malware
Nel weekend è ricorso un anniversario importante: i 25 anni dalla pubblicazione del primo malware per computer che ha raggiunto la notorietà pubblica. Il famoso Worm Morris, disegnato da uno studente della Cornell University, ai tempi infettò il 10% dei computer con connessione a Internet, ovvero circa 6 computer su 60 mila. Al giorno d’oggi tale cifra ci appare ridicola, ma ai tempi causò non poche preoccupazioni, anche perché venivano combinati insieme diversi tipi di strategie, come attacchi DDoS, exploit, tecnologie stealth, attacchi di forza bruta sulle password e altri metodi utilizzati dai malware moderni. Inoltre, questo caso è importante anche perché portò al primo arresto dopo l’approvazione del Computer Fraud and Abuse Act, il decreto legge statunitense del 1986, specificamente pensato per contrastare gli attacchi informatici.
Grazie a YouTube, possiamo vedere come venne trattato il caso in TV nel 1986…
… e ora un breve resoconto della storia dal punto di vista tecnico.
Nel tentativo di “misurare l’estensione di Internet”, Robert Tappan Morris, studente della Cornell University, scrisse un programma piuttosto complicato, capace di auto-replicarsi in rete e bloccare qualsiasi entità terza che cercava di fermarlo. È facile dedurre che il virus disegnato da Morris rientra perfettamente nella definizione odierna di un Worm per computer. In realtà, il Worm di Morris non fu sviluppato per provocare danni; tuttavia, in seguito a un errore di programmazione, il Worm provocava infezioni multiple all’interno di uno stesso computer, finendo per sovraccaricare il server che non riusciva più a rispondere. Un vero e proprio attacco DDoS, no?
Per diffondersi su Internet, il Worm utilizzava le stesse tecniche dei suoi moderni “nipotini”, per esempio, sfruttando le vulnerabilità del sistema. Il Worm Morris era in grado di sfruttare ben tre tipi di vulnerabilità diverse: grazie ai bug presenti in Finger e nell’implementazione di Sendmail per sistemi Unix, il Worm poteva controllare in remoto l’esecuzione dei codici. Nel caso fallisse una di queste tattiche , il Worm provava a utilizzare rsh, il remote shell impiegato normalmente per l’amministrazione in remoto. Tuttavia, per avvalersi di rsh, bisognava conoscere username e password che venivano ottenute attraverso attacchi di forza bruta. È sorprendente osservare come era possibile ottenere ottimi risultati usando un vocabolario di sole 400 parole o facendo leva su pratiche piuttosto comuni e prevedibili al tempo, come username e password uguali o la stessa parola scritta al contrario. Ancora oggi non è così ovvia per tutti la necessità di utilizzare password robuste. e 25 anni fa nemmeno gli amministratori di sistema si rendevano conto dei rischi che si potevano correre.
Oltre alla capacità di penetrare con successo nei computer, questo Worm riusciva a modificare il proprio nome, a cancellare i file temporanei e ad adottare altri stratagemmi (come criptare i propri dati in memoria) per non farsi scoprire. Una delle prime operazioni dopo il lancio del Worm era la verifica di altre infezioni simili nel computer. Quando veniva scoperta un’altra copia, i due Worm facevano una sorta di “pari e dispari” per decidere quale dei due dovesse autodistruggersi. Forse in seguito a un errore di Morris, o forse per contrastare la creazione di una qualche forma di “vaccino” contro questo malware, ad ogni modo sta di fatto che 1 copia su 7 continuava a esistere nonostante ci fosse già un altro Worm. Tale fenomeno portava quindi a un attacco DDoS. Si trattava di una casistica molto alta, e molti computer venivano infettati decine e decine di volte!
Nonostante fossero impreparati alla venuta dei Worm, sia dal punto di vista tecnologico sia da quello concettuale, gli amministratori di sistema statunitensi riuscirono ad agire in fretta. Furono creati due gruppi di lavoro, uno presso il Massachusetts Institute of Technology (MIT) e un altro alla University of California Berkley; ci vollero solo due giorni per trovare le vulnerabilità sfruttate, risolvere i bug e smantellare il Worm, dichiarandone la sua fine. In ogni caso i danni economici furono ingenti, si è stimato dai centomila ai dieci milioni di dollari.
Un aspetto piuttosto interessante è che Morris riuscì a mantenere l’anonimato. La svolta nelle indagini si ebbe grazie al padre dello studente, Robert Morris, co-autore di Unix e capo ricercatore presso il Computer Security Center della NSA, che convinse suo figlio a consegnarsi alle autorità. Il tribunale tenne in considerazione l’attenuante della confessione, e la condanna di Morris fu piuttosto lieve: tre anni di libertà condizionale, 10 mila dollari di multa e 400 ore di servizi sociali. Morris in ogni caso imparò la lezione e divenne un membro rispettato della società informatica. Ricordiamo, tra i suoi traguardi, la creazione di Viaweb, una delle prime piattaforme di e-commerce (poi venduta a Yahoo e ribattezzata Yahoo Store) e della startup Y Combinator; di rilievo è anche la sua partecipazione ad un progetto di sviluppo di nuovi linguaggi di programmazione e il suo periodo d’insegnamento presso il MIT.
Consigli