Con la crescente diffusione dei computer, un numero sempre maggiore di persone inizia a scrivere i propri programmi. I progressi realizzati nel settore delle telecomunicazioni rendono disponibili dei comodi canali per la condivisione del software, attraverso server pubblicamente accessibili, quali le BBS (Bulletin Board System). Successivamente, i server BBS degli istituti universitari evolvono in forma di banche dati globali, risultando disponibili in tutti i paesi tecnologicamente sviluppati. Appaiono, in grandi quantità, i primi trojan; si tratta di programmi che non sono in grado di auto-replicarsi o diffondersi, i quali, tuttavia, una volta scaricati ed installati, arrecano considerevoli danni al sistema.

1981

La notevole diffusione dei computer Apple II attira le attenzioni dei virus writer. Non costituisce quindi motivo di particolare sorpresa il fatto che la prima grande epidemia di virus, nella storia del malware, si sia manifestata proprio nell’ambito della piattaforma Apple II.

Il virus Elk Cloner, in effetti, si diffuse infettando il sistema operativo Apple II, memorizzato su floppy disk. Quando il computer veniva avviato attraverso un floppy infetto, si attivava automaticamente una copia del virus. Elk Cloner, normalmente, non pregiudicava il funzionamento del computer; il virus, di fatto, si limitava a monitorare l’accesso al disco. Tuttavia, non appena nella macchina veniva inserito un floppy non infetto, il virus provvedeva a realizzare una copia di se stesso su tale disco; il floppy veniva in tal modo infettato, contribuendo al lento, ma inesorabile, processo di diffusione del virus, un floppy disk dopo l’altro.

Elk Cloner, in pratica, infettava il settore di avvio dei computer Apple II. A quei tempi, i sistemi operativi venivano memorizzati e custoditi proprio su floppy disk: di conseguenza i “dischetti” potevano essere agevolmente infettati, visto che il virus veniva lanciato ogni volta che si avviava il computer. Gli utenti iniziarono a spaventarsi sul serio per gli effetti collaterali provocati dalla condivisione dei floppy disk; sino ad allora, la maggior parte delle persone non aveva davvero la minima idea di cosa fossero i virus informatici, né tanto meno di come gli stessi potessero diffondersi.

Il payload di Elk Cloner includeva immagini rotanti, messaggi di testo lampeggianti e messaggi elaborati in forma di scherzo, come il seguente:

ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT’S CLONER!
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!

1983

Len Eidelmen conia per primo il termine ‘virus’, in relazione ai programmi informatici in grado di auto-replicarsi. Il 10 novembre 1983, nel corso di un seminario sulla sicurezza IT, tenutosi alla Lehigh University (USA), questo precursore della moderna virologia informatica mostra il funzionamento di un programma simile ad un virus su un sistema VAX11/750. Tale programma era in grado di auto-installarsi su altri oggetti del sistema. Un anno più tardi, in occasione della settima conferenza annuale sulla sicurezza informatica, egli definisce con l’espressione ‘computer virus’ (virus informatico) un programma in grado di ‘infettare’ altri programmi, modificandoli appositamente per poter installare copie di se stesso.

1986

Viene rilevata la prima epidemia globale scatenata da un virus informatico in grado di infettare i personal computer IBM compatibili. Il virus Brain, preposto a contagiare il settore di avvio del computer, riesce, in pratica, a diffondersi in tutto il mondo, nel giro di pochi mesi. La quasi totale mancanza di un’opportuna consapevolezza e di un’adeguata preparazione tecnica – all’interno della comunità informatica mondiale – riguardo alle modalità da adottare per proteggere le macchine nei confronti degli attacchi portati dai virus, assicura, di fatto, la piena riuscita di Brain. Peraltro, la comparsa di numerose opere di fantascienza su tale specifico argomento non fa altro che incrementare il senso di panico della gente, invece di insegnare i fondamenti della sicurezza.

Il virus Brain era stato scritto da un programmatore pakistano di soli 19 anni, Basit Farooq Alvi, e da suo fratello Amjad; i due avevano inserito all’interno del codice una stringa di testo contenente i loro nomi, indirizzo e numero di telefono. Secondo quanto affermato dagli stessi autori – entrambi operanti nel dipartimento vendite di una società produttrice di software – il virus era stato appositamente creato per misurare il livello di pirateria informatica presente nel loro paese. Il virus non faceva null’altro se non infettare il settore di avvio del disco e cambiare il nome del disco in ‘© Brain’; esso presentava un effettivo payload e non corrompeva in alcun modo i dati. Purtroppo, i due fratelli persero rapidamente il controllo del cosiddetto “esperimento” e Brain riuscì a diffondersi in tutto il mondo.

Un elemento di particolare interesse è rappresentato dal fatto che Brain può essere ugualmente classificato come il primo virus ‘stealth’ comparso sulla scena del malware. In effetti, nel momento in cui fosse stato rilevato il tentativo di leggere il settore infetto, il virus avrebbe mostrato i dati originali, e non quelli contaminati.

Nello stesso anno, un programmatore tedesco, Ralf Burger, inventa i primi programmi in grado di autoreplicarsi mediante l’aggiunta del proprio codice all’interno di file eseguibili DOS in formato COM. Il modello operativo del programma, denominato Virdem, fu introdotto da Burger nel mese di dicembre 1986, ad Amburgo, in occasione di un forum informatico underground, il Chaos Computer Club. Sebbene la maggior parte degli hacker presenti all’evento fosse specializzata nell’attaccare i sistemi VAX/VMS, l’interesse manifestato nei confronti di tale concetto fu davvero notevole.

1987

Compare sulla scena il virus Vienna. La sua apparizione e la successiva diffusione in tutto il mondo furono oggetto di accesi dibattiti in seno alla comunità globale, visto che si cercava di scoprire in ogni modo l’identità dell’autore. La prima persona in grado di individuare il virus fu Franz Swoboda; il suo avvertimento in merito alla scoperta di un programma auto-replicante denominato Charlie fu pubblicizzato da numerose società operanti nel campo dell’informatica e attirò ugualmente l’attenzione dei media. Come era lecito attendersi, erano davvero in molte le persone interessate a scoprire chi fosse l’autore del virus; allo stesso modo, si cercava di individuare la fonte della conseguente epidemia informatica. Nella circostanza trapelarono alcune informazioni, secondo le quali pareva che Swoboda avesse ricevuto il virus da Ralf Burger; quest’ultimo, poi, negò del tutto la versione di Franz Swoboda, affermando che, al contrario, era stato proprio lui a ricevere il virus da Swoboda. Di fatto, non fu mai rivelato chi fosse, effettivamente, l’autore del programma malware in questione.

Nonostante la gran confusione attorno all’identità dell’autore di Vienna, la comparsa del virus si rivelò particolarmente significativa per un altro specifico motivo. In effetti, uno dei suoi potenziali autori, Ralf Burger, inoltrò una copia del programma a Bernt Fix, il quale fu in grado di neutralizzare il virus. Si trattava, in pratica, della prima occasione in cui qualcuno si era effettivamente rivelato capace di neutralizzare tale genere di software nocivo. Fix può essere quindi ritenuto un precursore degli attuali professionisti dell’industria antivirus, sebbene gli esperti di sicurezza IT dei giorni nostri non solo analizzano e neutralizzano virus ed altre temibili tipologie di malware, ma, cosa ancora più importante, rilasciano moduli in grado di rilevare i programmi maligni, proteggere i computer degli utenti ed eliminare le eventuali infezioni informatiche.

In seguito, Burger capitalizzò il lavoro svolto da Bernt Fix, pubblicando il codice utilizzato per neutralizzare il virus Vienna nel libro intitolato “Computer Viruses: The Disease of High Technology”, opera analoga, per contenuti, a quella realizzata da B. Khizhnyak, ovvero “Writing Viruses and Anti-Viruses”. Nel suo libro Burger spiegava il modo in cui il codice del virus poteva essere modificato, allo scopo di neutralizzare la capacità di auto-replicarsi posseduta da quest’ultimo. Il libro in questione acquisì un’ampia popolarità, probabilmente per il fatto che in esso si spiegava in dettaglio come venivano creati i virus; in pratica, tale pubblicazione servì da stimolo per la realizzazione di migliaia di virus, i quali furono parzialmente o completamente sviluppati proprio sulla base delle idee espresse in questo libro.

Nel corso del 1987 compaiono ugualmente, sulla scena del malware, numerosi altri virus preposti ad infettare i personal computer IBM compatibili:

  • il famoso virus Lehigh, così denominato in onore dell’università della Pennsylvania dove lo stesso fu individuato per la prima volta; tale istituto universitario viene ironicamente ritenuto l’alma mater del padre della moderna virologia informatica;
  • la nota famiglia di virus Suriv;
  • una serie di virus destinati a colpire il settore di boot, propagatisi in vari paesi: Yale negli USA, Stoned in Nuova Zelanda, Ping Pong in Italia;
  • Cascade, il primo file virus provvisto di auto-crittografia.

Lehigh ha fatto davvero la storia, visto che è stato il primo virus in grado di arrecare danni direttamente ai dati; tale virus, di fatto, distruggeva le informazioni custodite sui dischi. Fortunatamente, la Lehigh University poteva contare su numerosi esperti di computer, particolarmente abili nell’analizzare i virus. In tal modo, il virus non uscì mai dai confini dell’università statunitense; Lehigh, in pratica, non è stato mai rilevato “in the wild”.

Il virus Lehigh lanciava una routine distruttiva, la quale produceva, innanzitutto, la cancellazione di dati importanti, per poi condurre, in certi casi, all’eliminazione del virus stesso. Lehigh infettava, in primo luogo, solo i file di sistema command.com. Dopo aver infettato ben quattro file, il virus iniziava a distruggere i dati, per poi distruggere, eventualmente, anche se stesso.

Già allora gli utenti avevano iniziato a considerare con maggiore attenzione il tema della sicurezza informatica, cercando quindi di imparare a proteggersi nei confronti dei virus. Gli utenti più cauti ed accorti, ad esempio, impararono alla svelta a monitorare la dimensione del file command.com, poiché sapevano che l’aumento di tale dimensione costituiva il primo sintomo di una potenziale infezione.

La famiglia di virus Suriv (provate un po’ a leggere il nome al contrario…), opera di un programmatore israeliano di cui non si è mai conosciuta l’identità, presentava anch’essa caratteristiche di particolare interesse. Così come nel caso del famoso virus Brain, è davvero difficile poter stabilire, nella circostanza, se si sia trattato di un semplice esperimento sfuggito di controllo, oppure della creazione premeditata di un programma dannoso. Molti esperti antivirus sono stati piuttosto inclini a pensare che si trattasse, effettivamente, di una sorta di esperimento. La scoperta, presso la Yisrael Radai University, di alcuni frammenti di codice ha ulteriormente supportato questa versione. Tale università è stata in grado di dimostrare che l’autore del virus, in sostanza, tentava di modificare il processo relativo all’installazione dei file in formato EXE; inoltre, l’ultima variante del virus in questione era, in pratica, solo una versione di debug.

Il primo membro della suddetta famiglia di virus, giustamente denominato Suriv-1 dal proprio autore, era in grado di poter infettare in tempo reale i file COM ai quali accedeva. Per far ciò, il virus si caricava nella memoria del computer, rimanendo poi attivo fino allo spegnimento del computer infetto. Questo consentiva al virus di poter intercettare le operazioni sui file e, nel caso in cui l’utente avesse caricato il file COM, di poter infettare immediatamente quest’ultimo. Tali circostanze facilitavano il processo di diffusione del virus, quasi istantaneo, sui supporti di archiviazione rimovibili.

Suriv-2, al contrario del suo predecessore, prendeva di mira i file EXE. Si è trattato, a tutti gli effetti, del primo virus in grado di penetrare all’interno di file provvisti di estensione EXE. La terza “incarnazione”, ovvero Suriv-3, combinava poi le caratteristiche possedute dalla prima e dalla seconda versione del virus; Suriv-3, di fatto, era in grado di contagiare sia i file COM, sia i file EXE.

La quarta variante del virus in questione, denominata Jerusalem, apparve poco dopo e fu capace di diffondersi rapidamente in tutto il mondo; nel 1988 Jerusalem causò una vera e propria epidemia informatica, su scala mondiale.

L’ultimo significativo evento del 1987 fu la comparsa del famoso virus cifrato Cascade, così denominato in base alla specifica peculiarità di una parte del suo payload. In effetti, una volta che il virus veniva attivato, i caratteri presenti sullo schermo precipitavano “a cascata” verso l’estremità inferiore dello stesso, formando una sorta di mucchio (vedi cascade.bmp). Il virus Cascade si componeva di due parti ben distinte: il corpo del virus e la routine di codifica/decodifica. Quest’ultima provvedeva a cifrare il corpo del virus, in maniera tale che lo stesso apparisse diverso in ogni file infettato. Una volta caricato il file, il controllo veniva di fatto trasferito alla routine di cifratura/decifratura, la quale decodificava il corpo del virus, trasferendo ad esso il controllo.

Cascade può essere quindi considerato il predecessore dei virus polimorfici, programmi dannosi che non dispongono di un codice permanente, e tuttavia mantengono inalterate le loro specifiche funzionalità nocive. Ad ogni caso, a differenza dei futuri virus polimorfici, Cascade criptava esclusivamente il corpo del virus. La dimensione del file infetto veniva poi utilizzata come chiave di decodifica. La routine di decifratura, da parte sua, rimaneva invariata; una caratteristica del genere permetterebbe alle attuali soluzioni antivirus di rilevare un simile malware con estrema facilità.

Nel 1988, Cascade provocò un serio incidente informatico negli uffici della sede belga di IBM; tale circostanza servì in pratica da impulso decisivo per la realizzazione e lo sviluppo, da parte di IBM, di un proprio prodotto antivirus. Prima di allora, qualsiasi soluzione antivirus sviluppata da IBM era stata esclusivamente intesa per uso interno.

Più tardi, Mark Washburn combinò le informazioni pubblicate da Ralf Burger riguardo al virus Vienna con il concetto di auto-codifica utilizzato per Cascade, creando in tal modo Chameleon, la prima famiglia di virus polimorfici.

Nel 1987 i computer IBM non sono più le uniche vittime del malware: in quell’anno vengono infatti scritti virus per Apple Macintosh, Commodore Amiga e Atari ST.

Nel mese di dicembre 1987 si verifica la prima vasta epidemia informatica nell’ambito delle reti locali: il worm Christmas Tree, scritto in linguaggio REXX, si diffonde sui sistemi operativi VM/CMS-9. Il worm fu “sguinzagliato” il 9 dicembre sulla rete Bitnet, tramite un’università tedesco-occidentale, attraverso un portale dell’European Academic Research Network (EARN), per poi raggiungere la Vnet di IBM. Soltanto quattro giorni dopo (il 13 dicembre), il virus aveva già invaso la rete. Una volta caricato, Christmas Tree – fedele al suo nome – mostrava un albero di Natale sullo schermo ed inviava copie di se stesso a tutti gli utenti della rete i cui indirizzi risultavano elencati nei file di sistema NAMES e NETLOG.

1988

Suriv-3, ovvero il virus Jerusalem, nome con il quale è conosciuto oggi, causò un’estesa epidemia proprio nel corso del 1988. Esso fu individuato all’interno di molte aziende, uffici governativi e istituzioni accademiche esattamente nel giorno di venerdì 13 maggio. Il virus colpì, in pratica, in tutto il mondo, anche se le aree geografiche maggiormente interessate risultarono essere Stati Uniti, Europa e Medio Oriente. Jerusalem distruggeva tutti i file caricati sulle macchine infette.

Il 13 maggio 1988 è stato da allora definito come “Black Friday”, il venerdì nero per antonomasia nel mondo dell’informatica. Curiosamente, gli esperti antivirus e gli autori di malware fanno sempre molta attenzione, ogni volta che il giorno 13 del mese cade di venerdì… In genere, in tale occasione, i virus writer si dimostrano particolarmente attivi, mentre gli analisti di malware considerano tale giorno quasi alla stregua di una “mini-vacanza” professionale.

Nel 1988, nel mondo, esistevano già numerose società antivirus. Si trattava, generalmente, di piccole aziende, di solito formate da due o tre persone. Il software allora utilizzato consisteva in semplici scanner in grado di eseguire ricerche contestuali, allo scopo di rilevare sequenze uniche di codice virale.

Gli utenti, all’epoca, apprezzavano ugualmente gli immunizzatori forniti assieme agli scanner. Gli immunizer avevano il compito specifico di modificare i programmi, in maniera tale che un virus avrebbe “pensato” che il computer era già infetto, lasciando quindi del tutto incontaminati i programmi. In seguito, quando il numero dei virus presenti sulla scena si contava ormai a centinaia, gli immunizzatori divennero di fatto inefficaci, visto che sarebbe stato semplicemente irrealistico pensare di poter sviluppare una quantità di immunizer sufficiente per neutralizzare tutti i virus disseminati “in the wild”.

Entrambe le tipologie di programma antivirus venivano distribuite gratuitamente, oppure erano vendute a prezzi realmente irrisori. Nonostante ciò, esse non riuscirono a raggiungere un livello di popolarità tale da poter contrastare efficacemente le epidemie di virus in corso. Inoltre, i programmi antivirus in questione non erano in grado di fornire alcun aiuto nei confronti dei nuovi virus che si affacciavano progressivamente sulla scena: i canali ancora imperfetti utilizzati per la trasmissione dei dati e l’effettiva mancanza di una rete di computer unificata a livello globale, come l’attuale Internet, rendevano in effetti estremamente difficile poter recapitare agli utenti le versioni aggiornate dei software antivirus.

La diffusione di virus come Jerusalem, Cascade, Stoned e Vienna fu ugualmente facilitata da fattori di natura umana. In primo luogo, in quegli anni, gli utenti non erano ancora sufficientemente consapevoli della necessità di disporre di una valida protezione antivirus. In secondo luogo, molti utenti, addirittura molti professionisti del settore IT, non credevano proprio all’esistenza dei virus informatici.

Ad esempio, persino Peter Norton, il cui nome accompagna oggi molti prodotti della società statunitense Symantec, si dimostrava piuttosto scettico nei confronti dei virus informatici, in una certa fase della sua carriera. Egli dichiarò che la loro esistenza era solo leggenda, comparando gli stessi alle storie che si raccontavano a proposito degli enormi coccodrilli che popolavano le fogne di New York. Questo, tuttavia, non impedì a Symantec di sviluppare, poco tempo dopo, il proprio progetto antivirus, denominato Norton AntiVirus.

Il 1988 è un anno importante anche per la comunità antivirus internazionale: il 22 aprile viene in effetti inaugurato il primo forum elettronico dedicato alla sicurezza antivirus. Si trattava, più precisamente, del forum Virus-L, creato nell’ambito della rete Usenet da Ken van Wyk, collega universitario di Fred Cohen.

Nel 1988 si registra ugualmente il primo “virus hoax” di larga diffusione. Questo interessante fenomeno riguarda, nello specifico, la diffusione incontrollata di voci e dicerie riguardo alla comparsa di nuovi pericolosi virus, mentre, in realtà, tali notizie sono del tutto prive di fondamento. Di fatto, in alcuni casi, simili “rumors” hanno avuto lo stesso identico effetto di un virus. Gli utenti, spaventati, hanno spesso diffuso le voci in questione alla velocità della luce. Ovviamente, questi falsi allarmi, di per sé, non arrecano danni a nessuno; ad ogni caso, essi producono un evidente consumo della larghezza di banda, logorano i nervi degli utenti, screditando infine coloro che inizialmente avevano prestato fede alle voci messe (più o meno abilmente) in circolazione.

Mike RoChennel (pseudonimo ricavato dal termine ‘Microchannel’), fu l’autore di uno dei primi virus hoax della storia. Nel mese di ottobre del 1988 Mike inviò un gran numero di messaggi alle BBS, riguardo alla comparsa di un temibile virus che si poteva trasmettere tra modem a 2400 baud. Nella circostanza, l’antidoto suggerito era l’utilizzo di modem provvisti di una velocità di 1200 baud. Per quanto ridicola possa sembrare una cosa del genere, occorre dire che molti utenti, all’epoca, tennero realmente conto del prezioso “consiglio” di Mike RoChennel.

Un’altra bufala analoga fu messa in circolazione da Robert Morris, riguardo alla presunta diffusione di un virus in grado di propagarsi attraverso le reti di computer e di modificare la configurazione di porte e drive. Il virus in causa, secondo il falso allarme allora diffuso, aveva infettato, in meno di 12 minuti, ben 300.000 computer in soli due stati USA, Nord e Sud Dakota. Novembre 1988: si propaga rapidamente, nell’ambito di varie reti informatiche, l’epidemia causata dal worm Morris. Il worm infetta oltre 600 sistemi informatici ubicati sul territorio degli Stati Uniti (incluso il centro di ricerca della NASA), generando il blocco totale di alcuni di essi. Al pari del noto worm Christmas Tree, il suddetto malware era in grado di distribuire un numero illimitato di copie di se stesso, sovraccaricando completamente le reti sottoposte ad attacco.

Per moltiplicarsi, il worm Morris sfruttava una vulnerabilità presente nei sistemi operativi UNIX, sulle piattaforme VAX e Sun Microsystems. Oltre a sfruttare la vulnerabilità UNIX, per ottenere l’accesso al sistema il worm utilizzava vari metodi innovativi, come la raccolta delle password.

Le perdite complessive causate dal worm Morris furono stimate in 96 milioni di dollari USA, una cifra davvero rilevante per quei tempi.

Infine, nel 1988, fu lanciato sul mercato un popolare programma antivirus, Dr. Solomon’s Anti-Virus Toolkit. Il software era stato creato da un programmatore britannico, Alan Solomon, e fu largamente utilizzato fino al 1998, anno in cui la società fu rilevata dalla statunitense Network Associates (NAI).