sabato 20 novembre 2010

BotNet

Una delle tecniche maggiormente utilizzate (e redditizie) per approfittare delle falle di sicurezza presenti su milioni di computer è indicata col termine "BotNet". In pratica si costruisce una rete ("net") di computer (detti "zombie") che rispondono supinamente ("bot", da "robot") a comandi impartiti da remoto, senza che l'utente "normale" dei suddetti computer si renda conto di ciò che sta succedendo.

Questo tipo di attacco alla sicurezza avviene in due fasi: prima si sfrutta un vulnerabilità, installando uno o più programmi nascosti che permettono a loro volta di caricare a bordo del computer colpito altro software (sempre in modalità difficilmente rilevabile); successivamente, uno (o più) dei programmi così caricati si pone "in ascolto" sulla rete, attendendo "ordini" da quelli che vengono chiamati "centri di comando" di quella particolare BotNet.

Le tecniche di comunicazione sono tutte basate sui protocolli IP (quelli su cui è basata Internet), ma possono variare, dal più "naif" (e facilmente riscontrabile) TCP, al più mimetizzabile UDP, fino a sfruttare canali IRC o altri meccanismi di comunicazione più sofisticati (stream "nascoste" nei protocolli peer-to-peer, encryption).

In questo modo, molte decine di migliaia di computer (specialmente desktop) diventano ignari complici di attacchi ben più importanti, condotti con la garanzia quasi completa dell'anonimato. Basta cercare il termine "botnet" per rendersi conto di che cosa stiamo parlando. Molto spesso chi costruisce queste BotNet le "affitta" o rivende ad altri, in cambio di soldi.

Come difendersi da questa vera e propria frode informatica? Come al solito, il primo passo è la prevenzione: installare e tenere aggiornato un buon prodotto antivirus, che comprenda anche tecniche "anti-rootkit" (i "rootkit" sono programmi che permettono di prendere il controllo del computer da remoto, senza che l'utilizzatore normale se ne accorga). Il secondo livello di difesa è costituito da periodici controlli e "scansioni", magari condotte utilizzando software diverso dal normale antivirus; è anche possibile effettuare scansioni "online", senza dover necessariamente installare altro software: in questo caso, accertarsi che il sito che propone tale servizio sia affidabile, altrimenti si corre il rischio di cadere... nella bocca del leone!

Infine, non si parlerà mai abbastanza dell'importanza del comportamento online degli utenti: tutti i vari tipi di software malevolo sono costruiti in modo da dover essere "pescati" in rete, e nessuno viene a cercare i vostri computer in maniera troppo nascosta. Gli allegati a messaggi email provenienti da fonti generiche o sconosciute (anche se talvolta mascherate da "grandi firme" del software) sono tutti sospetti e potenzialmente pericolosi. Altro software "miracoloso" consigliato in giro per la rete (vari "ottimizzatori" e simili) deve essere attentamente vagliato prima di poter essere installato e utilizzato sui propri computer. I supporti esterni rimovibili, infine, sono stati storicamente veicolo di gradi "infezioni" (si ricordino i floppy disk infetti da virus), e quindi chiavette USB, CD-ROM, DVD e simili contenenti "dati" (programmi, musica, video) possono risultare dannosi, anche all'insaputa di chi ce li fornisce: prima di usarli, sarebbe buona norma effettuare su di essi una scansione con gli strumenti sopra descritti, e prestare la massima attenzione ad eventuali segnalazioni dell'antivirus al momento in cui questi supporti esterni vengono inseriti nel computer.

Buona navigazione e... attenti a non finire nelle "reti" dei pirati informatici!