ILOVEYOU: il virus che amava tutti

Oggi vi raccontiamo la storia del worm ILOVEYOU, uno dei virus più noti, che risale a ventidue anni fa.

Facciamo un tuffo nel passato, fino al mese di maggio 2000. Un giorno come un altro in ufficio: accendete il vostro PC, vi connettete a Internet e scaricate le nuove e-mail da Microsoft Outlook. Vi accorgete immediatamente di uno strano messaggio che ha per oggetto “ILOVEYOU”. Una persona che conoscete vi confessa il suo amore. Forse qualcuno che era a scuola con voi… Aspettate, no! Meglio ancora: il vostro superiore.

Chiunque sia, riesce ad attirare la vostra attenzione. Cliccate sull’allegato “LOVE-LETTER-FOR-YOU.TXT.VBS” e… non accade nulla. Qualche tempo dopo, invece, scoprite che alcuni importanti documenti che si trovavano sul vostro disco fisso sono stati danneggiati in modo irreparabile e tantissime lettere d’amore, simili alla vostra, sono state inviate a vostro nome a tutti i contatti della rubrica.

Esempio di messaggio contenente il worm ILOVEYOU

Un’e-mail che contiene il worm ILOVEYOU assomigliava a qualcosa del genere nel vecchio client di posta elettronica Microsoft. Fonte

ILOVEYOU non è stato il primo malware a sfruttare una falla nel client di posta di Microsoft ma ha sicuramente dato il via a una delle più gravi epidemie all’inizio del nuovo millennio. Ora torniamo alla nostra storia e parliamo di come abbia modificato la nostra percezione verso i sistemi di sicurezza informatica.

Lo scenario: la rete è la tecnologia più trendy

Correva l’anno 2000… Oggi, nel 2022, sembra proprio preistoria. Date un’occhiata agli archivi dei siti web di quei giorni o tirate fuori dal cassetto un vecchio laptop Windows 98 e cercate di ricordare i programmi che utilizzavamo. Sembra l’età della pietra, vero? Beh, non proprio in realtà. Naturalmente la tecnologia a cavallo del nuovo millennio era quasi rudimentale in confronto agli standard odierni. La maggior parte degli utenti si connetteva alla rete grazie al modem, ed era tutto mostruosamente lento. Tuttavia, esistevano già allora prototipi di quasi tutti i servizi di rete moderni.

Non esisteva lo streaming video ma era disponibile quello radio. Esistevano vari tipi di messaggeria online. Il business e-commerce si stava sviluppando a velocità vertiginosa, sebbene risultasse comunque più rapido telefonare direttamente al negozio piuttosto che trasmettere un ordine via web.

Tendenzialmente, nel 2000, ogni tecnologia di rete o ogni servizio con il prefisso “e-” (ossia elettronico!) attirava parecchia attenzione e investimenti. Solo poco più tardi, nel 2001, molti rimasero delusi a causa della bancarotta di varie startup online. L’industria perse un poco di popolarità ma, allo stesso tempo, guadagnò più buonsenso.

L’uscita del celebre film C’è posta per te, nel 1998, via di mezzo tra una commedia romantica e uno spot pubblicitario per il gigante di allora America Online, fu una chiara indicazione di quanto Internet fosse già diffuso.

Per quanto riguarda noi, è importante ricordare che alla fine degli anni ’90 Internet non era più un luogo per soli privilegiati: nel 2000, centinaia di milioni di persone erano già online. Di conseguenza, un’e-mail era ormai diventata un mezzo molto importante per comunicare e collaborare, sia all’interno di aziende e agenzie governative sia per gli utenti privati.

Ma improvvisamente, nel mese di maggio 2000, la “trasformazione digitale”, come verrà chiamata molto più avanti, registrò una battuta di arresto a causa del virus ILOVEYOU. Diverse società furono costrette a sospendere temporaneamente i loro server di posta che, molto semplicemente, non erano in grado di gestire il flusso di decine di migliaia di messaggi d’amore.

I precedenti: Concept.B e Melissa

Tecnicamente, ILOVEYOU dovrebbe essere classificato come un worm di rete: un programma malevolo che si diffonde attraverso la rete. Un altro elemento chiave di ILOVEYOU era rappresentato dal fatto che l’infezione iniziale avveniva con un semplice programma VBscript. VBscript, a sua volta, si sviluppava su una concezione di macro ancora più vecchia. Si trattava, essenzialmente, di programmi semplici che permettono di automatizzare determinate azioni, ad esempio mentre lavorate con documenti.

Quasi sempre, le macro sono utilizzate per eseguire calcoli complessi in fogli elettronici, come Microsoft Excel. Fin dall’inizio, sono state supportate anche su Microsoft Word – per esempio, al fine di generare automaticamente report da dati inseriti in un modulo.

Nel 1995 questa funzionalità di Word fu sfruttata dal virus WM/Concept.A. Questo virus macro infettava i documenti di Microsoft Word e mostrava questo messaggio quando si apriva il documento:

Messaggio all'apertura di un documento infettato dal virus macro Concept.A

Ecco cosa causava l’infezione del virus macro Concept.A. Fonte

E questo è quanto. Non esistevano funzionalità dannose di per sé, solo una finestra particolarmente irritante che continuava a saltar fuori. Un ex dipendente Microsoft, Steven Sinofsky, responsabile per l’azienda dello sviluppo delle soluzioni Office dal 1998 al 2006, nelle sue memorie considera Concept.A il primo segnale: a quel punto fu chiaro che l’automazione implementata in tutte le soluzioni Microsoft poteva essere utilizzata a suo sfavore. Di conseguenza, decisero di visualizzare un avviso prima di eseguire le macro: il documento contiene un programma, sei sicuro di volerlo avviare?

Non appena Microsoft iniziò a adottare le restrizioni all’avvio delle macro, i creatori di malware incominciarono a cercare un modo per bypassarle. Un altro evento che riscosse grande risonanza risale a marzo 1999. Steven Sinofsky lo descrisse in dettaglio: quando controlli le tue e-mail, ricevi un messaggio con un allegato e la frase “Messaggio importante da…” nell’oggetto.

Messaggio infettato dal virus Melissa.

Messaggio infettato dal virus Melissa. Fonte

E poi un successivo da un altro mittente. E un altro ancora. Alla fine, l’e-mail smetteva di funzionare: anche il server di posta elettronica di Microsoft non riusciva a reggere il carico. Si trattava del worm Melissa. Il documento Microsoft Word in allegato conteneva un codice malevolo che inviava un messaggio ai primi cinquanta contatti in rubrica via Outlook.

Tutto ruota intorno all’amore

Il worm ILOVEYOU rappresentava un’evoluzione dei principi utilizzati in Melissa. Non sfruttava alcuna vulnerabilità nei prodotti Microsoft mentre, invece, ne utilizzava le funzionalità standard. L’unico bug era l’assenza di un messaggio di avviso quando lo script veniva lanciato dal client di posta Outlook.

Il funzionamento del worm non si limitava ad inviare messaggi d’amore a tutti i destinatari. Infatti, oltre all’invio di e-mail spam per conto della vittima, era anche in grado di diffondersi tramite l’allora molto popolare sistema di messaggistica IRC. Per di più, il worm scaricava un programma Trojan che inviava le password degli accessi e-mail e internet all’artefice del malware. E infine cancellava, nascondeva o danneggiava i file sul disco rigido: musica in formato MP3, immagini JPEG, vari tipi di script e copie di pagine web.

La mente dietro l’esplosione di ILOVEYOU aveva ripreso elaborazioni di precedenti virus macro, utilizzando uno stratagemma perfetto di ingegneria sociale (come si può ignorare un file che si chiama “I love you”?). Aveva inoltre aggiunto una funzionalità dannosa, sfruttando al massimo la diffusione di un malware automatico.

Se diamo un’occhiata ai report dei media e di Kaspersky di allora, possiamo ricostruire la sequenza degli eventi. Già il primo giorno, il 4 maggio, furono rilevate migliaia di infezioni di sistema. Il 9 maggio, furono riportati 2,5 milioni di casi di computer infetti, il che significava decine di milioni di e-mail in viaggio per il mondo.

L’ideatore del virus non aveva neppure cercato di nascondere il codice malevole sotto le spoglie di un documento Office. Il nome del file “LOVE-LETTER-FOR-YOU.TXT.VBS” sfruttava il fatto che il client di posta elettronica di Microsoft era in grado di visualizzare solo la prima parte di un nome molto lungo, come potete vedere nello screenshot all’inizio dell’articolo. Il codice era in formato aperto e venne presto utilizzato da esperti malfattori per creare varianti diverse del worm. Iniziarono a comparire nell’oggetto altre parole al posto di ILOVEYOU, inclusi avvisi di possibili virus anche piuttosto spavaldi. La variante NewLove, rilevata il 19 maggio, non cancellava i file in maniera selettiva, bensì eliminava ogni informazione su disco rigido.

Le stime finali dell’impatto del virus ILOVEYOU furono le seguenti: venne infettato fino al 10% dei computer connessi a Internet e il danno totale, incluse le azioni dannose delle sue varianti, è stimato intorno a 10 miliardi di dollari. La stampa si occupò ampiamente dell’evento e vi furono anche audizioni al riguardo al Senato degli Stati Uniti.

Gli errori commessi

Nel 2022, conoscendo l’intera storia dall’inizio alla fine, ci si domanda perché non sia stato possibile prevenire la diffusione di un virus così rudimentale seduta stante. Microsoft rilasciò un importante aggiornamento di sicurezza per il client di posta Outlook solo l’8 giugno 2000, introducendo finalmente importanti restrizioni all’avvio degli script. Tutti gli allegati e-mail erano considerati non attendibili per default e venivano avviati dei controlli nel caso di accesso di un’applicazione esterna alla rubrica di Outlook o tentativo di invio di e-mail multiple simultaneamente.

A seguito di un aggiornamento di giugno 2000, il client di posta Outlook avvertiva gli utenti che un'app esterna accedeva alla rubrica e tentava di inviare messaggi multipli simultaneamente.

A seguito di un aggiornamento di giugno 2000, il client di posta Outlook avvertiva gli utenti che un’app esterna accedeva alla rubrica e tentava di inviare messaggi multipli simultaneamente. Fonte

Non lo fecero prima in quanto Microsoft, quando si trovò a dover scegliere tra sicurezza e praticità, preferì la seconda opzione. E lo stesso fecero gli utenti. Tornando al 1995, quando Microsoft inserì un semplice avviso in Microsoft Word (“Questo documento contiene macro”), la società ricevette riscontri negativi dai clienti. In alcune aziende, questa ulteriore restrizione ebbe delle ripercussioni sui processi interni basati su script. Per questa ragione, anche quando venne sviluppata una patch sull’onda di ILOVEYOU, la domanda “Cosa comporterà per gli utenti? “era all’ordine del giorno. Ma questa volta era chiaro che fosse necessario migliorare la sicurezza, e anche abbastanza velocemente.

Vecchi virus, problemi moderni

L’epidemia ILOVEYOU ha sollevato molte domande che sono ancora oggi pertinenti nel campo della sicurezza informatica. La più importante sembra essere: non possiamo distribuire le patch più velocemente? Sicuramente esistevano dei problemi: Microsoft distribuì un pacchetto di patch per Outlook oltre un mese dopo l’inizio dell’epidemia. Inoltre, i meccanismi di distribuzione automatica di questi aggiornamenti erano piuttosto rudimentali; pertanto, era necessario molto tempo prima che epidemie locali di infezione via e-mail potessero risolversi.

Il settore delle soluzioni di sicurezza ha già dimostrato di poter essere molto utile a tale proposito. Come ricorda Eugene Kaspersky, non è stato difficile proteggere gli antivirus degli utenti. Già allora, venne inserito nei software di sicurezza un sistema di distribuzione online di aggiornamenti costanti;  invece, gli sviluppatori di altri tipi di programmi impiegarono molti più anni per implementare uno schema similare per la distribuzione rapida di patch. Poco dopo, furono sviluppati dei metodi di analisi euristica per rilevare e bloccare automaticamente anche script dannosi sconosciuti.

Sebbene la sicurezza per i programmi e i sistemi operativi più diffusi sia enormemente migliorata negli ultimi ventidue anni, gli ideatori di malware riescono sempre a trovare nuove falle che permettono loro di cyberattaccare con successo.

Anche le macro malevoli non sono andate lontano. Nel febbraio 2022, Microsoft ha promesso di ridurre definitivamente la capacità di distribuirle vietando l’esecuzione di ogni script in documenti Office attinti da Internet. All’inizio del mese di luglio 2022, questo divieto è stato rimosso; è plausibile supporre che la paura che qualcosa potesse creare dei problemi all’utente sia diventata realtà. Poco più tardi, sempre nello stesso mese di luglio, Microsoft ha deciso ancora una volta di iniziare a bloccare le macro per default, questa volta spiegando come poter eludere il divieto a coloro che ne avevano necessità.

Esistono sempre meno epidemie su larga scala in cui un tipo di malware si diffonde da decine a centinaia di milioni di computer; tuttavia, non siamo ancora in grado di prevenirle completamente. Ciò che è definitivamente cambiato è il modo in cui i cyberattacchi vengono monetizzati, prendendo in ostaggio i dati degli utenti e delle società, chiedendone il riscatto.

Terminiamo la nostra storia parlando brevemente del destino del creatore del worm ILOVEYOU. Allo scoppio dell’epidemia, Onel de Guzman era uno studente di 24 anni. Nel 2000 gli agenti dell’FBI hanno accertato che i messaggi originali contenenti il worm erano stati inviati a mailing list molto diffuse tra gli utenti nelle Filippine, dove de Guzman risiede ancora oggi. Nel 2000 fu inserito nella lista dei sospettati. Tuttavia, non venne incriminato per due ragioni: mancanza di prove e l’assenza di una legislazione locale che disciplinasse i cybercrime a quel tempo.

Nel 2020, de Guzman fu rintracciato dai giornalisti. Disse loro che ILOVEYOU non era stato originariamente ideato per un mailing di massa dalla rubrica di Outlook e che lo aveva creato per appropriarsi di password di accessi internet in quanto non poteva permettersi di pagarli. De Guzman non riuscì mai a monetizzare il suo talento. All’epoca della pubblicazione dell’articolo lavorava in un piccolo negozio di riparazione di telefoni a Manila.

Consigli