Malware

software creato con lo scopo di arrecare danno ad un computer

Malware (abbreviazione dell'inglese malicious software, lett. "software malevolo"), nella sicurezza informatica, indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un utente di un computer. Termine coniato nel 1990 da Yisrael Radai,[1] precedentemente veniva chiamato virus per computer.

Con l'avanzare dello sviluppo di internet e la crescita degli utenti ad essa collegati, soprattutto a partire dall'anno 2000, il malware è sempre più stato usato per fini di lucro. Fin dal 2003, la maggior parte dei virus e worm è stata creata per prendere il controllo del computer dell'utente vittima, per scopi illeciti.[2] È stato stimato che nel 2012, all'incirca il 60-70% di tutto il malware attivo usasse una sorta di Click fraud, e che il 22% di tutti gli ad-click fosse fraudolento.[3] Attacchi a scopo di sabotaggio sono stati effettuati a Saudi Aramco, nell'agosto del 2012.[4][5] e il 25 novembre 2014 alla Sony Pictures Entertainment, usando un malware conosciuto come Shamoon o W32.Disttrack.

Caratteristiche

modifica

Descrizione generale

modifica

Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall'utente anche per lunghi periodi di tempo (es. Regin malware). Oltre a carpire informazioni di nascosto, un malware può essere creato con l'intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (es. Stuxnet), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione (CryptoLocker). Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo,[6] inclusi Virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Può assumere diverse forme, come Codice eseguibile, Script, e altro software.[7] Il malware si diffonde principalmente inserendosi all'interno di file non malevoli.

La diffusione del malware risulta in continuo aumento: si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti; tali numeri sono destinati ad aumentare con l'espansione della Rete e il progressivo diffondere della cultura informatica.[8] Nel 2011 la più grande minaccia malware era costituita da worm e trojan, piuttosto che altri virus.[9]

Spyware o altri malware sono a volte trovati all'interno di programmi forniti da compagnie, ad esempio scaricabili da siti web, che appaiono utili o accattivanti, ma potrebbero avere delle funzionalità aggiuntive nascoste indesiderate, che raccolgono dati statistici di marketing. Un esempio di questi software, dichiarato illegittimo, è il Sony rootkit, un trojan inserito nei CD venduti da Sony, che viene installato sul computer dell'acquirente, con l'intento di impedire copie illecite.[10]

Scopo d'utilizzo

modifica

Il principale modo di propagazione del malware consiste di frammenti di software parassiti che si inseriscono in codice eseguibile già esistente. Il frammento di codice può essere scritto in codice macchina ed inserito in un'applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di boot di un computer.[11] Un malware è caratterizzato dal suo intento malevolo, agendo contro le necessità dell'utente, e non include software che causa un danno non voluto a causa di qualche suo difetto. Può essere usato per rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata.[12]

 
Categorie malware - Marzo 2011

Il malware viene spesso usato per scopi criminali, ma può essere usato anche per sabotare, spesso senza un beneficio diretto agli autori del malware. Un esempio di sabotaggio è stato Stuxnet, usato per distruggere dell'attrezzatura industriale specifica. Tali tipi di software sono utilizzati da privati (come gli hackers Black hat) o da organizzazioni ed anche governi, per rubare informazioni personali, finanziarie o d'affari.[13][14] Alcuni malware sono usati per generare denaro con la tecnica Click fraud, simulando un click sul computer dell'utente su una pubblicità su un sito, generando un pagamento da parte dell'inserzionista della stessa pubblicità. Possono essere ad esempio usati Computer zombie per l'invio di email di Spam, per salvare materiale pornografico[15], o per effettuare attacchi distribuiti Denial of Service (DoS). Ci sono stati degli attacchi con motivi politici che hanno colpito delle grandi reti di computer con lo scopo di sabotare la rete stessa, ma anche per effettuare massicce cancellazioni di file o per corrompere il Master boot record, descritto come "computer killing".

Il malware viene talvolta utilizzato contro enti governativi o siti web aziendali, per carpire informazioni riservate,[16] o, in generale, per interferire con le loro operazioni. Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e password, o numeri di carte di credito. I bersagli a più alto rischio di essere colpiti da malware sono i computer personali incustoditi, soprattutto quelli collegati ad una rete informatica, dato che è possibile propagare l'attacco a tutti i computer collegati in rete: per questo motivo è necessario prendere varie precauzioni su ogni computer collegato alla rete informatica, come l'uso di Firewall e Antivirus (attacco ad una rete informatica in Sud Corea[17]).

Proliferazione

modifica

I risultati pubblicati da Symantec nel 2008 indicano che "la frequenza in cui vengono prodotti codice malevolo e altri programmi indesiderati, potrebbe superare quella delle applicazioni software".[18] Secondo F-Secure, "è stato prodotto tanto codice malevolo nel 2007 quanto ne è stato creato negli ultimi 20 anni".[19] Il canale di diffusione più usato dai criminali è Internet: principalmente tramite e-mail e World Wide Web.

La preferenza di usare il malware come strumento per compiere crimini su Internet, insieme alla sfida del software anti-malware che cerca di tenere il passo per contrastare i nuovi programmi malevoli, hanno portato alla necessità di prendere delle contromisure sia da parte dei singoli utenti, sia dalle aziende, comprese le aziende che vendono prodotti tramite Internet: questo significa che devono offrire servizi web con una certa sicurezza per la tutela del cliente. Il risultato dell'aumento e della facile diffusione del malware, impongono un'analisi approfondita sui sistemi di sicurezza da usare per proteggersi dal malware avanzato che opera dai computer dei clienti dell'azienda stessa.[20] Uno studio di Webroot del 2013 indica che il 64% delle società permette l'accesso remoto ai server dal 25% al 100% dei propri dipendenti, e che queste aziende subiscono più frequentemente attacchi malware.[21]

Nel marzo del 2010, Symantec ha nominato Shaoxing (Cina), come la capitale mondiale del malware.[22] Nel 2011 uno studio dell'Università di Berkeley ha pubblicato un articolo in "Software Development Technologies", ha esaminato come gli hacker imprenditoriali stanno influendo sulla diffusione del malware, dato che mettono a disposizione accesso ad un computer ad un certo prezzo. Microsoft ha dichiarato che, nel maggio 2011, ogni 14 download da internet uno è probabile che contenga del codice maligno. I social media, Facebook in particolare, stanno constatando un continuo incremento delle tattiche usate per diffondere il malware.[23]

Uno studio del 2014 dichiara che la produzione di malware sta crescendo e si sta orientando sui dispositivi mobili come gli smartphone.[24]

Tecniche antirilevamento

modifica

Sin dall'inizio del 2015, una buona parte del malware utilizza più combinazioni di tecniche usate per evitare la rivelazione e l'analisi.[25]

  • La tecnica di evasione più comune è quella in cui il malware evita analisi e rilevamento facendo "fingerprinting" dell'ambiente in cui viene eseguito (con fingerprinting si intende un algoritmo che mappa un file di grandi dimensioni in una stringa di bit molto più ristretta).[26]
  • La seconda tecnica più usata consiste nel confondere i tool di rilevamento. Questo permette al malware di evitare di venire rilevato da tecnologie come antivirus signature-based, cambiando il server usato dal malware.[27]
  • La terza tecnica più diffusa si basa sull'azione dello stesso malware per periodi ristretti, a seconda di certe azioni prese dall'utente, in modo tale che il malware si esegua in momenti vulnerabili, come l'avvio da boot, e rimanendo in stato dormiente per il resto del tempo.
  • La quarta tecnica più comune consiste nell'offuscare i dati interni dello stesso malware, così da evitare di essere rilevato dal software anti-malware.[28]
  • Una tecnica che sta diventando sempre più comune consiste nell'uso di Adware che usano dei certificati rubati per disabilitare il software anti-malware e anti-virus.[29]

Oggi, una delle più sofisticate strategie di evasione è quella di usare tecniche che nascondano le informazioni, chiamata Stegomalware.

Classificazione

modifica

I tipi di malware più conosciuti sono noti per il modo in cui si diffondono e per il loro comportamento effettivo. Nell'uso comune il termine virus viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti. Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non rientrano nella definizione data i programmi contenenti bug, che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un software. Si distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Schematicamente possono essere catalogati come segue:

  • Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
  • Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
  • Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
  • Backdoor: sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
  • Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite, possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.
  • Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.
  • Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l'apertura automatica di pagine web indesiderate.
  • Rootkit: i rootkit solitamente sono composti da un driver e a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
  • Scareware: gli scareware sono programmi che si fingono antivirus per invitare l'utente con falsi allarmi a comprare una versione a pagamento dando soldi al creatore. Spesso dicono anche di installare un antivirus "migliore" per rimuovere i virus che in realtà è un virus.
  • Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
  • Adware: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del PC e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
  • Malvertising: malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web.
  • File batch: hanno estensione ".bat". I file batch non sono veri e propri malware, ma solo semplici File di testo interpretati da Prompt dei comandi di Microsoft Windows. In base ai comandi imposti, il sistema li interpreta come "azioni da eseguire", e questo può eseguire codice malevolo.
  • Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati. Sono spesso installati da Trojan.
  • Ransomware: Virus che cripta tutti i dati presenti su un disco, secondo una chiave di cifratura complessa.
  • "A comando", cioè vengono attivati secondo le volontà del cracker nel momento che ritiene opportuno.
  • "Automatici", che si dividono in altre due sottocategorie:
    • "Da esecuzione", cioè vengono eseguiti e quindi si attivano quando l'utente li avvia;
    • "Da avvio", cioè si attivano quando si spegne/accende il device.

Backdoor

modifica
  Lo stesso argomento in dettaglio: Backdoor.

Un backdoor è un metodo per scavalcare le procedure standard per l'autenticazione tramite una connessione ad una rete o su internet. Una volta che il sistema è compromesso, una o più backdoor possono essere installate per permettere accessi futuri, in modo del tutto invisibile all'utente.

L'idea di fondo che le compagnie produttrici di computer preinstallino delle backdoor nei propri sistemi, per provvedere supporto tecnico ai clienti, non è mai stata veramente verificata. È stato riportato che nel 2014 le agenzie governative americane hanno intercettato dei computer, acquistati da quelli ritenuti "obiettivo", e li hanno inviati a laboratori segreti dove sono stati installati software o hardware che permettesse l'accesso remoto al computer all'azienda.[30]

Le backdoor possono essere installate tramite Trojan, worm o altri metodi.[31][32]

Grayware

modifica
  Lo stesso argomento in dettaglio: Grayware.

Grayware è la definizione generica che si riferisce alle applicazioni che presentano un comportamento molesto, indesiderabile o nascosto: non vengono classificate come malware, ma possono diminuire le prestazioni del sistema e possono causare problemi di sicurezza.[33]

Le applicazioni grayware non rientrano in nessuna delle categorie delle principali minacce (virus o cavalli di Troia) poiché sono soggette alla funzionalità del sistema e comprendono Spyware, Adware, Dialer fraudolenti, tool di accesso remoto e altri programmi indesiderati.[34]

Alcuni elementi nella categoria del grayware sono stati collegati ad attività dannose, mentre altri vengono utilizzati per fornire agli utenti informazioni mirate relative ad annunci sui prodotti. Per le aziende che si occupano di informazioni sensibili, le funzionalità di raccolta dati di qualsiasi tipo di applicazione dovrebbero suscitare preoccupazione.

  Lo stesso argomento in dettaglio: Rabbit.

Il rabbit è un tipo di malware che attacca le risorse del sistema duplicando in continuazione la propria immagine su disco, o attivando nuovi processi a partire dal proprio eseguibile, in modo da consumare tutte le risorse disponibili sul sistema in pochissimo tempo.

Ransomware

modifica
  Lo stesso argomento in dettaglio: Ransomware.

I Ransomware sono creati con lo scopo di infettare un computer e di richiedere un pagamento alla vittima, per eliminare lo stesso malware dalla macchina vittima dell'attacco. Per esempio, un CryptoLocker cripta i dati presenti sul computer vittima, ed effettua la decriptazione solo su pagamento di una somma di denaro cospicua. Queste categorie di malware non sono mutuamente esclusive, infatti il malware può sfruttare tecniche multiple.[35] Questa sezione si applica solo al malware che viene progettato per non essere rilevato, non al malware progettato per il sabotaggio o ai ransomware.

Rootkit

modifica
  Lo stesso argomento in dettaglio: Rootkit.

I pacchetti software conosciuti come rootkit permettono occultamento, modificando il sistema operativo del computer in modo tale da nascondere le tracce del malware. I rootkit possono evitare che un processo malware risulti visibile nella lista dei processi attivi del sistema, e può anche impedire che i file del malware possano essere aperti e letti.[36]

Alcuni programmi malevoli contengono procedure che impediscono la rimozione dal sistema dello stesso malware: un esempio di questo comportamento è riportato nel Jargon File.[37]

Spyware

modifica
  Lo stesso argomento in dettaglio: Spyware.

I programmi malware con lo scopo di monitorare la navigazione web, di mostrare a video pubblicità indesiderate, o di reindirizzare i ricavi di Affiliate Marketing, vengono chiamati Spyware. Uno spyware non si diffonde come i virus, vengono invece installati sfruttando delle debolezze nella sicurezza informatica. Possono anche essere nascosti e inseriti all'interno di software che verrà usato dall'utente vittima.[38]

  Lo stesso argomento in dettaglio: Trojan (informatica).

In informatica, un Trojan (comunemente chiamato anche Cavallo di Troia) è un programma malevolo che falsa la sua vera identità per sembrare utile o interessante per persuadere la vittima ad installarlo. Il termine deriva dalla storia greca del Cavallo di Troia che venne usato dalle truppe greche per invadere la città di Troia di nascosto.[39][40][41][42]

I Trojan di solito vengono diffusi con qualche tecnica di Ingegneria sociale, per esempio quando un utente viene ingannato ad eseguire un allegato di una e-mail non sospettabile, o ad effettuare un download. Molti di questi Trojan moderni, agiscono come dei Backdoor, contattando un controller che può avere accesso non autorizzato al computer infettato.[43] Mentre i Trojan e i Backdoor non sono rilevabili di per sé, il computer vittima potrebbe risultare rallentato dovuto dall'uso notevole del processore e dal traffico di rete.

Al contrario dei virus e dei worm, i Trojan non tentano di iniettarsi in altri file o di propagarsi.[44]

  Lo stesso argomento in dettaglio: Virus (informatica).

Un virus è un pezzo di codice inserito in un programma detto "portatore di virus". Tali programmi sono apparentemente eseguiti per altre finalità, ma il vero intento è quello di installare il virus nel sistema e contagiare altri programmi. I virus sono infatti in grado di autoriprodursi all'interno di un computer ed è proprio questa caratteristica a conferirgli il nome di "virus", in quanto ricorda il comportamento tipico delle particelle infettive (appunto i virus studiati in microbiologia) in grado di replicarsi nelle cellule.

In base alle loro caratteristiche, i virus possono semplicemente diffondersi nel sistema e non recare gravi danni, ma possono anche arrivare a distruggere intere parti del sistema operativo o cancellare il contenuto del disco fisso.

I virus si trasmettono principalmente tramite email (spam). In alternativa si possono trasmettere tramite dischi esterni infetti, tramite download di programmi da Internet o attraverso file di Microsoft Office.[45]

Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri programmi eseguibili per diffondersi, ma a tale scopo utilizza altri computer, ad esempio tramite e-mail e una rete di computer. Sono software completi a sé stante (senza la necessità di doversi integrare in altri programmi), e questi si diffondono su una rete per infettare altri computer. Date queste considerazioni si intuisce che il virus richiede che l'utente esegua un programma infettato (o solo il sistema operativo) affinché il virus si diffonda, mentre un worm non ha questo limite e si può diffondere liberamente ai computer collegati alla rete informatica.[46]


Vulnerabilità al malware

modifica
  Lo stesso argomento in dettaglio: Vulnerabilità informatica.

Nel campo dell'informatica con sistema sotto attacco ci si può riferire a molti contesti, a partire da una singola applicazione, passando per computer e sistemi operativi, fino a parlare di reti grandi e complesse. I fattori che indicano se un sistema è più o meno vulnerabile sono:

Debolezze nel software di sicurezza

modifica

Il malware può sfruttare le debolezze della sicurezza (bug di sicurezza e vulnerabilità) di un sistema operativo, di un'applicazione (parlando di browser, ad esempio le vecchie versioni di Internet Explorer su varie versioni di Windows[47], o versioni vulnerabili di plugin per browser come Adobe Flash Player, Adobe Acrobat, Adobe Reader, Java SE.[48][49] A volte, anche installando versioni più recenti di questi plugin non vengono rimosse automaticamente le vecchie versioni. I fornitori di plug-in annunciano più o meno frequentemente degli aggiornamenti per risolvere questi problemi di sicurezza.[50] Alle vulnerabilità scoperte, note al pubblico, viene assegnato un CVE: Common Vulnerabilities and Exposures.

Gli autori di malware puntano a colpire un sistema sfruttando bug di vario tipo. Un metodo comune consiste nello sfruttare un Buffer overflow, che consiste nell'aggiungere sempre più dati ad un buffer finché non viene ecceduta la memoria a disposizione (per limitare questa vulnerabilità è necessario effettuare controlli via software sui dati e sulla memoria a disposizione del buffer): il malware provvede ad aggiungere dati che fanno overflow al buffer, inserendo in coda del codice malevolo eseguibile, in modo tale che quando il sistema vi accede, viene eseguito questo codice malware, in modo tale che il sistema compia azioni scelte da chi ha scritto il codice malevolo.

Progettazione non adeguata o errore utente

modifica

I primi computer dovevano essere avviati da floppy disk, successivamente il sistema operativo cominciò ad essere avviato da hard disk man mano che questi si diffusero, ora è possibile avviare il boot da dispositivi esterni (come chiavette USB o CD), e tramite questi dispositivi è possibile anche far eseguire software al sistema operativo. Gli autori di malware possono sfruttare questa tecnica per inserire del codice malevolo in un computer di un utente vittima che, inserendo ad esempio una chiavetta usb infetta nel proprio computer, possono infettare il sistema.[51]

Questa tecnica di infezione può essere evitata impostando il boot del computer da hard disk interno, ed evitando l'autorun dei dispositivi, facendo attenzione anche a non avviare da boot intenzionalmente dispositivi esterni.

Utenti e codice con privilegi di root

modifica
  Lo stesso argomento in dettaglio: Principio del privilegio minimo.

In informatica, con il concetto di privilegio ci si riferisce a quanto è consentito ad un utente di modificare un sistema. In sistemi di computer progettati in modo non adeguato, è possibile che agli utenti e ai programmi possano essere assegnati troppi privilegi, di più di quelli che dovrebbero avere e il malware può approfittarne. Alcuni sistemi permettono all'utente di modificare la propria struttura interna, e questi utenti vengono considerati come utenti di root. Questa procedura operativa era standard nei primi sistemi di computer, dove non veniva considerata la distinzione tra utenti amministratori e utenti regolari. Alcuni sistemi danno troppi privilegi agli utenti regolari non amministratori, nel senso che a questi utenti viene permesso di modificare file di sistema, cosa che non dovrebbe avvenire. A volte accade che gli utenti abbiano molti privilegi, come se fossero amministratori di sistema, perché non è stata fatta un'analisi dei privilegi ed è stato commesso un errore di progettazione del sistema, perché non devono essere concessi troppi privilegi a chi non è veramente un responsabile a gestire il sistema informatico.

Alcuni sistemi permettono ad un codice eseguito da un utente di avere tutti i privilegi dello stesso utente che lo ha avviato. Anche questa era una procedura operativa standard per i primi sistemi. Il malware, avviato da un utente senza che ne sia consapevole, ha la possibilità di interagire con il sistema. Quasi tutti i sistemi operativi, ed anche le applicazioni di scripting, concedono troppi privilegi al codice, perché questo permette all'utente di essere vulnerabile anche da un semplice allegato di una email.

Non usare lo stesso sistema operativo

modifica

L'omogeneità dei computer, ad esempio usare lo stesso sistema operativo su tutti i computer collegati ad una rete, è controproducente quando la rete viene attaccata da un malware, dato che se riesce a penetrare dentro un computer, riuscirà ad entrare anche nelle altre macchine collegate in rete.[52] La diversità dei sistemi operativi in una rete, può permettere di evitare che cada tutta la rete e che alcuni nodi riescano a non essere colpiti dal malware, dato che non fanno parte dello stesso Servizio di directory per l'autenticazione, permettendo a questi nodi di aiutare con il recovery dei computer infettati dal malware. L'introduzione di macchine diverse all'interno della rete può essere vantaggioso per evitare che in caso di attacco cada tutta la rete, ma al costo di incrementare la complessità e ridurre la riusabilità in termini di autenticazione con single sign-on.

Malware del firmware

modifica

Particolarmente critici sono gli attacchi al firmware della macchina, in progressivo aumento nel tempo. Questa famiglia di minacce è particolarmente insidiosa perché, agendo a monte del sistema operativo, qualsiasi software di protezione tradizionale è inefficace. Alcune funzioni di talune piattaforme UEFI possono ridurre la probabilità che l'attacco possa andare a bersaglio. Tuttavia le contromisura più idonea è, a parte quella di prevenire l'infezione evitando comportamenti rischiosi, quella di applicare regolarmente gli aggiornamenti di sicurezza del bios. Quando il firmware viene infettato non rimane altro che tentare di cancellarlo totalmente dalla scheda madre per poi installare una nuova istanza aggiornata (una semplice sovrascrittura dell'istanza infetta potrebbe non essere sufficiente).

Strategie di contrasto

modifica

Antivirus

modifica
  Lo stesso argomento in dettaglio: Antivirus.

Una volta che un programma malevolo è stato installato su un sistema, è necessario che questo rimanga nascosto per evitare di essere scoperto e rimosso; a tal scopo esistono diversi programmi noti come antivirus in grado di rimuovere i malware. A partire dalla diffusione capillare di internet degli anni 2000 gli attacchi malware sono diventati sempre più frequenti, l'attenzione si è spostata dalla protezione dei soli virus e spyware, al cercare delle strategie difensive contro il malware in generale e a produrre software in grado di contrastarli (oltre alle strategie qui di seguito descritte, ci sono quelle preventive e di recupero, come backup e metodi di recovery).

Antimalware

modifica

Un componente specifico di anti-virus e anti-malware, agisce in profondità nel sistema operativo o nel kernel e opera cercando di scovare malware, sotto i permessi dell'utente. Ogni volta che il sistema operativo accede ad un file, vi è uno scanner software che si attiva per controllare che il file sia legittimo e privo di infezioni. Se il file viene riconosciuto come un malware dallo scanner software, l'operazione di accesso al file viene bloccata, il file viene messo in quarantena o eliminato a seconda delle impostazioni del software anti-malware.[53]

L'uso dello stesso anti-malware può avere un impatto considerevole sulle performance del computer, l'impatto dipende soprattutto da come è stato programmato lo scanner. L'obiettivo dell'anti-malware è quello di bloccare qualsiasi operazione da parte del malware prima che effettivamente l'attacco malware possa iniziare, quindi l'anti-malware deve eseguire un'analisi su come possa avvenire l'attacco, controllando che del possibile codice malevolo non possa sfruttare dei bug o possa attivarsi ad un determinato evento del sistema.

I programmi anti-malware possono combattere il codice malevolo in due modi:

  1. Possono provvedere protezione in tempo reale contro l'installazione del malware nel computer. Questo tipo di protezione lavora allo stesso modo dei software anti-virus, ovvero scansionano tutti i dati che provengono dalla rete, cercando di scovare possibili minacce.
  2. Il software anti-malware può anche solamente rilevare e rimuovere il malware che si è già installato sul sistema. Questo tipo di software scansiona i contenuti dei registri di sistema, dei file del sistema operativo, dei programmi installati e alla fine del lavoro mostra un elenco delle minacce trovate, permettendo all'utente di scegliere quali file tenere o eliminare.[54]

Alcuni virus disabilitano il Ripristino configurazione di sistema e altri tool importanti, ad esempio su piattaforma Windows, bloccano il Task manager e l'Interfaccia a riga di comando. È possibile rimuovere molti di questi virus avviando il computer in "safe mode with networking"[55] e successivamente usando il tool di Microsoft Safety Scanner.[56]

  1. ^ Christopher Elisan, Malware, Rootkits & Botnets A Beginner's Guide, McGraw Hill Professional, 5 Settembre 2012, p. 10, ISBN 978-0-07-179205-9.
  2. ^ "Malware Revolution: A Change in Target", su technet.microsoft.com, March 2007. URL consultato il 27 aprile 2016.
  3. ^ "Another way Microsoft is disrupting the malware ecosystem", su blogs.technet.com. URL consultato il 27 aprile 2016 (archiviato dall'url originale il 20 settembre 2015).
  4. ^ "Shamoon is latest malware to target energy sector", su computerweekly.com. URL consultato il 27 aprile 2016.
  5. ^ "Computer-killing malware used in Sony attack a wake-up call", su computerweekly.com. URL consultato il 27 aprile 2016.
  6. ^ technet.microsoft.com, "Defining Malware: FAQ", su technet.microsoft.com. URL consultato il 27 aprile 2016.
  7. ^ United States Computer Emergency Readiness Team (Us-cert.gov), "An Undirected Attack Against Critical Infrastructure" (PDF).
  8. ^ Dati riferiti in un rapporto diffuso da Panda Security e riportati in Sicurezza, in una classifica i bug più pericolosi (punto-informatico.it)
  9. ^ Microsoft.com, "Evolution of Malware-Malware Trends", su microsoft.com, Microsoft Security Intelligence Report-Featured Articles. URL consultato il 27 aprile 2016.
  10. ^ Mark's Blog. Microsoft MSDN, "Sony, Rootkits and Digital Rights Management Gone Too Far", su blogs.technet.com. URL consultato il 27 aprile 2016 (archiviato dall'url originale il 28 aprile 2010).
  11. ^ Stallings William, Computer security : principles and practice, Boston: Pearson, 2012, p. 182, ISBN 978-0-13-277506-9.
  12. ^ Malware Definition, su techterms.com. URL consultato il 27 aprile 2016.
  13. ^ FEDERAL TRADE COMMISSION- CONSUMER INFORMATION, "Malware", su consumer.ftc.gov. URL consultato il 27 aprile 2016.
  14. ^ (EN) Pedro Hernandez, "Microsoft Vows to Combat Government Cyber-Spying", su eweek.com, 5 dicembre 2015. URL consultato il 31 dicembre 2022 (archiviato dall'url originale il 23 gennaio 2014).
  15. ^ "Child Porn: Malware's Ultimate Evil", su itworld.com. URL consultato il 27 aprile 2016 (archiviato dall'url originale il 22 ottobre 2013).
  16. ^ Kovacs Eduard, "MiniDuke Malware Used Against European Government Organizations", su news.softpedia.com, Softpedia. URL consultato il 27 aprile 2016.
  17. ^ BBC, "South Korea network attack 'a computer virus'", su bbc.co.uk. URL consultato il 27 aprile 2016.
  18. ^ Symantec, "Symantec Internet Security Threat Report: Trends for July–December 2007 (Executive Summary)" (PDF), su eval.symantec.com, Aprile 2008. URL consultato il 28 aprile 2016 (archiviato dall'url originale il 25 giugno 2008).
  19. ^ "F-Secure Reports Amount of Malware Grew by 100% during 2007", su businesswire.com. URL consultato il 28 aprile 2016.
  20. ^ Gunter Ollmann, "Continuing Business with Malware Infected Customers", su technicalinfo.net. URL consultato il 28 aprile 2016.
  21. ^ Webroot, "New Research Shows Remote Users Expose Companies to Cybercrime", su webroot.com. URL consultato il 28 aprile 2016.
  22. ^ "Symantec names Shaoxing, China as world's malware capital", su engadget.com. URL consultato il 28 aprile 2016.
  23. ^ Rooney, Ben, "Malware Is Posing Increasing Danger", su online.wsj.com, Wall Street Journal. URL consultato il 28 aprile 2016.
  24. ^ Suarez-Tangil, Guillermo; Juan E. Tapiador, Pedro Peris-Lopez, Arturo Ribagorda, "Evolution, Detection and Analysis of Malware in Smart Devices" (PDF), su seg.inf.uc3m.es, IEEE Communications Surveys & Tutorials, 2014. URL consultato il 28 aprile 2016 (archiviato dall'url originale il 31 ottobre 2017).
  25. ^ "Evasive malware", su net-security.org. URL consultato il 28 aprile 2016 (archiviato dall'url originale il 6 settembre 2015).
  26. ^ Kirat, Dhilung; Vigna, Giovanni; Kruegel, Christopher, Barecloud: bare-metal analysis-based evasive malware detection, ACM, 2014, pp. 287–301, ISBN 978-1-931971-15-7.
  27. ^ "The Four Most Common Evasive Techniques Used by Malware", su tripwire.com. URL consultato il 28 aprile 2016.
  28. ^ Young, Adam; Yung, Moti, "Deniable Password Snatching: On the Possibility of Evasive Electronic Espionage", 1997, pp. 224–235, ISBN 0-8186-7828-3.
  29. ^ "Latest adware disables antivirus software", su yahoo.com. URL consultato il 29 aprile 2016.
  30. ^ Staff, SPIEGEL, "Inside TAO: Documents Reveal Top NSA Hacking Unit", su spiegel.de. URL consultato il 28 aprile 2016.
  31. ^ Edwards, John, "Top Zombie, Trojan Horse and Bot Threats", su itsecurity.com. URL consultato il 28 aprile 2016 (archiviato dall'url originale il 9 febbraio 2017).
  32. ^ Appelbaum, Jacob, "Shopping for Spy Gear:Catalog Advertises NSA Toolbox", su spiegel.de. URL consultato il 28 aprile 2016.
  33. ^ Trend Micro, "Spyware/Grayware", su docs.trendmicro.com. URL consultato il 30 aprile 2016.
  34. ^ malwarebytes.org, "PUP Criteria", su malwarebytes.org. URL consultato il 30 aprile 2016.
  35. ^ "All about Malware and Information Privacy", su techacute.com. URL consultato il 28 aprile 2016.
  36. ^ McDowell, Mindi, "Understanding Hidden Threats: Rootkits and Botnets", su us-cert.gov. URL consultato il 28 aprile 2016.
  37. ^ "Catb.org", su catb.org. URL consultato il 28 aprile 2016.
  38. ^ NORTH CAROLINA STATE UNIVERSITY, "Peer To Peer Information", su oit.ncsu.edu. URL consultato il 27 aprile 2016 (archiviato dall'url originale il 2 luglio 2015).
  39. ^ "A taxonomy of computer program security flaws, with examples", su dtic.mil. URL consultato il 28 aprile 2016 (archiviato dall'url originale l'8 aprile 2013).
  40. ^ "Trojan Horse Definition", su techterms.com. URL consultato il 28 aprile 2016.
  41. ^ "Trojan horse", su webopedia.com. URL consultato il 28 aprile 2016.
  42. ^ "What is Trojan horse? – Definition from Whatis.com", su searchsecurity.techtarget.com. URL consultato il 28 aprile 2016.
  43. ^ Symantec Corporation, "What is the difference between viruses, worms, and Trojans?", su symantec.com. URL consultato il 28 aprile 2016.
  44. ^ "VIRUS-L/comp.virus Frequently Asked Questions (FAQ) v2.00 (Question B3: What is a Trojan Horse?)", su faqs.org. URL consultato il 28 aprile 2016.
  45. ^ Indiana University, "What are viruses, worms, and Trojan horses?", su kb.iu.edu. URL consultato il 28 aprile 2016.
  46. ^ Britannica.com, "computer virus – Encyclopedia Britannica", su britannica.com. URL consultato il 28 aprile 016.
  47. ^ "Microsoft ends support for old Internet Explorer versions", su welivesecurity.com, 12 gennaio 2016. URL consultato il 29 aprile 2016.
  48. ^ Rashid, Fahmida Y., "Updated Browsers Still Vulnerable to Attack if Plugins Are Outdated", su securitywatch.pcmag.com, 27 novembre 2012. URL consultato il 29 aprile 2016 (archiviato dall'url originale il 9 aprile 2016).
  49. ^ Danchev, Dancho, "Kaspersky: 12 different vulnerabilities detected on every PC", su zdnet.com, 18 agosto 2011. URL consultato il 29 aprile 2016.
  50. ^ "Adobe Security bulletins and advisories", su adobe.com. URL consultato il 29 aprile 2016.
  51. ^ "USB devices spreading viruses", su cnet.com. URL consultato il 29 aprile 2016.
  52. ^ (EN) Urupoj Kanlayasiri e Surasak Sanguanpong, Key Factors Influencing Worm Infection in Enterprise Networks (PDF), su springerlink.com. URL consultato il 9 ottobre 2022 (archiviato dall'url originale il 9 agosto 2019).
  53. ^ How Does Anti-Malware Work?, su classroom.synonym.com. URL consultato il 30 aprile 2016.
  54. ^ "How Antivirus Software Works?", su antivirus.comodo.com. URL consultato il 30 aprile 2016.
  55. ^ "How do I remove a computer virus?", su windows.microsoft.com. URL consultato il 30 aprile 2016.
  56. ^ "Microsoft Safety Scanner", su microsoft.com. URL consultato il 30 aprile 2016.

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàThesaurus BNCF 71098 · LCCN (ENsh2009005103 · GND (DE4687059-3 · J9U (ENHE987007540770705171