Unità 2 - I Malware
Transcript
Unità 2 - I Malware
1 IT Security – 2 Il termine Malware (maliciosus software) indica un “programma maligno” creato con l’unico scopo di creare danni ad un computer (o a un insieme di computer), fargli compiere operazioni non autorizzate dall’utente o danneggiare dati o programmi in esso contenuti. I Tipicamente i malware si propagano da computer a computer utilizzando mezzi di trasporto come CD-ROM, DVD, Pen-Drive ma, soprattutto, attraverso servizi di rete come il Web e la posta elettronica. I principali tipi di malware possono essere classificati in tre categorie: Un trojan o cavallo di troia è un malware che si nasconde all’interno di un software utile e lecito. Il codice dannoso viene eseguito inconsapevolmente dall’utente mentre installa o esegue il programma apparentemente utile. Un trojan può attivare una backdoor, rendendo vulnerabile il computer (o rete di computer) dall’esterno. 2 Le backdoor (letteralmente “porte su retro”) conosciuti solo dall’amministratore del sistema. sono degli accessi di sicurezza Il Rootkit è un tipo di malware disegnato per attaccare computer ed eludere i sistemi di sicurezza. Il rootkit permettere all’hacker di installare una serie di strumenti che gli danno accesso al computer da remoto con privilegi di amministratore. In genere il malware si nasconde in un punto profondo del sistema operativo ed è studiato in modo tale da non essere rilevato dalle applicazioni antimalware e dai principali strumenti di controllo e sicurezza. I rootkit possono contenere vari moduli nocivi come keylogger, moduli per rubare password, informazioni bancarie e dati di carte di credito, e diverse funzionalità in grado di disabilitare i software di sicurezza. I rootkit si comportano come i programmi di backdoor dando la possibilità all’hacker di connettersi in modalità remota al computer infetto, installare e disinstallare specifici componenti. 3 Il malware infettivo è un tipo di codice maligno che, una volta eseguito, ha la capacità di riprodursi e propagarsi infettando altri file o altri computer utilizzando diversi mezzi di propagazione, come per esempio la posta elettronica o scambio di file mediante supporti rimovibili. I principali malware infettivi sono i virus e i worm. Entrambi i malware hanno la capacità di riprodursi e di propagarsi ma i virus, al contrario dei worm, non possono farlo autonomamente. Precisando: I virus sono parti di codici che si diffondono copiandosi all’interno di altri programmi o in una particolare sezione del disco fisso in modo da essere eseguiti ogni volta che il file infetto viene aperto. Il worm , letteralmente verme, è simile ad un virus ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi in quanto modifica il computer che infetta in modo da venir eseguito ogni volta che si avvia la macchina. 4 SPYWARE Lo spyware è un programma che raccoglie informazioni sull’attività online di un utente e le trasmette ad un server remoto senza il suo consenso. Il server, raccolti i dati, li utilizza per diversi scopi tra cui l’invio di pubblicità. Gli spyware sono spessi installati all’interno di applicazioni rilasciate con licenza gratuita e possono dare luogo anche ad ulteriori conseguenze, come per esempio la modifica della pagina iniziale del browser, l’alterazione dell’elenco Preferiti, redirect su falsi siti (phishing) e installazione di dialer I dialer sono programmi che all’insaputa dell’utente si connettono ad Internet utilizzando numeri a tariffazione speciale. ADWARE L’adware è un software che durante l’installazione o l’esecuzione mostra inserzioni pubblicitarie che consigliano eventuali miglioramenti o versioni aggiornate dello stesso software in esecuzione o di altri software accessori. L’adware è insidioso anche perché confonde l’utente con vari messaggi mostrati ripetutamente a video. L’utente potrebbe involontariamente cliccare su un link che scarica un programma che potrebbe contenere malware. Gli adware più aggressivi modificano la pagina iniziale. Quasi tutti gli adware registrano le abitudini di navigazione dell’utente e le comunicano a server remoti. 5 KEYLOGGER Un keylogger è un software o hardware che ha la capacità di intercettare e registrare qualsiasi tasto digitato dall’utente sulla tastiera. Il keylogger è in grado di posizionarsi tra la tastiera e il sistema operativo e intercettare tutte le comunicazioni all’insaputa dell’utente. Può rubare sia i dati registrati localmente sul computer infetto, che (se implementato all’interno di un attacco più ampio con capacità di comunicare con l’esterno) inviarli all’hacker in remoto. Tuttavia il termine keylogger, normalmente usato per indicare programmi malware, indica anche altri tipi di strumenti, come i sistemi di sorveglianza usati dalle forze dell’ordine. BOTNET Una botnet è una rete formata da dispositivi informatici collegati ad Internet e infettati da malware, controllata da un'unica entità, il botmaster. A causa di falle nella sicurezza o per mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, i dispositivi vengono infettati da virus informatici o 6 trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo distributed denial of service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. I dispositivi che compongono la botnet sono chiamati bot (da roBOT) o zombie. RASOMWARE Un Ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro. SOFTWARE ANTIVIRUS I software antivirus sono dei programmi scritti per rilevare, prevenire ed eventualmente rimuovere malware. Una volta installato e mantenuto attivo in background, il software controlla la sicurezza di ogni file scaricato ed eseguito su dispositivo, inclusi quelli ricevuti per posta elettronica. Un antivirus ricerca nella memoria RAM degli schemi tipici di ogni virus. Un software antivirus conserva, in un database, le definizioni, le cosiddette impronte virali, dei malware più diffusi. 7 Il software antivirus, inoltre, analizza il comportamento dei vari programmi (pattern di comportamento) in esecuzione sul computer alla ricerca di comportamenti sospetti in quanto tipici del malware. L’antivirus presenta alcuni limiti: Riconosce solamente i malware presenti nell’archivio delle definizioni che, sebbene sia vasto, non può contenere tutti i malware in circolazione; Riconosce i malware solamente quando hanno infettato un file o quando scrivono le istruzioni in memoria. Se il software antivirus, nel controllo, riconosce un file sospetto, lo segnala all’utente offrendogli la possibilità di riconoscerlo come lecito, o di “ripulirlo” o ancora di cancellarlo. Se il file non è riconosciuto sicuramente infetto viene messo in quarantena ossia viene isolato e messo in disparte. Allo scadere del tempo di quarantena, sen non è stata chiarita la natura del file, viene definitivamente eliminato. Anche se il software effettua automaticamente le operazioni di scansione, è buona norma scansionare manualmente file e cartelle che si considerano sospetti. È anche possibile programmare scansioni periodiche dei file e cartelle. Può capitare che l’antivirus consideri sospetti file perfettamente leciti che attivano funzioni previste e volute dall’utente, impedendo che questi siano eseguiti e le funzioni portate a termine. In questo caso (il cd. falso positivo) è l’utente che deve specificare che quel file è lecito e non deve essere segnalato come pericoloso. È fondamentale aggiornare continuamente l’archivio delle definizioni dell’antivirus in modo da garantire la protezione anche da nuovi virus.