Cosa ci ha insegnato il virus ILOVEYOU e cosa significa per il futuro dei virus.
Per chi ha poca familiarità con la sicurezza informatica, potrebbe essere una sorpresa che uno dei virus informatici più devastanti e con la maggiore diffusione, il virus ILOVEYOU, sia apparso per la prima volta 20 anni fa. Il virus è nato nelle Filippine ed è arrivato sotto forma di e-mail da un mittente noto con l’intestazione “ILOVEYOU” e con le istruzioni per leggere il documento allegato.
I destinatari, curiosi di vedere cosa c’era nel documento, aprirono la presunta lettera d’amore. Oltre a sovrascrivere i file sul computer host, il virus ha diffuso la stessa e-mail inviandosi a tutti i contatti presenti nella rubrica della vittima. Chi potrebbe resistere all’apertura di una lettera che promette amore? Era un esempio magistrale di ingegneria sociale. Nel giro di pochi giorni ha colpito oltre 50 milioni di computer in tutto il mondo causando imbarazzo personale. L’FBI ha in seguito stimato che il virus e le sue varianti hanno causato danni globali per 8/10 miliardi di dollari in tutto il mondo.
Per il 20° anniversario di questo virus sono stati intervistati Luis Corrons, esperto di sicurezza, e Martin Hron, ricercatore senior della sicurezza di Avast, per raccogliere le loro opinioni sul virus ILOVEYOU e su ciò che verrà in futuro. Di seguito riportiamo il contenuto dell’intervista:
Ricordi il 5 maggio 2000?
Luis Corrons, esperto di sicurezza Avast: All’epoca lavoravo nel team di supporto tecnico di un’altra società di sicurezza. Ricordo molto bene cos’è successo quel giorno. Avevo deciso di lavorare il turno di notte dalle 22:00 alle 8:00, quindi ero a casa quando la notizia rimbalzò dall’Europa: non potevo credere che un attacco malware si stesse diffondendo così velocemente. Sono andato a lavorare presto quel giorno alle 18:00 e ho finito alle 10:00. Ricordo di aver inviato fax perché i sistemi di posta elettronica e la rete delle aziende erano inattivi, e di aver preparato i dischi con un aggiornamento delle definizioni dei virus che dovevamo inviare tramite corriere.
Martin Hron, Senior Security Researcher presso Avast: l’account dell’azienda per cui lavoravo in quel momento ha ricevuto l’e-mail e, sfortunatamente, il contabile ha aperto l’allegato. Sono stato costretto a scrivere il mio primo antivirus, che era più simile a un dispositivo di rimozione / pulizia. Recentemente ho trovato il programma mentre ripulivo i miei vecchi file, ed è ancora funzionante, ancora oggi. Ho chiamato il programma antivirus “Ti odio”.
Pensi che qualcosa di simile potrebbe succedere di nuovo, come WannaCry o il virus ILOVEYOU?
Luis Corrons: Penso che in futuro avremo maggiori probabilità di vedere un attacco simile a WannaCry , ma non credo che vedremo un attacco come il virus ILOVEYOU.
Il malware oggi può propagarsi a un ritmo rapido, molto più veloce di quanto il virus ILOVEYOU ha fatto 20 anni fa, ma da allora le cose sono cambiate.
Venti anni fa, nessuno aveva visto un file .vbs (script di Visual Basic) utilizzato per scopi dannosi, che ha indotto molte persone a fare clic sul file. Da un punto di vista infrastrutturale, la capacità delle reti interessate, che comprendeva reti appartenenti a governi e aziende, non era nulla rispetto a oggi, e quindi tutto è crollato dopo la prima infezione. Inoltre, la posta elettronica era l’unico strumento di comunicazione digitale utilizzato dalle aziende venti anni fa, non c’erano applicazioni di chat come Slack, quindi erano completamente isolate. Le società antivirus dovevano inviare via fax con le istruzioni ai clienti disperati in quanto non potevano ricevere e-mail e a causa della quantità di traffico generato dal virus che si inviava costringendo le aziende a disconnettersi.
Pochi anni dopo la conclusione della campagna virus ILOVEYOU, abbiamo visto worm che si diffondevano molto più velocemente senza l’interazione dell’utente, colpendo milioni di persone in tutto il mondo, tuttavia, le reti riuscirono a resiste anche ad attacchi importanti come quello del Blaster.
Martin Hron: Sono d’accordo, penso che vedremo più attacchi effettuati da botnet e altri attacchi “automatizzati” come WannaCry, ma nel tempo le minacce sono diventate bestie complesse, eseguendo attacchi in più fasi. Ancora oggi, un utente può innescare un attacco semplicemente aprendo un’e-mail di phishing o facendo clic su un link pericoloso. Abbiamo visto casi in cui l’apertura di un collegamento dannoso da parte di un utente ha portato alla compromissione del router delle reti. Ciò potrebbe aprire più backdoor al sistema dell’utente o in definitiva reindirizzare le sessioni di navigazione dell’utente a siti Web dannosi che possono veicolare più minacce che vanno dai ransomware ai ladri di password e alla scansione di Internet per potenziali vittime.
La motivazione dietro gli attacchi è cambiata significativamente negli ultimi due decenni. Il primo virus che ho analizzato è stato Michelangelo nel 1991, che ha sovrascritto i primi cento settori di un disco rigido, rendendo impossibile l’avvio della macchina. Mentre allora i virus erano più una prova di concetto e una fonte di orgoglio per i loro autori, oggi il panorama delle minacce è una macchina per fare soldi ben oliata, che diffonde ransomware alle aziende, malware bancari progettati per rubare denaro e notizie false per sostenere la propaganda e guerre informatiche sponsorizzate dagli stati.
Quali sono i punti deboli che possono consentire a un virus di diffondersi così ampiamente e rapidamente?
Luis Corrons: oggi ci sono miliardi di dispositivi connessi a Internet. Un worm dannoso per diffondersi rapidamente e su larga scala, dovrebbe sfruttare una vulnerabilità che gli consente di infettare il sistema ospite e distribuirsi senza l’interazione dell’utente, in modo simile al comportamento di Wannacry. Un worm che sfrutta più vulnerabilità dell’IoT potrebbe causare un attacco globale, colpendo sia le case che le aziende.
Martin Hron: Penso che i dispositivi IoT abbiano aggiunto un’ampia superficie di attacco, pronta per essere utilizzata in modo improprio. Se ci pensate, ora siamo connessi 24 ore su 24, 7 giorni su 7, quindi lasciamo questi dispositivi costantemente disponibili per un attacco che potrebbe avvenire in ogni momento. Ciò, combinato con il numero di dispositivi vulnerabili a causa di uno scarso livello di sicurezza, rende inevitabile un attacco su vasta scala. Come ha detto Luis, il caos globale inizia sempre con un difetto ampiamente presente. Quello che abbiamo visto negli ultimi anni è una massiccia esplosione di attacchi effettuati a livello di firmware di dispositivi IoT o computer che non prevedevano alcuna interazione dell’utente, come VPNFilter, LoJack o vari attacchi a versioni del firmware del motore di gestione Intel. Il motivo di questa tendenza è che questi attacchi di solito rimangono al di sotto dei radar e sono difficili da scoprire da utenti non esperti di tecnologia.
Cosa si dovrebbe fare per prevenirli?
Luis: La chiave per prevenire qualsiasi attacco è la sicurezza. Windows era molto vulnerabile in passato, ma ora è molto più sicuro. Tuttavia, i criminali continueranno a cercare nuove vulnerabilità e rischi nel sistema operativo Windows e cercheranno di sfruttarle.
Quando si tratta di dispositivi IoT, la maggior parte si trova in una fase simile a quella di Windows 95 in termini di sicurezza. La sicurezza viene raramente considerata in fase di progettazione dei dispositivi IoT, rendendo tutto dal software IoT, ai dati trasmessi fino alla sicurezza delle porte vulnerabile.
Martin: Vorrei anche aggiungere che la consapevolezza degli utenti delle minacce, di come appaiono e come gestirle, così come la conoscenza dei problemi di sicurezza e l’utilizzo di soluzioni di sicurezza, siano la chiave per prevenire gli attacchi. Il settore della sicurezza, ovviamente, è responsabile della protezione delle persone migliorando i meccanismi di rilevamento dei prodotti di sicurezza, fornendo varie soluzioni e istruendo gli utenti. Tuttavia, alla fine spetta a loro informarsi sul tema sicurezza e prendere le giuste decisioni per proteggersi, ma è anche particolarmente importante che riescano a prendere la decisione giusta di fronte a una truffa di ingegneria sociale che può portare all’installazione di malware o alla sottrazione di informazioni sensibili.
Lascia un commento