Sei un zombie?

Guardando l’ennesimo tentativo di attacco virale via mail (si spera fermato dall’antivirus) o diretto a una porta del computer (e bloccato dal firewall), oppure trovandosi con la macchina bloccata e impestata fino ai capelli, molti di voi si saranno chiesti “ma perché? chi ci guadagna in tutto questo giro di virus?”

Questa, fra l’altro, è una delle domande che mi sento rivolgere con maggiore frequenza quando parlo di sistemi operativi e sicurezza nelle aule di formazione. In effetti, mentre tutti (o quasi) capiscono chiaramente dove stia il lucro nel vendere i numeri del lotto, è difficile per l’utente medio avere la percezione dei vantaggi che derivano dallo spargimento di virus.
Il fatto è che i virus attuali non sono più distruttivi come quelli di un tempo. L’epoca delle ca…te goliardiche è passata e la nuova logica è quella del profitto e della produttività. Come nella biosfera, il virus che uccide l’ospite può anche provocare una pandemia, ma è un fallimento perché nel contempo si suicida. Quello che, invece, non provoca particolari problemi all’ospite o magari riesce anche a cambiarlo un po’ in modo da costruire un ecosistema più favorevole alla propria specie è un successo.
Ma allora, cosa fanno i virus attuali? Molto semplice: il principale fine di un virus ben fatto è quello di trasformare il vostro computer in un zombie.
Dicesi zombie una macchina che, all’insaputa del proprietario

  • esegue un compito ben determinato (per esempio, invia una mail di spam a tutti gli indirizzi della rubrica), ma, ancora meglio
  • quando l’utente è collegato a internet, invia il suo indirizzo ip a un determinato sito o mailbox e apre una backdoor (porta di servizio) consentendone il controllo da remoto.

Soprattutto questo secondo caso è premiante perché consente al produttore del virus di usare tranquillamente il vostro computer da chissà dove per piccole attività tali da non rallentarlo in modo sensibile e ovviamente da non bloccarlo, altrimenti, prima o poi, voi ve ne accorgete e magari anche senza sapere il perché dei rallentamenti, reinstallate windows.
Il problema è che queste attività possono essere piccole, ma generalmente sono illegali e nei log del destinatario della spam o del sistema a cui è diretto l’attacco resta il vostro numero di ip.
Il secondo punto è che lo scopo dell’untore è di controllare un gran numero di macchine per farle lavorare tutte insieme. Una tale concentrazione di zombie è detta ‘botnet’ (rete di robot) e può essere usata, per esempio

  • per diffondere lo stesso messaggio di pubblicità non richiesta a 10.000.000 di utenti nel giro di qualche minuto;
  • per scatenare un attacco DDoS (Distributed Denial of Services) mandando milioni di richieste di pagina per secondo a un certo server e intasarlo al punto da impedirgli di rispondere agli utenti legittimi;
  • per diffondere materiale illegale di vario tipo;
  • per decodificare un file di password (rubato a qualche sistema) mediante tentativi casuali: un solo computer impiegherebbe un anno, ma 100.000 computers possono farcela in meno di 10 minuti;
  • infine, per una attività non necessariamente legata al controllo di una botnet, ma remunerativa soprattutto quando riesce molte volte: salvare in un file tutto ciò che digitate sulla tastiera mentre siete collegati (comprese le password del vostro account bancario) e inviarlo a un certo indirizzo.

Ovviamente, tutto questo a pagamento. L’ultimo arrestato per aver organizzato una siffatta rete (il botmaster) gestiva più di 500.000 zombie sparsi per tutto il mondo, per cui almeno 100.000 erano accesi contemporaneamente e aveva guadagnato più di $100.000 in un anno di ‘noleggio’ della propria botnet. Magari li fatturava anche. Consulenza di marketing.
Il bello è che il sistema per difendersi è piuttosto semplice: installare un buon sistema antivirus + firewall (ce ne sono anche di gratuiti) e tenerlo aggiornato, oppure usare Linux.