Panoramica sui Malware

Quando parliamo di sicurezza informatica, ci addentriamo in un argomento molto complesso dove termini come virus ed hacker sono solo una piccola parte. Cerchiamo di introdurre l’argomento.

Minacce, vulnerabilità, rischio

Per prima cosa, ci occorre comprendere il concetto di minaccia, vulnerabilità e rischio.

Una vulnerabilità, o bug  nel campo informatico, è la caratteristica intrinseca di un componente hardware o software, per cui risulta suscettibile a particolari situazioni che portano al guasto o al malfunzionamento/avaria, spesso improvviso (il classico crush), del componente hw/sw stesso o di un altro che si trova legato con quello buggato.

La minaccia è la causa che scatena un guasto hardware o malfunzionamento/crush software. Spesso deriva da problemi di implementazione del software o, in larga misura, da comportamenti sbagliati degli utenti che inseriscono dati errati o seguono procedure di utilizzo sbagliate. Gli hacker sono l’emblema della minaccia informatica visto che tentano di stressare il sistema al fine di penetrarlo e manometterlo.

Il rischio è la probabilità che una vulnerabilità sia rivelata da una minaccia che si presenta, intenzionale o meno. I rischi nella vita pratica sono il rischio di incendio se abbiamo sedie di legno e lavoriamo con combustibili e fiamme libere: non è detto che prenderanno fuoco ma il rischio esiste in virtù di una vulnerabilità nell’usare materiale che prende fuoco e una minaccia di usare fiamme libere. I rischi vanno minimizzati con buone pratiche, ma è impossibile azzerarli. Nel caso informatico, il rischio è di incorrere in avarie o brecce nel sistema informatico, con conseguente manomissione del software, hardware o dati.

Malware

Proviamo ora a catalogare le principali minacce. Parliamo di malware ed attacchi informatici.

Solitamente definiamo i malware come i virus, programmi che entrano e danneggiano il nostro pc in modo malevolo. In realtà, il virus è un tipo particolare di malware, poi sdoganato come termine generico/generalista.

Cerchiamo di distinguere tre categorie: malware software passivi, malware fisici o hardware e attacchi informatici attivi propriamente detti.

Malware passivi

Vediamo la prima categoria di malware passivi:

Virus

E’ il termine generico per indicare un software malevolo che viene installato su un pc e danneggia file dell’utente o del sistema operativo. Probabilmente più diffusi negli anni ’90, agli albori della rete in cui spesso gli hacker dal cappello bianco, i white hat hacker dimostravano le loro capacità di offesa attraverso questo genere di software. I primi virus erano particolarmente dannosi e potevano creare danni anche hardware su hard disk e sul bios.

Worm 

Come il virus, ma con la capacità di riprodursi e diffondersi attraverso email, social o altri sistemi di comunicazione come sms o chat. Ultimamente probabilmente si diffondono con le chat come Messenger, con i classici messaggi “Ehi sei tu quello in foto o video?” con lo scopo di far cliccare l’utente malcapitato iniettandogli qualche plugin malevolo nel browser.

Trojan / Backdoor 

Si legge trosgian! Non è un virus propriamente detto, nel senso che non fa di suo dei danni. Permette però di avere sul nostro dispositivo o pc una porta di accesso segreta per un hacker maleintenzionato che può così reperire informazioni e dati sensibili, manomettere, installare o riconfigurare software applicativi o del sistema operativo. I trojan sono spessi installati assieme a software apparentemente legali.

Ramsonware 

Virus particolarmente ostile e di recente ideazione. In pratica una parte dei dati dell’utente viene crittografata, ovvero nascosta con una password. Se l’utente vuole avere la password e, quindi, i propri dati viene invitato a pagare un riscatto, spesso in criptovalute come il bitcoin, pagamenti su postepay, moneygram o altre forme di pagamenti non tracciabili. Spesso la chiave non viene fornita dietro il pagamento o spesso il recupero dei dati non è comunque completo.

Spyware 

Sono malware che non fanno danni reali ma carpiscono e spiano quello che fa un utente malcapitato. Nella maggioranza dei casi cerca di intercettare gusti, abitudini e preferenze mentre si naviga sul web per poter rivendere queste informazioni a venditori interessati.

Addware 

E’ un programmino malevolo che apre pop up, o inserisce pubblicità asfissiante sul nostro browser o in generale sul nostro desktop o schermo di cellulare. Non crea dei veri propri danni ma diventa spesso invadente all’inverosimile.

Malware hardware

KeyLogger

E’ un particolare tipo di malware che intercetta quello che viene digitato su una tastiera fisica, ad esempio del pc o dello sportello bancomat di una banca. Ha lo scopo di carpire informazioni sensibili come password o codici di sicurezza o, più semplicemente, spiare conversazioni o digitazione di documenti importanti.

Rowhammer

E’ un nuovo tipo di tecnologia malware che mira incredibilmente a sfruttare i difetti tecnologici delle memorie RAM facendo impazzire elettricamente celle adiacenti di memoria con tecniche particolari. Facendo impazzire la memoria del pc, un hacker potrebbe scalare i permessi di amministratore per fare altri danni all’interno del pc.

Malware per hard disk o usb

Meno diffusi perché decisamente complessi come i rowhammer. Prevedono di iniettare codice molto specifico nei firmware delle memorie per renderle inutilizzabili e non recuperabili in alcun modo. Sulle USB ci sono proprio dispositivi che sfondano letteralmente la porta usb creando danni ingenti alla porta usb stessa o addirittura alla scheda madre. Anche qui occorrono dispositivi sofisticati e costosi da sostituire malevolmente ai nostri ricaricatori usb o dispositivi realizzati su misura per questo scopo (cerca USB Killer)

Attacchi

DDoS

E’ un attacco che sincronizza migliaia di dispositivi per collegarsi contemporaneamente ad un server o altro obiettivo sensibile. La richiesta di numerosi utenti esaurisce le risorse hw/sw del server attaccato rendendolo inutilizzabile per gli utenti normali. La cosa brutta è che spesso gli hacker creano virus semplici che infettano i pc di gente ignara che suo malgrado finisce per partecipare all’attacco. Buttare giù un server ha conseguenze piuttosto complesse e spiacevoli. Se a casa basta riavviare il pc bloccato, su un server bisogna controllare se l’attacco abbia prodotto altra falla o breccia nei dati del server stesso consentendo di rubare informazioni o iniettare un ransonware. Possono occorrere ore per procedere a questi controlli sui server di produzione.

Attacco a forza bruta

Anche detto attacco del vocabolario, è un attacco piuttosto semplice e consiste nel tentare di indovinare la password di un qualche account per tentativi. Nella maggior parte dei casi è realizzato con un piccolo software che automatizza l’inserimento a ripetizione di parole semplici (tratte da un vocabolario) o password note (le classiche 123456, 0000 ecc). Si previene inserendo sistemi di autenticazione doppia, o i classi flag “non sono un robot” o sistemi dove riconoscere oggetti in foto come usa Google (indica quali sono i camion, indica le barche ecc)

Man In the Middle 

Attacco dalla dinamica semplice: un attaccante inganna due dispositivi interlocutori ponendosi tra di loro per carpire informazioni e dati sensibili o per prenderli e modificarli prima di rinviarli al secondo interlocutore.

Phishing

Uno degli attacchi più semplici e gettonati che sfrutta la credulità degli utenti poco attenti o poco esperti. Può avere molte forme. Il primo phishing storico era una mail di un sedicente diplomatico nigeriano che invitava un utente ad accettare un trasferimento di denaro sul proprio conto corrente per farlo poi transitare su altro conto con la scusa di problemi burocratici tra banche di stati diversi. Nello specifico, si trattava di reciclaggio di denaro sporco, proveniente magari da traffici illeciti che però transitando sul conto corrente di una “brava” persona, si ripulivano. In Nigeria è un reato penale molto noto punito dalla legge 419, motivo per cui questa truffa è nota come 419 scam o truffa alla nigeriana.

Oggi il phishing assume forme più semplici ma assolutamente diffuse: mail o sms che millantano di pacchi o account bloccati, carte prepagate o fatture sospese per ignoti motivi che devono essere sbloccate andando su siti web, molto simili a quelli delle compagnie del servizio, ingannando l’utente ad inserire username e password del proprio account.

L’ultima in ordine di tempo mira agli utenti dei negozi online tra privati tipo Ebay, Vinted ecc. Un sedicente acquirente chiede di acquistare una merce in vendita con modalità anomale fino a chiedere un versamento in moneygram o bitcoin su banche di improbabili paesi in cui il personaggio sarebbe bloccato per ritirare il pacco. Anche molto diffusa è la richiesta di partecipare a votazioni o concorsi da parte di contatti social hackerati che richiedono il codice di sblocco doppio del nostro account che ci viene richiesto in modo malevolo sulla nostra mail per rubarci l’account.

Social Engineering

E’ un attacco che prende varie forme, tutte finalizzate a carpire informazioni attraverso social di un malcapitato. Spesso esistono forme di recupero password dei propri account che chiedono delle domande semplici “il nome del tuo animale domestico”, “il luogo in cui hai incontrato tua moglie” ecc che sembrano domande personali ma che finiamo per rendere pubbliche postando sui social la foto del nostro animale domestico o delle nostre esperienze, viaggi, serate, amici ecc. Le stesse informazioni possono essere usate per creare account social falsi e ingannare un malcapitato cercando di accaparrare la sua fiducia per altre fini. Quest’ultimo sistema è particolarmente vile sopratutto con i maleintenzionati che cercano di adescare minori o persone meno difese. La frontiera di questo attacco è utilizzare informazioni su un malcapitato per capir se si trova in vacanza (magari ha postato le foto con la famiglia) o ha delle routine particolari per cui criminali possono introdursi in casa indisturbati a rubare.

Cross Site Scripting

Cross-site Scripting (XSS) è una vulnerabilità dei siti web dinamici realizzati con PHP e linguaggi lato server analoghi. L’attaccante utilizza del codice malevolo al fine di raccogliere, manipolare e reindirizzare informazioni riservate di utenti ignari che navigano e utilizzano i servizi pubblici o privati disponibili su Internet. Gli XSS sono utilizzati moltissimo sui siti WordPress dove spesso i webmaster acquistano plugin o componenti non legali/originali già compromessi ed infettati.

SQL Injection

Se i dati di una query/form non vengono filtrati e controllati in modo opportuno via codice, un attaccante può mandare nell’input frammenti di codice SQL e visualizzare o modificare o addirittura eliminare dati di un database non direttamente accessibili con i normali flussi software o permessi utente. Potete trovare un esempio commentato in PHP qui.

Buffer Overflow

E’ un tipo di attacco molto diffuso che sfrutta anomalie nell’input dei dati. Con tali anomalie, un hacker può “scavalcare” controlli di sicurezza e sovrascrivere porzioni di memoria altrimenti non raggiungibili normalmente. E’ la base della creazione dei famosi “crack” dei videogiochi.

Zero Day Exploit

Un zero-day exploit o vulnerabilità è un bug o vulnerabilità in un sistema software precedentemente sconosciuto e che nessuno fino a quel momento aveva ne scoperto, ne sanato/mitigato. Non ha molto più di un normale bug ma appena scoperto, non essendoci bugfix, patch, soluzioni rilasciate dalle case madre, gli sviluppatori del progetto, anche un hacker può istantaneamente sfruttare il bug per attacchi

Gli hacker

Abbiamo citato nei paragrafi precedenti il concetto di hacker dal cappello bianco. Esiste poco oggi il concetto romantico di hacker bianco “buono” se non in forme spesso discutibili dal punto di vista etico e penale come Anonymous. Più facile categorizzare i black hat hacker che hanno scopi più criminosi e di danneggiamento altrui, oggi molto impegnati con virus ed altri tipi di attacchi per combattere vere e proprie guerre cibernetiche per i rispettivi stati di appartenenza.

Ultima modifica 14 Dicembre 2023