I saggi su InterLex

I provider potrebbero arginare le infestazioni

InterLex n° 203, 6 dicembre 2001

Si può fare qualcosa per limitare, se non bloccare, la crescente minaccia costituita dai worm, i nuovi mostri autoreplicanti che sfruttano le vulnerabilità delle infrastrutture di Internet e delle applicazioni utente? La diffusione di questi programmi sembra inarrestabile: così le ultime infestazioni non solo hanno messo a repentaglio la sicurezza di centinaia di milioni di personal computer ma, soprattutto, stanno rischiando di saturare i backbone della Rete. Una soluzione, seppure parziale, esiste: il blocco al livello dei server della posta elettronica infetta.

È forse il caso di ricordare che col termine worm, il quale letteralmente significa "verme", si indicano quei programmi in grado, come i più noti "virus", di replicarsi e diffondersi in innumerevoli copie fino a provocare vere e proprie infestazioni; le quali, nel caso peggiore, possono rapidamente raggiungere scala continentale o planetaria. La differenza fra un worm ed un virus è sottile ma fondamentale: mentre il virus non è in grado di propagarsi autonomamente, ma ha bisogno di un programma "ospite" da infettare e da usare come veicolo di diffusione, un worm è invece in grado di diffondersi con le sue sole forze, sfruttando direttamente i canali di Internet per raggiungere le proprie vittime e replicarsi a velocità impressionante. Le vittime infatti altro non sono che ulteriori computer, i quali vengono usati dal worm come "base di lancio" per una nuova ondata di infezione: così ogni computer "conquistato" dal worm provvede a propagare nuove copie del worm stesso a tutti gli altri computer che è in grado di raggiungere via Internet, generando una reazione a catena che nell'arco di poche ore è potenzialmente in grado di raggiungere quasi ogni computer del globo.

In realtà la Rete non è nuova ad attacchi di worm: già nel lontano 1988 l'antidiluviana antenata dell'attuale Internet rischiò il collasso totale a causa del micidiale Arpanet Worm di Robert Morris, che per due giorni costrinse gli amministratori di sistema di tutto il mondo a scollegare i loro computer dalla rete nel tentativo di bloccarne la diffusione. Quel vermone preistorico, praticamente l'antenato di tutti i vermi moderni, era ovviamente basato su meccanismi d'azione differenti da quelli usati dai suoi pronipoti di oggi, ma il principio ispiratore era sempre lo stesso: sfruttare opportunamente determinate vulnerabilità dei sistemi per far sì che un programma "maligno" potesse prendere il controllo di un computer e costringerlo ad inviare in giro copie di sé stesso.

Ora come allora la diffusione massiccia del worm si basa sulla massiccia standardizzazione dei sistemi in giro per la Rete; all'epoca di Morris imperava lo Unix, oggigiorno i sistemi Microsoft, ma il concetto è sempre lo stesso: un singolo punto debole nel sistema consente, ad un programma in grado di sfruttarlo opportunamente, di compromettere centinaia di migliaia, o milioni, di computer in tutto il mondo.

Tra l'altro i vermi moderni hanno imparato ad utilizzare, per i propri spostamenti, il mezzo più naturale e comodo di Internet: la e-mail. Per fare ciò essi sfruttano la "programmabilità" delle moderne applicazioni, cioè la possibilità, che praticamente tutti i programmi applicativi offrono, di consentire l'automazione di determinate funzioni mediante opportune sequenze di controllo eseguibili da parte dell'applicazione stessa o del sistema operativo. Nel caso dei sistemi Windows si utilizzano sia le possibilità intrinseche di programmazione con linguaggi tipo Java o Visual Basic, sia veri e propri bug del sistema o degli applicativi, per indurre i client di posta (i famigerati Outlook od Outlook Express) ad eseguire il codice nocivo del worm, che gli viene sottoposto sotto forma di innocuo allegato di posta elettronica (il cosiddetto e-mail attach). Una volta che Outlook ha eseguito il worm, questo, per così dire, si impossessa di lui e lo sfrutta per confezionare una serie di nuovi messaggi di posta, che vengono spediti a tutti i corrispondenti che si trovano nell'indirizzario locale e che contengono ciascuno una copia del worm.

Questo attacco è sottilissimo dal punto di vista psicologico: infatti la potenziale vittima, ossia l'utente proprietario del computer "bersaglio", si vede recapitare una e-mail proveniente non da uno sconosciuto ma da qualcuno che già conosce (altrimenti il suo indirizzo di e-mail non sarebbe nella rubrica del mittente!) e quindi di cui probabilmente si fida: pertanto è istintivamente portato ad abbassare la soglia di diffidenza ed a cliccare sull'allegato per aprirlo. Ma così facendo la vittima dà inconsapevolmente inizio ad un nuovo ciclo di diffusione del worm: questo infatti prende il controllo del suo Outlook e invia a tutti i suoi conoscenti una nuova copia di sé stesso, perpetuando la malefica reazione a catena.

Negli ultimi due anni gli episodi di massiccia diffusione di worm si sono ripetuti non solo con allarmante frequenza ma, soprattutto, con crescente virulenza. Il primo caso di rilievo fu il famoso I love you di probabile origine filippina, che in mezza giornata riuscì a passare dal sud-est asiatico al cuore dell'Europa. Un anno dopo fu la volta di Homepage, che essendo basato su una tecnica leggermente diversa la fece nuovamente franca riuscendo a superare tutti gli antivirus ed a penetrare anche all'interno di organizzazioni solitamente ben difese.

Ma negli ultimi mesi il gioco si è fatto duro e la Rete ha registrato attacchi di inaudita violenza perpetrati da worm di nuova generazione, in grado di esibire comportamenti mutanti e di attuare strategie multiple per la propria diffusione. Creature quali Nimda, Sircam e Magister sono delle piaghe che, a distanza ormai di mesi dalla loro comparsa, ancora non sono state completamente eradicate dalla Rete. Il motivo va ricercato nella straordinaria pervicacia con cui tali sgraditi ospiti si installano nei sistemi delle loro vittime, annidandosi in più punti diversi e modificando ad arte le procedure di riavvio del sistema operativo in modo da assicurarsi la massima chance di "sopravvivenza" anche dopo una procedura di bonifica non particolarmente attenta.

Assistiamo così da qualche tempo al fenomeno, quasi sommerso e crepuscolare, per cui la Rete viene percorsa quotidianamente da migliaia di copie di tali worm, che continuano a rimbalzarsi da un sistema all'altro senza creare più vere e proprie epidemie diffuse, in quanto la maggior parte dei siti oramai li riconosce e li elimina, ma senza tuttavia estinguersi del tutto: nel mare magnum di Internet rimangono infatti numerose sacche localizzate di arretratezza, dove i sistemi non vengono aggiornati o bonificati e continuano dunque, pressoché indisturbati, a vomitare copie dei worm in tutte le direzioni.

Paradossalmente il danno maggiore procurato da questa situazione, che va avanti quasi indisturbata senza che nessuno in apparenza possa farci niente, non consiste nella pura e semplice diffusione dell'infezione: infatti praticamente tutte i destinatari dei messaggi infetti, ovvero le vittime potenziali, sono da tempo "immunizzate" grazie all'adozione di programmi antivirus, e dunque non cadono preda della trappola. Il vero problema è invece lo spamming effettuato da questi "untori automatici", ossia il rischio di saturazione delle risorse di connettività e di congestione dei sistemi di smistamento della e-mail causato dallo straordinario volume di traffico inutile e indesiderato costituito dalle migliaia e migliaia di copie di messaggi di posta elettronica contenenti il worm che vengono iniettate ogni giorno sulla Rete. Considerando che un singolo messaggio contenente un moderno worm ha mediamente una dimensione compresa fra i 220 e i 250 Kbyte, ci si rende conto che sulla Internet viaggiano ogni giorno decine e decine di Gbyte di dati spuri, che verranno comunque rifiutati dai sistemi di destinazione (dopo però averne saturato le mailbox!) ma che contribuiscono nel frattempo ad intralciare in modo significativo il flusso di dati leciti.

Non sono purtroppo rari i casi in cui l'untore è un computer server, ossia un sistema non presidiato da un utente in carne ed ossa: esso allora continuerà stolidamente ed incessantemente ad inviarvi ogni giorno varie decine di copie dello stesso worm, magari variando di tanto in tanto l'oggetto del messaggio di e-mail che lo accompagna, ma riuscendo comunque nell'intento di saturarvi la casella di posta con decine di Mbyte inutili per scaricare i quali dovrete oltretutto stare attaccati al modem alcune ore. È il caso peggiore, perché probabilmente non potrete fare nulla per risolvere il problema alla fonte.

Insomma, la popolazione strisciante dei nuovi vermi della Rete si aggira sui canali di Internet saturandoli e minandone l'affidabilità, riempiendoci le mailbox di inutili schifezze e facendoci salire alle stelle la pazienza e la bolletta telefonica; e nessuno sembra poter fare nulla per evitarlo. Eppure qualcuno ci sarebbe: i detentori dei fili e della connettività, i gestori delle nostre mailbox, in una parola i provider. Già, loro in effetti sono proprio nella posizione tecnica migliore per stroncare sul nascere il traffico di worm prima che esso atterri nella nostra casella di posta: un semplice controllo antivirus effettuato all'origine bloccherebbe il messaggio impedendone proprio il recapito all'utente finale, il quale quindi non sarebbe costretto a scaricarselo con ovvi costi sulla bolletta (per non parlare comunque del rischio di infezione). Ciò contribuirebbe enormemente ad alleviare la congestione sulle linee e nelle mailbox. Nei casi più recidivi di "untori automatici" i provider potrebbero addirittura istruire i loro server a non accettare più, almeno per qualche tempo, la posta proveniente dai sistemi riconosciuti come tali, contribuendo così ulteriormente a ridurre il traffico di messaggi indesiderati.

Per far ciò i provider dovrebbero semplicemente dotarsi di sistemi di antivirus attestati sul server di posta o sul firewall, e quindi configurati per esaminare tutto il traffico di e-mail passante (sia in ingresso che in uscita) attraverso di loro. Si tratterebbe di fare un controllo massivo, certamente oneroso sia in termini di risorse tecnologiche impegnate che in termini di tempo di calcolo, ma comunque accettabile nell'ottica del prevedibile beneficio globale in termini di minor traffico da gestire. Sistemi antivirus centralizzati, adatti a funzionare in accoppiata ad un server di posta o ad un firewall, sono da tempo disponibili in commercio e costano al massimo qualche decina di milioni per un'installazione con tutti i crismi: ancora una volta una cifra certamente alla portata di un grande o medio ISP.

Alcuni ISP per la verità già offrono come servizio ai loro abbonati la scansione automatica delle mail contro i virus. Il punto è che di un servizio del genere non beneficiano i soli abbonati del singolo provider ma tutta la comunità, che potrà godere di linee più scariche e mailbox meno intasate. Se tutti i provider adottassero criteri generalizzati di filtraggio delle mail contenenti worm, ognuno di noi ne ricaverebbe beneficio personale e tutto il sistema funzionerebbe meglio.

Il motivo per cui molti provider preferiscono non attivare un servizio del genere è soprattutto da ricercarsi nella più o meno velata diffidenza nei confronti della propria clientela. Qualcuno ad esempio vorrebbe farselo pagare, ma teme le reazioni degli utenti; qualcun altro si preoccupa che un siffatto controllo potrebbe essere interpretato da qualche utente come "censura" o peggio ancora "intrusione indebita" nella propria posta personale; qualcun altro infine ha paura che, qualora al sistema di controllo sfuggisse un nuovo virus, qualche utente potrebbe rimanerne vittima e quindi rifarsi sul provider querelandolo per omesso o insufficiente controllo. In realtà sono tutti falsi problemi, che non hanno basi giuridiche e che si possono risolvere semplicemente sul piano contrattuale; il fatto è che la scansione centralizzata delle e-mail per eliminarne virus e worm non è un servizio agli utenti ma un servizio alla comunità, e come tale dovrebbe essere responsabilmente adottata da tutti coloro che hanno, direttamente o indirettamente, la gestione dei cavi di collegamento di questa nostra povera e vituperata Internet.

Saggio pubblicato su InterLex n° 203 del 6 dicembre 2001 (Anno V)
Copyright © 2001, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,584

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi