Le minacce più comuni che si possono incontrare utilizzando internet

Che cos'è un Virus?

Nell'ambito dell'informatica un virus è un software, appartenente alla categoria dei malware, che è in grado, una volta eseguito, di infettare dei file in modo da riprodursi facendo copie di sé stesso, generalmente senza farsi rilevare dall'utente. I virus possono essere o non essere direttamente dannosi per il sistema operativo che li ospita, ma anche nel caso migliore comportano un certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso. Come regola generale si assume che un virus possa danneggiare direttamente solo il software della macchina che lo ospita, anche se esso può indirettamente provocare danni anche all'hardware, ad esempio causando il surriscaldamento della CPU mediante overclocking, oppure fermando la ventola di raffreddamento.
Nell'uso comune il termine virus viene frequentemente ed impropriamente usato come sinonimo di malware, indicando quindi di volta in volta anche categorie di "infestanti" diverse, come ad esempio worm, trojan o dialer.

I virus informatici presentano numerose analogie con quelli biologici per quello che riguarda il ciclo di vita, che si articola nelle fasi seguenti:

creazione: è la fase in cui lo sviluppatore progetta, programma e diffonde il virus. Di solito i cracker per la realizzazione di virus utilizzano linguaggi di programmazione a basso livello (quali l'assembler e C) in modo da ottenere codice virale di pochi centinaia di byte. La diffusione di pacchetti software che permettono anche ad utenti inesperti di creare virus pericolosissimi ha reso accessibile il procedimento di creazione anche a persone senza competenze.

incubazione: il virus è presente sul computer da colpire ma non compie alcuna attività. Rimane inerte fino a quando non si verificano le condizioni per la sua attivazione.

infezione: il virus infetta il file e di conseguenza il sistema.

attivazione: al verificarsi delle condizioni prestabilite dal cracker, il virus inizia l'azione dannosa.

propagazione: il virus propaga l'infezione, riproducendosi e infettando sia file nella stessa macchina che altri sistemi.

riconoscimento: il virus viene riconosciuto come tale e viene individuata la stringa di riconoscimento, ossia la firma che contraddistingue ciascun virus.

estirpazione: è l'ultima fase del ciclo vitale del virus. Il virus viene eliminato dal sistema.

Dove si trova? E come funziona?

Un virus è composto da un insieme di istruzioni, come qualsiasi altro programma per computer. È solitamente composto da un numero molto ridotto di istruzioni, (da pochi byte ad alcuni kilobyte), ed è specializzato per eseguire soltanto poche e semplici operazioni e ottimizzato per impiegare il minor numero di risorse, in modo da rendersi il più possibile invisibile. Caratteristica principale di un virus è quella di riprodursi e quindi diffondersi nel computer ogni volta che viene aperto il file infetto.
Tuttavia, un virus di per sé non è un programma eseguibile, così come un virus biologico non è di per sé una forma di vita. Un virus, per essere attivato, deve infettare un programma ospite, o una sequenza di codice che viene lanciata automaticamente, come ad esempio nel caso dei boot sector virus. La tecnica solitamente usata dai virus è quella di infettare i file eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile che deve infettare, pone tra le prime istruzioni di tale eseguibile un'istruzione di salto alla prima linea della sua copia ed alla fine di essa mette un altro salto all'inizio dell'esecuzione del programma. In questo modo quando un utente lancia un programma infettato viene dapprima impercettibilmente eseguito il virus, e poi il programma. L'utente vede l'esecuzione del programma e non si accorge che il virus è ora in esecuzione in memoria e sta compiendo le varie operazioni contenute nel suo codice.
Principalmente un virus esegue copie di sé stesso spargendo l'epidemia, ma può avere anche altri compiti molto più dannosi (cancellare o rovinare dei file, formattare l'hard disk, aprire delle backdoor, far apparire messaggi, disegni o modificare l'aspetto del video, …)

 

Capacità distruttive

A seconda del tipo di danni causati, i virus si classificano in:
innocui: se comportano solo una diminuzione dello spazio libero sul disco senza nessun'altra alterazione delle operazioni del computer;
non dannosi: se comportano solo una diminuzione dello spazio libero sul disco, col mostrare grafici, suoni o altri effetti multimediali.
dannosi: possono provocare problemi alle normali operazioni del computer (ad esempio, cancellazione di alcune parti dei file);
molto dannosi: Causano danni difficilmente recuperabili come la cancellazione di informazioni fondamentali per il sistema (formattazione di porzioni del disco).

 

Sintomi più frequenti di infezione

• Rallentamento del computer: il computer lavora molto più lentamente del solito. Impiega molto tempo ad aprire applicazioni o programmi. Il sistema operativo impiega molto tempo ad eseguire semplici operazioni che solitamente non richiedono molto tempo[11];
  

• Impossibilità di eseguire un determinato programma o aprire uno specifico file;
  

• Scomparsa di file e cartelle: i file memorizzati in determinate cartelle (di solito quelle appartenenti al sistema operativo o a determinate applicazioni) sono scomparse perché cancellate dal virus. Potrebbero scomparire intere cartelle e directory;
  

• Impossibilità di accesso al contenuto di file: all'apertura di un file, viene visualizzato un messaggio di errore o semplicemente risulta impossibile aprirlo. Un virus potrebbe aver modificato la File Allocation Table (FAT) provocando la perdita degli indirizzi che sono il punto di partenza per la localizzazione dei file;
  

• Messaggi di errore inattesi o insoliti: visualizzazione di finestre di dialogo contenenti messaggi assurdi, buffi, dispettosi o aggressivi;
  

• Riduzione di spazio nella memoria e nell’hard disk: riduzione significativa dello spazio libero nell’hard disk; quando un programma è in esecuzione, viene visualizzato un messaggio indicante memoria insufficiente per farlo (sebbene questo non sia vero e ci siano altri programmi aperti);
  

• Settori difettosi: un messaggio informa della esistenza di errori nella parte di disco sulla quale si sta lavorando e avverte che il file non può essere salvato o che non è possibile eseguire una determinata operazione;
  

• Modifiche delle proprietà del file: il virus modifica alcune o tutte le caratteristiche del file che infetta. Di conseguenza risultano non più corrette o modificate le proprietà associate al file infettato. Tra le proprietà più colpite: data/ora (di creazione o dell’ultima modifica), la dimensione…;
  

• Errori del sistema operativo: operazioni normalmente eseguite e supportate dal sistema operativo determinano messaggi di errore, l’esecuzione di operazioni non richieste o la mancata esecuzione dell’operazione richiesta;
  

• Duplicazione di file: se ci sono due file con lo stesso nome ma con estensione rispettivamente EXE e COM, quello con estensione COM sarà un virus. I virus fanno così perché in caso di presenza di due file con lo stesso nome il sistema operativo eseguirà sempre per primo quello con estensione COM;
  

• Ridenominazione di file: un virus può rinominare i file infettati e/o file specifici;
  

• Problemi di avvio del computer: il computer non si avvia o non si avvia nella solita maniera;
  

• Blocchi del computer: nonostante l’apertura di pochi o nessun programma e la mancanza di un pesante carico sul sistema, questo si blocca (‘crasha’), rendendo necessario l’utilizzo del Task Manager per rimuovere il task bloccato o riavviare il computer;
  

• Interruzione del programma in esecuzione senza che l’utente abbia eseguito operazioni inaspettate o fatto qualcosa che potrebbe aver provocato questo risultato;
  

• Apertura e chiusura del lettore Cd/DVD senza intervento dell’utente;
  

• Tastiera e/o mouse non funzionanti correttamente: la tastiera non scrive ciò che è digitato dall’utente o esegue operazioni non corrispondenti ai tasti premuti. Il puntatore del mouse si muove da solo o indipendentemente dal movimento richiesto dall’utente;
  

• Scomparsa di sezioni di finestre: determinate sezioni (pulsanti, menu, testi etc…) che dovrebbero apparire in una particolare finestra sono scomparse o non vengono visualizzate. Oppure, in finestre nelle quali non dovrebbe apparire nulla, appaiono invece icone strane o con contenuto insolito (ad esempio nella taskbar di Windows
  

• Riavvio spontaneo del computer;
  

• Antivirus disattivato automaticamente;
  

• Programmi all'improvviso non più funzionanti o malfunzionanti;
  

• Lentezza della connessione Internet;
  

• Emissione da parte del computer di suoni insoliti;
  

• Microsoft Internet Explorer si blocca o comunque funziona male dando continui errori (ad esempio non riesce a chiudere la finestra delle applicazioni)
  

Si tenga comunque presente che i sintomi appena descritti potrebbero essere riconducibili a cause diverse da virus. Nel caso di presenza di uno o più di questi sintomi, è comunque consigliabile l'esecuzione di una scansione antivirus del sistema.



Che cos'è un Trojan?

Un trojan o trojan horse (in italiano cavallo di troia), è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.
I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima. A volte agiscono insieme: un worm viene iniettato in rete con l'intento di installare dei trojan sui sistemi. Spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti. Vengono in genere riconosciuti da un antivirus aggiornato come tutti i malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, è possibile che esso venga rilevato, con la scansione euristica, come probabile malware.
Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.
All'incirca negli anni successivi al 2001 o 2002 i trojan incominciarono ad essere utilizzati sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o anche solo indirizzi email.
I Trojan di nuova generazione hanno molteplici funzionalità, quali connessioni tramite bot IRC, formando appunto Botnet, e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit. I Trojan sono sempre più diffusi e non tutti riconoscibili dagli attuali antivirus, per alcuni dei quali riescono anche a impedire l'aggiornamento.
I Trojan per essere più efficaci si nascondono nelle cartelle nascoste del sistema operativo, dove l'utente non può avere accesso. Nascondendosi in queste cartelle nemmeno l'antivirus può eliminarli agendo così nel danneggiare il computer. Se questo accade, il Trojan può essere individuato e rimosso solo tramite l'eliminazione totale dei dati ad opera di un informatico esperto.



Che cos'è uno Spyware?

Uno spyware è un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata. I programmi per la raccolta di dati che vengono installati con il consenso dell'utente (anche se spesso negando il consenso non viene installato il programma) non sono propriamente spyware, sempre che sia ben chiaro all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga.

In un senso più ampio, il termine spyware è spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l'installazione di dialer truffaldini per numeri a tariffazione speciale

Gli spyware, a differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente, quindi richiedono l'intervento dell'utente per essere installati. In questo senso sono dunque simili ai trojan. Uno spyware può essere installato sul computer di un ignaro utente sfruttando le consuete tecniche di ingegneria sociale. Molti programmi offerti "gratuitamente" su Internet nascondono in realtà un malware di questo tipo: il software dunque non è gratuito, ma viene pagato attraverso un'invasione della privacy dell'utente, spesso inconsapevole. In alcuni casi, la stessa applicazione che promette di liberare dagli spyware ha in realtà installato spyware o è essa stessa uno spyware^[1].
Molti software sono diffusi dichiarando in modo più o meno esplicito di contenere un componente che verrà utilizzato per tracciare le abitudini di navigazione dell'utente: in questo caso siamo in presenza non di uno spyware propriamente detto, ma di un programma rilasciato con licenza adware.
Talvolta l'installazione di spyware viene eseguita in maniera ancora più subdola, attraverso pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser o dei loro plug-in; in questo caso si parla di drive by download (o installazione tramite exploit).
Gli spyware possono anche far parte del payload di un malware a diffusione automatica, come un worm, ma questo metodo di diffusione è assai meno comune.
Alcuni spyware vengono eseguiti solo quando si utilizza l'applicazione di cui fanno parte e con cui sono stati installati e la loro esecuzione cessa nel momento in cui si chiude detto programma. Molti hanno invece un comportamento più invasivo, simile a quello di molti trojan o worm: modificano infatti il sistema operativo del computer ospite in modo da essere eseguiti automaticamente ad ogni avvio.
In alcuni casi il meccanismo dei cookies può assumere connotazioni e scopi simili a quelli degli spyware, ma generalmente con rischi nettamente più limitati per l'utente e con efficacia limitata al sito Web che li usa.
Gli spyware costituiscono innanzi tutto una minaccia per la privacy dell'utente, in quanto carpiscono senza autorizzazione informazioni sul suo comportamento quando connesso ad Internet: tempo medio di navigazione, orari di connessione, siti Web visitati, se non dati più riservati come gli indirizzi e-mail e le password. Le informazioni raccolte vengono inviate ad un computer remoto che provvede ad inviare pubblicità mirata sulle preferenze ricavate dall'analisi del comportamento di navigazione. Gli annunci possono essere ricevuti sotto forma di pop-up, banner nei siti Web visitati o nel programma contenente lo spyware o, nei casi più invasivi, posta elettronica non richiesta (spam). Talvolta lo spyware è utilizzato da vere e proprie organizzazioni criminali, il cui obiettivo è utilizzare le informazioni raccolte per furti di denaro tramite i dati di home banking o tramite i numeri di carta di credito.
Questi malware portano con sé anche delle conseguenze sul funzionamento del computer su cui sono installati. I danni vanno dall'utilizzo di banda della connessione ad Internet, con conseguente riduzione della velocità percepita dall'utente, all'occupazione di cicli di CPU e di spazio nella memoria RAM, fino all'instabilità o al blocco del sistema. Tali conseguenze sono effetti collaterali dell'attività principale degli spyware, ossia quella della raccolta di informazioni. Nessuno spyware ha lo scopo di rendere inutilizzabile il sistema su cui è installato, dato che esso deve essere funzionante per consentire la raccolta e l'invio delle informazioni. Malfunzionamenti sono tuttavia piuttosto comuni, soprattutto nel caso si accumulino molti spyware.
I sistemi Windows non protetti, se usati con inconsapevole leggerezza, possono accumulare centinaia di spyware. La presenza di una tale mole di applicazioni indesiderate causa una notevole diminuzione delle prestazioni del sistema e considerevoli problemi di stabilità. Un altro sintomo comune di una grave infezione da spyware è la difficoltà di connettersi ad Internet, oppure la presenza di tentativi di connessione non richiesti dall'utente.
Spesso tali malfunzionamenti vengono attribuiti dall'utente a difetti del sistema operativo, a problemi hardware o a virus, causando quindi azioni radicali come la formattazione e reinstallazione del sistema operativo o il ricorso all'assistenza tecnica, con notevoli perdite di tempo e di denaro.
Alcuni spyware inducono perfino a credere che l'eventuale firewall installato sul computer stia funzionando male, simulando messaggi di errore di applicazioni legittime allo scopo di indurre l'utente a concedere l'accesso ad Internet al componente spyware, se non addirittura a disabilitare o disinstallare il firewall stesso.