Fino a che punto le minacce presenti sui social network, e in particolare su Facebook, sono effettivamente pericolose per i computer, e in che modo funzionano questo tipo di worm?

Le minacce diffuse via social network sono pericolose quanto le altre minacce veicolate via web. La differenza è che i social network offrono la possibilità di raggiungere un numero enorme di utenti in tempi minimi. Dal punto di vista tecnico, invece il malware per social network possiede di norma una duplice natura. Da un lato esiste una componente di tipo worm, che utilizza il sistema di amicizia e di comunicazione del network per passare da un contatto all'altro. Questa può sfruttare dei bug nel sito del social network (come ad esempio nel celebre caso di MySpace) oppure può, più frequentemente, utilizzare credenziali di accesso sottratte in precedenza da un altro trojan. Dall'altro lato, il malware per social network si comporta come un normale trojan che si installa nel computer dell'utente.



E’ vero che i virus possono trasmettersi anche attraverso i dispositivi RFID, utilizzati per esempio nei supermercati per l’identificazione automatica dei prezzi?



In questi casi non è possibile un’infezione di tipo canonico. Ovvero non è possibile generare un codice che, impiantato su un RFID, si sparga autonomamente ad altri dispositivi. Un RFID è sostanzialmente un contenitore di informazioni, come può esserlo un codice a barre: quando viene interrogato restituisce le informazioni che possiede. Il problema nasce dall'uso che viene fatto di tali informazioni... Rendo più comprensibile con un esempio: quando la cassiera del supermercato passa il prodotto sul lettore, questo restituisce l'informazione posseduta dal barcode o RFID, questa viene passata ad un software nella cassa che interroga un database e traduce il codice in un nome e in un prezzo.



Al termine del conteggio la cassa poi invia il dettaglio dell'acquisto al sistema centrale il quale potrà per esempio gestire le scorte di magazzino, la fatturazione, il calcolo dei profitti, dei trend di vendita, ecc... Nel ciclo descritto, l'informazione contenuta nell'etichetta viene trasferita ed utilizzata da diversi altri sistemi e programmi. Se uno dei programmi ha dei bug e non manipola correttamente l'informazione, è possibile che si comporti in modo anomalo, vada in crash, ecc. In certi casi può essere possibile riprogrammare un RFID con delle informazioni studiate appositamente per usare i bug nel software che le manipola a proprio vantaggio: ad esempio installando malware sul sistema in cui tale programma viene eseguito.

Che cosa fa la differenza tra un virus temibile, ma inefficace, e uno efficace?



Per i virus l'abilità di mutare forma, quindi, in definitiva il grado di complessità tecnica. Per i worm, l'abilità di replicarsi via molteplici canali. Per i Trojan, l'aggiornamento continuo (per evitare di essere individuati dagli antivirus). Quindi, in ultima analisi, il budget a disposizione.



Gli hacker utilizzano alcuni siti Internet per scambiarsi informazioni e rendere noti i loro successi. Quali sono i più importanti, in Italia e nel mondo?



Gli hacker (nell'accezione comune di esperti di sicurezza informatica) comunicano mediante svariati canali, in particolare le mailing list. I contenuti sono per lo più legali o, anche quando borderline, sono sempre affrontati da un punto di vista squisitamente tecnico. In fondo le tecniche di penetrazione e quelle di difesa sono solo due lati della stessa medaglia. La più importante mailing list del settore è bugtraq. Quella parte di hacker che si dedica al malware (generalmente chiamati VXers), invece, è generalmente organizzata attorno a dei forum web nei quali la vendita, l'affitto o lo scambio di malware, botnet, carte di credito, identità account di giochi online e affini sono la parte preponderante. Il sito più famoso (e “istituzionale”) nel genere è hackingforums.net. Quelli pi

Qual è il core business di Clamav e Sourcefire e che cosa le differenzia dai principali concorrenti?



L’attività principale di Sourcefire consiste nello sviluppare e vendere soluzioni commerciali di sicurezza informatica basata sulle nostre tecnologie open source Snort e ClamAV. Il nostro modello di business offre ai nostri clienti il meglio dello sviluppo open source e il suo supporto commerciale. Il sistema Sourcefire 3D unisce Snort IPS open source con tecnologie intelligenti del network dal marchio registrato. In grado di fornire ai clienti una soluzione di sicurezza adattabile in tempo reale, permettendo una difesa stratificata della rete. ClamAV gioca due ruoli nel modello di business. In primo luogo, il progetto e la community di ClamAV VRT (cioè il gruppo di ricerca sulla vulnerabilità) con una conoscenza inestimabile del panorama in rapida evoluzione dei malware. In secondo luogo Sourcefire offre agli utenti di ClamAV l’opzione di avere a disposizione un supporto commerciale per ClamAV attraverso un modello di sottoscrizione annuale. Per quanto riguarda la differenza con i competitor inoltre, Sourcefire è l'unica azienda, in campo IDS/IPS (cioè relativa ai sistemi di individuazione e prevenzione delle intrusioni, Ndr) , nata e cresciuta attorno a un progetto open source e alla sua comunità di utenti. Questo ci offre un vantaggio enorme in termini di informazione preventiva e reazione rapida alle nuove minacce.



Quali sono le precauzioni da adottare e i siti internet da evitare per chi non vuole che il suo computer sia infettato?

Checché ne dica il marketing, nessun antivirus è in grado di identificare e bloccare tutte le minacce presenti e future. In effetti quest’ultimo è solo una parte di una lunga catena in cui l'anello debole è comunque l'utente e la sua (mancanza di) educazione informatica. Fare una lista dei siti da evitare è pressoché impossibile. Comunque I consigli principali sono:

- utilizzare un toolkit antivirus e un firewall;
- mantenere il proprio sistema, l'antivirus e tutto il software utilizzato sempre aggiornati;
- cancellare senza aprire le mail e gli allegati sospetti o di provenienza sconosciuta;
- prestare estrema attenzione nell'aprire link a siti web ricevuti via mail o via instant messenger;
- non fornire mai le proprie credenziali di accesso a sistemi o siti ad alcuno, per nessuna ragione; - se possibile, utilizzare un sistema dedicato (preferibilmente Linux o OSX) per operazioni sensibili quali le transazioni bancarie online. Allo scopo esistono anche distribuzioni linux che stanno interamente su cd-rom e non richiedono alcun tipo di installazione.

(Pietro Vernizzi)ù underground preferisco non renderli pubblici.