Tipi di minacce informatiche

In questa classificazione il termine "minaccia informatica" significa qualsiasi strumento software che sia indirettamente o direttamente capace di causare un danno al computer, alla rete, alle informazioni o ai diritti dell'utente (cioè programmi malevoli e altri programmi indesiderati). In senso più ampio, il termine "minaccia informatica" può significare qualsiasi potenziale pericolo per il computer o la rete (cioè una vulnerabilità che può essere sfruttata per condurre attacchi hacker).

Tutti i tipi di programmi descritti sotto sono potenzialmente capaci di mettere a rischio i dati dell'utente o la loro riservatezza. Di solito, non vengono categorizzati come minacce i programmi che non nascondono la loro presenza nel sistema (per esempio, alcuni programmi per l'invio dello spam o per l'analisi del traffico dati), sebbene in determinate circostanze anche tali programmi possano causare un danno all'utente.

Virus informatici

Questo tipo di minacce informatiche può incorporare il suo codice eseguibile in altri programmi. Tale incorporazione si chiama infezione. Nella maggior parte dei casi il file infetto diventa lui stesso portatore del virus, mentre il codice incorporato non necessariamente del tutto corrisponde all'originale. La maggior parte dei virus viene creata per danneggiare o distruggere dati.

Nell'azienda Doctor Web i virus sono divisi per il tipo di file che loro infettano:

•I virus di file infettano i file del sistema operativo (di solito, file eseguibili e librerie dinamiche) e diventano attivati all'accesso a un file infettato.

•I macro virus infettano documenti che vengono utilizzati dai programmi dal pacchetto Microsoft Office (e da altri programmi che utilizzano macro scritte, per esempio, nel linguaggio Visual Basic). Le macro – programmi incorporati, scritti in un linguaggio di programmazione a pieno titolo che possono avviarsi in determinate condizioni (per esempio, in Microsoft Word le macro possono avviarsi all'apertura, la chiusura o il salvataggio di un documento).

•I virus di script sono scritti nei linguaggi di scripting, e nella maggior parte dei casi infettano altri file di script (per esempio, i file di servizio del sistema operativo). Possono infettare anche altri tipi di file che supportano l'esecuzione di script, utilizzando script vulnerabili in applicazioni web.

•I virus di boot infettano i settori di avvio di dischi e partizioni, nonché i master boot record di dischi rigidi. Occupano poca memoria e rimangono pronti per svolgere le loro funzioni fino a quando il sistema operativo non verrà scaricato da memoria, riavviato o arrestato.

La maggior parte dei virus possiede alcuni meccanismi di difesa dal rilevamento. I metodi di difesa dal rilevamento vengono migliorati di continuo, perciò per i programmi antivirus vengono sviluppati nuovi metodi per superare questa difesa. I virus possono essere divisi secondo il principio di difesa dal rilevamento:

•I virus cifrati criptano il proprio codice a ogni infezione nuova, il che ne ostacola il rilevamento in un file, nella memoria o in un settore di avvio. Ciascuna copia di tale virus contiene solo un breve frammento comune (la procedura di decifratura) che può essere selezionato come firma antivirale.

•I virus polimorfi utilizzano, oltre alla cifratura del codice, una procedura di decifratura specifica che cambia sé stessa in ciascuna copia nuova del virus, quindi per tale virus non esistono firme antivirali di byte.

•I virus stealth (virus invisibili) intraprendono azioni speciali per mascherare le loro attività al fine di nascondere la loro presenza negli oggetti infetti. Tale virus memorizza le caratteristiche di un oggetto prima dell'infezione e quindi trasmette i vecchi dati quando arriva una richiesta del sistema operativo o di un programma che cerca file modificati.

Inoltre, i virus possono essere classificati secondo il linguaggio in cui sono scritti (la maggior parte è scritta nel linguaggio assembly, ma ci sono anche virus scritti nei linguaggi di programmazione di altro livello, linguaggi di scripting ecc.) e secondo il sistema operativo che viene infettato.

Worm

Recentemente i programmi malevoli del tipo "worm" sono diventati molto più diffusi dei virus e degli altri programmi malevoli. Così come i virus, i worm sono in grado di creare copie di sé, ma non infettano altri oggetti. Un worm si infiltra su un computer dalla rete (il più delle volte come allegato a un'email o attraverso internet) e invia le proprie copie funzionali su altri computer. Per iniziare a diffondersi, i worm possono utilizzare sia le attività dell'utente che una modalità automatica di selezione del computer da attaccare.

I worm non necessariamente sono costituiti per intero da un singolo file (il corpo del worm). Molti worm hanno la cosiddetta parte di infezione (un codice shell) che viene caricata nella memoria operativa del computer e ulteriormente scarica dalla rete il corpo stesso del worm come un file eseguibile. Fino a quando il corpo del worm non c'è nel sistema, è possibile liberarsene riavviando il computer (a riavvio la memoria operativa viene azzerata). Ma se il corpo del worm è già presente nel sistema, soltanto un antivirus può affrontarlo.

Propagandosi intensamente, i worm possono mettere fuori servizio intere reti anche quando non hanno alcun payload (cioè non causano un danno diretto al sistema).

Nell'azienda Doctor Web i worm sono divisi in base al modo (ambiente) di propagazione:

•I worm di rete si diffondono tramite vari protocolli di rete e protocolli di condivisione di file.

•I worm di posta si diffondono tramite i protocolli di email (POP3, SMTP ecc.).

•I worm di chat si diffondono utilizzando i programmi di messaggistica istantanea più comuni (ICQ, IM, IRC ecc.).

Trojan

Questo tipo di programmi malevoli non è in grado di autoreplicarsi. I programmi trojan sostituiscono uno dei programmi frequentemente avviati e svolgono le sue funzioni (o simulano di svolgere queste funzioni) eseguendo contemporaneamente qualche attività malevola (corruzione e cancellazione dei dati, invio di informazioni riservate ecc.) o rendendo possibile l'uso non autorizzato del computer da parte di un malintenzionato, per esempio, per causare danni a terzi.

Questi programmi hanno funzioni malevole e mimetiche simili a quelle dei virus e persino possono essere un modulo dei virus, ma di regola i trojan vengono distribuiti come file eseguibili separati (vengono collocati su file server, registrati su supporti di informazione o inviati in email come allegati) che vengono eseguiti dall'utente stesso o da un determinato processo del sistema.

I trojan sono molto difficili da classificare, in primo luogo, perché spesso vengono distribuiti dai virus e worm, in secondo luogo, le azioni malevole che possono essere eseguite da altri tipi di minacce solitamente vengono imputate solo ai programmi trojan. Di seguito è riportato un elenco di alcuni tipi di programmi trojan che l'azienda Doctor Web classifica in classi separate:

•I backdoor – programmi trojan che consentono di ottenere l'accesso privilegiato al sistema aggirando il meccanismo di accesso e protezione esistente. I backdoor non infettano file; si trascrivono nel registro, modificando le chiavi.

•I rootkit sono studiati per intercettare le funzioni del sistema operativo al fine di nascondere la propria presenza nel sistema. Inoltre, i rootkit possono nascondere i processi di altri programmi, diverse chiavi del registro, cartelle e file. Un rootkit si diffonde come programma indipendente o come componente aggiuntivo di un altro programma malevolo. In base al principio di funzionamento i rootkit sono convenzionalmente divisi in due gruppi: quelli che funzionano in modalità utente (intercettano le funzioni delle librerie di modalità utente) (User Mode Rootkits – UMR) e quelli che funzionano in modalità kernel (intercettano le funzioni a livello di kernel del sistema, il che rende notevolmente più difficile il rilevamento e la neutralizzazione) (Kernel Mode Rootkits – KMR).

•I keylogger (software che catturano eventi della tastiera) vengono utilizzati per raccogliere i dati che l'utente immette tramite la tastiera. Lo scopo di tali azioni è il furto di informazioni personali (per esempio, password di rete, login, numeri di carte di credito ecc.).

•I clicker sostituiscono i link quando si fa clic su di essi e in questo modo reindirizzano l'utente su determinati siti web (probabilmente malevoli). Di solito, il reindirizzamento viene effettuato per aumentare il traffico pubblicitario di siti web o per organizzare attacchi denial of service distribuiti (attacchi DDoS).

•I trojan proxy forniscono al malintenzionato l'accesso anonimo a internet attraverso il computer della vittima.

Oltre a quelle elencate, i trojan possono eseguire anche altre funzioni malevole, per esempio cambiare la pagina iniziale nel browser o rimuovere determinati file. Tali azioni però possono essere eseguite anche da altri tipi di minacce (per esempio, dai virus e worm).

Hacktool

Gli hacktool vengono creati per lo scopo di aiutare un intruso. Il tipo più comune di tali programmi sono gli scanner delle porte che consentono di scoprire vulnerabilità nei firewall e in altri componenti di protezione del computer. Oltre agli hacker, anche gli amministratori possono utilizzare questi strumenti per controllare la sicurezza delle loro reti. Talvolta vengono classificati come hacktool i programmi che utilizzano metodi di social engineering (ingegneria sociale).

Adware

Il più delle volte questo termine significa un codice software incorporato in vari programmi gratuiti, utilizzando i quali l'utente è costretto a visualizzare pubblicità. Tuttavia, tale codice può talvolta essere distribuito di nascosto attraverso altri programmi malevoli e può visualizzare pubblicità, per esempio nei browser. Spesso gli adware funzionano sulla base dei dati raccolti dai programmi spyware.

Joke

Questo tipo di programmi malevoli, così come gli adware, non causa alcun danno diretto al sistema. Il più delle volte, gli joke generano avvisi di errori inesistenti e minacciano di azioni che possono portare alla corruzione dei dati. La loro funzione principale è quella di intimidire o infastidire l'utente.

Dialer

Questi sono programmi per computer speciali progettati per scansionare un range di numeri di telefono per trovare un numero su cui risponderà un modem. In seguito, i malintenzionati utilizzano i numeri trovati per aumentare furtivamente il pagamento per il telefono o per connettere impercettibilmente l'utente tramite il modem a costosi servizi telefonici.

Riskware

Questi programmi non sono stati creati per causare danni, ma in virtù delle loro caratteristiche possono rappresentare un rischio per la sicurezza del sistema. A tali software appartengono non solo quelli che possono danneggiare o cancellare accidentalmente i dati, ma anche quelli che possono essere utilizzati dagli hacker o da altri programmi per causare danni al sistema. Possono essere classificati come riskware diversi programmi di comunicazione e amministrazione in remoto, server FTP ecc.

Oggetti sospetti

Agli oggetti sospetti appartiene qualsiasi potenziale minaccia rilevata tramite l'analisi euristica. Tali oggetti possono essere qualsiasi tipo di minacce informatiche (probabilmente persino un tipo non ancora conosciuto dagli specialisti di sicurezza informatica), o possono essere sicuri in caso di falso positivo. Si consiglia di mettere in quarantena i file contenenti oggetti sospetti, nonché inviarli per l'analisi agli specialisti del laboratorio antivirus dell'azienda Doctor Web.