Le tipologie più diffuse di malware e i possibili strumenti di difesa
di Claudio Fuligni – consulente ICT e cybercrimes, consulente privacy e DPO
Description: I malware sono programmi che attaccano i dispositivi informatici, causando danni anche molto gravi. Antivirus e firewall sono gli strumenti più diffusi per contrastarli
Definizione
Col il termine malware si individua qualsiasi programma creato allo scopo di causare danni a un dispositivo su cui viene eseguito e ai dati che vengono immagazzinati; la parola deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di programma malvagio.
Le tipologie più diffuse di malware
Solitamente, da un punto di vista puramente descrittivo, si distinguono due tipologie di malware:
- a) malware di tipo «parassitario», che sono trasmessi mentre il computer è in funzione;
- b) malware del settore di avvio, trasmessi con il collegamento e il tentativo di avvio di un disco esterno.
Di seguito si riportano i nomi dei malware più diffusi con le rispettive caratteristiche principali:
- VIRUS: è un piccolo programma che contiene una sequenza di istruzioni in grado di attivare automaticamente azioni dirette a danneggiare il computer in cui si installa. Parte delle istruzioni del programma infettivo dono deputate alla riproduzione di copie di se stesse.
- WORM (verme): rallenta il sistema attivando operazioni inutili e dannose.
- TROJAN HORSE: è un programma che viene scaricato perché ha anche funzionalità utili e desiderate, ma, una volta eseguito, avvia a insaputa dell’utente istruzioni dannose per i file.
- DIALER: gestisce la connessione a Internet tramite linea telefonica. Può modificare il numero digitato dall’utente componendo numerazioni a tariffa speciale, procurando all’hacker un profitto illecito.
- HIJACKING: agisce sulla pagina predefinita del browser o si attiva al momento della digitazione dell’URL di un sito Internet, indirizzando l’utente su un altro sito indesiderato.
- ZIP BOMB: programma che disattiva le difese del computer per consentire a un virus di infettarlo. È un archivio malevolo che rende inutile il programma che lo legge. Per neutralizzarlo non si deve aprire, eseguire o decomprimere il file che lo contiene.
- SPYWARE: programma usato per spiare le informazioni del sistema sul quale sono installate, al fine di acquisirle e reimpiegarle per fini illeciti (ad esempio l’acquisizione di identificativi e password per realizzare un furto d’identità).
- PHISHING: invia email con le quali invita a compilare campi, aprire link o altre azioni simili al fine di carpire i dati che l’utente inserisce nella compilazione, per riutilizzarli a fini illeciti.
- VISHING: evoluzione del phishing legata all’utilizzo di VoIP: l’hacker fa comparire sul display dell’utente il numero falsificato di soggetti quali le banche, ingannando l’utente per indurlo a comunicare i propri dati da utilizzare per fini illeciti.
- PHARMING: riproduce un sito web ufficiale, per indurre l’utente ad inserire i propri dati, che vengono carpiti per fini illeciti.
- SNIFFING: attraverso software detti sniffer, attua l’intercettazione passiva dei dati che transitano in una rete telematica per intercettare comunicazioni di dati personali, come login e password, da utilizzare per fini illeciti.
I più comuni indicatori della presenza di malware
Esistono alcuni indicatori che, con la loro sola presenza, denunciano la presenza di malware nel computer: durante il normale utilizzo del computer, gli esempi più comuni sono:
- di punto in bianco iniziano ad aprirsi in continuazione pop-up pubblicitari;
- senza alcun intervento dell’utente, si modificano alcune impostazioni senza possibilità di reset (ad esempio cambia la pagina iniziale del browser e, anche se resettata, ad ogni riavvio si ripropone la pagina indesiderata);
- il computer diventa improvvisamente più lento.
I possibili strumenti di difesa
Il malware si previene e si rimuove in 2 modi (da utilizzare anche sinergicamente):
- utilizzando validi programmi antivirus;
- ricorrendo a programmi specifici (firewall), creati per fronteggiare questo tipo di attacchi.
«L’unico computer totalmente sicuro e a prova di hacker è quello spento, non collegato a Internet e chiuso a chiave in una cassaforte»; partendo da questo concetto, sempre rimanendo a livello meramente definitorio, i principali strumenti di protezione dai malware sono riconducibili a due categorie: i firewall e gli antivirus.
Il firewall
Il firewall è un dispositivo che ha lo scopo di connettere due o più reti diverse, viene attraversato dal traffico che va da una rete all’altra e implementa policy di sicurezza, attraverso le quali viene determinato il traffico che può transitare da una rete all’altra e quello che deve essere bloccato in quanto rischioso per la rete o le reti da proteggere.
Le principali funzioni del firewall sono così riassumibili:
- bloccare malware, anche non conosciuti, prima che entrino nel computer;
- bloccare all’interno del computer i malware che siano riusciti ad entrare, evitando che infettino gli altri dispositivi collegati;
- impedire al malware di infettare il computer prima che si sia attivato l’antivirus;
- nascondere il computer durante la navigazione, riducendo l’esposizione ai rischi.
In base alle modalità di funzionamento si distinguono 2 tipi di firewall:
1) firewall “a filtraggio di pacchetti”, più comuni e meno costosi, esaminano soltanto le informazioni contenute nella intestazione del pacchetto relative ai protocolli IP e le confrontano con il loro set di regole interno;
2) firewall “a livello di circuito”, più sicuri dei precedenti, esaminano non soltanto la intestazione del pacchetto ma anche il contenuto dei pacchetti in transito relativamente ai protocolli IP e li confrontano con il loro set di regole interno.
L’antivirus
L’antivirus è un software ideato con la doppia funzionalità di prevenire l’ingresso dei malware, e/o di rilevare ed eventualmente eliminare i malware che riescono comunque in qualche modo a penetrare il filtro all’ingresso.
Solitamente nell’antivirus si distinguono tre diverse componenti:
- il o i file delle firme, che contengono tutte le firme dei virus conosciuti;
- il file binario che ricerca i virus all’interno del computer;
- il file binario che effettua gli aggiornamenti del file delle firme e dei file
Il funzionamento dell’antivirus in pillole
Ogni malware è composto da determinate istruzioni, rappresentate da un codice costituito da una stringa di byte, detta firma. L’antivirus setaccia tutto ciò che è in funzione nel computer (file e RAM) e lo confronta con il proprio database delle firme dei malware. Se l’antivirus in questo processo di scansione identifica un file contenente una di queste firme lo blocca e lo segnala immediatamente all’utente.
La scansione può essere impostata, alternativamente, all’avvio del computer o in un qualsiasi momento successivo, tenendo conto che può comportare il rallentamento del computer perché impiega molte risorse del computer stesso per funzionare.
La scansione può in ogni modo essere sempre sospesa o interrotta.
Schematicamente è possibile distinguere diverse tipologie di scansione in funzione delle diverse modalità operative:
- a) scansione completa: analizza file e applicazioni in esecuzione in tutte le unità del computer. Impiega ingenti risorse del sistema operativo, perciò, solitamente viene programmata su base settimanale e in un periodo di inattività del computer (ad esempio durante le ore notturne);
- b) scansione su misura o personalizzata: consente di selezionare i file e le cartelle che si vuole sottoporre a scansione;
- c) scansione rapida: verifica l’integrità dei file caricati all’avvio del sistema operativo e la memoria di sistema.
- d) scansione intelligente: verifica soltanto le aree più soggette ad attacchi malware.
Gli ultimi due tipi di scansione non garantiscono l’individuazione di tutti i malware che potrebbero essere presenti nel computer.
Una volta che la scansione è completa, l’antivirus visualizza l’elenco dei file risultati infetti, evidenziandone il grado di rischio, e offre due opzioni di correzione:
- la quarantena dei file infetti: i file infetti vengono isolati in una sezione del computer da cui non possono muoversi se non con una operazione manuale di ripristino.
- la rimozione dei file infetti in via permanente, senza possibilità di recupero successivo.
L’aggiornamento dell’antivirus
Gli hacker di tutto il mondo sono costantemente alla ricerca di nuovi malware capaci di bucare anche gli strumenti di sicurezza più evoluti, diviene, perciò, di fondamentale importanza aggiornare sistematicamente tali strumenti, in modo da mantenerli efficienti a fronteggiare attacchi più aggressivi.
Il database dell’antivirus ha la finzione di aggiornamento automatico; in altri termini, si aggiorna in maniera sistematica, non appena è possibile una connessione online, anche in base alle segnalazioni di nuovi malware provenienti dagli utenti e da organizzazioni specifiche, oltre che a seguito di interventi disposti dai produttori.
È opportuno mantenere sempre attivata tale funzione, e ricercare gli antivirus più efficaci offerti dal mercato, anch’esso in costante evoluzione.