|
|
INFORMAGIOVANI |
 |
||
 |
 del_Veneto_Orientale |
      |
||
|
| ||||
|
|
||||
| > Virus informatici: cosa sono? | > Virus, le minacce attuali | > La difesa: i software antivirus | ||
|
"Un virus informatico è un programma che ricorsivamente ed esplicitamente copia una versione possibilmente evoluta di sé stesso". Dunque, un virus informatico è semplicemente un programma, come lo è MSN messenger, come lo è Mozilla Firefox o Internet Explorer.
Un virus informatico non è altro che un'insieme di righe di codice scritte in un linguaggio di programmazione, che può variare dal semplice BATCH (files .BAT) al Visual Basic o Delphi o C/C++, senza escludere tutti gli altri linguaggi di programmazione, per esempio PERL, Java, Python, PHP e tanti altri Ma che cosa differenzia un virus da tutti gli altri programmi? Diamo ora una spiegazione della definizione di virus informatico. Vengono utilizzati i termini "ricorsivamente" ed "esplicitamente": certamente un virus non può limitarsi ad una copia di sé stesso in un altro file ma deve potersi diffondere ciclicamente senza mai fermarsi. Inoltre l'uso del termine "esplicitamente" serve a chiarire un concetto: un virus deve avere come intenzione esplicita quella di copiarsi in altri file o di diffondersi. Il suo scopo è quello di diffondersi e deve essere chiaro. Se un vostro software tentasse un aggiornamento da Internet e per installare la nuova versione fosse richiesto di sovrascrivere il file eseguibile, questo potrebbe essere scambiato per il comportamento di un virus - sovrascrivere o modificare il codice di un programma. Eppure non lo è. Semplicemente il programma non ha come scopo esplicito quello di sovrascrivere tutti i files eseguibili, ma esclusivamente di aggiornare il proprio ad una versione più attuale. Questo è il primo punto fondamentale per poter etichettare un software come "virus". Un virus non
necessariamente deve copiare lo stesso suo codice di
partenza in altri files, ma spesso alcuni virus polimorfici
tendono a modificare il proprio codice in modo da avere
forme differenti ma funzionalità simili. In questo paragrafo
abbiamo quindi capito di cosa parliamo quando nominiamo un
virus informatico, evitando così di chiedere a qualcuno che
ce lo nomina se si tratti di un nuovo cibo vegetariano o una
nuova invenzione delle case farmaceutiche ;) Classificazione dei virus informatici Vediamo ora quali sono le categorie principali in cui sono stati divisi durante questi anni i virus informatici: VIRUS: abbiamo già espresso precedentemente la definizione di virus. WORM: un worm è un particolare tipo di virus che non utilizza altri file da infettare per diffondersi, bensì utilizza la rete. Possono autoeseguirsi in alcuni casi, anche se spesso hanno bisogno dell'intervento dell'utente per poter iniziare il ciclo di infezione. TROJAN: trattasi di un particolare tipo di malicious software (malware) che poco rispecchia la definizione di virus. Un trojan è un programma che, nascosto sotto le mentite spoglie di un software utile all'utente (un gioco per esempio o un crack), cela in realtà funzionalità che minano alla base la sicurezza del pc, eseguendo procedure all'insaputa degli utenti. BACKDOOR: simile al trojan, nascondendosi a volte sotto mentite spoglie, permette, una volta eseguito nel sistema ospite, l'accesso da remoto da parte di un utente al pc infettato. |
Un file eseguibile tipico è composto all'interno da varie sezioni: un header - una sorta di presentazione del file - e le varie sezioni che contengono il codice eseguibile del programma. Un esempio di file infector può essere il vecchio virus Vienna: il virus inserisce subito dopo l'ultima sezione del file da colpire il proprio codice e modifica l'intestazione del file in modo da far eseguire il codice del virus prima e il programma subito dopo. Ecco che il file è stato dunque infettato.
Esistono numerose tecniche utilizzate dai virus per infettare i files, ma per rendere l'idea il concetto esposto in questo paragrafo è più che sufficiente. Parliamo ora del pericolo dei worm. Abbiamo già definito nei paragrafi precedenti un worm, vediamo ora quali sono i metodi e i veicoli più diffusi di infezione. Come abbiamo detto, Internet entra ormai nelle case di chiunque e, alzi la mano chi non ha almeno una casella e-mail per ricevere la posta elettronica. Ecco dunque il mezzo più veloce per raggiungere il maggior numero di persone nel minor tempo possibile. I cosiddetti mass-mailer worms sono infatti worms che utilizzano le e-mail per diffondersi, attaccando il proprio codice infetto in forma di file allegato alla posta elettronica. Questo tipo di worm solitamente necessita dell'intervento dell'utente per iniziare il proprio ciclo di infezione, cioè aspetta che l'utente inavvertitamente lanci il file eseguibile trovato nell'e-mail. Una volta infettato il sistema comincia a collezionare le e-mail presenti all'interno del pc e ad autoinviarsi a tutti i contatti trovati. I worm di questo tipo sono solitamente facili da individuare e da rimuovere: non fanno altro che copiare il codice infetto all'interno della directory di sistema di Windows e aggiungere una chiave al registro per autoeseguirsi all'avvio. Rimosse queste due modifiche abbiamo quasi sicuramente fermato il worm. Vi è da dire che anche l'individuazione di worm nelle e-mail è spesso facile, basta utilizzare un po' di testa e prestare attenzione ad alcuni particolari tra i quali: - e-mail scritta in una lingua diversa dal solito (inglese, francese, tedesco...), anche se il mittente dovrebbe essere conosciuto; - presenza di un allegato con un nome strano o comunque dalle dimensioni non superiori ai 90/100KB; - il file allegato è compresso o ha una doppia estensione o, nel nome, ha una lunga serie di spazi che separano il nome del file dall'estensione; - l'estensione del file (una volta decompresso se veramente compresso) varia da .exe a .com, a .scr, a .vbs, .pif. Se uno o più di questi particolari è presente nell'e-mail che avete ricevuto, molto probabilmente si tratta di un worm. Se riuscite ad afferrare questi piccoli ma allo stesso importanti particolari avrete già ridotto in modo drastico il rischio di minacce al vostro pc. Esiste poi un'altra categoria di worm, quelli che sfruttano dei bug di sistema per poter automaticamente diffondersi tra i computer senza intervento alcuno da parte dell'utente. Tra questi worm possiamo citare appunto Blaster e Sasser, ma anche CodeRed, Slammer e il fratello Slapper (il primo worm della storia), il worm di Morris jr e tanti altri.
Per questi worm l'unico rimedio è quello di tenere costantemente aggiornato il proprio sistema operativo e tutti i software installati sul pc. É chiaro che con un firewall molti attacchi di worm che sfruttano exploit per buchi nel sistema possono essere evitati a priori, visto che il tentativo viene filtrato dal firewall prima che arrivi a contatto con il sistema operativo. Ecco spiegato perché il firewall, per questo e tanti altri motivi, risulta essere una componente fondamentale per la sicurezza del proprio pc.
|
Un antivirus non è nient'altro che un programma specificatamente studiato per prevenire, individuare e rimuovere i virus dal proprio pc. Vedremo nei paragrafi successivi in modo più approfondito come un antivirus riesca a individuare i malware. Facciamo ora un breve riepilogo storico sulla nascita dei software antivirus. Quando negli anni 80 iniziano a nascere i virus informatici, i più curiosi esperti e "smanettoni" non rimasero a guardare e un paio di anni dopo la comparsa di Brain, nel 1988 compaiono i primi tool di rimozione del virus. Nello stesso anno a risposta per l'attacco del worm di Morris, venne fondato il CERT/CC - Computer Emergency Response Team/Coordination Center - una sorta di associazione che fornisce assistenza in caso di emergenze o epidemie. Negli anni a seguire vengono rilasciati i primi software antivirus, tra i quali Dr.Solomon Antivirus. Nel 1989 viene rilasciata la prima edizione del Virus Bulletin, la rivista ad oggi più rinomata nel campo dei virus informatici, mentre nell'anno successivo, il 1990, viene fondato l'EICAR - European Institute for Computer Antivirus Research, cui consegue nel 1993 la pubblicazione della prima Wild List, cioè la lista dei virus più diffusi nel mondo. Da quel momento ad oggi di passi avanti molti ne sono stati fatti e abbiamo tutt'ora a disposizione numerosi software antivirus capaci di difenderci, bene o male, dalla maggior parte dei pericoli del web. Norton, Kaspersky, McAfee, PCCillin, Nod32, F-Secure...di nomi ce ne sono tanti e di pareri sull'efficienza altrettanti, ma spesso si ignora come veramente i software antivirus funzionino e perché ci sia bisogno di aggiornarli spesso, o addirittura si ignora il perché abbiano bisogno di aggiornarsi. Scomponiamo dunque un software antivirus. Le parti fondamentali sono sostanzialmente due, il modulo di scansione on-access e il modulo di scansione on-demand. Il primo è il modulo che controlla in tempo reale cosa avviene sul pc, il secondo invece è il modulo che si occupa della scansione manuale del sistema, solo quando l'utente richiede una scansione. Per i meno informati vogliamo quindi suggerire di controllare sempre che il controllo on-access, o controllo in real time sia attivo e funzionante, altrimenti il pc rischia di poter rimanere infettato anche se siete sicuri di aver installato un software antivirus. Per controllarne l'effettiva attività è possibile navigare nel sito www.eicar.org e scaricare il file di prova EICAR.COM. Se il vostro antivirus lancerà un allarme non preoccupatevi, è tutto ok: non è infatti un vero virus, ma solo un file di prova che i software antivirus riconoscono come virus. Ciò vi servirà per verificare le funzionalità e l'efficienza di individuazione del vostro antivirus. Per la scansione on-demand due sono gli argomenti principali: la scansione per mezzo di firme digitali e per mezzo di tecnologia euristica. Nel prossimo paragrafo affronteremo dunque questi argomenti.
|
||
ENTE GESTORE DEL SERVIZIO:
