FAQs - trojan

Le FAQ di GARR CERT


Qual è il virus più diffuso e come agisce?
Tratto dalla rubrica Risponde Cecchini - GARR News 2 - Luglio 2010

Quale sia il virus (o worm o trojan, genericamente detti malware) più diffuso al momento non lo so. Quello che so, però, è che quasi tutto il malware attualmente in circolazione è finalizzato alla creazione di botnet.

Ma cos’è una botnet?

Molto sinteticamente una rete virtuale di macchine compromesse (zombie), controllate da uno o più nodi esterni (Command and Control).

Una botnet può arrivare a decine di migliaia di macchine (in qualche caso si parla di milioni, ma sono sempre informazioni da prendere cum grano salis) e viene utilizzata per tutta una serie di attività criminose, quali spam, attacchi di denial of service e raccolta di dati sensibili. Non è facile accorgersi se il proprio pc è infetto, perché il malware moderno è progettato per passare inosservato, tranne ovviamente quando viene usato per una delle attività di cui sopra.

Tra i possibili sintomi: rallentamenti inspiegabili, crash, attività di rete anomala, messaggi non vostri nella cartella di posta inviata.

Bothunter e TrendMicro RUBotted sono dei tool specializzati per rilevare eventuali infezioni di questo tipo: prima di installarli, però, chiedete consiglio al vostro system manager.


Quali sono le più gravi debolezze di una VPN (Virtual Private Network)?
Tratto dalla rubrica Risponde Cecchini - GARR News 8 - Maggio 2013

Credo che praticamente tutti concordino sull’importanza, se non necessità, delle VPN: attenzione però ai loro punti deboli, per non cadere in errori da eccesso di confidenza.

Una VPN è un obiettivo molto appetitoso perché permette di accedere direttamente alla rete interna dell’organizzazione e se, come spesso accade, gli strumenti di intrusion detection sono esterni al server VPN, non sono in grado di verificarne il traffico cifrato. I principali tipi di VPN sono essenzialmente due: uno basato su IPSec e l’altro su SSL/TLS. Il primo opera al livello rete (livello 3 OSI), il secondo utilizza il TCP/IP; il primo richiede client specifici, il secondo un normale browser web.

Come al solito, l’anello più debole della catena è l’utente, il metodo con cui si autentica e come vengono conservate le credenziali di accesso. Chi si connette usa il proprio pc, che viene quasi sempre impiegato anche per altri usi: non è certo impossibile che ospiti un virus o un trojan, che così possono avere accesso alla rete interna dell’organizzazione. Passando al meccanismo di autenticazione, e questo ovviamente è un discorso molto più generale, se si continuano ad usare le classiche username e password, si è vulnerabili quanto meno, ma non solo, ad attacchi di phishing (COME SI PUÒ RICONOSCERE UNA EMAIL DI PHISING?). E ancora: dove e come sono conservate le credenziali di accesso? Qualche volta la configurazione del client permette lo scambio di dati simultaneo sia sulla rete interna privata, sia su quella pubblica (split tunnelling). Le prestazioni sono migliori, ma un attaccante dalla rete pubblica che riesca a compromettere la macchina otterrebbe un accesso immediato alla rete interna.

Per un’analisi dettagliata delle debolezze di una VPN IPSec, vi consoglio la lettura di questo documento [v.gd/DM1mEN]

Limitandosi adesso delle SSL VPN, uno dei loro punti di forza, che cioè non richiedono client specifici e quindi possono essere utilizzate anche da postazioni pubbliche, è anche la loro maggiore debolezza. Al rischio dei trojan, di cui ho già parlato, si aggiunge quello dei keylogger (COSA POSSO FARE PER NON CORRERE TROPPI RISCHI IN UN INTERNET CAFÉ?)e della mancata disconnessione: la sessione rimasta aperta può essere utilizzata da chi successivamente ha accesso fisico alla macchina. E ancora, se l’utente non verifica con attenzione le credenziali del server VPN a cui si sta collegando (e tutti sappiamo che spesso è così), sono possibili attacchi di tipo manin- the-middle, in cui cioè l’attaccante presenta un falso VPN gateway che gli permette di carpire le credenziali dell’utente o addirittura di intercettare tutto il suo traffico. Per un’analisi critica delle VPN SSL suggerisco l’articolo di Enders e Stewart: [v.gd/a44xju].

 

 

 

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy