Sentinelle per la sicurezza del personal computer

La minaccia malware si diffonde oggi sui PC come un’epidemia. La soluzione per evitare il contagio: adottare una suite per la protezione capace di erigere una vera barriera tra noi ed il codice maligno

Luglio 2006 Il termine Malware descrive genericamente tutto l’insieme
dei software scritti appositamente per arrecare danno al computer ed ai sistemi
informativi. Vedremo nel seguito come distinguere le varie categorie componenti
il malware, descriveremo la specifica minaccia e poi cercheremo di individuare
le contromisure da adottare. Una cosa è certa: gran parte degli utenti
sono sbadati e disinteressati fino a quando non vedono andare in crash sistema
operativo e dati. Molti di essi si accontentano dell’antivirus preinstallato
noncuranti se è aggiornato o se ha la licenza scaduta.

La distribuzione capillare dei software nocivi sul web e le loro strategie
di infiltrazione, nuove e sempre più subdole come il passaggio attraverso
gli ActiveX ed i Javascript, richiedono al contrario l’innalzamento di
barricate su più fronti. Da questo punto di vista una suite di software
integrati per la difesa del nostro PC rappresenta una soluzione indispensabile
e, se vogliamo, valida anche da un punto di vista economico. Consideriamo infatti
che l’acquisto di antivirus, firewall, antispam ed antispyware come pacchetti
software a se stanti possono arrivare a costarci anche 140 euro.

Tipologia ed evoluzione del codice maligno
Virus: sono piccoli software di pochi KB che
si attaccano ai programmi eseguibili o si insediano nei settori di avvio (boot
sector) del disco rigido e delle unità rimovibili. Si trasmettono da
un computer all’altro a seguito dell’apertura da parte dell’utente
di un programma applicativo tramite il suo file eseguibile. Una volta insediato
in memoria il virus ricerca di altri file eseguibili da poter infettare. Se
prima la contaminazione avveniva con lo scambio dei floppy, oggi il veicolo
di trasmissione principale è l’allegato di posta elettronica. Un
virus appena insediato non è quasi mai nocivo, deve infatti attendere
di essersi replicato un certo numero di volte prima di attivarsi. Quando si
attiva può cancellare file, attaccare i file di sistema di Windows o
addirittura cancellare partizioni del disco rigido.

Worm: tipologia di virus in grado di divulgarsi
attraverso le reti telematiche, siano esse locali o globali come Internet, sfruttando
dei bug del sistema operativo per aprire delle backdoor dalle quali penetrano
nel PC. Possiamo definire i worm anche come “virus autoeseguibili”.
A differenza dei virus classici essi infatti non necessitano di legarsi ad un
file eseguibile per agire e possono quindi anche autoattivarsi.

Trojan Horse: si installano attraverso file
ed utility scaricate da siti sospetti o da videogiochi piratati. Ogni trojan
ha due componenti, un file server che si attiva sul PC vittima ed un file client
usato dal pirata remoto per inviare istruzioni al server. Tramite un trojan
un hacker può installare sul nostro PC una backdoor per inviare istruzioni,
redirezionare il browser su un sito remoto o installare un keylogger per leggere
le nostre password.

Adware, Spyware e Hijackers: l’Adware
è in genere innocuo e si installa da programmi freeware i quali, dietro
consenso dell’utente, attivano istanze per visualizzare finestre pubblicitarie.
Le istanze Spyware agiscono invece senza consenso, raccolgono dati sul PC ospite
e rilevano le abitudini di navigazione dell’utente. I dati raccolti sono
diretti ad organizzazioni che inviano poi pubblicità mirata all’utente,
in più possono eseguire una modifica permanente delle impostazioni di
Internet Explorer ad esempio reindirizzando la pagina iniziale su un sito remoto
(a contenuto porno/commerciale) o installando barre di navigazione aggiuntive
non rimovibili. Nella categoria dei programmi spia possiamo far rientrare anche
i Keylogger, software in grado di leggere il buffer dati della tastiera del
computer al fine di rilevare le password digitate ed inviarle ad hacker remoti.

Spam: ormai circa il 40% dei messaggi di posta
inviati sul Web è composto da messaggi di posta-spazzatura. Alla base
vi sono utenti malintenzionati, detti spammer, che inviano da server remoti
milioni di e-mail verso ignari utenti i cui indirizzi di posta vengono ricavati
da motori di ricerca (bot) specifici che scandagliano Internet alla ricerca
delle stringhe contenenti “@”, da liste di distribuzione ottenute
da hacker o inviando a caso e-mail composte da nomi/cognomi comuni. Tra le forme
subdole di spam sono da segnalare gli Hoax, falsi messaggi di tipo burla o a
sfondo umanitario e soprattutto il Phishing che consiste nell’inviare
ad un utente una lettera informativa, con tanto di logo e intestazioni, con
la quale la sua banca gli richiede i codici di accesso per l’on line banking
o quelli della sua carta di credito proponendo un link che accede ad un sito
identico a quello della propria banca.

Le contromisure in una suite di sicurezza:
Antivirus: la protezione offerta
deve essere del tipo “in tempo reale” ossia deve essere presente
una istanza in memoria RAM che monitorizza i settori di avvio del disco rigido
e la installazione/spostamento dei file eseguibili .exe, .dll, .com e cosi via.
Un’altra istanza deve controllare gli allegati di posta, in modo trasparente
all’utente, ed intervenire se contengono minacce virus, trojan o worm.
Il produttore deve assicurare un update costante, anche quotidiano, del prodotto
in modo da mantenere aggiornato il database delle firme virali sul quale l’antivirus
di basa per la rilevazione. I migliori antivirus sono in grado di effettuare
una scansione “euristica” con la quale riescono a bloccare anche
minacce virali non ancora conosciute nonché controllare in tempo reale
virus annidati nei file compressi Zip, Cab, Rar e nei Jar della macchina virtuale
Java.

Firewall: dall’inglese “muro-tagliafuoco”;
effettua un controllo in tempo reale in ingresso/uscita dei dati da e verso
le porte TCP ed UDP attraverso le quali i software tentano di accedere ad Internet
o ad un altro PC della rete locale ove si è connessi. Il firewall va
in genere personalizzato consentendo delle “eccezioni” ossia regole
attraverso le quali l’utilizzatore del PC stabilisce che un programma
è sicuro ed informa il firewall di non bloccarlo. I migliori firewall
consentono generalmente tre impostazioni di sicurezza, bassa, media o alta che
vanno dal semplice packet filter alla modalità Stealth con la quale il
PC diventa invisibile sulla rete e su Internet.

AntiSpyware: oltre ad un motore di scansione
efficace per rimuovere le minacce spyware e hijackers un buon antispyware deve
disporre di una istanza residente per prevenire installazione di programmi spia.
I migliori prodotti integrano anche funzionalità che impediscono la modifica
indebita della configurazione di Internet Explorer e l’alterazione del
registro di sistema.

AntiSpam: i software di tipo classico sono
basati su whitelist e blacklist ossia su un elenco degli indirizzi di posta
ritenuti affidabili e non affidabili. I più avanzati devono invece prevedere
un database, aggiornato di frequente, degli indirizzi dei server di spam su
cui basarsi per il blocco nonché delle regole euristiche che permettano
di distinguere una mail valida da una di spam o di phishing. Oltre a queste
funzioni alcune suite di sicurezza possono implementarne altre quali il Parental
control che permette di limitare l’accesso ai bambini o ai dipendenti
di una azienda a siti a contenuto pericoloso o pornografico. Altre rendono infine
disponibili utility per la privacy come la cancellazione irrecuperabile di file/cartelle
ed un CD di ripristino.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome