Come proteggersi dai virus informatici

Premessa

Negli anni novanta abbiamo assistito alla nascita e alla conseguente diffusione di Internet e delle nuove tecnologie che hanno assunto un ruolo importantissimo, modificando i rapporti sociali, con notevoli conseguenze in ogni ambito della vita sociale, tanto che internet è diventato uno strumento di comunicazione di massa, indispensabile nella vita di tutti i giorni. La rivoluzione digitale sta portando tantissimi benefici a imprese, studi professionali e società ma, come spesso accade, bisogna considerare anche il rovescio della medaglia. Accanto ai molti benefici, l’uso incontrollato di internet può comportare una quantità notevole di problematiche, in particolare gli attacchi informatici.

Quando si parla di attacchi informatici in primo luogo si ci riferisce ai virus.

Che cos’è un virus informatico?

Un virus informatico è un software nocivo in grado di autoreplicarsi sui computer o su una rete di computer, senza che gli utenti sappiano di essere stati infettati. Esso è composto da un insieme di istruzioni, da pochi byte ad alcuni kilobyte, difficile da individuare ma facile da copiare, tende ad eseguire poche operazioni impiegando il minor numero di risorse per rendersi il più possibile invisibile.

Danni causati dai virus

A seconda del tipo di danni causati, i virus si distinguono in:

• innocui: se comportano solo una diminuzione dello spazio libero sul disco senza alterare altre operazioni del computer;
• non dannosi: se comportano una diminuzione dello spazio libero sul disco mostrando grafici, suoni o altri effetti multimediali;
• dannosi: se provocano ad esempio cancellazione di alcune parti di file;
• molto dannosi: se causano danni difficilmente recuperabili come la cancellazione di informazioni fondamentali per il sistema.

Quando sentiamo parlare di virus, in genere ricomprendiamo malware, trojan horse, worm mettendoli tutto sullo stesso piano sia per genesi che per effetti, invece, è necessario fare delle precisazioni in quanto esistono delle sostanziali differenze tra queste diverse tipologie di virus. In primo luogo c’è da precisare che sia i virus, sia i trojan horse che i worm rientrano nella categoria più generale dei malware.

Il termine malware viene utilizzato per indicare tutti quei programmi realizzati per danneggiare le macchine che li eseguono, da qui il nome di software malevolo.

I programmi malware se riescono ad entrare in un computer possono creare dei veri e propri danni impedendone il corretto funzionamento, oppure possono spiare tutto quello che scriviamo, sottrarre dati sensibili, come ad esempio i numeri della carta di credito, per trasmetterli poi ad altri malintenzionati. Gli obiettivi alla base dei programmi rientranti in questa categoria sono:

• installarsi sul dispositivo e nascondersi all’utente, in modo da poter sopravvivere il più a lungo possibile;
• propagarsi il più possibile aumentando in questo modo il numero di successi.

Ogni tipologia di codice virale pur usando strumenti, tecnologie e tattiche diverse, possiede un unico modello strutturale, basato su quattro fasi:

1. Infezione: il malware si introduce nel sistema, superando eventuali barriere di sicurezza, installandosi al suo interno. L’introduzione avviene mediante l’esecuzione di un file contenente, in modo diretto o indiretto, il codice virale. Tale introduzione che può avvenire mediante il trasferimento fisico, modalità, molto diffusa in passato, ma ancora oggi frequente, prevede l’uso di un supporto di memorizzazione (come floppy disk, CD o unità USB) da parte dell’utente malevolo o, inconsapevolmente, della vittima stessa e prevede un accesso fisico al PC.
   Ma il malware può anche essere allegato a messaggi di posta elettronica (spam): l’utente viene così invitato ad aprire l’allegato, che può essere un file eseguibile o anche un documento elettronico. “Melissa” è stato il primo malware che ha usato questo canale di diffusione ed ha infettato in breve tempo oltre ottantamila sistemi, causando danni a livello mondiale.
   Infine l’introduzione può avvenire anche via Web (e ad oggi questo è il canale di diffusione più frequente) trasmettendo il codice malevolo attraverso un download da una pagina Web.
2. Quiescenza: una volta introdotto nel sistema, il malware resta residente in memoria, in attesa che l’utente compiendo una determinata azione, lo avvii. Per auto proteggersi da eventuali rilevamenti da parte dell’utente o da un software di sicurezza, gli attaccanti assegnano al processo malevolo il nome di un programma presente nel proprio computer ad esempio “internetexplorer” in modo da rendere difficile l’individuazione da parte dell’utente.
3. Replicazione e propagazione(ciò solo per virus e worm): una volta eseguito, il malware tende a replicarsi ed a individuare nuovi obiettivi verso cui propagarsi.
4. Azione malevole: al verificarsi del compimento di una determinata azione, il codice virale esegue i propri compiti malevoli, come distruzione o furto dei dati del sistema.

Come difendersi da questi attacchi?

Purtroppo l’Italia è tra i paesi più colpiti dai virus informatici. Si registrano continui casi di infezione a danno di PC privati come per importanti infrastrutture nel settore privato e nel pubblico, pertanto si ritiene di fare cosa utile nel fornire indicazioni a tutti gli studi professionali al fine di prevenire tale tipologia di infezione e non perdere i propri dati.

Innanzitutto:

1) Prestare la massima attenzione ai messaggi di posta elettronica.

Solitamente il malware viene veicolato attraverso email contenenti allegati malevoli e indirizzati ad account di posta di privati ed aziende. Il corpo della mail è preparato ad arte e facendo leva sull’importanza del documento recapitato all’utente, lo invita a scaricare o visualizzare il file proposto che di solito riguarda un fantomatico riscontro su spedizioni, ordini, fatture o bollette.

Al fine di non incappare in questa tipologia di malware è bene verificare, ove possibile, che:

• il dominio della casella di posta del mittente abbia una corrispondenza con l’entità (azienda, ente, società o persona) scrivente;
• il nome dell’allegato non termini con un’estensione del tipo: .EXE, .JS, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .PS1, .PS2, REG, .LNK, .INF .DLL, .MSC, .MSI, .HTA, .MSP;
• se il file allegato si riferisce ad un documento Microsoft Office con macro attivata (.DOCM, .DOTM, .XLSM, .PPTM) si consiglia di disabilitare l’esecuzione automatica delle macro e verificare l’attendibilità del documento.

In genere è bene prestare attenzione a tutti i file allegati inclusi in archivi di tipo .ZIP o .RAR poiché potrebbero contenere all’interno altre tipologie di file malevoli.

2) Abilitare la visualizzazione delle estensioni in Windows.

I sistemi operativi Microsoft Windows nascondono le estensioni dei file impedendo all’utente di verificare visivamente la reale natura del documento. In diverse occasioni Cryptolocker ha sfruttato questa impostazione per ingannare l’utente, ragione per cui si consiglia di cambiare le impostazioni di sistema deselezionando la casella di controllo “Nascondi le estensioni per i tipi di file conosciuti” raggiungibile da “Pannello di controllo” -> “Aspetto e personalizzazione” -> “Opzioni cartella”.

3) Limitare l’accesso alle risorse di rete.

Alcune varianti di Ransomware con componente di cifratura sono in grado di controllare anche le risorse di rete (cartelle condivise sia in lettura sia in scrittura). Il malware, nel caso in cui i permessi utente lo consentano, è in grado di cifrare i documenti contenuti nelle cartelle condivise anche se la cartella è fisicamente presente su un altro PC non infetto. Per questo motivo è necessario evitare di rendere permanente il collegamento a cartelle di rete contenenti documenti di vitale importanza.

4) Mantenere aggiornato tutto il software.

È buona norma eseguire controlli periodici al fine di verificare l’eventuale rilascio di aggiornamenti di sicurezza del sistema operativo e dei singoli programmi successivamente installati.

5) Se possibile, utilizzare un personal firewall.

Il firewall, nativamente disponibile in molti sistemi operativi, dovrebbe essere configurato in modo da consentire la connessione verso internet solo alle applicazioni strettamente necessarie; così da impedire che eventuali programmi e/o malware possano scaricare autonomamente codice malevolo.

In generale vale la regola di non eseguire file di dubbia provenienza e di operare sul sistema con privilegi utente limitati, ad ogni modo le indicazioni sopra riportate non possono garantire una protezione completa contro questa tipologia di virus, per cui si consiglia a tutti gli studi professionali sempre la massima prudenza.

L’importanza delle copie di backup periodiche dei dati personali su dispositivi fissi o mobili

È preferibile salvare su un hard disk esterno i documenti sensibili, è buona norma collegare l’hard disk su un computer senza accesso alla rete internet e su dispositivi di cui si è certi di non aver precedentemente eseguito azioni che potrebbero aver compromesso il sistema.

Si raccomanda di scollegare sempre il disco esterno non appena concluso il backup e riconnetterlo solo all’occorrenza, come nel caso di successivi backup o per il ripristino dei dati. Valutare inoltre l’utilizzo di software o dispositivi NAS con funzionalità automatiche di rilascio del disco esterno qualora conclusa l’attività o che predispongano l’inserimento di una password per l’accesso allo storage.

Antivirus

Si consiglia di utilizzare un buon sistema antivirus eseguendo regolari e giornalieri aggiornamenti del prodotto.

Si rammenta che la protezione antivirus, regolarmente attiva e funzionante, rimane un valido deterrente limitatamente alle minacce note ma non consente di ripristinare dati sottoposti a cifratura.

In generale

Bisogna proteggere sempre la propria password. Mai divulgarla. Cambiarla periodicamente, almeno ogni 3 mesi. E’ opportuno, inoltre, utilizzare sempre il numero massimo di caratteri che vengono messi a disposizione dal sistema, in quanto questo rende più difficile la violazione da parte dei programmi che decriptano password. Possibilmente non bisogna usare parole di senso compiuto, è fondamentale la combinazione di minuscole, maiuscole, numeri e caratteri speciali. Non bisogna legare la password a parole della propria vita privata o a date di nascita di familiari. Infine la password va cambiata per ogni account e va subito modificata quella assegnata inizialmente in automatico.

Altro accorgimento di fondamentale importanza riguarda l inserimento di dati personali. Prima di inserire i dati personali in un modulo o in una pagina web, bisogna verificare la presenza di indicatori che ne attestino la sicurezza (ad esempio che l’indirizzo contenga la scritta https e il simbolo del lucchetto chiuso accanto). Per comunicazioni riservate deve essere utilizzato software di cifratura per criptare un documento (ve ne sono tanto gratuiti scaricabili dalla rete come: Drag’n Crypt ULTRA, ProtectFile, ecc.). Nei social e nelle chat non vanno mai divulgate informazioni sensibili come il nome, l’indirizzo, il numero telefonico, il numero di conto o la password.

Quando si accede ad internet utilizzando una rete che non si conosce bisogna prestare molta attenzione alle informazioni personali (ad esempio una rete Wi-Fi gratuita in un locale pubblico). Con queste reti, chiunque nelle vicinanze, infatti con conoscenze informatiche adeguate potrebbe monitorare le informazioni trasmesse tra il computer/smartphone e l’hotspot Wi-Fi. Inoltre se si possiede una rete Wi-Fi a casa, bisogna proteggerla con una password sicura per evitare che altre persone la possano violare.

Queste sono le indicazioni di base che applicate ad uno studio professionale possono fare la differenza in caso di emergenza virus. C'è da dire che lavorando in cloud e salvando tutti i propri dati su un servizio esterno al nostro computer, corriamo molti meno rischi ed eliminiano molto possibilità di venire infetti.