di Piero Giiuseppe Goletto
Questa serie di articoli ha lo scopo di contribuire a una cultura informatica diffusa. L’esperienza dello smrat working continuerà, e sempre più andiamo verso modi “digitali” di vita che si integreranno con il nostro vivere di persona gli eventi e le situazioni.
In questo primo articolo affrontiamo il tema forse più appariscente, che è quello dei virus informatici.
In realtà, più che di virus, dovremmo parlare di malware, ossia di codice malevolo sviluppato per causare danni (anche gravi) ai pc o ai server. Facciamone, per intanto, una panoramica.
I virus propriamente detti sono programmi che eseguono poche e semplici operazioni ed hanno la caratteristica di installarsi in un programma ospite. Il virus inserisce le sue poche istruzioni dentro il programma infetto, tra queste c’è un salto alla prima linea di codice della sua copia. L’utente lancia l’applicazione UtileApplicazione.exe come al solito ma essendo infettata questa esegue operazioni malevole: cancellare o danneggiare file, formattare l’hard disk, o installare altro codice malevolo; modificare parametri di sicurezza del sistema operativo creando la possibilità per un attaccante esterno di accedervi.
I sintomi di infezione sono molti e traiamo per semplicità questo elenco da Wikipedia.
- Rallentamento del computer: il computer lavora molto più lentamente del solito. Impiega molto tempo ad aprire applicazioni o programmi. Il sistema operativo impiega molto tempo ad eseguire semplici operazioni che solitamente non richiedono molto tempo, questo segnale è il più comune e si manifesta quasi ogni volta che viene eseguito;
- Impossibilità di eseguire un determinato programma o aprire uno specifico file;
- Scomparsa di file e cartelle: i file memorizzati in determinate cartelle (di solito quelle appartenenti al sistema operativo o a determinate applicazioni) vengono cancellati (totalmente o in parte) o resi inaccessibili all'utente;
- Impossibilità di accesso al contenuto di file: all'apertura di un file, viene visualizzato un messaggio di errore o semplicemente risulta impossibile aprirlo. Un virus potrebbe aver modificato la File Allocation Table (FAT) provocando la perdita degli indirizzi che sono il punto di partenza per la localizzazione dei file;
- Messaggi di errore inattesi o insoliti: visualizzazione di finestre di dialogo contenenti messaggi assurdi, buffi, dispettosi o aggressivi;
- Riduzione di spazio nella memoria e nell'hard disk: riduzione significativa dello spazio libero nell'hard disk; quando un programma è in esecuzione, viene visualizzato un messaggio indicante memoria insufficiente per farlo (sebbene questo non sia vero e ci siano altri programmi aperti);
- Settori difettosi: un messaggio informa della esistenza di errori nella parte di disco sulla quale si sta lavorando e avverte che il file non può essere salvato o che non è possibile eseguire una determinata operazione;
- Modifiche delle proprietà del file: il virus modifica alcune o tutte le caratteristiche del file che infetta. Di conseguenza risultano non più corrette o modificate le proprietà associate al file infettato. Tra le proprietà più colpite: data/ora (di creazione o dell'ultima modifica), la dimensione;
- Errori del sistema operativo: operazioni normalmente eseguite e supportate dal sistema operativo determinano messaggi di errore, l'esecuzione di operazioni non richieste o la mancata esecuzione dell'operazione richiesta; in certi casi, l'errore può essere così serio da causare un riavvio spontaneo del computer.
- Ridenominazione di file: un virus può rinominare i file infettati e/o file specifici, ad esempio di sistema;
- Problemi di avvio del computer: il computer non si avvia o non si avvia nella solita maniera, oppure impiega molto tempo per caricarsi;
- Interruzione del programma in esecuzione senza che l'utente abbia eseguito operazioni inaspettate o fatto qualcosa che potrebbe aver provocato questo risultato;
- Tastiera e/o mouse non funzionanti correttamente: la tastiera non scrive ciò che è digitato dall'utente o esegue operazioni non corrispondenti ai tasti premuti. Il puntatore del mouse si muove da solo o indipendentemente dal movimento richiesto dall'utente;
- Scomparsa di sezioni di finestre: determinate sezioni (pulsanti, menu, testi etc…) che dovrebbero apparire in una particolare finestra sono scomparse o non vengono visualizzate. Oppure, in finestre nelle quali non dovrebbe apparire nulla, appaiono invece icone strane o con contenuto insolito (ad esempio nella barra delle applicazioni di Windows;
- Antivirus disattivato automaticamente: Può capitare che un malware disattivi forzatamente un antivirus per poter essere eseguito senza correre il rischio di essere rilevato;
- Lentezza della connessione Internet: il virus potrebbe usare la connessione per propagare l'infezione, o inviare dati a chi ha scritto il virus;
- Limitazioni nella visualizzazione di alcuni siti Internet, soprattutto quelli dei produttori di antivirus: è un meccanismo di protezione da parte del virus, che in questo modo impedisce di adottare contromisure dopo l'infezione.
Nell’era di Internet i virus possono arrivare da messaggi di posta elettronica, attraverso attività di navigazione Internet o via chat.
In questo articolo parliamo di virus e di antivirus, ma ci preme ricordare, prima di entrare nel merito di questi strumenti di difesa, che l’antivirus non è di per sé sufficiente a evitare problemi e che nessun antivirus, purtroppo, sarà in grado di individuare e colpire il 100% dei virus informatici.
Un antivirus è composto da più parti: anzitutto, un file delle firme. I virus informatici vengono riconosciuti in base a “firme” che li caratterizzano. La “firma” del virus è una sequenza continua che caratterizza il virus stesso e che non si troverà me ai all’interno di un programma “sano”. Sorge un problema: i malware non ancora scoperti o non catalogati e le vulnerabilità “zero day”, cioè quelle che vengono scoperte e subito utillizzate per fini poco leciti, non sono presenti nel file di firma. Quindi occorrono altri strumenti ad esempio le euristiche.
La firma di un virus è una cosa di questo tipo:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Nel caso specifico abbiamo riportato il contenuto dell’EICAR test file, che viene utilizzato per controllare l’efficacia dell’antivirus.
Il concetto di euristica si basa sull’idea che si possa risalire alla presenza di virus informatici riconoscendo in memoria delle configurazioni note come maligne. Si ricercano quindi nella memoria schemi o firme parziali del virus (come se nel caso dell’EICAR test si prendesse in considerazione “ANTIVIRUS-TEST”) e si intercettano movimenti sospetti nei programmi, per esempio modifiche a informazioni di sistema.
Riconosciuto il virus si procede al suo isolamento e alla sua eliminazione, ripristinando la situazione normale.