Classificazione delle minacce

In questa classificazione il termine "minaccia informatica" significa qualsiasi strumento software che sia indirettamente o direttamente capace di causare un danno al computer, alla rete, alle informazioni o ai diritti dell'utente (cioè programmi malevoli e altri programmi indesiderati). In senso più ampio, il termine "minaccia informatica" può significare qualsiasi potenziale pericolo per il computer o la rete (cioè una vulnerabilità che può essere sfruttata per condurre attacchi hacker).

Tutti i tipi di programmi descritti sotto sono potenzialmente capaci di mettere a rischio i dati dell'utente o la loro riservatezza. Di solito, non vengono categorizzati come minacce i programmi che non nascondono la loro presenza nel sistema (per esempio, alcuni programmi per l'invio dello spam o per l'analisi del traffico dati), sebbene in determinate circostanze tali programmi possano causare un danno all'utente.

Nei prodotti e nella documentazione della società Doctor Web le minacce informatiche sono divise in due tipi in base al livello di pericolo:

•minacce significative — minacce informatiche classiche che di per sé sono capaci di eseguire varie attività distruttive ed illegali nel sistema (cancellazione e furto di informazioni importanti, violazione dell'operatività di una rete ecc.). Questo tipo di minacce informatiche include programmi che tradizionalmente vengono chiamati malevoli (virus, worm e trojan);

•minacce insignificanti — minacce informatiche che sono ritenute meno pericolose rispetto alle minacce significative, ma che possono essere utilizzate da terzi per eseguire azioni dannose. Inoltre, la presenza stessa delle minacce insignificanti nel sistema è una chiara indicazione di un basso livello della sua protezione. Gli esperti di sicurezza informatica chiamano talvolta questo tipo di minacce informatiche programmi "grigi" o potenzialmente indesiderati. Alle minacce insignificanti appartengono gli adware, i dialer, gli joke, i riskware e gli hacktool.

Minacce significative

Virus informatici

Questo tipo di minacce informatiche può incorporare il suo codice eseguibile in altri programmi. Tale incorporazione si chiama infezione. Nella maggior parte dei casi il file infetto diventa lui stesso portatore del virus, mentre il codice incorporato non necessariamente del tutto corrisponde all'originale. La maggior parte dei virus viene creata per danneggiare o distruggere dati.

Nell'azienda Doctor Web i virus sono divisi per il tipo di file che loro infettano:

•i virus di file infettano i file del sistema operativo (di solito, file eseguibili e librerie dinamiche) e diventano attivati ad accesso a un file infetto;

•i virus di macro infettano i file di documenti utilizzati dalle applicazioni Microsoft® Office o da altri programmi che consentono comandi macro, scritti, il più delle volte, nel linguaggio Visual Basic. Le macro sono programmi incorporati scritti in un linguaggio di programmazione a pieno titolo che possono avviarsi in determinate condizioni (per esempio, in Microsoft® Word le macro possono avviarsi all'avvio, alla chiusura o al salvataggio di un documento);

•i virus di script sono scritti nei linguaggi di script, e nella maggior parte dei casi infettano altri file di script (per esempio, i file di servizio del sistema operativo). Loro possono infettare anche gli altri tipi di file che supportano l'esecuzione degli script, sfruttando script vulnerabili in applicazioni web;

•i virus di boot infettano i settori di avvio di dischi e partizioni, nonché i master boot record di dischi rigidi. Occupano poca memoria e rimangono pronti a svolgere le loro funzioni fino a quando il sistema operativo non verrà scaricato da memoria, riavviato o arrestato.

La maggior parte dei virus possiede alcuni meccanismi di difesa dal rilevamento. I metodi di difesa dal rilevamento vengono migliorati di continuo, perciò per i programmi antivirus vengono sviluppati nuovi metodi per superare questa difesa. I virus possono essere divisi secondo il principio di difesa dal rilevamento:

•i virus cifrati criptano il proprio codice a ogni infezione nuova, il che ostacola il rilevamento di tale codice in un file, nella memoria o in un settore di avvio. Ogni copia di tale virus contiene soltanto un frammento comune (la procedura di decifratura) il quale può essere selezionato come firma antivirale;

•i virus polimorfi utilizzano, oltre alla cifratura del codice, una procedura di decifratura specifica che cambia sé stessa in ciascuna copia nuova del virus, quindi per tale virus non esistono firme antivirali di byte.

Inoltre, i virus possono essere classificati secondo il linguaggio in cui sono scritti (la maggior parte è scritta in assembler, nei linguaggi di programmazione di altro livello, linguaggi di script ecc.), nonché secondo il sistema operativo bersaglio.

Worm

Recentemente i programmi malevoli del tipo "worm" sono diventati molto più diffusi dei virus e degli altri programmi malevoli. Così come i virus, i worm possono creare copie di sé stessi. Un worm si infiltra su un computer dalla rete (il più delle volte come un allegato a un'email) e invia le proprie copie funzionanti su altri computer. Per iniziare a diffondersi, i worm possono utilizzare sia le attività dell'utente che una modalità automatica di selezione e di attacco a un computer.

I worm non necessariamente sono costituiti per intero da un singolo file (il corpo del worm). Molti worm hanno la cosiddetta parte di infezione (un codice shell) che viene caricata nella memoria operativa del computer e ulteriormente scarica dalla rete il corpo stesso del worm come un file eseguibile. Fino a quando il corpo del worm non c'è nel sistema, è possibile liberarsene riavviando il computer (a riavvio la memoria operativa viene azzerata). Ma se il corpo del worm è già presente nel sistema, soltanto un antivirus può affrontarlo.

Propagandosi intensamente, i worm possono mettere fuori servizio intere reti anche quando non hanno alcun payload (cioè non causano un danno diretto al sistema).

In Doctor Web i worm sono divisi in base al modo (ambiente) di propagazione:

•i worm di rete si diffondono tramite vari protocolli di rete e protocolli di condivisione di file;

•i worm di posta si diffondono tramite protocolli di email (POP3, SMTP ecc.).

Trojan

Questo tipo di programmi malevoli non è in grado di auto-replicarsi. I trojan eseguono qualche attività dannosa (danneggiano e cancellano dati, inviano dal computer informazioni riservate ecc.) o rendono possibile un utilizzo non autorizzato del computer da parte di un malintenzionato, per esempio, per causare danni a terzi.

Questi programmi hanno funzioni malevole e mimetiche simili a quelle dei virus e persino possono essere un modulo dei virus, ma di regola i trojan vengono distribuiti come i file eseguibili separati (vengono collocati su file server, registrati su supporti di informazione o inviati in email come allegati) che vengono eseguiti dall'utente stesso o da un determinato processo del sistema.

Di seguito è riportato un elenco di alcuni tipi di trojan che Doctor Web mette in classi separate:

•i backdoor — programmi trojan che consentono di ottenere l'accesso privilegiato al sistema aggirando il meccanismo esistente di concessione dell'accesso e di protezione. I backdoor non infettano file, si trascrivono nel registro, modificando chiavi;

•i dropper — file-portatori che contengono nel loro corpo programmi malevoli. Quando viene avviato, il dropper copia file malevoli sul disco dell'utente, senza avvisare l'utente, e li esegue;

•i keylogger vengono usati per raccogliere i dati che l'utente immette tramite la tastiera. Lo scopo di tali azioni è il furto di informazioni personali (per esempio, password di rete, login, numeri di carte di credito ecc.);

•i clicker ridefiniscono link quando si fa clic su di essi e in questo modo reindirizzano l'utente su determinati siti web (probabilmente malevoli). Di solito il reindirizzamento viene effettuato per aumentare il traffico pubblicitario di siti web o per organizzare attacchi distributed denial of service (attacchi DDoS);

•i trojan proxy forniscono al malintenzionato l'accesso anonimo alla rete Internet attraverso il computer della vittima;

•i rootkit sono studiati per intercettare le funzioni del sistema operativo per nascondere la propria presenza nel sistema. Inoltre, i rootkit possono nascondere processi di altri programmi, diverse chiavi del registro, cartelle e file. Un rootkit si diffonde come un programma indipendente o come un componente aggiuntivo di un altro programma malevolo. In base al principio di funzionamento i rootkit possono convenzionalmente essere divisi in due gruppi: quelli che funzionano in modalità utente (intercettano le funzioni delle librerie di modalità utente) (User Mode Rootkits (UMR)) e quelli che funzionano in modalità kernel (intercettano le funzioni a livello del kernel di sistema, il che ne rende notevolmente più difficile il rilevamento e la neutralizzazione) (Kernel Mode Rootkits (KMR)).

Oltre a quelle elencate, i trojan possono eseguire anche altre funzioni malevole, per esempio cambiare la pagina iniziale nel browser o rimuovere determinati file. Tali azioni però possono essere eseguite anche da altri tipi di minacce (per esempio, dai virus e worm).

Minacce insignificanti

Hacktool

Gli hacktool vengono creati per lo scopo di aiutare un intruso. Il tipo più comune di tali programmi sono gli scanner delle porte che consentono di scoprire vulnerabilità nei firewall e in altri componenti di protezione del computer. Oltre agli hacker, anche gli amministratori possono utilizzare questi strumenti per controllare la sicurezza delle loro reti. Talvolta vengono classificati come hacktool i programmi che utilizzano metodi di social engineering (ingegneria sociale).

Adware

Il più delle volte questo termine significa un codice software incorporato in vari programmi gratuiti, utilizzando i quali l'utente è costretto a visualizzare pubblicità. Tuttavia, tale codice può talvolta essere distribuito di nascosto attraverso altri programmi malevoli e può visualizzare pubblicità, per esempio nei browser. Spesso gli adware funzionano sulla base dei dati raccolti dai programmi spyware.

Joke

Questo tipo di programmi malevoli, così come gli adware, non causa alcun danno diretto al sistema. Il più delle volte, gli joke generano avvisi di errori inesistenti e minacciano di azioni che possono portare alla corruzione dei dati. La loro funzione principale è quella di intimidire o infastidire l'utente.

Dialer

Questi sono programmi specifici che utilizzano l'accesso alla rete Internet con il permesso dell'utente per andare su determinati siti. Di solito hanno un certificato firmato e notificano di tutte le loro azioni.

Riskware

Questi programmi non sono stati creati per provocare danni, ma in virtù delle loro caratteristiche possono rappresentare una minaccia alla sicurezza del sistema. A tali software appartengono non soltanto quelli che possono accidentalmente danneggiare o cancellare dati, ma anche quelli che possono essere utilizzati dagli hacker o da altri programmi per provocare danni al sistema. Possono essere classificati come riskware diversi programmi di comunicazione e amministrazione remota, server FTP ecc.

Oggetti sospetti

Agli oggetti sospetti appartiene qualsiasi minaccia potenziale rilevata tramite l'analisi euristica. Tali oggetti possono essere qualsiasi tipo di minacce informatiche (probabilmente persino uno non ancora conosciuto dagli specialisti nella sicurezza informatica) e possono essere un oggetto sicuro in caso di falso positivo. È consigliabile mettere in quarantena i file che contengono oggetti sospetti, nonché spedirli per l'analisi agli specialisti del laboratorio antivirus Doctor Web.