mercoledì 12 maggio 2010

Incontri - Doc 08

Manutenzione minima
In Windows sono disponibili alcuni programmi utili per fare una manutenzione di base del nostro computer.
Con tali strumenti si può effettuare la pulizia di file non più utilizzati, la verifica dei dati scritti sull’hard disk e la deframmentazione dei file.

Pulitura Disco

Con il tempo sul disco del pc rimangono memorizzati diversi file che non vengono più utilizzati.
Tali file oltre ad occupare spazio sul disco, possono essere dannosi, specialmente i file temporanei di Internet Explorer, perché possono contenere spyware che raccolgono, a nostra insaputa, le informazioni personali per inviarle su internet.

1) Per avviare l’utilità di “Pulitura del disco”, aprire Risorse del Computer (Computer su Windows 7):


2) si aprirà la finestra corrispondente in cui sono elencate tutte le unità del pc, (hard disk, DVD, ecc.) :














3) la pulitura, di solito, va fatta sulle unità “Disco locale”.
Cliccare una volta con il tasto destro del mouse e poi selezionare la voce “Proprietà” dal menu visualizzato:













4) si aprirà una finestra da cui bisogna selezionare il bottone “Pulitura disco”:






















5) Il programma di pulitura avvierà una verifica dei file che sono potenzialmente da cancellare. Un messaggio informerà dell’operazione in corso. Attendere che questa fase sia terminata (su computer obsoleti possono occorrere diversi minuti):









6) Terminata la verifica, viene visualizzata la finestra che elenca le tipologie di file che possono essere cancellati.






















7) Se non si sa bene quali cancellare, possono essere selezionate con tranquillità le voci:

Programmi scaricati
File temporanei Internet
Cestino

Quindi premere il bottone “OK” per avviare la pulitura. Comparirà un messaggio di avviso, per conferma:








8) Selezionando “Si”, verrà visualizzata una finestra con l’indicazione delle operazioni eseguite e l’avanzamento:









9) Al termine, chiudere le finestre precedentemente aperte.
Ripetere, eventualmente, questa procedura per tutti gli hard disk

Correzione errori disco

Per migliorare le prestazioni del computer, può essere utile controllare l'integrità dei file salvati sul disco rigido con l'utilità “Controllo errori”.
Nel disco rigido possono esserci dei settori danneggiati. I settori danneggiati rallentano la funzionalità del disco e a volte rendono difficile o addirittura impossibile la scrittura dei dati o il salvataggio dei file. L'utilità Controllo errori effettua la scansione del disco rigido alla ricerca di settori danneggiati e di eventuali errori del file system (la struttura in base alla quale vengono memorizzate le informazioni: unità, cartelle, file, ecc.), per verificare che non vi siano file o cartelle danneggiate o illeggibili.


1) Per avviare l’utilità procedere come nella procedura precedente fino al punto 3), dalla finestra delle proprietà del disco, selezionare la voce “Strumenti”:

 




















2) Selezionare il bottone “Esegui ScanDisk” dalla sezione Controllo errori:

 




















3) Verrà visualizzata la finestra con le impostazioni di controllo, selezionare le opzioni desiderate (normalmente entrambe) a premere il bottone “Avvia” :














4) Normalmente un messaggio avviserà che l’operazione richiesta non può essere avviata al momento, ma si può impostarla in modo che venga eseguita al successivo avvio del computer:






 5) Confermare e chiudere tutte le finestre precedentemente aperte. Al successivo avvio del computer, scandisk eseguirà il controllo del disco selezionato. Ripetere, eventualmente, la procedura anche per gli altri hard disk.

Deframmentazione
La frammentazione del disco rallenta le prestazioni generali del sistema. Se i file sono frammentati, quando uno di essi viene aperto viene eseguita una ricerca sul disco rigido per ricostruirlo. Tale operazione può richiedere diverso tempo, a seconda del grado di frammentazione.
La deframmentazione ottimizza la disposizione dei file in modo che ognuno di essi occupi uno spazio contiguo sul disco. In tal modo la lettura e la scrittura sul disco risulteranno più veloci.

1) Selezionare la voce “Strumenti” dalla finestra Proprietà come al punto 1) della procedura precedente e selezionare il bottone “Esegui Defrag” dalla sezione Deframmentazione:

 




















2) Verrà visualizzata la finestra “Unità di deframmentazione dischi”. Selezionare un disco alla volta dall’elenco visualizzato e premere il bottone “Analizza”, per verificarne lo stato di deframmentazione:
















3) Comparirà un messaggio con il risultato dell’analisi, nel quale verrà suggerito di deframmentare il disco in esame, se necessario. Si può scegliere di avviare comunque la deframmentazione con il relativo bottone:

 








4) La deframmentazione può essere un’operazione lunga, soprattutto in computer obsoleti. Sarebbe buona norma eseguire l’operazione lasciando lavorare il computer, senza utilizzarlo ulteriormente.
In ogni caso l’operazione può essere sospesa o fermata, in qualsiasi momento, tramite i relativi bottoni.
Può essere rischioso se venisse a mancare l’alimentazione al computer mentre è in corso una deframmentazione, per cui bisogna assicurarsi che non manchi mai la corrente:

 














5) In Windows 7 le finestre sono leggermente differenti. In ogni caso le azioni da compiere sono le stesse (Analizza Disco e Deframmenta Disco):

 
















6) Sempre in Windows 7, si può programmare la deframmentazione automatica tramite il bottone Configura pianificazione:


















6) Chiudere tutte le finestre precedentemente aperte. Ripetere, eventualmente, la procedura anche per gli altri hard disk.

 Backup

Col termine backup, generalmente, si intende il salvataggio di singoli file, o di tutto il contenuto degli hard disk su altri supporti di memorizzazione. Lo scopo del backup è creare una copia di sicurezza dei nostri dati. Nel caso in cui l’hard disk normalmente utilizzato si danneggi, può essere tranquillamente sostituito da uno nuovo, sul quale possono essere ripristinati i file salvati in precedenza. Per cui il backup è un’operazione che VA FATTA SEMPRE E PRIMA POSSIBILE, il grado di urgenza è direttamente proporzionale all’importanza dei file da salvare.
Prima o poi tutti i supporti di memorizzazione diventano inutilizzabili e per non piangere sulle foto perse per sempre o sulla tesi irrimediabilmente danneggiata, bisogna organizzare un bel backup.
Per uso domestico, fondamentalmente, si possono utilizzare due tipi di backup:

copia di singoli file o intere cartelle
copia bit a bit dell’intero contenuto del disco (creazione immagine o clonazione)

Per il primo tipo, come supporto di memorizzazione per la copia di sicurezza dei file, a seconda delle dimensioni si può utilizzare una chiavetta USB oppure un disco esterno. L’operazione di copia è banale e si esegue nella maniera già nota.
Vantaggi: si possono salvare e ripristinare esattamente i file scelti
Svantaggi: occorre che windows sia installato prima di ripristinare i file

Per il secondo tipo è necessario un disco esterno. Per la creazione dell’immagine del disco di origine, esistono diversi prodotti commerciali. Il più conosciuto è il Symantec Ghost. In Windows 7 è stata aggiunta la funzionalità di creazione immagine di sistema all’interno dell’utilità di backup.
Vantaggi: Il ripristino è veloce ed automatico. Non occorre installare Windows prima di fare il ripristino.
Svantaggi: per lo stesso motivo, il ripristino riscrive l’intero disco (sistema operativo, documenti, foto, ecc.) portandolo allo stato in cui si trovava alla data di creazione del backup. In questo modo si perdono tutte le eventuali modifiche fatte al disco dopo quella data.




Nessun commento:

mercoledì 5 maggio 2010

Incontri - Doc 07

Il rovescio della medaglia

Malware

Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno.
La diffusione di tali software risulta in continuo aumento. Si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti, e tali numeri sono destinati verosimilmente ad aumentare.
Categorie di malware
Si distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi esaustiva.
Virus
Sono parti di codice (un insieme di istruzioni) che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
Un virus è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di sé stesso, generalmente senza farsi rilevare dall'utente. I virus possono essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. In generale un virus può danneggiare direttamente solo il software della macchina che lo ospita, anche se esso può indirettamente provocare danni anche all'hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.
La tecnica solitamente usata dai virus è quella di infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus, e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.
Principalmente un virus esegue copie di sé stesso spargendo l'epidemia, ma può avere anche altri compiti molto più dannosi (cancellare o rovinare dei file, formattare l'hard disk, aprire delle backdoor, far apparire messaggi, disegni o modificare l'aspetto del video, ...)
La diffusione di massa di Internet nella fine degli anni 90 determina la modifica delle tecniche di propagazione: non più su floppy ma via e-mail. Tra quelli di maggior spicco si ricorda il famoso I Love You del 2000, che dà il via al periodo degli script virus, i più insidiosi tra i virus diffusi attraverso la posta elettronica perché sfruttano la possibilità, offerta da diversi programmi come Outlook e Outlook Express di eseguire istruzioni attive (dette script), contenute nei messaggi di posta elettronica scritti in HTML per svolgere azioni potenzialmente pericolose sul computer del destinatario. I virus realizzati con gli script sono i più pericolosi perché possono attivarsi da soli appena il messaggio viene aperto per la lettura. I Love You si diffuse attraverso la posta elettronica in milioni di computer di tutto il mondo, al punto che per l'arresto del suo creatore, un ragazzo delle Filippine, dovette intervenire una squadra speciale dell’FBI. Era un messaggio di posta elettronica contenente un piccolo programma che istruiva il computer a rimandare il messaggio appena arrivato a tutti gli indirizzi contenuti nella rubrica della vittima, in questo modo generando una specie di catena di Sant’Antonio automatica che alla fine mandava in tilt i server di posta.
Nel 2004 SQL/Slammer, il più rapido worm della storia, in quindici minuti dopo il primo attacco aveva già fatto infettato metà dei server che tenevano in piedi internet mandando in tilt i bancomat della Bank of America, spegnendo il servizio di emergenza 911 a Seattle e provocando la cancellazione per continui inspiegabili errori nei servizi di biglietteria e check-in.
Ogni sistema operativo che permette l'esecuzione di programmi scritti da terzi è un potenziale sistema attaccabile da virus, però bisogna anche riconoscere che ci sono sistemi operativi meno sicuri di altri. I sistemi operativi della Microsoft sono i più colpiti dai virus (anche a causa della loro diffusione tra un pubblico di 'non addetti ai lavori'. Sui sistemi basati sul Linux e su Mac la diffusione di un virus è molto improbabile se il sistema è gestito correttamente dal proprietario; inoltre, su questi sistemi un virus molto difficilmente può riuscire a causare danni al sistema operativo.
Falsi virus
La scarsa conoscenza dei meccanismi di propagazione dei virus e il modo con cui spesso l'argomento viene trattato dai mass media favoriscono la diffusione tanto dei virus informatici quanto dei virus burla, detti anche hoax: sono messaggi che avvisano della diffusione di un fantomatico nuovo terribile virus con toni catastrofici e invitano il ricevente ad inoltrarlo a quante più persone possibile. È chiaro come questi falsi allarmi siano dannosi in quanto aumentano la mole di posta indesiderata e diffondono informazioni false, se non addirittura dannose.
Sintomi più frequenti di infezione
·         Rallentamento del computer: il computer lavora molto più lentamente del solito. Impiega molto tempo ad aprire applicazioni o programmi. Il sistema operativo impiega molto tempo ad eseguire semplici operazioni che solitamente non richiedono molto tempo;
·         Impossibilità di eseguire un determinato programma o aprire uno specifico file;
·         Scomparsa di file e cartelle: i file memorizzati in determinate cartelle (di solito quelle appartenenti al sistema operativo o a determinate applicazioni) sono scomparse perché cancellate dal virus. Potrebbero scomparire intere cartelle e directory;
·         Impossibilità di accesso al contenuto di file: all'apertura di un file, viene visualizzato un messaggio di errore o semplicemente risulta impossibile aprirlo. Un virus potrebbe aver modificato la File Allocation Table (FAT) provocando la perdita degli indirizzi che sono il punto di partenza per la localizzazione dei file;
·         Messaggi di errore inattesi o insoliti: visualizzazione di finestre di dialogo contenenti messaggi assurdi, buffi, dispettosi o aggressivi;
·         Riduzione di spazio nella memoria e nell’hard disk: riduzione significativa dello spazio libero nell’hard disk; quando un programma è in esecuzione, viene visualizzato un messaggio indicante memoria insufficiente per farlo (sebbene questo non sia vero e ci siano altri programmi aperti);
·         Settori difettosi: un messaggio informa dell’esistenza di errori nella parte di disco sulla quale si sta lavorando e avverte che il file non può essere salvato o che non è possibile eseguire una determinata operazione;
·         Modifiche delle proprietà del file: il virus modifica alcune o tutte le caratteristiche del file che infetta. Di conseguenza risultano non più corrette o modificate le proprietà associate al file infettato. Tra le proprietà più colpite: data/ora (di creazione o dell’ultima modifica), la dimensione…;
·         Errori del sistema operativo: operazioni normalmente eseguite e supportate dal sistema operativo determinano messaggi di errore, l’esecuzione di operazioni non richieste o la mancata esecuzione dell’operazione richiesta;
·         Duplicazione di file: se ci sono due file con lo stesso nome ma con estensione rispettivamente EXE e COM, quello con estensione COM sarà un virus. I virus fanno così perché in caso di presenza di due file con lo stesso nome il sistema operativo eseguirà sempre per primo quello con estensione COM;
·         Ridenominazione di file: un virus può rinominare i file infettati e/o file specifici;
·         Problemi di avvio del computer: il computer non si avvia o non si avvia nella solita maniera;
·         Blocchi del computer: nonostante l’apertura di pochi o nessun programma e la mancanza di un pesante carico sul sistema, questo si blocca (‘crasha’), rendendo necessario l’utilizzo del Task Manager per rimuovere il task bloccato o riavviare il computer;
·         Interruzione del programma in esecuzione senza che l’utente abbia eseguito operazioni inaspettate o fatto qualcosa che potrebbe aver provocato questo risultato;
·         Apertura e chiusura del lettore Cd/DVD senza intervento dell’utente;
·         Tastiera e/o mouse non funzionanti correttamente: la tastiera non scrive ciò che è digitato dall’utente o esegue operazioni non corrispondenti ai tasti premuti. Il puntatore del mouse si muove da solo o indipendentemente dal movimento richiesto dall’utente;
·         Scomparsa di sezioni di finestre: determinate sezioni (pulsanti, menu, testi ecc…) che dovrebbero apparire in una particolare finestra sono scomparse o non vengono visualizzate. Oppure, in finestre nelle quali non dovrebbe apparire nulla, appaiono invece icone strane o con contenuto insolito (ad esempio nella taskbar di Windows
·         Riavvio spontaneo del computer;
·         Antivirus disattivato automaticamente;
·         Programmi all'improvviso non più funzionanti o mal funzionanti;
·         Lentezza della connessione Internet;
·         Emissione da parte del computer di suoni insoliti;
·         Microsoft Internet Explorer si blocca o comunque funziona male dando continui errori (ad esempio non riesce a chiudere la finestra delle applicazioni)
Si tenga comunque presente che i sintomi appena descritti potrebbero essere riconducibili a cause diverse da virus. Nel caso di presenza di uno o più di questi sintomi, è comunque consigliabile l'esecuzione di una scansione antivirus del sistema;
Worm
Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.
Questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di social engineering, oppure sfruttano dei difetti (bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
Modalità di diffusione
Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.
Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma maligno ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Tutti i worm più recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo è falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.
Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.
La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.
Danni causati dai worm
Possiamo grossolanamente dividere gli effetti nocivi cagionati da un worm in due tipologie: danni diretti, causati dall'esecuzione del worm sulla macchina vittima, e danni indiretti, derivanti dalle tecniche utilizzate per la diffusione.
Danni diretti
Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. Molto di frequente un worm funge da veicolo per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.
Danni indiretti
I danni indiretti sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. Come già accennato infatti la diffusione di un worm genera un enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note di alcuni software causano invece malfunzionamenti di tali programmi, con conseguenze quali l'instabilità del sistema operativo e a volte spegnimenti e riavvii forzati.
Trojan horse
Software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore.
Un trojan o trojan horse, è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto. Non possiede funzioni di auto-replicazione, quindi per diffondersi deve essere consapevolmente inviato alla vittima. Il nome deriva dal famoso cavallo di Troia.
Metodo di diffusione
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima. A volte agiscono insieme: un worm viene iniettato in rete con l'intento di installare dei trojan sui sistemi. Spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti. Vengono in genere riconosciuti da un antivirus aggiornato come tutti i malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, è possibile che esso venga rilevato, con la scansione euristica, come probabile malware.
Utilizzo
Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.
All'incirca negli anni successivi al 2001 o 2002 i trojan incomiciarono ad essere utilizzati sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o anche solo indirizzi email.
Backdoor
Letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione e consentono di superare in parte o in tutto le procedure di sicurezza attivate nel sistema. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione mentre più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario.
Adware
Il termine adware (in inglese, contrazione di advertising-supported software, software sovvenzionato dalla pubblicità) indica quei programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del pc e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
Gli autori di questi software includono codici aggiuntivi che inviano pubblicità visibili sotto forma di finestre di pop-up o attraverso una barra che compare sullo schermo del computer. La presenza di adware all’interno di un software viene giustificata dal fatto che coprono alcuni costi di sviluppo del programma aiutando così a contenere il prezzo per l’utente. Gli adware sono stati criticati perchè di solito includono codici che tracciano informazioni personali riguardanti l’utente e le passano a terze parti senza il suo consenso; per questa ragione vengono spesso indicati anche come spyware ed hanno suscitato molte preoccupazioni per la tutela della privacy. L’impiego di una connessione Internet in background deve essere sempre preceduto da clausole di accordo veritiere sull’impiego proposto, seguite da una prova di esplicito e informato consenso per tale uso. I contratti di licenza d'uso consultabili dall'utente; in certi casi, però, sono resi spropositatamente lunghi e presentati con linguaggio vago e fumoso, con la conseguenza che molti utenti procedono con l'installazione senza aver ben compreso i termini di licenza. Comunque, qualsiasi software che non presenti un contratto di licenza viene giustamente definito spyware. Un certo numero di applicazioni software, incluse Ad-Aware e SpyBot sono disponibili in versione freeware per aiutare gli utenti informatici a cercare sui loro computer eventuali programmi spyware installati e a rimuoverli.
Sicurezza
Talvolta i programmi adware presentano rischi per la stabilità e la sicurezza del computer: alcuni di essi aprono continuamente popup pubblicitari che rallentano notevolmente le prestazioni della macchina, altri modificano le pagine html direttamente nelle finestre del browser per includere link e messaggi pubblicitari propri, con la conseguenza che all'utente viene presentata una pagina diversa da quella voluta dall'autore. Molti adware inoltre comunicano le abitudini di navigazione dell'utente a server remoti. Non è facile, ed a volte quasi impossibile, essere a conoscenza di quali dati vengano inviati e ricevuti attraverso tale connessione, dati che possono essere potenzialmente dannosi se ricevuti o che violano la privacy se inviati.
Per questo motivo, negli ultimi anni molti antivirus hanno iniziato a classificare vari adware come software rischiosi e ne bloccano preventivamente l'installazione, chiedendo una conferma di procedere all'utente.
Spyware
Uno spyware è un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete, ecc.) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata. I programmi per la raccolta di dati che vengono installati con il consenso dell'utente (anche se spesso negando il consenso non viene installato il programma) non sono propriamente spyware, sempre che sia ben chiaro all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga (purtroppo ciò avviene molto raramente).
In un senso più ampio, il termine spyware è spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l'installazione di dialer truffaldini per numeri a tariffazione speciale.
Diffusione
Gli spyware, a differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente, quindi richiedono l'intervento dell'utente per essere installati. In questo senso sono dunque simili ai trojan. Uno spyware può essere installato sul computer di un ignaro utente sfruttando le consuete tecniche di ingegneria sociale. Molti programmi offerti "gratuitamente" su Internet nascondono in realtà un malware di questo tipo: il software dunque non è gratuito, ma viene pagato attraverso un'invasione della privacy dell'utente, spesso inconsapevole. In alcuni casi, la stessa applicazione che promette di liberare dagli spyware ha in realtà installato spyware o è essa stessa uno spyware.
Talvolta l'installazione di spyware viene eseguita in maniera ancora più subdola, attraverso pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser o dei loro plug-in.
Alcuni spyware vengono eseguiti solo quando si utilizza l'applicazione di cui fanno parte e con cui sono stati installati e la loro esecuzione cessa nel momento in cui si chiude detto programma. Molti hanno invece un comportamento più invasivo, simile a quello di molti trojan o worm: modificano infatti il sistema operativo del computer ospite in modo da essere eseguiti automaticamente ad ogni avvio.
In alcuni casi il meccanismo dei cookies può assumere connotazioni e scopi simili a quelli degli spyware, ma generalmente con rischi nettamente più limitati per l'utente e con efficacia limitata al sito Web che li usa.
Danni causati
Gli spyware costituiscono innanzi tutto una minaccia per la privacy dell'utente, in quanto carpiscono senza autorizzazione informazioni sul suo comportamento quando connesso ad Internet: tempo medio di navigazione, orari di connessione, siti Web visitati, se non dati più riservati come gli indirizzi e-mail e le password. Le informazioni raccolte vengono inviate ad un computer remoto che provvede ad inviare pubblicità mirata sulle preferenze ricavate dall'analisi del comportamento di navigazione. Gli annunci possono essere ricevuti sotto forma di pop-up, banner nei siti Web visitati o nel programma contenente lo spyware o, nei casi più invasivi, posta elettronica non richiesta (spam). Talvolta lo spyware è utilizzato da vere e proprie organizzazioni criminali, il cui obiettivo è utilizzare le informazioni raccolte per furti di denaro tramite i dati di home banking o tramite i numeri di carta di credito.
Questi malware portano con sé anche delle conseguenze sul funzionamento del computer su cui sono installati. I danni vanno dall'utilizzo di banda della connessione ad Internet, con conseguente riduzione della velocità percepita dall'utente, all'occupazione di cicli di CPU e di spazio nella memoria RAM, fino all'instabilità o al blocco del sistema. Tali conseguenze sono effetti collaterali dell'attività principale degli spyware, ossia quella della raccolta di informazioni. Nessuno spyware ha lo scopo di rendere inutilizzabile il sistema su cui è installato, dato che esso deve essere funzionante per consentire la raccolta e l'invio delle informazioni. Malfunzionamenti sono tuttavia piuttosto comuni, soprattutto nel caso si accumulino molti spyware.
I sistemi Windows non protetti, se usati con inconsapevole leggerezza, possono accumulare centinaia di spyware. La presenza di una tale mole di applicazioni indesiderate causa una notevole diminuzione delle prestazioni del sistema e considerevoli problemi di stabilità. Un altro sintomo comune di una grave infezione da spyware è la difficoltà di connettersi ad Internet, oppure la presenza di tentativi di connessione non richiesti dall'utente.
Spesso tali malfunzionamenti vengono attribuiti dall'utente a difetti del sistema operativo, a problemi hardware o a virus, causando quindi azioni radicali come la formattazione e reinstallazione del sistema operativo o il ricorso all'assistenza tecnica, con notevoli perdite di tempo e di denaro.
Alcuni spyware inducono perfino a credere che l'eventuale firewall installato sul computer stia funzionando male, simulando messaggi di errore di applicazioni legittime allo scopo di indurre l'utente a concedere l'accesso ad Internet al componente spyware, se non addirittura a disabilitare o disinstallare il firewall stesso.
Strumenti di difesa
L'arma migliore per difendersi dagli spyware è diffidare di qualsiasi software offerto gratuitamente su Internet: come detto l'inclusione in programmi molto scaricati è il mezzo più frequente di diffusione di questi malware. Evitare di visitare siti "sospetti", come quelli che offrono software pirata o crack è un'altra precauzione salutare, così come l'astenersi dal seguire i link contenuti nei messaggi di spam (posta indesiderata) ricevuti nella casella di posta elettronica. Mantenere sempre il proprio sistema operativo aggiornato con le patch rilasciate dal produttore può spesso prevenire l'installazione di spyware che sfruttino di vulnerabilità del sistema (va sottolineato, tuttavia, che si sono avuti esempi di spyware o malware in grado di sfruttare vulnerabilità per le quali il produttore non aveva ancora rilasciato una patch).
Non tutti i software gratuiti nascondono spyware: in rete si possono trovare molti programmi gratuiti che nulla hanno a che vedere con gli spyware, in particolare i programmi cosiddetti open source. Mentre i software distribuiti gratuitamente secondo il modello di freeware possono contenere spyware (e non essere del tutto gratis), i programmi open source vengono distribuiti come codice sorgente: la disponibilità di codice analizzabile rende molto improbabile che istruzioni deliberatamente maligne possano passare a lungo inosservate. L'open source rappresenta pertanto un terreno alquanto improduttivo per i creatori di spyware.
Un discreto livello di protezione contro l'azione degli spyware può essere offerto dall'installazione di un personal firewall, che permette in alcuni casi di negare l'accesso ad Internet ad applicazioni sospette. La presenza di un antivirus può non essere sufficiente a proteggere dagli spyware, dato che essi non sono virus o worm; va tuttavia sottolineato che molti antivirus hanno da tempo integrato il riconoscimento preventivo degli spyware nelle funzionalità del proprio motore di scansione. Esistono inoltre specifici programmi antispyware, e cioè concepiti appositamente per rilevare e cancellare spyware dal sistema. Bisogna tuttavia tenere presente che la rimozione di un componente spyware potrebbe causare il malfunzionamento del software di cui esso faceva parte, e che non tutti gli spyware vengono sempre riconosciuti o rimossi da antivirus e antispyware.
Come risulta chiaramente, non esiste un modo per difendersi completamente dallo spyware, esistono comportamenti e tecniche per limitarne il raggio d'azione. Ad oggi una delle maggiori minacce alla diffusione dello spyware è dovuta all'utilizzo di browser particolarmente vulnerabili come le vecchie versioni di Microsoft Internet Explorer, oppure non aggiornati e conseguentemente non protetti.
Dialer
Questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo truffaldino, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.
In inglese to dial significa comporre, ma per quanto le diverse accezioni del termine esistano anche nella lingua originale, comunemente si intendono programmi associati a elevate tariffazioni, spesso nascondendo frodi e truffe. Nel senso più tecnico del termine, esistono comunque dialer legittimi.
Dialer legittimi
I dialer, letteralmente "compositori" di numeri telefonici, sono speciali programmi autoeseguibili che alterano i parametri della connessione a internet eventualmente predefinita sul computer dell'utente, agendo sul numero telefonico del collegamento e sostituendolo con un altro numero.
Diversi sistemi operativi contengono già un programma che permettere connessioni la linea telefonica. Spesso i provider di accesso a Internet forniscono un CD-ROM di installazione per semplificare il processo di configurazione del dialer che si occuperà della connessione ad Internet. Tale configurazione può essere impostata manualmente inserendo il numero telefonico ed eventualmente nome utente e password.
Dialer illegali
La maggioranza dei dialer illegali sono creati per connettersi a numeri a tariffazione speciale, ad insaputa dell'utente. Solo una frazione limitata di questi dispositivi contiene l'indicazione corretta e visibile del costo, mentre la maggior parte dei dialer impostati per connettersi a numeri a tariffazione speciale utilizza metodi illegali, rientrando così nel reato di truffa.
Il metodo meno invasivo che questi software maligni usano per convincere l'utente ad installarli è fornire informazioni incomplete. Sono numerosi i siti Web che promettono loghi e suonerie per il telefono cellulare, canzoni e file mp3, ricette culinarie, immagini pornografiche gratuitamente, a patto che il navigatore installi un certo programma, anch'esso offerto gratuitamente. Il programma è in realtà un dialer che si connette a numeri telefonici dall'elevato costo (anche 3 euro/minuto), di solito un file .exe (ossia un file eseguibile). Le informazioni sul prezzo e sul numero chiamato sono spesso assenti o nascoste, inducendo di fatto l'utente a credere che i servizi offerti siano effettivamente gratuiti.
La maggior parte dei dialer maligni usa però metodi ancora più discutibili:
  • sfruttano i bug dei browser o dei programmi di posta elettronica per installarsi automaticamente, in maniera analoga a trojan e spyware;
  • disabilitano l'altoparlante del modem e i messaggi che normalmente appaiono durante la connessione, in modo che l'utente non si accorga della disconnessione o della composizione di un numero diverso da quello dell'ISP dai toni dei numeri durante la composizione;
  • si sostituiscono alla connessione predefinita, in modo da essere utilizzato inconsapevolmente dall'utente ad ogni collegamento ad Internet, con risultati devastanti per le finanze della vittima;
  • tentano inoltre di impedire la propria disinstallazione, avviando automaticamente all'avvio un processo che provvede alla reinstallazione qualora l'utente tenti di cancellare il malware (anche questo comportamento è simile a quello di spyware e trojan).
Identificazione
In aggiunta alle precauzioni esposte per gli spyware, è utile controllare periodicamente che la connessione predefinita utilizzi il numero fornito dal proprio provider e chiedere la disattivazione dei numeri a valore aggiunto al gestore telefonico. In aggiunta si possono utilizzare appositi programmi specifici antidialer che bloccano la connessione ai numeri non espressamente autorizzati.
Poiché i dialer non sono veri e propri virus (non ne hanno la struttura e non funzionano allo stesso modo), è generalmente improbabile che anche il migliore degli antivirus ne riconosca sempre la presenza o ne blocchi il funzionamento.
Hijacker
Con il termine hijacker (o hijackware) si indica un particolare tipo di malware che altera i settaggi del vostro browser in modo tale da indirizzarvi su siti che non avete intenzione di visitare.
La maggior parte dei browser hijacker modificano le home page di default e la ricerca delle pagine, indirizzandola verso le pagine dei loro clienti che pagano per questo servizio di generazione di traffico.
Si incontrano però spesso anche versioni più virulente: aggiungono bookmark per siti pornografici alla lista dei preferiti.
Generano finestre di pop-up con immagini pornografiche più veloci dell’utente che deve cliccare per chiuderle e ridirigono gli utenti verso siti pornografici quando inavvertitamente digitano una URL sbagliata o inseriscono URL senza il prefisso “www.”.
Alcuni Hijacker possono anche rendere il vostro computer più lento e provocare malfunzionamenti del browser.
I browser hijacker e la scia di materiale pornografico che spesso lasciano dietro di sé sono anche responsabili di una grande varietà di problemi non tecnici (dipendenti licenziati a causa dei testi e dei link trovati nei loro computer al lavoro, persone accusate di possesso di materiale illegale, relazioni personali messe a dura prova, ecc.).
Come gli adware e gli spyware, un browser hijacker può essere installato come parte di un freeware.
In questo caso, l’hijacker è probabilmente citato nelle clausole di consenso anche se, ovviamente, non verrà indicato apertamente come hijacker. Un hijacker può anche essere installato senza autorizzazione da parte dell’utente, come risultato di un messaggio e-mail infetto o un file-sharing. Per evitare qualsiasi infezione è consigliabile leggere attentamente le clausole di consenso e di prestare molta cautela nei confronti dei download di freeware e dei messaggi di posta elettronica provenienti da sconosciuti. 

Rootkit
Per rootkit s'intende una raccolta di tool (programmi) che permettono l'accesso non autorizzato ad un computer o ad una rete a livello d'amministratore di sistema. Una volta installato, il rootkit permette a chi compie l’attacco di mascherare l’intrusione e ottenere un accesso privilegiato al computer e, possibilmente, ad altre apparecchiature sulla rete.
I rootkit non sono dannosi in se ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
Batch
I batch sono i cosiddetti "virus amatoriali". Non sono file pericolosi per definizione in quanto l’uso normale dei file batch è tutt'altro che dannoso, il problema arriva quando un utente decide di crearne uno che esegua, per esempio, il comando di formattare il pc (o altre cose dannose) dell'utente a cui viene mandato il file. Non si apre automaticamente, deve essere l'utente ad aprirlo, perciò dato che l'antivirus non rileva i file batch come pericolosi è sempre utile assicurarsi che la fonte che vi ha mandato il file sia attendibile oppure aprirlo con blocco note per verificare o meno la sua pericolosità.
Keylogger
I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o con il “copia e incolla” rendendo così possibile il furto di password o di dati. La differenza con gli adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da chi ha accesso diretto al pc o attraverso l'accesso remoto.
Tipologia
Esistono vari tipi di keylogger:
  • hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o all'interno della tastiera
  • software: programmi che controllano e salvano la sequenza di tasti che viene digitata da un utente.
Keylogger hardware
I keylogger hardware sono molto efficaci in quanto la loro installazione è molto semplice e il sistema non è in grado di accorgersi della loro presenza. Quando installati fra la tastiera e il PC hanno le sembianze di un adattatore o appaiono dei cavi di prolunga. Quando sono nascosti nella tastiera risultano del tutto invisibili. Il vantaggio dei keylogger hardware risiede nel fatto che sono completamente indipendenti dal sistema operativo e sono in grado di intercettare anche le password di bootstrap. Questi keylogger memorizzano i tasti premuti o li inviano a dispositivi wireless. Per leggere il contenuto dei dati memorizzati localmente di solito si utilizza una combinazione di tasti o si lancia uno specifico software.
Keylogger software
I keylogger software sono invece semplici programmi che rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad un computer remoto.
Un programma di keylogging può sovrapporsi fra il browser ed il World Wide Web. In questo caso intercetta le password, comunque vengano inserite nel proprio PC. La password viene catturata indipendentemente dalla periferica di input (tastiera, mouse, microfono): sia che l'utente la digiti da tastiera, sia che l'abbia salvata in un file di testo prima di collegarsi a Internet, e poi si limiti a fare copia/incolla, in modo da evitarne la digitazione, sia questa venga inserita da un programma di dettatura vocale.
Anche in caso di connessione sicura (cifrata), se sul computer è presente un keylogger che invia le password in remoto, tali password potranno essere utilizzate dalla persona che le riceve.
Rabbit

 

In informatica, i rabbit (detti anche bacteria) sono un tipo di malware che attacca le risorse del sistema duplicando in continuazione la propria immagine su disco, o attivando nuovi processi a partire dal proprio eseguibile, in modo da consumare tutte le risorse disponibili sul sistema in pochissimo tempo. Il nome si riferisce proprio alla prolificità di questo "infestante". Si distinguono dai virus in quanto non "infettano" gli altri file.
Rogue antispyware
Malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma.

Aspetti sulla Privacy

Facebook

La policy ufficiale di Facebook dice, tra le altre cose, abbastanza chiaramente che:
Il copyright di ogni cosa pubblicata su facebook dagli utenti, ricade sotto il completo controllo di Facebook.
Non è garantita la sicurezza delle applicazioni, né quella dei dati né tantomeno la privacy.
Ogni informazione fornita a Facebook come feedback, commento, idea per miglioramento viene considerata da Facebook come non-confidenziale e diventa di loro proprietà.
Inoltre sul sito stesso di Facebook è scritto che oltre alle informazioni immesse dall'utente (nome, indirizzo email, numero di telefono e così via), vengono registrati ad ogni accesso l'indirizzo IP e le informazioni relative al browser utilizzato. Il nome dell’utente, i nomi delle reti di cui si fa parte e l'indirizzo e-mail saranno utilizzabili per comunicazioni di servizi offerti da Facebook e possono essere messe a disposizione di motori di ricerca di terzi. Le condizioni di accesso al servizio di Facebook conferiscono al sito il diritto di trasmettere a terzi le informazioni presenti nel profilo di un utente.
Di più, i contenuti pubblicati dagli iscritti (come fotografie, video e commenti) sono proprietà del sito. Caso raro in giurisprudenza, il sito si dichiara proprietario, ma non responsabile dei contenuti, e, come molti altri content provider, rifiuta di censurare o limitare la visibilità di contenuti e gruppi, respinge le critiche in merito a contenuti diffamatori, che istigano a reati penali, e alle richieste di risarcimento dei danni che possono essere mosse in tali circostanze. La proprietà dei contenuti comporta che il sito è libero di rivenderli e trasmetterli a terzi, e di conservarli anche dopo la cancellazione del profilo degli utenti senza alcuna conseguenza legale.
Due studenti del Massachusetts Institute of Technology riuscirono a scaricare più di 70.000 profili di Facebook utilizzando un batch script automatico. Nel maggio del 2008 un programma della BBC, Click, mostrò che era possibile sottrarre i dati personali di un utente e dei suoi amici con delle applicazioni maligne.

Ingegneria sociale

Nel campo della sicurezza delle informazioni per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni.
Nel caso in cui non possano essere sfruttati i bug dei programmi, un modo per procurarsi informazioni in maniera illecita è quello di attuare un attacco di ingegneria sociale.
Un social engineer deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Fingendosi un'altra persona egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni ad alto livello. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.
Le fasi dell'attacco
Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.
Phishing
In ambito informatico il phishing ("spillaggio", in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto d'identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
Metodologia di attacco
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
  1. l'utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di un’istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
  3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare un’autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Talora, l'e-mail contiene l'invito a cogliere una nuova "opportunità di lavoro", a dare le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi trasferite ad altri conti, trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto online.
Si tratta del denaro rubato con il phishing, per il quale il titolare del conto online, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest'attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro in molti conti correnti e a fare girate in differenti Paesi, perché diviene più difficile risalire al suo conto e dati identificativi.
Risarcimento del danno
Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell'account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito.
Difesa
Banche, istituzioni o internet provider non fanno mai richiesta dei dati personali per mezzo di una e-mail indirizzata alla casella di posta personale.
Per eventuali comunicazioni, i soggetti sopra citati possono utilizzare un account istituzionale accessibile solo dal loro sito, ma non la e-mail personale del cittadino.
Normalmente, il phisher non conosce se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di email, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato. Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'email che contiene il tentativo di spillaggio.
Un primo controllo per difendersi dai siti di spillaggio, è quello di visualizzare l'icona, a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione con protocolli SSL/TLS oppure OpenSSL. Tale connessione garantisce la riservatezza dei dati, mentre la loro integrità e l'autenticazione della controparte avvengono solo in presenza della firma digitale, che è opzionale e non segnalata.
Alcuni siti hanno una barra antiphishing specifica che controlla l'autenticità di ogni pagina scaricata dal sito, ad esempio tramite la firma digitale.
Un'altra tecnica di spillaggio consiste nell'inserimento di applicativi di keylogging. In questo caso, i link possono rimandare al sito originale, non necessariamente a un'imitazione, e lo spillaggio dei dati avviene al momento del loro inserimento da tastiera. Queste righe di codice possono essere eseguite con l'apertura di alcuni link, ovvero con la lettura della stessa e-mail, se il programma di posta o l'Internet Service Provider non adottano protezioni sufficienti.
Gli utenti di Internet Explorer possono utilizzare un filtro anti-spillaggio che utilizza una blacklist, e confronta gli indirizzi di una pagina web sospetta con quelli presenti in una banca dati mondiale e centralizzata, gestita da Microsoft e alimentata dalle segnalazioni anonime degli utenti stessi.
Analoga protezione è presente in Mozilla Firefox (a partire dalla versione 2), che propone all'utente di scegliere tra la verifica dei siti sulla base di una blacklist e l'utilizzo del servizio anti-spillaggio offerto da Google.
Mancano invece banche dati di questo tipo condivise dai vari produttori di browser, pubbliche o istituite presso autorità che hanno la competenza sulle tematiche di Internet e del web (in Italia, la Polizia Postale).
L'oscuramento di un sito di spillaggio è a cura del fornitore della connessione internet ma non è quasi mai un'operazione semplice. Tra l’altro, il sito oscurato può essere comunque velocemente associato ad un altro indirizzo web.
All'utente medio resta comunque difficile distinguere un sito di phishing da quello dell'istituto di credito preso di mira. La barra degli indirizzi può contenere un indirizzo del tipo Nome della Banca.autethicationPage.php@indirizzo del dominio ospitante, rendendo l'indirizzo della risorsa di "phishing" simile e poco più lungo di quello che è stato falsificato.
Spam
Lo spamming (detto anche fare spam o spammare) è l'invio di grandi quantità di messaggi indesiderati (generalmente commerciali). Può essere messo in atto attraverso qualunque media, ma il più usato è Internet, attraverso l'e-mail.
Origine del termine
Il termine trae origine da uno sketch comico del Monty Python's Flying Circus ambientato in un locale nel quale ogni pietanza proposta dalla cameriera era a base di Spam (un tipo di carne in scatola). Man mano che lo sketch avanza, l'insistenza della cameriera nel proporre piatti con "spam" ("uova e spam, uova pancetta e spam, salsicce e spam" e così via) si contrappone alla riluttanza del cliente per questo alimento, il tutto in un crescendo di un coro inneggiante allo "spam" da parte di alcuni Vichinghi seduti nel locale.
I Monty Python prendono in giro la carne in scatola Spam per l'assidua pubblicità che la marca era solita condurre. Nel periodo dell'immediato dopo II guerra mondiale, questo alimento costava poco ed era parte integrante della dieta della famiglia tipica inglese, specialmente a prima colazione per l'English breakfast. Il contenuto e l'origine della carne 'spam' era un mistero. Ma sicuramente, in un certo periodo la Spam era ovunque, da qui lo sketch dei Monty's e successivamente l'adattamento informatico alla pubblicità non desiderata.
Scopi
Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica, da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammer, cioè l'individuo autore dei messaggi spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono spesso raccolti in maniera automatica dalla rete mediante spambot ed appositi programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.
Per definizione lo spam viene inviato senza il permesso del destinatario ed è un comportamento ampiamente considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato.
Un gran numero di spammer utilizza intenzionalmente la frode per inviare i messaggi, come l'uso di informazioni personali false (come nomi, indirizzi, numeri di telefono) per stabilire account disponibili presso vari ISP. Spesso vengono sfruttate connessioni Internet con scarsa sicurezza, che possono essere facilmente utilizzate per inviare spam da account di ignari utenti. Entrambe queste forme di spamming "nascosto" sono illegali, tuttavia gli autori sono raramente perseguiti per l'impiego di queste tattiche.
I mittenti di e-mail pubblicitarie affermano che ciò che fanno non è spamming. Quale tipo di attività costituisca spamming è materia di dibattiti, e le definizioni divergono in base allo scopo per il quale è definito, oltre che dalle diverse legislazioni. Lo spamming è considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati è soggetto a sanzioni.
Spamming attraverso E-Mail
I più grandi ISP come America OnLine riferiscono che una quantità che varia da un terzo a due terzi della capacità dei loro server di posta elettronica viene consumata dallo spam. Siccome questo costo è subito senza il consenso del proprietario del sito, e senza quello dell'utente, molti considerano lo spam come una forma di furto di servizi. Molti spammer mandano i loro messaggi attraverso gli open mail relay. I server utilizzati dagli ISP richiedono una qualche forma di autenticazione che garantisca che l'utente sia un cliente dell'ISP. I server open relay non controllano correttamente chi sta usando il server e inviano tutta la posta al server di destinazione, rendendo più difficile rintracciare lo spammer.
Spamming per interposta persona
Lo spamming per interposta persona è un mezzo più subdolo utilizzato sfruttando l'ingenuità di molta gente. Per l'esattezza si intende di solito l'invio di Email commerciali ad alcuni destinatari conosciuti e magari regolarmente iscritti ad una newsletter dello spammer invitandoli a far conoscere una certa promozione ad uno o più persone conosciute dall'ingenuo destinatario, invogliandolo magari con qualche piccolo compenso, oppure facendo leva sull’emotività dell’involontario complice.
Grazie a questo sistema sarà l'ingenuo destinatario a "spammare" altre caselle di posta di suoi conoscenti e quindi coprendo colui che c'è dietro e che guadagnerà da questo comportamento.
I costi
Per gli ISP lo spam è un costo in termini di utilizzo della banda (che gli ISP pagano) ed in termini di immagine verso i propri utenti che spesso sono infastiditi dallo spam perché allunga i tempi che usano per leggere i loro messaggi di e-mail.
Economia
Siccome lo spam è economico da inviare, un ristretto numero di spammer può saturare Internet con la loro spazzatura. Nonostante solo un piccolo numero dei loro destinatari sia intenzionato a comprare i loro prodotti, ciò consente loro di mantenere questa pratica attiva. Inoltre, sebbene lo spam appaia per un’azienda rispettabile una via economicamente non attuabile per fare business, è sufficiente per gli spammer professionisti convincere una piccola porzione di inserzionisti ingenui che è efficace per fare affari.
Difese contro lo spam
È presente un certo numero di servizi e software, spesso chiamati antispam, che i server e-mail e gli utenti possono utilizzare per ridurre il carico di spam sui loro sistemi e caselle di posta. Alcuni di questi contano sul rifiuto dei messaggi provenienti dai server conosciuti come spammer. Altri analizzano in modo automatico il contenuto dei messaggi e-mail ed eliminano o spostano in una cartella speciale quelli che somigliano a spam. Questi due approcci al problema sono talvolta definiti come bloccaggio e filtraggio. Ognuna delle tecniche ha i suoi difensori e vantaggi; mentre entrambe riducono l'ammontare di spam inviata alle caselle postali degli utenti, il bloccaggio permette di ridurre la banda sprecata, rifiutando i messaggi prima che siano trasmessi al server dell'utente. Il filtraggio tende ad essere una soluzione più accurata, poiché può esaminare tutti i dettagli del messaggio. Molti sistemi di filtraggio si avvantaggiano delle tecniche di apprendimento del software, che permette di aumentare la propria accuratezza rispetto al sistema manuale. Alcuni trovano questa tecnica troppo invadente nei riguardi della privacy, e molti amministratori preferiscono bloccare i messaggi che provengono dai server tolleranti nei confronti degli spammer.
Filtraggio statistico ed euristico - Fino a poco tempo fa, le tecniche di filtraggio facevano affidamento agli amministratori di sistema che specificavano le liste di parole o espressioni regolari non permesse nei messaggi di posta. Il server avrebbe scartato tutti i messaggi contenenti le parole incriminate. Lo svantaggio di questo filtraggio "statico" consiste nella difficoltà di aggiornamento e nella tendenza ai falsi positivi: è sempre possibile che un messaggio non-spam contenga quelle parole. Il filtraggio euristico, come viene implementato nel programma SpamAssassin, si basa nell'assegnare un punteggio numerico a frasi o modelli che si presentano nel messaggio. Quest'ultimo può essere positivo, indicando che probabilmente contiene spam o negativo in caso contrario. Ogni messaggio è analizzato e viene annotato il relativo punteggio, esso viene in seguito rifiutato o segnalato come spam se quest'ultimo è superiore ad un valore fissato. In ogni caso, il compito di mantenere e generare le liste di punteggi è lasciato all'amministratore. Il filtraggio statistico, usa metodi probabilistici, per predire se un messaggio è spam o no, basandosi su raccolte di email ricevute dagli utenti.
Tecniche miste - Da qualche tempo stanno crescendo vari sistemi di filtraggio che uniscono più tecniche di riconoscimento dello spam, in modo da un lato minimizzare il rischio di falsi positivi (ovvero email regolari scambiate erroneamente per spam), dall'altro per aumentare l'efficienza del filtraggio. Si può quindi pensare di combinare il filtraggio per DNSBL con quello euristico e statistico, come alcuni programmi iniziano a prevedere, e fare così in modo di unire i pregi di ogni metodo di filtraggio e contemporaneamente ridurre i rischi grazie ai controlli multipli.

I comportamenti contro lo spam
A parte l'installazione di software di filtraggio dalla parte degli utenti, ci si può proteggere dall'attacco dello spam in molti altri modi.
Mascherare il proprio indirizzo - Un modo in cui gli spammer ottengono gli indirizzi e-mail è il setaccio del Web per ricercare stringhe di testo che assomigliano a indirizzi. Perciò se l'indirizzo di una persona non è mai apparso in nessuna pagina web, non potrà essere trovata. Un sistema per evitare questa raccolta di indirizzi è falsificare i nomi e indirizzi di posta. Gli utenti che vogliono ricevere in modo legittimo posta riguardante il proprio sito Web possono alterare i loro indirizzi in modo tale che gli esseri umani possano riconoscerli ma i software degli spammer no. Per esempio, joe@example.net potrebbe venir modificato in joe CHIOCCIOLINA PUNTO example.net. Questo sistema, comunque, non sfugge ai cosiddetti "attacchi al dizionario" nei quali lo spammer genera un numero di indirizzi che potrebbero esistere, come adam@aol.com che, se esistesse, riceverebbe molto spam.

Bug e Javascript - Molti programmi di posta incorporano le funzionalità di un Web browser come la visualizzazione di codice HTML e immagini. Questa caratteristica può facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle e-mail di spam. In aggiunta, il codice HTML potrebbe contenere codice JavaScript per dirigere il browser dell'utente ad una pagina pubblicitaria o rendere il messaggio di spam difficile o impossibile da chiudere o cancellare. In alcuni casi, messaggi del genere contenevano attacchi ad alcune vulnerabilità che permettevano l'installazione di programmi di tipo spyware (alcuni virus informatici sono prodotti attraverso gli stessi meccanismi). Gli utenti possono difendersi utilizzando programmi di posta che non visualizzano HTML o allegati o configurarli in modo da non visualizzarli di default.

Evitare di rispondere - È ben noto che alcuni spammer considerano le risposte ai loro messaggi - anche a quelle del tipo "Non fare spam" - come conferma che l'indirizzo è valido e viene letto. Allo stesso modo, molti messaggi di spam contengono indirizzi o link ai quali viene indirizzato il destinatario per essere rimosso dalla lista del mittente. In svariati casi, molte persone che combattono lo spam hanno verificato questi collegamenti e confermato che non portano alla rimozione dell'indirizzo, ma comportano uno spam ancora maggiore.

Denunciare spam - La maggioranza degli ISP proibisce esplicitamente ai propri utenti di fare spam e in caso di violazione essi vengono espulsi dai loro servizi. Rintracciare l'ISP di uno spammer e denunciarlo spesso porta alla chiusura dell'abbonamento. Sfortunatamente, questo può essere difficile e anche se ci sono degli strumenti che possono aiutare, non sempre sono accurati. Il metodo più efficace per fermare gli spammer è di sporgere reclamo alle autorità competenti. Ciò richiede più tempo e impegno, però gli spammer vengono perseguitati legalmente e devono pagare multe e risarcimenti. In questo modo si annulla il vantaggio economico e può tradursi in una perdita economica.

Altre forme di spam

Wiki - Tutti i siti web che utilizzano il sistema wiki, come ad esempio Wikipedia, che dà ampie possibilità a un visitatore di modificare le proprie pagine, sono un bersaglio ideale per gli spammer, che possono avvantaggiarsi dell'assenza di un controllo continuo sul contenuto introdotto, per inserire i propri link pubblicitari. Sono stati creati filtri che impediscono la pubblicazione di determinati link proprio per arginare questo fenomeno. In molti casi lo scopo è quello di ottenere un miglioramento della visibilità del proprio sito sui motori di ricerca. Su Wikipedia questo fenomeno viene contrastato in modo deciso: i link esterni sono accompagnati dall'attributo "nofollow" che indica ai motori di ricerca di non seguire il link, le pagine vengono ripristinate alla loro versione precedente all'intervento e in caso di reiterati inserimenti l'indirizzo IP viene bloccato in scrittura.

Messaging spam - I sistemi di instant messaging sono un obiettivo comune tra gli spammer. Molti sistemi di messaging pubblicano il profilo degli utenti, includendo informazioni demografiche come l'età e il sesso. Coloro che fanno pubblicità possono impiegare queste informazioni, inserirsi nel sistema e mandare spam. Per contrastare ciò, alcuni utenti scelgono di ricevere messaggi solo dalle persone che conoscono. Nel 2002, gli spammer hanno iniziato usando il servizio di messaging integrato in Microsoft Windows, winpopup, che non è "MSN Messenger", ma piuttosto una funzione progettata per permettere ai server di inviare avvertimenti agli utenti delle workstation. I messaggi appaiono come delle normali dialog box e possono essere inviati usando qualunque porta NetBIOS, per questo il blocco delle porte provocate da un firewall comprende le porte da 135 a 139 e 445.
Forum - Nei forum spesso per spam si intende l'invio di link riferiti ad altri forum per fare arrivare utenti, molto spesso è possibile caricare la medesima discussione nello stesso forum per attirare ancora più utenti. Altre volte si intendono erroneamente come "spam" anche i messaggi inutili e/o privi di un qualsivoglia senso logico; in questo caso, tuttavia, il termine più adatto sarebbe "flood".
Blog - Con l'avvento ed il successo riscosso dai blog, non potevano mancare tecniche di spamming che riguardano anche questa nuova recente categoria di media. Oltre al semplice posting di link che reindirizzano il visitatore sui siti che lo spammer vuole pubblicizzare, è utilizzata la tecnica dell'inserimento continuo di messaggi pubblicitari.

eMule

eMule è il programma più scaricato in assoluto da SourceForge, con più di 527 milioni di download a maggio 2010.
Privacy
Il sistema dell'offuscamento spedisce in modo casuale i dati permettendo di aggirare in qualche modo i filtri utilizzati da alcuni provider che limitano il Peer2Peer consentendo agli utenti di usare la loro connessione a Internet e quindi di condividere i propri file. In ogni caso, prima di accusare il proprio gestore di filtraggio, è bene assicurarsi di aver impostato emule nel migliore dei modi (id, opzioni connessioni, fonti trovate e in coda nei valori consigliati, ecc).
A tutela della privacy, dal menu "Opzioni/Sicurezza" sono disponibili altre funzionalità: - identificazione sicura: il nome identificativo nella rete di Emule viene crittografato; - l'abilitazione di filtri antispam per la ricerca. Il programma chiederà di specificare un indirizzo Internet per l'aggiornamento automatico della Blacklist, un file di testo che riporta la "lista nera" dei siti sospettati di mettere in condivisione materiale corrotto (come virus, dialer o trojan rinominati come altri file), oppure di spiare cosa stanno scambiando gli altri computer (Sniffing). Il programma filtra questi indirizzi, ossia blocca in automatico tutte le connessioni in download e in upload a tali siti. Il filtro può anche essere esteso ai server di rete.
A completamento delle protezioni a tutela della privacy interne al programma, la tecnologia del proxy server permette di rendere anonima la propria navigazione, o di avere un IP difficilmente tracciabile, sia per una connessione da accesso remoto che ADSL.
Oltre ai problemi di sicurezza legati alla diffusione dei virus, l’utilizzo di eMule può presentare inconvenienti in altri casi.
Scaricare "falsi" - Può succedere che il file mutimediale scaricato, riveli un contenuto diverso da quello indicato nel nome. Per difendersi dai cosiddetti fake, si possono adottare una serie di accorgimenti:
  • leggere i commenti del file;
  • controllare il nome dato al file dalle varie fonti. Ogni utente IP identificherà il file con un nome diverso;
  • visualizzare un'anteprima del file, mentre il download non è ancora completato (tasto destro del mouse, File e Anteprima);
  • consultare un database dedicato come donkeyfakes.net.
Versioni non originali - Esistono alcune versioni modificate del programma che richiedono, affinché possano essere utilizzate, un pagamento in denaro. Altre versioni installano, all'insaputa dell'utente, dei programmi dannosi come malware e spyware. Ad esempio, il sito http://www.emule.org utilizza una grafica estremamente simile al vero sito ufficiale (http://www.emule-project.net), ma a differenza di questo, qualunque link ivi presente porta ad una pagina che richiede la registrazione dell'utente, mentre per utilizzare il vero eMule non è necessaria alcuna registrazione.
Nessun commento:
Iscriviti a: Post (Atom)