Le invasioni barbariche …

Le invasioni barbariche …
Tra il IV e il V secolo d.C. l’Impero Romano di Occidente fu ripetutamente invaso da tribù barbare provenienti
dall’Europa Orientale: di queste invasioni, alcune erano delle scorrerie rivolte soltanto al saccheggio, altre
vere e proprie migrazioni in armi. Quali città e quali terre dell’impero erano attaccate di preferenza? Sicuramente quelle che avevano meno possibilità di difendersi, mentre le grandi città fortificate e difese, a meno
che non costituissero obbiettivi particolarmente ricchi di
bottino, erano accuratamente evitate.
Sono passati 1700 anni ma, in fondo, non è cambiato
nulla solo che, oggi, le prede dei nuovi Vandali e dei nipotini di Attila non sono più le città e le campagne, ma
qualcosa di altrettanto ghiotto: i dati contenuti nei comIllustrazione 1: Gli Unni alla carica
puter. Come già scrissi nel mio precedente articolo,
non è necessario essere la Banca d’Italia oppure il
Pentagono per essere esposti ad attacchi virali o a tentativi di penetrazione con cavalli di Troia, anzi … questi sono bersagli grossi, ben difesi e protetti, difficili da
espugnare. Meglio rivolgersi a qualcosa di più abbordabile, come la miriade di elaboratori elettronici collegati
a Internet e sprovvisti di adeguate difese.
La caratteristica principale della stragrande maggioranza degli attacchi da parte di software ostili è, infatti,
proprio questa: sono indiscriminati, non selettivi. Gli attacchi mirati sono fatti in modo diverso: sono pianificati
come campagne militari e sono tentati sicuramente con metodi diversi dalla mail o dall’allegato infetti.
Un esempio? Guardate le figure seguenti: mentre stavo scrivendo questo articolo mi sono stati segnalati, da
software di protezione diversi e in meno di mezz’ora, due tentativi di intrusione e vi posso garantire che sui
miei PC non è contenuto nulla che possa essere allettante per chicchessia.
Illustrazione 2: Norton Antivirus segnala il
tentativo di penetrazione di un worm
Illustrazione 3: Il firewall ZoneAlarm indica un tentativo di
accesso non autorizzato
Una necessaria precisazione: i programmi commerciali per la difesa dei computer dagli attacchi sono tutti validi ed efficaci (anche perché quelli un po’ più scadenti, vista la concorrenza, sono scomparsi ormai da tempo). In questi articoli faccio riferimento a quelli che uso personalmente, ma questo non vuol esprimere alcun
giudizio di merito né sui software che cito né su quelli, molto più numerosi, che nomino appena o ignoro.
Riprendiamo il filo del
discorso … un paio d’ore fa ho installato una
nuova versione del firewall, ossia del software di protezione dagli accessi dall’esterno
… secondo voi, in questo lasso di tempo
quanti tentativi di intrusione ha bloccato questo programma? Come
si può vedere dalla figura 4 ben 177, come
dire più di uno al minuto, tanto che, dopo aver
catturato l’istantanea di
figura 3, ho provveduto
a impostare il software
in modo che non mi
mostrasse più le finestre di avvertimento ad
ogni tentativo di scasso.
D’altronde con la posta
elettronica la situazione
non è certo più brillante
anche se, ormai, parte
della protezione antivirus è svolta dallo stesIllustrazione 4: Il pannello di controllo di ZoneAlarm mostra i tentativi di accesso
so fornitore di servizi
non autorizzato)
che ci dà la connessione ad Internet e le caselle e-mail. Qualche
messaggio infetto, però, passa sempre ed ecco perché è necessario avere un programma antivirus che si
occupi dell’ultima linea di difesa, controllando e verificando tutta la posta in entrata, soprattutto quella con allegati.
(Per la cronaca … nel
frattempo i tentativi di
intrusione bloccati dal
firewall sono passati da
177 a 264 … è trascorso forse un quarto d’ora).
Illustrazione 5: Norton Antivirus ha bloccato ed eliminato una mail contenente un virus
Vorrei a questo punto
rivolgere
l’attenzione
ad un fenomeno che fa
pensare: secondo Sophos, azienda specializzata nella produzione di soluzioni antivirus, uno dei worm oggi
più diffusi in Internet è
Netsky-P … credo che
la notizia non via abbia
scosso eccessivamente, né che ci troviate
qualcosa di particolarmente preoccupante.
Perché, dunque, le do questo risalto? Perché Netsky-P è conosciuto fin dal marzo del 2004 e, in oltre due
anni, non è ancora stato debellato, tanto da continuare a essere considerato una minaccia importante. Que-
sto significa, quindi, che infetta ancora un gran numero di computer ospiti non adeguatamente protetti e, soprattutto, che queste macchine, da due anni a questa parte, non sono state sottoposte a controlli antivirus.
Un altro dato da considerare è questo: sempre secondo Sophos ormai più dell’ottanta per cento delle minacce virali scoperte è costituito da trojan: il messaggio di posta elettronica infettato dal worm sta perdendo il
suo fascino presso i nuovi vandali dei computer, tanto che in un anno le mail infette si sono ridotte ad un
quarto. Perché questa predilezione per gli eredi del cavallo di Ulisse? A mio parere perché consentono di
esercitare una forma di controllo su altre macchine rendendole disponibili per ogni tipo di operazione illecita;
in più, consentono a chi controlla il computer infetto di raccogliere informazioni sensibili, come, ad esempio,
quelle sui conti correnti e le carte di credito della vittima.
È il momento di tirare le fila di questo articolato discorso.
Riassumendo:
•
gli attacchi virali sono indiscriminati e continui
•
circolano ancora virus che potremmo definire dei
“fossili viventi”
•
la tipologia d’attacco si sta evolvendo verso l’invasione dei computer per trasformarli in zombie e utilizzarli per scopi diversi … una specie di invasione
degli ultracorpi informatica.
Il quadro che ne esce è abbastanza inquietante e la conclusione che se ne può trarre è una sola: chi usa il computer,
per lavoro o per diporto non ha importanza, soprattutto se lo
tiene collegato ad una rete (sia essa Internet o una rete locale) ha l’obbligo di proteggersi adeguatamente contro queste minacce sia per ridurre i danni propri sia per evitare di
infettare altri.
Illustrazione 6: Immagine tratta dal film di fantascienza “L’invasione degli ultracorpi” del 1956.
Piante aliene producono baccelli che si sostituiscono agli esseri umani imitandone l’aspetto
L’invito è rivolto non tanto alle grandi aziende che hanno, o
dovrebbero avere, strutture difensive adeguate e personale
che, tra i suoi compiti, ha quello di mantenerle costantemente aggiornate ed efficienti, ma all’imprenditore, al professionista, all’azienda di dimensioni medie o piccole, allo
studente, all’hobbista che, spesso, ignorano questi problemi
o li trattano con una superficialità dettata dalla non conoscenza.
Per parlare di software nocivi, l’informatica ha preso in prestito termini, quali virus, infezione, inoculo, dall’epidemiologia e dall’infettivologia, e, quindi, possiamo continuare su questa strada e parlare di sintomi, di prevenzione e di cura.
Come si può riconoscere un computer infetto? La quasi certezza ci può essere data solo da una scansione
antivirus che dichiari che sul nostro elaboratore è presente un agente patogeno, sia esso un virus, uno spyware o un altro software nocivo, ma non illudiamoci … se l’antivirus non segnala nulla non vuol dire che il
computer non è infetto.
Al di là di questa ovvia verifica ci sono, però, alcuni sintomi che ci possono mettere sull’avviso. Farò riferimento ai computer con i sistemi operativi Microsoft Windows nelle diverse versioni, per due motivi: primo,
perché sono i più diffusi e, quindi, i più esposti agli attacchi; poi perché, dal punto di vista della resistenza ai
software nocivi, sono più “deboli” di altri sistemi operativi come Unix, Linux e MacOs.
Vediamo dunque questi sintomi:
1. Blocco del sistema e/o riavvio spontaneo: in versioni meno recenti è abbastanza frequente il
blocco del sistema con la comparsa di una schermata blu che mostra un messaggio d’errore. Se il
fenomeno si ripete con una certa frequenza (più di una volta al giorno) e al blocco segue un riavvio
spontaneo del sistema è abbastanza probabile che ci si trovi in presenza di un virus. Stesso discorso se l’elaboratore si riavvia mentre è in esecuzione una scansione antivirus. Sasser, un worm che
ebbe un momento di larga diffusione a metà del 2004, provocava la continua comparsa di una finestra che avvisava dell’imminente riavvio del computer;
2. Malfunzionamento dell’antivirus: alcuni software nocivi cercano di impedire il funzionamento
dell’antivirus perciò irregolarità di funzionamento, blocchi e riavvii mentre si sta eseguendo una
scansione, disattivazione delle funzioni di aggiornamento e di protezione automatica del software antivirus sono indizi abbastanza certi di infezione virale;
3. Malfunzionamenti generali del sistema: software che improvvisamente smettono di funzionare correttamente oppure si aprono con estrema lentezza possono indicare che ci si trova in
presenza di un’infezione. Un sintomo analogo è
dato dal rallentamento delle operazioni di avvio
dell’elaboratore, oppure di caricamento del sistema operativo o, ancora, dalla lentezza della connessione ad Internet. In quest’ultimo caso, però,
è anche possibile che siano attivi programmi di
scaricamento di file, che intasano la connessione con il loro traffico;
Illustrazione 7: La tipica finestra che appariva nei
computer infettati da Sasser
4. Collegamento a siti non richiesti: se, digitando l’indirizzo di un sito web, si è sistematicamente
reindirizzati ad altri siti, spesso di casinò on line o di contenuti pornografici, significa che un browser
hijackers (software capace di modificare permanentemente la homepage del browser oppure il motore di ricerca predefinito) ha preso il controllo del nostro browser. La sua presenza è spesso rivelata
dalla comparsa, tipicamente in Internet Explorer, di pulsanti e barre degli strumenti indesiderate. Il
solo reindirizzamento, però, non è un indizio risolutivo perché potrebbe anche esser stato manomesso il server DNS dell’Internet Services Provider (l’azienda che ci fornisce la connessione ad
Internet);
Illustrazione 8: Figura 8: la finestra delle connessioni di rete in Windows XP
5. Attivazione di una connessione ad Internet diversa da quella abituale: in questo caso abbiamo
scaricato un dialer che ci permette di accedere ad Internet non tramite la nostra solita connessione
ma attraverso un numero telefonico a pagamento o internazionale: è facile, così, accumulare in un
breve tempo bollette telefoniche piuttosto salate. È opportuno controllare abbastanza spesso le connessioni di rete del nostro elaboratore e verificare che ci siano solo quelle necessarie (in linea di
massima una o due se il computer è collegato solo ad Internet, due o tre se è anche inserito in una
rete locale). Per eseguire questo controllo in Windows XP è sufficiente cliccare sull’icona delle risorse di rete (sul desktop o nel menù di avvio) e selezionare la voce Visualizza connessioni di rete nel
riquadro a sinistra della finestra che si è aperta. In Windows 2000 si opera in modo molto simile: si
apre la finestra delle risorse di rete (le icone che ci permettono di accedervi si trovano o sul desktop
oppure nel menù di avvio sotto la voce Impostazioni) e, nella finestra che si apre, si sceglie la voce
Rete e connessioni remote;
6. Occupazione ingiustificata di spazio su disco: può essere dovuta alla moltiplicazione incontrollata di file causata da un virus oppure all’occupazione, da parte di un terzo che controlla un trojan, di
parte del nostro disco come magazzino. In quest’ultimo caso i file sono archiviati in modo nascosto,
e quindi sono difficilmente rintracciabili.
Mi accorgo ora di essere arrivato alla fine dello spazio a mia disposizione (direttore, forse ho pure sforato un
po’, vero?), quindi non mi resta che darvi l’appuntamento al prossimo articolo, nel quale vedremo come possiamo difenderci efficacemente dalle invasioni barbariche.
Articolo pubblicato per gentile concessione della rivista “Porto e Diporto” della AM editori Srl - Napoli