Virus, Spam, Spyware (dalle minacce più evidenti a quelle più nascoste) - Worm

Come al solito sono estremamente dispiaciuto dal fatto di non riuscire a trovare tempo e contenuti originali da dedicare a questo servizio.

Dunque bando alle ciance ci terrei a continuare la publicazione di quanto da me prodotto in ambito di " sucurezza informatica".
L'ultima volta ci eravamo fermati ai Virus, questa volta proviamo a vedere delgi stretti parenti conosciuti come Worm.

A voi l'onore della lettura.

Ciao e tutti e grazie per l'attenzione,
M@rcello;-)



La diminuzione dei costi in rapporto ai vantaggi introdotti dall’indubbia efficienza e funzionalità dei servizi offerti, ha aumentato in questi ultimi anni, in maniera molto significativa, le connessioni a internet presenti.
Questo così diffuso strumento ha così stimolato lo sviluppo di altre forme di veicolazione per codici maliziosi.
Non solo, l’introduzione di sistemi operativi in grado di eseguire più operazioni alla volta, più programmi contemporaneamente (in gergo definiti multitask), ha definito non solo un nuovo standard nella programmazioni di applicazioni, ma bensì anche di nuove e raffinate tecniche per l’esecuzione di codice malware.

In questo senso si è pensato: “Perché dunque perdere tempo nel tentativo di distribuire un virus tramite forme così lente e obsolete quali dischetti floppy o cd-rom, quando è possibile sfruttare un veicolo ben più efficiente e capillare quale la rete? E poi, perché rendere inservibile l’ospite colpito, quando poi lo si può costringere a fare il proprio “sporco lavoro”?”

Ecco che, da queste considerazioni, sono nate nuove tipologie di virus. Virus in grado di diffondersi autonomamente, senza l’ausilio di un veicolo specifico, e che sono in grado di prendere il controllo dell’ospite costringendolo così a propagare l’infezione su altri sistemi a lui connessi.
Inoltre questo tipo di virus, una volta entrato in azione, fa di tutto per rimanere attivo, tanto da preoccuparsi di effettuare una vera e propria installazione sul sistema ospite di modo che ad ogni accensione venga rimandato in esecuzione. Per non parlare poi dei tentativi di arresto dei servizi antivirus più conosciuti.
Questa variante di virus ha preso il nome di Worm.

Le tecniche di diffusione dei worm sono davvero molteplici: a volte i possibili bersagli posso essere sistemi connessi alla rete non adeguatamente protetti o affetti da errori di programmazione (o bug), a volte delle cartelle condivise sprovviste di password, molto più spesso possono essere i sistemi di posta elettronica.
Questi malware sfruttano così le connessioni di rete attive e si propagano su di esse alla ricerca di sistemi da colpire, nel tentativo di infettarne quanti più possibile.

C’è d’aggiungere che, oltre a diffondere l’infezione, alcuni worm di ultima generazione possono avere come ulteriore scopo il consumo delle risorse di rete, inondando così il sistema di richieste di connessioni, per non parlare dell’effetto spam[1] che esercitano su tutti gli altri sistemi connessi.

Worm attraverso la e-mail

La strategia più comunemente utilizzata da alcuni worm sfrutta il mezzo della posta elettronica.

Generalmente il worm prende il controllo del sistema di posta dell’ospite, dopo di che attraverso svariati espedienti cerca la replica.

C’è da premettere una considerazione: se è vero che il worm per proliferare può prendere il controllo del client di posta, è anche vero che non è indispensabile che lo faccia. Esistono infatti dei worm estremamente più complessi che, una volta all’opera, si preoccupano autonomamente di recuperare tutte le informazioni indispensabili ed effettuare decine di invii senza nessun tipo di ausilio esterno.

… ma a chi spedire?

Abbiamo detto che il worm si diffonde attraverso il sistema di posta, ma come esattamente?

In questo senso il sistema è molto semplice: viene spedito o segnalato un file infetto (il vero e proprio worm) tramite posta elettronica, nel tentativo che il sistema o addirittura l’utente che lo riceve sia invogliato a eseguirlo.

A questo punto le possibilità che si hanno per raggiungere l’obbiettivo sono realmente molteplici.
Tanto per cominciare bisogna recuperarsi l’indirizzo e-mail di una possibile vittima.
In casi molto semplici il worm allega un file infetto a tutti i messaggi in uscita (in questo caso viene considerato un worm di tipo @m. Ovvero mailer). Altre volte si preoccupa di rispondere a tutti i messaggi in ingresso. Altre ancora effettua una ricerca all’interno della rubrica dei client di posta più diffusi. Mentre in casi ben più gravi invece effettua una scansione dell’intero contenuto delle memorie di massa del sistema registrando così ogni possibile indirizzo di posta ritrovato (in questi ultimi casi prende il nome di @mm. Ovvero mass-mailer).

I messaggi così prodotti possono avere come mittente l’indirizzo dell’utente che ha in gestione il sistema infetto. Altre volte, l’indirizzo può risultare del tutto fasullo. Altre volte ancora, ed è il sistema che viene più comunemente usato per una ben precisa strategia di tipo spam (che avremmo modo di spiegare più avanti), sono gli appartenenti alla “rubrica” costruita dal worm stesso!

Il messaggio è vero o no?

Una volta stabilito a chi mandare e da parte di chi inviare il messaggio c’è da stabilire in che modo fare credere all’utente che questo sia un messaggio attendibile; un messaggio che sia pertanto credibile e che induca così a fidarsi di “leggerlo”.
Abbiamo già detto che se il worm si allega a tutti i messaggi in uscita o risponde a quelli in ingresso, il contenuto e il soggetto dello stesso risulteranno quelli che l’autore ha creato (ma in alcuni casi può essere anche non del tutto vero).
A volte il messaggio e il soggetto risultano il frutto di un modello predefinito. Altre volte (e qui ricadiamo nel solito gioco delle strategie …), il documento può essere composto da parte di testo recuperato o da messaggi presenti nel client di posta o addirittura nei documenti presenti nel computer!

Questione di estensione

Dopo aver a lungo faticato per recuperare un indirizzo di posta di un destinatario, di un mittente per cui essere riconosciuti, un soggetto e un corpo del testo adeguati, si arriva finalmente allo scopo ultimo dei worm, ovvero replicarsi.
Abbiamo già accennato che in questi casi la strategia usata è allegare un file eseguibile infetto al messaggio in uscita.

Anche se per correttezza c’è d’aggiungere che non è l’unica strategia possibile. Infatti alcuni worm molto più sofisticati possono utilizzare allo stesso scopo il corpo del testo (prodotto in html), che risulta essere il vero e proprio portatore del codice maligno. Viceversa in altri casi può capitare che vi sia presente un link riferito ad alcune pagine web da dove poter reperire l’eseguibile infetto vero e proprio.
In conclusione le strategie d’attacco risultano davvero molteplici, diventando via via sempre più sofisticate con l’introduzione di nuovi sistemi di protezione, in una continua rincorsa tra proteggere ed eludere i nuovi impianti messi a difesa. In questa sezione ci preoccupiamo di esplorare alcuni aspetti, i più comuni e i più utilizzati, di modo da fornire un quadro della situazione quanto più ampio.

Alcuni worm proprio per questo motivo, talvolta sfruttano del codice html nel corpo del messaggio (lo stesso codice, per intenderci, che viene utilizzato nelle pagine web, e che aiuta a rendere i messaggi di posta più “belli”; permette l’inserimento di formattazione nel testo come il grassetto o il corsivo, oppure l’aggiunta di immagini o effetti multimediali, di sicuri risultati, ma in definitiva di dubbia utilità) che, una volta interpretato dal client di posta affetto da difetto, non fa altro che mandare in esecuzione il codice maligno o l’allegato.

Quindi, a seconda del comportamento del worm, una volta ricevuta la lettera infetta, o la stessa o l’allegato potrà autoesegursi sulla macchina vittima sfruttando alcune possibili vulnerabilità o impostazioni di fabbrica mal valutate di alcuni client di posta (magari gli stessi client così belli e ricchi di funzioni più o meno utili che però a livello di sicurezza possono lasciare davvero a desiderare). In altri casi il messaggio potrebbe risultare tanto appetibile da essere così mandato in esecuzione dallo stesso ignaro utente.

Se invece la strategia utilizzata vuole spingere a far eseguire l’allegato all’ignaro utente, si può cercare di sfruttare la sua assoluta buona fede; pertanto, può capitare che tale allegato si presenti in una veste del tutto innocua.
A volte può essere un nome accattivante tipo “I_love_you.vbs”; altre volte, sfruttando sempre alcune impostazioni di default (un po’ discutibili) di alcuni client di posta o sistemi operativi che limitano la visualizzazione del nome file al solo nome e non all’estensione di riferimento, si presentano con un formato del tipo a doppia estensione (es.: “my_document.txt.pif”). L’effetto che si avrà sul video sarà “my_document.txt”!, lasciando intendere che si tratti di un innocuo documento di testo e non di un’eseguibile vero e proprio!

Worm attraverso la rete

Ormai celebri sono diventati i tentativi di utilizzare le vulnerabilità di funzionamento dei sistemi operativi nel tentativo di “piegarli” ai proprio scopi.

Alcuni worm non necessitano dei sistemi di posta per propagarsi, perché possono benissimo effettuare una scansione della rete ed, una volta trovata una macchina che corrisponde ai propri requisiti, attaccarla e prenderne possesso.
Spesso ciò capita perché queste macchine sono affette da errori di programmazione o di configurazione che, se sfruttati, possono dare adito a queste categorie di rischio.

Una volta che un worm ha preso il controllo del sistema ospite ha adempiuto sostanzialmente il suo scopo. Da qui può continuare l’infezione ma, cosa più grave, può continuare a fare quello per cui è stato progettato; per esempio trasformare l’ospite in uno zombie, ovvero un pc “privo di volontà propria”, al servizio di un padrone remoto!
Davvero clamorosi sono stati i casi di interruzione di alcuni sevizi Internet a causa di eccessivo carico di lavoro richiesto da migliaia di macchine infette, che come cellule impazzite perseguivano nel fare richieste di connessione.

Concludendo, si capisce come questo tipo di malware sia in grado di minacciare costantemente la sicurezza dei nostri dati, senza considerare che un worm può essere un veicolo per un virus se non, peggio ancora, per un Troian Horse.



[1] Vedi Capitolo 3 “Pericoli dalla Rete”, sezione “Spam”

Nessun commento: