IT Security / 2 - Malware

Transcript

1 IT Security / 2 - Malware prof. Salvatore Dimartino

2 IT Security Tipi e metodi prof. Salvatore Dimartino

3 2.1.1 Comprendere il termine malware malware. Riconoscere diversi modi con cui il malware si può nascondere nei computer, quali: trojan, rootkit e backdoor. Malware indica quella famiglia di software maligni progettati per installarsi su un computer senza il permesso dell utente, per procurare un utile al suo creatore, utile che quasi sempre arreca danni all incauto utente, al suo sistema e ai suoi dati. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato di "programma malvagio. Pertanto, bisogna avere consapevolezza dei rischi che si corrono se il proprio sistema viene «infettato» da uno o più malware. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 3

4 2.1.1 Comprendere il termine malware malware. Riconoscere diversi modi con cui il malware si può nascondere nei computer, quali: trojan, rootkit e backdoor. Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore; non possiedono funzioni di autoreplicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia. Rootkit: i rootkit solitamente sono composti da un driver e, a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan. Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 4

5 2.1.2 Riconoscere i tipi di malware infettivo e comprendere come funzionano, ad esempio virus e worm. I malware di tipo infettivo sono noti più per il modo in cui si diffondono che per il loro comportamento specifico. In questa classe troviamo: Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite: allegati di posta elettronica, scambio di CD/chiavette infette, installazione di software illegali scaricati da Internet. Una sottocategoria è costituita dai macro virus, che possono inserirsi, ad esempio, nei programmi di Office, sotto forma di macro. I danni provocati possono essere danneggiamento o cancellazione di programmi o di archivi, esecuzione di operazioni non previste, segnalazione di guasti inesistenti, rallentamento delle prestazioni del computer Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando la rete interna di una organizzazione o la rete Internet. Il loro scopo è rallentare il sistema con operazioni inutili o dannose. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 5

6 2.1.3 Riconoscere i tipi di malware usati per furto di dati, profitto/estorsione e comprendere come operano: adware, ransomware, spyware, botnet, keylogger e dialer. Alcuni tipi di malware sono usati per il furto di dati e per operazioni di estorsione. Adware - pacchetto software gratuito che esegue, visualizza o scarica automaticamente annunci pubblicitari su un computer; possono causare danni quali rallentamenti del computer e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto. Spyware - software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato; le informazioni carpite possono andare dalle abitudini di navigazione fino alle password di un utente. Botnet - è una rete formata da computer collegati ad Internet e infettati da malware, rete controllata da un'unica entità, il botmaster. A causa di falle nella sicurezza, i dispositivi vengono infettati da malware che consentono ai loro creatori di controllare il sistema da remoto. I botmaster possono sfruttare i sistemi compromessi per scagliare attacchi contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 6

7 2.1.3 Riconoscere i tipi di malware usati per furto di dati, profitto/estorsione e comprendere come operano: adware, ransomware, spyware, botnet, keylogger e dialer. Keylogger (keystroke logger) sono programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati; in genere vengono installati sul computer dai trojan o dai worm; in altri casi il keylogger è installato sul computer da un altra persona per monitorare (illegalmente) l utente. Dialer - Programma malevolo che viene installato su un computer e che cerca di chiamare località lontane attraverso servizi telefonici internazionali molto costosi. Il dialer non funziona nel caso di collegamenti fissi, come ad esempio le linee ADSL. Ransomware: limitano l'accesso del dispositivo che infetta; alcune forme di ransomware bloccano il sistema e intimano all'utente di pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 7

8 IT Security Protezione prof. Salvatore Dimartino

9 2.2.1 Comprendere come funziona il software antivirus e quali limitazioni presenta. Gli anti-virus sono programmi prodotti allo scopo di rilevare, prevenire ed eventualmente rimuovere vari tipi di malware che attentano alla sicurezza dei computer, delle reti, dei dati e, in generali, dei sistemi informatici. Il software anti-virus esegue delle scansioni, in memoria e nei dischi, per rilevare e bloccare i virus prima che infettino il sistema. Ogni malware ha uno schema tipico di funzionamento, una sorta di DNA del malware. L antivirus ha una sua banca dati di tracce virali, pertanto controlla il contenuto di file e programmi alla ricerca di tali tracce virali e, se vengono individuate, attiva l azione correttiva. I limiti degli anti-virus: l anti-virus deve essere aggiornato costantemente con le definizione dei virus (tracce virali), altrimenti perde di efficacia sui nuovi virus; riconosce solo i malware presenti nel suo archivio di virus che, sebbene sia vasto, non contiene le definizioni di tutti i malware in circolazione; non sempre è in grado di bloccare gli attacchi che sfruttano vulnerabilità o problemi di sicurezza del sistema operativo; in alcuni casi l anti-virus può fornire falsi positivi, lasciando all utente la responsabilità di proseguire o meno il lavoro. Nessun antivirus è in grado di garantire il 100% di protezione. Quindi è necessario disporre di un piano di backup, da utilizzare frequentemente, per essere sicuri di poter recuperare i dati dopo un eventuale infezione con perdita parziale o totale di dati. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 9

10 2.2.2 Comprendere che il software antivirus dovrebbe essere installato su tutti i sistemi informatici Windows è il sistema operativo più diffuso per i personal computer. Per questo motivo e anche per alcune sue caratteristiche funzionali, molti malware sono realizzati per attaccare tali sistemi. Ma anche i sistemi Linux e Mac OS sono soggetti ad attacchi di malware, anche se in misura più limitata. Un discorso analogo può essere fatto per i dispositivi mobili. Anche in questo caso, la loro enorme diffusione ha stimolato i pirati informatici a sviluppare malware specializzato per questi sistemi. Esistono due pratiche che consentono di rimuovere tutti i vincoli presenti su un sistema operativo mobile: il Jailbreak per i sistemi IOS (Apple) e il Rooting per i sistemi Android. Effettuando queste attività l'utente può eseguire qualsiasi programma, anche se non approvato, e le App sono libere di agire con i massimi privilegi, compresi quelli per modificare file e impostazioni a proprio piacimento. Ne consegue l esigenza di proteggere con programmi antivirus tutti i sistemi informatici, anche i dispositivi mobili, in modo da neutralizzare il maggior numero possibile di infezioni da malware. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 10

11 2.2.3 Comprendere l importanza di aggiornare regolarmente vari tipi di soft- ware, quali: antivirus, browser web, plug-in, applicazioni, sistema operativo. Bisogna ricordare che l'antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, ossia quelli presenti nel database dei malware dell'antivirus, questo non vale necessariamente per antivirus che utilizzano tecnologie euristiche che però non sono affidabili al 100% (falsi positivi). Quindi tutti i nuovi virus, ovvero sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati scoperti, possono passare completamente inosservati e non essere rilevati dall'antivirus. Per limitare i rischi occorre aggiornare continuamente il proprio antivirus per evitare che malware già riconosciuti, cioè già immessi nella lista del database online del software, non siano riconosciuti e quindi possano infettare il proprio computer e, tramite esso, la rete locale a cui si è collegati e i propri contatti presenti nella rubrica del programma di posta elettronica. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 11

12 2.2.3 Comprendere l importanza di aggiornare regolarmente vari tipi di soft- ware, quali: antivirus, browser web, plug-in, applicazioni, sistema operativo. È bene aggiornare altri software in modo da migliorare le difese agli attacchi virali: Browser porre rimedio alle falle via via scoperte per garantire una maggiore efficacia nella difesa da virus, trojan horse, spam, phishing durante la navigazione. Plug-in programmi «trasparenti» per l utente che che garantiscono servizi essenziali quali Flash Player, Java, Real Player, Adobe Acrobat, Adware block. Applicativi anche gli applicativi possono essere soggetti ad attacchi da malware, quindi devono essere aggiornati quando vengono rilasciate le nuove release. Sistema operativo rappresenta il software più importante per il funzionamento del computer ma anche il più complesso e, pertanto, soggetto a «bug»; molti malware basano le loro strategie di attacco proprio su queste falle del sistema operativo, pertanto è necessario aggiornare costantemente il sistema per porre rimedio a tali carenze non appena vengono individuate e corrette. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 12

13 2.2.4 Eseguire scansioni di specifiche unità, cartelle, file usando un software antivirus. Pianificare scansioni usando un software antivirus. L attività di controllo dell anti-virus avviene costantemente durante tutte le operazione al computer, tuttavia è buona norma scansionare manualmente dischi, cartelle e file onde escludere ogni possibilità di infezione. Inoltre, è possibile pianificare scansioni periodiche di dischi o dell intero sistema, ad esempio effettuandole durante i periodi di inattività del computer. Le due procedure presentate variano a seconda dell anti-virus; in generale si possono fornire i passaggi da eseguire: procedura manuale: selezionare il disco, la cartella, il file clic sull apposito icona/pulsante o clic destro su Avvia scansione procedura pianificata: selezionare giorno e ora di attivazione scegliere cosa sottoporre a controllo, normalmente tutto il sistema Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 13

14 2.2.5 Comprendere i rischi associati all uso di software obsoleto e non supportato, quali: maggiori minacce da parte del malware, incompatibilità. Nel punto si è già detto che per difendere il software dal malware è opportuno tenere sempre aggiornati i browser, plug-in, programmi usati e sistema operativo. Per tutte queste categorie di software gli aggiornamenti sono disponibili solo per le versioni più recenti. Le vecchie versioni non sono più supportate dai produttori e, quindi, non vengono effettuati gli aggiornamenti necessari per una protezione efficace. Inoltre, le vecchie versioni di un programma possono essere non compatibili con altri programmi con i quali devono interagire. Per questo motivo non è bene usare programmi obsoleti e per i quali non sono garantiti l aggiornamento e la manutenzione: ad esempio MS-Windows XP. Sistemi operativi successivi, anche se ormai fuori mercato, continuano ad essere supportati dal fornitore con aggiornamenti periodici, ad esempio ogni mese, garantendo la correzione di vulnerabilità relative alla sicurezza. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 14

15 IT Security Risoluzione e rimozione prof. Salvatore Dimartino

16 2.3.1 Comprendere il termine quarantena e l effetto di messa in quarantena di file infetti/sospetti. Il malware può infettare tutti i tipi di file, pertanto il programma antivirus: o in alcuni casi riesce a eliminare il codice virale e a ripristinare il file; o in altri casi questa operazione non è possibile, pertanto le soluzioni sono si elimina il file - in questa ipotesi se si tratta di un applicativo questo va reinstallato mentre se si tratta di file dati questi vanno recuperati dal backup; Nella cartella Modulo5: prova a scompattare il file eicar2.zip e ad eseguire il file in esso contenuto! si mette in quarantena - ovvero per evitare di eliminare file infetti ma "insostituibili" l'antivirus li isola collocandoli in un'apposita cartella gestita solo dall'antivirus, in questo modo i file non possono essere attivati né aperti, si possono solo cancellare o provare a disinfettare in seguito, se il nuovo aggiornamento dell antivirus riesce a farne la disinfezione. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 16

17 2.3.2 Mettere in quarantena, eliminare file infetti/sospetti. Nel caso in cui il programma antivirus non riesce a «ripulire» il file dal malware chiede all utente cosa fare, ovvero se eliminare il file o se metterlo in quarantena. In quarantena possono essere messi anche file sospetti anche se non riconosciuti come malware. In quarantena normalmente un file viene conservato per un periodo di tempo limitato e successivamente cancellato automaticamente. La gestione dei file in quarantena (in inglese vault) viene fatta con il programma antivirus. In questo programma si può accedere alla funzione quarantena e operare sui file, effettuandone la cancellazione o il ripristino. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 17

18 2.3.3 Comprendere che un attacco da malware può essere diagnosticato e risolto usando risorse online quali: siti web di sistemi operativi, antivirus, fornitori di browser web, siti web di autorità preposte. Tra i tanti servizi che il web fornisce c è anche quello di scansione online per controllare la presenza di malware. In genere le caratteristiche di questi servizi sono: semplicità d uso, limitato uso delle risorse del sistema controllato, aggiornamento continuo garantito, prevedono la scansione intera del sistema o solo di cartelle specifiche indicate dall utente. Inoltre in caso di necessità puoi controllare il file sospetto con più antivirus online. Il servizio può essere fornito da siti specializzati (i produttori di antivirus) o anche da alcuni siti web ufficiali di sistemi operativi, di browser o di autorità di controllo. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 18

19 2.3.3 Comprendere che un attacco da malware può essere diagnosticato e risolto usando risorse online quali: siti web di sistemi operativi, antivirus, fornitori di browser web, siti web di autorità preposte. Confronto fra gli anti-malware online e quelli installati. Vantaggi: o forniscono un metodo alternativo per fronteggiare una minaccia esistente; o usano semplici interfacce con poche scelte; o non richiedono aggiornamenti Svantaggi: o possono solo rimuovere ciò che ha già infettato il computer; o possono richiedere di installare un componente ActiveX; o possono richiede l uso di un browser specifico; o possono non rimuovere tutte le minacce; o non sempre sono in grado di selezionare cartelle/unità che si desidera scansionare; o possono non eseguire la scansione di tutti i tipi di file; Altre limitazioni: o alcuni siti individuano il malware ma solo il prodotto commerciale li rimuove; o altri siti individuano il malware e forniscono indicazioni su come cercare il remover ; o alcuni siti richiedono la presenza di Java; o altri siti raccolgono informazioni sull utente e non solo sul malware rilevato. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 19

20 Cosa fare e cosa non fare. quando si naviga in internet evitare il più possibile di scaricare file eseguibili e soprattutto di eseguirli senza avere la certezza assoluta che la fonte sia attendibile; se l'antivirus dichiara che non ha rilevato nessun virus sul binario scaricato, questo non vuole dire che non è contagiato, ma semplicemente che l'antivirus non ha rilevato nulla che per lui è sospetto: potrebbe esserci un virus nuovo o magari l'antivirus non è aggiornato; quando si naviga in internet evitare di scaricare add-on ai propri programmi di navigazione se non si è molto sicuri della fonte; quando si naviga in internet evitare di andare su siti sospetti, in particolare siti che offrono gratis contenuti che normalmente sono a pagamento, perché molte volte queste pagine cercano di sfruttare «buchi» presenti nel proprio browser per installarvi un virus, reperire informazioni salvate sul PC o semplicemente permettere al cracker che ha costruito quel sito di prendere possesso da remoto del vostro computer; evitare di eseguire programmi non originali o per cui non è possibile controllare la non compromissione; Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 20

21 Cosa fare e cosa non fare. quando si riceve una da uno sconosciuto, soprattutto se ha allegati, è sempre meglio eliminarla subito senza aprire né il messaggio né meno che mai l'allegato; se la mail arriva da un conoscente ed ha un messaggio o un allegato non previsto chiedere conferma se l'ha spedito effettivamente lui; quando si ricevono mail con allegati file eseguibili, anche se spediti da un proprio conoscente, conviene sempre evitare di eseguirli; è meglio perdersi un "giochino" divertente che vedere il proprio computer compromesso da tale giochino e doverlo reinstallare o far reinstallare da zero, magari perdendo tutti i lavori in esso contenuti; in Ms-Office, abilitare la conferma per l'esecuzione delle macro, in questo modo sarà possibile sapere se il file contiene delle macro ed impedirne l'esecuzione; eseguire e controllare costantemente gli aggiornamenti per tutti i prodotti che si connettono direttamente alla rete (sistema operativo, browser, client di posta, client di messaggistica, Skype, ecc...) mantenere sempre aggiornati antivirus, firewall ed altri programmi per la sicurezza. Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 21

22 Bufale o fatti reali? Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 22

23 FINE IT Security / 2 - Malware Nuova ECDL - IT Security 2 PROF. SALVATORE DIMARTINO 23