Tipologie di virus e altre minacce diffuse in Rete
Malware
Termine utilizzato per identificare tutti quei programmi, spesso causa di grossi problemi sul “computer-vittima”, che vengono installati sul sistema senza l’autorizzazione dell’utente. Si tratta sempre di programmi nocivi.
Virus
Poiché il confine tra virus in senso stretto e altre tipologie di minacce quali worm, trojan e dialer è divenuto oggi molto sfumato, il termine virus è divenuto sinonimo di “malware”.
Virus polimorfico
Implementa un algoritmo che ne consente la mutazione ad ogni infezione. In questo modo, risulta di più difficile rilevamento da parte dei software antivirus.
Virus di boot
Oggi pressoché scomparsi, questi tipi di virus infettano il settore di avvio di floppy disk e dischi fissi anziché singoli file.
Macrovirus
Infettano documenti Word, Excel, Powerpoint e simili “nascondendosi” all’interno di essi sotto forma di macro nocive.
Worm
Non necessita di legarsi a file eseguibili come i classici virus ma richiede l’intervento dell’utente per infettare il sistema. Quest’ultima barriera è ormai caduta da tempo, poiché gran parte dei worm sfruttano vulnerabilità del sistema operativo (non risolte da parte dell’utente mediante l’applicazione delle patch di sicurezza opportune) per “autoavviarsi”. Come i virus, i worm integrano un payload (la parte contenente il codice dannoso vero e proprio) e sempre più spesso attivano una backdoor o un keylogger aprendo la porta ad altri tipi di attacco provenienti dalla Rete.
Trojan horse o Cavallo di Troia
Versione digitale dello stratagemma utilizzato da Ulisse per entrare in città con i suoi soldati, il trojan “informatico” vuol sembrare all’utente ciò che non è per indurlo a lanciare il programma, in realtà dannoso. I trojan in genere non si diffondono automaticamente come virus e worm e vengono usati per installare backdoor e keylogger sul “computer-vittima”.
Backdoor
Aprono una o più porte “di servizio” che consentono di superare dall’esterno tutte le misure di sicurezza adottate sul sistema. Utilizzate per prendere il controllo di una macchina. Molti virus "moderni" integrano anche una o più backdoor.
Keylogger
Programmi maligni che registrano tutti i tasti premuti da parte dell’utente e ritrasmettono password e dati personali in Rete. Se sul proprio sistema si è rinvenuto un keylogger oppure un virus che integra questa funzionalità, dopo la sua eliminazione è bene provvedere immediatamente alla modifica di tutte le proprie password.
Exploit
Falle di sicurezza presenti nel sistema operativo e nei software in uso. In Rete pullulano i software che consentono di sfruttarle per far danni (aver accesso al sistema, guadagnare diritti amministrativi, rubare password e così via). Una ragione in più per mantenere i software utilizzati (a partire dal sistema operativo) sempre costantemente aggiornati.
Phishing
E' il metodo utilizzato per rubare informazioni personali quali password, numeri di carte di credito, informazioni finanziarie e così via. Si tratta di vere e proprie truffe che utilizzano e-mail e siti web appositamente creati, per spingere l'utente ad inserire dati personali. L'uso di elementi grafici e formule testuali proprie di famosi servizi online (istituti di credito, portali di e-commerce, aziende di telecomunicazioni,...) possono rappresentare la chiave di volta per spingere i più creduloni ad inserire informazioni confidenziali.
I tentativi di frode online sono in continua crescita: il numero dei messaggi di posta elettronica e dei siti web espressamente creati con lo scopo di truffare gli utenti meno attenti, staraggiungendo dimensioni davvero spaventose.
Il meccanismo è sempre lo stesso: malintenzionati remoti cominciano con l'inviare migliaia di e-mail ad account di posta elettronica di tutto il mondo. All'interno del corpo del messaggio, si spiega che un famoso istituto di credito, un'azienda di servizi online od un portale sul web, hanno la necessità di verificare i vostri dati personali. Si invita quindi l'utente a cliccare su un link (che porta ad un sito web) spingendolo ad inserire username, password o codici di accesso.
I "messaggi-esca" sono solitamente inviati in formato HTML: i truffatori
possono così inserire nel messaggio loghi ed altri elementi grafici propri di famosi istituti con l'intento di "abbindolare" l'utente ma, soprattutto, mascherare il falso link.
Ultimamente sono proprio le banche ad essere prese più di mira: una volta che l'utente clicca sul link indicato nell'e-mail truffaldina ed inserisce i dati per l'accesso, ad esempio, al proprio conto online, il malintenzionato può acquisire quei dati e dilapidarlo completamente. Gli istituti di credito maggiormente oggetto di phishing sono quelli statunitensi: sono decine i tentativi di truffa messi in atto grazie all'invio di false e-mail e siti web appositamente sviluppati.
Ma non solo. Anche l'Italia sta divenendo sempre più spesso oggetto di attenzione: gli esempi più critici, registratisi più di recente, sono quelli che hanno coinvolto Poste Italiane, Banca Intesa, Unicredit Banca e molte altre.
Generalmente i truffatori inviano casualmente ad indirizzi e-mail reperiti in Rete (utilizzando la stessa logica e le medesime tecniche adoperate dagli spammer) i loro messaggi-esca. Il messaggio riportato nel corpo del testo tenta di indurre l'utente a cliccare su un falso link camuffato con l'URL del sito web ufficiale della banca italiana, richiedendo poi di introdurre i dati di accesso personali. Per mettere a nudo tutti i tentativi di truffa, è bene disattivare la visualizzazione - all'interno del client di posta elettronica - dei messaggi in formato HTML preferendo sempre il testo puro. In questo modo è immediato accorgersi di come l'indirizzo venga camuffato.
Diffidate sempre di chi vi richiede, via e-mail, la conferma di dati personali. Istituti di credito, siti di e-commerce e così via non richiedono - tramite l'invio di messaggi di posta elettronica - questo tipo di informazioni.
Fate sempre riferimento ai siti web ufficiali e non cliccate mai sui link presenti nelle e-mail di questo tipo.
Pharming (o "DNS poisoning")
E' sempre più diffusa l'abitudine, da parte di molti worm, di modificare il contenuto del file HOSTS di Windows. Tale file permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: ciò ricorda da vicino il funzionamento del server DNS del provider Internet. Ogni volta che si digita un indirizzo nella barra degli URL del browser, il sistema verifica - prima di tutto - se vi sia un'associazione corrispondente all'interno del file HOSTS. Solo quando questa non viene trovata si passa all'interrogazione del server DNS del provider. La modifica del file HOSTS era prima "prerogativa" di spyware e hijackers: oggi sta divenendo pratica sempre più diffusa anche tra i virus. Potrebbe capitare, quindi, digitando l'URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente "proiettati" verso siti web che non si sono assolutamente richiesti. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che si sta utilizzando. In Windows NT/2000/XP/2003 è in genere salvato nella cartella \SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella
cartella d'installazione di Windows. La modifica del file HOSTS di Windows può quindi essere sfruttata per sferrare attacchi "phishing".
Il pharming, invece, è una diversa tipologia di attacco indirizzata in primo luogo ai server DNS. Una volta infettato, il server DNS indirizza i navigatori ad un sito fraudolento malgrado abbiano digitato l' Url corretto nel loro browser.
Il pharming è più difficilmente rilevabile dal momento che il browser non segnala nessuna anomalia lasciando credere all'utente di navigare in un sito legittimo. La maggiore pericolosità del pharming, rispetto al phishing, è che non viene colpito il singolo navigatore, destinatario di una e-mail con un link fraudolento, ma un elevato numero di vittime attaccate nello stesso istante in cui accedono a un falso dominio.
Siti maligni
Sempre più spesso vengono recapitate, nella nostra casella di posta elettronica, e-mail fraudolente contenenti link a siti web davvero pericolosi. È possibile incappare in siti web maligni anche semplicemente "navigando" in Rete. Aggressori remoti riempiono questi siti dannosi con script e controlli attivi ingrado di eseguire codice nocivo sul personal computer dell'utente. Tutto ciò semplicemente visitando con il browser una pagina creata allo scopo.
Per difendersi da questi attacchi è bene accertarsi di installare con regolarità tutte le patch rilasciate per il sistema operativo e per le applicazioni in uso.
In uno studio effettuato da Symantec e riferito al secondo semestre dello scorso anno, silegge come fossero addirittura più di 1.400 le nuove vulnerabilità di sicurezza (addirittura 54 per settimana!) scoperte nei vari software. Tra queste, più del 97% sono considerate rischiose o molto pericolose (la presenza di queste vulnerabilità può condurre ad attacchi remoti in grado di compromettere completamente il sistema preso di mira). In aggiunta a questo idilliaco scenario, il 70% di esse è stato definito come facilmente sfruttabile da remoto, cosa che estende in modo impressionante il numero dei possibili attacchi.
Un esempio? Websense Security Labs ha lanciato qualche tempo fa l'allarme circa un tentativo di estorsione perpetrato via web. Visitando un sito web maligno con Internet Explorer senza aver applicato tutte le patch di sicurezza Microsoft, ci si potrebbe ritrovare con tutti propri documenti resi assolutamente illeggibili. L'aggressore remoto, quindi, intenta una vera e propria estorsione nei confronti dell'utente: "o acquisti lo speciale software di decodifica o perderai tutto." E' questa la sostanza della minaccia. Accedendo al sito web dell'aggressore senza aver applicato la patch MS05-023 per Internet Explorer, il browser effettuerà automaticamente il download di un trojan ("download-aag") e provvederà ad eseguirlo sul sistema dell'ignaro utente. A questo punto, il trojan si connetterà ad un altro sito web maligno provvedendo a prelevare ed attivare un software "ad hoc" che codificherà tutti i documenti personali presenti sul disco fisso. Viene quindi mostrato un messaggio con le indicazioni per l'acquisto del software di decodifica (costo: 200 Dollari).
L'applicazione tempestiva di patch di sicurezza e l'effettuazione periodica di copie di backup permettono di evitare di incappare in simili problemi.
Trojan "estorsori"
Seguendo la stessa scia, informiamo i nostri lettori sulla diffusione di PGPcoder (Gpcode), un malware che - una volta mandato in esecuzione (è possibile ritrovarselo nella casella di posta elettronica) - codifica alcuni file presenti sul disco fisso (per, esempio, tutti quelli con estensione .doc) tentando di estorcere una somma di denaro all'utente che desideri rientrarne in possesso. Alcuni produttori di software antivirus (ad esempio, F-Secure), essendo l'algoritmo di codifica usato fortunatamente molto semplice, hanno prontamente fornito i tool per operare una decodifica.
"Typosquatting"
E' noto come molti malintenzionati registrino nomi a dominio simili a quelli di famosi siti web con lo scopo di "catturare" tutti quegli utenti che digitino erroneamente l'URL nella barra degli indirizzi del browser.
Esistono però siti web con nomi molto simili a quelli di famosi portali ed apprezzate realtà "internettiane" che contengono ogni sorta di nefandezza. Il caso più famoso è quello di un sito web che imitava l'indirizzo www.google.com a meno di una lettera. Basta quindi digitare e rroneamente l'indirizzo proprio del famoso motore di ricerca, aggiungendo una lettera in più (la "k"), per ritrovarsi all'interno di un sito pieno zeppo di componenti nocivi di ogni genere: una volta aperto con il browser, il sito sfrutta una vasta gamma di vulnerabilità note del sistema operativo e dei browser per cercare di installare sul personal computer del malcapitato spyware e malware di ogni tipo. Domini Internet con materiale pericoloso che ricalcano da vicino URL di famosi portali nascono però ogni giorno: l'installazione di un buon "personal firewall", di un software antivirus aggiornato e l'applicazione delle patch di sicurezza per sistema operativo e browser sono sempre l'arma migliore per evitare problemi!
Spamming
detto anche “fare spam”, è l’ invio di grandi quantità di messaggi elettronici non richiesti (generalmente commerciali). Può essere messo in atto attraverso qualunque media, ma il più usato è Internet, attraverso l’ e-mail.
Spyware
Software indesiderato che esegue specifiche attività sul computer, solitamente senza il vostro consenso. Questo termine è spesso associato ad un software che visualizza annunci pubblicitari (adware) o software che identifica informazioni personali o riservate.
Denial of Service
Rendere un servizio non disponibile al pubblico. Può essere messo in atto sottoforma di:
• Killer Packet: invio di pacchetti malevoli che causano il blocco o il riavvio della macchina
- Ping of Death: invio di ping di dimensioni eccessive
- Teardrop: invio di pacchetti frammentati con offset sovrapposti, la ricostruzione del pacchetto originario causa il riavvio della macchina
- Land: pacchetti con ip_sorgente=ip_destinazione e flag SYN blocca lo stack TCP/IP Microsoft.
• SYN Flood: invio massiccio di un flusso di pacchetti SYN con indirizzo sorgente spoofato, provoca la saturazione della pila delle connessioni half-open dello stack TCP/IP della vittima, che non può accettare nuove connessioni. Nella variante DDoS l’ invio massiccio di pacchetti non proviene da una singola macchina ma da una serie di computer asserviti all’ assalitore tramite l’ uso di backdoor o virus/worm.
• Smurf: è un attacco che sfrutta la presenza di un moltiplicatore, tipicamente un router che consente l’ invio in broadcast di pacchetti. L’ attaccante manda ad esempio un ICMP Echo Request in broadcast, tramite il moltiplicatore, ad una serie di macchine. L’ Echo Request ha l’ indirizzo sorgente spoofato contenente l’ IP della vittima, così le macchine che lo ricevono inviano un ICMP Echo Reply in massa alla macchina bersaglio.
Sniffing
Lettura abusiva di pacchetti che transitano in Rete. Può essere fatto sottoforma di:
• ARP Spoofing: sfrutta il protocollo ARP e in particolare la cache ARP. Siccome il protocollo ARP è stateless, si possono mandare pacchetti ARP reply non richiesti e appositamente contraffatti, che associano un IP ad un MAC diverso da quello legittimo. In questa maniera, per effettuare lo sniffing di tutto il traffico originato da una data macchina è sufficiente “avvelenare” le tabelle ARP della macchina nella entry corrispondente al gateway. Così tutto il traffico (diretto al Gateway) passerà attraverso la macchina attaccante.
• MAC Fooding: gli switch di rete hanno la capacità di memorizzare nelle proprie tabelle interne diversi indirizzi MAC corrispondenti alle varie interfacce, così da poter indirizzare i pacchetti rapidamente. Queste tabelle o vviamente hanno una dimensione finita (circa 128k indirizzi). Una volta riempita la cache ARP dello switch, esso non potendo più indirizzare nuovo MAC, per evitare di perdere pacchetti, entra in uno stato di failopen mode, in cui si comporta come un hub inoltrando tutti i pacchetti sui vari segmenti di rete, rendendo lo sniffing molto semplice.
• STP exploit: sfrutta il protocollo STP. Siccome l’albero STP viene costruito mediante pacchetti di tipo BPDU (bridge protocol data unit) non autenticati, chiunque si può fingere il nodo privilegiato “root switch” attraverso cui passano i pacchetti.
• ICMP redirect: sfrutta il protocollo ICMP, una volta sniffato un pacchetto ICMP originale, e registrati i bit dell’ header, è possibile spoofare un falso pacchetto di risposta, indicante una strada più breve verso un dato host, che passa – ovviamente – per la macchina attaccante.
Spoofing
Falsificazione dell’ indirizzo per fingersi qualcun altro. Esistono diverse tipologie di attacco di spoofing:
• IP Spoofing: la tecnica dell’ IP Spoofing prevede la creazione di pacchetti IP modificati ad hoc in cui la parte di header che contiene l’ indirizzo IP sorgente viene alterata, inserendo un IP diverso da quello legittimo. In questa maniera, ovviamente, non si riceverà alcuna risposta ai propri messaggi (blind spoofing). Per risolvere il problema del blind spoofing si possono attuare due strategie:
- Uso di una macchina all’ interno della stessa rete del bersaglio per compiere sniffing e raccogliere la risposta
- Uso di source routing per imporre un percorso di ritorno che passa per la macchina attaccante.
Nel protocollo TCP, oltretutto, è richiesta la presenza di un numero di sequenza, che si incrementa via via durante una connessione a partire da un numero pseudo-casuale generato all’ inizio della connessione. Se l’ host è all’ interno della stessa rete di mittente o destinatario è possibile per esso osservare i numeri di sequenza, e intromettersi correttamente nella comunicazione, altrimenti deve in qualche modo (altre macchine asservite..) procurarsi il sequence number per poter mettere in atto l’ attacco.
• DNS Spoofing: si può intercettare una richiesta DNS e rispondere con un pacchetto UDP spoofato (fingendosi il server DNS) e indirizzando verso un IP diverso da quello legittimo. Si può anche inserire in un server DNS una voce alterata sfruttando il meccanismo ricorsivo dei server DNS, intercettando la richiesta di un server “recursive” e spoofando la risposta di un server “authoritative”.
• DHCP poisoning: procedura identica al DNS poisoning, che consente, a fronte dell’ intercettazione di una richiesta DHCP, di fornire ad una macchina un IP, un DNS e un gateway predefinito.
HIJACKING
Intermediari non autorizzati prendono il controllo del canale di comunicazione:
• Man in the middle: è una tipologia di attacchi in cui l’ aggressore riesce ad intercettare, modificare e inviare messaggi tra due nodi, senza che essi siano consci dell’ intercettazione. Un esempio di questo genere è il TCP session hijacking, cioè l’ inserimento in una connessione TCP attiva. L’ aggressore effettua lo sniffing dei pacchetti, registrando i numeri di sequenza dei pacchetti TCP. Una volta bloccato uno dei due, mediante flood o DOS, l’ aggressore può fingersi l’ endpoint bloccato mediante IP spoofing e spingere l’ altro host a rivelare informazioni riservate.
Tratto da:
http://www.vengine.it/BestPracticesver_1_1.pdf
Altre fonti:
http://it.wikipedia.org/wiki/Malware
http://it.wikipedia.org/wiki/DNS_cache_poisoning
http://www.gamesvillage.it/forum/showthread.php?949014-Dns-Google-Rilevato-attacco-poisoning-della-cache-DNS/page2
