Strategie di sicurezza.


Dalla redazione.


Essendo la sicurezza non trascurabile per nessuno, al fine di rendere edotti i lettori su questa tematica, si pubblica questo documento ricavato dal file PDF creato da Fabrizio Pincelli con Acrobat 7 pro e prelevato dal sito di Trend Micro.

Riporta tutte le strategie per non correre rischi, della serie: "Il pericolo, se lo conosci, lo puoi evitare!".

Inoltre, la redazione ha inserito una nota per rendere pi semplice applicare un importante suggerimento riportato nel testo, indicando i comandi da tastiera. Si consiglia di fare attenzione e seguire attentamente quanto indicato. Nel caso non si avesse molta dimestichezza con le impostazioni del sistema, si consiglia di farsi dare una mano da qualcuno che abbia queste capacit.

Ecco le "Strategie di sicurezza"
Lo scenario dei malware  in continua evoluzione: il 2008 si  chiuso portando all'attenzione pubblica una serie di tematiche che le societ attive nel campo della sicurezza informatica debbono necessariamente tenere in considerazione, se desiderano migliorare i propri strumenti di rilevazione e rimozione delle nuove minacce.

Rispetto al passato, chi sviluppa malware ha raffinato le proprie conoscenze mettendo a punto codici nocivi che sfruttano tutta una serie di tecniche per passare inosservati ai software di sicurezza.

Si rilevano oggi sempre pi efficaci, inoltre, anche gli espedienti impiegati per trarre in inganno gli utenti e spingerli all'esecuzione di programmi dannosi.

Del resto, la crescita delle minacce via Internet  impetuosa.

Secondo una recente ricerca di Trend Micro, gli attacchi dal Web sono aumentati di circa il 2.000% dal 2005. E nel 50% dei casi sono stati gli utenti a scaricare i codici maligni sul PC, mentre navigavano su siti sconosciuti o rischiosi.

Una testimonianza del fatto che non tutti gli utenti hanno la percezione di quanto un comportamento proattivo e consapevole possa essere un buon antidoto nei confronti dei malware.

Lo stesso concetto si trova anche analizzando i dati di un'indagine effettuata su 2.000 utenti Internet: la maggioranza degli intervistati dichiara di aver installato un software di sicurezza sui propri computer.

Tuttavia, solo il 21% (il 18% in Italia)  consapevole che gli antivirus necessitano quotidianamente di pi aggiornamenti.

Le minacce
Si fa presto a parlare di "minacce" Internet. In realt, nella pratica, dietro questo termine si celano molteplici pericoli che illustriamo di seguito.

Rootkit, una delle minacce pi pericolose
"Nascondere il pi possibile"  l'imperativo di chi oggi sviluppa malware a fini di lucro. Se, come abbiamo visto, sono profondamente cambiate le filosofie alla base della creazione di applicazioni nocive e le loro modalit di distribuzione, di pari passo hanno iniziato ad essere impiegate tecniche nuove che rendono ancor pi complicata la fase di riconoscimento ed eliminazione del malware.

L'uso di rootkit (ovvero di programmi nocivi in grado di prendere il controllo del sistema operativo, agendo con privilegi di amministratore)  divenuto sempre pi gettonato: un dato, questo, su cui concordano tutti i principali produttori di soluzioni per la sicurezza.

Gli analisti hanno previsto, per il prossimo futuro, un pesante incremento nella diffusione dei cosiddetti kernel rootkit la cui caratteristica principale consiste nel modificare porzioni degli aspetti chiave del sistema operativo con lo scopo di nascondere all' utente e ai software antivirus/antimalware l'avvio di attivit maligne.

Gli autori di malware abbracciano l'uso dei rootkit per nascondere in modo pi efficace le proprie "creature": l'intento  quello di nascondere il malware sviluppato all'interno di un altro contenitore "ostile", capace di creare una sorta di barriera difficilmente penetrabile dalle classiche soluzioni antivirus.

Nel corso del 2008, i rootkit si sono confermati come una delle armi preferite da coloro che sviluppano malware. Basti pensare alla diffusione di MBR Rootkit. Conosciuto anche con il nome di Mebroot,  probabilmente uno dei rootkit pi raffinati in circolazione. Questo malware infetta il Master Boot Record (MBR) del disco fisso in modo da autoavviarsi subito dopo l'accensione del computer, prima del caricamento del sistema operativo.

Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, Mebroot sa cos nascondersi alle attivit di scansione operate dai vari prodotti antimalware.

I rootkit che infettano l'MBR sono spesso portatori di trojan in grado di sottrarre informazioni di tipo bancario e credenziali di accesso a servizi finanziari. Una volta eseguito nel sistema, infatti, il rootkit  in grado di bypassare eventuali firewall installati e di connettersi all'esterno, aprendo backdoor e scaricando nuove infezioni all'interno del personal computer.

L'infezione dell'MBR  oggi "tornata di moda" perch i malware sfruttano, contemporaneamente, funzioni mimetiche a livello kernel. Se la strategia che vede l'infezione dell'MBR  molto vecchia (i primi virus che infettavano l'MBR risalgono ai tempi del DOS), i malware moderni abbinano l'impiego di efficaci e purtroppo pericolose tecniche rootkit.

Grazie a questo tipo di approccio, i nuovi malware possono garantirsi l'esecuzione all'avvio del sistema operativo (l'MBR  il primo ad essere caricato) senza rischiare di essere smascherati facilmente.

Un altro esempio di rootkit, tecnicamente molto avanzato e che si  ampiamente diffuso nel corso del 2008,  Rustock.

Il malware fa uso di un evoluto sistema di codifica cifrata che rende particolarmente arduo il compito di analizzarne il codice da parte dei ricercatori delle societ di sicurezza.

L'infezione da Rustock si  rivelata particolarmente subdola poich il rootkit integra funzionalit di file infector ossia "inietta" il suo codice nocivo all'interno di driver di sistema, presenti sulla macchina in uso.

Qualsiasi tentativo di analizzare il driver infetto dar esito negativo poich il rootkit  capace di filtrare le comunicazioni provenienti da alcuni componenti di sistema essendo cos in grado di mostrare una copia "pulita" del driver ad ogni esame operato ricorrendo ad un software antimalware.

Botnet, una rete di computer infetti
Nel corso del 2008 si sono registrate decine di esempi di malware che, una volta infettato il sistema, lo inseriscono in una botnet, insiemi di computer controllati illecitamente all'insaputa del legittimo proprietario.

Secondo diversi studi il numero di sistemi coinvolti in reti botnet sarebbe aumentato a dismisura nel corso degli ultimi mesi.

I sistemi infettati da bot sarebbero responsabili dell'invio, addirittura, dell'80% dell'intero quantitativo di e-mail indesiderate ricevute quotidianamente.

Il controllo delle macchine infettate viene infatti spesso venduto, da criminali informatici, ad altre organizzazioni che effettuano attivit illecite come l'invio di campagne spam.

Chi gestisce botnet  arrivato ad offrire l'invio di ben 20 milioni di e-mail di spam per soli 350 euro.

Un dato, questo, assolutamente allarmante che mostra, da un lato, come - grazie alla presenza in Rete di sistemi vulnerabili - ormai gli aggressori remoti stiano creando botnet sempre pi vaste, estese in modo capillare in molti Paesi.

Dall'altro lato, si osserva come malware e spam siano sempre pi sinonimo di un crescente business (criminoso).

Le botnet vengono anche utilizzate per lanciare i cosiddetti attacchi Denial of Service (DoS) il cui scopo consiste nel mettere fuori uso o comunque rendere irraggiungibili sistemi di aziende o organizzazioni specifiche inviando, contemporaneamente e per periodi di tempo anche piuttosto ampi, continue richieste di connessione.

Chi ha il controllo su di una botnet composta, ad esempio, da migliaia di sistemi, pu raggiungere l'intento in modo molto semplice.

Le botnet, composte sostanzialmente da sistemi precedentemente violati, possono poi essere impiegate per molti altri scopi criminosi.

Web threats e minacce che sfruttano i social network
Il 2009  destinato a registrare un crescente utilizzo delle tecniche di ingegneria sociale adattate ai servizi di social network, ormai sempre pi diffusi, quali Facebook.

Il "valore" dell'identit digitale di una persona, inoltre, sta crescendo in modo vertiginoso.

L'incredibile quantit di dati pubblicati su siti come Facebook, LinkedIn e MySpace ha reso pi semplice, per gli aggressori, danneggiare o presentare in modo distorto un'identit professionale o personale sul Web.

Le varie aziende operanti nel campo della sicurezza informatica sono concordi nell'affermare come nei prossimi mesi vi possa essere un significativo aumento nel numero di casi di pirateria delle identit digitali.

In risposta, dovr essere necessariamente posto in essere un serio cambiamento nei meccanismi di controllo e validazione delle identit sul Web.

I malintenzionati inoltre possono servirsi delle informazioni personali pubblicate sui social network talvolta con troppa leggerezza, per violare servizi utilizzati dagli utenti.

Emblematico il caso di Sarah Palin, governatrice dello stato dell'Alaska.

Durante la campagna per la presidenza degli Stati Uniti, sul Web iniziarono a diffondersi dettagli sulla corrispondenza della Palin, che avveniva attraverso un account di posta elettronica gratuito registrato su Yahoo.

La casella di posta elettronica della politica era stata, insomma, violata.

Com' potuto accadere? Le indagini dell'FBI, subito attivatesi, hanno portato all'individuazione del colpevole che sarebbe riuscito a violare l'account di posta della Palin semplicemente raccogliendo informazioni su di lei in Rete e rispondendo correttamente alla "domanda segreta" impostata dalla governatrice dell'Alaska.

In questo modo l'aggressore sarebbe riuscito a "resettare" la password della casella di posta e a guadagnare l'accesso al contenuto della "scottante" mailbox.

L'accaduto fa riflettere su quanto sia importante adottare tutte le principali misure di sicurezza atte a scongiurare situazioni simili, soprattutto nell'era Web 2.0 dove sembra pi facile accedere a qualsiasi cosa e pi semplice condividerla.

Quando si registra un account e-mail gratuito presso uno dei tanti fornitori disponibili (Google GMail, Yahoo Mail, Microsoft Hotmail, tanto per citarne alcuni)  bene dare massima importanza alla risposta fornita alla cosiddetta "domanda segreta".

Trattarla con leggerezza indicando magari una risposta pubblicata, ad esempio, sul proprio profilo Facebook  cosa assolutamente da evitare.

Tra i malware che hanno bersagliato direttamente gli utenti di Facebook vi  Koobface.

Diffusosi nel luglio 2008, il worm tentava di installare codice nocivo sul PC unitamente a un keylogger, in grado di sottrarre informazioni sensibili.

Koobface, poi, inviava messaggi di spam ai contatti amici attraverso l'interfaccia di Facebook.

Con un clic sul link maligno, facente riferimento ad una falsa pagina di YouTube, veniva avviata l'esecuzione del malware.

Rogue antivirus, i falsi software per la sicurezza
Una delle "mode" pi in voga consiste nell'inserire componenti spyware all'interno di programmi presentati come del tutto sicuri (rogue antivirus ossia "antivirus-canaglia").

 in forte aumento, ad esempio, la diffusione di spyware che si insediano sul sistema dell'utente presentandosi, paradossalmente, come programmi antivirus, antimalware o antispyware.

Ne abbiamo contati a decine in Rete, spesso veicolati con nomi rassicuranti come Wista Antivirus, Andromeda Antivirus, Personal Defender 2009, ToolSicuro, VirusDifesa, PestCapture, SpywareSheriff e cos via.

Va rimarcato come questi falsi strumenti per la sicurezza utilizzino sempre pi frequentemente termini italiani, per colpire pi facilmente anche gli utenti del nostro Paese.

I rogue software si presentano di solito visualizzando delle finestre pop-up durante la navigazione sul Web.

Il messaggio visualizzato nella finestra pop- up di solito cerca di allarmare l'utente circa la presenza di virus sul suo sistema e consiglia il download di uno strumento (in realt il malware vero e proprio) che pu risolvere il problema.

Il browser viene quindi reindirizzato su pagine Web con un look accattivante che spingono l'utente a riporre fiducia nelle informazioni pubblicate.

L'intento di chi sviluppa rogue antivirus  quello di cercare di acquisire la fiducia dell'utente intimorendo i meno esperti con la visualizzazione di falsi messaggi di errore, proponendo strumenti di sicurezza, in lingua originale, che - nella malaugurata eventualit in cui dovessero essere installati - compiono qualsiasi tipo di azione tranne fornire la bench minima protezione aggiuntiva, spronando l'utente all'inserimento di numeri di carte di credito per l'acquisto di software inutili e spesso nocivi.

Il 2008, cos come i primi mesi del 2009, hanno evidenziato la nascita di un sempre maggior numero di rogue antivirus presentati attraverso e-mail di spam oppure attraverso l'inserimento di falsi messaggi pubblicitari in siti Web conosciuti.

Le strategie di difesa
Se sino alla fine degli anni '90 tutti i prodotti antivirus si basavano esclusivamente sull'utilizzo di definizioni antivirus, con l'inizio nel 2000 della diffusione in Rete di worm e spyware, si rese necessaria un'evoluzione verso soluzioni che includessero anche funzionalit firewall in grado di rilevare e bloccare l'attivit di malware effettuando un esame dei pacchetti di dati in transito da e verso il personal computer.

Controllo dei processi
Negli anni seguenti, i vari fornitori di soluzioni per la sicurezza hanno iniziato ad integrare funzionalit che si occupano di sorvegliare le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive. Il concetto era nuovo per l'epoca: introdurre una nuova metodologia che permettesse di svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.

Questo tipo di protezione  in genere l'ultima linea di difesa contro i nuovi malware, progettati per passare inosservati ai controlli basati sull'uso di definizioni antivirus ed euristica.

Le tecnologie di questo tipo, residenti in memoria, si occupano di osservare nel dettaglio le operazioni effettuate da ogni singolo programma in esecuzione mettendole in correlazione ed esaminando le varie dipendenze.

In questo modo, diviene possibile bloccare il malware prima che questo possa eseguire con successo operazioni dannose sul personal computer dell'utente.

Qualora un processo in esecuzione dovesse essere ritenuto sospetto, questo verrebbe istantaneamente interrotto e ne sarebbe impedito un successivo avvio.

I privilegi assegnati al software
Un'altra protezione che i vari produttori di soluzioni per la sicurezza stanno cercando di implementare  quella che consente di definire quali azioni siano permesse e quali non lo siano per una determinata applicazione.

Molti malware, infatti, sfruttano i privilegi assegnati ad un particolare software, del tutto legittimo, per attaccare il sistema dell'utente.

Un esempio su tutti  rappresentato dalla diffusione di file in formato Microsoft Office che, pur apparendo benigni, sono invece modificati ad arte da malintenzionati per sfruttare vulnerabilit gi conosciute (per le quali  stata messa a disposizione una patch) oppure ancora irrisolte (le cosiddette zero-day).

Un sistema di protezione che limita il raggio d'azione di ogni singola applicazione pu stroncare sul nascere l'attacco.

Il concetto di intelligenza collettiva
Una risposta particolarmente efficace nei confronti del "fenomeno malware", letteralmente decuplicatosi nel corso dell'ultimo biennio,  la cosiddetta intelligenza collettiva.

Questo tipo di approccio sfrutta l'ormai continua fruibilit della connessione Internet per rivoluzionare le modalit con cui i nuovi malware vengono rilevati, classificati e rimossi.

Se fino ad ora un personal computer veniva trattato come una singola unit e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d'insieme sui milioni di altri sistemi infettati, l'intelligenza collettiva mira a modificare questo quadro.

Grazie all'intelligenza collettiva, l'intero processo di isolamento e raccolta del malware, classificazione e risoluzione del problema pu essere eseguito online.

Dopo una prima analisi sul sistema locale, nel caso in cui vengano rilevati file sospetti, gli oggetti potenzialmente nocivi sono trasmessi ai server mantenuti dal produttore.

Qui, tutta una serie di procedure automatizzate si fanno carico dell'analisi approfondita di ogni campione pervenuto senza quindi impattare negativamente sulle performance del sistema dell'utente.

Gli stessi server si occupano di produrre e aggiornare i database relativi alle minacce presenti su internet: in questo modo  subito possibile confidare nel massimo livello di protezione anche nei confronti di malware nuovi, apparsi ad esempio soltanto su poche decine di sistemi.

Un altro vantaggio dell'intelligenza collettiva consiste nel quadro generale che questo approccio pu restituire agli ingegneri ed agli analisti dei laboratori antimalware. Domande relative all'origine di un malware e alle sue modalit di diffusione, possono trovare rapidamente risposta. Un aspetto, questo, che pu risultare particolarmente utile in fase di supporto all'attivit svolta dalle forze dell'ordine.

L'intelligenza collettiva  una delle soluzioni alle quali i vari produttori stanno guardando con sempre maggior interesse: il fenomeno malware non  contrastabile se i vari produttori non propongono soluzioni basate su un approccio centralizzato svincolato dal modello "PC-centric" sinora adottato.

Alle soluzioni di "intelligenza collettiva" ci si riferisce spesso con il termine pi generico in-the-cloud per indicare come il processo di rilevazione e classificazione delle minacce venga spostato su server remoti sfruttando la ormai continua fruibilit della connessione Internet.

Ogni volta che un software viene eseguito, il modulo client del software antimalware cerca nel proprio database online se il file sia gi conosciuto o meno, e nel caso sia ritenuto malevolo ne blocca immediatamente l'esecuzione.

Grazie a questo modus operandi, un prodotto antivirus non deve pi aggiornare il proprio archivio delle firme virali ma pu fare affidamento sul database online mantenuto costantemente up-to-date.

Gli strumenti di protezione
Il mercato offre decine di strumenti software per la protezione del personal computer.

Gli utenti che desiderano una protezione a 360 gradi, possono orientarsi sulle suite per la sicurezza che raccolgono, in un unico prodotto, antivirus, antimalware, firewall, antiphishing, antispam, meccanismi per la protezione dei dati personali, un modulo "parental control", funzionalit per il controllo del livello di sicurezza del sistema (presenza di tutte le patch).

I firewall
Mentre le suite per la sicurezza integrano anche un modulo firewall, gli antivirus free ne sono sprovvisti. L'adozione di un personal firewall sul sistema client  oggi un passo da considerarsi obbligato. I moderni firewall operano in modo "bidirezionale": non solo, cio, sono capaci di bloccare tentativi di attacco provenienti dalla Rete ma anche di sorvegliare costantemente l'attivit del sistema individuando tutti i tentativi di connessione da parte delle applicazioni installate. Un aspetto, questo, assolutamente cruciale.

Si immagini che un malware riesca ad insediarsi sul sistema in uso. Una delle prime operazioni che inizier a compiere, consister nello scambio di dati con server ospitanti software "maligni".

Sempre pi sovente accade, infatti, che un malware, dopo essersi installato su un personal computer, provveda a scaricare trojan, keylogger o altri componenti nocivi.

Spesso, poi, i malware "spiano" l'attivit dell'utente e trasmettono ad aggressori remoti informazioni personali e dati sensibili.

In altri casi, il sistema dell'utente viene utilizzato per l'invio di campagne di spam o, addirittura, viene aggiunto ad una botnet, una rete composta da computer violati, come abbiamo visto in precedenza, che pu essere controllata a distanza ed impiegata, da malintenzionati, per gli scopi illeciti pi disparati.

 importante, quindi, poter contare su un firewall che controlli anche il traffico in uscita dal personal computer.

In questo senso, il firewall integrato in XP con SP2 non prevede l'uso di regole per consentire o bloccare i tentativi di connessione verso l'esterno intentati dalle varie applicazioni installate.

Il Windows Firewall si  inoltre spesso dimostrato molto debole nei confronti di malware contenenti delle routine per la disabilitazione di questo componente.

Un netto miglioramento in tal senso, si  registrato con il rilascio di Windows Vista: il sistema operativo propone una versione di Windows Firewall che, finalmente, opera un filtraggio sui pacchetti di dati in uscita, mette a disposizione regolazioni avanzate per l'impostazione di indirizzi IP sorgenti o di destinazione, singole porte o intervalli.

Consigli pratici
Oltre a prestare particolare attenzione nella navigazione Internet e a usare software di protezione client dedicati, ci sono una serie di accorgimenti che il singolo utente pu seguire per aumentare il livello di sicurezza complessivo.

Eccone alcuni.

Utilizzare account utente sprovvisti di diritti amministrativi
L'impiego di account utente dotati di diritti limitati  un'ottima prassi per prevenire eventuali problemi conseguenti all'azione di malware.

Non si tratta certo della soluzione definitiva, ma si tratta di una prassi che pu aiutare i software di sicurezza ad individuare pi facilmente la presenza di un componente nocivo nella malaugurata situazione in cui esso dovesse riuscire ad insediarsi sul sistema.

Sebbene la frequente comparsa di messaggi di allerta sia stata criticata da molti utenti, la funzionalit UAC (User Account Control) introdotta in Windows Vista ha contribuito a proteggere efficacemente gli utenti di questo sistema operativo.

Il meccanismo segnala all'utente eventuali azioni, poste in essere da qualunque programma non firmato digitalmente da Microsoft, che provochino modifiche sulla configurazione del sistema in uso.

Soprattutto nelle precedenti versioni di Windows, come in Windows XP, l'utilizzo di un account utente limitato  una misura particolarmente efficace nella lotta contro i malware poich eventuali codici nocivi in esecuzione sul sistema non avrebbero massima libert di azione e non potrebbero quindi apportare interventi sulle aree critiche e sulla configurazione di Windows.

Va rammentato come l'impiego di un account dotato di diritti utente limitati non metta al riparo da tutti i problemi: un malware che dovesse riuscire ad insediarsi sul sistema potrebbe ancora riuscire ad installare rootkit in user mode per nascondere trojan o backdoor in grado di sottrarre dati personali e monitorare le attivit dell'utente.

Per l'utilizzo quotidiano del personal computer il consiglio  quello di creare, facendo riferimento all'icona Account utente del Pannello di controllo di Windows, un nuovo account modificandone quindi la tipologia (Cambia tipo account) a Limitato.

Mantenere aggiornati sistema operativo ed applicazioni
L'applicazione delle versioni pi aggiornate dei vari software utilizzati sul personal computer  la chiave di volta per non incorrere in problemi di sicurezza.

Gran parte degli attacchi che vengono quotidianamente sferrati possono andare a buon fine proprio a causa della mancata applicazione delle necessarie patch di sicurezza sul sistema in uso.

Secondo i dati resi noti da IBM X-Force, il numero delle vulnerabilit software scoperte sarebbe aumentato del 13,5% rispetto al 2007 con un incremento anche per quanto riguarda la loro gravit (15,3% per le falle di sicurezza critiche; 67,5% per quelle di importanza media).

Il 92% delle vulnerabilit sarebbe sfruttabile in modalit remota.

I software che si utilizzano per comunicare in Rete (browser, client e-mail, software per la messaggistica istantanea) sono quelli maggiormente bersagliati.

 comunque opportuno ricordarsi di mantenere aggiornati, ad esempio, anche i vari programmi utilizzati per la gestione dei file nei differenti formati (la suite per l'ufficio, il gestore di documenti PDF, il programma di grafica, la utility per l'apertura dei file compressi e cos via).

Se si apre un file "maligno", opportunamente modificato dall'aggressore per sfruttare una vulnerabilit software conosciuta,  possibile che il proprio sistema venga infettato o che vengano sottratti dati personali.

I rischi pi pesanti si corrono utilizzando applicazioni non correttamente aggiornate all'ultima versione.

Secondo i dati pubblicati da Secunia, azienda danese da anni attiva nel campo della sicurezza informatica, meno del 2% dei sistemi Windows analizzati sarebbe immune da qualunque tipo di attacco in grado di sfruttare vulnerabilit del sistema operativo e delle principali applicazioni (i cosiddetti codici exploit).

Sul 30% dei sistemi presi in esame, sempre secondo Secunia, verrebbero impiegati da uno a cinque programmi insicuri; sul 25% dei sistemi da 6 a 10 software potenzialmente vulnerabili ed addirittura sul 45,8% oltre 11 programmi non aggiornati.

Ecco, quindi, come sempre pi pagine Web pullulano di codici exploit in grado di far leva su vulnerabilit del browser, in primis, per eseguire azioni pericolose sul sistema dell'utente.

La miglior difesa consiste nella tempestiva installazione di tutte le patch di sicurezza rilasciate dai vari produttori.

Il modello di attacco, che si basava a inizio 2008 su codici JavaScript,  stato ampliato ricorrendo, per esempio, a documenti PDF ed elementi Flash come vettori di infezione.

Aprendo un documento PDF con una versione superata di Adobe Reader, si pu rischiare di causare l'esecuzione di malware.

Analoghi rischi si corrono impiegando versioni non aggiornate di Adobe Flash Player, dei componenti della suite Microsoft Office e cos via.

Nel caso di Flash Player sono state via a via scoperte vulnerabilit che permettono ad un aggressore di avviare attacchi inducendo la vittima a visualizzare, mediante il browser, file SWF modificati "ad arte" per sfruttare la falla di sicurezza.

L'installazione degli aggiornamenti pi recenti permette di mettersi al riparo da possibili aggressioni.

Anche i documenti PDF, proprio per il fatto di essere cos diffusi, sono spesso stati nell'occhio del ciclone.

Le aziende che sviluppano soluzioni per la sicurezza stanno gi tendendo a sviluppare nuove tecnologie per la prevenzione di exploit, un'emergenza considerata sempre pi prioritaria.

In questo modo, il software anti-malware si propone come ultima barriera di sicurezza per individuare e bloccare sul nascere tentativi di attacco basati sullo sfruttamento di vulnerabilit del sistema operativo e, soprattutto, dei programmi installati.

Anche per la difesa da attacchi zero-day si stanno facendo notevoli passi in avanti (grazie, in particolare, all'utilizzo di tecniche di intelligenza collettiva).

Per difendersi da attacchi zero-day  in primo luogo indispensabile che l'utente faccia proprio un concetto fondamentale: non esistono applicazioni "sicure" e qualsiasi programma pu essere oggetto di "un'aggressione".

 bene quindi documentarsi periodicamente sulle minacce apparse di recente e che sfruttano falle zero-day nonch usare massima attenzione nell'aprire documenti provenienti da fonti sconosciute.

Disabilitare la funzione autorun di Windows
Diversi esperti di sicurezza hanno recentemente riportato in auge un problema che interessa i sistemi Windows XP e Windows Server 2003.

Su tali sistemi operativi, se installati con la configurazione di default, le funzionalit che permettono di disabilitare l'autorun (ossia il particolare meccanismo che  in grado di eseguire automaticamente programmi o comandi all'inserimento di un CD ROM, di un'unit di memorizzazione rimovibile, eccetera) non operano in modo perfetto.

Molti utenti preferiscono disabilitare la funzionalit autorun sia per motivi di praticit (spesso si trova pi conveniente operare in maniera del tutto autonoma senza consentire a priori, ad esempio, l'esecuzione automatica del contenuto predefinito di un CD ROM) sia per difendersi dai virus.

Un sempre maggior numero di malware, infatti, una volta infettato un sistema, utilizza unit di memorizzazione esterne quali, per esempio, le comuni chiavette USB per diffondersi ulteriormente.

Il malware crea sulla chiave USB un file autorun.inf che a sua volta provvede a richiamare ed eseguire i file nocivi collegati all'azione del componente dannoso.

L'utente poco attento che dovesse passare la propria chiavetta USB "infetta" ad un collega o ad un amico, rischia cos di trasmettere il malware su altri sistemi.

 il caso, ad esempio, del worm Conficker che per diffondersi il pi possibile, oltre a sfruttare l'eventuale mancanza della patch "critica" MS08-067, infetta anche supporti di memorizzazione esterni come le chiavette USB.

Per disabilitare completamente la funzionalit autorun, Microsoft ha recentemente reso disponibile la patch KB967715 (http://support.microsoft.com/kb/967715).

Dopo aver controllato che sul proprio sistema sia stato correttamente installato l'aggiornamento (sui sistemi Windows Vista e Windows Server 2008 deve essere presente la patch KB950582 o MS08-038 in luogo di quella appena citata),  necessario cliccare su Start, Esegui quindi digitare gpedit.msc.

Alla comparsa della finestra Criterio gruppo, si dovr fare doppio clic sulla voce Modelli amministrativi (sezione Configurazione computer) quindi su Sistema ed infine su Disattiva riproduzione automatica.

Nota di redazione:
dopo aver aperto il menu avvio, aperto esegui con invio, digitato gpedit.msc e dato invio, fare come segue:
1.	Si apre la finestra "Criterio gruppo". E' una visualizzazione ad albero che si scorre con le frecce. 
2.	Posizionarsi sulla voce "Configurazione computer" ed aprirla con freccia destra. 
3.	Con freccia gi posizionarsi sulla voce "Modelli amministrativi" e premere freccia destra per aprirla. 
4.	Con freccia gi posizionarsi sulla voce "Sistema" e premere invio. 
5.	Con tab spostarsi al campo successivo, con freccia gi cercare la voce "Disattiva riproduzione automatica" e premere invio. 
6.	Si apre la finestra propriet di questa impostazione. Sul primo campo possiamo scegliere tra tre pulsanti radio e sceglieremo "Disattivato". 
7.	Tab fino ad applica e premere invio. 
8.	Tab fino ad OK e premere invio. 
9.	Alt pi F4 per chiudere la finestra delle propriet. 
10.	Alt pi F4 fino a chiudere tutto. 
Fine nota
Servendosi della successiva finestra, si dovr selezionare l'opzione Attivata quindi, per disabilitare l'autorun da qualsiasi genere di supporto di memorizzazione, scegliere Tutte le unit dal men a tendina.

Ripristino della visualizzazione delle estensioni dei file
Per impostazione predefinita, tutte le versioni di Windows non mostrano le estensioni dei file memorizzati sul disco fisso e su qualunque altra unit. Molti malware sfruttano questa impostazione di default per nascondere la loro reale estensione: dal momento che, ad esempio, il sistema operativo non mostra, nel caso dei file eseguibili, l'estensione .exe, alcuni malware spesso antepongono una seconda falsa estensione (esempio: nomemalware.jpg.exe).

L'utente pu essere cos tratto in inganno facendogli credere di essere dinanzi ad un'immagine in formato JPG quando, in realt, si tratta di un eseguibile.

Come suggerimento generale, quindi, consigliamo di riattivare la visualizzazione delle estensioni accedendo a Risorse del computer, cliccando su Strumenti, Opzioni cartella, sulla scheda Visualizzazione quindi deselezionando la casella Nascondi le estensioni per i tipi di file conosciuti. In questo modo, Windows mostrer in tutti i casi le estensioni dei file.

*********

Dal PDF "Strategie di sicurezza" distribuito da Trend Micro.

*********

La redazione.


