Verme informatico - Computer worm

Dump esadecimale del worm Blaster , che mostra un messaggio lasciato al CEO di Microsoft Bill Gates dal programmatore di worm
Diffusione del worm Conficker

Un worm è un programma informatico malware autonomo che si replica per diffondersi su altri computer. Spesso utilizza una rete di computer per diffondersi, basandosi su errori di sicurezza sul computer di destinazione per accedervi. Utilizzerà questa macchina come host per scansionare e infettare altri computer. Quando questi nuovi computer invasi da worm vengono controllati, il worm continuerà a scansionare e infettare altri computer che utilizzano questi computer come host e questo comportamento continuerà. I worm informatici utilizzano metodi ricorsivi per copiarsi senza programmi host e distribuirsi in base alla legge di crescita esponenziale, controllando e infettando così sempre più computer in breve tempo. I worm quasi sempre causano almeno qualche danno alla rete, anche solo consumando larghezza di banda , mentre i virus quasi sempre corrompono o modificano i file su un computer di destinazione.

Molti worm sono progettati solo per diffondersi e non tentano di modificare i sistemi che attraversano. Tuttavia, come hanno dimostrato il worm Morris e Mydoom , anche questi worm "senza payload" possono causare gravi interruzioni aumentando il traffico di rete e altri effetti indesiderati.

Storia

Il dischetto del codice sorgente del worm Morris al Computer History Museum

Il termine vero e proprio "verme" è stato usato per la prima volta nel romanzo del 1975 di John Brunner , The Shockwave Rider . Nel romanzo, Nichlas Haflinger progetta e attiva un worm per la raccolta di dati in atto di vendetta contro i potenti che gestiscono una rete nazionale di informazioni elettroniche che induce il conformismo di massa. "Hai il verme più grande di sempre libero nella rete, e automaticamente sabota ogni tentativo di monitorarlo. Non c'è mai stato un verme con una testa così dura o una coda così lunga!"

Il primo worm informatico in assoluto è stato concepito per essere un software antivirus. Chiamato Reaper , è stato creato da Ray Tomlinson per replicarsi su ARPANET ed eliminare il programma sperimentale Creeper . Il 2 novembre 1988, Robert Tappan Morris , uno studente laureato in informatica della Cornell University , scatenò quello che divenne noto come il worm Morris , interrompendo molti computer allora su Internet, che all'epoca supponevano essere un decimo di tutti quelli collegati. Durante il processo di appello di Morris, la Corte d'Appello degli Stati Uniti ha stimato il costo per la rimozione del worm da ogni installazione tra $ 200 e $ 53.000; questo lavoro ha portato alla formazione del Centro di coordinamento del CERT e della mailing list dei fagi. Lo stesso Morris è diventato la prima persona processata e condannata ai sensi del Computer Fraud and Abuse Act del 1986 .

Caratteristiche

Indipendenza

I virus informatici generalmente richiedono un programma host. Il virus scrive il proprio codice nel programma host. Quando il programma viene eseguito, il programma antivirus scritto viene eseguito per primo, causando infezioni e danni. Un worm non ha bisogno di un programma host, poiché è un programma indipendente o un blocco di codice. Pertanto, non è limitato dal programma host , ma può essere eseguito in modo indipendente ed eseguire attivamente attacchi.

Sfrutta gli attacchi

Poiché un worm non è limitato dal programma host, i worm possono sfruttare varie vulnerabilità del sistema operativo per eseguire attacchi attivi. Ad esempio, il virus " Nimda " sfrutta le vulnerabilità per attaccare.

Complessità

Alcuni worm sono combinati con script di pagine Web e sono nascosti nelle pagine HTML utilizzando VBScript , ActiveX e altre tecnologie. Quando un utente accede a una pagina Web contenente un virus, il virus risiede automaticamente in memoria e attende di essere attivato. Ci sono anche alcuni worm che sono combinati con programmi backdoor o cavalli di Troia , come " Code Red ".

contagiosità

I vermi sono più infettivi dei virus tradizionali. Non solo infettano i computer locali, ma anche tutti i server e i client sulla rete basati sul computer locale. I worm possono diffondersi facilmente attraverso cartelle condivise , e-mail , pagine Web dannose e server con un gran numero di vulnerabilità nella rete.

Danno

Qualsiasi codice progettato per fare qualcosa di più che diffondere il worm è in genere indicato come " payload ". I tipici payload dannosi potrebbero eliminare i file su un sistema host (ad esempio, il worm ExploreZip ), crittografare i file in un attacco ransomware o esfiltrare dati come documenti riservati o password.

Alcuni worm possono installare una backdoor . Ciò consente al computer di essere controllato in remoto dall'autore del worm come uno " zombie ". Le reti di tali macchine sono spesso chiamate botnet e sono molto comunemente utilizzate per una serie di scopi dannosi, tra cui l'invio di spam o l'esecuzione di attacchi DoS .

Alcuni worm speciali attaccano i sistemi industriali in modo mirato. Stuxnet è stato trasmesso principalmente tramite LAN e chiavette USB infette, poiché i suoi obiettivi non sono mai stati collegati a reti non affidabili, come Internet. Questo virus può distruggere il software di controllo della produzione di base utilizzato dalle aziende chimiche, di produzione di energia e di trasmissione di energia in vari paesi del mondo - nel caso di Stuxnet, Iran, Indonesia e India sono stati i più colpiti - è stato utilizzato per "emettere ordini" ad altri apparecchiature in fabbrica e per nascondere tali comandi dal rilevamento. Stuxnet ha utilizzato più vulnerabilità e quattro diversi exploit zero-day (es: [1] ) nei sistemi Windows e nei sistemi Siemens SIMATICWinCC per attaccare i controllori logici programmabili incorporati delle macchine industriali. Sebbene questi sistemi operino indipendentemente dalla rete, se l'operatore inserisce un disco infetto da virus nell'interfaccia USB del sistema, il virus sarà in grado di ottenere il controllo del sistema senza altri requisiti operativi o richieste.

Contromisure

I worm si diffondono sfruttando le vulnerabilità nei sistemi operativi. I fornitori con problemi di sicurezza forniscono aggiornamenti di sicurezza regolari (vedi " Patch Tuesday ") e, se questi sono installati su una macchina, la maggior parte dei worm non è in grado di diffondersi su di essa. Se una vulnerabilità viene rivelata prima della patch di sicurezza rilasciata dal fornitore, è possibile un attacco zero-day .

Gli utenti devono prestare attenzione all'apertura di e-mail inaspettate e non devono eseguire file o programmi allegati o visitare siti Web collegati a tali e-mail. Tuttavia, come con il worm ILOVEYOU , e con la maggiore crescita ed efficienza degli attacchi di phishing , rimane possibile indurre l'utente finale a eseguire codice dannoso.

I software antivirus e antispyware sono utili, ma devono essere aggiornati con nuovi file di pattern almeno ogni pochi giorni. Si consiglia inoltre l' uso di un firewall .

Gli utenti possono ridurre al minimo la minaccia rappresentata dai worm mantenendo aggiornato il sistema operativo del computer e altri software, evitando di aprire e-mail non riconosciute o impreviste ed eseguendo firewall e software antivirus.

Le tecniche di mitigazione includono:

Le infezioni a volte possono essere rilevate dal loro comportamento, in genere scansionando Internet in modo casuale, alla ricerca di host vulnerabili da infettare. Inoltre, le tecniche di apprendimento automatico possono essere utilizzate per rilevare nuovi worm, analizzando il comportamento del computer sospettato.

Vermi con buone intenzioni

Un utile worm o anti-worm è un worm progettato per fare qualcosa che il suo autore ritiene utile, anche se non necessariamente con il permesso del proprietario del computer che lo esegue. A partire dalla prima ricerca sui worm allo Xerox PARC , ci sono stati tentativi di creare worm utili. Quei worm hanno permesso a John Shoch e Jon Hupp di testare i principi Ethernet sulla loro rete di computer Xerox Alto . Allo stesso modo, la famiglia di worm Nachi ha cercato di scaricare e installare patch dal sito Web di Microsoft per correggere le vulnerabilità nel sistema host sfruttando quelle stesse vulnerabilità. In pratica, sebbene ciò possa aver reso questi sistemi più sicuri, generava un notevole traffico di rete, riavviava la macchina durante l'applicazione delle patch e svolgeva il proprio lavoro senza il consenso del proprietario o dell'utente del computer. Indipendentemente dal payload o dalle intenzioni degli autori, gli esperti di sicurezza considerano tutti i worm come malware .

Uno studio ha proposto il primo worm informatico che opera sul secondo livello del modello OSI (Data link Layer), utilizzando informazioni sulla topologia come tabelle CAM ( Content-addressable memory ) e informazioni Spanning Tree memorizzate negli switch per propagarsi e sondare i nodi vulnerabili fino a quando la rete aziendale non è coperta.

Gli anti-worm sono stati usati per combattere gli effetti dei worm Code Red , Blaster e Santy . Welchia è un esempio di un utile worm. Utilizzando le stesse carenze sfruttate dal worm Blaster , Welchia ha infettato i computer e ha iniziato automaticamente a scaricare gli aggiornamenti di sicurezza Microsoft per Windows senza il consenso degli utenti. Welchia riavvia automaticamente i computer che infetta dopo l'installazione degli aggiornamenti. Uno di questi aggiornamenti era la patch che ha corretto l'exploit.

Altri esempi di worm utili sono "Den_Zuko", "Cheeze", "CodeGreen" e "Millenium".

Guarda anche

Riferimenti

link esterno