Quando si “naviga” sul web la migliore linea di difesa contro malware ed attacchi sferrati da remoto consiste nel mantenere costantemente aggiornati il sistema operativo, il browser web e tutti i plugin installati. Questa semplice regola permetterà di proteggere il sistema dalla maggior parte delle aggressioni evitando innanzi tutto i cosiddetti attacchi “drive-by download“, grazie ai quali un malintenzionato può provocare l’installazione di un software dannoso sulla macchina dell’utente senza che questi abbia espressamente richiesto il prelievo di alcun file (vedere questi nostri articoli).
È bene comunque riporre sempre la massima attenzione quando si scaricano e, successivamente, si eseguono file scaricati via Internet. Alcuni strumenti consentono di controllare se un sito è sicuro e di effettuare una scansione antimalware prima ancora di scaricare un file.
Controllare se un sito è sicuro
Un grande aiuto nello “smascherare” quei siti web che celano delle minacce sta arrivando dagli sviluppatori dei principali browser web. “Safe Browsing“, ad esempio, è un servizio impiegato da Chrome così come da Firefox e Safari per allertare gli utenti circa la potenziale pericolosità di un sito web. Google ha festeggiato quest’estate i primi cinque anni dalla nascita dello strumento che mette immediatamente in allerta l’utente ogniqualvolta tenti di visitare un sito riconosciuto come dannoso (oggetto di un attacco, usato per la distribuzione di malware o sfruttato per attività truffaldine).
I responsabili di Google hanno rilevato che, mediamente, ogni giorno vengono aggiunti al database di “Safe Browsing” circa 10.000 indirizzi web, corrispondenti a siti frequentemente utilizzati per infettare i sistemi client degli utenti attraverso le tipologie di aggressione più disparate (Google: ogni giorno rilevati 9.500 nuovi siti dannosi).
Per controllare che un sito web sia sicuro è comunque possibile rivolgersi a tutta una serie di strumenti gratuiti, disponibili online:
– VirusTotal. Si tratta di un noto servizio, recentemente acquistato da Google (Google acquisisce il servizio di scansione VirusTotal), che non soltanto consente di sottoporre a scansione antivirus uno stesso file con più motori ma anche di verificare se una pagina web contenga delle minacce.
Cliccando qui è possibile inserire, nell’apposita casella, l’indirizzo del sito da controllare.
– URLVoid. Realizzato dall’italiana NoVirusThanks, URLVoid – utilizzabile cliccando qui – cerca di stabilire la “bontà” di un sito web attingendo – come nel caso di VirusTotal – alle informazioni restituite da numerosi motori sviluppati da terze parti.
– Norton Safe Web. Raggiungibile a questo indirizzo, anche Norton Safe Web restituisce una sorta di identikit del sito web specificato riportando chiaramente se esso contega malware, se cerchi di scaricare ed installare automaticamente dei componenti nocivi, se la sua consultazione implichi dei rischi per la sicurezza o comunque se integri dei riferimenti a siti web pericolosi.
– Sucuri SiteCheck. Un servizio davvero eccellente che non attinge solamente al suo database ma provvede ad effettuare una scansione in tempo reale sul contenuto di un insieme di pagine raggiungibili a partire dall’indirizzo specificato. Sucuri SiteCheck, raggiungibile cliccando qui, riferisce – tra l’altro – se il sito web indicato utilizzi versioni obsolete e, quindi, altamente insicure di una piattaforma per la gestione di contenuti (WordPress, Joomla, Drupal,…). Molto spesso, infatti, chi sviluppa malware e cerca di diffonderlo il più possibile attraverso la Rete, prende di mira siti web piuttosto conosciuti facendo leva sulle più comuni falle di sicurezza. L’utilizzo di una versione non aggiornata di una piattaforma per la gestione dei contenuti rappresenta una condizione estremamente rischiosa perché può esporre a numerose tipologie d’attacco in modalità remota.
Facendo clic sulla voce List of URLs scanned, in basso, si otterrà l’elenco delle pagine che sono state automaticamente prese in esame.
È quanto successo, molto probabilmente, nel caso del recente ritorno del malware Zeus con una variante espressamente studiata per prendere di mira gli utenti italiani (vedere l’articolo Il malware Zeus bersaglia gli utenti italiani via e-mail).
In questo caso, sono stati aggrediti numerosi siti web internazionali (alcuni dei quali piuttosto conosciuti), vi è stato caricato del codice malware all’insaputa dei gestori quindi è stata avviata una campagna phishing attraverso la posta elettronica nel tentativo di indurre gli italiani a scaricare un file dannoso.
Prima di accedere ad un sito, può essere una buona idea anche quella di interrogare direttamente la funzionalità “Safe Browsing” di Google digitando, nella barra degli URL del browser, l’indirizzo http://www.google.com/safebrowsing/diagnostic?site=
e, alla fine, il nome del dominio da controllare (esempio: http://www.google.com/safebrowsing/diagnostic?site=www.ilsoftware.it
).
Così facendo, si controllerà la storia passata di un dominio e stabilire se il sito è sicuro o meno.
Ci sono comunque capitate situazioni in cui, sebbene Google “Safe Browsing” indichi come sicuro il sito (“Navigazione sicura“), lo stesso contenesse ancora malware. Abbiamo riscontrato tale comportamento in situazioni in cui le pagine web non sembravano ospitare riferimenti a componenti malware ma sul server continuavano ad essere presenti file nocivi non direttamente referenziali dalle pagine web.
Un approccio diverso dai servizi precedenti viene adoperato da WOT, acronimo di Web of Trust, piattaforma che valuta i siti web sulla base delle opioni pervenute dalla comunità degli utenti. WOT è interrogabile collegandosi con questa pagina quindi digitando l’indirizzo da controllare nella casella Check a websitès reputation, in alto a destra (vedere anche l’articolo “Rogue software”: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce).
Anche McAfee SiteAdvisor, utilizzabile da questa pagina compilando la casella Visualizza il rapporto su un sito (colonna di destra) consente di avere un responso immediato sulla bontà di un sito Internet.
Sia WOT che McAfee SiteAdvisor mettono a disposizione un’estensione gratuita per il browser che permette di contrassegnare i siti web benigni, quelli sospetti e quelli riconosciuti come potenzialmente dannosi non appena si effettua una ricerca con Google, Bing o con altri motori.
Controllare se un file è sicuro prima di scaricarlo
Per verificare se un file è sicuro prima ancora di scaricarlo, è possibile ricorrere ad alcuni servizi, molto semplici da utilizzare, decisamente utili e tutti completamente gratuiti.
Il primo strumento degno di nota si chiama VScan ed è stato sviluppato dall’italiana NoVirusThanks. Per utilizzarlo è sufficiente collegarsi con questa pagina quindi fare clic sulla scheda Scan Web Address:
All’interno della casella Insert remote file to scan, si potrà riportare l’indirizzo completo di un file memorizzato su un server remoto. Tale file, che non potrà superare le dimensioni massimo di 10 MB, verrà automaticamente sottoposto a scansione utilizzando una quindicina di motori differenti.
Dopo aver fatto clic sul pulsante Submit address, il sistema di NoVirusThanks restituirà, quasi in calce alla pagina, il nome del file remoto sottoposto a scansione antimalware e la corrispondente firma MD5 (per sapere di che cosa si tratta, vi invitiamo a leggere l’articolo MultiHasher: verificare l’integrità di qualunque file in Windows).
Mentre VScan di NoVirusThanks ultimerà l’analisi del file remoto, si potrà copiare in memoria (negli Appunti di Windows) la lunga firma MD5.
Si provi quindi a digitare, nella barra degli indirizzi del browser, l’URL seguente:
Al posto dell’indicazione FIRMA_MD5
, si dovrà incollare la firma MD5 precedentemente copiata in memoria.
Il servizio VirusTotal farà immediatamente presente se il file indicato (si è specificata la relativa firma MD5) sia stato già analizzato da parte di altri utenti e ne proporrà i risultati della scansione già effettuata. In questo modo, si conoscerà subito se il file specificato contenga un’insidia.
Nel caso in cui la voce “Detection ratio” sia evidenziata in rosso, è altamente probabile che il file nasconda una minaccia (più sotto sono indicati tutti i motori antivirus che hanno contrassegnato il file come pericoloso).
Frattanto, anche il servizio VScan di NoVirusThanks dovrebbe avere concluso la sua analisi. Anche in questo caso si otterrà un responso piuttosto puntuale:
Anche il produttore russo Dr.Web offre un servizio similare denominato LinkChecker. Per utilizzarlo, è sufficiente collegarsi con questa pagina quindi digitare l’indirizzo del file remoto nell’apposita casella. Dopo aver fatto clic sul pulsante Scan, Dr.Web LinkChecker mostrerà immediatamente il risultato della scansione antimalware:
Anche in questo caso, il servizio fornisce la firma MD5 del file, utilizzabile per un'”interrogazione volante” su VirusTotal.
Chi volesse integrare Dr.Web LinkScanner direttamente nel browser web può installare la speciale estensione sviluppata per i vari browser web (Internet Explorer, Firefox, Chrome, Safari ed Opera). Acconsentendo all’installazione di tale estensione (prelevabile da questa pagina), si potrà poi richiedere la scansione di un qualunque file citato nelle pagine web semplicemente facendovi clic con il tasto destro del mouse quindi selezionando il comando Check with Dr.Web:
L’estensione LinkChecker di Dr.Web per Mozilla Firefox non è compatibile solamente con il browser opensource ma è capace di integrarsi anche con il client e-mail Thunderbird. Così, LinkChecker può aiutare l’utente nel controllare il contenuto dei messaggi di posta elettronica evidenziando immediatamente quei collegamenti che dovessero puntare ad oggetti dannosi.
Dr.Web LinkChecker supporta il controllo di file di dimensioni pari od inferiori a 12 MB.