Mondo
A febbraio 2005 Joe Lopez, un uomo d’affari della Florida, mosse un’azione legale contro la Bank of America dopo che degli hacker sconosciuti avevano rubato 90,000 dollari dal suo conto. I soldi erano stati trasferiti in Lettonia.
Un’indagine dimostrò che il computer di Lopez era stato infettato da un programma maligno, Backdoor.Coreflood, che registra ogni battuta sulla tastiera e invia queste informazioni via Internet.
In questa maniera gli hacker entrarono in possesso della user name e della password di Joe Lopez, visto che Lopez aveva utilizzato spesso Internet per gestire il proprio conto sulla Bank of America.
Tuttavia, la Corte non deliberò in favore della vittima, dichiarando che Mr Lopez non aveva preso alcun tipo di precauzione di base nel gestire su Internet il suo conto bancario. Infatti, la segnalazione del codice maligno trovato all’interno del suo sistema, era stata aggiunta in quasi tutti i database di prodotti antivirus già nel 2003.
La perdita di denaro da parte di Joe Lopez era stata causata dalla sua noncuranza e da un programma ordinario di keylogging.
Il termine “keylogger” è un termine neutrale, la parola descrive la funzione del programma. La maggior parte delle fonti definiscono un keylogger come un programma software ideato per monitorare tutte le battute che vengono effettuate sulla tastiera di un computer.
Alcuni programmi legittimi possono prevedere una funzione di keylogging, ad esempio per l’utilizzo di alcune funzioni di un programma mediante l’uso dei “hotkey”. Ci sono molti software legittimi creati per consentire agli amministratori di tenere traccia di quello che i lavoratori fanno durante il giorno, o per consentire agli utenti di tenere traccia delle attività effettuate da terzi sui loro computer. Comunque, il confine etico tra monitoraggio giustificato e spionaggio è alquanto sottile. I software legittimi spesso sono utilizzati deliberatamente per rubare all’utente informazioni confidenziali come le password.
La maggior parte dei keylogger odierni sono considerati software o hardware legittimi e sono venduti sul mercato aperto. Gli sviluppatori e i venditori offrono una lunga lista di casi nei quali sarebbe del tutto legale e consono utilizzare i keylogger. La lista comprende il controllo del Pc da parte dei genitori, delle mogli gelose, delle società che vogliono tenere traccia dell’uso dei computer nel caso di attività non relative al lavoro o dei caratteri e delle parole chiave e delle frasi associate con informazioni commerciali che potrebbero danneggiare la società.
Comunque, le giustificazioni indicate sopra sono più soggettive che oggettive; tutte le situazioni descritte possono esser risolte usando altri metodi. In più, ogni programma di keylogging legittimo può sempre esser utilizzato per un intento maligno o criminale. Oggi, i keylogger sono usati soprattutto per rubare agli utenti informazioni relative a diversi sistemi di pagamento on-line, tanto che gli scrittori di virus scrivono continuamente nuovi Trojan keylogger per questo preciso scopo.
Per di più, molti keylogger si nascondono all’interno del sistema (ad esempio hanno funzionalità rootkit) che li fa apparire come dei programmi Trojan veri e propri.
Da quando tali programmi hanno cominciato ad essere utilizzati dai criminali della rete, la loro individuazione è diventata una priorità per le società antivirus. Il sistema di classificazione dei malware di Kaspersky Antivirus enumera una categoria ad hoc per i programmi maligni con funzionalità di keylogging come ad esempio i Trojan-Spy, programmi che tengono traccia dell’attività dell’utente, salvano le informazioni nell’hard disk dell’utente e poi le inoltrano all’autore o all’utilizzatore del Trojan. Le informazioni raccolte includono le battute sulla tastiera e le schermate, utilizzate per rubare informazioni bancarie , aiutando così le frodi on-line.
A differenza di altri tipi di programmi maligni, i keylogger non rappresentano alcun pericolo per il sistema in se stesso. Tuttavia, questi possono portare un grave pericolo per gli utenti, in quanto possono essere usati per intercettare password ed altre informazioni confidenziali inserite attraverso la tastiera del computer. Come conseguenza, i criminali della rete possono appropriarsi di codici PIN e numeri di conto per sistemi di pagamenti on-line, password per conti di giochi online, indirizzi eMail, user name, eMail password, etc.
Una volta che un criminale della rete si è impossessato di informazioni confidenziali dell’utente, può trasferire denaro dal conto dell’utente o accedere ai conti dei siti di giochi on-line. Sfortunatamente, l’accesso a informazioni confidenziali può alle volte portare a conseguenze ben più serie che ad una perdita di qualche dollaro. I keylogger possono essere utilizzati come strumenti per spionaggio industriale e politico, attraverso l’accesso a informazioni che possono contenere dati commerciali di proprietà e materiale che potrebbe compromettere la sicurezza di organizzazioni commerciali e statali (per esempio, rubando chiavi private codificate).
I keylogger, il phishing e il social engineering rappresentano oggi i principali metodi utilizzati per le frodi in rete. Gli utenti che sono a conoscenza dei problemi di sicurezza possono facilmente proteggersi contro il phishing ignorando le eMail sospette e non inserendo alcuna informazione personale all’interno di siti web a cui le email indirizzano. Comunque, per gli utenti è molto più difficile combattere i keylogger: l’unico metodo possibile è quello di usare una soluzione di sicurezza appropriata, anche se di solito risulta impossibile per l’utente capire che è stato installato un keylogger all’interno della sua macchina.
Secondo Cristine Hoepers, manager del Computer Emergency Response Team del Brasile per la Commissione di Guida di Internet,i keylogger hanno tolto i phishing dal primo posto nella classifica dei metodi più utilizzati per rubare informazioni confidenziali. Inoltre, i keylogger stanno diventando sempre più sofisticati in quanto tengono traccia dei siti web visitati dall’utente e registrano soltanto le battute della tastiera per entrare nei siti web di particolare interesse per i criminali della rete.
Uno dei casi di keylogging più famosi è stato il furto di 1 milione di dollari americani dai conti di clienti della banca scandinava Nordea. Ad agosto 2006 i clienti di Nordea cominciarono a ricevere delle eMail che sembravano provenire dalla banca in cui si suggeriva di installare un certo prodotto antispam che era allegato al messaggio. Una volta che l’ utente apriva il file e lo scaricava sul suo computer e la macchina si infettava con il conosciuto Trojan chiamato Haxdoor. Questo veniva attivato ogni qualvolta la vittima si registrava ai servizi online e il Trojan mostrava una notifica di errore con la richiesta di inserire di nuovo le informazioni di registrazione.
Secondo quanto dichiarato dall’autore dell’Haxdoor, il Trojan era stato anche utilizzato per alcuni attacchi contro banche australiane e molte altre.
A febbraio 2006, la polizia brasiliana arrestò 55 persone coinvolte nella diffusione di programmi maligni usati per rubare informazioni e password all’interno di sistemi Bancari. Il totale dei soldi rubati da 200 conti di clienti di sei banche del paese fu di 4.7 milioni di dollari.
Più o meno nello stesso periodo, fu arrestato un gruppo di giovani criminali (20-30 anni) russi e ucraini. Alla fine del 2004, il gruppo aveva incominciato ad inviare ai clienti di banche in Francia e ad un numero di altri paesi dei messaggi eMail che contenevano un programma maligno, ossia un keylogger. Inoltre, questi programmi spia furono installati all’interno di siti web creati appositamente; gli utenti furono spinti ad andare su questi siti usando classici metodi di social engineering. Nella stessa maniera utilizzata nei casi descritti sopra, il programma si attivava ogni volta che gli utenti visitavano i siti web delle loro banche e raccoglieva tutte le informazioni inserite dall’utente e le inviava ai criminali della rete. Nel giro di 11 mesi furono rubati oltre 1 milione di dollari
Il fatto che i criminali sempre più spesso scelgano di usare i keylogger è confermato anche dalle compagnie di sicurezza IT.
Uno dei recenti rapporti di VeriSign sottolinea come in questi ultimi anni la compagnia si sia registrata una rapida crescita del numero di programmi maligni con funzionalità di keylogging.
Un rapporto pubblicato da Symantec mostra che quasi il 50% dei programmi maligni identificati dagli analisti della società durante l’anno scorso non minacciano direttamente i computer ma sono utilizzati dai criminali della rete per la raccolta di informazioni personali dell’utente.
In base a quanto stabilito da una ricerca condotta da John Bambenek, un analista del SANS Institute, circa 10 milioni di computer solo negli USA sono attualmente infettati con programmi maligni che possiedono una funzione di keylogging. Utilizzando questi dati, insieme al numero totale degli utenti americani di sistemi di pagamento on-line, si stima che l’ammontare totale di possibili perdite possa raggiungere i 24.3 milioni di dollari.
Attualmente il database antivirus di Kaspersky contiene più di 300 famiglie di keylogger. Questo numero non comprende i keylogger che sono parte di minacce più complesse (ad esempio quelli in cui il componente spia è dotato di ulteriori funzionalità).
Di recente, sono diventati assai numerosi i keylogger che camuffano i loro file per evitare di essere scoperti manualmente o da un programma antivirus. Queste tecniche di cautela sono chiamate tecnologie rootkit.
La maggior parte delle società di antivirus hanno già provveduto ad aggiungere nei loro database i keylogger conoscuti, offrendo una protezione contro i keylogger non diversa da quella offerta per proteggersi da altri tipi di programmi maligni: attraverso l’installazione di un prodotto antivurus e aggiornando il database. Tuttavia, poiché la maggior parte dei prodotti antivirus classificano i keylogger come programmi potenzialmente maligni o potenzialmente indesiderabili, gli utenti devono assicurarsi che il loro prodotto antivirus identifichi questo tipo di malware attraverso delle applicazioni di default. Altrimenti il prodotto dovrebbe essere configurato, per assicurare una protezione contro i più comuni keylogger.
