Internet (per il navigatore)

Virus e Worm
Un problema classico incontrato dal navigatore è rappresentato dai famigerati virus (per le versioni attuali è più corretto il termine worm). Essi possono arrivare nel computer attraverso diversi canali:

• Dischetti o cd infetti: era quasi esclusivamente l'unico mezzo di diffusione prima della grande diffusione di Internet, ora quasi in disuso.
• E-mail: è attualmente la via più praticata a causa dell'uso ubiquitario del mezzo. Il fenomeno è ampiamente favorito dall'uso, da parte di una larga maggioranza dell'utenza, di un unico software per la lettura della posta, Outlook Express. Consapevolmente di questo, il creatore di virus sfrutta alcuni difetti noti di diverse versioni di questo programma per infettare il computer vittima, anche senza richiedere alcun intervento da parte dell'utente.
• Pagine web: per mezzo di vulnerabilità presenti in un web server, un worm può insediarsi in esso e infettare i computer dei navigatori che visitano le pagine web ospitate da questo server. Un esempio è il worm Nimda.
• Vulnerabilità del sistema operativo: metodo di propagazione molto in uso recentemente a causa di un difetto presente in particolare nella prima versione di WindowsXP® (DCOM RPC vulnerability). Per la natura del fenomeno gli unici requisiti per essere infettati sono utilizzare WindowsXP® non corretto ("patchato") e collegarsi ad Internet, anche solo per pochi minuti senza neppure navigare o scaricare posta. Un esempio classico è il worm Blaster. La migliore difesa consiste nell'aggiornare il proprio sistema ad una versione corretta ed utilizzare un firewall (Hardware o Software che filtra la connessione ad Internet).

Spyware, AdWare, Hijacker, Data miner ecc
Attualmente una grave insidia per il navigatore è rappresentata dai programmi complessivamente chiamati "malvare" (da malicious-software). L'installazione può avvenire inconsapevolmente durante la navigazione, ma spesso sono veicolati da programmini scaricabili da Internet, funzionanti da cavalli di Troia, quali screen saver, client per chat o messaggistica, utility ecc.
Possono essere classificati in base alla loro attività:

• Alcuni possono disturbare l'utente interferendo con la normale navigazione, dirottandolo verso siti web o portali commerciali (dai contenuti a volte di natura oscena). Spesso impostano anche la pagina iniziale dell'utente verso tali siti.
  Questa attività aumenta notevolmente la visibilità dei siti in questione e quindi il valore degli spazi pubblicitari. Alcuni di questi siti involontariamente aperti possono installare sul computer dialer o altri malware.
  Quando l'apertura di tali pagine avviene automaticamente sopra la normale navigazione (pop-up) al fine di presentare proposte commerciali, abbiamo a che fare con gli AdWare da advertise, termine inglese per avviso commerciale. Se la navigazione dell'utente viene invece dirottata si parla di Browser Hijackers.
• Altri programmi mettono a rischio la privacy dell'utente, spiando le operazioni compiute dall'utente, la navigazione, l'inserimento di password e numeri di carte di credito e li trasmettono all'autore. Questa categoria è chiamata eloquentemente "spyware".
  Applicazioni studiate per scovare dati specifici sono anche detti Data miner.
• Un discorso particolare meritano i cosiddetti Tracking cookies. In questo caso non si tratta di programmi ma di semplici cookies, ovvero file che consentono di immagazzinare piccole quantità di dati sul computer del navigatore da parte di un sito per diverse utili funzioni.
  Normalmente il contenuto di un cookie è accessibile solo al sito che lo ha creato. I siti che utilizzano i tracking cookies sfruttano un meccanismo per aggirare questa limitazione. Creano un cookie attraverso una finestra od un frame nascosta che punta ad una pagina del gestore. Poiché questo cookie appartiene sempre al sito del gestore, questo può "tracciare" l'utente durante la navigazione tra i siti dei propri clienti e vendere quindi le analisi per effettuare marketing mirato.
• I dialer sono programmi che dirottano la connessione telefonica (non ADSL o fibra ottica) verso numeri a valore aggiunto (traducibile con "tariffazione elevata"). Si installano più o meno con il consenso dell'utente durante la navigazione su siti dai dubbi contenuti, erotici oppure proponenti suonerie telefoniche o altre inutilità.
  L'utilizzo di connessioni ADSL o su fibra ottica rende del tutto inefficace un dialer, poiché la connessione non utilizza un normale numero telefonico. Occorre però spegnere o scollegare dalla linea telefonica il vecchio modem analogico.
• Alcuni malware sono ancora più pericolosi, in quanto mettono a disposizione il computer a terzi all'insaputa dell'utente. In pratica aprono una porta su Internet (Backdoor) attraverso la quale da remoto è possibile accedere a tutti i dati contenuti nel computer e utilizzarne le risorse. Il computer in questo stato è detto zombie.
  In questo modo è possibile compiere azioni illecite varie su Internet, dallo spamming alle incursioni informatiche, dalle minacce alle truffe, che appaiono compiute dal computer dell'utente ignaro. È evidente il grave rischio anche di natura penale prodotto da questa categoria di minacce.

Se la presenza di AdWare è manifesta, le altre categorie descritte operano di solito nascostamente. È possibile accorgersi della loro attività da alcuni sintomi caratteristici, quali un insolito aumento del carico di lavoro della macchina ed un aumento del traffico di dati verso Internet, che nel caso di una connessione PPP (modem analogico, ADSL USB) si evidenzia con frequenti ed ingiustificate richieste di connessione.

Il phishing
Una recente e redditizia attività illegale su Internet è il phishing. Esso consiste nel gettare metaforicamente la rete ed attendere che gli utenti vi caschino, lasciandovi dati preziosi quali numeri di carta di credito e password per l'accesso al proprio sito di home banking.
In pratica viene creato un sito truffa dall'aspetto identico all'originale, quindi tramite vari stratagemmi si induce l'utente ad andare su questo credendo invece di essere su quello corretto ed inserire i dati di login. Dopo l'inserimento dei dati, l'utente può essere diretto al sito regolare per impedire all'utente di accorgersi che qualcosa non funziona.
È la versione telematica della truffa del finto Bancomat e se ben congegnata è molto facile essere tratti in inganno.
Poiché il raggiro si basa sulla falsificazione dell'indirizzo, una buona difesa consiste nel non accedere ai siti a rischio indirettamente, cliccando su collegamenti di qualunque tipo. Evitare assolutamente di cercare il sito con un motore di ricerca e cliccare su un link trovato; diffidare anche dei link contenuti nel corpo di una email ricevuta. Digitare sempre manualmente l'indirizzo nella barra del browser, oppure utilizzare i segnalibri.

I falsi delivery status notification
Un effetto collaterale prodotto da alcuni virus è costituito dalle errate notifiche di presenza di virus nella posta elettronica. Capita di ricevere messaggi con soggetti del tipo "Mail Daemon Warning - virus found" e contenenti un messaggio simile a: "Il seguente messaggio conteneva allegati che sono stati rimossi per un Virus" seguito dal proprio indirizzo email e un indirizzo email di destinazione che neppure si conosce ed a cui si è certi di non avere inviato alcunché.
Il messaggio è presumibilmente autentico ed è generato automaticamente da un software antivirus installato su un mail server, il quale ha rilevato la presenza di un virus in un messaggio. Il mittente del messaggio è risulta effettivamente essere il proprio indirizzo e-mail. Come è possibile?
La spiegazione è semplicemente che l'indirizzo del mittente in una e-mail è dichiarato arbitrariamente dal mittente stesso, chiunque può indicare un mittente falso, ma ovviamente non potrà ricevere una risposta.
Vediamo come questa possibilità viene sfruttata dai recenti worms considerando tre computer:

• Alice: il nostro computer, non infetto. Noi scambiamo e-mail con Bruno ma non conosciamo Carlo.
• Bruno: il computer del nostro corrispondente, che è anche corrispondente di Carlo. Questa macchina è infetta, e contiene nella rubrica gli indirizzi e-mail sia di Alice (noi) che di Carlo.
• Carlo: il corrispondente di Bruno, a noi sconosciuto. Non è infetto.

Dopo avere infettato il PC di Bruno, il virus invia decine o centinaia di e-mail, all'insaputa dell'utente, utilizzando come mittenti e destinatari indirizzi presi a caso dalla rubrica.
Uno di questi messaggi viene indirizzato a Carlo, utilizzato come mittente fasullo l'indirizzo di Alice (noi).
A questo punto Carlo riceverà un messaggio, apparentemente proveniente da Alice e riterrà che quest'utente a lui sconosciuta sia infettata dal virus: non conoscendo il trucco utilizzato dal virus manderà un inutile segnalazione ad Alice mettendola falsamente in allarme.
Se il provider di Carlo adotta una politica antivirus sul mail server ed il sistema è configurato per inviare una notifica di presenza virus al mittente, un messaggio verrà inviato inutilmente ad Alice. Quando i messaggi così prodotti cominciano ad essere in gran numero diventano un fastidio, che si aggiunge al già grave problema dello spam.
L'unico rimedio è quello di fare pressione sui provider perché sospendano questa pratica, come suggerito sul sito Attivissimo.net.

Il social engineering e le catene di S. Antonio
Non è necessario avere particolari competenze informatiche e mettersi a scrivere virus per vedere la propria creazione circolare per il mondo, è possibile ricorrere al "social engineering", ovvero la scienza di sfruttare il comportamento sociale delle persone per un fine predeterminato.
Questa tecnica è in uso da ben prima della diffusione di massa di Internet, basti pensare alle care vecchie catene di S.Antonio veicolate dalla "snail mail" (posta cartacea per i non smanettoni).
A differenza di queste ultime, che potevano essere gettate, la ricezione di quantità di posta indesiderata comporta un costo anche economico per chi paga la connessione ad Internet a tempo oppure a traffico, oltre alla perdita di tempo comune a tutti.

Si passa dai contenuti umanitari, il bambino malato per cui bisogna raccogliere i tappi di plastica, la famiglia russa povera, ecc. alle occasioni economiche: la ricca vedova nigeriana che chiede proprio il nostro aiuto per incassare una cifra colossale offrendocene una buona fetta, peccato che ci chiede solo un piccolo acconto per le pratiche da sbrigare. Altre fanno leva sull'ignoranza informatica ed i timori dell'utente medio, facendo cercare nel proprio computer files la cui presenza sarebbe sintomo di virus ma che in realtà sono normali files di sistema, e facendo si che l'utente si danneggi da solo cancellando il file.

La difesa ovvia contro questi fastidi consiste nell'ignorarli ed evitare di diffonderli, in particolare proprio se il messaggio suggerisce "diffondete al più presto il messaggio a tutte le persone che conoscete, meglio essere informati che ignorare".

Spam
Lo spam è diventato la più vasta e incurabile piaga di Internet, perché se dai virus ci si può difendere facilmente, dallo spam è quasi impossibile.
Il primo ovvio suggerimento è di diffondere il meno possibile il proprio indirizzo. In particolare evitare di indicare l'indirizzo in chiaro nei newsgroup e nelle chat, ma alterarlo in modo che solo un utente umano possa ricostruirlo. Lo stesso discorso è applicabile agli indirizzi pubblicati su siti web.
Quando ci si registra a servizi gratuiti, si sottoscrive un contratto che spesso prevede l'invio di e-mail pubblicitarie, oppure la comunicazione dell'indirizzo a terzi.
È comunque consigliabile tenere un indirizzo riservato per lavoro e utilizzarne uno "sacrificale" per l'uso diverso.

La nostra e-mail può essere messa in pericolo anche da utenti inesperti e poco attenti alla sicurezza, che effettuano invii di un messaggio a molti utenti contemporaneamente (mailing list) scrivendo l'elenco degli indirizzi nel capo "Destinatario:" o "To:" del programma di posta. Così facendo ciascun destinatario vedrà gli indirizzi di tutti gli altri.
Dovendo effettuare un invio multiplo (ad esempio verso clienti) utilizzare invece il campo "Copia Conforme Nascosta:" o "BCC:" che tengono nascosti gli indirizzi dei destinatari.

Questi metodi preventivi sono utili ma non sufficienti, in quanto gli indirizzi possono essere con facilità generati automaticamente dagli "spammers", aggiungendo possibili nomi utente ai nomi di dominio dei provider.
Per quello che riguarda lo spam che nonostante tutto si riceve, la regola di base è di evitare assolutamente di rispondere, anche solo per richiedere la cessazione dell'invio: questo confermerebbe allo spammer la validità dell'indirizzo e peggiorerebbe la situazione.
Evitare di cliccare sui link proposti nel messaggio, perché spesso nell'url contengono un identificativo corrispondente al nostro indirizzo (es. gratis.uk?id=465645). Allo stesso modo un identificativo potrebbe essere trasmesso durante il caricamento di immagini o da codici javascript contenuti nel messaggio. Quindi disabilitare il caricamento di immagini e l'esecuzione del javascript nei client di posta che dispongono di questa funzione (Es. modulo e-mail client di Mozilla).
Infine, l'unica possibilità di contrattacco sul fronte dello spam è la segnalazione dell'abuso (l'invio massiccio di posta indesiderata è considerato reato in molti paesi, tra cui l'Italia) all'ufficio apposito presso il provider utilizzato dal mittente, oppure nei casi in cui si configurabile un reato più, direttamente alla Polizia Postale.
La vera difficoltà consiste nell'identificare con sicurezza il provider del mittente, che per ovvi motivi viene mimetizzato con diverse tecniche.
Una buona guida in italiano all'analisi delle e-mail di spam è offerta sul sito Colinelli.net.

Le finestre popup
Una finestra pop-up è quella che si apre automaticamente al di sopra di quella principale durante la navigazione di un sito.
Se in alcuni casi la cosa può essere "tollerata", ad esempio per comunicazioni di servizio importanti, spesso è utilizzata per veicolare messaggi pubblicitari. L'odiosità della faccenda aumenta in maniera esponenziale con il numero di finestre pop-up contemporanee, facendo fuggire l'utente dal sito, o più intelligentemente inducendolo ad attivare funzioni specifiche anti-popup fornite da diversi software, tra cui i browsers Mozilla e Opera.
Se scrivi un sito evita di inserire pop-up, potrebbero non essere visibili per molti utenti. Devo aggiungere che sempre più siti utilizzano tecniche diverse, basate su javascript e CSS, ma altrettanto fastidiosamente invadenti.

Tecniche di sopravvivenza
Cosa può fare l'utente non specialista contro tutto questo? Alcuni suggerimenti:

1. Poiché per ottenere la massima diffusione vengono colpiti principalmente i software più diffusi tra l'utente medio, una buona difesa da questi rischi consiste nell'uscire dal gregge.
   Il salto più drastico è il passaggio ad un sistema operativo non Microsoft, ad esempio Linux oppure Macintosh.
2. Se questo passo sembra eccessivo si può rimanere tranquillamente con il sistema operativo abituale ma evitare di usare Internet Explorer e Outlook Express in favore di browsers e client di posta ritenuti più sicuri e comunque maggiormente dotati di utili strumenti di difesa contro malware e spam.
   Alcuni di essi sono distribuiti come software libero mentre altri possono essere comunque scaricati gratuitamente da Internet. I principali sono:
   Netscape, Mozilla e Opera, disponibili per diversi sistemi operativi
   Safari per Macintosh, Konqueror e Galeon per Linux e molti altri.
3. Mantenere aggiornato il sistema operativo tramite le patch correttive scaricabili gratuitamente da Internet, in particolare per Windows l'operazione può essere effettuata con l'opzione "Windows update" presente nel menù "strumenti" di Internet explorer. Quasi ogni settimana sono disponibili nuove patch!
4. Installare sul computer un software antivirus, ma soprattutto mantenerlo aggiornato, scaricando le definizioni virali dal sito del produttore non meno di una volta alla settimana.
   Il software stesso solitamente contiene una utility che verifica automaticamente la presenza di aggiornamenti ad ogni collegamento ad Internet. Assicurarsi che sia attiva.
5. Un consiglio generale sempre valido è di effettuare regolari backup dei dati. Il lavoro di anni può andare perduto in un attimo a causa di un virus, ma anche di un guasto o uno sbalzo di tensione; eventuali tentativi di recupero possono essere costosi e di incerto risultato.

Sul suo sito, Paolo Attivissimo propone un dodecalogo per la sicurezza, dodici indicazioni utili per navigare in sicurezza, oltre ad un servizio di monitoraggio ed analisi delle e-mail "bufale".
Nota conclusiva: l'anello più vulnerabile della catena è spesso l'utente, per cui la migliore difesa è sempre l'uso del proprio cervello.

Ultimo aggiornamento: 23/02/05