Torno a casa stasera dopo che mi sono stati segnalati alcuni articoli pubblicati da testate più o meno famose e che stanno rimbalzando da forum a forum.

Chiunque sia possessore di una linea ADSL qui in Italia si sarà reso conto che ultimamente la connessione è molto altalenante, con problemi di raggiungiblità di siti web e addirittura disconnessioni continue. Interessante notare come la colpa sia stata girata su malware informatici.

Cito, tra i tanti che sono usciti scelto a caso, alcune righe dell’articolo di Repubblica.it, raggiungibile a questo indirizzo.

Decine di tentativi prima di inviare una e-mail. Il tutto sembra avvenire ovunque in Italia e con i principali operatori. “È vero, ma non è colpa nostra: la causa è un’epidemia di malware, spyware e adware che sta colpendo i server Dns di tutti gli operatori”, dicono da Telecom Italia.

Il panorama informatico italiano sta vivendo un momento particolare dal punto di vista dei malicious software. In tutto il mondo si sono andate sviluppando nuove tipologie di attacchi, i cosiddetti attacchi mirati.
Cosa significa tutto ciò?
I virus writer si sono resi conto che lo scrivere un worm quale sono stati i vecchi Blaster o Sasser non porta a niente di buono se non ad una prova di forza. É vero, il worm si è diffuso in tutto il mondo in poche ore, ma ha attirato immediatamente tutti gli sguardi dei maggiori ricercatori di sicurezza al mondo, i quali hanno rilasciato aggiornamenti praticamente subito per i propri software antivirus. La stampa stessa ingigantisce subito la questione. L’unico risultato del virus writer è stato quello di far parlare di sé per qualche giorno, sapendo bene che i servizi segreti sono già sulle sue tracce. Quelli di Sasser e Blaster sono stati due tipi di attacco globale, una sorta di sparare alla cieca in mezzo alla folla.

Differentemente, se un virus writer – o chi ne è alle spalle – vuole ricavare qualcosa di buono dal frutto di un’infezione, deve studiare particolarmente bene un determinato obiettivo. Deve studiarne le vulnerabilità, i punti deboli, come aggirarli e ottenere quello che si vuole. Ecco che si vanno sviluppando quindi determinati tipi di trojan non più adibiti ad infezione globale, ma mirata verso, per esempio, una determinata azienda. Ovviamente il tutto cercando di fare il più silenzio possibile per evitare di essere riconosciuti e individuati.
L’Italia non è fuori da questo trend che si sta evolvendo a livello mondiale, anzi, in questi ultimi mesi è passata dalla parte non più di spettatore ma da quella della parte lesa.
Sono state infatti isolate notevoli infezioni scritte appositamente per colpire gli utenti italiani. Chi segue il mondo della sicurezza informatica, ma anche chi si diletta navigando sui forum online, conosce sicuramente il caso Gromozon – un caso di cui poche testate giornalistiche si sono occupate e che ha colpito per mesi silenziosamente centinaia di pc italiani.

Gromozon è stato appositamente studiato per il territorio italiano. Lo si capisce dai siti che trasmettevano l’infezione, raggiungibili esclusivamente se il pc era localizzato in Italia. Lo si capisce dal dialer che l’infezione installava, contenente ben nove numeri a pagamento con prefissi 899 e 892 attivi su territorio italiano.
Ancora, andiamo a parlare del più recente avvocato che avrebbe dovuto praticamente denunciare mezza Italia via e-mail, caso meglio conosciuto come infezione da Trojan.Spambot. Anche qui il famoso removal_tool.exe è stato scritto appositamente per il territorio italiano. Lo si può notare dall’e-mail che invia, scritta in un italiano perfetto e credibilissimo, lo si può capire dal fatto che se ne guarda bene dall’infettare pc utilizzati da polizia, carabinieri, enti governativi italiani o testate di informazione sempre italiane.
Per terminare, possiamo parlare altresì del Trojan.Hijacker che da giorni si diffonde anch’egli via e-mail. Anche questa e-mail scritta in italiano perfetto, anche questo trojan con funzioni di dialer, cioè di dirottare le chiamate dei modem analogici a numeri a pagamento italiani con prefisso 899.

Con questi tre nomi abbiamo coperto un lasso di tempo che va almeno da Maggio 2006 a Dicembre 2006, un periodo che ha visto come protagonista attivo l’intero panorama informatico italiano. Dibattere sul perché sia stata presa di mira l’Italia significherebbe aprire un secondo argomento immenso, interessante ma che poco importa al momento in questo articolo.

Quello su cui interessa porre l’accento invece è questo: al momento, per quanto siano diffuse queste infezioni in Italia, ritengo difficile che possano causare un traffico simile da rendere inagibile la connessione di un intero stato nazionale. Insomma, stiamo parlando della copertura nazionale!

Si parla di sovraffollamento dei DNS, di quei server che garantiscono la risoluzione del dominio in un indirizzo IP, causato dalle notevoli richieste dei malware. Ripeto, al momento la situazione – da quello che posso conoscere perlomeno – non risulta così critica da mettere in ginocchio un’intera rete italiana. Un’aggravante, questo probabile, ma niente più. Lo scorso anno abbiamo assistito a epidemie che hanno duramente colpito l’Italia e l’estero, con worm quali Netsky, MyDoom e Bagle, i quali altrettanto si inviavano via e-mail con numerosi varianti e frequenze di invio spaventosamente alte.

Sembra invece più un problema di infrastruttura. Lo stesso Luca Spada, CEO di NGI, ha commentato l’accaduto individuandone il problema in una saturazione di banda, con alcuni switch che non riescono più a gestire il traffico dei DLSAM.

Ma fermiamoci a pensare anche solo un secondo che sia un problema esclusivo di malware informatici. Possibile che l’infrastruttura italiana non sia capace di reggere né di risolvere questo problema che si sta prolungando non da giorni, ma da settimane e mesi? Per esperienza personale ho notato da parecchio tempo un degrado delle prestazioni della mia linea ADSL e sui forum i thread aperti a riguardo sono numerosi. Ok, qualcuno può dire: ma erano problemi differenti non era questo. Forse, probabile. O forse magari invece si tratta sempre dello stesso problema su punti differenti dell’infrastruttura.

Inoltre, prendiamo come esempio il Trojan.Spambot e il Trojan.Hijacker che sembrano essere – secondo gli articoli – le cause di tutto ciò. Entrambi fanno riferimento ad una pagina web dove gli utenti devono scaricare il trojan vero e proprio. Pagina web con domini differenti in alcuni casi ma stesso ip del server.

Abbiamo visto muoversi l’AAMS per censurare i siti internet che fornivano servizi di giochi d’azzardo, una lista di 600 siti ai quali gli utenti italiani non possono accedere – se non attraverso la modifica e l’utilizzo di server DNS internazionali. Perché dunque, tanto che già ormai l’atto di censura è stato fatto, non si utilizza questa idea per censurare quei server che trasmettono il trojan? Oppure, il modello dell’e-mail utilizzata da questi trojan è essenzialmente uguale, sebbene cambino alcune particolarità. Non sarebbe per esempio possibile filtrare a livello di server di posta le e-mail contenenti un tal determinato pattern?
Insomma, è vero che in Italia la disinformazione a livello di sicurezza informatica è veramente tanta e TUTTI gli utenti dovrebbero assolutamente utilizzare ALMENO un software antivirus, però in questo caso forse dare tutte le colpe ai virus informatici sembra suonare alquanto bizzarro e fuorviante.