Sergey Ulasen è il responsabile della sezione “Anti-Virus Kernel” di VirusBlokAda, una piccola società informatica della Bielorussia specializzata in sicurezza informatica. Lo scorso 17 giugno Ulasen era al lavoro nel suo ufficio di Minsk quando ricevette una strana email da un cliente in Iran: il suo computer continuava a riavviarsi e non c’era verso di fermarlo. L’esperto di sicurezza si mise al lavoro e insieme a un collega identificò un virus informatico, ancora sconosciuto, che aveva infettato la copia di Windows del cliente iraniano. La storia la racconta Michael Joseph Gross in un lungo articolo su Vanity Fair dove si ipotizza che il virus fosse alla base di un atto di guerra vero e proprio, seppur virtuale, contro il programma nucleare di Teheran.
Il virus impostore
Il virus sfruttava una falla “zero day”, come dicono gli esperti di informatica: una vulnerabilità del sistema operativo di Microsoft non ancora nota. La scoperta di un simile malfunzionamento, che mette potenzialmente in pericolo la sicurezza di milioni di computer, viene affrontata con grande attenzione dalle società che producono antivirus e dalla stessa Microsoft, che cerca sempre di correre ai ripari il più rapidamente possibile.
Il virus scoperto da Ulasen era particolare, perché utilizzava un modo per propagarsi prima sconosciuto. Metti una penna USB contenente il virus in un portatile e il virus si intrufola clandestinamente, caricando due file: un rootkit dropper (che consente al virus di fare ciò che vuole sul computer, come spiega un hacker: «”Root” significa che tu sei Dio») e un sistema per diffondere del codice malevolo così criptato da essere, per Ulasen, indecifrabile.
Ben congegnato, il virus era riuscito a nascondersi nel computer del cliente di Ulasen usando una firma digitale affidabile e diventando così difficilmente rintracciabile. Semplificando: ogni programma utilizza una firma digitale, un segno di riconoscimento, per provare la propria affidabilità al sistema operativo. A volte chi programma i virus usa firme fasulle per trarre in inganno i sistemi di sicurezza, ma per la prima volta un programma malevolo usava una firma digitale autentica ottenuta in qualche modo da Realtek, una delle più grandi società produttrici di componenti per computer.
Non avendo idea dello scopo del virus, il 5 luglio Ulasen inviò la segnalazione a un amico in Germania, che gli diede poi una mano a preparare un breve resoconto da inviare al Microsoft Security Response Center. Il giorno seguente la società confermò di aver ricevuto la segnalazione e di essere al lavoro per risolvere il problema, così il 12 luglio Ulasen decise di condividere la propria scoperta su un forum di esperti di sicurezza informatica. In un paio di giorni, un informatico tedesco riuscì a scoprire che l’obiettivo finale del virus erano i controllori logici programmabili (PLC), i computer utilizzati nell’industria per gestire i processi negli impianti industriali, sia di produzione che di controllo.
Il 15 luglio Microsoft pubblicò una prima serie di soluzioni per risolvere il problema su Windows e rendere inoffensiva l’azione del virus. Al momento della pubblicazione della soluzione, il virus aveva però già infettato almeno 15mila computer, con picchi notevoli in Asia, specialmente in India e Indonesia, e con volumi anomali soprattutto in Iran. Il programma malevolo venne battezzato per praticità “Stuxnet”, l’anagramma di alcune lettere contenute nel suo codice.
Il problema non era, però, del tutto risolto. Il giorno prima che Microsoft rilasciasse i propri consigli, gli autori del virus cambiarono la firma digitale di Realtek, ormai scoperta, con un nuovo certificato sempre autentico di un’altra società. Questo diede al sistema una settimana in più per diffondersi, prima che la nuova firma rubata venisse identificata e ritirata dalla circolazione. I programmatori del virus questa volta non reagirono, evitando di aggiornare per una terza volta il loro programma malevolo, cosa che consentì a Microsoft e alle altre società che si occupano di sicurezza informatica di arginare la diffusione del virus.
Arriva Kaspersky
Microsoft era arrivata a risolvere il problema anche grazie alla collaborazione di Kaspersky Lab, una società russa specializzata nella produzione di antivirus fondata da Eugene Kaspersky nel 1997. Nato nel 1965 a Novorossijsk, il principale porto russo sul Mar Nero, Kaspersky si è laureato in Crittografia, Telecomunicazioni e Scienze Informatiche a Mosca, in un istituto sostenuto dal ministero della Difesa e dal KGB nel 1987. È appassionato di automobili, guida una Ferrari e sponsorizza un team di Formula 1, ed è un fan dell’attore Jackie Chan, tanto da averlo scelto come testimonial della propria società.
Insieme ai propri colleghi, Kaspersky rimase sorpreso dalle informazioni fornite da Microsoft su Stuxnet. Il virus non era come tutti gli altri e apriva un nuovo capitolo nella lotta contro i programmi malevoli, un capitolo molto redditizio per le società che come quella di Kaspersky lavorano per contrastare i virus, all’occorrenza in modo strumentale per lucrare sulle preoccupazioni di chi usa i computer e teme di perdere dati e informazioni preziosi.
