Sicurezza

Mauro Valli

Comunicare=aprire delle porte servizi internet implicano scambi di informazioni tra

due PC nei due sensi quindi è necessario aprire delle porte

Le porte note (traduzione dell'inglese known ports) sono le porte TCP e UDP nell'intervallo 0-1023 e sono assegnate a specifici servizi dalla IANA.

La IANA non impone questa suddivisione, è semplicemente un insieme di utilizzi raccomandati.

Talvolta le porte possono essere usate per protocolli o applicazioni diverse dalla designazione ufficiale IANA. Questo errato utilizzo può ad esempio essere fatto da un Trojan, o da un programma particolare.

porte20/tcpFTP - Il file transfer protocol - data

21/tcpFTP - Il file transfer protocol - control

53/tcpDNS - Domain Name Server

80/tcpHTTP HyperText Transfer Protocol (WWW)

110/tcpPOP3 Post Office Protocol (E-mail)

143/tcpIMAP4 Internet Message Access Protocol (E-mail)

443/tcpHTTPS trasferimento sicuro di pagine web

993/tcpIMAP4 Internet Message Access Protocol (E-mail)SSL

995/tcpPOP3 Post Office Protocol (E-mail) su SSL

591/tcpFileMaker 6.0 Web Sharing(HTTP Alternate porta 80)

Malware

Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno.

Malware (continuazione) Si distinguono molte categorie di malware:

Virus Worm trojan Spyware Adware Backdoor Phising Spam …

Mafiaboy 2000-02-08. Una serie di attacchi informatici brutali

e per nulla raffinati (semplici denial of service) da parte di pirati non identificati mette in ginocchio per diverse ore i siti Web della CNN. Nei giorni successivi vengono paralizzati alcuni dei siti più celebri di Internet: Yahoo, Amazon.com, eBay e e*Trade. A maggio 2000 viene arrestato un ragazzo canadese di quindici anni, noto soltanto con il suo nickname, Mafiaboy, con l'accusa di essere uno degli esecutori degli attacchi. Il fatto che basti un quindicenne per mandare in tilt l'Olimpo commerciale di Internet scuote l'opinione pubblica, diffondendo dubbi sull'effettiva affidabilità di Internet per scopi commerciali.[Fonte: ZDNET, 18 dicembre 2000; Time, 1 maggio 2000]

Virus

Nell'uso comune il termine virus viene frequentemente usato come sinonimo di malware, indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio worm, trojan o dialer.

Virus (continuazione) un virus è un frammento di software, che è in

grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di sé stesso.

I virus possono essere o non essere diretta-mente dannosi per il sistema operativo che li ospita

Di regola un virus può danneggiare solo il software della macchina che lo ospita, anche se indirettamente può provocare danni anche all' hardware, ad esempio causando il surriscalda-mento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.

Primo virus

1980-10-27. ARPANET viene paralizzata da un virus propagato accidentalmente.

worm È simile ad un virus, ma a differenza di questo

non necessita di legarsi ad altri eseguibili per diffondersi.

Un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si arresta il processo corrispondente.

Il worm si replica sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm. Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica

worm danni causati Per nascondersi interferiscono con software

volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite.

La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare dei danni al sistema infettato.

Sovente un worm funge da veicolo per l'installazione automatica di altri malware, come backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.

worm come proteggersi

antivirus

Morris 1988-11-02. Internet ha la sua prima crisi con

l'Internet Worm, un programma autoreplicante che si diffonde via e-mail per tutta la Rete, all'epoca ancora nota come Arpanet. Il worm passa alla storia come il Morris worm, dal nome del suo creatore, lo studente Robert Morris Jr. della Cornell University. Come conseguenza di questa crisi, viene fondato il CERT (Computer Emergency Response Team). Il Morris Worm si basa su una delle forme più classiche di attacco, il buffer overflow, e colpisce circa 6.000 dei 60.000 host della Rete.[Fonte: HIT; Fortune, 9 ottobre 2000, Cnet.com e Programmare in Linux, Apogeo, p.592; la foto è tratta da Byte (http://www.byte.com)]

Mydoom 2004-01-27. Si diffonde il virus/worm

Mydoom/Novarg/SCObig/MiMail.R/Shimgapi, battendo ogni record precedente di diffusione virale. Secondo fonti citate dalla BBC, all'apice della sua diffusione Mydoom aveva infettato un e-mail su tre. Il virus è molto semplice (si diffonde via e-mail e richiede che l'utente apra e esegua l'allegato infetto, oppure circola nei circuiti peer to peer come file con nomi-civetta di altri programmi)

In virtù del suo comportamento (non distrugge i dati degli utenti infetti, ma apre una backdoor e si predispone per un attacco DDOS contro il sito di SCO (v. 2003-05-12, e ha una data di scadenza)

si ipotizza che si tratti di un worm creato dagli spammer per creare una rete di computer "zombi" tramite i quali diffondere la propria pubblicità-spazzatura.http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html; http://news.bbc.co.uk/1/hi/technology/3436835.stm; http://news.bbc.co.uk/1/hi/technology/3444249.stm]

Trojan I trojan non si diffondono autonomamente

come i virus o i worm. Spesso è la vittima stessa a ricercare e scaricarli inconscia-mente sul proprio computer

In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue.

Trojan danni causati All'incirca negli anni successivi al 2001 i

trojan comiciarono ad essere utilizzati per operazioni criminose; in particolare per inviare messaggi di spam e per rubare informazioni personali (numeri di carte di credito e di altri documenti o anche solo indirizzi email)

Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.

Trojan come proteggersi

antivirus

Liberty Crack 2000-11-00. Liberty Crack è il primo virus

per agende elettroniche (PDA) ad avere una circolazione significativa. Colpisce i PDA che usano il sistema operativo Palm. Tecnicamente è un trojan: si camuffa da giochino, ma quando lo si installa e lo si esegue, azzera immediatamente tutti gli altri programmi presenti sull'agenda. [Fonte: Time Magazine, 27 novembre 2000]

Spyware Uno spyware è un tipo di software che raccoglie

informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata.

Gli spyware, a differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente, quindi richiedono l'intervento dell'utente per essere installati (come I trojan).

Molti programmi offerti "gratuitamente" su Internet nascondono in realtà un malware di questo tipo: il software dunque non è gratuito, ma viene pagato attraverso un'invasione della privacy dell'utente

Spyware danni causati

Talvolta lo spyware è utilizzato da vere e proprie organizzazioni criminali, il cui obiettivo è utilizzare le informazioni raccolte per furti di denaro tramite i dati di home banking o tramite i numeri di carta di credito.

Raphael Gray

2000-02-00. Raphael Gray, un diciottenne di Clynderwen (Pembrokeshire, Galles), usando un normale personal computer riesce a penetrare in numerosi siti Internet commerciali allo scopo di dimostrarne l'insicurezza. Viene rintracciato dall'FBI e dalla polizia inglese e processato: fra le accuse più spettacolari figura l'invio di Viagra a Bill Gates, presso la sede americana della Microsoft, pagato a quanto pare usando i dati della carta di credito di Gates stesso (questo dettaglio è stato in seguito smentito; la spedizione di Viagra è confermata). Le sue azioni mettono a nudo in modo imbarazzante la pericolosa mancanza di sicurezza nelle transazioni commerciali effettuate via Internet. [Fonte: BBC, http://news.bbc.co.uk/low/english/uk/wales/newsid_1287000/1287485.stm]

Spyware come proteggersi Esistono dei programmi specifici anti-

spyware Un discreto livello di protezione contro

l'azione degli spyware può essere offerto dall'installazione di un personal firewall, che permette in alcuni casi di negare l'accesso ad Internet ad applicazioni sospette.

La presenza di un antivirus può non essere sufficiente

adware

Il termine adware (in inglese, contrazione di advertising-supported software, software sovvenzionato dalla pubblicità) indica una modalità di licenza d'uso dei programmi software che prevede la presentazione all'utente di messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo.

adware pericoli l'utilizzo di questo tipo di programmi apre

una notevole falla di sicurezza sul sistema. Essi per la visualizzazione dei banner pubbliciari instaurano una connessione con un server remoto.

Non è possibile per l'utente medio essere a conoscenza di quali dati vengano inviati e ricevuti attraverso tale connessione, dati che possono essere potenzialmente dannosi se ricevuti o che violano la privacy se inviati.

Adware come proteggersi

Firewall

backdoor sono paragonabili a porte di servizio che consentono di

superare in parte o in toto le procedure di sicurezza attivate in un sistema informatico in modo da permettere ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario

Queste "porte" possono essere create da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan),.

Un esempio celebre è il programma Back orifice, che attiva una backdoor sul sistema in cui viene installato, dando la possibilità a chiunque ne conosca l'indirizzo di controllare la macchina.

Backdoor rischi Oltre ad essere molto pericolosi per l'integrità

delle informazioni presenti sul sistema, le backdoor installate dai virus possono essere utilizzate per condurre degli attacchi di tipo DDoS.

DDos (Distributed Denial of Service) Chi attacca un sistema tende a non esporsi direttamente, dato che per le forze dell'ordine potrebbero identificarlo. Quindi utilizzano un numero elevato di computer infettati per attaccare un sistema

Back Orifice Back Orifice e la sua versione successiva, Back

Orifice 2000, è un software per il controllo a distanza di un computer sul quale gira Microsoft Windows. Il programma consente, ad esempio, di accedere via Internet o rete locale a un computer remoto, sul quale permette di esaminare e modificare il contenuto di file e directory, visualizzare ciò che c'è sullo schermo, modificare il Registro, telecomandare mouse e tastiera e molto altro.

Il software è stato spesso utilizzato per scopi illeciti, in particolare mascherato come un'altra applicazione (trojan), al fine di guadagnare il controllo di un computer in determinate circostanze.

Backdoor come proteggersi

Anti spyware

phishing Attività truffaldina utilizzata per ottenere l'accesso a

informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo soprattutto di messaggi di posta elettronica fasulli ma anche contatti telefonici. L'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

Esempio di Phishing Il termine phishing è una variante di fishing

(letteralmente "pescare" e allude all'uso di tecniche per "pescare" dati finanziari e password di un utente.

pishing rischi

furto della propria identità

In conclusione: cosa fare

Installare sul PC i seguenti software Antivirus (es. gratuito AGV) Firewall (es. gratuito zonealarm) Antispyware (es. gratuito spyware

terminator)

Cos’è un firewall un firewall (termine inglese parete refrattaria, muro

tagliafuoco) è un dispositivo hardware o software di difesa perimetrale che può anche svolgere funzioni di collegamento tra due o più tronconi di rete.

La sua funzionalità principale è quella di creare un filtro sulle connessioni entranti ed uscenti

Usualmente la rete viene divisa in due sottoreti: una, detta esterna, comprende l'intera Internet mentre l'altra interna, detta LAN (Local Area Network), comprende un insieme di computer locali.

Filmato esplicativo