Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Giu Mag Feb Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Patologia 1

Visto che si parla di virus, trojan (da queste parti tra l’altro è il nome di una marca di preservativi), dedico cinque minuti a scrivere un post glossario giusto per creare un minimo di terminologia comune ad estensione di quanto già detto su questo canale. Altrimenti, come diceva Ciro il pizzaiolo, parlamm e nun ce capaimm.

Virus: è un termine ormai obsoleto. Anni ed anni fa, quando i virus erano l’unica tipologia di applicazione maligna, era usato come sinonimo di malware. Nel duemiladieci il termine è da considerare arcaico al punto che chi parla di “virus” nella stragrande maggioranza dei casi suona agli addetti ai lavori contemporaneo come una poesia di Carducci. Il nome virus dato a questa tipologia di malware deriva dal fatto che il codice maligno, come un virus organico, tende a riprodursi e diffondersi usando altri organismi (programmi) come veicolo di infezione. Oggi giorno i virus non esistono quasi più e tra i settecentocinquantafantastiliardidimilioni di variazioni quelli che continuano a girare sono sempre gli stessi dieci (decina più, decina meno). Esempio di virus: Melissa. Melissa si propagava attraverso i documenti Word. Chi apriva un documento word infetto, attivava il codice malevolo che si replicava su altri documenti word presenti sullo stesso PC. In realtà poi il furbacchiotto mandava uno di questi documenti infetti a caso ad una cinquantina di persone prelevandone i nominativi dalla rubrica indirizzi (fonte). In parole povere la parola virus denota uno specifico tipo di comportamento patologico, ovvero la diffusione automatica del codice malevolo da un file all’altro.

Worm: lo scopo di un worm è di propagarsi da una macchina infettata all’altra usando la connessione in rete. Ironia della sorte l’ambiente naturale dei worm, fino a qualche anno fa, erano i server in quanto gli unici computer ad essere costantemente in rete. Con l’avvento delle connessioni permanenti casalinghe (ADSL) i worm hanno cominciato a trovare terreno fertile anche sulle workstation e home computer. Anche in questo caso la parola worm denota uno specifico comportamento. Melissa oltre ad essere un virus (passare da un file all’altro) era anche un worm in quanto si propagava da un PC all’altro usando l’email, ovvero una connessione di rete.

La differenza principale tra virus e worm è questa: il virus (se non esibisce anche comportamenti da worm) si propaga molto più lentamente del worm in quanto è necessario uno scambio non sollecitato di file tra infettato ed infettando (?). Un’altra differenza tra le due patologie è che molto spesso il virus per attivarsi ha bisogno dell’intervento dell’infettando. Esempio: io passo a Luigi un file con un virus ma fin quando Luigi non lo apre il virus non si attiva e non fa danni. La propagazione di un virus da un PC all’altro è una conseguenza della propagazione dello stesso da un file all’altro e dallo scambio inconsapevole di file infetti e pertanto la propagazione tra un PC e l’altro può risultare anche lenta; i worm invece sono disegnati e pensati da zero per passare da un PC all’altro nel modo più diretto e veloce possibile.

L’esempio di worm più eclatante è Sasser.

Antivirus: applicazione originalmente mirata a bloccare la diffusione dei virus. Nell’esempio di Luigi, se Luigi ha un antivirus installato, quando Luigi clicca sul file per aprirlo l’antivirus controlla e scopre che c’è qualcosa che non va bloccando l’infezione prima ancora che il codice maligno possa avere occasione di essere eseguibile. Pertanto gli antivirus tradizionali sono utilissimi per combattere il primo tipo di malware (e altri).

Trojan: il trojan è un pezzo di codice malevolo aggiunto intenzionalmente in un’applicazione. Per chiarire un piccolo esempio: supponiamo Luigi mi chieda il documento Word dell’estratto conto mensile; io potrei consapevolmente ed intenzionalmente introdurre del codice malevolo abusando della fiducia di Luigi nei miei confronti. I trojan sono la categoria più semplice di malware basato su tecniche di ingegneria sociale. Tendono di solito a nascondersi in applicazioni o file molto appetibili: il filmato porno di quell’attricetta, il crack/keygen di Autocane 2012 e così via.

Differenza tra trojan e virus: nel caso dei trojan c’è intenzionalità da parte di chi diffonde il codice malevolo che manca nel caso dei virus. Per lo scopo di diffondere l’infezione i trojan sono perciò più efficaci, basta semplicemente creare qualcosa di appetibile.

Rootkit: un rootkit è un pezzo di codice intenzionato a sfuggire a tutti i controlli di presenza del sistema. A differenza di un virus, in cui il sistema sa che c’è del codice in esecuzione ma non può distinguerlo dal codice benigno in quanto agnostico delle intenzioni, un rootkit è un vero e proprio mantello di invisibilità. Un rootkit di per sé non è malware o per lo meno c’è sempre forte dibattito attorno a questo punto. Il problema piuttosto è che tale mantello viene nel 99.9% periodico dei casi usato per scopi malevoli: l’esempio più famoso è il rootkit della Sony le cui intenzioni erano quelle di gestire il DRM a modo proprio diventato ponte di lancio per infezioni banali ma difficili da individuare.

Vulnerabilità: tutte le applicazioni purtroppo contengono bachi. Alcuni bachi sono però più gravi di altri dal punto di vista della sicurezza e permettono ad un malintenzionato di effettuare operazioni normalmente impossibili. Vulnerabilità in applicazioni o peggio ancora in servizi di sistema sono praticamente il veicolo principale della propagazione dei worm.

C’è infine una categoria che va sotto il nome piuttosto generico di exploit. Per alcuni tratti si comportano come dei trojan, ovvero richiedono l’inganno per portare l’utente a visitare un sito e sfruttando una vulnerabilità non patchata sulla macchina di chi lo visita permettono l’esecuzione di malware, l’installazione di un rootkit o l’aggregazione del PC ad una botnet a cui sarebbe da dedicare un post separato.

Il malware è però innanzitutto software ovvero codice applicativo. Come tale malware per OSX non funziona su Windows e viceversa. Dire che ci sono centomilamiliardi di “virus” (daje!) per Windows che non attaccano il Mac è la stessa cosa che dire che ci sono centomilamiliardi di applicazioni per Windows che non girano su MacOS. In realtà poi il malware ha una proprietà intrinseca che lo porta a diventare obsoleto molto più in fretta delle normali applicazioni d’uso quotidiano.

E per questo post basta così.

-quack

P.S. se fa piacere proporrei alla fine della serie un popquiz, un test a scelte multiple, per misurare la conoscenza dell’argomento

Potrebbero interessarti anche:
Commenti (36): [ Pagina 1 di 2  - più vecchi ]
7. floo
giovedì 25 marzo 2010 alle 2:35 PM - firefox 20100315 Windows 7
   

Lo spyware è un trojan?

Complessivamente, direi di sì. C'è l'intenzionalità della diffusione. Anche i keylogger potrebbero andare in simile categoria. Tuttavia, vengono solitamente distinti dai trojan.

   
8. Edward
giovedì 25 marzo 2010 alle 4:47 PM - unknown unknown Linux
   

Una precisazione: i rootkit si chiamano cosi' perche' sono una raccolta di programmi (kit), nati in ambito Unix, per inizialmente ottenere l'accesso privilegiato alla macchina (ossia diventare root) e nascondere la propria presenza, poi eventualmente di consentire l'accesso all'attaccante. C'e' quindi una distinzione fra la fase di infezione vera e propria (in genere sfruttando una vulnerabilita' non patchata: es. un local kernel exploit) ed il mascheramento dell'attivita' (tramite intercettazione delle chiamate di sistema, sostituzione di programmi con versioni modificate ad hoc, ecc.). 

La benignita' o meno e' riferita dalla consensualita' dell'amministratore di sistema: il modulo residente dell'antivirus e' un rootkit benigno in senso lato (e' installato dall'admin ma, pur dovendo resistere ai tenativi di disabilitazione del malware, non tenta di nascondersi), il driver anticopia dei cd audio Sony e' maligno (si installava di nascosto).

Cambiando argomento,  vada per il quiz

 

@ beppe:

categorizzare il malware = marketing.

Le categorie sono necessarie perche' i metodi di infezione, gli scopi e gli effetti sono diversi; anche gli approcci per rilevare e, se possibile, inattivare il malware variano a seconda della categoria.

 

Edward

   
9. Paperino
giovedì 25 marzo 2010 alle 5:00 PM - firefox 3.6 Windows 7
   

@sile: lo spyware... ne riparliamo nel post numero 2.

   
10. Stefano
giovedì 25 marzo 2010 alle 5:25 PM - firefox 3.6.2 Windows 7
   

Io averei scritto "infettaturo" ahahhahaha Quack!

   
11. silo
giovedì 25 marzo 2010 alle 7:52 PM - firefox 3.6.2 Windows Vista
   

Non ho però forse capito bene il rootkit, è da quanto ho intuito un programma che ha un codice che gli permette di girare come se fosse un processo del sistema e di nascondere dei file appunto al sistema operativo. Magari la domanda è banale, ma come fa ad esistere un programma del genere? Perchè il sistema operativo dovrebbe permettere a programmi terzi questo genere di cosa?

   
12. Giuseppe
venerdì 26 marzo 2010 alle 12:10 AM - IE 9.0 Windows 7
   

@ silo

perché probabilmente hanno bisogno di accesso di sistema perennemente... ad esempio ogni antivirus, dovendo leggere/verificare ogni singolo file del sistema deve avere un modulo che gira a livello sistema in maniera da avere accesso anche ai file protetti...

almeno questo è quanto ho capito io.,...

   
13. Luigi Bruno
venerdì 26 marzo 2010 alle 10:42 AM - IE 8.0 Windows 7
   

io passo a Luigi un file con un virus ma fin quando Luigi non lo apre il virus non si attiva e non fa danni

Nell’esempio di Luigi, se Luigi ha un antivirus installato, quando Luigi clicca sul file per aprirlo l’antivirus controlla e scopre che c’è qualcosa che non va bloccando l’infezione

Sia lode all'antivirus di Luigi!

supponiamo Luigi mi chieda il documento Word dell’estratto conto mensile; io potrei consapevolmente ed intenzionalmente introdurre del codice malevolo abusando della fiducia di Luigi nei miei confronti

Luigi ringrazia per il pensiero, ma vorrebbe sapere se deve iniziare a preoccuparsi...;)

 

   
14. silo
venerdì 26 marzo 2010 alle 1:01 PM - Opera 10.51 Windows XP
   

@ Giuseppe

Ma allora perchè non fare una whitelist sul sistema operativo per permettere solo ad alcuni rootkit autorizzati di installarsi, per esempio la microsoft potrebbe dare dei certificati alle aziende per un determinato prodotto e solo questi prodotti possono installare i rootkit "certificati". Forse c'è già qualcosa di simile ma viene bypassato?

   
15. wac
sabato 27 marzo 2010 alle 1:01 PM - firefox 3.6.2 Windows 7
   

@silo

 

esistono dei sistemi in cui vengono usate le whitelist. Ma per la massa non credo sia ancora giunto il momento,passerebbero il tempo a cliccare "Permit" e le whitelist andrebbero nel cesso.....basti pensare a quanto è denigrato UAC XDDDDD

   
16. floo il segretario
sabato 27 marzo 2010 alle 2:17 PM - firefox 20100315 Windows 7
   

basti pensare a quanto è denigrato UAC

Non è stato capito. L'hanno capito, e in molti di questi apprezzato (meno i soliti fanboy), coloro che hanno avuto a che fare coi sistemi Unix.

   
17. NickelGreen
sabato 27 marzo 2010 alle 2:33 PM - IE 8.0 Windows 7
   

Io adoro UAC!

   
18. lux
sabato 27 marzo 2010 alle 4:11 PM - safari 531.22.7 OS X 10.6.2
   

Su Mac non c'è UAC e, nei fatti, si vive tranquilli.

   
19. il nonno
sabato 27 marzo 2010 alle 4:42 PM - IE 8.0 Windows 7
   

Su Mac non c'è UAC

c'e' chi al senso dello humor!

   
20. il nonno
sabato 27 marzo 2010 alle 4:43 PM - IE 8.0 Windows 7
   

al = ha il...

   
21. Paperino
sabato 27 marzo 2010 alle 4:44 PM - firefox 3.6 Windows 7
   

@lux:

non l'ho capita. Quando si parla di UAC si intende in generale questa roba: aovestdipaperino.com/.../sull_2700_usabilit_e00...

P.S. non sono mai riuscito a trovare dettagli implementativi sulla versione OSX. Non a livello dettagliato di Technet. Qualsiasi link riceverà la mia gratitudine.

   
22. il nonno
sabato 27 marzo 2010 alle 4:53 PM - IE 8.0 Windows 7
   

non l'ho capita.

Nemmeno lui

   
23. wac
sabato 27 marzo 2010 alle 5:28 PM - firefox 3.6.2 Windows 7
   

sia chiaro, io ho accolto bene UAC su win, non volevo mica affermare che non sia utile.

forse non ho azzeccato l'esempio XDD

 

 

 

 

   
24. floo il segretario
sabato 27 marzo 2010 alle 7:17 PM - firefox 20100315 Windows 7
   

Su Mac non c'è UAC e, nei fatti, si vive tranquilli.

No, dico, tu che sei esperto di OS X, che usi il Mac da anni e anni mi cadi sull'elevazione di privilegi?

Windows l'ha mutuata proprio dai sistemi Unix, quale è OS X.

Possibile che questa non ti dica nulla?

upload.wikimedia.org/.../Mac_OS_X_Authenticate.png

UAC funziona in modo simile:

upload.wikimedia.org/.../User_Account_Control.png

Manca la richiesta della password, che compare solo quando si usa un utente limitato e dev'essere messa la password di un amministratore. C'è comunque un workaround di registro per farlo funzionare come su OS X e Linux.

   
25. floo il segretario
sabato 27 marzo 2010 alle 7:19 PM - firefox 20100315 Windows 7
   

sia chiaro, io ho accolto bene UAC su win, non volevo mica affermare che non sia utile.

Era un discorso generale, non riferito a te. Avevo capito che apprezzavi l'UAC.

E su 7 portatelo al massimo livello, quello di default è poco efficiente e alla portata dei rootkit.

   
26. Dovellaphones 7
sabato 27 marzo 2010 alle 7:53 PM - firefox 2.0.0.20 Windows 98
   

Nemmeno lui

LOOL

   
27. lux
domenica 28 marzo 2010 alle 4:43 AM - safari 531.22.7 OS X 10.6.2
   

Su Mac non c'è UAC per fare un gioco di parole in primis e, più seriamente, su Mac non c'è bisogno di pensare che esiste qualcosa che si chiama UAC, che cos'è, come funziona eccetera; quando c'è bisogno si inserisce una password di amministrazione e si vive tranquilli, pensando a lavorare e divertirsi invece che autenticarsi in continuazione.

Uno dei problemi che ha, diciamo, complicato l'accettazione generale di Vista è proprio uno UAC un filo, diciamo, solerte.

   
28. Paperino
domenica 28 marzo 2010 alle 6:06 AM - firefox 3.6.2 Windows 7
   

quando c'è bisogno si inserisce una password di amministrazione e si vive tranquilli, pensando a lavorare e divertirsi invece che autenticarsi in continuazione.

Certe affermazioni sembrano la caricatura di Renato Zero fatta da Panariello. C'è una parola sola per "quando c'è bisogno si inserisce una password di amministrazione e si vive tranquilli, pensando a lavorare e divertirsi invece che autenticarsi in continuazione" e si chiama UAC che sta per User Account Control. Che non è una feature di Vista ma un concetto trasversale che si applica a tutti i sistemi operativi.

complicato l'accettazione generale di Vista è proprio uno UAC un filo, diciamo, solerte

Vero, con Vista è stato un piccolo dramma. Con Windows 7 il sistema è stato decisamente migliorato con l'introduzione della whitelist per cui adesso i prompt sono più frequenti su OSX che su Windows 7. Ad esempio su OSX è richiesta una password per ripartizionare l'hard-drive che non è necessaria su Windows 7. Con la prossima versione le cose miglioreranno ulteriormente. Per migliorare non intendo necessariamente qualche prompt in meno.

   
29. floo il segretario
domenica 28 marzo 2010 alle 7:02 AM - firefox 20100315 Windows 7
   

Su Mac non c'è UAC per fare un gioco di parole in primis e, più seriamente, su Mac non c'è bisogno di pensare che esiste qualcosa che si chiama UAC, che cos'è, come funziona eccetera; quando c'è bisogno si inserisce una password di amministrazione e si vive tranquilli, pensando a lavorare e divertirsi invece che autenticarsi in continuazione.

L'utente non lo deve sapere, ma un tecnico lo deve sapere:

en.wikipedia.org/.../Comparison_of_privilege_au...

Uno dei problemi che ha, diciamo, complicato l'accettazione generale di Vista è proprio uno UAC un filo, diciamo, solerte.

Sì, diciamo che era fin troppo solerte. Ancora oggi quello di 7 ha il vizietto di rompere le balle non appena faccio una banalissima operazione di togliere una cartella dai programmi del menu Start (manco stessi togliendo il programma, solo i collegamenti, magari orfani perché l'avevo già disinstallato!). Ma per il resto, quello di 7 è molto più tranquillo. A default fin troppo.

Mi piacerebbe però per 8 una feature come quella del Defense+ di Comodo, che con una checkbox gli si indica all'UAC "Sì, mi fido di questa operazione/questo programma" e da lì in poi, a meno che non si revoca la cosa da Pannello di Controllo, per quella specifica cosa l'UAC andrà automaticamente.

   
30. il nonno
domenica 28 marzo 2010 alle 10:12 AM - IE 8.0 Windows 7
   

non ho ancora capito se ci e' o se ci fa...

   
31. dovella
domenica 28 marzo 2010 alle 10:27 AM - chrome 4.1.249.1042 Windows 7
   

Dovrebbe essere la prima

   
32. floo il segretario
domenica 28 marzo 2010 alle 10:43 PM - firefox 20100315 Windows 7
   

non ho ancora capito se ci e' o se ci fa...

Chi, io? Nel caso sia io, nello stato in cui sono direi entrambe le cose.

   
33. il nonno
lunedì 29 marzo 2010 alle 12:01 AM - IE 8.0 Windows 7
   

floo, duro il lavoro al seggio? Ovviamente non mi riferivo a te

   
34. floo
martedì 30 marzo 2010 alle 4:14 PM - firefox 20100315 Windows 7
   

floo, duro il lavoro al seggio?

Puoi dirlo forte, finito qualche ora fa. Ho il ballottaggio sicuro per le comunali. Venerdì intanto vado ad incassare

   
35. RNiK
martedì 30 marzo 2010 alle 7:01 PM - firefox 3.6.2 Windows XP
   

Sai che non ci avevo mai fatto caso a quanto difficile sia definire il concetto di "exploit".

Anche Wikipedia propone una sbrodolata piuttosto tecnica che utilizza una valanga di termini security-related che non rendono facile comprendere di cosa si stia parlando.

La tua definizione, seppur meno completa ed articolata, mi sembra risponda in maniera più leggibile.

   
36. Paperino
giovedì 15 aprile 2010 alle 7:18 PM - firefox 3.6.2 Windows 7
   

Interessante articolo su cui riflettere prima che pubblichi la seconda parte di questo post:

news.cnet.com/8301-27080_3-20002317-245.html

Frasi chiave:

Their attitude [NdP: Microsoft nel 1998-1999] was 'if we can keep evil research guys quiet no one will talk about it and we won't have to be distracted trying fix these things.'

Now when you look at Microsoft today they do more to secure their software than anyone. They're the model for how to do it.

You look at companies like Adobe [NdP: e Apple, citata subito dopo] and they are where Microsoft was 10 years ago.

Adobe and Apple and other companies are starting to pay attention and care more. But a year ago, it was still very much a marketing thing.

It's even a little scarier with them [NdP: Apple] because they try to market themselves as more secure than the PC, that you don't have to worry about viruses, etc. .... If they were taking it seriously, they wouldn't claim to be more secure than Microsoft because they are very much not.

 

   
[ Pagina 1 di 2  - più vecchi ]
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)