Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
del malware
di Marco Preuss, Magnus Kalkuhl
Page 1
Il primo malware pet MS-DOS fece la sua comparsa nel 1986. Brain era un virus che
infettava il boot sector dei dispositivi di memoria; è davvero singolare come il codice di
tale malware includesse nomi, indirizzi e numeri di telefono dei suoi autori. Amjad e
Basit Farooq Alvi, due fratelli di nazionalità pakistana, asserirono all'epoca di aver
creato Brain per determinare a quale livello fosse il fenomeno della pirateria informatica
in India. Dovettero però ammettere, in seguito, di aver perso il controllo sull'esperimento
messo in atto.
Negli anni seguenti, si assistette ad una vera e propria “fioritura” dei virus informatici;
entrarono presto in scena virus per ogni sistema operativo allora esistente. Fu così
rilevata la presenza di oltre 190 programmi malware rivolti alla piattaforma Amiga di
Commodore, mentre Atari ST fu preso di mira da un altro paio di dozzine di virus.
Faceva parte di questi ultimi il virus "C't" [http://www.stcarchiv.de/am88/06_viren.php],
Page 2
così denominato in quanto pubblicato nell'anno 1988 con C't, rivista sorella di iX, in
linguaggio Assembler; il virus poteva in tal modo essere copiato e riprodotto dai lettori di
quel magazine di informatica. Ciò testimonia, in maniera molto evidente l'atteggiamento
eccessivamente disinvolto che veniva all'epoca adottato nei confronti del malware.
Mentre in passato il fenomeno della diffusione di virus e worm era in qualche modo
legato a fattori di casualità ed imponderabilità, al punto da sfuggire sovente al controllo
degli autori stessi del malware, grazie alla Rete si è reso oggi possibile, per i pirati
informatici, poter ad esempio travasare dati sensibili da un computer “bersaglio”,
specificamente preso di mira, oppure trasmettere dei comandi ad un agente residente
su hard disk remoto. Ciò ha creato le condizioni ideali per la conduzione di violenti
attacchi DDoS (Distributed Denial of Service) ed il proliferare dello spam di massa;
sono pertanto sorte opportunità davvero “dorate” per i cybercriminali, per far soldi
distribuendo programmi maligni. Ovviamente, chi si “guadagna” da vivere conducendo
attacchi di tale sorta, cercherà sempre di colpire i bersagli più redditizi ed appetibili in
termini numerici. E' dunque proprio per tale motivo che i milioni di Trojan inviati
quotidianamente tramite e-mail, prendono di mira gli utenti dei vari sistemi operativi
Windows; eventuali codici maligni atti a colpire, ad esempio, BeOS o Plan 9, sarebbero
ben lungi dall'ottenere gli effetti desiderati. E poi, è una questione davvero tutta da
discutere se tali sistemi operativi siano effettivamente più sicuri di Windows XP; e se
anche esistesse un sistema operativo realmente inespugnabile, vi sarebbero sempre e
comunque, nell'hard drive, applicazioni più o meno vulnerabili, con evidenti falle di
sicurezza che potrebbero essere agevolmente sfruttate dai pirati informatici per la
conduzione dei loro attacchi.
Lo status quo
I vari sistemi operativi Windows, proprio in ragione delle elevate quote di mercato che
detengono, sono sempre il bersaglio preferito dagli autori di malware. Pertanto, la
quantità di programmi maligni che prendono di mira Windows è di gran lunga superiore
al numero di programmi nocivi messi a punto per colpire gli utenti di altri sistemi
operativi; è poi da rilevare come vi sia una differenza sostanziale nelle tipologie di
Page 3
malware che bersagliano i suddetti ambienti. Si tratta, in pratica, di due mondi
nettamente distinti.
Per quanto concerne, invece, gli attacchi rivolti ai sistemi operativi Unix, è stato
appurato che il chiaro intento dei pirati informatici è quello di passare totalmente
inosservati mentre cercano criminosamente di appropriarsi di dati relativi alle carte di
credito possedute dagli utenti di negozi on-line, o magari di appropriarsi delle password
da questi utilizzate. Nella maggior parte dei casi, gli attacchi non vengono condotti
avvalendosi di Trojan, bensì sfruttando le falle di sicurezza (ad essi note) esistenti nei
servizi erogati dai server.
Page 4
essere certo una novità per gli utenti abituali di Windows, coloro che hanno sviluppato il
suddetto programma “canaglia” sono stati verosimilmente animati dal desiderio di
scoprire fino a che punto gli utenti Mac si sarebbero poi fidati di una simile subdola
proposta “commerciale”.
Alla fin fine, il vero rischio è credere che un sistema sia inespugnabile. E' vero che, al
giorno d'oggi, anche i computer acquistati nei negozi discount sono tutti quanti dotati di
protezione antivirus preinstallata; è altrettanto vero, però, che molti utenti Linux si
rifiutano addirittura di installare gli scanner gratuiti quali, ad esempio, ClamAV,
sostenendo che sono del tutto inutili. E pensare che è proprio la comunità dell'open
source ad offrire una vasta gamma di soluzioni dalle elevate prestazioni, con tecnologie
quali SELinux od AppArmor, così come tutta una serie di sistemi più che validi per il
rilevamento delle intrusioni. Gli utenti che non utilizzano tali soluzioni (in quanto
pensano che siano possano richiedere sforzi troppi elevati, o ritengono, magari, che
siano del tutto inutili), probabilmente poi non si accorgeranno di nulla, nel bel momento
in cui qualcuno assumerà illegalmente il controllo del loro computer, alla caccia di un
ricco bottino.
Al fine di bloccare già al gateway gli attacchi maligni in arrivo, vale davvero la pena
prendersi la briga di implementare dei firewall, così come dei sistemi di rilevamento e
prevenzione delle intrusioni. Qualora vengano dispiegati appositi server dedicati a
installate applicazioni server, i sistemi operativi Linux o Unix possono rappresentare la
prima linea di difesa per la rete locale, nel caso di installazioni gateway. Per prevenire
gli effetti del malware che si autodiffonde (worm) replicandosi attraverso le connessioni
di rete, oltre a disporre di appropriati servizi ed impostare una prima linea di difesa
contro gli attacchi dei cybercriminali, è comunque possibile (nonché raccomandato)
installare un firewall debitamente configurato. E' ad esempio possibile proteggere
adeguatamente una rete da "Lovesan.a" semplicemente bloccando le porte TCP 135 e
4444.
Un firewall può anche essere adibito alla specifica funzione di limitare i danni. Qualora
la rete presenti già dei client infetti, bloccare certe porte può di fatto impedire che
vengano stabilite delle connessioni, in modo che il sistema contagiato dal malware non
possa essere sfruttato. Allo scopo di minimizzare i rischi di attacchi e conseguenti
Page 5
infezioni, al momento di effettuare la configurazione di un firewall dovrebbe essere
tenuta in considerazione tutta una serie di possibili scenari; dovrebbero anche essere
chiaramente definite le porte ed i servizi autorizzati.
In ogni caso, i proxy non possono certamente garantire una protezione completa.
Anche il migliore virus scanner esistente, non potrebbe difatti mai, ad esempio, quei file
protetti da password; i limiti delle tecnologie proxy emergono poi, in tutta la loro
evidenza, quando si ha a che fare con connessioni VPN cifrate.
Page 6
posta elettronica proveniente dall'host remoto. L'e-mail viene poi ritrasmessa al filtro dei
contenuti, per le opportune verifiche, e da qui inviata di nuovo all'MTA. Anche sendmail
presenta un'interfaccia API (Milter API). Con tali sistemi upstream, per proteggere il
traffico di posta elettronica, vengono altresì adottate delle soluzioni filtro ad essi
collegate, costituite da molteplici filtri spam e virus scanner (ad esempio 2 filtri spam e
2-3 virus scanner). Ne deriva un evidente vantaggio: lo scanner vero e proprio può in tal
modo operare su un sistema dedicato; ciò, ovviamente, riduce il carico che deve
sopportare il mail gateway. In tal modo, possono essere integrate con notevole facilità
anche interessanti soluzioni di alta disponibilità, quali, ad esempio, filtro dei contenuti e
mail gateway (MTA) in modalità cluster. Vengono tuttavia ampiamente utilizzate anche
soluzioni cluster di alta disponibilità totalmente integrate fra loro (MTA e filtro in un unico
sistema). Beneficiano ugualmente dei sistemi filtro installati “a monte” i server di posta
interni, in ragione delle minori risorse utilizzate per la scansione e la memorizzazione di
malware e spam. Verranno allo stesso modo utilizzate minori risorse quando dovranno
essere processate considerevoli quantità di traffico di posta elettronica. E' questo il
motivo per cui vale la pena prendere in considerazione una soluzione server relay
anche per le aziende di minori dimensioni. Alcuni produttori offrono poi soluzioni
integrate "out of the box", allo scopo di semplificare l'amministrazione.
Molte reti, unitamente ai server Windows, sono dotate di sistemi alternativi, con servizi
Samba. In tali casi, il processo di integrazione si rivela possibile grazie all'utilizzo di un
modulo VFS (virtual file system), il quale reindirizza il traffico dei dati attraverso il virus
scanner. Ciò produce una scansione dei dati del tipo on-access (lettura e/o scrittura).
I moduli kernel (Linux, FreeBSD) sono disponibili anche per alcuni sistemi alternativi.
Essi non solo proteggono il servizio Samba stesso, ma controllano altresì tutti gli oggetti
presenti nel sistema. Sono disponibili sia per NFS che per server FTP e web server. Lo
svantaggio che presenta tale soluzione risiede nel fatto che il supporto per il nuovo
kernel deve essere controllato ed il modulo deve essere ricompilato in base agli
aggiornamenti del kernel.
Page 7
con firewall dedicati, restrizioni di accesso, IDS (Intrusion Detection System) o IPS
(Intrusion prevention system).
Un particolare problema è poi rappresentato dal fatto che, oltre alle workstation ed ai
laptop, al giorno d'oggi è in uso un numero sempre crescente di smartphone e PDA, i
quali, ovviamente, ugualmente necessitano di adeguata protezione. Per ciò che
riguarda le configurazioni di rete standard, poi, risulta ben chiaro quale sia stato, finora,
il vettore prediletto per la conduzione di attacchi di pirateria informatica: Internet.
Adesso, poi, gli amministratori di sistema e gli esperti di sicurezza IT debbono anche
affrontare il problema della protezione dei nodi interni. Tale compito non viene
certamente reso più agevole dal fatto che la varietà delle piattaforme utilizzate sia in
perenne espansione. In aggiunta alle varie versioni di Windows Mobile, adesso si
installano anche sistemi operativi quali Symbian e Linux, così come vari sistemi
proprietari. E trovare delle adeguate soluzioni di sicurezza per tali sistemi è compito
assai difficile, per non dire impossibile, talvolta.
Conclusioni
Il fatto di non impiegare le tecnologie utilizzate al giorno d'oggi dalla stragrande
maggioranza degli utenti offre indubbi vantaggi a livello di sicurezza, ma non fornisce
tuttavia alcuna effettiva garanzia di protezione. Ad esempio, per quanto un sistema
desktop Solaris possa essere considerato non convenzionale, la sua controparte server
sarà pur sempre costituita da un sistema standard, quindi potenzialmente sottoposto ad
attacchi informatici, alla stregua di qualunque altro server. Coloro che hanno davvero a
cuore la sicurezza dei propri dati dovrebbero pertanto assicurarsi che i loro computer
siano adeguatamente protetti, indipendentemente dal sistema operativo in essi
installato. Idealmente, ciò dovrebbe essere realizzato utilizzando una combinazione di
tecnologie che si integrino a vicenda. Non solo: una buona dose di prudenza è sempre
oltremodo raccomandabile, tanto più che viene fatto un uso sempre maggiore delle
applicazioni web, piuttosto che delle applicazioni presenti nel computer locale. Un tipico
esempio di quanto sopra detto è costituito da quei forum e bacheche informatiche in cui
il livello di sicurezza è veramente a livello infimo: qui, può essere ad esempio facilmente
immesso del codice HTML, al fine di favorire attacchi di cross-site scripting,
indipendentemente dal sistema operativo adottato. Per farla breve, il messaggio da
tenere bene a mente è uno solo: Sta' attento, Tux, fa' ben attenzione!
Page 8
Kaspersky Lab offre la migliore protezione contro minacce IT quali virus, spyware,
crimeware, hacker, phishing e spam. Le soluzioni Kaspersky Lab hanno i più rapidi
tempi di reazione contro le minacce per la protezione di utenti consumer, PMI, aziende
Enterprise e dispositivi mobili. Le tecnologie Kaspersky Lab vengono inoltre utilizzate
all’interno di prodotti e servizi delle più importanti aziende IT.
Per ulteriori informazioni su Kaspersky Lab, visitate il sito www.kaspersky.it. Per
informazioni su antivirus, anti-spyware, anti-spam ed ogni altro tema legato alla
sicurezza informatica, visitate il sito www.stop-cybercrime.it.
Page 9