Internet: nuovi virus per PC
11 ottobre 2008 -
Corriere del Ticino
La scoperta fatta da una ditta israeliana di ricercatori. I casi in
Canton Ticino: ne parla Mauro Vignati
Che la semplice navigazione tra i siti Internet possa nascondere
insidie non è una novità. Ma ciò che si sta riproducendo da qualche
tempo a questa parte nel mondo virtuale, anche in quello svizzero e
ticinese (la polizia federale ci sta lavorando da qualche giorno),
ha l’aria di essere, per proporzioni, uno Tsunami.
Mentre il mondo politico ed economico fronteggia la crisi
finanziaria, le polizie di tutto il mondo stanno indagando per
individuare il gruppo di criminali informatici che è riuscito ad
infettare 200 mila siti in tutto il mondo, almeno 3 mila in
Svizzera e un numero imprecisato (per ora la stima è di diverse
decine) anche in Canton Ticino.
Ne parliamo con Mauro Vignati, membro del gruppo dell’Ufficio
federale di polizia Melani (Centrale d’annuncio e d’analisi per la
sicurezza dell’informazione). L’allarme relativo a questo nuovo
gruppo di criminaliinformatici è stato dato, oltre che da Melani,
da Switch, l’autorità svizzera per la registrazione di nomi a
dominio con estensioni . ch e .li. La notizia riportata ieri dalla
stampa d’oltre San Gottardo interessa anche il Ticino.
«Una ditta
israeliana di ricercatori informatici, la Aladin – spiega Vignati
– ha scoperto un server (un computer dedicato alla fornitura di
risorse e servizi per altri computer connessi in rete) contenente
informazioni su connessioni FTP ( un programma per trasferire files
su Internet)di 200 mila siti».
Cioè?
«In altre parole la ditta Aladin ha individuato un gruppo criminale
che ha infettato 200 mila siti Internet in tutto il mondo
utilizzando un kit di infezione».
Che cosa succede?
«Accade che quando un utente di Internet va a visitare il loro sito
col proprio browser (cioè con il programma che consente agli utenti
di visualizzare e interagire con testi, immagini e altre
informazioni di una pagina web) infetta, suo malgrado e a sua
insaputa, il proprio computer».
E dopo?
«Lo scopo di tutto questo è fare in modo che l’utente, quando naviga
sul sito, infetti la sua macchina con uno di questi software che
poi andranno ad attaccare le sue connessioni e-banking (il servizio
bancario virtuale che consente ai clienti di operare sul proprio
conto corrente da casa o dalla propria impresa). In questo modo, i
criminali informatici rubano ai webmaster (coloro che si occupano
di gestire i siti Internet)la password di connessione al server che
ospita il sito. Poi scaricano – automaticamente – nel loro computer
la prima pagina del sito, la infettano e la ricaricano».
Lei ha parlato di 200 mila siti infettati in tutto il mondo. E in
Svizzera?
«A noi sono state segnalate 15 mila entrate riguardanti la
Svizzera. Abbiamo verificato e in alcuni casi ci sono doppie o
triple entrate per lo stesso indirizzo web.»
Che cosa significa?
«Abbiamo ridotto la lista a 3 mila dati di login per altrettanti
siti Internet.
In realtà, ora stiamo stabilendo quali di questi siti siano già
stati infettati e a quali siano stati solo, per ora, rubati user
name e password per accedere al server web che ospita il sito».
E in Ticino?
«Ho appena contattato due persone oggi toccate dal problema e poi
continuiamo a spulciare la lista dei 3 mila accessi infettati. Sono
comunque alcune decine i casi da esaminare per vedere che cosa è
accaduto esattamente».
Previsioni per il nostro Cantone?
«Per ora è difficile avanzarne, perché l’infezione va avanti».
Può farci un esempio?
«Parliamo di un sito infettato. Ebbene: quando gli utenti navigano
nel sito succede che automaticamente scaricano sul proprio
computer quello che si chiama un ‘cavallo di troia’, cioè un
programma informatico apparentemente innocuo che nasconde il suo
vero fine. A questo punto uno di questi clienti chiude la
connessione con il sito. Poniamo il caso che il giorno dopo uno
degli utenti in questione voglia fare un pagamento in e-banking. Si
troverà il ‘cavallo di troia’ sul computer che andrà ad operare
contro il suo interesse».
Ma per un navigatore Internet normale è possibile capire che si sta
cadendo dentro una trappola?
«Purtroppo non si capisce. Nella maggior parte dei casi l’utente non
si accorge di essere infettato. A dipendenza dell’antivirus o del
firewall che si ha, si potrebbe avere un messaggio di allerta. Ma
non è sempre così».
Si ha qualche indicazione per risalire ai responsabili?
«Per ora no. Sembrerebbe che le autorità americane abbiano qualcosa
in mano. Ma per il momento non ne sappiamo di più».
Signor Vignati, un consiglio da dare ai navigatori per evitare il
peggio in questi periodi già difficili per la crisi imperante?
«Ve ne è solo uno: se si ha un sospetto che la propria macchina sia
infettata, occorre subito farla controllare da una persona
competente, da un tecnico preparato ed in grado di capire che cosa
sia successo. In casi estremi è necessario reinstallare
completamente il computer».
Mauro Vignati, che in passato è
intervenuto lanciando l’allarme sulla crescita esponenziale delle
truffe online, suggerisce massima prudenza ai navigatori. Le
polizie di tutto il mondo stanno dando la caccia ai criminali
informatici che hanno dimostrato di essere in grado di lanciare un
pericoloso attacco al popolo degli internauti.
Emanuele Gagliardi Carlo Silini
Il devastante Storm Worm
Secondo quanto riporta CNET News.com,
una nuova variante di attacchi del codice Trojan conosciuto come
Storm Worm sta colpendo gli utenti della rete che intervengono su
blog e bulletin board.
Il worm "Storm", conosciuto anche come Storm Trojan, "Dorf" o "Peacomm",
aveva attaccato su vasta scala il mese scorso diffondendosi via spam
in tutto il mondo, con svariate ondate e varianti.
Successivamente aveva "attaccato" anche un nuovo fronte, sfruttando
aggiunte capacità di propagazione via instant messaging. Il codice
nocivo era stato battezzato originariamente "Storm" perché la prima
ondata di attacco spam su vasta scala aveva sfruttato come vettore
di social-engineering, con grande tempismo, le notizie sul ciclone
Kyrill, che ha colpito il Nord Europa in maniera drammatica verso
fine Gennaio.
Le ultime varianti isolate attaccano i computer di ignari utenti
sempre all'apertura di allegati nocivi inclusi in messaggi di posta
elettronica, all'apertura di link e-mail o durante la navigazione su
siti malintenzionati, lo riporta Dmitri Alperovitch, principal
research scientist di Secure Computing.
La novità sta nel fatto che quando queste persone inseriscono
interventi su blog e bulletin board, il malware aggiunge
automaticamente ad ogni post un link ad un sito nocivo con lo scopo
di diffondere l'infezione.
Alperovitch classifica questo nuovo comportamento ad un livello di
rischio "alto": "Non avevamo visto sfruttare il canale Web finora …
in passato, abbiamo visto link nocivi distribuiti ai contatti
presenti nella rubrica dell'utente infetto, camuffati in modo da
apparire come messaggi istantanei". Il nuovo livello di pericolo
deriva dal fatto che l'utente sta effettivamente intervenendo su un
blog o forum legittimo, ignaro che un link malizioso sarà iniettato
nel testo del post.
Secondo quanto riportato da eWeek precedentemente, altre nuove
varianti di questo codice malware avevano iniziato a sfruttare
programmi come AOL Instant Messenger, Google Talk e Yahoo Messenger,
per diffondersi tra i computer. Il worm rileva le sessioni di chat
ed invia un messaggio IM con un link ad un sito web che ospita il
codice nocivo.
Se l'utente clicca sul link untore subisce l'infezione. Il worm si
presenta con un messaggio apparentemente innocuo, tipo "Is it about
you?" + link. Jose Nazario, software e security engineer di Arbor
Networks, aveva commentato: "I gestori delle botnet inietteranno
periodicamente nuovi comandi in questa rete peer-to-peer, e una
delle prime mosse è quella di ordinare alle macchine infette di
scaricare svariati eseguibili … tra questi vi sono i binary
aggiornati e altre componenti usate per attacchi DDoS [distributed
denial of service], spam, e altro, compreso un rootkit in grado di
nascondere la presenza del malware … Gli operatori stanno
modificando continuamente la configurazione delle macchine per
eludere firewall e filtri".
Inoltre ricordiamo che gli esperti hanno verificato che alcuni
campioni del codice malware sono stati programmati per colpire con
attacchi DoS popolari siti anti-spam ed anche i server usati dai
malware rivali. La guerra fra diversi team di malware writer non è
certo una novità in questo particolare settore della sicurezza
informatica (ricordiamo per esempio la faida Mydoom vs Netsky).
Tuttavia lo scontro tra Storm e Warezov, un altro popolare e recente
mass-mailing worm, sembra svolgersi su un terreno diverso rispetto
dal passato, esternamente alle macchine infette. Invece di colpire
le stesse postazioni infette, gli autori di questi codici hanno
infatti scelto di lanciare attacchi DDoS contro le rispettive basi
operative.
Di Roberto Molinari
Sono finiti i tempi in cui il creatore di
virus era un ragazzino in crisi ormonale che sfogava la mancanza di morosa con un gesto vandalico. Ogni tanto qualcuno di questi sfigati riemerge
ancora dalla sua cameretta e compie devastazioni per vantarsi con gli amici altrettanto sfigati della sua cerchia, ma oggi il fenomeno virus è prevalentemente commerciale.
Molti dei virus più diffusi, infatti, non producono danni diretti alle vittime: le infettano con discrezione per usarle come insospettabili teste di ponte, dalle quali lanciare attacchi informatici a siti importanti (come
Google o
Microsoft) o bombardamenti pubblicitari (il cosiddetto
spam) verso altri utenti, intasando le caselle di posta di mezzo mondo con improbabili réclame di prodotti per allungare, rassodare, sollevare e ingrandire ogni parte del corpo maschile e femminile.
Un attacco virale ben congegnato infetta segretamente milioni di computer, creando una vera e propria "rete nella Rete" che ubbidisce ai comandi del misterioso untore. Il danno nasce quando questi bombardamenti si fanno così intensi da paralizzare il traffico verso il sito bersagliato o soffocare in una marea di messaggi inutili gli e-mail che ci interessano.
Spesso l'utente infetto non si accorge di essere la fonte di questi attacchi e/o e-mail pubblicitari, ma se ne accorgono i servizi di sorveglianza di Internet, che gli "tagliano la linea" vietandogli di inviare qualsiasi messaggio, compresi quelli legittimi, con i danni e disagi che questo comporta.
In sostanza, è come se un televenditore senza scrupoli si allacciasse di nascosto al vostro telefono per chiamare migliaia di persone, molestandole con il suo messaggio pubblicitario. A un certo punto i molestati segnalerebbero il problema e l'operatore telefonico risalirebbe alla fonte, cioè voi, staccandovi la linea per impedirvi ulteriori molestie.
C'è una diceria molto diffusa secondo la quale i virus verrebbero creati dai produttori di antivirus per crearsi un mercato. È un po' come sospettare che i vetrai assoldino i ragazzini con le fionde per rompere le finestre, o che i fabbricanti di casseforti finanzino gli scassinatori.
Adesso non sembrano più tanto solo
leggende metropolitane quelle che sostengono che i virus sarebbero
scritti dai produttori di antivirus, che agirebbero in tal modo per
avere sempre materiale su cui lavorare…
Tuttavia abbiamo rivolto la questione ad alcuni rappresentanti di società produttrici di antivirus,
i quali però ci hanno risposto molto divertiti: per loro fortuna, ci dicono, non hanno bisogno di pagare nessuno per creare virus, perché ci pensano già gratuitamente, e fin troppo abbondantemente, i vandali della Rete. Scriverne altri sarebbe un costo aggiuntivo inutile.
Insomma, i danni causati da un'infezione informatica sono serissimi. Sbarazzarsene è difficile: disinfestare un computer infetto è un'operazione delicata. Per questo è fondamentale la prevenzione. Una volta che siete infetti, spesso è troppo tardi.
Già da 2004 emergevano le prime certezze circa la
paternità dei virus più diffusi. Per esempio, i responsabili di
NetSky contro quelli di MyDoom e Bagle si scontravano apertamente
con una guerra a colpi di insulti, Era questa la prima certezza che
il ragazzino kraker non centrava per nulla. Già allora a far le
spese erano gli utenti: i nuovi worm erano sempre più aggressivi, ed
era (guarda caso), necessario l'aggiornamento continuo dei software
antivirus che costavano e costano non pochi soldini.
Scriveva il
corriere della sera del 4 marzo del
2004:"...i creatori
dei virus Netsky, MyDoom e Bagle hanno iniziato a scambiarsi insulti
e provocazioni, in quella che sembra una vera e propria guerra tra
«virus writer». Da una parte i creatori di MyDoom e Bagle, ritenuti
degli spammer (l'invio non sollecitato di e-mail commerciali) o
vicini a gruppi implicati nello spam. Dall'alltra i responsabili di
Netsky, che non sembrano motivati dal profitto. «Sembra che stiano
giocando a chi riesce a tenere indietro gli altri - dice Chris
Belthoff, analista per la società di sicurezza Sophos - Potrebbero
essere invidiosi dell'attenzione che i mass media dedicano ai
rivali».
I PROTAGONISTI - MyDoom, scoperto il 27 gennaio, si era diffuso con
straordinaria rapidità, guadagnando il titolo di «mail worm» più
aggressivo di tutti i tempi, e aveva detronizzato Bagle, scoperto
poco prima. Il 16 febbraio, però, è saltato fuori NetSky: tra i suoi
effetti c'è anche quello di disattivare MyDoom, mettendolo fuori
combattimento. I virus che cancellano altri virus non sono una
novità assoluto, ma la sfida stavolta sembra chiara agli occhi degli
esperti. Una delle varianti di NetSky contiene addirittura la frase
«Noi siamo skynet - non potete nascondervi - noi uccidiamo gli
autori di malware (software "maligno", ndr)». Ma anche Bagle è
tornato a colpire, con la sua decima versione, più virulenta.
SFIDA - La guerra è stata ufficialmente dichiarata con gli ultimi
messaggi scambiati. Una frase contenuta nella versione G di MyDoom
si rivolge direttamente «agli autori di NetSky», prendendoli in giro
per la povertà tecnica del loro worm. Bagle.J dice più
esplicitamente: «Ehi NetSky, vuoi iniziare una guerra?». La replica
di NetSky.F: «Bagle, sei un perdente!».
DIFENDERSI - Le uniche vittime del conflitto sono gli utenti, alle
prese con worm sempre più aggressivi e ingegnosi, e con versioni
sempre diverse che richiedono un aggiornamento costante del software
antivirus per poter dormire sonni tranquilli. I suggerimenti su come
proteggersi sono contenuti sui siti delle principali società di
sicurezza, come Symantec, McAfee, Trend Micro, Kasperky. Da
ricordare che online esistono anche prodotti gratuiti come Anti-Vir
o Avg Free...
|
MESSAGGIO PUBBLICITARIO
|
