Le principali minacce e come difendersi - Parte 1: Malware, Virus e Worm
Malware
Nella sicurezza informatica il termine malware, abbreviazione per malicious software (ossia software dannoso), indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata.
Il termine malware è stato coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer; in italiano viene anche comunemente chiamato codice maligno.
Il principale modo di propagazione del malware consiste di frammenti di software parassiti che si inseriscono in codice eseguibile già esistente. Il frammento di codice può essere scritto in codice macchina ed inserito in un'applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di boot di un computer.
Il malware oltre a carpire informazioni di nascosto, può essere creato con l'intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (es. Stuxnet), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione (CryptoLocker).
Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo, inclusi Virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Può assumere diverse forme, come Codice eseguibile, Script, e altro software. Il malware si diffonde principalmente inserendosi all'interno di file non malevoli.
Il malware viene usato a volte anche contro enti governativi o siti web aziendali, per carpire informazioni riservate, o, in generale, per interferire con le loro operazioni. Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e password, o numeri di carte di credito. I bersagli a più alto rischio di essere colpiti da malware sono i computer personali incustoditi, soprattutto quelli collegati ad una rete informatica, dato che è possibile propagare l'attacco a tutti i computer collegati in rete.
Il malware viene usato a volte anche contro enti governativi o siti web aziendali, per carpire informazioni riservate, o, in generale, per interferire con le loro operazioni. Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e password, o numeri di carte di credito. I bersagli a più alto rischio di essere colpiti da malware sono i computer personali incustoditi, soprattutto quelli collegati ad una rete informatica, dato che è possibile propagare l'attacco a tutti i computer collegati in rete.
Con l'avanzare dello sviluppo di internet e la crescita degli utenti collegati, il malware è sempre più stato usato per fini di lucro. Vengono usati Computer zombie per l'invio di email di Spam, per salvare materiale pornografico, o per effettuare attacchi distribuiti Denial of Service (DoS).
Attualmente i malware (in particolare trojan, worm, spyware, malware e adware) vengono utilizzati per inviare grandi quantità di file non richiesti dall'utente; questi ultimi vengono solitamente venduti agli spammer. Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile acquistare l'utilizzo di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.
Il malware può sfruttare le debolezze della sicurezza (bug di sicurezza e vulnerabilità) di un sistema operativo, di un'applicazione (parlando di browser, ad esempio le vecchie versioni di Internet Explorer su varie versioni di Windows, o versioni vulnerabili di plugin per browser come Adobe Flash Player, Adobe Acrobat, Adobe Reader, Java SE.
Dato che gli attacchi malware diventano sempre più frequenti, l'attenzione si è spostata dalla protezione dei soli virus e spyware, al cercare delle strategie difensive contro il malware in generale e a produrre software in grado di contrastarli.
Un componente specifico di anti-virus e anti-malware, agisce in profondità nel sistema operativo o nel kernel e opera cercando di scovare malware, sotto i permessi dell'utente. Ogni volta che il sistema operativo accede ad un file, vi è uno scanner software che si attiva per controllare che il file sia legittimo e privo di infezioni. Se il file viene riconosciuto come un malware dallo scanner software, l'operazione di accesso al file viene bloccata, il file viene messo in quarantena o eliminato a seconda delle impostazioni del software anti-malware. L'uso dello stesso anti-malware può avere un impatto considerevole sulle performance del computer, l'impatto dipende soprattutto da come è stato programmato lo scanner. L'obiettivo dell'anti-malware è quello di bloccare qualsiasi operazione da parte del malware prima che effettivamente l'attacco malware possa iniziare, quindi l'anti-malware deve eseguire un'analisi su come possa avvenire l'attacco, controllando che del possibile codice malevolo non possa sfruttare dei bug o possa attivarsi ad un determinato evento del sistema.
I tipi di malware più conosciuti, ovvero virus e worm, sono noti per il modo in cui si diffondono, piuttosto del loro effettivo comportamento, come vedremo di seguito.
Virus
Un virus informatico è un programma o una sezione di codice caricato nel computer senza che il proprietario ne sia a conoscenza o lo abbia autorizzato. Alcuni virus causano solo fastidi, mentre la maggior parte è dannosa e ideata per infettare e prendere il controllo dei sistemi vulnerabili. Un virus può diffondersi in molti computer e reti duplicandosi, proprio come un virus biologico che passa da persona a persona.
I virus si nascondono in genere in programmi comunemente usati, come videogiochi o visualizzatori di PDF, oppure viaggiano all'interno di allegati di mail o sono scaricati incautamente da Internet. Non appena si interagisce con il file (eseguendo il programma, cliccando su un allegato o aprendo il file) il virus viene eseguito in automatico. Il codice potrà quindi iniziare a copiarsi su altri file e a effettuare modifiche sul computer.
I virus comportano comunque un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. Come regola generale si assume che un virus possa danneggiare direttamente solo il software della macchina che lo ospita, anche se esso può indirettamente provocare danni anche all'hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.
Prima della diffusione su larga scala delle connessioni ad Internet, il mezzo prevalente di diffusione dei virus da una macchina ad un'altra era lo scambio di floppy disk contenenti file infetti o un virus di boot (avvio). Il veicolo preferenziale di infezione è invece oggi rappresentato dalle comunicazioni e-mail e dalle reti di peer to peer (ad esempio eMule).
Elk Cloner è accreditato come il primo virus per computer apparso al mondo. Fu creato nel 1982 da Rich Skrenta sul DOS 3.3 della Apple e l'infezione era propagata con lo scambio di floppy disk: il virus si copiava nel settore di boot del disco e veniva caricato in memoria insieme al sistema operativo all'avvio del computer.
Quali sono i "sintomi" che possono farci sospettare che il computer sia infetto?
I più comuni possono essere: rallentamento del computer, impossibilità di eseguire un determinato programma o aprire uno specifico file, scomparsa di file e cartelle, messaggi di errore inattesi o insoliti, riduzione di spazio nella memoria e nell'hard disk, settori difettosi, modifiche delle proprietà del file, errori del sistema operativo, ridenominazione di file, problemi di avvio del computer, interruzione del programma in esecuzione senza che l'utente abbia eseguito operazioni inaspettate o fatto qualcosa che potrebbe aver provocato questo risultato, tastiera e/o mouse non funzionanti correttamente, scomparsa di sezioni di finestre, antivirus disattivato automaticamente, lentezza della connessione Internet, limitazioni nella visualizzazione di alcuni siti Internet, soprattutto quelli dei produttori di antivirus: è un meccanismo di protezione da parte del virus, che in questo modo impedisce di adottare contromisure dopo l'infezione.
Si tenga comunque presente che i sintomi appena descritti potrebbero essere riconducibili a cause diverse da virus.
Oggi sono ben pochi i codici malevoli ai quali si può attribuire, propriamente, il nome di virus. Quando un tempo lo scambio dei file avveniva tramite supporti fisici, generalmente i floppy, erano questi ad essere veicolo delle infezioni e pertanto era importante, volendo creare un virus che si diffondesse, che questo fosse il più silenzioso possibile. Venivano scritti in assembly e questo li rendeva piccoli, performanti ed insidiosi seguendo la regola: se non sai cosa cercare figurati se sai come trovarlo.
Parlando oggi di virus, entrando nel particolare, si commette però un errore. Si intende quindi, con il termine virus, tutto il codice malevolo in grado di arrecare danno ad un utente. Lo scambio di file tramite dispositivi fisici quali il floppy, il quasi totale abbandono degli stessi per effettuare una procedura di boot e di ripristino, ha reso obsoleto il vecchio concetto di virus, un piccolo codice malevolo difficile da individuare. Nondimeno le macchine sono sempre più performanti, gli utenti sempre di più e sempre meno preparati, la banda larga per tutti. Le informazioni viaggiano da un capo all'altro del pianeta senza vincoli fisici ormai, e così anche il codice malevolo.
Il vecchio concetto di virus è stato sostituito con quello più moderno di worm, come vedremo in seguito
Cosa fare per rilevare ed eliminare un virus?
Non esiste un metodo generale per individuare un virus all'interno di un sistema. Le tecniche di rilevamento utilizzate dagli antivirus sono diverse: utilizzate contemporaneamente garantiscono un'ottima probabilità di rilevamento della presenza di un virus.
E' di fondamentale importanza, quindi, dotarsi di un buon antivirus e verificare che sia sempre attivo.
Cosa fare, invece, come prevenzione?
Ad esempio, evitare i programmi provenienti da fonti sconosciute, non aprire gli allegati delle mail non richieste o su Facebook, non cliccare su link sospetti o di cui non si è sicuri, scaricare le app solo dallo store ufficiale di Google per Android e naturalmente proteggere i propri dispositivi con un antivirus.
Worm
Nella sicurezza informatica un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri programmi eseguibili per diffondersi, ma a tale scopo utilizza altri computer, ad esempio tramite e-mail e una rete di computer.
Uno dei primi worm di epoca moderna diffusi sulla rete fu il Morris worm, creato da Robert Morris, figlio di un alto dirigente della NSA il 2 novembre 1988, quando internet era ancora agli albori. Tale virus riuscì a colpire tra le 4000 e le 6000 macchine, si stima il 4-6% dei computer collegati a quel tempo in rete.
Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando la rete Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.
Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il Programma maligno ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile.
Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.
La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.
Quali danni causa un worm?
Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. Molto di frequente un worm funge da veicolo (tecnica chiamata DROPPING) per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.
Un worm può causare anche danni indiretti. Sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. La diffusione di un worm genera, appunto, un enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note di alcuni software causano, invece, malfunzionamenti di tali programmi, con conseguenze quali l'instabilità del sistema operativo e a volte spegnimenti e riavvii forzati.
Come riconoscere e rimuovere un worm?
Dato che i worm occupano gran parte della memoria di sistema e della larghezza di banda di rete, i server, i server di rete e i singoli computer spesso smettono di rispondere.
Per rimuovere un worm, eseguire una scansione per rilevare l'eventuale malware mediante un software antivirus. Una volta rilevati ed eliminati i worm, il computer sarà completamente sicuro da usare.
Per prevenire e difendersi dai worm è importante prestare attenzione in caso di uso di reti di file-sharing e di allegati e/o link sospetti ed utilizzare una protezione antivirus aggiornata, preferibilmente accompagnata da un firewall.
Fonti:
