Esistono laboratori (come gli imponenti DVLabs di 3Com) il cui principale compito è individuare, preventivamente, le debolezze dei sistemi, al fine di riparare eventuali falle prima che qualcun altro possa sfruttarle per fini illeciti.
Ma che succede quando ci si imbatte in qualcosa di così grave da non poter essere corretto con la solita patch o un update degli antivirus?
È questo il caso di una ricerca molto particolare, finora rimasta (non a caso) riservata solo ad un ristrettissimo gruppo di ricercatori che, imbavagliati dai soliti accordi di riservatezza legati alla brevettabilità del software, non sono autorizzati a sottoporre alla comunità informatica un problema per il quale non hanno ancora trovato la relativa soluzione.
La falla scoperta è talmente grave da poter partorire, da sola, un'intera nuova generazione di malware, in grado di rendere, in teoria, clamorosamente e irreversibilmente obsoleti tutti gli odierni sistemi di difesa. Il motivo di una così allarmante conclusione, risiede nel fatto che questo nuovo malware non sfrutterebbe l'ennesimo bug in qualche prodotto Microsoft, bensì passerebbe attraverso un'enorme, anche se molto ben nascosta, falla di tipo logico-architetturale.
Per fare un esempio tangibile (e nient'affatto casuale, come vedremo) di "falla architetturale", l'odiatissimo fenomeno spam rappresenta un semplice, ma inarrestabile abuso dell'insicurezza intrinseca dell'architettura SMTP.
Se la realtà evolverà proprio verso lo scenario che stiamo ora, per primi, rivelando, nel disastro che ci si prospetta lo spam sarà divenuto ormai solo un piacevole ricordo.
I virus informatici si comportano esattamente come gli omologhi "biologici", e per questo gli antivirus "rispondono" come sistemi immunitari naturali: impediscono la "penetrazione" (ricezione o installazione) del malware o procedono alla sua eliminazione quando tardivamente individuato.
Questi basilari meccanismi di difesa risultano efficaci in quanto, fino ad oggi, è valso il semplicissimo principio secondo il quale, in natura come in informatica, un sistema può essere danneggiato da un virus solo quando ne è infetto. In altre parole, "un sistema senza virus è un sistema senza problemi".
Vero, finora. In informatica le cose stanno un po' diversamente che in natura: ad esempio, quando un sistema infetto è sfruttato come trampolino dagli spammers, si concretizza un'eccezionale peculiarità propria dei virus informatici: poter danneggiare anche gli "individui" sani. È questo il fulcro di un'enorme leva che nessun virus-writer, finora, ha mai pensato di manovrare: causando più danni ai sistemi sani invece che a quelli infetti, si può infatti stravolgere completamente lo scenario "virus vs sistema immunitario", adottando una strategia inesistente in natura, ma estremamente diffusa, per la sua devastante efficacia, nelle società umane: il ricatto.
Ma procediamo con ordine: il "ricattatore" necessita, ovviamente, di un'arma. E la migliore (o la peggiore, a seconda dei punti di vista) a disposizione nel cyberspazio è senz'altro il mailbombing, cioè il semplice invio di un elevatissimo numero di messaggi senza alcun altro scopo che intasare la casella di posta della vittima. È già molto complicato, anche per un utente esperto, tentare di arginare il "normale" spam, ma cercare di difendersi da messaggi totalmente casuali è praticamente impossibile, soprattutto se il mailbombing è effettuato da fonti multiple. Si tratta, quindi, di un'arma contro la quale non vi è alcuna vera difesa.
Ora che abbiamo l'arma in grado di colpire, con grande precisione ed efficacia, i sistemi sani dall'esterno, passiamo all'individuazione della vittima, che è ovviamente il "proprietario" del sistema da attaccare, cioè l'intestatario della email sottoposta a bombardamento. Al virus basta fare in modo che l'utente, colpito nell'uso di un'applicazione fondamentale, divenga, suo malgrado, "alleato" del virus stesso, cioè acconsenta volontariamente alla "penetrazione" di tutti i propri sistemi di difesa (comunque inutili contro il mailbombing).
Per "convincere" l'utente, il virus offrirà, in cambio della volontaria auto-infezione, la sospensione dei "bombardamenti", cioè la fine del mailbombing e la possibilità, quindi, di poter tornare ad utilizzare normalmente la propria email. In altre parole, il virus "punirà" i sistemi sani mentre "premierà" quelli infetti, e otterrà questo ambizioso risultato in modo molto semplice: gli basterà infatti fare in modo che i sistemi infetti "bombardino" solo i sistemi sani. Un perenne assedio globale automatizzato.
Ecco come, in estrema sintesi, il semplice schema comportamentale di questa nuova generazione di virus può teoricamente attuare un così innovativo piano di contagio:
- Il virus invia copie di sé stesso a tutti gli indirizzi email che riesce a reperire sulla macchina ospite (come un qualsiasi worm odierno) criptando l'indirizzo del mittente.
- Genera anche un numero N di messaggi totalmente privi di senso verso tutti quegli stessi indirizzi; in pratica opera un mailbombing generalizzato.
- Monitora anche i messaggi in entrata (operazione molto semplice, grazie ai numerosissimi client "MAPI compatibili") ed è quindi in grado di verificare se qualcuno si è infettato (cioè gli ha spedito a propria volta il virus stesso); nel caso, elimina automaticamente i messaggi contenenti sé stesso e memorizza l'indirizzo (dopo averlo decrittato) di chi è infetto.
- Ripete quanto fatto ai punti 1 e 2, ma aumentando il numero di messaggi casuali (ad esempio, Nx2) e salvando da questo bombardamento crescente coloro che sono infetti, memorizzati al punto 3.
Come si può immaginare, è sufficiente anche una sola macchina infetta per generare migliaia di messaggi casuali, ma, ipotizzando che le macchine compromesse diventino più numerose (a mano a mano che gli utenti cedono al "ricatto" e si installano il virus per tornare a poter utilizzare la propria email) per chi resta "sano", la situazione non può che degenerare in un incubo senza fine. Un utente che non cedesse al "ricatto" si troverebbe ben presto sommerso da messaggi senza senso, e non potrebbe farci proprio nulla, se non decidere di cambiare indirizzo: cosa non sempre possibile e certamente antipatica, oltre che poco utile, dato che anche il nuovo indirizzo non rimarrebbe a lungo un "segreto".
In una situazione del genere, i vari sistemi antivirus e antispam potrebbero solo riuscire a limitare la propagazione del virus, ma nulla potrebbero contro il mailbombing: si tratterebbe, infatti, di messaggi totalmente indistinguibili da quelli legittimi, generati in modo del tutto casuale e provenienti da fonti multiple. In pratica, non avrebbero alcuna di quelle "caratteristiche comuni" ricercate dagli odierni filtri antispam nel tentativo di identificare le email indesiderate.
Non essendo possibile in alcun modo difendersi dal mailbombing, un odierno antivirus risulterebbe addirittura dannoso, se considerato dal punto di vista di un utente che preferirebbe continuare a usare l'email, anche se al "costo" di installarsi un virus. Soprattutto se questo virus (come farebbe il miglior parassita biologico) non producesse eccessivi "danni collaterali" al suo accogliente ospite.
Insomma, chi vorrà continuare ad usare l'email, sarà praticamente costretto ad infettarsi volontariamente. Trasformandosi così da vittima in carnefice. Mentre chi non avrà la possibilità di infettarsi ("grazie" al suo antivirus o al suo amministratore di rete o al suo sistema operativo "particolare" o al fatto che usa una webmail) sarà condannato a restare sempre e solo una vittima.
Come per lo spam, la responsabilità di tutto ciò ricadrebbe sulla debolezza del protocollo SMTP, ed è probabile che, quando questa nuova generazione di virus vedrà la luce (e non ci metterà molto, vistane la semplicità) sarà probabilmente necessario rivedere l'intera architettura email, risolvendo (forse) anche l'analogo problema dello spam.
Purtroppo, la ricerca non si conclude in modo così ottimistico: l'unica conseguenza certa sarà infatti lo scatenarsi di enormi conflitti di interesse tra utenti (infettabili o meno) come pure tra ISP (più o meno propensi a limitare la libertà dei propri clienti per tentare, inutilmente, di arginare il fenomeno). Di sicuro, l'impatto più violento (almeno nell'immediato) si abbatterà su tutti i servizi di web mail e mobile email, ovviamente. Considerando poi il giro d'affari che vi ruota attorno (che vede coinvolte diverse società quotate) si potrebbero verificare anche interessanti ripercussioni sui mercati azionari.
Ma la vera "peggiore delle ipotesi" sarebbe il verosimile collasso dell'intero sistema DNS, dato che il traffico email (che vi è pesantemente legato) potrebbe realmente incrementarsi in modo esponenziale. E in questo caso i danni non sarebbero nemmeno calcolabili
Indipendentemente dai preoccupanti sviluppi di questo nuovo fronte, l'unica cosa certa è che, in un futuro non lontano, dovremo aspettarci dei grossi problemi. Ma almeno uno tra questi (e cioè il quello di dare un nome a questi nuovi virus) sarà da subito risolto grazie ad una curiosa ironia del destino. In inglese, infatti, "ricattatore" si traduce "BlackMailer".
