2012-03-09
Cosa sono i WORM informatici
I WORM (vermi) sono dei particolari programmi completamente indipendenti ed autosufficienti che oltre ad essere in grado di autoreplicarsi, come i virus, possiedono anche una propria capacità autonoma di propagazione utilizzando la connessione di rete. Si muovono quindi senza bisogno di intervento esterno. Il primo worm, noto come "Morris Worm", fu costruito e rilasciato in Internet nel 1988 e si propagò in parecchie migliaia di computer creando disfunzioni nelle reti di comunicazione pur non avendo lo scopo specifico di produrre danni. La propagazione avveniva sfruttando la vulnerabilità di alcuni servizi, come ad esempio il server di posta elettronica o di accesso remoto (utilizzati ad esempio dai programmi "rexec", "rsh" o "finger"), generalmente attivi in un grande numero di calcolatori. Tali vulnerabilità permettevano di acquisire il controllo completo del computer e successivamente il worm cercava gli indirizzi di possibili futuri bersagli in alcuni file di sistema oltre a decifrare le password degli utenti registrati nel computer compromesso.
Alcuni worm hanno la caratteristica peculiare di esistere e propagarsi solamente in memoria (RAM), senza la necessità di avere come supporto fisico permanente un file, rendendone quindi la rivelazione ancora più difficile.
Altri worm sono decisamente più malevoli contenendo funzioni specifiche per produrre dei "Denial of Service" (Dos , una forma di attacco che impedisce il normale funzionamento di un computer o di un suo servizio negandone l'accesso agli utenti autorizzati) o la cancellazione di siti web. Il worm "MyDoom", particolarmente sofisticato, esegue più funzioni contemporaneamente: scarica ed esegue file arbitrari sul nodo compromesso, configura una backdoor permanente e lancia un attacco DoS su una serie di siti web.
I worm più recenti hanno raggiunto delle velocità di propagazione in rete elevatissime: lo "Slammer worm" (noto anche come Sapphire), rilasciato sabato 25 gennaio 2009 alle 5:30 di mattina (ora di Greenwich), durante il primo minuto di vita raddoppiava la popolazione di computer "infettati" ogni 9 secondi e dopo 3 minuti venivano eseguiti circa 55 milioni di scansioni al secondo (tentativi di connessione allo scopo di compromettere altri calcolatori) causando, come importante danno collaterale, un forte sovraccarico di rete ed il conseguente intasamento delle linee di comunicazione. Dopo 30 minuti il numero di nodi compromessi era di quasi 75000. È importante rendersi conto che se Slammer avesse avuto un payload più ostile le conseguenze avrebbero potuto essere molto più disastrose. Negli USA Slammer è stato in grado di penetrare fin nel sistema di controllo di una centrale nucleare, fortunatamente in quel momento in manutenzione , causando un ritardo della rimessa in servizio di circa cinque ore.
Un altro worm particolarmente attivo è stato Code Red che ha "infettato" più di 350000 computer in circa 24 ore.