Home > Primo Piano > industria e società



Questo è un virus bello e buono...

Una "mostra" di virus informatici nell'ambito di un incontro internazionale dedicato alla cultura della rete è lo spunto per ripercorre le tappe di una lotta tra hacker e produttori di antivirus

di Ilaria Roncaglia - IDG world.it
25/05/2001

"virii virus viren viry", e il virus informatico fa bella mostra di sé. Dal sottotitolo "della bellezza del codice sorgente", la prima esposizione di virus mai realizzata fuori o dentro la rete ha fatto la sua comparsa a Bologna nell'ambito di digital_is_not_analog.01, un incontro internazionale dedicato alla net culture e giunto alla sua seconda edizione.
L'iniziativa sui virus è stata ideata e prodotta da un gruppo di artisti e programmatori che rispondono al nome di epidemiC, la cui tesi, confortata dalla competenza linguistica e informatica di alcuni protagonisti del web italiano, è che la scrittura del codice sorgente, ossia di quel testo che dispone e programma la esecutività di un virus, sia da considerare come un prodotto estetico.
E allora, ecco declamato in versi il codice sorgente di uno dei più noti worm della storia, LoveLetter, il primo a mostrare tutte le potenzialità della replicazione attraverso i programmi di posta elettronica evidenziando, da una parte, i limiti della rete, e dall'altra mettendone in risalto l'esistenza in sé e per sé, se si sposa la tesi di Gaetano La Rosa, del gruppo epidemiC, secondo cui "solo grazie al virus la rete riesce a emergere non solo come una sommatoria di una serie di rapporti one to one".
Ed ecco, sullo sfondo della sala dove si tiene il "reading", un pc collegato a una stampante che sforna incessantemente codici sorgente di virus: per infettare un programma occorre un altro programma, che deve essere scritto. Una volta scritto, è indubbio che il codice sorgente non possa sfuggire sfugga alle leggi che governano la scrittura, e assuma la forma di testo. E allora, perché non leggerlo, in modo da trasformarlo in comunicazione, parola nel senso più vasto e assoluto del termine. In nome del poliformismo, caratteristica di alcuni virus molto cara ai gruppi di hacker, che questa volta però non si attua solo tecnicamente, e in rete, ma raggiunge il mondo reale.
Ma queste e altre possibili considerazioni sono marginali e lasciate a eventuali fruitori dell'opera in vena di fare speculazioni, perché epidemiC, si legge nella presentazione in una sorta di manifesto del gruppo, non è web art, né un prodotto della "computer scene", e nemmeno un atteggiamento politico o un esercizio teoretico. E non ha nulla a che fare con le parole chiave tanto care all'altro mondo, quello dominato dalle logiche commerciali: high tech, multimediale, interattivo, trendy…

"Compendio" di storia del virus (1986-2000) tratto dalla ricostruzione di Nicola Del Vacchio - epidemiC

1986
Basit e Amjad si accorgono che il settore d'avvio di un floppy disk contiene un codice eseguibile dai calcolatori, che si attiva quando si avvia il computer con un disco nel drive A:. Quindi si rendono conto che questo codice può essere cambiato con un loro programma, che può, per esempio, essere residente in memoria (TSR) e quindi copiarsi in ogni floppy che si inserisce nel computer. Il programma copiato sugli altri dischi venne chiamato virus, ma funzionava solo su floppy da 360kb.
1987
Si assiste al lancio di numerosi virus, tra cui Leigh, che ebbe però poco successo, perché infettava solo il command.com (l'interprete dei comandi DOS) e rivelava la sua presenza dopo quattro replicazioni. Nasce in quell'anno anche il primo virus di origine israeliana, Suriv-01, il primo in grado di infettare file di tipo COM, con la differenza, rispetto ai suoi predecessori, di infettare tutti i file COM del sistema. Questo virus viene subito seguito da una sua variante, Suriv-02, conosciuto come il primo virus capace di infettare i file EXE. Infine Suriv-03 infettava sia i file COM che i file EXE, raggiungendo un'"eleganza" ed un'infettività mai viste prima. Sempre nello stesso anno viene scritto Jerusalem, un virus che si attiva ogni venerdì 13 dell'anno, e che non infetta ma cancella i file che vengono creati in quello stesso giorno.
Nel frattempo in Nuova Zelanda nasceva il virus Stone, virus curioso che ogni otto avvii da dischetto infetto lanciava la scritta "Your Pc is Stoned" (il tuo pc è "fatto", nel senso psicotropico del termine. ndr). In Italia intanto veniva scritto un nuovo virus da boot sector; il suo effetto consisteva nel far rimbalzare una palla per tutto lo schermo. Questo virus è conosciuto come Italian, Pingpong o Bouncing ball.
Uno sconosciuto programmatore tedesco produce Cascade, così chiamato perché faceva cadere le lettere dallo schermo durante una normale sessione di lavoro. Questo virus, oltre che conosciutissimo e diffusissimo, viene qui ricordato perché è il primo a contenere il codice crittografato, con una piccola porzione di codice per eseguire la decrittografia. Il risultato è un virus difficilissimo da scovare perché lascia solo un paio di dozzine di byte come impronta, validi come pattern per il riconoscimento da un antivirus. L'idea è poi stata ripresa da Mark Washburn quando scrisse il primo virus polimorfico: il 1260 o Chamaleon virus, il cui comportamento riprende il Vienna di Burger.
Di questi primi virus solo Cascade e Jerusalem sono oggi ancora attivi.
1988
Compaiono i primi antivirus commerciali e le prime aziende focalizzate nella lotta ai virus. In questi primi anni non hanno tuttavia grande successo, nessuno è infatti disposto a pagare per un antivirus, e di conseguenza non solo i virus possono continuare a infettare, ma alcune aziende produttrici di antivirus falliscono.
1989
Il primo venerdì 13 cade di gennaio (vedi Jerusalem), ma viene ricordato come l'anno dei virus: in Inghilterra vengono rilasciati il Fu-Manciu e il 405, quindi viene scoperto il virus Datacrime, scritto dall'olandese Fed Vogel, che distruggeva l'intero hard disk (con i dati all'interno) in un qualsiasi giorno successivo al 12 ottobre. Il Datacrime è fino a quel momento il virus di gran lunga più distruttivo.
Lo stesso anno IBM lancia il suo primo antivirus commerciale.
1990
Le tecnologie di crittografia e polimorfismo del codice sono ormai ben conosciute.
Il virus bulgaro Dark Avenger introduce un nuovo meccanismo: quando viene introdotto il virus, questi infetta non solo i nuovi file, ma anche tutti i file aperti in lettura, producendo una più veloce infezione dell'hard disk. Questa teconologia viene chiamata "Fast Infector".
Altri virus simili sono il Number of the beast e il Nomenklatura.
Alla fine dell'anno ad Amburgo si costituisce l'"European Anti-Virus Research" (EICAR), l'istituto di riferimento tecnologico per la lotta ai virus.
1991
Si inaspriscono i termini della "lotta", i 300 virus conosciuti nel 1989 diventano più di 1000.
Imperano i virus polimorfici, basati sul prototipo di Vienna, anche se il Tequila, un virus svizzero, risulta di gran lunga il più diffuso insieme al Maltese Amoebae.
La lotta ai virus costringe gli scrittori a essere ancora più raffinati, la tecnica del checksum sui file rivela infatti il cambiamento di dimensione del file quando viene infettato, ma Starship lo elude infettando i file solo quando vengono copiati da un disco a un altro.
1992
È l'anno di Michelangelo, attivatosi il 6 marzo, che si diffonde immediatamente in tutto il mondo, causando la più grande infezione fino ad allora conosciuta. Solo un'informazione a tappeto dei media, che consigliarono di spegnere tutti i PCin quella giornata, limitò i danni.
Nascono anche i primi fenomeni di collezionismo e valutazione dei virus. John Buchanan, per esempio, offre la sua collezione di qualche migliaia di file per 100 dollari, mentre in Europa la Virus Clinic Unit vende "prodotti" che costano dai 25 dollari in su.
1993
Xtree, una tra le più grosse case di antivirus, fallisce e contemporaneamente in Olanda nasce il gruppo Trident, il cui esponente più creativo, Masud Khafir, scrive un sistema innovativo di polimorfismo dei virus su Trident Polimorphic Engine (TPE), da cui si genera il virus Girafe, virus di difficilissima tracciatura da parte dei comuni antivirus.
Khafir è anche autore del virus Cruncher, ad altissimo potere infettivo e compresso; e contemporaneamente Nowhere Man rilascia il Nuke Encryption Device con il quale scrive Itshard.
Anche sul fronte degli antivirus si comincia a fare sul serio. Viene rilasciato il GDE, ovvero il Generic Decryption Device, che esegue la decrittografia di file sospetti, rendendo più facile la scoperta di virus polimorfici e mutanti crittografati.
1994
Si stima che siano stati rilasciati almeno 2mila nuovi virus, che portano alla fine di questo stesso anno il numero totale di virus a circa 6mila. In ogni parte del mondo gruppi o singoli si cimentano nella scrittura di codici cercando di superarsi a vicenda per abilità, stile e infettività. Tra questi, merita una menzione particolare l'inglese SMEG.Pathgen, scritto da Christopher Pile (il "barone nero"), il quale infettò un antivirus non ancora in grado di riconoscere il suo prodotto e lo mise in una BBS a disposizione per il pubblico ignaro. Questa azione gli valse una condanna a 18 mesi di reclusione.
1995
In febbraio Microsoft distribuisce il virus Form nei floppy della beta release del sistema operativo Windows 95, il fatto non è particolarmente dannoso in sé, ma rispecchia la sottovalutazione del fenomeno da parte dell'azienda che produce il sistema operativo da quel momento in poi preferito dagli scrittori.
I crescenti investimenti e sovvenzioni per la lotta ai virus portano allo sviluppo e alla commercializzazione delle prime forme di rilevamento di virus dette "euristiche". Inizia una trasformazione radicale del fronte della scrittura dei virus.
Mentre il focus degli antivirus è ancora il codice Assembly e il vettore sotto stretta osservazione è ancora il floppy disk VM.Concept, in agosto fa il proprio debutto il primo Macrovirus della storia.
Le novità di VM.Concept sono varie: prima di tutto non si basa più sulle specificità della piattaforma DOS, ma sposta il proprio campo d'azione sul linguaggio VBA (Visual Basic for Application) più semplice dell'assembly e soprattutto multipiattaforma, ovvero il codice dei virus è insito nell'ormai diffuso linguaggio di programmazione di prodotti di videoscrittura e calcolo di Microsoft e il suo funzionamento è quindi allargato a tutti i sistemi che ne fanno uso. Inoltre il vettore preferito risulta essere un "innocuo" file trasferito via internet. Nello stesso anno XM.Laroux viene ritrovato in file Excel e viene anche battuta la pista di prodotti alternativi a MS con Green Stripe, che attacca i sistemi muniti di Ami Pro.
1996
Fanno la loro comparsa i primi virus per Windows 3 e Windows 95, il Win95.Boza contiene il manifesto di questo cambiamento:
The taste of fame just got tastier! VLAD Australia does it again with the world's first Win95 Virus From the old school to the new Metabolis Qark Darkman Automag Antigen RhinceWind Quantum Absolute Overlord CoKe
La prima infezione di sistemi Windows è tuttavia ascrivibile al virus Win.Tentacle nel marzo di quest'anno in Francia. Compare anche il primo virus specifico per OS2, il OS2.AEP, ma vista la rarità di questo sistema il virus non solleva molto clamore.
1997
Linux.Bliss compare in febbraio. Anche Linux, il clone Unix più diffuso del mondo, vede quindi la sua prima diffusione di virus, anche se al suo interno vi è scritto che è stato compilato il 28 settembre 1996.
Sharefun è il nome di un virus veramente innovativo: si diffonde nel mese di marzo ed è il primo macrovirus per Word che si autoinvia per posta (MSMail). Da questa idea nasceranno i virus attualmente più noti. Alla fine dell'anno il numero dei virus prodotti e riconosciuti supera ampiamente le 16.000 unità.
Chen Ing-Hau è lo scrittore di CIH, conosciuto anche come Chernobyl, uno dei virus più deflagranti della storia. La sua scrittura prevede l'infezione dei file e la distruzione del codice BIOS delle schede madri riprogrammabili; distribuito (inconsapevolmente) insieme a diversi CD di shareware e da web sites, il giorno della sua attivazione, che è stata (intelligentemente) programmata per l'anno successivo, il 26 aprile 1998, causa in tutto il mondo più di mezzo milione di distruzioni di sistemi. L'olocausto di macchine è rimasto non solo nella storia dei virus. Il suo autore è stato assunto da una famosa multinazionale di TaiPei.
1998
Il marzo escono nel "wild" Win95.HPS e Win95.Marburg. Sono i primi virus polimorfici per Windows che seguono la medesima evoluzione stilistica adottata per i virus DOS. Anche in questo caso l'arrivo tecnologico è firmato con orgoglio dal produttore: "Hantavirus Pulmonary Syndrome (HPS) Virus BioCoded by GriYo / 29A" e "[ Marburg ViRuS BioCoded by GriYo/29A ]".
In novembre nascono anche gli script virus: Rabbit è il loro capostipite e contiene questa firma: "VBSv Version 1.0 by Lord Natas/CodeBreakers First Windows Scripting Virus". Benché Rabbit non sia molto diffuso ha dato il via alla generazione di virus oggi più diffusi. Il virus prende un sapore di rete, si diffonde in rete, via e-mail o nelle pagine html come, per esempio, HTML.internal.
David L. Smith è l'autore del celeberrimo Melissa un macrovirus di Word97 che si diffonde via e-mail e ha avuto un tale successo che colossi tecnologici come Microsoft, Lucent, Lockeed e migliaia di altre aziende hanno dovuto fermare i loro sistemi di posta per molto tempo a causa dell'incredibile numero di mail generate dall'infezione.
1999
L'affrancamento degli internet virus inizia in novembre con il virus/worm BubbleBoy. Questo virus si diffonde attraverso la lettura di una e-mail da un utente Microsoft Outlook, per cui è sufficiente aprire la mail (che non ha contenuti allegati come il futuro LoveLetter), per eseguire il codice, la conseguente infezione e la sua diffusione a tutti gli amici, parenti ed altri nomi registrati nel programma. Questo virus era solo a scopo dimostrativo (come Virdem e WM.Concept del resto).
2000
In febbraio Onel de Guzman rilascia per primo LoveLetter, il virus che si stima abbia colpito 3,7 milioni di computer nel mondo. Il governo delle Filippine al momento non aveva nessuna legislazione sui crimini informatici (introdotta solo nel giugno dello stesso anno) per cui Guzman ora è solo un libero uomo d'affari. Tutto il resto è cronaca.

Versione stampabile

© Tutti i diritti riservati - IDG Communications Italia

Powered with Lotus Domino by GD Informatica