Alcuni episodi accaduti e i nuovi orientamenti dei vendor fanno presagire movimenti interessanti.
Tutto nacque con Liberty Crack. Si tratta di un trojan horse, che nonostante non abbia realmente creato dei grossi problemi sui target, annovera come obiettivo principale la categoria dei dispositivi mobili (Mobile Device).
In questo segmento, allo stato attuale, si fa entrare nell’ordine i Personal digital assistant (Pda) ed alcune tipologie di telefoni cellulari “interattivi”.
Idc ha dichiarato che verso la metà dell’anno ci sarà un’impennata dell’esposizione dei dispositivi mobili connessi alla rete internet, con particolare riferimento ai telefonini Wap (Wireless Application Protocol). La stessa Idc continua affermando che, nel 2003, gli utenti dei dispositivi mobili aumenteranno fino a 61 milioni e 500mila, con un numero di diciannove milioni di Pda e tredici milioni di smart phone.
Gli effetti reali
Se si guarda il problema da una prospettiva rigorosamente tecnico/scientifica, bisogna dire che non si può parlare, nella maggior parte delle circostanze verificatesi, di veri e propri virus, in quanto manca il requisito fondamentale della replicazione. Tuttavia gli aspetti più importanti, a seconda delle casistiche, sono inerenti la cancellazione dei file presenti sui device, effetti di tipo Denial of Service (DoS) e via dicendo. Per queste ragioni si può parlare di malicious and mobile code in generale. Ma andiamo con ordine. Liberty Crack, il primo malware di cui abbiamo parlato, si presenta come una versione crackata (cioè sprotetta) di liberty, un software commerciale ideato per far girare sui dispositivi dotati di PalmOs (il sistema operativo di Palm) i giochi nati per Nintendo Game Boy. In realtà, per l’appunto, il programma conteneva un trojan in grado di cancellare le applicazioni di terze parti, utilizzate dal PalmPilot in questione. Come ulteriore effetto, atteso che il tutte le funzionalità di base degli handheld device rimanevano comunque intatte, le operazioni di sincronizzazione principali mezzi di diffusione del malware sono stati i canali Irc (Internet Relay Chat), siti warez e newsgroup. Il fine di risparmiare soldi, di sicuro movente principale degli incauti “scaricatori” ha costituito la rovina degli stessi.
Altro esempio di malicious code, che ha operato in termini simili al precedente, è dato da Phage. A seguito della sua esecuzione, infatti, avviene una cancellazione dei file/applicazioni prodotte da terze parti.
L’unico modo per risolvere il problema consiste nel ripristinare i file
in maniera totale, cioè effettuando un backup dalla workstation dell’utente.
E ancora: Vapor. Anche in questo caso la piattaforma è PalmOs. La
differenza tra questo Trojan e il resto dei malicious code di cui abbiamo parlato è che Vapor non cancella le applicazioni ma le nasconde generando lo stesso effetto operativo nei confronti dell’utente.
Su Timofonica sono stati scritti fiumi di parole, più o meno esatte. Quello che a noi interessa chiarire è che questo Visual Basic Script ed il codice che ne deriva non colpisce i Gsm direttamente dal punto di vista dell’infezione (e quindi della trasmissione ad altri) ma soltanto come punto terminale del suo effetto. In realtà Timofonica colpisce la piattaforma pc e su questa si sviluppa: quella mobile ne subisce solo gli effetti.
Una delle prime lezioni che gli utenti colpiti hanno dichiarato di avere avuto, quindi, riguarda le fonti di approvvigionamento del software da parte degli utenti stessi. I canali cosiddetti warez ed altre soluzioni similari sono evidentemente da evitare, in quanto celano spesso problematiche come quella rappresentata da Liberty Crack.
Altra cosa interessante riguarda la gestione della sincronizzazione tra
dispositivi dello stesso tipo e/ o personal computer. Queste operazioni possono generare tanto una soluzione in caso di infezione rilevata (il ripristino dell’ultima configurazione utile è spesso l’unica maniera per risolvere i problemi) tanto una seria problematica se vista dall’ottica della veicolizzazione dell’infezione stessa.
E ancora: almeno per adesso la piattaforma Wap pura non dovrebbe avere grosse complicazioni, fino a quando il software ( dei telefonini) non consentirà l’interazione attiva con l’utente, per esempio a seguito di installazione applicazioni. In questo caso il discorso potrebbe cambiare.
Le soluzioni
Gli antivirus vendor si stanno attrezzando soprattutto a livello gateway.
Per quanto riguarda la piattaforma Wap, per esempio, sono molti i produttori che hanno rilasciato delle soluzioni per i Wireless Application Protocol Gateway, F-Secure Corporation (www.datafellows.com) è uno di questi. Altri Indipendent Software Vendor, invece, hanno rilasciato soluzioni per i Personal Digital Assistant, come Symantec, che tra l’altro è stata una
Delle prime aziende ad aver scoperto del malicious code per la piattaforma Palm. Una domanda che spesso ci si pone e relativa alla fattibilità
dell’utilizzo dei prodotti antivirus di tipo monitor/scanner direttamente sul terminale. Da un’analisi dell’attuale tendenza di mercato non sarebbe questo l’orientamento, a causa dell’eccessiva “pesantezza” dei software se rapportata alle capacità dei dispositivi destinatari. Molti produttori, invece, stanno lavorando a soluzioni installate su pc in grado di scansionare il mobile device all’atto della sincronizzazione.
Per quanto concerne gli sviluppi futuri lato writer (cioè malicious
hacker), i ricercatori prevedono un’esposizione dei dispositivi mobili direttamente proporzionale alle loro possibilità di connessione con device della stessa categoria od altri interfacciabili. Questo significa che un HandHeld collegato ad un Network Aziendale , non curato dal punto di vista del malicious code, può automaticamente creare delle complicazioni a tutta la struttura. L’esposizione sopra citata, inoltre, aumenterà anche in relazione all’evoluzione del modello architetturale dei dispositivi mobili: in poche parole, tanto più aumenterà la possibilità da parte di questi device di utilizzare file dello stesso formato di quelli per personal computer, tanto il rischio sarà maggiore.
Attenzione principale va data alla comunicazione infrarossi. Come lo
stesso Eric Chien, ricercatore del Symantec Antivirus Research Center, ha ricordato, il wireless in generale è “un amplificatore”. Noi ci
ermettiamo di aggiungere, in questo caso, che anche mezzi come Bluetooth (o meglio i dispositivi che lo usano) sono potenzialmente veicoli delle infezioni, oltre che di altre problematiche.
La “fortuna” è che entrambe facce della medaglia sono immature, nel senso che sia la tecnologia di base sia quella di riflesso (cioè il malicious code) sono complesse da sfruttare in maniera costruttiva. Tutti, a prescindere dalle considerazioni di base, sono concordi sul fatto che il “mobile malicious code” sarà sempre più legato a problemi di tipo Denial Of Service (sia a livello host/gateway sia a livello di dispositivo “terminale”), nonché alle infezioni “convenzionali”, con particolare riferimento ai trojan.
