CARTOLINE DALL’INFERNO TUTTO IL MALWARE CHE CI ASPETTA


Dall’analisi degli eventi di security dell’ultimo anno
emerge con prepotenza il livello di sofisticazione degli attacchi informatici in termini di mezzi e conoscenze dispiegate. Se un giorno fosse possibile convogliarne la forza d’urto verso obiettivi come i calcolatori che reggono le infrastrutture essenziali della maggior parte dei Paesi, banche, provider telefonici, commodity, sanità, difesa, traffico aereo, i danni sarebbero incalcolabili

DECLINO E MUTAZIONE DELLO SPAM. IL CASO KOOBFACE

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Lo spam in circolazione sta diminuendo. Lo apprendiamo dall’Economist che cita i numeri forniti da Cisco (www.cisco.com). A partire dal luglio del 2010 il volume delle e-mail spazzatura ha iniziato a ridursi e rispetto allo stesso periodo del 2009 si è quasi dimezzato. La ridotta efficacia dello spam su scala globale è il risultato di una serie di azioni coordinate di numerosi attori condotta su diversi piani.

Maggiore efficacia dell’azione investigativa

Nel marzo scorso, dopo quasi due anni di indagini, la polizia spagnola in collaborazione con l’Fbi ha sgominato la banda di cybercriminali che controllava Mariposa, forse la più importante rete di computer zombie (botnet) al mondo. L’operazione ha portato all’arresto del “cervello” dell’operazione, un giovane basco di 31 anni – conosciuto su Internet con lo pseudonimo di netkairo o hamlet1917 – responsabile della violazione di circa 13 milioni di computer in 190 Paesi. Mariposa controllava un numero imprecisato di macchine all’insaputa dei loro proprietari, privati, imprese, servizi pubblici, delle quali si serviva per inviare spam, sferrare attacchi mirati e sottrarre dati personali o finanziari.

Tecnologie più efficaci

La maggior parte delle tecnologie antispam in commercio riesce a bloccare almeno il 98% dei messaggi spazzatura in circolazione, una percentuale più che sufficiente per fare abbassare la soglia di attenzione al problema al normale utilizzatore di Pc. L’unico inconveniente è che i filtri antispam, in particolare quelli forniti dalla maggior parte dei client di posta, a volte vedono come spam messaggi legittimi, ma con l’utilizzo di servizi online come Gmail o Yahoo o direttamente dei servizi dei vendor di sicurezza il problema quasi scompare.

Misure di natura tecnico-amministrativa

Da sempre gli spammer necessitano di molti nomi di dominio per eludere i filtri. In passato per mettere in piedi una singola truffa potevano arrivare ad acquistare sino a diecimila indirizzi. Oggi registrazioni di questa grandezza sono diventate più complicate. Per esempio in Cina, dove le registrazioni massive di domini cinesi effettuate dalla Russia avvenivano normalmente, oggi sono soggette a controlli più severi. E anche negli USA la Casa Bianca, dopo aver toccato con mano l’entità delle truffe farmaceutiche in rete, ha deciso di prestare maggiore attenzione all’attività dei Registrar, le società che gestiscono i nomi di dominio. Anche il vecchio sistema del freelance pagato per canalizzare il traffico verso siti che vendono merce contraffatta, basato su milioni di mail inviate da più computer, sta raggiungendo il suo limite. Già nel 2008 i ricercatori dell’Ucla (University of California, Los Angeles) erano riusciti a misurare il successo dello spam: 28 vendite su 350 milioni di e-mail inviate. Da allora la percentuale di successo è diminuita ancora, ed è improbabile che un’attività con così scarse possibilità di successo possa continuare a lungo.

Risultati

Lavorando su tutti gli anelli della catena, dal contenuto delle mail all’indirizzo del mittente, l’efficacia dell’azione coordinata di più attori ha reso possibile il blocco di più del 98% dello spam in circolazione.

Spammer creativi

Nemmeno agli spammer però difetta la creatività. Se le vendite non funzionano, perché non passare direttamente al furto, magari utilizzando un trojan che setacci il Pc infetto alla ricerca di password, numeri di carte di credito e quant’altro. Questo tipo di spam rappresenta oggi circa il 5% del totale ed è in forte ascesa. Gli spammer hanno imparato a sfruttare la fiducia degli utenti e – come abbiamo visto nel numero di novembre di Data Manager – i social network sono la palestra ideale per esercitarsi. Un link ben piazzato sui principali social network ha discrete possibilità di essere cliccato. Per esempio quelli dei messaggi di Twitter sono cliccati venti volte di più rispetto alle e-mail. Per i responsabili di Twitter lo spam rappresenta solo l’1% del traffico generato. Ma team indipendenti di ricercatori hanno dimostrato che almeno l’8% dei link pubblicati conduce a truffe e trojan.

Koobface

Su questo meccanismo faceva leva per esempio Koobface, un trojan operante anche su Mac, il cui terreno d’elezione e propagazione è quello del social network più conosciuto di cui riproduce in anagramma il nome. Dopo aver creato un proprio account su Facebook il virus inviava messaggi che, attraverso un link, rimandavano a un sito clone di YouTube, traendo in inganno gli utenti. Per i gestori della botnet il guadagno derivava dal dirottamento sia dei click online sia di quelli che conducevano al download del virus. Anche se preso singolarmente il semplice click produceva un piccolo danno, gli effetti cumulativi della botnet sono stati più che soddisfacenti, fruttando, secondo alcune stime, almeno due milioni di dollari. La frode è stata bloccata. Ma l’operazione che ha portato allo spegnimento dei server della botte, condotta servendosi di un Internet service provider della Gran Bretagna, ha visto impegnate forze dell’ordine ed esperti d’informatica sui due lati dell’oceano. Koobface è solo uno degli esempi della capacità degli spammer di riconvertirsi in fretta verso lidi più redditizi.

CONFICKER

La scoperta di Conficker, il virus annidatosi in milioni di computer, risale alla fine di novembre del 2008, ma gli esperti ritengono che gli effetti del contagio, lungi dall’essersi esauriti, rappresentino ancora oggi un potenziale pericolo. Sfruttando una vulnerabilità delle versioni 2000, XP e 2003 Server di Microsoft, il virus nel giro di 24 ore si diffonde sulla rete a velocità esponenziale infettando un gran numero di macchine.

Funzionamento

Conficker occupa fisicamente una vulnerabilità e, una volta penetrato nel sistema, non permette ad altri virus di entrarvi, chiudendo la porta di accesso ed eliminando la concorrenza di tutti gli altri virus; Conficker mantiene un canale di comunicazione con un centro di comando con il quale rimane in contatto attraverso messaggi molto brevi, non più di duecento byte. La comunicazione avviene in questo modo: Conficker genera una lista casuale di indirizzi, almeno 250, che giornalmente chiama. Uno solo di questi, corrispondente all’indirizzo del server che lo controlla a distanza, è quello da contattare. La lista viene generata a un’ora prestabilita, agganciata a quella del Pc infetto, che però cambia di volta in volta rendendo vano ogni tentativo di prevedere le mosse del virus. Quest’ultimo è programmato per disabilitare il system restore, la funzionalità di ripristino del sistema e per autodistruggersi se l’IP del Pc infetto è ucraino, a meno che non sia in modalità d’attacco, cioè voglia propagarsi, e in questo caso si limita semplicemente a non prendere in considerazione gli indirizzi IP ucraini. La versione successiva di Conficker è in grado di generare i nomi non più da cinque, ma da otto domini di primo livello; modifica le impostazioni della scheda di rete per aumentare la velocità di connessione e quindi diffondersi ancora più velocemente; si diffonde anche con una semplice chiavetta Usb mettendo in pericolo anche le cosiddette reti chiuse. Soprattutto le comunicazioni con il centro di comando criptate avvengono impiegando come procedimento crittografico l’MD-6, un sistema più avanzato di quello attualmente standard, lo Sha-2 (Secure hash algorithm 2). Addirittura dopo che si seppe che l’MD-6 conteneva un errore poi corretto, la versione successiva di Conficker integrò il nuovo algoritmo corretto. All’inizio del 2009 Conficker aveva infettato milioni di macchine. Quel che era peggio è che gli utilizzatori di Pc nella maggior parte dei casi non lo sapevano neppure. Nel marzo del 2009 venne individuata una terza variante di Conficker che incorporava, se possibile, funzionalità ancora più avanzate. Il virus era in grado di generare fino a 50mila indirizzi al giorno. Tutti i computer infettati dalla variante B raggiungibili sarebbero stati aggiornati alla variante C. Nell’aprile del 2009 Conficker compie un’ennesima trasformazione, spostandosi su un terreno di scontro al di fuori della portata di chi fino a quel momento aveva tentato di contrastarlo, adottando i sistemi di comunicazioni peer-to-peer. Ora un computer infetto è in grado di diffondere il virus direttamente su tutte le macchine con cui entra in contatto. Inoltre Conficker non ha più bisogno di collegarsi alla propria centrale per ricevere gli ordini, perché questi possono essere distribuiti sfruttando le macchine infette. Conficker ha creato una botnet stabile di Pc infetti che si stima arruoli tra le sue fila non meno di 100mila macchine e, secondo alcuni, sino a dodici milioni di sistemi infetti.

Leggi anche:  Il report X-Force rivela le principali minacce per il cloud

STUXNET

Stuxnet è probabilmente il primo worm ideato per attaccare gli impianti di controllo della rete elettrica, del gas e delle centrali nucleari. Soprattutto questa propensione conferisce al virus un’improvvisa notorietà. A farne le spese per primi sono gli iraniani, ma il worm viene in seguito rilevato anche in India, USA, Indonesia e Cina. Secondo gli esperti Stuxnet aggrega in maniera creativa numerosi linguaggi di programmazione e funzionalità non molto innovative prese singolarmente, ma che combinate gli conferiscono una connotazione originale e complessa. Le analisi sin qui condotte hanno delimitato gli obiettivi del worm e decifrato le dinamiche dell’attacco. Molto probabilmente la propagazione è avvenuta attraverso chiavette Usb infette. I danni provocati da Stuxnet sono scaturiti dalla sollecitazione estrema e improvvisa alla velocità dei motori che governano le centrifughe utilizzate per l’arricchimento dell’uranio. La conferma che Stuxnet ha danneggiato le centrifughe dei siti nucleari iraniani, è arrivata dallo stesso presidente iraniano Ahmadinejad che lo scorso novembre ha dichiarato in conferenza stampa che “i nemici dell’Iran” avevano creato problemi “a un numero limitato di centrifughe grazie al software installato in alcune parti elettroniche”. Alla luce delle ammissioni di Ahmadinejad hanno trovato conferma le ipotesi degli esperti di sicurezza che ritenevano due gli obiettivi di Stuxnet, le centrifughe e le turbine del reattore nucleare iraniano di Bushehr.

Paternità del worm

Sebbene la paternità del worm sia ancora dubbia, Israele e Cina sono i Paesi sui quali si sono addensati i maggiori sospetti. Secondo Scott Borg, direttore della US Cyber Consequences Unit (www.usccu.us/), un centro di ricerca indipendente  che studia i fenomeni cyber, le possibilità che Stuxnet sia stato creato in Israele sono elevatissime: «Per ragioni politico-strategiche oggi possiamo affermare che al 90% il virus sia stato prodotto in un laboratorio israeliano», uno di quelli utilizzati dall’unità 8200 dell’intelligence israeliana, reparto di punta nella produzione di software con finalità militari. Non la pensa allo stesso modo Jeffrey Carr, Ceo di Taia Global (www.taiaglobal.com), società specializzata in sicurezza IT che ha raccolto una serie d’indizi che porterebbero alla Cina, se non come esecutrice almeno come mandante.

 

Pericolosità del virus

Per Eugene Kaspersky, co-fondatore e Ceo di Kaspersky Lab (www.kaspersy.com), la comparsa di Stuxnet segna un punto di svolta nel campo della sicurezza, l’apertura del classico vaso di Pandora: «Se in passato c’erano solo criminali informatici, oggi, e spiace dirlo, è tempo di cyberterrorismo, cyberarmi e cyber guerre». Secondo gli esperti dei Kaspersky Lab il worm sfrutterebbe quattro vulnerabilità separate zero-day. «I nostri analisti hanno illustrato tre di queste vulnerabilità a Microsoft e si sono con loro coordinati durante le fasi di creazione e rilascio delle fix», ha dichiarato Kaspersky in occasione dell’incontro annuale con partner e clienti tenutosi a Monaco di Baviera lo scorso settembre. Gli esperti di Kaspersky sono stati tra i primi a rilevare che Stuxnet utilizzava due certificati validi, emessi da Realtek e JMicron, utilizzati per far sì che una volta individuato il worm non si concentrasse troppo l’attenzione degli analisti. Sembra oggi acclarato che chi ha sviluppato Stuxnet ha potuto disporre sia di ingenti risorse sia di accessi privilegiati a informazioni proprietarie relative a una o più installazioni industriali in Iran. Ora le prime sono al di fuori della portata della maggior parte dei gruppi hacker anche se provvisti delle motivazioni adeguate per creare un worm che voglia colpire un sistema di controllo industriale; le seconde invece si accompagnano a conoscenze avanzate di programmazione e dei sistemi di controllo industriale. Tutto questo però non prova che gli impianti nucleari fossero l’unico target di Stuxnet. I convertitori sono impiegati per controllare turbine, ingranaggi seghettati, torni e si trovano sia in impianti chimici sia in impianti di condotta (pipelines) del gas. Inizialmente gli esperti ritenevano che il worm fosse stato ideato per colpire unicamente alcuni apparati controllati da sistemi Siemens di fabbricazione tedesca. Ma in uno studio pubblicato alla fine di novembre da alcuni esperti di Symantec si sostiene che il vero obiettivo era quello di rendere inutilizzabili i convertitori di frequenza (frequency converters), che regolano la velocità di un motore. E in particolare per attaccare quelli fabbricati dalle aziende Fararo Paya in Iran e Vacon in Finlandia. Uno studio condotto dal Dipartimento della sicurezza interna USA ha raggiunto analoghe conclusioni. Secondo Borg gli ideatori hanno volutamente limitato i danni che «non [sono] stati tali da impedire nel medio periodo la produzione nucleare», rileva Scott Borg che, citando l’intelligence israeliana, afferma che i danni provocati hanno rallentato i programmi nucleari iraniani, ipotizzando uno slittamento di circa due anni rispetto alla timeline prevista.

Leggi anche:  ESET World 2024, l'IA trasforma la sicurezza globale

IL CASO SPANAIR

Al rientro dalle vacanze estive i giornali sono notoriamente assetati di nuove storie da dare in pasto ai loro lettori. Una di queste, il disastro aereo di un velivolo della compagnia iberica Spanair, è a suo modo emblematica. Già nei giorni successivi allo schianto alcuni media ipotizzarono il possibile coinvolgimento di un virus informatico nel disastro, interpretazione accentuata dai titoli di quei giorni: “È stato il malware a causare lo schianto del McDonnell Douglas DC-9-82?”; “lo schianto del DC-9 Spanair conferma la pericolosità delle chiavette Usb virate”; “Malware Assassino: può un virus informatico uccidere?”; “Il malware responsabile nello schianto aereo Spanair”. Come da prassi sull’incidente aereo una commissione investigativa ufficiale ha redatto un rapporto interno che ricostruisce la complessa sequenza di eventi che ha condotto al disastro aereo. Le cose in sintesi sembrerebbero essere andate in questo modo. L’impianto di riscaldamento era in funzione a bordo del velivolo a terra mentre doveva essere funzionante solo in volo. Ad accorgersene per primo fu il pilota in fase di rullaggio. Poiché l’attivazione dell’impianto era necessaria solo in determinate condizioni atmosferiche che non erano peraltro previste prima del decollo, i meccanici lo disabilitarono e il pilota, come prevedevano le procedure, procedette al decollo. Superati i controlli preliminari, forse a causa del ritardo nel decollo e dalla presenza di una terza persona nella cabina, il pilota si dimenticò di abbassare i deflettori e le alette, le superfici mobili delle ali, poste ai bordi d’attacco rispettivamente posteriore e anteriore; questa grave negligenza è indicata nel rapporto come una delle cause immediate del disastro. Un sistema d’allarme in funzione in fase di decollo avrebbe dovuto segnalare il pericolo, ma a sua volta questo sistema era alimentato da un relé alla cui rottura si imputa la causa più probabile del malfunzionamento dell’impianto di riscaldamento. Che cosa c’entra il malware in tutto questo? Il computer utilizzato per registrare tutti i malfunzionamenti meccanici era virato. È ipotizzabile che ciò abbia impedito la registrazione dei due guasti descritti (impianto di riscaldamento e relé). Ed è altresì possibile che se questi malfunzionamenti fossero stati correttamente registrati, il velivolo sarebbe stato lasciato a terra, sebbene quest’ultima decisione sarebbe dipesa anche dalle policy di sicurezza della compagnia. Allo stesso tempo è anche possibile che nulla sarebbe stato comunque fatto: in primo luogo perché, come abbiamo già rilevato, date le condizioni atmosferiche al momento della partenza, disabilitare l’impianto di riscaldamento non rappresentava un rischio; se qualcuno poi avesse anche solo ipotizzato che il malfunzionamento all’impianto poteva essere stato provocato dal guasto di un relè importante, è probabile che una qualche misura di sicurezza sarebbe stata adottata; ma dai rapporti non emerge che ciò fu compreso se non dopo il disastro. Dal punto di vista della sicurezza questa vicenda evidenzia come sia difficile riuscire a spiegare un evento attraverso l’individuazione di una causa unica, per quanto accurata e profonda possa essere l’analisi dell’evento. Oggi poi che l’attenzione verso le problematiche legate al cyberwarfare è aumentata, questa consapevolezza dovrebbe portarci ad analizzare gli eventi legati a un incidente con grande umiltà. Troppe volte vengono descritte situazioni in cui funzionari anche ai massimi livelli di responsabilità sostengono di conoscere con precisione obiettivi, autori e mandanti di un atto di cyber terrorismo e poi si scopre che tutti i presupposti su cui si fondavano queste convinzioni erano errate. Il secondo insegnamento che si può trarre è che i sistemi complessi falliscono in modi complessi. Nel disastro aereo discusso abbiamo un probabile malfunzionamento di un relé, degli errori umani, un singolo punto di rottura nascosto che potrebbe aver provocato il comportamento anomalo dell’impianto di condizionamento e aver disabilitato l’attivazione di un sistema d’allarme cruciale, e un sistema di supporto che – è possibile – sebbene improbabile secondo molti osservatori – se non infettato da malware avrebbe potuto impedire il decollo del velivolo. I sistemi di sicurezza che ci circondano sono collegati tra loro attraverso complessi sistemi d’interconnessione simili che potrebbero nascondere modalità di malfunzionamento analoghe, attivabili almeno in teoria da un malintenzionato. Consideriamo infine le responsabilità dell’informazione verso il pubblico. Spesso i giornalisti, anche quelli che scrivono su riviste tecniche, non sono dei tecnici. Per questo si rivolgono a degli esperti e a essi fanno affidamento. Questi ultimi devono prestare molta attenzione ai messaggi che veicolano; spiegare non solo i fatti, ma anche quello che implicano. E assicurarsi che i giornalisti abbiano ben compreso ciò che viene loro detto. Anche i tecnici sbagliano, e ci mancherebbe, e questa consapevolezza dovrebbe frenarli dal formulare conclusioni perentorie. Quando, come in questo caso, i media si spingono troppo in là nel formulare delle conclusioni senza negare le loro responsabilità, bisogna anche saper riconoscere che forse certe conclusioni si devono a una comunicazione imperfetta.

VELOCITÀ DI PROPAGAZIONE E PERICOLOSITÀ DEL MALWARE

Nel 2008 Sophos (www.sophos.com) censiva la nascita di circa 20mila “nuovi” malware al giorno. Nella prima metà del 2010 il numero era triplicato. Su cifre analoghe si attestano le rilevazioni di altre aziende importanti di sicurezza. McAfee (www.mcafee.com) parla di circa 55mila “nuovi malware” giornalieri e più o meno le stesse cifre sono confermate da Panda Security (www.pandasecurity.com). Meno accessibili, invece, studi indipendenti sul fenomeno. Anche la mancanza di dati qualitativi sul malware inibisce la nostra comprensione del reale impatto di quello in circolazione. In questo senso i numeri forniti dai vendor non ci dicono molto. Decontestualizzati, senza cioè considerare le metodologie con cui queste rilevazioni vengono effettuate, diventa difficile elaborare delle strategie appropriate di difesa. «In Gran Bretagna molte aziende hanno investito nel corso degli anni cifre considerevoli in tecnologia e risorse per mettere in sicurezza le loro reti, i loro utenti e i propri dati. Assicurarsi che quanto hanno messo in campo sia efficace e che stanno ricavando il massimo dai loro investimenti è per loro molto importante», ci conferma Robert Civil, UK manager di Tufin Technologies (www.tufin.com). Secondo alcuni esperti la proliferazione del malware in circolazione non implicherebbe l’aumento del livello di pericolo. Cosa significa in effetti nuovo malware? Qualche anno fa molti vendor classificavano i virus sulla base degli hashes generati dall’MD5; ma con questo sistema aggiungendo una stringa, oppure anche un singolo carattere, il virus reimpacchettato e rimesso in circolazione diventava pronto per essere registrato alla voce nuovo malware. Oggi molti vendor utilizzano le signatures, le firme per catalogare il nuovo malware. Ma anche questo approccio presta il fianco a numerose critiche. Ogni sforzo di un criminale informatico di aggirare le difese di un antivirus creando nuove signatures finisce per ingrossare le fila di tutto quello in circolazione.

Leggi anche:  Nel 2025 ransomware quantum-proof e progressi delle cyberminacce mobile nel settore finanziario

Soluzioni alternative

Il mero conteggio di varianti di malware in sé non è dunque molto indicativo. Piuttosto andrebbero adottati differenti approcci e implementate nuove metriche per stabilire in che misura gli sforzi di aziende, istituzioni e utilizzatori finali dovrebbero aumentare per rimanere sicuri. Una misura più significativa potrebbe essere quella di conteggiare solo quei virus che riescono a eludere per un certo lasso di tempo le misure di sicurezza erette dagli antivirus. «Citare semplicemente il numero elevato delle varianti di malware può essere contro produttivo – ci dice Peter Wood, Ceo di First Base Technologies (www.fbtechies.co.uk/) e membro dell’Isaca (International System Audit and Control Association) Security Advisory Group, l’organismo che riunisce le associazioni professionali di sicurezza -; molto più utile potrebbe essere invece classificare il potenziale impatto delle varie tipologie di malware, insieme all’elenco dei controlli di sicurezza da effettuare per proteggersi», argomenta Wood. Dal canto loro i vendor di antivirus sono in continua trasformazione: i loro processi si vanno facendo sempre più automatizzati in parallelo con la migrazione delle proprie infrastrutture verso il cloud. In questo senso McAfee stima che per meno del 5% del malware sia necessario l’intervento di un tecnico per analizzarlo. «Per tenere testa al rimanente 95% dobbiamo continuamente adeguare i nostri sistemi di back-end», si legge sul blog di David Marcus, security research and communications manager di McAfee (http://blogs.mcafee.com/author/david-marcus). La sfida che i sistemi di sicurezza devono affrontare è duplice: da un lato proteggere le aziende e le piattaforme applicative più diffuse; dall’altro fronteggiare la crescita esponenziale della velocità di connessione di banda scongiurando il pericolo che Internet collassi soffocato da questa nuova ondata di malware. Oggi nelle reti aziendali i pacchetti viaggiano fino alla velocità di 10Gbps mentre sino a pochi anni fa non si superava il Gbps. In un futuro non troppo lontano viaggeranno a 50/100Gbps. Ora, alla velocità di 1Gbps un sistema di sicurezza deve essere in grado di analizzare fino a 1,5 milioni di pacchetti al secondo, per ogni porta di cui dispone il dispositivo e considerando solo una direzione. I vendor di sistemi di sicurezza dovranno perciò essere in grado di adeguare i loro dispositivi in termini di capacità di processo delle informazioni e di memoria; inoltre i sistemi dovranno essere costruiti in modo da riuscire a fronteggiare l’incremento di malware in circolazione e, come detto, l’aumento di velocità delle reti. Secondo alcuni osservatori, questa situazione porterà a una contrazione del ciclo di vita dei sistemi di sicurezza costringendo le aziende a revisioni sempre più frequenti di hardware e software.

CODICE PIÙ DANNOSO E ATTACCHI PIÙ SOFISTICATI

A emergere con prepotenza dall’analisi degli eventi di security dell’ultimo anno è il livello di sofisticazione degli attacchi informatici sia in termini di mezzi e conoscenze dispiegate sia dal punto vista del loro potenziale impatto. La storia di Conficker è esemplare. Fortunatamente i danni provocati sino a oggi sono stati tutto sommato limitati. La carica è stata attivata una volta sola e solo per innescare del banale spam; ma tanto è bastato per dimostrare, dietro a un’apparenza dimessa, la pericolosità devastante del virus. Ancora oggi gli investigatori non credono che, almeno nell’immediato, sia possibile eliminarlo. Quello di cui sono certi però è che Conficker ha infettato un gran numero di macchine delle quali qualcuno potrebbe impadronirsi al momento opportuno per gettare nel caos i sistemi di mezzo mondo. Se un giorno fosse possibile convogliare la forza d’urto di tutti questi computer per mezzo di un virus, come gli autori di Stuxnet hanno dimostrato di poter fare, verso pochi ma vitali obiettivi come i calcolatori che reggono le infrastrutture essenziali della maggior parte dei Paesi, banche, provider telefonici, commodity, sanità, difesa, traffico aereo, i danni sarebbero incalcolabili. Non dimentichiamo che un attacco informatico ha almeno due vantaggi rispetto a un’operazione militare. Il committente ha buone possibilità di farla franca e di risparmiare preziose risorse economiche. Produrre un virus in laboratorio, per quanto complicato e costoso, è più conveniente che pianificare un intervento militare anche su obiettivi esposti come fabbriche, centrali elettriche, raffinerie, capace di sortire gli stessi effetti. Le conseguenze sulla collettività derivanti dall’interruzione per mesi delle attività di una struttura di valore strategico potrebbero essere catastrofiche. Una regione di media grandezza privata per mesi dalla fornitura di energia elettrica causerebbe un danno economico paragonabile a quello provocato da un’offensiva nucleare. Tutti i Paesi, anche quelli occidentali, sono più vulnerabili di quanto generalmente si ritenga. Basti considerare un aspetto della globalizzazione, il trasferimento in oriente di una parte rilevante della produzione manifatturiera; questa scelta ha lasciato molti Paesi occidentali in una posizione strategica debole; l’attacco a una centrale elettrica potrebbe rivelarsi fatale se per ipotesi tutti i componenti di un generatore elettrico realizzati in Cina non fossero immediatamente disponibili. Da anni alcuni Paesi investono somme elevate per sviluppare software in grado di interrompere l’intero sistema produttivo di uno stato. Su questi aspetti ancora poco considerati i governi dovrebbero riflettere e agire.