Anche i computer si ammalano

Sono diverse le tipologie di virus che possono infettare i computer, conoscerli può aiutare a tarare opportunamente le difese e gli accorgimenti per evitarli.

Già nel 1949 John von Neumann dimostrò matematicamente la possibilità di costruire un programma per computer in grado di replicarsi autonomamente. Il concetto di programma auto-replicante trovò la sua evoluzione pratica nei primi anni ’60 nel gioco ideato da un gruppo di programmatori dei Bell Laboratories della AT&T chiamato “Core Wars”, nel quale più programmi si dovevano sconfiggere sovrascrivendosi a vicenda. Era l’inizio della storia dei virus informatici.

Il termine virus venne adottato la prima volta da Fred Cohen (1984) della University of Southern California nel suo scritto Experiments with Computer Viruses (Esperimenti con i virus per computer), dove questi indicò Leonard Adleman come colui che aveva adattato dalla biologia tale termine. La definizione di virus era la seguente: “un virus informatico è un programma che ricorsivamente ed esplicitamente copia una versione possibilmente evoluta di sé stesso”.

Ma il termine era già stato utilizzato prima. Nel 1972 David Gerrold scrisse un romanzo di fantascienza La macchina di D.I.O. (When H.A.R.L.I.E. was One), dove è presente una descrizione di un programma per computer chiamato VIRUS che adotta il medesimo comportamento di un virus.

Il primo malware della storia informatica è stato Creeper, un programma scritto per verificare la possibilità che un codice potesse replicarsi su macchine remote. Il programma chiamato Elk Cloner è invece accreditato come il primo virus per computer apparso al mondo. Fu creato nel 1982 da Rich Skrenta sul DOS 3.3 della Apple e l’infezione era propagata con lo scambio di floppy disk: il virus si copiava nel settore di boot del disco e veniva caricato in memoria insieme al sistema operativo all’avvio del computer.

Nel corso degli anni ottanta e nei primi anni novanta fu lo scambio dei floppy la modalità prevalente del contagio da virus informatici. Dalla metà degli anni novanta, invece, con la diffusione di internet, i virus ed i cosiddetti malware in generale, iniziarono a diffondersi assai più velocemente, usando la rete e lo scambio di e-mail come fonte per nuove infezioni.

Oggigiorno infatti con la rete internet, la posta elettronica, i router, i pen drive, i server web ed e-mail, le pagine web di siti e social network le diffusioni di virus informatici sono molto più rapide, avvengono da una parte all’altra del mondo e spesso vengono utilizzate per combattere guerre.

Pertanto qualsiasi  dispositivo che abbia un sistema operativo ed è connesso ad Internet è potenzialmente a rischio di essere infettato da un virus. Consideriamo pure che la tecnologia dell’Internet of Thing (internet delle cose) ha portato la connessione alla rete globale in tantissimi dispositivi, quali: televisori, telecamere, automobili, apparecchi radio, dispositivi di telecontrollo dell’ambiente domestico o industriale, elettrodomestici, controllori automatici del traffico urbano, navale, ferroviario o aereo, ecc

I virus informatici più semplici sono composti da due parti essenziali, sufficienti ad assicurarne la replicazione:

– una routine di ricerca, che si occupa di ricercare dei file adatti ad essere infettati dal virus e controlla che gli stessi non ne contengano già una copia, per evitare una ripetuta infezione dello stesso file;
– una routine di infezione, con il compito di copiare il codice virale all’interno di ogni file selezionato dalla routine di ricerca perché venga eseguito ogni volta che il file infetto viene aperto, in maniera trasparente rispetto all’utente.

Molti virus sono progettati per eseguire del codice estraneo alle finalità di replicazione del virus stesso e contengono dunque altri due elementi:

– la routine di attivazione, che contiene i criteri in base ai quali il virus decide se effettuare o meno l’attacco (es. una data, o il raggiungimento di un certo numero di file infetti);
– il payload, una sequenza di istruzioni in genere dannosa per il sistema ospite, come ad esempio la cancellazione di alcuni file o la visualizzazione di messaggi popup sullo schermo (gli adware sono malware che si specializzano nel far apparire banner pubblicitari su computer della vittima).

Le tipologie di Virus informatici, come per le specie biologiche, sono divise in macrofamiglie, ognuna con una sua peculiarità di infezione e diffusione e vengono classificati in base:
* all’ambiente di sviluppo,

–   file virus, che a loro volta si dividono in:
+ parasitic virus;
+ companion virus;
+ virus link;
+ boot virus;
+ macro virus;
+ network virus

* alle capacità operative degli algoritmi: TSR virus, virus polimorfi, stealth virus,

* alle capacità distruttive
– innocui: se comportano solo una diminuzione dello spazio libero sul disco senza nessun’altra alterazione delle operazioni del computer;
– non dannosi: se comportano solo una diminuzione dello spazio libero sul disco, col mostrare grafici, suoni o altri effetti multimediali;
– dannosi: possono provocare problemi alle normali operazioni del computer (ad esempio, cancellazione di alcune parti dei file, modifica di file o apertura di applicazioni);
– molto dannosi: Causano danni difficilmente recuperabili come la cancellazione di informazioni fondamentali per il sistema (formattazione di porzioni del disco, modifica dei parametri di sicurezza del sistema operativo, …).

Riepiloghimo di seguito le definizioni fornite da Google e da WikiPedia per queste macrocategorie di virus informatici, che talvolta vengono anche utilizzati da hacker (genericamente operatore molto esperto, nda) e craker (o Black Hat Hacker – persona che si ingegna per eludere blocchi imposti da qualsiasi sistema informatico, nda) per ottenere l’accesso ai sistemi informatici presi di mira:

Adware: software scaricato, spesso in maniera inconsapevole, durante la navigazione in Internet o l’installazione di un software gratuito, programmato per raccogliere informazioni sulle operazioni effettuate dall’utente e per visualizzare periodicamente messaggi pubblicitari non richiesti.

Keylogger: è uno strumento hardware o software in grado di effettuare lo sniffing della tastiera di un computer, cioè è in grado di intercettare e catturare segretamente tutto ciò che viene digitato sulla tastiera senza che l’utente si accorga di essere monitorato.

Malware: programma, documento o messaggio di posta elettronica in grado di apportare danni a un sistema informatico.

Ransomware: è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione.

Rogueware: anche noto come FraudTool (letteralmente “strumento di frode”), è una particolare categoria di malware che finge di essere un programma noto, o comunque non malevolo (ad esempio un Antivirus), al fine di rubare dati confidenziali o di ricevere denaro. Questi malware hanno anche, al loro interno, funzionalità di adware.

Rouge-AV o Rouge-Antivirus: il Rogue-AV, detto anche FakeAV, è un particolare Rogue che finge di essere un Antivirus: una volta installato nel computer, finge di trovare uno o più virus informatici e/o malware.

Rootkit: è una collezione di software, tipicamente malevoli, realizzati per ottenere l’accesso ad un computer o ad una parte di esso, che non sarebbe altrimenti possibile (per esempio un utente non autorizzato ad effettuare il login).

Spyware: software scaricato, spesso in maniera inconsapevole, durante la navigazione in Internet o l’installazione di un software gratuito, programmato per registrare e trasmettere a terzi dati personali e informazioni sull’attività online di un utente, generalmente a scopo pubblicitario.

Trojan: un trojan o trojan horse (in italiano Cavallo di Troia), nell’ambito della sicurezza informatica, indica un tipo di malware. Il trojan nasconde il suo funzionamento all’interno di un altro programma apparentemente utile e innocuo.

Virus: è un programma o una sezione di codice caricato nel computer senza che il proprietario ne sia a conoscenza o lo abbia autorizzato. Alcuni virus causano solo fastidi, mentre la maggior parte è dannosa e ideata per infettare e prendere il controllo dei sistemi vulnerabili.

Worm: (letteralmente “verme”) è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri eseguibili per diffondersi ma si diffonde spedendosi direttamente agli altri computer, ad esempio tramite e-mail o una rete di computer.

Non esiste un metodo generale per individuare un virus all’interno di un sistema. Le tecniche di rilevamento utilizzate dagli antivirus sono diverse: utilizzate contemporaneamente garantiscono un’ottima probabilità di rilevamento della presenza di un virus. In base alle tecniche di rilevamento usate, gli antivirus si distinguono in tre tipi:

* programmi di monitoraggio: mirano a prevenire un’infezione mediante il controllo di attività sospette (ad esempio, la richiesta di formattazione di un disco oppure l’accesso a zone privilegiate di memoria). Sono importanti perché rappresentano la prima linea di difesa (essi non rimuovono il virus; lo individuano e lo bloccano). Ma sono facili da bypassare attraverso la tecnica di tunneling.
* scanner: effettuano la ricerca dei virus attraverso due tecniche:
– il confronto tra le firme memorizzate in un database interno, con quelle, eventualmente, contenute nei file infetti;
– l’utilizzazione delle tecniche euristiche per i virus che sono cifrati o sconosciuti.
* programmi detection: utilizzano duniche:
–  verifica dell’integrità: calcolano l’hash dei file da confrontare successivamente coi nuovi valori risultanti da un nuovo calcolo per verificare che i file non abbiano subito modifiche nel frattempo.
– tecniche euristiche: salva le informazioni sufficienti per ripristinare il file originale qualora questo venga danneggiato o rimosso da un virus

Ricordiamo infine che la scarsa conoscenza dei meccanismi di propagazione dei virus e il modo con cui spesso l’argomento viene trattato dai mass media favoriscono la diffusione tanto dei virus informatici quanto dei virus burla, detti anche hoax: sono messaggi che avvisano della diffusione di un fantomatico nuovo terribile virus con toni catastrofici e invitano il ricevente ad inoltrarlo a quante più persone possibile. È chiaro come questi falsi allarmi siano dannosi in quanto aumentano la mole di posta indesiderata e diffondono informazioni false, se non addirittura dannose.