Antivirus, worm, trojan e le minacce informatiche presenti su Facebook. Alberto Wu, esperto informatico di ClamAV, società produttrice di antivirus, ci spiega quali sono i peggiori virus, come funzionano, come agiscono su Facebook rendendo il computer uno «zombie» e il decalogo per difendersi.
Il sito webnews.it ha inserito nella lista dei peggiori virus di tutti i tempi le seguenti nove minacce: CIH, Melissa, Iloveyou, Code Red, SQL Slammer, Blaster, Bagle, MyDoom, Sasser. Su quali concorda e quali no, quali aggiungerebbe, qual è stato in assoluto il più dannoso?
Dal mio punto di vista la lista è sostanzialmente accurata – osserva Alberto Wu -. Anche se rispondere a una domanda simile è tutt'altro che semplice perché, nel tempo, gli scenari dell'information technology sono mutati notevolmente. In un certo senso si corre il rischio di paragonare mele con pere. Per esempio, il Morris Worm ha infettato (e di fatto reso inutilizzabili per diversi giorni) circa 6mila macchine. Oggi un numero del genere suona ridicolo, ma nel 1988, anno di rilascio del Morris, significava il 10% di internet. Detto questo, nella lista manca certamente Conficker. Potendo sforare i dieci nomi aggiungerei anche Nimda, Klez, Netsky e Stration. Quanto al più dannoso se si riferisce ai danni cagionati, in assoluto probabilmente Conficker o ILoveYou. Se si riferisce invece alla malignità intrinseca e alla volontà di produrre un danno alle vittime, certamente CIH
Quali sono stati i virus più temuti, ma che si sono rivelati dei flop?
Senza offesa per la categoria di cui fa parte, gli scoop del giornalismo non tecnico in merito a fantomatici e micidiali virus informatici si sprecano. Anche se, a dirla tutta, le imbeccate arrivano generalmente dagli uffici marketing delle società produttrici di antivirus... Comunque sia, penso che la bufala più grossa sia stato il Soccer Worm durante i mondiali di calcio in Germania.
Che cosa differenzia i virus di vecchia generazione dai più recenti worm?
Schematizzando e generalizzando al massimo, la storia del malware, è la seguente:
- PREISTORIA
Il malware di quest'epoca è roba da laboratorio, ambito entro il quale rimane per lo più confinato.
- ANNI 90
E' l'epoca dei virus (in senso stretto): programmi che replicano e veicolano se stessi tramite l'infezione ai danni di altri programmi. Sono creature tecnicamente complicate, create da singoli individui appartenenti a cerchie ristrette e molto chiuse. I virus vengono a contatto con il grande pubblico, ma, non sfruttando la rete, si diffondono lentamente e spesso solo in ambiti circoscritti. Se ne contano da un paio al mese a una decina al giorno.
- 2000-2005
La crescente diffusione della rete internet produce una mutazione sostanziale del malware. I virus tradizionali sono inizialmente in declino e poi scompaiono (quasi) del tutto. Il trend crescente sono i worm: programmi che sfruttano la rete per riprodursi e propagarsi in modo estremamente veloce e massiccio. Scrivere worm non richiede necessariamente competenze tecniche estreme e il malware diventa alla portata di tutti i ragazzini mediamente informatizzati (spesso indicati con il termine dispregiativo di script kiddies). La rete offre anche l'importante caratteristica di poter controllare le macchine infette, tuttavia questa opportunità è solo marginalmente esplorata. I nuovi virus a partire dal 2000 nascono al ritmo di circa 30 al giorno inizialmente, poi fino a 300 al giorno.
2005-2010
La possibilità di controllare via Internet le macchine infette dà inizio all'epoca del malware come business. I worm tramontano e arrivano i Trojan (o bot - abbreviativo di robot): programmi incapaci di replicarsi o di diffondersi autonomamente e destinati a spiare o controllare la macchina infetta. Una volta infettato dal trojan, il pc diventa metaforicamente uno “zombie”, ovvero perde la propria volontà ed esegue gli ordini impartiti via internet dal suo padrone. Gli zombie controllati da un medesimo padrone sono riuniti in un'unica rete chiamata botnet la quale conta diverse centinaia di migliaia o anche milioni di nodi. Le potenzialità offerte dalla botnet sono innumerevoli, assolutamente illegali e altamente remunerative. Si possono ad esempio spiare numeri di carte di credito, account bancari o identificativi personali atti al furto d'identità. Si possono generare proventi mediante advertisement online costringendo i bot a “cliccare” certi link pubblicitari.
Altra prassi comune è quella del ricatto: si sottopone un sito a denial of service (vengono inoltrate al sito in oggetto molte più richieste di quante questo sia in grado di gestire, rendendolo in tal modo inutilizzabile) fintanto che il titolare non provvede al pagamento della somma richiesta. Infine è possibile inviare spam, decodificare testi crittografati, ricercare siti penetrabili o nuove vittime, ecc. In conclusione una botnet medio/piccola ha maggiore capacità di calcolo e migliore connettività del più potente supercomputer esistente. A differenza dei predecessori, i Trojan non contengono quasi mai payload intenzionalmente distruttivi. Preferiscono mantenere un profilo basso in modo da passare inosservati il più a lungo possibile