Security Notes

Spyware, Keylogger e Rootkit: i dati sono sempre più “spiati”. Che fare?

spiare

Nel corso degli anni i dati personali, sensibili, giudiziari e finanziari che ci riguardano e che riguardano le aziende, sono passati sempre più dal formato cartaceo, a quello digitale, e i documenti che una volta erano solo in formato cartaceo, ora potrebbero essere solo elettronici. Tante informazioni vengono inoltre create e custodite direttamente all’interno dei server aziendali, dei computer di casa o dei device mobili. Altre invece, vengono inserite ed utilizzate da noi sui social, sul sito dell’home banking, nelle e-mail che scriviamo, oppure quando inviamo una foto. E’ davvero notevole la mole di dati che generiamo quotidianamente utilizzando internet e che si trova ormai sparsa nella rete o archiviata in qualche strumento informatico.

Da un recente questionario di Kaspersky Lab, su un campione di 18.000 utenti di internet sopra i 18 anni e di 16 paesi nel mondo, è risultato che solo il 27% degli intervistati dice di non avere alcuna informazione personale archiviata sul computer. Più di un terzo effettua conversazioni private con qualsiasi applicazione disponibile, e quasi il 15% lo fa anche da dispositivi non propri. Circa il 60% degli utenti archivia le password e i dettagli di login degli account online e delle email in modo non sicuro, tra l’altro salvandoli sul telefono cellulare. Meno di un terzo quelli che archiviano elettronicamente anche i dati finanziari, dettagli bancari e codici PIN.

Questo fenomeno, se da un lato ha semplificato e velocizzato le operazioni di tutti i giorni, ha però anche incrementato il pericolo che le informazioni importanti e riservate che ci riguardano cadano in mani di soggetti senza scrupoli e con buoni skill informatici che nascosti chissà in quali luoghi, riescono a “spiarci”,  “rubarci” il codice della carta di credito (usata magari per acquistare un biglietto aereo), “bucare” il sito internet aziendale, leggere le nostre e-mail, ascoltare le nostre comunicazioni telefoniche, o rubarci denaro dal conto in banca. E attenzione, tra i nemici dei nostri dati ci possono essere anche mogli o mariti gelosi, colleghi invidiosi, rivali commerciali. Ma come fanno? E come possiamo difenderci da questo?

Tecniche di attacco

Security Avete mai ricevuto una email di un corriere che diceva di non essere riuscito a consegnarvi un pacco e vi invitava a stampare e firmare la ricevuta? O avete mai prestato lo smartphone ad un estraneo per effettuare una telefonata perché il suo era scarico? Oppure vi siete accorti di una nuova penna usb inserita nel retro del vostro pc in azienda? (quanti di noi controllano abitualmente cosa c’è dietro al proprio pc sistemato per terra in un angolo dell’ufficio?). Ecco potrebbero aver fatto così.
I cyber criminali al fine di rubarci le informazioni utili alle loro attività criminose, tra le varie  tecniche a loro disposizione (ad esempio il Social Engineering), hanno anche la capacità di creare e utilizzare Software Malevolo (Malicious Software) che prende il nome di Malware. Tra le varie tipologie di malware esistenti, troviamo gli , i e i .

  • Spyware
    Termine generico con cui si definisce il software che eseguito in background (quindi invisibile per l’utente) raccoglie informazioni sul computer ed il suo utilizzatore e le trasmette di norma al suo creatore. Tra i dati “spiati” spesso ci sono login e password dell’utente, i numeri della sua carta di credito, i siti visitati.  Sui device mobili vengono “rubati” i dati relativi alla posizione, i contenuti di chiamate e i messaggi (sms, mms, wapp, email, ..).
    Questo tipo di minaccia spesso viene scaricata dal Web, oppure ricevuta tramite email, e messaggistica istantanea ed attivata dall’ignaro utente aprendo il file che la contiene. Può inoltre installarsi automaticamente accettando l’accordo di licenza dei programmi (se non lo leggiamo). Sovente lo spyware è contenuto nei programmi offerti gratuitamente.
  • Keylogger
    Software o Hardware che intercetta e registra qualsiasi tasto digitato sulla tastiera dalla vittima a sua insaputa. La registrazione dei dati confidenziali “rubati” può avvenire tanto in locale sulla macchina infetta in una cartella nascosta, ma anche inviati al criminale in remoto. È evidente quanto “sensibili” siano i dati che questo malware registra: ogni carattere, parola e frase digitata, quindi anche password, numeri di telefono, codici di carte di credito, pin dell’home banking. Al giorno d’oggi i keylogger potrebbero trovarsi all’interno di malware più grande, come un Rootkit, implementandone gli effetti dannosi.
    L’infezione con un Keylogger di tipo software avviene aprendo l’allegato contenuto in una email, il link di un sms, mms e messaggi Whats App. Un keylogger potrebbe essere anche installato dal criminale accedendo fisicamente sulla macchina o sul device quando la vittima non è presente. Oppure ancora potrebbe avvenire visitando una pagina web infetta. Il Keylogger di tipo hardware, invece, potrà essere attivato solo con l’intervento fisico del criminale sulla macchina dell’ignaro utente, attraverso l’inserimento di un minuscolo dispositivo in una presa usb. Molto meno visibile sarà invece l’apposizione di un adattatore interposto tra tastiera o mouse ed il computer.
  • Rootkit
    Malware che permette ai cyber criminali di rubare file ed informazioni dal computer della vittima restando nascosto in esso per parecchi anni ed insinuandosi a vari livelli del sistema, in profondità. Può colpire tutti i maggiori sistemi operativi (Windows, Linux, OS X) ed è progettato per essere invisibile ai sistemi di rilevamento dando al contempo al cyber criminale accesso al sistema con i privilegi massimi, quelli che nei sistemi linux sono attribuiti all’utente Root (da cui il nome Rootkit). Spesso questo malware è la base per l’azione di altri vari software nocivi come i Keylogger,  i moduli per rubare i dati delle carte di credito, quelli per leggere le email, rubare le password e soprattutto le funzioni  che disabilitano gli antivirus. Il Rootkit può rimpiazzare programmi con copie di altri programmi, può impossessarsi di una libreria andando a controllare tutte le applicazioni che usano quella stessa libreria ed alcuni Rootkit sono inoltre in grado di infettare il Firmware dei BIOS e dei dispositivi ROMS.Sono vari i modi con cui possiamo infettarci con un Rootkit. Il metodo più comune per farlo è tramite una  vulnerabilità nei Sistemi Operativi o nelle applicazioni non aggiornati. Un altro metodo per contrarre questo tipo di malware è attraverso i dispositivi USB. Un criminale potrebbe lasciare volutamente in giro delle penne USB sperando che qualche curioso una volta che ne trova una, la inserisca nel pc. In quel momento potrebbe essere stato infettato dal rootkit.Nel maggio 2015 un team di sviluppatori anonimo rilasciava Jellyfish e Demon, due rootkit capaci di girare anche sul sistema del pinguino sfruttando la memoria della GPU (Graphics Processing Unit) per nascondersi ai programmi di . La cosa curiosa è che questi due malware sono sotto licenza open source e quindi è possibile studiarne il comportamento. Pare infatti che il team di sviluppatori abbia prodotto questi rootkit come proof-of-concept, cioè pensati proprio per dimostrare che nessun Sistema Operativo è sicuro al 100%, cosa che credo personalmente da molti anni.
    Mi preme sottolineare comunque che una netta distinzione tra i tipi di malware al giorno d’oggi non è praticamente più possibile in quanto ogni minaccia può presentare caratteristiche comuni a più tipologie di malware. Del resto si capisce bene che essendo il malware frutto di “creazioni artigianali e fantasiose” del cyber criminale, può essere “costruito” e “personalizzato” a proprio piacimento.
    Con caratteristiche simili agli Spyware, ai Keylogger ed ai Rootkit troviamo anche i software che registrano le schermate video, nonché i software usati dalle forze dell’ordine per contrastare il crimine. A seconda dell’uso che se ne fa e a seconda delle configurazioni impostate, anche i programmi di assistenza remota possono diventare, in taluni casi, software di monitoraggio di una vittima senza il suo consenso.

Minacce recenti

E’ notizia di qualche giorno fa da parte del Computer Emergency Response Team nazionale della scoperta di un nuovo tipo di malware per i dispositivi mobili Android, chiamato “Mazart Bot”. Questa minaccia presenta caratteristiche simili ad un Rootkit perché è in grado ottenere i diritti amministrativi sul dispositivo della vittima e controllarlo da remoto, ma è anche in grado di inviare SMS a numeri a valore aggiunto, leggere gli SMS compresi gli eventuali codici inviati da applicazioni di banking online e siti web di e-commerce, interporsi in qualsiasi comunicazione internet, e compiere qualsiasi azione sul dispositivo, inclusa la sua cancellazione completa. L’infezione avviene se si visita il link che arriva via SMS e MMS.

Non solo: agli inizi di Febbraio Il Global Research and Analysis Team di Kaspersky Lab software comunica di aver pubblicato una dettagliata ricerca sul software spia “Adwind” venduto in abbonamento come qualsiasi altra sottoscrizione ad un servizio online in grado di infettare e spiare computer. Ben 1800 sembrerebbero i clienti che l’avrebbero già utilizzato a discapito di almeno 400 mila vittime. Questo software malevolo sfrutta una vulnerabilità del software java, quindi dannoso per molti sistemi operativi, e permette di prendere il controllo del computer da remoto. Sarà possibile pertanto per il cyber criminale rubare le password, registrare quanto digitato sulla tastiera, attivare il microfono, etc.  etc. ..

E non va meglio quando parliamo di wifi: il Garante Privacy britannico ha lanciato un allarme, nell’Ottobre scorso, in merito all’adozione, da parte di sempre più attività commerciali, della tecnologia che permette di tracciare tramite il WiFi dello smartphone ed il suo indirizzo MAC i movimenti di questo e di conseguenza abbinarlo all’individuo specifico. Una volta dato un nome e/o una faccia al MAC address, codice di 48 bit unico in tutto il mondo, il soggetto potrà essere tracciato ovunque vada. In questo caso non si tratta di malware, ma dell’Intelligent Video Analytics, e le sue implicazioni per la privacy e la sicurezza dei dati sono notevoli.

Come difendersi?

spiareE’ ormai evidente che dalla sicurezza dei nostri dati, oggi contenuti per lo più anche su supporti informatici, dipende il nostro benessere personale così come il nostro business, il nostro lavoro. Come fare a difendersi? Non esiste una strategia perfetta anche perché è la “fantasia” stessa dei cyber criminali a imporre una ridefinizione continua del cosa fare per. Di certo però esistono delle regole di buon comportamento che possono limitare, e di molto, il rischio di fare cadere dati personali e aziendali nelle mani di malintenzionati.

Consigli e suggerimenti pratici, in prima battuta e che andremo ad approfondire nelle prossime settimane, che partono però da un assunto fondamentale, valido sia che si ragioni in ottica “personale” ma soprattutto in ottica di impresa: al primo posto c’è sempre l’UOMO e la maggiore consapevolezza che tutti dovremmo avere di cosa fare per limitare i rischi.

E’ chiaro che la regola principale è che bisogna usare sempre il buonsenso quando si naviga in internet e si usano gli amati strumenti elettronici, ancora più se si è una impresa. In questo caso la dimensione è duplice: i dipendenti hanno un ruolo chiave nel proteggere se stessi e i dati aziendali, così come l’azienda stessa ha il compito di formare/informare e difendere tecnologicamente informazioni e dati in loro possesso.

  • Prudenza in rete: In generale attenzione sempre a cosa si scarica e da dove lo si fa. Nessuno regala nulla, a questo mondo, quindi se online, via mail o sul web, qualcosa è offerto gratis, forse nasconde qualche risvolto poco piacevole. Ricordiamoci che tutto quello che mettiamo in internet ci potrebbe restare per sempre. Ogni Social Network rappresenta un tesoro per i truffatori, che raccolgono le informazioni e le usano per attività fraudolente. Occhio anche allo shopping online: effettuare sempre pagamenti sicuri su Internet. L’ideale sarebbe di farli solo con carte di credito prepagate.
  • Prudenza nella gestione dei device: non lasciare mai smartphone, ipad o computer, a persone che non conoscete bene. Anche in caso di un prestito di telefono per fare una telefonata, disabilitare prima la visualizzazione del numero chiamante (in questo modo non resterà il vostro numero a sconosciuti).
  • Mantenere device protetti e aggiornati: può sembrare banale ma è uno dei comportamenti “superficiali” più frequenti: computer e  smartphone devono avere l’antivirus. Qualsiasi sistema operativo ci sia. O comunque valide soluzioni di sicurezza. Stesso dicasi per i i sistemi operativi e le applicazioni.
  • Prudenza in luoghi, e su reti, diversi da quelli noti: in azienda, o negli Internet point, verificare periodicamente che non vi sia nulla di sospetto inserito nelle prese del computer che utilizzerete ed anche che il “case” del pc non sia stato aperto per inserirvici un keylogger.
    Attenzione anche alle Reti WiFi “aperte” e gratuite. Potrebbe esserci dietro qualcuno che vuole accedere al vostro dispositivo.  Infine, sconsiglio di accettare gadget USB in regalo da sconosciuti, come portachiavi, penne e qualsiasi altro oggetto che si “infili” nel nostro computer (o previo controllo antivirus).
  • Attenzione ai click facili: non cliccare MAI sui link arrivati attraverso sms, mms o qualsiasi altro programma di messaggistica istantanea da persone sconosciute o di cui non vi fidate. Così pure non aprite gli allegati arrivati per posta elettronica da indirizzi sconosciuti o inattesi e comunque dotatevi di un antivirus che protegga anche i messaggi di posta elettronica. Molta attenzione anche ai banner pubblicitari, alle Toolbar, ai giochi dei Social Network. Non è tutto oro quello che luccica e dietro questi potrebbero nascondersi potenti malware.
  • Usare password forti: nel 2014 la password più usata era questa, ancor più oggi la chiave per proteggere i dati deve passare in prima battutta per l’uso di password forti per i dispositivi e gli account online. I criminali sono sempre più bravi, a scardinarle.
  • Creare protezioni culturali e fisiche nelle imprese: lo abbiamo detto, l’impegno nelle aziende deve essere a più livelli quindi sicuramente formazione dei dipendenti insieme a postura e regole di sicurezza chiare e aggiornae. E poi nel concreto firewall e se possibile sistemi di Intrusion Prevention e Detection. E ancora, se in azienda si dispone di Assistenza Remota con una ditta esterna, controllare bene e concordare dove possono accedere e quando possono collegarsi, ma soprattutto come possono accedere, se con intervento lato impresa o senza e gli orari e accertatevi che utilizzino una connessione sicura. Infine se un dipendente si licenzia, e ancora di più se viene licenziato, disattivare immediatamente i suoi account e cambiare le password comuni dei luoghi di accesso.
Antonio Sagliocca

Antonio Sagliocca

Amante delle nuove tecnologie, si occupa da vari anni di Investigazioni Private e Digitali, Open Source Intelligence ed Ethical Hacking.

Studente di Sicurezza Informatica e Socio Clusit dal 2014, ha alle spalle un’esperienza di oltre quindici anni in ambito IT Sistemistico e Tecnico. Agli inizi del 2000 ha partecipato al progetto di “alfabetizzazione informatica” organizzato dalla Municipalità a favore dei cittadini che si avvicinavano al mondo del Computer.

Dall’A.A. 2015/2016 collabora con le Cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell’Università degli Studi di Milano.

Twitter LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This