Virus e wormUn "virus"
è un insieme di istruzioni, di
solito di dimensioni molto ridotte per meglio occultarsi, che ha la
capacità di
replicarsi, cioè di copiare se stesso su
altri computer senza che il legittimo proprietario ne sia a conoscenza ma
sfruttandone l'attività. I virus, in generale, contengono varie componenti con funzioni separate: ad esempio una parte del virus è dedicata a nascondere il virus stesso ed evadere i meccanismi di rivelazione (quali ad esempio i programmi "antivirus") mentre un'altra determina il particolare metodo di propagazione. Un altro segmento, chiamato "payload", può essere di natura ostile ed include le operazioni che si intendono compiere sul bersaglio. È la parte che può produrre danni più o meno gravi al calcolatore nel quale il virus stesso viene inoculato; ad esempio può mostrare messaggi indesiderati di vario tipo, spedire e-mail all'insaputa dell'utente o anche cancellare file ed impedire il corretto funzionamento del computer stesso. Alcuni virus possono nascondersi direttamente nella memoria principale (RAM) del calcolatore, oppure infettare particolari settori del disco rigido attivandosi ad ogni avvio del computer. In altri casi il virus stesso può mutare autonomamente di struttura per rendere più difficile la propria individuazione. Per evitare di "essere contagiati" è opportuno utilizzare particolari programmi antivirus che, sulla base delle caratteristiche "firme digitali" dei virus stessi (analoghe alle impronte digitali umane), sono quasi sempre in grado di identificare ed eliminare l'infiltrazione. È comunque bene fare attenzione anche ai siti Internet visitati durante la navigazione ed alla lettura di mail inattesi che potrebbero essere un possibile vettore di propagazione. Si è parlato di contagio, replica, propagazione, usando termini che sembrano più adatti ad un mondo biologico piuttosto che ad uno informatico. In effetti virus informatici e biologici sembrano avere delle analogie: i primi modificano il codice del programma infettato, di cui hanno bisogno per esistere, allo scopo di replicarsi, inoltre il programma ospite spesso può continuare a funzionare indisturbato. I virus biologici hanno anche loro bisogno di una cellula per vivere, cellula che attraverso la modificazione del DNA, viene costretta a riprodurre il virus continuando per un certo tempo a mantenere le funzioni normali. Sono entrambi parassiti e sono in grado di mutare (il codice software per il virus informatico ed il contenuto genetico per quello biologico) in modo da rendere difficile l'individuazione e l'estirpazione. I "worm" (vermi) sono
invece dei particolari programmi completamente indipendenti ed autosufficienti che oltre ad essere
in grado di autoreplicarsi, come i virus, possiedono anche una propria capacità
autonoma di propagazione utilizzando la connessione di rete. Si muovono quindi senza bisogno di intervento
esterno. Il primo worm, noto come
"Morris Worm", fu costruito e rilasciato in Internet nel 1988 e si propagò in
parecchie migliaia di computer creando disfunzioni nelle reti di comunicazione
pur non avendo lo scopo specifico di produrre danni. La propagazione
avveniva sfruttando la vulnerabilità di alcuni servizi, come ad esempio il
server di posta elettronica o di accesso remoto (utilizzati ad esempio dai
programmi "rexec", "rsh" o "finger"),
generalmente attivi in un grande numero di calcolatori. Tali vulnerabilità
permettevano di acquisire il controllo completo del computer e successivamente il worm cercava gli indirizzi di possibili futuri bersagli in alcuni file di
sistema oltre a decifrare le password degli utenti registrati nel computer
compromesso. Altri worm sono decisamente più malevoli contenendo funzioni specifiche per produrre dei "Denial of Service" (DoS, una forma di attacco che impedisce il normale funzionamento di un computer o di un suo servizio negandone l'accesso agli utenti autorizzati) o la cancellazione di siti web. Il worm "MyDoom", particolarmente sofisticato, esegue più funzioni contemporaneamente: scarica ed esegue file arbitrari sul nodo compromesso, configura una backdoor permanente e lancia un attacco DoS su una serie di siti web.
I worm più recenti hanno raggiunto delle velocità di propagazione in rete
elevatissime: lo "Slammer worm" (noto anche come
Sapphire), rilasciato sabato 25
gennaio 2003 alle 5:30 di mattina (ora di Greenwich), durante il primo minuto di vita raddoppiava la
popolazione di computer "infettati" ogni 9 secondi e dopo 3 minuti venivano
eseguiti circa 55 milioni di scansioni al secondo (tentativi di connessione allo scopo di compromettere altri calcolatori)
causando, come importante danno collaterale, un forte sovraccarico di rete ed il
conseguente intasamento delle linee di comunicazione. Dopo 30 minuti il numero di nodi
compromessi era di quasi 75000. È importante
rendersi conto che se Slammer avesse avuto un
payload più
ostile le conseguenze avrebbero potuto essere molto più disastrose. Negli USA
Slammer è stato in grado di penetrare fin nel sistema di controllo di una
centrale nucleare, fortunatamente in quel momento in manutenzione , causando un
ritardo della rimessa in servizio di circa cinque ore.
Nel 2002 sono stati identificati più di 1000 tra virus e worm diversi, una media di quasi 3 nuovi al giorno! |