Aiuto, il computer parla!

Sicurezza

Non si tratta di allucinazioni, il vostro sistema potrebbe essere posseduto
da una delle ultime novità in fatto di pubblicità indesiderata: l’Audio Aware

Come se non bastasse la minaccia costituita dalle diverse forme di Adware, ora compare sulla scena anche l’audio adware. Lo spunto per questo articolo ha preso il via da una semplice chiacchierata con un collega che occupa la posizione di CTO (in soldoni responsabile tecnico) in una società di piccole dimensioni. Purtroppo, anche se è consuetudine riportare le fonti delle informazioni da cui nascono gli articoli proposti in questo appuntamento, questa volta è stato espressamente richiesto di non menzionare né il responsabile né la società interessata. In effetti la richiesta in un certo qual modo è comprensibile, e rappresenta uno dei motivi principali per i quali spesso è così difficile ottenere statistiche precise sugli incidenti di sicurezza che possono accadere alle aziende. L’atteggiamento infatti è sempre quello di diffidenza e nessuno vuole ammettere che le misure di sicurezza di cui si è responsabili non sono perfette e qualcuno ha trovato il modo di violarle. Il fatto era comunque troppo interessante per poterlo ignorare, quindi ecco una case history esemplare su un fenomeno subdolo ma quanto mai attuale.

Un po’ di storia

Adware (in inglese, contrazione di advertising-supported software, cioè software sovvenzionato dalla pubblicità) indica una modalità di licenza d’uso di alcuni programmi software che prevede la presentazione all’utente di messaggi pubblicitari durante l’uso, a fronte di un prezzo ridotto o nullo. E’ un meccanismo simile a quello tentato un po’ di tempo fa nella telefonia, dove gli utenti che accettavano di ascoltare un messaggio pubblicitario all’inizio di una telefonata potevano usufruire di tassazioni telefoniche agevolate. Purtroppo il meccanismo è stato snaturato e portato agli eccessi Normalmente, i principali attacchi Adware consistono nell’installazione, all’insaputa dell’utente, di appositi software che provvedono a monitorare le ricerche effettuate sui motori di ricerca, o le parole digitate più di frequente, per ?profilare’ (individuare gusti e preferenze personali) l’utilizzatore del sistema e aprire siti web non desiderati o indirizzare i risultati delle ricerche su link non richiesti, ma appartenenti ai partner del circuito adware installato sul pc. La presenza di adware sul proprio sistema può quindi manifestarsi in numerosi modi, tutti comunque finalizzati a portare all’attenzione dell’utente argomenti pubblicitari che si ritiene possano incontrare i gusti del lettore inerenti la ricerca che si è appena lanciata.

La vicenda

In base al racconto tutto è iniziato dall’apertura di una richiesta d’intervento da parte di un utente aziendale, il quale dichiarava di avere il proprio PC che in modo casuale trasmetteva veri e propri jingle pubblicitari in lingua inglese. All’inizio il personale tecnico ha pensato che l’utente avesse aperto un sito che avviava una musica di sottofondo, pratica consueta anche se discutibile, utilizzata da alcuni siti Web. In realtà i jingles venivano trasmessi anche in assenza di pagine web aperte, e la loro frequenza aumentava in occasione di ricerche, anche locali, effettuate sui documenti presenti nel pc dell’utente o in rete. A togliere ogni dubbio sulla casualità del fenomeno è stata la presenza, all’interno degli spot audio, di alcuni termini legati a noti farmaci (Cialis, Viagra etc) normalmente pubblicizzati attraverso spam e classici Adware. Durante l’analisi effettuata sul sistema dell’utente il personale tecnico ha evidenziato l’esistenza di una serie di sfortunate quanto deleterie coincidenze. Come prima cosa, per cause tecniche il computer era rimasto scollegato dalla rete in occasione del periodico aggiornamento, effettuato centralmente dall’antivirus aziendale, quindi il database delle firme virali della versione locale del software risultava obsoleta. In secondo luogo l’utente ha ammesso di aver effettuato un accesso alla propria casella di web mail aprendo un allegato che apparentemente doveva essere danneggiato perché non veniva visualizzato e apparentemente non produceva alcun risultato visibile. Le prime attività di manutenzione messe in atto hanno previsto l’isolamento del sistema interessato dalla rete aziendale e l’aggiornamento del programma antivirus locale. Una prima scansione ha subito evidenziato l’esistenza di un numero elevato di programmi spyware e adware.

Sbagliando s’impara

Inutile dire che la bonifica del sistema si è rivelata un’attività piuttosto laboriosa in quanto molti dei malware presenti sul sistema risultavano sconosciuti o non venivano completamente eliminati. Considerato il tempo necessario a effettuare una bonifica capillare del pc, la quale non avrebbe comunque garantito un successo definitivo, alla fine è stato deciso di ripristinare completamente il sistema attraverso l’immagine standard disponibile e definita in base alle policy aziendali. Considerato il numero di software malevoli e la situazione di critica del sistema è stato praticamente impossibile individuare esattamente il malware responsabile degli spot. La vicenda comunque ha insegnato qualcosa. A livello di policy aziendali infatti erano state definite delle procedure per la gestione di eventi come quello appena descritto, attraverso le quali sarebbe stato possibile integrare nuovi standard per impedire il verificarsi di situazioni analoghe. In seguito alla vicenda quindi è stato riprogrammato il proxy web per l’esclusione dei più comuni servizi di webmail personali ed è stata implementata una procedura di controllo giornaliero e centralizzato sull’effettiva riuscita dell’aggiornamento delle versioni locali degli antivirus.

Conclusioni

Non sempre le richieste di aiuto provenienti dagli utenti, per quanto strane possano sembrare, sono dei falsi allarmi. La storia che ha dato lo spunto per questo articolo proviene dal responsabile IT di una piccola società, il quale si è sentito chiamare da uno degli utenti che dichiarava di avere il computer che trasmetteva spot pubblicitari. Era vero. A causa di una sfortunata serie di coincidenze, una inconsueta combinazione di Adware aveva preso possesso del sistema e oltre ad aprire finestre indesiderate come normalmente avviene in questi casi, trasmetteva anche degli spot audio. Ormai lo spam e l’adware si stanno evolvendo in modalità sempre più subdole per aggirare le nuove tecnologie di controllo. Quindi dopo lo spam grafico e l’adware audio cosa ci attende? Come al solito non resta che aspettare e vedere cosa sapranno inventarsi ancora.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore