Malware

Da Wikipedia, l'enciclopedia libera.
Interfaccia di Beast 2.07, un trojan categoria backdoor che colpisce il sistema operativo Windows

Malware, abbreviazione per malicious software, indica un qualsiasi software usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata.[1] Il termine malware è stato coniato nel 1990 da Yisrael Radai[2], precedentemente veniva chiamato virus per computer; in italiano viene anche comunemente chiamato codice maligno. Il principale modo di propagazione del malware consiste di frammenti di software parassiti che si inseriscono in codice eseguibile già esistente. Il frammento di codice può essere scritto in codice macchina ed inserito in un'applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di boot di un computer.[3]

Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall'utente anche per lunghi periodi di tempo (e.g. Regin malware). Oltre a carpire informazioni di nascosto, un malware può essere creato con l'intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (e.g. Stuxnet), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione (CryptoLocker). Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo,[4] inclusi Virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Può assumere diverse forme, come Codice eseguibile, Script, e altro software.[5] Il malware si diffonde principalmente inserendosi all'interno di file non malevoli. La diffusione del malware risulta in continuo aumento: si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti; tali numeri sono destinati ad aumentare con l'espansione della Rete e il progressivo diffondere della cultura informatica.[6] Nel 2011 la più grande minaccia malware era costituita da worm e trojan, piuttosto di altri virus.[7]

Spyware o altri malware sono a volte trovati all'interno di programmi forniti da compagnie, ad esempio scaricabili da siti web, che appaiono utili o accattivanti, ma potrebbero avere delle funzionalità aggiuntive nascoste indesiderate, che raccolgono dati statistici di marketing. Un esempio di questi software, dichiarato illegittimo, è il Sony rootkit, un trojan inserito nei CD venduti da Sony, che viene installato sul computer dell'acquirente, con l'intento di impedire copie illecite.[8]

Scopo d'utilizzo[modifica | modifica wikitesto]

Categorie malware - Marzo 2011

Molti dei primi programmi malevoli sono stati scritti come esperimento o scherzo. Oggi il malware viene usato sia da Black hat che dai governi, per rubare informazioni personali, finanziarie o d'affari.[9][10]

Il malware viene usato a volte anche contro enti governativi o siti web aziendali, per carpire informazioni riservate,[11] o, in generale, per interferire con le loro operazioni. Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e password, o numeri di carte di credito. I bersagli a più alto rischio di essere colpiti da malware sono i computer personali incustoditi, soprattutto quelli collegati ad una rete informatica, dato che è possibile propagare l'attacco a tutti i computer collegati in rete: per questo motivo è necessario prendere varie precauzioni su ogni computer collegato alla rete informatica, come l'uso di Firewall e Antivirus (attacco ad una rete informatica in Sud Korea[12]).

Con l'avanzare dello sviluppo di internet e la crescita degli utenti collegati, il malware è sempre più stato usato per fini di lucro. Fin dal 2003, la maggior parte dei virus e worm sono stati creati per prendere il controllo del computer dell'utente vittima, per scopi illeciti.[13] Vengono usati Computer zombie per l'invio di email di Spam, per salvare materiale pornografico[14], o per effettuare attacchi distribuiti Denial of Service (DoS).

I programmi malware con lo scopo di monitorare la navigazione web, di mostrare a video pubblicità indesiderate, o di reindirizzare i ricavi di Affiliate Marketing, vengono chiamati Spyware. Uno spyware non si diffonde come i virus, vengono invece installati sfruttando delle debolezze nella sicurezza informatica. Possono anche essere nascosti e inseriti all'interno di software che verrà usato dall'utente vittima.[15]

I Ransomware sono creati con lo scopo di infettare un computer e di richiedere un pagamento alla vittima, per eliminare lo stesso malware dalla macchina vittima dell'attacco. Per esempio, un CryptoLocker cripta i dati presenti sul computer vittima, ed effettua la decriptazione solo su pagamento di una somma di denaro cospicua.

Alcuni malware sono usati per generare denaro con la tecnica Click fraud, simulando un click sul computer dell'utente su una pubblicità su un sito, generando un pagamento da parte dell'inserzionista della stessa pubblicità. È stato stimato che nel 2012, all'incirca il 60-70% di tutto il malware attivo usasse una sorta di Click fraud, e che il 22% di tutti gli ad-click fosse fraudolento.[16]

Il malware viene spesso usato per scopi criminali, ma può essere usato anche per sabotare, spesso senza un beneficio diretto agli autori del malware. Un esempio di sabotaggio è stato Stuxnet, usato per distruggere dell'attrezzatura industriale specifica. Ci sono stati degli attacchi con motivi pilitici che hanno colpito delle grandi reti di computer con lo scopo di sabotare la rete stessa, ma anche per effettuare massicce cancellazioni di file o per corrompere il Master boot record, descritto come "computer killing". Attacchi simili sono stati stati fatti a Sony Pictures Entertainment (25 novembre 2014, usando un malware conosciuto come Shamoon o W32.Disttrack) e a Saudi Aramco (Agosto 2012).[17][18]

Proliferazione[modifica | modifica wikitesto]

I risultati pubblicati da Symantec nel 2008 indicano che "la frequenza in cui vengono prodotti codice malevolo e altri programmi indesiderati, potrebbe superare quella delle applicazioni software".[19] Secondo F-Secure, "è stato prodotto tanto codice malevolo nel 2007 quanto ne è stato creato negli ultimi 20 anni".[20] Il canale di diffusione più usato dai criminali è Internet: principalmente tramite e-mail e World Wide Web.

La preferenza di usare il malware come strumento per compiere crimini su Internet, insieme alla sfida del software anti-malware che cerca di tenere il passo per contrastare i nuovi programmi malevoli, hanno portato alla necessità di prendere delle contromisure sia da parte dei singoli utenti, sia dalle aziende, comprese le aziende che vendono prodotti tramite Internet: questo significa che devono offrire servizi web con una certa sicurezza per la tutela del cliente. Il risultato dell'aumento e della facile diffusione del malware, impongono un'analisi approfondita sui sistemi di sicurezza da usare per proteggersi dal malware avanzato che opera dai computer dei clienti dell'azienda stessa.[21] Uno studio di Webroot del 2013 indica che il 64% delle società permette l'accesso remoto ai server dal 25% al 100% dei propri dipendenti, e che queste aziende subiscono più frequentemente attacchi malware.[22]

Nel Marzo del 2010, Symantec ha nominato Shaoxing (Cina), come la capitale mondiale del malware.[23] Nel 2011 uno studio dell'Università della California, Berkeley, ha pubblicato un articolo in "Software Development Technologies", ha esaminato come gli hacker imprenditoriali stanno influendo sulla diffusione del malware, dato che mettono a disposizione accesso ad un computer ad un certo prezzo. Microsoft ha dichiarato che, nel Maggio 2011, ogni 14 download da internet uno è probabile che contenga del codice maligno. I social media, Facebook in particolare, stanno constatando un continuo incremento delle tattiche usate per diffondere il malware.[24]

Uno studio del 2014 dichiara che la produzione di malware sta crescendo e si sta orientando sui dispositivi mobili come gli smartphone.[25]

Malware infettivo: virus e worm[modifica | modifica wikitesto]

Articoli principali: Virus (informatica) e Worm

I tipi di malware più conosciuti, ovvero virus e worm, sono noti per il modo in cui si diffondono, piuttosto del loro effettivo comportamento. Il termine virus viene usato per un programma che si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza. Per quanto riguarda i worm, questi sono del software completo a sé stante (senza la necessità di doversi integrare in altri programmi), e questi si diffondono su una rete per infettare altri computer. Date queste considerazioni si intuisce che il virus richiede che l'utente esegua un programma infettato (o solo il sistema operativo) affinché il virus si diffonda, mentre un worm non ha questo limite e si può diffondere liberamente ai computer collegati alla rete informatica.[26]

Occultamento: virus, trojan, rootkit, backdoor, evasione[modifica | modifica wikitesto]

Queste categorie di malware non sono mutuamente esclusive, infatti il malware può sfruttare tecniche multiple.[27] Questa sezione si applica solo al malware che viene progettare per non essere rilevato, non al malware progettato per il sabotaggio o ai ransomware.

Virus[modifica | modifica wikitesto]

Articolo principale: Virus

Un programma che di solito si nasconde con altri programmi innocui, effettua copie di sé stesso in altri programmi o file, e spesso effettua delle operazioni malevoli, come la distruzione dei dati.[28]

Trojan[modifica | modifica wikitesto]

Articolo principale: Trojan

In informatica, un Trojan (comunemente chiamato anche Cavallo di Troia) è un programma malevolo che falsa la sua vera identità per sembrare utile o interessante per persuadere la vittima ad installarlo. Il termine deriva dalla storia greca del Cavallo di Troia che venne usato dalle truppe greche per invadere la città di Troia di nascosto.[29][30][31][32]

I Trojan di solito vengono diffusi con qualche tecnica di Ingegneria sociale, per esempio quando un utente viene ingannato ad eseguire un allegato di una e-mail non sospettabile, o ad effettuare un download. Molti di questi Trojan moderni, agiscono come dei Backdoor, contattando un controller che può avere accesso non autorizzato al computer infettato.[33] Mentre i Trojan e i Backdoor non sono rilevabili di per sé, il computer vittima potrebbe risultare rallentato dovuto dall'uso notevole del processore e dal traffico di rete.

Al contrario dei virus e dei worm, i Trojan non tentano di iniettarsi in atri file o di propagarsi.[34]

Rootkit[modifica | modifica wikitesto]

Articolo principale: Rootkit

Una volta che un programma malevolo è stato installato su un sistema, è necessario che questo rimanga nascosto per evitare di essere scoperto e rimosso. I pacchetti software conosciuti come rootkit permettono occultamento, modificando il sistema operativo del computer in modo tale da nascondere le tracce del malware. I rootkit possono evitare che un processo malware risulti visibile nella lista dei processi attivi del sistema, e può anche impedire che i file del malware possano essere aperti e letti.[35]

Alcuni programmi malevoli contengono procedure che impediscono la rimozione dal sistema dello stesso malware: un esempio di questo comportamento è riportato nel Jargon File.[36]

Backdoor[modifica | modifica wikitesto]

Articolo principale: Backdoor

Una backdoor è un metodo per bypassare le procedure standard per l'autenticazione tramite una connessione ad una rete o su internet. Una volta che il sistema è compromesso, una o più backdoor possono essere installate per permettere accessi futuri, in modo del tutto invisibile all'utente.

L'idea di fondo che le compagnie produttrici di computer preinstallino delle backdoor nei propri sistemi, per provvedere supporto tecnico ai clienti, non è mai stata veramente verificata. È stato riportato che nel 2014 le agenzie governative americane hanno intercettato dei computer, acquistati da quelli ritenuti "obiettivo", e li hanno inviati a laboratori segreti dove sono stati installati software o hardware che permettesse l'accesso remoto al computer all'azienda.[37]

Le backdoor possono essere installate tramite Trojan, worm o altri metodi.[38][39]

Evasione[modifica | modifica wikitesto]

Sin dall'inizio del 2015, una buona parte del malware utilizza più combinazioni di tecniche usate per evitare la rivelazione e l'analisi.[40]

  • La tecnica di evasione più comune è quella in cui il malware evita analisi e rilevamento facendo "fingerprinting" dell'ambiente in cui viene eseguito (con fingerprinting si intende un algoritmo che mappa un file di grandi dimensioni in una stringa di bit molto più ristretta).[41]
  • La seconda tecnica più usata consiste nel confondere i tool di rilevamento. Questo permette al malware di evitare di venire rilevato da tecnologie come antivirus signature-based, cambiando il server usato dal malware.[42]
  • La terza tecnica più diffusa si basa sull'azione dello stesso malware per periodi ristretti, a seconda di certe azioni prese dall'utente, in modo tale che il malware si esegua in momenti vulnerabili, come l'avvio da boot, e rimanendo in stato dormiente per il resto del tempo.
  • La quarta tecnica più comune consiste nell'offuscare i dati interni dello stesso malware, così da evitare di essere rilevato dal software anti-malware.[43]
  • Una tecnica che sta diventando sempre più comune consiste nell'uso di Adware che usano dei certificati rubati per disabilitare per disabilitare il software anti-malware e anti-virus.[44]

Oggi, una delle più sofisticate strategie di evasione è quella di usare tecniche che nascondano le informazioni, chiamata Stegomalware.

Grayware[modifica | modifica wikitesto]

Grayware è la definizione generica che si riferisce alle applicazioni che presentano un comportamento molesto, indesiderabile o nascosto: non vengono classificate come malware, ma possono diminuire le prestazioni del sistema e possono causare problemi di sicurezza.[45]

Le applicazioni grayware non rientrano in nessuna delle categorie delle principali minacce (virus o cavalli di Troia) poiché sono soggette alla funzionalità del sistema e comprendono Spyware, Adware, Dialer fraudolenti, tool di accesso remoto e altri programmi indesiderati.[46]

Alcuni elementi nella categoria del grayware sono stati collegati ad attività dannose, mentre altri vengono utilizzati per fornire agli utenti informazioni mirate relative ad annunci sui prodotti. Per le aziende che si occupano di informazioni sensibili, le funzionalità di raccolta dati di qualsiasi tipo di applicazione dovrebbero suscitare preoccupazione.

Vulnerabilità al malware[modifica | modifica wikitesto]

Articolo principale: Vulnerabilità

Nel campo dell'informatica con sistema sotto attacco ci si può riferire a molti contesti, a partire da una singola applicazione, passando per computer e sistemi operativi, fino a parlare di reti grandi e complesse. I fattori che indicano se un sistema è più o meno vulnerabile sono:

Debolezze nel software di sicurezza[modifica | modifica wikitesto]

Il malware può sfruttare le debolezze della sicurezza (bug di sicurezza e vulnerabilità) di un sistema operativo, di un'applicazione (parlando di browser, ad esempio le vecchie versioni di Internet Explorer su varie versioni di Windows[47], o versioni vulnerabili di plugin per browser come Adobe Flash Player, Adobe Acrobat, Adobe Reader, Java SE.[48][49] A volte, anche installando versioni più recenti di questi plugin non vengono rimosse automaticamente le vecchie versioni. I fornitori di plug-in annunciano più o meno frequentemente degli aggiornamenti per risolvere questi problemi di sicurezza.[50] Alle vulnerabilità scoperte, note al pubblico, viene asseganto un CVE: Common Vulnerabilities and Exposures.

Gli autori di malware puntano a colpire un sistema sfruttando bug di vario tipo. Un metodo comune consiste nello sfruttare un Buffer overflow, che consiste nell'aggiungere sempre più dati ad un buffer finché non viene ecceduta la memoria a disposizione (per limitare questa vulnerabilità è necessario effettuare controlli via software sui dati e sulla memoria a disposizione del buffer): il malware provvede ad aggiungere dati che fanno overflow al buffer, inserendo in coda del codice malevolo eseguibile, in modo tale che quando il sistema vi accede, viene eseguito questo codice malware, in modo tale che il sistema compia azioni scelte da chi ha scritto il codice malevolo.

Progettazione non adeguata o errore utente[modifica | modifica wikitesto]

I primi computer dovevano essere avviati da floppy disk, successivamente il sistema operativo cominciò ad essere avviato da hard disk man mano che questi si diffusero, ora è possibile avviare il boot da dispositivi esterni (come chiavette USB o CD), e tramite questi dispositivi è possibile anche far eseguire software al sistema operativo. Gli autori di malware possono sfruttare questa tecnica per inserire del codice malevolo in un computer di un utente vittima che, inserendo ad esempio una chiavetta usb infetta nel proprio computer, possono infettare il sistema.[51]

Questa tecnica di infezione può essere evitata impostando il boot del computer da hard disk interno, ed evitando l'autorun dei dispositivi, facendo attenzione anche a non avviare da boot intenzionalmente dispositivi esterni.

Utenti e codice con privilegi di root[modifica | modifica wikitesto]

Articolo principale: Principio del privilegio minimo

In informatica, con il concetto di privilegio ci si riferisce a quanto è consentito ad un utente di modificare un sistema. In sistemi di computer progettati in modo non adeguato, è possibile che agli utenti e ai programmi possano essere assegnati troppi privilegi, di più di quelli che dovrebbero avere e il malware può approfittarne. Alcuni sistemi permettono all'utente di modificare la propria struttura interna, e questi utenti vengono considerati come utenti di root. Questa procedura operativa era standard nei primi sistemi di computer, dove non veniva considerata la distinzione tra utenti amministratori e utenti regolari. Alcuni sistemi danno troppi privilegi agli utenti regolari non amministratori, nel senso che a questi utenti viene permesso di modificare file di sistema, cosa che non dovrebbe avvenire. A volte accade che gli utenti abbiano molti privilegi, come se fossero amministratori di sistema, perché non è stata fatta un'analisi dei privilegi ed è stato commesso un errore di progettazione del sistema, perché non devono essere concessi troppi privilegi a chi non è veramente un responsabile a gestire il sistema informatico.

Alcuni sistemi permettono ad un codice eseguito da un utente di avere tutti i privilegi dello stesso utente che lo ha avviato. Anche questa era una procedura operativa standard per i primi sistemi. Il malware, avviato da un utente senza che ne sia consapevole, ha la possibilità di interagire con il sistema. Quasi tutti i sistemi operativi, ed anche le applicazioni di scripting, concedono troppi privilegi al codice, perché questo permette all'utente di essere vulnerabile anche da un semplice allegato di una email.

Non usare lo stesso sistema operativo[modifica | modifica wikitesto]

L'omogeneità dei computer, ad esempio usare lo stesso sistema operativo su tutti i computer collegati ad una rete, è controproducente quando la rete viene attaccata da un malware, dato che se riesce a penetrare dentro un computer, riuscirà ad entrare anche nelle altre macchine collegate in rete.[52] La diversità dei sistemi operativi in una rete, può permettere di evitare che cada tutta la rete e che alcuni nodi riescano a non essere colpiti dal malware, dato che non fanno parte dello stesso Servizio di directory per l'autenticazione, permettendo a questi nodi di aiutare con il recovery dei computer infettati dal malware. L'introduzione di macchine diverse all'interno della rete può essere vantaggioso per evitare che in caso di attacco cada tutta la rete, ma al costo di incrementare la complessità e ridurre la riusabilità in termini di autenticazione con single sign-on.

Strategie anti-malware[modifica | modifica wikitesto]

Articolo principale: Antivirus

Dato che gli attacchi malware diventano sempre più frequenti, l'attenzione si è spostata dalla protezione dei soli virus e spyware, al cercare delle strategie difensive contro il malware in generale e a produrre software in grado di contrastarli (oltre alle strategie qui di seguito descritte, ci sono quelle preventive e di recupero, come backup e metodi di recovery).

Anti-virus e anti-malware[modifica | modifica wikitesto]

Un componente specifico di anti-virus e anti-malware, agisce in profondità nel sistema operativo o nel kernel e opera cercando di scovare malware, sotto i permessi dell'utente. Ogni volta che il sistema operativo accede ad un file, vi è uno scanner software che si attiva per controllare che il file sia legittimo e privo di infezioni. Se il file viene riconosciuto come un malware dallo scanner software, l'operazione di accesso al file viene bloccata, il file viene messo in quarantena o eliminato a seconda delle impostazioni del software anti-malware.[53]

L'uso dello stesso anti-malware può avere un impatto considerevole sulle performance del computer, l'impatto dipende soprattutto da come è stato programmato lo scanner. L'obiettivo dell'anti-malware è quello di bloccare qualsiasi operazione da parte del malware prima che effettivamente l'attacco malware possa iniziare, quindi l'anti-malware deve eseguire un'analisi su come possa avvenire l'attacco, controllando che del possibile codice malevolo non possa sfruttare dei bug o possa attivarsi ad un determinato evento del sistema.

I programmi anti-malware possono combattere il codice malevolo in due modi:

  1. Possono provvedere protezione in tempo reale contro l'installazione del malware nel computer. Questo tipo di protezione lavora allo stesso modo dei software anti-virus, ovvero scansionano tutti i dati che provengono dalla rete, cercando di scovare possibili minacce.
  2. Il software anti-malware può anche solamente rilevare e rimuovere il malware che si è già installato sul sistema. Questo tipo di software scansiona i contenuti dei registri di sistema, dei file del sistema operativo, dei programmi installati e alla fine del lavoro mostra un elenco delle minacce trovate, permettendo all'utente di scegliere quali file tenere o eliminare.[54]

Alcuni virus disabilitano il Ripristino configurazione di sistema e altri tool importanti, ad esempio su piattaforma Windows, bloccano il Task manager e l'Interfaccia a riga di comando. È possibile rimuovere molti di questi virus avviando il computer in "safe mode with networking"[55] e successivamente usando il tool di Microsoft Safety Scanner.[56]

Categorie di Malware[modifica | modifica wikitesto]

Si distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi esaustiva.

  • Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
  • Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
  • Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
  • Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
  • Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.
  • Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.
  • Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l'apertura automatica di pagine web indesiderate.
  • Rootkit: i rootkit solitamente sono composti da un driver e a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
  • Scareware: non sono altro che porte di accesso che si nascondono sui manifesti pubblicitari e installano altri malware e spesso c'e il pericolo che facciano installare malware che si fingono antivirus tipo il famoso "rogue antispyware".
  • Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
  • Adware: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del pc e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
  • Malvertising: malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web
  • File batch: hanno Estensione ".bat". I file batch non sono veri e propri malware, ma solo semplici File di testo interpretati da Prompt dei comandi di microsoft windows. In base ai comandi imposti dall'utente, il sistema li interpreta come "azioni da eseguire", e se per caso viene imposto di formattare il computer, il file esegue l'operazione imposta, perché eseguire i file inoltrati al processore è un'operazione di routine. Questo rende i file batch pericolosi. I file batch sono spesso utilizzati nel cyberbullismo.
  • Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro. La differenza con gli Adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o attraverso l'accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell'utente. Esistono anche i Keylogger Hardware, che possono essere installati da una persona fisica, e poi, sfruttando la rete Internet inviano informazioni al malintenzionato quali password, email ecc.
  • Rogue antispyware: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma.
  • Ransomware Virus che cripta tutti i dati presenti su un disco, secondo una chiave di cifratura complessa; poi, per ottenerla e decrittografare il computer, bisogna pagare il cracker che ha infettato il pc e quindi ottenere la chiave di cifratura per "tradurre" i dati. Questi sofware sono pericolosi in modo direttamente proporzionale alla quantitá e alla riservatezza dei dati presenti sul disco. Una volta questi virus erano sono presenti in Windows e con diffusione ristretta, ma oggi ce ne sono parecchi in circolazione e si sono sviluppate varie versioni di questi, anche per i sistemi operativi mobili:
  • "A comando", cioè vengono attivati secondo le volontá del cracker nel momento che ritiene opportuno;
  • "Automatici", che si dividono in altre due sottocategorie;
    • "Da esecuzione", cioè vengono eseguiti e quindi si attivano quando l'utente li avvia;
    • "Da avvio", cioè si attivano quando si spegne/accende il device.
  • Bomba logica: è un tipo di malware che "esplode" ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dal cracker stesso.
  • Zip Bomb è un file che si presenta come un file compresso. Deve essere l'utente ad eseguirlo. All'apparenza sembra un innocuo file da pochi Kilobyte ma, appena aperto, si espande fino a diventare un file di circa quattro Petabyte, occupando quindi tutto lo spazio su disco rigido.

Nell'uso comune il termine virus viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti.

Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non rientrano nella definizione data i programmi contenenti bug, che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un software.

Attività criminose legate ai malware[modifica | modifica wikitesto]

La legislazione relativa ai malware è estremamente variabile a seconda delle nazioni ed è in continua evoluzione. In generale se i virus, i worm e i trojan sono illegali in quasi ogni parte del mondo non si può dire lo stesso per le altre categorie. I dialer in particolare sono di per sé legali, tanto che ogni sistema operativo moderno ne contiene almeno uno. L'ambiguità è peggiorata dal fatto che molti software si situano sul limite che separa un vero e proprio malware da un programma forse fastidioso ma non dannoso.

Attualmente i malware (in particolare trojan, worm, spyware, malware e adware) vengono utilizzati per inviare grandi quantità di file non richiesti dall'utente; questi ultimi vengono solitamente venduti agli spammer. Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile acquistare l'utilizzo di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.

Note[modifica | modifica wikitesto]

  1. ^ Malware Definition, su techterms.com. URL consultato il 27 aprile 2016.
  2. ^ Christopher Elisan, Malware, Rootkits & Botnets A Beginner's Guide, McGraw Hill Professional, 5 Settembre 2012, p. 10, ISBN 978-0-07-179205-9.
  3. ^ Stallings William, Computer security : principles and practice, Boston: Pearson, 2012, p. 182, ISBN 978-0-13-277506-9.
  4. ^ technet.microsoft.com, "Defining Malware: FAQ", technet.microsoft.com. URL consultato il 27 aprile 2016.
  5. ^ United States Computer Emergency Readiness Team (Us-cert.gov), "An Undirected Attack Against Critical Infrastructure" (PDF).
  6. ^ Dati riferiti in un rapporto diffuso da Panda Security e riportati in Sicurezza, in una classifica i bug più pericolosi (punto-informatico.it)
  7. ^ Microsoft.com, "Evolution of Malware-Malware Trends", microsoft.com, Microsoft Security Intelligence Report-Featured Articles. URL consultato il 27 aprile 2016.
  8. ^ Mark's Blog. Microsoft MSDN, "Sony, Rootkits and Digital Rights Management Gone Too Far", blogs.technet.com. URL consultato il 27 aprile 2016.
  9. ^ FEDERAL TRADE COMMISSION- CONSUMER INFORMATION, "Malware", consumer.ftc.gov. URL consultato il 27 aprile 2016.
  10. ^ Hernandez Pedro, "Microsoft Vows to Combat Government Cyber-Spying", eweek.com. URL consultato il 27 aprile 2016.
  11. ^ Kovacs Eduard, "MiniDuke Malware Used Against European Government Organizations", Softpedia. URL consultato il 27 aprile 2016.
  12. ^ BBC, "South Korea network attack 'a computer virus'", bbc.co.uk. URL consultato il 27 aprile 2016.
  13. ^ "Malware Revolution: A Change in Target", technet.microsoft.com, March 2007. URL consultato il 27 aprile 2016.
  14. ^ "Child Porn: Malware's Ultimate Evil", itworld.com. URL consultato il 27 aprile 2016.
  15. ^ NORTH CAROLINA STATE UNIVERSITY, "Peer To Peer Information", oit.ncsu.edu. URL consultato il 27 aprile 2016.
  16. ^ "Another way Microsoft is disrupting the malware ecosystem", blogs.technet.com. URL consultato il 27 aprile 2016.
  17. ^ "Shamoon is latest malware to target energy sector", computerweekly.com. URL consultato il 27 aprile 2016.
  18. ^ "Computer-killing malware used in Sony attack a wake-up call", computerweekly.com. URL consultato il 27 aprile 2016.
  19. ^ Symantec, "Symantec Internet Security Threat Report: Trends for July–December 2007 (Executive Summary)" (PDF), eval.symantec.com, Aprile 2008. URL consultato il 28 aprile 2016.
  20. ^ "F-Secure Reports Amount of Malware Grew by 100% during 2007", businesswire.com. URL consultato il 28 aprile 2016.
  21. ^ Gunter Ollmann, "Continuing Business with Malware Infected Customers", technicalinfo.net. URL consultato il 28 aprile 2016.
  22. ^ Webroot, "New Research Shows Remote Users Expose Companies to Cybercrime", webroot.com. URL consultato il 28 aprile 2016.
  23. ^ "Symantec names Shaoxing, China as world's malware capital", engadget.com. URL consultato il 28 aprile 2016.
  24. ^ Rooney, Ben, "Malware Is Posing Increasing Danger", Wall Street Journal. URL consultato il 28 aprile 2016.
  25. ^ Suarez-Tangil, Guillermo; Juan E. Tapiador, Pedro Peris-Lopez, Arturo Ribagorda, "Evolution, Detection and Analysis of Malware in Smart Devices" (PDF), IEEE Communications Surveys & Tutorials, 2014. URL consultato il 28 aprile 2016.
  26. ^ Britannica.com, "computer virus – Encyclopedia Britannica", britannica.com. URL consultato il 28 aprile 016.
  27. ^ "All about Malware and Information Privacy", techacute.com. URL consultato il 28 aprile 2016.
  28. ^ Indiana University, "What are viruses, worms, and Trojan horses?", kb.iu.edu. URL consultato il 28 aprile 2016.
  29. ^ "A taxonomy of computer program security flaws, with examples", dtic.mil. URL consultato il 28 aprile 2016.
  30. ^ "Trojan Horse Definition", techterms.com. URL consultato il 28 aprile 2016.
  31. ^ "Trojan horse", webopedia.com. URL consultato il 28 aprile 2016.
  32. ^ "What is Trojan horse? – Definition from Whatis.com", searchsecurity.techtarget.com. URL consultato il 28 aprile 2016.
  33. ^ Symantec Corporation, "What is the difference between viruses, worms, and Trojans?", symantec.com. URL consultato il 28 aprile 2016.
  34. ^ "VIRUS-L/comp.virus Frequently Asked Questions (FAQ) v2.00 (Question B3: What is a Trojan Horse?)", faqs.org. URL consultato il 28 aprile 2016.
  35. ^ McDowell, Mindi, "Understanding Hidden Threats: Rootkits and Botnets", us-cert.gov. URL consultato il 28 aprile 2016.
  36. ^ "Catb.org", catb.org. URL consultato il 28 aprile 2016.
  37. ^ Staff, SPIEGEL, "Inside TAO: Documents Reveal Top NSA Hacking Unit", spiegel.de. URL consultato il 28 aprile 2016.
  38. ^ Edwards, John, "Top Zombie, Trojan Horse and Bot Threats", itsecurity.com. URL consultato il 28 aprile 2016.
  39. ^ Appelbaum, Jacob, "Shopping for Spy Gear:Catalog Advertises NSA Toolbox", spiegel.de. URL consultato il 28 aprile 2016.
  40. ^ "Evasive malware", net-security.org. URL consultato il 28 aprile 2016.
  41. ^ Kirat, Dhilung; Vigna, Giovanni; Kruegel, Christopher, Barecloud: bare-metal analysis-based evasive malware detection, ACM, 2014, pp. 287–301, ISBN 978-1-931971-15-7.
  42. ^ "The Four Most Common Evasive Techniques Used by Malware", tripwire.com. URL consultato il 28 aprile 2016.
  43. ^ Young, Adam; Yung, Moti, "Deniable Password Snatching: On the Possibility of Evasive Electronic Espionage", 1997, pp. 224–235, ISBN 0-8186-7828-3.
  44. ^ "Latest adware disables antivirus software", yahoo.com. URL consultato il 29 aprile 2016.
  45. ^ Trend Micro, "Spyware/Grayware", docs.trendmicro.com. URL consultato il 30 aprile 2016.
  46. ^ malwarebytes.org, "PUP Criteria", malwarebytes.org. URL consultato il 30 aprile 2016.
  47. ^ "Microsoft ends support for old Internet Explorer versions", welivesecurity.com, 12 gennaio 2016. URL consultato il 29 aprile 2016.
  48. ^ Rashid, Fahmida Y., "Updated Browsers Still Vulnerable to Attack if Plugins Are Outdated", securitywatch.pcmag.com, 27 novembre 2012. URL consultato il 29 aprile 2016.
  49. ^ Danchev, Dancho, "Kaspersky: 12 different vulnerabilities detected on every PC", zdnet.com, 18 agosto 2011. URL consultato il 29 aprile 2016.
  50. ^ "Adobe Security bulletins and advisories", adobe.com. URL consultato il 29 aprile 2016.
  51. ^ "USB devices spreading viruses", cnet.com. URL consultato il 29 aprile 2016.
  52. ^ Kanlayasiri, "Key Factors Influencing Worm Infection" (PDF).
  53. ^ How Does Anti-Malware Work?, classroom.synonym.com. URL consultato il 30 aprile 2016.
  54. ^ "How Antivirus Software Works?", antivirus.comodo.com. URL consultato il 30 aprile 2016.
  55. ^ "How do I remove a computer virus?", windows.microsoft.com. URL consultato il 30 aprile 2016.
  56. ^ "Microsoft Safety Scanner", microsoft.com. URL consultato il 30 aprile 2016.

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Controllo di autorità GND: (DE4687059-3
sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica