Vai al contenuto
Kamasutra a Milano, audizione del responsabile informatico il 9 marzo; cos’è successo alla conferenza stampa

Kamasutra a Milano, audizione del responsabile informatico il 9 marzo; cos’è successo alla conferenza stampa

Questo articolo vi arriva grazie alle gentili donazioni di “ferro.e.fuoco” e “robdalmas”.

Giovedì 9 marzo, dalle 13 alle 14.30, presso la Sala Commissioni di Palazzo Marino si terrà la Commissione Consiliare che ascolterà l’assessore Giancarlo Martella e il responsabile dei sistemi informativi a proposito del blocco della rete di computer del Comune di Milano a causa del virus KamaSutra, già ampiamente descritto a suo tempo in vari articoli di questo blog fra il 25/1/06 e il 10/2/06. Potrebbe essere l’occasione per saperne finalmente qualcosa di più, visto il riserbo che ha circondato la parte tecnica dell’intera vicenda milanese.

L’audizione si tiene su richiesta del consigliere comunale Maurizio Baruffi, come promesso nella conferenza stampa del 9/2/06, alla quale ho partecipato e della quale vi devo ancora un resoconto. Mi rendo conto che è passato quasi un mese, ma altre notizie, più una scorpacciata memorabile di focaccia, mi hanno frenato fin qui. Mi sdebito subito, scusandomi in anticipo per la prolissità pressoché inevitabile.

Temevo una sbrodolata di politichese, ma si è rivelata quasi una riunione tecnica, nella quale purtroppo mancava chi avrebbe potuto chiarire bene i termini del pasticcio, ossia i responsabili informatici del Comune di Milano. Ma altre presenze, che racconterò tra poco, hanno reso altrettanto interessante e molto proficuo l’incontro. Ho pubblicato le mie foto su Flickr; se ne avete altre, indicatele nei commenti a questo articolo.

Il tema della conferenza era una proposta del consigliere comunale Baruffi di introdurre il software libero nel sistema del Comune di Milano, per contenere i costi e per evitare future Waterloo come quella che aveva portato il Comune alla paralisi per almeno cinque giorni, causando disagi alla cittadinanza e forti imbarazzi politici (era in visita il ministro Stanca) oltre che dichiarazioni sconsiderate che attribuivano il disastro a imprecisati “hacker dei centri sociali”.

Visto che avevo fatto un commento abbastanza sferzante nel mio blog, e conoscendo il mio interesse verso il software libero e i formati non proprietari, i Verdi mi hanno invitato come consulente e per vivacizzare un po’ l’incontro in compagnia di Marcello Saponaro (consigliere regionale), Lele Rozza (analista funzionale) e Valerio Ravaglia (Attivazione.org).

Valerio ha portato un comunicato della Free Software Foundation oltre a quello di Attivazione.org; Lele ha presentato Linux ai giornalisti, mostrando una distribuzione Ubuntu felicemente installata su un normale portatile (un Sony Vaio); io ho portato una chiavetta USB contenente il virus Kamasutra, che ho offerto scherzosamente ai presenti.

Lele Rozza ha infilato la chiavetta nel Vaio, ha cercato di aprire Kamasutra sotto Linux, e ovviamente non è successo nulla. Concetto banale per noi addetti ai lavori, ma senz’altro intrigante per chi non mangia pane e informatica: esistono computer invulnerabili a Kamasutra e a tantissimi altri virus. E non sono computer “strani”, tipo il mio Apple iBook: è roba di serie. Passare a Linux non richiederebbe, insomma, cambiare i computer del Comune.

Oltretutto un po’ di varietà nel software farebbe comunque bene. Se si usa un solo tipo di software, si rischia che un singolo virus faccia cadere tutto il sistema informatico e che il numero di computer anche solo potenzialmente infetti (e quindi da bonificare lo stesso per sicurezza) sia altissimo: è quello che è successo, per esempio, con il fermo totale delle Poste Italiane prodotto dal virus SQLHell/Slammer nel febbraio del 2003. Diversificando software e sistemi operativi, in caso di attacco virale verrebbero colpiti soltanto i computer che usano il software vulnerabile allo specifico virus, mentre gli altri resterebbero in funzione e potrebbero essere esclusi con certezza dalla lista dei computer da bonificare. Facendo un paragone ecologico, Baruffi ha chiamato questo approccio “biodiversità”.

Anche se abbiamo tutti ribadito che non volevamo incolpare specificamente Microsoft di nulla, visto che il problema della sicurezza non è soltanto questione di software ma anche di educazione degli utenti, molte delle domande e dei nostri commenti hanno riguardato l’azienda di zio Bill, per il semplice fatto che è praticamente onnipresente nei sistemi informatici del Comune e che il virus che ha fatto così tanti danni è un virus per Windows. Io ho poi definito “sovietico” il mutismo totale del Comune sui dettagli tecnici della vicenda, paragonandolo (in quanto a efficacia) al comportamento dei responsabili russi durante il disastro di Chernobyl. Fatte le debite proporzioni, in effetti, questa è stata una Chernobyl informatica: una débâcle assurda che non doveva assolutamente succedere e che è stata gestita creando una cortina ostinata di riserbo.

Ha fatto molto scalpore la notizia (riportata dal Corriere della Sera) di un costo di 30 milioni di euro l’anno per la gestione del sistema informatico. Ovviamente abbiamo fatto notare che parte (quanta, non si sa) di quel costo deriva dalle licenze software, che nel caso del software libero non ci sarebbero.

Certo il software libero non s’installa da solo, per cui occorre comunque preventivare spese di assistenza tecnica; spese che esistono però anche con il software a pagamento, per cui si tratta fondamentalmente di scegliere fra a) spese di licenza più spese di assistenza e b) spese di assistenza e basta. Si può poi discutere sulla maggiore facilità di manutenzione di macchine Linux (anche sul desktop) rispetto a quella di macchine Windows, che produce ulteriori risparmi sull’assistenza.

Io ho accennato alla possibilità di migrazioni “soft”, come quelle avviate con successo in Francia da interi ministeri e dalla Gendarmerie: passare al software libero non è necessariamente una cosa traumatica, un “tutto o niente”. Si può cominciare sostituendo Internet Explorer con Firefox, turando così gran parte delle vulnerabilità di Windows; si può proseguire sostituendo Outlook con Thunderbird; e poi si può eliminare il costo delle licenze di Microsoft Office adottando OpenOffice.org (che fra l’altro genera documenti in formato PDF automaticamente, senza software esterno; Microsoft Office lo farà soltanto dalla prossima versione). Il tutto senza lasciare subito Windows.

Già così si riducono costi diretti (le licenze) e indiretti: accenno al fatto che l’uso di formati non-Microsoft evita di dover continuare a comperare software sul quale si dovranno pagare licenze e garantisce che anche fra venti, cinquanta, cent’anni i documenti pubblici siano leggibili senza dover pagare il dazio a qualcuno che ha il monopolio su come accedere ai documenti.

Poi, quando gli utenti si sono abituati a usare questi programmi liberi, si può passare a Linux mantenendo i medesimi programmi. È tutto software che infatti esiste anche in versione Linux. In questo modo, la transizione è pressoché invisibile all’utente comune. Tolto di mezzo Windows, il suo costo di licenza è sparito e lo si risparmia ogni anno, per sempre (su quanto sia questo costo, nel caso del Comune di Milano, tornerò fra poco).

Il vantaggio aggiuntivo di una migrazione a Linux è che consente di controllare con rigore quello che gli utenti possono e non possono fare. L’installazione di programmi può essere inibita con facilità, evitando l’anarchia del software nei vari uffici, grazie alla quale oggigiorno tutti installano software P2P e Skype abusivamente sui computer del posto di lavoro.

Anche la gestione della sicurezza ne beneficia. Impostare Linux in modo che non esegua gli allegati pericolosi (tipo KamaSutra) è semplice; farlo sotto Windows, con il suo browser integrato nelle viscere del sistema operativo e la sua gestione imperfetta dei privilegi di amministratore, è tutt’altra cosa. Oltretutto il numero di virus per Linux è infinitesimo rispetto a quello per Windows, per cui il pericolo è oggettivamente molto minore. Anche se Windows non è direttamente responsabile per lo sconquasso milanese, è indubbio che se il Comune avesse usato Linux, il problema Kamasutra non si sarebbe presentato.

È più o meno a questo punto dell’articolato discorso-proposta di non dare più un euro a zio Bill perché il suo software è un colabrodo difficile da rappezzare che dal fondo della sala si alza una mano. “Sono Carlo Rossanigo, di Microsoft”.

In sala si ode un improvviso, surreale risucchio: quello di una ventina di persone che per un istante fermano le proprie biro e trattengono tutte il fiato, voltandosi all’unisono verso il rappresentante di Microsoft con l’atteggiamento di chi si è accorto che l’incontro di routine si preannuncia decisamente più interessante del previsto.

Rossanigo (direttore relazioni esterne e corporate marketing di Microsoft Italia) è molto professionale e documentato: elenca le cifre ingentissime dei budget di ricerca Microsoft per migliorare la sicurezza e sottolinea che il problema di Milano non è dovuto a Windows ma è dovuto alla mancata educazione informatica dell’utente (e su questo siamo d’accordo). Il suo ampio intervento è chiaramente mirato a contenere il danno d’immagine a Microsoft prodotto da questa vicenda (fra l’altro, Rossanigo dice che mi ha sentito a Caterpillar) e dalle nostre parole nella conferenza stampa.

È suo dovere avere questa posizione, e la sa presentare bene. Detesto andare contro una persona cordiale che sta facendo il proprio mestiere, ma anch’io devo fare il mio. Di fronte alle sue considerazioni sugli sforzi di sicurezza compiuti da Microsoft in questi anni, non mi trattengo dal notare che nonostante tutti questi sforzi e questo vasto budget di ricerca, la gravissima falla WMF è rimasta in Windows per sedici anni, sin dai tempi di Windows 3.0 (1990). E alla fine non l’ha neppure scoperta Microsoft.

Rossanigo accenna anche agli sforzi di interoperabilità compiuti da Microsoft, facendo intendere che soltanto usando i suoi prodotti si è sicuri di poter condividere dati e risorse. Io obietto che l’interoperabilità Microsoft esiste soltanto fra i suoi prodotti, ma non verso l’esterno: i formati Word, Excel, Powerpoint sono sostanzialmente segreti, per cui un documento Word può essere letto con certezza soltanto da Word (e quindi pagando la licenza a Microsoft); ci sarebbe anche da dire sulla nota (in)compatibilità fra versioni differenti di Microsoft Word, ma sorvolo.

Faccio invece notare che Microsoft è di fronte all’antitrust UE, con un rischio multa di 2 milioni di euro al giorno, perché non garantisce l’interoperabilità del proprio software per server; per cui mi spiace, ma parlare di interoperabilità del suo software è decisamente disinformante. L’interoperabilità è invece offerta a piene mani dal software libero, che cerca ovunque possibile di usare formati liberamente utilizzabili e pienamente documentati. Confesso che mi fa un certo effetto poter finalmente dire queste cose direttamente a un rappresentante Microsoft.

Lo scambio di battute con Rossanigo prosegue cauto ma cordiale, e colgo l’occasione per chiedergli molto schiettamente quanto paga il Comune di Milano in licenze Microsoft: trecentomila euro ogni anno. Soldi che si potrebbero risparmiare col software libero. Un milione di euro ogni tre anni circa non sono noccioline.

Un altro aspetto meno polemico e più tecnico che emerge dalle parole di Rossanigo è che Microsoft ha offerto e inviato una squadra di specialisti al Comune per aiutare a risolvere il problema Kamasutra. Squadra che però non è riuscita a sistemare le cose, forse perché il compito era impossibile (si parla di 10.000 computer potenzialmente colpiti, di cui qualche centinaio realmente infetti, ma vai a capire quali).

Salta fuori, a un certo punto, che anche un altro dei presenti è di Microsoft (purtroppo ho perso l’appunto con il suo nome e me ne scuso; forse qualche lettore saprà colmare la mia lacuna di memoria guardando la foto qui sotto, dove Rossanigo è al centro e il secondo uomo Microsoft è quello con la cravatta gialla) e interviene con un altro discorso sui benefici di lavorare con il software Microsoft.

È un dispiego di forze davvero notevole, per una semplice conferenza stampa, e mi chiedo se sia un esempio della politica di zio Bill di intervenire massicciamente in overkill mode per controbilanciare ogni possibile pubblicità negativa. Anche lui dice di conoscermi bene e di leggere sempre il mio blog: lusinghiero ma inquietante… mi sento un po’ sorvegliato speciale, oltre che colpevole di un calo di produttività in casa Microsoft (se tutti leggono i miei rantoli, chi è che scrive il software?).

In effetti il metodo Microsoft di conoscere bene l’avversario ed essere presenti in forze funziona, perché l’incontro si trasforma in un vivace dibattito a cinque (i due esponenti Microsoft da un lato, Lele Rozza, io e Valerio Ravaglia dall’altro), in cui più volte ci troviamo a scivolare verso discorsi tecnici che rischierebbero di essere poco chiari per i giornalisti non informatici presenti e a ribadire, un po’ difensivamente, che non ce l’abbiamo specificamente con Microsoft, ma semplicemente cerchiamo di trovare delle soluzioni che facciano risparmiare dané e diano servizi migliori alla cittadinanza. La ripetizione avrà forse tediato i giornalisti presenti, che magari avrebbero gradito una scazzottata verbale, ma era necessaria per non fare la figura degli anti-Microsoft per partito preso.

Questo atteggiamento disponibile (del quale ringrazio Lele e Valerio, che mi hanno saputo moderare) ha dato qualche frutto immediato. Siamo finiti, non so esattamente come, a parlare di focaccia paragonandola all’open source: la ricetta della focaccia è nota a tutti, ma questo non impedisce di guadagnare a chi la sa preparare bene, così come il codice sorgente del software open source e i formati non proprietari sono noti a tutti, ma questo non impedisce di guadagnare a chi li sa confezionare bene. Al termine della conferenza stampa, inoltre, ci siamo fermati a chiacchierare con Rossanigo e l’altro esponente di Microsoft.

In questo “fuori onda” è emersa la considerazione che Microsoft non è l’unica a incassare un sacco di soldi in licenze al Comune di Milano, e che ci sarebbero aziende che prendono anche venti volte tanto, ogni anno, in licenze software. Sarebbe molto interessante avere le cifre e i nomi di queste aziende, per vedere se sono sostituibili con soluzioni libere e meno costose. Voci interne al Comune mi suggeriscono Oracle, ma non le posso confermare. Un intervento di Oracle e delle altre aziende che collaborano informaticamente con il Comune di Milano sarebbe molto opportuno e chiarificatore.

Rossanigo coglie l’occasione per invitarmi a un incontro informale che si terrà la sera stessa a Milano con Martin Taylor, General Manager di Microsoft, in visita dagli Stati Uniti per incontrare vari blogger italiani. L’occasione è ghiotta quanto inattesa, per cui m’ingegno (con l’impagabile supporto logistico di mia moglie Elena) per trattenermi a Milano per la giornata.

L’incontro si rivelerà prezioso e illuminante sul modus operandi di zio Bill. Ma questa è un’altra storia che racconterò prossimamente: per quanto riguarda il caso Kamasutra a Milano, gli aspetti tecnici continuano ad essere coperti dal riserbo più totale. Speriamo che l’audizione annunciata per giovedì chiarisca almeno la dinamica dell’infezione, che resta oggetto di mistero e di grande curiosità. Tutti, dai rappresentanti Microsoft agli addetti ai lavori presenti in sala, abbiamo concordato che è stupefacente che un virus per nulla sofisticato abbia potuto eludere le difese del Comune (che pure esistono e non sono banali, a quanto mi risulta) quando l’aggiornamento antivirale per Kamasutra era disponibile da tempo.

Le teorie più gettonate sono quelle del laptop d’ufficio portato fuori dalla rete aziendale, infettato involontariamente collegandolo a Internet e poi riportato in ufficio (quindi dentro le difese perimetrali), e quella di un’infezione arrivata tramite un PC del Comune sul quale girava software P2P non autorizzato. Ma sono solo congetture.

Fonti collegate al Comune mi dicono che il disordine nel sistema informatico è grande: per esempio, ci sarebbero reparti che hanno installato addirittura server Web abusivi (sui quali gira un po’ di tutto, Linux compreso) perché è l’unico modo per far andare avanti i servizi mentre l’amministrazione centrale latita o ha tempi di reazione insostenibilmente lunghi. E in mezzo al disordine i virus prosperano.

Forse è il caso di pensare ai rimedi, prima della prossima figuraccia. Gli hacker, quelli veri, quelli buoni, gli smanettoni insomma, quelli che magari di sera frequentano i centri sociali ma di giorno gestiscono la sicurezza informatica di banche e grandi aziende, sono a disposizione. Basta avere la maturità di chiamarli invece di accusarli a vanvera.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Internet italiana bloccata da virus, dice il TG5

Internet italiana bloccata da virus, dice il TG5

Questo articolo vi arriva grazie alle gentili
donazioni
di “frac” e “marco”. L’articolo è stato aggiornato dopo la pubblicazione
iniziale.

Il TG5 di stasera ha riportato una notizia informatica decisamente curiosa.
Potete rivedere il servizio di Lella Confalonieri
qui, ma vi trascrivo il testo qui sotto. Il titolo un tantinello allarmistico è
“Internet: epidemia”.

Avete presente le autostrade durante i periodi di vacanza? Tante macchine
tutte in fila e nessuno che si muove di un centimetro? Ebbene, questa è la
situazione che si sta verificando in questi giorni nella grande autostrada
della rete Internet italiana. Collegamenti impossibili, posta elettronica
difficile da inviare. Insomma, tutti fermi. Un fenomeno solo italiano, a
quanto pare, dovuto a file cattivi che stanno infestando i computer nostrani.
Spyware, programmi che si infiltrano e spiano le abitudini, malaware [sic] che
provocano danni, o adware che ci inondano di pubblicità non desiderata. Sono
parenti dei virus più aggressivi, e l’infezione si trasmette proprio navigando
in Rete. Scaricando programmi che sembrano innocui, si installano sul computer
anche quelli dannosi, e così i programmi da una sola postazione riescono a
moltiplicare all’infinito gli accessi alla Rete, e il sistema va in tilt. Il
problema è così sentito che Telecom, gestore di importanti server italiani, ha
istituito un numero, 19122, che fornisce soluzioni tecniche adeguate, che poi
sono sempre le stesse: un buon antivirus, da lanciare di tanto in tanto,
giusto per fare un po’ di pulizia.

In altre parole, il TG5 dice che c’è un problema dovuto a
“file cattivi” (complimenti per la
terminologia rigorosa e non ambigua), però non dice quali sono, non dice quali
sistemi operativi sono colpiti, fornisce indicazioni contraddittorie sul
metodo d’infezione (ci si infetta già soltanto navigando in Rete o bisogna
anche scaricare dei
“programmi che sembrano innocui”?), e
non dice nulla di sensato sulle contromisure da prendere: anzi, fornisce anche
un consiglio irresponsabile come usare l’antivirus solo
“di tanto in tanto”. Un po’ come dire
“la cintura di sicurezza? basta usarla di tanto in tanto”. Il preservativo per i rapporti a rischio? Idem, è sufficiente usarlo solo
“di tanto in tanto”.

Saranno contenti gli addetti al
call center di Telecom, che si
troveranno inondati di chiamate grazie a un servizio di telegiornale che
semina soltanto panico insensato senza fornire alcuna indicazione utile, ma
anzi rifilando ad altri il pacco di spiegare agli utenti cosa fare.

Sto cercando di capire cosa può aver scatenato questa crisi di
Paneraite. Dalla Svizzera, purtroppo, non posso chiamare il 19122. Questo
articolo di Punto Informatico
sembra gettare un po’ di luce sulla questione: sarebbero sovraccarichi i
server DNS di vari provider italiani, a causa dei numerosissimi computer
infettati che stanno diffondendo spam. Può darsi che c’entri l’ondata di
tentativi d’infezione lanciata nei giorni scorsi con la falsa
e-mail di diffida dell’avvocato.

Il rimedio, sempre stando all’articolo di Punto Informatico, consiste almeno
in parte in una modifica delle impostazioni del DNS nel proprio computer, che
Alice.it dovrebbe pubblicare a breve nell’ambito di
istruzioni per mitigare il problema.

Se sapete qualcosa, scrivetemi o lasciate un commento.

Aggiornamento (22:40)

Stando alle informazioni scovate da un lettore (grazie Maurizio), il TG5 ha
tralasciato di specificare un dato importante: il servizio al numero 19122 è
attivo soltanto dalle 8 alle 18.30, per cui è inutile chiamarlo adesso.

Maurizio segnala anche che
Repubblica ha pubblicato un
articolo
insolitamente accurato (visti i precedenti bufalini della testata, ma la mano
felice di Alessandro Longo fa la differenza) che spiega come modificare le
impostazioni di DNS (per gli utenti Windows; quelli Mac e Linux si devono
arrangiare) e dal quale il TG5 ha pescato a piene mani espressioni come
“file cattivi” e paragoni
autostradali, omettendo invece la sostanza: cambiando i settaggi del DNS,
Internet riprende a funzionare. Se poi usate Windows, dovete inoltre
controllare le condizioni del vostro computer usando non solo un antivirus, ma
anche un antispyware, per eliminare eventuali infezioni.

Aggiornamento (2006/12/13 10:30)

I commenti qui sotto segnalano delle informazioni tecniche pubblicate da
Telecom Italia presso www.helpadsl.it: si
parla di
“notevole diffusione di spyware o adware il cui effetto si manifesta nella
possibile difficoltà di connessione e nel saltuario sovraccarico dei sistemi
DNS dei vari Internet Service Provider.”
La soluzione è il cambio delle impostazioni di DNS descritto sul sito,
seguendo le istruzioni fornite per Windows, Mac OS e Linux. I DNS indicati,
tuttavia, sono presumibilmente riservati ai clienti Telecom: gli altri possono
appoggiarsi agli OpenDNS citati da Repubblica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

I virus compiono 25 anni

Questo articolo vi arriva grazie alle gentili
donazioni
di “giampiero.carag****” e “****ionidelfaro”. 

Sarà la stagione storicamente vacanziera, per cui si va a caccia di notizie
leggere, ma persino
Scientific American
non ha saputo resistere alla tentazione di celebrare il venticinquennale dei
virus. La celebrazione sostiene che il primo virus per computer fu
Elk Cloner, nel 1982. Fu scritto da
Rich Skrenta, uno studente quindicenne di Pittsburgh, per prendere di mira gli
utenti dei computer Apple II: sì, all’epoca furono le macchine Apple ad essere
preferite (Brain, il primo virus per PC IBM compatibili, arrivò nel 1986). Il
sito ultraspartano di Skrenta
riferisce molti dettagli in proposito e include il codice del virus.

Come molti virus di quell’epoca pionieristica, Elk Cloner era relativamente
innocuo: non distruggeva quasi nulla (salvo i dischetti Apple strutturati in
modo non standard) e si limitava a infastidire gli utenti. Quando il computer
veniva avviato da un dischetto infetto, si avviava automaticamente una copia
del virus, che non faceva altro che starsene lì in attesa che venisse inserito
un dischetto non infetto. Quando questo avveniva, Elk Cloner si copiava
automaticamente al dischetto. L’infezione, quindi, si diffondeva lentamente da
computer a computer tramite lo scambio di dischetti fra gli utenti. A ogni
cinquantesimo avvio del computer da un dischetto infetto, Elk Cloner faceva
comparire sullo schermo questa dicitura:

Elk Cloner: The program with a personality It will get on all your disks It
will infiltrate your chips Yes it’s Cloner! It will stick to you like glue It
will modify RAM too Send in the Cloner!

Bisogna considerare il contesto dell’epoca: il personal computer era stato
inventato da poco e l’informatica era ancora appannaggio degli smanettoni. Di
conseguenza, scherzi di questo genere avevano senso. All’epoca non esisteva
neppure il termine “virus”,
coniato
nel 1984 da Len Eidelmen per descrivere i programmi in grado di
autoreplicarsi. 

Ma da allora il mondo dei virus è cambiato: siccome i computer oggi sono
dappertutto, i virus vengono scritti per motivi meno scherzosi ma molto
criminosi: per rubare informazioni, per creare reti di computer
zombificati da coordinare per
attacchi su vasta scala, per disseminare spam e per estorcere denaro alle
vittime. 

Essendo cambiate le motivazioni, è cambiato anche il modo di operare dei
virus. Il virus moderno non deve farsi notare, né distruggere file, come
Hollywood ogni tanto si ostina a mostrarci: deve essere un ospite silenzioso,
in modo che l’utente infetto non si accorga della sua presenza e lo lasci
operare indisturbato. 

C’è però un po’ d’incertezza sulla validità di quest’anniversario: Elk Cloner
non è il primo virus in assoluto, ma il primo per personal computer.
Viruslist.com, per esempio, cita esempi di programmi di tipo virale risalenti additittura
ai primi anni Settanta. La rete Arpanet, precursore militare di Internet, fu
infatti infettata in quegli anni da Creeper, un virus per il sistema
operativo Tenex. Già allora era in grado di copiarsi automaticamente
attraverso una connessione modem e infettare il sistema ricevente. I computer
infetti visualizzavano il messaggio
“I’M THE CREEPER : CATCH ME IF YOU CAN.”

Poco dopo fu creato il programma
Reaper, che potremmo considerare il
primo antivirus o il primo virus benigno: si diffondeva fra i computer
connessi in rete e distruggeva le copie di Creeper che incontrava.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
TomTom infetta una partita di navigatori GO 910 con due trojan

TomTom infetta una partita di navigatori GO 910 con due trojan

Questo articolo vi arriva grazie alle gentili
donazioni
di “eros” e “mbzeta”. L’articolo è stato aggiornato dopo la pubblicazione
iniziale.

La popolare marca di navigatori satellitare TomTom è riuscita a infilare ben
due virus, o più precisamente due
trojan horse, in un “numero ristretto
e isolato” di esemplari del modello GO 910.

La notizia, invece di essere comunicata dalla TomTom, è stata rivelata da una
fonte esterna;
TomTom ha pubblicato un laconico
comunicato
soltanto dopo la rivelazione, ed è simpatico notare che il servizio clienti ha
cercato di liquidare la segnalazione della presenza di ben due malware nei
propri prodotti dicendo al cliente (scopritore del malware) che
“non era pericoloso”. I
trojan coinvolti sono
win32.Perlovga.A e
TR/Drop.Small.qp, roba per Windows,
annidati all’interno dei file
copy.exe e
host.exe, come segnalato da
The Register.

Kaspersky
segnala
che il secondo malware è una
backdoor. Con funzionalità limitate,
ma pur sempre una backdoor. Perlovga
è definito
“più un fastidio che una minaccia seria, ma poiché utilizza le funzioni di
autorun.inf per diffondersi tramite i dischi, c’è il rischio reale che
Perlovga.a e il file di Dropper (che a sua volta installa la backdoor e
Perlovga.b) vengano eseguiti automaticamente non appena Windows legge il
drive/dispositivo.”

A parte i complimenti per la riuscitissima operazione trasparenza, a TomTom va
il plauso per l’ottimo controllo qualità. Riuscire a infettare i propri
prodotti e poi passarli ai clienti è decisamente un bel risultato. Ma TomTom
non è sola:
Sophos ricorda
altri casi, come gli iPod video infettati da un
trojan e i lettori MP3 contenenti
spyware diffusi da una società giapponese collegata a McDonald’s.

Specialmente se usiamo Windows, bisogna insomma prendere l’abitudine di
controllare con l’antivirus anche apparecchi che non immagineremmo capaci di
ospitare software ostile. Questo è il progresso. Combinato con una bella dose
d’arrogante ironia: nel proprio comunicato, TomTom, senza una parola di scuse,
invita gli utenti a installarsi un antivirus, segnalando che chi non ce l’ha
lo deve installare. Gli utenti sono tenuti a farlo, insomma; TomTom no.
Questo, a casa mia, si chiama a) predicare bene e razzolare male b) scaricare
le proprie magagne sul cliente.

Mandiamo a TomTom una cartina con il percorso che porta all’antivirus più
vicino? Potrebbe essere utile. L’importante è che non debbano passare per
Haugesund e Trondheim.

Aggiornamento (2007/01/31)

La newsletter della TomTom (di cui sono cliente) mi invita stamattina a
partecipare a un concorso per vincere, guarda caso, proprio un GO 910.
Rosa. Con virus in omaggio o senza?

Non una parola, ovviamente, sul possibile rischio d’infezione per i propri
clienti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Virus-bufala: “eirti” e “irti” su Hotmail.it, F6 per il nome di chi ti ama

È facile confondersi fra allarmi virali autentici e allarmi fasulli. Un
allarme vero avrà sempre dei link a fonti che ne consentano la verifica,
certo: ma a volte l’emozione prende il sopravvento sulla ragione e non ci si
pensa.

Per questo motivo stanno imperversando in questi giorni vari appelli-bufala
contro virus inesistenti. Due avvisano di non accettare i contatti
irti@hotmail.it ed
eirti@hotmail.it, perché sono virus
che formattano tutto il computer. Uno di questi appelli cerca di ammantarsi di
autorevolezza dicendo che l’allarme è stato segnalato
“dal Centro Ricerche di Trento”, ma
rimane una bufala, per le ragioni spiegate in questo mio
articolo
sui temibili Bufalovirus mittensis.

Un altro appello che sta circolando fa leva sul cuore anziché sulla fifa
informatica:

“Dopo aver inviato il messaggio, premi F6 e vedrai quello che apparirà nel
quadro… incredibile, ma reale… fa impressione ma è reale… buona
fortuna. Manda a 15 persone nei prossimi 143 minuti, poi premi F6 e il nome
di chi ti ama apparità in lettere maiuscole, fa tanta impressione perché
è… reale.”

Il primo sintomo di bufalite è l’insistenza sul concetto di “reale”, ripetuto
ben tre volte: tipicamente, più un appello ribadisce la propria autenticità
(senza fornire fonti), più è probabile che sia una bufala che tenta di
sembrare autorevole. C’è poi il dettaglio non trascurabile di come un computer
possa venire a sapere il nome di chi vi ama, ma questo non impedisce a molta
gente di diffondere questa storia, incoraggiata anche dal fatto che di solito
la riceve da qualcuno che conosce e di cui quindi si fida (senza rendersi
conto che in realtà anche il conoscente si è fidato a sua volta di un
suo conoscente, e così via, in una
catena senza fine di fiducie mal riposte).

L’effetto più probabile che otterrete se inviate davvero questo appello a
quindici persone è una risposta da parte di chi ora vi ama un po’ di meno e vi
vuole dire di piantarla di rompergli l’anima con queste scemenze.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Attenti alle brutte notizie, portano virus: nuovo espediente per infettare i computer

A tempo di record, i creatori di virus hanno approfittato della tempesta che
ha devastato il nord Europa per lanciare una nuova campagna d’attacco. Mentre
il maltempo ancora imperversava, hanno diffuso un nuovo virus sotto forma di
allegato a un messaggio di posta il cui titolo faceva riferimento alle cattive
notizie meteorologiche. Il virus è denominato CME-711 o Trojan.Peacomm,
Downloader-BAI e in molti altri modi dai vari produttori di antivirus
(mettersi d’accordo su un solo nome sarebbe troppo furbo, vero?).

I dettagli sono pubblicati dalla newsletter
SalvaPC
di Punto Informatico, dalla
BBC e da
F-Secure. Si tratta di una strategia psicologica nuova da parte degli autori di
virus: far leva sull’emozione e la curiosità destate dall’annuncio di notizie
drammatiche e così abbassare la guardia dell’utente, inducendolo ad aprire un
allegato infettante nella speranza di saperne di più.

I titoli dei messaggi infettanti, infatti, fanno chiaro riferimento a notizie
molto gravi: si va da
“Genocidio di musulmani britannici” a
“Morto Fidel Castro” a
“Missile cinese abbatte aereo USA”. E
c’è anche la versione che annuncia che
“Saddam Hussein è ancora vivo!” e che
“Condoleezza Rice molla un calcio al cancelliere tedesco Angela
Merkel”. L’allegato ha un nome che suggerisce che i dettagli della notizia siano al
suo interno (fullvideo.exe,
full story.exe,
read more.exe, e altri). 

L’attacco è
mirato a convertire i computer delle vittime in “schiavi” per formare una
botnet (rete di computer da usare per
altri scopi, come invio di spam o attacchi più mirati), ma può anche
raccogliere indirizzi di e-mail e dati di carte di credito.

Va ricordato che il virus (anzi, i vari virus che usano questa tecnica,
secondo
F-Secure) ha effetto esclusivamente su computer che usano Windows e che vale la
regola di sempre: non basatevi sul
titolo di un messaggio per decidere
se aprirne o meno l’allegato. Usate invece un buon antivirus, tenetelo
aggiornato, e non aprite mai allegati di provenienza dubbia. Anche quando
l’allegato sembra provenire da un amico, sinceratevi che ve l’abbia davvero
mandato lui e che non si tratti di un’impostura.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Serve davvero proteggere smartphone e tablet Android con un antivirus? Oh, sì

Serve davvero proteggere smartphone e tablet Android con un antivirus? Oh, sì

Rispondo qui a una domanda che mi è arrivata varie volte via mail: è realmente necessario usare un antivirus sui dispositivi Android, oppure si tratta di una paura creata ad arte dai produttori di antivirus?

Per farla breve: sì. Il malware per Android (app infettanti) esiste realmente e ogni tanto è presente anche nel Play Store, il negozio online ufficiale di Google per le app Android. Spesso, oltretutto, è travestito da giochino allettante o da visualizzatore di video a luci rosse.

Queste app infettano smartphone e tablet allo scopo di rubare dati personali (tipicamente la rubrica degli indirizzi, in modo da mandare spam ai contatti della vittima) oppure per prendere il controllo dell’account Google (che contiene spesso i dati di una carta di credito o le password per altri servizi rivendibili, come gli account nelle reti di gioco).

Nel caso degli smartphone Android e dei tablet Android con connessione cellulare, inoltre, un malware può inviare SMS di abbonamento a linee erotiche o MMS “premium”, il cui costo viene scalato dal credito o dall’abbonamento della vittima e incassato dai truffatori. App di questo tipo sono state trovate anche in Google Play.

Secondo alcune ricerche, già nel 2012 esistevano oltre 65.000 tipi di malware Android, che avevano colpito circa 33 milioni di dispositivi. Secondo altre fonti, questi numeri sono decisamente sottostimati.

Un esempio pratico: Balloon Pop 2, una app di gioco per Android, mostrata nell’immagine qui sopra, era distribuita tramite il Play Store, superando quindi i controlli del sito di distribuzione standard per Android. Ma è stato scoperto che rubava di nascosto le conversazioni private fatte tramite WhatsApp e le metteva in vendita via Internet.

L’app è stata rimossa dal Play Store, ma è ancora disponibile facendo le opportune ricerche in Rete: fa parte dei servizi di WhatsAppCopy, che si spaccia per una soluzione che consente all’utente di fare una copia di scorta delle proprie conversazioni fatte su WhatsApp tramite l’app Balloon Pop 2. Ma se così fosse, che motivo ci sarebbe di nascondere questa funzione dietro un gioco? L’app viene infatti riconosciuta come malware e bloccata dagli antivirus per Android (per esempio Avast, Norton, Lookout, Kaspersky, Sophos).

Oltre a installare un antivirus (spesso gratuito), è opportuno assicurarsi che sul dispositivo Android sia disabilitata la possibilità di installare app trovate in giro su Internet al di fuori del Play Store: nelle versioni recenti di Android, andate in Impostazioni – Altro – Sicurezza e controllate che sia disattivata la casella Sorgenti sconosciute e che sia invece attivata quella etichettata Verifica applicazioni. Prima di installare una app, inoltre, chiedetevi sempre se è realmente necessaria e controllate le recensioni per vedere se qualcuno ha segnalato eventuali comportamenti anomali. Infine evitate di alterare il funzionamento del dispositivo Android con operazioni come il rooting se non siete esperti.

E gli iPhone, iPad e iPod touch? I controlli sull’App Store di Apple sono molto severi. Se i dispositivi Apple non vengono craccati per installare app di provenienza alternativa, il rischio di malware è modestissimo. Vale comunque il principio di prudenza: meno app si installano e meno si rischia.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Rick Astley invade gli iPhone sbloccati

Rick Astley invade gli iPhone sbloccati

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Finalmente un virus anche per iPhone. Perché lasciare agli altri tutto il divertimento di avere uno sconosciuto che ti entra nel telefono e gli fa fare quello che gli pare? Ora anche gli utenti del cellulare feticcio di Apple (che è un buon telefonino, ma non tanto da venerarlo come fanno alcuni, specialmente chi non ce l’ha) possono vedere soddisfatta questa lacuna.

Arriva infatti dall’Australia un vero e proprio worm autopropagante: ogni iPhone infetto cerca altri iPhone attraverso la rete telefonica e si installa in quelli che trova. Ma il titolo di Apple in borsa non è precipitato e non c’è alcuna pandemia cellulare, perché il worm ha i denti limati.

Infatti funziona soltanto sugli iPhone ai quali è stato applicato un jailbreak, letteralmente una “fuga dal carcere”, ossia ai quali è stata rimossa la protezione messa da Apple per bloccarne alcune funzionalità e vietare all’utente di installare software non approvato dalla società della mela morsicata. E fra gli iPhone con jailbreak, colpisce soltanto quelli ai quali è stato installato il programma SSH e non è stata cambiata la password di amministratore supersegreta, ossia alpine. State cominciando a sbadigliare?

Ma Graham Cluley di Sophos procede inesorabile nella descrizione di quello che si candida ad essere il worm più fiacco della storia: vale la pena parlarne lo stesso, perché oltre a essere un proof of concept (una dimostrazione di fattibilità) mi offre lo spunto per raccontare un po’ di folklore internettiano.

L’unico danno che fa questo programma autoreplicante, infatti, è cambiare lo sfondo dell’iPhone infettato, mettendovi una foto del cantante Rick Astley e la dicitura “ikee is never going to give you up”. Un chiaro riferimento a una delle canzoni di maggior successo di Astley, Never Gonna Give You Up, annata 1987, ma un chiarissimo messaggio per i conoscitori del folklore di Internet: il worm è un rickroll, ossia una presa in giro, secondo una tradizione scoppiata nel 2007.

Il rickroll consiste nel fornire, durante una conversazione online, un link che sembra portare a qualcosa di altamente desiderato o provocatorio (per esempio il celebre video in cui Carla Bruni si sfila le mutandine e le porge maliziosamente a Sarkozy durante una funzione pubblica, credendo di non essere ripresa) ma che in realtà porta al video della canzone di Rick Astley. L’arte del rickroll sta nel creare una descrizione del link che contiene un vago indizio della sua natura burlesca, che verrà ignorato a causa della concitazione e del desiderio evocati dalla descrizione stessa. Il divertimento sta nel vedere quanta gente ci casca. Tanta, a quanto pare: il video di Astley su YouTube usato solitamente per i rickroll ha superato quota 21 milioni di visioni.

Ma torniamo alla parte tecnica del worm. Non ci sono per ora segnalazioni di infezioni al di fuori dell’Australia; non funziona sugli iPhone e iPod touch non sbloccati (senza jailbreak); richiede che sia installato SSH e che non sia stata cambiata la password di default. Se riesce a installarsi, cerca altri iPhone nelle stesse condizioni e li infetta. L’analisi di Sophos indica che si tratta di un worm dimostrativo sostanzialmente innocuo, ma nulla vieta di usarne il canovaccio per creare versioni più aggressive.

Va detto che cambiare lo sfondo del cellulare è comunque un’intrusione non autorizzata in un dispositivo informatico, ossia un reato punibile in molti paesi, e può avere un costo non banale, sia per ripristinare lo sfondo desiderato, sia per la paura di furto di dati che può evocare. È comunque un forte richiamo a fare attenzione quando si modifica un apparecchio: se non si sa esattamente cosa si sta facendo, c’è il rischio di farsi male esponendosi inconsapevolmente ad attacchi ben più gravi di un video degli anni Ottanta che parte a sorpresa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Stuxnet è un virus militare contro l’Iran? [UPD 2010/10/05]

Stuxnet è un virus militare contro l’Iran? [UPD 2010/10/05]

Questo articolo vi arriva grazie a uno sponsor.

Avevo parlato del virus Stuxnet a luglio, quando era stato segnalato come un pericolo un po’ bizzarro per gli utenti Windows perché ne sfruttava una vulnerabilità (oggi rattoppata) per raggiungere il suo vero bersaglio, che era costituito dai sistemi di controllo di processi industriali denominati genericamente SCADA.

Ora nuove indagini sembrano indicare che sia molto più di un virus atipico: sarebbe addirittura un’arma informatica concepita per colpire un bersaglio militare ben preciso facendone andare in tilt gli apparati di controllo. C’è chi fa il nome della centrale nucleare iraniana di Bushehr, vista da molti come una potenziale fabbrica di armi atomiche.

Indubbiamente le analisi del virus pubblicate da Symantec indicano che non si tratta del solito virus fabbricato da un ragazzino arrabbiato o dal crimine organizzato in cerca di soldi facili. Usa un metodo d’infezione nuovo e originale che non richiede l’interazione dell’utente: basta che venga visualizzata la sua icona su un sistema Windows non aggiornato. Sfrutta ben quattro vulnerabilità prima sconosciute. È un rootkit, capace non solo di rendersi invisibile a Windows, in modo classico, ma anche di sfruttare i programmi Windows usati per programmare i sistemi di controllo industriale (PLC) per iniettarsi in questi sistemi e rendersi invisibile anche lì. È, in altre parole, il primo rootkit per PLC, secondo Virus Bulletin.

Come se non bastasse, contiene inoltre 70 blocchi cifrati che rimpiazzano alcune funzioni fondamentali di questi sistemi, come il confronto di date e orari di file, ed è capace di personalizzare l’iniezione di questi blocchi in base al tipo di PLC che sta attaccando. Se la prende soltanto con una specifica configurazione di software presente nei sistemi di controllo realizzati dalla Siemens (che ha predisposto una pagina informativa apposita). I suoi autori hanno rubato le firme digitali segrete di due fabbricanti di chip taiwanesi per usarle in Stuxnet e farlo sembrare software certificato. Perché darsi tutta questa pena? E perché le statistiche d’infezione di Stuxnet sin da luglio scorso vedono al primo posto l’Iran, con quasi il 60% delle infezioni?

Il 29 settembre verranno presentati a Vancouver, nel corso della VB Conference 2010, i risultati delle indagini dei principali produttori di antivirus. Ma alcuni esperti si sono già sbilanciati: Liam O’Murchu, della Symantec, ha detto alla BBC che “il fatto che vediamo così tante infezioni in più in Iran che in qualunque altro paese del mondo ci fa pensare che questa minaccia informatica era mirata all’Iran e che c’era qualcosa in Iran che aveva un valore molto, molto alto per chiunque l’abbia scritta”. È abbastanza evidente che se un virus del genere prende il controllo di un sistema industriale, può farne saltare le sicurezze, aprendone le valvole, spegnendone gli apparati di raffreddamento o facendolo girare troppo velocemente, per esempio. Il risultato non è un crash di un PC: è un kaboom di una fabbrica, di un oleodotto, di un impianto chimico o di una centrale elettrica.

Il ricercatore di sicurezza informatica tedesco Ralph Langner ha pubblicato un’analisi dettagliata di Stuxnet che descrive Stuxnet come un attacco di sabotaggio diretto, “un’arma usabile una sola volta”, e mirato a un sistema di controllo industriale molto specifico, che ha richiesto grandi risorse economiche e ampie conoscenze dall’interno (in altre parole, spionaggio) da parte di qualcuno che sa che verrà identificato ma sa anche di poter agire con impunità.

Langner ipotizza inoltre che il bersaglio specifico sia (o sia stato) il reattore nucleare iraniano di Bushehr, citando come indizio supplementare una fotografia (mostrata qui accanto) di una schermata del sistema di controllo del reattore che visualizza una finestra di avviso di licenza scaduta. Se è autentica, c’è di che rabbrividire all’idea di far girare un reattore nucleare usando software pirata, con o senza Stuxnet in mezzo ai piedi. Un altro possibile indizio è che l’avvio della centrale di Bushehr, previsto per agosto, è stato misteriosamente rinviato, ufficialmente per l’eccessiva calura estiva. Ma Bruce Schneier obietta che le prove concrete a supporto di questa parte della tesi di Langner sono per ora scarse.

Siemens, da parte sua, ha chiarito alla BBC che non ha alcun legame con l’Iran o con la fornitura di impianti per la centrale di Bushehr o di altri apparati nucleari iraniani, e che nessuno dei casi documentati d’infezione di sistemi industriali da parte di Stuxnet (a suo dire solo quindici, principalmente in Germania) ha causato problemi di produzione o controllo. La cosa non sorprende, perché una caratteristica di Stuxnet è che prima di agire distruttivamente verifica che il sistema che lo ospita sia proprio quello desiderato dai suoi creatori, altrimenti non fa nulla. Altre fonti parlano di circa 45.000 sistemi infetti in giro per il mondo.

Sia come sia, Stuxnet rappresenta il primo caso pubblicamente noto di un virus informatico utilizzato a scopi militari per un attacco distruttivo nel mondo reale (o forse il secondo, se la storia del Dossier Farewell e dell’esplosione dell’oleodotto siberiano nel 1982 è vera). Il vero problema è che le sue tecnologie verranno rese pubbliche e quindi saranno presto a disposizione di stati (o di organizzazioni criminali) anche meno sofisticati di quelli che l’hanno creato. Quand’anche l’ipotesi di attacco informatico alla centrale nucleare iraniana dovesse rivelarsi soltanto una fantasia alla Tom Clancy, rimane il fatto che Stuxnet ha dimostrato che i sistemi industriali vitali sono troppo vulnerabili. Meglio cogliere l’occasione per riflettere seriamente sulle politiche aziendali di sicurezza riguardanti questi sistemi.

Aggiornamento 2010/09/26

La BBC scrive che secondo l’agenzia iraniana ufficiale IRNA, Stuxnet ha infettato i personal computer del personale presso la centrale nucleare di Bushehr, ma il sistema operativo della centrale non è stato danneggiato. Secondo Mahmoud Liay, responsabile del consiglio per l’informatica del ministero dell’industria iraniano, “è stata lanciata una guerra elettronica contro l’Iran” e gli indirizzi IP infetti in Iran sarebbero circa 30.000.

Aggiornamento 2010/09/30

L’analisi di Stuxnet rivela vari indizi interessanti: un riferimento biblico che secondo alcuni potrebbe indicare Israele come artefice del super-virus oppure essere stato messo da qualcun altro per incastrare Israele. C’è chi invece teorizza che l’attacco informatico sia opera del Pentagono con il supporto della Germania. Alla fine Stuxnet diventa un’arma psicologica: oltre a danneggiare gli impianti, crea paranoia. E la paranoia è assai più distruttiva di qualunque attacco convenzionale.

Un ricercatore di Symantec ha inoltre scoperto che Stuxnet è in grado di reinfettare un PC dopo che il PC è stato ripulito con un antivirus. Si nasconde nei file utilizzati per configurare i sistemi Siemens che sono il suo vero bersaglio.

Aggiornamento 2010/10/05

Cnet ha pubblicato un’ottima sintesi dello stato attuale delle conoscenze pubbliche su Stuxnet, fra miti e realtà.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
20 anni fa esplodeva il virus/worm Iloveyou

20 anni fa esplodeva il virus/worm Iloveyou

Rispetto al malware ultrasofisticato di oggi, l’attacco informatico di Iloveyou che fece disastri vent’anni fa fa quasi sorridere per la sua semplicità.

Il 4 maggio 2000 le caselle di mail di mezzo mondo furono invase e intasate da un fiume di mail che avevano un titolo molto semplice: le tre parole inglesi I love you, senza spazi.

Il testo della mail era una sola riga: kindly check the attached LOVELETTER coming from me, ossia un invito ad esaminare l’allegata lettera d’amore. Una tentazione irresistibile, anche perché la mail sembrava spesso provenire da un collega d’ufficio.

La “lettera d’amore” allegata sembrava avere l’estensione txt che indica un file di testo, ma grazie a una delle scelte più stupide della storia dell’informatica, quella di nascondere le estensioni per default in Microsoft Windows, gli utenti non potevano vedere che la reale estensione dell’allegato era vbs: era insomma uno script in Visual Basic camuffato.

Lo script approfittava di un altro errore monumentale di Microsoft Outlook: eseguiva automaticamente gli script se l’utente vi cliccava su (con un doppio click), dando quindi pieno controllo del computer allo script, che mandava una copia di se stesso a tutti gli indirizzi presenti nella rubrica.

Il risultato fu un’ondata virale di messaggi che nel giro di poche ore causarono confusioni e congestioni a non finire, anche perché il virus informatico non si limitava ad autoreplicarsi massicciamente (agendo quindi più propriamente come un worm): rinominava e cancellava anche molti dei file presenti sui dischi rigidi delle vittime oltre a collezionare password.

Il settore finanziario di Hong Kong, il parlamento danese, la Ford e Microsoft stessa furono paralizzate dall’enorme traffico di mail, e lo stesso accadde a quasi tutte le principali basi militari degli Stati Uniti.

Gli informatici crearono rapidamente un antidoto, e il creatore del virus informatico fu rintracciato quattro giorni dopo: era Onel de Guzman, uno studente dell’AMA Computer College a Manila, nelle Filippine. Le prove erano schiaccianti, ma all’epoca le leggi del paese non includevano i reati informatici e quindi l’autore di Iloveyou non era punibile perché non aveva commesso alcun reato. Subito dopo furono introdotte anche nelle Filippine leggi sul computer crime, che ovviamente non potevano essere retroattive.

Fonti: CNN, Sophos, Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.