Informazioni generali sui virus informatici

A.D.F. -> virus -> informazioni generali

Autore: A. D. F.

Rev.: 05,  Data: 17 marzo 2006

In questo documento sono riassunte le principali informazioni relative ai virus informatici; tali informazioni comprendono: i vari tipi di virus, i metodi di propagazione, effetti delle infezioni e le precauzioni da adottare per evitare le infezioni e i relativi danni a dati e programmi.

NOTA:   le informazioni contenute in questo documento sono fornite senza alcuna garanzia, implicita o esplicita, che siano utilizzabili o realmente efficaci nella protezione contro i virus informatici.

1. I virus informatici

• 1.1 Che cosa sono i virus ?
• 1.2 Chi crea i virus ?
• 1.3 Quanti virus ci sono ?
• 1.4 Come sono classificati ?
• 1.5 Come si diffondono ?
• 1.6 Che effetti producono ?
• 1.7 Quali sono i sistemi più colpiti ?

2. Metodi per evitare o limitare i danni dei virus

• 2.1 Norme di comportamento
• 2.2 Impostazioni dei programmi
  • Windows, mostrare le estensioni dei file e i file nascosti
  • Anti-virus, usare impostazioni sicure
  • Posta elettronica, usare impostazioni sicure
• 2.3 Procedure di sicurezza
  • E-MAIL, come inviare messaggi di posta con file allegati
  • E-MAIL, come trattare i file allegati ricevuti con i messaggi di posta

3. Legislazione anti-virus

• 3.1 Legislazione italiana sui virus

4. Rischi per un'azienda

• 4.1 Danni diretti
• 4.2 Danni indiretti

5. Risorse in rete

• 5.1 Collegamenti (it)
• 5.2 Collegamenti (en)

6. Revisioni documento

1. I virus informatici

I seguenti punti definiscono brevemente i virus, il loro comportamento, le modalità di diffusione e gli effetti prodotti.

1.1 Che cosa sono i virus (informatici) ?

I virus informatici sono programmi o comunque insiemi di istruzioni che, una volta eseguiti in un computer ospite, possono produrre uno o più effetti nocivi / dannosi, ovvero:

• rallentare l'esecuzione dei programmi o del sistema operativo;
• modificare i comportamenti originali dei programmi installati, (es. inviando informazioni riservate via rete, disattivando eventuali protezioni di sicurezza, ecc.);
• distruggere o modificare arbitrariamente i dati dei file (eseguibili, documenti, immagini, ecc.);
• cercare di replicarsi via rete dati o tramite supporti dati di registrazione (dischetti, dischi rigidi, CD-ROM, ecc.), sfruttando spesso bachi nella sicurezza dei sistema operativo, es. al momento dell'attivazione di un programma, della sua copia, ecc.

1.2 Chi crea i virus (informatici) ?

I virus sono creati da programmatori, di età media compresa fra i 15 e i 35 anni, che perseguono scopi non del tutto condivisibili, fra cui:

• soddisfazione dei loro desideri malvagi (divertimento personale, sfida / rivendicazione verso la società, volontà di sopraffazione / distruzione, ecc.);
• dimostrazione delle loro capacità tecniche (di solito molto elevate);
• evidenziazione dei bachi nella sicurezza di particolari sistemi operativi o programmi (i primi virus servivano proprio per questi scopi);
• autosostentamento del mercato dei programmi anti-virus.

Un tipico esempio di cracker è il creatore del virus Vierika.

Negli ultimi anni è aumentato l'uso dei virus a supporto di veri e propri attacchi informatici a sistemi di sicurezza, siti web, ecc. (attacchi compiuti anche con il velato supporto della criminalità organizzata, di frange estremiste, ecc.).

1.3 Quanti virus ci sono ?

Dai primi anni '80 in poi sono stati classificati oltre 10.000 virus particolarmente pericolosi; contando anche le relative varianti si arriva vicini alla stratosferica cifra di 100.000 virus.

Ogni giorno centinaia di oscuri personaggi spendono tutte le loro energie per creare nuovi virus (anche modificando quelli esistenti) e spesso, almeno una volta ogni due settimane, ne nasce uno particolarmente virulento.

Si stima che ogni anno si diffondano parecchie centinaia di nuovi virus potenzialmente pericolosi per i dati e i programmi utilizzati dalle aziende.

Fortunatamente i seguenti fattori diminuiscono di molto il numero di virus che devono essere considerati nella pratica:

• ogni virus è specializzato nel colpire e infettare un determinato sistema operativo (spesso solo determinate versioni dello stesso);
• i virus attivi (in circolazione) sono relativamente pochi (probabilmente meno di 1000), anche se il rischio di un risveglio da parte di vecchi virus (es. di qualche anno fa) non è da sottovalutare; molte persone amano collezionare virus e studiarne, in ambienti controllati, gli effetti; alle volte basta una piccola disattenzione e qualcosa può sfuggire al controllo ... :-o

1.4 Come sono classificati ?

Dal punto di vista tecnico esistono tre classi principali associabili al generico termine di virus informatico.

Virus

Questi insiemi di istruzioni possono infettare i file programma, i settori di avvio dei sistemi operativi, ecc. e, in genere, si attivano e si replicano solo in seguito a determinate azioni dell'ignaro utilizzatore, es. esecuzione di programmi infetti, copia di dischetti infettati, ecc.; possono essere molto pericolosi quando cancellano o modificano arbitrariamente i file utente o del sistema operativo ospite.

Vermi (worm)

Questi insiemi di istruzioni, dopo essere stati attivati la prima volta (con un programma infetto o con un programma "Troiano"), si autoreplicano attraverso le reti di computer senza bisogno di interventi manuali da parte di ignari utilizzatori; di solito il loro principale effetto è quello di rallentare e, a volte, anche bloccare i sistemi operativi infettati oppure di saturare / intasare le reti di comunicazione.

Troiani (trojan)

Questi sono programmi definiti come maliziosi / malvagi in quanto sotto le apparenti spoglie di programmi di utilità o giochi si nascondono delle istruzioni (volutamente inserite dagli autori di tali programmi) in grado di trasmettere via Internet informazioni riservate del sistema, di attivarsi a comando per attaccare siti Internet (es. Tribal Flood [ 1 ], [ 2 ]), di fare danni al sistema dei file o di attivare a loro volta l'esecuzione di virus, vermi, ecc.; la loro pericolosità è molto elevata perchè possono agire silenziosamente nell'ombra anche per mesi o anni dato che non essendo virus non sono facilmente intercettati dai programmi anti-virus.

I virus propriamente detti si dividono poi in diverse categorie, ognuna caratterizzata da particolari effetti; le principali sono le seguenti.

Virus di programma

Questi virus infettano i file di programma o di sistema che hanno particolari estensioni (es. per sistemi DOS / WINDOWS®):

• .com
• .dll
• .doc
• .dot
• .drv
• .exe
• .ovl
• .ppt
• .scr
• .sys
• .vxd
• ecc.

Vedere l'apposita lista nel proprio programma anti-virus.

Virus di avvio

Questi virus infettano aree su disco riservate al B.I.O.S. o al sistema operativo (aree non occupate da file); dato che in queste aree sono registrate le istruzioni di avvio / partenza di un sistema operativo (eseguite dal boot loader, ecc.), questi virus sono riattivati automaticamente durante le operazioni di partenza di un sistema oppure durante le operazioni di lettura / copia di dati da un disco, fisso o removibile (es. dischetti 3.5", unità Iomega Zip, ecc.) all'altro.

Virus di macro / linguaggi interpretati

Questi virus possono infettare qualsiasi documento o programma che contenga o possa eseguire istruzioni scritte in vari linguaggi interpretati (non compilati in formato binario), es.:

• macro specializzate dipendenti da un particolare programma (es. Lotus Notes, ecc.);
• VBA (Visual Basic for Applications), tutti i documenti MS-Office (Word, Excel, Power Point, Access, ecc.);
• VBS (Visual Basic Script, variante di VBA), usato specialmente nei programmi MS che gestiscono posta (Outlook) o visualizzano pagine Web (Internet Explorer), ecc.
• ASP (linguaggio per pagine web dinamiche);
• ASPX (linguaggio per pagine web dinamiche);
• PHP (linguaggio per pagine web dinamiche);
• Java (linguaggio relativamente indipendente dalla piattaforma usato per applicazioni Internet, es. applet, ecc.);
• ecc.

La pericolosità è connessa con l'esecuzione automatica di queste istruzioni dopo un'azione utente (apertura di un documento Word, Excel, ecc., animazioni / pre-visualizzazioni automatiche negli allegati di posta elettronica, ecc.).

Virus finti o burla (hoax)

Questi non sono dei veri virus, bensì dei messaggi tipo catena di S. Antonio che segnalano notizie particolari (presenza di altri virus, ecc.) da ritrasmettere urgentemente al maggior numero di persone possibile per informarle dell'oggetto in questione prima che accada qualcosa di grave o irreparabile. Tipicamente si trasmettono tramite messaggi di posta elettronica (E-MAIL) e il loro stesso moltiplicarsi provoca dei disagi (rallentamento / intasamento dei server di posta elettronica, delle reti di comunicazione, ecc.).

I virus possono essere classificati anche in base alle loro principali caratteristiche, es.:

virus stealth

virus che cercano di nascondersi dai tentativi di rilevazione o sottrarsi ai tentativi di rimozione;

virus polimorfici

virus che appaiono in modo diverso in ogni file infettato, rendendo più difficile la loro individuazione;

virus multivalenti

virus che agiscono in molti modi diversi contemporaneamente, es. infettando il settore di avvio, i file programma, ecc.

1.5 Come si diffondono ?

Un virus si diffonde con il meccanismo della replicazione che si attua in uno dei seguenti modi.

Replicazione via esecuzione / copia di programmi infetti

Questo è il metodo classico utilizzato dalla maggioranza dei virus:

1. l'utente esegue/attiva un programma in cui è contenuto un virus;
2. il virus nascosto è eseguito e, a questo punto, cerca di:
   • installarsi in memoria per intercettare le chiamate di sistema, es. copia file, esecuzione altri programmi;
   • modificare altri programmi / file dati per danneggiarli o per replicare se stesso (es. inserendosi entro spazi vuoti / non usati dei programmi eseguibili);
   • modificare il settore di avvio dei dischi rigidi o dei dischetti removibili per eseguire se stesso all'avvio del sistema o, in sistemi DOS / Windows®, non appena il dischetto infetto è acceduto dal sistema operativo (es. lista di file, ecc.);
3. l'utente copia inconsapevolmente i file / programmi infetti su altri supporti (dischi di rete, dischetti magnetici, nastri, unità Iomega Zip, ecc.) e, non appena qualcuno attiva i programmi infettati o utilizza i supporti infettati in un altro computer, il virus si riattiva e il ciclo di replicazione ricomincia.

Naturalmente i sopracitati passi possono essere eseguiti nei modi più subdoli a seconda delle caratteristiche dei sistemi operativi ospiti.

Replicazione via allegati E-MAIL

Questo metodo sfrutta i punti deboli dei programmi di posta elettronica assieme alle ingenuità tipiche (causa atteggiamento rilassato, fiducioso, ecc.) commesse dall'utilizzatore medio della posta elettronica via Internet:

1. l'utente riceve un messaggio di posta elettronica cui è stato allegato un file programma binario o di macro contenente il virus; tale programma può anche essere mascherato (es. con doppia o tripla estensione, con un'icona modificata, ecc.) per somigliare a innocui tipi di file, es. immagini, ecc.;
2. l'utente "apre" l'allegato di posta; a questo punto il sistema operativo o un componente del programma di posta provvede ad eseguirlo (direttamente o con un apposito programma interprete);
3. il virus fa dei danni o comunque cerca di modificare i programmi di posta e/o di navigazione su Internet per inviarsi automaticamente verso altre destinazioni (es. come allegato a tutti i messaggi trasmessi dall'ignaro utente).

NOTA: attualmente questo è il metodo più usato dai virus per replicarsi.

Replicazione tramite servizi web

Questo metodo sfrutta i punti deboli sia dei programmi server web (es. httpd, ftpd, ircd, ecc.) sia dei programmi client che utilizzano tali servizi (es. web browser, irc, chat, ecc.). Questo meccanismo è utilizzato da virus particolarmente aggressivi che incorporano sia parti tipiche di un worm che quelle classiche per i programmi utente; un meccanismo molto frequente è il seguente:

1. un worm si diffonde via rete locale o Internet e, da un computer server già infettato, cerca di attaccare altri computer server sfruttando i punti deboli di eventuali programmi server (es. web server, ecc.) in esecuzione;
2. un comune utente visualizza le pagine web, ospitate nel computer server infetto, con un programma browser (es. MSIE x.x) che abbia falle nella sicurezza note al creatore del virus e che non siano ancora state corrette tramite un aggiornamento / correzione (patch) del programma stesso fornita dal costruttore / fornitore;
3. a questo punto il virus presente nel computer server cerca di inserire nelle pagine web visitate dal browser del codice script (es. VB script, Java, ecc.) o comunque attiva una sequenza di operazioni che possa essere eseguita dal browser bacato in modo da prenderne il controllo;
4. una volta acquisito il controllo di un programma client, il virus esplica i suoi effetti nella nuova macchina ospite, cercando ovviamente di replicarsi tramite svariati meccanismi (via E-MAIL, ecc.).

Un verme (worm) si diffonde quindi con il meccanismo della auto-replicazione via rete (locale o Internet), sfruttando punti deboli o bachi dei sistemi operativi interessati, senza bisogno di interventi umani (eccetto che per la prima attivazione).

1.6 Che effetti producono ?

Premesso che per definizione non esistono virus innocui, si possono elencare i seguenti effetti:

• insicurezza a causa della loro stessa presenza;
• perdite di tempo / produttività per procedere alla loro eliminazione;
• costi per l'acquisto e l'azionamento di appositi programmi anti-virus;
• rallentamenti o bloccaggi nell'esecuzione dei programmi;
• possibili utilizzi impropri dei computer infettati (zombie) in modo da farli partecipare ad attacchi DDoS eseguiti via Internet a danno di server web, ftp, ecc. (spesso con finalità estorsive nei confronti dei gestori) con conseguenti sovraccarichi della rete e altri oneri causati dal traffico improprio;
• possibile diffusione di dati segreti o comunque privati / sensibili (se questi sono trasmessi via Internet), es.: indirizzo di posta elettronica, nominativo utente, password di accesso a vari servizi, numero carta di credito, ecc. con conseguenti possibili, ancorché rarissime, perdite di soldi (es. furti on-line eseguiti tramite raggiri bancari);
• perdita di dati, programmi, impostazioni varie;
• eventuale necessità di reinstallare il sistema operativo, e i programmi infettati;
• eventuali spiacevoli responsabilità o danni alla propria immagine nel caso di trasmissione involontaria dovuta a negligenze nei controlli anti-virus.

Gli eventuali danni apportati al sistema dei file possono essere:

• evidenti e/o estesi;
• lenti e impercettibili, questo è forse il caso più pericoloso perché produce danni senza che gli utilizzatori se ne accorgano.

1.7 Quali sono i sistemi più colpiti ?

I sistemi operativi più colpiti sono in genere quelli più diffusi e/o quelli sui quali si concentra l'attenzione dei media (stampa, ecc.), ovvero, in ordine decrescente:

1. Windows® (3.x, 95, 98, ME, NT-3/4, 2000, XP, 2003 e successivi);
2. DOS (quasi tutte le versioni);
3. OS/2 (tutte le versioni);
4. Apple - Mac Intosh (abbastanza fino alla OS-9, molto meno la OS-X);
5. Unix® e varianti (*BSD, Linux, ecc.);
6. Altri.

All'interno di ciascun sistema operativo ci possono essere delle categorie di applicazioni che possono essere prese di mira perché hanno dei bachi nella sicurezza o semplicemente perché sono molto popolari / diffuse, es.:

1. programmi di produttività personale e d'ufficio (MS-Office);
2. programmi di posta elettronica (es. Outlook);
3. programmi di navigazione pagine Web (browser);
4. programmi di gestione di rete (es. bind);
5. altri.

2. Metodi per evitare o limitare i danni dei virus

Un'azienda, che è dotata di una rete di PC, che comunica con l'esterno via Internet e che scambia dati tramite vari tipi di supporti removibili, non può raggiungere un grado di protezione contro i virus del 100%; tuttavia, applicando costantemente le seguenti semplici regole e utilizzando gli strumenti giusti, è possibile avvicinare moltissimo la massima sicurezza.

2.1 Norme di comportamento

La norma generale è la seguente:

non accettare caramelle dagli sconosciuti e, possibilmente, anche dai conosciuti senza averne rigorosamente controllato il contenuto.

Tradotto in termini pratici e comprensibili significa:

1. Usare sempre un programma anti-virus aggiornato (es. con aggiornamento automatico giornaliero via Internet).

2. Mantenere sempre attivo il programma anti-virus, specialmente se non si è attenti al contesto in cui si opera, anche se, in teoria, dovrebbe essere sufficiente attivarlo solo quando si scambiano dati / file con l'esterno, es.:

   • quando si leggono supporti removibili (dischetti, CD, unità Iomega Zip, ecc.);
   • quando si accede a dischi di rete;
   • quando si scambiano dati via rete Internet (FTP, posta elettronica o anche la semplice navigazione su pagine Web).

   Si noti che i programmi anti-virus sempre attivi occupano una discreta quantità di memoria (RAM) e rallentano considerevolmente (fino al 50% e oltre) il funzionamento dei computer quando si leggono o si scrivono dati sui dischi del sistema.

3. Abilitare la massima protezione nel programma anti-virus , in modo che controlli automaticamente anche i messaggi di posta elettronica (file allegati compresi) trasmessi o ricevuti.

4. Abilitare livelli di protezione elevati nei programmi di posta elettronica, di navigazione Web, ecc., in modo che eventuali virus, programmi troiani, siti web untori (in grado di trasmettere virus con la sola visualizzazione di una pagina Web contenente script-virus, ecc.) non trovino le porte aperte.

5. Aggiornare periodicamente il software soggetto a bachi nella sicurezza (sistema operativo, servizi di rete, programmi di posta, di navigazione e altri ancora). In particolare si raccomanda, agli utilizzatori di sistemi Windows® a 32 bit (es. 95, 98, ME, NT, 2000, XP, 2003 e successivi), di mantenere impostazioni sicure (aggiornamenti automatici attivi, ecc.) o, con i sistemi più vecchi, di attivare periodicamente (1 - 2 volte alla settimana) il comando di Windows Update attivabile dal menu Avvio / Start oppure dal programma Internet Explorer -> Strumenti -> Windows Update (scegliendo poi le voci Aggiornamento prodotti -> Aggiornamenti critici o sulla Sicurezza).

6. Controllare periodicamente tutti i file presenti nei dischi rigidi del proprio PC.

7. Mettere in quarantena i file di provenienza esterna, ovvero isolare in un direttorio dedicato i file, eseguibili e non, di cui non si è sicuri e ricontrollarli periodicamente con l'anti-virus aggiornato.

8. Adottare delle convenzioni nello scambio di file con soggetti esterni, ovvero:

   • specificare / comunicare in anticipo quali sono le convenzioni adottate in caso di trasmissione e attese in caso di risposta;
   • specificare la lista degli oggetti trasmessi e per ciascuno di essi una serie di riferimenti (descrizione contenuto, dimensioni, codice di controllo, ecc.).

   A questo proposito si ricorda l'esistenza di appositi certificati di validità associati agli oggetti (applet, aggiornamenti software, ecc.) distribuiti via Internet.

9. Nei sistemi windows, controllare i collegamenti e le icone, ovvero assicurarsi che non cambino arbitrariamente dopo accessi esterni a Internet o altro.

10. Proteggere i PC dagli accessi esterni, ovvero non consentire a chiunque di accedere facilmente alle risorse del PC; i metodi sono:

    • usare protezioni con richiesta utente e/o parola segreta (password) sia per gli accessi locali che via rete;
    • disabilitare i servizi di rete non usati o non protetti;
    • se possibile mantenere una traccia in file di log, ecc. degli accessi esterni per eventuali controlli periodici.

    Mantenere aggiornata la descrizione delle protezioni adottate in luoghi a loro volta protetti (non nello stesso PC).

11. Non fidarsi ciecamente del programma anti-virus in quanto:

    • ci sono almeno tre periodi di latenza durante i quali non si può fare affidamento sulla sua protezione:
      1. il virus si diffonde ma non è riconosciuto come tale;
      2. il virus è riconosciuto come tale ma non è disponibile l'antidoto;
      3. l'antidoto è disponibile ma gli utenti non hanno ancora aggiornato il programma anti-virus oppure non hanno attivato una ricerca estesa in tutti i supporti (dischi rigidi, dischetti, CD, ecc.) ove si può annidare;
    • i programmi non sono mai perfetti al 100% e possono non riconoscere sempre tutte le forme in cui si presenta un virus;
    • non si può escludere che in futuro i virus attacchino o disabilitino proprio i programmi anti-virus.

In caso di dubbi è meglio essere prudenti, affidarsi al buon senso, cercare notizie aggiornate su Internet e, come ultima risorsa, chiedere conferme a conoscenti esperti o manutentori di sistema.

2.2 Impostazioni dei programmi

Con riferimento ai sistemi Windows® a 32 bit (Windows 95, 98, ME, NT, 2000, XP, 2003, ecc.) si consigliano le seguenti impostazioni.

Windows, mostrare le estensioni dei file e i file nascosti

Queste impostazioni evitano che un file virus riesca a mascherarsi utilizzando doppie o triple estensioni, es. per una finta immagine JPEG che in realtà è un file script in linguaggio visual basic:

file.jpg.vbs

Come fare

1. aprire il programma "Risorse del computer";
2. attivare l'opzione di menu: Visualizza -> Opzioni;
3. nella finestra di dialogo "Opzioni" impostare:
   • File nascosti: Tutti i file;
   • Visualizza il percorso MS-DOS completo sulla barra del titolo, ovvero marcare l'opzione;
   • Visualizzare le estensioni MS-DOS per i file registrati , ovvero NON marcare l'opzione "Non visualizzare ...".

Anti-virus, usare impostazioni sicure

Le impostazioni standard degli anti-virus recenti (es. Norton AntiVirus 2001, 2002, ecc.) sono già sicure; eventualmente controllare che:

• l'anti-virus sia caricato automaticamente all'avvio del sistema;
• siano controllati tutti i dischi rigidi del PC;
• siano controllati tutti i file eseguibili, di script / macro, i documenti Office, i file compressi, ecc.;
• sia controllata automaticamente la posta elettronica trasmessa e ricevuta.

Programmi di posta, usare impostazioni sicure

Le versioni più recenti dei programmi di posta (es. Outlook 2000 e successivi) hanno impostazioni quasi sicure, tuttavia è opportuno controllare che:

• l'esecuzione automatica di script / macro dei documenti allegati ai messaggi di posta sia disabilitata;
• l'apertura automatica in anteprima degli allegati sia disabilitata.
• il livello di sicurezza sia impostato su "alto";
• il metodo di conversione dei dati binari (file allegati) sia MIME .

NOTA:  per la massima sicurezza si consiglia comunque di evitare l'utilizzo di programmi (tipo Outlook) che siano troppo diffusi o che abbiano troppi meccanismi automatici (animazione immagini, attivazione script, ecc.) non perfettamente controllati / controllabili dall'utilizzatore.

2.3 Procedure di sicurezza

Sono state delineate le seguenti mini-procedure di sicurezza.

E-MAIL, come inviare messaggi con file allegati

Nell'inviare messaggi di posta si corrono i seguenti rischi:

• rischio di inviare file infetti (documenti Word, ecc.);
• rischio che un virus modifichi i file o cerchi di aggiungere un file estraneo nella fase di trasmissione del messaggio (nel caso in cui il programma di posta sia infettato);
• rischio che un virus modifichi i file quando il destinatario li riceve (dal server di posta).

Fornire informazioni ridondanti circa gli allegati

L'obiettivo è quindi quello di inviare sempre e comunque le seguenti informazioni inserite alla fine del testo principale del messaggio:

• numero di file allegati;
• per ogni file allegato:
  • nome file;
  • dimensione file (in byte, es. 145.231 byte);
  • breve descrizione contenuto (1 riga);

Se non ci sono file allegati, si precisa: N. 0 file allegati.

Esempio:

Ci sono N. 3 file allegati al presente messaggio:

   Nome file              N. byte     Descrizione breve
   ---------------------  ----------  -----------------
1) Relazione01.rtf           256.450  Prima parte relazione sul viaggio
2) CubaTour.pdf            1.052.300  Informazioni turistiche su Cuba
3) HowTo-Photo.pdf           879.560  Accorgimenti e tecniche per fotografare

Si noti che queste informazioni sono volutamente ridondanti dato che dovrebbero coincidere con quelle fornite dai programmi di posta con l'opzione proprietà relative al messaggio o ai file allegati.

Comprimere in archivi ZIP i file allegati

Comprimere i file allegati in un unico archivio *.zip con i programmi pkzip (DOS), WinZip (Windows) oppure zip (Unix / Linux), apporta i seguenti vantaggi:

• riduce di 10-15 volte le dimensioni dei documenti e di 3-4 volte le dimensioni dei programmi eseguibili (*.exe, ecc.); NOTA: i file di immagini (*.gif, *.jpg, *.jpeg, *.png, ecc.) sono già compressi e quindi la riduzione è quasi zero.
• la congruenza dei dati compressi e archiviati nel file archivio è garantita da codici di controllo (CRC32, ecc.), quindi qualsiasi corruzione ad opera di virus dovrebbe rendere inservibile l'archivio stesso.
• in certi casi, consente di evitare l'eliminazione automatica o, peggio, la silenziosa corruzione del contenuto degli allegati da parte degli antivirus dei gestori della posta; in breve questi antivirus, dato l'elevatissimo numero di messaggi che devono analizzare, possono avere impostazioni che permettono l'eliminazione automatica di allegati che hanno determinate estensioni, es.: *.exe, *.doc, *.jpeg, *.jpg, ecc. mentre lasciano intatti gli allegati archivio e/o compressi (*.tar, *.tar.gz, *.tgz, *.bz2, *.zip, *.rar, *.arj, ecc.) in modo da favorire l'uso di questi ultimi.

Ovviamente resta la possibilità che un virus sia tanto intelligente da decomprimere un file archivio, inserire le sue modifiche e poi ricomprimere l'archivio; per questo dovrebbe essere mantenuta la sopracitata lista di descrizione file allegati.

Inviare i documenti in formati sicuri e portabili

Dato che nei file di Word, Excel, PowerPoint si possono annidare virus di macro, è opportuno, almeno per i documenti di testo Word (*.doc), usare i seguenti formati alternativi:

RTF (*.rtf)

Rich Text Format, è compatibile con quasi tutti i programmi di elaborazione testi sulla maggioranza dei sistemi operativi (Windows, DOS, OS/2, MacIntosh, Unix, ecc.); ha il piccolo difetto che le dimensioni dei file tendono ad essere parecchio maggiori rispetto agli originali (la compressione esterna elimina questo svantaggio).

XML (*.xml, *.html)

Extensible MarkUp Language, formato con marcatori simili a quelli dell'HTML, è uno standard relativamente nuovo e può essere creato / letto solo con programmi recenti (es. Office 2000).

PDF (*.pdf)

Portable Document Format, necessita di un apposito programma per essere creato, ma i lettori PDF sono molto diffusi (es. Acrobat Reader); utile se il destinatario non deve modificare il contenuto del file.

E-MAIL, come trattare i file allegati ricevuti con i messaggi di posta

La ricezione della posta elettronica richiede ovviamente qualche precauzione in più rispetto alla spedizione.

Attivare l'anti-virus

Prima di ricevere nuova posta elettronica è opportuno attivare il programma anti-virus in modo che questo cerchi di intercettare eventuali file infetti (l'anti-virus esamina anche i file compressi in archivi ZIP).

Non visualizzare, né eseguire eventuali file allegati

Se ci sono file allegati procedere come segue.

1. Non aprire per nessuna ragione i file allegati direttamente dal programma di posta elettronica (evitare perfino la pre-visualizzazione / anteprima dei contenuti).
2. Salvare su disco rigido (in un apposito direttorio) i file allegati (mantenendo i nomi originali o ridenominandoli, es. con l'opzione "Salva con nome"); questa azione dovrebbe consentire a qualsiasi programma anti-virus di esaminare il contenuto del file salvato e quindi di intercettare eventuali virus.
3. Prima di aprire i file allegati salvati con gli appositi programmi, eseguire le seguenti azioni:
   1. confrontare i nomi ricevuti, le dimensioni dei file, ecc. con quelle contenute nell'apposita lista descrittiva del messaggio (rif. E-MAIL, come inviare messaggi con file allegati);
   2. se la lista descrittiva manca o non si è assolutamente sicuri che i file ricevuti siano corretti, si consiglia di contattare il mittente per ottenere le necessarie informazioni.
4. Periodicamente ricontrollare i vecchi file allegati salvati su disco rigido, per accertarsi, a distanza di tempo (quarantena) e con l'anti-virus aggiornato, della reale assenza di virus.

3. Legislazione anti-virus

In considerazione dei notevoli danni che alcuni virus possono provocare, molte nazioni hanno emesso apposite leggi per contenere il fenomeno dei virus e sanzionare i colpevoli in caso di danni verso terzi.

3.1 Legislazione italiana sui virus

La legge punisce coloro che diffondono virus informatici.

La legge n. 547 del 23 dicembre 1993, in linea con le direttive comunitarie, ha modificato il codice penale ed il codice di procedura penale introducendo nuovi articoli in tema di reati informatici.

In particolare l'art. 635 quinquies del codice penale ("Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico"), aggiunto dalla citata legge, recita:

"Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione totale o parziale del suo funzionamento, è punito con la reclusione fino a due anni e con la multa sino a lire venti milioni."

La norma penale è mirata a chi diffonde virus informatici in modo doloso, ovvero con la consapevolezza di farlo e con la consapevolezza di poter creare dei danni; tuttavia non si possono escludere a priori estensioni interpretative che comprendano i seguenti casi:

• assenza di procedure di controllo anti-virus da parte di un fornitore di software verso i suoi clienti;
• omissione nell'esecuzione di controlli anti-virus previsti dalle proprie procedure / certificazioni;
• omissione di comunicazione verso soggetti esterni in caso di involontaria propagazione di virus nei confronti degli stessi soggetti.

In caso di diffusione colposa troverà applicazione l'art. 2043 del codice civile che prevede "Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno", e quindi coloro che con dolo o colpevolmente diffondono virus informatici, sono tenuti al risarcimento del danno che si prescrive in 5 anni (art. 2947 cod. civ.).

Prima dell'entrata in vigore della legge 547/93, secondo parte della dottrina e della giurisprudenza, al fenomeno dei virus informatici era applicabile l'art. 635 ("Danneggiamento") del codice penale.

4. Rischi per un'azienda

I rischi di infezione da virus per un'azienda possono diventare molto elevati nel momento in cui uno o più utilizzatori di PC aziendali deroga dalle norme di prudenza e buon senso parzialmente sopra elencate.

4.1 Danni diretti

I danni diretti che i virus possono provocare sono:

• perdita di dati e programmi (ovvero perdita del lavoro di settimane o mesi);
• rallentamento o blocco della produttività aziendale.

4.2 Danni indiretti

I danni indiretti che i virus possono provocare sono:

• diminuzione di credibilità nei confronti dei clienti, nel caso in cui l'infezione sia trasmessa a questi ultimi tramite:
  • messaggi di posta elettronica;
  • CD contenenti software di produzione aziendale;
• eventuali remote responsabilità per omissione di controlli.

5. Risorse in rete

Nel seguito sono elencate alcune risorse in rete (Internet) relative ai virus informatici. Per le notizie di base si consiglia di consultare anche l'aiuto in linea del proprio programma anti-virus.

5.1 Collegamenti (it)

Notizie italiane di virus in rete.

• Ricerca ultimi articoli virus (lista) su La Repubblica.
• Ricerca ultimi articoli virus (tutti) su Punto Informatico.
• Ricerca ultimi articoli virus (veri) su Punto Informatico.

Articoli di esempio su alcuni virus diffusi fra la fine 2000 e l'inizio 2001.

• Due megabufale (virus hoax) ingolfano le mailbox (27/03/01).
• Il virus Anna s'impone sulla Rete (13/02/01).
• Melissa rinasce ed è velocissima (22/01/02).
• Hybris, il virus che non si ferma (08/01/01).
• Virus, Kriz sulla strada del ritorno (22/12/00).
• Nuovo pericoloso worm (W95) in circolazione (17/11/00).
• Sonic, il virus che si auto-aggiorna (02/11/00).

Pagine web introduttive / generiche in lingua italiana.

• Wikipedia: definizione di virus.
• Microsoft: sicurezza a casa: virus e worm.
• Virus informatici: cosa sono, cosa fare (Uni-PD).
• it.comp.sicurezza.virus.

5.2 Collegamenti (en)

Risorse in lingua inglese.

• Base dati virus registrati da Symantec (ultimi pericolosi).
• Base dati virus registrati da Symantec (tutti).
• Ultimi virus burla (hoax) registrati da Symantec.
• Ultimi virus burla (hoax) registrati da McAfee.
• Trend Micro - Allarmi virus (veri).
• Trend Micro - Allarmi virus burla (hoax).
• Virus bulletin - Independent Anti-Virus Advice.

6. Revisioni documento

Questo documento è stato creato / aggiornato nelle seguenti date.

Rev. 05, 17/03/2006 (A.D.F.)

Aggiornamento collegamenti (link) interrotti:

• rimosso collegamento a www.gem.it.
   

Rev. 04, 10/08/2005 (A.D.F.)

Aggiornamento collegamenti (link) interrotti:

• aggiornamento collegamento (it) ricerca virus su Punto Informatico;
• eliminazione collegamenti (it) ed (en) non esistenti;
• aggiunta nuovi collegamenti (it) (Microsoft, Wikipedia) ed (en) (Symantec, McAfee, TrendMicro per virus hoax).

Migliorate alcune descrizioni (es. DDoS, allegati ZIP, ecc.).

Rev. 03, 06/09/2003 (A.D.F.)

Aggiornamento collegamenti (link) interrotti:

• aggiornamento collegamento (it) ricerca virus su Repubblica;
• eliminazione collegamenti (it) non esistenti;
• aggiunta nuovo collegamento (en) (Virus bulletin).

Differenziati acronimi DoS e DOS con relative spiegazioni.

Rev. 02, 27/01/2003 (A.D.F.)

Aggiornamento collegamenti (link) interrotti:

• correzione nuovi collegamenti Punto Informatico.
   

Rev. 01, 29/03/2001 (A.D.F.)

Correzioni e modifiche varie:

• correzioni accenti;
• correzioni periodi frasi, per aumentare la leggibilità;
• aggiunti collegamenti a risorse virus (tribal flood, hoax, ecc.);
• aggiunte spiegazioni a definizioni e acronimi.

Controllata correttezza formale sintassi HTML.

Rev. 00, 26/02/2001 (A.D.F.)

Creazione documento.