doclezione 22 - malware
download 
Reclamo Transcript
lezione 22 - malware
Sicurezza informatica malware Facoltà di Lettere e Filosofia anno accademico 2008/2009 secondo semestre Sicurezza informatica - Il malware Il malware è il maggior responsabile dei problemi di sicurezza informatica. Nel linguaggio comune, il malware viene indicato con il termine virus informatico, ma i virus rappresentano in realtà solo una delle tre possibili tipologie in cui il "malicious software" (letteralmente software con cattive intenzioni) viene identificato. Conoscere il malware è molto importante perché, nella gran parte dei casi, il malfunzionamento delle apparecchiature informatiche non si verifica per cause interne, ma è indotto da malware. Sicurezza informatica - Il malware Il malware è un programma. Ciò significa che il malware è un software, cioè una serie di istruzioni per il processore, scritte da un programmatore. Come per l'esecuzione di un qualsiasi software, anche le istruzioni che formano il malware vengono caricate nella memoria principale, dalla quale il processore legge le operazioni che deve eseguire al fine di svolgere un determinato compito. Un compito potrebbe essere quello di cancellare tutti i dati contenuti nella memorie di massa. Dal punto di vista del processore, questo non è necessariamente un compito dannoso o da evitare. Il processore non è stato progettato per dare dei giudizi di merito riguardo alle operazioni scritte nei programmi. Sicurezza informatica - Il malware Le peculiarità del software malware: 1. il malware ha normalmente degli effetti negativi sul sistema informatico nel quale opera, anche se esiste del malware che si limita a spaventare l'utente; 2.il malware si installa e si esegue in un sistema all'insaputa dell'utente, che spesso crede di svolgere delle altre operazioni o, molto spesso, è del tutto all'oscuro dell'attacco in corso; 3.il malware si replica autonomamente all'interno di un sistema informatico, e di altri sistemi con cui questo viene a contatto, spesso con l'ignara complicità dell'utente; 4.prima di effettuare dei danni, il malware cerca di avere una massima diffusione contagiando altri sistemi. Sicurezza informatica - Il malware Se il malware è un programma, qualcuno si è preso la briga di progettarne l'algoritmo, di implementarlo utilizzando qualche linguaggio di programmazione, di effettuare dei test sul funzionamento ed alla fine di dare il via alla sua diffusione. Come mai alcuni programmatori scrivono programmi malware? Ritorsione Vandalismo Gusto della sfida Sicurezza informatica - Il malware Gli esperti del settore hanno invece evidenziato tre tipologie di malware, suddividendolo in base al modo in cui si diffonde: Trojan horse (Cavallo di Troia) Virus Worm Sicurezza informatica - Il malware - I cavalli di Troja Si presentano come un software innocuo, un programma creato per divertire o per svolgere dei compiti di utilità, come un'animazione o una rubrica telefonica. Il pirata informatico che ha scritto il software però ha anche aggiunto delle istruzioni per il processore in modo da fargli svolgere anche delle operazioni di cui l'utente è ignaro. Danneggiare il sistema Rendere il sistema vulnerabile Può quindi succedere che, semplicemente navigando, l'utente si trovi installati dei trojan che sono riusciti a introdursi nel sistema presentadosi come programmi di utilità per la visualizzazione di pagine Web. Sicurezza informatica - Il malware - I virus I virus informatici sono dei piccoli programmi che si attaccano autonomamente ad altri programmi residenti nel sistema dell'utente. Le istruzioni per il processore che compongono il virus vengono anteposte alle istruzioni normali del programma infetto. Ogni volta che un programma infettato da virus viene eseguito, il processore prima di iniziare a leggere ed interpretare le istruzioni del programma stesso, interpreta ed esegue quelle del virus. Danneggiare il sistema Rendere il sistema vulnerabile A differenza dei trojan horse però il virus non è un programma autonomo, e quindi deve garantire in altro modo la propria diffusione.Per fare questo cerca all'interno dei supporti di memorizzazione del sistema nel quale si trova tutti i programmi già installati, e si attacca a tutti loro. Sicurezza informatica - Il malware - I worm Il modo in cui i worm si diffondono è più complesso di quello dei virus e dei trojan horse. In particolare, i worm sono in grado di diffondersi da un sistema all'altro in modo del tutto autonomo, in molti casi senza nemmeno l'inconsapevole contributo dell'utente. Possono: danneggiare il sistema rendere il sistema vulnerabile Si diffondono: tramite la posta elettronica sfruttando eventuali falle o bachi nei sistemi operativi Sicurezza informatica - Il malware - Altre tipologie Tutto il malware sviluppato fino ad ora ricade nelle tre categorie appena descritte, che del resto sono molto generali essendo legate al modo in cui il malware viene veicolato: all'interno di un programma scritto appositamente; attaccandosi ad ogni programma; viaggiando autonomamente attraverso una rete. La crescente proliferazione del malware ha portato anche alla necessità di classificarlo anche in base ad altri parametri, come ad esempio lo scopo per cui è stato creato, o il tipo di danno che provoca al sistema che attacca. Sicurezza informatica - Il malware - Altre tipologie Alcune tipologie particolari di malware: Spyware Key Logger Rootkit Dialers Browser Hijacker Wabbit Sicurezza informatica - Il malware - Altre tipologie Furto di identità “Phishing” Sicurezza informatica - Il malware - Protezione Come ci si può difendere dal malware? adottare comportamenti virtuosi; utilizzare software specifico (antivirus); utilizzare hardware specifico (firewall). Sicurezza informatica - Il malware - Protezione Evitare comportamenti a rischio: non scaricare programmi da siti Web non affidabili - potrebbero essere dei trojan horse; non scambiare programmi con altri utenti - si potrebbero trasmettere i virus; fare sempre molta attenzione con gli allegati di posta elettronica - potrebbero essere dei worm; evitare di visitare siti poco affidabili, come quelli che consentono di scaricare programmi senza pagarne la licenza - potrebbero trasmettere dei worm o dei trojan al browser; aggiornare sempre il proprio software, in modo da utilizzare l'ultima versione disponibile o le correzioni alla versione utilizzata - per minimizzare il rischio di avere delle falle di sistema. Sicurezza informatica - Il malware - Antivirus/Antimalware La protezione dal malware si basa però soprattutto sull'utilizzo di software appositamente scritto, chiamato antivirus (antimalware, antispyware, ecc.). Lo scopo di un programma antivirus è riconoscere e, se possibile, cancellare un qualsiasi malware presente nel sistema. L'operazione di controllo dell'insieme di tutti i file viene denominata scansione del sistema e viene svolta con una cadenza scelta dall'utente, a seconda dell'importanza della salvaguardia dell'integrità del sistema e dal rischio di attacchi. Durante la scansione di un file, l'antivirus legge l'intera sequenza di bit che forma il file, per controllare che una sua parte non coincida con le sequenze di bit caratteristiche del malware a lui noto, presente cioè in una lista. È fondamentale che il programma antivirus sia aggiornato costantemente in modo che la scanione avvenga con la lista dei virus più aggionrata possibile. Sicurezza informatica - Il malware - Firewall Il modo più efficace, anche se drastico, per difendere un sistema informatico dall'attacco di virus è quello di isolarlo completamente dal mondo esterno. Ovviamente il prezzo da pagare per questa sicurezza è la mancanza di comunicazione da e verso il mondo esterno, che può rendere del tutto impraticabile questa strada. Per risolvere queste necessità di un accesso controllato a Internet viene utilizzato un firewall, che significa in inglese muro ignifugo o parete taglia fuoco, che è un componente hardware utilizzato nella connessione di una rete locale che si suppone sicura e completamente accessibile da parte degli utenti locali - con Internet - per la quale vengono applicate invece delle restrizioni. I firewall che separano una rete locale da Internet possono essere sia hardware che software, con i primi normalmente più veloci dei secondi nel filtrare le informazioni.
