Il miglior antimalware? Potrebbe essere proprio un malware

Leggi questo articolo grazie alle donazioni di Daniele Saron, Luigi Barbato.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Nell’uso quotidiano di strumenti informatici siamo abituati a una serie di reazioni note per contrastare le offensive dei malintenzionati. Il dispositivo è a rischio malware oppure già infetto? Si ricorre a metodi manuali per la prevenzione e/o la disinfezione. Si utilizza il buonsenso evitando situazioni che possano esporci direttamente. La via più frequente e semplice per la maggioranza dell’utenza, però, è quella di installare un antimalware che si occupi di monitorare costantemente eliminando nell’eventualità qualsiasi minaccia rilevata. Ma se qualcuno dicesse che è possibile debellare i programmi maligni… Con un loro simile? Sembra uno scherzo, ma a quanto pare è vero.

Malware-ios-wirelurker

Uno dei settori malevoli in più rapida espansione è quello che colpisce i router e più in generale tutti i prodotti che rientrano nel cosiddetto Internet of Things, o anche IoT. La maggioranza di essi adopera distribuzioni Linux sviluppate ad-hoc e spesso non sono soggette alla manutenzione che si richiederebbe da parte dei produttori, lasciando così l’utente alla mercé di potenziali bug di ogni sorta; a ciò si aggiunge poi l’utente medesimo che non troppo curante dei rischi correlati adopera classiche combinazioni username/password come admin/admin oppure 123456. Un router infetto può risultare ben peggiore di un computer, dal momento che è un’area meno sospettata per problemi e l’attività del malware non viene facilmente a nudo o viene scambiata per un attacco al sistema operativo principale (se durante la navigazione siamo continuamente dirottati su siti a luci rosse è probabile che la nostra reazione sia quella di mandare al diavolo il Windows o l’OS X di turno). Nessun formattone può, in queste situazioni: l’unica via è il ripristino del router alle condizioni di fabbrica, al fine di rimuovere l’ospite indesiderato.

Il caso di Linux.Wifatch è diverso. La sua scoperta è avvenuta quasi un anno fa grazie a un ricercatore indipendente, che rinvenendo comportamenti sospetti del suo router ha ritenuto opportuno effettuare verifiche. Le risposte iniziali sono state le classiche: analizzato il codice sorgente e recuperate quante più informazioni possibili, il tutto è stato caricato sui siti specializzati come VirusTotal per richiamare l’attenzione delle aziende di sicurezza. Obiettivo raggiunto, dato che Symantec, famosa per la linea di prodotti a marchio Norton, ha proseguito le ricerche con risultati davvero interessanti.

Alla base di Wifatch non ci sono comportamenti troppo dissimili da altri malware di recente generazione: è progettato per colpire quanti più dispositivi possibili, anche su architetture di processori diverse tra loro (ARM, MIPS, x86…), ed è in grado di includere lo strumento infetto in una rete al fine di mantenersi aggiornato superando le contromisure poste. Dove si osservano i cambiamenti maggiori è negli intenti di questo processo. Il suo codice non ha alcuna traccia di meccanismi che possano scatenare attacchi criminali; non ha nulla per mandare ko altri servizi tramite Denial of Service, non ha nulla per dirottare l’utente su pagine poco affidabili, non ha nulla per carpirne i dati personali inviati in rete. Paradossalmente sembra invece essere stato sviluppato per rafforzare il device colpito, e in modo piuttosto zelante pure dato che tentare di accedervi da terminale Telnet comporta la chiusura automatica della connessione stabilita per evitare ulteriori pericoli potenziali. In tale contesto Wifatch suggerisce di disattivare completamente Telnet, cambiare le password di accesso e/o aggiornare il firmware. Consigli più degni di un sistema di sicurezza che di un malware.

wifatch

Le stranezze non si fermano qui: viene svolta un’azione attiva nel rimuovere veri programmi malevoli o quantomeno neutralizzarli. Il codice sorgente appare volutamente lasciato senza protezioni, addirittura strutturato per facilitare l’analisi. Non mancano infine riferimenti alle agenzie governative statunitensi e tributi a Richard Stallman, lo strenuo sostenitore del software libero. Tra i router prediletti da Wifatch si trovano quelli dotati di processori ARM, mentre la nazione maggiormente infetta è la Cina che rappresenta il 32% dei rilevamenti, stimati sulle decine di migliaia; non è però esente l’Italia, che nella lista figura col 7% al pari di Turchia e Vietnam.

Ci troviamo dunque davanti a una sorta di supereroe informatico, che combatte organizzazioni criminali e paesi troppo “curiosi” coi loro stessi mezzi? Troppo presto per dirlo, attualmente. Innanzitutto quello di Wifatch è un aiuto non richiesto, almeno all’origine, dato che l’installazione non avviene sotto diretta istruzione dell’utente. Oltre a ciò, sono presenti backdoor che permettono al finora ignoto autore di trasformarne l’uso per scopi illeciti. Non ultimo, aggiungeremmo noi, il meccanismo stesso di aggiornamento adottato, con la possibilità di integrare e sostituire porzioni del codice a seconda delle necessità, con rapida diffusione grazie alla connessione peer-to-peer che si stabilisce tra tutti i dispositivi colpiti. Il consiglio di Symantec, e anche nostro a questo punto, è di effettuare il reset se si riscontrano evidenti anomalie nel funzionamento, rafforzare le credenziali di accesso alle sue impostazioni e aggiornare il firmware se possibile, avendo comunque la necessaria consapevolezza che Wifatch o qualsiasi altro malware può presentarsi nuovamente alla prima occasione utile costringendo a ripetere la procedura.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.