È Internet il veicolo di trasmissione di virus, worm e altri programmi pericolosi, mentre in passato il contagio veniva soprattutto da cd e floppy. In Italia, nel 2002, gli incidenti e gli eventi indesiderati sono stati provocati, nell'ordine, dai seguenti worm identificati con i nomi di: Klez 32%, Opaserv 24%, Magistr 11%, Higuy 10%, Frethem 5%, Bugbear 3%, Badtrans 2%, Myparty 2%, Funlove 2%, Nimda 2%, Datom 1% ed altri per il residuo 5%. Sono dunque gli Internet worm il nuovo pericolo da cui difendersi. La diffusione e il contagio sono avvenuti principalmente con la posta elettronica (71%). I dati emergono dalle prime anticipazioni del dodicesimo rapporto statistico, in corso di elaborazione, del servizio antivirus e prevenzione computer crimes (SecurityNet) di Euros consulting, sugli incidenti informatici provocati dai virus in Italia. Nel campione osservato, composto da circa 300 aziende di vari settori e non rappresentativo dell'universo delle imprese italiane, sono stati per il momento censiti e classificati 1.310 casi.

Il bilancio 2002. Le statistiche confermano le criticità già emerse nel 2001, quando i virus raggiunsero i computer 81 volte su 100 tramite e-mail e nel 16% dei casi in seguito alle connessioni a Internet. E si consolidano con i primi dati del gennaio 2003, mese nel quale hanno agito, oltre al W32/SQL Slammer, il W32/Lirva (un mailing worm che attacca i software di sicurezza) e il W32/Sobig (che si diffonde attraverso e-mail e dischi di rete condivisi). I virus propriamente detti, il cui numero complessivo ha raggiunto quota 63mila - si consideri che nel 1990 erano 67 -, pur avendo raggiunto i sistemi o i pc degli utenti, sono stati efficacemente intercettati dagli antivirus. Molte I-worm hanno coinvolto i server operando solo nella memoria dei computer infettati, con tecniche che non rendono appropriato il significato di virus: più adeguato è il concetto di "codici pericolosi". Il 77% dei casi sono imputabili a quattro I-worm:
(1) Klez, che si propaga tramite e-mail infette e copiandosi in risorse condivise di rete locali;
(2) Opaserv, che si diffonde via Internet attaccando i dischi condivisi in rete;
(3) Magistr, una complessa combinazione di file infector ed e-mail worm con azione distruttiva;
(4) Higuy, il cui messaggio è scritto in italiano. Le infezioni sono state rilevate in ogni periodo dell'anno, con minore frequenza in gennaio-febbraio (5%), maggiore in marzo-aprile (31%), e hanno interessato tutto il territorio italiano, con leggera prevalenza in Lombardia, Lazio, Toscana e Veneto. Non sono mancati gli hoax virus orientati a suscitare falsi allarmi; il più diffuso è Jdbgmgr.exe, un messaggio che invita i destinatari a cancellare un certo file di sistema indicato come virus.

Caratteristiche e danni. I fattori distintivi delle infezioni sono: a) la diffusione di I-worm, che sfruttano debolezze e vulnerabilità presenti nella sicurezza del software e dei sistemi operativi; b) I-worm, che si diffondono via Rete senza usare file memorizzati su disco; c) la posta elettronica ed Internet come mezzi usati per diffondere virus, worm e codici pericolosi; d) uso di nuovi canali di comunicazione in Rete, diversi dalla posta elettronica, che permettono agli hacker di indirizzare attacchi Ddos (Distributed denial of service) contro computer remoti; e) diminuzione o scomparsa di incidenti provocati dai virus tradizionali e di quelli basati su macro e script; f) diffusione degli hoax virus (finti virus). I danni e i malfunzionamenti provocati sono raggruppabili in 12 eventi: pc non disponibili agli utenti; perdita di tempo e di produttività; file corrotti (mancato accesso ai dati, perdita di dati, errori di lettura dati, applicazioni corrotte, scarsa ricuperabilità dei dati); inutili messaggi video; ritardi nei tempi di risposta; blocchi di sistema; problemi di stampa; difficoltà nel salvataggio dei dati; negazione dei servizi agli utenti; invio automatico e inconsapevole di e-mail infette ad altri destinatari; invio non consapevole di documenti o brani di documenti ad altri utenti; consumo di carta dovuto a stampe automatiche.

La prevenzione. Vista l'incidenza degli I-worm con funzionalità di mass mailing, che includono nel loro codice anche attacchi basati su specifiche vulnerabilità dei sistemi operativi o delle applicazioni, sono indispensabili precise policy organizzative mirate al monitoraggio delle vulnerabilità individuate nei sistemi operativi e nelle applicazioni adottate, quindi la rapida installazione delle ultime patch rilasciate dai fornitori (che non sempre sono immediatamente disponibili). Ma quest'ultima attività può risultare critica, onerosa e lenta. Nei primi dieci mesi del 2002, otto diversi I-worm hanno richiesto l'installazione di apposite patch. Per questo è utile seguire i servizi di alert. In sintesi, per evitare le infezioni e gli incidenti sono cinque i comportamenti indispensabili: 1) aggiornare frequentemente gli antivirus e verificarne l'efficacia; 2) installare le ultime patch del Sistema Operativo e delle applicazioni; 3) ricevere e diffondere i comunicati di virus e security alert; 4) fare e aggiornare l'analisi dei rischi; 5) predisporre policy di sicurezza che contemplino l'emergenza 24 ore su 24.

Siamo tutti vulnerabili. Comunque, va detto che il software non è perfetto; se lo fosse costerebbe di più e, quando si scopre una nuova vulnerabilità, chi attacca ha sempre un vantaggio temporale rispetto a chi deve difendersi. I rischi, così, sono proporzionali alla quantità di software installato e alle dimensioni dell'azienda. Gli attacchi sono correlati all'espansione della rete cui è già collegata un decimo della popolazione mondiale. In tale ambito la prevenzione richiede un permanente monitoraggio di quello che accade ovunque. La casistica dimostra che un attacco invade la Rete mondiale in alcuni giorni. I tempi di intervento sono perciò limitati a poche ore, che potrebbero non bastare ad una grande organizzazione articolata in più sedi, per installare il software correttivo idoneo a fronteggiare l'attacco. La rapidità di propagazione, insieme alla circostanza che un allarme è sempre successivo a una criticità in atto, comporta un paradosso: a fronte delle aziende salvate c'è sempre qualche altra impresa precedentemente colpita che avvia l'allarme. La prevenzione e il contrasto ai grandi attacchi richiedono, quindi, sia iniziative di coordinamento internazionale, sia una nuova mentalità che consideri la sicurezza non più come un costo, ma come un necessario investimento.