|
Introduzione agli
Spyware
Gli spyware sono dei
programmi che si installano sui personal computer e sfruttano la
connessione ad internet con l’obiettivo di inviare informazioni
private ad un server che ascolta da remoto in modalità silente,
ossia senza che l’utente se ne accorga. In genere gli spyware sono
realizzati da abili sviluppatori che vengono spesso ben remunerati
per la creazione di questi programmi che spiano le abitudini di
navigazione degli utenti a vantaggio di società di marketing
illecite.
Tecniche di
caricamento degli spyware
Gli spyware possono
installarsi sui pc degli utenti in diversi modi, tra i quali
ricordiamo :
Script automatici
è sufficiente
visitare una pagine web infestata da spyware, affinché avvenga
l’installazione automatica di questo programma sul Pc, all’insaputa
dell’utente.
Spyware nascosti
in applicazioni richieste
molto spesso questi
spyware si annidano in applicazioni che vengono richieste
dall’utente, oppure si installano a seguito dell’apertura di
determinati allegati in posta elettronica. Inoltre si verifica che
molti programmi diffusi per lo scambio di file, come ad es. KaZaA e
Grokster, spesso contengano programmi illeciti che lavorano
come spie sul Pc.
Installazione di
tipo doloso
in questi casi, gli
spyware vengono installati da malintenzionati che desiderano ledere
un’azienda o lucrare sul furto di informazioni aziendali.
Categorie più
diffuse di Spyware
Tra i tipi più
diffusi di spyware ricordiamo :
Gli Adware
: l’obiettivo primario degli adware è quello di visualizzare sul pc
dell’utente dei banner pubblicitari, registrando le abitudini di
navigazione e trasmettendo i dati ad un server clandestino remoto.
Questi tipi di spyware, possono rallentare di molto il pc e
bombardarlo di messaggi a scopo pubblicitario.
I Keylogger
: sono programmi illeciti che memorizzano la sequenza dei tasti
premuti sulla tastiera del Pc per carpire informazioni critiche tipo
password, numeri di carte di credito e simili.
I Browser Hijacker
: sono spyware che riescono a modificare la home page definita
dell’utente sul Pc o dirottano i risultati visualizzati dai motori
di ricerca.
I Rat
: (remote access trojan) – sono programmi che consentono di assumere
il controllo di un Pc attraverso dei semplici comandi a distanza.
I BHO
(Browser Helper Object) – questi spyware hanno il potere di
analizzare tutte le pagine internet visitate dall’utente e di
sostituire i banner con altre pubblicità non richieste e mirate.
I Dialer
: sono programmi illeciti in grado di sostituire la normale
connessione al Provider Internet con una nuova non autorizzata.
I Sintomi tipici
I sintomi che
denotano la presenza di spyware in realtà sono diversi, ma tra tutti
ricordiamo i più evidenti.
Nuove toolbar e
banner pubblicitari
: alcuni spyware aggiungono toolbar sui pc degli utenti in maniera
non autorizzata. Inoltre questi programmi possono riuscire ad
inondare i computer di pubblicità non sollecitate, in base alle
abitudini di navigazione dell’utente.
Riduzione delle
Performance del Pc e rallentamento della Rete:
Uno degli effetti più frequenti in presenza di spyware è il
rallentamento delle prestazioni del Pc, con la correlata diminuzione
delle prestazioni generali del sistema. In contesti aziendali è
facile notare un rallentamento generale della Rete Lan.
Nuovi Link sul
desktop
: spesso capita di vedere nuove icone di collegamento sul desktop
che puntano a siti pornografici, erotici etc..
Aumento dei costi
telefonici
:Chi possiede connettività a consumo e viene colpito da spyware tipo
i Dialer, di certo noterà un aumento spropositato delle bollette !
Cancellazione di
files
: alcune tipologie di spyware riescono a modificare e cancellare i
files presenti sul computer.
Controllo remoto
del Pc
: programmi illeciti come i Rat riescono a prendere il possesso del
computer da remoto.
Difendersi dagli
Spyware :
Difendersi dagli
spyware è importante sia per una questione di immagine e business
aziendale, che per questioni legali in ambito Privacy. Purtroppo non
è facile rimuovere gli spyware dal computer in quanto trattasi di
programmi realizzati con codice complesso ed invasivo. In commercio
esistono diversi tipi di programmi per la rimozione di questi
spyware ma molti di essi non riescono ad eliminare del tutto il
codice maligno dal computer. Sarebbe opportuno quindi affidarsi a
Vendor di fama internazionale come Ca (Computer Associate) o
AntiSpyware di Microsoft, che riescono a rilevare ed eliminare una
vasta gamma di spyware e adware dal computer dell’utente.
Prevenire è meglio
che curare…
Per esporre il
computer ad un numero inferiore di rischi di attacco spyware, si
consigliano le seguenti misure :
1. - Aggiornare sempre il proprio sistema
operativo
2.
- Installare e configurare un
firewall
3.
- Diffidare di programmi gratuiti scaricabili
da internet e di allegati strani presenti nelle email
Gli
IPS (Intrusion Prevention System)
Introduzione agli
IPS
La tecnologia IPS
rappresenta oggi la nuova frontiera della sicurezza nelle reti,
basata sull’ approccio proattivo piuttosto che reattivo. Infatti
questa nuova tecnologia consente di proteggere le applicazioni e
l’infrastruttura tramite analisi metodologiche complesse, governate
da un potente motore di correlazione. Gli IPS, se ben implementati
nel sistema, sono in grado di rilevare e bloccare ogni tipo di
traffico anomalo, anche in presenza di attacchi non ancora
conosciuti e pubblicati.
Funzionamento di
un IPS
Mentre gli IDS
(intrusion detection system) sono in grado solo di rilevare traffico
anomalo, il sistema IPS è capace di reagire all’attacco, proteggendo
il sistema aziendale da intrusioni. Generalmente le tecniche di
rilevamento degli attacchi, sono uguali sia negli IDS che negli IPS
e l’efficacia è direttamente proporzionale al numero di metodi
utilizzati contemporaneamente. Quindi è di fondamentale importanza
il lavoro del motore di correlazione che deve interpretare
quello che i metodi di rilevamento trovano nel sistema.
Dettagli tecnici
dell’ IPS
Un sistema IPS
efficace deve considerare diversi aspetti tecnologici tra cui :
1.
Numero dei metodi di rilevamento e tecniche
utilizzate
2.
Definizione delle soglie oltre le quali si identifica
un attacco con falsi positivi e negativi conseguenti.
Tipi di protezione
IPS
Un buon sistema IPS è
in grado di proteggere l’azienda da vulnerabilità applicative (ad
es. rilevamento di exploit o bug delle applicazioni), da anomalie
della infrastruttura (ad es. rilevamento di attacchi DDos e
protezione di router e switch) e da riduzione delle prestazioni (ad
es. controllo e blocco dei servizi P2P e limitazione del rate).
Tecniche di
Protezione IPS
Un
sistema IPS è in grado di bloccare un attacco tramite due tecniche
di base :
Sniping
: la sessione viene interrotta tramite l’invio di un messaggio icmp
not reachable o con un flag di reset tcp (tcp reset)
Shunning
: Tecnica attraverso la quale l’IPS interagisce con apparati tipo
router o firewall per gestire configurazioni automatiche di blocco.
Tecniche di
Rilevamento IPS
Il sistema IPS è in
grado di monitorare e rilevare anomalie nel traffico attraverso le
seguenti tecniche :
Pattern Matching
:
Tecnica di analisi e controllo dove ogni pacchetto in transito
viene paragonato ad un database di modelli di attacco già rilevati e
noti.
Protocol Anomaly
:
Tecnica basata
sull’analisi dei flussi di traffico e delle sessioni con verifica
degli standard che li governano.
Traffic Anomaly
: Tecnica che traccia un profilo, che sarà preso come riferimento,
che identifica un normale andamento della rete. Valori registrati
oltre la soglia stabilita, rileveranno l’anomalia o il possibile
attacco.
Conclusioni
I sistemi IPS
rappresentano una strategica ed importante evoluzione nella gestione
della Security Aziendale. Il loro corretto e professionale utilizzo
all’interno delle infrastrutture aziendali, contribuisce ad
innalzare il livello di protezione delle reti da attacchi
informatici che ad oggi sono più che frequenti nelle aziende di
qualsiasi dimensione.
Dr Barberini Nicola
www.studiodelta.it
(centro di formazione informatica e
consulenza)
|
