Autonome Provinz Bozen - Südtirol pagina Provincia Autonoma di Bolzano - Alto Adige n.26 23/10/2006 Redazione: Karin Gamper/Klammer, Ripartizione 9 - Informatica / 9.0, [email protected] Mar a P i s c it e l li, Scuola professionale prov.le per l‘artigianato e l‘industria di Bolzano, [email protected] Attenzione: PC in pericolo ! Come proteggersi dai Virus e Spam In questa edizione:: Internet è una bella invenzione per acquisti, operazione bancarie e aste… tutto con un clic! E chi vorrebbe mai rinunciare alla posta elettronica? Ma attenzione: i virus sono in agguato … e loro vogliono il tuo computer!! Verso la metà degli anni 80, due fratelli pakistani scoprirono che qualcuno duplicava illegalmente il loro software. Reagirono all'accaduto scrivendo il primo virus informatico della storia, un programma che inseriva copie di sé stesso e un avviso di copyright in ogni copia creata dai loro clienti. Da questi semplici inizi si è giunti a una vera e propria "controcultura dei virus". Oggi i nuovi virus fanno il giro del pianeta in pochi minuti, danneggiando i dati, rallentando le reti, o nuocendo alla reputazione degli utenti. Che cos'è un virus? Un virus o un worm è un programma che può diffondersi sui computer e sulle reti, creando delle copie di se stesso. La riproduzione puó essere attivata all'insaputa dell'utente sia in automatico che attraverso l'utilizzo inconsapevole dell'applicativo che contiene il virus. Di regola l'utente è anche responsabile della diffusione del virus attraverso l'invio di allegati email che a loro volta aperti su computer non protetti si riproducono sulle nuove macchine. I virus possono sortire effetti disastrosi, che vanno dalla visualizzazione di messaggi fastidiosi sullo schermo alla sottrazione di dati, o alla cessione ad altri utenti del controllo del computer. http://intranet.provincia.bz.it/Dipendenti provinciali/Pubblicazioni/Mouse provincia http://www.provincia.bz.it/informatica/Landmaus Che cos'é un Virus? ........................ 1 Come si infetta un computer? ..................... 2 Che cos'è un Trojan?................................... 2 Che cos'è un Worm? .................................. 2 Quali sono gli effetti dei virus? .................... 2 Dove sono i virus? ...................................... 3 Quali file possono essere infettati dai virus? . 3 Virus contenenti nei messaggi e-mail ........... 3 È possibile essere infettati da un virus leggendo semplicemente l'e-mail? ........ 4 Come disattivare l'anteprima ....................... 4 "Internet worm" ........................................ 4 "Backdoor Trojan" ...................................... 4 Lo spyware ................................................ 4 Virus e telefoni cellulari .............................. 5 I virus possono infettare i palmari?............... 5 Il software antivirus ............................ 5 Chi scrive i virus? ....................................... 6 Sono sempre dannosi i virus? ...................... 6 Come si possono prevenire i virus? .............. 6 Che cos'è lo Spam?............................. 7 Spam: un vero problema? ........................... 7 Gli spammer sanno quando leggi ................. 7 Virus e spam ............................................. 8 Che cos'è Phishing ..................................... 8 Come prevenire lo spam ............................. 9 Hoax e scam ................ 9 Hoax e virus .............................................. 9 Le catene di Sant’Antonio ......................... 10 Glossario ................................................. 10 : ione z i d e ima e Com rus i dai v ! i s r !! egge spam o prot l l e da s Pros .) ./gen (dic La Tua visita ci fa piacere ! pagina 2 Come si infetta un computer ? Un virus, essendo un programma, deve essere eseguito prima di poter infettare un computer. I virus sono concepiti in modo tale, che ciò avvenga. Possono attaccarsi ad altri programmi, o nascondersi nel codice che viene eseguito automaticamente all'apertura di certi tipi di file. Talvolta, al fine di essere eseguiti e diffondersi automaticamente sulla rete, possono sfruttare delle "falle" nella sicurezza del sistema ope- rativo del computer. L'utente può ricevere un file infetto in allegato a un'e-mail, in un download eseguito da Internet, oppure semplicemente su un supporto dati. Non appena il file viene lanciato, il codice del virus viene eseguito. Quindi il virus può copiarsi in altri file o dischetti e apportare modifiche al computer. Che cos'è un Trojan ? I Trojan sono programmi che fingono di essere legittimi, ma in effetti svolgono funzioni nascoste e dannose. Per esempio, il Trojan DLoader-L arriva in allegato a un'e-mail che sembra essere un aggiornamento importante, spedito da Microsoft per proteggere i sistemi operativi Windows XP. Eseguendo l'allegato si scarica un programma che utilizza il computer per connettersi a certi siti Web, nel tentativo di sovraccaricarli, causando un cosiddetto "Denial of Service", ovvero la negazione del servizio. I Trojan non possono diffondersi con la stessa rapidità dei virus, perché non creano copie di sé stessi. Tuttavia la loro azione viene combinata spesso a quella dei virus. I virus possono scaricare i Trojan che registrano le battute sulla tastiera, o sottraggono informazioni confidenziali. Dall'altro lato, alcuni Trojan possono essere utilizzati per infettare un computer con un virus. Che cos'è un Worm ? I worm sono simili ai virus, ma non necessitano di un programma o di un documento che li trasporti. I worm creano copie esatte di se stessi e sfruttano eventuali buchi di sicurezza del sistema. La loro diffusione può essere bloccata con installazione di aggiornamenti di software. Quali sono gli effetti dei virus ? Una volta i virus erano soliti giocare brutti scherzi, o bloccare il computer, ma ora compromettono la sicurezza in modo più insidioso. Ecco i danni che possono essere provocati dai virus: ♦ Rallentamento della posta elettronica. I virus che si diffondono per e-mail, come Sobig, possono generare un volume di messaggi e-mail tale da rallentare i server o provocarne il crash. Inoltre, anche se ciò non accade, alcune aziende, al fine di tutelarsi dal rischio, sono costrette a spegnere comunque i propri server. ♦ Sottrazione di dati confidenziali. Il worm Bugbear-D registra le battute dell'utente sulla tastiera, comprese le password, consentendo all'autore del virus l'accesso a dati confidenziali. ♦ Uso del computer dell'utente per attaccare alcuni siti Web. MyDoom utilizza i computer infetti per sommergere di dati il sito Web di un produttore di software, rendendolo inutilizzabile. ♦ Appropriazione del computer da parte di terzi. Alcuni virus collocano dei "backdoor Trojan" sul computer, consentendo all'autore del virus di connettersi al computer e di utilizzarlo per i propri scopi personali. ♦ Alterazione dei dati. Il virus Compatable apporta modifiche ai dati nei fogli Excel. pagina 3 ♦ Cancellazione dei dati. Il worm Sircam tenta di cancellare o di sovrascrivere l'hard disk in una data ben precisa. ♦ Danneggiamento dell'hardware. Il virus CIH, anche noto come Chernobyl, tenta di sovrascrivere il chip contenente il BIOS ogni 26 di aprile, rendendo il computer inutilizzabile. ♦ Burle. Il worm Netsky-D faceva in modo che i computer infetti producessero un beep sporadico per alcune ore della mattina. ♦ Visualizzazione di messaggi. Cone-F visualizza un messaggio di natura politica nel mese di maggio. ♦ Danno alla reputazione. Se un virus si autoinvia dal computer di un'azienda a quello dei propri clienti e partner, questi potrebbero rifiutarsi di proseguire la collaborazione, o addirittura potrebbero chiedere un risarcimento danni. ♦ Imbarazzo per gli utenti. Per esempio, il virus PolyPost trasferisce i documenti e il nome dell'utente nei newsgroups che trattano argomenti sessuali. Dove sono i virus ? I virus possono attaccare il computer per varie vie. ♦ I Programmi e i documenti possono essere infettati dai virus. Quando li si condivide con altri utenti, mettendoli in rete o sulla Intranet, o inviandoli all'esterno, l'infezione si propoga. ♦ E-Mail. La posta elettronica può contenere allegati infetti. Se si clicca due volte su un allegato infetto, cioè se lo si esegue, si rischia di infettare il computer. Alcune e-mail contengono persino script malevoli che vengono eseguiti non appena si visualizza l'e-mail in anteprima, o se ne legge il corpo del testo. ♦ Internet. I programmi o i documenti scaricati da Internet potrebbero essere infetti. Anche le vulnerabilità nella sicurezza del sistema operativo possono permettere ai virus di infettare il computer tramite la connessione Internet, senza l'intervento dell'utente. ♦ Supporto dati. I floppy disk possono contenere un virus nel boot sector. Sia i floppy, sia i CD possono contenere inoltre programmi o documenti infetti. ♦ Conseguenze legali: Il proprietario di un sistema EDP è responsabile di tutte le attivitá che partono dal o attraverso il suo strumento informatico. Quali file possono essere infettati dai virus? I virus possono attaccarsi a qualsiasi codice eseguito sul computer: ai programmi, ai documenti, oppure ai file che servono ad avviare il sistema operativo. ♦ Programmi. Alcuni virus infettano i programmi. All'avvio del programma infetto, il virus viene eseguito per primo. Questo tipo di virus è stato uno dei primi della storia, ma rappresenta ancora una minaccia, vista la facilità con cui si possono scambiare programmi su Internet. ♦ Documenti. La videoscrittura o i fogli elettronici usano spesso le "macro" per automatizzare alcune operazioni all'interno dei documenti. Alcuni virus assumono le sembianze di una macro, in grado di diffondersi da un documento all'altro. Se si apre un documento contenente il virus, questo si copia nei file di avvio dell'applicazione, infettando altri documenti aperti successivamente con questa applicazione. ♦ Boot sector. All'accensione del computer, questo accede a una parte dell'hard disk, chiamata boot sector o settore di avvio, eseguendo il programma che carica il sistema operativo. I primi virus sostituivano il boot sector con uno modificato da loro. Se l'utente avviava il computer da un disco con il boot sector infetto, il virus diventava attivo. Virus contenuti nei messaggi e-mail Molti dei virus più prolifici si distribuiscono automaticamente tramite la posta elettronica. Solitamente il comportamento dei virus contenuti nelle e-mail dipende dal comportamento dell'utente. Se l'utente clicca su un documento allegato, viene eseguito uno script che inoltra il documento infetto ad altri utenti. Il virus Netsky, per esempio, ricerca sul computer infetto i file che possono contenere indirizzi e-mail (per esempio i file di tipo EML o HTML), e quindi utilizza il programma di posta per autoinviarsi a questi indirizzi. Alcuni virus, come per esempio Sobig-F, non hanno nemmeno bisogno di utilizzare il client di posta; infatti dispongono di un proprio "motore SMTP" integrato per l'invio della posta. I virus che si diffondono per posta elettronica possono compromettere la sicurezza del computer o sottrarre dati, ma il loro effetto più comune è la creazione di un enorme volume di traffico e-mail per causare il crash dei server. ♦ Allegati e-mail. Ogni allegato ricevuto per posta elettronica potrebbe contenere un virus; eseguendo tale allegato il computer potrebbe essere infettato. Persino un allegato che all'apparenza è un tipo di file sicuro, ad esempio un file con estensione .txt, può non essere innocuo. Il file potrebbe essere uno script malevolo di tipo VBS, la cui vera estensione è nascosta. pagina 4 È possibile essere infettati da un virus leggendo semplicemente l'e-mail ? Non è necessario aprire un allegato per essere infettati da un virus. Persino la semplice lettura della posta rappresenta un rischio. Alcuni virus, come Kakworm e Bubbleboy, possono infettare gli utenti alla lettura della posta elettronica. Si presentano come normali messaggi, ma contengono uno script nascosto, che viene eseguito non appena si apre l'e-mail, o persino visualizzandola in anteprima (se si utilizza Outlook con una particolare versione di Internet Explorer). Questo script può modificare le im- postazioni di sistema e autoinviarsi ad altri utenti tramite e-Mail. Ci si può proteggere disattivando l'anteprima. Come disattivare l'anteprima ♦ Visualizza / attivare Riquadro di anteprima oppure tramite la barra degli strumenti. Se non è attiva: ♦ scegliere Visualizza / Barre degli strumenti, scegliere Avanzate e poi Riquadro di anteprima "Internet worm" Navigare su Internet può rappresentare un rischio, anche se non si apre la posta sospetta. Gli Internet worm possono viaggiare tra computer connessi, sfruttando le "falle" nella sicurezza dei sistemi operativi. Il worm Blaster, per esempio, sfrutta una vulnerabilità insita nel sistema operativo Windows NT, 2000 e XP, utilizzandola per inviare una copia di se stesso a un altro computer. Man mano che il worm si diffonde, crea un enorme volume di traffico su Internet, rallentando le comunicazioni o causando un crash dei com- puter. Questo particolare worm, inoltre, usa il computer infetto per sommergere di dati un sito Web di Microsoft, allo scopo di renderlo inaccessibile. Virus da un sito Web? Le pagine web sono rappresentate in HTML (Hypertext Markup Language). Questo tipo di linguaggio non può contenere virus, ma può lanciare programmi o file che li contengono. Non è possibile essere infettati da un virus visualizzando una pagina HTML, a meno che non ci sia una vulnerabilità nella sicurezza del computer, che permetta l'esecuzione del programma che infetta il computer. "Backdoor Trojan" Un backdoor Trojan è un programma che consente a un utente di prendere il controllo del computer di un altro utente tramite Internet. Un backdoor Trojan può camuffarsi da software legittimo, come fanno altri Trojan, al fine di essere eseguito dagli utenti. In alternativa, come accade sempre più spesso, un virus può depositare un backdoor Trojan su un computer. Una volta eseguito, il Trojan si aggiunge alla routine di avvio del computer. Quindi, può monitorare il computer, finchè l'utente non si collega a Internet. Una volta che il computer è online, la persona che ha inviato il Trojan può eseguire programmi sul computer infetto, accedere ai file personali, modificare e caricare file, registrare le battute dell'utente sulla tastiera, oppure inviare spam. Tra i backdoor Trojan piú noti figurano Subseven, BackOrifice e Graybird, che si spacciava per la cura contro il famigerato worm Blaster. Lo spyware Lo spyware è un software che consente di raccogliere informazioni sulle abitudini di un utente. I programmi spyware non sono virus (cioè non si diffondono su altri computer), ma possono avere effetti indesiderati. Visitando certi siti Web, può accadere di installare, senza volerlo, un programma spyware. Una finestra di messaggio invita l'utente a scaricare un software che potrebbe essergli utile, oppure il software viene scaricato automaticamente a insaputa dell'utente stesso. pagina 5 Lo spyware viene, quindi, eseguito sul computer, registrando l'attività dell'utente (per esempio, i siti Web visitati), e passando le relative informazioni a terzi. Lo spyware può anche modificare la pagine iniziale del browser Internet, e utilizzare una connessione di tipo dial-up per chiamare numeri telefonici a tariffa maggiorata. Lo spyware inoltre utilizza memoria e CPU, rallentando il computer o bloccando il sistema. Alcuni software riconoscono i programmi già noti di tipo spyware, permettendone la disinstallazione. Cookie. Quando si visitano alcuni siti Web, viene installato sul computer un piccolo pacchetto di dati chiamato cookie (in italiano: biscotto). I cookie consentono al sito di memorizzare i dati dell'utente e di tenere traccia delle visite. I cookie non rappresentano una minaccia per i dati, ma possono violare la riservatezza degli utenti. Se si preferisce restare anonimi è necessario impostare il browser, in modo tale da disabilitare i cookie. Di base rimangono tracce della tua navigazione in internet. Queste informazioni non sono pericolose ma sappi che possono essere usate per scopi commerciali e altro. Virus e telefoni cellulari I telefoni cellulari possono essere infettati dai worm che si diffondono tramite la rete mobile, ma allo stato attuale i rischi sembrano essere limitati. Nel 2004 è stato scritto il primo worm per telefoni cellulari. Il worm Cabir-A infetta i telefoni che utilizzano il sistema operativo Symbian, e si trasmette come un file contenente un videogioco per cellulare (un file con estensione SIS). Eseguendo il file, viene visualizzato sullo schermo un messaggio, e da quel momento in poi il worm viene eseguito ad ogni accensione del telefono.Cabir-A cerca altri telefoni cellulari nelle vicinanze che utilizzano la tecnologia Bluetooth, e si autoinvia al primo cellulare disponibile. Questo worm dimostra che 'infezione è possibile, ma che non può es- sere trasmessa tramite una rete pubblica (l'infezione avviene tramite una comunicazione diretta tra due telefoni cellulari). Esistono anche virus convenzionali che inviano messaggi sui telefoni cellulari. Timo-A, per esempio, usa il modem del computer per inviare messaggi di testo (SMS) ad alcuni numeri di rete mobile, ma in questi casi il virus non può infettare o danneggiare il telefono cellulare. Finora i rischi per i telefoni cellulari sono stati minimi. Forse perché i cellulari utilizzano molti sistemi operativi differenti, e perché il software e le caratteristiche degli apparecchi cambiano continuamente. I virus possono infettare i palmari ? I palmari, o i PDA, costituiscono un nuovo bersaglio per i virus, ma finora gli autori di virus hanno dimostrato scarso interesse nei loro confronti. I palmari, o i PDA, hanno sistemi operativi speciali, come Palm e Microsoft PocketPC. Questi sistemi operativi sono vulnerabili ai codici malevoli, ma ad oggi i rischi sono irrilevanti. Esiste un solo virus scritto per Palm, e un Trojan, ma nessuno dei due sembra essere stato messo in circolazione. L'obiettivo prediletto dagli autori di virus sono i sistemi per desktop, forse perché sono più diffusi e consentono ai virus di propagarsi rapidamente tramite Internet e la posta elettronica. L'unico rischio per il momento è che il computer palmare possa fungere da vericolo. Quando lo si collega a un PC di casa o in ufficio per sincronizzare i dati, un virus, innocuo sul palmare può diventare pericoloso nel momento in cui viene trasferito sul PC. Il sofware antivirus Il software antivirus è in grado di rilevare i virus e di impedire l'accesso ai file infetti, eliminando spesso l'infezione. Scanner antivirus. Gli scanner antivirus rilevano, e spesso rimuovono, i virus conosciuti. Gli scanner antivirus sono la forma più comune di software antivirus, ma devono essere aggiornati regolarmente per poter riconoscere i nuovi virus. Molti motori antivirus garantiscono due possibilità. I cosiddetti scanner in accesso rimangono attivi sul computer tutte le volte che lo si accende. I file vengono controllati in modo automatico, non appena si tenta di aprirli o di eseguirli. I cosiddetti scanner su richiesta Prossima edizione del Mouse Provincia: Approfondimento della tematica, cosa fa l'Amministrazione, cosa può fare il singolo utente per proteggersi! consentono di avviare o di pianificare la scansione di determinati file o unità. Software euristico. I software euristici tentano di rilevare i virus - sia noti che sconosciuti - utilizzando le regole generali sulle caratteristiche comuni dei virus. Questi software non necessitano di aggiornamenti frequenti. pagina 6 Chi scrive i virus ? Se il computer, o la rete, vengono colpiti da un virus, la prima cosa che viene in mente - imprecazioni a parte - è: "Per quale ragione vengono scritti questi virus? Gli autori dei virus, talvolta, vogliono diffondere un messaggio politico, o causare disagi alle aziende che disapprovano (per esempio, molti virus e worm hanno preso di mira la Microsoft). Inoltre possono infiltrarsi nei computer di altri utenti, o raccogliere indirizzi email per poi vendere le informazioni agli spammer. Ma molto spesso gli autori dei virus sono spinti dal desiderio di conquistarsi la fama, grazie alle loro bravate. Un programmatore pensa e lavora in modo estremamente digitale. Sono sempre dannosi i virus ? La maggior parte delle persone considera i virus come una cosa dannosa, ma questa convinzione è assolutamente vera? Molti virus sono "innocui", o sono burle. Altri allertano gli utenti sulle "falle" nella sicurezza dei software. Alcuni sostengono che i virus potrebbero persino essere utili, per esempio per la distribuzione delle patch di sicurezza. Ma l'idea dei virus innocui non è molto convincente. In primo luogo, i virus apportano modifiche sui computer degli utenti, senza il consenso di questi ultimi. Quest'azione, considerata illegale in molti Paesi, è per lo meno contraria alla morale, qualunque ne sia l'intento. Non è lecito interagire con il computer di un altro utente, come non lo è prendere in prestito un'automobile senza chiederlo al proprietario, anche nel caso in cui si voglia semplicemente cambiare l'olio al mezzo. In secondo luogo, non sempre i virus sortiscono l'effetto desiderato dall'autore. Un virus scritto non correttamente può causare dei problemi imprevisti. Anche se il virus è innocuo su un sistema, può essere dannoso su molti altri. In terzo luogo, i virus si diffondono in modo indiscriminato: l'autore non ha alcun controllo sui destinatari. Proof-of-concept. Talvolta i virus vengono scritti per dimostrare che è possibile creare un nuovo tipo di virus. Questi virus sono denominati "proof-of-concept". Di solito non hanno alcun effetto e non vengono spediti ad altri utenti. Ricerca sui virus? Gli autori di virus si compiacciono nell'affermare di condurre delle ricerche sui virus. Tuttavia, i virus sono scritti spesso in modo non corretto, vengono inviati ad utenti scelti a caso che non hanno il minimo sospetto, e non esiste modo per raccogliere i risultati. Quindi non si può certo parlare di ricerca. Come si possono prevenire i virus ? Con l'adozione di semplici misure puoi prevenire gli attacchi dei virus. vengono regolarmente aggiornati con queste patch. ♦ Pericoli: E' sempre pericoloso aprire un allegato di posta, scaricare file da Internet e scambiare supporti dati (CD, dischetti, USB). ♦ Firewall: Un firewall impedisce l'accesso non autorizzato alla rete, e fa sì che le informazioni confidenziali non trapelino all'esterno a causa dei virus. ♦ Usate un software antivirus e tenetelo sempre aggiornato: I programmi antivirus rilevano i virus, e spesso li rimuovono. Sui PC della Provincia è installato un sistema antivirus. ♦ Conservate sempre copie di backup di tutti i dati: Tenete a portata di mano delle copie di backup di tutti i dati. Se i file vengono infettati da un virus, li si potrà sostituire con copie pulite. ♦ Patch di sicurezza: Queste patch chiudono spesso "le falle" nella sicurezza del computer, che lo rendono vulnerabile ai virus. I Pc della Provincia pagina 7 Che cos'è lo Spam? Ogni utente ha ricevuto almeno una volta un'e-mail che offriva medicine senza obbligo di ricetta, prestiti, o l'opportunità di arricchirsi rapidamente, mascherata così abilmente da sembrare un'e-mail privata. Il cosiddetto "spam" rappresenta più della metà di tutta la posta inviata a livello mondiale, intasa le caselle di posta in entrata e distoglie l'attenzione degli utenti dai messaggi veramente importanti. Lo spam è la posta commerciale non richiesta, l'equivalente elettronico della pubblicità indesiderata, che riempie le le cassette delle lettere. Le tipologie più comuni di spam hanno per oggetto: ♦ farmaci vendibili solo dietro presentazione di ricetta medica, farmaci che ingrandiscono o migliorano alcune parti del corpo, rimedi alle erbe, o farmaci per perdere peso ♦ pubblicità su articoli a sfondo sessuale (Viagra ecc.) ♦ sistemi per arricchirsi rapidamente ♦ servizi finanziari, per esempio offerte di prestiti personali o di un mutuo ♦ titoli, ovvero lauree, diplomi o qualifiche professionali acquistabili on line ♦ gioco d'azzardo ♦ software pirata o a prezzo ridotto. Talvolta lo spam arriva mascherato, con un oggetto che sembra un messaggio personale, per esempio "Scusa per ieri", o un messaggio di lavoro, per esempio "Il tuo account deve essere rinnovato", oppure un messaggio di mancato recapito Perché viene inviato lo spam? Lo spam è un'attività che genera profitti. Gli spammer possono inviare milioni di e-mail in una singola campagna a un costo irrisorio (e, se riescono a impadronirsi del computer di un altro utente per inviare la posta, il costo risulta ancora Spam: un vero problema ? Lo spam non costituisce una minaccia per i dati, come i virus, ma può nuocere all'attività di un'azienda. ♦ Lo spam causa agli impiegati uno spreco di tempo. Gli utenti che non dispongono di una protezione antispam sono costretti a scartare lo spam dalla posta, e a cancellarlo. ♦ Può facilmente accadere che agli utenti sfugga la posta importante, o che la confondano con lo spam e la cancellino. ♦ Lo spam, come anche gli "hoax" e i virus nei messaggi E-Mail, usa la banda larga e occupa spazio all'interno dei database. ♦ Alcuni messaggi spam possono essere offensivi nei confronti degli utenti. I datori di lavoro potrebbero esserne ritenuti responsabili, poiché è previ- sto che debbano fornire al dipendente un ambiente di lavoro sicuro. ♦ Gli spammer usano spesso i computer di altri utenti, "dirottandoli" allo scopo di inviare i messaggi spam. Hijacking. Gli spammer, spesso "dirottano" i computer di altri utenti e li utilizzano per inviare lo spam. Le vittime di questo fenomeno, detto "hijacking", senza volerlo, bombardano altri utenti con i messaggi spam. Gli spammer sono molto attenti a non farsi rintracciare, quindi è l'azienda il cui computer è stato "dirottato" che riceve le lamentele e che subisce un danno di immagine. La Provincia dispone di filtri per bloccare lo spam. Gli spammer sanno quando stai leggendo i loro messaggi Gli spammer vogliono sapere chi riceve i loro messaggi e chi no, in modo tale da conoscere il target per la prossima campagna. Anche se non si risponde ai messaggi spam, gli spammer trovano sempre il modo per sapere se i messaggi sono stati ricevuti da qualche utente. ♦ Se il programma di posta è impostato in modo tale da visualizzare l'anteprima dei messaggi (ovvero da mostrarne il contenuto in una finestra sotto la lista delle e-Mail), gli spammer sono in grado di sa- pere se l'e-mail è stata ricevuta o meno. ♦ Ciccando su un link che consente di cancellare l'abbonamento a una mailing list, si conferma agli spammer che l'indirizzo e-mail è attivo. Gli spammer possono quindi vendere l'indirizzo a terzi. ♦ Gli spammer possono inserire un "web bug" all'interno del messaggio e-mail, ovvero un link che collega al sito Web dello spammer, nel momento in cui il messaggio viene letto o visualizzato in anteprima. pagina 8 Virus e spam Gli spammer e gli autori di virus uniscono talvolta le loro forze per creare agli utenti di posta problemi ancora maggiori. I virus possono creare nuove opportunità per lo spam. Un autore di virus può scriverne uno che consente ad altri utenti di assumere il controllo di un computer, senza che l'utente legittimo se ne renda conto. Se il virus riesce a infettare un computer, invia un messaggio all'autore del virus, che può quindi vendere la lista dei computer infetti a uno spammer, il quale la userà poi per inviare lo spam. Più del 30% dello spam viene inviato da computer "dirottati". In questo modo, gli spammer mantengono una certa distanza da questa attività e sono più difficili da rintracciare. Gli spammer possono restituire il favore aiutando gli autori dei virus a diffondere i virus per posta elettronica. Un autore di virus potrebbe mettere in circolazione un virus, inviandolo per e-mail a un gran numero di utenti presenti nella lista degli indirizzi fornitagli da uno spammer. Dato l'elevato numero di destinatari, è logico aspettarsi che una parte sostanziosa di essi attiverà il virus, assicurando una larga diffusione del virus stesso. Sembrano esserci delle prove della collusione tra spammer e autori di virus. Il virus Mimail-L, per esempio, ha tentato di lanciare un attacco Denial of Service contro alcuni siti antispam. Come funziona il phishing ? Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. I messaggi di posta elettronica e i siti Web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali. Per far sembrare tali messaggi di posta elettronica ancora più veritieri, un esperto di contraffazione potrebbe inserirvi un collegamento che apparentemente consente di accedere ad un sito Web autentico, ma che di fatto conduce ad un sito contraffatto o persino una finestra a comparsa dall'aspetto identico al rispettivo sito ufficiale. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente. pagina 9 Come prevenire lo spam: ♦ Utilizza un software antispam. Il software antispam consente di ridurre la posta indesiderata, specialmente se si basa sul feedback degli utenti per "apprendere" quali e-mail sono spam. ♦ Non effettuare mai acquisti da un'e-mail non richiesta. Effettuando un acquisto di questo tipo, finanzierai lo spamming in futuro. Il tuo indirizzo email potrebbe anche essere aggiunto alle liste che vengono vendute agli altri spammer, quindi rischi di ricevere molte più e-mail "spazzatura". E quel che è peggio, potresti persino essere vittima di una frode. ♦ Mittente ignoto? Cancella il messaggio. La maggior parte dello spam causa solo un fastidio, ma qualche volta i messaggi contengono dei virus che possono danneggiare il computer all'apertura dell'e-mail. ♦ Non rispondere allo spam e ignora i link al suo interno. Se si risponde allo spam, anche solo per cancellare l'abbonamento alla mailing list, si conferma che l'indirizzo di posta è valido, incoraggiando lo spammer a spedire una maggiore quantità di messaggi. Hoax e ♦ Stop alle informazioni e alle offerte. Quando compili dei moduli su internet, cerca la casella di controllo che consente di scegliere se accettare o meno di ricevere maggiori informazioni od offerte. Attiva o disattiva la casella, se necessario. ♦ Non usare la modalità "anteprima" nel client di posta. Molti spammer sono in grado di sapere quando viene visualizzato il messaggio, anche se non è mai stato aperto. L'opzione anteprima, in realtà, apre il messaggio consentendo agli spammer di sapere se i loro messaggi sono giunti a buon fine. Quando controlli la posta, cerca di stabilire, in base all'oggetto, se si tratta di spam. ♦ Dare il tuo indirizzo e-mail solo a persone fidate. Dai il tuo indirizzo e-mail principale solo ad amici e colleghi. ♦ Usa uno o due indirizzi e-mail "secondari" Se compili moduli su siti Web dai quali non desideri ricevere ulteriori informazioni, utilizza un indirizzo e-mail secondario. In questo modo proteggi il tuo indirizzo principale. scam Se ricevi un'e-mail che segnala un nuovo e pericoloso virus, che offre un telefono cellulare gratuito, o richiede di aggiornare i dati del tuo conto bancario, allora sei vittima di un cosiddetto hoax. Gli hoax pos- sono interrompere il lavoro, sovraccaricare i sistemi di posta, o persino indurti a fornire a truffatori le credenziali e le password personali. Hoax e virus Gli "hoax" sono falsi allarmi su virus inesistenti. Di solito si tratta di messaggi di posta che si comportano in tutto o in parte, nel modo seguente: ♦ Segnalano la presenza di un virus altamente distruttivo che non può essere rilevato. ♦ Chiedono di non leggere i messaggi e-mail con un determinato oggetto, per esempio “Join the Crew” o “Budweiser Frogs”. ♦ Fanno credere che l’avvertimento provenga da uno dei principali produttori di software, da un Internet Provider o da un’agenzia governativa, per esempio IBM, Microsoft o AOL. ♦ Fanno credere, che il nuovo virus possa fare qualcosa di veramente improbabile. Il falso allarme denominato “A moment of silence” sosteneva, per esempio, che non era necessario alcun trasferimento di file, affinché un nuovo computer venisse infettato. ♦ Usano il gergo tecnologico per descrivere gli effetti del virus, Good Times, per esempio, sostiene che il virus possa portare il processore in un “ciclo binario infinito di ennesima complessità”. ♦ Spingono l’utente ad inoltrare l’avvertimento. pagina 10 Le catene di Sant‘Antonio La lettera di una catena di Sant’Antonio elettronica è un messaggio e-mail che esorta a inoltrare urgentemente delle copie del messaggio ad altre persone. Queste lettere son un vero problema? Le catene di Sant’Antonio non rappresentano una minaccia alla sicurezza, ma possono: ♦ causare uno spreco l’attenzione degli utenti dalla posta legittima. ♦ creare un traffico di posta non necessario, rallentando i server di posta. ♦ diffondere informazioni non corrette. ♦ incoraggiare le persone a inviare messaggi e-mail a certi indirizzi, in modo tale da sommergerli di posta non richiesta. di tempo e distogliere I tipi principali di lettere delle catene di Sant’Antonio sono: ♦ Hoax. Alcune di queste lettere hanno ammonito contro attacchi terroristici, contro i cosiddetti “scam” riguardanti i numeri a tariffa maggiorata, e contro i furti ai bancomat. In tutti i casi, si trattava di falsi allarmi o leggende metropolitane. ♦ “Fake freebies”. Alcune lettere pubblicizzano falsamente delle compagnie che offrono voli aerei gratuiti, telefoni cellulari gratuiti, o ricompense in denaro per l’inoltro dei messaggi e-mail. ♦ Petizioni. Si tratta di solito di petizioni contro le proposte di legge. Seppur autentiche, continuano a circolare per molto tempo dopo la data di scadenza. ♦ “Joke” e “prank”. La lettera „Internet cleaning“ annunciava la chiusura di Internet per manutenzione il primo di aprile. Glossario Allegato / Attachment: Documento, foglio elettronico, oggetto di grafica, programma, o qualsiasi altro tipo di file contenuto in un messaggio E-Mail. Attacco Denial-of-Service: Tentativo di impedire l'uso di un sistema di posta o di un server web, sommergendolo di messaggi o di messaggi contenenti allegati. Backdoor: Mezzo illegale per eludere il normale sistema di controllo degli accessi di un computer. Backdoor Trojan: Tipo di Trojan che consente a un utente remoto l'accesso non autorizzato a un computer e il controllo sullo stesso. Blacklist: Lista di indirizzi e-mail e di domini dai quali non viene accettata posta pagina 11 Boot sector: Parte del sistema operativo letta per prima in memoria all'accensione del PC. Il programma memorizzato nel boot sector viene quindi eseguito, permettendo il caricamento del sistema operativo. Boot virus: Tipo di virus che sovverte il processo di avvio. Companion virus: Virus che sfrutta l'omonimia di due programmi. In questo caso, infatti, il sistema operativo utilizza l'estensione del file per decidere quale dei due programmi eseguire. Per esempio, i computer con sistema operativo DOS eseguiranno di preferenza un file .com, anzichè un file .exe. Il virus crea un file .com contenente il codice del virus e gli assegna lo stesso nome del file .exe. Cookie: Piccolo pacchetto di dati che memorizza informazioni sul computer di un utente. I cookie vengono utilizzati di solito per consentire a un sito Web di registrare le visite e di memorizzare i dati dei visitatori. Dictionary attack: Programma che bombarda un server di posta con indirizzi E-Mail generati in ordine alfabetico, nella speranza che alcuni indirizzi risultino corretti. Lo stesso metodo può essere utilizzato per rintracciare le password. Download: Trasferimento dei dati da un computer, di solito un server, a un altro computer. Firma digitale: Metodo che garantisce che un messaggio non sia stato manipolato e che provenga dal mittente dichiarato. Falso positivo: Segnalazione erronea di virus o spam. Firewall: Sistema di sicurazza posto tra Internet e la rete aziendale, oppure all'interno di una rete, che lascia passare soltanto il traffico di rete autorizzato. FTP: File Transfer Protocol. Sistema che consente agli utenti Internet di connettersi ai siti remoti, e caricare o scaricare file. Greylist: I mittenti di posta elettronica, che non sono inclusi nè nella blacklist (esclusi), nè nalla whitelist (autorizzati), possono essere inseriti in una greylist e invitati a dimostrare di inviare E-Mail legittime. Hacker: Colui che viola intenzionalmente la sicurezza di un computer, di solito per causare inconvenienti o acquisire informazioni confidenziali, per esempio dati finanziari. In origine, il termine "hacker" era riferito a chi si interessava di informatica, ma ora è comunemente usato dal pubblico e dai media in riferimento a persone malintenzionate. Ham: Messaggio E-Mail che il destinatario non considera spam. Harvesting: Ricerca, effettuata su Internet, allo scopo di recuperare indirizzi E-Mail da inserire nelle mailing list degli spammer. Hoax: Messaggio, spesso di posta elettronica, avente lo scopo di ingannare. Honeypot: Sistema informatico su Internet impostato per attirare nella trappola spammer e hacker. Identità di virus: Descrizione delle caratteristiche di un virus utilizzata per la rilevazione del virus stesso. Link virus: Virus che altera le voci di una directory in modo tale che puntino al codice del virus, consentendo allo stesso di essere eseguito. pagina 12 Macro: Serie di istruzioni all'interno di un file dati in grado di eseguire automaticamente determinati comandi, per esempio l'apertura e la chiusura dei file. Macro virus: Virus che utilizza le macro all'interno di un file dati per attivarsi e attaccarsi ad altri file dati. Mail drop: Indirizzo e-mail impostato per ricevere le risposte ai messaggi spam. Lo spammer annulla, poi, l'account dal quale è stato inviato lo spam, nel tentativo di non essere rintracciato. Munging: Falsificazione degli indirizzi e-mail in modo tale che non possano essere raccolti dai cosiddetti "harvester". Ai destinatari viene spiegato come decifrare l'indirizzo. Newsgroup: Forum elettronico nel quale i lettori inseriscono articoli e fanno seguito ai messaggi su temi specifici. Offuscamento: Tentativo degli spammer di nascondere i messaggi in modo tale che non vengano identificati. Talvolta questo termine si riferisce alla falsificazione degli indirizzi e-mail, che ha lo scopo di impedire agli spammer di rintracciarli. Open relay: Server di posta SMTP che consente la trasmissione dei messaggi e-mail da parte di terzi. Gli spammer possono appropriarsi di tali server utilizzandoli per inviare lo spam. Real-time blackhole list Lista che rifiuta tutta la posta, valida o meno, proveniente dagli indirizzi che notoriamente inviano spam o ospitano gli spammer. Ciò può indurre gli Internet Service Pro(RBL): vider ad attuare misure antispam. Riverse DNS check: Confronto dell'indirizzo e-mail di un mittente con un database Domain Name System per accertarsi che provenga da un dominio o da un indirizzo Internet valido. Server proxy: Server che invia richieste web da parte di un altro computer. E' posto tra la rete aziendale e Internet, e può essere utilizzato come misura di sicurezza. Scanner antivirus: Programma per la rilevazione dei virus. La maggior parte degli scanner sono specifici per virus, ovvero identificano i virus noti. Vedi anche scanner euristico. Scanner euristico: Programma che rileva i virus utilizzando regole generali sui virus e sul loro comportamento. SMTP: Simple Mail Transport Protocol. Sistema di consegna della posta su Internet. Stealth virus: Virus che nasconde la sua presenza all'utente e ai programmi antivirus, di solito manipolando i servizi di interrupt. Spam: Unsolicited commercial e-mail - (UCE) e Unsolicited bulk e-mail - (UBE), ossia i messaggi e-mail non richiesti e indesiderati. Spambot: Programma utilizzato dagli spammer per raccogliere gli indirizzi E-Mail da Internet. Spoofing: Falsificazione dell'indirizzo del mittente nella posta elettronica. Lo spoofing può essere utilizzato per nascondere la fonte dello spam, oppure per convincere i destinatari che certi messaggi provengono da una fonte sicura. Spyware: Software che rintraccia l'attività degli utenti e segnala le informazioni a terzi, di solito a insaputa dell'utente. Tarpit: Server di posta, volutamente lento, con l'obiettivo di incastrare gli spammer utilizzando i programmi di "harvesting". pagina 13 Tarpitting: Monitoraggio del traffico di posta per identificare gli indirizzi che inviano stranamente una quantità di posta elevata, che potrebbe essere spam. Trojan: Programma dagli effetti (indesiderati) che non sono menzionati nella sua descrizione. Virus: Programma che può diffondersi sui computer e sulle reti, attaccandosi a un altro programma e creando delle copie di sé stesso. Virus di programma: Virus che si attacca a un altro programma, e viene attivato all'esecuzione dello stesso. Virus multipartito: Virus che infetta sia i boot sector, sia i file di programma. Virus polimorfico: Virus capace di automodificarsi. Modificando il proprio codice, il virus tenta di rendere difficile la propria identificazione. Virus residente in memoria: Virus che risiede in memoria dopo essersi attivato e dopo la chiusura del programma che lo ospita (a differenza di altri virus che vengono attivati soltanto quando viene eseguita un'applicazione infetta). Web bug: Piccola grafica inserita in un'e-mail o in una pagina web che avvisa lo spammer quando il messaggio viene letto o visualizzato in anteprima. Whitelist: Lista di indirizzi e-mail, indirizzi IP e domini esterni dai quali la posta viene accettata senza verificare l'eventuale presenza di spam e/o virus. Worm: Programma che distribuisce numerose copie di sé stesso. A differenza di un virus, un worm non ha bisogno di un programma che lo ospiti. Zombie: Computer "dirottato", utilizzato per inviare spam o lanciare un attacco Denial of Service (vedi). Fonte: www.sophos.de L'autorizzazione alla copia di parti del testo estratti dal manuale "Virus e spam" è stata concessa dalla ditta SOPHOS.