Cerca nel blog

2021/10/22

Podcast del Disinformatico RSI 2021/10/22: Virus replicanti, oggi e 20 anni fa. Da Iloveyou a FluBot


È disponibile subito il podcast di oggi de Il Disinformatico della Rete Tre della Radiotelevisione Svizzera, condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto). Questa puntata (la numero 700 da quando ho iniziato, nel 2006) è in versione Story, quella sperimentata quest’estate e dedicata all’approfondimento di un singolo argomento, che sarà il format standard dal 5 novembre prossimo.

Come consueto, i podcast del Disinformatico di Rete Tre sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto!

Nota: la parola CLIP nel testo che segue non è un segnaposto in attesa che io inserisca dei contenuti. Indica semplicemente che in quel punto del podcast c’è uno spezzone audio. Se volete sentirlo, ascoltate il podcast oppure guardate il video (se disponibile) che ho incluso nella trascrizione.

---

Credit: Naked Security.

[CLIP: (in sottofondo) Rumore di tastiera di computer degli anni 90]

È il 4 maggio 2000, un giovedì come tanti a Manila, nelle Filippine. Uno studente d’informatica, il ventiquattrenne Onel de Guzman, vuole collegarsi a Internet, come tante altre persone in tutto il mondo quel giorno.

Ma Onel non sa ancora che tra poche ore scatenerà il caos informatico planetario, causando danni per oltre dieci miliardi di dollari, travolgendo il Pentagono, la CIA, il Parlamento britannico e moltissime aziende multinazionali. Farà tutto questo usando un singolo computer e un messaggio d’amore ingannevole, che si propagherà via mail in decine di milioni di esemplari perché gli utenti non sapranno resistere alla curiosità di sapere cosa c’è dietro le tre parole di quel semplice messaggio scritto da Onel: I Love You.

Mentre preparo questo podcast, la Svizzera e molti paesi europei sono invasi da messaggi digitali che stuzzicano gli utenti allo stesso modo: sono SMS che dicono che c’è un messaggio vocale importante per loro. Chi non resiste alla tentazione, li apre e ne segue ciecamente le istruzioni finisce per farsi infettare lo smartphone e per farsi rubare il contenuto del proprio conto bancario.

Questa è la storia di quell’attacco informatico mondiale di oltre vent’anni fa e dei suoi paralleli con quello in corso attualmente. Gli anni passano, la tecnologia cambia, ma la leva più potente per scardinare le difese tecnologiche rimane sempre la stessa: la curiosità umana.

[SIGLA]

Torniamo a Manila e a quello studente d’informatica, Onel de Guzman. È squattrinato e le connessioni a Internet costano. Così ha un’idea: scrivere un worm, ossia un programma autoreplicante che rubi le password di accesso a Internet di altri utenti, così lui potrà collegarsi senza pagare.

Per creare questo worm, de Guzman sfrutta una delle scelte più fallimentari della storia dell’informatica: quella di nascondere automaticamente le cosiddette estensioni dei nomi dei file. Ogni file, infatti, ha un nome che è composto da una parte principale e da un’estensione: se scrivete un documento con Microsoft Word e lo chiamate Fattura, il suo nome completo sarà Fattura.docx. Docx è l’estensione. Il punto separa la parte principale del nome dalla sua estensione.

Questa estensione viene usata spesso dai dispositivi digitali per sapere come gestire un file: per esempio, se l’estensione è xls o xlsx, allora si tratta di un foglio di calcolo, che va aperto con Excel; se l’estensione è odt, è un documento di testo che va aperto con LibreOffice o OpenOffice; se l’estensione è mp3, è un brano musicale o un file audio, e così via.

Ma normalmente Windows nasconde le estensioni, appunto, e Onel lo sa bene. Così crea un worm che manda una mail che contiene un allegato il cui nome termina con .txt.vbs. In questo modo chi riceve l’allegato vede un file che ha apparentemente l’estensione txt, che identifica i file di testo normale, assolutamente innocui, ma in realtà il file è uno script, ossia un programma scritto in Visual Basic.

In altre parole, l’allegato sembra un documento perfettamente sicuro agli occhi della vittima, ma il computer della vittima lo interpreta come una serie di comandi da eseguire.

Non solo: Onel de Guzman approfitta anche di un altro errore monumentale presente in Microsoft Outlook a quell’epoca: Outlook esegue automaticamente gli script in Visual Basic che riceve in allegato se l’utente vi clicca sopra.

Queste due falle, concatenate, permettono a de Guzman di confezionare un attacco potentissimo: le vittime ricevono via mail quello che sembra essere un documento non pericoloso ma è in realtà un programma, lo aprono per sapere di cosa si tratta, e il loro computer esegue ciecamente quel programma. Il programma a quel punto si legge tutta la rubrica degli indirizzi di mail della vittima e la usa per mandare una copia di se stesso a tutti i contatti del malcapitato utente intanto che ruba le password di accesso a Internet.

L’effetto valanga che ne consegue è rafforzato dall’ingrediente finale scelto da Onel de Guzman: il nome dell’allegato l’oggetto della mail è I Love You, “ti amo” o “ti voglio bene” in inglese, scritto senza spazi.

Mettetevi nei panni delle vittime di questo attacco: ricevete una mail che vi invita a leggere una lettera d’amore. Questa lettera, oltretutto, proviene da qualcuno che conoscete. Riuscireste a resistere alla tentazione di aprirla?

Il risultato di questa tempesta perfetta di difetti informatici e di astuzia psicologica è un’ondata virale di messaggi che nel giro di poche ore intasa i computer di mezzo mondo, causando confusioni e congestioni a non finire, anche perché il virus informatico non si limita ad autoreplicarsi massicciamente, ma rinomina e cancella anche molti dei file presenti sui dischi rigidi delle vittime.

Vengono colpiti il settore finanziario di Hong Kong, il parlamento danese, quello britannico, la CIA, il Pentagono, la Ford e Microsoft stessa, paralizzate dall’enorme traffico di mail; lo stesso accade a quasi tutte le principali basi militari degli Stati Uniti. Le infezioni segnalate nel giro di dieci giorni sono oltre cinquanta milioni: circa il 10% del computer di tutto il mondo connessi a Internet. I danni e i costi di ripristino ammontano a decine di miliardi di dollari.

[CLIP: reporter di CTV che riferisce dei danni causati da Iloveyou (da 0:09 a 0:23)]

Eppure Onel de Guzman, con il suo worm Iloveyou, voleva soltanto procurarsi qualche password per connettersi a Internet senza pagare.

[CLIP: Suono di modem che si collega in dialup]

Quando si rende conto del disastro che ha involontariamente combinato, cerca di coprire le proprie tracce, ma è troppo tardi: nel giro di pochi giorni viene rintracciato dalle autorità.

Ma le leggi delle Filippine nel 2000 non includono i reati informatici e quindi de Guzman non è punibile, perché non ha commesso alcun reato.

Negli anni successivi il creatore accidentale di uno dei virus informatici più distruttivi della storia scomparirà dalla scena pubblica. A maggio del 2020 viene rintracciato da un giornalista, Geoff White, che scopre che Onel de Guzman lavora presso un negozietto di riparazione di telefonini a Manila. Ogni tanto qualcuno lo riconosce, ma lui mantiene un profilo basso ed evita ogni attenzione mediatica. Chissà se sa che nel 2002 i Pet Shop Boys hanno scritto una canzone, E-mail, che a giudicare dal testo, con quella richiesta di mandare una mail che dice "I love you", sembra proprio dedicata a lui.

---

Da quell’attacco informatico sferrato per povertà da uno studente oltre vent’anni fa sono cambiate molte cose. Le Filippine, come moltissimi altri stati, ora hanno leggi che puniscono severamente il furto di password e il danneggiamento dei sistemi informatici. Microsoft ha chiuso le falle tecniche che avevano permesso a Onel de Guzman e a molti altri suoi emuli di creare programmi ostili autoreplicanti.

Ma dopo molti anni senza ondate di virus informatici diffusi automaticamente via mail, in questi giorni è ricomparso un worm che usa esattamente le stesse tecniche sfruttate da Onel de Guzman e si sta diffondendo a moltissimi utenti di smartphone in un elevato numero di copie. Si chiama FluBot, e invece di usare la mail adopera gli SMS, ma a parte questo segue il medesimo copione.

La vittima di FluBot riceve un SMS il cui mittente è qualcuno che conosce e di cui quindi tende a fidarsi, proprio come capitava con Iloveyou. L’SMS contiene un invito a cliccare su un link per ascoltare un messaggio vocale, e siccome proviene da un suo contatto scatta la molla emotiva della curiosità, oggi come vent’anni fa. 

Credit: Le Temps.

Il messaggio vocale, però, in realtà non esiste e il link porta invece a un avviso che dice che per ascoltare il messaggio la vittima deve installare un’app apposita non ufficiale che non si trova nei normali archivi di app. Questa app è il virus vero e proprio.

Se la vittima abbocca all’esca emotiva e la installa, FluBot prende il controllo dello smartphone e si mette in attesa. Quando la vittima usa il telefonino per una transazione bancaria, FluBot se ne accorge, ruba il nome utente e la password e intercetta l’SMS che contiene la password aggiuntiva temporanea necessaria per validare la transazione. Fatto questo, ha tutto il necessario per prendere il controllo del conto corrente della vittima e consegnarne il contenuto ai criminali informatici che gestiscono il virus.

Già che c’è, FluBot usa la rubrica telefonica della vittima per trovare nuovi bersagli, esattamente come faceva Iloveyou, e questo gli consente di propagarsi in modo esplosivo.

Rimuovere FluBot dal telefonino, inoltre, non è facile: non basta togliere l’app ma è necessario un riavvio in Safe Mode, una procedura che è meglio affidare a mani esperte.

C’è anche un altro parallelo con quell’attacco di due decenni fa: FluBot può colpire soltanto se l’utente clicca sul link presente nel messaggio, proprio come avveniva con lloveyou. Senza questo primo gesto, l’attacco fallisce.

FluBot e Iloveyou sono accomunati anche da un’altra peculiarità: funzionano soltanto su alcuni tipi specifici di dispositivi molto diffusi. Iloveyou poteva agire soltanto sui popolarissimi sistemi Windows 95 che usavano Outlook; non aveva alcun effetto sui computer MacOS o Linux. Allo stesso modo, oggi FluBot colpisce soltanto gli smartphone, e specificamente gli smartphone Android; non ha effetto sui telefonini non smart e sugli iPhone.

L’attacco di FluBot, quindi, ha effetto soltanto se si verifica una catena ben precisa di errori dell’utente:

  1. la vittima si fida del messaggio di invito, pensando che provenga da un suo conoscente fidato;
  2. clicca sul link presente nel messaggio; 
  3. scarica e installa un’app non ufficiale senza chiedersi come mai non è presente negli App Store normali; 
  4. e usa uno smartphone Android senza proteggerlo con un antivirus aggiornato. 

Se manca uno solo di questi anelli della catena, l’attacco fallisce.

Oggi come allora, insomma, difendersi dagli attacchi informatici più diffusi è soprattutto questione di emozioni, di psicologia più che di tecnologia. E siccome la psicologia umana non cambia e non si aggiorna, certe trappole funzionano sempre e continueranno a funzionare.

La differenza è che adesso le trappole psicologiche vengono usate dal crimine organizzato, mentre vent’anni fa Onel de Guzman era semplicemente uno smanettone che voleva usare Internet a scrocco. E la sua esca psicologica era altrettanto semplice: il bisogno universale umano di sentirsi amati da qualcuno. 

---

Informazioni su FluBot e istruzioni per riconoscerlo e rimuoverlo

Guida dell’operatore telefonico svizzero Salt (in italiano).

Descrizione tecnica dettagliata di FluBot (Switch.ch, in inglese).

Articolo di Le Temps.ch (in francese).

Avvertenza del Centro Nazionale per la Cibersicurezza svizzero (in italiano, giugno 2021).

Fonti aggiuntive: CNN, Sophos, AP Archive, Graham Cluley.

Nessun commento: