Sicurezza 2001/2002

Panoramica su

Virus,Worms, Trojan Horse e Hoaxes

Alberto Grillo

2

Contenuti

• Tipi di virus• Come si viene contagiati• Che danni provocano• Storia dei virus• Come prevenirli• Cosa non sono virus• Mobile Ambient

3

Pericoli

• Non aggiornate l’antivirus

• Usate programmi di dubbia provenienza

• Utilizzate supporti con programmi infetti

Esistono? E noi siamo vulnerabili? ma se...

4

Tipi di “computer virus”

Virus

Trojan Horse

Worm

HoaxComputer virus:

5

Virus

Un virus è un piccolo programma scritto in modo che alteri le operazioni del computer senza il permesso o la conoscenza dell’utente.

6

Virus

Si basano su due criteri:

1. Deve essere eseguito per essere attivo.

2. Crea copie di se stesso.

7

Virus

Danni provocati:

• Cancellazione/modifica di file

• Formattazione di hard disk o bios

• Messaggi video, testo e audio

Esempi: “Melissa” o “C.H.I.”

8

Trojan Horse

Un cavallo di Troia è un file “impostore”, perché si inserisce nel computer come un programma corretto ma non lo è.

Esistono quelli normali che effettuano furti di informazioni e i “backdoor” che aprono buchi nel sistema di sicurezza.

9

Trojan Horse

La differenza dai virus è che questi non si replicano.

Un esempio è:“Troji/Zulu”: doveva risolvere il millenium bug e invece sovrascriveva l’hard disk.

10

Worm

Un worm è letteralmente un “verme”, come i virus risiede all’interno di altri file.

Cosa fanno?

Creano copie esatte di loro stessi e le mandano su altri sistemi.

Esempi sono: “LoveBug” e “KakWorm”

11

Hoax

Gli hoax, in italiano “burla”, sono dei messaggi di solito spediti via e-mail, che avvisano l’uscita di nuovi e pericolossimi virus che pero’ non esistono.I mittenti per essere più credibili sono grandi compagnie, come IBM, Microsoft o AOL

Un esempio è “Good Times”. Mentre un virus reale ma creduto un hoax è il “Rush Killer”.

12

Come si prendono

DocumentiFloppy Disk,CDS

ProgrammiInternet

E-mail

P C

13

Che danni provocano

DANNI

Non Visibili

Visibili

14

Che danni provocano (visibili)

• Cancellazione/modifica di file(Wazzu)

• Sovrascrittura di hard disk(Jerusalem, Michelangelo)

• Sovrascrittura di bios(C.H.I.)

• Playloads(Yankee)

• Spedizione di informazioni residenti nel pc(LoveBug, Melissa)

15

Che danni provocano (poco visibili)

• Perdita di tempo lavorativo

• Perdita della privacy

• Perdita di fiducia dai vostri clienti

• Perdita di reputazione

16

Storia dei virus

• (1949) Il matematico John Von Neumann suggerisce che i programmi possono essere riprodotti.

• (1950) Nei laboratori Bell viene testato un gioco sperimentale dove un giocatore usava dei programmi dolosi per attaccare altri computer.

• (1975) John Brunner autore di Sci-Fi immagina un

worm che si sparge per la rete.

17

Storia dei virus

• (1984) Fred Cohen introduce il termine “computer virus” in una tesi sui programmi software.

• (1986) Viene creato il primo virus “Brain”.• (1987) Il worm, “Christmas Tree” paralizza la rete

mondiale IBM.• (1988) Il worm, “Internet Worm” si sparge nella

rete internet della DARPA.

18

Storia dei virus

• (1990) Mark Washburn scrive “1260”, il primo virus polimorfico che si modifica infettando.

• (1992) Panico nella rete per l’avvento del virus “Michelangelo”, ma pochi utenti ne sono colpiti.

• (1994) Appare il primo virus burla “Good Times”.• (1995) Viene scritto la prima macro virus,

“Concept”. Nello stesso anno uno scrittore di virus australiano scrive il primo virus apposta per Windows 95.

19

Storia dei virus

• (1998) C.H.I. o Chernobyl è il primo virus che paralizza l’hardware di un computer.

• (1999) C’è la comparsa di “Melissa”, un virus che si espande automaticamente tramite le e-mail. Nello stesso anno esce “Bubbleboy”, il primo virus che infetta il PC solo con la preview della e-mail.

• (2000) Il virus “Love Bug” che è in circolazione ancora adesso. Nasce anche il primo virus per i SO del Palmtop ma nessuno è colpito.

20

Tipi di virus

Parrassiti

Macro

Boot Sector

Master Boot SectorVIRUS

Multi-partite

21

Tipi di virus (Parassiti)

Sono quei virus che si insidiano e attaccano a file eseguibili, come “.exe” o “.com”.

Il virus si attiva quando l’eseguibile e’ caricato.

Questo tipo di virus si scova perche’ mostra dei messaggi (playloads) o perche’ e’ installato un antivirus che lo risconosce.

Esempi sono: “Jerusalemme”, “C.H.I.”.

22

Tipi di virus (Boot Sector)

I “boot sector” sono i primi virus che sonoapparsi. Risiedono su HD, floppy o cd.

Il virus mette una sua copia al posto del boot sector originale.

Esempi sono: “Form”, “Parity boot”

23

Tipi di virus (Master Boot Sector)

I “master boot record” sono virus che si comportano come i “boot sector”.La differenza tra i due e’ che questi copiano l’originale boot sector in unalocazione precisa.

Il ripristino dipende dal sistema installato.

24

Tipi di virus (Macro)

Il virus ”macro” e’ un piccolo programmache attivato, si replica e si copia da un documento all’altro.

Una volta attivo si copia nello start-up dell’applicazione e infetta i documentiche vengono aperti successivamente.

Le macro di solito modificano i contenuti dei documenti o i settaggi dell’applicazione.

25

Tipi di virus (Macro)

Esempi: “WM/Wazzu” e “OF97/Crown-b”

Questo tipo di virus si espande trasmettendo il documento che lo contiene.

26

Tipi di virus (Multi-partite)

I “multi-partite virus” infettano sia il boot record che i programmi.

Una cattiva pulizia continua a minare l’efficienza del sistema.

27

Prevenzione

1. Non usare documenti in formato .doc o .xls

5. Guardare i newsgroup delle più grandi compagnie

4. Disabiltare il WSH (Windows Script Host)

3. Non spedire a tutta la rubrica avvertimenti di nuovi virus

2. Non usare file di dubbia provenienza

28

Prevenzione

6. Disabilitare l’apertura automatica degli allegati

7. Cambiare la sequenza di boot8. Abilitare la protezione da scrittura per i

floppy-disk9. Iscriversi ad un servizio di alert mail

10. Fare delle copie di backup

29

Cosa non sono virus

• Problemi di hardware• I beep quando il PC si accende• I 640 kb di memoria convenzionale non

riconosciuti• Avere due antivirus installati• L’avvertimento di macro da parte di Word• La non apertura di certi file• Il cambio di etichetta di un hard disk

30

Mobile Ambient

Cosa ci porta il futuro?

Computer sempre piu’ piccoli e potenti (Palmtop) e informazioni sempre piu’ a portata di mano (WAP). Ma come la tecnologia si sviluppa anche gli scrittori di virus non stanno con le “mani in mano”.

Per esempio il “Lovebug” si puo’ diffondere anche su fax e mobile ma non ancora su telefonini.

31

WAP(Wireless Application Protocol)

Adesso un virus puo’ infettare un server WAP ma non ancora un cellulare. Perche’:

1. Da nessunna parte su un sistema WAP un virus puo’ copiarsi o sopravvivere.

2. Un virus non si puo’ spargere da un sistema ad un altro perche’ non c’e’ una comunicazione diretta tra utenti.

32

WAP(Wireless Application Protocol)

In teoria un virus puo’ far conoscere siti con codice doloso e tentare l’utente ad utilizzarlo. Questo pero’ deve essere sempre caricato dal server.

I rischi che ci sono adesso per il WAP sono:- la possibilita’ da parte del virus di mandare in crash il browers di un WAP.- la possibilita’ che il virus saturi la memoria cache del telefonino.

33

Palmtop

Palmtop o PDAs sono di solito scritti con sistemi operativi come EPOC, PalmOS e PocketPC (Windows CE); il che’ li rende simili ai PC tradizionali.Un palmare e’ solitamente collegato al PC di casa o d’ufficio, questo lo rende vulnerabile ai virus.Ora come ora non sono conosciuti virus che abbiano arrecato danni, ma con lo sviluppo di questa tecnologia s’incrementera’ il rischio di contagio (bug).

34

Precauzioni

Nel futuro la migliore strada per proteggere questi dispositivi potrebbe essere controllare i dati quando vengono trasferiti da/a esso.

Per i cellulari si potrebbe installare un antivirus sul gateway WAP

Mentre per i palmari si potrebberero usare delle protezioni quando si trasmettono i dati con un PC.

Un altro modo potrebbe essere installare un antivirus sul dispositivo, questo sempre che riesca a supportarlo.

35

Riferimenti

- www.cert.org

- www.symantec.com

- www.sophos.com