Il Pesa-Nervi

«Lei parla a vanvera, giovanotto!
No, penso a dei critici con la barba».

Didascalia:
Il logo del Linux Day.
Linux è uno dei sistemi operativi
nativamente più sicuri

Programmi maligni e accessibilità

Alcune nozioni di base, utili per capire come difendersi dai vari tipi di programmi malevoli che minacciano l'utente inesperto collegato alla Rete.

Introduzione

Sicurezza informatica e accessibilità appaiono, a un primo sguardo, come due argomenti nettamente separati tra loro. In realtà, se consideriamo attentamente il significato della parola "accessibilità", noteremo come queste due tematiche siano correlate fra loro. Accessibilità vuol dire sostanzialmente essere in grado di accedere ad una risorsa, che nel caso del Web si concretizza nella possibilità per l'utente di fruire delle conoscenze messe a disposizione in Rete. L'accessibilità inizia nell'atto stesso della connessione, per proseguire poi nella navigazione e nella visualizzazione dei siti Web. Va da sé che quando queste normali operazioni vengono compromesse o inibite da aggressioni esterne, l'accessibilità stessa del Web viene minata alla base. Qui entra in gioco la sicurezza informatica, o almeno quel particolare campo della sicurezza informatica che si occupa della prevenzione delle minacce derivanti dai programmi maligni. Scopo del presente articolo è quello di fornire a grandi linee le conoscenze per una corretta informazione di base, atta a prevenire i danni provocati dai programmi maligni, ricordando come spesso la conoscenza e la prevenzione siano fondamentali in queste situazioni.

Il malware

Malware è una parola inglese che sta per malicious software, programmi maligni. Tali programmi hanno fondamentalmente due scopi: danneggiare il PC infetto e carpire informazioni riservate da inviare in genere a terzi. Di seguito sono riportate le principali tipologie di programmi maligni e le precauzioni da mettere in atto per evitare il "contagio".

Virus

I virus sono programmi che, per diffondersi e replicarsi, "infettano" dei file presenti sul computer dell'utente, copiando il loro codice all'interno di questi ultimi. Possono cancellare file, insediarsi in memoria e creare rallentamenti ed altri disguidi al sistema. Comparsi nella seconda metà degli anni Ottanta, all'inizio si diffondevano principalmente attraverso lo scambio di dischetti (floppy disk) "infetti". Con l'avvento di Internet essi hanno trovato nuovi e più pericolosi mezzi di diffusione, quali ad esempio la posta elettronica.

Contromisure: Installare un antivirus e tenerlo costantemente aggiornato; assicurarsi che l'antivirus disponga di una protezione real-time (in tempo reale), ovvero che sia sempre attivo in memoria, specie durante la navigazione; controllare con l'antivirus ogni file prelevato dalla Rete; effettuare frequenti scansioni approfondite del sistema; aggiornare il proprio sistema operativo ed i programmi in esso contenuti.

Worm

I worm (parola che in inglese significa "verme"), parenti alla lontana dei virus, si differenziano da questi ultimi per il fatto di non avere bisogno di infettare altri file per replicarsi. Per ottenere il loro scopo, possono sfruttare sia la stessa connessione a Internet sia la posta elettronica. Nel primo caso si servono di falle del sistema operativo attaccato, sfruttando le quali riescono a installarsi in memoria, spacciandosi spesso per processi di sistema (cioè programmi necessari al normale funzionamento del computer, la cui presenza in memoria non è considerata una minaccia); nel secondo caso, invece, si autoinviano per posta elettronica come allegati, facendo leva su messaggi suadenti ed ingannevoli, tesi a convincere chi li riceverà ad aprire l'allegato. I worm causano molti disguidi, come rallentamenti, blocchi e riavvii del computer. Possono aprire nel sistema infettato una porta di ascolto (detta backdoor, in italiano "porta di servizio"), con cui un attaccante può trafugare dati personali, scaricare sul PC altro materiale pericoloso o usare quest'ultimo come base per attaccare altri computer. Il primo worm apparso nella storia è quello di Robert Morris, che nel novembre del 1988 paralizzò ARPANET, l'antenato di Internet.

Contromisure: Poiché i worm possono sfruttare anche la semplice connessione a Internet per replicarsi da un PC all'altro, occorre affiancare all'antivirus un dispositivo che filtri il traffico di Rete in entrata e in uscita: tale dispositivo è il firewall (dall'inglese "muro tagliafuoco"). Il firewall deve consentire solo il traffico necessario alla fruizione dei contenuti della Rete attraverso i programmi comunemente usati dall'utente, bloccando tutto il resto. Inoltre è necessario aggiornare di frequente il proprio sistema operativo, onde impedire che i worm sfruttino quelle falle nel sistema di cui si parlava poc'anzi. Per i worm che sfruttano la posta elettronica è sufficiente usare la protezione dell'antivirus sulla posta in entrata e in uscita, ricordando di usare sempre prudenza nella gestione della propria corrispondenza.

Trojan

Il loro nome ("cavalli di Troia") deriva dal fatto che questi programmi maligni sono soliti presentarsi sotto mentite spoglie (salvaschermo, giochi, ecc.), con lo scopo di ingannare l'utente e invogliarlo ad installarli. Spesso tuttavia i trojan non interagiscono affatto con l'utente; s'installano piuttosto direttamente sul suo computer, sfruttando le falle dei browser (dall'inglese to browse, navigare; sono i programmi che usiamo per esplorare il Web, come ad esempio Internet Explorer o Mozilla) o in seguito allo scaricamento (download) di file da siti "infetti". A volte possono diffondersi anche tramite la posta elettronica, o come allegati o inserendo nel corpo dell'email un collegamento che, se attivato dall'utente, installerà il programma maligno sul suo computer. I trojan non infettano altri file, ma creano diversi scompensi alla macchina e alla navigazione: possono infatti dirottare l'utente su siti predefiniti (spesso a carattere commerciale o pornografico) o impedire la visualizzazione di determinati siti (per esempio quelli che trattano di sicurezza); possono scaricare materiale infetto all'insaputa dell'utente e permettere all'attaccante di prendere pieno possesso del computer attaccato; possono altresì causare rallentamenti, cancellare file di sistema (file necessari al corretto funzionamento del computer) o sostituirli con altri infetti. La pericolosità di questi programmi sta nel fatto che possono essere scritti anche con un linguaggio di scripting (come Javascript), il che consente di inserire nascostamente codice pericoloso all'interno di pagine Web compromesse da un attacco.

Contromisure: Il mondo dei trojan è un mondo variegato e dai contorni spesso indefiniti. A volte la definizione di trojan confina con quella di hijacker (dall'inglese, "dirottatore") o di adaware (programma che aggiunge moduli indesiderati). Ancora una volta un antivirus aggiornato e con protezione in tempo reale riesce ad avvisarci se stiamo navigando su siti infetti o se il link su cui abbiamo cliccato (ad esempio per scaricare un file MP3) contiene una minaccia. Una particolare cura va posta nel realizzare le pagine Web, specie se queste contengono moduli di interazione scritti in linguaggio dinamico (ad esempio PHP): potrebbero infatti essere sfruttate, se violate, come ricettacolo di codice maligno. Occorre in tal senso tenersi sempre informati sulle vulnerabilità della piattaforma di sviluppo adoperata, sulle relative correzioni (patches) e sui modi sicuri di scrivere codice. Essere diffidenti si rivela spesso una precauzione decisiva. Per maggiore sicurezza, è opportuno a volte disabilitare il supporto del proprio browser agli script, specie quando si naviga per la prima volta su siti sconosciuti.

Spyware

Gli spyware ("programmi spia") nascono con lo scopo di installarsi sul PC ad insaputa dell'utente e di spiarne le abitudini di navigazione, per poi inviare questi dati a terzi interessati. Spesso questi programmi maligni sono contenuti in software di dubbia provenienza ed usati a fini commerciali. Un caso limite è rappresentato dallo spyware Alexa, contenuto in alcune versioni di Windows. Altre volte si installano automaticamente durante la navigazione, sfruttando alcune falle dei browser. Gli spyware non danneggiano direttamente i documenti o le funzionalità del computer infettato, ma possono dirottare la navigazione, mostrare contenuti pubblicitari o addirittura parassitare la connessione.

Contromisure: Per combattere gli spyware è necessario munirsi di strumenti specifici di analisi e rimozione. Spesso infatti gli antivirus non sono in grado di fronteggiarli adeguatamente. Un buon aiuto è offerto non di rado dai firewall, i quali, filtrando il traffico in uscita (outbound), possono rilevare connessioni sospette. Un altro valido ausilio è rappresentato da programmi di sistema, come ad esempio Netstat, che servono per monitorare tutte le connessioni attive in un certo momento.

Dialer

I dialer, come suggerisce il loro nome (dall'inglese to dial, "comporre, chiamare") sono dei programmi maligni che hanno come scopo quello di dirottare una connessione tramite telefono (dial-up) su numeri a pagamento, spesso costosissimi. Inoffensivi se si usa una connessione ADSL, risultano deleteri per chi naviga con modem a 56k. Tali programmi possono infiltrarsi sul nostro PC sotto mentite spoglie, ad esempio come moduli aggiuntivi che alcuni siti ci invitano a scaricare per ottenere la visualizzazione di alcune aree del sito. A volte i dialer possono anche venire installati semplicemente visitando siti infetti.

Contromisure: Fortunatamente tutti i moderni antivirus riconoscono la gran parte dei dialer, e riescono a bloccarli durante il loro tentativo di infiltrazione. A volte però è necessario ricorrere a strumenti di rimozione specifici, i cosiddetti antidialer. È buona norma verificare sempre che quello che stiamo installando provenga da una fonte attendibile ed evitare di installare moduli o programmi a scatola chiusa.

Rootkit

Nati in origine per il mondo Unix/Linux, i rootkit (il cui nome significa "kit dell'amministratore") si sono imposti recentemente anche nel mondo dei sistemi Windows, costituendo ad oggi la più seria minaccia per gli utenti di tutto il mondo. Sono programmi che nascondono se stessi ed altri programmi agli antivirus e alle operazioni di controllo degli amministratori di sistema e dei semplici utenti. Possono nascondere processi nocivi, installare porte di accesso (backdoor) sul sistema infettato e dare all'aggressore il completo controllo del computer. La loro caratteristica principale è l'assoluta invisibilità. I modi in cui possono essere installati sono diversi: o con un'aggressione diretta, penetrando nel PC tramite vulnerabilità di sistema, o in modo indiretto, tramite altri programmi maligni (come trojan e worm). Una volta violato il sistema, l'aggressore vi carica il codice del rootkit già configurato, installa i programmi da nascondere per mezzo del rootkit e avvia infine il rootkit e la backdoor per mantenere l'accesso al sistema. I rootkit non creano scompensi evidenti al sistema, e ciò li rende ancora più pericolosi, in quanto non danno segnali della loro presenza. Un buon libro per comprendere il fenomeno rootkit è quello scritto da Greg Hoglund, dal titolo Rootkit. Subverting the Windows kernel (Rootkit. Sovvertire il kernel di Windows, Addison-Wesley. Il kernel è il cuore di un sistema operativo), il cui sito di riferimento è http://www.rootkit.com/.

Contromisure: Sfortunatamente gli antivirus non possono nulla contro i rootkit. Occorre perciò munirsi di appositi strumenti antirootkit, i quali però attualmente sono solo in grado di individuare eventuali rootkit ma non di rimuoverli. Vale in questi casi il buon senso: aggiornare il sistema operativo, non installare software di provenienza sconosciuta, munirsi di un firewall.

Conclusioni

Data la mole impressionante di siti che trattano questi argomenti, ho preferito non mettere riferimenti ad altre risorse, perché sarebbero stati inevitabilmente riduttivi. Un buon metodo per documentarsi sull'argomento sicurezza consiste nello sfruttare l'operatore define di Google, per ottenere la definizione del termine che stiamo cercando ed i link più significativi. Esempio: define:firewall (non vi devono essere spazi fra i due punti e la parola di cui si cerca la definizione).

Concludendo, ricordo che il miglior deterrente contro i programmi maligni è una buona dose di prudenza, diffidenza e buon senso. Ed infine, una corretta informazione e prevenzione spesso si rivelano più efficaci di un antivirus.

Commenti dei lettori

  1. Commento di Andrea Paiola - 2/12/2005 ore 9,32

    Ciao Gabriele,
    vorrei approfondire la questione antivirus realtime...
    trovo che richiedano troppe risorse (che mi servono tanto...)
    infatti oggi uso un antivirus non realtime, ma non riesco a intravedere quali rischi corro...
    ovvero:
    1) se sto navigando un eventuale virus potrebbe accedere solo attraverso un baco serio del browser (uso comunemente FF)
    2) la posta prima che arrivi al mio Outlook è controllata dai vari fornitori
    3) tutti i files in entrata che non cosidero sicuri li scansisco con l'antivirus

    a che serve sto realtime? sono protetto lo stesso?
  2. Commento di Gabriele Romanato - 2/12/2005 ore 19,58

    ciao Andrea!
    scusa, ti ho risposto per mail!
    non sono abituato a questa esposizione telematica.... sono un pò fagiano, come dici tu. ciao ^_^
  3. Commento di Andrea Paiola - 2/12/2005 ore 20,40

    Visto che sto fagiano non lo fa cito io la mail di risposta... spero che mi perdonerà, ma penso che queste informazioni debbano essere di pubblico dominio
    ----
    Grazie per aver letto l articolo ^_^
    Innanzitutto ti consiglio un antivirus che richiede pochissime risorse: http://www.nod32.it/
    io lo uso su un pc con Windows 98, quindi puoi immaginare... (e navigo, scarico posta, ftp e tutto il resto). l'antivirus real time è fondamentale: se per esempio stai scaricando da un sito, solo un antivirus real time ti può dire se nel file che su cui hai cliccato c'è un trojan un virus o un worm. e solo un antivirus real time ti può dire se il sito su cui stai navigando è infetto o meno, per es. dal trojan HTML/Exploit, che si deposita anche nella cache di FF ed Opera. quindi, in definitiva, ti serve. il router/firewall che hai non controlla l'HTTP, il FTP, l'SMTP ed il POP3, perchè li consente tutti. quindi solo l'antivirus ti può dare questo tipo di servizio di controllo su questi protocolli. ovviamente all'antivirus devi abbinare, se proprio vuoi star sicuro, anche gli aggiornamenti del sistema operativo ed almeno un altro tool antimalware (es. Spybot Search and Destroy 1.4 e A-Squared free). putroppo l'impressionante quantità di malware che c'è per Windows impone di prendere molte più precauzioni che non per linux, che è un sistema numericamente meno diffuso. ciao :-)
    ------
  4. Commento di Gabriele Romanato - 3/12/2005 ore 10,22

    Caro Andrea,
    nella tua mail di risposta mi hai praticamente detto che non hai bisogno di questi consigli perchè stai bene così come stai. ora, a che pro chiedermelo? per esperienza personale (computer ripuliti in studi legali, case di privati, internet points, ecc) ti posso assicurare che queste precauzioni sono il minimo, dato il flusso spaventoso di programmi maligni che circolano in Rete (ad esempio io il trojan HTML/Exploit l'ho incontrato su un sito di Linux, evidentemente violato). l'antivirus che ti ho consigliato io, insieme a Kaspersky, è uno dei migliori per Win ed uno dei più leggeri. Clam va bene per Linux, ma su Windows ha dei problemi (malware non riconosciuti ecc). Il tuo router può fermare i worm ed i trojan di Rete, ma non il malware presente sui siti che si trasmette via HTTP o FTP (non dirmi che tu per navigare blocchi la porta 80.....), quindi hai bisogno di un buon antivirus che ti dica se il sito dove stai navigando contiene malware o no. altrimenti su un mp3 che scarichi e lanci............. ecc ecc. ciao :-)
  5. Commento di Andrea Paiola - 3/12/2005 ore 11,20

    no dai non ho detto che non ne ho bisogno...

    la faccenda trojan HTML/Exploit, che si deposita anche nella cache di FF ed Opera non la conoscevo... mi aiuti ad approfondirla?

    la porta 80 è redirezionata attraverso il router che converte le porte che vedi dall'esterno nelle porte interne alla rete locale e dall'esterno nessuno può fare richieste alla porta 80 locale

    è possibile, come ti ho già detto, il contrario: ovvero software locale può fare richieste esterne alla rete (sennò non potrei navigare)

    questo potrebbe portare a veicolare un'infezione? è possibile, ma io non ho malware installato per quanto ne so percui...

    rimane il rischio pagine web e dei files... già usando FF sono relativamente al sicuro...
    non apro files non sicuri e la mail è correttamente filtrata...
    il problema della mail è che uso Outlook... potrei cambiare gestore di posta oppure usare solo GMAIL....
    comunque disinstallo ClamWin e installo Nod32 sperando che sia leggero come dici te...

    ciao e grazie,
    Andrea.
  6. Commento di Gabriele Romanato - 3/12/2005 ore 18,38

    Come client di posta ti consiglio Thunderbird. se vai sulla documentazione di Gmail ti verrà detto come configurarlo. io mi ci trovo molto bene. quando tu navighi su una pagina Web sei esposto ai rischi di un'infezione tramite HTTP, se e solo se la pagina è infetta (Javascript nocivo ad esempio). FF è un punto interrogativo: è sicuro, ma ogni tanto scoprono qualche bug. Per il resto un antivirus ti serve. E quando navighi su siti che non conosci, se non devi interagire col sito ti consiglio di disabilitare Javascript. Paranoico, ma funziona. :-)
  7. Commento di sandro83 - 7/12/2005 ore 16,59

    complimenti l'ho trovato piuttosto illuminante.
    non conoscevo neanche l'esistenza dei rootkit

Articolo di Gabriele Romanato pubblicato il  30/11/2005 alle ore 15,09.

Indice del Pesa-Nervi | Diodati.org

Inizio pagina.