Negli ultimi anni, la parola spyware ha suscitato una reazione immediata da parte di coloro che navigano in Internet. Pubblicità a comparsa, improvvisi rallentamenti delle connessioni Internet e strane icone che si visualizzano misteriosamente sul desktop ed impossibili da rimuovere sono tutti elementi associati ad un tipo di programma denominato spyware. Sebbene meno comuni, questi semplici disturbi possono rientrare in un comportamento chiaramente malevolo. Ad esempio, il programma può ricercare e sottrarre informazioni riservate, quali i nomi utenti e le password, a fini fraudolenti.
Data la relativa novità dello spyware e l'ampia varietà di programmi raggruppati in questa categoria, vi è molta confusione circa i programmi e i rischi per la sicurezza che essi presentano ai consumatori e alle organizzazioni. Con oltre 20 anni di esperienza nella protezione degli individui e delle aziende dalle minacce malware, Symantec più di chiunque altro è in grado di aiutare a comprendere ed affrontare i problemi relativi allo spyware. L'esclusivo approccio antispyware di Symantec è guidato dalle necessità dei nostri clienti e partner, oltre che da anni di supremazia nell'ambito della sicurezza. Grazie al nostro approccio antispyware, utenti e organizzazioni sono in grado di riguadagnare il controllo sui rispettivi ambienti e sistemi e di utilizzare i software a loro più convenienti rimuovendo i programmi non desiderati.
Mentre minacce come Blaster, Welchia ed altri malware molto noti infestavano Internet nel 2003, senza alcun clamore, un altro problema che si manifestava sottoforma di programmi spyware proliferava tra i sistemi degli utenti. In risposta a questa nuova area di rischio (che Symantec ha definito minaccia estesa) abbiamo iniziato a supportare i clienti consentendo loro di rilevare spyware ed altri programmi non desiderati nei rispettivi computer tramite l'uso dei prodotti Norton™ e Symantec™ AntiVirus. Tale protezione costituiva un aiuto estremamente necessario contro un problema poco conosciuto che all'epoca era offuscato da minacce malware più rilevanti e distruttive.
I tempi sono decisamente cambiati e l'approccio di Symantec a ciò che veniva definita minaccia estesa si è evoluto per far fronte alle sfide proposte da programmi notoriamente conosciuti come spyware. Il nostro approccio antispyware è centrato su definizioni chiare, analisi attive sui rischi dei programmi spyware ed adware e sull'aiuto fornito ai clienti nel comprendere e controllare con facilità i contenuti dei sistemi tramite una guida comprensibile e una rimozione massiccia del software non desiderato.
Tale approccio si basa su anni di esperienza nella gestione di problematiche simili relative alla sicurezza. Per anni infatti, grazie ai prodotti Symantec gli utenti sono stati in grado di consentire o meno nei propri sistemi dei contenuti accettabili per alcuni, ma discutibili per altri, come ad esempio i contenuti per adulti. La nostra esperienza rivolta a sfide come questa, che dipendono dalle preferenze degli utenti e dalla postazione dei loro computer (ovvero, a casa o in ufficio), ci ha dimostrato che l'educazione e la flessibilità sono fondamentali. Tenendo presente ciò, l'obiettivo di Symantec è di guidare i clienti a compiere la scelta migliore per se stessi, le loro famiglie o la loro azienda.
Crediamo inoltre che sia importante non ingigantire i problemi legati alla sicurezza perché in tal modo si creano dubbi e paure non motivati e si desensibilizzano le persone nei confronti di minacce più gravi. A tal scopo, Symantec fa una netta distinzione tra le minacce malware quali i virus e le possibili applicazioni non desiderate come spyware ed adware, che rientrano nella categoria dei programmi che mettono a rischio la sicurezza. Oltre allo spyware e all'adware, rappresentano un rischio per la sicurezza anche i dialer, le utility di accesso remoto, gli strumenti di hacking e altri tipi di applicazioni che potrebbero o meno risultare accettabili in un sistema.
Dal momento che vi sono numerose somiglianze nelle definizioni utilizzate da organizzazioni, accademie, società antispyware ed altri, non si è ancora giunti a una descrizione comune di questo settore in rapida crescita e spesso confuso. Symantec definisce lo spyware e l'adware nel modo seguente:
Spyware: programmi che hanno la capacità di eseguire scansioni dei sistemi o di monitorare le attività e trasmettere informazioni ad altri computer o posizioni nel ciberspazio. Le informazioni che possono essere raccolte attivamente o passivamente e diffuse dallo spyware comprendono password, dettagli di accesso ai sistemi, numeri di account, informazioni personali, file o altri documenti riservati. Lo spyware può anche raccogliere e distribuire informazioni riguardanti il computer dell'utente, le applicazioni in esecuzione, l'utilizzo del browser Internet e altre abitudini di lavoro con il computer.
Spesso lo spyware tenta di rimanere inosservato, nascondendosi attivamente o semplicemente non segnalando all'utente la propria presenza in un sistema. Questi tipi di programmi possono essere scaricati dai siti Web (solitamente in shareware o freeware), messaggi di e-mail e programmi di messaggistica istantanea. Inoltre, un utente potrebbe inconsapevolmente ricevere e/o attivare lo spyware accettando il contratto di licenza d'uso (EULA) di un programma ad esso collegato o visitando un sito Web che lo scarica anche senza un contratto di licenza.
Adware: programmi che agevolano il recapito di contenuto pubblicitario all'utente tramite l'interfaccia dell'utente o di altri programmi. In alcuni casi, questi programmi possono raccogliere dati presenti nel computer dell'utente, tra cui informazioni relative all'utilizzo del browser Internet o ad altre abitudini di lavoro, e trasmetterli a un computer remoto o ad altre posizioni nel ciberspazio.
I programmi adware possono essere scaricati dai siti Web (tipicamente in shareware o freeware), messaggi di e-mail e programmi di messaggistica istantanea. Inoltre, un utente potrebbe inconsapevolmente ricevere e/o attivare l'adware accettando il contratto di licenza d'uso (EULA) di un programma ad esso collegato o visitando un sito Web che lo scarica anche senza un contratto di licenza.
Le definizioni di Symantec non implicano alcun giudizio di rilievo sull'appropriatezza dei programmi spyware ed adware o sulle attività commerciali che ne supportano lo sviluppo e la distribuzione. Le definizioni di Symantec descrivono la funzionalità di tali programmi in modo da poterli classificare in base ai rischi che essi comportano.
Mentre i rischi per la sicurezza, come lo spyware e l'adware possono essere considerati un'estensione del problema relativo al malware, nel sistema di classificazione esistente delle minacce quali worm e virus, che sono sempre sgraditi e dovrebbero essere rimossi automaticamente dal computer, non rientra questa nuova categoria di applicazioni potenzialmente indesiderate. Date le importanti differenze tra le minacce malware ed i programmi che mettono a rischio la sicurezza, Symantec ha ideato un sistema di classificazione dei rischi per classificare gli adware e le applicazioni correlati, in grado di guidare gli utenti a prendere delle decisioni informate su ciò che possibile tenere o che è necessario rimuovere dal computer (vedere Figura 1). Mediante l'uso di un calcolatore di rischi, tale sistema suddivide l'impatto generale delle applicazioni in quattro categorie diverse, assegnando per ciascuna applicazione un livello di rischio "alto", "medio" o "basso" e fornendo accanto un consiglio su come procedere. Di seguito è riportata una descrizione dettagliata delle quattro categorie utilizzate nel sistema di classificazione dei rischi (ovvero impatto sulle prestazioni, impatto sulla privacy, facilità di rimozione e stealth) unitamente a una panoramica del sistema di classificazione dei rischi.
Impatto sulle prestazioni
Uno degli aspetti più problematici per utenti ed amministratori è rappresentato dall'impatto inaspettato che i programmi spyware ed possono avere sulle prestazioni di un sistema o di una rete. Problemi quali arresti del sistema, connessioni Internet bloccate e comportamento anomalo del browser Web, rientrano tutti nella categoria "impatto sulle prestazioni", che misura l'effetto di un programma che mette a rischio la sicurezza in termini di stabilità, velocità e prestazioni di un sistema. I programmi con un punteggio maggiore all'interno di tale categoria possono causare inutili sprechi di tempo per la risoluzione dei problemi, più chiamate all'help desk IT e/o fastidiosi disordini. Di seguito è riportato un esempio limitato di comportamenti che rientrano nella categoria delle applicazioni che si ritiene possano compromettere le prestazioni:
| Classificazione | Descrizione di base |
|---|---|
| Alto | Impatto significativo sulla stabilità del sistema e/o sulle prestazioni |
| Medio | Finestre a comparsa frequenti, sostituzione della home page, reindirizzamento delle pagine Web e dei risultati di ricerca |
| Basso | Impatto minimo sulle prestazioni del sistema |
Impatto sulla privacy
Benché sia comunemente invisibile all'utente, la violazione della privacy di un utente e di un'organizzazione da parte di spyware e, meno frequentemente di adware, costituisce una grande preoccupazione. L'impatto sulla privacy di un'applicazione che mette a rischio la sicurezza indica la quantità di informazioni relative all'utente che vengono carpite tramite le operazioni eseguite, per essere usate da terzi (cioè dalla società che propaga spyware o adware). Le informazioni sottratte dal programma variano dalla modalità di navigazione del Web ai dati sensibili, come i nomi utente e le password che possono essere utilizzati unitamente al furto di identità o ai trasferimenti non autorizzati del conto bancario di una vittima. Una volta sottratte, di norma le informazioni dell'utente vengono ritrasmesse a terzi tramite Internet, ma è anche possibile che vengano utilizzati altri mezzi di trasmissione o che vengano archiviate localmente. Di seguito è riportato un esempio limitato di comportamenti che rientrano nella categoria delle applicazioni che si ritiene possano compromettere la privacy:
| Classificazione | Descrizione di base |
|---|---|
| Alto | Divulgazione di informazioni riservate e sensibili quali numeri di conto corrente bancario e relativa password, altri numeri di conto e password, identificatori di carte di credito e codici fiscali (o codici equivalenti in altri paesi del mondo) |
| Medio | Tracciabilità delle modalità di navigazione del Web e di altri comportamenti simili, assenza di norme sulla privacy (ad esempio in un contratto di licenza d'uso), norme sulla privacy incoerenti con i comportamenti osservati |
| Basso | Nessuno o minimo impatto sulla privacy |
NOTA: benché la presenza di un contratto di licenza d'uso (EULA) in cui gli utenti vengono informati sul tipo di informazioni prelevate e sul relativo uso può comportare dei rischi inferiori rispetto a un'applicazione priva di tale contratto, Symantec considera comunque i programmi con questo tipo di divulgazione come spyware. Un aspetto importante dello spyware riguarda le conseguenze causate dal software, che solitamente nel contratto di licenza d'uso non sono riportate esplicitamente. Inoltre, spesso l'EULA è un documento molto lungo esposto in una finestra di piccole dimensioni e in un linguaggio legale, di difficile comprensione per la maggior parte delle persone.
Facilità di rimozione
Poiché i programmi spyware ed adware tentano di prolungare la permanenza sul sistema, spesso risulta difficile rimuoverli. I parametri di rimozione di Symantec si basano sulla difficoltà effettiva nel rimuovere un'applicazione non desiderata da un sistema. Il comportamento per questa categoria varia a seconda delle applicazioni che è possibile rimuovere facilmente tramite un programma di disinstallazione certificato delle applicazioni spyware ed adware che si incorporano nel computer e si rifiutano di essere rimosse. Di seguito è riportato un esempio limitato di comportamenti che rientrano nella categoria delle applicazioni che si ritiene facili da rimuovere:
| Classificazione | Descrizione di base |
|---|---|
| Alto | Opposizione alla disinstallazione, disinstallazione non funzionante o incompleta |
| Medio | Mancanza della funzione di disinstallazione o di istruzioni di disinstallazione autoguidate |
| Basso | Il programma che mette a rischio la sicurezza può effettivamente essere rimosso tramite una funzione di disinstallazione standard in modo che non venga più eseguito sul computer e che le tracce residue siano minime se non nulle |
Stealth
Una delle caratteristiche comuni associate allo spyware e talvolta all'adware è rappresentata dalla stealth: i programmi possono tentare di installarsi da soli senza che l'utente se ne accorga e rimangono nascosti per evitare di farsi rilevare e rimuovere. La natura imprevedibile ed apparentemente invisibile di questo software gli consente di rimanere sul computer e di eseguire le sue attività (ad esempio, traccia dei comportamenti, inserimento di publicità a comparsa e così via) a insaputa dell'utente. Nel comportamento stealth sono comprese installazioni completamente "invisibili" o inosservate e operazioni nascoste, così come programmi che informano l'utente dell'installazione e che sono facilmente visibili sul computer (ovvero, vengono visualizzate le icone, i processi ecc. del programma ed è possibile capire in che modo è giunto nel computer).
Di seguito è riportato un esempio limitato di comportamenti che rientrano nella categoria delle applicazioni stealth:
| Classificazione | Descrizione di base |
|---|---|
| Alto | Rivela la maggior parte o tutti i comportamenti stealth quali l'installazione invisibile, l'assenza di interfaccia utente e l'occultamento dei processi dell'applicazione |
| Medio | Rivela alcuni, ma non tutti i comportamenti stealth, quali l'installazione invisibile, l'assenza di interfaccia utente o l'occultamento dei processi dell'applicazione |
| Basso | Installazione e comportamenti dell'applicazione regolari |
Nell'esempio seguente è illustrato come viene utilizzata la valutazione dei rischi di Symantec per determinare l'eventuale impatto di un programma adware su un computer dell'utente.
| Categoria | Comportamento | Punteggio |
|---|---|---|
| Prestazioni | Frequenti pubblicità a comparsa e consumo di quantità notevoli di risorse del sistema | Alto |
| Privacy | Le modalità di navigazione del Web vengono tracciate e le informazioni sul sito Web visitato dall'utente vengono rinviate al fornitore dell'adware per essere sottoposte ad analisi e per l'invio di pubblicità mirate (ad esempio, pubblicità a comparsa) | Medio |
| Rimozione | Il programma non include una funzione di disinstallazione e oppone resistenza all'eliminazione manuale eseguita dall'utente | Alto |
| Stealth | Installazione invisibile del programma nel browser Web dell'utente senza notifica o presentazione di un contratto di licenza d'uso (EULA); i processi del programma sono visibili in Task Manager Windows | Alto |
Classificazione complessiva: Rischio elevato
Azione consigliata: Rimozione automatica
Il punteggio e la classificazione dei rischi complessivi vengono utilizzati da LiveUpdate di Symantec affinché i clienti possano disporre di una protezione aggiornata contro gli spyware ed altri programmi che mettono a rischio la sicurezza.
Misure di riclassificazione e falsi positivi dei rischi per la sicurezza
Talvolta i venditori di software possono obiettare la classificazione di Symantec che categorizza ingiustamente o inaccuratamente i loro prodotti come programmi che mettono a rischio la sicurezza. In casi simili, i fornitori possono richiedere a Symantec di eseguire ulteriori analisi e di ricercare una soluzione, compilando e inviando l'apposito modulo in linea. Symantec offre inoltre un modulo basato su Web per riportare i rilevamenti di falsi positivi di spyware ed adware.
Grazie alla sua vasta esperienza di leader nell'ambito della sicurezza, Symantec si trova in una posizione unica per affrontare le minacce dei programmi spyware ed adware. Il cuore delle attività antispyware di Symantec è rappresentato da Global Intelligence Network, l'infrastruttura di sicurezza scalabile leader mondiale, con oltre 120 milioni di installazioni antivirus per desktop, server e gateway in grado di catturare spyware ed adware e di rinviarli ai centri Symantec Security Response per sottoporli ad analisi Grazie alle dimensioni e alla portata globale di tale rete, Symantec è in grado di discernere meglio di chiunque altro i problemi di spyware ed adware, consentendo così agli utenti e alle organizzazioni di tutto il mondo di potenziare considerevolmente le rispettive barriere di protezione.
I centri Symantec Security Response, dislocati in Nord America, Asia, Australia ed Europa, sono gestiti da ricercatori che rappresentano una sezione trasversale degli esperti più stimati nell'ambito della sicurezza, che offrono ai clienti una copertura di 24 ore al giorno per rispondere in qualsiasi momento a gravi evenienze. La varietà delle minacce e dei rischi per la sicurezza che vengono gestiti dagli analisti di Symantec Security Response li pone all'avanguardia nella ricerca sullo spyware. Ad esempio, i ricercatori antispyware di Symantec, possono avvantaggiarsi non solo delle conoscenze e dell'esperienza dei membri del rispettivo gruppo, ma anche di quelle degli specialisti antispam di Symantec, che controllano e analizzano i messaggi di posta non richiesti che vengono utilizzati per diffondere i programmi di installazione degli spyware. In modo analogo, gli esperti di intrusione Symantec analizzano i modi in cui può essere sfruttata la vulnerabilità del browser Web unitamente allo spyware, per installare furtivamente le applicazioni in modalità "invisibile" o "di passaggio".
Spyware ed adware stanno diventando sempre più sofisticati. Alcuni programmi mostrano comportamenti di virus tradizionali per evitare di essere rilevati, ad esempio cambiano forma e comportamento o si radicano profondamente all'interno del sistema. La rinnovata esperienza di Symantec nell'eliminazione dei malware, unita a un team di ricercatori di antivirus esperti, è in grado di prevenire tali rischi per la sicurezza.
L'approccio antispyware di Symantec, Global Intelligence Network ed una comprovata esperienza nella lotta contro i problemi legati alla sicurezza, come lo spyware, forniscono ai nostri clienti una gamma di soluzioni completa che consente loro di riguadagnare controllo sui rispettivi sistemi e reti. Infine, tali soluzioni e misure consentono agli utenti individuali e alle organizzazioni di prendere delle decisioni informate in merito ai software da tenere o da rimuovere dal computer in modo da ottenere una produttività ed una protezione della privacy maggiori.
La migliore difesa contro i rischi per la sicurezza emergenti, quali spyware ed adware, è la collaborazione tra le società e le organizzazioni. Symantec opera in collaborazione con gruppi industriali, enti legislativi, autorità giudiziarie ed associazioni di altro tipo per far fronte alle sfide ed ai rischi a cui lo spyware sottopone utenti e organizzazioni di tutto il mondo.
Per ulteriori informazioni sui programmi spyware ed adware, è possibile registrarsi a ses.symantec.com/antispyware per ricevere una copia gratuita del documento "Analisi della valutazione dei rischi di spyware ed adware".
Technorati
Facebook
MySpace
LinkedIn
OKNOtizie
Segnalo
Buzz
Wikio
Digg
Delicious