Che gioia. Era possibile prendere il controllo di qualunque iPhone a distanza, accedendo anche a telecamere e microfono e rubando mail, foto e messaggi. Ma niente panico: la falla è già stata risolta tempo fa, con l’aggiornamento alla versione 13.5 di iOS (ora siamo alla 14.2). Se non l’avete già installato, fatelo.

La scoperta della falla è merito di un singolo ricercatore, Ian Beer di Project Zero, che ha passato (parole sue) “sei mesi del 2020 bloccato in un angolo della mia camera da letto, circondato da miei adorabili bambini urlanti... non [per trovare] un incantesimo per convincerli a dormire [...] ma un exploit wormable di radioprossimità che mi consentisse di prendere il controllo completo di qualunque iPhone nelle mie vicinanze.” Ognuno ha le proprie priorità.

Se non avete idea di cosa sia un “exploit wormable di radioprossimità”, traduco: una falla di sicurezza sfruttabile, capace di propagarsi da un dispositivo all’altro, che richiede solo che il dispositivo attaccato sia abbastanza vicino da essere raggiunto da un segnale radio e non richiede che la vittima faccia qualcosa.

Ian Beer racconta la sua avventura in un post dettagliatissimo, al limite dell’Odissea interiore, ma in sintesi: i dispositivi Apple possono scambiarsi file (per esempio foto) e condividere schermate tramite Wi-Fi (Apple chiama questa funziona Wireless Direct Link). Beer ha scoperto un difetto nel funzionamento di questo sistema e lo ha sfruttato, usando il proprio ingegno e dei componenti elettronici facilmente reperibili a basso costo (Raspberry Pi e degli adattatori Wi-Fi).

In questo modo ha avuto anche il potere straordinario di bloccare, spegnere e riavviare qualunque iPhone a distanza, usando solo apparecchi portatili, come mostra in questo video:

Per fortuna Beer è uno dei buoni: ha segnalato il problema ad Apple, che l’ha corretto prima che lo scoprissero i malintenzionati.

 

Fonti: BBC, Sophos.

Credit: Rainmaker1973.

Si chiamava Creeper (niente a che vedere con Minecraft) ed è considerato il primo “virus” (più propriamente worm) della storia dell’informatica: il primo programma capace di creare una copia di se stesso e trasmettersi autonomamente da un computer all’altro attraverso le reti informatiche. Correva l’anno 1971: manca poco al suo cinquantenario.

Sono insomma ormai quasi cinquant’anni che si svolge la rituale gara fra guardie e ladri: da una parte virus e worm sempre più sofisticati, dall’altra antivirus che cercano di stare al passo.

Creeper funzionava sui grandi computer dell’epoca, specificamente su Digital PDP-10, grandi come stanze, collegati fra loro dall’ARPANET, l’antenata di Internet. La sua particolarità era il fatto di stampare il messaggio "I'M THE CREEPER : CATCH ME IF YOU CAN", ossia “io sono il maniaco: prova a prendermi”.

Ma in realtà aveva un’altra caratteristica insolita. Creeper non fu scritto da un criminale: fu inventato da uno dei padri di Internet, Bob Thomas, per dimostrare che era possibile passare un programma da un computer all’altro. Allora era una novità straordinaria: oggi lo facciamo senza neanche pensarci.

Ironia del destino, un collega di Bob Thomas, Ray Tomlinson, scrisse un programma analogo che saltava da un computer all’altro in cerca di copie di Creeper: se ne trovava, le cancellava. Era, in altre parole, il primo “antivirus”.

Rispetto al malware ultrasofisticato di oggi, l’attacco informatico di Iloveyou che fece disastri vent’anni fa fa quasi sorridere per la sua semplicità.

Il 4 maggio 2000 le caselle di mail di mezzo mondo furono invase e intasate da un fiume di mail che avevano un titolo molto semplice: le tre parole inglesi I love you, senza spazi.

Il testo della mail era una sola riga: kindly check the attached LOVELETTER coming from me, ossia un invito ad esaminare l’allegata lettera d’amore. Una tentazione irresistibile, anche perché la mail sembrava spesso provenire da un collega d’ufficio.

La “lettera d’amore” allegata sembrava avere l’estensione txt che indica un file di testo, ma grazie a una delle scelte più stupide della storia dell’informatica, quella di nascondere le estensioni per default in Microsoft Windows, gli utenti non potevano vedere che la reale estensione dell’allegato era vbs: era insomma uno script in Visual Basic camuffato.

Lo script approfittava di un altro errore monumentale di Microsoft Outlook: eseguiva automaticamente gli script se l’utente vi cliccava su (con un doppio click), dando quindi pieno controllo del computer allo script, che mandava una copia di se stesso a tutti gli indirizzi presenti nella rubrica.

Il risultato fu un’ondata virale di messaggi che nel giro di poche ore causarono confusioni e congestioni a non finire, anche perché il virus informatico non si limitava ad autoreplicarsi massicciamente (agendo quindi più propriamente come un worm): rinominava e cancellava anche molti dei file presenti sui dischi rigidi delle vittime oltre a collezionare password.

Il settore finanziario di Hong Kong, il parlamento danese, la Ford e Microsoft stessa furono paralizzate dall’enorme traffico di mail, e lo stesso accadde a quasi tutte le principali basi militari degli Stati Uniti.

Gli informatici crearono rapidamente un antidoto, e il creatore del virus informatico fu rintracciato quattro giorni dopo: era Onel de Guzman, uno studente dell’AMA Computer College a Manila, nelle Filippine. Le prove erano schiaccianti, ma all’epoca le leggi del paese non includevano i reati informatici e quindi l’autore di Iloveyou non era punibile perché non aveva commesso alcun reato. Subito dopo furono introdotte anche nelle Filippine leggi sul computer crime, che ovviamente non potevano essere retroattive.


Fonti: CNN, Sophos, Graham Cluley.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2017/05/05 21:45.

Credit: Naked Security.

L’attacco virale via mail avvenuto l'altroieri ha ricordato a molti uno degli attacchi più grandi della storia di Internet: Iloveyou, di cui ricorre il diciassettesimo anniversario proprio in questi giorni.

Era infatti il 4 maggio 2000 quando esplose la circolazione di una mail che aveva come titolo "ILOVEYOU" e come testo "Kindly check the attached LOVELETTER coming from me". Una dichiarazione d’amore irresistibile per chiunque: anche chi non era in cerca di storie d’amore difficilmente resisteva alla curiosità di sapere chi o cosa c'era dietro il messaggio. Anche l'uso di parole universali e semplici (è difficile trovare qualcuno che non sappia cosa vuol dire "I love you") ha contribuito immensamente al successo, per così dire, della propagazione del malware.

Come racconta Naked Security, furono colpiti utenti e aziende in tutto il mondo e a tutti i livelli, compresa la CIA, la Ford e il Parlamento britannico, intasati dalle migliaia di copie del messaggio che venivano generate automaticamente.

Iloveyou (noto anche come Love Bug, LoveLetter o VBS/LoveLet) aveva infatti un allegato, LOVELETTER.TXT.VBS, che usava la doppia estensione .txt.vbs per fingere di essere un file di testo e nascondere la vera identità di script in Visual Basic. Lo script veniva così eseguito da chi credeva di aprire un file di testo allegato alla mail d'invito e prendeva il controllo del computer in modo da inoltrare copie del malware agli utenti presenti nella rubrica della vittima.

L'autore dell’attacco fu scoperto in pochi giorni: era Onel de Guzman, un giovane studente delle Filippine, che il 10 maggio 2000 confessò di aver diffuso il worm. Non fu incriminato perché all’epoca le leggi filippine non contemplavano i reati informatici. Nelle Filippine Onel de Guzman fu visto come una sorta di star nazionale.

La storia di Iloveyou, comunque, non è finita nel 2000: è stata ripresa cinematograficamente nel 2011 per una commedia romantica dal titolo, piuttosto prevedibile, di Subject: I Love You.

Nella notte fra mercoledì e giovedì ha iniziato a circolare su Gmail una mail che sembrava un invito, proveniente da un amico o collega, a condividere un documento pubblicato su Google Docs, che in realtà era un attacco informatico che portava la vittima a un sito simile a quello di Google e otteneva l'accesso alla rubrica dei contatti se la vittima cliccava sulla richiesta di permesso d'uso delle credenziali di Google. La rubrica così acquisita veniva poi usata dall'attacco per mandare altre copie della mail-trappola agli indirizzi presenti nella rubrica stessa.

L'attacco sembra aver attaccato per primi vari giornalisti ma si è poi diffuso in maniera virale, come gli attacchi classici di una volta. Per fortuna Google è intervenuta dopo circa un’ora dalle prime segnalazioni, togliendo le pagine false ed eliminando gli account usati per l'attacco.

La mail-trappola era ben strutturata, con uno stile identico a quello delle vere richieste di Google e con un link che portava a una vera pagina di autorizzazione di Google. Il trucco usato per scavalcare le protezioni di Google era basato in parte sul fatto che il Google Docs da quale sembrava provenire il documento da condividere era in realtà un'app esterna a Google che era stata denominata "Google Docs" e usava un'icona uguale al logo di Google Docs.

Secondo Google sono stati colpiti "meno dello 0,1% degli utenti Gmail", che significa comunque che sono state coinvolte centinaia di migliaia di persone in un'oretta. Google dice inoltre che l'unico danno agli utenti è la sottrazione delle loro rubriche di contatti. Un danno non banale, specialmente per chi ha in rubrica contatti riservati.

Se avete per caso cliccato sull'invito, vi conviene andare a myaccount.google.com/permissions e verificare i permessi che avete dato alle app: se trovate un'app denominata "Google Doc", rimuovetela. E attenzione alle mail che vi arrivano da persone che conoscete: potrebbero essere delle trappole create attingendo alle rubriche acquisite da questo attacco.


Fonti: The Verge, Ars Technica, Ars Technica, Motherboard, The Register.

Non ci sono più i virus di una volta? Ci sono, ma stanno dormendo e prima o poi si sveglieranno

Dove sono finiti i grandi virus? Il decennio che si sta chiudendo era partito con grandi infezioni di massa, come Iloveyou, che nel 2000 infettò circa 50 milioni di computer, Code Red nel 2001, Slammer nel 2003, e così via. Ma ormai sono anni che non capita più una grande infezione devastante. Oggi le regole del gioco sono diverse: si infettano ancora i computer, ma senza dare nell'occhio, per usarli per altri scopi.

C'è un caso, in particolare, che sta mettendo in agitazione da tempo gli addetti ai lavori. Nei primi mesi del 2009 c'è stato infatti un notevole allarme per Conficker, che sembrava destinato a ripetere gli exploit da prima pagina degli illustri (o infami) predecessori succitati, avendo infettato con successo per esempio le reti informatiche della Camera dei Comuni e di vari ospedali nel Regno Unito e delle forze militari francesi, tedesche e britanniche. Poi più nulla. Il primo d'aprile, data prevista di attivazione del virus (più propriamente worm), doveva esserci la catastrofe, ma non c'è stata. Cos'è successo?

Conficker non è stato debellato: è ancora là fuori, in letargo, e gli esperti si stanno chiedendo quando si sveglierà e che cosa combinerà. Secondo le ricerche del Conficker Working Group, il team di specialisti formatosi proprio per gestire questa specifica minaccia dormiente, il worm ha infettato sproporzionatamente i sistemi informatici in Africa, in America Latina e nei paesi in via di sviluppo, e al momento è presente in tutto il mondo dentro circa sei-sette milioni di PC Windows. Secondo il CWG, non c'è mai stata un'infezione così pervasiva e persistente.

Un successo senza precedenti dal punto di vista dei misteriosi gestori di questo software ostile, ma un successo che forse li ha spiazzati: si trovano fra le mani un potenziale enorme, probabilmente maggiore del previsto, e non sanno come sfruttarlo senza bruciarlo e attirare troppa attenzione. Conficker è come una bomba atomica: troppo potente per poterla usare, se non in situazioni estreme, e con il rischio di scatenare una reazione violentissima dell'avversario.

Il CWG mette a disposizione i link agli antivirus che da tempo riconoscono ed eliminano Conficker, ma l'infezione persiste. I dati per la Svizzera, per esempio, indicano quasi 2200 indirizzi IP infetti (quindi, grosso modo, altrettanti computer); quelli per l'Italia segnalano circa 150.000 indirizzi IP dai quali fa capolino Conficker. Le statistiche del CWG fanno nomi e cognomi dei provider che ospitano gli appestati, e ce n'è per tutti.

Siamo insomma seduti su un vulcano. È quindi il caso di fare qualche controllo antivirale in più, specialmente sulle penne USB e sui dischi rigidi scambiati con amici e colleghi, prima che i padroni di questo worm si sveglino e decidano di usare il loro strumento (e magari il vostro computer) per scopi sicuramente non confortanti.

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Finalmente un virus anche per iPhone. Perché lasciare agli altri tutto il divertimento di avere uno sconosciuto che ti entra nel telefono e gli fa fare quello che gli pare? Ora anche gli utenti del cellulare feticcio di Apple (che è un buon telefonino, ma non tanto da venerarlo come fanno alcuni, specialmente chi non ce l'ha) possono vedere soddisfatta questa lacuna.

Arriva infatti dall'Australia un vero e proprio worm autopropagante: ogni iPhone infetto cerca altri iPhone attraverso la rete telefonica e si installa in quelli che trova. Ma il titolo di Apple in borsa non è precipitato e non c'è alcuna pandemia cellulare, perché il worm ha i denti limati.

Infatti funziona soltanto sugli iPhone ai quali è stato applicato un jailbreak, letteralmente una “fuga dal carcere”, ossia ai quali è stata rimossa la protezione messa da Apple per bloccarne alcune funzionalità e vietare all'utente di installare software non approvato dalla società della mela morsicata. E fra gli iPhone con jailbreak, colpisce soltanto quelli ai quali è stato installato il programma SSH e non è stata cambiata la password di amministratore supersegreta, ossia alpine. State cominciando a sbadigliare?

Ma Graham Cluley di Sophos procede inesorabile nella descrizione di quello che si candida ad essere il worm più fiacco della storia: vale la pena parlarne lo stesso, perché oltre a essere un proof of concept (una dimostrazione di fattibilità) mi offre lo spunto per raccontare un po' di folklore internettiano.

L'unico danno che fa questo programma autoreplicante, infatti, è cambiare lo sfondo dell'iPhone infettato, mettendovi una foto del cantante Rick Astley e la dicitura “ikee is never going to give you up”. Un chiaro riferimento a una delle canzoni di maggior successo di Astley, Never Gonna Give You Up, annata 1987, ma un chiarissimo messaggio per i conoscitori del folklore di Internet: il worm è un rickroll, ossia una presa in giro, secondo una tradizione scoppiata nel 2007.

Il rickroll consiste nel fornire, durante una conversazione online, un link che sembra portare a qualcosa di altamente desiderato o provocatorio (per esempio il celebre video in cui Carla Bruni si sfila le mutandine e le porge maliziosamente a Sarkozy durante una funzione pubblica, credendo di non essere ripresa) ma che in realtà porta al video della canzone di Rick Astley. L'arte del rickroll sta nel creare una descrizione del link che contiene un vago indizio della sua natura burlesca, che verrà ignorato a causa della concitazione e del desiderio evocati dalla descrizione stessa. Il divertimento sta nel vedere quanta gente ci casca. Tanta, a quanto pare: il video di Astley su YouTube usato solitamente per i rickroll ha superato quota 21 milioni di visioni.

Ma torniamo alla parte tecnica del worm. Non ci sono per ora segnalazioni di infezioni al di fuori dell'Australia; non funziona sugli iPhone e iPod touch non sbloccati (senza jailbreak); richiede che sia installato SSH e che non sia stata cambiata la password di default. Se riesce a installarsi, cerca altri iPhone nelle stesse condizioni e li infetta. L'analisi di Sophos indica che si tratta di un worm dimostrativo sostanzialmente innocuo, ma nulla vieta di usarne il canovaccio per creare versioni più aggressive.

Va detto che cambiare lo sfondo del cellulare è comunque un'intrusione non autorizzata in un dispositivo informatico, ossia un reato punibile in molti paesi, e può avere un costo non banale, sia per ripristinare lo sfondo desiderato, sia per la paura di furto di dati che può evocare. È comunque un forte richiamo a fare attenzione quando si modifica un apparecchio: se non si sa esattamente cosa si sta facendo, c'è il rischio di farsi male esponendosi inconsapevolmente ad attacchi ben più gravi di un video degli anni Ottanta che parte a sorpresa.

Conficker, tanto rumore per nulla? Fate l'esame della vista per sapere se siete infetti

La fatidica data del primo d'aprile, alla quale il virus/worm Conficker avrebbe dovuto devastare Internet secondo alcune fonti (ne trovate qui su Sophos.com una bella compilation), è passata e non è successo nulla di significativo. È soltanto clamore inventato dai media per aumentare gli ascolti o c'è sotto qualcosa di concreto?

Sicuramente i titoli incentrati sulle catastrofi informatiche del primo d'aprile sono stati esagerati. Quello che è concreto è che in quella data Conficker doveva cambiare l'algoritmo che gli dice quali siti contattare per ricevere istruzioni dai suoi padroni, adottandone una versione molto più difficile da contrastare.

Ma il fatto che questa data sia passata senza novità vistose non significa che si può abbassare la guardia: ci sono tuttora alcuni milioni di computer infetti, in giro per il mondo (le stime variano da 2 a 15 milioni), che sono a tutti gli effetti agli ordini dei padroni di Conficker.

Il virus (più propriamente worm) è riuscito a infettare le reti informatiche della Camera dei Comuni nel Regno Unito e delle forze militari di Francia, Germania e Regno Unito. Quest'orda di computer può essere usata in qualsiasi momento per qualunque scopo. Si presume che lo scopo sia, in un modo o nell'altro, il lucro illecito.

Alcuni mesi fa è stato creato il Conficker Working Group, un consorzio di società di sicurezza informatica, che ha recentemente scoperto una sorta di "impronta digitale" di Conficker che ne facilita enormemente l'identificazione. Questo consorzio segnala che Conficker si sta evolvendo: le versioni A e B del virus annidate nei computer infetti in giro per il mondo sono state aggiornate dai suoi padroni alla versione più recente, etichettata Conficker.C, Conficker.D o Downadup.C, che ha cambiato comportamento: non cerca più nuove vittime tramite le connessioni di rete e le penne USB, e invece di aggiornarsi contattando una vastissima serie di siti che cambia continuamente, come ha fatto finora, cerca gli aggiornamenti con un metodo peer-to-peer, contattando altre macchine infette.

Il CWC è riuscito a sabotare buona parte dei tentativi di aggiornamento di Conficker, ma persiste uno zoccolo duro di macchine infette e aggiornate. La difesa si articola su alcuni punti principali:

• Conficker agisce soltanto su computer Windows: gli utenti Mac e Linux sono immuni ma potrebbero subire gli effetti collaterali di eventuali azioni su vasta scala da parte del virus (se Conficker intasa Internet o devasta un sito, la risorsa diventa inaccessibile per tutti i computer, di qualunque tipo).
• Ogni file ricevuto, da qualunque fonte, va controllato con un antivirus aggiornato.
• Tutti i principali antivirus sono in grado di riconoscere Conficker nelle sue varianti.
• Dato che molte macchine sono ancora infette con la vecchia variante di Conficker, bisogna continuare a fare attenzione nel condividere penne USB e connessioni di rete.
• Usate password non banali: Conficker è in grado di decifrare quelle più comuni.
  
• Uno dei sintomi d'infezione è che i siti dei produttori di antivirus diventano inaccessibili, e per questo è stato creato un "esame della vista" anti-Conficker, disponibile qui, che si basa sul principio di mostrarvi i loghi delle principali società antivirali, tratti direttamente dai loro siti: se li vedete, vuol dire che siete in grado di accere a questi siti e quindi è improbabile che siate infetti da Conficker.
• Come sempre, gli aggiornamenti di sicurezza di Microsoft, già disponibili da tempo, devono essere installati per turare la vulnerabilità che aveva permesso la propagazione iniziale di Conficker; in particolare deve essere installato l'aggiornamento MS08-67.

Se scoprite di essere già infettati da Conficker, niente paura: contattate un tecnico esperto oppure, se sapete come funziona il vostro PC, scaricate e adoperate uno dei vari strumenti di rimozione gratuiti (Sophos; Symantec; F-secure; McAfee).

Qui sotto trovate una mappa non molto rassicurante delle infezioni di Conficker, tratta dal sito del Conficker Working Group.

Microsoft mette una taglia da 250˙000 dollari sugli autori di Conficker

Il worm Conficker/Downadup ha infettato circa dieci milioni di computer, secondo le stime più recenti, e il peggio deve ancora venire, stando a quanto emerge dalla sua analisi. I computer infetti sono infatti un esercito silenzioso di zombi in attesa di ordini dal loro padrone virale.

Il diffondersi di Conficker ha indotto Microsoft a rispolverare l'Anti-Virus Reward Program, creato nel 2003 nell'ambito della lotta ai virus/worm Sobig e Blaster. In un caso, quello del worm Sasser, la taglia indusse al tradimento i soci di Sven Jaschan, condannato come autore del programma ostile. La speranza è che la nuova taglia di 250.000 dollari faccia altrettanto con gli autori di Conficker. L'annuncio di Microsoft è qui.

La minaccia di Conficker è ormai riconosciuta da tempo da tutti i principali antivirus, ma c'è sempre una bella percentuale di irresponsabili utenti di Windows che non usa, usa male o non aggiorna l'antivirus e scambia chiavette USB con estrema promiscuità: per esempio, la rete informatica giudiziaria di Houston, nel Texas, è stata bloccata per giorni, rendendo necessario sospendere gli arresti per reati minori, il pagamento delle cauzioni e tornare a carta e penna per l'amministrazione. I paesi più colpiti da Conficker sono, secondo Panda Security, Spagna, Stati Uniti, Taiwan e Brasile. Ma c'è di meglio in questa gara di salto in basso: da Londra arriva la notizia della paralisi della rete informatica di tre ospedali della capitale britannica infettati da Mydoom, che risale a cinque anni fa.

Gli altri sistemi operativi sono immuni all'infezione di Conficker, ma possono risentire dei suoi effetti collaterali: un elevato traffico sulla rete locale che rallenta i sistemi.

L'ICANN e i gestori dei DNS stanno collaborando per disabilitare i dominii usati di volta in volta da Conficker per ricevere ordini dai suoi padroni (ne usa 250 differenti ogni giorno), e OpenDNS ha attivato un sistema di tracciamento e bloccaggio su misura per questo worm, a disposizione degli amministratori delle reti informatiche, che permette di sapere quando un qualunque computer della propria rete chiama un dominio usato da Conficker ed è quindi infetto.

Zitto zitto, Conficker infetta tre milioni e mezzo di utenti

Anche a voi pare strano che da un bel po' di tempo a questa parte non ci siano più le epidemie di virus informatici che periodicamente si scatenavano in passato? Infatti ci sono ancora, ma sono diventate più discrete, ora che lo scopo delle infezioni non è fare danni visibili, ma introdursi di soppiatto per poi usare il sistema infetto per altri crimini.

F-Secure segnala appunto Conficker, noto anche come Downadup, che si aggira per la Rete da novembre scorso e sfrutta una vulnerabilità di Windows (la MS08-067) che Microsoft ha già corretto da tempo (da ottobre 2008). L'ultimo conteggio indica che i PC infettati nel mondo sono oltre tre milioni e mezzo.

E' una stima piuttosto precisa, perché una delle caratteristiche di Conficker è quella di "chiamare casa": dopo essersi insediato nel computer della vittima, si collega automaticamente a vari siti, dai quali scarica un programma ostile scelto dai suoi padroni. Una tecnica in sé non nuova, ma proposta qui con una variante che la rende molto più pericolosa che in passato.

Infatti gli altri virus che "chiamavano casa" potevano essere bloccati in un modo molto semplice: i responsabili della sicurezza di Internet facevano bloccare l'accesso al sito chiamato dal virus, che così non poteva più scaricare nulla o prendere ordini dai suoi malvagi creatori. Una decapitazione efficace e radicale che invece non fa un baffo a Conficker, perché questo virus (più propriamente un worm, visto che si autopropaga) si collega ogni giorno a un sito differente.

Conficker sa a quale sito collegarsi perché contiene, come dice F-Secure, "un algoritmo complesso che cambia quotidianamente e si basa sui timestamp di siti pubblici come Google.com e Baidu.com. Con questo algoritmo, il worm genera molti nomi di dominio possibili ogni giorno. Centinaia di nomi, come : qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org" (F-Secure li scrive spaziandoli per motivi di sicurezza). Così diventa impossibile farli chiudere tutti per tempo, anche perché molti di questi nomi non vengono neanche attivati e registrati. Ai criminali basta invece scegliere uno solo di questi nomi, registrarlo e collocarvi il proprio sito e software per avere pieno accesso ai computer delle vittime. Astuto.

Questo sistema è però sfruttabile anche da società di sicurezza come appunto F-Secure, che è riuscita a prevedere alcuni di questi nomi di dominio e li ha registrati e attivati: si è così infiltrata e riesce a monitorare l'infezione. In teoria potrebbe anche agire sui computer infettati, ma sarebbe contro le regole (sarebbe un'intrusione). Da qui deriva il conteggio preciso delle vittime. Symantec ha pubblicato i dati di un monitoraggio analogo.

L'altra particolarità di Conficker è l'ingegneria sociale che adopera per convincere le sue vittime: come spiega Sans.org, questo worm non si limita a sfruttare la falla MS08-067 sui computer non aggiornati (e chi non li ha aggiornati è un incosciente), ma tenta di scoprire per forza bruta le password di amministratore sulle reti locali, si propaga utilizzando le condivisioni di rete locale e soprattutto infetta i dispositivi rimovibili (penne USB, dischi esterni) creandovi un particolare file autorun.inf e depositandovi una DLL.

Per definizione, qualsiasi file autorun.inf viene eseguito automaticamente dalla funzione Autoplay di Windows quando si inserisce un disco o un CD/DVD o una penna USB (bella furbata, direte voi). Questo vuol dire che se inserite nel vostro computer Windows una penna USB infettata da Conficker, Windows aprirà automaticamente il file autorun.inf scritto dal worm e ne eseguirà le istruzioni.

Per esempio, sotto Windows Vista verrà presentata automaticamente una finestra come questa:



Qui scatta l'ingegneria sociale: la prima icona etichettata innocuamente "Open folder to view files" ("apri la cartella per visualizzare i file") sembra appartenere a Windows, e in effetti è così, ma è stata richiamata da Conficker, che la usa come travestimento. Cliccando sull'icona, infatti, verrà lanciato Conficker e il computer verrà infettato.

I rimedi contro questo genere di infezione sono molteplici:

• aggiornare Windows con gli aggiornamenti automatici e gratuiti di sicurezza
• usare un antivirus aggiornato per scandire tutto quello che viene inserito o collegato al computer
• disabilitare funzioni intrinsecamente pericolose, come l'Autoplay (le istruzioni sono facilmente reperibili in Rete a seconda della versione di Windows, per esempio qui)
• evitare l'uso promiscuo di penne USB (per esempio per scambiarsi file fra amici o colleghi)
• non cliccare prima di riflettere sul senso del messaggio sullo schermo

Una chicca finale: secondo The Register, Conficker evita di attaccare computer che si trovano in Ucraìna. Questo potrebbe indicare dove risiedono i suoi padroni.

Il finale di Harry Potter svelato. Da un virus

Questo articolo vi arriva grazie alle gentili donazioni di "fulviona****" e "ianaz90".

Gli autori di virus si confermano fini conoscitori della mente umana oltre che informatici perversamente abili. La società antivirale Sophos segnala infatti un virus, più propriamente un worm, denominato W32/Hairy-A, che si spaccia per un file Word contenente il testo del prossimo libro della saga di Harry Potter, intitolato Harry Potter and the Deathly Hallows (il titolo italiano non è ancora stato scelto, ma una traduzione letterale potrebbe essere Harry Potter e le reliquie mortali).

Vista l'attesa per l'uscita del libro, la tentazione di aprire un file del genere buttando al vento la prudenza è comprensibilmente forte, ed è proprio su questo che contano gli autori di questo worm.

Il worm W32/Hairy-A, in quanto tale, non ha bisogno di arrivare come allegato via e-mail (anche se questa forma d'infezione non è da escludere): è in grado di propagarsi autonomamente a qualsiasi PC Windows non adeguatamente protetto. Gli utenti Mac e Linux sono immuni a questa minaccia.

Il worm infetta automaticamente un PC Windows non appena gli si collega una chiavetta o un disco USB contenente Hairy-A se l'utente non ha disabilitato la funzione Autorun sulle unità USB (cosa che andrebbe fatta comunque ed è un classico esempio di progettazione insicura fatta in nome della facilità d'uso).

L'utente infetto si trova sul proprio computer un file di nome HarryPotter-TheDeathlyHallows.doc, che contiene soltanto la frase "Harry Potter is dead". Intanto che la vittima agonizza per la terribile rivelazione e comincia a rendersi conto di essere stato gabbato, il worm va silenziosamente a caccia di altri dischi rimovibili da infettare. Fatto questo, crea dei nuovi utenti Windows con i nomi dei personaggi principali della saga.

Come se non bastasse, aprendo questi utenti compare un messaggio che invita a "leggere e pentirsi... la fine è vicina..." e se la prende con l'autrice J.K. Rowling. Infine, gli utenti infetti che lanciano Internet Explorer (e che già per questo andrebbero puniti) si ritrovano con la pagina Web iniziale cambiata: vengono infatti portati al sito Amazon.com, specificamente alla pagina dove viene venduto un libro di parodia della saga di Harry Potter.

Il worm non sembra avere fini di lucro, come è di moda oggi, ma sembra essere un atto vandalico fine a se stesso, forse motivato da un astio personale nei confronti di J.K. Rowling. Infettare un computer altrui resta comunque un crimine, indipendentemente dalle motivazioni.

Fra l'altro, non è la prima volta che gli autori di virus sfruttano la leva psicologica di Harry Potter, come nota Sophos: altri tentativi furono fatti, per altri scopi, già nel 2005 e nel 2004.

Il vero problema, più generale, è che sembra esserci una nuova tendenza a scrivere virus/worm che si propagano attraverso le chiavette USB, i dischi rimovibili, e i CD e DVD masterizzati. E' un ritorno al passato pre-Internet, quando il veicolo principale d'infezione erano i dischetti, e sfrutta appunto la funzione Autorun di Windows. Gli antivirus sono in grado di gestire anche questa forma di attacco, ma al prezzo di rallentamenti significativi del computer.

Per disabilitare temporaneamente questa funzione, premete il tasto Shift (Maiusc) e tenetelo premuto ogni volta che inserite nel vostro computer uno di questi dispositivi se avete ragione di pensare che sia infetto (per esempio la chiavetta USB passatavi dall'amico fidato).