di Lucio Viganò

Molte volte, dalle pagine di questo giornale, rivolgendomi ai possessori di computer connessi ad internet (cioè la quasi totalità), ho sottolineato la necessità di programmare una periodica manutenzione del proprio sistema attraverso poche e semplici operazioni, che tuttavia rivestono un’importanza fondamentale per prevenire l’eventualità di subire attacchi da parte dei criminali informatici.
Ho ribadito l’importanza di installare un buon sistema antivirus, mantenendolo aggiornato con regolarità. Troppo spesso, infatti, nel coltivare la mia passione per l’informatica, sono entrato in contatto con utenti i cui computer erano completamente privi di difese, oppure con antivirus scaduti e quindi totalmente inefficaci.
Solitamente la ragione principale di questo comportamento risiede nell’approccio totalmente passivo che questi utilizzatori hanno con il mondo dell’informatica nei suoi più comuni aspetti; lo scarso interesse che nutrono nei confronti del web, limitato a qualche fugace accesso alla rete ed alla semplice gestione della posta elettronica, li porta a non comprendere esattamente cosa sia e quale pericolo rappresenti un virus informatico, quali siano le sue caratteristiche ed infine come e perché possa penetrare nel computer.
Questa categoria di utenti è quindi portata a sottovalutare il problema o, peggio, a non prenderlo nemmeno in considerazione. Le poche decine di euro necessarie per installare un buon antivirus e per tenerlo aggiornato sono viste perciò come una spesa superflua, per lo meno fino a quando il computer sembra funzionare normalmente.
Purtroppo però la realtà è ben diversa e periodicamente la stampa, sia quella specializzata sia quella generalista, lancia qualche allarme sulla diffusione dei programmi informatici dannosi e sulla sempre maggiore aggressività dei cyber criminali; le cause principali di questo flagello sono dovute, da un lato all’enorme diffusione dell’informatica domestica, dall’altro al capillare avanzamento della banda larga nelle connessioni casalinghe, complice l’offerta di tariffe a forfait sempre più vantaggiose. Il grande numero di computer connessi alla rete in modalità “always on”, costituisce infatti per i criminali informatici una tentazione troppo forte per potervi resistere.
In questo numero di Insieme esaminiamo allora una minaccia estremamente attuale, che ha generato un livello di allarme altissimo tra gli addetti ai lavori, per la sua importanza, la sua estensione a livello mondiale ed il modo subdolo con cui aggredisce i sistemi informatici e si diffonde.
Parliamo delle botnet, neologismo formato dalle parole “bot” e “network” (rete). Il termine bot è l’abbreviazione di robot e per analogia indica, nel mondo dell’informatica, un programma automatico per computer, quindi la botnet altro non è che una rete di computer robot. Ovviamente il programma in questione è, nel nostro caso, un malware (malicius software – programma dannoso), quindi un virus capace di creare una rete di computer infettati. Quando si parla di rete si intende una ramificazione a diffusione mondiale, con decine o centinaia di migliaia di computer coinvolti, che sono passati sotto il totale controllo dei cyber criminali che governano queste attività illecite. I computer che compongono una botnet sono chiamati in gergo “zombie”, termine mutuato dal cinema horror, che sta ad indicare, con agghiacciante similitudine, un’entità che esegue ciecamente gli ordini che gli sono impartiti da lontano.
Nei precedenti articoli sulle infezioni informatiche, ho più volte evidenziato come i virus possano creare malfunzionamenti, errori o addirittura blocchi del sistema e perdita di dati; ciò avviene perché il virus interferisce pesantemente con le attività del computer, ne limita l’operatività e può causare arresti improvvisi; questi inconvenienti possono essere semplici effetti collaterali, conseguenze cioè dell’attività principale del virus, oppure possono costituire essi stessi l’obiettivo dell’infezione; dipende dalle intenzioni del criminale responsabile.
Normalmente nelle botnet questo non avviene; al contrario, poiché il cyber criminale ha tutto l’interesse a non farsi scoprire per poter raggiungere agevolmente il proprio scopo, i virus delle botnet sono molto discreti e tendono ad occultarsi perfettamente nel sistema ospite; questa è la ragione dell’allarme accennato all’inizio: molti possessori di computer connessi ad internet – parliamo di milioni di utenti - non immaginano nemmeno lontanamente che il proprio PC sia uno zombie, anche perché, una volta installato, il malware è assai difficile da stanare. In questo modo il cyber criminale che lo controlla può agire indisturbato.
Vediamo quindi ora da vicino come funziona una botnet.
I criminali che stanno dietro a queste attività, creano e diffondono un virus, un worm o un trojan che, sfruttando le falle di un sistema informatico non protetto, riescono ad installarvisi in profondità; le modalità di infezione sono sempre le stesse: posta elettronica o siti web costruiti ad hoc. Una volta insediato e dopo aver comunicato al criminale che lo controlla i dati del sistema che ha appena infettato, il malware resta in attesa di essere attivato. Quando il virus ha preso possesso di un numero sufficiente di computer (da alcune centinaia a diverse decine o centinaia di migliaia, secondo il disegno criminoso che ne è all’origine), la botnet è creata e pronta per essere utilizzata. È importante sapere che il cyber criminale ha la possibilità di conoscere in ogni momento, l’entità, la distribuzione e la consistenza della rete che ha costruito. Ma per farne che cosa?
Le attività – tutte illegali, ovviamente – che possono essere intraprese con una rete di zombie sono innumerevoli; chi legge queste righe resterà sorpreso nel sapere che uno degli scopi della creazione di una botnet è la cessione in affitto. Sembra di leggere un romanzo di fantascienza, ma non è così e mai come in questo caso si può dire che la realtà ha superato la più fervida delle fantasie.
Una volta formata la rete, la si mette sul mercato pronta per essere affittata – un tot a zombie – a chi se ne vuole servire; siate pur certi che se è vero che né io né voi sapremmo come fare e a chi rivolgerci per stipulare un contratto del genere, nel giro della criminalità informatica lo si sa benissimo!
Uno degli utilizzi di una botnet, ad esempio, è quello di inondare i PC di tutto il mondo con milioni di e-mail spazzatura, la cosiddetta spam, ovvero tutta quella posta elettronica non richiesta che ognuno di noi si trova quotidianamente nella propria casella. In questi messaggi truffaldini si offre di tutto: orologi di marca e software delle migliori marche a prezzi stracciati, ad esempio; ma nemmeno il famoso Viagra e prodotti simili sono riusciti ad evitare di essere oggetto di spam; chiunque possieda una connessione ad internet lo ha certamente verificato di persona. Qualche tempo fa – Insieme n° 99 – ho parlato a lungo del phishing, una tecnica studiata ad arte per carpire, sempre a fini illegali, i dati riservati degli internauti attraverso la creazione di messaggi di posta elettronica appositamente creati; anche questo è un tipico campo di impiego delle botnet.
Il perché è presto detto: maggiore è il numero di messaggi inviati, maggiori sono le probabilità che qualche sprovveduto abbocchi, senza contare che, particolare fondamentale, attraverso gli zombie, i cui possessori sono assolutamente ignari di quanto sta accadendo, non è possibile risalire all’artefice della truffa, ben nascosto dietro alla sua botnet, in qualche remota parte del mondo.
Ma il più spettacolare e imponente utilizzo delle botnet è quello conosciuto con il nome di “attacco DoS”, acronimo di Denial of Service ovvero, tradotto letteralmente “Negazione del Servizio”; meglio ancora, la variante più aggressiva e devastante chiamata “attacco DDoS”, (Distributed Denial of Service – attacco DDoS distribuito).
Con questo termine si definisce la capacità della botnet di ingolfare ripetutamente un determinato servizio web paralizzandone l’attività. Se il bersaglio dell’attacco è, poniamo, un Ente Istituzionale o un’azienda che pratica il commercio on-line, si otterrà la totale impossibilità di accedere al sito da parte dei normali utenti, con conseguente perdita di credibilità ed immagine nel primo caso e di un notevole danno economico nel secondo.
Per scatenare questo attacco, il cyber criminale che controlla la botnet impartisce ai PC zombie l’ordine di inviare, verso l’indirizzo web del sito preso di mira, milioni di pacchetti di dati contemporaneamente; poiché i server del sito sotto attacco, per motivi strutturali, non sono in grado di gestire una così imponente mole di traffico, si bloccano paralizzando completamente tutta l’attività on-line dell’ente o della società colpita. Dal momento che un attacco DDoS avviene in totale automatismo, esso può durare anche mesi, con un danno incalcolabile per le vittime designate.
Si può ben capire, quindi, perché le botnet generino tanto allarme tra i responsabili della sicurezza informatica e non solo. recentemente l’FBI, in collaborazione con la polizia neozelandese, ha individuato un diciottenne, dal nome in codice Akill, sospettato di essere a capo di una botnet composta da oltre un milione di computer infettati.
Purtroppo, contro le botnet non c’è nulla da fare; le insidie si celano dappertutto e non è possibile prevedere in anticipo se il sito sul quale stiamo navigando o la mail che abbiamo ricevuto possano condurre un’infezione; l’unico rimedio, se si è certi che il proprio computer è diventato uno zombie, è la formattazione dell’hard disk ed il ripristino del sistema.
L’unica difesa rimane la prevenzione: tanto buonsenso durante la navigazione ed un buon antivirus che ci protegga dalle insidie più comuni.
E un po’ di fatalismo: il Male è sempre esistito ed esisterà sempre; quella che abbiamo visto ne è soltanto l’ultima manifestazione.