Vi siete mai chiesti qual è il malware più semplice in circolazione?

Un esperto cita le fork bomb come i malware più semplici in assoluto: in Windows l'effetto è quello di un attacco DoS usando soli 5 byte.

Se chiedete a un docente di sicurezza informatica quale sia il malware più semplice che possa esistere probabilmente partirà da un breve cappello introduttivo.
Molto dipende infatti dalla definizione di “più semplice” e di “malware” così come dell’architettura hardware e del sistema operativo utilizzato (potenzialmente anche dal software aggiuntivo presente sul dispositivo e da altri fattori accessori).

Misurando la “semplicità” del malware solo in termini di dimensione complessiva del codice e usando una definizione del NIST (malware come “programma destinato a compromettere la riservatezza, l’integrità o la disponibilità dei dati della vittima, delle applicazioni o del sistema operativo oppure sviluppato per infastidire o ostacolare in altro modo l’utente“), allora il malware complessivamente più semplice sarebbe probabilmente formato da una singola istruzione del tipo Halt and Catch Fire.

Si tratta di un approccio, valido per qualsiasi piattaforma, in cui le istruzioni eseguite sono in grado (a causa di un bug o per come è stato progettato e sviluppato il sistema) di interrompere l’elaborazione delle attività a livello di CPU.

Questa è l’interessante risposta che Jan Kopriva, docente ed esperto di sicurezza, ha offerto alla richiesta di descrivere quale potesse essere, oggi, il malware più semplice in circolazione.

Partendo dalla definizione citata in precedenza, Kopriva fa riferimento alle fork bomb come gli esempi di malware più semplici.
Conosciute anche come rabbits o wabbits, le fork bomb sono istruzioni che permettono di sferrare un attacco Denial-of-Service (DoS) che cioè creano un numero elevatissimo di processi in un tempo molto breve portando alla saturazione delle risorse macchina e all’impossibilità di utilizzarla ed erogare servizi.

Nel caso di Windows, Kopriva cita la fork bomb attivabile inserendo in un file batch i 5 byte riportati di seguito:

%0|%0

Eseguendo il file batch (.bat o .cmd), Windows aprirà continuamente – una dopo l’altra – centinaia e poi migliaia di istanze del prompt dei comandi provocando la saturazione del processore e della memoria.
Si tratta di un meccanismo noto da tempo che può essere realizzato anche con i principali linguaggi di programmazione.

Per provare come si comporta una fork bomb in Windows si può aprire il prompt dei comandi e digitare quanto segue:

copy con test.bat
%0|%0

Premendo la combinazione di tasti CTRL+C verrà creato un file batch test.bat nella stessa cartella in cui ci si trova.
Cliccando due volte sul file test.bat da Esplora file oppure digitando semplicemente test e premendo Invio al prompt dei comandi, ci si accorgerà che il sistema diventerà progressivamente inutilizzabile.
Per rendersene conto si può premere la combinazione di tasti CTRL+MAIUSC+ESC per aprire il Task Manager e fare clic su Più dettagli: si vedrà subito il lavoro aggiuntivo cui sono sottoposti CPU e memoria RAM.

Il fatto è che per risolvere la situazione e neutralizzare la fork bomb di solito l’unico modo consiste nel riavviare la macchina: terminare i processi in esecuzione con il comando taskkill in Windows di solito non porta al risultato sperato.

Kopriva invita comunque gli esperti di sicurezza a pensare a quello che secondo loro potrebbe essere oggi considerabile come il malware più semplice in assoluto.

Ti consigliamo anche

Link copiato negli appunti