C’era una volta il virus informatico: la storia dal punto di vista del retro

Questa settimana la nostra rubrica storica all’interno della rubrica retro si arricchisce della storia del virus informatico. Oggi spesso confuso con altri malware, e invocato anche in diverse fake news, il virus informatico viaggia di pari passo con la storia dell’informatica stessa.

Anche se, come concetto, era già lì, agli esordi di tutto, aspettando di nascere: la prima menzione del concetto teorico di quello che sarebbe diventato il virus informatico è apparsa nel 1949.

C’era una volta il virus informatico

Nel 1949 il celebre matematico Americano di origine ungherse John von Neumann teorizzò un “automata”, tanto da renderlo oggetto delle sue lezioni accademiche all’Università dell’Illinois.

Fu un caso brillante in cu una mente geniale non “prevede il futuro”, ma ipotizza lo sviluppo della scienza in base alle conoscenze presenti. Le lezioni di von Neumann partivano da un concetto semplice per noi moderni, ma all’epoca assai innovativo: se un computer è l’approssimazione tecnologica del cervello umano, e se il cervello umano può essere influenzato da una serie di stimoli chimici ed elettrici, un computer può essere programmato.

Ovviamente abbiamo già visto come si programmavano i computer dell’epoca: agendo su pulsanti e levette, oppure con schede perforate e tutto quello che precedette le memorie magnetiche, e sappiamo che programmare un computer lo rende in grado di assolvere le sue funzioni come fornire stimoli al nostro cervello ci rende quello che siamo.

A questo punto von Neumann teorizzò che si potesse creare un programma il cui scopo essenziale era replicarsi, e che detto programma avrebbe per analogia assolto all’imperativo biologico che spinge il virus a infettare organismi diffondendosi.

L’organismo aggredito dall’automata sarebbe stato il cervello elettronico.

Del resto, a pensarci, un Automata è una Catena di S. Antonio che usa strumenti tecnologici anziché la superstizione uman e una fotocopiatrice per viversi: qualcosa che istruisce una mente a riprodursi. Se potevamo pensare a persone così ottuse da convincersi a fotocopiare improbabili messaggi minacciosi per attirare la buona sorte, potevamo pensare ad un computer

Lo studio restò puramente teorico fino al 1972, quando Veith Risak scrisse una tesi postulando uno di quei programmi autoreplicanti scritto in assembler, e una tesi del 1980 di Jurgen Kraus evidenziò le similarità già emerse tra il virus biologico e l’automata.

Ma il punto di svolta avvenne un anno prima, nel 1971, quando apparve il primo virus informatico propriamente detto della storia: anzi, dicendo meglio, il primo worm

Che però non ebbe il nome di virus informatico, apparso invece in un romanzo del 1972, When Harlie was One.

Dalla teoria alla pratica

Parliamo quindi di Creeper, quel worm.

Creeper non era in grado di causare danni diretti o alterazioni della programmazione della macchina, ma era in grado di spostarsi da solo su Arpanet. Creeper, come un parassita (Worm, da Tapeworm, la tenia) si replicava su PDP-10 connessi ad Arpanet stampando sulle telescriventi (terminali di elezione dell’epoca, da cui abbiamo visto essere nati sia le tastiere che i monitor) il messaggio I’M THE CREEPER : CATCH ME IF YOU CAN

Creeper infettò 28 computer, dei quali i gestori erano stati ampiamente preavvisati.

Creeper, in quanto worm, aveva il suo stesso vettore in se stesso, e non aveva bisogno come i suoi discendenti per decenni di usare floppy disk di incauti infettati. Creeper non era programmato per essere un vero e proprio malware, a parte sprecare un foglio di carta non recava danno.

Bob Thomas e Ray Tomlinson, programmtori per ARPANET, avevano creato Creeper e Tomlinson creò Reaper, il primo antivirus della storia, il cui scopo era appunto tirare la spina all’esperimento Creeper.

Nel 1984 l’eredità di Creeper si riassunse in virus e worm molto più feroci e il videogame Core War per rivivere l’emozione di giocare come Creeper e Reaper, e una Visual Novel (videogame narrativo) del 2010, Digital: A Love Story, ambientato nel 1988, in cui Creeper viene reimmaginato come la prima AI esistente al mondo e Reaper come un programma in grado di stanare le AI ribelli e sterminarle.

Simile per concetto fu il virus Rabbit, che si moltiplicava occupando le scarne risorse dei computer dell’epoca creando rallentamenti.

Nel 1975 si diffuse un altro dei “proto-virus, anzi virus”: Pervade, un malware alquanto particolare. Il suo vettore era ANIMAL, un gioco per PDP-10 stile Indovina chi? dove anziché le persone dovevi indovinare animali.

Pervade si limitava a lasciarti una copia di ANIMAL in ogni cartella che aprivi per costringerti a giocare.

Negli anni ’80, con la diffusione dei computer domestici si diffusero i virus nel senso moderno del termine

Elk Cloner, Brain e tutti gli altri virus: un bel gioco che dura troppo

Negli anni ’80 cominciano a diffondersi gli home computer, e i ragazzini cominciano a frequentare i club di informatica come mezzo per scambiarsi giochi e programmi copiati.

Alcuni, come Bill Gates, dedicarono loro lettere di protesta chiedendo di smettere. Altri decisero semplicemente che era il momento di rovinare la festa a tutti, come Richard J. Skrenta Jr., futuro imprenditore del settore IT che nel 1982 era un simpatico ragazzino col suo bravo Apple II pronto a infestare i club di scambio dei giochi. Letteralmente.

Decise di scrivere Elk Cloner, uno dei primi virus noti nella storia che si copiava dal settore di avvio dei floppy alla memoria e poi nella memoria di altri floppy. Ad intervalli predeterminati, Elk Cloner mostrava una poesiola inquietante e causava problemi software di funzionamento per spaventare i ragazzini “colpevoli” di copia.

Nel 1986 due fratelli di Lahore decidono di marchiare un programma scritto per uso medico, rendendo copie illegali rintracciabili facilmente: Brain era quindi un primitivo sistema anticopia da usarsi per “punire” i disonesti e rendere copie illegali tracciabili.

Brain in fondo, a parte lanciare messaggi all’utente invitandolo a contattare i fratelli Alvi non faceva: eri un turista straniero che veniva a comprare programmi nel loro negozio? Loro ti davano un virus in omaggio “per insegnarti l’onestà.”

Per convergenze evolutive, un virus-scherzo chiamato BHP-Virus apparve nel 1986 come primo virus per il Commodore 64, con funzionamento simile: sfruttando le funzioni di memory banking del Commodore 64 poteva infettare dischi, nascondersi in memoria e rinfettare altri dischi, mostrando la maccheronica scritta

HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS!

Ovvero

SALVE PANZOTTELLO, QUESTO È UN VIRUS!

BHP-Virus è notevole per aver contribuito a popolarizzare la nomenclatura del virus. E stavamo muovendo passi nel concetto della viralità informatica, come VIRDEM, creazione di Ralf Burger per una convention, virus il cui scopo era dimostrare la capacità dei suoi simili di replicarsi tramite i file esegubili *.com di MS-DOS.

Dal Morris Worm alla grande era dei virus

Nel 1988 appare il primo worm diffuso via Internet, il Morris Worm, creato da Robert Tappan Morris.

Scopo del Morris worm era semplicemente viaggiare di computer in computer, rendendo Morris edotto delle debolezze dei sistemi Unix connessi dell’epoca, viaggiando attraverso i protocolli di posta elettronica di computer infetto in computer infetto.

In un’epoca precedente gli antivirus, Morris volle evitare che i computer fossero “inoculati” creando la possibilità di riportare un falso positivo: il Morris Worm reinfettava computer già infetti del 14% dei casi, il che rendeva, di passaggio in passaggio, i DEC VAX infetti occupati da un numero crescente di iterazioni dello stesso virus occupandone tutte le risorse.

Come Creeper era un worm, al contrario di Creeper era nocivo, e per la prima volta nella storia dell’informatica Morris finì incriminato per un cybercrime, condannato a tre anni di libertà vigilata, 400 ore di servizi sociali e una multa di oltre diecimila dollari, al netto dell’inflazione sui 23000, cui aggiungere i costi, a suo carico, della verifica delle condizioni della pena.

A parte una menzione nel citato Digital come evoluzione suprema e mortale di Creeper, il Morris Worm fu il primo contatto per molti con la cybersicurezza.

Per molto tempo però i virus si diffusero via floppy, come il Ping-Pong Virus , o “Virus Italiano”, localizzato a Torino, famoso per far apparire palline rimbalzanti sullo schermo e diffuso tramite floppy disk (perlopiù di programmi piratati), e il Father Christmas worm del 1988, il cui scopo era far apparire sgraditi auguri di buone feste sui computer infetti e Jerusalem, che deriva il suo nome dall’avere avuto i casi zero in Israele (ma ancora una volta, la paternità è disputata) con la doppia funzione di contaminare file e cancellarne alla data del venerdì 13, a partire dall’anno dopo la sua creazione (quindi il 1988), causando inoltre rallentamenti cospicui di sistema.

Ovviamente, in tempi precedenti ai dischi rigidi, bastava spegnere il PC e pregare di non aver inserito altri floppy (contaminandoli mediante la RAM) per risolvere il problema. In caso contrario, avevi un bel pacco di floppy da controllare per tenerti impegnato.

Innovativo, fin troppo per i suoi tempi, fu il trojan AIDS (che ebbe un virus omonimo), il primo ransomware della storia, di cui parleremo in un capitolo a parte.

Ma ogni virus ha delle sue mutazioni nel mondo biologico, e una prolifica famiglia nacque da Stoned.

La famiglia di Stoned e il Terrore di Michelangelo

Nel 1987 a Wellington, in Nuova Zelanda, fu creato il Virus Stoned: nelle origini dei suoi creatori avrebbe dovuto semplicemente far apparire sui PC IBM compatibili messaggi che inneggiavano all’uso di stupefacenti, agendo sul settore d’avvio dei floppy all’epoca usati come dispositivo di memoria primaria.

Stoned era facilissimo da editare, e fece nascere una intera stirpe di derivati, come Michelangelo, variante del 1991 programmata per attivarsi il 6 Marzo, anniversario di Michelagelo Buonarroti, sovrascrivendo il settore di avvio dei dischi rigidi dei PC (che all’epoca ne erano frequentemente dotati) richiedendo una certa abilità tecnica per ripristinare la facoltà di avvio recuperando i dati.

Una accanita campagna mediatica, potenziata dal fatto che vi furono casi di infezioni anche su computer nuovi di pacca o gestiti, portò a sovrastimare in modo estremo la minaccia di Michelangelo, con proporzioni simili al panico per il Millenium Bug.

Michelangelo contribuì a popolarizzare la diffusione degli antivirus commerciali: McAfee diede gran risalto alla cosa, seguito a ruota da prodotti ancora esisitenti come i prodotti ESET e AVAST, con Kaspersky arrivato nel 1997.

Il concetto di worm e di virus del settore di avvio esisteva già da molto, ma un nuovo cambio di paradigma arrivò con la diffusione massicccia di Internet. E di Word.

Ma prima, facciamo un passo indietro

Il trojan AIDS

No, non ci siamo confusi con l’HIV. Un biologo con l’hobby dell’informatica di nome Joseph Popp decise nel 1989 di distribuire dei floppy da lui creati con informazioni sull’HIV.

Ci aggiunse uno dei primi ransomware della storia, programmato per sfruttare l’autoexec.bat (leggendario file editabile con istruzioni per l’avvio dei PC IBM compatibili) per contare il numero di avvii e, all’esito, “rivelare” che i floppy non erao gratis, ma un programma avrebbe criptato tutti i files sul disco fisso a meno che di pagare un riscatto di 189 dollari ad una casella postale a Panama.

Ovviamente il biologo fu incriminato per estorsione, e si salvò dalla condanna perché dichiarato incapace di intendere e di volere.

Il trojan non va confuso col virus omonimo AIDS, responsabile della creazione di file eseguibili duplicati che inneggiavano all’uso del condom dicharando che “chi prede l’AIDS è fo**uto”, capitalizzando sulla paura dell’AIDS.

I macro virus

Con la diffusione delle BBS e di Internet, pian piano mutò anche il vettore virale. Ma con l’arrivo di Windows 95 e i pacchetti Office si diffuse una nuova tipologia di virus.

I virus Macro: file come ILOVEU e Melissa che sul finire degli anni ’90 arrivavano direttamente via posta agli sprovveduti sotto le vesti di una lettera di amore o del solito allegato “clicca qui”, popolarizzati dall’uso crescente della posta elettronica nei media e nell’immaginario. Essi sfruttavano funzioni dei pacchetti Office e del client di posta Outlook per eseguire istruzioni e replicarsi inviandosi di messaggio in messaggio.

Tutto quello che dovevi fare, come per i virus moderni, era cedere alla curiosità e cliccare.

Il mondo moderno

Da lì in poi il resto della storia del virus, superato il 2001 convenzionalmente spartiacque tra il retro e il moderno, ha continuato ad esistere. Il virus moderno ha però smesso di essere strumento del caos, ma utilitario strumento di guerra ibrida e profitto.

Registriamo giusto quest’anno in Italia il sorpasso dei malware basati sull’esfiltrazione rispetto ai ransomware.

L’obiettivo del virus moderno è aiutare i moderni mercanti di dati a rifornirsi di merce, e la posta in palio è più alta di un computer bloccato.

Traccia bonus: poteva e può un virus informatico danneggiare l’hardware?

Non direttamente.

Un caso di virus in grado di fornire danni indiretti ma duraturi fu CIH del 1998, noto come Chernobyl o Spacefiller, dal fatto che si palesava il 26 Aprile (anniversario della tragedia di Chernobyl) o dal fatto che si copiava negli “spazi inutilizzati” dei file senza quindi modificarne l’esecutivo.

Il suo creatore, un giovane programmatore universitario di Taiwan a causa del quale furono introdotte nuove norme sulla punibilità dei crimini informatici voleva semplicemente mettere in crisi i produttori di antivirus.

Il suo CIH comprendeva in se stesso un programma per “riflashare” alcuni dei chip BIOS più comuni nei computer dell’epoca con istruzioni random. “Flashare il BIOS” è l’operazione necessaria per aggiornare le routine software necessarie all’avvio della macchina (il BIOS, appunto, ora sostituito da UEFI).

Oggi semplicemente ti arriva una notifica su un programma fornito dal produttore della scheda madre da installarsi o su Windows e procedi: all’epoca dovevi ottenere un floppy disk col firmware da ricaricare o scaricare uno.

CIH forzava un aggiornamento fallito per costringerti a contattare il produttore e far ricaricare il BIOS da un tecnico.

Altri attacchi malware possono ad esempio interferire col controllo delle ventole di raffreddamento del sistema o infettare firmware di memorie di massa.

Ma anche all’epoca, il danno è indiretto.

Se il nostro servizio ti piace sostienici su PATREON o con una donazione PAYPAL.