attacchi e vulnerabilita' indice pirati della retemeccanismi di difesa

Virus e worm

Un "virusDizionario" è un insieme di istruzioni, di solito di dimensioni molto ridotte per meglio occultarsi, che ha la capacità di replicarsi, cioè di copiare se stesso su altri computer senza che il legittimo proprietario ne sia a conoscenza ma sfruttandone l'attività.
Il virus si nasconde incapsulandosi in un file o in un programma "ospite", ma non è in grado di moltiplicarsi autonomamente: si propaga infatti grazie all'attività umana, ad esempio attraverso lo scambio di mail o di  files infetti, che costituisce quindi un veicolo di diffusione. In particolare lo "spam", la spedizione indiscriminata di un grande numero di mail "spazzatura" contenenti pubblicità ed offerte commerciali non richieste, costituisce il principale meccanismo di propagazione, sia per i virus che per i worm.

I virus, in generale, contengono varie componenti con funzioni separate: ad esempio una parte del virus è dedicata a nascondere il virus stesso ed evadere i meccanismi di rivelazione (quali ad esempio i programmi "antivirus") mentre un'altra determina il particolare metodo di propagazione. Un altro segmento, chiamato "payload", può essere di natura ostile ed include le operazioni che si intendono compiere sul bersaglio. È la parte che può produrre danni più o meno gravi al calcolatore nel quale il virus stesso viene inoculato; ad esempio può mostrare messaggi indesiderati di vario tipo, spedire e-mail all'insaputa dell'utente o anche cancellare file ed impedire il corretto funzionamento del computer stesso.

Alcuni virus possono nascondersi direttamente nella memoria principale (RAMDizionario) del calcolatore, oppure infettare particolari settori del disco rigido attivandosi ad ogni avvio del computer. In altri casi il virus stesso può mutare autonomamente di struttura per rendere più difficile la propria individuazione.

Per evitare di "essere contagiati" è opportuno utilizzare particolari programmi antivirus che, sulla base delle caratteristiche "firme digitali" dei virus stessi (analoghe alle impronte digitali umane), sono quasi sempre in grado di identificare ed eliminare l'infiltrazione. È comunque bene fare attenzione anche ai siti Internet visitati durante la navigazione ed alla lettura di mail inattesi che potrebbero essere un possibile vettore di propagazione.

Si è parlato di contagio, replica, propagazione, usando termini che sembrano più adatti ad un mondo biologico piuttosto che ad uno informatico. In effetti virus informatici e biologici sembrano avere delle analogie: i primi modificano il codice del programma infettato, di cui hanno bisogno per esistere, allo scopo di replicarsi, inoltre il programma ospite spesso può continuare a funzionare indisturbato. I virus biologici hanno anche loro bisogno di una cellula per vivere, cellula che attraverso la modificazione del DNA, viene costretta a riprodurre il virus continuando per un certo tempo a mantenere le funzioni normali. Sono entrambi parassiti e sono in grado di mutare (il codice software per il virus informatico ed il contenuto genetico per quello biologico) in modo da rendere difficile l'individuazione e l'estirpazione.

 

I "wormDizionario" (vermi) sono invece dei particolari programmi completamente indipendenti ed autosufficienti che oltre ad essere in grado di autoreplicarsi, come i virus, possiedono anche una propria capacità autonoma di propagazione utilizzando la connessione di rete. Si muovono quindi senza bisogno di intervento esterno. Il primo worm, noto come "Morris Worm", fu costruito e rilasciato in Internet nel 1988 e si propagò in parecchie migliaia di computer creando disfunzioni nelle reti di comunicazione pur non avendo lo scopo specifico di produrre danni. La propagazione avveniva sfruttando la vulnerabilità di alcuni servizi, come ad esempio il server di posta elettronica o di accesso remoto (utilizzati ad esempio dai programmi "rexec", "rsh" o "finger"), generalmente attivi in un grande numero di calcolatori. Tali vulnerabilità permettevano di acquisire il controllo completo del computer e successivamente il worm cercava gli indirizzi di possibili futuri bersagli in alcuni file di sistema oltre a decifrare le password degli utenti registrati nel computer compromesso.
Alcuni worm hanno la caratteristica peculiare di esistere e propagarsi solamente in memoria (RAM), senza la necessità di avere come supporto fisico permanente un file, rendendone quindi la rivelazione ancora più difficile.

Altri worm sono decisamente più malevoli contenendo funzioni specifiche per produrre dei "Denial of Service" (DoSDizionario, una forma di attacco che impedisce il normale funzionamento di un computer o di un suo servizio negandone l'accesso agli utenti autorizzati) o la cancellazione di siti web. Il worm "MyDoom", particolarmente sofisticato, esegue più funzioni contemporaneamente: scarica ed esegue file arbitrari sul nodo compromesso, configura una backdoor permanente e lancia un attacco DoS su una serie di siti web.

Fig. 1: Propagazione geografica di Sapphire nei 30 minuti successivi al rilascio. Il diametro di ogni cerchio è proporzionale al logaritmo del numero di computer contaminati.
(
Credit:
CAIDA/SDSC/UCSD)

I worm più recenti hanno raggiunto delle velocità di propagazione in rete elevatissime: lo "Slammer worm" (noto anche come Sapphire), rilasciato sabato 25 gennaio 2003 alle 5:30 di mattina (ora di Greenwich), durante il primo minuto di vita raddoppiava la popolazione di computer "infettati" ogni 9 secondi e dopo 3 minuti venivano eseguiti circa 55 milioni di scansioni al secondo (tentativi di connessione allo scopo di compromettere altri calcolatori) causando, come importante danno collaterale, un forte sovraccarico di rete ed il conseguente intasamento delle linee di comunicazione. Dopo 30 minuti il numero di nodi compromessi era di quasi 75000. È importante rendersi conto che se Slammer avesse avuto un payloadDizionario più ostile le conseguenze avrebbero potuto essere molto più disastrose. Negli USA Slammer è stato in grado di penetrare fin nel sistema di controllo di una centrale nucleare, fortunatamente in quel momento in manutenzione , causando un ritardo della rimessa in servizio di circa cinque ore.
Un altro worm particolarmente attivo è stato Code Red (fig. 2) che ha "infettato" più di 350000 computer in circa 24 ore.

Fig. 2: Animazione della propagazione geografica del worm Code Red nelle 24 ore successive al rilascio.
(
Credit:
CAIDA/SDSC/UCSD)

Nel 2002 sono stati identificati più di 1000 tra virus e worm diversi, una media di quasi 3 nuovi al giorno!