boot sector virus

DIREZIONE DIDATTICA DI SAN GIUSEPPE JATO
Programma Operativo Nazionale
Fondo Sociale Europeo - “Competenze per lo sviluppo”
Con il diffondersi delle comunicazioni elettroniche cresce di pari passo
la questione della sicurezza dei dati che viaggiano sulla rete e di quelli
custoditi dalle aziende, gran parte dei quali richiedono privacy e, in
molti casi, una vera e propria protezione da accessi non autorizzati,
frodi, furti, virus informatici.
In ambito privato, ma anche aziendale, oggi si opera sempre più
utilizzando documenti e archivi elettronici che costituiscono un nuovo
enorme patrimonio da salvaguardare.
Le più elementari norme di sicurezza da adottare per controllare
l’accesso alle aree protette del sistema informatico si realizzano
attraverso l’uso degli ID (identificativi) utente e delle password.
L’identificativo utente (nome utente o username) è un nome, che può
anche essere pubblico, grazie al quale il sistema attiva la procedura di
riconoscimento (login) e gli ambiti di operatività concessi al suo
proprietario; la password, privata e riservata, è di norma scelta
dall’utente stesso, ha lo scopo di verificare che l’identificativo sia di
fatto adoperato dal suo assegnatario.
Ogni volta che l’utente accede ad aree protette (sensibili) deve digitare
identificativo e password, vale a dire il suo profilo, che permette al
sistema di riconoscerlo e abilitarlo agli ambiti di operatività (accesso a
dati o a procedure e operazioni particolari) a lui riferiti.
L’uso di ID e password è frequente anche in ambito domestico. Qualora
lo stesso PC sia utilizzato da più persone è possibile definire per ognuna
il relativo account (composto da username e password), che include i
diritti e le autorizzazioni di cui l’utente dispone delineandone l’ambito
di operatività.
Affinché la “parola di accesso” sia efficace
occorre adottare una serie di accorgimenti
nella sua definizione e nel suo utilizzo, perciò è
necessario che la password:
non sia riconducibile al proprietario, quindi
non riporti date di nascita, nomi di persone
o altre informazioni a lui collegabili;
non sia divulgata né annotata su fogli o postit, ma memorizzata e mantenuta
estremamente riservata;
sia abbastanza lunga, in quanto maggiore è il
numero di caratteri di cui si compone
minore è la probabilità che possa essere
trafugata;
sia complessa, ovvero composta da numeri e
lettere, meglio se in maiuscolo e minuscolo;
sia cambiata regolarmente;
sia diversa per ogni servizio a cui si accede.
Gli archivi elettronici sono una
notevole risorsa e vanno perciò tutelati
per evitare perdite di dati dovute:
alla rottura dei dispositivi di
memorizzazione;
al malfunzionamento del sistema
operativo;
al contagio da virus;
a errori degli operatori;
ad attacco da parte di hacker;
a blackout elettrici;
a incendi o allagamenti.
La precauzione pia opportuna per tutelare software e dati si
concretizza nel fare regolarmente delle copie di sicurezza remota
(backup). Questa attività consiste nel copiare i dati su supporti di
memorizzazione esterni che vanno etichettati con l’indicazione precisa
del contenuto e della data dell’operazione.
L’attività opposta al backup, con la quale si ricaricano su disco fisso tutti
o parte degli archivi o dei software salvati, è detta restore.
I supporti di memorizzazione utilizzati dovranno essere scelti in base
alla quantità di dati da copiare: floppy, chiavetta USB, CD per piccole
quantità; DVD, nastro magnetico, o hard disk rimovibile USB per archivi
più consistenti.
Le copie vanno conservate in luogo sicuro, diverso da quello in cui si
trovano gli originali, protetto da polvere, calore e campi magnetici; la
frequenza con cui si realizzano dipende dall’attività che svolge
l’azienda: per esempio, mentre in una banca si procederà con il backup
più volte al giorno, sarà sufficiente una frequenza giornaliera in un
piccolo studio professionale.
Il firewall è un sistema di sicurezza per la protezione dei dati da accessi
non voluti, realizzato mediante un controllo di tutte le trasmissioni di
dati tra il sistema e le reti esterne. Si tratta di un apparato hardware o
software che filtra tutte le informazioni in entrata e in uscita da una
rete o un computer, applicando regole che contribuiscono alla sicurezza
e alla salvaguardia dei dati.
Nell’ambito delle reti di computer, un firewall (dall’inglese “paratia
antifuoco”) è un dispositivo hardware di difesa perimetrale che può
anche svolgere funzioni di collegamento tra due o più tronconi di rete.
Esiste un secondo tipo di firewall (software o logico), installato
direttamente sui sistemi da proteggere, che permette di impostare
delle regole che concedono o negano l’accesso a Internet da parte dei
programmi installati sull’elaboratore, e prevenire così la possibilità che
un virus possa connettere in automatico il computer all’esterno
pregiudicandone in tal modo la sicurezza.
I dati memorizzati in un elaboratore costituiscono
una preziosa risorsa privata che, proprio per tale
motivo, deve essere preservata da possibili
intrusioni o furti. Una delle regole di base da
seguire per impedire che estranei abbiano
l’accesso alla macchina consiste nell’impostare un
sistema di riconoscimento costituito da username
e password: attraverso la procedura di
autenticazione (login) solo l’utente autorizzato
potrà accedere al sistema, garantendo così
sicurezza e riservatezza. In molte aziende il
processo di autenticazione avviene attraverso la
smart card, una tessera (dotata di microchip) in
cui sono memorizzati password, firma digitale,
codici e altre informazioni che rendono “unico”
l’accesso all’elaboratore o al sistema. Durante le
pause lavorative, altro accorgimento da adottare
consiste nel disconnettersi in modo che nessuno
possa entrare nel proprio ambito di operatività.
La sottrazione di dati può avvenire anche per furto del dispositivo (PC,
portatile, palmare ecc.) in cui essi sono memorizzati. Per prevenire tale
eventualità, è bene utilizzare cavi di sicurezza. Si tratta in genere di cavi
in acciaio (dotati di lucchetto a chiave o a combinazione) di cui
un’estremità deve essere assicurata a un elemento fisso dell’ambiente
e l’altra fatta passare nell’occhiello posto a un capo del cavo; il
lucchetto di sicurezza va quindi inserito nell’apposito foro presente nel
dispositivo da proteggere. È possibile bloccare anche più componenti
dell’elaboratore, applicando con un adesivo specifico delle piastre di
sicurezza da cui far passare poi il cavo.
I virus sono programmi che penetrano nell’elaboratore per provocare
danni di tipo diverso, dalla cancellazione di file di dati all’eliminazione
di programmi, fino alla distruzione di tutto ciò che si trova sull’hard
disk. Alcuni di questi programmi sono in grado di autoinstallarsi e di
attivarsi in esecuzione, altri di replicarsi.
Una volta che il virus è penetrato in un computer porta a termine
l’azione per cui è stato programmato e l’evento dannoso può verificarsi
in modo immediato, a una certa data o all’esecuzione di un comando.
In base al modo in cui sono scritti o al modo in cui si diffondono, i virus
sono stati classificati in sette macrocategorie.
I virus di file (file infector virus) si annidano in file di programma ed
entrano in azione quando questi file vengono lanciati. La maggior
parte di questi virus si riattiva quando si avvia il computer. Nel
momento in cui si replicano in un altro programma, anch’esso
diventa portatore di virus.
I virus del settore di avvio (boot sector virus) si insediano nel
cosiddetto settore di avvio dei floppy (traccia zero). Se si utilizza il
disco infettato il virus entra in azione, si carica in memoria e si
duplica su tutti i floppy successivamente inseriti nel drive: ogni
floppy, se usato su un altro PC, diventa veicolo di diffusione del virus.
I virus del settore principale di avvio (master boot sector virus), simili
a quelli descritti al punto precedente, si differenziano perché
copiano i dati contenuti nel settore di avvio del sistema operativo in
una diversa posizione del disco fisso, sostituendosi a essi.
I virus multipartiti sono fra i più pericolosi ma anche tra i più
complicati da creare e possono infettare sia i settori di avvio dei
dischi sia i programmi. Se il virus si elimina dai file infetti, rimanendo
però attivo nel settore di boot, esso provvede a reinfettare tali file al
riavvio del computer oppure al lancio del programma, e così il virus si
replicherà di nuovo reinfettando l’elemento in precedenza
“disinfettato”.
I virus di macro (macrovirus) sono contenuti in file di dati al cui
interno sono state memorizzate le cosiddette macro, sequenze di
istruzioni, scritte con programmi tipo Visual Basic, per automatizzare
certe operazioni e destinate a essere caricate e usate con software
applicativi. Questi virus, celandosi all’interno di file con estensioni
conosciute, si diffondono notevolmente grazie al fatto di risiedere in
file non sospetti. Le operazioni eseguibili tramite macro possono
provocare la cancellazione e la modifica di file, l’accesso a dati
riservati o la produzione di ulteriori virus. Questi virus sono più facili
da realizzare dei precedenti tipi e di conseguenza ne esistono
moltissimi.
I worms (“vermi”, in inglese) sono virus che possono utilizzare vari
strumenti per diffondersi: la posta elettronica, la LAN o Internet.
Sono autoeseguibili perciò, infettato un sistema, sono in grado di
autoreplicarsi in memoria senza limiti. La tipica azione di un worm è
quella di inviare a tutti i contatti registrati nella propria rubrica un
messaggio con sé stesso come allegato e, di conseguenza, chi lo
riceve, conoscendo il mittente, apre l’allegato e viene infettato.
I trojan horses, o cavalli di Troia, sono virus che si insediano nel
computer per rovinare i dati registrati su disco. Trojans è
esattamente un modo per definire il veicolo di diffusione di tali
programmi che, come suggerisce il nome, sono celati all’interno di
altri. Per essere eseguiti, e quindi contagiare, hanno bisogno
dell’intervento dell’utente; occorre evitare perciò di aprire file di
dubbia provenienza. Attraverso i trojans è possibile installare
backdoor, ossia aprire nel sistema un ingresso segreto, utilizzabile da
estranei che possono arrivare a prendere il controllo del computer
contagiato.
Esiste inoltre una categoria di false segnalazioni di virus, definite
hoaxes, che contengono appelli a diffondere l’allarme in Rete e causano
in questo modo intasamenti con una notevole riduzione delle
prestazioni in Internet, dovuta al traffico pesante di messaggi.
I keylogger (o spy virus) sono virus maligni che registrano i tasti premuti
dall’utente e quindi, attraverso la Rete, trasmettono a estranei
password e dati personali.
La trasmissione dei virus avviene fondamentalmente attraverso:
lo scambio di file o programmi infetti residenti su memorie di massa
(floppy, chiavetta USB, CD ecc.);
il download di file scaricati dalla Rete;
L’apertura di allegati a e-mail, a messaggi istantanei o di file
contenuti in cartelle condivise.
I virus vengono creati dagli hacker o dai cracker. La parola hacker deriva
dal verbo inglese to hack (“ritagliare e mettere insieme i pezzi come in
un collage”). Nel gergo informatico, questa idea del collage si applica al
software, cioè alle istruzioni dei programmi che modificano il
funzionamento del computer. Il termine cracker deriva dal verbo
inglese to crack (“rompere”). Si tratta di pirati informatici che non si
limitano a violare i sistemi informatici, ma li danneggiano distruggendo
dati e programmi.
Le principali misure che si possono adottare per proteggere il proprio
computer dai virus sono:
installare un programma antivirus, software in grado di eseguire
costantemente un controllo sull’attività svolta in un elaboratore;
impostare l’antivirus in modo che blocchi l’apertura di file sospetti o
proceda, dopo aver avvisato l’utente, alla loro eliminazione o messa
in quarantena;
evitare di avviare programmi da supporti di memoria esterni o
scaricati da Internet di cui non è nota la provenienza ed eliminare file
prodotti da download partiti in automatico;
eseguire, con il software antivirus, la scansione (cioè il controllo) di
tutti i file in ingresso, provenienti da Internet o da memorie esterne;
essere prudenti nell’apertura degli allegati a messaggi di posta
elettronica anche se creati con programmi conosciuti, in quanto
possono contenere virus di macro;
disattivare l’esecuzione automatica di macro.
L’antivirus, per essere efficace, va aggiornato regolarmente
collegandosi a Internet: poiché vengono creati in continuazione nuovi
virus, è fondamentale che il programma ne sia informato in modo che
riesca a riconoscerli come file pericolosi e sappia quindi trattarli come
tali. Talvolta accade che un antivirus, pur essendo aggiornato, non rilevi
presenze sospette: ciò e dovuto alla difficoltà con cui le aziende
produttrici di questi software riescono a stare al passo con l’enorme
produzione di virus.