Rogue software - di cosa si tratta e come è possibile difendersi

(1/1)

ridethesnake:
Un interessante articolo da www.ilsoftware.it

Oltreoceano li chiamano "rogue software": si tratta di applicazioni maligne che tentano di insediarsi sul sistema dell'utente presentandosi, paradossalmente, come programmi antivirus, antimalware od antispyware.
Ne abbiamo contati a decine in Rete, spesso veicolati con nomi rassicuranti come ToolSicuro, VirusDifesa, PestCapture, SpywareSheriff e così via. Emblematico il fatto che questi falsi strumenti per la sicurezza utilizzino sempre più frequentemente termini italiani, per colpire più facilmente gli utenti nostrani più creduloni.

Recentemente ha impressionato il caso ToolSicuro: frotte di "navigatori" italiani hanno segnalato la comparsa, durante l'utilizzo del browser, di finestre pop-up facenti riferimento alla presenza di errori sul proprio personal computer che sono causa di un funzionamento instabile del sistema o del blocco dello stesso.
Dopo alcune indagini si è potuto stabilire che l'apparizione del "buon samaritano", sotto forma di finestra pop-up, era causata dall'inserimento - all'interno di alcuni banner pubblicitari di famosi circuiti online - di codice javascript che si occupava di reindirizzare il malcapitato sul sito di ToolSicuro. In alcuni casi, il codice veniva inserito sotto forma di ActionScript all'interno di un file in formato Flash.

Ecco, di seguito, una delle finestre a comparsa visualizzate da ToolSicuro durante la navigazione in Rete. Il messaggio d'errore è palesemente falso: cliccando sui pulsanti si viene immediatamente dirottati sul sito di ToolSicuro.



ToolSicuro è la punta di un iceberg di dimensioni incredibili e ben riassume la tendenza che stanno seguendo molti sviluppatori di malware e spyware: cercare di acquisire la fiducia dell'utente intimorendo i meno esperti con la visualizzazione di falsi messaggi di errore, proponendo strumenti di sicurezza, in lingua originale, che - nella malaugurata eventualità in cui dovessero essere installati - compiono qualsiasi tipo di azione fuorché fornire la benché minima protezione aggiuntiva, spronando l'utente all'inserimento di numeri di carte di credito per l'acquisto di software inutili e spesso nocivi.

I "rogue software" si presentano di solito mostrando finestre pop-up generate ricorrendo a codice Javascript, spesso inserito, sfruttando molteplici espedienti, in siti web rinomati ed apprezzati.
Il messaggio visualizzato nella finestra pop-up di solito cerca di allarmare l'utente circa la presenza di virus sul suo sistema e consiglia il download di uno strumento (in realtà il malware vero e proprio) che può risolvere il problema. Il browser viene quindi reindirizzato su pagine web con un look accattivante che spingono l'utente a riporre fiducia nelle informazioni pubblicate.
Nel caso in cui il browser od il sistema operativo non fossero opportunamente aggiornati mediante l'applicazione di tutte le patch di sicurezza, il malware potrebbe essere automaticamente installato sul sistema dell'ignaro utente, servendosi del meccanismo "drive-by download", del quale abbiamo già parlato.

Uno degli aspetti chiave per difendersi da questo tipo di minacce consiste nel non fidarsi mai. La comparsa di una finestra pop-up come quella di ToolSicuro non rappresenta di per sé un pericolo: può invece costituire un gravissimo problema per la sicurezza del personal computer, dei dati in esso memorizzati e dell'intera rete locale, nel momento in cui si dia fiducia a questi messaggi, seguendo i deleteri consigli proposti.

Un ruolo cruciale nella prevenzione di problematiche simili è rivestito dalla sicurezza intrinseca del sistema in uso. Molti spyware, così come gran parte dei malware in circolazione, riescono spesso ad insediarsi sul sistema dell'utente, in modo silente, sfruttando vulnerabilità conosciute del sistema operativo o dei vari software impiegati (client di posta elettronica, client VoIP, software per la messaggistica istantanea, riproduttore multimediale,...).
E' quindi sempre bene accertarsi di applicare tempestivamente le patch di sicurezza che i vari produttori rilasciano. Un sito che informa quotidianamente sulla scoperta di nuove vulnerabilità e sul rilascio di aggiornamenti critici per ogni prodotto in circolazione è quello della società danese Secunia (www.secunia.com).

Diffidate sempre di chi vi offre, a pagamento o freeware, software che non avete richiesto (per esempio via mail possono giungere offerte di software commerciali a prezzi inferiori del 70% - in questo caso, quasi sempre, si tratta di prodotti non originali), oppure che non avete mai sentito nominare. Fate sempre una ricerca sul web per accertarvi, prima che sia troppo tardi, se quella che vi propongono sia una cantonata od altrimenti un vero affare: una semplice accortezza è meglio di una gastrite postuma.

:pollicione:

Navigazione

[0] Indice dei post