FAQ. Cybersecurity

Cosa si intende per Malware?

Quando si parla di malware (abbreviazione di malicious software, in italiano software malintenzionato) ci si riferisce ad un qualunque programma informatico utilizzato per lo scopo di disturbare le operazioni svolte al computer da un utente.

Cosa si intende per Malware?


Questo temine è stato coniato nel 1990, indirizzato probabilmente dall’inarrestabile sviluppo di internet e la crescita degli utenti che hanno iniziato a farne uso, in particolar modo dal 2000.


Difatti dall’inizio del ventunesimo secolo, il malware è sempre stato utilizzato per fini di lucro, basti pensare ai virus e worm creati esclusivamente per lo scopo di impossessarsi del controllo del computer della vittima.

È necessario specificare, però, che il malware non è stato creato esclusivamente per la funzione arrecare danno ad un sistema informatico, esemplificando, si può trattare di sabotaggio (Es. Stuxnet), così come di una criptazione di dati contenuti nel computer della vittima con la finalità di estorcere denaro per la decriptazione (es. Cryptolocker).

Difatti, deve essere anche inteso come un programma in grado di sottrarre informazioni di svariato genere, quali dati privati o commerciali, senza che l’utente ne sia a conoscenza anche per periodi di lunga durata.

Per questa ragione malware è un termine che viene usato in modo generico per intendere svariate tipologie di software malevolo e intrusivo.

Altre esemplificazioni di utilizzo risiedono negli sporadici tentativi di attacco contro enti governativi o siti web aziendali, generalmente attuati con la finalità di intercettare informazioni riservate o interferire con operazioni interne.

Tutta via sono di uso più comune gli attacchi al singolo individuo, per ottenere informazioni personali, quali possono essere numeri di carte di credito, id e password o numeri identificativi.

Statisticamente questo fenomeno è destinato ad un continuo aumento favorito dall’espansione della rete e dall’incessante diffusione della cultura informatica; nell’anno del 2008 sono stati rilevati 15 milioni di malware su internet, calcolati nel periodo compreso tra il mese di gennaio e quello di agosto, questa somma pareggia il numero malware rintracciati nei 17 anni precedenti.

Nell’immaginario comune le diverse tipologie di malware sono conosciute maggiormente per le modalità di diffusione, piuttosto che per le loro caratteristiche, di fatto il termine virus è generalmente utilizzato come sinonimo dei suddetti malware e questo equivoco è alimentato dagli antivirus, essendo che questi danno l possibilità all’utente di identificare e rimuovere anche altri generi di software maligni oltre ai virus veri e propri. 

È possibile classificare i malicious software secondo le loro funzioni principali:

·       Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.

·       Worm: per riuscire a diffondersi questi malware non hanno la necessità di infettare altri file, perché tramite la modifica del sistema operativo della macchina ospite, verranno eseguiti automaticamente e tenteranno di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli, utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Lo scopo finale dei worm è quello di rallentare il sistema tramite operazioni inutili o dannose.

·       Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.

·       Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.

·       Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.

·       Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.

·       Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l'apertura automatica di pagine web indesiderate.

·       Rootkit: i rootkit solitamente sono composti da un driver e a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.

·       Scareware: non sono altro che porte di accesso che si nascondono sui manifesti pubblicitari e installano altri malware e spesso c'e il pericolo che facciano installare malware che si fingono antivirus tipo il famoso "rogue antispyware".

·       Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.

·       Adware: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del PC e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.

·       Malvertising: malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web.

·       File batch: hanno estensione ".bat". I file batch non sono veri e propri malware, ma solo semplici File di testo interpretati da Prompt dei comandi di microsoft windows. In base ai comandi imposti dall'utente, il sistema li interpreta come "azioni da eseguire", e se per caso viene imposto di formattare il computer, il file esegue l'operazione imposta, perché eseguire i file inoltrati al processore è un'operazione di routine. Questo rende i file batch pericolosi. I file batch sono spesso utilizzati nel ciberbullismo.

·       Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro.

La differenza con gli Adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o attraverso l'accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell'utente. Esistono anche i Keylogger Hardware, che possono essere installati da una persona fisica, e poi, sfruttando la rete Internet inviano informazioni al malintenzionato quali password, email, ecc...

·       Rogue antispyware: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma.

·       Ransomware Virus che cripta tutti i dati presenti su un disco, secondo una chiave di cifratura complessa; poi, per ottenerla e decrittografare il computer, bisogna pagare il cracker che ha infettato il pc e quindi ottenere la chiave di cifratura per "tradurre" i dati. Questi software sono pericolosi in modo direttamente proporzionale alla quantità e alla riservatezza dei dati presenti sul disco. Una volta questi virus erano presenti in Windows con diffusione ristretta, mentre oggi la diffusione è aumentata, anche su sistemi operativi mobili.

"A comando", cioè vengono attivati secondo le volontà del cracker nel momento che ritiene opportuno.

"Automatici", che si dividono in altre due sottocategorie:

"Da esecuzione", cioè vengono eseguiti e quindi si attivano quando l'utente li avvia;

"Da avvio", cioè si attivano quando si spegne/accende il device.

·       Bomba logica: è un tipo di malware che "esplode" ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dal cracker stesso.

·       Bomba a decompressione è un file che si presenta come un file compresso. Deve essere l'utente ad eseguirlo. All'apparenza sembra un innocuo file da pochi Kilobyte ma, appena aperto, si espande fino a diventare un file di circa quattro Petabyte, occupando quindi tutto lo spazio su disco rigido.

Dato l’aumento dell’utilizzo di malware ai fini di compiere crimini in rete, vi è la necessità di armarsi di appropriate contromisure sia da parte delle aziende che da parte dei singoli utenti.

Le aziende che vantano vendite di prodotti online sono particolarmente a rischio, dovendo soprattutto offrire al cliente una certa sicurezza di navigazione e sulla tutela dei dati personali.

Questa situazione comporta l’esigenza di analisi sempre più approfondite sui sistemi di sicurezza usati per la protezione dal malware avanzato che potrebbe operare dai computer dei clienti dell’azienda stessa.

Nel 2013 uno studio eseguito da Webroot ha dimostrato che le società aventi svariati accessi da remoto ai server, da parte dei dipendenti, sono più frequentemente vittime di questi attacchi informatici.

Vi è l’esistenza di svariate tecniche di anti-rilevamento utilizzate dai malware sin dal 2015.

La prima è la tecnica dell’evasione, dove il software malevolo è in grado di evitare analisi e rilevamento facendo "fingerprinting" dell'ambiente in cui viene eseguito;

la seconda si basa sulla confusione delle tecniche di rilevamento;

la terza tecnica riguarda le azioni dello stesso malware, il quale si esegue in momenti vulnerabili, rimanendo dormiente durante per il resto del tempo;

la quarta è la tecnica dell’offuscamento del malware stesso, in modo da non essere rilevato da software appositi;

la quinta ed ultima tecnica è più recente, consiste nell’utilizzo di Adware, software freeware in grado di disabilitare antivirus e anti-malware dall’interno del sistema.

I fattori in grado di indicare il livello di vulnerabilità di un sistema sono in primis le debolezze del software di sicurezza, queste possono essere sfruttate dal malware in quanto sicurezza del sistema operativo, di un’applicazione oppure di versioni vulnerabili di plugin (es. Adobe Flash Player).

L’obiettivo del malware è quello di riuscire a colpire un sistema sfruttando dei bug di vario genere. Altra vulnerabilità risiede nella progettazione inadeguata o nell’errore utente (es. inserimento di una chiavetta USB infetta all’interno del proprio computer).

Questa tecnica di infezione può essere evitata impostando il boot del computer da hard disk interno, ed evitando l'autorun dei dispositivi, facendo attenzione anche a non avviare da boot intenzionalmente dispositivi esterni.

Altra vulnerabilità esistente è il possesso dello stesso sistema operativo su tutti i dispositivi tecnologici, dato che in caso di attacco da parte di un malware, se questo riesce a superare le difese dentro un computer, avrà libero accesso agli altri dispositivi collegati alla stessa rete.

Il possesso di diversi sistemi operativi all’interno di un’unica rete, eviterà la caduta di tutta la rete in caso di infezione da un malware, dato che non faranno parte dello stesso Servizio di directory per l’autenticazione. 

Non vi è l’esistenza di una legge unificata relativa ai malware, questa anzi, sembrerebbe essere particolarmente variabile seconda delle nazioni ed in continuo sviluppo.

Le categorie generalmente ritenute illegali in ogni paese sono i virus, worm e i trojan, ma non è possibile dire lo stesso delle altre; sono invece ritenuti legali i dialer, difatti ogni odierno sistema operativo ne possiede almeno uno.

Per di più, l’ambiguità rispetto alla legislazione di questi software sembra essere peggiorata dal fatto che molti software, si situano sul limite che separa un vero e proprio malware da un programma forse fastidioso ma non dannoso.

Attualmente vi è l’esistenza di un vero e proprio mercato nero legato ai malware:

dove oltre alla compravendita di dati personali, è stato reso possibile l’accesso a chat presenti nello smartphone della vittima in questione ed è possibile acquistare l'utilizzo di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.

Sei un esperto, uno studioso o sei interessato alla materia?

Compila il form, puoi proporre un contributo al nostro articolo, oppure presentarci eventuali domande, richieste di approfondimento, nonché personali aspetti di interesse che vorresti né diventassero integrazione.

Ovviamente non rispondiamo ad ogni messaggio, tuttavia li leggiamo tutti con molta attenzione.

Alcuni infatti, richiedono private considerazioni, altri daranno vita alla composizione di apposite, e opportunamente anonimizzate, domande frequenti che pubblicheremo sul sito, i restanti, invece, oltre a poter costituire “oggetto” di apposite prospettive di indagine e verifica, potranno suggerire argomenti di futura trattazione dei nostri articoli.

Grazie per l’eventuale contributo

Buon lavoro a tutti.
Italiana Investigatori Network

Rilascio il consenso *
(GDPR 2016/679 UE)

Investigazioni aziendali
Investigazioni aziendali

Un sistema aziendale è paragonabile ad un orologio che, composto da un numero di ingranaggi proporzionale alla complessità del progetto e degli automatismi, basa la sua efficacia sulla perfetta combinazione dei movimenti di ogni componente.

Scopri di più
Investigazioni personali coniugali e familiari
Investigazioni personali coniugali e familiari

L’ambito familiare, nell'aspettativa delle persone, è desiderio di poter coltivare un “giardino segreto” per la propria esistenza. La cornice e la sede delle emozioni più alte, l’amore di una vita, i figli nati da tale amore, i propri genitori, i propri cari.

Scopri di più
Investigazioni per controllo dipendenti
Investigazioni per controllo dipendenti

Il valore superiore intorno al quale verte tutto il settore delle investigazioni sui dipendenti, si incentra su una dimensione a tutto tondo dei concetti di fiducia e fiduciarietà.

Scopri di più
Indagini di corporate governance
Indagini di corporate governance

Servizi disegnati a salvaguardia degli stakeholders, dei soci e dei loro soggetti di riferimento all’interno dell’organizzazione, a garanzia del consiglio di amministrazione e del board dirigenziale o del suo management.

Scopri di più
Indagini particolari
Indagini particolari

Il novero delle indagini che hanno elementi "peculiari" tali, da non rientrare in nessuno degli ambiti “caratterizzati”, oppure che hanno profili di multidisciplinarietà che ne consentirebbero una trattazione sovrapposta fra diverse aree.

Scopri di più
Investigazioni per studi legali
Investigazioni per studi legali

In tutte le fattispecie nelle quali si rende necessaria l’acquisizione di prove, finalizzate a far valere o tutelare un diritto in sede giudiziale, entra in gioco l’attività dell’investigatore privato, il cui campo d’azione, prima limitato alle sole controversie civilistiche in senso ampio, si è ampliato alla procedura penale.

Scopri di più
Indagini settoriali e industriali
Indagini settoriali e industriali

In questa categoria, si è pensato di rivisitare analiticamente tutto l’elenco dei macro-settori di attività economica, per segnalare quegli ambiti nei quali il ruolo dell’investigatore privato può sviluppare una serie di rilevanti sinergie.

Scopri di più
Servizi di sicurezza aziendale e personale
Servizi di sicurezza aziendale e personale

L’attività che contraddistingue tale disciplina è lo studio, lo sviluppo, l’attuazione di strategie, politiche, piani di emergenza tesi alla prevenzione, contrasto e soluzione di eventi dolosi o colposi, progettati per provocare danno a persone, risorse materiali e immateriali, organizzative ed umane dell’azienda.

Scopri di più
Investigazioni commerciali patrimoniali e finanziarie
Investigazioni commerciali patrimoniali e finanziarie

Seguendo il portato dell’antico detto popolare “dimmi con chi vai e ti dirò chi sei”, è opportuno approfondire tutti gli aspetti relativi ad attuali, o potenziali futuri, interlocutori.

Scopri di più
Due diligence e Audit
Due diligence e Audit

Originariamente nata con la precisa caratteristica di essere uno strumento di controllo e validazione di dati esistenti, è stata successivamente affiancata da un’attività previsionale e programmatica, tesa a delineare con affidabile precisione quelli che, tecnicamente, sono stati definiti: “best and worst case scenario”.

Scopri di più
Investigazioni per recupero crediti
Investigazioni per recupero crediti

Molte agenzie investigative hanno scelto di applicarsi, anche con tecnologie e know-how propri, al mondo dei crediti di difficile recuperabilità. Fenomeno i cui volumi si sono accresciuti in un momento che registra una delle crisi economico-finanziarie più gravi di tutti i tempi.

Scopri di più
Indagini su frodi assicurative
Indagini su frodi assicurative

Le frodi assicurative, a volte, assumono l’articolazione propria di una trama cinematografica in cui si muovono diversi attori, come falsi testimoni, o avvocati e medici di scarso spessore deontologico, oppure altri esponenti attivi nella filiera della liquidazione del sinistro che ricoprono un ruolo per orchestrare azioni illecite a danno delle assicurazioni.

Scopri di più
Bonifiche Ambientali, Tecnologiche e Digitali
Bonifiche Ambientali, Tecnologiche e Digitali

Sempre più spesso, il compito dell’agenzia investigativa è quello di verificare, nei più svariati contesti di vita personale, personalissima, lavorativa e professionale, che la piena libertà di espressione, pensiero ed azione di un individuo (persona fisica, azienda, etc.) sia totalmente esente dai rischi di “intercettazione”.

Scopri di più
Investigazioni digitali
Investigazioni digitali

I reati più classici, come ad esempio la rapina, si sono affinati in chiave tecnologica, mantenendone, tuttavia, la stessa odiosità ed afflittività. Diventa ininfluente trovarci di fronte ad un malintenzionato, mascherato e travisato, che ci punta una pistola oppure ad un hacker che “saccheggia” i dati della nostra carta di credito per sottrarre fondi di nostra piena ed esclusiva proprietà.

Scopri di più
Indagini tecniche e scienze forensi
Indagini tecniche e scienze forensi

Le moderne investigazioni forensi trattano dell’applicazione di tecniche e metodologie scientifiche a tutto il sistema delle investigazioni di carattere giudiziario, onde consentire l’accertamento di un reato, il suo autore, il nesso eziologico tra condotta e reato, nonché tutte le condizioni di contorno che caratterizzano ogni “unicum” costituito da una fattispecie.

Scopri di più
Cybersecurity
Cybersecurity

La varietà degli attacchi informatici è caleidoscopica. Spazia dalla vulnerabilità “0Day”, allo “Spear Phishing”, al “Malware Fineless” residente solo sulla memoria RAM, al “Ransomware”, ad attacchi DDoS (Distributed Denial of Service), alle tecniche “Man In The Mail” e “Man In The Middle”.

Scopri di più