Storia sintetica del malware

Storia sintetica del malware

TH: La maggior parte delle tue ricerche si concentra sugli aspetti più estremi e delicati allo stesso tempo della sicurezza informatica. Vorremo offrire ai nostri utenti una breve introduzione storica, con il tuo aiuto. All'inizio i virus erano semplici parassiti che colpivano file eseguibili …

Joanna: Qui potrei protestare sul termine "semplici". Alcuni di quei file, infatti, erano decisamente molto complessi, come quelli basati sul motore Mistfall, creato da Z0mbie.

TH: Pensiamo all'epoca precedente a DarkAvenger/MtE. A cose come Friday the 13th/Jerusalem. Pensando a quel codice, i virus per il settore di avvio erano probabilmente il primo salto evolutivo del malware, seguito poi dalla generazione MtE. Probabilmente quello era il momento di riconoscere che la sicurezza "signature based" aveva delle limitazioni. Il salto generazionale successivo dovrebbe essere qualcosa come i virus Macro. Non tanto perché rifletteva la sicurezza multi-piattaforma, che già era un'idea nuova, ma perché rifletteva l'evoluzione del malware e un nuovo modo di vederlo. S'introduceva un nuovo modo di diffondere il malware, che sfruttava la nuova diffusione di massa dei computer e la condivisione dei documenti, un'attività sempre più comune. Più importante ancora, tuttavia, era il dogma secondo il quale i file di dati non potevano infettare un sistema, ma c'erano prove che invece era possibile. Si sentono, ancora oggi, affermazioni come "fino a che non apri gli allegati nella posta, sei al sicuro", oppure "se ha tutti gli aggiornamenti e le patch, sei al sicuro", o persino "se usi un Mac, sei al sicuro". Una delle nostre frasi preferite è "Non fatevi ingabbiare da un dogma, perché è come pensare con la testa degli altri", che ha detto una volta Steve Jobs.

Non sappiamo dove collocare altri punti fondamentali dell'evoluzione del malware. La capacità d'integrazione del codice di ZMist è probabilmente un salto generazionale, ma non è certo "l'inizio".

Tornando alla nostra storia, quando si eseguiva un file infetto, il virus restava nella memoria, e collocava una copia di sé stesso nel programma successivo che veniva eseguito. Se non si eseguiva mai il file pericoloso, il sistema non si sarebbe mai infettato. Per fare un nuovo passo avanti, serviva il virus per il settore di avvio, che sfruttava l'avvio del PC per caricare il virus ancora prima del sistema operativo, rendendo possibile la manipolazione di ogni tipo di dati. Questa tecnica era uno dei primi metodi "invisibili" per infettare i computer.

Joanna: Non è del tutto corretto. Ai tempi del DOS non c'era nessuna nozione di protezione della memoria, quindi non c'era bisogno di caricare il virus prima del sistema operativo per controllare quest'ultimo. Era possibile controllare il SO anche con un caricamento posteriore.