Blaster: la lezione di un worm


 

Microsoft raccoglie in un documento gli sforzi esercitati nel campo della sicurezza dopo che il worm Blaster riuscì a infettare milioni di computer nell’Agosto 2003

Di Francesco Caccavella

Se c’è una data per fissare il punto di più grave crisi raggiunto da Microsoft in tema di sicurezza questa è l’11 Agosto 2003, il giorno in cui fu rilasciato il worm Blaster (o MSBlast). In quella lontana estate, quando mezza Italia era in vacanza e metà dei computer della nazione spenti, partì la più “grande infezione della storia”, come Microsoft la chiama in un documento pubblicato qualche giorno fa e intitolato Win32/Blaster: A Case Study From Microsoft’s Perspective.

Il documento, un white paper di sei paginette in PDF, raccoglie i dati e le statistiche che Microsoft ha raccolto nei più di due anni trascorsi dalla comparsa del Worm. Il documento si legge come una sorta di confessione dell’azienda di Redmond e mostra tutti i passi intrapresi da Microsoft per mettere un freno e riparo allo sviluppo futuro di questi Worm.

Blaster comparve nel Web quasi un mese dopo il rilascio del bollettino di sicurezza MS03-026 in cui veniva descritta una vulnerabilità della coppia di servizio DCOM RPC presenti nei sistemi Windows XP, 2000, NT e 2003. Windows NT e 2003 non furono colpiti dal Worm che prese di mira i diffusissimi Windows XP e Windows 2000. Il worm causava continui riavvi del sistema infettato e, soprattutto nel primo periodo dell’infezione, sino ad ottobre 2003, furono diversi gli utenti che dovettero fare i conti con le infezioni. A partire dal novembre 2003 il numero di segnalazione di sistemi infettati cominciò a diminuire. Tuttavia il worm era ancora installato in milioni di computer.

A gennaio 2004 Microsoft rilasciò un primo Removal Tool, distribuito sia attraverso i soliti canali di download sia attraverso i sistemi Windows Update. Nei primi sei mesi dal rilascio, Microsoft calcola che il software di rimozione ripulì circa 12 milioni di computer su un totale infetto di circa 25 milioni.

Anche dal punto di vista dell’organizzazione aziendale il worm si dimostrò un nemico di primissimo piano. Sempre dal documento citato ad inizio articolo emerge che durante il mese di Agosto, le migliaia di telefonate al call center di supporto costrinsero Microsoft a impiegare oltre mille dipendenti, tra cui anche dirigenti, nelle funzioni di risponditori.

Da quei giorni Microsoft cominciò a ridisegnare non solo l’infrastruttura di sicurezza, ma anche il comportamento dei programmi. Il Service Pack 2 di Windows XP ne è la prova più lampante: introduzione di un firewall di sistema, gestione più efficace degli aggiornamenti automatici, presenza di un Windows Security Center, rafforzamento dei servizi RPC/DCOM.

Prima tuttavia Microsoft cominciò a distribuire, automaticamente, software di rimozione attraverso il sistema di Windows Update. L’efficacia di questo sistema si rivelò fondamentale nel prevenire gli altri due attacchi a grande scala che colpirono piattaforme Windows: MyDoom nel gennaio 2004 e Sasser nell’Aprile dello stesso anno. Quest’ultimo in particolare aveva tutte le caratteristiche per diffondersi come Blaster, tuttavia gli sforzi dell’azienda per arginare il fenomeno della diffusione dei virus erano già allertati e l’allarme rientrò dopo pochi giorni: solo 1,2 milioni furono i computer che dovettero ricorrere alla disinfezione automatica, contro i 25 milioni di Blaster.

L’ultimo atto di questa lunga marcia verso la sicurezza è stato il rilascio, nel gennaio 2005, dello strumento di rimozione malware, l’applicazione automatizzata e sempre aggiornato che consente di eliminare automaticamente codice nocivo noto trovato sul computer degli utenti che accedono a Windows Update.

Gli sforzi, a conti fatti, non sono stati vani. Come abbiamo già rilevato, hanno cominciato piano piano a dare i loro frutti.

 

Fonte: https://www.html.it/