Negli ultimi anni si sono moltiplicati i termini legati alla sicurezza e ai malware in ambito Mac. Spesso vengono usati in modo generico termini che possono sembrare sinonimi ma in realtà non è affatto così.
Ecco quindi la necessità di avere sotto mano una sorta di dizionario, che verrà aggiornato con il tempo, dei principali termini usati nel blog.
Adware
Questo termine si riferisce a software che visualizzano annunci pubblicitari o di altro tipo di solito nel browser dell’utente che non sono rischiesti e che non dovrebbero essere mostrati. Questo può essere fatto per scopi dannosi, per perpetrare frodi, o può essere un software che “bombarda” il video a scopi pubblicitari cercando di farci fare clic e portarci così su siti a pagamento o di vendita prodotti. In generale sono programmi fastidiosi che aprono pop up esterni che rischiano di rallentare il Mac, o sostituiscono le pagine originali dei siti con contenuri diversi di solito con link. In certi casi possono comunicare i comportamenti di navigazione dell’utente a computer remoti compromettendo la privacy.
Backdoor
Letteralmente “porta sul retro, è un software che permette a qualcuno l’accesso remoto a un computer. Esitono ovviamente strumenti legittimi per l’accesso remoto sul mercato, e c’è anche uno integrato in ogni Mac recente (il Back to My Mac di iCloud). Ma le backdoor sono usate spesso in riferimento al malware di accesso remoto che indica solo il comportamento dopo l’infezione, in questo caso sono porte lasciate aperte che permettono di rientrare velocemente e senza destare sospetti in un computer precedentemente violato. Le caratteristiche comprendono la possibilità di operare su più sistemi operativi possibili e il fatto di riuscire ad usare anche porte aperte da altri programmi leciti.
Bypass dell’autenticazione
Consente a un utente malintenzionato di accedere a un sistema senza la necessità di conoscere un nome utente e una password validi, utilizzando una vulnerabilità di qualche tipo in quel sistema. In alcuni casi gli hacker riescono a bypassare i server proxy utilizzati dai dipendenti di molte aziende per collegarsi ad Internet.
BOT
Un computer che è stato infettato da malware progettato per agire in coordinamento con gli altri computer infetti in tutto il mondo. Quando si è infettati si entra a far parte di una “rete” detta Botnet di computer che vengono utilizzati, a loro insaputa per attività senza scrupoli come attacchi denial-of-service distribuiti su siti Web, attacchi brute force sulle pagine di login per scoprire nomi utente e password.
Altri utilizzi più recenti comprendono lo sfruttamento della potenza di calcolo del computer (che divetano una sorta di zombie informatici) per attività di mining di bitcoin facendo guadagnare gli hacker.
Clickfraud
Frode pubblicitaria in cui il malware visualizza gli annunci di solito all’interno del browser web sovrapponendosi ai legittimi contenuti dei siti web.. L’obiettivo della frode è quello di far sì che l’utente faccia clic sugli annunci che sono collegati con l’hacker e pagati un tanto per click dagli inserzionisti. Anche se fastidioso per gli utenti che vedono annunci a volte con contenuti molto discutibili, le pagine visualizzate in genere non dovrebbero contenere malware.
Attacchi Denial of service
Un denial of service (DoS) non è di solito un attacco sulla macchina di un utente, ma un attacco a un server di qualche tipo come server email o web. L’attacco è specificamente pensato per impedire ad altri utenti di poter accedere ai servizi offerti dal sito; un tentativo di caricare una pagina web su un sito che sta subendo un attacco DoS si tradurrà in problemi di connessione al sito. I DoS riguardano il malware quando una botnet viene utilizzata per inondare il sito bersaglio con troppe richieste fasulle in modo da sovraccaricarlo e mandarlo in tilt.
Download drive-by
Si tratta di una sorta di malware che viene scaricato e installato sul vostro computer in modo invisibile quando si visita un sito Web violato. Questo tipo di attacco si basa sempre su una vulnerabilità nel browser Web o in un componente come un plugin installato nel browser come Java o Adobe Flash. Flashback è uno dei casi più famosi di malware per Mac installati tramite download drive-by, come in generale molti altri casi, in cui è sempre coinvolto Java. (Leggi tra i consigli contro i virus come disabilitare Java dal tuo browser web). In generale si dovrebbe sempre essere cauti quando si installa un plugin poco conosciuto, farlo solo se realmente necessario e tenerlo aggiornato.
Dropper
Uno script o un programma in cui è occultato codice maligno, per cercare di sfuggire ai controli degli antivirus. I dropper, che spesso sfruttano vulnerabilità del sistema sono responsabili per l’installazione di malware, generalmente come parte di un drive- by download.
Exploit
Codice maligno scritto per sfruttare vulnerabilità presenti in alcuni software o sistemi operativi. Un exploit è malware vero e proprio, o è direttamente responsabile per l’installazione del malware. Ne esistono di due tipi, quelli che aumentano i privilegi e prendono il controllo dei programmi in esecuzione; e quelli che generano errori di sistemi mandando in tilt un programma.
Esempio di exploit su Mac che sfrutta una vulnerabilità Java.
Falsi positivi
Termine che indica un errore quando durante la scansione con un software antivirus vengono dichiarati pericolosi ed etichettati come virus file che in realtà non lo sono. Questo può portare alla cancellazione di file necessari o all’impossibilità di aprirli o scaricarli dal web. Spesso questi problemi sono associati alla componente euristica dei programmi antivirus, la prossima voce del nostro dizionario.
Euristica negli antivirus
Invece di utilizzare solamente definizioni dei virus conosciuti statiche, che descrivono il malware che è già stato catalogato, la funzione di euristica descrive i possibili comportamenti dannosi. Il software antivirus che utilizza l’euristica è in certi casi di capire se un file è un malware, anche se non è mai stato analizzato prima, ma questa tecnica è inclina a dare risultati falsi positivi.
Server di comando e controllo
Spesso il malware tenta di connettersi a qualche server utilizzato dagli hacker che lo hanno sviluppato per ricevere istruzioni o caricare i dati personali rubati agli ignari utenti. Questi server sono chiamati server di comando e controllo.