Parlare di virus oggi, pu� sembrare obsoleto, se non fosse che in qualche floppy, perch� no, di 5” e 1/4 o in altri supporti di memoria di massa, possono conservarsi vecchi virus informatici che ancora compaiono sugli elaboratori. Essi potranno farci sorridere o metterci in seria difficolt�, a seconda del periodo in cui sono stati creati, delle conseguenze che producono oltre a riprodursi, e del nostro equipaggiamento antivirus.
Nonostante la diffusione dell’argomento, giacch� spesso il virus � un “nemico ignoto”, desidero offrire un mio contributo dando un accenno sommario di tutti gli aspetti e le implicazione dovute a casi di “infezione” da virus, a partire dai vecchi virus invasivi che rallentavano il sistema i vermi (o “worm”), fino a considerare le modalit� operative dei troiani pi� evoluti che trovano in Internet il loro campo d’azione ideale: vediamo cosa sono innanzitutto e come operano.
I virus sono animaletti informatici di varia dimensione che si intrufolano nel nostro computer per contagio da contatto…
Davvero, qualcuno la pensa ancora cos�! Per fortuna la maggior parte degli utenti di un PC, sa perfettamente che i virus sono soltanto procedure nascoste e che finch� queste procedure non vengono eseguite, non pu� avvenire alcun “contagio” informatico.
I virus informatici infatti non sono altro che programmi nascosti in altri programmi: procedure scritte in linguaggio macchina e nascoste in file eseguibili. All’interno di un programma esse stesse iscrivono il loro codice, cio� la sequenza di comandi che il sistema dovr� eseguire. Quando il file eseguibile viene letto e caricato in memoria, il codice viene letto ed eseguito dal sistema senza alcun avvertimento all’utente.
Il virus quindi viene collocato in memoria ed � attivo; la procedura di comandi nascosti viene eseguita.
I virus possono essere di diverso tipo: a seconda dello scopo che perseguono, del modo in cui agiscono, del modo in cui si clonano, ma tutti i virus hanno in comune la caratteristica di aumentare il pi� possibile la loro diffusione, e quindi di iscrivere il proprio codice all’interno di altri file eseguibili: qui possiamo parlare di “contagio” informatico.
Il primo scopo di una procedura di questo tipo � quella di “liberarsi” dal file che la contiene per collocarsi nella memoria ed operare da qui indisturbata, lo scopo immediatamente susseguente � quello di clonarsi il pi� possibile attraverso i mezzi di pi� larga portata.
La procedura nascosta in un file � dunque “congelata” ed inoperativa nella copia di sicurezza residente su supporti di massa di sola lettura. Quando il file viene lanciato, ovvero viene copiato nella memoria dell’elaboratore, la procedura si colloca in una allocazione di memoria prestabilita e comincia a modificarsi ed a modificare alti file.
Essa inizier� presumibilmente a duplicarsi in tutti file eseguibili che vengono lanciati ed a copiare s� stessa al loro interno: questa operazione � detta “iscrizione del codice di un virus”, dove per “codice” si intende:”Istruzioni in linguaggio macchina”.
Progressivamente il virus si diffonde in modo che sia sempre pi� probabile che esso venga caricato in memoria a breve distanza di tempo dall’accensione del computer e quindi tenter� di modificare i “file di sistema”, quelli che vengono eseguiti all’avvio del computer.
Esistono tuttavia virus che ottengono immediatamente questo scopo perch� iscrivono se stessi direttamente all’interno dell’area di sistema, dei file di avvio, o nella FAT del disco rigido, ovvero in quell’area che il computer legge appena acceso, per conoscere in che modo sono organizzati i dati sul disco.
In questi casi, per intercettare il caricamento del virus in memoria, il programma antivirus deve essere gi� presente in memoria e quindi gi� attivo, altrimenti i risultati positivi che restituisce potrebbero essere non veritieri.
Per operare questo tipo di verifica si � soliti avviare il computer adoperando un floppy di partenza dell’antivirus che avvier� il sistema senza ricorrere ai file residenti sul disco rigido.
I virus possono clonarsi in diversi modi: sul sistema locale, come negli esempi che abbiamo accennato, mentre agiscono, oppure rimanendo silenziosi sul sistema (garantendosi di essere identificati pi� difficilmente) mentre iscrivono il proprio codice sui supporti magnetici rimuovibili o in aree condivise in una rete di computer.
In questi ultimi casi il sistema e l’area, pi� che “infetti” sono “portatori sani” perch� il virus non agisce direttamente su essi, ma attende di iscrivere il proprio codice sui supporti di massa rimuovibili per contagiare altri sistemi, prima di palesare i propri effetti. La diffusione attraverso supporti magnetici rimuovibili, oggi intesa come “microdiffusione”, avviene quasi sempre iscrivendo la traccia zero dei floppy disk: quell’area che viene letta dal computer all’inizio di ogni operazione di lettura o di scrittura (come abbiamo accennato per il disco rigido) ma che non fa parte dei dati disponibili all’utente e non � quindi visibile senza il ricorso ad un antivirus.
E’ anche il caso di accennare che nella pratica, non � raro scoprire che un virus che tenta di occupare una rete, non giunge dall’esterno, ma da dischetti prodotti da vecchi computer che lavoravano “stand alone” (non collegati in rete con altri computer), nei quali, pur non potendosi diffondere, il virus ha operato indisturbato per lungo tempo.
Prima regola di un virus dunque � sempre la diffusione o clonazione illimitata di s� stesso, prima regola di un atteggiamento prudenziale: controllare tutti i supporti removibili in input su una sistema o una rete.
La clonazione si ripete molteplici volte sugli stessi file e quindi modifica la dimensione originaria dei file, fino a portarlo ad avere dimensioni largamente superiori alle proprie dimensioni originali. Progressivamente, i programmi cominciano ad occupare pi� spazio, il disco rigido si riempie, e se non abbiamo filtrato attentamente tutti i supporti magnetici in entrata ed uscita dal sistema, saremo stati infettati ed avremo infettato i nostri abituali corrispondenti, ai quali (se siamo ancora in buoni rapporti) comunicheremo la circostanza.
Per quanto abbiamo accennato finora, i virus invasivi non facevano altro che “impegnare risorse” sia della memoria dinamica che dello spazio sui supporti magnetici, e contro i virus invasivi era sufficiente “tenere d’occhio” in modo banale la dimensione assunta dai propri file eseguibili, l’unica funzione svolta dai primi antivirus.
I virus informatici, per�, oltre che invasivi possono anche essere distruttivi, se, anzich� aggiungere il proprio codice ai file, lo sostituiscono al codice del file esistente. In questo caso la dimensione del file non viene alterata, ma il danneggiamento dei file � immediato e non sar� possibile identificare e rimuovere il virus se non con la scansione del file ricorrendo ad un antivirus.
Questo vuol dire allo stesso tempo, che perderemo parti del nostro file tante volte quante volte esso sar� stato infettato e che una volta rimosso il virus, occorrer� comunque ripristinare il file originario perch� esso funzioni correttamente (ovviamente da una copia di sicurezza del file).(1)
Se la sostituzione di codice operata dal virus si verifica su programmi di utilizzo comune e su parti di del programma che vengono caricate appena viene lanciato il file, possiamo ritenerci fortunati perch� noteremo subito la circostanza; in altri casi, quando il virus sovrascrive parti di codice “periferiche” di programmi poco utilizzati, non ne ravviseremo l’esistenza finch� non useremo una specifica funzione del nostro software.
Attenzione per� a non farsi prendere dal panico: procurarsi un antivirus (ma come non ne avete gi� uno in funzione?), trascorrere le giornate a fare la scansione dei supporti di massa, per poi accorgersi di avere spostato per errore un file di inizializzazione o una libreria dinamica, pu� non essere il percorso migliore.
Attenzione per� a non frasi prendere dal panico numero due…, perdonatemi l’insistenza, ma capita sempre pi� sovente che chi segua le “cronache sui computer” con un certo “gap” temporale, chieda un intervento di assistenza per rimuovere un virus, anche quando Windows visualizza con un bel messaggio di attenzione, il motivo dell’interruzione, il tipo di errore, i valori della allocazioni di memoria, e quale pacchetto software occorre reinstallare!!! Quando poi questo si verifica su un sistema obsoleto che non ha la capacit� di memoria minima richiesta per eseguire un antivirus contemporaneo, allora il paradosso � completo, ed � pi� arduo convincere un cliente che � molto difficile che la causa del guasto sia “soltanto” un virus.
Se dunque il sistema vi indica “File non trovato”, con ogni probabilit� non si tratta di un virus!
Quanto agli antivirus, essi sono disponibili in aggiornamenti mensili e gratuiti: provvedono alla loro installazione dopo aver verificato e “bonificato” il sistema controllando che esso non sia gi� infetto ed eventualmente rimovendo le procedure nascoste nei file. Dopo aver provveduto alla scansione dei supporti di massa non rimuovibili e della memoria, si installano ed offrono una parte DOS che viene caricata dal file autoexec.bat all’avvio del computer ed una parte Windows che filtra tutti i file che vengono eseguiti e quindi tutti i dati che transitano in memoria rendendo possibile quasi sempre la disinfezione dei file prima che esso venga utilizzato. Soltanto nei casi pi� gravi e relativi ormai a sistemi obsoleti, gli antivirus bloccano il sistema appena intercettano l’attivit� della procedura, per impedire che il virus si diffonda ulteriormente. Mantenendo costantemente aggiornato l’elenco dei virus, il problema di proteggere il proprio sistema dai virus, sebbene vitale, pu� essere facilmente risolvibile. I virus sono procedure “visibili” ad un apposito programma di scansione dei file. Non capita la stessa cosa per i troiani.
A differenza dei virus informatici, che, come abbiamo visto, sono procedure attive che si nascondono in file eseguibili e sono sempre visibili ad un antivirus, i troiani sono procedure innocue che al loro interno contengono procedure nascoste non ancora attive che non sono individuabili finch� non mostrano il loro effetto. Quelli che sono dotti in medicina usano parlare di “incubazione”. Il concetto � perfettamente identico a quello di una malattia che si propaga prima di aver mostrato i propri sintomi ed i propri effetti.
In questo caso il sistema che infetta non � portatore sano, ma � gi� infetto, anche se non � dato sapere se e quando si paleser� la sua “patologia”. Questo stato di diffusione della procedura � anche definita “baco”, non nel senso di errore, ma di larva che si trasformer�, come il baco in farfalla.
Il troiano infatti, come i virus tradizionali, si diffonde per clonazione, ma opera sotto “mentite spoglie”: esso pu� essere quel simpaticissimo programma gratuito che tutti utilizzano perch� occupa poco spazio, poca memoria ed offre ottime prestazioni, o un gadget attraente come nel caso dei fuochi d’artificio di “Happy 99”...lo sapremo tutti troppo tardi!!!
La procedura contenuta in un troiano � codice eseguibile trattato come testo di altra natura e quindi non viene rilevato dagli antivirus. Al verificarsi di una determinata condizione la procedura si “smaschera” viene attivata e diviene operativa.
I troiani quindi sconvolgono l’idea che ci siamo fatti fin qui: che, indipendentemente dal fatto che venga intercettato o meno, un virus o � presente o non � presente. I troiani introducono l’idea che il nostro sistema potrebbe gi� incubare dei virus che opereranno in un certo modo in futuro, senza che essi possano essere debellati prima di operare, non gi� perch� non vi sia conoscenza tecnologica per debellarli (sappiamo che i virus e gli antivirus vanno di pari passo), ma perch� essi non sono visibili: risiedono protetti nel proprio “Cavallo di Troia”. Di fatto la procedura non esiste, e se � visibile � soltanto testo piano e non codice eseguibile. Essa � testo non eseguibile che verr� attivato in un procedimento di trasformazione che possiamo immaginare come un “tumore”. Queste procedure dunque, potrebbero essere rese inoffensive con l’attuale tecnologia se fossero palesi; l’impedimento � dato solo dal fatto che finch� la procedura non � operativa, non se ne conosce l’esistenza, n� la modalit� operativa, n� � possibile cancellarla in quanto non esiste ancora.
I troiani quindi possono clonarsi e diffondersi molto pi� facilmente dei virus e rimanere nascosti anni ed anni anche alla scansione degli antivirus ed improvvisamente “smascherare” il proprio codice eseguibile sui computer di tutto il mondo al verificarsi di una certa condizione che non � dato conoscere. Tuttavia, se la condizione iniziale stabilita non si verifica, essi non si innescano e quindi rimarranno inoperativi ed inoffensivi in modo definitivo o fino al verificarsi di una eventuale condizione ulteriore. E’ questo il caso dei troiani che lanciano la procedura nascosta in corrispondenza di un evento “on time” o “on date”: se al verificarsi della condizione, quindi allo scoccare dell’ora “X” che innesca il virus, il sistema � spento, esso � salvo, seppure infetto, ma il virus non si paleser� diventando operativo.
Per questo motivo, alcuni sistemisti consigliano di non portare indietro l’ora e la data di sistema e taluni reti informatiche hanno degli elaboratori che rimangono operativi soltanto il tempo necessario al backup della rete, per ridurre i rischi di infezioni di questo tipo.
In questo momento mi viene in mente il troiano chiamato “Chernobyl” che ha fatto appunto tabula rasa su tutti i sistemi nei quali era residente, ma solo e soltanto nella data dell’anniversario del disastro nucleare (il decimo se non erro).
E’ evidente quindi che la condizione che rendeva operativa la procedura era la data settata sul sistema e per questo motivo tutti i sistemi che pur contenevano il troiano “Chernobyl”, se non sono stati accesi in quella data, continueranno a contenere una procedura nascosta non operativa che, a quanto sembra, non operer� pi� alcun effetto (forse l’anno prossimo?) Secondo quanto si � appreso su “Chernobyl”, esso ha ottenuto un effetto cos� devastante, con un raggio d’azione cos� ampio, proprio perch� � rimasto inattivo per pi� di un anno, distribuendosi su un software (non sappiamo quale, ma quasi certamente gratuito) attraverso tutti i mezzi possibili (e quindi la stessa Internet) in mezzo pianeta. Da questa osservazione si desume che la data di avvio della procedura doveva contenere anche l’anno, e quindi, salvo che qualcuno non porti indietro nel tempo il datario di sistema, non dovrebbe rendersi nuovamente attiva nemmeno sui sistemi infetti che in quel giorno erano spenti (ma il futuro � l’incognita pi� interessante, almeno per chi come me, per puro caso, quel giorno non ha acceso il PC a casa).
“Chernobyl” � il tipico esempio di come un troiano possa essere nocivo senza concedere alcuna misura preventiva ed agire in modo assolutamente devastante in un lasso di tempo minimo.
Per fare, come ho detto, “tabula rasa” la procedura nascosta non impegnava il sistema in laboriose, e facilmente riscontrabili operazioni, come la formattazione del disco rigido; essa si limitava a modificare la FAT a 32 bit in una FAT a 16 bit, oppure a modificare i dati della FAT a 16 bit. Mi spiego meglio: se ricordate quanto ho accennato sulla traccia zero del floppy disk, che contiene le informazioni sull’organizzazione del disco, potrete facilmente immaginare la FAT come l’indice dettagliato del disco rigido. Una volta modificata “abusivamente” la FAT a 32 bit in FAT a 16 bit, il sistema a 32 bit non � pi� in grado di leggerla, cos�, nel caso della FAT a 16 bit: se essa non � valida, non � possibile ricostruire il contenuto dei file su disco.
Questo significa che tutti i dati presenti sul disco rigido sono fisicamente esistenti, nelle stesse allocazioni che occupavano in precedenza, ma che non sono disponibili perch� � impossibile ricostruirli in file, essendo venuto a mancare l’indice che ricollegava le migliaia di segmenti dei file ai loro nomi DOS. Un esempio banale pu� essere quello di un libro del quale ogni lettera venga ritagliata e buttata alla rinfusa in un cesto con tutte le altre: di fatto il libro non lo ricostruir� pi� nessuno!
La singolare rapidit� ed efficacia con cui agisce “Cernobyl” sta proprio nel non effettuare alcuna complessa operazione sui “contenuti”del disco rigido: essa potrebbe occupare risorse ed aver bisogno di un lungo periodo di tempo per completarsi, rendendosi facilmente identificabile. I comandi agiscono istantaneamente rendendo infruibile il disco fisso perch� cancellano il solo “indice di riferimento” , senza intaccare i dati. Di fatto, costringono lo stesso utente a cancellare i dati, quando dovr� provvedere a ripristinare il sistema operativo con la formattazione del disco rigido.
Quando i troiani non hanno effetti devastanti sui dati residenti sui sistemi informatici, essi hanno lo scopo di fornire informazioni a terzi, e gli effetti devastanti si ripercuotono “soltanto” sulla privacy e sulle abitudini di ciascun utente, in quanto essi vengono adoperati al solo scopo di trasferire informazioni. In questo caso, perch� siano efficienti quanto meglio e pi� a lungo � possibile, � indispensabile che “passino inosservati” operando segretamente tramite il computer.
Le procedure non distruttive possono avere uno scopo cognitivo, uno scopo intrusivo o entrambi. A mio avviso sono nate e si sono sviluppate per diffondersi ed operare nel mondo di “Internet” e delle reti W.A.N., altrimenti non avrebbero motivo di esistere, come vedremo analizzando il loro “modus operandi”. Esse vengono create allo scopo di offrire informazioni o permettere la consultazione dei contenuti di un sistema: altro che clonazione sui floppy disk dunque! E’ evidente che se l’autore presuppone di poter operare sulla sua procedura, e di poterla sempre reperire o di potersi fare sempre reperire da essa, stiamo parlando di una rete mondiale ad accesso pubblico e quindi di Internet.
Nel primo caso il troiano operer� per diffondere una copia di s� stesso clonandosi, come sempre, e per raccogliere talune informazioni relative al sistema sul quale � operativo. Nel secondo caso permetter� al proprio autore o ad un destinatario diverso, di inserirsi sul sistema sul quale � operativo.
Il troiano “cognitivo” ha lo scopo di raccogliere informazioni sugli utenti di Internet, offrire la visione di cosa consultano pi� di frequente gli utenti, e quindi trarre delle statistiche sulla sorta di un “indice di gradimento” o della “domanda” presente sul mercato multimediale del pianeta.
Lo scopo � evidente: giacch� il computer � adoperato per le pi� disparate funzioni, ottenere delle informazioni riassuntive quando esso si connette ad Internet � una preziosa “telecamera” sul privato della gente (ma siamo sicuri di avere ancora un “privato”?).
Queste procedure possono avere il nobile scopo di permettere ai premi Nobel della scienza ed ai futurologi di discutere ed intuire dove si “dirige” l’umanit� nel nuovo millennio, possono avere lo scopo di permette ad alcuni governi di contenere i fenomeni delinquenziali offrendo viaggi su spiagge equatoriali a soggetti che visitano troppo spesso siti pornografici, oppure possono avere lo scopo di individuare i bisogni e le aspettative della gente per migliorare la qualit� della vita sul pianeta, oppure infine possono avere il solo scopo di creare finte esigenze per vendere dei prodotti con la certezza che la massa acquisterebbe a tutti i costi. Scegliete voi!
Generalmente queste indagini illegali vengono tentate per raccogliere informazioni sugli utenti, elaborare statistiche, creare, insomma, quella lista di persone (e che lista!!!) sulla quale lavorare per incrementare i propri utili.
Di servizi di statistica legali e trasparenti ne esistono diversi che copiano tutti i messaggi pubblici trasmessi nei gruppi di discussione e consentono di creare un profilo di ogni singolo utente che posta messaggi pubblici. Di servizi del genere illegali ne esiste probabilmente uno per ogni Stato evoluto del pianeta, anche se certo, ci� non dovrebbe avvenire con la posta elettronica.
Eppure � stato recentemente scoperto, e quindi denunciato ed arrestato, l’autore di un troiano che si clonava segretamente inviando una copia di s� stesso ai primi cinquanta indirizzi di posta elettronica contenuti nella rubrica dell’utente, e recapitando l’intero elenco degli indirizzi ad una casella di posta elettronica che l’autore consultava costantemente. Provate ad immaginare che lista di persone e di caselle di posta elettronica aveva a disposizione il nostro beniamino per mirare i propri prodotti, vendere indirizzi postali validi o bombardare in prima persona con pubblicit� gli utenti Internet.
L’elenco degli indirizzi postali � un prezioso strumento di lavoro per chi opera nel campo commerciale attraverso Internet. Le liste di indirizzi vengono acquistate dalle case produttrici per avviare la propria campagna commerciale, come ho accennato nelle guide ad internet in tema di “spham”.
Chi pu� procurare un numero notevole di voti, pardon, di indirizzi di posta, assume certamente un ruolo importante nella diffusione pubblicitaria ed un potere di procurarsi consenso considerevole nell’attuale ruolo fondamentale delle reti telematiche.
Il soggetto al quale mi riferisco, lo avrete intuito, � l’autore del celeberrimo “Melissa”, che, mi auguro abbia convinto i pi� reticenti a non conservare gli indirizzi di posta dei propri corrispondenti sul server della web-mail che si � soliti utilizzare, possibilmente neanche sul proprio sistema, ma su un supporto esterno, ed a non rispondere ai messaggi pubblicitari, nonch� infine a non avviare file eseguibili ricevuti da sconosciuti..
Egli non aveva alcun interesse ad interagire con il sistema remoto, ma chi vi ha interesse cerca di mandare in esecuzione un troiano che crei un accesso nascosto sul sistema, detto appunto “back orificie”.
Lo si pu� leggere indifferentemente come “Porta di servizio”, “Orifizio posteriore”, “Apertura di rientro”.
Questo tipo di troiano infatti svolge tutte queste funzioni, ed � una soluzione tipica dei programmatori. Chi crea un software per un cliente deve offrire al cliente assolute potenzialit� di utilizzo del software, ma deve garantirsi di essere in grado di poter operare sul proprio prodotto in qualsiasi momento. Questo significa che deve lasciarsi un modo per accedere al software che sia sovraordinato a qualsiasi censura possa porre l’utente. In buona fede ci� � indispensabile per impedire che eventuali errori dell’utente possano rendere non operativo il software, impedendo l’intervento tecnico di manutenzione che si rende necessario. Il troiano funge quindi in questo senso da “porta di servizio” per il programmatore e soggiace alla propria professionalit�, finch� non assume anche le funzioni di “orifizio posteriore” per l’utente!!!
In alcuni casi per� il troiano � configurato per offrire una porta di accesso al proprio autore in modo doloso oltrech� illegale. Molti software comunicano, indipendentemente dalle operazioni dell’utente, il proprio numero di serie, la data di installazione ed altre informazioni all’indirizzo stabilito dalla software-house, e ci� a tutela dei diritti di distribuzione del software licenziato.
Quando si supera il diritto di tutela del copyright, il software pu� essere configurato in modo che, oltre a comunicare i propri dati all’autore, vi aggiunga l’indirizzo I.P. del sistema sul quale � installato ed alcuni dati personali, “sensibili” secondo la normativa italiana, in merito all’utente; infine, resa reperibile la macchina al proprio autore, la procedura si pone in attesa di un’operazione che offra la gestione del sistema da remoto.
Ci� non deve spaventare, in quanto questa soluzione tecnica permette alle grandi aziende di svolgere la manutenzione presso i clienti, senza che nessuno muova un passo dalla propria sede fisica. In questo caso il server del cliente detto “Guest”, si rende disponibile ad essere gestito dal server principale detto ”Host” (parlo del pacchetto operativo “Carbon Copy”). Tuttavia, se l’intervento non � richiesto dal cliente ed ancor pi� se questo avviene su software shareware (di libera distribuzione e quindi di rapida diffusione) ed all’insaputa dell’utente… Beh, qualche problema etico, morale, legale, certamente si pone in essere!
I “back orificie” dunque, a seconda del loro utilizzo sono lo strumento del programmatore sagace ed efficiente e dell’altrettanto sagace ed efficiente hacker; strumenti dell’ottimale manutenzione di un sistema o della pi� indiscriminata intrusione.
Tuttavia, � possibile difendersi:
…e allora vale anche la pena rinunciare al proprio contratto Internet!
Difficile trovare un titolo idoneo per questo paragrafo se intendo rendere chiaro che alcune procedure nascoste, che vengono chiamate “virus”, non hanno molto in comune ai virus che abbiamo esaminato fin qui. Il problema consta principalmente nella scelta del termine. Una procedura nascosta � detta “virus”, coerentemente ai nostri assunti, ma una procedura nascosta non sempre � scritta in linguaggio macchina, essa pu� essere nascosta all’interno della macro di uno specifico applicativo.
Tutti gli applicativi evoluti permettono di codificare delle operazioni ripetitive da inserire, al livello utente, in una procedura da ripetere ogni volta che occorre. Banalmente possiamo dire che anche le opzioni “Annulla” e “Ripeti” sono macro che contengono istruzioni. Da Office 97 in poi, � possibile aggiungere queste istruzioni al file di dati in modo che ne facciano parte integrante. Avremo quindi ad esempio, in un file Winword, una parte di testo piano ed una parte di codice eseguibile. Microsoft permette di disattivare le macro, ossia di non caricare in memoria queste istruzioni per la loro eventuale esecuzione, in modo da preservare l’utente da eventuali effetti indesiderati, ma non sempre il codice eseguibile � inserito come macro. Attualmente alcuni file di dati degli applicativi office, possono contenere codice eseguibile nascosto, anche in assenza di macro, ma � certo che in assenza del sistema operativo Windows, la procedura non � codice eseguibile e non � quindi possibile individuarne l’esistenza.
Le procedure nascoste nelle macro divengono comandi soltanto all’interno dell’ambiente di utilizzo di uno specifico applicativo, non sono quindi visibili ed eseguibili all’esterno del contesto nel quale sono state create. Per questo definibili come “virus contestuali”.
Queste considerazioni, se ci permettono di circoscrivere il campo di azione di un macro-virus, ci impongono di considerare che soltanto accedendo allo stesso contesto, potremo riscontrare l’esistenza di una procedura nascosta. L’identificazione di un macro-virus, � di fatto impossibile in ambiente DOS.
In ambiente DOS un macro-virus � visto come testo piano, e soltanto un software applicativo lo interpreter� trasformandolo in un comando. Per individuare un virus di questo tipo occorrer� ricorrere ad un antivirus che abbia una parte Windows che filtra tutto ci� che viene caricato in memoria, allo scopo di individuare il file che esegue una procedura nascosta.
Per questo motivo occorre chiarire un equivoco di fondo, nel quale recentemente � inciampato un mio collega (ahi!): � assolutamente inutile effettuare una scansione da DOS con un antivirus per debellare un macro-virus di un file di dati di un applicativo Windows. Se operando da DOS si evita di incorrere nel rischio di attivarlo, allo stesso modo esso risulter� trasparente alla “parte DOS” di qualsiasi antivirus, perch� in questo ambiente, la procedura, di fatto, non esiste.
Un macro-virus quindi pu� benissimo intendersi come qualcosa di simile ad un troiano dove il “Cavallo di Troia”, il “guscio esterno”, anzich� essere l’applicativo che lo contiene, � l’applicativo che lo utilizzer�, leggendo e trasformando in codice eseguibile, una parte dei suoi contenuti.
A questa sezione conclusiva “contra” l’allarme “virus”, tengo particolarmente, perch�, se di virus si parla moltissimo fino a generare timori ingiustificati, risulta molto pi� difficile identificare i casi in cui i problemi riscontrati possono essere dovuti a qualsiasi cosa eccetto che ad un virus, come abbiamo accennato.
Vale dunque la pena mettere a fuoco o ricordare le regole fondamentali che permettono di individuare i casi in cui non si pu� aver subito l’effetto di un contagio informatico.
Vero � che Internet, signora e padrona dei nostri giorni, veicolo di informazione quotidiana per molti e moda dei tempi per alcuni, � il veicolo preferenziale per la diffusione di virus e troiani, ma � altrettanto vero che i casi di infezione su larga scala vengono pi� facilmente individuati, debellati e resi di pubblico dominio, insieme alla procedure di disinfezione.
Troppo spesso, per�, su quest’onda vengono diffuse e ritenute attendibili anche notizie tecnicamente infondate e inverosimili che annunciano conseguenze, di fatto, impossibili, ma che diffondendosi molto rapidamente riescono ad ottenere una credibilit� che non meritano, autentiche “vox populi” che offuscano ogni logica e violano le regole fondamentali del funzionamento di un elaboratore.
Queste cosiddette “Leggende Metropolitane” trovano la propria legittimazione nel fatto che, essendo diffuse attraverso Internet, acquistano una propria credibilit� come le notizie che vengono pubblicate sui giornali o diffuse dai media tradizionali, agli occhi di chi dimentica che in Internet opera gente comune e che chiunque � fruitore e fornitore di informazioni.
Se e vero, dunque, che il rischio di infezione � molto maggiore navigando in Internet, � opportuno offrire a chi non vuole rinunciare alle opportunit� offerte da una connessione in Internet, alcune considerazioni sui casi in cui certamente non potr� infettare il proprio sistema con un virus.
Inizio da una considerazione tecnica sebbene contraddittoria: nella tecnologia client-server, il “client” richiede ad un “server” di inviargli un determinato file. Dunque, secondo questi assunti ciascuno richiede i file, che poi eventualmente infettano il sistema. Questa logica cede di fronte all’introduzione di alcuni “tag” specifici dell’”HTML” ed all’integrazione dei linguaggi di programmazione nelle pagine web (Java, Visual Basic, XML, CGI, etc.), che ordinano al computer “client” di effettuare determinate richieste senza l’intervento dell’utente e quindi assorbendo da “server” alcune funzioni tipiche del “client”.
Se il proprio programma di navigazione � settato adeguatamente, per�, l’operazione di “download” dei file obbligher� l’utente ad offrire il proprio consenso ed in questo caso offrir� all’utente l’occasione di scegliere se procedere o meno all’operazione “a rischio” in base al proprio buon senso ed alla attendibilit� del sito che si sta consultando.
Un’altra certezza, che approfondisco altrove nelle guide ad Internet in tema di posta elettronica, � che i messaggi di posta elettronica in s� e per s�, cio� nel loro contenuto testuale, non possono contenere un virus, perch� non sono file eseguibili. In alcun caso aprire un messaggio di posta elettronica pu� infettare il sistema, eccettuati i cosiddetti “allegati” o “attach” che messaggi di posta non sono, quando si tratta di uno specifico tipo di file. Questi allegati alla posta possono essere file eseguibili (.exe, .scr, .bat, .com) o oggetti di altre applicazioni contenenti macro (.doc, .xls, ecc.) e per questi valgono le regole prudenziali che abbiamo accennato contro i rischi di infezione. Ma mai un messaggio di posta contenente testo piano potr� infettare il vostro sistema, in quanto esso non verr� “eseguito”, ma semplicemente trasferito a video dal computer.
Scegliere, dunque, di trasmettere i messaggi di posta in testo piano, e rifiutare i messaggi in HTML o altri formati, non � soltanto il rispetto di una convenzione consolidata in Internet, ma anche e soprattutto una garanzia contro i contagi informatici.
Un virus residente in un file di testo piano, mostrer� soltanto i caratteri grafici che corrispondono alle istruzioni che dovrebbe eseguire, ma esse, sono “congelate” e non potranno produrre alcun effetto.
Perch� si verifichi un contagio da virus occorre quindi che il file infetto venga eseguito, cio� che esso sia un file eseguibile e venga avviato, quindi trattato come tale. Se il file eseguibile viene rinominato e letto con un editor di testo, la procedura eventualmente contenuta in esso non potr� mai cagionare danni.
Ospitare involontariamente un troiano sul proprio computer � invece molto pi� probabile quanto inavvertibile dall’utente, ed in questo caso vale quindi la regola dell’affidabilit� che riconosciamo a chi ci invia il file ed a chi lo ha realizzato.
Non hanno quindi senso molti allarmismi che rimbalzano in Internet su questo tema, che spesso contengono una palese contraddizione di termini, paventando accordi tra imprese che sono in costante concorrenza o altre condizioni impossibili, connesse spesso a promesse remunerative che non sono mai state onorate. Degli aspetti di questo fenomeno che si diffondano prevalentemente via posta elettronica parlo diffusamente nelle guide ad internet e quindi non li approfondisco qui.
Abbiamo avuto modo, quindi di esaminare, seppure sommariamente tutti i tipi di “virus” finora conosciuti ed i mezzi cui comunemente ricorrono per la loro diffusione, esaminando, con l’inevitabile prudenza, i comportamenti tipici dei troiani e la consapevolezza che essi non sono riscontrabili finch� non accedono alla memoria e qui smascherano ed eseguono il codice del virus che contengono. Infine, abbiamo valutato che il maggiore rischio di essere infettati attraverso Internet � un rischio che fa parte del gioco e non risulta allarmante quanto si vorrebbe far credere.
(1) La copia di sicurezza � generalmente una copia fatta immediatamente dal supporto originale, su supporti di sola lettura quali i CD-ROM: se l’immediatezza della copia garantisce che il file non sia infetto, allo stesso modo, la copia di backup su supporti di sola lettura garantisce che il file non possa essere modificato successivamente da un virus; se, infine, il file contiene gi� il virus, esso potr� attivarsi quando il file viene caricato in memoria, ma non potr� infettare nuovamente la copia di sicurezza.
Mi sono soffermato a lungo su “Cernobyl” perch� mi ha dato molto da pensare il fatto che di tale disastro non si � pi� parlato da tempo. Lo scopo di questo virus ha colpito nel segno, riportando l’attenzione dei media sulle malattie genetiche che quel disastro ha indotto in una parte della popolazione umana, e questo mi porta a riflettere sullo scopo di un virus, quando ha questa portata e questi effetti.
Senza dubbio esistono virus nati per scopi illeciti con i quali un soggetto tentava di procurarsi ingiusto profitto, ma anche virus con scopi tendenzialmente “positivi” e di sensibilizzazione, fondati su motivazioni di ordine etico e sociale. Non ci credete?
Oggi, effettivamente, � difficile credere che le virus-mail e le chan letters abbiano avuto scopi inizialmente positivi. Se le chan letters avevano lo scopo di procurarsi un elenco di nomi, per� le virus mail sono nate proprio per contrastarle. Comunicare agli utenti la grande bugia che le mail aventi oggetto “fast money” contenevano un virus, se da un lato ha creato il falso timore che le mail possano contenere un virus, dall’altro ha tentato di arginare il numero di utenti che rispondevano a queste lettere.
Google plus>
http://giuliodellaValle.altervista.org/tripod/articoli/artvirus.htm