Sicurezza: minacce, difese e consigli tecnici

Lo scenario dei malware è in continua evoluzione: il 2008 si è chiuso portando all'attenzione pubblica una serie di tematiche che le società attive nel campo della sicurezza informatica debbono necessariamente tenere in considera...

Lo scenario dei malware è in continua evoluzione: il 2008 si è chiuso portando all’attenzione pubblica una serie di tematiche che le società attive nel campo della sicurezza informatica debbono necessariamente tenere in considerazione se desiderano migliorare i propri strumenti di rilevazione e rimozione delle nuove minacce. Rispetto al passato, chi sviluppa malware ha raffinato le proprie conoscenze mettendo a punto codici nocivi che sfruttano tutta una serie di tecniche per passare inosservati ai software di sicurezza. Si rilevano oggi sempre più efficaci, inoltre, anche gli espedienti impiegati per trarre in inganno gli utenti e spingerli all’esecuzione di programmi dannosi.

Rootkit: una delle minacce più pericolose

“Nascondere il più possibile” è l’imperativo di chi oggi sviluppa malware a fini di lucro.
Se, come abbiamo visto, sono profondamente cambiate la filosofia alla base della creazione di applicazioni nocive e le loro modalità di distribuzione, di pari passo hanno iniziato ad essere impiegate tecniche nuove che rendono ancor più complicata la fase di riconoscimento ed eliminazione del malware. L’uso di rootkit è divenuto sempre più gettonato: un dato, questo, su cui concordano tutti i principali produttori di soluzioni per la sicurezza. Gli analisti hanno previsto, per il prossimo futuro, un pesante incremento nella diffusione dei cosiddetti “kernel rootkit” la cui caratteristica principale consiste nel modificare porzioni degli aspetti chiave del sistema operativo con lo scopo di nascondere all’utente ed ai software antivirus/antimalware l’avvio di attività maligne.
Gli autori di malware abbracciano l’uso dei rootkit per nascondere in modo più efficace le proprie “creature”: l’intento è quello di nascondere il malware sviluppato all’interno di un altro contenitore “ostile”, capace di creare una sorta di barriera difficilmente penetrabile dalle classiche soluzioni antivirus.

Nel corso del 2008, i rootkit si sono confermati come una delle armi preferite da coloro che svilupano malware. Basti pensare alla diffusione di “MBR Rootkit”. Conosciuto anche con il nome di “Mebroot”, è probabilmente uno dei rootkit più raffinati in circolazione. Questo malware infetta il Master Boot Record (MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer, prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, “Mebroot” sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware. I rootkit che infettano il MBR sono spesso portatori di trojan in grado di sottrarre informazioni di tipo bancario e credenziali di accesso a servizi finanziari.
Una volta eseguito nel sistema, infatti, il rootkit è in grado di bypassare eventuali firewall installati e di connettersi all’esterno, aprendo backdoor e scaricando nuove infezioni all’interno del PC.
L’infezione del MBR è oggi “tornata di moda” perché i malware sfruttano, contemporaneamente, unzioni mimetiche a livello kernel. Se la strategia che vede l’infezione del MBR è molto vecchia (i primi virus che infettavano il MBR risalgono ai tempi del DOS), i malware moderni abbinano l’impiego di efficaci e purtroppo pericolose tecniche rootkit. Grazie a questo tipo di approccio, i nuovi malware possono garantirsi l’esecuzione all’avvio del sistema operativo (il MBR è il primo ad essere caricato) senza rischiare di essere smascherati facilmente (uso di tecniche rootkit).

Un altro esempio di rootkit, tecnicamente molto avanzato e che si è ampiamente diffuso nel corso del 2008, è “Rustock.C”. Il malware fa uso di un evoluto sistema di codifica che rende particolarmente arduo il compito di analizzarne il codice da parte dei ricercatori delle società di sicurezza. Tutta la struttura del malware è infatti crittografata con l’algoritmo RC4 e compresso con aPlib. L’infezione da Rustock.C si è rivelata particolarmente subdola poiché il rootkit integra funzionalità di “file infector” ossia “inietta” il suo codice nocivo all’interno di driver di sistema, presenti sulla macchina in uso. Qualsiasi tentativo di analizzare il driver infetto darà esito negativo poiché il rootkit è capace di filtrare le comunicazioni provenienti da alcuni componenti di sistema essendo così in grado di mostrare una copia “pulita” del driver ad ogni esame operato ricorrendo ad un software antimalware.

Botnet: quando il sistema entra a far parte di una rete di computer “violati”

Nel corso del 2008 si sono registrati decine di esempi di malware che, una volta infettato il sistema, così come Rustock.C, lo inseriscono in una botnet, insiemi di computer controllati illecitamente all’insaputa del legittimo proprietario.
Secondo diversi studi il numero di sistemi coinvolti in reti botnet sarebbe aumentato a dismisura nel corso degli ultimi mesi. I sistemi infettati da bot sarebbero responsabili dell’invio, addirittura, dell’80% dell’intero quantitativo di e-mail indesiderate ricevute quotidianamente. Il controllo delle macchine infettate viene infatti spesso venduto, da criminali informatici, ad altre organizzazioni che effettuano attività illecite come l’invio di campagne spam. Chi gestisce “botnet” è arrivato ad offrire l’invio di ben 20 milioni di e-mail di spam per soli 350 Euro. Un dato, questo, assolutamente allarmante che mostra, da un lato, come ormai – grazie alla presenza in Rete di sistemi non adeguatamente controllati, non aggiornati mediante l’installazione di patch di sicurezza, vulnerabili su più fronti – gli aggressori remoti stiano creando botnet sempre più vaste, estese in modo capillare in molti Paesi. Dall’altro lato si osserva come malware e spam siano sempre più sinonimo di un crescente business (criminoso). Le botnet vengono anche utilizzate per lanciare attacchi Denial of Service (DoS) il cui scopo consiste nel mettere fuori uso o comunque rendere irraggiungibili sistemi di aziende od organizzazioni specifiche inviando, contemporaneamente e per periodi di tempo anche piuttosto ampi, continue richieste di connessione. Chi ha il controllo su di una botnet composta, ad esempio, da migliaia di sistemi, può raggiungere l’intento in modo molto semplice.
Le botnet, composte sostanzialmente da sistemi precedentemente violati, possono poi essere impiegate per molti altri scopi criminosi.

Attacchi che sfruttano social network ed ingegneria sociale

Il 2009 è destinato a registrare un crescente utilizzo delle tecniche di ingegneria sociale adattate ai servizi di social network, ormai sempre più diffusi, quali Facebook. Il “valore” dell’identità digitale di una persona, inoltre, sta crescendo in modo vertiginoso. L’incredibile quantità di dati pubblicati su siti come Facebook, LinkedIn e MySpace ha reso più semplice, per gli aggressori, danneggiare o presentare in modo distorto un’identità professionale o personale sul web.
Le varie aziende operanti nel campo della sicurezza informatica sono concordi nell’affermare come nei prossimi mesi vi possa un significativo aumento nel numero di casi di pirateria delle identità digitali. In risposta, dovrà essere necessariamente posto in essere un serio cambiamento nei meccanismi di controllo e validazione delle identità sul web.

Il numero delle vulnerabilità di sicurezza individuate nelle applicazioni web è cresciuto a dismisura. Il “Web 2.0”, puntando a massimizzare l’interazione con gli utenti, necessita di un maggior controllo sulle tematiche collegate con l’aspetto sicurezza (fonte: IBM X-Force).

I malintenzionati inoltre possono servirsi delle informazioni personali pubblicate sui social network talvolta con troppa leggerezza, per violare servizi utilizzati dagli utenti. Emblematico il caso di Sarah Palin, governatrice dello stato dell’Alaska. Durante la campagna per la presidenza degli Stati Uniti, sul web iniziarono a diffondersi dettagli sulla corrispondenza della Palin, che avveniva attraverso un account di posta elettronica gratuito registrato su Yahoo. La casella di posta elettronica della politica era sta insomma violata. Com’è potuto accadere? Le indagini dell’FBI, subito attivatasi, hanno portato all’individuazione del colpevole che sarebbe riuscito a violare l’account di posta della Palin semplicemente raccogliendo informazioni su di lei in Rete e rispondendo correttamente alla “domanda segreta” impostata dalla governatrice dell’Alaska. In questo modo l’aggressore sarebbe riuscito a “resettare” la password della casella di posta ed a guadagnare l’accesso al contenuto della “scottante” mailbox.
L’accaduto fa riflettere su quanto sia importante adottare tutte le principali misure di sicurezza atte a scongiurare situazioni simili, soprattutto nell’era Web 2.0 dove tutto sembra più facile da accedere e più semplice da condividere.
Quando si registra un account e-mail gratuito presso uno dei tanti fornitori disponibili (Google GMail, Yahoo Mail, Microsoft Hotmail tanto per citarne alcuni) è bene dare massima importanza alla risposta fornita alla cosiddetta “domanda segreta”. Trattarla con leggerezza indicando magari una risposta pubblicata, ad esempio, sul proprio profilo Facebook è cosa assolutamente da evitare.

Tra i malware che hanno bersagliato direttamente gli utenti di Facebook vi è Koobface. Diffusosi nel mese di Luglio 2008, il worm tentava di installare codice nocivo sul sistema dell’utente unitamente ad un keylogger, in grado di sottrarre informazioni sensibili. Koobface, poi, inviava messaggi di spam ai contatti amici attraverso l’interfaccia di Facebook. Con un clic sul link maligno, facente riferimento ad una falsa pagina di YouTube, veniva avviata l’esecuzione del malware.

Esempio di un tentativo di attacco sferrato attraverso Facebook (fonte: Aladdin).

Rogue antivirus: i falsi software per la sicurezza

Una delle “mode” più in voga consiste nell’inserire componenti spyware all’interno di programmi presentati come del tutto sicuri (“rogue antivirus” ossia “antivirus-canaglia”). E’ in forte aumento, ad esempio, la diffusione di spyware che si insediano sul sistema dell’utente presentandosi, paradossalmente, come programmi antivirus, antimalware od antispyware. Ne abbiamo contati a decine in Rete, spesso veicolati con nomi rassicuranti come Wista Antivirus, Andromeda Antivirus, Personal Defender 2009, ToolSicuro, VirusDifesa, PestCapture, SpywareSheriff e così via (per una lista parziale, vedere anche questa pagina). Va rimarcato come questi falsi strumenti per la sicurezza utilizzino sempre più frequentemente termini italiani, per colpire più facilmente gli utenti nostrani più creduloni.

I “rogue software” si presentano di solito mostrando, durante la navigazione sul web, finestre pop-up generate ricorrendo a codice JavaScript, spesso inserito, sfruttando molteplici espedienti, in siti web rinomati ed apprezzati. Il messaggio visualizzato nella finestra pop-up di solito cerca di allarmare l’utente circa la presenza di virus sul suo sistema e consiglia il download di uno strumento (in realtà il malware vero e proprio) che può risolvere il problema. Il browser viene quindi reindirizzato su pagine web con un look accattivante che spingono l’utente a riporre fiducia nelle informazioni pubblicate.
L’intento di chi sviluppa “rogue antivirus” è quello di cercare di acquisire la fiducia dell’utente intimorendo i meno esperti con la visualizzazione di falsi messaggi di errore, proponendo strumenti di sicurezza, in lingua originale, che – nella malaugurata eventualità in cui dovessero essere installati – compiono qualsiasi tipo di azione fuorché fornire la benché minima protezione aggiuntiva, spronando l’utente all’inserimento di numeri di carte di credito per l’acquisto di software inutili e spesso nocivi.

Durante il 2008 così come i primi mesi del 2009 hanno evidenziato la nascita di un sempre maggior numero di “rogue antivirus” presentati attraverso e-mail di spam oppure attraverso l’inserimento di falsi messaggi pubblicitari in siti web conosciuti od, ancora, sfruttando attacchi “SQL Injection” perpetrati verso pagine molto visitate.

La diffusione dei “rogue software” (fraudtool) e dei rootkit è cresciuta nel corso di tutto il 2008 (fonte: IBM X-Force).

Le difese

Dall’utilizzo delle firme virali, all’adozione di tecniche firewall, sino all’analisi comportamentale ed all’“intelligenza collettiva”

Se sino alla fine degli anni ’90 tutti i prodotti antivirus si basavano esclusivamente sull’utilizzo di definizioni antivirus, con l’inizio della diffusione in Rete di worm e spyware, a partire dal 2000, si rese necessaria un’evoluzione verso soluzioni che includessero anche funzionalità firewall in grado di rilevare e bloccare l’attività di malware effettuando un esame dei pacchetti di dati in transito da e verso il personal computer.

Negli anni seguenti, i vari vendor di soluzioni per la sicurezza hanno iniziato ad integrare funzionalità che si occupano di sorvegliare le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive.
Il concetto era nuovo per l’epoca: introdurre una nuova metodologia che permettesse di svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.
Questo tipo di protezione è in genere l’ultima linea di difesa contro i nuovi malware, progettati per passare inosservati ai controlli basati sull’uso di definizioni antivirus ed euristica. Le tecnologie di questo tipo, residenti in memoria, si occupano di osservare nel dettaglio le operazioni e le chiamate API effettuate da ogni singolo programma in esecuzione mettendole in correlazione ed esaminando le varie dipendenze. In questo modo, diviene possibile bloccare il malware prima che questo possa eseguire con successo operazioni dannose sul personal computer dell’utente. Qualora un processo in esecuzione dovesse essere ritenuto sospetto, questo verrebbe istantaneamente interrotto e ne sarebbe impedito un successivo avvio.

Un’altra protezione che i vari produttori di soluzioni per la sicurezza stanno cercando di implementare è quella che consente di definire quali azioni siano permesse e quali non lo siano per una determinata applicazione.
Molti malware, infatti, sfruttano i privilegi assegnati ad un particolare software, del tutto legittimo, per attaccare il sistema dell’utente. Un esempio su tutti è rappresentato dalla diffusione di file in formato Microsoft Office che, pur apparendo benigni, sono invece modificati ad arte da malintenzionati per sfruttare vulnerabilità già conosciute (per le quali è stata messa a disposizione una patch) oppure ancora irrisolte (“zero-day”). Un sistema di protezione che limita il raggio d’azione di ogni singola applicazione può stroncare sul nascere l’attacco.

Una risposta particolarmente efficace nei confronti del “fenomeno malware”, letteralmente decuplicatosi nel corso dell’ultimo biennio, è la cosiddetta “intelligenza collettiva”. Questo tipo di approccio sfrutta la ormai continua fruibilità della connessione Internet per rivoluzionare le modalità con cui i nuovi malware vengono rilevati, classificati e rimossi. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati, l'”intelligenza collettiva” mira a modificare questo quadro. Grazie all'”intelligenza collettiva” l’intero processo di isolamento e raccolta del malware, classificazione e risoluzione del problema può essere eseguito online. Dopo una prima analisi sul sistema locale, nel caso in cui vengano rilevati file sospetti, gli oggetti potenzialmente nocivi sono trasmessi ai server mantenuti dal produttore. Qui, tutta una serie di procedure automatizzate si fanno carico dell’analisi approfondita di ogni campione pervenuto senza quindi impattare negativamente sulle performance del sistema dell’utente. Gli stessi server si occupano di produrre e distribuire aggiornamenti per le firme virali da distribuire a tutti gli utenti: in questo modo è subito possibile fidare del massimo livello di protezione anche nei confronti di malware nuovi, apparsi ad esempio soltanto su poche decine di sistemi.
Un altro vantaggio dell'”intelligenza collettiva” consiste nel quadro generale che questo approccio può restituire agli ingegneri ed agli analisti dei laboratori antimalware. Grazie all'”intelligenza collettiva”, domande relative all’origine di un malware (è possibile ottenere l’elenco dei sistemi dai quali un malware è “nato”) ed alle sue modalità di diffusione, possono trovare rapidamente risposta. Un aspetto, questo, che può risultare particolarmente utile in fase di supporto all’attività svolta dalle forze dell’ordine.
L'”intelligenza collettiva” è una delle soluzioni alle quali i vari produttori stanno guardando con sempre maggior interesse: il fenomeno malware non è contrastabile se i vari produttori non propongono soluzioni basate su un approccio centralizzato svincolato dal modello “PC-centric” sinora adottato.

Alle soluzioni di “intelligenza collettiva” ci si riferisce spesso con il termine più generico “in-the-cloud” per indicare come il processo di rilevazione e classificazione delle minacce venga spostato su server remoti sfruttando la ormai continua fruibilità della connessione Internet. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati, oggi l’approccio è destinato a mutare radicalmente. F-Secure DeepGuard 2.0, McAfee Artemis, Panda Collective Intelligence, Norton Community Watch e Prevx sono alcuni dei protagonisti della battaglia “in-the-cloud”. Ogni volta che un software viene eseguito, il modulo client del software antimalware cerca nel proprio database online se il file sia già conosciuto o meno, e nel caso sia ritenuto malevolo ne blocca immediatamente l’esecuzione.
Grazie a questo “modus operandi”, un prodotto antivirus non deve più aggiornare il proprio archivio delle firme virali ma può fare affidamento sul database online mantenuto costantemente “up-to-date”.

Strumenti lato client: antivirus, antimalware, firewall ed HIPS.

Il mercato offre decine di strumenti software per la protezione del personal computer. Gli utenti che desiderano fidare su una protezione “a tuttotondo”, possono orientarsi su una delle suite per la sicurezza disponibili in commercio. Ciascun produttore (ad esempio Symantec, McAfee, Kaspersky, Panda, F-Secure, TrendMicro, G DATA) propone una sua soluzione integrata che raccoglie, in un unico prodotto, antivirus, antimalware, firewall, antiphishing, antispam, meccanismi per la protezione dei dati personali, un modulo “parental control”, funzionalità per il controllo del livello di sicurezza del sistema (presenza di tutte le patch).

La rete Internet offre interessanti alternative, in molti casi anche a costo zero. Le soluzioni gratuite per la difesa del personal computer spesso non integrano soluzioni più evolute (ad esempio meccanismi di “intelligenza collettiva”) ma si rilevano comunque prodotti adatti per l’utente più scrupoloso che aggiorna tempestivamente il proprio sistema, autonomamente, con le ultime patch di sicurezza, sa riconoscere tentativi di phishing, provvede a configurare il browser in modo adeguato impedendo il prelievo di oggetti potenzialmente pericolosi.
Tra i migliori pacchetti antivirus distribuiti a titolo non oneroso vi sono Avira Antivir Personal, AVG Free ed Avast Antivirus. Tutti e tre risiedono in memoria, sono in grado di rilevare e bloccare un buon numero di minacce e dispongono di una buona euristica.

Mentre le suite per la sicurezza integrano anche un modulo firewall, gli antivirus free ne sono sprovvisti. L’adozione di un “personal firewall” sul sistema client è oggi un passo da considerarsi obbligato. I moderni firewall operano in modo “bidirezionale”: non solo, cioè, sono capaci di bloccare tentativi di attacco provenienti dalla Rete ma anche di sorvegliare costantemente l’attività del sistema individuando tutti i tentativi di connessione da parte delle applicazioni installate. Un aspetto, questo, assolutamente cruciale. Si immagini che un malware riesca ad insediarsi sul sistema in uso. Una delle prime operazioni che inizierà a compiere, consisterà nello scambio di dati con server ospitanti software “maligni”. Sempre più spesso accade, infatti, che un malware, dopo essersi installato sul sistema dell’utente, provveda a scaricare trojan, keylogger od altri componenti nocivi. Sovente, poi, i malware “spiano” l’attività dell’utente e trasmettono ad aggressori remoti informazioni personali e dati sensibili. In altri casi, il sistema dell’utente viene utilizzato per l’invio di campagne di spam o, addirittura, viene aggiunto ad una botnet, una rete composta da computer violati, come abbiamo visto in precedenza, che può essere controllata a distanza ed impiegata, da malintenzionati, per gli scopi illeciti più disparati.
E’ importante, quindi, poter fidare su un firewall che controlli anche il traffico in uscita dal personal computer.

Introdotto dapprima in Windows XP con il rilascio del Service Pack 2 (Agosto 2004), il firewall integrato nel sistema operativo non permette di usare delle regole che consentano di consentire o bloccare i tentativi di connessione verso l’esterno intentati dalle varie applicazioni installate. Il Windows Firewall si è inoltre spesso dimostrato molto debole nei confronti di malware contenenti delle routine per la disabilitazione di questo componente.
Un netto miglioramento in tal senso, si è registrato con il rilascio di Windows Vista: il sistema operativo propone una versione di Windows Firewall che, finalmente, opera un filtraggio sui pacchetti di dati in uscita, mette a disposizione regolazioni avanzate per l’impostazione di indirizzi IP sorgenti o di destinazione, singole porte od intervalli.

La scelta di un personal firewall va operata anche in funzione del proprio livello di esperienza. In molti valutano un firewall dal numero di finestre pop-up che il programma mostra all’utente, allorquando vi sia la necessità di creare una nuova regola di comunicazione per un’applicazione presente sul personal computer. Il fatto che molti firewall recenti abbiano drasticamente ridotto od addirittura, in alcuni casi, praticamente eliminato la comparsa di finestre per la creazione manuale di regole di comunicazione, è certamente un aspetto importante: è il “personal firewall” che decide a quali applicazioni debba essere consentito “colloquiare” in Rete ed a quali, invece, quest’operazione debba essere limitata o vietata.
Non riteniamo, tuttavia, che un firewall che usa un approccio differente, ovvero che propone all’utente delle finestre per la creazione delle regole debba essere scartato a priori. Sarebbe auspicabile, invece, che un firewall offrisse un buon livello di flessibilità facendosi carico di creare le regole, “senza proferir parola”, nel caso in cui l’utente non sia molto esperto ma dando anche l’opportunità di mettere a punto regole anche molto strette a beneficio dei più smaliziati.
Non siamo entusiasti di quei prodotti che sì permettono di “personalizzare” le regole firewall ma consentono questa possibilità solamente a posteriori. Di fatto, questi firewall creano automaticamente una regola dando l’opportunità all’utente di modificarla solo successivamente, quando la comunicazione è ormai già avvenuta.

Un valido “personal firewall” dovrebbe insomma chiedere all’utente, in fase d’installazione, quale modalità preferisce utilizzare: non presentare avvisi nel caso del funzionamento “automatico”; mostrare la finestra per la creazione di una regola nel caso di utenti esperti. Con questa seconda opzione, il firewall – in fase di creazione di una nuova regola – dovrebbe indicare chiaramente nome del programma, identità, protocolli e porte che il software intende utilizzare ed eventualmente offrire suggerimenti per la creazione automatica della regola stessa.

Un “personal firewall” che, da sempre, strizza l’occhio anche agli utenti più evoluti è Agnitum Outpost (www.agnitum.com). Si tratta di un prodotto che non è free ma che comunque integra anche una caratteristica molto importante: la possibilità di fungere anche da filtro tra il browser web ed i server remoti per quanto concerne gli elementi presenti nelle pagine Internet. Firewall come Outpost, infatti, sono in grado di impedire il download di elementi potenzialmente pericolosi (applet Java, controlli ActiveX, codice scripting e così via) in modo trasparente per l’utente. Elementi che potrebbero essere sfruttati per iniettare codice maligno o causare il download di componenti indesiderati vengono insomma bloccati immediatamente ed eliminati dalla pagina web in corso di visita. Ovviamente il prodotto permette di impostare delle “esclusioni”, regole specifiche che si discostano dal comportamento tenuto in generale.

Tra i software più interessanti c’è anche Online Armor, un programma gratuito che – oltre a fungere da “personal firewall” – integra funzionalità HIPS. Acronimo di Host Intrusion Prevention System, HIPS è una sigla con cui vengono accomunate molteplici soluzioni in grado di monitorare il sistema e/o la rete alla ricerca di attività sospette. In tali situazioni un HIPS è capace di reagire bloccando le comunicazioni potenzialmente pericolose od, ancor prima, prevenendole. Un software HIPS si fa carico di sorvegliare tutto quanto avviene sul sistema in uso consentendo solamente operazioni che risultino legittime o comunque che siano state precedentemente autorizzate. Se il firewall, in senso stretto, agisce quindi intervenendo sulle comunicazioni di rete, un HIPS opera ad un livello ancor più basso interfacciandosi con il sistema operativo, esaminando il comportamento dei servizi, dei processi e delle applicazioni in esecuzione.
La semplicità che contraddistingue Online Armor consente anche agli utenti meno smaliziati di avvicinarsi al mondo degli HIPS comprendendone più agevolmente il funzionamento e gli obiettivi.

Sin dal momento dell’installazione, Online Armor effettua una serie di controlli sulla configurazione del sistema mettendo in luce eventuali configurazioni sospette o comunque non consigliate. Attraverso le icone mostrate nella finestra principale di Online Armor si accede al firewall, al modulo HIPS e ad altre impostazioni del software. Il programma permette di configurare a fondo il comportamento di ogni singola applicazione impedendo che queste effettuino azioni potenzialmente pericolose o comunque non consentite.

Porte di comunicazione e regole firewall. Le porte di comunicazione sono una sorta di punti d’accesso attraverso i quali viene stabilita una connessione in entrata od in uscita con il personal computer. Una connessione di rete è effettuabile utilizzando una delle 65.535 porte disponibili sul sistema: alle prime 1.024 porte (“well known ports”) sono associati specifici servizi previsti dallo IANA (Internet Assigned Numbers Authority). Per convenzione, quindi, le porte 20 e 21 sono utilizzate ad esempio dal protocollo FTP per il trasferimento di file; la 25 dal protocollo SMTP; la 80 da HTTP; la 110 da POP3; la 119 da NNTP e così via.
Come alcuni credono, non esiste una pericolosità intrinseca nell’utilizzo di porte specifiche: il problema si può semmai presentare nel momento in cui sul sistema in uso vi siano componenti server in ascolto, ovvero in grado di rispondere alle richieste di connessione provenienti dall’esterno. Se si configura un server web sulla propria macchina è normale che debba accettare il traffico di rete in arrivo sulla porta 80.
L’importante è che le richieste siano gestite correttamente e che il server non abbia vulnerabilità intrinseche che debbono essere sempre tempestivamente mediante l’applicazione delle patch di sicurezza rilasciate dalle varie software house.
Se, di contro, sul sistema viene installato un componente trojan in grado di mettersi in ascolto su una porta specifica, ecco che qualora l’antivirus non fosse in grado di rilevarne la presenza, essendo sprovvisti di un firewall in grado di segnalare all’utente e bloccare i tentativi di connessione provenienti dall’esterno, si correrebbero enormi rischi.
Ogni “personal firewall” consente di specificare anche se un programma debba operare solamente in modalità client oppure se possa accettare anche le connessioni provenienti dalla Rete (modalità server).
Su un sistema che non debba fornire ad altri utenti dei servizi sono solitamente ben poche le componenti server che vengono avviate, a meno che non si installino web server, file server, ftp server, print server o software per il file sharing. I malware che si mettono in ascolto su una o più porte integrano una componente server, che permette connessioni non autorizzate da parte di aggressori remoti.

Gli antivirus online

Quando si ha a che fare con un file la cui identità non appare chiara, è possibile ricorrere ai tanti servizi di analisi online. La principale peculiarità di tali servizi consiste nella possibilità di avviare una scansione di uno o più file presenti sul personal computer utilizzando i motori antivirus di più produttori differenti. Va precisato che questo tipo di controlli poggia sull’uso dei database delle firme virali al momento più aggiornati. Non viene quindi applicata alcun genere di analisi comportamentale. Tuttavia, VirusTotal, con i suoi ultimi aggiornamenti, ha provveduto ad applicare, durante la scansione dei file, anche l’utilizzo – ad esempio – della tecnologia “collective intelligence” di Panda e di un simile meccanismo “in-the-cloud” impiegato da Prevx. Grazie a queste tecnologie, alcuni motori antimalware sfruttati da VirusTotal per esaminare i file inviati dagli utenti sono in grado di rilevare tempestivamente le minacce a distanza di poche ore dalla loro prima comparsa in Rete.
Prima di eseguire un file che proviene da fonti non fidate è buona cosa sottoporlo all’esame di VirusTotal o di altri strumenti similari. Particolare cautela, ad esempio, va riposta prima di aprire od avviare file che provengano, per esempio, dai vari circuiti peer-to-peer (ad esempio da e-Mule).

Tra gli altri servizi analoghi ricordiamo Filterbit, VirScan.org e NoVirusThanks.

Discorso a parte va fatto invece per siti come ThreatExpert (ved. anche questo articolo per maggiori informazioni in merito, CWSandbox, Norman ed Anubis che poggiano su tecniche di “sandboxing”.
Si chiama “sandbox” un’area protetta e sorvegliata all’interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio. Le tecniche di “sandboxing” sono quindi uno strumento eccellente per lo studio di ogni genere di malware anche se molti componenti maligni più moderni si sono oggi fatti più furbi: riescono a riconoscere la loro esecuzione nell’ambito di una macchina virtuale o comunque di una sandbox ed, in queste circostanze, evitano il caricamento di qualunque codice nocivo in modo tale da non insospettire i tool di scansione.

Consigli pratici

Utilizzare account utente sprovvisti di diritti amministrativi

L’impiego di account utente dotati di diritti limitati è un’ottima prassi per prevenire eventuali problemi conseguenti all’azione di malware. Non si tratta certo della soluzioni definitiva, ma si tratta di una prassi che può aiutare i software di sicurezza ad individuare più facilmente la presenza di un componente nocivo nella malaugurata situazione in cui esso dovesse riuscire ad insediarsi sul sistema.
Sebbene la frequente comparsa di messaggi di allerta sia stata criticata da molti utenti, la funzionalità UAC (User Account Control) introdotta in Windows Vista ha contribuito a proteggere efficacemente gli utenti di questo sistema operativo. Il meccanismo segnala all’utente eventuali azioni, poste in essere da qualunque programma non firmato digitalmente da Microsoft, che provochino modifiche sulla configurazione del sistema in uso.
Soprattutto nelle precedenti versioni di Windows, come in Windows XP, l’utilizzo di un account utente limitato è una misura particolarmente efficace nella lotta contro i malware poiché eventuali codici nocivi in esecuzione sul sistema non avrebbero massima libertà di azione e non potrebbero quindi apportare interventi sulle aree critiche e sulla configurazione di Windows.
Va rammentato come l’impiego di un account dotato di diritti utente limitati non metta al riparo da tutti i problemi: un malware che dovesse riuscire ad insediarsi sul sistema potrebbe ancora riuscire ad installare rootkit in “user mode” per nascondere trojan o backdoor in grado di sottrarre dati personali e monitorare le attività dell’utente.
Per l’utilizzo quotidiano del personal computer il consiglio è quello di creare, facendo riferimento all’icona Account utente del Pannello di controllo di Windows, un nuovo account modificandone quindi la tipologia (Cambia tipo account) a “Limitato”.

Mantenere aggiornati sistema operativo ed applicazioni in uso

L’applicazione delle versioni più aggiornate dei vari software utilizzati sul personal computer è la chiave di volta per non incorrere in problemi di sicurezza. Gran parte degli attacchi che vengono quotidianamente sferrati possono andare a buon fine proprio a causa della mancata applicazione delle necessarie patch di sicurezza sul sistema in uso. Secondo i dati resi noti da IBM X-Force, il numero delle vulnerabilità software scoperte sarebbe aumentato del 13,5% rispetto al 2007 con un incremento anche per quanto riguarda la loro gravità (15,3% per le falle di sicurezza critiche; 67,5% per quelle di importanza media). Il 92% delle vulnerabilità sarebbe sfruttabile in modalità remota.
I software che si utilizzano per comunicare in Rete (browser, client e-mail, software per la messaggistica istantanea,…) sono quelli maggiormente bersagliati. E’ comunque opportuno ricordarsi di mantenere aggiornati, ad esempio, anche i vari programmi utilizzati per la gestione dei file nei differenti formati (la suite per l’ufficio, il gestore di documenti PDF, il programma di grafica, l’utility per l’apertura dei file compressi e così via). Trovandosi ad aprire un file “maligno”, opportunamente modificato dall’aggressore per sfruttare una vulnerabilità software conosciuta, è possibile che il proprio sistema venga infettato o che vengano sottratti dati personali.

Nel 2008 è stato messo a nudo un numero di vulnerabilità record: il 19% di tutte le falle scoperte nel corso di dieci anni (fonte: IBM X-Force).

I rischi più pesanti si corrono utilizzando applicazioni non correttamente aggiornate all’ultima versione. Secondo i dati pubblicati da Secunia, azienda danese da anni attiva nel campo della sicurezza informatica, meno del 2% dei sistemi Windows analizzati sarebbe immune da qualunque tipo di attacco in grado di sfruttare vulnerabilità del sistema operativo e delle principali applicazioni (codici exploit). Il dato allarmante è stato reso noto dopo il rilascio della versione definitiva di Personal Software Inspector (ved. questa pagina per maggiori approfondimenti e questa scheda per il download del prodotto), software gratuito che Secunia propone per controllare l’avvenuta applicazione di tutte le patch di sicurezza sul personal computer.
Sul 30% dei sistemi presi in esame, sempre secondo Secunia, verrebbero impiegati da uno a cinque programmi insicuri; sul 25% dei sistemi da 6 a 10 software potenzialmente vulnerabili ed addirittura sul 45,8% oltre 11 programmi non aggiornati.

Circa il 19% delle vulnerabilità totali sono state individuate all’interno dei software di utilizzo più comune. Nella tabella a lato sono elencati i “top vendors” (fonte: IBM X-Force).

Ecco quindi come sempre più pagine web hanno iniziato a pullulare di codici exploit in grado di far leva su vulnerabilità del browser, in primis, per eseguire azioni pericolose sul sistema dell’utente. La miglior difesa consiste nella tempestiva installazione di tutte le patch di sicurezza rilasciate dai vari produttori.

Il modello di attacco che ha visto pesantemente utilizzati codici JavaScript ad inizio 2008 per tentare di attivare codice dannoso sul sistema dell’utente sfruttando vulnerabilità del browser web, è stato ampliato ricorrendo, per esempio, a documenti PDF ed elementi Flash come vettori di infezione. Aprendo un documento PDF con una versione superata di Adobe Reader, si può rischiare di causare l’esecuzione di malware. Analoghi rischi si corrono impiegando versioni non aggiornate di Adobe Flash Player, dei componenti della suite Microsoft Office e così via.
Nel caso di Flash Player sono state via a via scoperte vulnerabilità che permettono ad un aggressore di avviare attacchi inducendo la vittima a visualizzare, mediante il browser, file SWF modificati “ad arte” per sfruttare la falla di sicurezza. L’installazione degli aggiornamenti più recenti permette di evitare di giocare “alla roulette russa” e porsi al riparo da possibili aggressioni.
Anche i documenti PDF, proprio per il fatto di essere così diffusi, sono spesso stati nell’occhio del ciclone.

Le aziende che sviluppano soluzioni per la sicurezza stanno già tendendo a sviluppare nuove tecnologie per la prevenzione di exploit, un’emergenza considerata sempre più prioritaria. In questo modo, il software antimalware si propone come ultima barriera di sicurezza per individuare e bloccare sul nascere tentativi di attacco basati sullo sfruttamento di vulnerabilità del sistema operativo e, soprattutto, dei programmi installati. Anche per la difesa da attacchi “zero-day” si stanno facendo notevoli passi in avanti (grazie, in particolare, all’utilizzo di tecniche di “intelligenza collettiva”). Per difendersi da attacchi “zero-day” è in primo luogo indispensabile che l’utente faccia proprio un concetto fondamentale: non esistono applicazioni “sicure” e qualsiasi programma può essere oggetto di “un’aggressione”. E’ bene quindi documentarsi periodicamente sulle minacce apparse di recente e che sfruttano falle “zero-day” nonché usare massima attenzione nell’aprire documenti provenienti da fonti sconosciute.

Per verificare di utilizzare le versioni più aggiornate dei vari software, è possibile ricorrere, nel caso del sistema operativo e delle applicazioni Microsoft a Windows Update, ad un programma come MBSA (Microsoft Baseline Security Analyzer; scaricabile da qui) o, in ambito aziendale, ad uno strumento come WSUS. Contemporaneamente, si può ricorrere a Secunia Personal Software Inspector che si incarica di monitorare il sistema segnalando la mancata applicazione di eventuali patch ed aggiornamenti di sicurezza. Secunia PSI riconosce migliaia di applicazioni differenti, informa l’utente circa la disponibilità di aggiornamenti e spesso è addirittura in grado di proporre i link per il download diretto.
Va sottolineato come durante la sua attività di scansione del sistema, alla ricerca di applicazioni non aggiornate, Secunia PSI provveda ad analizzare l’intero contenuto dei dischi fissi. Qualora vi fossero applicazioni non aggiornate sebbene non effettivamente installate in Windows (ad esempio conservate come copia di backup in un’altra unità collegata al personal computer), Secunia PSI mostrerebbe comunque un messaggio di allerta.

Appena avviato, Secunia PSI provvede ad analizzare i software installati sul personal computer individuando quelli che non sono stati correttamente aggiornati alle versioni più recenti.

Al termine dell’analisi, Secunia PSI indica un elenco di programmi considerati insicuri: ciascuno di essi dovrà essere adeguato all’ultima versione disponibile.

Nella modalità avanzata, Secunia PSI offre un maggior numero di informazioni utili.

Disabilitare definitivamente la funzionalità “autorun” di Windows

Diversi esperti di sicurezza hanno recentemente riportato in auge un problema che interessa i sistemi Windows XP e Windows Server 2003. Su tali sistemi operativi, se installati con la configurazione di default, le funzionalità che permettono di disabilitare l'”autorun” (ossia il particolare meccanismo che è in grado di eseguire automaticamente programmi o comandi all’inserimento di un CD ROM, di un’unità di memorizzazione rimovibile, alla connessione di una risorsa di rete,…) non operano in modo perfetto.
Molti utenti preferiscono disabilitare la funzionalità “autorun” sia per motivi di praticità (spesso si trova più conveniente operare in maniera del tutto autonoma senza consentire a priori, ad esempio, l’esecuzione automatica del contenuto predefinito di un CD ROM) sia per difendersi dai virus. Un sempre maggior numero di malware, infatti, una volta infettato un sistema, utilizza unità di memorizzazione esterne quali, per esempio, le comuni chiavette USB per diffondersi ulteriormente. Il malware crea sulla chiave USB un file autorun.inf che a sua volta provvede a richiamare ed eseguire i file nocivi collegati all’azione del componente dannoso. L’utente poco attento che dovesse passare la propria chiavetta USB “infetta” ad un collega o ad un amico, rischia così di trasmettere il malware su altri sistemi. E’ il caso, ad esempio, del worm Conficker che per diffondersi il più possibile, oltre a sfruttare l’eventuale mancanza della patch “critica” MS08-067, infetta anche supporti di memorizzazione esterni come le chiavette USB.
Per disabilitare completamente la funzionalità “autorun”, Microsoft ha recentemente reso disponibile la patch KB967715.
Dopo aver controllato che sul proprio sistema sia stato correttamente installato l’aggiornamento (sui sistemi Windows Vista e Windows Server 2008 deve essere presenta la patch KB950582 o MS08-038 in luogo di quella appena citata), è necessario cliccare su Start, Esegui… quindi digitare gpedit.msc. Alla comparsa della finestra Criterio gruppo, si dovrà fare doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer) quindi su Sistema ed infine su Disattiva riproduzione automatica.
Servendosi della successiva finestra, si dovrà selezionare l’opzione Attivata quindi, per disabilitare l'”autorun” da qualsiasi genere di supporto di memorizzazione, scegliere Tutte le unità dal menù a tendina.

La finestra Criterio di gruppo permette di accedere all’impostazione attraverso la quale è possibile disattivare definitivamente la funzionalità “autorun” di Windows.

Per procedere con la disattivazione della funzionalità su tutte le unità disco, è sufficiente fare riferimento all’apposito menù a tendina.

Per venire incontro alle esigenze degli utenti meno esperti, Panda ha reso disponibile anche Autorun Vaccine. Si tratta di un piccolo software gratuito che si occupa di disattivare completamente la funzionalità “autorun” di Windows dalle unità USB e CD/DVD.

L’utilità di Panda può essere avviata anche da riga di comando e quindi inserita, ad esempio, in degli script.

Ripristino della visualizzazione delle estensioni dei file in Windows

Per impostazione predefinita, tutte le versioni di Windows non mostrano le estensioni dei file memorizzati sul disco fisso e su qualunque altra unità. Molti malware sfruttano questa impostazione di default per nascondere la loro reale estensione: dal momento che, ad esempio, il sistema operativo non mostra, nel caso dei file eseguibili, l’estensione .exe, alcuni malware spesso antepongono una seconda falsa estensione (esempio: nomemalware.jpg.exe). L’utente può essere così tratto in inganno facendogli credere di essere dinanzi ad un’immagine in formato JPG quando, in realtà, trattasi di un eseguibile.
Come suggerimento generale, quindi, consigliamo di riattivare la visualizzazione delle estensioni accedendo a Risorse del computer, cliccando su Strumenti, Opzioni cartella, sulla scheda Visualizzazione quindi deselezionando la casella Nascondi le estensioni per i tipi di file conosciuti. In questo modo Windows mostrerà in tutti i casi le estensioni dei file.

La sicurezza dei browser web

Il browser è il nuovo sistema operativo

Con il termine “Web 2.0”, probabilmente un pò troppo inflazionato, si usa indicare l’evoluzione del Word Wide Web (WWW) evidenziatasi nel corso degli ultimi anni: il web è oggi sempre più “dinamico” e favorisce in modo molto spiccato l’interazione con gli utenti. Sono esempi di “Web 2.0” la diffusione di vere e proprie applicazioni che “funzionano online” e che assolvono ai compiti più disparati. Si pensi ai social network come Facebook oppure a Myspace o Youtube ma anche ai tanti servizi che permettono di condividere file ed informazioni attraverso la rete. Si rammentino le decine di funzionalità che Google mette a disposizione (Gmail e “Documenti e fogli di lavoro” in primis) e che sono fruibili ricorrendo unicamente al browser, una volta collegati alla rete Internet e senza avviare alcuna applicazione in ambito locale.
Proprio Google, con il lancio di Chrome, ha introdotto il concetto di un browser che evolve sempre più verso una sorta di sistema operativo integrandosi strettamente con le varie applicazioni web. Grazie alla tecnologia Gears, le “web application” possono essere anche utilizzate, sempre servendosi del browser, in modalità offline svincolandosi dalla connessione Internet. Ecco quindi che un’e-mail od un documento possono essere preparati o modificati offline e “sincronizzati” con le copie conservate online non appena la connessione torna ad essere disponibile.
E’ ovvio come una simile evoluzione del browser in un’entità più complessa porti con sé inevitabili problematiche di sicurezza.

Gli aggressori concentrati nello sviluppare codici malware in grado di insediarsi sui sistemi client, sfruttano, per raggiungere il loro intento, delle vulnerabilità del browser oppure cercano di aggiungere del codice nocivo in pagine web ben conosciute (attacchi XSS e SQL Injection).
Oltre ad aggiornare tempestivamente il browser non appena il produttore rilascia patch ed aggiornamenti (l’utilizzo delle versioni più vecchie dei vari browser dovrebbe essere impedito e vietato), è possibile seguire alcune linee guida per evitare di incappare in qualche minaccia durante la navigazione sul web.
Per impostazione predefinita, ad installazione ultimata, il browser è impostato in modo che sia in grado di gestire e utilizzare correttamente un vasto numero di tecnologie per il web (ActiveX, Java, JavaScript, VBScript,…). Il nostro consiglio è quello di disattivare l’esecuzione di ActiveX e Java in Internet Explorer e di Java negli altri browser.
ActiveX è una tecnologia Microsoft per lo sviluppo di componenti riutilizzabili in diverse applicazioni. Vengono ampiamente sfruttati in Internet per dotare il client (browser web) di funzionalità atte a rendere possibile la visualizzazione di contenuti particolari, l’utilizzo di caratteristiche evolute non incluse in Internet Explorer, una maggiore interoperatività tra client e server. Buoni passi in avanti sono stati compiuti con il rilascio di Internet Explorer 7 che provvede a bloccare, in modo predefinito, molti ActiveX richiedendo all’utente un’autorizzazione esplicita per consentirne l’esecuzione. Microsoft stessa, nel corso di diversi “patch day” mensili, è stata costretta a rilasciare un aggiornamento per scongiurare eventuali attacchi rivolti nei confronti di componenti ActiveX sviluppati da terze parti. Gli aggiornamenti di solito impostano esclusivamente dei “kill bit”, meccanismo di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer.

Java invece è un linguaggio di programmazione orientato agli oggetti, derivato dal C++ e messo a punto sotto la guida di Sun Microsystems con un lavoro che iniziò già nel 1991. I programmi Java che possono essere eseguiti da browser web si chiamano “applet” e sono inseribili nelle pagine Internet utilizzando apposite tag. Per fruire di un’applet Java è sufficiente che sul sistema in uso sia installato il “Java Runtime Environment” (JRE). Molti utenti, tuttavia, pur avendo installato Java sul proprio personal computer (talvolta viene fornito insieme con alcune applicazioni; ad esempio OpenOffice.org), non provvedono ad aggiornarlo tempestivamente e a rimuovere le versioni più datate del pacchetto. Navigare sul web avendo le applet Java abilitate ed utilizzando una vecchia versione del linguaggio è assolutamente sconsigliato: come qualsiasi altra software house, anche Sun rilascia periodicamente degli aggiornamenti di sicurezza per Java in modo tale da correggere tutte le falle di sicurezza via a via scoperte. Alcune di esse, com’è facile accorgersi operando qualche breve ricerca nell’archivio di Secunia, sono considerate particolarmente gravi e possono portare all’esecuzione di codice nocivo nel caso in cui l’utente visiti un sito web maligno, allestito con l’apposito scopo di creare danni, sottrarre informazioni sensibili, rubare credenziali di accesso, installare altri programmi dannosi.
Come regola generale, quindi, è bene controllare che sul sistema in uso sia presente solo la versione più aggiornata di Java JRE e, nel caso siano ancora installate release precedenti, è bene provvedere a disinstallarle manualmente dal Pannello di controllo di Windows. Nel caso in cui il normale processo di disinstallazione delle precedenti versioni di Java, da Pannello di controllo, non dovesse andare a buon fine, suggeriamo di ricorrere all’utilità Microsoft Windows Installer Cleanup. Si tratta di uno strumento che provvede ad eliminare dal registro di sistema tutti i riferimenti non validi a procedure d’installazione di Java. Il software, gratuito, è scaricabile attraverso questo link.
Prima di procedere, è comunque bene accertarsi che nessuna applicazione desktop richieda una versione di Java specifica. Non è infrequente, infatti, imbattersi in software gestionali che, per poter funzionare correttamente, necessitano (lo dichiarano esplicitamente) di una ben precisa versione di Java. Ciò, di regola, non dovrebbe comunque accadere nel caso di un’applicazione Java ben scritta.

Per verificare se il browser web è in grado di eseguire applet Java, è sufficiente collegarsi con la pagina ufficiale di test elaborata da Sun (ved. questa pagina). Immediatamente sotto il paragrafo “Test your JVM“, dovrebbero comparire tutti i dettagli relativi alla JRE installata insieme con un’immagine animata. Qualora ciò non dovesse accadere, è possibile che la JRE non risulti installata sul personal computer oppure che l’esecuzione delle applet Java venga in qualche modo bloccata (da browser oppure attraverso le funzionalità messe a disposizione dai più moderni software “personal firewall” che integrano funzionalità di filtro dei contenuti inseriti nelle pagine Internet).

Gli utenti che sono costretti ad utilizzare vecchie versioni di JRE per consentire l’esecuzione di applicazioni piuttosto datate (cosa piuttosto comune con alcuni software di tipo fiscale, installati, ad esempio, presso gli studi commercialisti), dovrebbero provvedere a disabilitare l’esecuzione delle applet Java dal browser in uso (Internet Explorer, Firefox, …). Nel caso di Firefox, è sufficiente disattivare la casella Attiva Java presente nella sezione Contenuti (menù Strumenti, Opzioni del browser). Analoga casella è disponibile, in Internet Explorer, accedendo al menù Strumenti, Opzioni Internet quindi cliccando sulla scheda Avanzate, nella sezione Java (Sun).
Attraverso la finestra di configurazione di Java (Pannello di controllo di Windows, icona Java, scheda Avanzate, Java predefinito per browser), è poi possibile disattivare il caricamento del plug-in da parte dei vari browser.

Attacchi XSS e SQL Injection: quando ad essere bersagliata è l’applicazione web

Parliamo di attacchi cross site scripting, una tipologia di aggressione che è oggi utilizzata da molti malintenzionati per rubare credenziali d’accesso ai vari servizi online, compresi quelli per la gestione di conti correnti bancari e carte di credito. Le vulnerabilità cross site scripting, spesso identificate con l’acronimo XSS, possono affliggere molti siti web, compresi quelli gestiti da aziende di gran fama. Ed, anzi, sono proprio i siti web di realtà ormai consolidate e più conosciute dagli utenti ad essere maggiormente prese di mira per questo genere di attacchi.

Ogniqualvolta facciamo clic su un collegamento ipertestuale, presente in una pagina web, il nostro browser (client) invia una richiesta al server web, attraverso il protocollo HTTP. I metodi di richiesta di una pagina web possono essere diversi sebbene i principali, ai quale i tecnici si riferiscono prevalentemente, siano GET e POST. In HTML, nel momento in cui si vogliano trasmettere delle informazioni al server, ad esempio i dati inseriti in un comune modulo online (“form”), si utilizza solitamente il metodo POST: i dati vengono codificati dal browser sotto forma di un URL. Nel caso di GET, invece, il contenuto delle variabili trasmesse ad una pagina web, verrà visualizzato direttamente nella barra degli indirizzi del browser.
In tutte le pagine web dinamiche, il cui contenuto, cioè, viene generato dal server al momento della richiesta proveniente dal sistema client collegato e che quindi, di volta in volta, può differire, si analizzano le richieste GET e POST per visualizzare il materiale richiesto dall’utente (client). In particolare, i dati ricevuti attraverso richieste GET e POST viene solitamente impiegato, previa analisi ed eventuali rielaborazione, per effettuare interrogazioni su una base dati.

Coloro che intentano attacchi di tipo cross site scripting sfruttano delle vulnerabilità presenti nelle pagine web dinamiche per modificare il codice della pagina web successivamente proposta al visitatore oppure per effettuare reindirizzamenti verso altri siti web, diversi da quello realmente richiesto. Vulnerabilità di questo tipo derivano da una imperfetta gestione del contenuto delle variabili utilizzate dalla pagina dinamica. In queste circostanze, un aggressore può “inettare” del codice JavaScript “maligno” all’interno di una pagina web.
Precisiamo subito che gli attacchi cross site scripting non agiscono assolutamente “lato server”. In altre parole, non è il server che ospita la pagina dinamica ad essere violato.

Supponiamo che un aggressore individui una pagina web dinamica che può essere oggetto di attacco. L’aggressore nota come tale pagina sembri elaborare numerosi parametri. Se, modificando il contenuto dei vari parametri elencati nella barra degli indirizzi del browser, la pagina web paia riutilizzarne uno o più di essi ripubblicandone il contenuto nella pagina generata dinamicamente, è possibile tentare un attacco cross site scripting. L’aggressore, allora, proverà ad inserire, in calce al contenuto di un parametro visualizzato nella barra degli indirizzi (i più “papabili” sono solitamente i valori che appaiono essere di tipo stringa), del codice JavaScript.
Qualora il programmatore della pagina dinamica non abbia opportunamente provveduto a scrivere una funzione che “depuri” i parametri in ingresso degli elementi potenzialmente nocivi (i.e. tag HTML, apici, simboli utilizzati dal linguaggio di programmazione,…) e provveda a riscrivere il contenuto del “parametro vulnerabile” sulla pagina successivamente proposta all’utente, può succedere che il codice maligno venga “iniettato” nel corpo della pagina.
Ovviamente, l’aggressore – una volta scoperta la vulnerabilità – dovrà indurre gli utenti del sito che ospita le pagine vulnerabili ad attacchi XSS, a cliccare su un link contenente lo script nocivo.

Si pensi di aver a che fare con una pagina web dinamica (php) così richiamata: http://www.nomedominio.xx/paginavulnerabile.php?p1=ciao&p2=123&p3=abc
L’aggressore scopre che il contenuto del parametro “p1” viene riscritto sulla pagina generata senza alcun controllo preventivo. Egli, allora, provvede a richiamare la pagina dinamica posponendo al contenuto ciao del parametro “p1” il codice javascript “maligno”, ad esempio nella forma <script>...codice javascript nocivo...</script>.
Il codice JavaScript può anche contenere riferimenti a file .js dannosi memorizzati su siti web remoti, completamente diversi da quello visitato dall’utente.

Poiché il codice JavaScript dannoso, in forza della vulnerabilità legata alla non corretta gestione del contenuto del parametro in ingresso, viene eseguito all’interno dello stesso contesto del sito web visitato, se l’aggressore riuscirà ad indurre un utente a visitare il link da lui prodotto, potrà – per esempio – rubare credenziali di accesso o leggere e trasmettere altrove il contenuto dei cookie legati al sito web oggetto dell’attacco XSS.

Supponiamo di avere aperto più finestre (o schede) con il medesimo browser. L’eventuale sito “maligno” visualizzato nella prima finestra o scheda non può essere in grado di accedere ai dati visualizzati in un’altra delle finestre del browser aperte. E ciò grazie ad una particolare policy introdotta nei browser web che impedisce questi scenari.
L’attacco cross site scripting tenta, in qualche modo, di aggirare questo aspetto tecnico: allorquando l’aggressore dovesse riuscire ad “inettare” codice JavaScript “maligno” all’interno di una pagina web, tale codice verrebbe regolarmente eseguito poiché il browser lo considera come proveniente dal medesimo contesto (la stessa finestra o scheda del browser).

Servizi famosissimi come MySpace, YouTube e PayPal sono stati, nel corso del tempo, vittime di attacchi XSS. Emblematico l’incidente accaduto qualche tempo fa ad una banca italiana: gli aggressori, dopo aver individuato una pagina affetta da vulnerabilità XSS, hanno iniziato ad inviare una pesante campagna di spam, nell’intento di “intercettare” clienti della banca in questione. Nell’e-mail “phishing” veniva inserito un link contenente anche un JavaScript “maligno”. La pagina oggetto della vulerabilità XSS utilizzava un certificato SSL: gli aggressori, grazie all’URL modificato trasmesso via e-mail, sono stati in grado di “iniettare” un IFRAME all’interno della pagina di login dell’istituto di credito. L’incauto utente che avesse provveduto a cliccare sul link ricevuto via e-mail avrebbe ritenuto di essere sul sito della banca. Inserendo i propri dati di autenticazione, questi sarebbero però stati trasmessi su un server “maligno” sito a Taiwan e ciò in forza della presenza dell’IFRAME maligno aggiunto via JavaScript.

Come sottolineò già a suo tempo il team di Kaspersky, è bene non fidarsi troppo delle connessioni ritenute sicure (https:). Anche in questi casi, se la pagina web è vulnerabile ad attacchi XSS il suo contenuto può essere infatti modificato.

Gli attacchi XSS sono insomma una “manna dal cielo” per coloro che si macchiano di truffe online (“phishing”). L’utente, infatti, spesso non sospetta dell'”agguato” rassicurandosi nell’osservare che subito dopo il riferimento al protocollo utilizzato (http:// od https://) sia indicato il nome a dominio di un sito web conosciuto e legittimo.

Per difendersi da attacchi XSS è sempre bene diffidare di link trasmessi attraverso la posta elettronica o via “instant messaging”, soprattutto se arrivano da mittenti sconosciuti oppure non fidati.

Combattere il phishing

Come evitare di cadere nei tranelli del phishing

Ormai praticamente tutti conoscono il significato del termine “phishing”. Secondo le stime condotte da Gartner, tuttavia, il 3,3% dei 124 milioni di utenti che lo scorso anno hanno ricevuto e-mail è caduto nella trappola del phishing subendo perdite economiche di varia entità.
Il truffatore che prepara e-mail truffaldine e le spedisce a migliaia di utenti in tutto il mondo spacciandole per comunicazioni provenienti da famosi istituti di credito (le banche non inviano mai, per posta elettronica, comunicazioni attraverso le quali viene richiesta l’effettuazione di particolari operazioni sui propri conti), trae profitto secondo una semplice formula: P = V * R * M, ove V è il volume delle e-mail “phishing” spedite, R il tasso di risposta (ossia la percentuale delle vittime che fornisce informazioni sul conto), M il valore monetario di un conto, gestibile online, del quale il “phisher” è riuscito a rubare le credenziali di accesso e P il profitto del truffatore.
PayPal, gestore di uno dei principali strumenti di pagamento utilizzati su Internet a livello mondiale, ha recentemente riassunto alcune delle strategie che l’azienda sta ponendo in essere per contrastare efficacemente il fenomeno phishing. Alcuni punti necessitano anche della collaborazione di altre figure, quali i provider Internet, perché nessun livello di difesa è in grado, da solo, di debellare completamente le truffe perpetrate in Rete.

Una delle soluzioni più utili consiste nel fare in modo che un’e-mail di phishing non raggiunga la casella di posta dell’utente. La strategia vincente potrebbe essere quella di adoperare standard per la firma digitale delle e-mail allo scopo di bloccare preventivamente, sui server del fornitore Internet, tutte le e-mail non firmate che sembrano provenire da un istituto di credito od un conosciuto servizio online quando, in realtà, sono state preparate ed inviate da un truffatore.
Va tuttavia osservato come sebbene un approccio del genere possa rivelarsi efficace, richiederebbe necessariamente, com’è ovvio, la definizione di singoli accordi tra i provider Internet e ciascuna azienda vittima di phishing. PayPal, a partire dalla metà del 2007, ha iniziato ad utilizzare le Domain Keys ed il protocollo SPF (Sender Policy Framework) collaborando con Yahoo!, uno dei fornitori di posta elettronica più utilizzati dagli utenti di PayPal, per lo sviluppo di regole di blocco.

Per evitare di cadere nelle maglie dei “phishers”, oltre a non fidarsi mai delle comunicazioni inviate tramite e-mail che richiedono, ad esempio, di confermare alcuni dati personali, è bene ricorrere all’utilizzo di client di posta elettronica che aiutino a rilevare eventuali messaggi truffaldini recapitati nella propria mailbox. Tra i più abili Mozilla Thunderbird che integra una funzionalità in grado di segnalare, all’apertura dei messaggi pervenuti, le comunicazioni che sembrano avere caratteristiche “truffaldine”. La caratteristica di Thunderbird è attivata in modo definito (menù Strumenti, Opzioni, pulsante Privacy, scheda Frodi via posta). Ovviamente il meccanismo non è infallibile e potrebbe indicare come sospetti messaggi che in realtà sono del tutto legittimi.

A beneficio soprattutto degli utenti di Outlook ed Outlook Express c’è Delphish, una valida estensione che aggiunge una nuova barra degli strumenti al client di posta attraverso la quale è possibile controllare qualunque e-mail (pulsante Check for phishing). Il contenuto del messaggio selezionato viene controllato in due fasi: in prima battuta Delphish ne effettua una comparazione con un pingue archivio di e-mail di phishing. Nel caso in cui la verifica dia esito positivo, Delphish provvede a spostare il messaggio nella cartella “Phishing”. Tra i vari controlli, Delphish effettua anche un’interrogazione WHOIS nel tentativo di stabilire se l’e-mail provenga da reti conosciute per veicolare messaggi di phishing. Diversamente, viene analizzato il contenuto della singola e-mail in modo tale da individuare eventuali caratteristiche molto comuni a tutti i “messaggi-truffa”.

Nel caso in cui un’e-mail non sia riconosciuta come pericolosa dal programma ma l’utente sia certo che si tratti di phishing, è possibile cliccare sul link Is phishing.

Identificazione manuale delle minacce

Per l’utente comune, uno degli scogli più grossi consiste nel non sapere come identificare in maniera certa molti oggetti presenti sul sistema. Chi sviluppa malware spesso assegna ai file nocivi installati sul personal computer dell’utente, dei nomi che ricordano quelli di file di sistema od applicazioni ben conosciute. Questa prassi può indurre l’utente in errore facendogli credere che un file sia benigno quando, in realtà, è collegato ad un malware presente sul suo sistema.
Il servizio SystemLookup, raggiungibile cliccando qui, offre la possibilità di consultare un ricco database che raccoglie informazioni sulle applicazioni eseguite all’avvio di Windows, sui CLSID (BHO, barra degli strumenti, estensioni per il browser), sui pulsanti aggiunti in Internet Explorer, sui componenti ActiveX eventualmente presenti, sui LSP (Layered Service Providers), sui servizi di sistema e così via. Ciascun elemento presente negli archivi di SystemLookup è suddiviso in varie categorie alle quali è assegnato, per maggior comodità, l’identificativo con cui il famoso software HijackThis indica ogni oggetto rilevato e preso in esame.

Per i meno esperti, validissimi strumenti diagnostici come HijackThis e Combofix sembrano parlare arabo. Entrambi i programmi, infatti, una volta completata l’analisi, producono un resoconto finale, in formato, testo che raccoglie le informazioni sulla configurazione del sistema. Rispetto ad HijackThis, che integra solamente funzionalità informative, Combofix è anche in grado di eliminare una buona fetta dei malware oggi più diffusi.

Una volta avviato, HijackThis – dopo aver cliccato sul pulsante Do a system scan and save a logfile – esamina tutte le aree del sistema che coinvolgono direttamente la configurazione di Windows. Le stesse aree, così cruciali per il funzionamento di Windows e di molte applicazioni, sono però purtroppo le prime ad essere “infestate” da malware di ogni genere. Ciò perché tali sezioni sono impiegate, anche da programmi del tutto legittimi, per avviarsi automaticamente ad ogni avvio del sistema operativo o per eseguire servizi particolari.
Al termine dell’analisi del sistema, HijackThis produce un file di testo (file di log) contenente tutti i riferimenti agli elementi individuati sul personal computer.

Le aree più importanti sono certamente le seguenti:
– O2, O3, R3. Qui sono visualizzati i cosiddetti CLSID, identificativi composti da una lunga serie di caratteri alfanumerici compresi tra parentesi graffe. HijackThis, dopo ciascun CLSID, riporta solitamente anche il file eseguibile che viene invocato.
Gli elementi mostrati nel gruppo O2 sono oggetti BHO (Browser Helper Objects): le applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer controllandone il comportamento ed aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna autorizzazione per essere installati) sono spesso impiegati da applicazioni maligne per raccogliere informazioni sulle abitudini dell’utente e per sottragli informazioni che lo riguardano.
Al gruppo O3 appartengono invece eventuali barre degli strumenti aggiunte ad Internet Explorer. Molti programmi “benigni” ne fanno uso. Per esempio, Google permette di installare una propria toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per la generazione e gestione di file PDF e così via. Esistono però malware che installano barre degli strumenti addizionali in Internet Explorer con scopi illeciti.
Il gruppo R3 fa invece riferimento ai cosiddetti “Url Search Hook”, utilizzati ogniqualvolta venga digitato un indirizzo nel browser web senza specificare il protocollo da usare (ad esempio http:// oppure ftp://). Quando l’utente inserisce un indirizzo senza specificare il tipo di protocollo, il browser tenterà di stabilirlo autonomamente. In caso di problemi utilizzerà i dati riportati in questo gruppo.
Nel gruppo R3 non devono essere presenti elementi sconosciuti.

– O4. Con l’identificativo O4 vengono evidenziate tutte le applicazioni o le librerie caricate automaticamente ad ogni avvio di Windows. In questa sezione sono presenti elementi inseriti in svariate locazioni del registro di sistema oltre che nel gruppo “Esecuzione automatica” del menù Start, Programmi.

– O9. Pulsanti aggiuntivi per Internet Explorer. Anche in questo caso, alcuni elementi possono essere riconducibili a plug-in assolutamente “benigni” mentre altri possono far capo a pericolosi malware.

– O10. Pressoché la totalità degli elementi raggruppati in O10 sono solitamente maligni (Winsock hijackers altrimenti conosciuti con l’acronimo LSP, Layered Service Providers). Per l’eliminazione degli LSP nocivi è sempre bene procedere con estrema cautela se non si vogliono danneggiare i componenti software di Windows che gestiscono la connessione Internet. Gli LSP permettono di concatenare un componente software con le librerie Winsock 2 (responsabili della gestione della connessione Internet) di Windows. Ogni volta che ci si connette ad Internet, tutto il traffico di rete che passa per Winsock, attraversa anche gli LSP. Spyware, hijackers e malware, sfruttano gli LSP per “spiare” indisturbati tutto il traffico di rete (i.e. possono registrare tutte le operazioni compiute in Rete da parte dell’utente). L’uso del pulsante Fix di HijackThis, per gli elementi del gruppo O10 è assolutamente sconsigliato.
Per rimuovere i componenti maligni del gruppo O10 è necessario servirsi dell’ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software.
In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org (ved. questa pagina).
Nel gruppo O10 potreste vedere anche componenti di software antivirus: in questo caso, non preoccupatevi assolutamente! Ciò può essere del tutto normale se il vostro antivirus opera a livello Winsock.
Anche i prodotti per la virtualizzazione di VMware, ad esempio, utilizzano LSP assolutamente benigni.

– O16. Questa sezione contiene la lista degli oggetti ActiveX prelevati mediante il browser Internet Explorer. Un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità. Gli ActiveX sono abbondantemente utilizzati da malware per far danni sul personal computer, molti spyware ne fanno uso e i dialer ricorrono a questa tecnologia per insediarsi sul sistema dell’utente. Gli ActiveX, nelle versioni più recenti di Internet Explorer, si presentano con un avviso di protezione che compare durante la “navigazione” in un sito web; nelle versioni più vecchie – non adeguatamente aggiornate e “patchate” -, gli ActiveX possono essere anche scaricati ed eseguiti automaticamente con i pericoli che ne conseguono.
Oltre agli ActiveX “maligni”, è bene ricordare come in alcuni oggetti di questo tipo, sviluppati da terze parti, possano essere insiti problemi di sicurezza. Stando a quanto dichiarato da Microsoft stessa, nel semestre Gennaio-Giugno di quest’anno, apparirebbe evidente come tanti attacchi abbiano sfruttato vulnerabilità presenti nei controlli ActiveX sviluppati da terze parti.
Buoni passi in avanti sono stati compiuti con il rilascio di Internet Explorer 7 che provvede a bloccare, in modo predefinito, molti ActiveX richiedendo all’utente un’autorizzazione esplicita per consentirne l’esecuzione.
Microsoft, nel corso di diversi “patch day” mensili, è stata tuttavia costretta a rilasciare un aggiornamento per scongiurare eventuali attacchi rivolti nei confronti di componenti ActiveX sviluppati da terze parti. Gli aggiornamenti di solito impostano esclusivamente dei “kill bit”.
Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo. Gli aggiornamenti di Microsoft che aggiungono “kill bit” al registro di Windows fanno sì che il caricamento di un ActiveX vulnerabile di terze parti venga impedito.

Se nel gruppo O16 si vedono elencati nomi od indirizzi che non si conoscono, è bene effettuare qualche ricerca approfondita servendosi di Google così come di SystemLookup. Nel caso in cui gli ActiveX eventualmente presenti in lista siano legittimi, è bene accertarsi di utilizzarne l’ultima versione e che non vi siano problemi legati al loro utilizzo (i.e. vulnerabilità di sicurezza ancora irrisolte).

– O18. Protocolli “extra”. Agendo su alcune chiavi contenute nel registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, un malware può così assumere il controllo sulle modalità con le quali il vostro sistema invia e riceve informazioni in Rete.
Molto spesso gli elementi di questo gruppo sono collegati all’azione di componenti malware.

– O20. Questo gruppo raccoglie gli eventuali elementi presenti all’interno della stringa AppInit_DLLs, contenuta nel registro di sistema di Windows. La stringa può contenere una lista di librerie DLL che devono essere inizializzate all’avvio di Windows. Alcuni malware sfruttano questa possibilità per caricare, ad ogni avvio del sistema, le proprie pericolose librerie. Sono ben pochi i programmi “legittimi” che usano AppInit_DLLs e che quindi possono comparire nel gruppo O20 di HijackThis.

– O21. In quest’area vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l’uso della chiave ShellServiceObjectDelayLoad del registro di sistema.
HijackThis è a conoscenza dei componenti “benigni” che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati nel gruppo O21.
Se HijackThis mostra uno o più elementi all’interno della sezione O21 è quindi altamente probabile che si tratti di componenti pericolosi.

– O22. Questa sezione mostra l’elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Alcuni malware utilizzano questo espediente per “autoeseguirsi” all’avvio del sistema operativo.

– O23. Il gruppo che contiene tutti i servizi di sistema attualmente in uso in Windows. Il software HijackThis mostra in elenco sia i servizi in esecuzione che quelli al momento arrestati. Gran parte dei servizi elencati sono installati per opera di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurati come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo).

Una volta che si è prodotto il file di log attraverso l’uso di HijackThis, se si hanno dubbi sull’identità dei vari elementi riportati nel resoconto finale generato dal programma, è possibile ricorrere alla consultazione del database di SystemLookup.
Collegandosi con questa pagina, si può avviare una ricerca tra tutti i vari gruppi. Ad esempio, supponiamo di nutrire qualche dubbio sulla seguente riga di un ipotetico log prodotto da HijackThis:

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\AntiVir PersonalEdition Classic\avguard.exe

Digitando avguard.exe (file eseguibile desunto dal log di HijackThis) nella casella di ricerca, si otterranno tutte le occorrenze del file all’interno degli archivi di SystemLookup.

Poiché il file è stato indicato da HijackThis come appartenente al gruppo O23, ovvero risulta configurato come servizio di sistema, è immediato verificare come si tratti, in ogni caso, di un componente necessario per il funzionamento del software antivirus Avira Antivir. La lettera “L” di colore verde (colonna Status) suggerisce che trattasi di un file assolutamente legittimo.

Cosa diversa sarebbe stata se avessimo avuto a che fare con un file omonimo, facente però parte, come si vede, del gruppo O4 (“Startup entry“) e memorizzato nella cartella di Windows (%windir%). Come spiega brevemente l’analisi riportata su SystemLookup, si sarebbe trattato del worm Netsky.

Per evitare di far confusione, è sempre bene individuare prima il gruppo di appartenenza del file del quale si intende stabilire l’identità facendo riferimento al log di HijackThis (O1, O2, O3,…) quindi cliccare sul link Browse by list di SystemLookup. A questo punto si dovrà selezionare il gruppo d’interesse ed indicare il file cercato. Le ricerche su SystemLookup possono essere avviate per nome del file (Filename), eventuale CLSID (CLSID) oppure specificando la descrizione assegnata al file (Name). Ad esempio, effettuando – dall’ipotetico log di HijackThis – un copia&incolla sulla casella di ricerca di SystemLookup del CLSID (gruppo O2) 18DF081C-E8AD-4283-A596-FA578C2EBDC3 e selezionando CLSID, è immediato accertare che trattasi di un oggetto “benigno” per Internet Explorer collegato ad Adobe Reader.

Mettere in sicurezza la connessione wireless

Se a casa od in ufficio, per connettersi alla rete Internet, si utilizza un router od un altro dispositivo dotato di funzionalità wireless è bene accertarsi di averlo protetto in modo adeguato così da impedire accessi non autorizzati da sistemi client presenti nelle vicinanze.
Secondo il Codice della Privacy tutti gli apparati informatici debbono essere protetti in modo da impedire l’accesso a dati sensibili o comunque riservati da parte di utenti non autorizzati. Se non si protegge adeguatamente la propria rete wireless, quindi, si rischia di commettere un reato. Chi utilizza una rete Wi-Fi protetta in modo abusivo compie invece il reato all’art. 615 ter del codice penale.
Capita frequentemente, guidando tra le vie di una qualunque città e servendosi di un semplice notebook sul quale sia installato un programma in grado di tenere traccia di tutte le reti wireless via a via rilevate, di imbattersi in decine di reti sprovviste di qualsiasi genere di protezione. In questi casi un utente non autorizzato può facilmente accedere al router wirless lasciato “aperto” e sfruttare l’altrui connessione Internet per navigare in Rete e condurre qualunque tipo di operazione.
Nel caso in cui l’utente dovesse compiere qualche tipo di violazione, le autorità preposte risalirebbero alla persona proprietaria del router wireless non protetto, titolare dell’abbonamento Internet, mentre il malintenzionato la farebbe franca.
Non solo. Tra i rischi derivanti dall’uso di una connessione Wi-Fi vi è sicuramente quello che le informazioni trasmesse siano intercettate e “lette” con scopi fraudolenti. L’aggressore, dotandosi di un software “sniffer”, è potenzialmente in grado di appropriarsi dei dati che vengono trasmessi “in chiaro”, senza alcun tipo di cifratura.

Se la rete Wi-Fi oggetto dell'”attacco” non adotta alcuna delle misure di sicurezza illustrate più avanti, il malintenzionato che utilizza il software “sniffer” deve soltanto intercettare il segnale Wi-Fi ed accedere alla rete senza filo. Il software “sniffer” può così permettere la decodifica dei dati in transito ed estrapolare tutti i messaggi in chiaro quali, ad esempio, le conversazioni in corso attraverso programmi per la messaggistica istantanea, le e-mail in arrivo ed in uscita, i siti web visitati e così via. Esiste un gran numero di software, sia per piattaforma Windows che per sistemi Linux e Macintosh, in grado di rilevare la presenza e la disponibilità di reti Wi-Fi oltre ad estrarre i dati in corso di trasmissione.

Il fatto che una password in Windows, per esempio, sia “oscurata” mediante la visualizzazione di una serie di asterischi non ha nulla a che vedere con i dati che vengono scambiati attraverso la connessione di rete. Nel caso di una connessione Wi-Fi, non si è quindi mai al sicuro: si possono comunque ridurre i rischi utilizzando una qualche forma di crittografia.

Ogniqualvolta si installa un router wireless una delle primissime operazioni da compiere è proprio la messa in sicurezza del dispositivo inibendo tentativi di connessione non autorizzati. Gli stessi produttori di hardware dovrebbero spronare i clienti ad impiegare misure minime per la sicurezza dei dispositivi acquistati: dovrebbe essere impossibile utilizzare router Wi-Fi che, di default, possono funzionare senza alcun livello di protezione.

I dati in transito su una connessione Wi-Fi possono essere protetti utilizzando tre differenti approcci basati sull’uso di differenti algoritmi crittografici. Quanto si attiva la crittografia su una connessione Wi-Fi, significa che tutti coloro che utilizzando la rete condividono la stessa chiave. Questa consente di impedire l’accesso da parte di utenti che non siano in possesso della chiave stessa. L’autenticazione aggiunge all’approccio introdotto con la crittografia un carattere di “unicità”. Ogni utente fa uso, infatti, di uno specifico account personale dotato di una chiave crittografica “ad hoc”:

– WEP (Wired Equivalent Privacy). L’algoritmo WEP può essere violato e non va quindi considerato come sicuro. La chiave WEP può essere infatti recuperata da parte di malintenzionati che a quel punto avrebbero pieno accesso alla rete Wi-Fi.
– WPA (Wi-Fi Protected Access). WPA è ampiamente supportato: la sua introduzione si è determinata per colmare le lacune di WEP. WPA permette l’utilizzo di una chiave TKIP (Temporal Key Integrity Protocol). Scegliendo una chiave TKIP con cura, si potrà fidare su un buon livello di sicurezza, almeno in ambiente domestico.
– WPA2. Nuova versione, rivista, dell’algoritmo WPA. WPA2 aggiunge una chiave crittografica più efficace conosciuta con l’acronimo CCMP (Counter-mode CBC MAC Protocol), derivata dall’algoritmo AES (Advanced Encryption System).

WPA e WPA2 sono spesso affiancati da una forma di autenticazione dell’utente conosciuta come 802.1X. L’impiego combinato di WPA/WPA2 e di 802.1X consente di evitare che un utente sulla rete possa “vedere” i dati relative alle connessioni altrui fintanto che questi non vengano veicolati poi attraverso una rete Ethernet: in questo caso le informazioni diverrebbero nuovamente visibili.

Quando si configura la sezione wireless del proprio router, quindi, è bene attivare almeno WPA o WPA2 scegliendo una chiave crittografica (password) complessa, costituita possibilmente da molti caratteri alfanumerici e da simboli.
Come ulteriore misura cautelativa, tutti i router Wi-Fi consentono generalmente di specificare i MAC address dei dispositivi autorizzati a connettersi. Qualunque interfaccia, sia Ethernet che Wi-Fi utilizza un proprio indirizzo indirizzo MAC avente una lunghezza pari a 6 bytes (12 numeri in esadecimale): un esempio può essere 1F-2E-3D-4C-5B-6A. Autorizzando la connessione, attraverso il pannello di amministrazione del router wireless, solo ai MAC address dei personal computer o dei dispositivi Wi-Fi (i.e. smartphone e palmari) impiegati in azienda od in casa, si potrà fidare su un livello di sicurezza aggiuntivo. Il MAC address è spesso stampato sulla scheda Ethernet o Wi-Fi oppure può essere rilevato, nel caso di Windows, ricorrendo al comando IPCONFIG /ALL, da eseguirsi sui vari sistemi client wireless.

La possibilità di offrire agli altri una porzione della banda in uso non è comunque un’idea malsana. La creazione di una rete Wi-Fi capillare, accessibile ovunque, fatta da normali utenti non è una novità: basti pensare all’iniziativa lanciata dagli spagnoli di FON. I “foneros”, utenti del servizio, utilizzano due canali Wi-Fi: uno privato, l’altro pubblicamente accessibile. La condivisione della propria connessione Internet non crea problemi legali (legge Pisanu) dal momento che ogni accesso viene registrato indicando l’account FON dal quale è pervenuta la richiesta di connessione.

Ti consigliamo anche

Link copiato negli appunti