Computer virus, malware, rootkit: cosa è cambiato nel tempo e come tenere al sicuro i nostri dati

Computer virus

Come è cambiata la sicurezza informatica negli anni?

L’evoluzione dei computer virus dai primi anni ottanta ad oggi è stata rapidissima e radicale: sono cambiate non solo le tecniche di realizzazione e di propagazione ma anche gli obiettivi, la mentalità e il profilo tipico del virus writer.

Un virus per computer è un programma contenente un meccanismo di replicazione che gli consente, una volta aperto o eseguito, di infettare altri file del computer bersaglio. Durante i primi anni ‘80 il processo di diffusione delle infezioni informatiche da un computer all’altro era mediamente lento ed avveniva attraverso lo scambio di file infetti su supporti di memorizzazione (floppy disk prima e cd-rom poi).

A spingere i virus writer erano prevalentemente motivi di propaganda, ricerca di notorietà e rivendicazioni personali. L’azione dannosa dei virus andava dalla semplice visualizzazione di slogan a video alla “distruzione” di dati più o meno importanti all’interno dei computer colpiti. In generale la presenza di infezioni portava i computer ad un rallentamento delle performance a causa di una maggior occupazione di risorse e di memoria causate dal virus stesso. Nel corso degli anni la diffusione di Internet, sia a livello aziendale che privato, ha fortemente modificato le metodologie di propagazione e la tipologia stessa di infezioni informatiche. La presenza di un numero sempre maggiore di dispositivi interconnessi tra di loro attraverso la “grande rete” (computer, smartphone, tablet, reti di sensori) ha abbassato drasticamente il tempo di diffusione e aumentato il numero di macchine infettabili.

Oggi, rispetto al passato, si preferisce parlare di malware per indicare un generico programma “malvagio” in grado di effettuare operazioni dannose all’insaputa dell’utente. I virus rappresentano un particolare tipo di malware insieme a worm, trojan horse, backdoor, spyware, dialer, rabbit, scareware, rootkit, hijacker, adware, keylogger. Ciascuna categoria ha delle specifiche peculiarità che vanno dal furto di informazioni personali al controllo del nostro computer da parte di un attacker remoto. Nessun sistema operativo è totalmente sicuro ed immune da attacchi informatici dovuti a malware e il grado di vulnerabilità di un sistema dipende da diversi fattori tra cui principalmente il suo grado di diffusione (avrebbe forse senso scrivere un malware in grado di infettare un sistema poco diffuso?) e la presenza di software installato e non aggiornato (sia il sistema operativo che i programmi installati necessitano di aggiornamento continuo per eliminare le vulnerabilità e i problemi di sicurezza scoperti nel tempo).

Oggi il ragazzino desideroso di farsi notare oppure il dipendente licenziato e frustrato hanno lasciato spazio a vere e proprie organizzazioni criminali che diffondono infezioni in rete con l’unico fine di carpire informazioni come numeri di carte di credito, account email, password di accesso per rubare soldi ed identità digitali. Non esiste un unico grande prodotto in grado di mettere al sicuro un computer rendendolo invulnerabile ad attacchi di questo tipo.

La sicurezza va quindi intesa come un servizio effettuato da occhi esperti e professionalmente preparati in grado di riconoscere ed adottare i prodotti e le soluzioni necessarie per proteggere le nostre informazioni.

La sicurezza informatica diventa quindi una filosofia ed un approccio alla gestione dei dati ai quali non possiamo rinunciare.

Virus “Guardia di Finanza”

Oggi ci siamo imbatutti nella disinfezione di un computer colpito da una variante dell’ormai classico virus “Guardia di Finanza” e vorremmo condividere con voi alcuni piccoli consigli e prove utili qualora vi trovaste ad affrontare una situazione simile. La variante in oggetto ha bloccato il pc impedendone l’utilizzo ed inibendo qualsiasi operazione di diagnostica e manutenzione. In particolare pochi secondi dopo l’avvio veniva mostrata a video una schermata contenente appunto il presunto avviso della GdF che informava l’ignaro utente di infrazioni effettuate con il computer e per le quali si rendeva necessario il pagamento di una multa di euro 100 attraverso l’apposita form.

Risultava impossibile accedere al task manager attraverso la combinazione CTRL+ALT+CANC e riavviando in modalità provvisoria il computer si ottieneva un BSOD. La finestra in sovraimpressione poteva essere solo spostata ma al di sotto, sul desktop del pc, non erano più presenti le icone dell’utente.

La scansione con diversi prodotti antivirus, effettuata sia al boot sia staccando l’hard disk e collegandolo ad un’altro computer, non era in grado di rilevare alcuna infezione. Molto probabilmente la variante in oggetto era particolarmente recente e non ancora rilevata dai centri di sicurezza e per questo abbiamo subito provveduto ad inviarne un campione.

Abbiamo effettuato un controllo veloce ai vari hive del registro di sistema alla ricerca di tracce ed informazioni ma senza successo. Nella cartella c:\windows\system32, invece, abbiamo trovato alcuni file con data di modifica/creazione molto prossima a quella di inizio del problema. Uno di questi file aveva come nome k8h0pp.exe (nome probabilmente generato in modo random) e ci ha subito insospettito. Lo abbiamo rinominato e riavviato la macchina riuscendo così a riprendere il controllo del sistema. Lanciando poi il comando msconfig siamo riusciti ad eliminare ogni riferimento al file durante l’avvio del sistema.

Come ogni battaglia dove si combatte un nemico che non si conosce è stata dura ma alla fine abbiamo vinto.

Un ringraziamento agli amici di Symbolic (Fabrizio, Andrea e Luca) che ci hanno affiancato per arrivare alla risoluzione del problema.

“Wine & Security” – I tuoi dati sono al sicuro?

Per il quarto anno consecutivo, in occasione della Settimana Nazionale della Cultura, il progetto Langhiranovalley.it, nato nella fucina dei Labs, propone incontri gratuiti di approfondimento e sensibilizzazione tecnologica.

Riteniamo infatti primariamente importante cercare di contribuire, nel nostro piccolo, ad aumentare la cultura digitale nel nostro paese. Il tema scelto per l’edizione 2012 è la Sicurezza Informatica.

Quali rischi corrono le aziende italiane se non adeguatamente protette? Quanto sono importanti “i dati” per le PMI italiane? Il sistema informativo aziendale è considerato un bene fondamentale oppure no? Esiste la consapevolezza del danno d’immagine e di quello economico che può scaturire da un attacco informatico andato a buon fine?

Queste sono alcune delle domande alle quali cercheremo di dare risposta durante il seminario che si terrà sabato 21 aprile 2012 dal titolo “Wine & Security”. Lo faremo con un taglio pratico che ci porterà a capire come si muove chi attacca e quali sono le principali vulnerabilità dei sistemi informativi aziendali.

Ospite d’onore e relatore d’eccezione sarà Gianfranco Ciotti, ricercatore indipendente nel campo dell’ICT security da più di dieci anni, impegnato professionalmente nella sicurezza dei sistemi informativi e delle reti di telecomunicazione in ambito bancario, ricerca, consulenza e formazione con particolare attenzione alle attività di penetration test applicativi ed infrastrutturali. Gianfranco, oltre che un carissimo amico di vecchia data, è un prefessionista molto competente e preparato e in diverse occasioni ha partecipato come relatore ad Infosecurity, e-Privacy ed altri numerosi eventi security related.

Ma all’interno del progetto Langhiranovalley.it vogliamo dare risalto non solo alla cultura digitale ma anche a quella del territorio. Per questo motivo l’evento sarà ospitato dall’Azienda Agricola Vitivinicola Lamoretti che farà scoprire a tutti i partecipanti un’ospitalità unica ed indimenticabile. Al termine del seminario tecnico infatti sarà possibile visitare in modo guidato la cantina (in questa occasione la visita sarà gratuita) e partecipare ad una degustazione (sempre guidata però a pagamento)  di vini in abbinamento con altre eccellenze del territorio: il Prosciutto di Parma e il Parmigiano-Reggiano.

Si tratta di un evento unico dove la cultura informatica si mescola con quella del territorio.

Per info e iscrizioni: http://winesecurity.eventbrite.com

Vi aspettiamo!

Mirco

 

 

 

F – Secure premiata da AV – TEST: «La miglior protezione al mondo»

“Tra tutti i software di end point protection valutati nel 2011, F-Secure Client Security è quello che offre la protezione più efficace” (Andreas Marx, CEO of AV-TEST)

Sono queste le parole che premiano F-Secure come “Migliore protezione del mondo” secondo AV – TEST, un istituto indipendente di sicurezza IT che si occupa di ricerca in campo di minacce informatiche. Un bella notizia anche per noi dei Labs che abbiamo scelto proprio F-Secure come antivirus per i nostri clienti. Ma non c’è da stupirsi, F-Secure si occupa da vent’anni di sicurezza informatica e può garantire una qualità ed una varietà di aggiornamenti straordinaria, grazie a sistemi che si basano sulla tecnologia cloud. Un altro cavallo di battaglia F-Secure è sicuramente F-Secure PSB, che ha il pregio di trasformare l’internet security in un servizio vero e proprio. Il cliente, che spesso non ha competenze specifiche, ora può “fregarsene” di eseguire controlli e scansioni e lasciare l’incombenza della protezione del sistema nelle mani dell’azienda che gli ha venduto il prodotto. Grazie a questo sistema, comodamente dalle nostre “workstations” dei Labs, possiamo monitorare in tempo reale la situazione della protezione dei PC dei clienti, avviare scansioni, eseguire report, intervenire in caso di minacce. Senza che il cliente si accorga di nulla. Ed è proprio questa la grande innovazione: “controllo esperto”, in tempo reale e senza fastidiose interruzioni del normale lavoro aziendale. Il tutto in un’ottica di abbattimento dei costi. Spendendo un pò di più sulla licenza antivirus si può ottenere il risultato di essere controllati da occhi esperti e di avere scansioni regolari e frequenti, evitando che le minacce si traducano in problemi reali, che costringerebbero l’azienda ad intervenire spendendo soldi in manodopera specializzata. Per darvi qualche numero, facendo il report di alcuni dei nostri clienti che “montano” F-Secure PSB – abbiamo preso in esame circa 10 macchine -, in pochi giorni le minacce eliminate e risolte sono state circa 200, il tutto senza che il cliente muovesse un dito e in modo assolutamente tempestivo (cosa assolutamente indispensabile quando si parla di security). Dai Labs, grazie a PSB, possiamo accorgerci di “cose che non vanno” che magari il cliente non avrebbe mai notato perchè preso in altre attività. Insomma un controllo totale e competente, ad un prezzo di poco più elevato. Perchè, anche se si tende a dare poca importanza al problema, le minacce ai sistemi esistono e quando si presentano, se non si è preparati, possono presentare “conti salatissimi”. Proprio per questo i soldi spesi in sicurezza informatica sono sempre e comunque soldi spesi bene!

Vi lasciamo con il consueto video! Letteralmente  “I peggiori virus per computer del mondo”. Una rappresentazione estrema di quanto fastidiosi possono essere i virus che affollano la rete!

I Labs