Danni causati dal malware

I danni provocati dalla penetrazione di un software nocivo all’interno di un computer privato o una rete aziendale possono risultare di natura ed entità completamente diverse: si va da un lieve aumento del traffico in uscita (nel caso in cui il computer sia stato infettato da un trojan preposto all’invio di messaggi di spam) al crollo completo del network aziendale, o alla perdita di dati sensibili di vitale importanza. Le conseguenze del danno possono variare anche in base al tipo specifico di malware utilizzato, al target che quest’ultimo si prefigge di colpire e al tipo di dispositivo infettato, nonché al tipo di dati memorizzati o a cui il dispositivo può accedere. In alcuni casi i risultati di un’infezione da malware possono essere impercettibili all’utente, altre volte possono avere conseguenze ben evidenti e di particolare gravità.

Computer e reti di sistemi inutilizzabili

I virus informatici ed i trojan possono intaccare gravemente le prestazioni di un singolo computer, oppure provocare il crollo totale di un’intera rete di sistemi. Molti di questi problemi di funzionamento possono essere provocati volontariamente dal creatore del malware, oppure possono risultare completamente accidentali. In caso di attacco intenzionale, il malware dispiegato dai cybercriminali può portare all’eliminazione di elementi critici del sistema, con conseguente disabilitazione del sistema operativo installato nel computer, generare il sovraccarico della rete tramite un attacco DDoS, oppure produrre l’esecuzione di attività specifiche che vanno ad influire negativamente sull’operatività del sistema.

Spesso, le conseguenze accidentali sono il risultato di bug presenti nel codice del malware, oppure nella logica di funzionamento del codice nocivo. Quasi tutti i programmi contengono dei bug, compresi i virus informatici e gli altri software nocivi. Di fatto, mentre i team di sviluppo di software legittimi dedicano molto tempo al debugging di un prodotto prima del lancio sul mercato, i creatori di malware, probabilmente, non svolgono test accurati prima di lanciare il loro ultimo virus o programma trojan. Talvolta il malware può essere semplicemente incompatibile con il software e l’hardware presenti nel sistema informatico sottoposto ad attacco; questo può generare un guasto del computer o del server, oppure provocare un drastico aumento del traffico di spam, sino a paralizzare totalmente il funzionamento della rete aziendale. Questo avviene piuttosto di frequente. Esistono molti esempi ben documentati di gravi problemi di funzionamento causati dal malware e dai relativi bug.

Nel 1988, negli Stati Uniti, il worm Morris provocò una vera e propria epidemia su Arpanet, l’antenato di Internet. Nell’occasione furono infettati più di 6.000 computer, circa il 10% del numero complessivo di computer presenti su tale rete. In pratica, un bug nel codice nocivo consentiva al worm di autoreplicarsi e diffondersi nell’ambito di Arpanet, causando il completo assorbimento delle risorse disponibili e la conseguente paralisi del sistema.

Nel mese di gennaio 2003, il worm Slammer provocò un blackout di Internet negli USA, nella Corea del Sud, in Australia e in Nuova Zelanda, con una sorta di “rotazione geografica”. In seguito alla diffusione incontrollata del worm, il traffico di rete aumentò del 25%, causando peraltro gravi problemi all’operatività della stessa Bank of America. Enormi danni sono stati successivamente causati da Lovesan (Blaster, MSBlast), Mydoom, Sasser ed altri worm in grado di scatenare epidemie informatiche globali; la rapida diffusione di questi temibili software nocivi ha ad esempio provocato la cancellazione di numerosi voli da parte di alcune compagnie aeree e la temporanea sospensione dell’attività di varie banche.

Guasti hardware

Raramente i virus informatici sono in grado di danneggiare i componenti hardware, visto che i moderni computer sono relativamente ben protetti nei confronti di eventuali danni provocati da errori del software. Nel 1999, tuttavia, il virus CIH, noto anche come Chernobyl, colpì diverse centinaia di migliaia di computer, cancellando i dati nel BIOS Flash di ogni computer. Ciò rese impossibile l’avvio delle macchine infette e richiese interventi di riparazione molto costosi. Nella circostanza, gli utenti privati rimasti vittima di tale infezione informatica dovettero recarsi presso un centro di assistenza, per riscrivere il BIOS Flash e ripristinare così il funzionamento della macchina. In molti laptop, il BIOS Flash era saldato direttamente alla scheda madre, assieme al drive, alla scheda video e ad altro hardware. Pertanto, nella maggior parte dei casi, il costo della riparazione superava, in pratica, quello relativo all’acquisto di un nuovo laptop. I computer danneggiati dalla “bomba” CIH, di conseguenza, venivano semplicemente gettati via.

Si incontrano, talvolta, programmi trojan in grado di eseguire azioni ripetitive, ad esempio aprire e chiudere periodicamente il vassoio CD/DVD. Anche se l’hardware attuale è generalmente molto affidabile, software nocivi del genere potrebbero causare, teoricamente, dei danni a quei computer che vengono tenuti accesi in maniera pressoché ininterrotta.

Perdita e furto di dati

I danni causati da un attacco malware in grado di eliminare o carpire i dati custoditi in un determinato computer possono essere stimati in base all’effettivo valore – per l’utente – di tali informazioni. Se il bersaglio dell’attacco è costituito da un computer utilizzato in ambito domestico, soprattutto per scopi di intrattenimento, il danno può risultare minimo. Il furto di dati che rivestono particolare importanza può invece comportare la perdita di vari anni di lavoro su un certo progetto, la sottrazione di archivi fotografici di valore o di preziosi scambi di corrispondenza. Il modo per prevenire simili perdite di dati, naturalmente, è rappresentato dall’eseguire regolari backup delle informazioni memorizzate sul proprio computer, una pratica elementare troppo spesso trascurata.

Se i dati sensibili vengono sottratti a seguito di un attacco mirato condotto nei confronti di un soggetto specifico, il danno può assumere proporzioni inusitate, soprattutto se i dati carpiti dai malintenzionati appartengono ad una società, un’organizzazione, o addirittura ad un ente governativo. Si tratta, in particolar modo, di database dei clienti, informazioni finanziarie, documentazione tecnica, numeri di conti bancari, dettagli relativi ad offerte commerciali; l’elenco delle informazioni riservate che possono andare a finire nelle mani sbagliate può continuare all’infinito. Il fatto è che viviamo proprio nell’era dell’informazione, per cui la perdita o il furto di dati confidenziali o sensibili di particolare rilevanza può talvolta produrre conseguenze disastrose.

Anche se non vi sono danni visibili…

Molti programmi trojan e numerosi virus informatici non manifestano in alcun modo la loro presenza all’interno del sistema da essi infettato. Tali virus possono ad esempio introdursi furtivamente nel sistema sottoposto ad attacco e contagiare, quindi, i file presenti sull’hard disk o su altri supporti; nonostante questo, sia i file, sia lo stesso sistema, nel loro complesso, continueranno a mantenersi pienamente operativi. I programmi trojan, da parte loro, possono nascondersi all’interno del sistema ed espletare subdolamente le loro funzionalità nocive, mentre, in apparenza, tutto sembra perfettamente in ordine.

La presenza di un virus – anche il meno aggressivo – nell’ambito di una rete aziendale può essere considerata alla stregua di un evento di forza maggiore; nella circostanza, l’entità dei danni causati dal virus informatico corrisponde alle perdite economiche generate dalla forzata interruzione delle attività aziendali, che potranno poi riprendere solo una volta completato il processo di disinfezione. Allo stesso modo, anche la presenza di un trojan è qualcosa di altamente indesiderabile, visto che essa genera una situazione di emergenza, anche se il programma malware in questione non dovesse rappresentare un’effettiva minaccia per il funzionamento della rete stessa. Anche se l’ipotetico trojan fosse soltanto un server-zombie, preposto all’invio di spam, esso consumerebbe, tuttavia, una parte consistente delle risorse di rete e delle risorse Internet, mentre i computer compromessi verrebbero adibiti alla distribuzione di tonnellate di spam attraverso il server di posta aziendale.

Purtroppo, un considerevole numero di utenti privati non si rende conto della pericolosità di tali situazioni e non provvede quindi a proteggere adeguatamente il proprio computer. Un sondaggio da noi condotto nel corso del mese di dicembre 2005 ha evidenziato come il 13% degli utenti russi non disponesse, allora, di alcun programma antivirus sul proprio computer.

Inoltre, la maggior parte di questi utenti era del tutto ignara del fatto che i loro computer, viste le circostanze, sarebbero potuti divenire una comoda base per la distribuzione di montagne di messaggi di spam e la conduzione di temibili attacchi informatici da parte di malintenzionati.