Una variante di Melissa ripropone il problema dei vecchi virus rielaborati.
A volte i virus ritornano
Una variante di Melissa ripropone il problema dei vecchi virus rielaborati.
Recentemente un noto Virus Bulletin mondiale ha diramato la notizia relativa alla diffusione di una nuova variante del virus Melissa, noto per essere stato uno dei primi veri “worm” ad essere stato messo in circolazione. Il bollettino ha dichiarato che questa nuova versione del malicious code creerebbe numerose difficoltà a parte degli antivirus proposti sul mercato, proprio a causa della sua conformazione.
In questo spazio analizzeremo, ancora una volta alcune tendenze del malicious writing.
I “cari vecchi virus writer”, usavano scrivere il codice sorgente delle loro creature in maniera autonoma, senza avvalersi di strumenti esterni che, in qualsiasi caso, hanno una storia alquanto consolidata. Prima, il “codice deontologico” imponeva ai writer una certa autonomia nella stesura del codice. Ora la deontologia non è più nel DNA degli hacker, come questo termine non è più utilizzato nella maniera che si dovrebbe.
Stanno infatti proliferando dei toolkit, cioè degli strumenti di gestione del codice sorgente dei virus che consentono, tra l’altro, di creare dei nuovi ceppi o delle varianti non riconoscibili ai prodotti antivirus.
Uno degli esempi più noti e recenti è dato dal famoso kalamar. Si tratta di un toolkit che ha poi generato alcuni tra i più dannosi Vbs Script in circolazione, che hanno causato non pochi problemi agli amministratori di sitema di mezzo mondo.
Ma i VbScript non sono gli unici a creare problemi. Anche altri agenti come Hybris, hanno “fruito” della granularità offerta dai toolkit. La causa principale della grande diffusione di questo worm ( quello delle email senza subject e senza mittente, per intenderci) è dovuta alla grossa quantità di varianti in circolazione, e alla loro consequenziale facilità di stesura.
Le contromisure possibili.
Si ritiene che l’unica possibilità data all’utenza per mitigare le problematiche sia di tipo tecnico/metodologica. In pratica bisognerebbe operare su due fronti:
Aggiornamento degli antivirus e loro corretta configurazione. Il numero di varianti aumenta in maniera direttamente proporzionale a quello degli aggiornamenti dei prodotti di sicurezza informatica. In pratica si tratta di una vera e propria rincorsa continua tra i virus writer e le case produttrici di antivirus. Tempo fa, molti ricorderanno le notizie sulla diffusione di un malware in grado di diffondersi come un “normale” worm e di autoaggiornarsi interfacciandosi con un newsgroup. Questa la dice tutta su come, oramai, l’aggiornamento sia diventato un must per entrambi i versanti.
Altra contromisura, riguarda l’apertura degli attachment al giorno d’oggi dove la maggior parte delle infezioni avviene aprendo gli allegati di posta senza prima averli verificati.
La preghiera che viene rivolta all’utenza da tutti i produttori di antivirus e ricercatori del settore è quella di effettuare una verifica continua del traffico entrante, con particolare riferimento agli attach. Sembra una cosa scontata, ma non lo è, visto che la curiosità spesso riesce a sovvertire tutte le security policy.
A proposito di politiche, può essere importante ricordare che alcuni giuristi hanno iniziato a parlare di colpa grave anche in caso di trasmissione ?involontaria? di malicious code. In questo caso, inoltre, non si deve far caso esclusivamente ai possibili risvolti penali ma anche a quelli civilistici, cioè dal punto di vista del risarcimento dei danni e responsabilità oggettive.
Alcuni antivirus vendor hanno pensato di rispolverare il concetto di motore euristico e di associarlo all?ennesimo Acronimo di turno ideato dai commerciali. Questo perchè l?euristica viene definita l?unica reale soluzione allo spreading delle varianti. Ma la comunità scientifica se ne deve essere accorta in tempo, in quanto ha iniziato a produrre una serie nutrita di letteratura evidenziante le lacune di un modello da gestire con la massima cautela a causa dei falsi allarmi.
Altra problematica è quella relativa alla potenza di calcolo richiesta in fase di scansione delle mail. Alcuni hanno risposto rilasciando degli appliance dedicati a queste operazioni. Altri, invece, ritenendo questo tipo di mercato ancora immaturo rispetto alle richieste degli utenti, vedono più indicato l?uso di una solida base hardware piuttosto che di un prodotto ad hoc.