Sicurezza Informatica

Scrivo oggi per parlarvi di un argomento piuttosto interessante e che prima o poi ci toccherà affrontare... la sicurezza informatica.


Prima di cominciare, vorrei ringraziare il mio amico Paolo Attivissimo per le preziose informazioni che ho usato per scrivere questo articolo.

Potete trovare il suo sito a questo indirizzo.
Potete trovare il suo blog a questo indirizzo.

Quante volte vi è capitato di dover fare una scansione anti-virus, oppure di dover formattare l'hard disk e perdere tutti i dati in esso contenuti, per colpa di un virus o qualche altro codice, programma, script pericoloso preso magari navigando in rete senza un'adeguata protezione?

E' inutile che rispondiate, un virus lo hanno preso tutti, non c'è persona che abbia il pc collegato ad internet che non abbia preso almeno un virus.





Adesso parliamo di virus:

Che cosa è un virus?

Beh, rispondere a questa domanda, non è poi così semplice, poichè ci sono molti tipi di virus.

Un virus e' essenzialmente un programma in grado di produrre una copia di se stesso, e, soprattutto, contenente istruzioni capaci di arrecare danni al sistema nel quale viene eseguito.

Naturalmente ci sono diversi tipi di virus:

Virus di file

Sono virus che infettano i files eseguibili, come ad esempio quelli con estensione '.exe' oppure '.com'. Ogni eseguibile e' composto piu' o meno da tre parti: una parte di testata (header), una parte di dati, ed una parte contenente le istruzioni vere e proprie. La testata contiene un 'rimando' (una istruzione di 'salto') all' inizio del blocco di istruzioni. Il virus modifica questo 'rimando' in modo di farlo puntare alla fine del file, dove viene inserito un blocco di istruzioni dannose (il corpo del virus) e comunque, alla fine di tale blocco, 'rimanda' al punto di inizio del blocco di istruzioni originarie.

Questo è un esempio di un file 'normale'

Questo è un esempio di file infetto

Gli antivirus sono dotati di un motore di scansione che rileva la presenza di questi 'rimandi' fittizi e la presenza di una 'stringa di identificazione', cioe' una sequenza di istruzioni caratteristica di un dato virus. A tale scopo posseggono un database contenente tutte le stringhe dei virus conosciuti. La conclusione ovvia e': per poter essere efficace, un antivirus deve avere un database aggiornato periodicamente. In caso contrario viene a mancare un presupposto essenziale che rende la sua azione quasi nulla.

Virus di boot

I sistemi operativi dei computers sono formati da un insieme di programmi solitamente residenti su disko. All' atto dell' avvio la macchina ricerca un' area del disko che contiene delle informazioni vitali del disko stesso (MBR Master Boot Record). Una volta letta quest' area, la machina e' in grado di riconoscere le caratteristiche del disko, come ad esempio il numero dei settori. Successivamente viene letto il record di avvio, che e' un' area che contiene le istruzioni per caricare il sistema operativo. Il sitema operativo puo' essere fatto partire dal disko fisso del computer, oppure da un floppy disk. In ogni caso la macchina va a leggere sempre il primo settore del disko, che, nel caso del disko fisso contiene l' MBR, e ne caso del floppy contiene direttamente il record di avvio.

Il virus agisce spostando il blocco di istruzioni necessarie all' avvio del sistema operativo (record di avvio) in una zona diversa del disko. Successivamente copia se stesso nella zona che precedentemente conteneva il record di avvio. L' ultima istruzione del virus sara' quella che rendera' nuovamente disponibile il vero record di avvio al sistema. In questo modo il virus (che e' un programma) viene attivato ad ogni avvio della macchina. Se si lascia un floppy disk nel PC spento, all' atto dell' accensione, la macchina ne rilevera' la presenza, e tentera' di caricare il sistema operativo dal floppy. Andra' cosi' a leggere il primo settore, che come sappiamo contiene il virus.

virus polimorfico

un virus, di solito, viene criptato lasciando in chiaro solo la routine di decriptazione. Un virus polimorfico modifica il codice della routine di decriptazione ad ogni nuova infezione (lasciando ovviamente invariato l'algoritmo) mediante tecniche di inserimento di codice spazzatura, permutazione del codice, etc...

virus metamorfico

simile al virus polimorfico, è però in grado di mutare completamente il proprio codice, è più potente del virus polimorfico in quanto alcuni software antivirus possono riconoscere un virus dal codice anche durante l'esecuzione. Inoltre a volte impiega tecniche di mascheramento avanzate basate sulla divisione del proprio codice e successivo inserimento delle parti all'interno di diversi punti del file infetto (i virus convenzionali inseriscono il codice integralmente in fondo al file cambiando l'entry point per far eseguire per primo il codice maligno), lasciando inoltre invariato l'entry point per rendere ancora più difficile la vita agli antivirus. C'è da dire anche che la criptazione dei virus metamorfici non è necessaria.

exe virus

virus che infettano i file eseguibili.EXE.

com virus

virus che infettano i file di comando.COM (ormai rari).

companion virus

virus che sfruttano la caratteristica dei sistemi ms-dos che consiste nell'eseguire prima un file di comando.COM e poi un eseguibile.EXE in caso abbiano lo stesso nome di file (es. tra PROGRAM.EXE e PROGRAM.COM se si avvia PROGRAM senza specificarne l'estensione verrà prima lanciato PROGRAM.COM), in questo modo i virus creano dei "gemelli" (companion) che sono copie del virus stesso che, dopo essere stati eseguiti, lanciano il relativo.EXE mascherandosi (ormai rari).

macrovirus

può essere contenuto generalmente in un documento di Microsoft Word, Microsoft Excel o Microsoft PowerPoint e consiste in una macro; può diffondersi a tutti i documenti che vengono aperti con quella particolare applicazione. Questo tipo di virus può essere trasmesso da una piattaforma all'altra, limitatamente a quelle su cui gira MS Office, a causa dello scambio di file.

retrovirus

virus che si annida nei programmi antivirus e li mette fuori uso. Il nome deriva dai retrovirus biologici, in grado di attaccare il sistema immunitario (come, ad esempio, l'HIV).

virus multipiattaforma

ci sono stati vari tentativi per creare virus che infettassero più sistemi operativi funzionanti sotto la stessa architettura hardware e lo stesso processore, ma si sono rilevati degli insuccessi o hanno avuto un successo molto limitato. Un esempio è il virus winux che in teoria può infettare sia i sistemi operativi della Microsoft che quelli unix-like (es: GNU/Linux) giranti sotto CPU x86. In generale questi tipi di virus multipiattaforma si possono difficilmente inserire su un sistema unix-like: di solito la diffusione avviene solo se l'utente esegue un allegato di una mail, cosa già di per se abbastanza remota, e perché un allegato, appena salvato, non può essere eseguito se non gli vengono assegnati i permessi di esecuzione, quindi si può scartare il caso che l'esecuzione sia accidentale; in altri casi addirittura deve essere l'utente root ad eseguire l'allegato, cosa ancora più improponibile per chi sa gestire un sistema di tale tipo. Il successo di questo tipo di virus è circoscritto al fronte dei sistemi operativi della Microsoft, dove invece è possibile quasi sempre eseguire un allegato, anche solo per errore.

Virus a tempo

Si tratta di virus che 'dormono' all' interno dei files infetti, e si risvegliano solamente al verificarsi di determinate condizioni , come ad esempio allo scadere di una certa data o di un certo orario.

Virus ANSI

Si tratta di virus che sfruttano la possibilita (in ambiente MsDos) di associare ai i tasti del computer delle stringhe di caratteri che possono formare dei comandi. Il virus puo' ad esempio associare alla lettera 'v' il comando 'format c:', oppure al tasto INVIO il comando 'del *.exe'! Queste associazioni vengono effettuate all' interno del file config.sys.

Trojan

Un trojan o trojan horse, è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

---

Ok, ho perso un pò di tempo per spiegare cosa è un virus in generale.

Eh si, perchè ci sono molti altri tipi di virus, in giro.

Allora, ora che sappiamo cos'è un virus, come facciamo a proteggerci?

Beh, ci sono molte precauzioni che possono ridurre al minimo il contagio da virus:

Innanzitutto, prendetevi un buon antivirus, ce ne sono di buoni in rete come avast (gratis nella versione home edition, ti registri gratuitamente e ti arriva per e-mail la licenza valida per alcuni mesi), ma cercando ne trovate sicusamente altri.
Io attualmente sto testando kaspersky internet security, con ottimi risultati, per ora.

Oltre ad un buon antivirus, è utile avere anche un buon firewall, visto che quello di windows è un colabrodo.
Come firewall gratuiti buoni c'è zone-alarm (la versione gratuita si trova nel suo sito, un pò nascosta ma c'è).

Il firewall, sostanzialmente, crea un muro, barriera tra il computer e internet.

Oltre a queste regole base, è un ottima cosa da fare se si riesce ad abbandonare l'internet explorer e il programma di posta outlook express integrati in windows, poichè hanno molte falle di sicurezza.

Da preferire browser alternativi all'esplorer come modzilla firefox.
Come programma per leggere le e-mail, consiglio thunderbird, gratuito e funzionale!

Poi, vi consiglio di disattivare gli active-x, il java che possono risultare dannosi perchè potrebbero contenere codici nocivi.

Non aprite allegati delle e-mail, a meno che non ve li aspettavate, possono essere programmi dannosi.

Queste sono le principali regole per sopravvivere e ridurre al minimo il rischio di infettarvi.

Naturalmente il backup dei file e dei documenti che vi interessano è sempre consigliato farlo almeno una volta al mese, se non più spesso.


Infine, per un elenco dettagliato di tutte le cose che potete fare per proteggervi lo potrete trovare a questo indirizzo:

http://www.attivissimo.net/security/dodecalogo/dodecalogo.htm