Hacking : virus e cavalli di Troia

Questo articolo mira a fare chiarezza sulle definizioni di Virus e cavallo di Troia, a spiegare le dinamiche dietro la diffusione del codice maligno e ad illustrare come tentare di proteggersi da queste minacce.

Come promesso continuerò a trattare argomenti correlati alla sicurezza in ambito informatico. Questo è infatti uno degli articoli che si diramano dall’articolo sulle leggi della sicurezza, che è l’indice di tutto quello che affronterò nell’ambito della sicurezza.

Virus e cavalli di TroiaLa legge che andremo ad analizzare oggi recita : “È impossibile essere protetti al 100% dal codice maligno“.

Prima di demolire il vostro senso di sicurezza voglio spiegare quali sono le minacce, illustrare almeno alcune delle dinamiche dietro la loro creazione e diffusione affinché sia facile capire, tra le altre cose, perché vengono realizzate, come mai non ci si può mai considerare al sicuro e come fare il possibile per evitare spiacevoli situazioni.

Sebbene ci siano moltissime minacce in circolazione, quelle che più tediano e colpiscono gli utenti “comuni” sono sostanzialmente quelle appartenenti due grandi categorie : Virus e cavalli di Troia.

Ci sono anche altre categorie di infestanti, ma è inutile trattarle tutte nello specifico, il concetto alla base è simile per tutte le tipologie di infezioni e quindi mi limiterò a trattare la fetta più grande delle infezioni casuali dirette al grande pubblico.

Per quanto riguarda il malware (le infezioni in generale), si tratta semplicemente di programmi con una caratteristica comune : essi entrano nel computer degli utenti di nascosto, o fingendo di essere ciò che non sono e una volta insediati usano il computer infetto per replicarsi e diffondersi attraverso internet e/o altri mezzi trasmissivi (come chiavette USB ad esempio).

Oltre a diffondersi (che è la parte che causa meno problemi in sé) questi programmi sfrutteranno gli host infetti per svolgere determinati compiti per chi li ha progettati e diffusi. Di solito si tratta di operazioni illegali, sono noti precedenti in cui ad esempio un Virus restava silente fino ad un orario specifico e poi tutti gli host infettati venivano usati a loro insaputa per effettuare un attacco al sito di un’agenzia governativa (vedi virus Code Red) altre varianti di Code Red aprivano invece una backdoor sui sistemi infettati per garantirne l’accesso e l’utilizzo per effettuare altri attacchi.

Tra le operazioni che un malware può svolgere ci sono ad esempio : creazione di backdoor, utilizzo della potenza di calcolo degli host per craccare chiavi di crittografia, lanciare attacchi verso terze parti, raccogliere informazioni sull’utente del pc (dati sensibili, coordinate bancarie, password, autorizzazioni etc…), tentare di truffare l’utente, produrre profitto ai creatori mediante la visualizzazione forzata di loop di pagine pubblicitarie e molto altro.

Ci sono anche infezioni meno “serie” da un certo punto di vista, che invece che tentare a tutti i costi di restare nascoste puntano a (lasciatemelo scrivere) rompere le balle. Questo tipo di infezioni mostra messaggi, prende in giro l’utente, o semplicemente rovina i file del computer provocandone malfunzionamenti. Scrivo che questo tipo di minaccia è meno serio perché essendo palese è facile capire di essere infettati ed è altrettanto facile correre ai ripari. Molto più insidiose sono invece quelle infezioni che restano silenziose e intanto fanno danni ad insaputa dell’utente.

I virus

Un virus è un “normale” programma per computer, generalmente composto da poche istruzioni e progettato per consumare poche risorse.
Questo perché un buon virus non dovrebbe provocare sospetti, e deve quindi essere il più possibile invisibile.

I virus entrano nel computer vittima tramite siti web compromessi, messaggi di posta elettronica, supporti infetti, file infettati che vengono distribuiti volontariamente da siti web o altri utenti ignari dell’infezione.

Tutti i virus hanno uno scopo in comune, si replicano. Così come un virus biologico, un virus informatico non è “vivo” di per se, richiede un vettore e un ospite per scatenare l’infezione. Una volta che un virus viene veicolato sul computer vittima esso infetta un file (molti virus e worm infettano altri eseguibili) così da essere eseguito ogni volta che il programma infetto viene legittimamente eseguito dall’utente.

Il virus inizia subito a replicarsi diffondendosi ad altri file e sfruttando i mezzi a disposizione per espandere la sua presenza e infettare altri computer. Un virus può infettare i file che allegate alle e-mail, può scrivere copie di se stesso sui dischi o sulle chiavette usb che utilizzate, può mandare e-mail ai vostri contatti allegando file infetti o link a siti che contengono il vettore per l’infezione.

Oltre a replicarsi i virus svolgono altre operazioni, che possono essere quasi innocue per l’ospite o al contrario provocare danni seri. Comunque tutti i virus sono dannosi, anche se alcuni lo sono un po meno per il proprio ospite.

Alcuni esempi di operazioni per lo più innocue sono ad esempio :

  • L’assenza di altre funzioni a parte replicarsi. Questo genere di virus provoca al massimo uno lieve degrado delle prestazioni della macchina, ma non fanno null’altro di male. Si tratta di virus diffusi per curiosità, per prova, o in preparazione di una versione avanzata del virus stesso.
  • La sola presenza di azioni di disturbo, come ad esempio la visualizzazione di messaggi, o di pubblicità. In questi casi il virus è palese, e di solito è facile da rimuovere usando scanner e strumenti specifici.
  • Il virus viene usato per usare la macchina ospite per attaccare altri computer. In questo caso il virus ha tutto l’interesse a mantenere l’ospite funzionante perché la sua connessione ad internet è una risorsa. Si tratta di virus fastidiosi, perché usano CPU e banda per attaccare, riducendo le performance del sistema e talvolta provocando reazioni dall’ISP della vittima.
  • Visualizzazione di pubblicità, modifica degli URL durante la navigazione, alterazione della pagina iniziale. Anche in questo caso il virus è palese e provoca fastidio ma quasi mai danni seri al computer. Di solito è facile liberarsene usando antivirus aggiornati o strumenti di rimozione specifici. In virus come questi lo scopo è generare traffico in modo forzato e copioso su determinati URL zeppi di pubblicità che procurano a chi ha diffuso il virus un introito economico.

Invece ecco un esempio di comportamenti dannosi per l’ospite :

  • Eliminazione o sovrascrittura di file di sistema. Questo genere di virus vuole fare danni, mi sfugge il motivo in quanto non producono alcun guadagno. Tuttavia sono purtroppo comuni. Causano anomalie nel sistema, possono rendere impossibile eseguire determinate operazioni o utilizzare del tutto il computer. La soluzione migliore è effettuare backup mediante un sistema autonomo e protetto e poi formattare il pc infettato.
  • Eliminazione o alterazione di file regolari. In questo caso il virus prende di mira i vostri dati, cancellandoli, rinominandoli o rendendoli inutilizzabili. Appena si vedono i sintomi è bene smettere di usare la macchina e provvedere a fare un backup e alla formattazione del pc infetto per evitare di perdere dati importanti.
  • Raccolta di informazioni sensibili. Questi virus, detti spyware raccolgono informazioni su di voi per svariati motivi, tra i quali rubarvi denaro o usare la vostra identità per qualcosa di poco raccomandabile. Molto spesso dati personali o informazioni sensibili vengono solo raccolte e poi vendute a terze parti. Oltre a danni finanziari questi virus possono raccogliere le vostre password e ottenere accesso per esempio alla vostra e-mail dove scommetto che tenete salvate le e-mail di registrazione a vari servizi con la password scritta. Se anche non lo fate, una volta ottenuto l’accesso alla vostra e-mail gli aggressori potranno usarla per reimpostare le password dei servizi che vogliono, fingendosi voi e facendosi spedire la password nuova.
  • Danni hardware. Sono in effetti molto rari, ma ci sono precedenti di virus in grado di danneggiare l’hardware di un computer modificando i settaggi o comunque tutto ciò che è modificabile via software. Alcuni esempi possono essere il danneggiamento della CPU mediante overclocking e relativo surriscaldamento, oppure mediante l’infezione di driver in grado di controllare la ventola di raffreddamento della CPU.
  • D.O.S. virus che mirano a negare un servizio. Ad esempio esaurendo gli inode o riempiendo la tabella indice del filesystem per rendere inutilizzabile lo spazio su disco.

I cavalli di Troia

I cavalli di Troia differiscono dai virus per il modo in cui infettano la macchina ospite.

Infatti, come suggerisce il nome, essi fingono di essere ciò che non sono. Si fingono programmi utili e legittimi, e sono quindi gli utenti stessi a scaricarli e ad installarli, di loro spontanea volontà. Tuttavia, oltre alle funzioni che l’utente andava cercando, i cavalli di Troia contengono anche funzioni dannose.

Un trojan può eseguire tutte le operazioni tipiche dei virus, anche se molto spesso viene usato come metodo per diffondere worm e virus o semplicemente come backdoor dalla quale chi li ha creati può successivamente entrare nel sistema compromesso e farvi ciò che desidera.

Come funzionano gli Antivirus ?

Questo tipo di software agisce essenzialmente come uno scanner; analizza tutti i file sospetti e talvolta anche quelli non sospetti per rilevare le minacce.

Ci sono sostanzialmente 2 meccanismi mediante i quali vengono rilevate le minacce :

  • Il rilevamento della firma
  • L’analisi euristica

Il rilevamento della firma è molto spesso il succo dei software Antivirus, e consiste sostanzialmente nella creazione e nel mantenimento da parte dei produttori delle “definizioni dei virus”. Queste definizioni sono un database di firme.

Ogni volta che il produttore dell’Antivirus viene a conoscenza di un virus che si sta diffondendo, lo isola e lo analizza. Dalle analisi scaturisce una firma del virus, ovvero una sequenza di bit che lo identifica in modo univoco. Questa informazione viene usata dall’antivirus per riconoscere il programma dannoso quando lo analizza sul vostro pc, e segnalarlo, si spera prima che questo abbia iniziato a fare danni.

L’analisi euristica consente invece agli Antivirus di analizzare in modo automatico i file in tempo reale. Gli allarmi vengono lanciati se dall’analisi automatica si riscontrano alcuni segni che sono solitamente associati ad attività sospette.

Sebbene l’analisi euristica abbia fatto passi da gigante, risulta in effetti ancora poco efficace. Questo perché a volte è troppo allarmista, e chi lo sa tende a fidarsi poco di questo tipo di allarmi. Poi non è difficile aggirare l’analisi euristica per i virus seri, quindi risulta uno strumento molto interessante ma non infallibile.

Perché non si può essere protetti al 100% dal codice maligno

Perché esistono moltissimi modi per essere infettati, e gli Antivirus non sono affidabili.

L’analisi euristica non è affidabile perché a volte è troppo allarmista e altre invece è semplicemente incapace di individuare una minaccia. Questo la rende poco efficace perché molti degli utenti avanzati tenderanno a fidarsi poco di questo tipo di analisi, mentre quelli comuni che non sanno la differenza tenderanno a sostituire il proprio Antivirus con uno meno allarmista, e spesso meno efficace.

Il rilevamento della firma è al contrario più sicuro, ma può essere facilmente eluso perché un virus può assumere altre forme e mutare per modificare la propria firma. Inoltre, il processo che porta alla creazione della firma è lento per natura. I produttori devono prima accorgersi di una minaccia, il che vuol dire che qualcuno è già stato infettato. A quel punto devono procurarsi una copia della minaccia, analizzarla, produrre la firma e distribuire un aggiornamento a tutti i client, e solo a quel punto la minaccia potrà cominciare ad essere rilevata. (sempre che tutti aggiornino l’Antivirus appena esce l’aggiornamento).

Quindi è evidente che un software Antivirus non può garantire la sicurezza di un sistema.

Cosa si può fare per limitare i rischi ?

Bisogna modificare leggermente le proprie abitudini. Sicuramente non ci si può fidare ciecamente del software Antivirus.

Quando si naviga occorre prestare attenzione a cosa si scarica e bisogna stare sempre con gli occhi aperti per cogliere i sintomi di una possibile infezione.

Bisogna evitare di scaricare applicazioni da siti non fidati. Quando si scaricano file che non sono programmi è meglio rifiutare i dowloader, ovvero dei file .exe che si propongono di scaricare per noi il file giusto, perché così facendo essi ottengono il permesso di scaricare e installare ciò che vogliono in nostra vece, e se sono disonesti possono fare danni.

Bisogna aggiornare l’Antivirus ogni giorno, più volte al giorno, infatti non può garantire la sicurezza, ma può rilevare molte delle minacce assodate o che hanno già infettato altri host ed evitarci mal di pancia.

Your Turn

Per oggi è tutto, non esitare a commentare !

 

Computer geek e appassionato di elettronica dall'infanzia. Nel tempo libero oltre a realizzare progetti inutili ma entusiasmanti mi dedico ai videogiochi, rigorosamente su pc. Condivido su questo blog e su youtube i miei interessi nella speranza di entusiasmare tutti i matti come me.

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Verifica anti-spam *