UNA NUOVA peste digitale ha colpito la Rete, infettando milioni di computer personali e aziendali in quello che sembra essere il primo passo di un attacco in più fasi. I maggiori esperti di sicurezza informatica del pianeta ancora non sanno chi sia il responsabile di questa infezione o quale sarà la fase successiva.
Nelle ultime settimane un warm, un programma informatico nocivo, è dilagato attraverso le reti informatiche di aziende, scuole, università ed enti pubblici in tutto il mondo. Conosciuto come Conficker o Downadup, si diffonde sfruttando una falla scoperta di recente del sistema operativo Windows, indovinando la password di rete e usando come vettore accessori portatili di uso comune come le chiavette Usb. Secondo gli esperti si tratterebbe della peggiore infezione da quando il worm
Warm come il Conficker, oltre a rimbalzare da un lato all’altro della Rete alla velocità della luce, agganciano i computer infettati a sistemi unificati ch Slammer dilagò su Internet nel gennaio del 2003, e potrebbe aver infettato qualcosa come 9 milioni di personal computer in tutto il mondo. iamati “botnet”, che successivamente ricevono istruzioni di programmazione dai loro padroni occulti.
È conosciuto come Downadup Conflicker ed è solo l’ultima minaccia informatica che ha preso di mira milioni di computer in tutto il mondo. Vittime di questo software maligno sono tutte le versioni di Windows da 2000 a Vista. A fare il punto sulla situazione è stata Bbc che pochi giorni fa ha annunciato il superamento di 3 milioni di macchine infettate, eppure il numero sembra tutt’altro che stabilizzato. Per contrastare l’infezione elettronica, gli utenti sono invitati a installare sui propri Pc Windows la patch (letteralmente una «pezza») rilasciata da Microsoft già ad ottobre, scaricabile dal sito ufficiale.
LE TAPPE DELLA DIFFUSIONE – Conflicker è un worm, cioè un tipo di software dannoso per i sistemi informatici che ha il compito di creare un buco di sicurezza all’interno di un computer, favorendo così il download di virus e altri file, intasando le reti locali e danneggiando le singole macchine. Il worm Conflicker ha iniziato a diffondersi tra ottobre e novembre 2008, infettando immediatamente un migliaio di Pc con sistema operativo Windows, come si legge sul sito di Symantec. Da ottobre a inizio gennaio la corsa si fa sempre più serrata, nonostante la patch rilasciata tempestivamente. Il 13 gennaio un rapporto dettagliato di F-Secure, azienda specializzata nell’individuazione delle minacce informatiche, traccia quasi 3 milioni di computer infettati da Conflicker, di cui oltre 13 mila in Italia, sesto Paese nella classifica dei più colpiti dal worm. A soli quattro giorni di distanza, F-Secure è stata costretta ad alzare l’allerta, annunciando che il numero dei computer colpiti ha raggiunto globalmente 8,9 milioni.
COME FUNZIONA IL WORM – Se un Pc dotato di sistema operativo Windows vulnerabile si collega a un sito oppure utilizza periferiche come chiavi Usb già infette, il worm viene scaricato automaticamente sulla macchina ed entra immediatamente in attività, ricercando all’interno dei file di sistema il file eseguibile «services.exe» sostituendo parte del codice e copiandosi all’interno della cartella Windows (come file .dll). Successivamente, il worm modifica il registro di sistema, un archivio tipico dei sistemi operativi Microsoft in cui vengono racchiuse le impostazioni fondamentali per l’avvio delle applicazioni. In questo modo, il file .dll viene reso eseguibile e inizia a scaricare file direttamente da un sito hacker, reso difficile da rintracciare.
“Se stai cercando una Pearl Harbor digitale, qui abbiamo le navi giapponesi che avanzano all’orizzonte”, dice Rick Wesson, amministratore delegato della Support Intelligence, una società di San Francisco che offre consulenza nel campo della sicurezza informatica. Molti utenti magari neanche si accorgono che le loro macchine sono state infettate, e i ricercatori del settore dicono che stanno aspettando che le istruzioni si materializzino per stabilire quale impatto avrà il “botnet” sugli utenti.
È in grado di operare in background, usando il computer infettato per inviare spam o infettare altri computer, oppure può rubare le informazioni personali dell’utente. “Non so perché la gente sia così indifferente rispetto a questi programmi – dice Merrick L. Furst, ricercatore informatico alla Georgia Tech – È come avere una talpa nella tua organizzazione in grado di fare cose come spedire ad altri tutte le informazioni trovate sui computer infettati”.
Microsoft a ottobre ha approntato in fretta e furia una patch d’emergenza per proteggere i sistemi Windows da questa vulnerabilità, ma il worm ha continuato a diffondersi a ritmo costante, nonostante nelle ultime settimane si stiano moltiplicando gli avvertimenti. All’inizio di questa settimana, i ricercatori della Qualys, una società di sicurezza informatica della Silicon Valley, hanno calcolato che circa il 30 per cento dei computer che montano Windows come sistema operativo e sono collegati alla Rete sono ancora a rischio d’infezione perché non hanno installato la patch, nonostante sia stata diffusa a ottobre. La stima della Qualys si basa su un’indagine condotta su 9 milioni di indirizzi Internet.
Secondo i ricercatori, il successo di Conficker è dovuto anche alla leggerezza con cui aziende e singoli utenti, che spesso non installano immediatamente gli aggiornamenti, affrontano il problema della sicurezza informatica. Un dirigente della Microsoft ha difeso il servizio di aggiornamenti di sicurezza della società, sostenendo che non esiste un’unica soluzione per il problema del malware (i programmi nocivi).
“Sono convinto che la strategia degli aggiornamenti funziona”, dice George Stathakopoulos, direttore generale del gruppo Security Engineering and Communications della Microsoft, aggiungendo però che le organizzazioni devono concentrarsi su tutti i problemi relativi alla sicurezza, dagli aggiornamenti tempestivi alla protezione delle password. “È tutta una questione di misure di protezione”, dice.
Alfred Huger, vicepresidente responsabile dello sviluppo al reparto protezione dagli attacchi della Symantec, dice: “Questo è un worm scritto molto bene”. Aggiunge che le società del settore stanno lavorando affannosamente da fare per cercare di svelare tutti i suoi segreti, un’impresa particolarmente ardua perché il programma è dotato di meccanismi di criptaggio che tengono celato il funzionamento interno a chi cerca di neutralizzarlo.
La maggior parte delle società di sicurezza informatica hanno aggiornato i loro programmi per individuare e sradicare questo software, e molte offrono programmi specializzati per individuarlo e rimuoverlo. Il programma usa una complessa tecnica, simile al gioco delle tre carte, per permettere a qualcuno di comandarlo a distanza. Ogni giorno genera una nuova lista di 250 nomi di dominio, ed esegue le istruzioni che provengono da uno qualsiasi di questi domini.
Per controllare il “botnet” un hacker non deve far altro che registrare un unico dominio per inviare istruzioni all’intero “botnet”, complicando enormemente il compito degli investigatori e delle società di sicurezza informatica che cercano di intervenire e bloccare l’attivazione del sistema unificato. I ricercatori si aspettano che nel giro di qualche giorno o di qualche settimana, il “bot-pastore” che controlla i programmi invii istruzioni per costringere il “botnet” a eseguire un’attività illegale di qualche genere.
Varie società di sicurezza informatica dicono che il Conficker, anche se sembra essere stato creato da zero, ha qualche affinità con i precedenti lavori di una sospetta associazione a delinquere dell’Est Europa, che realizzò profitti inviando ai personal computer programmi noti come “scareware” – che apparentemente avvisano gli utenti che il loro computer è stato infettato – chiedendo il numero della carta di credito per pagare un finto antivirus che in realtà infetta ulteriormente il loro apparecchio.
Un indizio interessante lasciato dagli autori del “malware” è che la prima versione del programma verificava innanzitutto se il computer non avesse una tastiera ucraina. Se ce l’aveva, la macchina non veniva infettata: a dircelo è Phil Porras, investigatore Internazionale della Sri, che ha disassemblato il software per capirne il funzionamento.
Il worm ha rilanciato il dibattito, all’interno del settore, sulla possibilità di sradicare il programma prima che venga usato inviando al “botnet” istruzioni per avvisare l’utente che il suo apparecchio è stato infettato. “Sì, stiamo lavorando su questo progetto, e anche molti altri lo stanno facendo”, dice un ricercatore specializzato in “botnet”, che chiede di restare anonimo. “Sì, è illegale, ma anche Rosa Parks quando si sedette nella parte davanti dell’autobus stava facendo una cosa illegale”.
L’idea di bloccare il programma sul nascere, prima che riesca a far danni, è contestata da molti nel settore della sicurezza informatica. È davvero una pessima idea”, dice Michael Argast, analista della sicurezza alla Sophos, una società inglese del settore. “I principi etici in questo campo sono sempre gli stessi da vent’anni a questa parte, perché la realtà è che puoi causare tanti problemi quanti nei puoi risolvere”.
John Markoff è un giornalista e scrittore statunitense specializzato in Informatica. Da anni è la prima firma del New York Times in questo settore. Insieme a Tsutomu Shimomura, contribuì all’arresto del famoso hacker Kevin Mitnick il 15 febbraio 1995.
ALL’INIZIO era una cascata di lettere verdi su uno schermo nero, come nelle scene più cupe di Matrix. Ora c’è Lord Voldemort. Allora, anni anni 80-90, erano ragazzini che si misuravano con la loro bravura, anche un po’ matti, mettevano in giri quei programmini-bomba. Non che non fossero tempi difficili, poteva capitare di perdere un anno di lavoro dal pc, se non avevi fatto una copia di sicurezza. E ogni settimana dovevi aggiornare l’antivirus. Lo stesso concetto ci sfuggiva: una leggenda metropolitana dice che l’impiegata di un ministero romano, sentendo dire che sul suo computer c’era un virus, chiese guanti di plastica alla direzione. Poi ci insegnarono che un virus è un programma, come tutti gli altri, ma che raggiunge uno scopo suo, estraneo alla volontà del proprietario del computer.
“Oggi – dice Alberto Berretti, matematico e docente di sicurezza informatica a Roma 2 – siamo alla terziarizzazione del crimine informatico. Computer di ignari cittadini possono essere adoperati per scopi grigi o criminali tout court. Regna una raffinata divisione del lavoro: chi scrive il virus non conosce chi lo distribuisce, e chi lo utilizza per scopi commerciali è ancora un altro soggetto sconosciuto agli altri due. È un delitto perfetto, che non ha niente di mitologico, ma che si serve della capacità della rete di far cooperare insieme centinaia, migliaia di computer. Il classico “uso negativo” della tecnologia”.
Quanto è serio l’allarme di questo virus Conficker, di cui si parla negli Usa?
“Con oltre nove milioni di computer infettati mi pare che la gravità si definisca da sola. È una cosa molto seria: basti pensare che la Microsoft, per far fronte a questo attacco ha rilasciato una correzione extra, eppure lo fa già su base mensile”.
Una volta l’hacker era benigno, aiutava la tecnologia a migliorare se stessa
“Ciò che succede oggi non ha niente a che vedere con la visione dell’hacker romantico, pirata benevolo che per amor di conoscenza entra nei computer della Nasa. Qui siamo di fronte ad attività criminali su scala internazionale. Il virus lavora perché qualcun altro possa affittare a terzi il tuo computer”.
Un attimo. Sarà meglio spiegare prima cosa c’entra il computer di casa del signor Rossi con il cyber crime internazionale?
“L’utente domestico è una vittima inconsapevole, anzi lo è il suo computer. I virus di cui parliamo oggi non hanno l’effetto plateale di bloccare tutto e di danneggiare la macchina, come succedeva una volta. Anzi quella gli serve intatta. Volano basso, l’utente non si accorge di nulla, sono stealth”.
Come può una persona “normale” proteggersi da tutto questo?
“Aggiornando ogni mese il sistema operativo sul sito di Microsoft – è il prezzo del successo, i virus attaccano i sistemi Microsoft perché sono più diffusi degli altri – e tenendo sempre installata l’ultima versione dell’antivirus. Poi ci sarebbe qualcosa che dovreste fare voi dei media”.
Disinformiamo? Abbiamo colpe? Sa, va di moda…
“Diciamo che il signor Rossi, grazie allo sviluppo della potenza di calcolo delle macchine e a Internet, ha in mano una Ferrari della conoscenza, va bene? E la Ferrari non si guida con la patente B. Ci vuole più esperienza. Allora c’è un flusso continuo di notizie da coprire: non è solo l’allarme virus, che pure è importante come dimostra questo caso, ma altri problemi, per esempio quelli che riguardano i difetti e i bachi di sicurezza nei programmi che si usano. Se ne trovano in continuazione. Se giornali e tv ci facessero più attenzione, con misura e competenza…”.
Insomma l’utente “guida” la Ferrari a rotta di collo
“Non aggiornano l’antivirus, lasciano il sistema operativo come lo prendono dal venditore, vanno su qualsiasi sito, magari a cercare programmi copiati, i giochi soprattutto. Tengono il computer collegato 24 ore al giorno per scaricare qualsiasi cosa, e così prima a o poi…”.
Si diventa Zombie, cioè membri forzosi di una “botnet”? È sanscrito: può spiegarlo?
“Una “botnet” non è niente altro che una rete di computer alla quale il pc che viene colpito dal virus viene associato, grazie a piccole quantità di informazione che vengono depositate nella macchina all’atto dell’infezione. È come se gli dessero un ordine sbagliato. Sono attività che l’utente non vede e che possono essere compiute da migliaia di computer che lavorano insieme ma rimanendo sparsi per il mondo. Sono “risorse” di operatività e connettività che altri possono affittare a soggetti interessati ad usarli”.
Pornografia? Spie? La fantasia potrebbe scatenarsi
“Mah, in passato esisteva la cosiddetta Russian Business Network, una rete basata in Russia che svolgeva attività per soggetti che facevano phishing, quelli che ti dicono: siamo la tua banca, dacci la password. Oppure posso pensare che un sito che si occupa di prostituzione a un certo punto subisca un attacco e che subito dopo qualcuno lo contatti perché si affidi a provider di connessione più sicuro”.
Questo succede col pizzo di mafia e camorra.
“E chi le dice che in questo “terziario” virtuale non viga la stessa logica?”.
Lei delinea una quadro angoscioso per noi poveri utenti
“Non bisogna esagerare. Intendo, se il privato o l’azienda si proteggono, hanno fatto tutto il loro dovere, sono ragionevolmente al sicuro, non gli succede niente. E certo Internet non è una giungla. Ma è come in ogni città, c’è un quartiere malfamato, dove succedono certe cose. Le attività criminali hanno un versante economico, bisogna muovere soldi, contatti, informazione, e bisogno farlo in modo sicuro”.
“Loro” fanno sicurezza informatica per i loro clienti togliendola agli utenti onesti?
“Si può dire anche in questo modo”.
Non c’è il rischio di una mitologia negativa di queste cose, come per certi personaggi di Stieg Larsson, l’hacker Lisbeth Salander?
“Dobbiamo riparlare dei media? Negli Stati Uniti il Washington Post ha fatto una campagna meritoria contro tre reti di cyber crime, facendo ottimo investigative reporting. La Fbi li ha trovati e chiusi”.
Copyright New York Times/La Repubblica
(Traduzione di Fabio Galimberti)
Microsoft ha rilasciato una patch, cioè un aggiornamento alla sicurezza del proprio sistema operativo, adatto a combatterlo, ha continuato ad infettare 3 milioni e mezzo di computer. Gli esperti ritengono che questi numeri potrebbero essere molto più alti e dicono che gli utenti dovrebbero avere anti-virus aggiornati e installare la patch MS08-067 di Microsoft http://www.microsoft.com/italy/technet/security/bulletin/ms08-067.mspx