Il suggerimento giunge da Symantec per voce del responsabile del senior director of engineering Alfred Huger: il contesto rispetto al passato è cambiato ed oggi i virus writer non hanno più alcun interesse a sviluppare worm di massa che si espandono in poche ore su migliaia e migliaia di macchine approfittando delle vulnerabilità dei sistemi e dell’ingenuità degli utenti. Il motivo sta tutto nel fine ultimo dei worm: con il passar del tempo il lucro è divenuto l’obiettivo principale di chi produce codice maligno ed una diffusione lenta e controllata delle proprie infezioni può in tal senso rappresentare un sistema più logico e profittevole di agire.
Una crescita lenta e controllata permette di colpire con maggior efficacia e, soprattutto, di non far alzare le polveri del problema: nel momento in cui un exploit non ha causato gravi danni ad un alto numero di persone saranno minori le possibilità che ne venga stimolata una indagine specifica: il virus writer rimane con le spalle coperte per un lasso di tempo superiore e tale libertà è utile per ottenere maggiori introiti con rischi minori. Il succo del nuovo trend sta tutto nel non far parlare dell’attacco: «se riescono a rimanere attivi più a lungo, faranno più soldi».
I numeri ben chiariscono il fenomeno: se non troppo tempo fa ogni singolo virus writer era in grado di controllare fino a 400.000 computer, oggi la media non supera le 1000 unità. Tali reti risultano pertanto molto meno controllabili, molto più agili ed il tutto con il vantaggio ulteriore di un maggior margine di entrata grazie alle frodi che tramite l’attacco possono essere realizzate. La cosa può forse tranquillizzare rispetto al rischio di un attacco di massa nel momento in cui alcuni exploit colpiscono gravi vulnerabilità, ma nel contempo la minaccia si fa semplicemente più nascosta e strisciante, non diminuendo pertanto assolutamente il rischio di compromissione per alcuna potenziale vittima.
L’esempio in negativo è quello di Sasser, worm che nel 2004 ha causato una grandissima infezione di massa ma i cui effetti negativi sono stati presto annullati dalla grande azione comune portata avanti dalle patch di Microsoft e dalle azioni ostruzionistiche degli antivirus. Oggi la tendenza è quella di una diffusione tramite mail ed un mantenimento della propria “botnet” per mesi. Ne risulta più difficile l’individuazione e meno prioritario un intervento risolutivo, il che non fa altro che frammentare i pericoli senza diminuirne però la mole complessiva. Anzi.