Lo dice McAfee nel suo Global Threat Report : un numero sempre maggiore di virus writer condivide il codice del proprio malware con altri virus writer e adotta sistemi di produzione collaborativa presi in prestito dal modello open source .
Secondo McAfee si tratta di una tendenza che si è consolidata nel corso degli ultimi 18 mesi. Gli esperti della società di sicurezza ritengono che il modello di distribuzione del codice che ha dato all’intero mondo open source opportunità di sviluppo senza pari, sta rivelandosi una nuova arma in mano a cracker e virus writer senza scrupoli.
“Si potrebbe dire – ha sostenuto a ZDNet il consulente di McAfee, Greg Day – che la metodologia open source consente loro di costruire attacchi di migliore qualità. La novità di oggi è lo sviluppo di gruppo”.
Di per sé la “scoperta” di McAfee è tutt’altro che una novità: da anni i writer scambiano codici e molti sono i siti chiusi nel tempo perché accusati di distribuire sistemi di sviluppo di malware del più diverso tipo. Ma ora, spiegano gli autori del rapporto, la questione ha assunto proporzioni epidemiche , dando un vantaggio e una rapidità notevole agli autori di trojan. Sarebbe anche nell’uso del modello partecipativo tipico dello sviluppo open source il motivo dell’ aumento esponenziale dei cavalli di troia in circolazione in rete, diffusi spesso via email ma ancora più spesso da siti malevoli o da file distribuiti nei modi più diversi.
Nel rapporto si fa l’esempio della famiglia di malware Agobot , i cui sviluppatori hanno usato la versione open source di CVS (Concurrent Versions Systems) , un ambiente che consente di gestire grosse quantità di file e di modifiche via via apportate.
Le preoccupazioni sono tante, evidentemente, dato il ruolo centrale assunto dai trojan in molte diverse attività nel controllo da remoto dei PC infetti, usati come zombie per partecipare ad attacchi distribuiti DDoS contro obiettivi diversi su Internet, o come nodi sparaspam e via peggiorando.
McAfee, che produce software di sicurezza proprietari, nel presentare le sue scoperte ha messo le mani avanti per schivare facili polemiche. Dave Marcus, uno dei boss dei labs di McAfee, ha dichiarato a PC World di non voler in alcun modo mettere sotto accusa il modello open source quanto, semmai, rendere nota l’estensione del problema . “Riteniamo che i prodotti open siano ottimi. Non sono mai stati qualcosa dello stesso livello dei nostri, ma abbiamo sempre sostenuto con forza gli antivirus open source”.
Ma le polemiche sono inevitabili: c’è chi vede nella presentazione della questione di McAfee un attacco al cosiddetto full disclosure , la pratica di certi esperti di sicurezza di rendere pubblici i codici degli exploit contro vulnerabilità e debolezze di sistemi informatici per spingere i responsabili di quei prodotti o ambienti a “metterli al sicuro”. In questo modo, osserva qualcuno, si mette a disposizione dei virus writer un bagaglio di conoscenza informatica che può rivelarsi per loro un grosso vantaggio.
“Non stiamo prendendo di mira il movimento open source – sottolinea Marcus – ma stiamo parlando del modello di full disclosure e di come, nei fatti, avvantaggi lo sviluppo di malware”. Una posizione destinata a suscitare forti polemiche nella comunità della sicurezza, dove molti vedono nella diffusione della conoscenza l’unica vera arma per la ricerca e la realizzazione di ambienti digitali più sicuri.
Quasi a voler confermare le tesi di McAfee, in questi giorni Websense ha annunciato di aver rilevato una sempre maggiore diffusione di un trojan realizzato con quel Web Attacker Kit che consente la “realizzazione rapida” di malware particolarmente insidioso. Si tratta di un trojan che prende spunto dalla celebre testata del calciatore Zinedine Zidane nella finale dei recenti Mondiali di Calcio.
Sfruttando l’ enorme interesse che si è sviluppato in rete sul gesto di Zidane, i creatori del malware hanno messo in rete un sito che sembra quello della FIFA, organizzatrice dell’evento calcistico. Sulla home page propone una news approfondita sul colpo dato da Zidane al giocatore italiano Materazzi. In realtà, accedendo ad una qualsiasi di quelle pagine con un sistema Windows non adeguatamente protetto, il sito scarica sul PC un downloader , ossia un trojan capace di recepire ulteriori istruzioni da remoto dai suoi creatori. Sebbene il sito ospitato su server americani sia stato con ogni probabilità già chiuso mentre esce questo articolo, gli esperti temono che possano essere moltissimi gli utenti infettati.