Minacce informatiche, disamina e classificazione


I nostri dispositivi elettronici sono costantemente messi in pericolo da minacce di diverso tipo. Nel tempo i sistemi operativi che li alimentano sono cresciuti molto, rafforzando anche le loro linee difensive ma, di pari passo, anche i pericoli sono cresciuti e continuano a farlo in modo costante.

In questo articolo vedremo tutti i tipi di minacce alle quali possiamo incorrere durante l'utilizzo dei nostri apparecchi elettronici andando ad analizzare: aspetti storici, mezzi di trasmissione e le conseguenze che portano.

Exploit

  • Descrizione: essi sono dei software malevoli, che possono essere di diverso tipo, che sfruttano una vulnerabilità software di un sistema operativo per ottenere i privilegi amministrativi.
  • Metodi di trasmissione: il maggior metodo di distribuzione sono una rete di computer connessi ad Internet. Talvolta il creatore dell'exploit inserisce il suo codice in un server con lo scopo di diffonderlo il più velocemente possibile.Spesso questo tipo di malware vengono inseriti in pagine web dall'aspetto innocente ed iniettati inconsapevolmente nei computer degli utenti tramite "drive by" download (in questo tipo di download, il computer viene infettato solo perché è stato visitato un sito Web contenente codice malevolo).
  • Ciclo vitale: l'exploit viene creato e diffuso dal programmatore, si verificano le condizioni adatte all'infezione di un sistema e ad attuare le azioni dannose per le quali è stato pensato, il motore euristico del nostro antivirus rileva comportamenti anomali o la casa produttrice del nostro sistema operativo rilascia una patch correttiva, l'exploit viene estirpato dal computer.Da sottolineare come nel Deep Web, il loro valore economico è alto nel periodo di rischio, ovvero quel periodo che intercorre tra l'annuncio di una vulnerabilità e la fornitura di una correzione da parte del produttore. Dopo che quest'ultimo rilascia una patch correttiva, comunque si continua a diffondere il software malevolo in quanto spesso gli utenti sottovalutano la grande importanza degli aggiornamenti e restano vulnerabili.Considerando che il tempo medio di rischio pari a 56 giorni, è facile prevedere che alcuni computer rimangano scoperti ad un exploit per mesi, se non anni.
  • Scopo: l'exploit per eccellenza è "crime-ware" che ha come unico scopo quello di estorcere denaro o dati sensibili dai computer degli utenti a beneficio di una terza parte.
  • Conseguenze dell'infezione: un sistema infetto da un exploit è un sistema violato tramite una sua vulnerabilità o quella di un programma installato in esso. Gli exploit possono essere di diversi tipi (virus, worm, eccetera) ed a seconda della categoria avrà uno scopo ed una conseguenza sul nostro apparecchio differente.
  • Cura: gli exploit sono sfruttati da software malevoli di diverso tipo, dunque per debellarli dal nostro computer occorre fare riferimento alle istruzioni per la categoria di malware specifico che ci ha colpito.
  • Prevenzione: occorre utilizzare un buon antimalware (I software malevoli sono di tanti tipi, ma la maggior parte ha delle matrici comportamentali simili che permettono agli antivirus di poterli rilevare tramite il loro motore euristico), firewall, VPN e reti Wi-Fi sicure.Occorre inoltre mantenere aggiornato il sistema operativo e tutto il software che viene eseguito in esso, in aggiunta è consigliato navigare solo in siti con certificato SSL (Security Socket Layer), che consente lo scambio sicuro di informazioni tra l'utente e il sito visitato.
  • Curiosità: Negli ultimi anni si è notato un aumento significativo del numero di exploit zero-day (ossia quelli che sfruttano una vulnerabilità di sicurezza non pubblicamente nota) utilizzato per effettuare attacchi Internet. Si ipotizza che questo incremento possa essere dovuto al crescente livello di cooperazione tra attaccanti e professionisti del settore IT, entrambi desiderosi di sfruttare queste vulnerabilità per profitto.

Virus

  • Descrizione: Esso è appartenente alla categoria del malware (software malevoli) ed ha lo stesso nome degli agenti nocivi in campo biologico poiché si comporta in maniera analoga.
  • Metodi di trasmissione: Dalla metà degli anni 90, con la diffusione di internet, i virus ed i cosiddetti malware in generale, si diffondono molto velocemente usando la rete e lo scambio di e-mail come fonte per nuove infezioni. Essi, di solito, sono software contenenti poche istruzioni e, di conseguenza, dal peso molto ridotto; in questo modo riescono a mascherarsi in maniera più efficace (per ottenere questo risultato spesso si utilizzano linguaggi di programmazione a basso livello come l'assembly). Un virus non è un software indipendente, esso è un frammento di codice che non può essere eseguito separatamente da un programma ospite.
  • Ciclo vitale: il virus viene creato e diffuso dal programmatore, si posiziona in un dispositivo ma resta in incubazione al suo interno senza agire, si verificano le condizioni adatte all'attivazione del virus che procede ad infettare il sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, si diffonde infettando sia file nella stessa macchina che altri sistemi, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura (tendenzialmente entro un'ora dalla sua diffusione), il virus viene estirpato dal sistema. Questo sottolinea l'importanza di mantenere costantemente aggiornato il nostro software antivirus con le ultime definizioni ed il sistema operativo con le ultime patch.
  • Scopo: I virus informatici, proprio come quelli biologici, hanno come obiettivo principale la loro riproduzione di massa. Non appena un dispositivo viene infettato esso cercherà di replicarsi e diffondersi il più possibile cercando di rendere invisibile il suo operato all'utente (la loro pericolosità è variabile in quanto potrebbero avere anche altre finalità come cancellare o rovinare dei file, formattare l'hard disk, aprire delle backdoor, far apparire messaggi, disegni o modificare l'aspetto del video, installare altri malware eccetera).
  • Conseguenze dell'infezione: I virus comportano un certo spreco di risorse come RAM, CPU eccetera (tendenzialmente cercano di ridurne l'utilizzo per mascherare la loro presenza ma non sempre è così, dipende dal loro obiettivo) e possono provocare un surriscaldamento dell'apparecchio, ma i problemi a livello hardware che possono provocare si limitano a questo. I veri danni vengono provocati a livello software, essi infatti danneggiano il sistema che li ospita, provocando rallentamenti o addirittura rendendolo inutilizzabile.
  • Cura: per "curare" un dispositivo affetto da virus vi sono due strade: affidarsi ad un software antivirus o andare ad eliminare le sue tracce e correggere i danni fatti in giro per il sistema operativo manualmente, affidandosi a delle guide sul web relative specificatamente all'infezione in corso nel nostro apparecchio.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Storia: Il concetto di software autoreplicante nacque nel 1949 per mano di John von Neumann, ma il nome virus fu utilizzato per la prima volta solo nel 1972 da David Gerrold in un film di fantascienza, mentre la sua prima classificazione vera e propria arrivò solo nel 1984 da Fred Cohen che ne diede la seguente definizione "Un virus informatico è un programma che ricorsivamente ed esplicitamente copia una versione possibilmente evoluta di sé stesso".
    Il primo software della storia denominato come virus fu realizzato sul DOS 3.3 di Apple da Rich Skrenta nel 1982. Esso si propagò tramite i floppy disk così come quasi tutti i virus degli anni 80 fino alla prima metà degli anni 90.
  • Curiosità: Il sistema operativo maggiormente bersagliato è Windows. Esso, nonostante i passi da gigante compiuti in ambito sicurezza nell'ultima decade, ha una struttura di permessi più debole rispetto ai sistemi unix-like, ed è anche il più utilizzato al mondo. Dunque un target molto invitante per ottenere una buona propagazione di un software malevolo.
    In Linux e Mac OS, al contrario, la diffusione di virus finora è stata piuttosto limitata grazie al loro solido meccanismo dei permessi e la loro minore quantità di utenza.
    Ad esempio uno dei primi virus (un trojan per la precisione) per Linux, di nome Bliss, doveva infatti essere installato ed essere eseguito in modalità superutente (root, paragonabile all'esecuzione come amministratore in ambiente Windows); L'hacker britannico Alan Cox lo definì "un giocattolo".
    Tutti i sistemi sopra citati utilizzano un utente nascosto a privilegi elevati (Windows: Administrator, Linux e Mac OX: superuser) mentre l'utente ha un account con privilegi limitati. Le infezioni si limitano esclusivamente a quest'ultimo, con un impatto sull'intero sistema estremamente ridotto (in quanto tutti i file vitali sono intoccabili dai software eseguiti dall'utente, salvo vengano volutamente avviati con privilegi elevati). Purtroppo però il sistema di permessi di Windows risulta più debole di quelli adottati dalla concorrenza e spesso è vittima di "privilege escalation".

Trojan horse

  • Descrizione: Esso è appartenente alla categoria del malware (software malevoli), ed ha come nome "cavallo di Troia" poiché la sua caratteristica è quella di camuffarsi all'interno di un altro programma, apparendo un qualcosa di utile ed innocuo nascondendo la sua vera natura dannosa.
  • Metodi di trasmissione: Essi, differentemente dai virus, non possono auto replicarsi; dunque necessitano di un azione da parte dell'utente per procedere con l'infezione e, tendenzialmente, si diffondono principalmente tramite l'inganno; travestendosi da software interessanti.
    Prima dell'avvento del web il contagio si propagava attraverso il caricamento e lo scaricamento di programmi infetti dalle BBS (Bullettin Board System) alle quali ci si collegava tramite modem (il codice maligno si nascondeva nei software che si scaricava). L'azione di diffusione dei trojan è attribuita agli hackers.
  • Ciclo vitale: il trojan viene creato e diffuso dal programmatore, si verificano le condizioni adatte per l'infezione di un sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura, il malware viene estirpato dal sistema.
  • Scopo: questo tipo di software malevolo è composto, solitamente, da un file server che viene installato nel sistema operativo infetto e un file client tramite il quale il suo creatore potrà inviare istruzioni da far eseguire al server. Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.
    Le sue varianti di ultima generazione possono anche contribuire alla creazione di una Botnet e, utilizzando tecniche di Rootkit, hanno una migliore capacità di camuffamento all'interno del sistema.
    La loro diffusione è in costante crescita e non sempre gli antivirus riescono a scovarli e/o eliminarli, di conseguenza i Trojan andranno a danneggiare il sistema ospite così da poter essere individuati e rimossi solo tramite l'eliminazione totale dei dati ad opera di un informatico esperto.
  • Conseguenze dell'infezione: i Trojan potrebbero causare rallentamenti di sistema, perdita di dati, o operare per altri scopi in maniera del tutto invisibile a noi utenti.
  • Cura: prima di tutto occorre entrare a conoscenza di quale tipo di Trojan ha infettato la nostra macchina, infatti alcune sue varianti come il Cryptolocker sono estirpabili solo tramite la formattazione.
    Qualora il Trojan che ci ha colpito sia debellabile occorre utilizzare sistemi di rimozione specifici per la sua versione o un software antimalware generico.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Storia: uno dei primi Trojan a fare la sua apparizione fu Gotcha. Esso creò molti danni e si camuffava da visualizzatore grafico di file, mentre in realtà andava ad eliminare i dati nel nostro disco rigido.
    La propagazione di questo tipo di codice malevolo fu addirittura menzionata, il 22/05/1987, dal Corriere della Sera con un articolo sulla sua diffusione negli Stati Uniti.
    Uno dei casi più famosi che vide un Trojan come protagonista, fu nel 2011 quello del "Trojan di stato" della Germania, utilizzato a fini intercettativi fin dal 2009 dietro una specifica ordinanza del tribunale che ne permetteva l'uso nei confronti del soggetto finale.
  • Curiosità: L'azione di diffusione dei trojan è uno dei primi argomenti di questo tipo, se non il primo, ad essere trattato sulla stampa generalista italiana.

Spyware

  • Descrizione: Esso è appartenente alla categoria del malware (software malevoli), ed ha come nome "software spia" poiché la sua caratteristica è quella di spiare le azioni ed i dati personali dell'utente.
  • Metodi di trasmissione: Essi, differentemente dai virus e similmente ai trojan, non possono auto replicarsi; dunque necessitano di un azione da parte dell'utente per procedere con l'infezione e, tendenzialmente, si diffondono principalmente tramite le tecniche di ingegneria sociale.
    A volte in rete vi sono software pubblicizzati come gratuiti che in realtà nascondono al loro interno uno spyware che andrà a rilevare i vostri dati personali, possiamo dunque considerare i vostri dati il pagamento coatto al programma. Se, invece, un software avvisa della presenza di uno spyware al suo interno, si definisce con "licenza adware".
    Questi software malevoli possono essere installati sui dispositivi delle vittime in maniera ancora più subdola, ossia attraverso delle pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser e/o dei loro plug-in; in questo caso si parla di drive by download (o installazione tramite exploit).
    In alcuni casi il meccanismo dei cookies può assumere connotazioni e scopi simili a quelli degli spyware, ma generalmente con rischi nettamente più limitati per l'utente e con efficacia limitata al sito web che li usa.
  • Ciclo vitale: lo spyware viene creato e diffuso dal programmatore, si verificano le condizioni adatte per l'infezione di un sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura, il malware viene estirpato dal sistema.
  • Scopo: gli spyware costituiscono una minaccia per la privacy di noi utenti, in quanto carpiscono senza autorizzazione informazioni sul nostro comportamento quando siamo collegati alla rete: tempo medio di navigazione, orari di connessione, siti Web visitati, se non dati più riservati come gli indirizzi e-mail e le password.
    Le informazioni raccolte vengono inviate ad un computer remoto che provvede ad inviare pubblicità mirata sulle preferenze ricavate dall'analisi del comportamento di navigazione. Gli annunci possono essere ricevuti sotto forma di pop-up, banner nei siti Web visitati o nel programma contenente lo spyware o, nei casi più invasivi, posta elettronica non richiesta (spam).
    Talvolta lo spyware è utilizzato da vere e proprie organizzazioni criminali, il cui obiettivo è utilizzare le informazioni raccolte per furti di denaro tramite i dati di home banking o tramite i numeri di carta di credito.
    Nessuno spyware ha lo scopo di rendere inutilizzabile il sistema su cui è installato, dato che esso deve essere funzionante per consentire la raccolta e l'invio delle informazioni. Alcuni malfunzionamenti sono tuttavia piuttosto comuni, soprattutto nel caso si accumulino molti spyware.
  • Conseguenze dell'infezione: essi comportano un decadimento delle prestazioni del nostro PC in determinate circostanze quali la navigazione in rete (che rallenta a causa di un eccessivo utilizzo di banda della connessione ad Internet) ed uno spreco di risorse di RAM e CPU.
  • Cura: utilizzare software antispyware per debellarli dal nostro dispositivo ed aggiornare con regolarità il nostro sistema operativo e il nostro browser.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Curiosità: alcuni spyware hanno persino la capacità di ingannarci e portarci a credere che il nostro firewall non stia funzionando correttamente, simulando messaggi di errore di applicazioni legittime allo scopo di indurre l'utente a concedere l'accesso ad Internet al componente spyware, se non addirittura a disabilitare o disinstallare il firewall stesso.

Rootkit

  • Descrizione: rootkit deriva da "root" (utente con privilegi massimi nei sistemi unix-like) e "kit" (ossia il software che implementa lo strumento). Esso è un software malevolo che consente, ad utenti non autorizzati, l'accesso ad un computer.
  • Metodi di trasmissione: questo software può installarsi in modo autonomo oppure manualmente da un cracker con accesso fisico al computer.
  • Ciclo vitale: il rootkit viene creato e diffuso dal programmatore, si verificano le condizioni adatte per l'infezione di un sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura, il malware viene estirpato dal sistema.
  • Scopo: i rootkit hanno lo scopo di consentire l'accesso ad un sistema, o ad una parte di esso, altrimenti inaccessibile (per esempio da parte di un utente non autorizzato). Oltre a ciò essi si preoccupano di camuffare la loro presenza e quella di altri software utili al raggiungimento dello scopo.
    I rootkit di ultima generazione vengono utilizzati per lo più per mascherare altro software (presumibilmente malevolo) rendendolo invisibile.
  • Conseguenze dell'infezione: questo software consente all'attaccante di ottenere accesso di tipo amministrativo nel computer sfruttando, per esempio, una vulnerabilità nota (come Privilege Escalation) o scoprendo una password (ottenuta tramite Cracking o Ingegneria Sociale). Una volta installato il Rootkit, esso cercherà di rendere il più trasparente possibile la sua presenza, così da poter mantenere i privilegi ottenuti. La chiave di questo attacco sta quindi nei permessi di root o Amministratore. Con questi permessi è possibile avere un controllo completo del sistema, questo include anche modificare software, compreso quello nato per rilevarli e bloccarli (come gli antivirus).
  • Cura: rimuovere i rootkit è una procedura piuttosto complessa ma esistono diversi software di sicurezza con tool specifici per la loro rilevazione e rimozione. Personalmente trovo che questo tipo di software abbia una capacità di annidarsi nel sistema talmente invasiva, da consigliare la scansione dell'hard disk tramite un antivirus live o la formattazione del sistema per essere davvero certi di essercene liberati.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Storia: il primo rootkit vero e proprio fu creato da Lane Davis e Steven Dake nel 1990 per i sistemi SunOs UNIX della Sun Microsystem, ma il concetto del suo funzionamento fu realizzato nel 1983 da Ken Thompson (uno dei creatori di Unix). Egli ha teorizzato un compilatore alterato con la capacità di rilevare la password immessa dall'utente per accedere al sistema tramite la generazione di codice alterato a seguito della compilazione dei comandi Unix per il login, con la capacità di accettare la password corretta dell'utente e una password addizionale che funge da "backdoor" (conosciuta solo dall'attaccante).
    Inoltre il compilatore alterato avrebbe rilevato tentativi di compilare una nuova versione del compilatore stesso, inserendo così lo stesso exploit in quello nuovo. Una revisione del codice sorgente del comando di login o l'aggiornamento del compilatore non avrebbe rivelato nessun codice malevolo. Questo exploit era l'equivalente di un rootkit.
  • Curiosità: alcuni dei software malevoli della categoria più noti sono stati "FU" e "NT" Rootkit, oltre che ad uno presente nel sistema operativo della PlayStation 3 (versione 3.56 o superiori).
    Quest'ultimo è stato inserito nella console volutamente dalla casa madre (Sony) attraverso un aggiornamento. Il suo scopo era quello di prevenire l'accesso a PlayStation Network dai dispositivi modificati, con successivo ban dell'Indirizzo MAC della loro scheda di rete.

Keylogger

  • Descrizione: esso è un software capace lo sniffing della tastiera di un computer, ossia è in grado di intercettare e catturare segretamente tutto ciò che viene digitato sulla tastiera senza che l'utente si accorga di nulla.
  • Metodi di trasmissione: i keylogger possono essere di due tipi: hardware e software. Il primo è, si solito, costituito da un dispositivo che si frappone fra il cavo della tastiera ed il computer o si pone all'interno della tastiera stessa. Il secondo, invece, è un programma malevolo che può essere contratto con un uso incauto della rete o dell'apertura di file di origine sconosciuta.
  • Ciclo vitale: il keylogger viene creato e diffuso dal programmatore, si verificano le condizioni adatte per l'infezione di un sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura, il malware viene estirpato dal sistema.
  • Scopo: esso è un software creato appositamente per rilevare e memorizzare la sequenza dei pulsanti che viene digitata sulla tastiera del computer che deve essere monitorato. Questi dati possono anche venire trasmessi in remoto senza la necessità di dover accedere fisicamente al computer. Normalmente l'esecuzione del programma è nascosta.
  • Conseguenze dell'infezione: i keylogger, mentre svolgono la loro attività di monitoraggio, sono invisibili all'utente. Il computer infetto non manifesterà sintomi particolari come rallentamenti o altro, dunque può essere complesso accorgersi dell'infezione.
  • Cura: Nel caso di un keylogger software è possibile affidarsi a numeri strumenti e software "antikeylogger" che possono venirci in aiuto. Nel caso di un keylogger hardware occorre controllare l'integrità del nostro cablaggio e/o della tastiera.
  • Prevenzione: le principali contromisure per proteggerci dai keylogger quando accediamo con delle credenziali molto importanti sono: utilizzare un buon antivirus dotato di funzione antikeylogger, utilizzare un firewall che impedisca la comunicazione verso l'esterno dei dati raccolti da un eventuale software di questo tipo nel computer, utilizzare tastiere virtuali (ad esempio la tastiera su schermo offerta da Windows), utilizzare OTP (One Time Password), utilizzare sistemi operativi live senza possibilità di scrittura per effettuare login in aree delicate e utilizzare il riconoscimento vocale per dettare il testo.
  • Storia: Il primo keylogger è stato realizzato da erry Kivolowitz e pubblicato sui newsgroup Usenet net.unix-wizards e net.sources il 17 novembre 1983. Il suo primo utilizzo pratico avvenne negli '70 per mano di un gruppo di spie che installarono il suddetto software malevolo nell'ambasciata degli Stati Uniti, al consolato di Mosca ed a San Pietroburgo all'interno delle macchine da scrivere.
  • Curiosità: Le ambasciate sovietiche si servivano di mezzi analogici e non digitali per la scrittura di informazioni riservate proprio perché, apparentemente, immune ai keylogger. Fino Al 2013, i servizi speciali russi hanno continuato ad utilizzare macchine da scrivere.

Worm

  • Descrizione: worm, letteralmente "verme", è un software malevolo simile ad un virus (ossia in grado di auto replicarsi) ma, differentemente da quest'ultimo per diffondersi non necessita di legarsi ad altri eseguibili.
  • Metodi di trasmissione: esso di solito modifica il dispositivo che infetta per fa sì che si auto esegua ad ogni avvio e, per propagarsi, si spedisce ad altri computer (ad esempio tramite e-mail, una rete di computer o addirittura attraversi i circuiti di file sharing).
  • Ciclo vitale: il worm viene creato e diffuso dal programmatore, si verificano le condizioni adatte per l'infezione di un sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura, il malware viene estirpato dal sistema.
  • Scopo: I worm hanno come obiettivo principale la loro riproduzione di massa. Non appena un dispositivo viene infettato esso cercherà di replicarsi e diffondersi il più possibile cercando di rendere invisibile il suo operato all'utente (proprio come per i virus la loro pericolosità è variabile in quanto potrebbero avere anche altre finalità come cancellare o rovinare dei file, formattare l'hard disk, aprire delle backdoor, far apparire messaggi, disegni o modificare l'aspetto del video, installare altri malware eccetera).
  • Cura: per "curare" un dispositivo da un worm vi sono due strade: affidarsi ad un software antivirus o andare ad eliminare le sue tracce e correggere i danni fatti in giro per il sistema operativo manualmente, affidandosi a delle guide sul web relative specificatamente all'infezione in corso nel nostro apparecchio.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Storia: il concetto di worm deriva da quello di virus (il worm è una sottocategoria), dunque le loro origini sono strettamente collegate. Possiamo aggiungere a quanto detto nella sezione "VIRUS" che il termine "worm" è stato utilizzato per la prima volta nel film di fantascienza intitolato, nella versione italiana, "Codice 4GH" e nella versione originale "The Shockwave Rider" di John Brunner uscito nel 1975.
  • Curiosità: uno dei primi worm diffusi fu "Morris worm" creato, per l'appunto, da Robert Morris il 2 novembre 1988. Esso colpì tra le 4000 e le 6000 unità (tra il 4% ed il 6% dei computer connessi ad Internet all'epoca).

Botnet

  • Descrizione: una botnet è una rete di computer controllati tramite malware, a loro insaputa, da un botmaster. Tali dispositivi facenti parte della rete vengono definiti "zombie" poiché privi di agire secondo la loro volontà ma controllati remotamente.
  • Metodi di trasmissione: le nostre macchine entrano, loro malgrado, a far parte di una botnet per via di un malware (nello specifico, spesso si tratta di un trojan) che il botmaster sfrutta per controllare il nostro sistema tramite accesso remoto.
  • Ciclo vitale: il programmatore crea un malware con il quale entrare in possesso di una rete di computer, essi vengono sfruttati per effettuare azioni malevole di diverso genere, con il passare del tempo i dispositivi che compongono la rete vengono mano a mano scissi dalla botnet (tramite uso di antivirus o software della categoria, per via di eventuali formattazioni dei computer o altri eventi simili), la botnet cessa di esistere.
  • Scopo: i computer infettati, e membri di una botnet, possono scagliare attacchi, denominati, Distributed Denial of Service contro altri sistemi e/o compiere altre operazioni illecite, in taluni casi persino su commissione di organizzazioni criminali.
    Ultimamente il loro utilizzo, per guadagnare soldi illegalmente, da parte della criminalità organizzata è aumentato. I botmaster, infatti, dopo aver creato una botnet vendono i servizi che essa può fornire a clienti che vogliono compiere azioni illecite. Tra le azioni che le botnet hanno a "catalogo" ci sono: Denial of service (attacco massivo contro qualcuno), diffusione di spam (campagne di spam con lo scopo di vendere prodotti, spesso illegali), phishing (campagne di spam con lo scopo di carpire credenziali a scopo di furto, riciclaggio, eccetera), gestire blackmail, ospitare contenuti illegali, installare spyware ed altro ancora.
  • Cura: per liberare il proprio computer da una botnet, occorre debellare il malware che lo ha infettato tramite un software specifico in base alla categoria di cui fa parte. Inoltre sarebbe opportuno cercare di bloccare la comunicazione con l'esterno del pc tramite un buon firewall.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Storia: la prima botnet nacque nel 2005 grazie al worm "MyTob" che riuscì ad effettuare un attacco di massa via mail. MyTob segnò l'inizio dell'era delle botnet e di una nuova forma di crimine virtuale. Queste reti di computer manipolabili costituiscono di un modello di business concepito per monetizzare le infezioni a catena di migliaia o milioni di dispositivi (alcune botnet hanno interessato fino a 20 milioni di macchine). Un modello capace di generare oggi un giro d'affari di diversi miliardi di dollari l'anno.
  • Curiosità: tra il 2000 ed il 2010 sono nate decine di botnet, le due più note sono state diffuse tramite trojan su sistemi Microsoft Windows ed erano: ZeroAccess (sfruttata per l'estrazione di Bitcoin o per frodi a servizi pubblicitari pay per click) e Torpig (usata principalmente per il furto di dati personali e bancari).

Backdoor

  • Descrizione: la backdoor, letteralmente "porta sul retro", è un mezzo per ottenere accesso, bypassando la normale autenticazione, in un prodotto, un sistema informatico, un crittosistema o un algoritmo.
  • Metodi di trasmissione: il maggior veicolo di trasmissione è la rete o lo scambio di file infetti con altri utenti.
  • Ciclo vitale: la backdoor viene creata e diffusa dal programmatore, si verificano le condizioni adatte per l'infezione di un sistema ospite e ad attuare le azioni dannose per le quali è stato pensato, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura, il malware viene estirpato dal sistema.
  • Scopo: il loro principale obiettivo è quello di superare le difese imposte da un sistema, come può essere un firewall, al fine di accedere in remoto a un personal computer, ottenendo per mezzo di un sistema di crittografia un'autenticazione prendendo il completo o parziale possesso del computer vittima.
    Una backdoor può celarsi segretamente all'interno di un ignaro programma di sistema, di un software di terzi, o può anche essere un componente hardware malevolo, ad esempio: apparati di rete, sistemi di sorveglianza e alcuni dispositivi di infrastruttura di comunicazione che possono avere celate al loro interno backdoor maligne permettendo l'intrusione di un eventuale criminale informatico (cracker).
  • Cura: un sistema infettato da una backdoor è molto difficile da ripristinare ad uno stato normale, tuttavia ci si può affidare a software specifici.
  • Prevenzione: occorre utilizzare un buon antimalware, firewall, VPN, reti Wi-Fi sicure e tenere un utilizzo attento del nostro computer (specialmente in rete).
  • Storia: questa minaccia è nata con l'emergere della rete Internet, i primi che rilevarono l'uso di backdoor furono Peterson e Turn. Questi ultimi parlarono, durante un'analisi di attacchi attivi, di come questo strumento fu utilizzato per bypassare strutture di sicurezza consentendo l'accesso diretto ai dati.
  • Curiosità: Nel 1993 il governo degli Stati Uniti ha tentato di implementare un sistema di crittografia, il Clipper chip, con una backdoor esplicita a cui forze dell'ordine e agli enti per la sicurezza nazionale è stata data l'autorizzazione per accedervi, ma questo chip non ha avuto successo né a livello internazionale, ne e a livello di business.

Privilege escalation

  • Descrizione: la privilege escalation, ossia "scalata dei privilegi", è una tecnica che consente di ottenere privilegi elevate ed il controllo del terminale.
  • Metodi di trasmissione: questa tecnica viene associata a malware di diverso tipo, per conoscere i metodi di trasmissione occorre fare riferimento al software malevolo a cui è legata.
  • Ciclo vitale: la falla per ottenere i privilegi amministrativi viene trovata, diffusa e sfruttata per la creazione di software malevoli che la sfruttino, essi infettano diversi computer ed attuano le azioni dannose per le quali sono stati pensati, le case produttrici di antivirus entrano a conoscenza del codice malevolo e rilasciano una cura per estirpare il malware dal sistema, la casa produttrice del sistema operativo colpito rilascia degli aggiornamenti che patchano la falla sfruttata per la privilege escalation che cessa di essere una minaccia (sui sistemi operativi adeguatamente aggiornati).
  • Scopo: questa è una tecnica che, per mezzo di una falla o un errore progettuale di un software o sistema operativo, consente l'ottenimento dei privilegi amministrativi e, di conseguenza, del controllo della macchina. Tale tecnica viene spesso associata ad un malware che, grazie ad i permessi elevati, può compiere indisturbato il proprio lavoro.
  • Cura: la privilege escalation viene associata ad un malware, dunque per "curare" un dispositivo da essa occorre agire in base al tipo di software malevolo a cui è associata.
  • Prevenzione: per proteggersi da questo fenomeno vi sono le seguenti tecniche: Data Execution Prevention (una protezione a livello di CPU), Address space layout randomization (per rendere più difficile i buffer overruns ed eseguire istruzioni privilegiate su indirizzi conosciuti in memoria), far eseguire applicazioni con il minimo privilegio (per esempio facendo girare Internet Explorer con la SID dell'Amministratore disattivata nel processo di tokenizzazione) in modo da ridurre l'abilità dell'azione buffer overrun di abusare dei privilegi di un utente elevato, richiedendo che il codice in kernel-mode abbia la firma digitale, fare l' up-to-date del software antivirus, installare le ultime patch di sicurezza del sistema e dei software, usare compilatori che ingannino il buffer overruns e Criptare il software e/o i componenti del firmware.
    Nei sistemi operativi unix-like il software viene eseguito come utente standard (e non root) per default, invece su Windows tale comportamento viene gestito in maniera differente. Per maggior informazioni leggi l'articolo *link*->"18 - Sicurezza in Windows 10, quali strumenti ci offre".
  • Curiosità: uno degli attacchi di privilege escalation più famosi è stato messo in atto attraverso l'uso del demone "cron", un processo che permetteva agli utenti la schedulazione del lavoro. Esso, in generale, veniva eseguito con privilegi elevati (utente root) ed aveva libero accesso a tutti i file di sistema ed a tutti gli account utente.
    In questo attacco il malintenzionato creò un software che aveva come directory di lavoro la medesima del demone "cron". Successivamente occorreva generare un core dump (un'immagine, o copia, della memoria RAM utilizzata dal software) o attraverso un errore del demone o attraverso la sua terminazione. Esso veniva creato (senza interruzioni da parte di meccanismi di protezione dato che sono creati dal sistema) all'interno della directory di lavoro di cui si parlava precedentemente.
    Il dump della memoria del programma attaccante aveva una struttura tale da essere formata da un insieme valido di comandi per il demone cron che poteva eseguirli come root di sistema avendo massimi privilegi.
    A questo punto l'attaccante si ritrovava un codice arbitrario che era in esecuzione come superuser. Fortunatamente questo particolare bug è stato risolto ma rimane sempre un ottimo esempio di questo tipo di attacco.

Phishing

  • Descrizione: Il phishing è una tecnica utilizzata per effettuare delle truffe su Internet. Essa consiste in un inganno messo in atto da un malintenzionato nei confronti dell'utente, per convincerlo a fornire dati personali quali dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
  • Metodi di trasmissione: il phishing avviene prevalentemente via mail. Per prima cosa il malintenzionato (detto "phisher") invia un email, almeno in apparenza, lecita (ad esempio simula di essere un istituzione nota al destinatario come la sua banca, il suo provider web o un sito di aste online a cui è iscritto) ma con eventi particolati (ad esempio problemi verificatesi con il proprio conto corrente/account come un grosso addebito o la scadenza dell'account, oppure un'offerta di denaro, eccetera) e con un link al suo interno (il quale viene esortato ad essere visitato per motivi come evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione). L'utente verrà rimandato ad un sito fasullo (creato anch'esso dal phisher) in tutto e per tutto simile a quello che va ad imitare e chiede all'utente di effettuare il login in questa pagina che ha il solo scopo di raccogliere le credenziali ed inviarle al malintenzionato (questa procedura viene chiamata "Fake login").
  • Ciclo vitale: la mail fraudolenta ed il relativo sito fasullo vengono create e diffuse dal programmatore, si verificano le condizioni adatte per ingannare alcuni utenti dei quali il malintenzionato otterrà i dati personali, l'operato del criminale viene scoperto ed il sito smantellato.
  • Cura: l'unica cosa da fare dopo che si è stati raggirati tramite phishing è: cambiare le nostre password di accesso relative all'account che ci è stato sottratto e rivolgersi alle autorità competenti.
  • Prevenzione: questo attacco sfrutta in maniera massiccia l'ingegneria sociale per ingannare l'utente, dunque il miglior metodo per prevenire di cadere nella trappola è tenere gli occhi bene aperti, controllare sempre la veridicità di messaggi mail e dei siti visitati.
    Possiamo, inoltre, avvalerci di alcuni strumenti antiphishing come componenti aggiuntivi dei browser atti a valutare la bontà di un sito, o software antivirus per proteggerci da mail fraudolente.
  • Storia: questa tecnica è stata menzionata per la prima volta nel 1987 in un trattato al International HP Users Group, Interex; ma il nome phishing è stato utilizzato per la prima volta sul newsgroup di Usenet alt.online-service.america-online il 2 gennaio 1996.
    Sono stati registrati 445'004 attacchi nel 2012, 258'461 nel 2011 e 187'203 nel 2010, mostrando che la minaccia del phishing è in aumento.
  • Scopo: il phisher che mette in atto questo attacco riesce ad entrare in possesso di dati personali sensibili della vittima (ad esempio le credenziali bancarie), che andrà ad utilizzare per l'acquisto di beni, il trasferimento di denaro o anche solo come "ponte" per ulteriori attacchi.
  • Curiosità: il tribunale di Milano nel 2007 ha emesso una sentenza per la condanna dei membri di un'associazione transnazionale dedita alla commissione di reati di phishing. Tale sentenza è stata confermata in Cassazione nel 2011.
    Sempre per mano del tribunale di Milano, nel 2008 è stata emessa un'altra sentenza dove, per la prima volta in Italia, sono stati condannati per riciclaggio alcuni soggetti che, quali financial manager, si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di phishing a danno dei correntisti italiani.
    Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che nel "bel paese" il phishing non è ancora specificatamente regolamentato, a differenza di altre legislazioni (prima fra tutte quella americana) che possiedono norme penali incriminatrici ad hoc.

Conclusione

Ora conosci in maniera sufficientemente dettagliata tutte le minacce che possono colpire i nostri dispositivi, come agiscono e perché lo fanno. Se hai trovato utile l'articolo condividilo sui social e, qualora tu voglia dire la tua, non esitare a commentare.
Stampa

Commenti

Articoli più popolari di Tecno Salotto

MacroDroid, tutte le mie migliori macro

Protezione esecuzione programmi, cos'è e a cosa serve

U.A.C. (User Account Control, Controllo Account Utente)

Windows Firewall, andiamo a scoprire il firewall di Microsoft