Malware: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 21:51, 26 mag 2019 modifica Dr Zimbu (discussione \| contributi) Amministratori 176 070 modifiche m Annullate le modifiche di 37.162.80.186 (discussione), riportata alla versione precedente di LauBot Etichetta: Rollback ← Differenza precedente		Versione attuale delle 16:33, 29 lug 2025 modifica annulla Rosella.Antonio (discussione \| contributi) 625 modifiche Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti
(146 versioni intermedie di 78 utenti non mostrate)
Riga 1: ~~Nella [[sicurezza informatica]] il termine~~ '''~~malware~~Malware''', (abbreviazione ~~per~~dell'[[Lingua inglese\|inglese]] '''malicious [[software]]''', ~~(che significa letteralmente ''~~{{Lett\|software ~~malintenzionato''~~malevolo}}), manella di[[sicurezza ~~solito~~informatica]], ~~tradotto come ''software dannoso''),~~ indica un qualsiasi [[programma (informatica)\|programma]] informatico usato per disturbare le operazioni svolte da un [[~~computer~~utente]], ~~rubare~~di ~~[[informazione\|informazioni]] sensibili, accedere a~~un [[~~sistema informatico\|sistemi informatici~~computer]] ~~privati, o mostrare [[pubblicità]] indesiderata~~.~~<ref>{{Cita~~ ~~web\|url=http://techterms.com/definition/malware\|titolo=Malware~~ ~~Definition\|sito=techterms.com\|accesso=27 aprile 2016}}</ref> Il termine malware è stato~~Termine coniato nel 1990 da [[Yisrael Radai]],<ref>{{Cita libro\|autore=Christopher Elisan\|titolo=Malware, Rootkits & Botnets A Beginner's Guide\|url=http://books.google.com/books?id=jOsFlLPg1KkC&pg=PA10\|anno=5 Settembre 2012\|editore=McGraw Hill Professional\|città=\|p=10\|ISBN=978-0-07-179205-9}}</ref>, precedentemente veniva chiamato ~~virus per computer; in italiano viene anche comunemente chiamato codice maligno. Il principale modo di propagazione del malware consiste di frammenti di~~ [[~~software]]~~virus ~~parassiti che si inseriscono in [[codice eseguibile~~(informatica)\|virus]] già esistente. Il frammento di codice può essere scritto in [[codice macchina]] ed inserito in un'applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di [[boot]] di unper [[computer]].<ref>{{Cita libro\|autore=Stallings William\|titolo=Computer security : principles and practice\|anno=2012\|editore=Boston: Pearson\|città=\|p=182\|ISBN=978-0-13-277506-9}}</ref> Un malware è caratterizzato dal suo intento malevolo, agendo contro le necessità dell'utente, e non include software che causa un danno non voluto a causa di qualche suo difetto. == ~~Descrizione~~Storia == Con l'avanzare dello sviluppo di [[internet]] e la crescita degli utenti ad essa collegati, soprattutto a partire dall'anno 2000, il malware è sempre più stato usato per fini di lucro. Fin dal 2003, la maggior parte dei virus e worm è stata creata per prendere il controllo del computer dell'utente vittima, per scopi illeciti.<ref>{{Cita web\|url=https://technet.microsoft.com/en-us/library/cc512596.aspx\|titolo="Malware Revolution: A Change in Target"\|autore=\|data=March 2007\|accesso=27 aprile 2016}}</ref> È stato stimato che nel 2012, all'incirca il 60-70% di tutto il malware attivo usasse una sorta di [[Click fraud]], e che il 22% di tutti gli ad-click fosse fraudolento.<ref>{{Cita web\|url=http://blogs.technet.com/b/mmpc/archive/2012/11/29/another-way-microsoft-is-disrupting-the-malware-ecosystem.aspx\|titolo="Another way Microsoft is disrupting the malware ecosystem"\|autore=\|data=\|accesso=27 aprile 2016\|urlarchivio=https://web.archive.org/web/20150920143940/http://blogs.technet.com/b/mmpc/archive/2012/11/29/another-way-microsoft-is-disrupting-the-malware-ecosystem.aspx\|dataarchivio=20 settembre 2015\|urlmorto=sì}}</ref> Attacchi a scopo di [[sabotaggio]] sono stati effettuati a [[Saudi Aramco]], nell'agosto del 2012<ref>{{Cita web\|url=http://www.computerweekly.com/news/2240161674/Shamoon-is-latest-malware-to-target-energy-sector\|titolo="Shamoon is latest malware to target energy sector"\|autore=\|data=\|accesso=27 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.computerweekly.com/news/2240235919/Computer-killing-malware-used-in-Sony-attack-a-wake-up-call-to-business?asrc=EM_MDN_37122786\|titolo="Computer-killing malware used in Sony attack a wake-up call"\|autore=\|data=\|accesso=27 aprile 2016}}</ref> e il 25 novembre 2014 alla [[Sony Pictures Entertainment]], usando un malware conosciuto come [[Shamoon]] o [[W32.Disttrack]]. == Caratteristiche == Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall'utente anche per lunghi periodi di tempo (es. [[Regin malware]]). Oltre a carpire informazioni di nascosto, un malware può essere creato con l'intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (es. [[Stuxnet]]), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione ([[CryptoLocker]]). Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo,<ref>{{Cita web\|url=https://technet.microsoft.com/en-us/library/dd632948.aspx\|titolo="Defining Malware: FAQ"\|autore=technet.microsoft.com\|data=\|accesso=27 aprile 2016}}</ref> inclusi [[Virus informatici]], [[Worm]], [[Trojan (informatica)\|Trojan]], [[Ransomware]], [[Spyware]], [[Adware]], [[Scareware]], e altri programmi malevoli. Può assumere diverse forme, come [[Codice eseguibile]], [[Script]], e altro software.<ref>{{Cita pubblicazione\|autore=United States Computer Emergency Readiness Team (Us-cert.gov)\|titolo="An Undirected Attack Against Critical Infrastructure"\|url=https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/CaseStudy-002.pdf}}</ref> Il malware si diffonde principalmente inserendosi all'interno di file non malevoli. === Descrizione generale === Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall'utente anche per lunghi periodi di tempo (es. [[Regin malware]]). Oltre a carpire informazioni di nascosto, un malware può essere creato con l'intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (es. [[Stuxnet]]), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione ([[CryptoLocker]]). Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo,<ref>{{Cita web\|url=https://technet.microsoft.com/en-us/library/dd632948.aspx\|titolo="Defining Malware: FAQ"\|autore=technet.microsoft.com\|data=\|accesso=27 aprile 2016}}</ref> inclusi [[Virus (informatica)\|Virus informatici]], [[Worm]], [[Trojan (informatica)\|Trojan]], [[Ransomware]], [[Spyware]], [[Adware]], [[Scareware]], e altri programmi malevoli. Può assumere diverse forme, come [[Codice eseguibile]], [[Script]], e altro software.<ref>{{Cita pubblicazione\|autore=United States Computer Emergency Readiness Team (Us-cert.gov)\|titolo="An Undirected Attack Against Critical Infrastructure"\|url=https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/CaseStudy-002.pdf}}</ref> Il malware si diffonde principalmente inserendosi all'interno di file non malevoli. La diffusione del malware risulta in continuo aumento: si calcola che nel solo anno [[2008]] su [[Internet]] siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti; tali numeri sono destinati ad aumentare con l'espansione della [[Internet\|Rete]] e il progressivo diffondere della cultura [[informatica]].<ref>Dati riferiti in un rapporto diffuso da [http://www.pandasecurity.com/italy/ Panda Security] e riportati in [http://punto-informatico.it/2523404/PI/News/sicurezza-una-classifica-bug-piu-pericolosi.aspx ''Sicurezza, in una classifica i bug più pericolosi'' (punto-informatico.it)]</ref> Nel 2011 la più grande minaccia malware era costituita da worm e trojan, piuttosto che altri virus.<ref>{{Cita web\|url=https://www.microsoft.com/security/sir/story/default.aspx#!10year_malware\|titolo="Evolution of Malware-Malware Trends"\|autore=Microsoft.com\|data=\|volume=Microsoft Security Intelligence Report-Featured Articles\|accesso=27 aprile 2016}}</ref> Spyware o altri malware sono a volte trovati all'interno di programmi forniti da compagnie, ad esempio scaricabili da siti web, che appaiono utili o accattivanti, ma potrebbero avere delle funzionalità aggiuntive nascoste indesiderate, che raccolgono dati statistici di marketing. Un esempio di questi software, dichiarato illegittimo, è il [[Sony rootkit]], un trojan inserito nei CD venduti da Sony, che viene installato sul computer dell'acquirente, con l'intento di impedire copie illecite.<ref>{{Cita web\|url=http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far.aspx\|titolo="Sony, Rootkits and Digital Rights Management Gone Too Far"\|autore=Mark's Blog. Microsoft MSDN\|data=\|accesso=27 aprile 2016\|urlarchivio=https://web.archive.org/web/20100428161458/http://blogs.technet.com/markrussinovich/archive/2005/10/31/sony-rootkits-and-digital-rights-management-gone-too-far.aspx\|dataarchivio=28 aprile 2010\|urlmorto=sì}}</ref> === Scopo d'utilizzo === Il principale modo di propagazione del malware consiste di frammenti di [[software]] parassiti che si inseriscono in [[codice eseguibile]] già esistente. Il frammento di codice può essere scritto in [[codice macchina]] ed inserito in un'applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di [[boot]] di un [[computer]].<ref>{{Cita libro\|autore=Stallings William\|titolo=Computer security : principles and practice\|url=https://archive.org/details/computersecurity0000stal_w5q2\|anno=2012\|editore=Boston: Pearson\|città=\|p=[https://archive.org/details/computersecurity0000stal_w5q2/page/182 182]\|ISBN=978-0-13-277506-9}}</ref> Un malware è caratterizzato dal suo intento malevolo, agendo contro le necessità dell'utente, e non include software che causa un danno non voluto a causa di qualche suo difetto. Può essere usato per rubare [[informazione\|informazioni]] sensibili, accedere a [[sistema informatico\|sistemi informatici]] privati, o mostrare [[pubblicità]] indesiderata.<ref>{{Cita web\|url=http://techterms.com/definition/malware\|titolo=Malware Definition\|sito=techterms.com\|accesso=27 aprile 2016}}</ref> ~~[[File:Malware statics 2011-03-16-en.svg\|miniatura\|Categorie malware - Marzo 2011]]~~ Molti dei primi programmi malevoli sono stati scritti come esperimento o scherzo. Oggi il malware viene usato sia da [[Black hat]] che dai governi, per rubare informazioni personali, finanziarie o d'affari.<ref>{{Cita web\|url=https://www.consumer.ftc.gov/articles/0011-malware\|titolo="Malware"\|autore=FEDERAL TRADE COMMISSION- CONSUMER INFORMATION\|data=\|accesso=27 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.eweek.com/security/microsoft-vows-to-combat-government-cyber-spying.html\|titolo="Microsoft Vows to Combat Government Cyber-Spying"\|autore=Hernandez Pedro\|data=\|accesso=27 aprile 2016}}</ref> [[File:Malware statics 2011-03-16-en.svg\|miniatura\|Categorie malware - Marzo 2011\|alt=]] Il malware viene usato a volte anche contro enti governativi o siti web aziendali, per carpire informazioni riservate,<ref>{{Cita web\|url=http://news.softpedia.com/news/MiniDuke-Malware-Used-Against-European-Government-Organizations-333006.shtml\|titolo="MiniDuke Malware Used Against European Government Organizations"\|autore=Kovacs Eduard\|editore=Softpedia\|data=\|accesso=27 aprile 2016}}</ref> o, in generale, per interferire con le loro operazioni. Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e password, o numeri di carte di credito. I bersagli a più alto rischio di essere colpiti da malware sono i computer personali incustoditi, soprattutto quelli collegati ad una rete informatica, dato che è possibile propagare l'attacco a tutti i computer collegati in rete: per questo motivo è necessario prendere varie precauzioni su ogni computer collegato alla rete informatica, come l'uso di [[Firewall]] e [[Antivirus]] (attacco ad una rete informatica in Sud Corea<ref>{{Cita web\|url=https://www.bbc.co.uk/news/world-asia-21855051\|titolo="South Korea network attack 'a computer virus'"\|autore=BBC\|data=\|accesso=27 aprile 2016}}</ref>). ~~Con~~Il ~~l'avanzare~~malware ~~dello~~viene ~~sviluppo~~spesso diusato ~~internet~~per escopi lacriminali, ~~crescita~~ma ~~degli~~può ~~utenti~~essere ~~collegati~~usato anche per sabotare, ilspesso senza un beneficio diretto agli autori del malware. èUn ~~sempre~~esempio ~~più~~di sabotaggio è stato [[Stuxnet]], usato per ~~fini~~distruggere didell'attrezzatura ~~lucro~~industriale specifica. ~~Fin~~Tali ~~dal~~tipi ~~2003,~~di lasoftware ~~maggior~~sono ~~parte~~utilizzati ~~dei~~da ~~virus~~privati e(come ~~worm~~gli ~~sono~~hackers ~~stati~~[[Black ~~creati~~hat]]) ~~per~~o ~~prendere~~da ilorganizzazioni ~~controllo~~ed ~~del~~anche ~~computer~~governi, ~~dell'utente~~per ~~vittima~~rubare informazioni personali, ~~per~~finanziarie ~~scopi~~o ~~illeciti~~d'affari.<ref>{{Cita web \| url = https://~~technet~~www.~~microsoft~~consumer.~~com~~ftc.gov/enarticles/0011-usmalware\|titolo="Malware"\|autore=FEDERAL TRADE COMMISSION- CONSUMER INFORMATION\|data=\|accesso=27 aprile 2016}}</~~library~~ref><ref>{{Cita web \| url = http:/~~cc512596~~/www.~~aspx~~eweek.com/security/microsoft-vows-to-combat-government-cyber-spying.html \| titolo = "~~Malware~~Microsoft ~~Revolution:~~Vows Ato ~~Change~~Combat inGovernment ~~Target~~Cyber-Spying"\|autore=Pedro Hernandez \| lingua = en \|data=~~March~~ ~~2007~~5 dicembre 2015 \| accesso =27 ~~aprile~~31 dicembre 2022 \| urlarchivio = https://archive.is/20140123094411/http://www.eweek.com/security/microsoft-vows-to-combat-government-cyber-spying.html \| dataarchivio = 23 gennaio 2014 \| urlmorto = sì ~~2016~~}}</ref> ~~Vengono~~Alcuni malware sono usati per generare denaro con la tecnica [[Click fraud]], simulando un click sul computer dell'utente su una pubblicità su un sito, generando un pagamento da parte dell'inserzionista della stessa pubblicità. Possono essere ad esempio usati [[Computer zombie]] per l'invio di email di [[Spam]], per salvare materiale pornografico<ref>{{Cita web\|url=http://www.itworld.com/security/84077/child-porn-malwares-ultimate-evil\|titolo="Child Porn: Malware's Ultimate Evil"\|autore=\|data=\|accesso=27 aprile 2016\|dataarchivio=22 ottobre 2013\|urlarchivio=https://web.archive.org/web/20131022155627/http://www.itworld.com/security/84077/child-porn-malwares-ultimate-evil\|urlmorto=sì}}</ref>, o per effettuare attacchi distribuiti [[Denial of Service]] (DoS). Ci sono stati degli attacchi con motivi politici che hanno colpito delle grandi reti di computer con lo scopo di sabotare la rete stessa, ma anche per effettuare massicce cancellazioni di file o per corrompere il [[Master boot record]], descritto come "computer killing". Il malware viene talvolta utilizzato contro enti governativi o siti web aziendali, per carpire informazioni riservate,<ref>{{Cita web\|url=http://news.softpedia.com/news/MiniDuke-Malware-Used-Against-European-Government-Organizations-333006.shtml\|titolo="MiniDuke Malware Used Against European Government Organizations"\|autore=Kovacs Eduard\|editore=Softpedia\|data=\|accesso=27 aprile 2016}}</ref> o, in generale, per interferire con le loro operazioni. Tuttavia, il malware viene usato anche contro singoli individui per ottenere informazioni personali, come numeri identificativi, id e [[password]], o numeri di carte di credito. I bersagli a più alto rischio di essere colpiti da malware sono i computer personali incustoditi, soprattutto quelli collegati ad una rete informatica, dato che è possibile propagare l'attacco a tutti i computer collegati in rete: per questo motivo è necessario prendere varie precauzioni su ogni computer collegato alla rete informatica, come l'uso di [[Firewall]] e [[Antivirus]] (attacco ad una rete informatica in Sud Corea<ref>{{Cita web\|url=https://www.bbc.co.uk/news/world-asia-21855051\|titolo="South Korea network attack 'a computer virus'"\|autore=BBC\|data=\|accesso=27 aprile 2016}}</ref>). I programmi malware con lo scopo di monitorare la navigazione web, di mostrare a video pubblicità indesiderate, o di reindirizzare i ricavi di [[Affiliate Marketing]], vengono chiamati [[Spyware]]. Uno spyware non si diffonde come i virus, vengono invece installati sfruttando delle debolezze nella sicurezza informatica. Possono anche essere nascosti e inseriti all'interno di software che verrà usato dall'utente vittima.<ref>{{Cita web\|url=http://oit.ncsu.edu/resnet/p2p\|titolo="Peer To Peer Information"\|autore=NORTH CAROLINA STATE UNIVERSITY\|data=\|accesso=27 aprile 2016}}</ref> I [[Ransomware]] sono creati con lo scopo di infettare un computer e di richiedere un pagamento alla vittima, per eliminare lo stesso malware dalla macchina vittima dell'attacco. Per esempio, un [[CryptoLocker]] cripta i dati presenti sul computer vittima, ed effettua la decriptazione solo su pagamento di una somma di denaro cospicua. Alcuni malware sono usati per generare denaro con la tecnica [[Click fraud]], simulando un click sul computer dell'utente su una pubblicità su un sito, generando un pagamento da parte dell'inserzionista della stessa pubblicità. È stato stimato che nel 2012, all'incirca il 60-70% di tutto il malware attivo usasse una sorta di [[Click fraud]], e che il 22% di tutti gli ad-click fosse fraudolento.<ref>{{Cita web\|url=http://blogs.technet.com/b/mmpc/archive/2012/11/29/another-way-microsoft-is-disrupting-the-malware-ecosystem.aspx\|titolo="Another way Microsoft is disrupting the malware ecosystem"\|autore=\|data=\|accesso=27 aprile 2016\|urlarchivio=https://web.archive.org/web/20150920143940/http://blogs.technet.com/b/mmpc/archive/2012/11/29/another-way-microsoft-is-disrupting-the-malware-ecosystem.aspx\|dataarchivio=20 settembre 2015\|urlmorto=sì}}</ref> Il malware viene spesso usato per scopi criminali, ma può essere usato anche per sabotare, spesso senza un beneficio diretto agli autori del malware. Un esempio di sabotaggio è stato [[Stuxnet]], usato per distruggere dell'attrezzatura industriale specifica. Ci sono stati degli attacchi con motivi politici che hanno colpito delle grandi reti di computer con lo scopo di sabotare la rete stessa, ma anche per effettuare massicce cancellazioni di file o per corrompere il [[Master boot record]], descritto come "computer killing". Attacchi simili sono stati stati fatti a Sony Pictures Entertainment (25 novembre 2014, usando un malware conosciuto come [[Shamoon]] o W32.Disttrack) e a Saudi Aramco (Agosto 2012).<ref>{{Cita web\|url=http://www.computerweekly.com/news/2240161674/Shamoon-is-latest-malware-to-target-energy-sector\|titolo="Shamoon is latest malware to target energy sector"\|autore=\|data=\|accesso=27 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.computerweekly.com/news/2240235919/Computer-killing-malware-used-in-Sony-attack-a-wake-up-call-to-business?asrc=EM_MDN_37122786&utm_medium=EM&utm_source=MDN&utm_campaign=20141203_Computer-killing%20malware%20used%20in%20Sony%20attack%20a%20wake-up%20call_\|titolo="Computer-killing malware used in Sony attack a wake-up call"\|autore=\|data=\|accesso=27 aprile 2016}}</ref> === Proliferazione === I risultati pubblicati da [[Symantec]] nel 2008 indicano che "la frequenza in cui vengono prodotti codice malevolo e altri programmi indesiderati, potrebbe superare quella delle applicazioni software".<ref>{{Cita web\|url=http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf\|titolo="Symantec Internet Security Threat Report: Trends for July–December 2007 (Executive Summary)"\|autore=Symantec\|data=Aprile 2008\|accesso=28 aprile 2016\|urlarchivio=https://web.archive.org/web/20080625065121/http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_exec_summary_internet_security_threat_report_xiii_04-2008.en-us.pdf\|dataarchivio=25 giugno 2008\|urlmorto=sì}}</ref> Secondo [[F-Secure]], "è stato prodotto tanto codice malevolo nel 2007 quanto ne è stato creato negli ultimi 20 anni".<ref>{{Cita web\|url=http://www.businesswire.com/news/home/20071204005453/en/F-Secure-Reports-Amount-Malware-Grew-100-2007\|titolo="F-Secure Reports Amount of Malware Grew by 100% during 2007"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> Il canale di diffusione più usato dai criminali è [[Internet]]: principalmente tramite e-mail e [[World Wide Web]]. La preferenza di usare il malware come strumento per compiere crimini su Internet, insieme alla sfida del software anti-malware che cerca di tenere il passo per contrastare i nuovi programmi malevoli, hanno portato alla necessità di prendere delle contromisure sia da parte dei singoli utenti, sia dalle aziende, comprese le aziende che vendono prodotti tramite Internet: questo significa che devono offrire servizi web con una certa sicurezza per la tutela del cliente. Il risultato dell'aumento e della facile diffusione del malware, impongono un'analisi approfondita sui sistemi di sicurezza da usare per proteggersi dal malware avanzato che opera dai computer dei clienti dell'azienda stessa.<ref>{{Cita web\|url=http://www.technicalinfo.net/papers/MalwareInfectedCustomers.html\|titolo="Continuing Business with Malware Infected Customers"\|autore=Gunter Ollmann\|data=\|accesso=28 aprile 2016}}</ref> Uno studio di Webroot del 2013 indica che il 64% delle società permette l'accesso remoto ai server dal 25% al 100% dei propri dipendenti, e che queste aziende subiscono più frequentemente attacchi malware.<ref>{{Cita web\|url=http://www.webroot.com/En_US/pr/web-security/ent/new-research-shows-remote-users-expose-companies-to-cybercrime-042313.html\|titolo="New Research Shows Remote Users Expose Companies to Cybercrime"\|autore=Webroot\|data=\|accesso=28 aprile 2016}}</ref> Nel ~~Marzo~~marzo del 2010, [[Symantec]] ha nominato [[Shaoxing]] (Cina), come la capitale mondiale del malware.<ref>{{Cita web\|url=https://www.engadget.com/2010/03/29/symantec-names-shaoxing-china-worlds-malware-capital\|titolo="Symantec names Shaoxing, China as world's malware capital"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> Nel 2011 uno studio dell'[[Università ~~della~~di ~~California, [[~~Berkeley]], ha pubblicato un articolo in "''Software Development Technologies",'' ha esaminato come gli hacker imprenditoriali stanno influendo sulla diffusione del malware, dato che mettono a disposizione accesso ad un computer ad un certo prezzo. [[Microsoft Windows\|Microsoft]] ha dichiarato che, nel ~~Maggio~~maggio 2011, ogni 14 download da internet uno è probabile che contenga del codice maligno. I social media, Facebook in particolare, stanno constatando un continuo incremento delle tattiche usate per diffondere il malware.<ref>{{Cita web\|url=https://online.wsj.com/article/SB10001424052748704904604576332812592346714.html\|titolo="Malware Is Posing Increasing Danger"\|autore=Rooney, Ben\|editore=Wall Street Journal\|data=\|accesso=28 aprile 2016}}</ref> Uno studio del 2014 dichiara che la produzione di malware sta crescendo e si sta orientando sui dispositivi mobili come gli [[smartphone]].<ref>{{Cita web\|url=http://www.seg.inf.uc3m.es/~guillermo-suarez-tangil/papers/2013cst-ieee.pdf\|titolo="Evolution, Detection and Analysis of Malware in Smart Devices"\|autore=Suarez-Tangil, Guillermo; Juan E. Tapiador, Pedro Peris-Lopez, Arturo Ribagorda\|editore=IEEE Communications Surveys & Tutorials\|data=2014\|accesso=28 aprile 2016\|urlarchivio=https://web.archive.org/web/20171031165855/http://www.seg.inf.uc3m.es/~guillermo-suarez-tangil/papers/2013cst-ieee.pdf\|dataarchivio=31 ottobre 2017\|urlmorto=sì}}</ref> === ~~Malware~~Tecniche ~~infettivo: virus e worm~~antirilevamento === Sin dall'inizio del 2015, una buona parte del malware utilizza più combinazioni di tecniche usate per evitare la rivelazione e l'analisi.<ref>{{Cita web\|url=http://www.net-security.org/malware_news.php?id=3022\|titolo="Evasive malware"\|autore=\|data=\|accesso=28 aprile 2016\|dataarchivio=6 settembre 2015\|urlarchivio=https://web.archive.org/web/20150906012121/http://www.net-security.org/malware_news.php?id=3022\|urlmorto=sì}}</ref> ~~{{vedi anche\|Virus (informatica)]\|Worm}}~~ * La tecnica di evasione più comune è quella in cui il malware evita analisi e rilevamento facendo "fingerprinting" dell'ambiente in cui viene eseguito (con fingerprinting si intende un algoritmo che mappa un file di grandi dimensioni in una stringa di bit molto più ristretta).<ref>{{Cita libro\|autore=Kirat, Dhilung; Vigna, Giovanni; Kruegel, Christopher\|titolo=Barecloud: bare-metal analysis-based evasive malware detection\|anno=2014\|editore=ACM\|città=\|pp=287-301\|ISBN=978-1-931971-15-7}}</ref> I tipi di malware più conosciuti, ovvero virus e worm, sono noti per il modo in cui si diffondono, piuttosto del loro effettivo comportamento. Il termine virus viene usato per un programma che si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza. Per quanto riguarda i worm, questi sono del software completo a sé stante (senza la necessità di doversi integrare in altri programmi), e questi si diffondono su una rete per infettare altri computer. Date queste considerazioni si intuisce che il virus richiede che l'utente esegua un programma infettato (o solo il sistema operativo) affinché il virus si diffonda, mentre un worm non ha questo limite e si può diffondere liberamente ai computer collegati alla rete informatica.<ref>{{Cita web\|url=https://www.britannica.com/EBchecked/topic/130688/computer-virus\|titolo="computer virus – Encyclopedia Britannica"\|autore=Britannica.com\|data=\|accesso=28 aprile 016}}</ref> * La seconda tecnica più usata consiste nel confondere i tool di rilevamento. Questo permette al malware di evitare di venire rilevato da tecnologie come antivirus signature-based, cambiando il server usato dal malware.<ref>{{Cita web\|url=https://www.tripwire.com/state-of-security/security-data-protection/the-four-most-common-evasive-techniques-used-by-malware/\|titolo="The Four Most Common Evasive Techniques Used by Malware"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> * La terza tecnica più diffusa si basa sull'azione dello stesso malware per periodi ristretti, a seconda di certe azioni prese dall'utente, in modo tale che il malware si esegua in momenti vulnerabili, come l'avvio da boot, e rimanendo in stato dormiente per il resto del tempo. * La quarta tecnica più comune consiste nell'offuscare i dati interni dello stesso malware, così da evitare di essere rilevato dal software anti-malware.<ref>{{Cita libro\|autore=Young, Adam; Yung, Moti\|titolo="Deniable Password Snatching: On the Possibility of Evasive Electronic Espionage"\|url=https://archive.org/details/securityprivacy10000unse\|anno=1997\|editore=\|città=\|pp=[https://archive.org/details/securityprivacy10000unse/page/224 224]–235\|ISBN=0-8186-7828-3}}</ref> * Una tecnica che sta diventando sempre più comune consiste nell'uso di [[Adware]] che usano dei certificati rubati per disabilitare il software anti-malware e anti-virus.<ref>{{Cita web\|url=https://www.yahoo.com/tech/s/latest-adware-disables-antivirus-software-152920421.html\|titolo="Latest adware disables antivirus software"\|autore=\|data=\|accesso=29 aprile 2016}}</ref> Oggi, una delle più sofisticate strategie di evasione è quella di usare tecniche che nascondano le informazioni, chiamata [[Stegomalware]]. == Classificazione == ~~=== Categorie di malware ===~~ {{C\|Voce troppo lunga e piena di informazioni superflue e non necessarie quando invece dovrebbe essere una descrizione in breve dei vari tipi di malware.\|informatica\|ottobre 2021}} Si distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi esaustiva. I tipi di malware più conosciuti sono noti per il modo in cui si diffondono e per il loro comportamento effettivo. Nell'uso comune il termine [[virus (informatica)\|virus]] viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal fatto che gli [[antivirus]] permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti. Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non rientrano nella definizione data i [[Programma (informatica)\|programmi]] contenenti [[bug]], che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un [[software]]. Si distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Schematicamente possono essere catalogati come segue: * [[Virus (informatica)\|Virus]]: sono parti di codice che si diffondono copiandosi all'interno di altri [[Programma (informatica)\|programmi]], o in una particolare sezione del [[disco fisso]], in modo da essere eseguiti ogni volta che il [[file]] infetto viene aperto. Si trasmettono da un [[computer]] a un altro tramite lo spostamento di file infetti ad opera degli utenti. * [[Worm]]: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il [[sistema operativo]] della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più [[Internet]]. Per indurre gli utenti ad eseguirli utilizzano tecniche di [[ingegneria sociale]], oppure sfruttano dei difetti ([[Bug]]) di alcuni [[Programma (informatica)\|programmi]] per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose. * [[Trojan (informatica)\|Trojan horse]]: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso [[cavallo di Troia]]. * [[Backdoor]]: ~~letteralmente "porta sul retro". Sono~~sono dei [[Programma (informatica)\|programmi]] che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata. * [[Spyware]]: [[software]] che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite, possono andare dalle abitudini di navigazione fino alle password e alle [[chiave crittografica\|chiavi crittografiche]] di un utente. * [[Dialer]]: questi [[Programma (informatica)\|programmi]] si occupano di gestire la connessione ad [[Internet]] tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente. * [[Hijacker]]: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto [[browser]]) e causano l'apertura automatica di [[pagine web]] indesiderate. * [[Rootkit]]: i rootkit solitamente sono composti da un [[driver]] e a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare ''spyware'' e ''trojan''. * [[Scareware]]: ~~non~~gli scareware sono ~~altro~~programmi che ~~porte~~si difingono ~~accesso~~antivirus ~~che~~per siinvitare ~~nascondono~~l'utente ~~sui~~con ~~manifesti~~falsi ~~pubblicitari~~allarmi ea ~~installano~~comprare ~~altri~~una ~~malware~~versione ea ~~spesso~~pagamento ~~c'e~~dando ilsoldi ~~pericolo~~al ~~che~~creatore. ~~facciano~~Spesso ~~installare~~dicono ~~malware~~anche ~~che~~di siinstallare ~~fingono~~un antivirus ~~tipo~~"migliore" ilper ~~famoso~~rimuovere ~~"[[rogue~~i ~~antispyware]]".~~virus che in realtà è un virus. * [[Rabbit]]: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in [[memoria (informatica)\|memoria]] o su [[disco rigido\|disco]]) a grande velocità. * [[Adware]]: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del PC e rischi per la [[privacy]] in quanto comunicano le abitudini di navigazione ad un [[server]] remoto. * [[Malvertising]]: malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web. * [[File batch]]: hanno [[Estensione (file)\|estensione]] ".bat". I file batch non sono veri e propri malware, ma solo semplici [[File di testo]] interpretati da [[Prompt dei comandi]] di [[Microsoft Windows~~\|microsoft windows~~]]. In base ai comandi imposti ~~dall'utente~~, il sistema li interpreta come "azioni da eseguire", e sequesto ~~per caso viene imposto di formattare il computer, il file esegue l'operazione imposta, perché~~può eseguire icodice ~~file inoltrati al processore è un'operazione di routine. Questo rende i file batch pericolosi. I file batch sono spesso utilizzati nel [[cyberbullismo]]~~malevolo. * [[Keylogger]]: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che [[copia e incolla]] rendendo così possibile il furto di password o di dati ~~che potrebbero interessare qualcun altro~~. La differenza con gli [[Adware]] sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keyloggerSono ~~vengono~~spesso installati ~~sul~~da ~~computer dai [[~~Trojan (informatica)\|trojan]] o dai [[worm]], in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o attraverso l'[[accesso remoto]] (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell'utente. Esistono anche i Keylogger Hardware, che possono essere installati da una persona fisica, e poi, sfruttando la rete [[Internet]] inviano informazioni al malintenzionato quali password, email, ecc... * [[Ransomware]]: Virus che cripta tutti i dati presenti su un disco, secondo una [[chiave (crittografia)\|chiave di cifratura]] complessa. * [[Rogue antispyware]]: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma. * [[Ransomware]] Virus che cripta tutti i dati presenti su un disco, secondo una [[chiave di cifratura]] complessa; poi, per ottenerla e decrittografare il computer, bisogna pagare il cracker che ha infettato il pc e quindi ottenere la chiave di cifratura per "tradurre" i dati. Questi software sono pericolosi in modo direttamente proporzionale alla quantità e alla riservatezza dei dati presenti sul disco. Una volta questi virus erano presenti in Windows con diffusione ristretta, mentre oggi la diffusione è aumentata, anche su sistemi operativi mobili. * "A comando", cioè vengono attivati secondo le volontà del cracker nel momento che ritiene opportuno. * "Automatici", che si dividono in altre due sottocategorie: "Da esecuzione", cioè vengono eseguiti e quindi si attivano quando l'utente li avvia; "Da avvio", cioè si attivano quando si spegne/accende il device. * [[Bomba logica]]: è un tipo di malware che "esplode" ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dal cracker stesso. * [[Bomba a decompressione\|Zip Bomb]] è un file che si presenta come un file compresso. Deve essere l'utente ad eseguirlo. All'apparenza sembra un innocuo file da pochi [[Kilobyte]] ma, appena aperto, si espande fino a diventare un file di circa quattro [[Petabyte]], occupando quindi tutto lo spazio su disco rigido. === Backdoor === Nell'uso comune il termine [[virus (informatica)\|virus]] viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal fatto che gli [[antivirus]] permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti. {{Vedi anche\|Backdoor}} Un [[backdoor]] è un metodo per scavalcare le procedure standard per l'autenticazione tramite una connessione ad una rete o su internet. Una volta che il sistema è compromesso, una o più backdoor possono essere installate per permettere accessi futuri, in modo del tutto invisibile all'utente. L'idea di fondo che le compagnie produttrici di computer preinstallino delle backdoor nei propri sistemi, per provvedere supporto tecnico ai clienti, non è mai stata veramente verificata. È stato riportato che nel 2014 le agenzie governative americane hanno intercettato dei computer, acquistati da quelli ritenuti "obiettivo", e li hanno inviati a laboratori segreti dove sono stati installati software o hardware che permettesse l'accesso remoto al computer all'azienda.<ref>{{Cita web\|url=http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-3.html\|titolo="Inside TAO: Documents Reveal Top NSA Hacking Unit"\|autore=Staff, SPIEGEL\|data=\|accesso=28 aprile 2016}}</ref> Le backdoor possono essere installate tramite Trojan, worm o altri metodi.<ref>{{Cita web\|url=http://www.itsecurity.com/features/top-zombie-trojan-bots-092507\|titolo="Top Zombie, Trojan Horse and Bot Threats"\|autore=Edwards, John\|data=\|accesso=28 aprile 2016\|urlarchivio=https://web.archive.org/web/20170209142725/http://www.itsecurity.com/features/top-zombie-trojan-bots-092507/\|dataarchivio=9 febbraio 2017\|urlmorto=sì}}</ref><ref>{{Cita web\|url=http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html\|titolo="Shopping for Spy Gear:Catalog Advertises NSA Toolbox"\|autore=Appelbaum, Jacob\|data=\|accesso=28 aprile 2016}}</ref> Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non rientrano nella definizione data i [[Programma (informatica)\|programmi]] contenenti [[bug]], che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un [[software]]. === Grayware === {{Vedi anche\|Grayware}} Grayware è la definizione generica che si riferisce alle [[applicazione (informatica)\|applicazioni]] che presentano un comportamento molesto, indesiderabile o nascosto: non vengono classificate come malware, ma possono diminuire le prestazioni del sistema e possono causare problemi di sicurezza.<ref>{{Cita web\|url=http://docs.trendmicro.com/all/ent/officescan/v10.6/it-it/osce_10.6_olhcl/osce_topics/spyware_grayware.htm\|titolo="Spyware/Grayware"\|autore=Trend Micro\|data=\|accesso=30 aprile 2016}}</ref> Le applicazioni grayware non rientrano in nessuna delle categorie delle principali minacce ([[virus (informatica)\|virus]] o [[Trojan (informatica)\|cavalli di Troia]]) poiché sono soggette alla funzionalità del sistema e comprendono [[Spyware]], [[Adware]], [[Dialer]] fraudolenti, tool di [[accesso remoto]] e altri programmi indesiderati.<ref>{{Cita web\|url=https://www.malwarebytes.org/pup/\|titolo="PUP Criteria"\|autore=malwarebytes.org\|data=\|accesso=30 aprile 2016}}</ref> Alcuni elementi nella categoria del grayware sono stati collegati ad attività dannose, mentre altri vengono utilizzati per fornire agli utenti informazioni mirate relative ad annunci sui prodotti. Per le aziende che si occupano di informazioni sensibili, le funzionalità di raccolta dati di qualsiasi tipo di applicazione dovrebbero suscitare preoccupazione. === Rabbit === ~~== Occultamento: virus, trojan, rootkit, backdoor, evasione ==~~ {{Vedi anche\|Rabbit}} Queste categorie di malware non sono mutuamente esclusive, infatti il malware può sfruttare tecniche multiple.<ref>{{Cita web\|url=http://techacute.com/malware-information-privacy/\|titolo="All about Malware and Information Privacy"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> Questa sezione si applica solo al malware che viene progettato per non essere rilevato, non al malware progettato per il sabotaggio o ai ransomware. Il [[rabbit]] è un tipo di malware che attacca le risorse del sistema duplicando in continuazione la propria immagine su disco, o attivando nuovi processi a partire dal proprio eseguibile, in modo da consumare tutte le risorse disponibili sul sistema in pochissimo tempo. === ~~Virus~~Ransomware === {{Vedi anche\|Ransomware}} <blockquote>Articolo principale: [[Virus (informatica)\|Virus]]</blockquote>Un programma che di solito si nasconde con altri programmi innocui, effettua copie di sé stesso in altri programmi o file, e spesso effettua delle operazioni malevoli, come la distruzione dei dati.<ref>{{Cita web\|url=https://kb.iu.edu/d/aehm\|titolo="What are viruses, worms, and Trojan horses?"\|autore=Indiana University\|data=\|accesso=28 aprile 2016}}</ref> I [[Ransomware]] sono creati con lo scopo di infettare un computer e di richiedere un pagamento alla vittima, per eliminare lo stesso malware dalla macchina vittima dell'attacco. Per esempio, un [[CryptoLocker]] cripta i dati presenti sul computer vittima, ed effettua la decriptazione solo su pagamento di una somma di denaro cospicua. Queste categorie di malware non sono mutuamente esclusive, infatti il malware può sfruttare tecniche multiple.<ref>{{Cita web\|url=http://techacute.com/malware-information-privacy/\|titolo="All about Malware and Information Privacy"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> Questa sezione si applica solo al malware che viene progettato per non essere rilevato, non al malware progettato per il sabotaggio o ai ransomware. === Rootkit === {{Vedi anche\|Rootkit}} I pacchetti software conosciuti come rootkit permettono occultamento, modificando il sistema operativo del computer in modo tale da nascondere le tracce del malware. I rootkit possono evitare che un processo malware risulti visibile nella lista dei processi attivi del sistema, e può anche impedire che i file del malware possano essere aperti e letti.<ref>{{Cita web\|url=http://www.us-cert.gov/ncas/tips/ST06-001\|titolo="Understanding Hidden Threats: Rootkits and Botnets"\|autore=McDowell, Mindi\|data=\|accesso=28 aprile 2016}}</ref> Alcuni programmi malevoli contengono procedure che impediscono la rimozione dal sistema dello stesso malware: un esempio di questo comportamento è riportato nel [[Jargon File]].<ref>{{Cita web\|url=http://catb.org/jargon/html/meaning-of-hack.html\|titolo="Catb.org"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> === Spyware === {{Vedi anche\|Spyware}} I programmi malware con lo scopo di monitorare la navigazione web, di mostrare a video pubblicità indesiderate, o di reindirizzare i ricavi di [[Affiliate Marketing]], vengono chiamati [[Spyware]]. Uno spyware non si diffonde come i virus, vengono invece installati sfruttando delle debolezze nella sicurezza informatica. Possono anche essere nascosti e inseriti all'interno di software che verrà usato dall'utente vittima.<ref>{{Cita web\|url=http://oit.ncsu.edu/resnet/p2p\|titolo="Peer To Peer Information"\|autore=NORTH CAROLINA STATE UNIVERSITY\|data=\|accesso=27 aprile 2016\|dataarchivio=2 luglio 2015\|urlarchivio=https://web.archive.org/web/20150702143115/http://oit.ncsu.edu/resnet/p2p\|urlmorto=sì}}</ref> === Trojan === {{Vedi anche\|Trojan (informatica)}} <blockquote>Articolo principale: [[Trojan (informatica)\|Trojan]]</blockquote>In informatica, un Trojan (comunemente chiamato anche Cavallo di Troia) è un programma malevolo che falsa la sua vera identità per sembrare utile o interessante per persuadere la vittima ad installarlo. Il termine deriva dalla storia greca del [[Cavallo di Troia]] che venne usato dalle truppe greche per invadere la città di [[Troia]] di nascosto.<ref>{{Cita web\|url=http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA465587\|titolo="A taxonomy of computer program security flaws, with examples"\|autore=\|data=\|accesso=28 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.techterms.com/definition/trojanhorse\|titolo="Trojan Horse Definition"\|autore=\|data=\|accesso=28 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.webopedia.com/TERM/T/Trojan_horse.html\|titolo="Trojan horse"\|autore=\|data=\|accesso=28 aprile 2016}}</ref><ref>{{Cita web\|url=http://searchsecurity.techtarget.com/definition/Trojan-horse\|titolo="What is Trojan horse? – Definition from Whatis.com"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> In informatica, un Trojan (comunemente chiamato anche Cavallo di Troia) è un programma malevolo che falsa la sua vera identità per sembrare utile o interessante per persuadere la vittima ad installarlo. Il termine deriva dalla storia greca del [[Cavallo di Troia]] che venne usato dalle truppe greche per invadere la città di [[Troia]] di nascosto.<ref>{{Cita web\|url=http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA465587\|titolo="A taxonomy of computer program security flaws, with examples"\|autore=\|data=\|accesso=28 aprile 2016\|dataarchivio=8 aprile 2013\|urlarchivio=https://web.archive.org/web/20130408133230/http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA465587\|urlmorto=sì}}</ref><ref>{{Cita web\|url=http://www.techterms.com/definition/trojanhorse\|titolo="Trojan Horse Definition"\|autore=\|data=\|accesso=28 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.webopedia.com/TERM/T/Trojan_horse.html\|titolo="Trojan horse"\|autore=\|data=\|accesso=28 aprile 2016}}</ref><ref>{{Cita web\|url=http://searchsecurity.techtarget.com/definition/Trojan-horse\|titolo="What is Trojan horse? – Definition from Whatis.com"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> I Trojan di solito vengono diffusi con qualche tecnica di [[Ingegneria sociale]], per esempio quando un utente viene ingannato ad eseguire un allegato di una e-mail non sospettabile, o ad effettuare un download. Molti di questi Trojan moderni, agiscono come dei [[Backdoor]], contattando un controller che può avere accesso non autorizzato al computer infettato.<ref>{{Cita web\|url=https://www.symantec.com/business/support/index?page=content&id=TECH98539\|titolo="What is the difference between viruses, worms, and Trojans?"\|autore=Symantec Corporation\|data=\|accesso=28 aprile 2016}}</ref> Mentre i Trojan e i Backdoor non sono rilevabili di per sé, il computer vittima potrebbe risultare rallentato dovuto dall'uso notevole del processore e dal traffico di rete. Riga 88 ⟶ 105: Al contrario dei virus e dei worm, i Trojan non tentano di iniettarsi in altri file o di propagarsi.<ref>{{Cita web\|url=http://www.faqs.org/faqs/computer-virus/faq/\|titolo="VIRUS-L/comp.virus Frequently Asked Questions (FAQ) v2.00 (Question B3: What is a Trojan Horse?)"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> === ~~Rootkit~~Virus === {{Vedi anche\|Virus (informatica)}} <blockquote>Articolo principale: [[Rootkit]]</blockquote>Una volta che un programma malevolo è stato installato su un sistema, è necessario che questo rimanga nascosto per evitare di essere scoperto e rimosso. I pacchetti software conosciuti come rootkit permettono occultamento, modificando il sistema operativo del computer in modo tale da nascondere le tracce del malware. I rootkit possono evitare che un processo malware risulti visibile nella lista dei processi attivi del sistema, e può anche impedire che i file del malware possano essere aperti e letti.<ref>{{Cita web\|url=http://www.us-cert.gov/ncas/tips/ST06-001\|titolo="Understanding Hidden Threats: Rootkits and Botnets"\|autore=McDowell, Mindi\|data=\|accesso=28 aprile 2016}}</ref> Un virus è un pezzo di codice inserito in un programma detto "portatore di virus". Tali programmi sono apparentemente eseguiti per altre finalità, ma il vero intento è quello di installare il virus nel sistema e contagiare altri programmi. I virus sono infatti in grado di autoriprodursi all'interno di un computer ed è proprio questa caratteristica a conferirgli il nome di "virus", in quanto ricorda il comportamento tipico delle particelle infettive (appunto i virus studiati in microbiologia) in grado di replicarsi nelle cellule. In base alle loro caratteristiche, i virus possono semplicemente diffondersi nel sistema e non recare gravi danni, ma possono anche arrivare a distruggere intere parti del sistema operativo o cancellare il contenuto del disco fisso. Alcuni programmi malevoli contengono procedure che impediscono la rimozione dal sistema dello stesso malware: un esempio di questo comportamento è riportato nel [[Jargon File]].<ref>{{Cita web\|url=http://catb.org/jargon/html/meaning-of-hack.html\|titolo="Catb.org"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> I virus si trasmettono principalmente tramite email (spam). In alternativa si possono trasmettere tramite dischi esterni infetti, tramite download di programmi da Internet o attraverso file di [[Microsoft Office]].<ref>{{Cita web\|url=https://kb.iu.edu/d/aehm\|titolo="What are viruses, worms, and Trojan horses?"\|autore=Indiana University\|data=\|accesso=28 aprile 2016}}</ref> ~~=== Backdoor ===~~ <blockquote>Articolo principale: [[Backdoor]]</blockquote>Una backdoor è un metodo per bypassare le procedure standard per l'autenticazione tramite una connessione ad una rete o su internet. Una volta che il sistema è compromesso, una o più backdoor possono essere installate per permettere accessi futuri, in modo del tutto invisibile all'utente. === Worm === L'idea di fondo che le compagnie produttrici di computer preinstallino delle backdoor nei propri sistemi, per provvedere supporto tecnico ai clienti, non è mai stata veramente verificata. È stato riportato che nel 2014 le agenzie governative americane hanno intercettato dei computer, acquistati da quelli ritenuti "obiettivo", e li hanno inviati a laboratori segreti dove sono stati installati software o hardware che permettesse l'accesso remoto al computer all'azienda.<ref>{{Cita web\|url=http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969-3.html\|titolo="Inside TAO: Documents Reveal Top NSA Hacking Unit"\|autore=Staff, SPIEGEL\|data=\|accesso=28 aprile 2016}}</ref> Un [[worm]] è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un [[Virus (informatica)\|virus]] ma, a differenza di questo, non necessita di legarsi ad altri [[programma (informatica)\|programmi]] [[eseguibile\|eseguibili]] per diffondersi, ma a tale scopo utilizza altri [[computer]], ad esempio tramite [[e-mail]] e una [[rete di computer]]. Sono software completi a sé stante (senza la necessità di doversi integrare in altri programmi), e questi si diffondono su una rete per infettare altri computer. Date queste considerazioni si intuisce che il virus richiede che l'utente esegua un programma infettato (o solo il sistema operativo) affinché il virus si diffonda, mentre un worm non ha questo limite e si può diffondere liberamente ai computer collegati alla rete informatica.<ref>{{Cita web\|url=https://www.britannica.com/EBchecked/topic/130688/computer-virus\|titolo="computer virus – Encyclopedia Britannica"\|autore=Britannica.com\|data=\|accesso=28 aprile 016}}</ref> Le backdoor possono essere installate tramite Trojan, worm o altri metodi.<ref>{{Cita web\|url=http://www.itsecurity.com/features/top-zombie-trojan-bots-092507\|titolo="Top Zombie, Trojan Horse and Bot Threats"\|autore=Edwards, John\|data=\|accesso=28 aprile 2016}}</ref><ref>{{Cita web\|url=http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html\|titolo="Shopping for Spy Gear:Catalog Advertises NSA Toolbox"\|autore=Appelbaum, Jacob\|data=\|accesso=28 aprile 2016}}</ref> ~~=== Evasione ===~~ Sin dall'inizio del 2015, una buona parte del malware utilizza più combinazioni di tecniche usate per evitare la rivelazione e l'analisi.<ref>{{Cita web\|url=http://www.net-security.org/malware_news.php?id=3022\|titolo="Evasive malware"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> * La tecnica di evasione più comune è quella in cui il malware evita analisi e rilevamento facendo "fingerprinting" dell'ambiente in cui viene eseguito (con fingerprinting si intende un algoritmo che mappa un file di grandi dimensioni in una stringa di bit molto più ristretta).<ref>{{Cita libro\|autore=Kirat, Dhilung; Vigna, Giovanni; Kruegel, Christopher\|titolo=Barecloud: bare-metal analysis-based evasive malware detection\|anno=2014\|editore=ACM\|città=\|pp=287–301\|ISBN=978-1-931971-15-7}}</ref> * La seconda tecnica più usata consiste nel confondere i tool di rilevamento. Questo permette al malware di evitare di venire rilevato da tecnologie come antivirus signature-based, cambiando il server usato dal malware.<ref>{{Cita web\|url=https://www.tripwire.com/state-of-security/security-data-protection/the-four-most-common-evasive-techniques-used-by-malware/\|titolo="The Four Most Common Evasive Techniques Used by Malware"\|autore=\|data=\|accesso=28 aprile 2016}}</ref> * La terza tecnica più diffusa si basa sull'azione dello stesso malware per periodi ristretti, a seconda di certe azioni prese dall'utente, in modo tale che il malware si esegua in momenti vulnerabili, come l'avvio da boot, e rimanendo in stato dormiente per il resto del tempo. * La quarta tecnica più comune consiste nell'offuscare i dati interni dello stesso malware, così da evitare di essere rilevato dal software anti-malware.<ref>{{Cita libro\|autore=Young, Adam; Yung, Moti\|titolo="Deniable Password Snatching: On the Possibility of Evasive Electronic Espionage"\|anno=1997\|editore=\|città=\|pp=224–235\|ISBN=0-8186-7828-3}}</ref> * Una tecnica che sta diventando sempre più comune consiste nell'uso di [[Adware]] che usano dei certificati rubati per disabilitare il software anti-malware e anti-virus.<ref>{{Cita web\|url=https://www.yahoo.com/tech/s/latest-adware-disables-antivirus-software-152920421.html\|titolo="Latest adware disables antivirus software"\|autore=\|data=\|accesso=29 aprile 2016}}</ref> ~~Oggi, una delle più sofisticate strategie di evasione è quella di usare tecniche che nascondano le informazioni, chiamata [[Stegomalware]].~~ == Vulnerabilità al malware == {{vedi anche\|Vulnerabilità informatica}} <blockquote>Articolo principale: [[Vulnerabilità]]</blockquote>Nel campo dell'informatica con sistema sotto attacco ci si può riferire a molti contesti, a partire da una singola applicazione, passando per computer e sistemi operativi, fino a parlare di reti grandi e complesse. I fattori che indicano se un sistema è più o meno vulnerabile sono: Nel campo dell'informatica con sistema sotto attacco ci si può riferire a molti contesti, a partire da una singola applicazione, passando per computer e sistemi operativi, fino a parlare di reti grandi e complesse. I fattori che indicano se un sistema è più o meno vulnerabile sono: === Debolezze nel software di sicurezza === Il malware può sfruttare le debolezze della sicurezza (bug di sicurezza e vulnerabilità) di un sistema operativo, di un'applicazione (parlando di browser, ad esempio le vecchie versioni di [[Internet Explorer]] su varie versioni di Windows<ref>{{Cita web\|url=http://www.welivesecurity.com/2016/01/12/microsoft-ends-support-for-old-internet-explorer-versions/\|titolo="Microsoft ends support for old Internet Explorer versions"\|autore=\|data=12 gennaio 2016\|accesso=29 aprile 2016}}</ref>, o versioni vulnerabili di plugin per browser come Adobe Flash Player, Adobe Acrobat, Adobe Reader, Java SE.<ref>{{Cita web\|url=http://securitywatch.pcmag.com/none/305385-updated-browsers-still-vulnerable-to-attack-if-plugins-are-outdated\|titolo="Updated Browsers Still Vulnerable to Attack if Plugins Are Outdated"\|autore=Rashid, Fahmida Y.\|data=27 novembre 2012\|accesso=29 aprile 2016\|urlarchivio=https://web.archive.org/web/20160409063012/http://securitywatch.pcmag.com/none/305385-updated-browsers-still-vulnerable-to-attack-if-plugins-are-outdated\|dataarchivio=9 aprile 2016\|urlmorto=sì}}</ref><ref>{{Cita web\|url=https://www.zdnet.com/blog/security/kaspersky-12-different-vulnerabilities-detected-on-every-pc/9283\|titolo="Kaspersky: 12 different vulnerabilities detected on every PC"\|autore=Danchev, Dancho\|data=18 agosto 2011\|accesso=29 aprile 2016}}</ref> A volte, anche installando versioni più recenti di questi plugin non vengono rimosse automaticamente le vecchie versioni. I fornitori di plug-in annunciano più o meno frequentemente degli aggiornamenti per risolvere questi problemi di sicurezza.<ref>{{Cita web\|url=https://www.adobe.com/support/security/\|titolo="Adobe Security bulletins and advisories"\|autore=\|data=\|accesso=29 aprile 2016}}</ref> Alle vulnerabilità scoperte, note al pubblico, viene assegnato un [[Common Vulnerabilities and Exposures\|CVE: Common Vulnerabilities and Exposures]]. Gli autori di malware puntano a colpire un sistema sfruttando bug di vario tipo. Un metodo comune consiste nello sfruttare un [[Buffer overflow]], che consiste nell'aggiungere sempre più dati ad un buffer finché non viene ecceduta la memoria a disposizione (per limitare questa vulnerabilità è necessario effettuare controlli via software sui dati e sulla memoria a disposizione del buffer): il malware provvede ad aggiungere dati che fanno overflow al buffer, inserendo in coda del codice malevolo eseguibile, in modo tale che quando il sistema vi accede, viene eseguito questo codice malware, in modo tale che il sistema compia azioni scelte da chi ha scritto il codice malevolo. Riga 123 ⟶ 131: === Utenti e codice con privilegi di root === {{vedi anche\|Principio del privilegio minimo}} <blockquote>Articolo principale: [[Principio del privilegio minimo]]</blockquote>In informatica, con il concetto di privilegio ci si riferisce a quanto è consentito ad un utente di modificare un sistema. In sistemi di computer progettati in modo non adeguato, è possibile che agli utenti e ai programmi possano essere assegnati troppi privilegi, di più di quelli che dovrebbero avere e il malware può approfittarne. Alcuni sistemi permettono all'utente di modificare la propria struttura interna, e questi utenti vengono considerati come utenti di root. Questa procedura operativa era standard nei primi sistemi di computer, dove non veniva considerata la distinzione tra utenti amministratori e utenti regolari. Alcuni sistemi danno troppi privilegi agli utenti regolari non amministratori, nel senso che a questi utenti viene permesso di modificare file di sistema, cosa che non dovrebbe avvenire. A volte accade che gli utenti abbiano molti privilegi, come se fossero amministratori di sistema, perché non è stata fatta un'analisi dei privilegi ed è stato commesso un errore di progettazione del sistema, perché non devono essere concessi troppi privilegi a chi non è veramente un responsabile a gestire il sistema informatico. In informatica, con il concetto di privilegio ci si riferisce a quanto è consentito ad un utente di modificare un sistema. In sistemi di computer progettati in modo non adeguato, è possibile che agli utenti e ai programmi possano essere assegnati troppi privilegi, di più di quelli che dovrebbero avere e il malware può approfittarne. Alcuni sistemi permettono all'utente di modificare la propria struttura interna, e questi utenti vengono considerati come utenti di root. Questa procedura operativa era standard nei primi sistemi di computer, dove non veniva considerata la distinzione tra utenti amministratori e utenti regolari. Alcuni sistemi danno troppi privilegi agli utenti regolari non amministratori, nel senso che a questi utenti viene permesso di modificare file di sistema, cosa che non dovrebbe avvenire. A volte accade che gli utenti abbiano molti privilegi, come se fossero amministratori di sistema, perché non è stata fatta un'analisi dei privilegi ed è stato commesso un errore di progettazione del sistema, perché non devono essere concessi troppi privilegi a chi non è veramente un responsabile a gestire il sistema informatico. Alcuni sistemi permettono ad un codice eseguito da un utente di avere tutti i privilegi dello stesso utente che lo ha avviato. Anche questa era una procedura operativa standard per i primi sistemi. Il malware, avviato da un utente senza che ne sia consapevole, ha la possibilità di interagire con il sistema. Quasi tutti i sistemi operativi, ed anche le applicazioni di scripting, concedono troppi privilegi al codice, perché questo permette all'utente di essere vulnerabile anche da un semplice allegato di una email. === Non usare lo stesso sistema operativo === L'omogeneità dei computer, ad esempio usare lo stesso sistema operativo su tutti i computer collegati ad una rete, è controproducente quando la rete viene attaccata da un malware, dato che se riesce a penetrare dentro un computer, riuscirà ad entrare anche nelle altre macchine collegate in rete.<ref>{{Cita ~~libro~~web \|~~autore~~ autore1 = Urupoj Kanlayasiri \| autore2 = Surasak Sanguanpong \| titolo =" Key Factors Influencing Worm Infection" in Enterprise Networks \| url = http://www.springerlink.com/index/3x8582h43ww06440.pdf \|~~anno~~ lingua = en \|~~editore~~ accesso = 9 ottobre 2022 \|~~città~~ urlarchivio = https://web.archive.org/web/20190809012534/https://link.springer.com/chapter/10.1007%2F11604938_5?LI=true \| dataarchivio = 9 agosto 2019 \| urlmorto = sì }}</ref> La diversità dei sistemi operativi in una rete, può permettere di evitare che cada tutta la rete e che alcuni nodi riescano a non essere colpiti dal malware, dato che non fanno parte dello stesso [[Servizio di directory]] per l'autenticazione, permettendo a questi nodi di aiutare con il recovery dei computer infettati dal malware. L'introduzione di macchine diverse all'interno della rete può essere vantaggioso per evitare che in caso di attacco cada tutta la rete, ma al costo di incrementare la complessità e ridurre la riusabilità in termini di autenticazione con single sign-on. === Malware del firmware === ~~== Strategie anti-malware ==~~ Particolarmente critici sono gli attacchi al [[firmware]] della macchina, in progressivo aumento nel tempo. Questa famiglia di minacce è particolarmente insidiosa perché, agendo a monte del sistema operativo, qualsiasi software di protezione tradizionale è inefficace. Alcune funzioni di talune piattaforme [[UEFI]] possono ridurre la probabilità che l'attacco possa andare a bersaglio. Tuttavia le contromisura più idonea è, a parte quella di prevenire l'infezione evitando comportamenti rischiosi, quella di applicare regolarmente gli aggiornamenti di sicurezza del [[BIOS\|bios]]. Quando il firmware viene infettato non rimane altro che tentare di cancellarlo totalmente dalla [[scheda madre]] per poi installare una nuova istanza aggiornata (una semplice sovrascrittura dell'istanza infetta potrebbe non essere sufficiente). <blockquote>Articolo principale: [[Antivirus]]</blockquote>Dato che gli attacchi malware diventano sempre più frequenti, l'attenzione si è spostata dalla protezione dei soli virus e spyware, al cercare delle strategie difensive contro il malware in generale e a produrre software in grado di contrastarli (oltre alle strategie qui di seguito descritte, ci sono quelle preventive e di recupero, come backup e metodi di recovery). === ~~Anti-virus~~Strategie edi ~~anti-malware~~contrasto === === Antivirus === {{Vedi anche\|Antivirus}} Una volta che un programma malevolo è stato installato su un sistema, è necessario che questo rimanga nascosto per evitare di essere scoperto e rimosso; a tal scopo esistono diversi programmi noti come [[antivirus]] in grado di rimuovere i malware. A partire dalla diffusione capillare di internet degli [[anni 2000]] gli attacchi malware sono diventati sempre più frequenti, l'attenzione si è spostata dalla protezione dei soli virus e spyware, al cercare delle strategie difensive contro il malware in generale e a produrre software in grado di contrastarli (oltre alle strategie qui di seguito descritte, ci sono quelle preventive e di recupero, come backup e metodi di recovery). === Antimalware === Un componente specifico di anti-virus e anti-malware, agisce in profondità nel sistema operativo o nel kernel e opera cercando di scovare malware, sotto i permessi dell'utente. Ogni volta che il sistema operativo accede ad un file, vi è uno scanner software che si attiva per controllare che il file sia legittimo e privo di infezioni. Se il file viene riconosciuto come un malware dallo scanner software, l'operazione di accesso al file viene bloccata, il file viene messo in quarantena o eliminato a seconda delle impostazioni del software anti-malware.<ref>{{Cita web\|url=http://classroom.synonym.com/antimalware-work-15689.html\|titolo=How Does Anti-Malware Work?\|autore=\|data=\|accesso=30 aprile 2016}}</ref> Riga 139 ⟶ 153: I programmi anti-malware possono combattere il codice malevolo in due modi: # Possono provvedere protezione in tempo reale contro l'installazione del malware nel computer. Questo tipo di protezione lavora allo stesso modo dei software anti-virus, ovvero scansionano tutti i dati che provengono dalla rete, cercando di scovare possibili minacce. # Il software anti-malware può anche solamente rilevare e rimuovere il malware che si è già installato sul sistema. Questo tipo di software scansiona i contenuti dei registri di sistema, dei file del sistema operativo, dei programmi installati e alla fine del lavoro mostra un elenco delle minacce trovate, permettendo all'utente di scegliere quali file tenere o eliminare.<ref>{{Cita web\|url=https://antivirus.comodo.com/how-antivirus-software-works.php\|titolo="How Antivirus Software Works?"\|autore=\|data=\|accesso=30 aprile 2016}}</ref> Alcuni virus disabilitano il [[Ripristino configurazione di sistema]] e altri tool importanti, ad esempio su piattaforma Windows, bloccano il [[Task manager]] e l'[[Interfaccia a riga di comando]]. È possibile rimuovere molti di questi virus avviando il computer in "safe mode with networking"<ref>{{Cita web\|url=http://windows.microsoft.com/en-US/windows7/how-do-I-remove-a-computer-virus\|titolo="How do I remove a computer virus?"\|autore=\|data=\|accesso=30 aprile 2016}}</ref> e successivamente usando il tool di Microsoft Safety Scanner.<ref>{{Cita web\|url=https://www.microsoft.com/security/scanner/en-us/default.aspx\|titolo="Microsoft Safety Scanner"\|autore=\|data=\|accesso=30 aprile 2016}}</ref> == Attività criminose ~~legate ai malware~~collegate == La legislazione relativa ai malware è estremamente variabile a seconda delle nazioni ed è in continua evoluzione. In generale se i ''virus'', i ''worm'' e i ''trojan'' sono illegali in quasi ogni parte del mondo non si può dire lo stesso per le altre categorie. I ''dialer'' in particolare sono di per sé legali, tanto che ogni sistema operativo moderno ne contiene almeno uno. L'ambiguità è peggiorata dal fatto che molti software si situano sul limite che separa un vero e proprio malware da un programma forse fastidioso ma non dannoso. Attualmente i malware (in particolare ''trojan'', ''worm'', ''spyware'', ''malware'' e ''adware'') vengono utilizzati per inviare grandi quantità di file non richiesti dall'utente; e per chattare con i propri contatti a propria insaputa, questi ultimi vengono solitamente venduti agli [[spammer]]. Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile accedere alle chat presenti nello smartphone della vittima in questione ed è possibile acquistare ''l'utilizzo'' di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una ''backdoor''. Le vittime dei malware vengono spesso scelte casualmente. Gli hacker in questione non sempre hanno buone motivazioni per colpire un soggetto in particolare. == Note == <references /> == Voci correlate == Riga 156 ⟶ 173: * [[Dialer]] * [[Grayware]] * [[Malware mobile]] * [[Petya]] * [[Ransomware]] * [[Rootkit]] * [[Sicurezza informatica]] Riga 166 ⟶ 186: == Altri progetti == {{interprogetto\|~~commons~~wikt=~~Category:Malware~~malware\|preposizione=sul}} == Collegamenti esterni == * {{Collegamenti esterni}} * {{FOLDOC}} * {{Garzanti}} * {{en}}[https://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html Un articolo] del [[Washington Post]] sullo sfruttamento commerciale del malware. * [https://attivissimo.blogspot.com/search/label/malware Il Disinformatico] Il blog di [[Paolo Attivissimo]]. {{Controllo di autorità}} {{Portale\|informatica\|sicurezza informatica}} [[Categoria:Software malevoli\| ]]