Codice malizioso. Corso di Sicurezza su reti Codice malizioso. Codice malizioso

Documenti analoghi
Codice malizioso. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno

Codice malizioso. Codice malizioso. Il termine Virus. Codice malizioso. Ciclo di vita di un virus. Ciclo di vita di un virus

Codice malizioso. Codice malizioso. Il termine Virus. Codice malizioso

Le sue caratteristiche:

COME SI CREA? Creare "Virus" in BATCH (Virus vecchio stampo)


MALWARE. 3/04/2010 Giuseppe Tamanini 1 di 22

La sicurezza Malware Seconda parte. Giselda De Vita

INTERNET Ing. Giovanni Pozzi

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Corso di Sistemi di Eleborazione Prof. N. Mazzocca

I pericoli della rete. Corso di formazione per incaricati del trattamento dei dati personali

Il Malware (1) malware software computer malicious software malware

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Si parla di sicurezza e protezione in vari ambiti perché soventemente ricorrono gli estremi per il loro intervento.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Programmazione in Rete

Le basi 1 Che cos' Windows? 1 Novità di Windows 95 2 Operazioni più veloci 2 Menu di Avvio 2 Barra delle applicazioni 2 Risorse del computer 3

Sommario. Virus. Il termine virus. Virus: definizione ? = Introduzione Tipi di virus Tecniche di difesa Virus famosi Hoax. Definizione e fenomenologia

Capitolo X Esercitazione n. 10: Word e HTML

NAVIGARE SICURI: LE TRAPPOLE DI INTERNET

Anatomia del Denial of Service

RETI DI CALCOLATORI Home Work ritardi e livello applicativo

INTERNET Ing. Giovanni Pozzi

Ripristino invio su Windows 10 Fall Update (v1709) e MS Outlook 2016

Universita di Milano - Polo di Crema Novembre Spoofing. Marco Cremonini 1. Marco Cremonini - Corso Integrativo Network Security 1

Tipologie e metodi di attacco

Elementi sull uso dei firewall

Crittografia a chiave pubblica

Sicurezza su Reti. Per Favore. Orari Corso. Orari di ricevimento. Mercoledì 11:00-14:00. Mercoledì 15:30-17:30. Venerdì 12:00-13:00

Componenti di un sistema operativo

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Network Intrusion Detection

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

Confidenzialità e crittografia simmetrica. Contenuto. Scenario tipico. Corso di Sicurezza su Reti Uso della crittografia simmetrica

Le reti di calcolatori

Tecnologia dell Informazione

51) Linux è: A) un sistema operativo B) una periferica C) un applicazione

Windows XP e violazione norma sulla privacy

Il software: Istruzioni per il computer

Sicurezza nelle applicazioni multimediali: introduzione al corso. Anyone here not speaking Italian?

Http e Https. http usa la porta 80. Perciò è nato https - usa la porta 443

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Sicurezza. Sistemi Operativi 17.1

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

- Dispensa VI - RETI DI CALCOLATORI

9 - Array. Programmazione e analisi di dati Modulo A: Programmazione in Java. Paolo Milazzo

Fac-simile TVI Informatica Facoltà di Economia Università degli studi di Bergamo

BOLLETTINO DI SICUREZZA INFORMATICA

Informatica. Dipartimento di Economia. Ing. Cristiano Gregnanin. 8 novembre Corso di laurea in Economia

Collegamento dati per accesso ad Internet. Informatica Generale (CdL in E&C), A.A Informatica Generale (CdL in E&C), A.A.

Sicurezza Documentale a.a. 2017/2018 DOCENTI: DOTT.SSA VALERIA FIONDA DOTT. GIUSEPPE PIRRÒ

Mozy Backup Desktop DATI PROTETTI E SEMPRE A DISPOSIZIONE NEL CLOUD TNOTICE, LA RACCOMANDATA ELETTRONICA

CORSO NTD STRUMENTI. Luca Salvini MULTIMEDIALITÀ NELLA DIDATTICA MARZO 1999 PER LA COMUNICAZIONE E LA COOPERAZIONE:

Sicurezza ai vari livelli

VIRUS E I METODI DI ATTACCO ALLA SICUREZZA AZIENDALE. come i codici malevoli entrano nelle nostre reti

Struttura di un applicazione Instant Developer

Sicurezza. Autenticazione

INTERNET Ing. Giovanni Pozzi

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Mariarosaria Napolitano. Architettura TCP/IP. Corso di: Laboratorio di tecnologie informatiche e telematiche

Modulo 1 Information Communication Technology. ICT e computer... Pag. 6 Classificazione dei computer...» 8

Le reti rete La telematica telematica tele matica Aspetti evolutivi delle reti Modello con mainframe terminali Definizione di rete di computer rete

WP5. 9 Settembre Paolo Veronesi (INFN CNAF)

IT Security 2. I principali tipi di malware possono essere classificati in tre categorie:

CACCIA AL VIRUS! SAPER RICONOSCERE ED ELIMINARE VIRUS CARATTERISTICHE - TIPI PROTEZIONE

La sicurezza delle informazioni

La diffusione dei virus informatici nel mondo ad Agosto 2001 in base alla percentuale di infezioni sul totale

UTEAP Università della Terza Età e del tempo libero di Ascoli Piceno

Sicurezza in Informatica

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

Se due computer sono sulla stessa rete Sappiamo come possono fare per scambiarsi datagram Usano gli indirizzi fisici

Insegnamento di Informatica CdS Scienze Giuridiche A.A. 2007/8. La sicurezza

L hardware da solo non è sufficiente per il funzionamento dell elaboratore È necessario introdurre il software:

CACCIA AL VIRUS! SAPER RICONOSCERE ED ELIMINARE VIRUS. R.Remoli

Architetture di rete. 4. Le applicazioni di rete

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

1 Concetti di base... 3

Universita di Milano - Polo di Crema Novembre Session Hijacking. Marco Cremonini 1. Marco Cremonini - Corso Integrativo Network Security 1

Guida alla Configurazione del Client di posta Microsoft Outlook 2003

PASW Statistics per Windows - Istruzioni di installazione (Licenza di rete)

COME PROTEGGERE L AZIENDA NELL ERA DEL RANSOWMARE? Claudio Panerai, CTO

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza di rete)

PROGRAMMAZIONE DIDATTICA INDIVIDUALE (Parte 2 a )

Lezione 6 Analisi del codice

Definizione di sicurezza. Sicurezza in Informatica. Sicurezza per il singolo utente. Panoramica. Per sicurezza si intende la protezione delle risorse

Configurazione RE/MAX

Archivia Plus Conservazione digitale dei documenti

MINIMANUALE VBA PER CREARE MACRO NEI FOGLI EXCEL

Nell oscuro mondo dei Malware

1) Una periferica di input è: A) il mouse B) il monitor C) la stampante

IC Don Milani Latina. Alfabetizzazione Informatica. Prof. Giuseppe Patti

Le Reti Informatiche

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Gestione dei File e delle cartelle Lunedì 28 Gennaio 2013 dalle ore 14,30 alle 16,00

Come installare una rete locale - lan. Scritto da Administrator Venerdì 29 Agosto :47 -

VIRUS: MYDOOM. Mydoom è un worm che si diffonde attraverso la posta elettronica in un messaggio con

7 - Programmazione procedurale: Dichiarazione e chiamata di metodi ausiliari

14Ex-Cap11.qxd :20 Pagina Le macro

Transcript:

Codice malizioso Barbara Masucci Dipartimento di Informatica ed Applicazioni Università di Salerno masucci@dia.unisa.it http://www.dia.unisa.it/professori/masucci Codice malizioso Dopo una violazione del sistema, un intruso potrebbe installare del codice per sottrarre dati riservati muovere attacchi verso altre macchine Tale codice può anche sostituire comandi di sistema Sostituzione di sendmail con una nuova versione che memorizza in un file i messaggi inviati dall utente Sostituzione di ls con una nuova versione che non visualizza il file creato dal sendmail fasullo Codice malizioso Altro metodo per l installazione o esecuzione di software malizioso su una macchina indurre un utente/amministratore a scaricarlo dalla rete ed eseguirlo (anche inconsapevolmente) Un applicazione tipica di questo approccio sono i Virus Programmi che penetrano in un programma ospite modificandolo, per riprodursi e danneggiare dati e/o programmi 1

Il termine Virus David Gerrold, 1972 Nel libro When Harlie Was One viene descritto un programma chiamato virus creato da uno scienziato pazzo Il computer infettato provava a contattare un altro computer via telefono Entrava in quel sistema e lo infettava con una sua copia Si infiltrava nel software di sistema e lo rallentava fino a renderlo inutilizzabile Antivirus Vaccine creato dall inventore a scopo di lucro Fred Cohen Il primo a definire in modo formale il concetto di virus "... a program that can infect other programs by modifing them to include a possibly evolved copy of itself " Software Malizioso Virus e simili Backdoor Punto di accesso segreto in un programma sfruttabile per acquisire l accesso al sistema Utilizzate dai programmatori per test e debug di programmi Attivate con particolari sequenze di input Bomba logica Codice incluso in un programma legittimo Configurata per esplodere in particolari condizioni Una volta innescata, può compiere azioni dannose Zombie Programma che assume segretamente il controllo di altri computer in rete I computer controllati sono usati per attacchi che non consentono di identificare il responsabile Esempio: DoS (Denial of Service) 2

Virus e simili Cavallo di Troia Programma apparentemente legale che contiene istruzioni che realizzano funzioni non richieste dell utente (anche dannose) Worm Programma che si ricopia su reti di computer sfruttando bug del sistema operativo Non necessita di un programma portatore Virus Porzioni di codice autoreplicante Boot virus, macrovirus, etc Virus: Classificazione o Innocui o Non alterano le operazioni del computer o Il risultato della loro propagazione comporta solo una diminuzione dello spazio libero sul disco o Non dannosi o La loro influenza si manifesta solo con una diminuzione dello spazio libero sul disco, col mostrare grafici, suoni o altri effetti multimediali Virus: Classificazione o Dannosi o Possono causare problemi alle normali operazioni del computer o Cancellazione di alcune parti dei file o Molto dannosi o Provocano danni difficilmente recuperabili o Distruzione dei programmi o Cancellazione di informazioni vitali per il sistema o Formattazione di porzioni del disco 3

Ciclo di vita di un virus Creazione Fase in cui lo sviluppatore progetta, programma e diffonde il virus Incubazione Il virus controlla che il file o il sistema da infettare sia libero da infezioni Infezione Se l'infezione non è attiva sullo stesso sistema, allora il virus infetta il file e di conseguenza il sistema Ciclo di vita di un virus Attivazione Al verificarsi delle condizioni previste il virus viene attivato Propagazione Il virus propaga l'infezione, riproducendosi e infettando sia file nella stessa macchina che altri sistemi (tramite scambio di dischi, connessioni via modem o collegamenti in rete) Riconoscimento Viene individuata la stringa di riconoscimento del virus Estirpazione Il virus viene eliminato dal sistema mediante un antivirus Un semplice virus program V := { goto main; subroutine infetta_eseguibile := {loop: file := scegli _file_eseguibile; if (file già infetto) then goto loop else aggiungi_v_inizio_file;} subroutine danneggia := {esegui il danno} subroutine controlla_condizione_trigger := {restituisci true se vale la condizione} main: programma principale := { infetta_eseguibile; if (controlla_condizione_trigger) then danneggia; } } 4

Un virus a compressione program CV:= { goto main; subroutine infetta_eseguibile := {loop: file := scegli _file_eseguibile; if (file già infetto) then goto loop else comprimi file; aggiungi_cv_inizio_file;} main: programma principale := { infetta_eseguibile; espandi file; esegui file non compresso;} } Un virus a compressione Virus polimorfici Il codice del virus viene crittografato Serve per aggirare la ricerca di stringhe note da parte di antivirus Vari livelli di polimorfismo Oligomorfi (stessa routine) Strettamente polimorfi (routine random) Motore polimorfico Cripta il virus con una chiave casuale La chiave è conservata nel virus Inserisce nella routine di cifratura istruzioni casuali (garbage) per confondere l antivirus Alla replicazione, sceglie una chiave differente 5

Macrovirus Virus scritti come macro di applicazioni utente Macro: insieme di istruzioni usate per automatizzare compiti Possono essere eseguiti all atto dell apertura di un documento Esempi: Melissa e I Love You Scritti in VBS Si trasmettono via E-Mail Accedono e modificano il file registro di Windows Melissa Individuato nel marzo del 1999 In tre giorni, 100000 computer infettati Un sito ricevette 32000 copie di Melissa via email in soli 45 minuti Nato per: Replicarsi sotto Office97 Infettare i documenti Word 97 e successive versioni Spedire sue copie attraverso messaggi di posta elettronica usando Microsoft Outlook Melissa: diffusione Arriva come allegato di una email Oggetto: "Important message from (mittente)...". Body: Here is that document you asked for don t show anyone else list.doc, documento Word, che contiene il macrovirus Melissa 6

Come funziona Melissa L'allegato, una volta aperto, svolge due azioni: Diffusione Spedisce il documento infetto ai primi 50 indirizzi nella rubrica Infezione Disabilita la finestra di avvertimento per lo stato delle macro e la protezione macro di Word Si mostra quando il valore della data corrisponde al valore dell'ora Come funziona Melissa Supponiamo che l'infezione sia avvenuta alle ore 8:08 a.m. Se l'8 agosto successivo si scrive un documento Word I Love You Il mese di Maggio del 2000 è stato segnato dalla comparsa del virus "I Love You In pochi giorni, oltre 50 milioni di computer infettati Danni provocati: oltre 10 milioni di dollari 7

I Love You: diffusione Arriva tramite una e-mail contenente un file con estensione VBS come allegato (il virus) Il messaggio originale è il seguente: The Subject: ILOVEYOU Message test: kindly check the attached LOVELETTER coming from me. Attached file name: LOVE-LETTER-FOR- YOU.TXT.vbs Come funziona I Love You Si propaga tramite e-mail, inviando messaggi infetti da computer dove è stato precedentemente eseguito Usa Microsoft Outlook per spedire se stesso a tutti gli indirizzi contenuti nella rubrica Quando viene eseguito Si spedisce via email Si installa nel sistema Sviluppa azioni distruttive Scarica ed installa un cavallo di troia Come funziona I Love You I Love You modifica l'url della pagina iniziale del browser Il nuovo URL punta ad un sito Web contenente il cavallo di troia WIN-BUGSFIX.EXE Al prossimo riavvio del browser, il virus scarica il cavallo di troia Al prossimo riavvio di Windows, il cavallo di troia prende il controllo del sistema Si ricopia nella directory system di Windows con il nome di WINFAT32.EXE Rimette come pagina iniziale una pagina bianca (about:blank) 8

Come funziona I Love You Il virus cerca nelle sottodirectory di tutti i drive i file con estensione: VBS, VBE, JS, JSE, CSS, WSH, SCT e HTA Crea un nuovo file con nome originale ed estensione VBS cancellando quello precedente JPG e JPEG Esegue le stesse operazioni precedenti ma aggiunge l'estensione VBS al nome completo di ciascun file MP3 Nasconde i file originali e crea nuovi file contenenti il suo codice ma con estensione VBS aggiunto al nome completo di tutti i file Worm Votati principalmente alla diffusione Danneggiamento o sottrazione di dati Rallentano fino a bloccare il computer ospite Possono intasare una rete locale con le loro spore Alcuni esempi Il worm di Morris (novembre 1988) Code Red (luglio 2001), Nimda (settembre 2001) SQL Slammer (gennaio 2003), SoBig (agosto 2003), MsBlaster (agosto 2003) Sasser (aprile 2004), Gaobot (aprile 2004) Difendersi dai virus La migliore contromisura è la prevenzione Bisogna poter svolgere le seguenti attività Rilevamento Identificazione Rimozione 9

Software Anti-Virus Prima generazione scanner che identificano virus in base alle signature (struttura e configurazione) Seconda generazione usano euristiche per ricercare segni di infezione eseguono il controllo dell integrità Terza generazione identificano i virus in base alle loro azioni non richiedono elenco di signature Quarta generazione pacchetti che combinano diverse tecniche antivirus Denial of Service Attacco che impedisce l uso legittimo di un servizio Metodi consumo larghezza di banda consumo delle risorse sfruttamento errori programmazione modifica tabelle di instradamento Denial of Service Vari tipi di attacchi Smurf/Ping Broadcast Fraggle Attack Syn Flooding 10

Denial of Service: Smurf/Ping Broadcast Idea: inviare un messaggio ECHO (con protocollo ICMP) all indirizzo di broadcast di una rete inserendo come mittente l indirizzo della vittima (spoofing) La vittima viene sommersa di messaggi di risposta Denial of Service: Fraggle Attack Idea: Come l attacco Smurf/Ping Broadcast, ma usa il protocollo UDP La vittima viene sommersa di messaggi di risposta di tipo ECHO REPLY o UNREACHABLE Esempio di DoS: Smurf/Ping Broadcast e Fraggle Attack 11

Denial of Service: Syn Flooding Sfrutta le debolezze dell handshake di TCP La comunicazione su B non termina finchè A non risponde o al timeout della connessione B deve mantenere in memoria le info sulla connessione Denial of Service: Syn Flooding Se B deve tenere in memoria molti pacchetti, il servizio per sovraccarico non risponde si blocca blocca l'intera macchina sulla quale è ospitato Denial of Service: Syn Flooding Come fare? Sostituire l'indirizzo di A (di ritorno) del pacchetto con uno inesistente B non riesce a contattare il finto chiamante e si blocca o risponde in tempi inaccettabili 12

Distributed Denial of Service Stesso approccio del DoS ma usa più punti di ingresso contemporaneamente L attacco non parte dagli host dell hacker ma da sistemi di aziende ignare e strutture pubbliche Su queste macchine (slave) viene installato e lanciato un programma per attivare un processo zombie che resta in attesa di un comando di attivazione Distributed Denial of Service Minaccia seria per le aziende Nel 2001 più di 12000 attacchi contro oltre 5000 obiettivi, tra cui Amazon e Hotmail Cryptography and Network Security by W. Stallings (2005) cap. 19 Tesina di Sicurezza su reti Virus 13

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back