesso, di solito a insaputa dell utente. I virus possono sortire effetti disastrosi, che vanno dalla visualizzazione di messaggi fastidiosi sullo schermo alla sottrazione di dati, o alla cessione ad altri utenti del controllo del computer. Come infetta un computer? Un virus, essendo un programma, deve essere eseguito prima di poter infettare un computer. I virus sono concepiti in modo tale che ciò avvenga. Possono attaccarsi ad altri programmi, o nascondersi nel codice che viene eseguito automaticamente all apertura di certi tipi di file. Talvolta, al fine di essere eseguiti e diffondersi automaticamente sulla rete, possono sfruttare delle falle nella sicurezza del sistema operativo del computer. L utente può ricevere un file infetto in allegato a un , in un download eseguito da Internet, oppure semplicemente su un dischetto. Non appena il file viene lanciato, il codice del virus viene eseguito. Quindi il virus può copiarsi in altri file o dischetti, e apportare modifiche al computer. 6

8 Trojan I Trojan sono programmi che fingono di essere legittimi, ma in effetti svolgono funzioni nascoste e dannose. Per esempio, il Trojan DLoader-L arriva in allegato a un che sembra essere un aggiornamento importante, spedito da Microsoft per proteggere i sistemi operativi Windows XP. Eseguendo l allegato si scarica un programma che utilizza il computer per connettersi a certi siti Web, nel tentativo di sovraccaricarli, causando un cosiddetto Denial of Service, ovvero la negazione del servizio. I Trojan non possono diffondersi con la stessa rapidità dei virus, perché non creano copie di sé stessi. Tuttavia la loro azione viene combinata spesso a quella dei virus. I virus possono scaricare i Trojan che registrano le battute sulla tastiera, o sottraggono informazioni confidenziali. Dall altro lato, alcuni Trojan possono essere utilizzati per infettare un computer con un virus. Worm I worm sono simili ai virus, ma non necessitano di un programma o di un documento che li trasporti. I worm creano copie esatte di sé stessi e utilizzano le comunicazioni tra i computer per diffondersi (vedi la sezione Internet worm ). Molti virus, come per esempio MyDoom o Bagle, si comportano come i worm, usando l per autoinviarsi. 7

9 Quali sono gli effetti dei virus? Una volta i virus erano soliti giocare brutti scherzi, o bloccare il computer, ma ora compromettono la sicurezza in modo più insidioso. Ecco i danni che possono essere provocati dai virus: Rallentamento della posta elettronica. I virus che si diffondono per , come Sobig, possono generare un volume di messaggi tale da rallentare i server o provocarne il crash. Inoltre, anche se ciò non accade, alcune aziende, al fine di tutelarsi dal rischio, sono costrette a spegnere comunque i propri server. Sottrazione di dati confidenziali. Il worm Bugbear-D registra le battute dell utente sulla tastiera, comprese le password, consentendo all autore del virus l accesso a dati confidenziali. Uso del computer dell'utente per attaccare alcuni siti Web. MyDoom utilizza i computer infetti per sommergere di dati il sito Web del produttore di software SCO, rendendolo inutilizzabile (attacco Denial of Service). Appropriazione del computer da parte di terzi. Alcuni virus collocano dei backdoor Trojan sul computer, consentendo all autore del virus di connettersi al computer e di utilizzarlo per i propri scopi personali. 8

10 Alterazione dei dati. Il virus Compatable apporta modifiche ai dati nei fogli Excel. Cancellazione dei dati. Il worm Sircam tenta di cancellare o di sovrascrivere l hard disk in una data ben precisa. Danneggiamento dell hardware. Il virus CIH, anche noto come Chernobyl, tenta di sovrascrivere il chip contenente il BIOS ogni 26 di aprile, rendendo il computer inutilizzabile. Burle. Il worm Netsky-D faceva in modo che i computer infetti producessero un beep sporadico per alcune ore della mattina. Visualizzazione di messaggi. Cone-F visualizza un messaggio di natura politica nel mese di maggio. Danno alla reputazione. Se un virus si autoinvia dal computer di un azienda a quello dei propri clienti e partner, questi potrebbero rifiutarsi di proseguire la collaborazione, o addirittura potrebbero chiedere un risarcimento danni. Imbarazzo per gli utenti. Per esempio, il virus PolyPost trasferisce i documenti e il nome dell utente nei newsgroups che trattano argomenti sessuali. 9

11 Dove sono i virus? I virus possono attaccare il computer per varie vie. Per maggiori dettagli si leggano le pagine che seguono. Programmi e documenti I programmi e i documenti possono essere infettati dai virus. Quando li si condivide con altri utenti, mettendoli in rete o sulla Intranet, o inviandoli all esterno, l infezione si propaga. Internet I programmi o i documenti scaricati da Internet potrebbero essere infetti. Anche le vulnerabilità nella sicurezza del sistema operativo possono permettere ai virus di infettare il computer tramite la connessione Internet, senza l intervento dell utente. La posta elettronica può contenere allegati infetti. Se si clicca due volte su un allegato infetto, cioè se lo si esegue, si rischia di infettare il computer. Alcune contengono persino script malevoli che vengono eseguiti non appena si visualizza l in anteprima, o se ne legge il corpo del testo. CD e floppy I floppy disk possono contenere un virus nel boot sector. Sia i floppy, sia i CD possono contenere inoltre programmi o documenti infetti. 10

12 Quali file possono essere infettati dai virus? I virus possono attaccarsi a qualsiasi codice eseguito sul computer: ai programmi, ai documenti, oppure ai file che servono ad avviare il sistema operativo. Programmi Alcuni virus infettano i programmi. All avvio del programma infetto, il virus viene eseguito per primo. Questo tipo di virus è stato uno dei primi della storia, ma rappresenta ancora una minaccia, vista la facilità con cui si possono scambiare programmi su Internet. Documenti La videoscrittura o i fogli elettronici usano spesso le macro per automatizzare alcune operazioni all interno dei documenti. Alcuni virus assumono le sembianze di una macro in grado di diffondersi da un documento all altro. Se si apre un documento contenente il virus, questo si copia nei file di avvio dell applicazione, infettando altri documenti aperti successivamente con questa applicazione. Boot sector All accensione del computer, questo accede a una parte dell hard disk chiamata boot sector, o settore di avvio, eseguendo il programma che carica il sistema operativo. I primi virus sostituivano il boot sector con uno modificato da loro. Se l utente avviava il computer da un disco con il boot sector infetto, il virus diventava attivo. 11

13 Virus contenuti nei messaggi Molti dei virus più prolifici si distribuiscono automaticamente tramite la posta elettronica Solitamente il comportamento dei virus contenuti nelle dipende dal comportamento dell utente. Se l utente clicca su un documento allegato, viene eseguito uno script che inoltra il documento infetto ad altri utenti. Il virus Netsky, per esempio, ricerca sul computer infetto i file che possono contenere indirizzi (per esempio, i file di tipo EML o HTML), e quindi utilizza il programma di posta per autoinviarsi a questi indirizzi. Alcuni virus, come per esempio Sobig-F, non hanno nemmeno bisogno di utilizzare il client di posta; infatti dispongono di un proprio motore SMTP integrato per l invio della posta. I virus che si diffondono per posta elettronica possono compromettere la sicurezza del computer o sottrarre dati, ma il loro effetto più comune è la creazione di un enorme volume di traffico per causare il crash dei server. Allegati Ogni allegato ricevuto per posta elettronica potrebbe contenere un virus; eseguendo tale allegato il computer potrebbe essere infettato. Persino un allegato che all apparenza è un tipo di file sicuro, ad esempio un file con estensione.txt, può non essere innocuo. Il file potrebbe essere uno script malevolo di tipo VBS, la cui vera estensione è nascosta.

14 È possibile essere infettati da un virus leggendo semplicemente l' ? Non è necessario aprire un allegato per essere infettati da un virus. Persino la semplice lettura della posta rappresenta un rischio. Alcuni virus, come Kakworm e Bubbleboy, possono infettare gli utenti alla lettura della posta elettronica. Si presentano come normali messaggi, ma contengono uno script nascosto che viene eseguito non appena si apre l , o persino visualizzandola in anteprima (se si utilizza Outlook con una particolare versione di Internet Explorer). Questo script può modificare le impostazioni di sistema e autoinviarsi ad altri utenti tramite . Microsoft ha rilasciato delle patch che eliminano queste vulnerabilità nella sicurezza dei propri prodotti. Per maggiori informazioni sulle patch necessarie, visitate il sito windowsupdate.microsoft.com. Per ricevere informazioni sulla futura pubblicazione di altre patch di sicurezza, potete iscrivervi alla mailing list sul sito bulletin/notify.asp 13

15 Internet worm Navigare su Internet può rappresentare un rischio, anche se non si apre la posta sospetta Gli Internet worm possono viaggiare tra computer connessi, sfruttando le falle nella sicurezza dei sistemi operativi. Il worm Blaster, per esempio, sfrutta una vulnerabilità insita nel servizio di Remote Procedure Call dei computer con sistema operativo Windows NT, 2000 e XP, utilizzandola per inviare una copia di sé stesso a un altro computer. Man mano che il worm si diffonde, crea un enorme volume di traffico su Internet, rallentando le comunicazioni o causando un crash dei computer. Questo particolare worm, inoltre, usa il computer infetto per sommergere di dati un sito Web di Microsoft, allo scopo di renderlo inaccessibile. Microsoft (così come altri vendor di sistemi operativi) rilasciano delle patch per correggere le vulnerabilità nel sistema di sicurezza dei loro software. Ogni utente dovrebbe visitare regolarmente i siti dei produttori di software per aggiornare il proprio PC con le ultime patch disponibili. Quali rischi si corrono visitando un sito Web? Le pagine web sono scritte in HTML (Hypertext Markup Language). Questo tipo di linguaggio non può contenere virus, ma può lanciare programmi o file che li contengono. Non è possibile essere infettati da un virus visualizzando una pagina HTML, a meno che non ci sia una vulnerabilità nella sicurezza del computer che permetta l esecuzione del programma che infetta il computer.

16 Backdoor Trojan Un backdoor Trojan è un programma che consente a un utente di prendere il controllo del computer di un altro utente tramite Internet. Un backdoor Trojan può camuffarsi da software legittimo, come fanno altri Trojan, al fine di essere eseguito dagli utenti. In alternativa, come accade sempre più spesso, un virus può depositare un backdoor Trojan su un computer. Una volta eseguito, il Trojan si aggiunge alla routine di avvio del computer. Quindi, può monitorare il computer, finché l utente non si collega a Internet. Una volta che il computer è online, la persona che ha inviato il Trojan può eseguire programmi sul computer infetto, accedere ai file personali, modificare e caricare file, registrare le battute dell utente sulla tastiera, oppure inviare spam. Tra i backdoor Trojan più noti figurano Subseven, BackOrifice e Graybird, che si spacciava per la cura contro il famigerato worm Blaster. 15

17 Lo spyware Lo spyware è un software che consente di raccogliere informazioni sulle abitudini di un utente. I programmi spyware non sono virus (cioè non si diffondono su altri computer), ma possono avere effetti indesiderati. Visitando certi siti Web, può accadere di installare, senza volerlo, un programma spyware. Una finestra di messaggio invita l utente a scaricare un software che potrebbe essergli utile, oppure il software viene scaricato automaticamente a insaputa dell utente stesso. Lo spyware viene, quindi, eseguito sul computer registrando l attività dell utente (per esempio, i siti Web visitati), e passando le relative informazioni a terzi. Lo spyware può anche modificare la pagina iniziale del browser Internet, e utilizzare una connessione di tipo dial-up per chiamare numeri telefonici a tariffa maggiorata. Lo spyware, inoltre, utilizza memoria e CPU, rallentando il computer o bloccando il sistema. Alcuni software riconoscono i programmi già noti di tipo spyware, permettendone la disinstallazione. Cookie Quando si visitano alcuni siti Web, viene installato sul computer un piccolo pacchetto di dati chiamato cookie. I cookie consentono al sito di memorizzare i dati dell utente e di tenere traccia delle visite. I cookie non rappresentano una minaccia per i dati, ma possono violare la riservatezza degli utenti. Se si preferisce restare anonimi, è necessario impostare il browser, in modo tale da disabilitare i cookie. 16

18 Virus e telefoni cellulari I telefoni cellulari possono essere infettati dai worm che si diffondono tramite la rete mobile, ma allo stato attuale i rischi sembrano essere limitati. Nel 2004 è stato scritto il primo worm per telefoni cellulari. Il worm Cabir-A infetta i telefoni che utilizzano il sistema operativo Symbian, e si trasmette come un file contenente un videogioco per cellulare (un file con estensione SIS). Eseguendo il file, viene visualizzato sullo schermo un messaggio, e da quel momento in poi il worm viene eseguito ad ogni accensione del telefono. Cabir-A cerca altri telefoni cellulari nelle vicinanze che utilizzano la tecnologia Bluetooth, e si autoinvia al primo cellulare disponibile. Questo worm dimostra che l infezione è possibile, ma che non può essere trasmessa tramite una rete pubblica (l infezione avviene tramite una comunicazione diretta tra due telefoni cellulari). Esistono anche virus convenzionali che inviano messaggi sui telefoni cellulari. Timo-A, per esempio, usa il modem del computer per inviare messaggi di testo (SMS) ad alcuni numeri di rete mobile, ma in questi casi il virus non può infettare o danneggiare il telefono cellulare. Finora i rischi per i telefoni cellulari sono stati minimi. Forse perché i cellulari utilizzano molti sistemi operativi differenti, e perché il software e le caratteristiche degli apparecchi cambiano continuamente. 17

19 Quali sono i rischi legati a Bluetooth? La tecnologia Bluetooth per i cellulari, i computer e altri dispositivi potrebbe aprire la strada ai virus, alle violazioni della sicurezza, o alle burle. La tecnologia Bluetooth consente ai computer, ai cellulari e persino ai videoregistratori o ai frigoriferi di individuare le apparecchiature vicine e di stabilire con queste dei collegamenti in chiaro. Questo tipo di tecnologia è già stato sfruttato da un worm destinato ai telefoni cellulari, che ne fa uso per trovare i telefoni vicini, ai quali potersi trasmettere. Le tecnologie basate su Bluetooth, ad esempio Jini, consentono inoltre il controllo remoto dei servizi. Bluetooth e Jini sono concepite in modo tale che solo i codici riconosciuti come validi possano eseguire operazioni delicate, ma tali tecnologie non possono escludere che alcuni codici malevoli interferiscano con i servizi. I telefoni che supportano la tecnologia Bluetooth possono essere utilizzati anche per individuare altri telefoni cellulari nelle vicinanze, e per inviare loro messaggi inattesi e talvolta offensivi. Per proteggersi da tutti i tipi di minacce derivanti dall uso di questa tecnologia, sia dai programmi malevoli che dai messaggi non richiesti, disattivare nel proprio telefono la modalità visibile. 18

20 I virus possono infettare i palmari? I palmari, o i PDA, costituiscono un nuovo bersaglio per i virus, ma finora gli autori di virus hanno dimostrato scarso interesse nei loro confronti. I palmari, o i PDA, hanno sistemi operativi speciali, come Palm e Microsoft PocketPC. Questi sistemi operativi sono vulnerabili ai codici malevoli, ma ad oggi i rischi sono irrilevanti. Esiste un solo virus scritto per Palm, e un Trojan, ma nessuno dei due sembra essere stato messo in circolazione. L obiettivo prediletto dagli autori di virus sono i sistemi per desktop, forse perché sono più diffusi e consentono ai virus di propagarsi rapidamente tramite Internet e la posta elettronica. L unico rischio per il momento è che il computer palmare possa fungere da veicolo. Quando lo si collega a un PC di casa o in ufficio per sincronizzare i dati, un virus, innocuo sul palmare, può diventare pericoloso nel momento in cui viene trasferito sul PC. Per evitare questo rischio, vi raccomandiamo di seguire i Consigli per un uso più sicuro del computer, e di avere sempre un software antivirus aggiornato sul computer. 19

21 Il software antivirus Il software antivirus è in grado di rilevare i virus e di impedire l accesso ai file infetti, eliminando spesso l infezione. Scanner antivirus Gli scanner antivirus rilevano, e spesso rimuovono, i virus conosciuti. Gli scanner antivirus sono la forma più comune di software antivirus, ma devono essere aggiornati regolarmente per poter riconoscere i nuovi virus. Esistono scanner che controllano i file all accesso e scanner che li controllano su richiesta. Molti motori antivirus garantiscono entrambe le possibilità. I cosiddetti scanner in accesso rimangono attivi sul computer tutte le volte che lo si accende. I file vengono controllati in modo automatico, non appena si tenta di aprirli o di eseguirli. In questo modo viene impedito agli utenti di utilizzare i file infetti. I cosiddetti scanner su richiesta consentono di avviare o di pianificare la scansione di determinati file o unità. Software euristico I software euristici tentano di rilevare i virus sia noti che sconosciuti utilizzando le regole generali sulle caratteristiche comuni dei virus. Questi software non necessitano di aggiornamenti frequenti. Tuttavia, sono inclini a generare falsi allarmi. 20

22 Chi scrive i virus? Se il computer, o la rete, vengono colpiti da un virus, la prima cosa che viene in mente imprecazioni a parte è: Per quale ragione vengono scritti questi virus? Gli autori dei virus, talvolta, vogliono diffondere un messaggio politico, o causare disagi alle aziende che disapprovano (per esempio, molti virus e worm hanno preso di mira la Microsoft). Inoltre possono infiltrarsi nei computer di altri utenti, o raccogliere indirizzi per poi vendere le informazioni agli spammer. Ma molto spesso gli autori dei virus sono spinti dal desiderio di conquistarsi la fama grazie alle loro bravate. Gli autori di virus sono per lo più single, sotto i 25 anni, solitamente maschi. La loro autostima è legata al riconoscimento da parte del loro gruppo di coetanei, o almeno di una piccola comunità elettronica. La creazione di virus è una sorta di graffiti art elettronica, grazie alla quale diventano protagonisti. I virus, inoltre, danno ai loro creatori il potere nel cyberspazio, un potere che non potrebbero nemmeno sperare di ottenere nella vita reale. Questa è senza dubbio la ragione per cui gli autori di virus scelgono nomi ispirati alla musica heavy metal o alla letteratura fantastica, in cui prosperano simili illusioni di prodezza e potenza. 21

23 Breve storia dei virus Anni 50 I laboratori Bell sviluppano un gioco sperimentale, nel quale i giocatori utilizzano programmi malevoli per attaccare i rispettivi computer L autore di libri di fantascienza John Brunner immagina un worm informatico che si propaga attraverso le reti Fred Cohen introduce il termine virus in una tesi su questo tipo di programmi Il primo virus informatico, Brain, viene scritto presumibilmente da due fratelli pakistani Il worm Christmas tree paralizza la rete mondiale della IBM Internet worm si diffonde nella rete statunitense DARPA Il virus Michelangelo scatena il panico in tutto il mondo, sebbene l infezione sia limitata a pochi computer Fa la sua apparizione Good Times, il primo grande hoax Viene creato Concept, il primo virus contenuto in un documento. 22

24 1998 CIH, detto anche Chernobyl, è il primo virus a paralizzare l hardware Melissa, un virus che si autoinvia per , si diffonde in tutto il mondo. Fa la sua comparsa Bubbleboy, il primo virus che riesce a infettare un computer, con la sola lettura di un Love Bug si afferma come il virus di maggior successo tra quelli che si trasmettono con la posta elettronica. Appare il primo virus per il sistema operativo Palm, sebbene nessun utente ne sia colpito Un virus che si spaccia da file contenente le foto della tennista Anna Kournikova infetta centinaia di migliaia di computer in tutto il mondo David L Smith, l autore di Melissa, viene condannato a 20 mesi di reclusione da un tribunale statunitense Il worm Blaster si diffonde su Internet sfruttando una vulnerabilità nella sicurezza del software Microsoft. Insieme al virus Sobig, che si diffonde anch esso con la posta elettronica, rende agosto 2003 il peggior mese in assoluto in fatto di virus I creatori delle famiglie di worm Netsky e Bagle si danno battaglia per la supremazia. 23

25 Scrivere virus è sempre sbagliato? La maggior parte delle persone considera i virus come una cosa dannosa, ma questa convinzione è assolutamente vera? 24 Molti virus sono innocui, o sono burle. Altri allertano gli utenti sulle falle nella sicurezza dei software. Alcuni sostengono che i virus potrebbero persino essere utili, per esempio per la distribuzione delle patch di sicurezza. Ma l idea dei virus innocui non è molto convincente. In primo luogo, i virus apportano modifiche sui computer degli utenti, senza il consenso di questi ultimi. Quest azione, considerata illegale in molti Paesi, è per lo meno contraria alla morale, qualunque ne sia l intento. Non è lecito interagire con il computer di un altro utente, come non lo è prendere in prestito un automobile senza chiederlo al proprietario, anche nel caso in cui si voglia semplicemente cambiare l olio al mezzo. In secondo luogo, non sempre i virus sortiscono l effetto desiderato dall autore. Un virus scritto non correttamente può causare dei problemi imprevisti. Anche se il virus è innocuo su un sistema, può essere dannoso su molti altri. In terzo luogo, i virus si diffondono in modo indiscriminato: l autore non ha alcun controllo sui destinatari. Proof-of-concept Talvolta i virus vengono scritti per dimostrare che è possibile creare un nuovo tipo di virus. Questi virus sono denominati proof-of-concept. Di solito non hanno alcun effetto e non vengono spediti ad altri utenti. Ricerca sui virus? Gli autori di virus si compiacciono nell affermare di condurre delle ricerche sui virus. Tuttavia, i virus sono scritti spesso in modo non corretto, vengono inviati ad utenti scelti a caso che non hanno il minimo sospetto, e non esiste modo per raccogliere i risultati. Quindi non si può certo parlare di ricerca.

26 Come si possono prevenire i virus? Con l adozione di semplici misure, gli utenti possono prevenire gli attacchi dei virus, o rimuovere i virus se hanno già infettato il loro computer. Per maggiori dettagli, consultare il capitolo Consigli per un uso più sicuro del computer. Sensibilizzate gli utenti sui rischi Spiegate agli utenti che corrono un rischio ogni volta che aprono un allegato di posta, che scaricano file da Internet, e ogni volta che scambiano dei dischetti. Usate un software antivirus e tenetelo sempre aggiornato I programmi antivirus rilevano i virus, e spesso li rimuovono. È consigliabile attivare sempre il controllo in accesso, se il software antivirus lo consente. Installate le patch di sicurezza Installate regolarmente le patch per il sistema operativo. Queste patch chiudono spesso le falle nella sicurezza del computer, che lo rendono vulnerabile ai virus. Utilizzate i firewall Un firewall impedisce l accesso non autorizzato alla rete, e fa sì che le informazioni confidenziali non trapelino all esterno a causa dei virus. 25

27 Come si possono prevenire i virus? Conservate sempre copie di backup di tutti i dati Tenete sempre a portata di mano delle copie di backup di tutti i dati e del software, ivi inclusi i sistemi operativi in uso. Se i file e i programmi vengono infettati da un virus, li si potrà sostituire con copie pulite. 26

28 Spam Ogni utente ha ricevuto almeno una volta un che offriva medicine senza obbligo di ricetta, prestiti, o l opportunità di arricchirsi rapidamente, mascherata così abilmente da sembrare un privata. Il cosiddetto spam rappresenta più della metà di tutta la posta inviata a livello mondiale, intasa le caselle di posta in entrata e distoglie l attenzione degli utenti dai messaggi veramente importanti. 27

29 28 Che cos'è lo spam? Lo spam è la posta commerciale non richiesta, l equivalente elettronico della pubblicità indesiderata che riempie le cassette delle lettere. Le tipologie più comuni di spam hanno per oggetto: farmaci vendibili solo dietro presentazione di ricetta medica, farmaci che ingrandiscono o migliorano alcune parti del corpo, rimedi alle erbe, o farmaci per perdere peso sistemi per arricchirsi rapidamente servizi finanziari, per esempio offerte di prestiti personali o di mutuo titoli, ovvero lauree, diplomi o qualifiche professionali acquistabili on line gioco d azzardo software pirata o a prezzo ridotto. Talvolta lo spam arriva mascherato, con un oggetto che sembra un messaggio personale, per esempio Scusa per ieri, o un messaggio di lavoro, per esempio Il tuo account deve essere rinnovato, oppure un messaggio di mancato recapito. Perché viene inviato lo spam? Lo spamming è un attività che genera profitti. Gli spammer possono inviare milioni di in una singola campagna a un costo irrisorio (e, se riescono a impadronirsi del computer di un altro utente per inviare la posta, il costo risulta ancora inferiore). Se anche un solo destinatario su diecimila effettua un acquisto, lo spammer ne ricava un profitto.

30 Spam: un vero problema? Lo spam non costituisce una minaccia per i dati, come i virus, ma può nuocere all attività di un azienda. Lo spam causa agli impiegati uno spreco di tempo. Gli utenti che non dispongono di una protezione antispam sono costretti a scartare lo spam dalla posta, e a cancellarlo. Può facilmente accadere che agli utenti sfugga la posta importante, o che la confondano con lo spam e la cancellino. Lo spam, come anche gli hoax e i virus nei messaggi , usa la banda larga e occupa spazio all interno dei database. Alcuni messaggi spam possono essere offensivi nei confronti degli utenti. I datori di lavoro potrebbero esserne ritenuti responsabili, poiché è previsto che debbano fornire al dipendente un ambiente di lavoro sicuro. Gli spammer usano spesso i computer di altri utenti, dirottandoli allo scopo di inviare i messaggi spam. Hijacking Gli spammer, spesso, dirottano i computer di altri utenti e li utilizzano per inviare lo spam. Le vittime di questo fenomeno, detto hijacking, senza volerlo, bombardano altri utenti con i messaggi spam. Gli spammer sono molto attenti a non farsi rintracciare, quindi è l azienda il cui computer è stato dirottato che riceve le lamentele e che subisce un danno di immagine. 29

31 Gli spammer sanno quando state leggendo i loro messaggi Gli spammer vogliono sapere chi riceve i loro messaggi e chi no, in modo tale da conoscere il target per la prossima campagna. Anche se non si risponde ai messaggi spam, gli spammer trovano sempre il modo per sapere se i messaggi sono stati ricevuti da qualche utente. Se il programma di posta è impostato in modo tale da visualizzare l anteprima dei messaggi (ovvero da mostrarne il contenuto in una finestra sotto la lista delle ), gli spammer sono in grado di sapere se l è stata ricevuta o meno. Cliccando su un link che consente di cancellare l abbonamento a una mailing list, si conferma agli spammer che l indirizzo è attivo. Gli spammer possono quindi vendere l indirizzo a terzi. Gli spammer possono inserire un web bug all'interno del messaggio , ovvero un link che collega al sito Web dello spammer, nel momento in cui il messaggio viene letto o visualizzato in anteprima. Se volete impedire che gli spammer sappiano che il loro messaggio è arrivato a destinazione, seguite i consigli contenuti nella sezione Come prevenire lo spam. 30

32 I software antispam I programmi antispam rilevano la posta indesiderata e impediscono che venga consegnata alle caselle della posta in entrata dei destinatari. Questi programmi utilizzano una combinazione di metodi per stabilire se un messaggio è spam: Bloccano la posta in arrivo da indirizzi presenti nella blacklist. In questo caso, si tratta di una lista generale (disponibile su Internet, per esempio), oppure di una lista locale di indirizzi dai quali, in passato, è stato spedito spam a un azienda. Verificano se la posta arriva da un dominio o da un indirizzo Web accettabili. Gli spammer utilizzano di solito degli indirizzi fasulli per tentare di eludere i programmi antispam. Ricercano parole o espressioni chiave che ricorrono nei messaggi spam (per esempio, carta di credito, perdita di peso ). Ricercano alcuni trucchi utilizzati dagli spammer per mascherare le parole chiave all interno del messaggio (per esempio, hardc*re p0rn ). Ricercano codici HTML superflui, utilizzati dagli spammer per nascondere i messaggi e confondere i programmi antispam. Il programma utilizza tutte le informazioni che riesce a trovare per stabilire le probabilità che un sia spam. Se la probabilità è abbastanza alta, blocca l o la cancella, a seconda delle impostazioni prescelte. 31

33 Il software adattivo Alcuni programmi antispam sono adattivi, ossia apprendono quali argomenti sono da considerare accettabili e quali no. Supponiamo che un azienda farmaceutica installi un software antispam. All inizio, il software tenta di rilevare lo spam cercando le seguenti parole chiave: credito, gratuito, debito, ipoteca, farmaci, ricetta, medicina, dottore. Il software blocca i messaggi che contengono un numero elevato di queste parole, ma consente ai singoli utenti di recuperare i messaggi che desiderano leggere. Qualcuno nel reparto ricerca scopre che la posta legittima sui nuovi farmaci è stata bloccata, e richiede che ne venga autorizzata la consegna. Il software apprende che l utente riceve spesso dei messaggi sui farmaci, e assegna quindi un peso minore alle parole correlate ai farmaci, quando analizza le probabilità che i messaggi siano spam. Nel reparto finanze gli utenti reclamano la posta contenente termini finanziari, quindi il software impara ad assegnare un peso minore a questo tipo di parole, continuando, però, a bloccare per questi utenti la posta relativa ai farmaci. 32

34 Può accadere che il software antispam blocchi le legittime? Molti utenti sono preoccupati che il software antispam cancelli la posta privata o utile. In realtà, la posta è al sicuro e, se lo si desidera, è possibile visualizzare lo spam bloccato. I programmi antispam possono essere molto precisi. Di solito, bloccano meno di un legittima su diecimila, o persino su centomila. Anche se il programma identifica erroneamente un legittima come spam, può essere configurato per metterla in quarantena, anziché cancellarla. L amministratore può quindi decidere se consegnare o cancellare il messaggio. Alcuni programmi consentono ad ogni singolo utente di decidere le sorti di ogni inizialmente bloccata dal programma. E se si vuole lo spam? Ciò che per alcuni utenti è spam, per altri potrebbe essere una lettura fondamentale. I dipendenti di un azienda finanziaria, per esempio, potrebbero essere interessati alle offerte della concorrenza. Oppure un produttore di software potrebbe voler sapere se gli spammer vendono una versione pirata del software stesso. Per fortuna, è possibile personalizzare alcuni programmi antispam, in modo tale che accettino lo spam ritenuto interessante. 33

35 I trucchi degli spammer Gli spammer sono costantemente alla ricerca di nuovi metodi per camuffare i propri messaggi e raggirare i software antispam. Ecco alcuni degli stratagemmi più comuni: Lost in space Gli spammer aggiungono alcuni spazi tra le lettere di una parola che vogliono nascondere, per esempio d r u g s, nella speranza che il software antispam non legga le lettere come una parola unica. Questo è comunque un trucco facile da scoprire. The black hole Gli spammer usano delle istruzioni HTML (il linguaggio utilizzato per scrivere le pagine web) per inserire uno spazio tra le lettere, e contemporaneamente impostano a zero le dimensioni dello spazio. Ecco ciò che vede il programma antispam: V<font size=0> </font>i<font size=0> </font>a<font size=0>&nbsp:</font>g <font size=0> </font>r<font size=0> </font>a Ed ecco ciò che vede l utente: Viagra 34

36 I trucchi degli spammer Inchiostro invisibile Gli spammer vogliono talvolta che l utente veda un messaggio, mentre il programma antispam ne vede un altro che non contiene tracce di spam. Utilizzano il linguaggio HTML per inserire un messaggio dall aspetto innocuo, ma dello stesso colore dello sfondo. Ecco ciò che vede il programma antispam: <body bgcolor=white> Viagra <font color=white>ciao, Johnny! È stato bello averti qui a cena. A presto, saluti Mamma</font></body> Ed ecco ciò che vede l utente: Viagra The microdot Gli spammer inseriscono una lettera in più al centro di una parola che vogliono camuffare, ma utilizzano un carattere di dimensioni ridottissime. Il programma antispam vede la lettera inserita e non è in grado di leggere correttamente la parola, ma il destinatario del messaggio legge solo i caratteri grandi. La ricevuta di ritorno Gli spammer inviano deliberatamente i messaggi ad indirizzi inesistenti, ma inseriscono nel campo del mittente l indirizzo di un utente esistente. L non può essere consegnata, quindi il server del service provider la rispedisce al mittente... ovvero all utente il cui indirizzo compare come mittente. 35

37 I trucchi degli spammer Il gioco dei numeri Uno spammer scrive una parola utilizzando uno speciale codice HTML per ogni lettera, anziché le comuni lettere. Per esempio, la lettera a può essere scritta digitando &#97. Ecco ciò che vede il programma antispam: V<font size=0> </font>i<font size=0> </font>a<font size=0> </font>g<font size=0> </font> r<font size=0> </font>&#97 Ed ecco ciò che vede l utente: Viagra Slice and dice Gli spammer utilizzano le tabelle in linguaggio HTML per organizzare il testo in picccole colonne verticali, come se il messaggio fosse stato messo nel distruggidocumenti. Ecco ciò che vede il programma antispam: 36 V i a g r a S a m p l e s F r e e Ed ecco ciò che vede l utente: Viagra samples free

38 Virus e spam Gli spammer e gli autori di virus uniscono talvolta le loro forze per creare agli utenti di posta problemi ancora maggiori. I virus possono creare nuove opportunità per lo spam. Un autore di virus può scriverne uno che consente ad altri utenti di assumere il controllo di un computer, senza che l utente legittimo se ne renda conto. Se il virus riesce a infettare un computer, invia un messaggio all autore del virus, che può quindi vendere la lista dei computer infetti a uno spammer, il quale la userà poi per inviare lo spam. Più del 30% dello spam viene inviato da computer dirottati. In questo modo, gli spammer mantengono una certa distanza da questa attività e sono più difficili da rintracciare. Gli spammer possono restituire il favore aiutando gli autori dei virus a diffondere i virus per posta elettronica. Un autore di virus potrebbe mettere in circolazione un virus, inviandolo per a un gran numero di utenti presenti nella lista degli indirizzi fornitagli da uno spammer. Dato l elevato numero di destinatari, è logico aspettarsi che una parte sostanziosa di essi attiverà il virus, assicurando una larga diffusione del virus stesso. Sembrano esserci delle prove della collusione tra spammer e autori di virus. Il virus Mimail-L, per esempio, ha tentato di lanciare un attacco Denial of Service contro alcuni siti antispam. 37

39 Come prevenire lo spam Utilizzate un software antispam Il software antispam consente di ridurre la posta indesiderata, specialmente se si basa sul feedback degli utenti per apprendere quali sono spam. Non effettuate mai acquisti da un non richiesta Effettuando un acquisto di questo tipo, finanziate lo spamming in futuro. Il vostro indirizzo potrebbe anche essere aggiunto alle liste che vengono vendute agli altri spammer, quindi rischiate di ricevere molte più spazzatura. E quel che è peggio, potreste persino essere vittima di una frode. Mittente ignoto? Cancellate il messaggio La maggior parte dello spam causa solo un fastidio, ma qualche volta i messaggi contengono dei virus che possono danneggiare il computer all apertura dell . Non rispondete allo spam e ignorate i link al suo iterno Se si risponde allo spam, anche solo per cancellare l abbonamento alla mailing list, si conferma che l indirizzo di posta è valido, incoraggiando gli spammer a spedire una maggiore quantità di messaggi. 38

40 Come prevenire lo spam Stop alle informazioni e alle offerte Quando compilate dei moduli su Internet, cercate la casella di controllo che consente di scegliere se accettare o meno di ricevere maggiori informazioni od offerte. Selezionate o delezionate la casella, se necessario. Non usate la modalità anteprima nel client di posta Molti spammer sono in grado di sapere quando viene visualizzato il messaggio, anche se non è mai stato aperto. L opzione anteprima, in realtà, apre il messaggio consentendo agli spammer di sapere se i loro messaggi sono giunti a buon fine. Quando controllate la posta, cercate di stabilire, in base all oggetto, se si tratta di spam. Uizzate il campo Bcc se inviate l a più persone Il campo Bcc, o copia nascosta, permette di nascondere ad altri utenti la lista dei destinatari. Se gli indirizzi vengono inseriti nel campo A, gli spammer potrebbero trovarli e aggiungerli alle proprie mailing list. Non fornite mail il vostro indirizzo su Internet Non pubblicate mai il vostro indirizzo sui siti Web, sui newsgroup o su altri forum pubblici. Gli spammer utilizzano dei programmi che navigano in Internet alla ricerca di indirizzi. 39

41 Come prevenire lo spam Date il vostro indirizzo solo a persone fidate Date il vostro indirizzo principale solo ad amici e colleghi. Usate uno o due indirizzi secondari Se compilate moduli su siti Web dai quali non desiderate ricevere ulteriori informazioni, utilizzate un indirizzo secondario. In questo modo proteggerete 40

42 Hoax e scam Se ricevete un che segnala un nuovo e pericoloso virus, che offre un telefono cellulare gratuito, o richiede di aggiornare i dati del vostro conto bancario, allora siete vittima di un cosiddetto hoax. Gli hoax possono interrompere il lavoro, sovraccaricare i sistemi di posta, o persino indurvi a fornire a truffatori le credenziali e le password personali. 41

43 Hoax Gli hoax sono falsi allarmi su virus inesistenti. Di solito si tratta di messaggi di posta che si comportano, in tutto o in parte, nel modo seguente: Segnalano la presenza di un virus altamente distruttivo che non può essere rilevato. Chiedono di non leggere i messaggi con un determinato oggetto, per esempio Join the Crew o Budweiser Frogs Fanno credere che l avvertimento provenga da uno dei principali produttori di software, da un Internet Provider o da un agenzia governativa, per esempio IBM, Microsoft e AOL. Fanno credere che il nuovo virus possa fare qualcosa di veramente improbabile. Il falso allarme denominato A moment of silence sosteneva, per esempio, che non era necessario alcun trasferimento di file, affinché un nuovo computer venisse infettato. Usano il gergo tecnologico per descrivere gli effetti del virus. Good Times, per esempio, sostiene che il virus possa portare il processore in un ciclo binario infinito di ennesima complessità. Spingono l utente a inoltrare l avvertimento. Hoax oppure no? Il primo di aprile 2000 cominciò a circolare un intitolata Rush-Killer virus alert. Il messaggio ammoniva contro l esistenza di alcuni virus che compongono il 911 (il numero di emergenza negli USA), esortando gli utenti a inoltrare il messaggio con urgenza. L presentava tutte le caratteristiche di un hoax, ma il virus era reale. È difficile distinguere un hoax da un avvertimento reale. Utili consigli sono contenuti nella sezione Come prevenire gli hoax.

44 Perché gli hoax sono un problema? Gli hoax possono essere distruttivi e costosi come i veri virus. Se gli utenti inoltrano l hoax a tutti gli amici e colleghi, causano un diluvio di , che sovraccarica i server di posta, determinando il crash dei sistemi. Gli effetti potrebbero essere simili a quelli del virus Sobig, senza che l autore dell hoax abbia avuto bisogno di scrivere un programma. Non sono solo gli utenti finali a reagire in modo eccessivo. Le aziende che ricevono gli hoax adottano spesso delle misure drastiche, come la disattivazione del server di posta o l arresto della rete. Ciò paralizza le comunicazioni in modo più efficace di molti virus veri e propri, impedendo l accesso ai messaggi che potrebbero essere veramente importanti. I falsi allarmi, inoltre, distolgono l attenzione dai veri virus. Anche gli hoax possono essere molto persistenti. Poiché gli hoax non sono virus, il software antivirus non riesce a rilevarli o a disabilitarli. Gli hoax possono ispirare nuovi virus? Un hoax può ispirare un vero virus, o viceversa. Dopo il clamore suscitato dall hoax Good Times, alcuni autori di virus aspettarono che le acque si calmassero per poi scrivere un vero virus con lo stesso nome (alcuni vendor lo chiamano GT-Spoof). 43

45 Page-jacking Con page-jacking si intende l uso di repliche di pagine Web rispettabili, che godono di una certa reputazione, per irretire gli utenti e reindirizzarli su altri siti Web I page-jacker copiano le pagine da un sito Web rispettabile e le inseriscono in un nuovo sito che sembra essere legittimo. Registrano questo nuovo sito sui principali motori di ricerca, affinché gli utenti, effettuando una ricerca e seguendo i link di risposta, vengano reindirizzati sul sito creato ad hoc. Quando gli utenti vi arrivano, vengono automaticamente reindirizzati su un altro sito contenente la pubblicità o le offerte di servizi diversi da quelli ricercati. Il fenomeno del page-jacking disturba gli utenti e li mette talvolta di fronte a materiale offensivo. Inoltre riduce il fatturato dei siti legittimi e ridimensiona l utilità dei motori di ricerca. In alcuni casi, il page-jacking può essere utilizzato per il phishing (pagina seguente). Non è possibile essere colpiti dal fenomeno del page-jacking, se si utilizza un collegamento dei Preferiti, oppure se si digita l indirizzo del sito Web nell apposita barra. Mouse-trapping Se si è reindirizzati su un sito Web fantasma, e si scopre che non è possibile uscirne usando i pulsanti del browser Indietro o Termina, si è vittima del cosiddetto mouse-trapping. Per uscire dal sito, digitate un indirizzo nell apposita barra, utilizzate un segnalibro, oppure aprite la cronologia e selezionate il penultimo indirizzo. Per riacquistare l uso dei pulsanti Indietro e Termina, chiudete il browser o riavviate il computer.

46 Phishing Il phishing è l uso di e di siti Web fantasma per indurre gli utenti con l inganno a fornire informazioni confidenziali o personali. Di solito l utente riceve un che sembra provenire da un azienda rispettabile, per esempio una banca. Il messaggio contiene in apparenza un link al sito Web dell azienda. Tuttavia, se si segue il link, si viene reindirizzati a una replica del sito. Tutti i dati inseriti, come numeri di conto, PIN o password, possono essere rubati e utilizzati dagli hacker che hanno creato il sito fantasma. È necessario sempre stare all erta contro i link inviati all interno dei messaggi . Invece di utilizzare questi link, è consigliabile inserire l indirizzo Web nell apposita barra, oppure utilizzare uno dei collegamenti dei Preferiti, per essere certi di collegarsi al sito originale. Il software antispam consente di bloccare anche i messaggi di phishing. 45

47 Le catene di Sant Antonio La lettera di una catena di Sant Antonio elettronica è un messaggio che esorta a inoltrare urgentemente delle copie del messaggio ad altre persone. I tipi principali di lettere delle catene di Sant Antonio sono: 46 Hoax. Alcune di queste lettere hanno ammonito contro attacchi terroristici, contro i cosiddetti scam riguardanti i numeri a tariffa maggiorata, e contro i furti ai bancomat. In tutti i casi, si trattava di falsi allarmi o leggende metropolitane. Fake freebies. Alcune lettere pubblicizzano falsamente delle compagnie che offrono voli aerei gratuiti, telefoni cellulari gratuiti, o ricompense in denaro per l inoltro dei messaggi . Petizioni. Si tratta di solito di petizioni contro le proposte di legge. Seppur autentiche, continuano a circolare per molto tempo dopo la data di scadenza. Joke e prank. La lettera Internet cleaning annunciava la chiusura di Internet per manutenzione il primo di aprile. Queste lettere sono un vero problema? Le catene di Sant Antonio non rappresentano una minaccia alla sicurezza, ma possono: Causare uno spreco di tempo e distogliere l attenzione degli utenti dalla posta legittima. Creare un traffico di posta non necessario, rallentando i server di posta. Diffondere informazioni non corrette. Incoraggiare le persone a inviare messaggi a certi indirizzi, in modo tale da sommergerli di posta non richiesta.

48 Come prevenire gli hoax Adottate un politica aziendale sugli allarmi virus Mettete in atto una politica aziendale sugli allarmi virus: Non inviate allarmi virus di alcun genere a NESSUN altra persona all infuori del responsabile per i sistemi informativi. Non importa se gli allarmi provengono da un produttore di software antivirus, o se sono stati confermati da una grande azienda informatica, o dal proprio migliore amico. TUTTI gli allarmi virus devono essere inviati soltanto al responsabile dei sistemi informativi, il cui compito sarà quello di avvertire gli utenti dell azienda nel caso in cui la minaccia sia concreta. Gli allarmi provenienti da altre fonti devono essere ignorati. Tenetevi informati sugli hoax Tenetevi informati sugli hoax, visitando la pagina dedicata ai falsi allarmi sul nostro sito Web: Non inoltrate messaggi a catena Non inoltrate messaggi a catena, anche se offrono ricompense, o fanno credere di distribuire informazioni utili. Non fidatevi dei link contenuti nella posta non richiesta Se volete visitare il sito Web della vostra banca, o qualsiasi sito nel quale inserite delle password o delle informazioni confidenziali, non seguite i link contenuti nei messaggi non richiesti o nei newsgroup. Inserite l indirizzo nell apposita barra, oppure utilizzate uno dei collegamenti dei Preferiti. 47

49

50 Consigli per un uso più sicuro del computer Oltre all uso di un buon software antivirus, esistono tante misure semplici da attuare per proteggere un azienda e i suoi utenti dai virus e dai worm. Ecco il decalogo per un uso più sicuro del computer. 49

51 Consigli per un uso più sicuro del computer Non avviate programmi o file non richiesti Se non siete certi che un programma o un documento non contenga virus, supponete che sia infetto. Avvertite gli utenti nella vostra azienda di non scaricare da Internet programmi e documenti non autorizzati, compresi gli screensaver o i programmi passatempo. Mettete in atto una politica che imponga che l installazione dei programmi debba essere autorizzata da un responsabile dei sistemi informativi dopo un controllo antivirus. Non usate documenti in formato.doc e.xls Salvate i documenti Word come file RTF e i fogli Excel come file CSV. Questi formati non supportano le macro, quindi non possono diffondere i virus di documento. Avvertite gli altri utenti di inviarvi solo file con estensione RTF e CSV. Siate comunque prudenti. Alcuni virus di documenti mascherano il formato dei file. Per essere assolutamente sicuri, utilizzate solo file di testo. Usate le patch per chiudere i buchi nella sicurezza 50 Controllate regolarmente le news sulla sicurezza e scaricate le patch necessarie. Queste patch correggono spesso le vulnerabilità nella sicurezza dei sistemi operativi, che li espongono al rischio di virus e Internet worm. I responsabili dei sistemi informativi dovrebbero essere iscritti alle mailing list delle principali aziende produttrici di software, come per esempio Microsoft ( Gli utenti privati in possesso di computer con sistemi operativi Windows possono visitare il sito Microsoft windowsupdate.microsoft.com, sul quale è possibile ricercare eventuali vulnerabilità nella sicurezza del proprio PC e scaricare le patch per correggere i problemi rilevati.