4) VIRUS


4.1) Perché la gente scrive e diffonde i virus?

Probabilmente non esiste una ragione univoca. I primi esperimenti nel campo dei virus nacquero da ricercatori informatici; man mano che le tecniche venivano scoperte, o riscoperte, o diffuse, il fenomeno si è allargato ad un campo talmente vasto che oggi include le persone (e di conseguenza, i moventi) più vari.
Abbiamo la volontà di mettersi alla prova, di "vedere se se ne è capaci"; il desiderio di danneggiare il prossimo, o di sfidare il mondo; lo sfizio di fare uno scherzo; infine, l'oggettiva presenza di messaggi rivolti ad esponenti del gentil sesso (es. virus Roberta), spesso in un contesto tale da far supporre un amore non corrisposto (es. virus Form, virus Invisible Man), ha indotto alcuni a teorizzare che la frustrazione sessuale possa avere un certo ruolo.


Come è ovvio, questa non è un'analisi in alcun modo esaustiva o definitiva, vuole solo tentare di essere una prima risposta.

4.2) La legge italiana e i virus

La legge italiana stabilisce che è reato /distribuire/ un virus a terzi, mentre è perfettamente legale /scrivere/ un virus, e poi tenerselo per sé, quindi attenzione a non confondere le due cose.

Ci sono però due interpretazioni contrastanti della legge, la prima che giudica reato *tutti* i trasferimenti di virus tra persone, e la seconda (che personalmente giudico più attendibile, ma è solo la mia opinione, visto che per ora non ci sono sentenze che possano costituire un precedente) che sostiene che perché ci sia il reato deve esserci l'intenzione di commettere un dolo, quindi esclude l'invio di virus dagli utenti ai ricercatori.

4.3) I pericoli di Internet: quali sono e come difendersi

Internet, di per sé, è una interconnessione di sistemi di computers.
Come in tutte le famiglie, ci sono le pecore nere e quelli che gli anglosassoni con il loro spirito chiamano "pranksters" o "practical jokers" (la definizione che io dò di solito è un po' più colorita). E, benché la connessione Internet sia stata studiata per essere resistente ai tentativi di sovvertirla, alcune implementazioni sono buone e altre meno.

Quindi nonostante siano false le storie pubblicate da alcuni giornali (il sig. X si è connesso ad Internet ed una minorenne nuda è uscita dal modem, subito seguita da dieci poliziotti angeleni infuriati, che lo hanno picchiato a sangue, urlando 'brutto pedofilo!'; il sig. Y ha acceso il computer e gli è sparita la carta di credito; ecc) è bene tenere a mente alcune norme.

a) Ci sono così tanti standards e implementazioni diverse che installare, sul proprio PC, i novemila plugins per la realtà virtuale in Dolby surround è un invito a tutti i bugs della Terra per materializzarsi e prodursi in quel sapiente mix di anomalie e perdite di dati cui Microsoft ci ha abituato, ma i cui risultati sono distinguibili da quelli d'un virus solo da un esperto. Chi naviga leggero naviga sano e non s'inchioda poco lontano.

b) Dare nome, email e numero di carta di credito solo ai siti sicuri (https:// e non http://) e con parsimonia; navigare con Java e Javascript disattivati a meno che non sia proprio indispensabile. E la password, quella non datela a nessuno, neanche se vi arriva una e-mail estremamente convincente (è successo ad alcuni utenti di TIN, che a quanto pare hanno mandato la propria password a telecom_italia@geocities.com, senza notare che un PROVIDER ITALIANO con una email su GEOCITIES è un'assurdità).

c) Non scaricare automaticamente alcun plugin; regolare su CONFERMA MANUALE il regolabile. Ehi, voi fareste entrare in casa un uomo sconosciuto? E allora, perché un plugin sul disco fisso invece sì?

d) Gli utenti di Windows 95 verifichino che la "condivisione di file" su TCPIP sotto "Risorse di Rete/Proprietà" sia disattivata.
Entrare in un PC dov'è installato Windows 95 non è impossibile, ma almeno non rendetelo facile...

e) Quando vi collegate ad Internet, NON SALVATE LA PASSWORD e non la mettete in uno script di collegamento automatico. Se è sul disco salvata, qualcuno ve la può fregare. Come? Vedi alla voce mIRC.

f) Gli utenti di Netscape Communicator 4.x dovrebbero installare (o reinstallare) il proprio profilo utente, cambiando il nome della directory - il mio per es. è ...\Users\LSerni - in una sequenza casuale, per es. ...\Users\ah2874ip. Questo perché è possibile usare JavaScript per leggere alcune cosucce (password di mail ad esempio) dal file delle preferenze, purché se ne sappia il nome ...e il nome è MAIL_UTENTE\nomefile. Quindi, è molto meglio se invece di MAIL_UTENTE ci mettete qualcosa di non indovinabile.

Internet Explorer combina sfracelli se gli viene inviato un indirizzo "res:" o "mk:" e non "http:", lungo più di un tot. Rimedi non ce ne sono (beh, usare Netscape); disattivare la chiave "MKEnabled" con REGEDIT pare aiutare, ma non sempre. Comunque c'è un altro errore relativo alla tag HTML <EMBED>, segnalato da G. Guninski (home: http://www.geocities.com/ResearchTriangle/1711) di più difficile pulizia. Occorre però convincere il proprietario di IE a scaricare una pagina contenente codici maliziosi.
Mi dicono che Explorer non ama neanche certi settaggi di FRAME nested, che producono errori di sistema casuali. Non ho verificato. Ulteriori bugs si scoprono di ora in ora, l'ultimo nato (12/11/1998) riguarda un controllo ActiveX. Se possibile, disattivate anche quelli.

4.3.1) Nukers e affini

Vari sistemi operativi (e relative imitazioni economiche) hanno "buchi", nella sicurezza interna; come un robot, che guardi una porta, e che lasci passare un ladro dalla finestra perché non gli è stato ordinato di sorvegliare quella.

Esistono così dei programmi configurati per produrre situazioni o dati capaci di presentare una "situazione anomala" che i progettisti del sistema non hanno preso in considerazione (o hanno ritenuto troppo improbabile da valere la pena di farci qualcosa) e sfruttare la risposta del sistema.

I due generi più famosi sono WinNuke e i vari Ping of Death: il primo invia dati con uno speciale protocollo che Windows riconosce, ma non sa gestire, cosicché si pianta lamentando un errore di sistema; oppure inviano pacchetti "frammentati", cosa permessa, ma frammentati in modo illegale (per esempio, mandano due metà grosse ciascuna tre quarti), e tale da mandare "nei pazzi" il TCP-IP ricevente.
Il secondo genera pacchetti di dimensioni eccessive, e la macchina ricevente si pianta cercando di gestirli.

Contro WinNuke esistono vari rimedi: dal patch ufficiale Microsoft (che però, ahimé, contiene un altro bug) al file PINGFIX.ZIP che si trova su Internet, a un programma che si chiama "plisten" e non solo para il colpo, ma vi dice pure chi l'ha inviato.

Oltre a PLISTEN esiste anche Nuke Nabber, di funzionalità simili. E naturalmente esistono anche dei nukes che riescono a bypassare sia plisten che nukenabber... o che addirittura li sfruttano per funzionare.
Non essendo di pertinenza virologica, un po' di FAQ assortite su questo sono su http://www.linuxvalley.com/~lserni/glossary.cgi

Alcuni fessacchiotti si divertono con questi trucchi in IRC, perché è facile trovare l'indirizzo del bersaglio; e altri, come routine, "bombano" tutti i PC collegati al proprio stesso POP, così da avere più banda a disposizione (che poi la banda più di quel tot non possa essere, pare che non conti).

4.3.1.1) Antidoti: dove trovarli

Versioni aggiornate, su www.altavista.com cercando il nome della utility.

I nomi che potete cercare sono i nomi delle patches ufficiali (wsockupd, vipupd, wrdrupd), quelle artigianali (pingfix), i localizzatori di imbecilli nuker (plisten, NukeNabber), eccetera.

Un altro sito "buono" è http://ftpsearch.ntnu.no (mi raccomando l'"http", perché dato che il nome inizia per "ftp", alcuni fra i browsers più stupidi pensano che sia un sito ftp... e non vi ci connettereste mai).

4.3.2) Surfing

Vedi punti a-c del paragrafo 4.3

4.3.3) IRC e mIRC

È possibile, con le vecchie releases del mIRC, che vi inviino un file "SCRIPT.INI", che prende il controllo del vostro mIRC e consente così ad un malintenzionato di richiedere, al vostro mIRC "schiavizzato", di spedirgli per es. il file C:\WINDOWS\SYSTEM.DAT.
E dentro il SYSTEM.DAT ci sono:

  1. I codici di registrazione dei vostri programmi, che possono così essere copiati illegalmente dando la colpa a VOI;
  2. Le vostre passwords di Internet, che possono essere usate per fare scherzi e mandare mail bombs, dando la colpa a VOI (*);
  3. Le vostre passwords di accesso alla rete, che possono essere usate per connettersi al provider SCROCCANDO L'ABBONAMENTO A VOI. Se per caso avete un abbonamento flat, vabbè. Ma se avete 120 ore annue, siete disposti a regalarne 90 a chicchessia (*)?

(*) Nota; le passwords non sono semplicemente in SYSTEM.DAT, e sono cifrate. Ma gli altri files dove sono si possono prendere allo stesso modo, e la cifratura Win è tutt'altro che inviolabile, per cui il problema c'è sempre.

4.4) Trojans

Non essendo di pertinenza virologica, un po' di FAQ assortite su questo sono su http://www.linuxvalley.com/~lserni/glossary.cgi


Torna in alto
Torna all'indice delle FAQ

Pagina precedente - Pagina successiva


Virus FAQ - it.comp.sicurezza.virus - versione HTML by Carlo Carmagnini
No copyright 1999 CarCar - Carlo's Homepage - carcar.zt.it (già www.tccity.net/carcar/)