Per la prima volta un virus ha colpito l'ecosistema Apple, finora mai violato: il 17 settembre 85 applicazioni presenti sull'Apple Store sono state infettate da un malware, un software malevolo che, generando pop up e false richieste di informazioni, è in grado di ottenere password e dati sensibili degli utenti. Fra queste ci sono anche alcune app di grande diffusione, come Angry Birds 2 e WeChat, che in Cina (in apparenza il punto di diffusione del virus) ha oltre 500 milioni di utenti.
Che cosa è successo?
Sono stati gli analisti della società Palo Alto Network, che si occupa di cybersicurezza, a scovare la falla e a rivelarla. La causa è stata individuata: una versione corrotta di Xcode (chiamata XcodeGhost) messa in circolazione da qualche cracker (un hacker con cattive intenzioni) che è stata erroneamente utilizzata dagli sviluppatori per programmare le loro app.
Xcode - infatti - è un software fondamentale per lo sviluppo di applicazioni per iOS, il sistema operativo dei dispositivi mobili di Apple, iPhone e iPad. Di solito si scarica direttamente dal sito di Apple, ma alcuni programmatori, per fare più velocemente per esempio, lo scaricano da altre fonti non ufficiali (il download dai server Apple può essere molto lungo). In questo caso la versione corrotta di Xcode è stata scaricata dal sito di filesharing di Baidu in Cina.
In realtà i danni provocati dal virus non sembrano ingenti, ma per Apple si pone il problema di come arginare eventuali altri attacchi che provengono dai software programmati da sviluppatori terzi, che non sono sotto il controllo diretto dell'azienda.
Il 44% dei computer degli italiani viene attaccato durante la navigazione sul web: è quanto risulta dal rapporto Clusit 2013 sulla sicurezza informatica. Il nostro Paese sarebbe il primo in Europa per numero di tentativi di intrusione, mentre all'ultimo posto di questa classifica inversa si attestano i danesi col 20% di attacchi sul totale dei loro navigatori.
Stando allo studio, questo accade perché siamo particolarmente sprovveduti e poco attenti a proteggere i nostri cosiddetti dati sensibili, e in questo modo cadono in mani altrui informazioni, pin vari e password. E pare che tutto ciò costi al Paese 10-15 miliardi di euro l'anno, tra danno diretto a privati e aziende, tempo, costi per le denunce e le indagini.
Quali sono gli attacchi più comuni? Malintenzionati e pirati hanno a disposizione diverse tecniche di intrusione. Tolta quella banale - e molto frequente! - dell'accesso diretto al contenuto di un computer lasciato acceso la sera o in pausa pranzo, ed esclusi i furti di portafogli e cellulari dove abbiamo incautamente annotato il pin del bancomat e la password della posta, ci sono 8 principali strategie di attacco: eccole, con qualche suggerimento per difendersi.
Mentre navighiamo in internet, anche via tablet o smartphone, capitiamo su un link, dietro cui si nasconde un programma truffladino che permetterà all'hacker di entrare nel nostro computer. Basta un clic per attivarlo.
La soluzione: un buon antivirus - ce ne sono di ottimi anche gratuiti. E vale sempre la regola d'oro di "non accettare caramelle dagli sconosciuti", perciò è meglio evitare siti e link sospetti.
Nelle pagine di un sito di cui ci fidiamo è stato inserito del codice malevolo (il malware) che, per esempio, farà sì che i dati inviati - come ciò che viene digitato nelle caselle username e password di una pagina web - vengano reindirizzati all'hacker, senza alcun indizio di quanto avviene e senza destare sospetti.
La soluzione: aggiornare il browser. Le nuove versioni hanno uno scudo contro questo tipo di attacchi.
È una tecnica di spionaggio molto diffusa e relativamente facile: il pirata prende informazioni su di noi via Internet, approfittando soprattutto delle tracce che lasciamo sui social network. E in seguito le usa per ricavare password e altri dati sensibili.
La soluzione: usare nickname (username) e password diversi per i vari siti che si frequentano. E lasciare il minor numero possibile di informazioni personali in moduli di iscrizione e documenti online.
È una tecnica subdola che, al clic su di un collegamento a un sito noto, consente di reindirizzare la navigazione verso un sito "clone", fraudolento, senza che sia possibile riconoscerlo come falso.
La soluzione: firewall e antivirus (anche gratuiti) possono aiutare. Ma bisogna anche fare attenzione a che il sito in cui si inseriscono dati sensibili, come il numero della carta di credito, abbia un certificato di sicurezza (se manca, in genere viene segnalato da firewall e browser) o utilizzi il protocollo https (http secure) anziché il normale http.
Si manifesta con un'email di un ente o un'istituzione realmente esistente (la banca, il social network preferito, la società erogatrice della carta di credito eccetera) che ci invita a cliccare su un link e inserire successivamente username e password. Ma si tratta di un falso, costruito ad arte per ingannarci e ottenere i nostri dati.
La soluzione: nessuna banca (e tantomeno le Poste) ci chiederà mai di aprire un sito via email e di inserire la nostra password! Quanto ai social network, bisogna fare attenzione all'indirizzo che si apre cliccando il link
dell'email: può differire dall'originale di una sola lettera.
Indica la capacità di dedurre informazioni da ciò che si apprende. In questo caso i pirati non hanno bisogno di un malware per entrare nel
nostro computer e captare i dati che vogliono. Per ottenere date di nascita e altre
informazioni utili a ricavare una password, basta osservarci e
studiare il nostro comportamento. I più arditi si spingono anche a
rovistare nella spazzatura, ossia tra i documenti finiti nel cestino e che per un po' restano recuperabili anche se il cestino è stato svuotato.
La soluzione: quasi tutti gli antivirus (anche molti di quelli gratuiti) e i software per la gestione e l'ottimizzazione del computer consentono di effettuare una "cancellazione profonda" dei documenti da buttare e di ciò che potrebbe essere ancora recuperato dal cestino. Ed è meglio evitare troppe confidenze con persone conosciute solamente online.
Consiste nel contraffare la propria identità: va dalla falsificazione del proprio indirizzo IP (per entrare in una rete di computer) a quella del numero di telefono per mandare messaggini ingannevoli (sms spoofing).
La soluzione: un firewall aggiornato e il buon senso possono aiutare contro lo spoofing, che rimane una delle tecniche di intrusione più pericolose.
Il malware si trova su una chiavetta usb (o un altro dispositivo simile): inserita la chiavetta nel computer, il software dannoso si avvia e permette al pirata di mettere il naso nei nostri affari, a nostra totale insaputa.
La soluzione: prima di collegare un dispositivo (chiavette, dischi, memorie) è meglio accertarsi che l'antivirus sia aggiornato.
Che cosa ha detto Apple?
Apple ha subito comunicato di essere consapevole del problema. In una email inviata a Reuters la portavoce Christine Monaghan ha spiegato: «Per proteggere i nostri clienti abbiamo rimosso dall'Apple Store le app che sappiamo avere al loro interno il software corrotto e stiamo lavorando con gli sviluppatori per assicurarci che stiano utilizzando la corretta versione di Xcode per ricostruire le loro applicazioni». Sono oltre 300 le app cancellate da Apple, anche se quelle infette sembrano essere soltanto 85.
Come rimediare all'infezione?
Premessa: difficilmente gli iPhone italiani possono essere coinvolti nell'attacco. L'azienda americana non ha diramato un comunicato ufficiale su cosa fare per proteggere i dispositivi; tuttavia, gli esperti di Palo Alto Network consigliano alcune procedure per evitare problemi.
1 - Cambiare la password dell'account Apple personale, quello per accedere a iTunes e all'Apple Store e fare acquisti. Aggiungere una autenticazione a due elementi renderebbe il tutto ancora più sicuro.
2 - Aggiornare tutte le app infette per iPhone e iPad: le società che le sviluppano hanno provveduto a caricare su App Store le versioni con il codice corretto.
3 - Non rispondere alle richieste di informazioni (dati personali, login, password) che provengono da qualsiasi alert, popup e finestre di dialogo collegata alle 85 app. E in generale stare sempre bene attenti a queste richieste, anche a quelle che arrivano sull'email.
Come XcodeGhost mette a rischio i dispositivi iOS?
La applicazioni infettate con il malware XcodeGhost possono raccogliere informazioni sui dispositivi, crittografarle e inviarle attraverso il protocollo HTTP sui server degli aggressori.
Le informazioni che vengono raccolte comprendono tra le altre:
Le app infette possono anche ricevere comandi per eseguire alcune operazioni tra le quali:
Cina contro Resto del Mondo ShadyRAT è un virus trojan scoperto da Symantec nel 2011 ma attivo già dal 2006. Arrivato via email come allegato infetto dal nome potenzialmente innocuo (budget2008.xls, list_update.pdf, ecc) una volta aperto si installava nel PC dell’ignaro utente, trasformandolo in una macchina "zombie" pronta a eseguire ordini impartiti da remoto.
In particolare ShadyRAT rubava documenti e files contenuti nel computer ospite inviadoli al suo creatore.
Il malware ha colpito e infettato macchine e reti in 72 grandi organizzazioni di 14 paesi, tra cui le Nazioni Unite, alcuni contractor del settore difesa e il Comitato Olimpico Internazionale.
Alcune similitudini tra il codice di ShadyRAT e quello di altri attacchi informatici isolati in quegli anni (Operation Aurora e Night Dragon in particolare) hanno convinto gli esperti che il virus fosse stato messo a punto in ambienti governativi cinesi.
Foto: © Symantec
Nato (?) contro Russia Red October è un malware dal funzionamento simile a quello di ShadyRAT, scoperto da Kaspersky nel 2013. In un report pubblicato dagli esperti di sicurezza dell’azienda si legge “Gli attaccanti hanno creato un malware unico e flessibile, in grado di rubare dati e informazioni geopolitiche dai computer infettati, dai telefoni cellulari e dagli apparati di rete”.
Red October, all’epoca diffuso soprattutto in Russia e in Kazakhstan, aveva preso di mira enti governativi, banche e grandi aziende e il suo codice presentava tracce di software utilizzato in ambienti militari della NATO e dell’Unione Europea.
Il malware, che arrivava nascosto in documenti Word o Excel, inviava le informazioni rubate dai computer bersaglio a una ventina di server sparsi in tutto il mondo. Una volta portata alla luce l’operazione, l’intera rete è stata spenta e disattivata, rendendo di fatto impossibile risalire ai mandanti.
Foto: © Kaspersky Lab
Cina contro Occidente Una mail come esca, l’invito a cliccare su un link infetto e migliaia di computer colpiti: è, in estrema sintesi, la storia di APT1, un malware di fabbricazione cinese che tra il 2006 e il 2013 ha fatto incetta di dati e informazioni sensibili sulle reti di enti, aziende e istituzioni dei paesi occidentali.
Secondo gli esperti di Mandiant, l’azienda specializzata nella sicurezza informatica che lo ha identificato nel 2013, APT1 è stato messo a punto nei laboratori dell’Unità 61398, il reparto dell’esercito cinese che si occupa di spionaggio digitale.
Latinos (?) contro Resto del Mondo Identificato nel 2014 da Kaspersky, Mask (o Careto) è uno dei più evoluti malware per lo spionaggio mai rilevati.
In azione dal 2007, è sopravvissuto indisturbato a generazioni di antivirus grazie a un trucchetto digitale: il software utilizzava infatti una firma elettronica falsa, che lo qualificava come programma “innocuo” ai controlli dei più noti e diffusi programmi di protezione.
Era in grado di infettare qualunque sistema operativo, compresi iOS e Android, e di intercettare ogni tipo di comunicazione, dalle email alle conversazioni su Skype. Ha colpito i sistemi di 380 tra enti governativi e aziende e secondo gli esperti è così sofisticato che può essere stato realizzato solo in ambienti di intelligence.
I suoi programmatori non sono mai stati identificati, ma alcune particolarità del codice fanno pensare a una produzione in paesi di lingua spagnola.
Ignoti contro Tutti Duqu è uno dei più insidiosi malware mai realizzati: identificato nel 2011 dall’Università di Budapest, è scritto in un linguaggio di programmazione sconosciuto. Colpisce i grandi computer industriali utilizzati per controllare le attività nevralgiche di un paese: dai sistemi di distribuzione dell’energia a quelli che controllano i trasporti o le comunicazioni.
Arrivava nei computer bersaglio mascherato da font all’interno di un documento Word: per attivarlo era sufficiente aprire l’allegato.
Il suo scopo non era quello di distruggere le infrastrutture ma rubare dati: il bersaglio di Duqu erano i certificati digitali, cioè quell’insieme di credenziali che permettono a un software di qualificarsi come “buono” presso un computer ospite. Le informazioni venivano esportate nascoste all’interno di un file jpg.
I creatori di Duqu cercavano insomma di procurarsi le chiavi per accedere in futuro a quegli stessi sistemi per metterli KO.
Israele contro Iran Scoperto nel 2012 dalle unità di cyber sicurezza del Governo Iraniano, Flame venne definita dagli esperti come la più sofisticata arma digitale prodotta fino ad allora.
Colpiva i computer con sistema operativo Windows e poteva diffondersi attraverso chiavette USB infettate o attraverso reti locali. Era in grado di catturare le schermate visualizzate dagli utenti, di registrare le conversazioni su Skype e di rubare ogni tipo di documento.
Flame poteva trasformare ogni computer dotato di Bluetooth in una spia silenziosa in grado di intrufolarsi in smartphone e tablet con la stessa tecnologia per sottrarre dati, sms, email e altre informazioni.
In pochi mesi ha colpito i sistemi di numerose organizzazioni governative e finanziarie in tutto il Medio Oriente: progettato per infiltrarsi nei computer bersaglio sotto forma di documento AutoCad, PDF o testuale, presenta schemi e strutture tipiche dei software sviluppati in Israele.
Russia (o Iran) contro USA Nel 2010 il Segretario americano alla Difesa William Lynn III ha rivelato al Congresso che qualche mese prima i sistemi del CentCom, la più avanzata unità per la guerra elettronica del Governo a stelle e strisce, era stata messa in ginocchio da un malware.
Il software si era inflitrato nella rete militare dal computer di una base americana in Medio Oriente nel quale era stata inserita, da un soldato distratto, una chiavetta USB infetta trovata in un bagno pubblico nei pressi della struttura. L’origine dell’attacco era stata fatta risalire ai servizi di intelligence ex sovietici.
Una volta ripuliti i sistemi il Pentagono è corso ai ripari, bloccando l’accesso alle porte USB di tutte le sue macchine.
Foto: © Chris Yarzad / Flickr
Usa contro Iran Nel 2010 un potente malware, Stuxnet, mette in crisi l’impianto nucleare di Natanz, in Iran: le centrifughe che raffinano l’uranio impiegato nel reattore impazziscono, rendendo il minerale del tutto inutilizzabile. Nessun sistema di allarme aveva segnalato agli operatori della centrale il malfunzionamento.
Stuxnet era stato inoculato nella rete informatica di questa struttura iperprotetta da una penna USB infetta, sfruttando una vulnerabilità di Windows. Il malware era in grado di riprogrammare i computer industriali della Siemens utilizzati a Natanz in maniera del tutto silenziosa e invisibile.
Si tratta di una vera e propria arma elettronica che secondo le rivelazioni di Edward Snowden sarebbe stato sviluppato dall’NSA, l’agenzia per la sicurezza nazionale del governo americano, con la collaborazione dell’intelligence israeliana.
