Recente aumento della diffusione di virus Malware Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati generalmente Malware che hanno come scopo principale la raccolta di vari tipi di credenziali di accesso ed altri dati sensibili o identità quali ad esempio : dati di carte di credito, Conto corrente online (home banking o paypal), Account ebay, Account social network quali facebook, twitter, etc. Oltre a questi dati, i software Malware ricercano anche altri dati di accesso considerati meno preziosi, ma che ci riguardano più da vicino a quali ad esempio: dati di accesso a caselle posta elettronica (in particolare gmail, hotmail, yahoo mail), dati di accesso FTP, dati di accesso a server dedicati o aziendali. Per i malintenzionati è, infatti, divenuto più semplice ed efficace andare a raccogliere tutti questi dati direttamente sui PC connessi a internet invece che tentare di violare la sicurezza dei server centrali (banche o server web, mail, etc) che in genere sono ben protetti e quindi più difficili da espugnare. Ovviamente il Malware va ad affiancarsi a un altra pratica che ha lo stesso scopo, il phishing cioè l invio di falsi messaggi che richiedono di rispondere fornendo volontariamente questi stessi dati sensibili, sempre con lo scopo di raccoglierli in quantità per un successivo utilizzo fraudolento o per la loro vendita in blocco ad altri malintenzionati. Inoltre, diversi tipi di Malware, oltre a raccogliere e trasmettere i dati di accesso fino a qui elencati, cercano anche di compromettere il PC attaccato in modo da permetterne il controllo completo dall esterno. In questo caso più che di Malware si parla in genere di virus trojan horse o cavalli di troia. Quando questo accade, il PC infetto viene definitivo zombie ed entra a far parte delle cosiddette botnet, cioè grosse reti di PC controllabili dagli attaccanti ed a loro disposizione per sferrare attacchi distruttivi (es. ddos) o per spedire grosse quantità di messaggi spam. Rispetto ai virus tradizionali, il Malware differisce per alcuni aspetti fondamentali fra cui lo scopo, il metodo di diffusione e la difficoltà di rimozione.
Per quanto riguarda lo scopo, in passato eravamo abituati a virus distruttivi che cercavano di compromettere il funzionamento del PC ad esempio cancellando dati o bloccandone il sistema operativo. Al contrario il Malware ha bisogno che il PC attaccato rimanga in perfetta efficienza, soprattutto se quest ultimo deve essere utilizzato in seguito come zombie. Per quanto riguarda invece il metodo di diffusione, i virus tradizionali erano in genere in grado di diffondersi da soli copiandosi da un PC infetto all altro via rete o infettando supporti rimovibili (floppy, pen drive, etc), oppure inviandosi via e-mail come allegato. Questo li rendeva però sempre uguali (almeno in alcune sezioni) e quindi più facilmente individuabili da parte dei software antivirus. Al contrario il Malware viene generalmente diffuso tramite siti web compromessi e tramite spam, offrendo quindi la possibilità di essere cambiato molto spesso e di non dover includere la capacità di auto-replicarsi e diffondersi, rendendolo meno riconoscibile e individuabile. Alcuni Malware sono addirittura camuffati da miracolosi software antivirus, quindi aggiungono la beffa al danno. Cosa c entra Aruba? Dato che in questo caso non sono i nostri server a essere attaccati, ma direttamente i PC dei nostri clienti, Aruba non può risolvere il problema alla radice. Possiamo però mitigare gli effetti e contribuire a limitare il fenomeno, fornendo indicazioni utili per la sicurezza dei propri dati e avvisando d ora in poi tutti i clienti che riteniamo siano stati colpiti dal problema in modo da fornire un aiuto per proteggere al meglio i dati relativi ai nostri servizi. Che cosa posso fare io per proteggere al meglio i miei dati? Innanzitutto ricordiamo le consuete pratiche di sicurezza: - Tenere aggiornato il sistema operativo. Spesso i Malware cercano di sfruttare vecchie vulnerabilità note ed e per questo che gli aggiornamenti regolari possono aiutare molto. - Tenere aggiornato il software, in particolare il browser (Internet Explorer, Firefox, etc) ed altri programmi comuni quali Adobe Acrobat Reader. Anche questi software presentano spesso vulnerabilità note delle vecchie versioni e rappresentano quindi un facile ingresso se non aggiornati. - Tenere aggiornato il proprio antivirus e lanciare periodicamente una scansione completa, possibilmente anche con più di un software perché purtroppo non sempre un singolo software e in grado di rilevare tutti i tipi di Malware in circolazione - Tenere sempre attivo un firewall a protezione della connessione internet. Meglio ancora se un firewall evoluto che mostra notifiche ogni volta che un programma presente nel PC tenta di inviare dati su internet (le password raccolte devono essere prima o poi inviate all attaccante). - Cambiare le proprie password ogni 6 mesi al massimo, per tutti i servizi Aruba e non
Vediamo poi alcune pratiche di sicurezza specifiche per il Malware: - Non lanciare allegati eseguibili ricevuti tramite posta elettronica, neanche se provengono da mittenti conosciuti (che potrebbero avere il PC compromesso). - Non cliccare sui link sospetti ricevuti tramite social network (facebook, twitter, etc) o tramite instant messaging (msn o yahoo messenger, gtalk, etc). In particolare quelli che invitano a scaricare accattivanti e utili software per tenere sotto controllo i propri amici o funzioni del genere. - Non fornire mai i propri dati di accesso rispondendo a messaggi e-mail che li richiedono per via di fantomatici aggiornamenti di database o perdita sul server o blocco del conto. E quasi impossibile che un fornitore di servizi richieda ai propri clienti la password, meno ancora via e- mail. - Non scaricare e non eseguire software contraffatto o crack di software originale : anche se apparentemente funzionanti, questi software includono quasi sempre un virus o Malware o trojan horse al loro interno e spesso vengono messi in circolazione proprio per questo. - Non salvare sul proprio PC password e dati di accesso e non utilizzare le funzioni ricorda password. Digitare la password ogni volta e sicuramente più scomodo, ma molto più sicuro : il Malware esegue infatti una scansione sul PC dove molti software (ad esempio Filezilla) salvano una copia più o meno protetta dei dati di accesso memorizzati. - Quando disponibili usare sempre i protocolli sicuri come https, smtps, pop3s, imaps, ftps. In questo modo i dati di accesso transiteranno su internet non in chiaro, ma protetti dalla crittografia : anche se intercettati risulteranno illeggibili. Può Aruba aiutarmi a capire se il mio PC è compromesso? Uno dei metodi di diffusione del Malware prevede l utilizzo dei dati di accesso FTP raccolti sui PC infetti per compromettere i siti web relativi e tramite essi far scaricare il Malware stesso a tutti i visitatori. Questo in genere viene fatto inserendo del codice Javascript offuscato all interno della home page del sito : la pagina mantiene il proprio aspetto e funzionamento, ma ad ogni apertura tenterà di far scaricare al visitatore file infetti provenienti da altri siti ancora. In alcuni casi il sito compromesso viene usato per far scaricare il Malware, in altri solo per ospitare i files infetti.
L altro metodo utilizzato è l invio tramite spam ed anche in questo caso verranno individuati e bloccati gli invii sospetti, oltre che ripuliti i messaggi tramite antivirus. Tramite l analisi dei log FTP i nostri strumenti automatici provvederanno a rilevare comportamenti anomali ed a segnalarlo ai rispettivi proprietari degli account. Inoltre verrà segnalata ogni volta che uno dei nostri software antivirus rimuoverà qualcosa (codice javascript o Malware stesso) dai contenuti pubblicati. Ovviamente i clienti che riceveranno tali avvisi dovranno fare le opportune verifiche ed azioni consigliate perché probabilmente almeno uno dei PC sui quali hanno utilizzato precedentemente quelle stesse credenziali di accesso e compromesso. Cosa fare se il mio PC oppure il mio sito web risultano infetti? Elenchiamo di seguito alcune azioni da intraprendere, da eseguire in quest ordine : - se non già fatto da Aruba, rimuovere tutto il codice malevolo eventualmente presente nelle pagine web dei propri siti web. Se è necessario un aiuto nell'individuazione di tale codice si può aprire un ticket nell'apposita area di assistenza. - verificare eventuali infezioni presenti nel proprio computer. Nel caso in cui per la pubblicazione del sito ci si avvalga di collaboratori e/o webmaster deve essere verificata l'integrità di tutti i computer utilizzati, è, infatti, sufficiente che uno solo di questi sia vulnerabile o infetto per subire il furto delle credenziali di accesso. - ripulire i PC eventualmente individuati tramite gli appositi software antivirus ed antimalware, procedere quindi ad attivare le opportune protezioni in termini di antivirus e firewall per evitare il ripetersi di simili problemi. Solo dopo essersi assicurati che ogni computer utilizzato per la pubblicazione del sito sia stato messo in sicurezza, procedere con il cambio di tutte le credenziali di accesso utilizzate in precedenza. Anche se non ci è possibile dare indicazioni sicure sui dati di accesso di servizi non gestiti da Aruba (home banking, social network etc...) è assolutamente consigliabile cambiare anche tali dati, rivolgendosi eventualmente ai rispettivi fornitori del servizio. Nota Bene: Anche se al momento della verifica sul proprio computer non si dovessero individuare dei Malware attivi, è comunque necessario fare il cambio delle credenziali di accesso in quanto se queste sono state prese in precedenza sono ormai compromesse (ad esempio se si è provveduto nel frattempo ad una re installazione o cambio del proprio PC)
Cos altro ha fatto o può fare Aruba? Per combattere al meglio questo particolare fenomeno abbiamo : - Resa disponibile la versione sicura di ogni protocollo usato per accedere ai nostri servizi : https, smtps, pop3s, imaps,ftps. Per utilizzarli è pero necessaria una modifica della configurazione del proprio PC secondo le guide riportate nella nostra KB. - Realizzato software per la rimozione automatica dai siti web dei nostri clienti del codice javascript relativo a Malware. Questo va ad affiancarsi ai software antivirus commerciali gia presenti. - Realizzato software per il controllo automatico dei siti indicati da google come pericolosi perché compromessi. Nel caso sia presente un sito di un cliente Aruba questo verrà informato ed il sito ripulito. - Attivata l esclusione automatica degli ip che effettuano attività FTP o Mail sospetta in modo da non permettere a macchine compromesse di connettersi ulteriormente ai nostri servizi. Cosa non può fare Aruba Come spiegato, questo problema particolare non riguarda direttamente Aruba o i fornitori di servizi in genere dato che è principalmente un problema di sicurezza dei PC connessi ad internet. E per questo che senza la collaborazione dei nostri clienti, possiamo fare ben poco per aiutarli a risolvere le cause del problema rispetto al semplice agire sugli effetti. Software consigliati contro il Malware WINDOWS LINUX MAC SOFTWARE RIMOZIONE zeus trojan remover v1.2.0 malwarebytes zeus trojan remover v1.2.0 malwarebytes ANTIVIRUS Pc Tools Zone Allarm Avira Avira Pc Tools
FIREWALL Pc Tools Zone Allarm Comodo OnLine Armor Avira Firestarter Avira Pc Tools Little Snitch NetBarrier X4 SOFTWARE PER LA RIMOZIONE DI MALWARE Per Windows e Linux Zeus trojan Remover v1.2.0 http://www.novirusthanks.org Malwarebytes http://www.malwarebytes.org/ ANTIVIRUS E FIREWALL Per chi utilizza sistemi Windows, Linux e Unix Avira http://www.avira.com/it/download/index.php Per chi utilizza Windows e MAC Pc Tools http://free.pctools.com/free-antivirus/ Zone Allarm compatibile con Windows http://www.zonealarm.com/security/en-us/anti-virus-spyware-free-download.htm FIREWALL Little Snitch http://www.versiontracker.com/dyn/moreinfo/macos/17642 Per chi utilizza I Mac la free version è compatibile anche con i 64 Bit Comodo http://personalfirewall.comodo.com/ Compatibile con Xp,Vista,WIn7 32 e 64 Bit OnLine Armor http://www.online-armor.com/downloads.php compatibile con Windows
Pc Tools http://free.pctools.com/free-antivirus/ Per chi utilizza Windows e MAC NetBarrier X4 http://netbarrier.en.softonic.com/mac/download-version/netbarrier-x4.10.4.5 http://www.intego.com/pub/manual_nbx4_it.pdf Per chi utilizza i MAC Firestarter http://www.fs-security.com/ Per chi usa i sistemi linux Videoguide Firewall Comodo Firewall http://vademecum.aruba.it/start/sic/firewall/comodo/ Sunbelt Firewall http://vademecum.aruba.it/start/sic/firewall/sunbelt/ Agnitum Outpost Firewall http://vademecum.aruba.it/start/sic/firewall/outpost/ Sicurezza del PC http://vademecum.aruba.it/main/sicurezza_tot_subs.asp Link approfondimenti http://www.kaspersky.com/it/reading_room?chapter=207716819 http://www.itespresso.it/hellrts-il-nuovo-malware-per-mac-os-x-44994.html http://www.zeusnews.it/index.php3?ar=stampa&cod=11695 http://punto-informatico.it/2865579/pi/news/zeus-ora-punta-al-conto-banca.aspx http://www.lineaedp.it/articolo.php?aid=0000043724 http://www.corriere.it/scienze_e_tecnologie/10_febbraio_22/twitter-attacco-account-compromessi_e3efaf14-1fc7-11df-b445-00144f02aabe.shtml http://www.corriere.it/scienze_e_tecnologie/speciali/2009/smau/notizie/intervista-hypponensicurezza_c1687a8a-bfdb-11de-856b-00144f02aabc.shtml http://www.corriere.it/notizie-ultima-ora/scienze_e_tecnologia/informatica-attacco-hacker-oggisfrutterebbe-falla-firefox/18-02-2010/1-a_000083808.shtml http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/zeusapersistentcriminalente rprise.pdf