Il 2001 è un anno particolarmente variegato e, per certi versi, decisamente contraddittorio: prova ne è il fatto che le società produttrici di antivirus compiono significativi passi in avanti, ma, al contempo, si assiste ad un aumento tutt’altro che trascurabile del numero degli attacchi portati dai virus informatici. Con la vera e propria esplosione che si manifesta, su scala mondiale, nell’utilizzo di Internet, prosegue inoltre a ritmo serrato l’interessante fase di transizione che vede i worm rimpiazzare progressivamente i “classici” virus sulla scena del malware globale. I virus writer, da parte loro, sembrano mostrare una decisa predilezione per l’impiego di codice maligno in grado di potersi propagare attraverso le reti locali ed Internet, mediante l’invio dei relativi file dannosi.
Vaste epidemie informatiche
CodeRed, Nimda, Aliz e BadtransII, programmi malevoli in grado di sfruttare determinate vulnerabilità individuate all’interno di vari sistemi operativi ed applicazioni, causano, nel corso del 2001, una serie di estese epidemie informatiche. La comparsa di questi temibili worm, di fatto, modifica notevolmente il panorama della sicurezza informatica e lancia le nuove tendenze che segneranno l’evoluzione del malware per molti anni a venire.
Al contempo, la scena risulta ugualmente popolata da infinite varianti di LoveLetter (alias ILoveYou),Magistr e SirCam, software dannosi che non fanno dormire sonni tranquilli né agli utenti, né tantomeno ai vendor di prodotti antivirus.
Vulnerabilità
Una vulnerabilità è, in pratica, un bug presente in un’applicazione legittima o in un sistema operativo, che può essere sfruttato da un virus writer: il codice maligno, nella circostanza, penetra all’interno del sistema proprio attraverso tale falla di sicurezza.
I virus ed i worm che utilizzano le vulnerabilità risultano particolarmente pericolosi, visto che essi vengono installati ed attivati in maniera automatica, indipendentemente dall’attività svolta dall’utente. Il worm Nimda, ad esempio, riusciva ad insinuarsi all’interno del computer-vittima anche quando l’e-mail infetta veniva semplicemente visualizzata attraverso l’apposita finestra di preview di MS Outlook. CodeRed, da parte sua, si spingeva ben oltre: esso effettuava la scansione di Internet in cerca di macchine vulnerabili, per poi infettare le stesse. Secondo i dati statistici raccolti da Kaspersky Virus Lab, il malware in grado di sfruttare le suddette vulnerabilità ha rappresentato quasi il 55% del volume complessivo di programmi nocivi rilevati nel corso del 2001.
L’interesse mostrato in quei frangenti dagli autori di virus nei confronti delle vulnerabilità era di sicuro ben comprensibile. Di fatto, le tecniche di infezione tradizionali, utilizzate dai file virus di stampo classico, in base alle quali il ciclo di infezione doveva essere in pratica avviato dall’utente, non apparivano più così efficaci come in precedenza. I virus writer, pertanto, adottarono subito con entusiasmo e vivo interesse la nuova tecnica malevola.
E-mail e Internet, principali fonti delle nuove minacce IT
Le statistiche elaborate all’epoca da Kaspersky Virus Lab mostrarono come, nel 2001, gli attacchi condotti dai virus attraverso la posta elettronica fossero aumentati del 5% rispetto al 2000, e costituissero quasi il 90% del numero totale di incidenti virali rilevati nel corso del 2001.
L’anno qui esaminato mostrò di essere una sorta di spartiacque riguardo all’evoluzione degli attacchi portati dai virus tramite Internet. In precedenza, la maggior parte delle infezioni derivanti dalla navigazione in Internet si verificava nel momento in cui gli utenti scaricavano ed eseguivano sul proprio computer file provenienti da siti web non attendibili. Nel 2001, però, compare una nuova tecnica di contagio informatico; in pratica, per infettare il proprio computer, non sarebbe più stato necessario eseguire il download di determinati file malevoli, visto che, nella circostanza, si sarebbe rivelata sufficiente la semplice visita di un sito web infetto. I virus writer, di fatto, sostituivano le pagine “pulite” del sito Internet preso di mira con pagine web infette. Nel corso del 2001, la maggior parte degli utenti fu infettata da programmi malware che sfruttavano le vulnerabilità individuate nel browser Internet Explorer. In alcuni casi, i siti compromessi dal malware offrivano programmi gratuiti, i quali, poi, si rivelavano essere, a tutti gli effetti, dei software dannosi.
Attacchi condotti mediante tecnologie diverse da Internet
Il 2001 è ugualmente l’anno in cui i servizi di messaggistica istantanea, come ICQ e MS Instant Messenger, vengono utilizzati per la prima volta in qualità di canali adibiti alla distribuzione di codici maligni. Una vera e propria ondata di infezioni informatiche causate da malware riconducibili alla classe dei worm trasforma questi servizi in ulteriori “trappole” per gli utenti incauti o sprovveduti. L’Internet worm Mandragore, da parte sua, attaccava invece la rete di file-sharing Gnutella. Ultimo elemento, infine, ma non di minore importanza, il fatto che nel corso del 2001 si assiste alla proliferazione di worm appositamente progettati per potersi propagare attraverso i canali IRC.
Un maggior numero di attacchi nei confronti di Linux
Nel corso del 2001 si registra anche la comparsa di un significativo numero di programmi maligni appositamente sviluppati per colpire il sistema operativo Linux. Il worm Ramen inaugura la stagione il 19 gennaio e, nel giro di pochi giorni, riesce ad introdursi all’interno di un gran numero di reti aziendali. Nella circostanza, tra le vittime si contano NASA (USA), A&M University (USA) e il produttore di soluzioni hardware Supermicro (Taiwan).
Il numero degli attacchi aumenta poi a valanga con l’apparizione dei cloni di Ramen e di nuovi worm per Linux, che si succedono uno dopo l’altro. La maggior parte di tali programmi malevoli sfruttava vulnerabilità rilevate nel suddetto sistema operativo. La rapida diffusione di queste temibili minacce IT evidenziò, di colpo, l’effettiva mancanza di preparazione, a tal riguardo, da parte degli sviluppatori di Linux, che stavano dormendo sogni beati, sicuri del fatto che l’OS Linux fosse un ambiente del tutto sicuro. Molti utenti Linux, poi, non si erano nemmeno presi la briga di installare le patch rese disponibili per alcune delle vulnerabilità sfruttate dai malintenzionati e caddero pertanto facilmente preda dei suddetti worm.
I worm fileless, una nuova sfida
I cosiddetti worm fileless costituiscono una delle sorprese più spiacevoli del 2001. Tali worm erano in grado di auto-replicarsi e di “operare” all’interno delle macchine infette senza dover ricorrere all’utilizzo di alcun file. In pratica, i worm fileless esistono solo a livello di RAM e si diffondono come pacchetti di dati appositamente configurati.
All’epoca, questa nuova tecnica malevola “regalò” agli esperti antivirus momenti di particolare difficoltà. In effetti, gli scanner antivirus ed i monitor tradizionali si dimostrarono subito impotenti nei confronti di questa nuova minaccia, visto che, fino a quel momento, i motori antivirus avevano rilevato i programmi maligni solo mediante le operazioni svolte a livello di file. Kaspersky Lab fu la prima società a sviluppare un nuovo filtro antivirus in grado di eseguire in modalità di background la scansione dei pacchetti di dati in ingresso e, conseguentemente, di eliminare gli insidiosi worm fileless.
Significativo aumento del numero dei worm per Windows
Mentre i virus “classici” (in prevalenza i virus macro e gli script virus) avevano visibilmente dominato la scena del malware per tutto il periodo 1999-2000, il 2001 può essere di sicuro considerato come l’anno per eccellenza dei worm specificamente sviluppati per attaccare l’OS Windows. In effetti, già entro la fine della stagione autunnale, i worm in questione avevano causato circa il 90% di tutte le infezioni informatiche registratesi.
Le ragioni di una simile tendenza sono indubbiamente duplici: da un lato, le nuove tecnologie avevano consentito ai virus writer di sviluppare worm provvisti di funzionalità nocive di “qualità” superiore; dall’altro lato, i vendor antivirus avevano già sviluppato efficaci soluzioni di sicurezza per contrastare il rapido processo di diffusione di macro virus e script virus.
I virus hoax
I cosiddetti “virus hoax”, o virus “bufala”, hanno anch’essi rappresentato una tendenza dominante nel corso del 2001, addirittura con ben 10 nuovi “falsi allarmi”, riguardo alla comparsa di nuovi pericolosi virus, segnalati già entro la fine del mese di marzo. Da parte loro, gli utenti, ancora spaventati dalle vaste epidemie manifestatesi nel corso dell’anno precedente, si precipitarono ad inoltrare in tutta fretta tali preoccupanti segnalazioni di allerta ad amici e parenti. Nell’occasione, gli hoax California IBM e Girl Thing si dimostrarono di particolare efficacia. Un ulteriore messaggio di avvertimento per gli utenti, riguardante il propagarsi di una nuova epidemia generata dal famigerato virus ILoveYou, che avrebbe dovuto avere inizio proprio il giorno della Festa di San Valentino – si mostrò anch’esso estremamente efficace.
Alla prova dei fatti, alcuni dei falsi allarmi emersi nel 2001 furono talmente incisivi e persuasivi al punto che copie di tali messaggi di allerta continuarono a circolare su Internet a lungo, anche negli anni successivi.
Il 2001 in breve
- La posta elettronica ed Internet divengono gli ambienti primari per la diffusione delle nuove minacce IT;
- acquisiscono sempre maggiore rilevanza, in tal senso, anche vari canali alternativi, quali ICQ, IRC, MSN Messenger e le reti di file-sharing;
- compaiono sulla scena i worm fileless;
- già entro la metà dell’anno, i worm per l’OS Windows costituiscono la maggior parte delle minacce in circolazione al momento, mentre i virus macro e gli script virus perdono terreno in modo decisamente significativo.