Cerca

Italiano

Italiano

Accedi

Accedi/Registrati

Website

Sicurezza

Che cos'è il malware?

Il termine malware, contrazione di malicious software (software dannoso), indica qualunque software che agisca contro l'interesse dell'utente.

Il significato è abbastanza vasto da comprendere dai worm e trojan più semplici ai virus informatici più complessi. Oltre al computer o al dispositivo infetto, il malware può colpire anche tutti i dispositivi con cui comunica il sistema contenente il virus.

Una sicurezza IT efficace può ridurre l'esposizione dell'azienda agli attacchi malware. Le procedure tipiche includono la gestione delle patch, per eliminare le vulnerabilità nei sistemi, e il controllo degli accessi, per limitare i danni causati dal malware. I backup frequenti dei dati isolati dai sistemi di produzione principali consentono inoltre un ripristino veloce e sicuro dopo un'infezione da malware.


Attacchi da malware

Un giorni di lavoro qualsiasi. La mattina arrivi in ufficio, ti siedi alla scrivania e accendi il computer. A quel punto tutto comincia ad andare storto.

Al posto del tuo desktop, vedi una schermata rosso sangue con un lucchetto e un conto alla rovescia. "I tuoi file sono stati crittografati", dice. "Se non paghi entro 7 giorni, non potrai recuperare i file". Ti guardi intorno. Uno dopo l'altro, i tuoi colleghi vedono lo stesso messaggio sui loro computer. Su tutti i computer.

Questo è lo scenario a cui si sono trovati di fronte i lavoratori di tutto il mondo nel maggio 2017, quando il malware WannaCry ha attaccato aziende, enti pubblici e persino servizi pubblici essenziali, come gli ospedali.

Non tutti gli attacchi da malware si presentano in maniera così eclatante. Sul tuo computer potrebbe essere in esecuzione malware di cui non sospetti nemmeno l'esistenza, ma che rallenta il tuo sistema o viola la tua privacy. Alcuni programmi sono progettati per eludere il rilevamento di malware ed eseguire azioni evidenti solo in condizioni specifiche.

Anche se impedire un attacco malware non è sempre possibile, puoi ridurre le probabilità che interferisca con le tue operazioni, mantenendoti aggiornato e applicando procedure di sicurezza mirate.


Tipologie di malware

Per comprendere le ripercussioni effettive causate da malware e riuscire a limitare i rischi, è utile suddividerlo in categorie. Le peculiarità di ciascuna categoria non hanno confini ben definiti. Inoltre, sia gli sviluppatori che gli operatori di malware ricorrono spesso a una combinazione di tecniche diverse.

Ogni malware, per raggiungere il suo obiettivo, ha bisogno di due componenti: un metodo per diffondersi e il codice dannoso da recapitare. In altre parole, è utile distinguerli in "sistemi di recapito" e "payload".

Sistemi di recapito

Trojan: inganna l'utente per indurlo a installarlo

Worm: si copia da sé


Può essere combinato con:

Exploit: sfrutta una vulnerabilità del software per ottenere l'accesso al sistema

Rootkit o bootkit: riesce a ottenere autorizzazioni di accesso amministrative per eludere il rilevamento e acquisire maggior controllo

Payload

Adware: visualizza annunci indesiderati

Botnet: permette a un utente esterno di assumere il controllo del dispositivo

Minatore di criptovaluta: utilizza la potenza di elaborazione per operare sulla criptovaluta

Ransomware: estorce denaro

Spyware: raccoglie dati di nascosto

Altri danni: distruzione dei dati, vandalismo, sabotaggio

Trojan

I trojan si propagano attraverso l'ingegneria sociale. Celandosi sotto mentite spoglie, il trojan convince l'utente ignaro a installarlo. Uno dei metodi di attacco più comuni consiste nell'indurre l'utente ad aprire un file o un collegamento web che installa malware. In altri casi, l'utente può installare una simpatica barra degli strumenti per il browser o una divertente tastiera per emoji, che tuttavia contiene anche malware. Un'altra tecnica utilizzata dai trojan prevede la scrittura di malware di tipo autoinstallante su una chiavetta di memoria USB da consegnare all'utente ignaro.

Worm

I worm si insinuano in aree a cui non dovrebbero accedere. Il primo worm informatico sperimentale, che si limitava ad autoreplicarsi, è stato introdotto negli anni '70. Negli anni '80 hanno fatto la comparsa worm più dannosi, i primi virus informatici ampiamente conosciuti, che si diffondevano da un PC all'altro attraverso i floppy disk e danneggiavano i file a cui avevano accesso. Con la diffusione di Internet, gli sviluppatori di malware hanno iniziato a progettare worm capaci di replicarsi attraverso la rete, che hanno costituito la prima minaccia per le aziende e gli utenti connessi a Internet.

Exploit

Un exploit è una vulnerabilità del software che può essere sfruttata illegalmente per indurre il software a compiere operazioni non previste dalla sua progettazione. Il codice malware potrebbe utilizzare un exploit per entrare in un sistema o per spostarsi all'interno del sistema. Molti exploit si basano su vulnerabilità note (le cosiddette CVE, Common Vulnerabilities and Exposures), sfruttando il fatto che non tutti gli utenti applicano regolarmente le patch di sicurezza ai propri sistemi. Più raramente, un exploit zero day approfitta di una vulnerabilità critica che non è stata corretta dal responsabile della manutenzione del software.

Rootkit e bootkit

Un rootkit è costituito da una serie di strumenti software espressamente progettati per assumere il controllo completo di un sistema e cancellare le proprie tracce. I rootkit sostituiscono efficacemente i normali controlli amministrativi del sistema. Un bootkit è un rootkit avanzato che infetta un sistema a livello di kernel, acquisendo un grado di controllo addirittura superiore, ed è più difficile da rilevare.

Adware e spyware

L'adware ingombra il dispositivo con annunci pubblicitari indesiderati. Lo spyware, molto simile all'adware, raccoglie le informazioni dell'utente e le trasmette ad altri sistemi. Le tipologie di spyware possono variare dai tracker, che monitorano l'attività Internet dell'utente, a sofisticati strumenti di spionaggio. Sia spyware che adware non solo violano la privacy dell'utente, ma possono anche rallentare il sistema e congestionare la rete.

Botnet

I botnet consentono a un utente esterno di assumere il controllo del dispositivo, che entra a fare parte di una vasta rete di dispositivi infetti. Solitamente i botnet vengono utilizzati per sferrare attacchi DDoS (Distributed Denial of Service), inviare spam o cercare criptovaluta. Qualunque dispositivo non protetto connesso in rete può essere vulnerabile a un'infezione. I botnet dispongono in genere di strumenti per espandere la propria rete di dispositivi e sono abbastanza complessi da eseguire varie attività nocive, contemporaneamente o in sequenza. Ad esempio il malware Mirai, nell'attacco del 2016, ha utilizzato webcam connesse a Internet e router domestici per formare un enorme botnet DDoS.

Ransomware

Il ransomware è un codice malware che esige un pagamento di qualche tipo. Molti dei tipi di ransomware più comuni crittografano i file nel sistema di un utente ed estorcono il pagamento di un riscatto in Bitcoin in cambio di una chiave di decifratura. Il ransomware è venuto alla ribalta a metà degli anni 2000 e rimane ancora oggi una delle minacce alla cyber security più gravi e diffuse.

Altri danni

A volte, lo sviluppatore o l'operatore di malware ha lo scopo di distruggere dati o danneggiare componenti o servizi. Molti anni prima che il ransomware diventasse un problema, uno dei primi programmi malware ad attirare l'attenzione dei media è stato il virus Michelangelo, nel 1992, che tentava di sovrascrivere l'unità disco del PC infetto in una data specifica, il 6 marzo. Alcuni anni dopo, nel 2000, il virus ILOVEYOU si è diffuso da un utente all'altro sotto forma di script Visual Basic inviato come allegato e-mail. Quando veniva eseguito, questo virus cancellava diversi file e inviava una copia di se stesso per e-mail a tutti i contatti nella rubrica dell'utente.

Rispetto agli standard del malware moderno, questi virus sembrano addirittura ingenui. Prendiamo come esempio Stuxnet. Nel 2010 la security community ha scoperto un worm enigmatico e altamente sofisticato, progettato per manomettere un tipo specifico di apparecchiatura industriale. Molti esperti di sicurezza oggi ritengono che Stuxnet sia stato progettato dai governi di Stati Uniti e Israele per sabotare il programma nucleare iraniano, sebbene nessun governo se ne sia assunto ufficialmente la responsabilità. Se tale ipotesi fosse vera, questo sarebbe un esempio di malware emergente, ovvero un tipo di attacco informatico sponsorizzato da uno stato.


Come difendersi

Il modo migliore per difendersi dal malware consiste nell'evitare completamente l'infezione. Ovviamente, è più facile a dirsi che a farsi, ma oggi esistono misure che è possibile adottare per ridurre il livello di rischio.

Riduzione della superficie di attacco

Riduci al minimo il numero di sistemi, applicazioni e porte esposti a Internet.

Formazione degli utenti

Gli utenti devono imparare a sospettare dei collegamenti e degli allegati contenuti nei messaggi e-mail, anche se sembrano autentici.

Rilevamento

Prima si rileva un'infezione da malware, più rapidamente si può recuperare il sistema infetto. Ricorda che alcuni tipi di malware sono progettati per nascondersi. Gli strumenti di rilevamento richiedono l'aggiornamento regolare delle firme dei virus ed è consigliabile mantenere in funzione più metodi di rilevamento del malware contemporaneamente.

Gestione delle patch

Poiché i responsabili della manutenzione del software rilasciano al più presto possibile le patch necessarie per eliminare le vulnerabilità di sicurezza, l'esecuzione di un software aggiornato riduce il rischio di infezione da malware. Una gestione efficace delle patch implica l'applicazione puntuale delle patch di sicurezza a tutti i sistemi dell'azienda. Verifica di frequente la disponibilità degli aggiornamenti e applicali per proteggerti dagli exploit conosciuti.

Controllo degli accessi

Il controllo amministrativo dovrebbe essere limitato alle applicazioni e agli utenti che ne hanno effettivamente bisogno. In questo modo, in caso di attacco al computer, il malware farà molta più fatica a infettare le funzioni di base del sistema. Esamina regolarmente i controlli amministrativi.

Backup e crittografia di dati

Una protezione adeguata dei dati può fare una differenza enorme durante un attacco malware. Se si verifica lo scenario peggiore e il malware entra nel sistema, è possibile eseguire il failover a un backup pulito creato prima dell'infezione. In parole povere, si tratta di mantenere isolati i dati di backup per evitare che vengano cancellati o danneggiati dal malware. È inoltre consigliabile crittografare sempre i dati, di modo che le eventuali informazioni sottratte dal malware risultino inutilizzabili. Nella pratica, l'adozione di una o più strategie di protezione dipende dalle dimensioni e dalla complessità dell'organizzazione. Scegliere un prodotto di storage software-defined in un ambiente cloud ibrido può essere la soluzione più indicata per le aziende di grandi dimensioni, poiché offre una scelta estremamente flessibile di opzioni per backup e crittografia.

Tutti i sistemi informatici presentano vulnerabilità, e gli sviluppatori di malware le cercano e le sfruttano in modo sistematico e costante. La protezione dal malware è pertanto un problema in continua evoluzione.

La guida Red Hat alla tecnologia di sicurezza IT offre maggiori informazioni sui processi, sulle policy e sulle procedure da applicare.

Affidati a Red Hat

Piattaforme Linux

Red Hat Enterprise Linux è una base stabile e versatile per eseguire il roll out di nuove applicazioni, virtualizzare ambienti e creare un cloud ibrido sicuro, il tutto con il nostro supporto pluripremiato.


Gestione IT

Il metodo più semplice per gestire l'infrastruttura Red Hat e garantire processi IT efficienti e conformi. Crea processi e repository di contenuti attendibili con cui ottenere un ambiente sicuro e standardizzato.

Storage

Una piattaforma di storage software-defined per i file, capace di gestire attività esigenti in termini di capacità, come il backup e l'archiviazione, e attività ad alte prestazioni, come l'analisi e la virtualizzazione. Ideale per i container e lo streaming multimediale.

Storage

Una piattaforma di storage software-defined per gli oggetti, che offre anche le interfacce per lo storage basato su file e blocchi. Supporta infrastrutture cloud, repository multimediali, sistemi di backup e ripristino e Data Lake. Particolarmente adatta a Red Hat OpenStack® Platform.

Resta aggiornato sulla sicurezza IT