- presentazione del sito
- Registrazione
- Eventi, mostre, convegni ed iniziative segnalate dalle aziende
- Recensioni ed articoli
- Le Mailing Lists
- La rivista Pc Ciechi
- Wiki
- Chi siamo
- Donazioni
- Un progetto degno di nota: Wintalbra
- Come navigare in questo sito
- rss
- Bancomat Accessibili sul territorio nazionale
- Contattaci
- I sostenitori di SpazioAusili
Strategie di sicurezza
redazione uiciechi.it,2009-05.
Essendo la sicurezza non trascurabile per nessuno, al fine di rendere edotti i lettori su questa tematica, si pubblica questo documento ricavato dal file PDF creato da Fabrizio Pincelli con Acrobat 7 pro e prelevato dal sito di Trend Micro.
Ed ora, un po' di pubblicità
:Riporta tutte le strategie per non correre rischi, della serie: "Il pericolo, se lo conosci, lo puoi evitare!".
Inoltre, la redazione ha inserito una nota per rendere più semplice applicare un importante suggerimento riportato nel testo, indicando i comandi da tastiera. Si consiglia di fare attenzione e seguire attentamente quanto indicato. Nel caso non si avesse molta dimestichezza con le impostazioni del sistema, si consiglia di farsi dare una mano da qualcuno che abbia queste capacità.
Ecco le "Strategie di sicurezza"
Lo scenario dei malware è in continua evoluzione: il 2008 si è chiuso portando all’attenzione pubblica una serie di tematiche che le società attive nel campo della sicurezza informatica debbono necessariamente tenere in considerazione, se desiderano migliorare i propri strumenti di rilevazione e rimozione delle nuove minacce.
Rispetto al passato, chi sviluppa malware ha raffinato le proprie conoscenze mettendo a punto codici nocivi che sfruttano tutta una serie di tecniche per passare inosservati ai software di sicurezza.
Si rilevano oggi sempre più efficaci, inoltre, anche gli espedienti impiegati per trarre in inganno gli utenti e spingerli all’esecuzione di programmi dannosi.
Del resto, la crescita delle minacce via Internet è impetuosa.
Secondo una recente ricerca di Trend Micro, gli attacchi dal Web sono aumentati di circa il 2.000% dal 2005. E nel 50% dei casi sono stati gli utenti a scaricare i codici maligni sul PC, mentre navigavano su siti sconosciuti o rischiosi.
Una testimonianza del fatto che non tutti gli utenti hanno la percezione di quanto un comportamento proattivo e consapevole possa essere un buon antidoto nei confronti dei malware.
Lo stesso concetto si trova anche analizzando i dati di un’indagine effettuata su 2.000 utenti Internet: la maggioranza degli intervistati dichiara di aver installato un software di sicurezza sui propri computer.
Tuttavia, solo il 21% (il 18% in Italia) è consapevole che gli antivirus necessitano quotidianamente di più aggiornamenti.
Le minacce
Si fa presto a parlare di “minacce” Internet. In realtà, nella pratica, dietro questo termine si celano molteplici pericoli che illustriamo di seguito.
Rootkit, una delle minacce più pericolose
“Nascondere il più possibile” è l’imperativo di chi oggi sviluppa malware a fini di lucro. Se, come abbiamo visto, sono profondamente cambiate le filosofie alla base della creazione di applicazioni nocive e le loro modalità di distribuzione, di pari passo hanno iniziato ad essere impiegate tecniche nuove che rendono ancor più complicata la fase di riconoscimento ed eliminazione del malware.
L’uso di rootkit (ovvero di programmi nocivi in grado di prendere il controllo del sistema operativo, agendo con privilegi di amministratore) è divenuto sempre più gettonato: un dato, questo, su cui concordano tutti i principali produttori di soluzioni per la sicurezza.
Gli analisti hanno previsto, per il prossimo futuro, un pesante incremento nella diffusione dei cosiddetti kernel rootkit la cui caratteristica principale consiste nel modificare porzioni degli aspetti chiave del sistema operativo con lo scopo di nascondere all’ utente e ai software antivirus/antimalware l’avvio di attività maligne.
Gli autori di malware abbracciano l’uso dei rootkit per nascondere in modo più efficace le proprie “creature”: l’intento è quello di nascondere il malware sviluppato all’interno di un altro contenitore “ostile”, capace di creare una sorta di barriera difficilmente penetrabile dalle classiche soluzioni antivirus.
Nel corso del 2008, i rootkit si sono confermati come una delle armi preferite da coloro che sviluppano malware. Basti pensare alla diffusione di MBR Rootkit. Conosciuto anche con il nome di Mebroot, è probabilmente uno dei rootkit più raffinati in circolazione. Questo malware infetta il Master Boot Record (MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer, prima del caricamento del sistema operativo.
Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, Mebroot sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware.
I rootkit che infettano l’MBR sono spesso portatori di trojan in grado di sottrarre informazioni di tipo bancario e credenziali di accesso a servizi finanziari. Una volta eseguito nel sistema, infatti, il rootkit è in grado di bypassare eventuali firewall installati e di connettersi all’esterno, aprendo backdoor e scaricando nuove infezioni all’interno del personal computer.
L’infezione dell’MBR è oggi “tornata di moda” perché i malware sfruttano, contemporaneamente, funzioni mimetiche a livello kernel. Se la strategia che vede l’infezione dell’MBR è molto vecchia (i primi virus che infettavano l’MBR risalgono ai tempi del DOS), i malware moderni abbinano l’impiego di efficaci e purtroppo pericolose tecniche rootkit.
Grazie a questo tipo di approccio, i nuovi malware possono garantirsi l’esecuzione all’avvio del sistema operativo (l’MBR è il primo ad essere caricato) senza rischiare di essere smascherati facilmente.
Un altro esempio di rootkit, tecnicamente molto avanzato e che si è ampiamente diffuso nel corso del 2008, è Rustock.
Il malware fa uso di un evoluto sistema di codifica cifrata che rende particolarmente arduo il compito di analizzarne il codice da parte dei ricercatori delle società di sicurezza.
L’infezione da Rustock si è rivelata particolarmente subdola poiché il rootkit integra funzionalità di file infector ossia “inietta” il suo codice nocivo all’interno di driver di sistema, presenti sulla macchina in uso.
Qualsiasi tentativo di analizzare il driver infetto darà esito negativo poiché il rootkit è capace di filtrare le comunicazioni provenienti da alcuni componenti di sistema essendo così in grado di mostrare una copia “pulita” del driver ad ogni esame operato ricorrendo ad un software antimalware.
Botnet, una rete di computer infetti
Nel corso del 2008 si sono registrate decine di esempi di malware che, una volta infettato il sistema, lo inseriscono in una botnet, insiemi di computer controllati illecitamente all’insaputa del legittimo proprietario.
Secondo diversi studi il numero di sistemi coinvolti in reti botnet sarebbe aumentato a dismisura nel corso degli ultimi mesi.
I sistemi infettati da bot sarebbero responsabili dell’invio, addirittura, dell’80% dell’intero quantitativo di e-mail indesiderate ricevute quotidianamente.
Il controllo delle macchine infettate viene infatti spesso venduto, da criminali informatici, ad altre organizzazioni che effettuano attività illecite come l’invio di campagne spam.
Chi gestisce botnet è arrivato ad offrire l’invio di ben 20 milioni di e-mail di spam per soli 350 euro.
Un dato, questo, assolutamente allarmante che mostra, da un lato, come - grazie alla presenza in Rete di sistemi vulnerabili – ormai gli aggressori remoti stiano creando botnet sempre più vaste, estese in modo capillare in molti Paesi.
Dall’altro lato, si osserva come malware e spam siano sempre più sinonimo di un crescente business (criminoso).
Le botnet vengono anche utilizzate per lanciare i cosiddetti attacchi Denial of Service (DoS) il cui scopo consiste nel mettere fuori uso o comunque rendere irraggiungibili sistemi di aziende o organizzazioni specifiche inviando, contemporaneamente e per periodi di tempo anche piuttosto ampi, continue richieste di connessione.
Chi ha il controllo su di una botnet composta, ad esempio, da migliaia di sistemi, può raggiungere l’intento in modo molto semplice.
Le botnet, composte sostanzialmente da sistemi precedentemente violati, possono poi essere impiegate per molti altri scopi criminosi.
Web threats e minacce che sfruttano i social network
Il 2009 è destinato a registrare un crescente utilizzo delle tecniche di ingegneria sociale adattate ai servizi di social network, ormai sempre più diffusi, quali Facebook.
Il “valore” dell’identità digitale di una persona, inoltre, sta crescendo in modo vertiginoso.
L’incredibile quantità di dati pubblicati su siti come Facebook, LinkedIn e MySpace ha reso più semplice, per gli aggressori, danneggiare o presentare in modo distorto un’identità professionale o personale sul Web.
Le varie aziende operanti nel campo della sicurezza informatica sono concordi nell’affermare come nei prossimi mesi vi possa essere un significativo aumento nel numero di casi di pirateria delle identità digitali.
In risposta, dovrà essere necessariamente posto in essere un serio cambiamento nei meccanismi di controllo e validazione delle identità sul Web.
I malintenzionati inoltre possono servirsi delle informazioni personali pubblicate sui social network talvolta con troppa leggerezza, per violare servizi utilizzati dagli utenti.
Emblematico il caso di Sarah Palin, governatrice dello stato dell’Alaska.
Durante la campagna per la presidenza degli Stati Uniti, sul Web iniziarono a diffondersi dettagli sulla corrispondenza della Palin, che avveniva attraverso un account di posta elettronica gratuito registrato su Yahoo.
La casella di posta elettronica della politica era stata, insomma, violata.
Com’è potuto accadere? Le indagini dell’FBI, subito attivatesi, hanno portato all’individuazione del colpevole che sarebbe riuscito a violare l’account di posta della Palin semplicemente raccogliendo informazioni su di lei in Rete e rispondendo correttamente alla “domanda segreta” impostata dalla governatrice dell’Alaska.
In questo modo l’aggressore sarebbe riuscito a “resettare” la password della casella di posta e a guadagnare l’accesso al contenuto della “scottante” mailbox.
L’accaduto fa riflettere su quanto sia importante adottare tutte le principali misure di sicurezza atte a scongiurare situazioni simili, soprattutto nell’era Web 2.0 dove sembra più facile accedere a qualsiasi cosa e più semplice condividerla.
Quando si registra un account e-mail gratuito presso uno dei tanti fornitori disponibili (Google GMail, Yahoo Mail, Microsoft Hotmail, tanto per citarne alcuni) è bene dare massima importanza alla risposta fornita alla cosiddetta “domanda segreta”.
Trattarla con leggerezza indicando magari una risposta pubblicata, ad esempio, sul proprio profilo Facebook è cosa assolutamente da evitare.
Tra i malware che hanno bersagliato direttamente gli utenti di Facebook vi è Koobface.
Diffusosi nel luglio 2008, il worm tentava di installare codice nocivo sul PC unitamente a un keylogger, in grado di sottrarre informazioni sensibili.
Koobface, poi, inviava messaggi di spam ai contatti amici attraverso l’interfaccia di Facebook.
Con un clic sul link maligno, facente riferimento ad una falsa pagina di YouTube, veniva avviata l’esecuzione del malware.
Rogue antivirus, i falsi software per la sicurezza
Una delle “mode” più in voga consiste nell’inserire componenti spyware all’interno di programmi presentati come del tutto sicuri (rogue antivirus ossia “antivirus-canaglia”).
È in forte aumento, ad esempio, la diffusione di spyware che si insediano sul sistema dell’utente presentandosi, paradossalmente, come programmi antivirus, antimalware o antispyware.
Ne abbiamo contati a decine in Rete, spesso veicolati con nomi rassicuranti come Wista Antivirus, Andromeda Antivirus, Personal Defender 2009, ToolSicuro, VirusDifesa, PestCapture, SpywareSheriff e così via.
Va rimarcato come questi falsi strumenti per la sicurezza utilizzino sempre più frequentemente termini italiani, per colpire più facilmente anche gli utenti del nostro Paese.
I rogue software si presentano di solito visualizzando delle finestre pop-up durante la navigazione sul Web.
Il messaggio visualizzato nella finestra pop- up di solito cerca di allarmare l’utente circa la presenza di virus sul suo sistema e consiglia il download di uno strumento (in realtà il malware vero e proprio) che può risolvere il problema.
Il browser viene quindi reindirizzato su pagine Web con un look accattivante che spingono l’utente a riporre fiducia nelle informazioni pubblicate.
L’intento di chi sviluppa rogue antivirus è quello di cercare di acquisire la fiducia dell’utente intimorendo i meno esperti con la visualizzazione di falsi messaggi di errore, proponendo strumenti di sicurezza, in lingua originale, che – nella malaugurata eventualità in cui dovessero essere installati – compiono qualsiasi tipo di azione tranne fornire la benché minima protezione aggiuntiva, spronando l’utente all’inserimento di numeri di carte di credito per l’acquisto di software inutili e spesso nocivi.
Il 2008, così come i primi mesi del 2009, hanno evidenziato la nascita di un sempre maggior numero di rogue antivirus presentati attraverso e-mail di spam oppure attraverso l’inserimento di falsi messaggi pubblicitari in siti Web conosciuti.
Le strategie di difesa
Se sino alla fine degli anni ‘90 tutti i prodotti antivirus si basavano esclusivamente sull’utilizzo di definizioni antivirus, con l’inizio nel 2000 della diffusione in Rete di worm e spyware, si rese necessaria un’evoluzione verso soluzioni che includessero anche funzionalità firewall in grado di rilevare e bloccare l’attività di malware effettuando un esame dei pacchetti di dati in transito da e verso il personal computer.
Controllo dei processi
Negli anni seguenti, i vari fornitori di soluzioni per la sicurezza hanno iniziato ad integrare funzionalità che si occupano di sorvegliare le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive. Il concetto era nuovo per l’epoca: introdurre una nuova metodologia che permettesse di svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.
Questo tipo di protezione è in genere l’ultima linea di difesa contro i nuovi malware, progettati per passare inosservati ai controlli basati sull’uso di definizioni antivirus ed euristica.
Le tecnologie di questo tipo, residenti in memoria, si occupano di osservare nel dettaglio le operazioni effettuate da ogni singolo programma in esecuzione mettendole in correlazione ed esaminando le varie dipendenze.
In questo modo, diviene possibile bloccare il malware prima che questo possa eseguire con successo operazioni dannose sul personal computer dell’utente.
Qualora un processo in esecuzione dovesse essere ritenuto sospetto, questo verrebbe istantaneamente interrotto e ne sarebbe impedito un successivo avvio.
I privilegi assegnati al software
Un’altra protezione che i vari produttori di soluzioni per la sicurezza stanno cercando di implementare è quella che consente di definire quali azioni siano permesse e quali non lo siano per una determinata applicazione.
Molti malware, infatti, sfruttano i privilegi assegnati ad un particolare software, del tutto legittimo, per attaccare il sistema dell’utente.
Un esempio su tutti è rappresentato dalla diffusione di file in formato Microsoft Office che, pur apparendo benigni, sono invece modificati ad arte da malintenzionati per sfruttare vulnerabilità già conosciute (per le quali è stata messa a disposizione una patch) oppure ancora irrisolte (le cosiddette zero-day).
Un sistema di protezione che limita il raggio d’azione di ogni singola applicazione può stroncare sul nascere l’attacco.
Il concetto di intelligenza collettiva
Una risposta particolarmente efficace nei confronti del “fenomeno malware”, letteralmente decuplicatosi nel corso dell’ultimo biennio, è la cosiddetta intelligenza collettiva.
Questo tipo di approccio sfrutta l’ormai continua fruibilità della connessione Internet per rivoluzionare le modalità con cui i nuovi malware vengono rilevati, classificati e rimossi.
Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati, l’intelligenza collettiva mira a modificare questo quadro.
Grazie all’intelligenza collettiva, l’intero processo di isolamento e raccolta del malware, classificazione e risoluzione del problema può essere eseguito online.
Dopo una prima analisi sul sistema locale, nel caso in cui vengano rilevati file sospetti, gli oggetti potenzialmente nocivi sono trasmessi ai server mantenuti dal produttore.
Qui, tutta una serie di procedure automatizzate si fanno carico dell’analisi approfondita di ogni campione pervenuto senza quindi impattare negativamente sulle performance del sistema dell’utente.
Gli stessi server si occupano di produrre e aggiornare i database relativi alle minacce presenti su internet: in questo modo è subito possibile confidare nel massimo livello di protezione anche nei confronti di malware nuovi, apparsi ad esempio soltanto su poche decine di sistemi.
Un altro vantaggio dell’intelligenza collettiva consiste nel quadro generale che questo approccio può restituire agli ingegneri ed agli analisti dei laboratori antimalware. Domande relative all’origine di un malware e alle sue modalità di diffusione, possono trovare rapidamente risposta. Un aspetto, questo, che può risultare particolarmente utile in fase di supporto all’attività svolta dalle forze dell’ordine.
L’intelligenza collettiva è una delle soluzioni alle quali i vari produttori stanno guardando con sempre maggior interesse: il fenomeno malware non è contrastabile se i vari produttori non propongono soluzioni basate su un approccio centralizzato svincolato dal modello “PC-centric” sinora adottato.
Alle soluzioni di “intelligenza collettiva” ci si riferisce spesso con il termine più generico in-the-cloud per indicare come il processo di rilevazione e classificazione delle minacce venga spostato su server remoti sfruttando la ormai continua fruibilità della connessione Internet.
Ogni volta che un software viene eseguito, il modulo client del software antimalware cerca nel proprio database online se il file sia già conosciuto o meno, e nel caso sia ritenuto malevolo ne blocca immediatamente l’esecuzione.
Grazie a questo modus operandi, un prodotto antivirus non deve più aggiornare il proprio archivio delle firme virali ma può fare affidamento sul database online mantenuto costantemente up-to-date.
Gli strumenti di protezione
Il mercato offre decine di strumenti software per la protezione del personal computer.
Gli utenti che desiderano una protezione a 360 gradi, possono orientarsi sulle suite per la sicurezza che raccolgono, in un unico prodotto, antivirus, antimalware, firewall, antiphishing, antispam, meccanismi per la protezione dei dati personali, un modulo “parental control”, funzionalità per il controllo del livello di sicurezza del sistema (presenza di tutte le patch).
I firewall
Mentre le suite per la sicurezza integrano anche un modulo firewall, gli antivirus free ne sono sprovvisti. L’adozione di un personal firewall sul sistema client è oggi un passo da considerarsi obbligato. I moderni firewall operano in modo “bidirezionale”: non solo, cioè, sono capaci di bloccare tentativi di attacco provenienti dalla Rete ma anche di sorvegliare costantemente l’attività del sistema individuando tutti i tentativi di connessione da parte delle applicazioni installate. Un aspetto, questo, assolutamente cruciale.
Si immagini che un malware riesca ad insediarsi sul sistema in uso. Una delle prime operazioni che inizierà a compiere, consisterà nello scambio di dati con server ospitanti software “maligni”.
Sempre più sovente accade, infatti, che un malware, dopo essersi installato su un personal computer, provveda a scaricare trojan, keylogger o altri componenti nocivi.
Spesso, poi, i malware “spiano” l’attività dell’utente e trasmettono ad aggressori remoti informazioni personali e dati sensibili.
In altri casi, il sistema dell’utente viene utilizzato per l’invio di campagne di spam o, addirittura, viene aggiunto ad una botnet, una rete composta da computer violati, come abbiamo visto in precedenza, che può essere controllata a distanza ed impiegata, da malintenzionati, per gli scopi illeciti più disparati.
È importante, quindi, poter contare su un firewall che controlli anche il traffico in uscita dal personal computer.
In questo senso, il firewall integrato in XP con SP2 non prevede l’uso di regole per consentire o bloccare i tentativi di connessione verso l’esterno intentati dalle varie applicazioni installate.
Il Windows Firewall si è inoltre spesso dimostrato molto debole nei confronti di malware contenenti delle routine per la disabilitazione di questo componente.
Un netto miglioramento in tal senso, si è registrato con il rilascio di Windows Vista: il sistema operativo propone una versione di Windows Firewall che, finalmente, opera un filtraggio sui pacchetti di dati in uscita, mette a disposizione regolazioni avanzate per l’impostazione di indirizzi IP sorgenti o di destinazione, singole porte o intervalli.
Consigli pratici
Oltre a prestare particolare attenzione nella navigazione Internet e a usare software di protezione client dedicati, ci sono una serie di accorgimenti che il singolo utente può seguire per aumentare il livello di sicurezza complessivo.
Eccone alcuni.
Utilizzare account utente sprovvisti di diritti amministrativi
L’impiego di account utente dotati di diritti limitati è un’ottima prassi per prevenire eventuali problemi conseguenti all’azione di malware.
Non si tratta certo della soluzione definitiva, ma si tratta di una prassi che può aiutare i software di sicurezza ad individuare più facilmente la presenza di un componente nocivo nella malaugurata situazione in cui esso dovesse riuscire ad insediarsi sul sistema.
Sebbene la frequente comparsa di messaggi di allerta sia stata criticata da molti utenti, la funzionalità UAC (User Account Control) introdotta in Windows Vista ha contribuito a proteggere efficacemente gli utenti di questo sistema operativo.
Il meccanismo segnala all’utente eventuali azioni, poste in essere da qualunque programma non firmato digitalmente da Microsoft, che provochino modifiche sulla configurazione del sistema in uso.
Soprattutto nelle precedenti versioni di Windows, come in Windows XP, l’utilizzo di un account utente limitato è una misura particolarmente efficace nella lotta contro i malware poiché eventuali codici nocivi in esecuzione sul sistema non avrebbero massima libertà di azione e non potrebbero quindi apportare interventi sulle aree critiche e sulla configurazione di Windows.
Va rammentato come l’impiego di un account dotato di diritti utente limitati non metta al riparo da tutti i problemi: un malware che dovesse riuscire ad insediarsi sul sistema potrebbe ancora riuscire ad installare rootkit in user mode per nascondere trojan o backdoor in grado di sottrarre dati personali e monitorare le attività dell’utente.
Per l’utilizzo quotidiano del personal computer il consiglio è quello di creare, facendo riferimento all’icona Account utente del Pannello di controllo di Windows, un nuovo account modificandone quindi la tipologia (Cambia tipo account) a Limitato.
Mantenere aggiornati sistema operativo ed applicazioni
L’applicazione delle versioni più aggiornate dei vari software utilizzati sul personal computer è la chiave di volta per non incorrere in problemi di sicurezza.
Gran parte degli attacchi che vengono quotidianamente sferrati possono andare a buon fine proprio a causa della mancata applicazione delle necessarie patch di sicurezza sul sistema in uso.
Secondo i dati resi noti da IBM X-Force, il numero delle vulnerabilità software scoperte sarebbe aumentato del 13,5% rispetto al 2007 con un incremento anche per quanto riguarda la loro gravità (15,3% per le falle di sicurezza critiche; 67,5% per quelle di importanza media).
Il 92% delle vulnerabilità sarebbe sfruttabile in modalità remota.
I software che si utilizzano per comunicare in Rete (browser, client e-mail, software per la messaggistica istantanea) sono quelli maggiormente bersagliati.
È comunque opportuno ricordarsi di mantenere aggiornati, ad esempio, anche i vari programmi utilizzati per la gestione dei file nei differenti formati (la suite per l’ufficio, il gestore di documenti PDF, il programma di grafica, la utility per l’apertura dei file compressi e così via).
Se si apre un file “maligno”, opportunamente modificato dall’aggressore per sfruttare una vulnerabilità software conosciuta, è possibile che il proprio sistema venga infettato o che vengano sottratti dati personali.
I rischi più pesanti si corrono utilizzando applicazioni non correttamente aggiornate all’ultima versione.
Secondo i dati pubblicati da Secunia, azienda danese da anni attiva nel campo della sicurezza informatica, meno del 2% dei sistemi Windows analizzati sarebbe immune da qualunque tipo di attacco in grado di sfruttare vulnerabilità del sistema operativo e delle principali applicazioni (i cosiddetti codici exploit).
Sul 30% dei sistemi presi in esame, sempre secondo Secunia, verrebbero impiegati da uno a cinque programmi insicuri; sul 25% dei sistemi da 6 a 10 software potenzialmente vulnerabili ed addirittura sul 45,8% oltre 11 programmi non aggiornati.
Ecco, quindi, come sempre più pagine Web pullulano di codici exploit in grado di far leva su vulnerabilità del browser, in primis, per eseguire azioni pericolose sul sistema dell’utente.
La miglior difesa consiste nella tempestiva installazione di tutte le patch di sicurezza rilasciate dai vari produttori.
Il modello di attacco, che si basava a inizio 2008 su codici JavaScript, è stato ampliato ricorrendo, per esempio, a documenti PDF ed elementi Flash come vettori di infezione.
Aprendo un documento PDF con una versione superata di Adobe Reader, si può rischiare di causare l’esecuzione di malware.
Analoghi rischi si corrono impiegando versioni non aggiornate di Adobe Flash Player, dei componenti della suite Microsoft Office e così via.
Nel caso di Flash Player sono state via a via scoperte vulnerabilità che permettono ad un aggressore di avviare attacchi inducendo la vittima a visualizzare, mediante il browser, file SWF modificati “ad arte” per sfruttare la falla di sicurezza.
L’installazione degli aggiornamenti più recenti permette di mettersi al riparo da possibili aggressioni.
Anche i documenti PDF, proprio per il fatto di essere così diffusi, sono spesso stati nell’occhio del ciclone.
Le aziende che sviluppano soluzioni per la sicurezza stanno già tendendo a sviluppare nuove tecnologie per la prevenzione di exploit, un’emergenza considerata sempre più prioritaria.
In questo modo, il software anti-malware si propone come ultima barriera di sicurezza per individuare e bloccare sul nascere tentativi di attacco basati sullo sfruttamento di vulnerabilità del sistema operativo e, soprattutto, dei programmi installati.
Anche per la difesa da attacchi zero-day si stanno facendo notevoli passi in avanti (grazie, in particolare, all’utilizzo di tecniche di intelligenza collettiva).
Per difendersi da attacchi zero-day è in primo luogo indispensabile che l’utente faccia proprio un concetto fondamentale: non esistono applicazioni “sicure” e qualsiasi programma può essere oggetto di “un’aggressione”.
È bene quindi documentarsi periodicamente sulle minacce apparse di recente e che sfruttano falle zero-day nonché usare massima attenzione nell’aprire documenti provenienti da fonti sconosciute.
Disabilitare la funzione autorun di Windows
Diversi esperti di sicurezza hanno recentemente riportato in auge un problema che interessa i sistemi Windows XP e Windows Server 2003.
Su tali sistemi operativi, se installati con la configurazione di default, le funzionalità che permettono di disabilitare l’autorun (ossia il particolare meccanismo che è in grado di eseguire automaticamente programmi o comandi all’inserimento di un CD ROM, di un’unità di memorizzazione rimovibile, eccetera) non operano in modo perfetto.
Molti utenti preferiscono disabilitare la funzionalità autorun sia per motivi di praticità (spesso si trova più conveniente operare in maniera del tutto autonoma senza consentire a priori, ad esempio, l’esecuzione automatica del contenuto predefinito di un CD ROM) sia per difendersi dai virus.
Un sempre maggior numero di malware, infatti, una volta infettato un sistema, utilizza unità di memorizzazione esterne quali, per esempio, le comuni chiavette USB per diffondersi ulteriormente.
Il malware crea sulla chiave USB un file autorun.inf che a sua volta provvede a richiamare ed eseguire i file nocivi collegati all’azione del componente dannoso.
L’utente poco attento che dovesse passare la propria chiavetta USB “infetta” ad un collega o ad un amico, rischia così di trasmettere il malware su altri sistemi.
È il caso, ad esempio, del worm Conficker che per diffondersi il più possibile, oltre a sfruttare l’eventuale mancanza della patch “critica” MS08-067, infetta anche supporti di memorizzazione esterni come le chiavette USB.
Per disabilitare completamente la funzionalità autorun, Microsoft ha recentemente reso disponibile la patch KB967715 (http://support.microsoft.com/kb/967715).
Dopo aver controllato che sul proprio sistema sia stato correttamente installato l’aggiornamento (sui sistemi Windows Vista e Windows Server 2008 deve essere presente la patch KB950582 o MS08-038 in luogo di quella appena citata), è necessario cliccare su Start, Esegui quindi digitare gpedit.msc.
Alla comparsa della finestra Criterio gruppo, si dovrà fare doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer) quindi su Sistema ed infine su Disattiva riproduzione automatica.
Nota di redazione:
dopo aver aperto il menu avvio, aperto esegui con invio, digitato gpedit.msc e dato invio, fare come segue:
Si apre la finestra "Criterio gruppo". E' una visualizzazione ad albero che si scorre con le frecce.
Posizionarsi sulla voce "Configurazione computer" ed aprirla con freccia destra.
Con freccia giù posizionarsi sulla voce "Modelli amministrativi" e premere freccia destra per aprirla.
Con freccia giù posizionarsi sulla voce "Sistema" e premere invio.
Con tab spostarsi al campo successivo, con freccia giù cercare la voce "Disattiva riproduzione automatica" e premere invio.
Si apre la finestra proprietà di questa impostazione. Sul primo campo possiamo scegliere tra tre pulsanti radio e sceglieremo "Disattivato".
Tab fino ad applica e premere invio.
Tab fino ad OK e premere invio.
Alt più F4 per chiudere la finestra delle proprietà.
Alt più F4 fino a chiudere tutto.
Fine nota
Servendosi della successiva finestra, si dovrà selezionare l’opzione Attivata quindi, per disabilitare l’autorun da qualsiasi genere di supporto di memorizzazione, scegliere Tutte le unità dal menù a tendina.
Ripristino della visualizzazione delle estensioni dei file
Per impostazione predefinita, tutte le versioni di Windows non mostrano le estensioni dei file memorizzati sul disco fisso e su qualunque altra unità. Molti malware sfruttano questa impostazione di default per nascondere la loro reale estensione: dal momento che, ad esempio, il sistema operativo non mostra, nel caso dei file eseguibili, l’estensione .exe, alcuni malware spesso antepongono una seconda falsa estensione (esempio: nomemalware.jpg.exe).
L’utente può essere così tratto in inganno facendogli credere di essere dinanzi ad un’immagine in formato JPG quando, in realtà, si tratta di un eseguibile.
Come suggerimento generale, quindi, consigliamo di riattivare la visualizzazione delle estensioni accedendo a Risorse del computer, cliccando su Strumenti, Opzioni cartella, sulla scheda Visualizzazione quindi deselezionando la casella Nascondi le estensioni per i tipi di file conosciuti. In questo modo, Windows mostrerà in tutti i casi le estensioni dei file.
*********
Dal PDF "Strategie di sicurezza" distribuito da Trend Micro.
*********
La redazione.
