Come infermieri abbiamo il dovere di proteggere e ripristinare la salute delle persone affidateci in cura, come soggetti attivi della rete, Infermierionline appunto, abbiamo le stesse responsabilità verso il nostro computer perché dal web appunto possono venire attacchi allo strumento per navigare. Per questa ragione vale la pena presentare una breve carrellata delle principali tipologie di malware (dalla contrazione di due termini: malicious e software) in modo che sia meno complicato difendere i propri strumenti, le proprie informazioni e favorire la serenità del nostro navigare. Adware Tipo: Acquisizione informazioni sull utente e pubblicità mirata. Con adware si intende solitamente un software (la parola deriva da advertising e software) ch e mostra all'utente i banner (sono striscioni o insegne spesso con animazioni) e i pop up (finestre che si aprono automaticamente) il più delle volte con intenti pubblicitari. Questi inserti promozionali generalmente non possono essere chiusi e sono quasi sempre visibili. I dati della connessione permettono numerosi feedback sul comportamento dell'utente e sono problematici per motivi di sicurezza dei dati. 1 / 12
Backdoor Tipo: Accesso occulto al PC Un backdoor (in italiano: porta di servizio) permette, aggirando la protezione in entrata, di ottenere accesso occulto a un computer. Un programma in esecuzione di nascosto permette a un aggressore di godere di diritti di amministratore del PC. Con l'aiuto del backdoor i dati personali dell'utente possono essere spiati. Se la porta sul retro è stata violata possono essere installati anche altri virus o worm nel sistema. Virus dei settori di avvio (boot virus) Tipo: Finalità prevalentemente distruttive. Il record di avvio con il compito di caricare le istruzioni necessarie per la fase di avvio degli hard disk vengono aggrediti soprattutto tramite virus di record di avvio. Si sovrascrivono informazioni importanti all'avvio del sistema. Una delle conseguenze spiacevoli: il sistema operativo non può più essere caricato. Botnet (o bot-net) Tipo: finalità prevalente di furto di dati. Per Botnet s'intende una rete di PC connessi su banda larga, magari perennemente connessi per azioni di download, caduti vittima di un'infezione durante un attacco virale, in cui è stato innestato un software di controllo remoto che connette la macchina infetta ad un server, in attesa di istruzioni da parte del burattinaio telematico che controlla la rete. Queste reti possono essere utilizzate per la diffusione di spam, attacchi DDoS (vedi sotto), talvolta senza che gli utenti del PC si accorgano di nulla o al massimo un semplice rallentamento della macchina. Il potenziale malevolo delle Botnet è quello di coordinare reti di migliaia di computer zombie (vedi sotto) per eseguire attacchi a siti protetti di alto valore economico sfruttando l ingorgo generato dalla contemporanea connessione degli stessi per superarne le difese. Dialer 2 / 12
Tipo: Redirezione di connessioni telefoniche su servizi ad alto costo. Un dialer (in italiano: programma di selezione a pagamento) è un programma del computer che stabilisce una connessione tramite rete telefonica analogica o ISDN digitale a Internet o a un'altra rete di computer. I truffatori utilizzano i dialer per addebitare agli utenti che si connettono ad Internet, a loro insaputa, elevati costi di connessione. Con l avvento dell ADSL questa minaccia è praticamente scomparsa. Distributed Denial of Service (DDoS) Tipo: Aggressione ad un sito target. Vedi la botnet, in genere i droni delle reti bot sono in grado di attaccare anche i server: inviando simultaneamente numerose richieste a un server da molti client infetti, i droni rallentano il server. Il server non è più in grado di rispondere alle comuni richieste da parte dell'utente. EICAR Tipo: Test antivirus Si tratta di un file di testo di 68 caratteri con l'estensione ".COM", che dovrebbe essere riconosciuto come virus da tutti gli scanner antivirus. EICAR, acronimo di European Institute of Computer Antivirus Research, è l ente che ha creato per tutti gli esperti e gli appassionati di sicurezza un omonimo file che di comune accordo con le case produttrici di Antivirus viene riconosciuto come malware. Questo per evitare che per testare un antivirus si debba ricorrere inevitabilmente a delle vere minacce e subirne eventualmente anche le conseguenze. Questa la stringa di codice: X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*. Exploit Tipo: grimaldello informatico Un exploit è un termine usato in informatica per identificare un codice che, sfruttando un bug o una vulnerabilità, porta all'acquisizione di privilegi o al denial of service di un computer; sfrutta le debolezze specifiche o le funzioni errate di un sistema operativo o di programma per 3 / 12
acquisire l accesso con permessi di amministratore al computer. Normalmente un exploit può sfruttare solo una specifica falla, e quando questa falla viene riparata, l'exploit diventa inutile per le nuove versioni del programma, per questa ragione è necessario mantenere sempre aggiornati il sistema operativo, l antivirus ed i programmi installati. Grayware Tipo: Finalità di tracciamento di dati utente. Il grayware opera in maniera analoga al malware, ma non viene diffuso con l'obiettivo di danneggiare direttamente l'utente. Infatti non pregiudica la funzionalità di sistema principale. Di solito è utilizzato per raccogliere informazioni sul comportamento dell'utente, per poi rivenderle o collocare pubblicità mirate. Hijackers Tipo: Redirezione di connessioni internet. Usato molto durante il periodo del disastro delle "Twin Towers", Hijackers, tradotto dall'inglese significa "Dirottatori". Il fenomeno è anche meglio conosciuto con il nome di "Browser Hijacking". Ci sono dei programmini/virus (anche alcuni delle voci appena elencate o a seguire) che modificano alcune chiavi di registro in particolare di Internet Explorer per fargli fare cose diverse rispetto a quelle predefinite. Per esempio potete trovarvi la home page modificata che punta a siti web di carattere erotico/pornografico, oppure premendo il pulsante Search vi ritrovate all'interno di un motore di ricerca che manco si conosce! Addirittura riescono a bloccare l'accesso alle "Opzioni Internet" in modo da non lasciarvi scampo e dover subire continuamente queste imposizioni. Hoaxes (inglese: hoax = scherzo, burla, bufala) Tipo: Scherzi, superstizioni, leggende metropolitane. Da alcuni anni gli utenti ricevono in Internet o in altre reti avvisi di virus che potrebbero diffondersi via email. Questi avvisi vengono distribuiti via email con la richiesta di inoltrarli a quanti più colleghi possibili per mettere tutti in guardia dal "pericolo". Si tratta spesso di scherzi o di azioni di ingegneria sociale per valutare la credulità della gente e che ottengono generalmente l effetto opposto che denunciano: se il pericolo è un virus aumento di invio di mail non può che peggiorare le cose. Altre volte si tratta di chain letters (dette anche catene di 4 / 12
Sant Antonio). Honeypot Tipo: Esca, trappola di sicurezza. Un Honeypot (vaso di miele) è un servizio (programma o server) installato in una rete con il compito di attirare su di sé l attenzione degli spammer, quindi avvertire in caso di attacchi. Non ha quindi scopi malvagi ma preventivi, è gestito dai systemaster per implementare la sicurezza dei siti loro affidati. Keylogger Tipo: Furto di dati e/o carpire informazioni sull utilizzo del PC. Un Keylogger (in italiano: "registratore di tasti") è un hardware o software in grado di registrare tutti i dati di un utente, attraverso i quali è possibile controllare e ricostruire le operazioni di tale utente. In tal modo è possibile spiare i dati personali, quali le password o i codici PIN, e inviarli via Internet ad altri computer. Ultimamente sono stati fatti tentativi di utilizzare la videocamera che molti notebook incorporano o il microfono per captare le attività del proprietario del computer. Macrovirus Tipo: grimaldello informatico. I macrovirus sono piccoli programmi scritti nel linguaggio delle macro di un'applicazione (ad esempio gli editor dei pacchetti Office), che di solito possono diffondersi solo all'interno dei documenti di tale applicazione, vengono pertanto chiamati anche virus dei documenti. Per trasmettersi devono sfruttare come veicoli gli allegati di posta elettronica e per attivarli è necessario avviare l'applicazione corrispondente ed eseguire una delle macro infette. Diversamente dai virus "normali", i macrovirus non si propagano attraverso i file eseguibili exe, com e bat, bensì da documenti, fogli di calcolo ed ogni altro programma che ammette le macro: documenti, archivi mdb, spreadsheet ecc. È buona norma controllare sempre i file allegati con un programma antivirus prima di aprirli, anche se provengono da contatti noti. 5 / 12
Pharming Tipo: Furto di dati e duplicazione di identità personali. In ambito informatico si definisce pharming una tecnica di cracking, utilizzata per ottenere l'accesso ad informazioni personali e riservate, con varie finalità. Grazie a questa tecnica, l'utente è ingannato e portato a rivelare inconsapevolmente a sconosciuti i propri dati sensibili, come numero di conto corrente, nome utente, password, numero di carta di credito etc. Il pharming è una manipolazione del file host dei browser web, finalizzata a reindirizzare richieste su siti web falsificati ospitati in server falsi. Questo server trappola è ovviamente reperibile all'indirizzo IP inserito dal cracker e l'aspetto del sito è esteticamente simile a quello vero. Phishing Tipo: Furto di dati e duplicazione di identità personali. Phishing significa in italiano pesca di dati personali in Internet. Il phisher invia generalmente alla vittima un messaggio estremamente verosimile nel quale viene indotto a fornire la password o PIN e TAN di servizi internet quali l'home-banking, carte di credito, conti correnti postali ecc. Con i dati di accesso rubati il phisher possono assumere l'identità della vittima e condurre operazioni a loro nome. Una cosa è chiara: le banche e le assicurazioni non chiedono mai di inviare numeri di carte di credito, PIN, TAN o altri dati di accesso via email, via SMS o telefonicamente. Virus Tipo: Comportamento estremamente vario, esistono decine di migliaia di virus. Il Virus è un codice informatico eseguibile in grado di auto replicarsi se eseguito da parte di un programma. I virus si diffondono inserendo il loro codice nei file bersaglio quindi proprio come si comporta il virus biologico che inserisce il proprio codice genetico nel DNA della cellula infettata. Al contrario di un worm, un virus ha bisogno perciò di un programma estraneo grazie al quale propagare il proprio codice virulento. Normalmente, tuttavia, la funzionalità del programma ospite non viene modificata. 6 / 12
Virus polimorfi Tipo: Mutante con attività estremamente varia I veri campioni del mimetismo e del travestimento sono i virus polimorfi. Modificano i propri codici di programmazione e sono quindi particolarmente difficili da riconoscere. Rootkit Tipo: Nascondere la presa di controllo remoto. Un Rootkit è un insieme di strumenti software che vengono installati su un computer dopo un'irruzione, per nascondere il login dell'intruso, celare processi e registrare dati - in linea generale: per rendersi invisibile. Tentano di aggiornare i programmi spia già installati e di installare nuovamente gli spyware eliminati. Scareware Tipo: Indurre comportamenti errati per la sicurezza. Per Scareware s'intende un software progettato per rendere insicuro o intimidire l'utente. La vittima cade nel trabocchetto e si crede minacciata, per cui le viene proposta, spesso a pagamento, l'eliminazione di un pericolo inesistente attraverso l acquisto di software dannosi o comunque di scarsa utilità la cui installazione viene suggerita agli utenti attraverso tecniche di marketing scorretto o mediante i metodi dell' ingegneria sociale. In altri casi la vittima, credendo che sia avvenuto un attacco, viene indotta a intraprendere azioni che rendono possibile l'attacco vero e proprio. Un esempio è quello del falso messaggio di sicurezza del PC che invita la vittima a attivarsi per combattere una potenziale aggressione scaricando un antivirus che in realtà è il virus stesso (Spyfalcon per esempio). Virus di script Tipo: Come per i virus. Questi virus sono estremamente semplici da programmare e si diffondono - presupponendo tecniche ad hoc - in poche ore per email a livello globale. 7 / 12
I virus di script utilizzano i linguaggi degli script, come ad esempio Javascript, VBScript ecc., per inserirsi in altri nuovi script o per diffondersi mediante il richiamo di funzioni del sistema operativo. Spesso ciò avviene per email o mediante lo scambio di file (documenti). Spyware Tipo: Furto di dati e/o carpire informazioni sull utilizzo del PC. Gli spyware sono i cosiddetti programmi spia che inviano dati personali dell'utente a terzi senza che questi ne sia a conoscenza e senza l'approvazione del produttore del software. I programmi spyware servono soprattutto ad analizzare la navigazione in Internet e a introdurre banner o pop up pubblicitari in maniera mirata. Esistono programmi in grado di riconoscere questa tipologia di malware gli antispyware ". Trojan (Cavalli di Troia) Tipo: Aggressione distruttiva. I trojan sono sempre più diffusi. Così vengono definiti i programmi che pretendono di avere una funzione precisa, ma che in seguito all'avvio mostrano il loro vero volto ed eseguono altre funzioni con effetti per lo più distruttivi. I trojan non possono moltiplicarsi da soli e in questo si differenziano dai virus e dai worm. La maggior parte di loro ha un nome interessante (SEX.EXE o STARTME.EXE), che deve spingere l'utente a eseguire il trojan. Subito dopo l'esecuzione diventano attivi e formattano, ad esempio, l'hard disk. Un tipo particolare di trojan è il dropper, che "lascia cadere" virus, ovvero li installa nel sistema del computer. Worm Tipo: Aggressione diretta e replicazione via mail. Un worm (tradotto: "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi. I worm non possono divenire una componente di altri programmi. I worm rappresentano spesso l'unica possibilità di introdursi clandestinamente su sistemi con provvedimenti restrittivi legati alla sicurezza. 8 / 12
Zombie Tipo: Asservimento del PC da parte di un aggressore remoto. Un PC zombie è un calcolatore che è intaccato da programmi malware e permette all'hacker di abusare del computer mediante la gestione a distanza per i fini criminali. Il PC infetto lancia il comando, ad esempio, di attacchi di Denial-of-Service- (DoS), oppure invia spam o email phishing. Sintomi più frequenti di infezione - Rallentamento del computer: il computer lavora molto più lentamente del solito. Impiega molto tempo ad aprire applicazioni o programmi. Il sistema operativo impiega molto tempo ad eseguire semplici operazioni che solitamente non richiedono molto tempo; - Impossibilità di eseguire un determinato programma o aprire uno specifico file; - Scomparsa di file e cartelle: i file memorizzati in determinate cartelle (di solito quelle appartenenti al sistema operativo o a determinate applicazioni) sono scomparse perché cancellate dal virus. Potrebbero scomparire intere directory; - Impossibilità di accesso al contenuto di file: all'apertura di un file, viene visualizzato un messaggio di errore o semplicemente risulta impossibile aprirlo. Un virus potrebbe aver modificato la File Allocation Table (FAT) provocando la perdita degli indirizzi che sono il punto di partenza per la localizzazione dei file; - Messaggi di errore inattesi o insoliti: visualizzazione di finestre di dialogo contenenti messaggi assurdi, buffi, dispettosi o aggressivi; - Riduzione di spazio nella memoria e nell'hard disk: riduzione significativa dello spazio libero nell'hard disk; quando un programma è in esecuzione, viene visualizzato un messaggio indicante memoria insufficiente per farlo (sebbene questo non sia vero e ci siano altri programmi aperti); 9 / 12
- Settori difettosi: un messaggio informa della esistenza di errori nella parte di disco sulla quale si sta lavorando e avverte che il file non può essere salvato o che non è possibile eseguire una determinata operazione; - Modifiche delle proprietà del file: il virus modifica alcune o tutte le caratteristiche del file che infetta. Di conseguenza risultano non più corrette o modificate le proprietà associate al file infettato. Tra le proprietà più colpite: data/ora (di creazione o dell ultima modifica), la dimensione; - Errori del sistema operativo: operazioni normalmente eseguite e supportate dal sistema operativo determinano messaggi di errore, l esecuzione di operazioni non richieste o la mancata esecuzione dell operazione richiesta; - Duplicazione di file: se ci sono due file con lo stesso nome ma con estensione rispettivamente EXE e COM, quello con estensione COM sarà un virus. I virus fanno così perché in caso di presenza di due file con lo stesso nome il sistema operativo eseguirà sempre per primo quello con estensione COM; - Ridenominazione di file: un virus può rinominare i file infettati e/o file specifici; - Problemi di avvio del computer: il computer non si avvia o non si avvia nella solita maniera; - Blocchi del computer: nonostante l apertura di pochi o nessun programma e la mancanza di un pesante carico sul sistema, questo si blocca ( crasha ), rendendo necessario l utilizzo del Task Manager per rimuovere il task bloccato o riavviare il computer; - Interruzione del programma in esecuzione senza che l utente abbia eseguito operazioni inaspettate o fatto qualcosa che potrebbe aver provocato questo risultato; - Apertura e chiusura del lettore Cd/DVD senza intervento dell utente; - Tastiera e/o mouse non funzionanti correttamente: la tastiera non scrive ciò che è digitato dall utente o esegue operazioni non corrispondenti ai tasti premuti. Il puntatore 10 / 12
del mouse si muove da solo o indipendentemente dal movimento richiesto dall utente; - Scomparsa di sezioni di finestre: determinate sezioni (pulsanti, menu, testi etc ) che dovrebbero apparire in una particolare finestra sono scomparse o non vengono visualizzate. Oppure, in finestre nelle quali non dovrebbe apparire nulla, appaiono invece icone strane o con contenuto insolito (ad esempio nella taskbar di Windows - Riavvio spontaneo del computer; - Antivirus disattivato automaticamente; - Programmi all'improvviso non più funzionanti o malfunzionanti; - Lentezza della connessione Internet; - Emissione da parte del computer di suoni insoliti; - Microsoft Internet Explorer si blocca o comunque funziona male dando continui errori (ad esempio non riesce a chiudere la finestra delle applicazioni) Si tenga comunque presente che i sintomi appena descritti potrebbero essere riconducibili a cause diverse da virus. Nel caso di presenza di uno o più di questi sintomi, è comunque consigliabile l'esecuzione di una scansione antivirus del sistema. Cerchiamo di applicare anche alla nostra navigazione gli stessi principi di prevenzione e di igiene che mettiamo in pratica ogni giorno nei nostri luoghi di lavoro. Bibliografia: AVIRA 11 / 12
http://www.avira.com/it/support-about-malware Paolo Attivissimo http://www.attivissimo.net/ Portale di sicurezza informatica http://it.wikipedia.org/wiki/portale:sicurezza_informatica Wikipedia http://it.wikipedia.org/ 12 / 12