Sull'Articolo -
Virus, Trojan e Sicurezza Informatica di Giovanni Ceglia - giovanniceglia@xungame.com (é stato visto 11360 volte) |
Molto spesso si sente parlare di Virus, ma molto spesso ancora non si sa o comunque si ha una perfetta ignoranza sull'argomento, generando il più delle volte paure e timori spesso infondati e che solitamente sfociano in reazioni, che sono nella maggioranza dei casi dettate dalla paura dell'ignoto. Queste reazioni fanno nascere le così dette leggende metropolitane, le quali possono diventare vere e proprie armi e bombe informatiche, nelle mani dei loro fautori, capaci di generare danni per miliardi e miliardi di Dollari.
Queste leggende che spesso creano "quei coccodrilli" che vivono nelle fogne, oppure il "Bigfoot" che campeggia nel giardino del vicino di casa, sono le cause degli enormi disagi che spesso si verificano a causa di allarmi infondati. Un esempio eclatante sono quei mail messagges così detti "S. Antonio mail" che hanno il solo scopo di generare un traffico di mail massiccio, che provoca di conseguenza solo un mucchio di fastidi per la posta reale quella fisica, ed enormi disagi per la posta elettronica.
Queste così dette catene di "S. Antonio." spesso si originano proprio con messaggi intimidadori, che avvertono dell'uscita di nuovi e chissà quando temibili virus, capaci delle azioni più eclatanti, quali la distruzione di periferiche oppure memorie quali la Ram, microprocessori e così via, gettando nel panico gli utenti che le ricevono, e che a loro volta in buona fede contribuiscono a generare e a fare moltiplicare la catena.
Verosimilmente nei casi delle catene di S. Antonio, molto spesso il vero virus non è quindi quello descritto nel messaggio della catena, ma è la catena stessa, che si sviluppa ed autoriproduce, fino a quando riuscirà a trovare, qualche utente ignaro che gli darà vita.
A questi virus, come la catena di S. Antonio, molto semplici da realizzare e molto banali, se ne aggiungono altri tipi molto più sofisticati a livello tecnico e che sono quelli che vengono indicati propriamente col termine di virus informatici.
La tipologia di questi virus è veramente svariata, da quando il software e l'informatica ha aperto sempre di più nuove frontiere ed ha messo a disposizione nuovi mezzi per operare.
Inizialmente infatti i virus informatici, sono nati come programmi capaci di autogenerarsi infettando altri programmi, mentre oggi non esistono più solo sotto forma di programmi, ma spesso sono oggetti di programmi stessi, che a causa di bugs oppure di potenzialità molto elevate permettono la diffusione di questi nuovi virus.
Oggi i tipi di virus sono veramente tanti, esistono i "mail virus" che vengono anche chiamati "worms", esistono poi i così detti "macro virus", i "trojan virus", poi esistono i "virus della vecchia generazione" e tutta una serie di virus che sono talmente vari da non poter essere facilmente ricordabili e classificabili.
Voglio tuttavia precisare prima di continuare, che un virus per essere tale deve essere caratterizzato dalla proprietà della autoriproduzione, poichè la nomenclatura virus deriva dalla biologia e si riferisce appunto ai microrganismi viventi molto elementari, che si riproducono sfruttando altri microrganismi più sviluppati e complessi. Da quest'ultima considerazione si deduce, che un virus informatico, è un software solitamente molto semplice ( ma tecnicamente molto complesso! ) che deve compiere almeno una funzione, che è quella della riproduzione e che consiste per quando riguarda il virus informatico, nello sfruttare software più complessi, per la sua stessa sopravvivenza e riproduzione.
Ci sono quindi da sfatare tre miti, che sono il mito del programma che distrugge tutto e che spesso viene chiamato "virus" ma che invece non ha niente a che vedere coi virus o meglio non è sostanzialmente un virus, come spesso viene chiamato. Il secondo mito da sfatare è quello, che attribuisce ai virus informatici la capacità di distruggere componenti hardware, cosa questa che è alquanto improbabile! Il terzo mito, riguarda il "trojan virus", sul quale bisogna dire che non è sempre esatto affermare che "trojan" è un virus, siccome l'affermazione esatta deve essere che il "trojan" è un mezzo sfruttato da un virus qualunque per operare.
In pratica per capirci meglio un "trojan" potrebbe essere ed anzi solitamente è proprio così, un "software amichevole" che ci viene fornito gratuitamente e che fa qualcosa, ma che all'interno di se stesso contiene un virus che è pronto ad infettare e a lanciare in qualsiasi momento!
Adesso che è stato chiarito il concetto di virus, possiamo passare ad alcune considerazioni meno filosofiche e più tecniche su come funzionavano i virus vecchio modello, facendo riferimento ai virus che operavano ad esempio in ambiente MS-Dos.
Questi virus erano tali perchè erano programmi, capaci di autogenerarsi e diffondere, infettando i programmi eseguibili del DOS, cioè i files ".Com" ".Exe" ".Sys".
Il funzionamento tecnologico dei virus vecchio tipo è a livello algoritmico molto banale, tuttavia la loro creazione era spesso una sfida tecnologica e metteva in luce la capacità di alcuni coders di creare veri e propri gioiellini.
Un virus vecchio modello, doveva compiere per sofravvivere poche operazioni che erano le seguenti:
1) infettare la memoria e comportarsi come un programma TSR.
2) infettare il sistema operativo, per essere sicuro di essere
ricaricato all'avvio, o in alternativa infettare i boot sectors dei
dischi di avvio.
3) avere una politica di contaminazione dei programmi eseguibili.
4) in alcuni casi avere delle funzioni distruttive o di scherno.
5) i virus più sofisticati erano capaci di camuffarsi e far sembrare
tutto il più normale possibile, all'utente.
Tutti questi punti erano in passato facilmente realizzabili da programmatori abbastanza esperti, grazie al fatto che creare un TSR (terminate and stay resident) non era poi così complesso, così come non era complesso scrivere in alcuni programmi eseguibili come gli eseguibili .com e .exe.
Infatti questi eseguibili a quei tempi avevano una struttura chiara e semplice, ad esempio i programmi con estensione .com non sono altro che sequenze di instruzioni assembly codificate in linguaggio macchina e dati che non possono raggiungere complessivamente la dimensione di 64k, e i file .exe erano una semplice estensione dei .com proprio per superare il limite dei 64k.
A titolo di esempio potete fare la prova di creare questo semplice programma DOS .com
mov ax,13h
int 10h
nop
mov ax,03h
int 10h
Per realizzare un file .com che esegue il codice sopra che non fa niente, cioè niente di cattivo! potete creare un file con la stringa di bytes sotto riportata. Il vostro .com dovrà essere di 11byte e dovrà contenere la sequenza di bytes riportata:
184,19,0,205,16,144,184,03,0,205,16
Da questo esempio si nota la semplicissima struttura dei file .com e si intuisce quando sia semplice modificarne uno, ed è proprio quello che facevano i vecchi virus, i primi per intenderci!
Appena potevano infettare un .com, aggiungevano il loro codice in testa al file .com e poi mettevano il codice del .com in coda a se stessi, in questo modo, quando veniva avviato il .com, questi avviava prima il virus e poi eseguiva il suo codice. Stesso discorso vale per gli eseguibili di tipo .exe e .sys.
Salta subito in mente, la semplicità realizzativa dei primi virus, e si capisce il perchè quindi ebbero una diffusione molto notevole, nell'ordine di 10000 virus diversi, più le varie varianti di parecchi virus.
La difesa contro questi virus era quella di non aprire eseguibili di dubbia provenienza, controllare sempre tutti gli ingressi del sistema in uso con antivirus il più aggiornati possibili, ma tuttavia, i virus nuovi, comunque riuscivano ad infiltrarsi ed erano dolori di pancia, specialmente quando questi virus avevano codice distruttivo al loro interno. Così come si riuscivano a diffondere facilmente le nuove varianti, avevano vita facile anche i virus che usavano il sistema del "trojan", per svariati motivi. Uno di questi era che il virus nel trojan non poteva essere riconosciuto, ed altri motivi erano che era talmente difficile trovare software gratuito, che ogni software gratuito o che sembrasse tale, subiva una mostruosa diffusione.
Oggi giorno bisogna riconoscere che la maggioranza dei pericoli vengono non tanto dai veri e propri virus ma dai macro virus che usano potenzialità di alcuni software per diffondersi e fare danni.