www.MegaLab.it

"Un Worm ha cancellato tutti i dati dal mio hard disk!"

Sempre più spesso capita di leggere questa frase, in rete, nei forum, nella messaggistica privata. A volte sono le persone che conosciamo che raccontano di sfortunate circostanze in cui, a loro totale insaputa, un virus ha reso inaccessibile il disco fisso, che naturalmente era pieno di dati non ancora salvati e inclusi nel backup che, stranamente, quasi mai riesce a precedere la cancellazione dei dati da parte dell'agente patogeno. Di rado ci si trova a doversi confrontare con le proprie personali esperienze, dolorose in proporzione allo smacco subito dall'eccessiva sicurezza a molto sproposito ostentata ("Un virus a me?!?, Impossibile!"....).

Insomma, sia come sia, l'argomento virus e la relativa necessità di conoscere quale sia la difesa più efficace per il nostro sistema costantemente in rete grazie all'ADSL è, ora più che mai, di stringente attualità.

Prima di conoscere quali sono gli strumenti difensivi che a giudizio dello staff di MegaLab.it si sono comportati meglio al confronto con infezioni multiple e file di sistema geneticamente modificati, è opportuno proporre qualche elemento di ripasso sul multiforme e complesso mondo dei computer virus. Come insegna l'antica saggezza, infatti, la prima arma utile a sconfiggere il nemico è conoscerlo...

Virus, una breve cronistoria

Sovente protagonisti di casi di isteria collettiva e di eccesso di attenzione da parte dei media generalisti ignoranti della materia, quelli che vengono comunemente definiti virus informatici hanno una storia ben più vecchia dei moderni calcolatori su cui hanno cominciato la loro indefessa proliferazione in ambito di informatica personale.

L'ipotesi che un programma potesse autoreplicarsi, infatti, e non a caso, ha lo stesso padre dell'architettura logica dell'elaboratore elettronico, ovvero il matematico americano di origini ungheresi John Von Neumann (1903-1957). La struttura della macchina binaria formata da ALU, unità di controllo, memoria e unità di I/O viene concepita nel 1945, l'idea di un programma parassita la segue di pochi anni. Come a dire, una storia legata a filo doppio, quella dell'informatica e dei computer virus...

E rientra in ambito prettamente sperimentale il primo esempio che si ricordi di worm mangia-risorse, la cosiddetta "Core Wars". Siamo nei'60, e gli ingegneri di Bell Laboratories si inventano un gioco-sfida di programmazione, in cui i partecipanti si combattono a suon di programmi autosufficienti con il compito, ricevuto un particolare comando, di replicarsi per occupare le risorse della rete e distruggere i codici avversari. Worm ante-litteram, incapaci di muoversi di propria iniziativa, ma che ben esemplificano le idee guida a cui parecchi anni dopo si ispireranno gli scrittori di malware contemporaneo (malware = codice dannoso).

I primi casi di "contagio"

Bisogna arrivare agli anni '80 e agli Apple II per vedere la diffusione "allo stato brado" di un virus da calcolatore. Il primo virus conosciuto con il vizio della replicazione parassitaria è il mitico Elk Cloner (anno 1982), che infettava il boot sector dei floppy e si caricava in memoria quando l'utente faceva il boot-strap della macchina dal floppy infetto. Questo illustre predecessore era poco più di uno showcase, una vetrina delle infezioni a venire, e si limitava a controllare l'accesso al disco e a stampare su schermo, ogni 50 dischetti infetti, un piccolo "poema" in rima baciata scritto dal suo autore quindicenne.

Dopo Apple, fu il tempo di IBM e del suo PC con incluso il Dos Microsoft. L'architettura del Personal Computer del colosso americano, espandibile e fortemente orientata alla produttività personale, in puro spirito americano, è il Big Bang dell'home computing, che ci ha portato a dove siamo ora... e che è stato, inutile dirlo, il terreno di coltura ideale per la crescita, la diffusione e la differenziazione dei "virus", che hanno avuto il tempo di evolversi e il terreno fertile per far attecchire le varie generazioni. Il primogenitore dei parassiti per IBM e compatibili è (c) Brain (anno 1987), ancora un boot sector virus scritto da due fratelli pachistani per proteggere il proprio software dai pirati. Oggi quei due fratelli hanno un Internet Service Provider in patria, chiamato naturalmente Brain Limited.

La proliferazione

Col tempo, i parassiti digitali hanno imparato a diffondersi utilizzando ospiti sempre più disparati e strategie sempre più sofisticate... Dopo i Boot Sector virus sono comparsi i File virus (residenti in memoria o meno), capaci di inoculare copie di se stessi nei file eseguibili, garantendosi così l'esecuzione al primo avvio dell'"ospite" già infettato (dapprima aggiungendo codice alla fine del file, poi arrivando addirittura a nascondersi all'interno dello stesso eseguibile, riconoscendo strutture del linguaggio di programmazione da cui il codice macchina derivava) ; i Master Boot Record Virus, rognosi come la peste, capaci di costringere a modifiche a basso livello della struttura logica del disco per poter essere eliminati con successo; i virus cosiddetti "Polimorfi" (o, nei casi più complessi, "Metamorfi"), in grado, al di là dell'ospite usato per la replicazione, di modificare di volta in volta il codice finale dell'infezione, tentativo dei virus writer di rispondere all'attacco portato dall'industria con la nascita e la diffusione sempre più capillare di software antivirale (chi scrive, dopo la prima infezione a mezzo del file virus Yankee Doodle nei primi'90, non ha mai più passato la sua vita digitale senza un Antivirus a guardia dei dati e dei dischi...).

Una vera chicca erano i virus Stealth, bacilli residenti in memoria capaci, al controllo dell'antivirus, di restituire una copia pulita del file infetto, passando così indenni la scansione. Menzione d'onore inoltre per i Multipartite virus, in assoluto i più resistenti e pericolosi, capaci di attaccarsi contemporaneamente a tipi diversi di ospite, e di combinare quindi l'azione infettiva di parti diverse del sistema, inclusi memoria RAM, Master Boot Record, Boot Sector, e file eseguibili. Qualora una delle parti del sistema veniva lasciata infetta da un controllo poco approfondito, il virus ritornava alla carica ricominciando a riprodursi e, eventualmente, a far danni.

A tal proposito, è importante sottolineare come la natura dei virus poteva essere maligna o meno. Il file virus Cascade (scoperto nel 1988, anche conosciuto come 1701, 1704 e BlackJack), ad esempio, si limitava a riprodursi e a far cadere ed ammassare sul fondo dello schermi i caratteri della videata del Dos. Altri invece, come il famigerato Michelangelo (scoperto nel 1992, a quanto il sottoscritto ricordi uno dei primi casi di panico collettivo generato dalla cattiva informazione dei Media ignoranti di cui si parlava all'inizio), virus multipartito da Boot Sector e Master Boot Record, ogni 6 Marzo attivava uno dei suoi due payload distruttivi e sovrascriveva allegramente, con caratteri estratti a caso dalla memoria di sistema, i primi 17 settori dei primi 256 cilindri del primo disco fisso, rendendo le informazioni ivi presenti, e molto verosimilmente l'intero disco fisso, irrecuperabili...

Alla metà dei'90, con il passaggio di consegne da Ms-Dos alla piattaforma ibrida 16/32 bit Windows'95, la nuova shell a finestre del sistema fece azzardare a qualche profeta poco accorto una previsione rivelatasi poi tristemente sbagliata: visto che il nuovo sistema operativo introduceva un modo totalmente nuovo di gestire memoria, hardware, interfaccia utente e ambiente operativo, si pensò che la maggioranza dei computer virus tradizionali sarebbe morta per inedia, incapaci com'erano di lavorare e sfruttare il nuovo ambiente, che parlava "un linguaggio" a loro totalmente sconosciuto, per continuare le infezioni. E fu così il tempo dei Macro Virus...

I Macro Virus sfruttavano la capacità di software per la produttività personale e aziendale (Word, Excel) di allegare codice eseguibile ai documenti, detto appunto macro. Per loro stessa natura, questi "virus da documenti" sono stati un fenomeno che ha riguardato principalmente sistemi Windows, ed hanno dimostrato, con infezioni pandemiche ancora più preoccupanti di quelle causate dalle generazioni di virus basate su Dos, che nessun sistema operativo sufficientemente diffuso era al sicuro. Riconvertitisi al nuovo ambiente, i virus writer avevano poi cominciato a scrivere virus tradizionali (file virus, boot sector virus, ...) capaci di attaccare Windows, ma all'orizzonte si profilava già la rivoluzione della Rete delle Reti...

Internet e la morte dell'innocenza

La diffusione capillare di Internet grazie alle sempre più economiche tariffe delle connessioni in dial-up prima e alle linee ADSL flat poi, ha portato infine alla ribalta un fenomeno antico, risalente, come abbiamo visto, addirittura agli anni 60: oggigiorno, i virus tradizionali sono praticamente spariti dalla circolazione, soppiantati da una nuova generazione di agenti patogeni distruttivi, nocivi per i file e per la stabilità del sistema ma soprattutto per la privacy e i dati sensibili (come il numero della carta Visa, ad esempio). I Worm hanno la tendenza generale ad occupare le risorse del sistema e della rete, rallentando il lavoro degli elaboratori e succhiando la banda passante delle connessioni. Aprono backdoor da cui chi li ha scritti può penetrare nel nostro sistema e carpire ogni sorta di dati riservati, rendono il PC uno "zombi" agli ordini di un burattinaio senza volto che può usarlo per portare attacchi DDoS verso server di importanti player commerciali e possono essere usati per immagazzinare e poi inviare i nostri dati personali alle aziende che hanno fatto dello spam e della pubblicità indesiderata la loro detestabile ragion d'essere.

Casi eclatanti come il worm multipartito Melissa, o i recenti Sober.P e Zotob, hanno letteralmente gettato lo scompiglio nelle reti aziendali e in Internet. Anche le strategie di introduzione nei sistemi sono diventate più raffinate. Se il mezzo privilegiato dai worm per penetrare nel sistema resta sempre una e-mail con allegato un file eseguibile che contiene il codice virale, lo studio costante da parte di hacker, esperti di sicurezza e virus writer estremamente capaci e determinati delle potenziali falle presenti nei sistemi Windows (usati su oltre il 90% dei computer in tutto il mondo), e nella famiglia Windows XP in particolare, fa sì che oggigiorno basti entrare in rete con il sistema operativo non aggiornato con le patch di Microsoft o senza adeguata protezione (firewall, antivirus) per vedersi depositare sul disco il codice maligno. Nessuna azione richiesta o sito da visitare, basta avere la connessione attiva e in pochi minuti si diventa infetti.

Una buona difesa

È stato detto mille volte e mille volte ancora non ci stancheremo di ripeterlo: mai uscire in Rete o processare programmi o documenti provenienti dall'esterno senza avere attivi sul sistema Antivirus e Firewall aggiornati, che controllano in tempo reale "cosa fa cosa" e ci permettono di erigere una prima, fondamentale barriera difensiva ai nostri dati contro tentativi indebiti di intrusione.

Lasciando da parte il discorso sullo Spyware, già trattato in altre sedi sul nostro portale, e sul firewall, fondamentale ma non pertinente, veniamo ora alla parte pratica della faccenda.

Se la prevenzione è in fondo un compito abbastanza agevole da condurre per i software antivirali più diffusi, un prodotto completo e realmente efficace contro i Computer Worm è anche e soprattutto in grado di combattere il nemico quando questo ha già preso il controllo della macchina.

Un giorno non lontano potremmo magari trovarci nella spiacevole situazione in cui il danno è stato già fatto: difese non adeguate o non aggiornate hanno permesso al Netsky di turno di penetrare nel PC: ora cosa facciamo? Dobbiamo formattare? O possiamo davvero eliminare ogni traccia del worm, con la sicurezza che l'infezione non si ripresenti in futuro?

Allora, come una Guida Galattica per Autostoppisti Digitali, noi vi diciamo NIENTE PANICO!, il prodotto che fa per voi esiste, e nelle prossime pagine testeremo una rosa di nomi per conoscere il programma ideale per essere al sicuro dalle moderne minacce alla nostra sicurezza digitale.

La parola va ora a Crazy.cat, grazie al quale scopriremo quale software antivirus si è comportato meglio nell'affrontare un PC fortemente compromesso dall'azione di più agenti patogeni attivi contemporaneamente.