|
| |||
|
| |
|
|
Virus  | |
| I VIRUS INFORMATICI | |
| Difendersi dai virus è purtroppo divenuta una esigenza importante. Non desideriamo allarmarvi oltremisura, queste brevi note intendono informare coloro che, non essendo appassionati di informatica, non seguono correntemente tali vicende sulle riviste specializzate. | |
 Dalla nascita
fino ad oggi
Tutto è cominciato nel 1981 a causa di un errore di un programmatore americano che creò un codice in grado di modificare tutti i file presenti su di un Hard Disk e renderne quindi il contenuto inutilizzabile. Si trattava allora di un cosiddetto "BUG" ovvero un comportamento indesiderato del software, ma quello fu sicuramente il primo di una famiglia di programmi che vennero chiamati successivamente "VIRUS". I virus informatici ("virus" in latino significa veleno) hanno mutuato il loro nome dal campo medico - biologico, per una vaga somiglianza con alcune caratteristiche dei virus nella microbiologia: come questi ultimi, per riprodursi, devono penetrare in una cellula ospite ed assumere il controllo dei suoi processi metabolici, così i virus informatici devono penetrare nel programma ospite modificandolo, sia per riprodursi sia, in seguito, per danneggiare dati e/o programmi presenti su supporti registrabili. Come nella biologia i virus sono organismi relativamente semplici e molto piccoli, rispetto all'organismo che invadono, così anche i virus informatici sono dei programmi costituiti da poche centinaia di istruzioni, al massimo un migliaio; ciò consente loro di portare a termine il compito per cui sono stati scritti senza, in genere, far notare la loro presenza all'utente del computer. Il primo virus fu sviluppato nel novembre del 1983, con fini dimostrativi, nell'ambito di una ricerca finanziata da una delle principali società costruttrici di computer ed inserita in un più generale progetto di studio della sicurezza dei sistemi informativi. L'obiettivo della ricerca era di dimostrare come le possibilità di un attacco al patrimonio informativo di un'azienda non fossero limitate a quelle tradizionalmente prese in esame negli studi sulla sicurezza fino ad allora svolti; tali studi avevano incentrato la loro attenzione sull'attacco fisico (p.es. atti terroristici), sulla conoscenza illegittima di password e su modifiche ai programmi effettuate da personale interno alle aziende. A quell’epoca il mondo informatico era composto o da computer aziendali (Mainframe) o da client 386 che utilizzavano il drive floppy come unico mezzo di scambio dati e che avevano come funzione preimpostata il boot da questo tipo di dispositivo. I primi virus si orientarono soprattutto su questa caratteristica per diffondersi, il boot sector dei dischi era la prima cosa che veniva colpita ed accendere un pc con un dischetto infettato inserito era spesso letale. Il primo antivirus nasce nel 1986 quando si capisce che il fenomeno sta assumendo dimensioni rilevanti e che le società colpite sono sempre più numerose. Nel 1990 nasce il primo virus polimorfo, un virus cioè in grado di automodificarsi per sfuggire al controllo dei software di protezione. Quell’anno rappresenta il vero boom di questo fenomeno; nascono generatori di virus (per crearsi virus "personalizzati"), iniziano a diffondersi i cdrom e quindi nasce un nuovo mezzo di diffusione ed iniziano le gare tra i vari programmatori a creare i virus più pericolosi. Nel 1994 sale alla ribalta il fenomeno Internet e nascono i primi virus che si diffondono con gli allegati della posta elettronica, mentre nel 1995 nasce il primo MacroVirus ovvero un virus contenuto nella macro dei documenti di Microsoft Office. Attraverso l'uso delle macro, e quindi
di un linguaggio di programmazione, è possibile registrare insieme
ad un documento (testo o tabella che sia) dei comandi che vengano lanciati
automaticamente all'apertura del documento medesimo senza che l'ignaro
utente si accorga di nulla.  |
|
 CATALOGAZIONE:
Vermi, Virus, Cavalli di Troia (...) |
|
| Tempo fa, per definire i virus dei computers sarebbe bastato dire che, in sostanza si trattava di un programma software vero e proprio, scritto con i linguaggi complessi che solo i programmatori più evoluti conoscono. Agendo nei punti deboli e grazie ai buchi (o "bachi" dai fastidiosi bugs, gli scarafaggi che si infiltravano negli armadi dei primissimi computers attratti dal calore, causandone problemi) dei sistemi operativi, si prefiggono di infliggere a volte solo fastidiosi contrattempi, come malfunzionamenti e anomalie di poco conto ne lfunzionamento della macchina e dei programmi, altrevolte, magari con una attivazione a tempo, di bloccare e addirittura cancellare i dati presenti, in maniera ireparabile. | |
| Oggigiorno,
la sempre maggiore complessità dei sistemi operativi (come Windows
95 e 98, ad esempio) che li ha resi più vulnerabili e la grande
disponibilità di strumenti di programmazione hanno favorito il fiorire
di molteplici "ceppi" virali e varianti, così da doverne ampliare
la definizione; qui di seguito proviamo a dividerli per tipologie.
La prima differenza e' a livello generale, la seconda classificazione invece e'specifica (riguarda il codice e le funzioni proprie del virus stesso). |
|
 VIRUS
propriamente dettiStudiati ormai da anni, sono classificati in modo specifico in base al funzionamento: |
|
|
FLOPPY BOOT e MBR VIRUS
|
Infettano
un particolare settore dei dischi, quello iniziale, di avvio. Nei dischetti
tale settore contiene il codice che visualizza il famoso messaggio: "Disco
non di avvio / Sostituire il disco e premere un tasto". Nel disco
rigido invece si parla di Master Boot Record (=record di avviamento principale)
meglio conosciuto come MBR. Possono controllare "l'indice" di tutto il
vostro PC, ingannandovi sul contenuto del disco fisso fino a cancellarlo.
Vengono eseguiti nello stesso istante in cui il computer viene acceso,
e quindi difficilmente rilevabili da un antivirus. Furono i primi
virus ad essere creati e a diffondersi rapidamente, oggi in fase di estizione
a causa dell'accesso 32-bit di Windows 95\98 ai dischi.
Virus famosi: Form, PingPong, Stoned, AntiEXE, NYB-B1, DiskKiller, Michelangelo |
|
VIRUS POLIMORFICO
|
si replica producendo cloni mai uguali a se stesso, quindi tenta di sfuggire celandosi dietro questa imprevista e sempre nuova forma |
|
DOS-EXEC FILE VIRUS
|
Sono i più diffusi e mirano
ad attaccare tutti i file eseguibili: .exe, .bat, .com, byn. eccetera.
Si "attaccano" ad uno di questi file, sovrascrivono gli ultimi byte e quando
il file infetto viene eseguito esso si installa residente in memoria. Da
questo momento è pronto ad infettare a sua volta tutti i programmi
che vengono eseguiti, diffondendosi e rendendo gli altri file a loro volta
veicoli di riproduzione. Un antivirus può facilmente debellarlo,
ma occorre reinstallare il programma poichè i file eseguibili del
programma comunque sono stati riscritti o nella prima o nell'ultima parte.Oggi
in via di estinzione.
Virus famosi: November 17, Jerusalem, Ontario, Vienna |
|
VIRUS STEALTH
|
Sono
progettati per non essere riconosciuti neanche dagli antivirus, quindi
arrecano danno quasi senza possibilità di difesa.Quando un virus
e' attivo in memoria, puo' interferire col sistema operativo e puo' farlo
anche "bene". La simbiosi puo' essere tale che il parassita prende il controllo
totale su alcune funzioni base del DOS. Tra le cose che un virus puo' fare
ovviamente rientra la capacita' di far apparire tutto normale, cioe' nascondere
tutti i sintomi e i segnali di allarme che possano farlo individuare. Questa
tecnica e' detta "stealth" ed esistono varianti notevoli di questo
stratagemma:
MBR STEALTH Un virus che infetta l'MBR, salva una copia del vecchio master boot record prima di sostituirlo con il codice virale. Quando un antivirus va a leggere l'MBR, il parassita intercetta la lettura e restituisce la copia originale salvata, mascherando l'infezione presente. SIZE HIDING Se un virus X e' lungo 100 bytes, tutti i files infetti avranno la loro dimensione aumentata di 100. Un virus puo' intercettare il comando "DIR" e sottrarre il valore 100 alla dimensione dei file infetti, facendoli sembrare non infetti all'output del comando. CLEAN ON-THE-FLY Il virus puo' intercettare tutte le operazioni di lettura sui files e modificarne l'output. Se ad esempio un programma prova a leggere un file infetto, il virus, attivo in memoria, intercetta l'operazione e ripulisce il file prima della lettura, rendendolo trasparente al controllo. Una volta finita l'operazione, il virus re-infetta il file. |
|
VIRUS TSR
|
Categoria piu' complessa di virus, in quanto riesce a rimanere attiva, di nascosto, all'interno del sistema operativo, sostituendo parti di esso. I virus TSR (Terminate and Stay Resident) riservano una porzione di memoria per se stessi (solitamente memoria alta) o sfruttano dei buchi di RAM non usati dal DOS dove potersi copiare, quindi acquistano una priorita' maggiore rispetto al sistema operativo stesso per alcune operazioni "a rischio" come apertura di un file, esecuzione di un file, rename, attrib, accesso a un dischetto, ecc. Ognuna di queste operazioni puo' essere intercettata dal parassita che prima di eseguire la vera procedura, infetta l'oggetto in uso (file o dischetto). |
|
MACRO VIRUS
|
La
moda del momento, ovvero i virus scritti in VBA (Visual Basic for Application).
Sono virus multipiattaforma (possono funzionare sia su sistemi Windows
che su Macintosh) in quanto non dipendono dal sistema operativo ma da una
particolare applicazione che consente l'uso di macro, cioè di comandi
automatici. Ecco i programmi suscettibili a questo tipo di infezione:
MS-WORD 6.0 - 95 - 97 File di tipo DOC MS-EXCEL 5.0 - 95 - 97 File di tipo XLS LOTUS AMIPRO File di tipo SAM, SMM e in genere tutte le applicazioni che permettono l'uso di macro. Sfrutta la capacità di alcuni
programmi come Microsoft WORD e EXCEL di eseguire "macroistruzioni", trasformando
un normale testo (che normalmente non potrebbe contenere virus, poiché
esso è un programma che deve essere eseguito mentre i testi non
sono interpretati dal PC ma "letti" dall'utente) in un veicolo di azioni
dannose, scopo principe dei virus. Questi virus possono infettare
solamente se vengono aperti (eseguiti). Al momento le difese consistono
nel dotarsi di un buon antivirus aggiornato, oppure scaricarsi la patch
che la Microsoft ha messo a disposizione nel suo sito.
|
|
VIRUS ad AZIONE DIRETTA
|
Si chiamano cosi' perche'‚ agiscono direttamente infettando i files delle directory. Ogni volta che un programma infetto viene eseguito, il virus esegue una scansione dei files presenti nella directory corrente (o in altre directory predefinite come C:\DOS, C:\, C:\WINDOWS) alla ricerca di possibili "vittime". Una volta trovato un "ospite", il virus lo contagia e quindi passa ad eseguire il programma originale per non destare i sospetti dell'utente. |
| Java /ActiveX | nuova tipologia di virus ancora poco diffusa ma che presto diventerà
una realtà. L’infezione avviene navigando tranquillamente in siti
web ed incorrendo in un sito web (volontariamente o involontariamente)
infetto.
Le potenzialità distruttive di questi virus sono immense. |
 Worms
(i "vermi") |
|
| Concetto piu' avanzato di virus, si puo' definire come un virus che viaggia e si riproduce lungo le reti. Il piu' famoso nella storia e' quello di Robert Morris jr., giovane americano che negli anni '80 riusci' a mandare in tilt migliaia di computer a causa di una replicazione incontrollata del suo verme, che sfruttava un vecchio bug del sendmail. Oggi non esistono ancora worm perfezionati a tal punto da propagarsi cosi' rapidamente, questo anche a causa dei numerosi e diversi sistemi presenti su Internet, ma tuttavia Unix/Linux e Java sembrano terreno fertile per lo sviluppo dei worm. | |
 Virus
Trojans (i famosi cavalli di troia) |
|
| Un
trojan horse non e' propriamente un virus, ma un programma distruttivo
pronto a esplodere. Con questo si vuole intendere che mentre lo scopo del
virus e' cercare di restare nascosto il piu possibile e replicarsi, lo
scopo del cavallo di troia e' quello di danneggiare esplicitamente un sistema.
Sono chiamati trojan horse perche'‚ di solito vengono distribuiti sotto
false spoglie, magari fingendo di essere programmi ambiti o molto ricercati
dall'utenza. Famosi trojan horse furono quelli che reclamavano il PKZIP300B.
Sfruttano un programma apparentemente innocuo che li veicoli all'interno
del PC da infettare, come un messaggio augurale animato, un salvaschermo
oppure sotto forma di uno di quei animaletti virtuali che saltellano per
lo schermo allo scopo di fare compagnia e divertire. Una volta entrati,
un virus ben più subdolo prende possesso del PC per i suoi scopi
negativi.
Esempi di questo tipo di famiglia sono il Back Orifice ed il NETBUS , che vengono diffusi attraverso le Chat Line o le e-mail. Questi troians rendono il computer controllabile da remoto mettendo quindi a repentaglio informazioni aziendali presenti sul computer. |
|
 Jokes |
I Jokes sono i famosi pseudo-virus che consistono nelle e-mail che trattano di casi umani critici (es.bambine in fin di vita, malati di cancro, mail con titoli strani che diffondono virus mortali,etc...) che chiedono agli utenti di rimandare la mail a tutti i conoscenti. Questo è un tipo di virus non dannoso che si diffonde attraverso la buona fede degli utenti. |
 Virus
Hoaxes (detti anche burle o scherzi) |
|
|
E-MAIL
|
a chi non è capitato un mesaggio del tipo "...diffondete a più persone possibile: se trovate il messaggio PINCOPALLINO non apritelo perchè vi formatterà il PC!...". Ebbene, si tratta di una burla al solo scopo di intasare le caselle e-mail di chiunque con una inutile catena di S.Antonio a valanga |
|
ESEGUIBILI
|
Alcuni
programmi, ben celati sotto falsi nomi, appena attivati simulano ad esempio
la cancellazione e la formattazione di tutto l'intero disco fisso, con
tanto di indicazione in percentuale del lavoro in corso. Sono comunque
pericolosi in quanto chi non ne è a conoscenza, preso dal panico,
può convincersi addirittura a riformattarsi interamente il PC con
la speranza di debellare il virus! |
 Veicoli di trasmissione dei virus |
|
|
Floppy disk
|
A volte anche gli amici sono inconsapevoli di avere un virus nel proprio pc e dandovi innocentemente un loro floppy disk è potenziale il rischio di contagiare il vostro. |
|
CD Rom
|
Spesso i CDRom allegati alle riviste di informatica contenenti versioni demo di programmi possono essere una potenziale fonte di contagio. |
|
Posta elettronica
|
Uno dei veicoli con cui è possibile propagare i virus via Internet
è la posta elettronica. Però, è importante sapere
che all'interno del testo di una email non è possibile inserire
codici maligni o comandi occulti che scatenino un'epidemia informatica
sul tuo Pc. Il testo di un messaggio di posta elettronica quindi è
assolutamente privo di rischi. Questo significa che aprire un messaggio
di posta elettronica non può in alcun modo danneggiare il tuo Pc.
Bisogna però stare attenti agli allegati. Un file allegato a una mail, come qualsiasi altro file, può effettivamente contenere un virus. Ma il semplice fatto di ricevere un file infetto non vuol dire che il computer sia ormai contagiato. Un virus, perché si attivi, deve essere "eseguito". Questo significa che finché non apri il file in questione il tuo computer non può subire dei danni. |
 Il futuro dei virus | |
| I virus classici stanno sono ormai stati soppiantati dai
nuovi MacroVirus, che attualmente sono all’origine dell’80%-90% degli allarmi
registrati, e dai Java Virus.
La posta elettronica è attualmente la risorsa più utilizzata di Internet e risulta essere il principale vettore di propagazione di questo tipo di insidia informatica.Con l’avvento del Java il virus diventa multipiattaforma e risulta essere pericoloso anche sui sistemi operativi UNIX che in tutti questi anni sembravano immuni da questo tipo di attacco. Navigare su Internet non è sicuro come possa sembrare; con controlli ActiveX particolari, un responsabile di qualche società può addirittura inviare segreti aziendali per posta a qualche ditta concorrente senza neanche accorgesene. I virus ActiveX sono legati all’utilizzo di un browser Explorer (che attualmente risulta il browser più diffuso) e di un sistema operativo Microsoft. Questo tipo di tecnologia non è fantascienza ma è già stata utilizzata dal pentagono per contrastare attacchi di hacker ai loro siti governativi.Le possibilità di questi virus sono immense! E’ ormai risaputo che i siti pornografici sono i siti più visitati in assoluto su Internet, ma pochi sanno che molti di questi siti sono gestiti da pirati informatici. Navigare su questi siti, leggere un CD Rom di qualche rivista, o leggere allegati da e-mail di qualche newsgroup rappresenta il nuovo tipo di infezione elettronica.
|
|
 Come difendersi | |
| Essere totalmente certi che un virus informatico non colpirà
mai i vostri computer è impossibile, ma fare in modo che il malaugurato
evento abbia poche possibilità di verificarsi e il nostro scopo
principale.
I virus stanno diventando "intelligenti", non si limitano più a diffondersi e a cancellare contenuti di hard disk, ma si insidiano nel sistema operativo e riescono ad aprire backdoor che possono essere utilizzate da estranei al fine di rubare informazioni riservate, effettuare bonifici, creare una situazione di caos nella rete, impadronirsi di nomi in codice e password e creare una sorta di spionaggio industriale o inviare messaggi di carattere diffamatorio. Ad esempio la Norwich Union ha dovuto pagare 650.000 dollari per un messaggio razzista comparso su un sito web interno. Il modo in cui agiscono questi nuovi virus consiste nell’aggiungere utenti fittizi (sia sotto NT che sotto UNIX) e quindi risultano invisibili a qualsiasi controllo antivirus successivo. Diventa assolutamente di primaria importanza di ogni tipo di azienda o società assumere difese per prevenire e contrastare gli attacchi dei virus. Ecco nella foto qui sotto una situazione tipica di una rete aziendale:
Nella nuvoletta WEB e’ rappresentato tutto lo scambio di informazioni in formato HTTP, FTP, E-Mail sia intranet che extranet. Risulta fondamentale dotarsi un firewall centralizzato che abbia un controllo non solo sull’ indirizzamento dei pacchetti ma anche sul loro contenuto. Una prima tecnica di difesa e prevenzione consiste nell’ URL screening. In pratica esistono software specializzati che scaricano giornalmente un database di siti divisi per categorie (erotici, hacker, giochi, etc…) che possono essere bloccati al fine di prevenire : E’ stato stimato che circa ogni giorno nascono nuovi 30 siti erotici , e ciò spiega la necessità di dover aggiornare giornalmente il proprio database. Una seconda tecnica di prevenzione e di difesa consiste nel Java/ActiveX screening. Questi software usano una tecnica che consiste nel recuperare un codice sospetto e "pseudo eseguirlo" in tempo reale in uno spazio di memoria protetto ed analizzare gli effetti da lui causati. Appena viene trovato un virus, o presunto tale, esso viene immediatamente bloccato ed inviato ad una centrale operativa software che lo analizza più nel dettaglio. Questi antivirus scaricano giornalmente un database con l’elenco completo
di virus conosciuti fino a quel momento. In tal modo si è sempre
sicuri si essere aggiornati, poiché (come già spiegato antecedentemente)
un software di protezione poco aggiornato fornisce una protezione solo
parziale poiché sono proprio i virus più recenti ad essere
quelli più pericolosi. |
|
 Aspetti legali | |
| La legge n. 547 del 23 dicembre 1993, in linea con le direttive
comunitarie, ha modificato il codice penale ed il codice di procedura penale
introducendo nuovi articoli in tema di reati informatici. In particolare
l'art. 635 quinquies del codice penale ("Diffusione di programmi diretti
a danneggiare o interrompere un sistema informatico"), aggiunto dalla citata
legge, recita:
"Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione totale o parziale del suo funzionamento, è punito con la reclusione fino a due anni e con la multa sino a lire venti milioni."
La norma penale è chiaramente applicabile solo a chi diffonde virus informatici in modo doloso, ovvero con la consapevolezza di farlo e con la consapevolezza di poter creare dei danni. In caso di diffusione colposa troverà applicazione l'art. 2043 del codice civile che prevede "Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno", e quindi coloro che con dolo o colpevolmente diffondono virus informatici, sono tenuti al risarcimento del danno che si prescrive in 5 anni (art. 2947 cod. civ.). |
|
| Conclusioni | Una rete di computer è per
sua natura un sistema aperto dove chiunque deve poter accedere alle informazioni
di cui gli sono stati attribuiti i diritti di accesso. Anzi l’evoluzione
tecnologica ha proprio come obiettivo quello di rimuovere qualsiasi ostacolo
infrastrutturale affinchè l’utente da qualsiasi luogo (casa o ufficio),
da qualsisi computer, da quasisasi ambiende operativo, e in qualsiasi ora
possa richiedere l’informazione di cui ha bisogno.
Se questo è il qusro di riferimento, il problema del controllo degli accessi e più in generale del progettare e gestire sistemi sicuri diventa prioritario. Figure professionali che sappiano progettare architetture di sistemi informativi sicuri dal punto di vista fisico (continuita del servizio anche in situazioni critiche), che dal punto di vista della sicurezza e riservatezza delle informazioni (es. posta elettronica) saranno nei prossimi anni emergenti. A fronte di ciò le parole d’ordine sono quindi sicurezza e prevenzione per poter dare un valido aiuto ora e costruire un efficace sistema per il domani. 5.800 famiglie di virus oggi danno la dimensione di un fenomeno in fortissima e continua crescita e rappresentano un rischio di contaminazione sempre più probabile. Per questo diventa necessario mettere in atto una valida barriera di protezione. Molto può fare un valido prodotto antivirus, la cui efficacia è direttamente proporzionale alla frequenza dei suoi aggiornamenti: a nulla vale un antivirus acquistato un mese fa e non riaggiornato, virus nuovi nascono ogni giorno. Attenzione però, un prodotto antivirus da solo può non bastare, infatti la formazione delle persone è estremamente importante. Un codice di comportamento corretto è fondamentale per prevenire problemi legati alla sicurezza e diventa necessario educare e sensibilizzare le persone perchè adottino tale comportamento.
|
Yotta Tecnologie S.r.l. |
