Come fermare i virus? Con l’antivirus!
Giusto, ma non solo. L’antivirus non è più sufficiente come lo era anni fa, perché le tecniche di diffusione dei virus stanno diventando sempre più sofisticate.
Durante i miei interventi parlo spesso di come oggi i virus si possano prendere in modo non convenzionale e senza che l’utente debba fare nulla: WannaCry e Petya sono due esempi perfetti da questo punto di vista.
Per non parlare di steganografia.
A questo punto immagino tu stia per dire "Stega..chee???"

Vediamo di cosa si tratta.

Dal 2015 un’organizzazione criminale ha iniziato a lanciare una campagna pubblicitaria mirata a infettare computer in maniera subdola ovvero attraverso la steganografia, tecnica per la quale un messaggio da trasmettere viene nascosto all’interno di un altro contenitore, ad esempio all'interno di un'immagine jpeg.

La campagna pubblicitaria è girata su milioni di computer ogni giorno e ha infettato migliaia di vittime.
Il virus/banner era particolarmente subdolo perchè andava in esecuzione solo in terminate condizioni: inizialmente attaccava solo computer con scheda grafica Nvidia o Ati e PC con installazioni di Windows OEM, come quelle di HP, Dell o Lenovo.
La scelta di un target di quel tipo forse era dettato dal fatto che essendo un computer medio, probabilmente ci lavorava un persona con media/scarsa attenzione per la sicurezza.

A poco sono serviti i tentativi di riprodurlo in ambiente virtuale per analizzarlo: mandarlo in esecuzione in laboratorio era difficile perchè questi ambienti non corrispondevano al target ideale del virus.

Ma in cosa consisteva l'attacco? Detto in parole povere il virus faceva vedere un banner che pubblicizzava una cosa reale (per esempio un hotel) e:
  • se il visitatore non era in target il banner non faceva nulla, ovvero mandava effettivamente sul sito pubblicizzato;
  • se il visitatore era in target, il banner veniva modificato con tecniche di steganografia e rimandava su un sito clone dell’originale che poi con varie tecniche infettava il PC.
Il banner era sempre lo stesso, o meglio tale sembrava a prima vista. Le informazioni per reindirizzare il traffico sul sito contraffatto erano nascoste all’interno del banner stesso, senza che l’occhio umano potesse ovviamente vederle. Era quindi impossibile accorgersi se il banner fosse originale (e buono) o contraffatto (portatore di virus/malevolo).

Qui sotto riporto un’immagine presa dal sito proofPoint che rappresenta un chiaro esempio di stenografia informatica. Vediamo due banner identici, ma che portano a due siti diversi perché dentro uno di essi sono nascoste delle istruzioni particolari.

 

 
In ambito informatico ci possono essere molti modi per nascondere un messaggio all’interno di un contenitore.
Per esempio si potrebbe mettere un link invisibile nello spazio bianco fra due parole di testo.
Se torni indietro un secondo alla riga precedente e fai click nello spazio fra la parola "link" e la parola "invisibile" vedrai che ti ho appena fatto un esempio di una (semplice) tecnica di steganografia: ti ho messo un link nascosto verso il sito Achab.

Rispetto al testo, le immagini sono un eccellente vettore di messaggi nascosti: infatti l’occhio umano non è in grado di rilevare modifiche minime di un'immagine rispetto all’originale.

Per esempio se si desidera inviare un messaggio senza essere intercettati si potrebbe prendere un’immagine qualsiasi e modificare un pixel ogni 100 cambiandone il colore per farlo corrispondere a una lettera dell’alfabeto. Nessun occhio umano saprebbe cogliere il fatto che un pixel ogni 100 è “stonato”, ma chi sa come elaborare il messaggio può tranquillamente decodificarlo.
Un artificio di questo tipo è difficilmente intercettabile da un programma antivirus o da un programma di sicurezza.
 
Benché il gruppo criminale che ha lanciato la campagna virale nel 2015 pare abbia dismesso la propria attività, questo è un esempio perfetto di come i virus possano arrivare nei computer nei modi più disparati. Quindi mi raccomando: sempre all’erta, perché contro i virus moderni è necessario mettere in pista un approccio multistrato alla sicurezza: un prodotto di sicurezza non è più sufficiente.

Per un’analisi più tecnica dei virus sui banner e della steganografia ti posso suggerire questo articolo uscito su Proofpoint.


Condividi sui Social Network