Cos'è un malware?
Malware, parola composta dalle parole "malicious" (maligno) e "software", è un termine generico che può riferirsi a virus, worm, trojan, ransomware, spyware, adware e altri tipi di software dannosi. Una distinzione fondamentale del malware è che deve essere intenzionalmente dannoso; qualsiasi software che causa danni involontariamente non è considerato malware.
L'obiettivo generale del malware è interrompere il normale funzionamento di un dispositivo. Questa interruzione può avere diversi scopi, dalla visualizzazione di annunci pubblicitari su un dispositivo senza consenso all'ottenimento dell'accesso root di un computer. Il malware può tentare di nascondersi all'utente per raccogliere informazioni in modo furtivo oppure può bloccare il sistema e trattenere i dati chiedendo un riscatto. Negli attacchi DDoS, il malware come Mirai colpisce i dispositivi vulnerabili, trasformandoli in bot sotto il controllo del malintenzionato. Una volta modificati, questi dispositivi possono quindi essere utilizzati per eseguire attacchi DDoS come parte di una botnet.
La creazione di malware è nata come risultato di esperimenti e scherzi da parte di programmatori informatici, ma la scoperta del potenziale commerciale che crea ha trasformato lo sviluppo di malware in un redditizio mercato nero. Oggi, molti aggressori si offrono di creare malware o lanciare attacchi malware in cambio di un compenso.
Quali sono i tipi più comuni di malware?
- Spyware: come suggerisce il nome, lo spyware viene utilizzato per spiare il comportamento di un utente. Gli spyware possono essere utilizzati per monitorare l'attività di navigazione Web di un utente, visualizzare annunci pubblicitari indesiderati e modificare i flussi di marketing di affiliazione. Alcuni spyware utilizzano un cosiddetto keylogger per registrare i tasti premuti dall'utente, consentendo all'aggressore di accedere a informazioni sensibili, tra cui nomi utente e password.
- Virus: un virus è un programma dannoso che può essere incorporato in un sistema operativo o in un software; per essere infettata, la vittima deve eseguire il sistema operativo o aprire il file infetto.
- Worm: a differenza dei virus, i worm si autoreplicano e si trasmettono attraverso una rete. L'utente non deve eseguire alcun software per diventare una vittima; è sufficiente essere connessi alla rete infetta.
- Trojan horses, o cavalli di Troia: si tratta di malware nascosti all'interno di altri software utili per invogliare l'utente a installarli. Le copie pirata dei software più diffusi sono spesso infettate da trojan horse.
- Rootkit: questi pacchetti software sono progettati per modificare un sistema operativo in modo che le installazioni indesiderate non vengano visualizzate dall'utente. Un esempio famoso è lo scandalo del rootkit Sony del 2005, quando Sony ha venduto 22 milioni di CD musicali infettati da un rootkit che installava segretamente un software destinato a interrompere la copia di CD sul computer dell'acquirente. Questo rootkit ha aperto la porta ad altri autori di attacchi per prendere di mira i computer infetti con malware aggiuntivo.
- Ransomware: questo software può crittografare file o addirittura un intero sistema operativo su un computer o una rete e mantenerli crittografati finché non viene pagato un riscatto all'autore dell'attacco. L'avvento di bitcoin e di altre criptovalute ha creato un'impennata nella popolarità degli attacchi ransomware, poiché gli autori di attacchi possono accettare valuta in modo anonimo e ridurre al minimo il rischio di essere scoperti.
Quali sono i fattori di rischio per l'infezione da malware?
- Bug di sicurezza: Software come sistemi operativi, browser Web e plugin per browser possono contenere vulnerabilità che gli aggressori potrebbero sfruttare.
- Errore utente: gli utenti che aprono software da fonti sconosciute o avviano i loro computer da hardware non attendibili possono correre gravi rischi.
- Condivisione del sistema operativo: anche l'uso di un unico sistema operativo da parte di ogni computer di una rete aumenta il rischio di infezione da malware: se tutte le macchine utilizzano lo stesso sistema operativo, è possibile che un worm le infetti tutte.
Come si può fermare il malware?
Nessuno è completamente immune agli attacchi malware: vengono costantemente sviluppati nuovi attacchi per mettere alla prova anche i sistemi più sicuri. Ma ci sono molti modi per ridurre al minimo la vulnerabilità agli attacchi malware. Questi includono:
- Software antivirus e antimalware: l'esecuzione di scansioni regolari su un computer o una rete è fondamentale per rilevare le minacce prima che possano diffondersi.
- Scansioni di sicurezza dei siti Web: le persone che gestiscono siti Web devono essere consapevoli che il malware può prendere di mira il software di un sito Web per visualizzare file privati, dirottare il sito e potenzialmente persino danneggiare i visitatori di quel sito con download forzati di malware. Eseguire regolarmente scansioni di sicurezza su un sito Web può aiutare a individuare queste minacce.
- Web Application Firewall (WAF): un'altra buona risorsa per i webmaster è un WAF, che può bloccare il malware ai limiti di una rete e impedirgli di raggiungere il server di origine di un sito.
- Isolamento fisico: considerata l'ultima risorsa, per isolamento fisico si intende isolare un computer o una rete da tutte le reti esterne e dalle comunicazioni Internet, disabilitando qualsiasi hardware che renderebbe possibili le comunicazioni. Anche questa non è una difesa infallibile ed è stata compromessa da tattiche come l'attacco "dropped drive", in cui le unità USB vengono lasciate nel parcheggio di un'azienda nella speranza che un dipendente curioso ne trovi una e la inserisca in un computer della rete, infettando la rete isolata con malware.