I virus del futuro potrebbero essere personalizzati, preparatevi

Pubblicità personalizzate, ricerche web personalizzate, discovery engine a misura d’utente. La progressiva personalizzazione dell’esperienza online ha ormai raggiunto livelli inaspettati, al punto che la maggior parte degli utenti web ormai non si stupisce più del fatto che Google sembri conoscerlo meglio di qualunque amico intimo. Ma cosa accadrebbe se anche i virus informatici diventassero personalizzati?

È quello che si stanno domandando Paul Royal, ricercatore, e i suoi colleghi all’Information Security Center del Georgia Institute of Technology, dopo che ad aprile 600.000 computer Apple sono stati inaspettatamente messi in ginocchio da un particolare virus di nome Flashback . La particolarità di Flashback è quella di sfruttare un sistema simile al DRM che protegge i DVD e i CD originali, per legare indissolubilmente (o quasi) il virus alla macchina che ha infettato. L’utilizzo di questo sistema insolito di fatto ostacolava lo sviluppo di un'efficace contromisura antivirus poiché, dal momento che il virus non poteva essere disaccoppiato dalle macchine che aveva infettato, era assai complicato studiarlo in laboratorio.

Messi in guardia da questa nuova generazione di malware , Royal e colleghi hanno cominciato a studiare la possibilità che i creatori di virus informatici possano ulteriormente raffinare questa tecnica per ottenere virus ultrapersonalizzati. Il loro lavoro ha dimostrato che è effettivamente possibile criptare alcune componenti fondamentali di un programma malware utilizzando codici basati su informazioni ottenute dalla macchina infettata, rendendo virtualmente impossibile analizzare il virus in una macchina diversa da quella colpita.

Volendo, il processo con cui un antivirus analizza e identifica un virus può essere paragonato ai meccanismi del nostro sistema immunitario. Solitamente, un produttore di antivirus sottopone vari esemplari di malware a un sistema di analisi automatizzato che è in grado di stabilire quali siano le caratteristiche fondamentali per identificare uno specifico virus. Allo stesso modo, le cellule del  nostro sistema immunitario analizzano e archiviano sequenze di amminoacidi (antigeni) che costituiscono la “firma” di determinati patogeni e producono anticorpi calibrati per riconoscere specifici antigeni.

Mantendo il paragone con il sistema immunitario, proviamo allora a immaginarci un tipo di virus che sia in grado di infettare (e quindi di sopravvivere) solo le cellule di un determinato organismo. Per sviluppare un vaccino, solitamente è necessario coltivare il ceppo virale in una coltura di cellule, nel caso di un virus ultrapersonalizzato come quello ipotizzato, si dovrebbe obbligatoriamente creare una coltura cellulare partendo dalle cellule dello stesso individuo infettato. Come potrebbe coniugarsi un approccio simile in ambito informatico? C’è chi, come Robert Lemos del MIT , ipotizza che le aziende che producono antivirus possano creare macchine virtuali che appaiano del tutto identiche al computer dell’utente vittima del virus. Un’operazione che potrebbe risultare dannatamente costosa e allo stesso tempo rivelarsi inefficace, dal momento che i creatori di malware personalizzati potrebbero fare in modo di correlare il virus non solo alla macchina infetta ma anche alla sua ubicazione geografica.

Attenzione, però, l’eventuale comparsa di simili virus informatici non significherebbe una totale sconfitta delle tecniche di prevenzione e di rimozione dei virus informatici, semplicemente richiederebbe lo sviluppo di nuovi meccanismi potenzialmente molto più costosi. Attualmente, i produttori di antivirus fanno fronte alle legioni di nuovi malware che compaiono in Rete ogni anno utilizzando sistemi di analisi automatizzati. Con virus ultrapersonalizzati questo sistema non sarebbe più efficace. In assenza di un’efficace contromisura, minacce informatiche di questo tipo andrebbero affrontate in maniera selettiva e chirurgica, utilizzando processi molto più lunghi e dispendiosi.

Considerando che ogni anno vengono contati 400 milioni di nuovi software malevoli, la mancanza di un sistema automatizzato per arginare gli attacchi costituirebbe un problema molto serio.

Seguimi su Twitter: @FazDeotto