Un serio pericolo per l’intera economia di Internet e, dunque, per settori economici sempre più centrali nella vita di molti paesi. Non usa mezzi termini, l’ Organizzazione per la Cooperazione e lo Sviluppo Economico (OECD), nel descrivere la deflagrazione in questi anni del fenomeno dei “virus informatici”, passati dall’essere creazioni di crew interessate alla gloria a vera e propria industria illecita che persegue l’unico obiettivo del vile denaro .
Intitolato Malicious Software (malware): a Security Threat to the Internet Economy , lo studio OECD analizza i fenomeni che attualmente vanno per la maggiore nell’ambito della suddetta industria, passando dai worm alle botnet di PC zombie, dai cavalli di troia ai ” money mules “. Una colonna infame senza fine , i cui promotori sono accomunati dalla propensione a truffare, rubare denaro, informazioni, caselle e-mail, identità o imporre un riscatto sulla salute dei dati degli utenti.
“Nel corso degli ultimi 20 anni, il malware si è evoluto passando da exploit occasionali a una industria criminale globale multimilionaria” si legge nel rapporto dell’organizzazione, che evidenzia come i cyber-criminali stiano “diventando più ricchi e quindi hanno maggior potere finanziario per creare engine di distruzione più estesi”.
Un circolo vizioso, in cui il cybercrime finanzia nuovo cybercrime e che secondo OECD si traduce in un pericolo globale . Un circolo che sfrutta filiere informatiche di computer tenuti sotto controllo da remoto, come accade nelle botnet, e che nell’80% dei casi sarebbero dietro alle azioni più pericolose. A guidare la classifica dei paesi dai quali proviene il maggior numero di minacce e aggressioni all’economia e alla socialità telematica sono Cina (53,9%) e Stati Uniti (27,2%).
Negli USA, secondo OECD, che si interroga sul futuro di Internet , 59 milioni di utenti covano nei propri sistemi spyware, backdoor e malware di vario genere. Considerando che la popolazione Internet del paese veniva quantificata in 216 milioni alla fine del 2007, quasi un quarto risulterebbe quindi affetta dal problema. Numeri a cui non si fatica a credere considerando che Rustock.C , considerato il rootkit più sofisticato mai creato, è passato inosservato alle società di antivirus e ai software di sicurezza per quasi otto mesi .
Come risolvere la situazione? L’organizzazione sostiene che l’attuale capacità di risposta di società specializzate e istituzioni è insufficiente , perché consiste in genere in un tentativo di contrasto locale di un fenomeno che fa della globalità una delle sue caratteristiche principali. In tal senso, la cooperazione tra gli stati e i vendor rappresenta una condizione essenziale se si vuole sperare di affrontare in maniera adeguata la questione.
Tanto più se si considera che tra le ultime frontiere del malware industriale c’è anche un pezzo di “web 2.0”: i network sociali come MySpace, il broadcasting libero di YouTube e altri ben noti portali vengono oramai utilizzati come vetrine per l’advertising a basso costo , in cui la promozione non interessa la tradizionale crema dimagrante ma l’ultima versione del kit per costruire trojan a prova di antivirus. Ambienti frequentati spesso e volentieri da utenti del tutto sprovvisti di cognizioni di sicurezza, e che finiscono per incrementare le file degli zombie.
Non si fa dunque abbastanza, dunque, e non c’è molto in campo per combattere le trovate dei più accorti ingegneri del codice malevolo. Secondo OECD è proprio la sostanziale impunità dei cracker a provocare la crescita non solo dello schifezzaware ma anche dell’industria del cybercrime che investe su quella impunità. Come dimostra anche il caso recente del virus Harada , le legislazioni dei paesi sviluppati non sono ancora adeguatamente attrezzate per contrastare il fenomeno-malware, e la semplice realizzazione di codice malevolo – lo stesso pubblicizzato su certi video di YouTube o su certi profili di MySpace – non è ancora considerato reato a priori se prima non c’è danno. Un deficit normativo ritenuto gravissimo che pesa sulle già traballanti difese tecnologiche.
Alfonso Maruccia