ABC della sicurezza: Malware

Malware (contrazione di “malicious software”) è il termine generico con cui viene indicato qualsiasi tipo di software scritto con l’intento di attaccare un dispositivo, procurare un danno, rubare informazioni o ottenere il controllo del dispositivo stesso. Ciò che viene genericamente catalogato come malware comprende tuttavia diverse tipologie, più o meno universalmente riconosciute. Cercheremo di illustrare le principali tipologie di malware, di capire come questa pletora di differenti metodologie di attacco possa minacciare l’operatività delle aziende e come ci si possa difendere da ognuno di questi attacchi.

Il malware può in effetti avere differenti impatti, a partire da quelli “emotivi”, e l’effetto del malware può costare tempo e in definitiva può arrivare a portare a perdite finanziarie.

Un report di “McAfee – Intel Security” del 2014 cita stime pari a 8,5 miliardi di dollari per quanto riguarda il costo del “cybercrime” per l’Italia. Una significativa affermazione contenuta nel documento è che i costi di ripristino dopo una violazione sono solo l’inizio dei problemi in quanto i danni “accessori” sono quelli reputazionali sul “brand” e sull’immagine complessiva dell’azienda così come viene percepita da tutti gli “stakeholder”.

Cimentarsi nello scrivere una sorta di “tassonomia” del malware può portare a scontrarsi con definizioni e categorizzazioni che non raccolgono l’unanimità dei consensi, quella che segue non intende pertanto essere una classificazione esaustiva e approfondita, né ha la pretesa di rappresentare una realtà universalmente accettata.

Virus (attacco al “DNA”)

Il malware per antonomasia, la caratteristica distintiva di un virus è il fatto che si replica inserendo una copia di se stesso all’interno di programmi o file di dati o nel MBR (Master Boot Record) di un disco.

Da questo comportamento sorge l’analogia con i virus come li si intende in campo medico: questi ultimi diffondono infatti il proprio codice genetico all’interno delle cellule sane che, a loro volta, assimilano il codice virale e trasformano il proprio pool genetico. L’intervento umano è necessario per l’attivazione del virus, che rimane dormiente fino a quando un utente esegue o apre il file o il programma contenenti il codice malevolo, che viene eseguito a sua volta. L’infezione si diffonde quando il file o il programma “ospitanti” il virus vengono trasferiti da un computer ad un altro attraverso la rete, un drive USB o in allegato ad una e-mail. Una sottocategoria degna di nota fra i virus è quella dei macrovirus, ossia le infezioni scritte in uno dei linguaggi “macro”, ossia quei linguaggi caratteristici dei software di tipo “word processor” o “fogli di calcolo”. All’interno dei documenti possono infatti risiedere le cosiddette “macro” pronte anch’esse ad essere attivate allo stesso modo dei file eseguibili di cui abbiamo appena parlato.

Un virus può compromettere la normale operatività di un computer, danneggiare il contenuto del disco, causare frequenti crash del PC, prosciugarne le risorse (CPU o memoria) o cancellare file.

Worm (Il malware “indipendente”)

malwareCaratteristica distintiva dei worm è la loro capacità di autopropagarsi da un computer all’altro senza bisogno dell’intervento umano, essi – a differenza dei virus – non necessitano di essere inclusi in un altro programma.  Una volta entrati in un computer  i worm penetrano negli altri sistemi remoti e lanciano altre copie di se stessi utilizzando vettori quali e-mail, Instant-messaging, programmi peer-to-peer, canali IRC e altri metodi di trasferimento. L’effetto di un worm può essere devastante sia nei confronti delle macchine colpite (consumo di risorse) che sulla rete LAN/WAN che subisce l’attacco (consumo di banda).

Trojan…e Backdoor (Caramelle dagli sconosciuti)

Il “cavallo di Troia” descritto da Virgilio nell’Eneide è il paradigma del dono o dell’oggetto utile che in realtà racchiude al suo interno un pericolo o il nemico stesso, i cosiddetti “trojan” devono il loro nome proprio al cavallo di Troia (“trojan horse”), in quanto sono programmi che – come i virus – dimorano in altri file eseguibili incautamente scaricati da utenti alla ricerca di software utili ai loro scopi, magari di dubbia provenienza o in alcuni casi “crackati”. Lo scopo finale dei trojan può essere molto spesso quello di aprire una “backdoor” sulla macchina infetta, ossia una “porta di servizio” tramite la quale i malintenzionati sono in grado di accedere alla macchina infetta. Altri effetti dei trojan possono essere quelli di inoculare altri tipi di malware quali infostealer (per carpire dati finanziari o altri informazioni sensibili) fino ad arrivare al completo controllo della macchina.

Spyware (Non ti senti osservato?)

Questo tipo di malware essenzialmente spia la vittima inconsapevole e colleziona differenti tipi di dati, da quelli finanziari a quelli riguardanti le nostre abitudini di navigazione, i siti da noi visitati e i nostri interessi. Tutte queste preziose informazioni, non escluse eventuali password o numeri di carta di credito digitati dall’ignaro utente, vengono inviate ai creatori/utilizzatori dello spyware. Uno dei danni più nefasti degli spyware è il “furto di identità” della vittima.

Keylogger (Ti conosco, carattere per carattere)

È un malware che “gira” in background e registra ogni singolo carattere digitato dall’utente della macchina infetta. Ciò che viene digitato include nomi utente, password, numeri di carta di credito e qualsiasi altro dato sensibile. Il malware effettua l’upload di ciò che “cattura” verso un server controllato dai malintenzionati che provvedono ad analizzare il materiale ricevuto utilizzandolo per i propri scopi fraudolenti. Altri tipi di “keylogger” possono essere utilizzati a scopo di mero monitoraggio della vittima, ad esempio da mariti o mogli gelose…

Ransomware (Da domani faccio I backup, promesso)

Un ransomware in sostanza è un malware che aggredisce la disponibilità dei dati. Questa aggressione può avvenire in due modi: crittografando il contenuto di un disco (di parte di esso o dei file memorizzati) oppure impedendo all’utente l’utilizzo del PC. In ogni caso, a fronte dell’indisponibilità dei dati, l’utente viene costretto a pagare un riscatto (ransom) all’estorsore che ha infettato il PC vittima. Questo tipo di malware può portare a ingenti perdite finanziarie  da parte delle aziende (qui, per una descrizione più approfondita).

Rootkit (Attacco al cuore del sistema)

rootkitUn rootkit è un malware nascosto che opera al livello più “profondo” del sistema operativo (normalmente definito “root”). Operando ad un livello privilegiato i rootkit sono estremamente difficili da rilevare ed eradicare dal sistema, richiedono infatti metodi speciali che vanno oltre le capacità dei normali software antivirus o antimalware. Il metodo più sicuro, in taluni casi, è la formattazione, la cancellazione della partizione e la creazione di una nuova partizione pulita.

Remote Access Trojan – RAT (Sei nelle mie mani)

È un tipo di malware che introduce una “backdoor” che consente il controllo amministrativo della macchina infetta. Una volta che il sistema risulta compromesso, l’intruso può utilizzarlo per distribuire a sua volta il malware stesso su altri computer vulnerabili e costituire una “botnet”. Considerato il fatto che il RAT consente un controllo amministrativo sulla macchina vittima, rende possibile all’intruso praticamente qualsiasi tipo di attività sul sistema infetto…
Come difendersi  Per le aziende, dotarsi di una soluzione antivirus/antimalware di livello enterprise costituisce solo il primo fondamentale tassello. La cultura della sicurezza deve tuttavia permeare tutto il tessuto aziendale, da chi si occupa della tecnologia a chi ne governa il “business”.

Fra le contromisure, i controlli e le mitigazioni possiamo citare:

  • Regolare la navigazione attraverso Firewall, soluzioni UTM o “Secure Web Gateway”
  • Applicare un’adeguata politica di “patch management”
  • Adottare il principio del “minimo privilegio”
  • Segmentare in maniera coerente l’infrastruttura di rete (Nessuna situazione è al 100% sicura, una falla e quindi una violazione sono quasi inevitabili, nel malaugurato caso di successo di un attacco la segmentazione può rappresentare un’efficace mitigazione nel circoscrivere il propagarsi del problema)
  • Regolare l’accesso alla rete aziendale dei dispositivi mobili (personali – BYOD – e aziendali)
  • Porre estrema attenzione ai dispositivi di terzi parti a cui viene concesso l’accesso alla rete (Non trattandosi di asset sottoposti alle politiche di sicurezza aziendali potrebbero non disporre di una configurazione sicura, di un adeguata protezione antivirus e del corretto livello di “patching”)
  • Prevedere il “whitelisting” delle applicazioni utilizzabili

L’ultima raccomandazione è applicare il “collante” dell’approccio alla sicurezza: ossia incoraggiare campagne di “consapevolezza” sui rischi inerenti l’utilizzo di Internet e delle risorse informatiche. I vettori con cui i PC aziendali possono essere infettati dal malware sono gli allegati delle e-mail (attenzione a non cliccare qualsiasi cosa riceviamo!) o le chiavette USB, ma anche un semplice “click” su un annuncio pubblicitario che appare su Internet potrebbe essere pericoloso (abbiamo veramente bisogno di quel prodotto così scontato?!). Attenti anche a giochi, toolbar o altre cosiddette “utilities” che molte volte non sono solamente ciò che dichiarano di essere

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here