Perplesso. Non posso rimanere che perplesso dietro alle notizie sul worm Conficker. Non nego che sia pericoloso od ostico, avendo avuto a che fare con un computer infetto dallo stesso, ma sarebbe inutile raccontare come ho fatto a rimuoverlo, anche perché mi voglio soffermare su quello che si può fare per prevenirlo e su quello che è stato detto.

Dall’articolo di Repubblica (tradotto dal New York Times) pare ci siano nuovi cambiamenti nel mondo dei malware, nuove strategie, nuovi metodi di infezione, nuovo tutto insomma. Basterebbe cercare un po’ meglio per scoprire che questo “cambio” è successo anni fa. Basti pensare a Gromozon, conosciuto anche come Link Optimizer, che sfruttava una falla presente sempre sui sistemi Windows, anche questa corretta mesi prima della diffusione dell’infezione,  riguardante i file WMF (windows metal file). Il malware si è diffuso nel 2006 e il problema è lo stesso di oggi: i computer non vengono aggiornati e l’infezione dilaga nonostante chi di dovere abbia corretto il problema.

Link Optimizer, a differenza di Conficker, disattivava talmente tanti programmi che rimuoverlo era una vera e propria battaglia all’ultimo sangue. Molte persone si sono mosse per togliererlo di mezzo e tra questi è doveroso citare i creatori di Gmer e The Avenger, senza tralasciare realtà nostrane come Suspectfile.com, che ancora lavora contro le minacce informatiche esistenti, e uno degli esperti che ha sollevato il problema, ovvero Marco Giuliani, che sta già diffondendo informazioni utili alla rimozione di Conficker.

Nonostante le esperienze passate, superate più o meno brillantemente, le previsioni sono tutte per l’apocalisse informatica come ad esempio “Se stai cercando una Pearl Harbor digitale, qui abbiamo le navi giapponesi che avanzano all’orizzonte” (Rick Wesson, amministratore delegato della Support Intelligence ndr) oppure “oltre a rimbalzare da un lato all’altro della Rete alla velocità della luce, agganciano i computer infettati a sistemi unificati chiamati “botnet” “. Tutte frasi buttate là solo per terrorizzare il lettore medio che di informatica non capisce molto. Già per la prima frase basta conoscere un po’ di storia per capire che è fuori luogo (l’effetto sorpresa ORA dov’è?), per la seconda basta girare per i forum e qualche blog che tratti anche superficialmente l’argomento sicurezza, per sapere che malware che agiscono in questa maniera ce ne sono a bizzeffe e che uno aveva creato problemi alla rete italiana (Rustock. B) senza che per questo si diffondesse il panico. I veri motivi della pericolosità del Conficker sono altri, tra cui la presenza di un rootkit, del cambio dei permessi sui file creati dall’infezione e sui metori usati per celare il funzionamento dei file stessi, che nell’articolo non vengono nemmeno citati.

Una nota positiva è data dalla lavata di capo che viene fatta agli utenti colpevoli di non mantenere in salute il proprio computer, mancando di aggiornare i software quando necessario, in primis il sistema operativo e l’antivirus. Le lodi però finiscono qui, perché non si cita il co-responsabile dello sfacelo, ovvero il produttore del sistema operativo, ma su questo tornerò dopo.

Prima volevo soffermarmi sull’intervista rilasciata da Alberto Berretti, matematico e docente di sicurezza informatica a Roma 2, a Repubblica, dove non mancano  due gravi lacune, spero dovute ai tagli che ha dovuto subire l’intervista per le immancabili esigenze di redazione. Il primo errore si può leggere nella seconda domanda:
Giornalista: “Una volta l’hacker era benigno, aiutava la tecnologia a migliorare se stessa”
Docente: “Ciò che succede oggi non ha niente a che vedere con la visione dell’hacker romantico, pirata benevolo che per amor di conoscenza entra nei computer della Nasa[...]”
Hacker vuol dire: “una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d’interesse” e si parla anche di ambiti esterni all’informatica. Quei soggetti che, invece, scrivono malware e si “divertono” a creare disagi sono un’altra categoria di persone, ovvero i Cracker (non sono quelli della Pavesi….), ovvero veri e propri farabutti che con gli hacker hanno in comune la sola intenzione di violare i sistemi.
La seconda riguarda una domanda sulla prevenzione:
Giornalista: “Come può una persona “normale” proteggersi da tutto questo?”
Docente: “Aggiornando ogni mese il sistema operativo sul sito di Microsoft – è il prezzo del successo, i virus attaccano i sistemi Microsoft perché sono più diffusi degli altri – e tenendo sempre installata l’ultima versione dell’antivirus.[...]”
L’errore sta nel confermare la credenza popolare per cui solo Windows è minacciato dai malware, mentre è assolutamente falsa. Basti leggere quest’articolo di Attivissimo di qualche giorno fa. Un vero peccato perché i consigli sono ottimi e bisogna sempre tenerli presente. Un doppio peccato se si legge il resto dell’intervista dove il docente fa presente come sia anche colpa dei media se l’ignoranza informatica è a questi livelli.

Rimane un solo quesito: che ruolo hanno i creatori di Windows in questo sfacelo? Un ruolo importante, perché se i malware writer attaccano principalmente Windows non è solo per la sua diffusione, ma perché non serve porsi un problema, ottenere i privilegi per agire. In altre parole mentre in Windows c’è una sola porta per accedere all’intero appartamento (computer), in Mac e sistemi Linux oltre alla porta pricipale ci sono altre porte per proteggere al meglio altre stanze sensibili (cartelle di sistema). Tra i due metodi è ovvio quale dei due sia più facile da perforare, ma non significa che Mac e le distro Linux siamo immuni.

Cosa può fare l’utente di Windows per proteggersi al meglio? In parte l’ha già detto il docente universitario: aggiornare antivirus e sistema operativo. Solo queste due misure permettono un ottimo livello di protezione. Tuttavia si può fare di meglio: installare un firewall che protegga dall’invio di dati fraudolenti e un software che avvisi di eventuali modifiche al sistema operativo, come un HIPS, di cui abbiamo parlato tempo fa.

La cosa migliore sarebbe avere un sistema di accesso come le famose porte di Mac e Linux. Windows Xp lo permette grazie alla creazione dell’account utente, mentre Vista e Seven (il nuovo sistema operativo di casa Microsoft) implementano una versione rozza dello stesso. Entrambi però presentano seri inconvenienti, con XP è impossibile avere “quando necessario” i privilegi di admin, e per Vista e Seven il sistema è fallace (bisogna cliccare sì o no, quando andrebbe richiesta una password, così com’è si può aggirare facilmente). Per fortuna esiste il concetto di software sandbox, ovvero software che creano zone del computer (ad esempio dove deve agire il browser) isolate dal resto del sistema, impedendo così ad un eventuale malware di accedere alle cartelle di sistema: un esempio di questa tipologia di software è Sandboxie.

Insomma, i mezzi per difendersi ci sono, non serve diffondere il panico, ma prudenza.