Quando l'antivirus non basta
Tutti hanno sentito parlare di virus informatici e tutti coloro che hanno un dispositivo informatico sia esso un personal computer, un table od uno smartphone hanno un antivirus più o meno valido che gli fornisce sicurezza; con il tempo parlare di virus è diventato sinonimo di qualunque tipo di infezione informatica, mentre in realtà ci si riferisce a un programma, una macro o uno script progettato e realizzato per causare danni all’interno del dispositivo infettato.
Questa errata percezione di cosa sia esattamente un virus ha portato gli utenti ad avere un falso senso di sicurezza che si genera con l’installazione di un antivirus ed a pensare che sia sufficiente per essere al sicuro da ogni eventuale danno.
Un po’ di storia.
La storia dei virus informatici è costellata di aneddoti e leggende metropolitane più o meno vere, ma di certo c’è che l’idea di programmi autoreplicanti, in realtà, risale al 1949 quando John von Neumann (considerato da molti il padre dei computer) ipotizzò degli automi capaci di auto-replicare il proprio codice.
Nel 1971 Bob Thomas creò Creeper, un codice capace di auto-replicarsi e di diffondersi ad altri computer presenti sulla rete. In realtà Thomas non voleva creare quello che poi divenne il primo codice malevolo della storia, ma dimostrare la possibilità di passare un programma da un computer ad un altro; Creeper infatti non si auto-replicava ma “saltava” da un computer ad un altro, cancellando la copia precedente.
Contemporaneamente a Creeper venne scritto Repear, che si spostava nella rete allo stesso modo di Creeper ma il cui scopo era di catturare e cancellare il primo.
Il primo virus informatico che si conosce porta il nome di Elk Cloner e funzionava sul sistema operativo del computer Apple II. Era il 1982. Il virus non era di per sé molto pericoloso ma solamente fastidioso in quanto dopo il cinquantesimo riavvio del computer faceva comparire una scritta sul monitor.
Il programma (in quanto di programma si trattava) si autoinstallava nel settore di boot di un floppy disck; quando veniva inserito nel computer il virus si autoinstallava nel settore di boot dell’hard disk, per poi installarsi nuovamente nel settore di boot di un floppy disk non infetto nel momento che questo veniva inserito nel lettore.
Nel 1986 arriva Brain, è il primo virus di "massa" per DOS di cui si conoscono gli autori (da due fratelli pakistani che intendevano punire i turisti che acquistavano software pirata) in quanto nel codice viene riportato il loro nome, indirizzo e numero telefonico.
È, invece, del 1988 il primo virus che si diffuse tramite internet creato da uno studente del MIT (Robert Morris) che creò un virus che si auto-replicava in memoria fino a portare al collasso del sistema.
Dagli anni ’90 in poi la diffusione dei virus si propagò parimenti con la diffusione dei personal computer, così come la comparsa e l’utilizzo sempre più intensivo degli antivirus.
Tipi di virus
Abbiamo visto che nella storia dei virus si siano sviluppati diversi tipi di codice che si propagano in maniera diversa. Altrettanto vario è il tipo di “danno” che il virus porta al computer o all’utente.
Anche se può sembrare inutile, sapere che tipo di virus può colpire il computer è importante in quanto può aiutare l’utente ad evitare un comportamento pericoloso da un punto di vista della sicurezza informatica.
Il primo tipo di codice pericoloso che andiamo a spiegare è quello che viene comunemente chiamato “virus”: si tratta di un programma del tipo eseguibile che si installa automaticamente o a seguito di un’azione da parte dell’utente e necessita di un host o di un sistema già infetto. Questo tipo di codice malevolo non rappresenta più un pericolo come in passato in quanto gli antivirus sono in grado di riconoscerlo e bloccarlo quasi all’istante, così come anche molti sistemi operativi.
I “worms” (letteralmente vermi) sono dei programmi che si propagano nella rete e si auto-replicano, come il programma Creeper del 1971.
Tra i worms distinguiamo i “trojan”, dei programmi che, come il famoso cavallo di Troia dal quale prende il nome, prende il controllo del computer infetto senza che l’utente se ne renda conto, riuscendo a rubare i dati o a compiere azioni illegali da e verso quest’ultimo. Uno dei più pericolosi tipi di trojan, comparso la prima volta nel 2013, si chiama CryptoLocker.
Questi codici infettano un computer, quindi si auto-inviano ai contatti presenti nella rubrica come allegato “vestito” da documento di testo o da foglio di calcolo, ed in fine criptano tutti i files tramite un sistema simile al RSA e chiedono un riscatto (solitamente da pagare in Bitcoin) per poter riavere i files leggibili.
Meno pericolosi, ma comunque molto fastidiosi, sono gli “adware” che installandosi nel computer host mandano pubblicità al browser dell’utente mentre naviga e raccoglie informazioni sulle sue preferenze.
Quando l’antivirus non basta.
Sebbene la maggior parte dei codici pericolosi vengono intercettati da un buon antivirus costantemente aggiornato è da notare che la diffusione dei virus è comunque sempre molto alta: il solo fatto che un dispositivo informatico sia dotato di un antivirus non lo mette automaticamente al sicuro: posso erigere tutte le mura che voglio attorno alla mia città ma se apro le porte al primo che bussa non hanno alcuna utilità.
Una ricerca CISCO del 2014 mostrava come il comportamento dei dipendenti fosse il vero anello debole nella sicurezza informatica nelle aziende e stesse diventando una fonte crescente di rischio (soprattutto per noncuranza, ignoranza e presunzione piuttosto che per volontarietà); gli stessi comportamenti che la CISCO aveva identificato nella sua ricerca del 2014 possono essere portati al comportamento che gli utenti tengono anche fuori dall’ambito lavorativo.
Molte volte capita che mi chiedano come fare ad evitare certi comportamenti, ma mi accorgo che quello che manca è proprio la conoscenza di base di chi mi fa queste domande e che dopo poco che cerco di spiegare il perché ci si infetta mi zittiscono chiedendomi un metodo universale che, al pari di una panacea, li protegga.
Se siete arrivati a leggere l’articolo fino a questo punto presumo che apparteniate a quel 10% degli utenti che capiscono che non esiste una panacea universale ma che bisogna adattare il proprio comportamento a seconda delle circostanze.
Chiariamo subito che sicuramente ci sono azioni e comportamenti da evitare per non aver rischi ma non sono questi i casi che voglio trattare adesso.
La prima cosa da fare è sicuramente imparare a leggere gli URL dei siti web che si aprono e gli allegati di posta elettronica che si ricevono da destra verso sinistra e non da sinistra verso destra come da abitudine.
Un file è composto da un nome ed un’estensione che ne identifica la “famiglia di appartenenza”, ovvero mi dice se si tratta di un programma o di un file che deve essere aperto da un programma; l’estensione è la parte finale di un file (ed è preceduta da un punto), quindi se un file mi finisce con .PDF sicuramente sarà un documento di Acrobat Reader, mentre se finisce con .EXE si tratta di un eseguibile.
Vediamo come questa informazione possa esserci utile per identificare un allegato dannoso in e-mail.
Supponiamo che riceviamo da un nostro contatto una mail con un allegato chiamato “invito alla festa.pdf.exe”; in questo caso il tipo di file, che quello di un eseguibile in quanto l’estensione è .EXE e non .PDF (che lo identificherebbe come un documento Acrobat Reader), mi dovrebbe far scattare un campanello di allarme dicendomi che si tratta di un virus.
Un altro dei comportamenti pericolosi che si tengono è quello di non prestare attenzione ai siti web che apro. Questo tipo di comportamento viene spesso deprecato ma è una delle principali cause di infezione o di sottrazione di dati personali e si verifica quando si apre una pagina web che in tutto e per tutto sembra un’altra. Solitamente entriamo in questi siti in due modi: o tramite una mail che ci invita ad aprire un sito per confermare la nostra identità o per rinnovare un pagamento di un servizio scaduto oppure tramite un virus inserito nel nostro browser che ci reindirizza automaticamente a queste pagine.
Se arriviamo ad esempio in una pagina che sembra quella della nostra banca o del nostro social network preferito in tutto e per tutto e ci chiede di inserire i nostri dati personali per l’accesso o per confermare un pagamento è importante verificare che l’URL sia quello giusto.
Ad esempio un indirizzo web http://www.facebook.login.biz che mi apre una pagina simile (o uguale) a quella del log in di Facebook non ha nulla a che fare con facebook in quanto il dominio è login.biz e non facebook.com
Anche in questo caso è infatti importante leggere il sito da destra a sinistra, quindi vediamo che .biz è il dominio di 1° livello, .login di secondo e .facebook di terzo livello, quindi in questo caso .facebook appartiene alla famiglia .login che appartiene alla famiglia .biz, mentre se vado sul sito ufficiale di facebook vedo che l’url è https://www.facebook.com/, quindi il dominio di primo livello è .com mentre quello di secondo livello è .facebook.
Difficile? Forse si, almeno all’inizio, ma anche per imparare a guidare devo imparare i segnali stradali, la segnaletica orizzontale, sapere quando dare la precedenza e quando no, anzi imparare a guidare è anche più complesso perché devo anche imparare a condurre un’auto. Allora perché dovremmo spaventarci per imparare le basi della sicurezza informatica online? Semplice pigrizia!