IT SECURITY Malware Definizione e funzione Il termine malware identifica tutta la famiglia di programmi e di sottoprogrammi capaci di recare danno al contenuto di un computer o all’attività del suo utilizzatore. Attacco (termine militare) – tentativo dei malware di introdursi nei computer o nelle reti dei computer Il malware comprende numerose famiglie di software “maligno” dalle quali occorre difendersi Trojan – Riesce a penetrare facilmente nel disco del computer perché si nasconde all’interno di un altro programma Rootkit – Hanno lo scopo di prendere possesso del computer attaccato. Chi manovra questo tipo di malware può disporre di istruzioni capaci di aggirare le difese naturali del SO – Programmi che s’insediano nel computer utilizzando una “porta sul retro” già aperta da altri programmi (ad es. Emule e Skype)e per questo sono difficilmente individuabili da programmi antivirus. Viene creato un collegamento tra computer attaccante e computer attaccato. Dal PC attaccante possono arrivare un gran numero di comandi che il computer attaccato esegue. Backdoor Tipi Nel campo dei malware ci sono due famiglie di software pericolose: – Non hanno bisogno di associarsi ad un programma per insediarsi in un PC. Non provocano danni diretti (H/S) ma determinano uno danno alle prestazioni perché la loro attività consiste nel replicarsi all’infinito (fanno una copia continua di se stessi), e questo comporta uno uso sproporzionato di spazio nel disco, di RAM e di cicli nella CPU Worm – Hanno la caratteristica di essere particolarmente infettivi, ossia passano da un computer all’altro attraverso i collegamenti di rete. A differenza dei worm, i virus hanno bisogno di un programma che li ospiti. Durante l’autoreplicazione, la CPU può guastarsi per il calore, perché i virus possono essere programmati per far funzionare la CPU in condizioni di overclocking (velocità di esecuzione delle operazioni più alta del normale) Virus Esistono alte categorie di malware che vanno sotto il nome di: Adware – Programmi che includono al loro interno degli avvisi pubblicitari o banner. Inoltre violano la privacy dell’utente perché trasmettono ai server remoti le scelte di navigazione Internet. In fase di installazione può indurre l’utente a scaricare software differente da quello voluto – È un software progettato per raccogliere informazioni circa i siti visitati dall’utente e trasmetterle a un server remoto dove qualcuno le utilizzerà a scopi commerciali o di raggiro. Anche gli spyware hanno bisogno di un programma ospite, quindi la via di trasmissione utilizzata sono i programmi in rete “gratuiti”. E sempre bene guardarsi dai siti del tipo :”Scarica è gratis!”. Spyware – È una rete di computer infestati da software malevolo di tipo trojan, collegata a Internet. La rete è controllata remotamente da un server pirata. La via d’infezione principale della rete sono i collegamenti peer-to-peer (Emule). Tutti i computer collegati alla botnet sono soggetti agli attacchi che provengono dal server pirata. Botnet – Malware che, una volta installato nel computer attraverso un trojan, rimane sempre attivo e invia a un server remoto, la sequenza dei tasti premuti dall’operatore, compresa quella relativa alla digitazione di numeri di carte di credito e password. Può essere bloccato ricorrendo ad un’opportuna programmazione del firewall. Keylogger Keystroke logging – attività svolta dal keylogger – Fa effettuare automaticamente una chiamata telefonica a un numero di utenza, spesso estera, ad alti costi di utilizzo e di sostituire questa connessione con quella Internet, normalmente prevista nel computer che è stato infestato. Il risultato sono inaspettati costi delle bollette telefoniche. Dialer Il raggiro è possibile solo per collegamenti a Internet, fatti via modem analgico Protezione Nonostante l’uso del firewall fa un’attenta analisi, opportuna per la protezione del PC, è bene sempre dotare il computer di un buon sistema antivirus, capace di riparare il danno in caso di infezione. I programmi antivirus sono in grado di scandire le memorie del computer per ricercare del codice sospetto che viene immediatamente comparato con modelli di codice malware conosciuti (definizioni o firme, impronte). Se il codice esaminato corrisponde a una definizione, viene qualificato come malware e messo in condizione di non nuocere. Se non esiste la certezza che il codice esaminato sia del malware, il programma antivirus lo isola in una zona virtuale denominata quarantena. È importante che il file delle definizioni, sia costantemente aggiornato via internet Il programma così: Viene messo a conoscenza del malware appena messo in circolazione Può qualificare definitivamente come tali (malware) i file messi in quarantena Non sempre il programma è in grado di individuare il malware installato nel computer. ANTIVIRUS - Modi di operare Il programma risiede nel disco fisso e può essere richiamato per scandire un disco esterno (es. chiavetta USB) o una cartella o un allegato di posta. In questo modo il programma non è responsabile del decadimento delle prestazioni del PC. Per contro il pc è esposto a rischi se l’operatore non agisce in maniera accorta Il programma è sempre attivo e prevede scansioni programmate delle memorie, scandisce gli allegati di posta, interviene all’inserimento di una chiavetta USB o qualsiasi altro dispositivo di memoria. Il computer è al sicuro da tutti i rischi Può assorbire così tante risorse di sistema, che potrebbe dare l’impressione che tutto il computer sia a disposizione del programma Evoluzione dei SO I moderni SO tendono a incorporare determinate sicurezze: Software firewall Software anti-spyware (Microsoft defender) Programma antivirus Microsoft Security Essentials (quelli più recenti)