Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Scienza
  2. Scienze della salute
  3. Malattie infettive

bollettino di sicurezza informatica n. 5/2007

STATO MAGGIORE DIFESA
II Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
Sezione Gestione del Rischio- CERT Difesa
BOLLETTINO DI
SICUREZZA INFORMATICA
N. 5/2007
1
Il bollettino può essere visionato on-line su :
Internet : www.cert.difesa.it
Intranet : www.riscert.difesa.it
INDICE
ATTACCHI INFORMATICI – PARTE PRIMA
- INTRODUZIONE
- PARTE PRIMA
- ADWARE
- BLUJACKING
- BACKDOOR TROJANS
- BLUSNARFING
- BOOT VIRUS
- BROWSER HIJACKING
- COOKIE
- DENIAL OF SERVICE (DoS)
- DIALER
- HOAX
- INTERNET WORM
- MOUSE-TRAPPING
- PAGE-JACKING
- PHARMING
- PHISHING
pag. 3
pag. 5
pag. 5
pag. 5
pag. 6
pag. 6
pag. 6
pag. 7
pag. 7
pag. 8
pag. 9
pag. 9
pag. 10
pag. 10
pag. 11
pag. 11
pag. 12
Difficoltà: MEDIO-ALTA
A cura di:
SMD II Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
Sezione Gestione del Rischio - CERT Difesa
2
INTRODUZIONE
John Von Neumann, il matematico ed informatico cui si deve il progetto dei primi
calcolatori elettronici, comprese piuttosto precocemente la possibilità di creare un
programma che si propagasse autonomamente in un sistema. Più tardi, dei programmatori
dei Bell Laboratories svilupparono "Core Wars", un gioco in cui ciascuno dei
programmatori scriveva un programma in grado di riprodursi e che, alla ricezione di uno
specifico comando, cercava di distruggere gli altri programmi.
Il primo virus informatico in senso stretto è stato scritto circa vent’anni fa, apparentemente
con lo scopo di evitare la duplicazione illegale di un software salvato su floppy disk. Da
allora si sono diffusi centinaia di migliaia di virus e altro software malevolo (malware)
inviato tramite e-mail, via Internet, alcuni dei quali con effetti devastanti in tutto il mondo.
Con l’evolversi degli strumenti e delle competenze dei pirati informatici, sono cambiate
anche le modalità e, soprattutto, le finalità per cui i cyber criminali sferrano i loro attacchi.
Mentre in principio la creazione e la diffusione di virus e malware era effettuata a solo titolo
dimostrativo, attualmente il software malevolo viene realizzato principalmente a scopo di
lucro. I virus in circolazione sono in grado di codificare i files per rubare informazioni
sensibili e/o riservate (quali coordinate bancarie e credenziali di accesso ai servizi di
“home banking” o per clonare le carte di credito ed appropriarsi illecitamente di denaro)
eventualmente anche al fine di estorcere denaro agli utenti in cambio della restituzione dei
dati trafugati. Altre attività illecite sono costituite dagli attacchi di tipo DoS (“Denial of
Service”, letteralmente “negazione del servizio”), perpetrate principalmente a danno dei siti
istituzionali, governativi e delle grandi aziende, che saturando le capacità elaborative delle
macchine colpite, ne determinano il blocco operativo impedendone conseguentemente
l’accesso via rete all’utenza.
Sono, in definitiva, mutati gli obiettivi degli attacchi. Essi vertono maggiormente su target
specifici e circoscritti. I “crackers”, infatti, non si concentrano più nelle azioni di massa,
mirate a colpire il maggior numero possibile di persone, in quanto ciò richiama l’attenzione
delle
aziende
sviluppatrici
del
software
antivirus
specificatamente
mirato
a
contrastare/neutralizzare il malware. Inoltre, la facile reperibilità di software malevolo
sviluppato ad-hoc, corredato eventualmente delle informazioni d’uso, può consentire a dei
malintenzionati di effettuare degli attacchi di livello molto superiore alle loro effettive
conoscenze tecniche e capacità.
Dalla breve panoramica sopra esposta risulta evidente che lo scenario degli attacchi
informatici è stato, e continua ad essere, in continua evoluzione. Lo sviluppo di nuove
3
tecniche e metodologie di attacco comporta la comparsa di nuove denominazioni e
terminologie che non sono di uso comune e possono ingenerare perplessità e
disorientamento tra gli utenti di Reti e Personal Computer.
Partendo da tale considerazione, il personale del CERT Difesa ha ritenuto utile procedere
alla redazione di un glossario di termini e tecniche informatici/che avente lo scopo di
contribuire alla diffusione della conoscenza in tale settore e che per motivi di spazio sarà
distribuito in due fasi tramite il presente e successivo Bollettino di Sicurezza Informatica.
4
ATTACCHI INFORMATICI
Parte Prima
ADWARE
L’adware è un programma che mostra messaggi pubblicitari sul monitor del computer.
L’adware (in inglese, contrazione di advertisingsupported software , ovvero “software sovvenzionato da
pubblicità”) mostra messaggi pubblicitari (banner o
finestre pop-up) durante l’uso di un’applicazione,
direttamente sullo schermo dell’utente. Non si tratta
necessariamente di un’azione dannosa, finanziando tali
pubblicità, in diversi casi, lo sviluppo di programmi di
utilità distribuiti gratuitamente (ad esempio, il browser
Opera).
Tuttavia, l’adware può rappresentare una minaccia se:
• si installa direttamente sul computer senza il consenso
dell’utente;
• si installa in applicazioni diverse da quelle di origine e fa apparire messaggi pubblicitari
durante l’utilizzo di tali applicazioni;
• cambia le impostazioni del browser per scopi pubblicitari (vedi browser hijacker );
• raccoglie, senza il consenso dell’utente, informazioni riservate riguardanti le attività
svolte “online” per trasmetterle via Internet ad altri utenti (vedi “Spyware );
• è difficile da disinstallare.
I software adware possono rallentare le operatività del computer, così come la
navigazione, a causa dell’eccessiva occupazione di banda causata da tali messaggi
pubblicitari, fino al limite dell’instabilità del pc stesso.
Alcuni software antivirus sono in grado di individuare gli adware e classificarli come
“applicazioni potenzialmente indesiderate”. Sta all’utente decidere se autorizzare la
presenza dell’adware ovvero, come è consigliabile, rimuoverlo dal proprio computer.
BLUEJACKING
Il Bluejacking consiste nell’invio di messaggi anonimi
e indesiderati aD utenti che utilizzano cellulari o
computer portatili dotati di tecnologia Bluetooth.
Il Bluejacking sfrutta la tecnologia Bluetooth
(tecnologia che consente di far dialogare e interagire
fra loro dispositivi quali telefoni, stampanti, notebook,
PDA, impianti HiFi, tv,computer, PC, cellulari,
elettrodomestici, senza la necessità di collegamenti
via cavo) per individuare e contattare altri dispositivi wireless presenti nelle vicinanze. Il
cracker utilizza una funzionalità originariamente sviluppata per scambiare le informazioni
sui contatti in forma di “biglietti da visita elettronici”, aggiungendo un nuovo contatto nella
rubrica, digitando un messaggio ed inviandolo via Bluetooth. Il telefono cellulare cerca altri
dispositivi Bluetooth disponibili e, appena ne individua uno, invia il messaggio.
Il Bluejacking non è particolarmente pericoloso, non essendo infatti sottratti dati personali
e non perdendo il controllo del proprio telefono.
5
Il Bluejacking può essere, tuttavia, fastidioso se utilizzato per inviare messaggi osceni e
minacce, ovvero a fini pubblicitari. Per evitare questo tipo di messaggi, è sufficiente
disattivare il Bluetooth oppure utilizzarlo in modalità “invisibile”.
I dispositivi attivi possono essere esposti a minacce molto più serie come il Bluesnarfing
(si veda oltre).
BACKDOOR TROJANS
Un backdoor Trojan è un programma che consente di assumere da remoto, tramite una
connessione internet, il controllo del computer di un utente senza il suo consenso.
Un backdoor Trojan può sembrare un software
apparentemente innocuo. Gli ignari utenti possono
diventare vittime di un Trojan semplicemente cliccando
sul link contenuto in una e-mail derivante da attività di
spam (invio di grandi quantità di messaggi indesiderati,
generalmente commerciali).
Una volta eseguito, il Trojan si aggiunge automaticamente alla routine di avvio del
computer, rimanendo silente ed inattivo fino a quando il pc dell’utente infettato non si
collega ad Internet. A questo punto, a connessione eseguita, il pirata che ha inviato il
Trojan può eseguire – da remoto - programmi sul computer infetto, accedere modificare e
caricare file personali, registrare le digitazioni dell’utente sulla tastiera oppure inviare
e.mail di spam.
Tra i backdoor Trojan più noti figurano “Subseven”, “BackOrifice” e “Graybird”, quest’ultimo
millantandosi quale rimedio contro il famigerato worm “Blaster”.
Per evitare di essere colpiti da backdoor Trojan, è bene tenere sempre aggiornato il
sistema operativo con le ultime patch disponibili (per ridurre le vulnerabilità del sistema),
oltre ad utilizzare software antivirus e antispam. È preferibile, inoltre, attivare anche un
firewall, che impedisca ai Trojan di accedere ad Internet e quindi di mettersi in contatto
con il loro creatore.
BLUESNARFING
Il Bluesnarfing consiste nella sottrazione dei dati presenti su un telefono cellulare provvisto
di tecnologia Bluetooth (vedi sopra), sfruttando tale tecnologia per individuare ed entrare in
contatto con altri dispositivi presenti entro il proprio raggio d’azione.
In linea teorica, un pirata provvisto di un computer portatile e di adeguato
software è in grado di individuare un telefono cellulare e, senza il
consenso dell’utente, scaricare informazioni riservate quali la rubrica, le
immagini dei contatti e l’agenda.
Oltre a ciò, può essere letto anche il numero seriale del telefono cellulare
ed utilizzato per operazioni di clonazione.
Si raccomanda, pertanto, di disattivare il dispositivo Bluetooth oppure utilizzarlo in
modalità “invisibile”. La modalità “invisibile” permette, infatti, di continuare ad utilizzare
alcuni indispensabili funzionalità Bluetooth, come ad esempio l’auricolare quando si sta
guidando, senza che il telefono risulti visibile ad altri.
BOOT VIRUS
I boot virus (virus del settore di avvio) sono quei programmi malevoli capaci di modificare il
programma di avvio del computer (detta, appunto, fase di boot).
All’accensione del computer, l’hardware cerca il boot sector, o settore di avvio, sull’hard
disk (ma può anche trattarsi di un floppy o un CD), ed esegue il programma di avvio del
sistema. Questo programma carica l’intero sistema operativo in memoria.
6
Un boot virus sostituisce il boot sector originale con una versione modificata (e
normalmente nasconde l’originale in un’altra sezione del disco rigido). All’avvio viene così
utilizzato il boot sector modificato e il virus diventa attivo.
Il computer può essere infettato solo se viene avviato da un disco infetto, ad esempio un
floppy disk con boot sector infetto.
I boot virus sono stati i primi virus utilizzati e sono ormai superati, tanto che oggi si
incontrano molto raramente.
BROWSER HIJACKING
I browser hijacker (“dirottatori del browser”) modificano la
pagina iniziale e le pagine di ricerca del programma di
navigazione (Internet Explorer piuttosto che Netscape
Navigator o Mozilla Firefox).
Alcuni siti web contengono uno script (linee di codice di
programma) che modifica le impostazioni del browser di
navigazione senza il consenso dell’utente. Questi software
di “dirottamento” possono aggiungere nuovi collegamenti
nella cartella “Preferiti” o, ancora peggio, cambiare la pagina iniziale (home page) che
appare quando si lancia il browser, rendendo in alcuni casi impossibile reimpostare la
home page prescelta.
Alcuni browser hijacker modificano, infatti, il registro di Windows in modo che le
impostazioni di “dirottamento” vengano ripristinate ogni volta che si riavvia il computer.
Altri, invece, eliminano la voce Opzioni dal menù Strumenti del browser, impedendo
all’utente di reimpostare la pagina iniziale.
In ogni caso, lo scopo è identico: obbligare l’utente a visitare un determinato sito Internet.
Queste procedure “gonfiano” il numero di visite e il sito sale nelle classifiche dei motori di
ricerca, aumentando il grado di visibilità e gli introiti pubblicitari.
Questi software di dirottamento possono essere molto resistenti. Alcuni vengono rimossi in
maniera automatica dai software di sicurezza, altri invece devono essere eliminati
manualmente. In alcuni casi è più semplice reinstallare il sistema operativo o riportarlo a
un punto di ripristino precedente all’infezione.
COOKIE
I cookies sono file che permettono ad un sito Web di registrare le visite e memorizzare i
dati degli utenti.
Quando si visitano alcuni siti internet, viene
installato sul computer un piccolo pacchetto dati,
chiamato
appunto
“cookie”
(letteralmente
“biscottino”) che permette al sito di salvare i dati
dell’utente e tenere traccia delle visite. Questi file
non rappresentano una minaccia per i dati, ma
possono violare la privacy degli utenti.
I cookies sono stati originariamente progettati per
semplificare alcune operazioni. In particolare,
nella fase di identificazione ed autenticazione presso un sito web, il cookie permette di
salvare le necessarie informazioni in modo da non doverle inserire ogni volta che si
visiterà il medesimo sito. Risultano sicuramente d’ausilio per i webmaster (responsabili di
un sito web), poiché indicano le abitudini di navigazione degli utenti, fornendo quindi utili
indicazioni in fase di aggiornamento e rinnovo di un sito.
7
I cookies possono, tuttavia, diventare veicolo di violazione della privacy, poiché vengono
salvati automaticamente sul computer dell’utente senza il suo consenso e contengono
informazioni difficilmente accessibili alla potenziale vittima. Quando si accede nuovamente
al sito interessato, tali dati vengono inviati al web server, sempre senza alcuna richiesta di
autorizzazione verso l’utente.
GIi amministratori e sviluppatori dei siti web Internet riescono, in questo modo, a creare un
profilo degli utenti e dei loro interessi. Queste informazioni possono essere rivendute
ovvero condivise con altri siti, permettendo ai produttori di offerte commerciali di
predisporre ed inviare pubblicità di prodotti tarate sugli specifici interessi degli utenti, di
visualizzare banner mirati e di contabilizzare (quindi quantificare economicamente) il
numero di volte che un determinato annuncio pubblicitario viene visualizzato.
Se si preferisce quindi restare anonimi e non offrire al fianco a proposte commerciali
indesiderate, è bene modificare le impostazioni di sicurezza del browser disabilitando i
cookies.
DENIAL-OF-SERVICE (DoS)
In un attacco di tipo DoS (Denial-of-service, “negazione del servizio”) si cerca di portare il
funzionamento di un sistema informatico - che fornisce l’accesso ad un servizio quale un
sito web - al limite delle prestazioni, fino a renderlo
incapace di erogare il servizio stesso, impedendo così agli
utenti di accedere ad un computer o ad un sito web.
La strategia più comune per effettuare un attacco Dos
consiste nel generare un traffico più intenso di quello che
il computer riesce a gestire, inviando molti pacchetti di
richieste dati o messaggi di posta elettronica con allegati
che hanno nomi più lunghi di quelli gestiti dai programmi
di posta, tipicamente diretti ad un server Web, FTP o di
posta elettronica. Ciò porta alla saturazione delle risorse ed all’ instabilità del sistema,
rendendo inaccessibili i siti che girano su tali server. Nessun dato viene sottratto o
danneggiato, ma l’interruzione del servizio può infliggere danni considerevoli a chi ne
venga colpito.
In virtù di tale modo di operare, quindi, qualsiasi sistema collegato ad Internet e che
fornisca servizi di rete basati sul TCP è soggetto al rischio di attacchi DoS
L’attacco può anche sfruttare il modo in cui viene instaurata la “sessione” di
comunicazione quando l’utente entra in contatto con il computer. Se il cracker richiede
l’apertura di numerose connessioni e poi ignora la risposta del server, le richieste vengono
lasciate pendenti nel buffer per un certo periodo. Così facendo, le reali richieste degli
utenti non possono essere processate e quindi risulta per essi impossibile instaurare un
collegamento con il computer.
Un’altra metodologia di attacco sfrutta l’invio di un messaggio del tipo “IP ping” (messaggi
che richiedono una risposta da altri computer), apparentemente proveniente dal computer
della vittima, ad un elevato numero di computer, ciascuno dei quali fornisce la propria
risposta. Il computer della vittima viene così “inondato” da tali risposte, diventando
incapace di gestire il traffico abnorme venutosi a creare.
Una variante di tale tipo di attacco è costituita dal DDoS (Distributed Denial of Service),
il cui funzionamento
è identico, ma realizzato utilizzando numerose macchine
contemporaneamente attaccanti, che insieme costituiscono una botnet (rete di computer
che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e
dell'amministratore di sistema, vengono infettati da virus informatici o trojan, consentendo
ai loro creatori di controllare il sistema da remoto).
8
Una particolare categoria di DDoS è il cosiddetto Distributed Reflection Denial of
Service (DRDoS), in cui il computer attaccante produce delle richieste di connessione
verso server con connessioni di rete molto veloci, utilizzando come indirizzo di
provenienza non il proprio, bensì quello del bersaglio dell'attacco.
DIALER
I dialer modificano il numero telefonico della connessione Internet del pc dell’utente, ad
insaputa di questi, sostituendolo con un servizio a pagamento.
I dialer non sono sempre illegali. Alcune aziende, infatti,
richiedono lecitamente di scaricare prodotti o giochi collegandosi
a un numero di telefono a tariffa maggiorata. Una finestra di popup invita l’utente a scaricare il dialer e lo informa del costo della
chiamata.
Altri dialer, invece, si installano automaticamente senza alcuna autorizzazione nel
momento in cui si clicca su un pop-up (ad esempio un messaggio che avverte della
presenza di virus sul vostro computer ed offre una soluzione): tali programmi in realtà
cambiano semplicemente i parametri della connessione Internet, dirottandola su un
numero a pagamento.
Coloro che utilizzano una connessione a banda larga, non dovrebbero correre rischi anche
qualora si dovesse installare un dialer sul proprio pc, ciò perché la banda larga non utilizza
i normali numeri telefonici e gli utenti, normalmente, non sono connessi alla rete tramite un
modem abalogico tradizionale.
HOAX
Gli hoax sono falsi allarmi relativi a virus inesistenti.
Solitamente gli hoax sono messaggi di posta elettronica che si
comportano, in tutto o in parte, in uno dei seguenti modi:
• segnalano la presenza di un virus altamente distruttivo che non
può essere rilevato;
• chiedono di non leggere messaggi di posta elettronica con un determinato oggetto;
• ingannano circa la provenienza della segnalazione, facendo credere che l’avvertimento
provenga da un grande produttore di software, da un Internet Provider o da un’agenzia
governativa;
• fanno credere che il nuovo virus possa fare qualcosa di assolutamente improbabile (ad
esempio, il falso allarme A moment of silence sosteneva che non era necessario alcun
trasferimento di file affinché un nuovo computer venisse infettato);
• usano il gergo tecnologico per descrivere gli effetti del virus;
• inducono l’utente a diffondere la segnalazione.
L’inoltro via e-mail di un falso allarme a tutti gli amici e colleghi, può generare un vero e
proprio “effetto valanga”, con la conseguente saturazione e “crash” dei server di posta
elettronica. L’effetto è identico a quello di un virus, ma l’hoaxer non ha avuto bisogno di
scrivere neppure una riga di codice malevolo.
Tale azione sfrutta sostanzialmente l’eccesso di reazione da parte degli utenti: aziende
che ricevono questi falsi allarmi spesso prendono contromisure drastiche, disattivando o
spegnendo, ad esempio, il server di posta o l’intera rete. Ciò rende tali attacchi ancora più
9
efficaci dei virus veri e propri, in termini di danni provocati nelle comunicazioni, impedendo
l’accesso e la visione di messaggi che possono essere importanti.
Poiché gli hoax non sono virus reali, il software antivirus non è in grado di individuarli né di
neutralizzarli, facendo sì che essi possano sopravvivere a lungo nei sistemi infetti.
INTERNET WORM
I worm sono programmi che si replicano e si diffondono
attraverso le connessioni Internet.
Essi si differenziano dai virus perché sono in grado di
autoreplicarsi - creando copie esatte di se stessi ed utilizzando le
connessioni Internet per diffondersi - senza la necessità di un
programma o di un documento che li ospiti.
Gli Internet worm possono propagarsi da un computer all’altro
sfruttando le “falle” di sicurezza presenti nel sistema operativo.
Molti virus odierni, come “MyDoom o Bagle si comportano
esattamente come i worm ma per propagarsi.utilizzano la posta
elettronica.
Gli effetti negativi prodotti vanno dall’utilizzo dei computer infetti
per creare un enorme volume di traffico attraverso un attacco di tipo DoS (vedi sopra) al
danneggiamento di specifici siti Web (saturandoli di richieste o dati), fino alla codifica di file
dell’utente in modo da renderli inutilizzabili. Diversi worm aprono, invece, una “backdoor”
che consente ai malintenzionati di assumere il controllo dei computer. Le macchine infette
possono, quindi, essere utilizzate per distribuire e-mail di spam.
Oltre a questi effetti, i worm sono casua di rallentamento delle comunicazioni, generando
un enorme volume di traffico su Internet. E’ il caso del worm Blaster che si diffonde sulla
rete e intensifica il traffico, rallentando le comunicazioni e causando il crash dei computer.
Le diverse aziende che producono e sviluppano sistemi operativi, rilasciano puntualmente
delle “patch” per correggere le vulnerabilità presenti nel sistema di sicurezza. Ogni utente
dovrebbe visitare regolarmente i siti dei produttori di software per aggiornare il proprio PC.
MOUSE-TRAPPING
Il mouse-trapping impedisce all’utente di uscire da un determinato sito Internet.
Se si viene indirizzati su un falso sito Web, potrebbe capitare di non essere più in grado di
uscirne - utilizzando il pulsante “Indietro” del browser o
“Chiudi” della finestra. In alcuni casi, anche se si digita un
nuovo indirizzo Internet nell’apposita barra indirizzi, non si
riesce comunque a uscire dalla “trappola”.
Il sito che cattura l’ignaro utente potrebbe impedirgli di visitare
altri indirizzi ovvero aprire un’altra finestra nella quale viene
visualizzata la stessa pagina. In alcuni casi l’utente, dopo
molti tentativi, riesce a uscire, ma in alcuni casi non c’è
proprio via di scampo.
Per sfuggire alla trappola è necessario allora selezionare un indirizzo dall’elenco “Preferiti”
(o “Segnalibri”) oppure aprire la “Cronologia” dei siti web e cliccare sul penultimo indirizzo
visitato. Si potrà anche digitare Ctrl+Alt+Canc ed utilizzare il “Task Manager” per terminare
il browser oppure, qualora ciò non fosse ancora possibile, riavviare il computer.
Per evitare i pericoli del “mouse-trapping” è consigliabile disattivare l’esecuzione dei
Javascript nel browser Internet. Se tale accorgimento permette di innalzare il livello di
10
sicurezza, evitando l’esecuzione di questi script (linee di codice), è anche vero che
verranno influenzate la visualizzazione e la funzionalità dei siti Internet, che potrebbero
risultare non completamente corrette.
PAGE-JACKING
Con il termine page-jacking si intende l’uso di repliche di pagine web molto visitate per
“dirottare” gli utenti su altri siti Internet.
I page-jacker copiano le pagine da un sito Web noto e le inseriscono in un nuovo sito
apparentemente autentico, quindi registrano quest’ultimo sito sui principali motori di
ricerca, in modo che gli utenti vi vengano indirizzati. Quando l’utente accede al sito Web,
viene automaticamente indirizzato su un altro sito, il quale contiene pubblicità od offerte di
servizi diversi da quelli ricercati. Alcuni siti potrebbero addirittura impedire all’utente di
uscire dal sito senza prima riavviare il computer (Mouse-trapping, vedi paragrafo
precedente).
Il page-jacking viene utilizzato per aumentare, con l’inganno, il numero di visitatori di un
determinato sito, per garantirsi maggiori introiti pubblicitari e far acquistare così maggior
valore commerciale allo stesso da sfruttare nel caso di vendita. Ovvero, il pirata
informatico può reindirizzare i visitatori su un determinato sito al fine di chiedere un
compenso per averli “dirottati”.
Tale fenomeno è sicuramente molto fastidioso, causando all’utente la visione di materiale
ed immagini poco graditi, riducendo il fatturato dei siti originali e ridimensionando l’utilità
dei motori di ricerca.
In alcuni casi, il page-jacking può essere utilizzato per il phishing (vedi più avanti).
Per evitare tale fenomeno, si consiglia di utilizzare i link nella lista dei “Preferiti” (o
“Segnalibri”), essendo sicuri di non aver ivi salvato il sito incriminato. In alternativa, è
possibile digitare l’indirizzo del sito Web direttamente nell’apposita barra (URL).
PHARMING
Il termine pharming (manipolazione di indirizzi web) indica il reindirizzamento del traffico
su Internet da un sito Web ad un altro del tutto identico, appositamente creato per frodare
gli utenti e persuaderli ad inserire dati sensibili nel database
del sito falsificato. Esso opera manipolando la struttura degli
indirizzi internet.
Ogni computer collegato alla rete internet (host) ha un
indirizzo IP numerico, ad esempio 127.0.0.1, di non facile
memorizzazione. Per questo motivo gli indirizzi web
dispongono anche di una sigla alfanumerica, il dominio o URL
(Uniform Resource Locator, una sequenza di caratteri che
identifica univocamente l'indirizzo di una risorsa in Internet),
come, ad esempio “www.difesa.it”. Ogni volta che un utente digita nel proprio browser
l’indirizzo di una pagina web, questo viene tradotto automaticamente in un indirizzo IP,
attraverso il DNS (Domain Name System) servizio che gestisce tale risoluzione di nomi di
host in indirizzi IP e viceversa, tramite un database distribuito, costituito dai server DNS.
Ciò a meno che un file host nel computer dell’utente non abbia già effettuato tale
operazione.
I pirati informatici possono sconvolgere questo processo seguendo due metodologie di
attacco.
Un primo metodo consiste nell’utilizzare programmi Trojan che modificano i file host
direttamente nel computer dell’utente, in modo tale che associno il nome del dominio con il
sito web falsificato. In questo modo, l’utente viene indirizzato sul sito clonato anche se
11
digita correttamente l’indirizzo. Un metodo alternativo fa sì che i cracker possano operare
delle variazioni nelle directory dei server DNS, modificando gli abbinamenti “nome hostindirizzo IP”. Gli utenti connessi, pur digitando il corretto indirizzo, verranno
inconsapevolmente reindirizzati ad un sito trappola.
Per evitare il fenomeno del pharming è sempre bene assicurarsi che la connessione sia
protetta, ovviamente prima di inserire eventuali dati sensibili. E’ sufficiente controllare il
prefisso https:// nell’indirizzo Web digitato nell’apposita barra.
Se un cracker clona un sito protetto, un messaggio avvertirà che il certificato del sito non
corrisponde all’indirizzo che si sta visitando. Se i messaggi indicano che il certificato non è
valido oppure non è rilasciato da fonte affidabile, non si dovrebbe accedere al sito.
PHISHING
Il phishing consiste nell’uso di e-mail e di falsi siti Web per indurre con
l’inganno gli utenti a fornire informazioni confidenziali, sensibili o
personali.
Solitamente l’utente riceve una e-mail che sembra provenire da un
utente affidabile, ad esempio quello di una banca o di un ente postale,
contenente quello che sembra essere il collegamento (link) al relativo
sito Internet. Tuttavia, selezionando il collegamento, l’utente viene
reindirizzato su un sito fittizio. Tutti i dati inseriti – quali coordinate
bancarie, codici PIN o password – possono essere sottratti ed
utilizzati a fini illegali dai pirati che hanno creato la replica del sito.
A volte il collegamento è diretto al sito originale, seppur quest’ultimo venga nascosto da
una finestra di popup sovrapposta: in tal modo l’utente visualizza l’indirizzo del sito
originale sullo sfondo, ma le informazioni vengono inserite nella finestra di popup falsa.
Talvolta i cracker utilizzano una tecnica chiamata cross-site scripting (XSS in gergo
informatico), nella quale il collegamento sul quale si clicca conduce effettivamente al sito
originale, laddove i contenuti vengono però gestiti dai criminali per scopi illegali.
Il fenomeno del phishing ha avuto iniziato negli anni Novanta, utilizzato come tecnica per
rilevare le informazioni relative agli utenti del sito AOL (America On Line), al fine di
accedere ai servizi Internet gratuitamente. Le informazioni sottratte erano chiamate phish,
poiché “pescate” in seguito alla digitazione dell’utente (“fish” in inglese significa “pesce”; la
grafia “ph” rimanda alla parola phreaker, termine utilizzato per indicare coloro che
compiono operazioni illecite sulla rete telefonica).
E’ bene, quindi, prestare sempre attenzione ai messaggi di posta elettronica che utilizzano
formule generiche quali “Gentile cliente” ed evitare di cliccare sui link in essa contenuti. E’
consigliabile, piuttosto, digitare l’indirizzo del sito nell’apposita barra per navigare
all’interno della pagina originale, oppure utilizzare un collegamento dalla lista “Preferiti” (o
“Segnalibri”).
I software antispam disponibili in commercio sono in grado di bloccare i tentativi di
phishing condotti tramite e-mail: alcuni programmi riescono anche ad individuare il
contenuto potenzialmente pericoloso delle pagine Web o delle e-mail e forniscono una
barra strumenti grazie alla quale è possibile verificare il dominio effettivo a cui si accede
selezionando un determinato link.
12
Documenti correlati
Definizione - Mariano Graziano
Definizione - Mariano Graziano
glossario web - scuola secondaria statale di primo grado g puecher
glossario web - scuola secondaria statale di primo grado g puecher
Sicurezza informatica
Sicurezza informatica
Virus - Valentina Pozzi - formatore nel settore dell`ICT
Virus - Valentina Pozzi - formatore nel settore dell`ICT
Scarica ora il file - MedicoCompetente.it
Scarica ora il file - MedicoCompetente.it
VIC Virus Infection Cycle, il gioco del ciclo d`infezione virale
VIC Virus Infection Cycle, il gioco del ciclo d`infezione virale
figure supplementari 6 - biomol.it
figure supplementari 6 - biomol.it
attenzione: virus
attenzione: virus
I Virus
I Virus
Ricerca di virus respiratori
Ricerca di virus respiratori
TU2_sample_translations
TU2_sample_translations
Programma - Professioni Sanitarie
Programma - Professioni Sanitarie
Scarica