1
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
76
Malware
2
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Malware
� Il termine malware indica un software creato con lo scopo di causare danni più o meno gravi a un sistema informatico su
cui viene eseguito e ai dati degli utenti.
� Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malevolo".
77
3
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Programmi Malevoli (Malware)
� Le minacce:
� Virus e cavalli di troia
� Rootkit
� Spyware e adware
� Worm
� Shellcode
� Virtual rootkit
4
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
L’infezione
� Bisogna eseguire un’applicazione:
� Programma: come notepad.exe
� Script: file di testo con istruzioni
� Documento contenete codice eseguibile: ad esempio, documento office o pdf
� oppure è attivo: sonda i sistemi attorno alla ricerca di specifiche vulnerabilità
� Nel sistema infettato può nascondersi o aggredirlo
attivamente: terminando gli antivirus
5
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Scoprire il malware
� Gli antivirus cercano specifiche sequenze di byte rispetto ad un “dizionario” del malware noto (firme)
� Tengono sotto osservazione il comportamento del sistema
alla ricerca di attività sospette
� Possono effettuare la scansione delle istruzioni dentro il file, per cercare quelle che non hanno senso in un contesto “legale”
� Prelanciano un’applicazione in un ambiente virtuale,
verificando comportamenti sospetti
6
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
7
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
8
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
9
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
10
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
11
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Altri tipi di malware
86
�Gli Adware sono software che presentano all'utente messaggi pubblicitari durante l'uso. Possono causare danni quali rallentamenti del
pc e rischi per la privacy in quanto comunicano le abitudini di
navigazione ad un server remoto
� Uno Spyware e un software che viene usato per raccogliere
informazioni (abitudini di navigazione, ma anche password) per trasmetterle ad un destinatario interessato
� I Keylogger sono dei programmi in grado di registrare tutto ciò che viene digitato sulla tastiera consentendo il furto di password
� I Dialer sono programmi che modificano, quando ci si connette con la normale linea telefonica, il numero telefonico chiamato dalla
connessione predefinita con uno a tariffazione speciale allo scopo di
trarne illecito profitto all'insaputa dell'utente
12
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Tipo: worm
� Applicazione che si diffonde autonomamente da un computer all’altro in una rete
� Penetra le difese della macchina sfruttando una qualche
specifica vulnerabilità
� il payload è la parte maligna: può essere assente. In tal caso ruba solo ampiezza di banda alla rete su cui si diffonde
� Se si diffonde troppo rapidamente, generando troppe copie, può mettere in ginocchio la rete
13
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Tipo: Shellcode
� Sfrutta errori di programmazione nelle applicazioni (ad esempio in internet browser) per iniettare del codice nella
zona a lettura/scrittura in cui l’applicazione ripone i dati
� Il codice è quindi eseguito allo stesso privilegio dell’applicazione o a privilegio superiore
� Possono essere rilevati dagli Intrusion Detection System, per cui spesso fanno uso di tecniche molto sofisticate di
offuscamento
14
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Tipo: Virtual Rootkit (1)
� Affligge i sistemi virtualizzati
15
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Tipo: Virtual Rootkit (2)
� XP mode su Windows 7
� Blue Bill: attacco dimostrato nel 2006 per Vista
16
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
I possibili rimedi
17
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Gli antivirus
� Alla lunga sono tutti inefficaci: rincorrono “il frutto del lavoro” di gente molto abile
� I migliori? Variano, ma generalmente: Microsoft, ESET NOD32, Kaspersky, Avira, …
� Tenete d’occhio http://www.av-comparatives.org
� Gli AV free for personal use non sono utilizzabili da un professionista
� ClamAV/ClamWIN è un AV free software non ancora pronto: manca scansione in tempo reale
18
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Gli antispyware
� Molti AV possono rilevare e rimuovere spyware
� I classici, Ad-Aware e Spybot Search&Destroy sono free for non-commercial use
� Microsoft offre il download gratuito di Windows Defender per
XP e 2003; incluso in Vista e 7
� Ogni secondo martedì del mese viene aggiornato tramite Windows Update anche mrt.exe: Malicious Software RemovalTool; dopo la scansione riporta a Microsoft ciò che trova
19
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
I firewall
� Senza firewall windows xp sarebbe attaccato e penetrato in pochi minuti!
� Uno dei migliori è ZoneAlarm: nella soluzione AV, il motore di
scansione è della Kaspersky
� ShieldsUp!: https://www.grc.com/default.htm
20
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
I migliori browser
� Quelli basati su sandbox: ad esempio Internet Explorer 8 e Google Chrome
� Entrambi consentono maggiore privacy: modi InPrivate per
IE8 e Incognito per Chrome
� Google ha copia di buona parte di internet: testa automaticamente Chrome contro migliaia di pagine al minuto, milioni nelle due settimane precedenti il rilascio
21
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
La prevenzione
� Mantenere il sistema operativo aggiornato
� Stesso consiglio per antivirus/antispyware
� Usate il firewall in modo restrittivo
� Usate applicazioni sicure e non scaricate casualmente da internet
� Non impostate password ovvie
� Fate sempre il backup dei dati
� Non aprite gli allegati e-mail inattesi
� Meglio la posta in formato testo che HTML
22
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Teniamo d’occhio…
� Riavii spontanei del sistema
� Se l’antivirus/antispyware si disattiva
� Applicazioni che cominciano a funzionare male
� Computer che diventa molto lento
� Accesso alla rete molto lento
� Spazio su disco che si esaurisce senza motivo
� Inattesa redirezione ad altri siti durante la navigazione Internet
23
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
Trend di diffusione
� Lo sviluppo di nuovo malware aumenta esponenzialmente
� Nel solo 2007 ne è stato prodotto tanto quanto nei 20 anni precedenti
� A metà del 2008 è stata raggiunta quota 900.000
24
EUROPEAN COMPUTER DRIVING LICENCE: IT SECURITY SPECIALISED LEVEL
99
Sicurezza non è
� Crittografia
� Firewall
� Antivirus
� Password
� Smartcard
� …
� Superare l’esame