Introduzione
Leggendo le varie pubblicazioni di informatica reperibili on-line, così come i messaggi che compaiono sulle numerose bacheche elettroniche presenti in Internet, noterete che viene sempre ripetuta la stessa storia: non appena un nuovo Trojan - un virus informatico - inizia a calcare la scena, subito si sprecano commenti quali "Eh, con Linux questo non sarebbe mai avvenuto!". Diciamo la verità: nel 99% dei casi è vero.
Un virus del 1986, oggi provoca nostalgia.
In effetti, la maggioranza dei programmi maligni finora identificati (oltre 2 milioni) è stata messa a punto proprio per prendere di mira Windows. Linux, minacciato da un numero assai esiguo di malware, sembra invece essere un sistema operativo relativamente sicuro. Anche Mac OS di Apple è attualmente insidiato da una quantità davvero minima di programmi maligni.
Si potrebbe pensare, quindi, che basta scegliere la mela o il pinguino per non doversi preoccupare della sicurezza. Per quanto ci piacerebbe che fosse vero, non è così. L'utente, qualsiasi sistema usi, deve sempre fare attenzione.
Gli inizi turbolenti
Nei primi anni Settanta, ben prima della comparsa sulla scena di Microsoft, c'era già un virus che infettava i computer, allora funzionanti con sistema operativo TENEX di DEC: il worm Creeper, che si può ritenere l'antesignano dei virus attuali, in quanto per diffondersi utilizzava ARPANET, il precursore di Internet.
Il Firewall si potrebbe definire l'elemento basilare della protezione. (Creatve Commons Pittigliani2005)
Creeper fu seguito da Pervade, nel 1975. Programmato per i sistemi UNIVAC, fu creato per distribuire un gioco denominato "Animal". Nel 1982 fu poi il turno di Apple, i cui utenti ebbero di che "deliziarsi" con Elk Cloner, elaborato dall'allora quindicenne Rich Skrenta: questo virus si diffondeva tramite floppy disk, causando
il crollo dei sistemi che colpiva.
Quattro anni più tardi, nel 1986, toccò agli utenti del Commodore 64, che dovettero affrontare il virus BHP (creato, si ritiene, dal gruppo tedesco "Bayerische Hacker Post"), che faceva ondeggiare l'immagine a schermo, mentre la povera vittima veniva "salutata" con questo originale messaggio: "HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS!" (che in italiano potrebbe suonare come: "SALVE MIO BEL CICCIOTTELLO: QUESTO Sì CHE E' UN VIRUS BELL'E BUONO!"). Il testo era poi seguito da un numero di serie, il quale veniva incrementato di una singola unità ad ogni nuova infezione prodottasi. Il virus BHP, reso immune da svariati comandi di interruzione, era in grado di sopravvivere anche in caso di reset del sistema.
Shellcode contenuto in Backdoor.UNIX.Galore.11
Il primo malware per MS-DOS fece la sua comparsa nel 1986. Brain era un virus che infettava il boot sector dei dispositivi di memoria; è davvero singolare come il codice di tale malware includesse nomi, indirizzi e numeri di telefono dei suoi autori. Amjad e Basit Farooq Alvi, due fratelli di nazionalità pakistana, asserirono all'epoca di aver creato Brain per determinare a quale livello fosse il fenomeno della pirateria informatica in India. Dovettero però ammettere, in seguito, di aver perso il controllo sull'esperimento messo in atto.
Negli anni seguenti, si assistette a una vera e propria "fioritura" dei virus informatici, ed entrarono presto in scena virus per ogni sistema operativo allora esistente. Fu così rilevata la presenza di oltre 190 malware per Amiga, mentre Atari ST fu preso di mira da un altro paio di dozzine di virus.
Tra i virus per Atari ST c'era "C't" [http://www.stcarchiv.de/am88/06_viren.php], così denominato in quanto pubblicato nell'anno 1988 con C't, rivista sorella di iX, in linguaggio Assembler. L'uso di una rivista facilitava, chiaramente, la diffusione del virus, ma soprattutto evidenzia l'atteggiamento eccessivamente disinvolto che veniva all'epoca adottato nei confronti del malware.
Un monopolio per nulla invidiabile
Virus, worm e programmi maligni di altra natura hanno iniziato a prosperare quando gli utenti privati hanno iniziato ad accedere al World Wide Web (WWW). Nell'era di Internet, infatti, programmi quali Melissa o ILOVEYOU sono stati capaci di fare il giro del mondo in pochi minuti. Ha poi giocato un ruolo decisivo la sempre crescente varietà di piattaforme messe a disposizione degli utenti, come la posta elettronica, che si è diffusa in massa con Outlook.
La sicurezza innanzitutto, ma forse qualcuno la prende per il verso sbagliato. (Creative Commons Lloydi)
Con l'avvento di Internet, inoltre, ci sono stati ulteriori fondamentali cambiamenti: per la prima volta nella storia del malware, si è presentata per i programmi maligni l'opportunità di "comunicare" con i propri creatori.
Oggi i pirati informatici possono, per esempio, travasare dati sensibili da un computer "bersaglio", specificamente preso di mira, oppure trasmettere comandi a un agente residente su hard disk remoto. Ciò ha creato le condizioni ideali per la conduzione di violenti attacchi DDoS (Distributed Denial of Service) e il proliferare dello spam di massa; sono pertanto sorte opportunità per i cybercriminali, per far soldi distribuendo programmi maligni.
Ovviamente, chi si "guadagna" da vivere conducendo attacchi di tale sorta, cercherà sempre di colpire i bersagli più redditizi e appetibili in termini numerici. É dunque proprio per tale motivo che i milioni di Trojan inviati quotidianamente tramite e-mail prendono di mira gli utenti dei vari sistemi operativi Windows; eventuali codici maligni atti a colpire, ad esempio, BeOS o Plan 9, non potrebbero ottenere gli effetti desiderati.
Internet è stata, ed è, il paradiso del malware (Creative Commons Narq)
Chiarito il perché ci siano più malware per Windows, resta da dimostrare che gli altri sistemi operativi siano effettivamente più sicuri del prodotto Microsoft. E anche se esistesse un sistema operativo realmente inespugnabile, ci sarebbero sempre e comunque, nell'hard disk, applicazioni più o meno vulnerabili, con evidenti falle di sicurezza che potrebbero essere agevolmente sfruttate dai pirati informatici per la conduzione dei loro attacchi.
Lo status quo
Un altro aspetto che fa la differenza sta nel tipo di malware che colpisce i diversi sistemi operativi. Si tratta, in pratica, di due mondi nettamente distinti.
Bisogna fare attenzione ai possibili pericoli, proprio come quando si guida (Creative Commons Sophos D/A/CHPresseinfo)
Per ciò che riguarda il malware "dedicato" a Windows, possiamo tranquillamente asserire che, nella maggior parte dei casi, si prefigge lo scopo di acquisire il controllo dei computer degli utenti, al fine di utilizzarli per la conduzione di attacchi DDoS, l'invio di spam e, laddove sia possibile, diffondersi su altri computer.
E anche se l'utente si accorge che la propria unità è stata contagiata, questo non sarà di certo un dramma per i cyber criminali: le botnet sono talmente estese (si stima, ad esempio, che la botnet "Kido Conficker" sia costituita da parecchi milioni di computer "zombie") che la perdita di un computer non rappresenta il benché minimo problema.
Un firewall non è solo un programma da installare. Ci può essere anche una parte hardware (Creative Commons Hungaria Unix Portal)
Per quanto concerne, invece, gli attacchi rivolti ai sistemi operativi Unix, il problema riguarda il settore dei server, dove questo è tra i sistemi operativi dominanti, come Windows per i desktop. È stato appurato che il chiaro intento dei pirati informatici è quello di passare inosservati mentre cercano di appropriarsi di dati relativi alle carte di credito possedute dagli utenti di negozi on-line, o magari di appropriarsi delle password da questi utilizzate. Nella maggior parte dei casi, gli attacchi non vengono condotti avvalendosi di Trojan, bensì sfruttando le falle di sicurezza esistenti nei servizi erogati dai server.
Nuovi amici per OS X
Almeno sino ad ottobre 2007, il panorama del malware appositamente elaborato per OS X di Apple era decisamente piatto, privo di note di rilievo. Due exploit, quattro worm, un virus e un rootkit: tutto qui! Per di più, si trattava essenzialmente di creazioni a tema, per le quali gli hacker non prevedevano alcun tipo di ritorno in termini economici, sostanzialmente delle dimostrazioni di una possibilità tecnica, più che uno sfruttamento vero e proprio.
Prima di essere un Mac, è un computer collegato alla rete. Ci vuole la stessa attenzione. (Creative Commons Rabblefish)
Nell'autunno del 2007, però, il quadro è improvvisamente cambiato, quando è comparso il primo Trojan per OS X, che si chiamava OSX.RSPluga.A. Come abbiamo visto, non vi è in effetti particolare convenienza nell'inviare dei Trojan mediante spam a sistemi operativi non-Windows. E anche i creatori del suddetto programma maligno hanno verosimilmente pensato alla stessa cosa, scegliendo piuttosto di far comparire, all'interno di certi forum dedicati agli utenti Mac, dei fantomatici annunci pubblicizzanti un sito a contenuto pornografico.
Cliccando sui video presenti all'interno di tale sito, tuttavia, appariva subito un messaggio che invitava al download di un determinato codec, essenziale per la visualizzazione del formato, del quale si forniva un collegamento per scaricarlo. Per l'installazione, però, era necessaria la password di amministratore di sistema.
Spinti dall'entusiasmo, vari utenti Mac hanno dimostrato, in tale circostanza, di essere non da meno, in quanto a ingenuità, degli utilizzatori di Windows. In sostanza, OSX.RSPluga.A riesce a manipolare le impostazioni DNS in maniera tale che molti indirizzi, ivi compresi quelli relativi a varie banche, oltre che ad eBay e PayPal, non vengono più risolti in modo corretto. Ne consegue che le "vittime" di questo famigerato Trojan vengono in realtà reindirizzate verso siti di phishing.
I programmi e le applicazioni di sicurezza per Mac esistono, basta usarli. (Creative Commons Kaspersky Lab Nordic).
A metà gennaio, la società finlandese F-Secure, produttrice di antivirus, ha poi segnalato la comparsa della prima soluzione antivirale "canaglia". Si tratta di un programma freeware che "rileva", falsamente, numerosi programmi maligni su computer in realtà "puliti" al 100%; per rimuovere le fantomatiche minacce virali, i clienti devono provvedere all'acquisto del prodotto.
Premesso che questo tipo di scam non risulta essere certo una novità per gli utenti abituali di Windows, chi ha sviluppato il suddetto programma "canaglia" era probabilmente spinto dal desiderio di scoprire fino a che punto gli utenti Mac si sarebbero poi fidati di una simile subdola proposta "commerciale".
Non facciamoci prendere dal panico
Visti i numeri in questione, in tanti si chiederanno dove possa mai essere tutto questo grande affare. Dopotutto, fatti i debiti paragoni con Windows, qualunque altro sistema operativo può davvero apparire come un'oasi di sicurezza. Attenzione, però: il risveglio potrebbe essere alquanto brusco!
Non basta installare un antivirus, per smettere di fare attenzione. (Creative Commons Sophos D/A/CHPresseinfo)
I Trojan, per esempio, non hanno bisogno di privilegi root per spiare dati sensibili o penetrare all'interno del vostro computer attraverso la porta 80. Anche gli utenti Linux e Mac OS, quindi, farebbero bene a fare attenzione, visto che proprio la loro scarsa attenzione ed esperienza nel campo della sicurezza li rende delle vittime ideali, per quanto anche i neofiti in materia di informatica siano soliti ripetere, come tutti, del resto, "Eh ma... tanto io ho Ubuntu!".
Alla fin fine, il vero rischio è credere che un sistema sia inespugnabile. É vero che al giorno d'oggi anche i computer acquistati nei negozi discount sono tutti quanti dotati di protezione antivirus preinstallata; è altrettanto vero, però, che molti utenti Linux si rifiutano addirittura di installare gli scanner gratuiti quali, ad esempio, ClamAV, sostenendo che sono del tutto inutili.
I pericoli spesso arrivano in forma di regali od offerte vantaggiose (Creative Commons Sophos D/A/CHPresseinfo)
E pensare che è proprio la comunità dell'open source a offrire una vasta gamma di soluzioni dalle elevate prestazioni, con tecnologie quali SELinux od AppArmor, così come tutta una serie di sistemi più che validi per il rilevamento delle intrusioni. Gli utenti che non utilizzano tali soluzioni (in quanto pensano che possano richiedere sforzi troppi elevati, o ritengono magari che siano del tutto inutili), probabilmente poi non si accorgeranno di nulla, nel bel momento in cui qualcuno assumerà illegalmente il controllo del loro computer, alla caccia di un ricco bottino o semplicemente per usarli come strumento di diffusione per malware windows.
Si ringrazia Kaspersky Lab, e gli autori Marco Preuss e Magnus Kalkuhl, per l'articolo gentilmente concesso.
Per ulteriori informazioni su Kaspersky Lab, visitate il sito www.kaspersky.it. Per informazioni su antivirus, anti-spyware, anti-spam ed ogni altro tema legato alla sicurezza informatica, visitate il sito www.stop-cybercrime.it.