Cybersecurity

Come scoprire i virus e gli hacker (prima parte)

15 Ottobre 2014

Esche, interrogazioni, analisi forensi…
Queste tecniche non sono utilizzate solamente nei telefilm polizieschi.

Diamo un rapido sguardo al mondo della prevenzione del cybercrimine attraverso gli occhi di Avira Protection Lab (APL), il braccio di Avira incaricato della caccia ai virus.


 

Sfruttando tecniche simili alle tradizionali investigazioni di polizia, l'APL ha il compito di rilevare gli attacchi informatici e arrestare il diffondersi del malware.
Le esche che vengono lanciate in un ambiente digitale prendono il nome di honeypot, ovvero finti bersagli studiati per attirare i cybercriminali.
L'analisi dei big data sostituisce gli interrogatori: milioni di dati vengono analizzati e rappresentati visivamente per determinare eventuali schemi ripetitivi.
L'analisi forense è simile a quella clinica: i virus vengono attentamente dissezionati nel corso di accurate ispezioni post mortem. Il risultato finale? Una media di 130.000 file pericolosi e oltre 20.000 siti Web infetti viene rilevata e tracciata ogni giorno. Diversi milioni di connessioni al minuto vengono effettuate verso i nostri server per attivare contromisure in tempo reale sui computer e sui dispositivi mobili dei nostri utenti. Ti sei mai chiesto come fanno i virus a essere identificati non appena vengono creati? Questo articolo è la prima parte di una serie che esplora il mondo dei cacciatori di virus.
In questa puntata iniziale cerchiamo di capire come gli specialisti di Avira riescano a raccogliere indizi sul modo di funzionamento del malware.
Nelle due parti successive vedremo come il Protection Lab analizzi le informazioni e formuli le contromisure appropriate sviluppandole in tempo reale. Là dove gli hacker si incontrano Avira Protection Lab raccoglie informazioni sul malware e sugli hacker che lo producono infiltrandosi nelle chat specializzate, monitorando siti Web compromessi e raccogliendo campioni di codice pericoloso da studiare.
Il modo in cui riusciamo a infiltrarci nelle chat room è un segreto ben custodito, ma il metodo principale con il quale raccogliamo i campioni da analizzare è ben conosciuto e si avvale delle cosiddette honeypot.

 
Come le api al miele
 

Le honeypot (letteralmente "vasi di miele") sono normali computer non protetti e collegati a Internet.
Gli hacker passano periodicamente in rassegna tutti gli indirizzi IP di Internet alla ricerca di macchine vulnerabili come queste e possiedono strumenti automatizzati che permettono di entrarvi e curiosare all'interno alla ricerca di documenti bancari, password, rubriche degli indirizzi e qualsiasi altra informazione che possa essere venduta a spammer e altri hacker.
Spesso vengono installati anche keylogger (software che registra i tasti digitati dall'utente) e backdoor (software per accesso remoto) in modo da poter continuare a raccogliere nuove password e informazioni su carte di credito, e trasformare il computer in uno spam relay o in un elemento di una rete botnet.

 
I cacciatori di virus di Avira tengono sotto controllo queste intrusioni imparando il più possibile circa gli strumenti e le intenzioni degli hacker.
Per aumentare la probabilità di essere scoperti e violati, i nostri specialisti creano grandi quantità di honeypot su sistemi virtuali. Per evitare che le macchine compromesse possano arrecare danno ad altri – secondo quella che è chiamata "responsabilità a cascata" – le honeypot sono normalmente situate all'interno di una honeynet bloccata da un firewall che permette al traffico Internet di entrare ma non di uscire.
L'intero sistema è chiamato honeyfarm.

Ovviamente gli hacker tengono sotto controllo l'acquisizione di logfile, digitazioni di tastiera e traffico in uscita dalle macchine compromesse; per questo Avira ha sviluppato una serie di accorgimenti che simulano una tale attività in modo da poter raccogliere quante più informazioni possibili da una honeypot senza far insospettire gli hacker. Social engineering Le tecniche di social engineering sono il tallone d'Achille della sicurezza antivirus: possiamo bloccare l'esecuzione del malware sulla tua macchina, ma non possiamo evitare che tu possa far clic su qualcosa quando non dovresti farlo.
Le truffe, il ransomware come Cryptolocker e CryptoDefense, lo spear-phishing e altre truffe di successo si basano tutte su un mix tra social engineering e tecnologia malware. Il social engineering non è altro che l'arte di convincere l'utilizzatore di un computer a divulgare volontariamente password, PIN e altre informazioni sulla propria identità personale che possano essere raccolte e vendute a terzi o tenute in ostaggio per ottenere un riscatto.
Il social engineering può essere impiegato anche per convincere gli utenti a scaricare un software antivirus fasullo (la cui funzione è esattamente l'opposto di quel che promette) o visitare finti siti bancari nei quali digitare numeri di conto e password. Mentre i cacciatori di virus di Avira non possono impedirti di comunicare informazioni sensibili a qualcuno che si spaccia per un tecnico dell'assistenza Microsoft, tuttavia possono aiutarti a identificare alcuni schemi che accomunano le truffe basate sul social engineering in modo da riconoscerle più facilmente. Nella seconda parte di questa serie spiegheremo come i tecnici Avira gestiscano l'enorme volume quotidiano di campioni di malware mediante l'analisi dei big data in modo da sviluppare automaticamente le contromisure appropriate.

(Tratto da Avira Blog)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (1)

ok

Alfredo Maria Apolito,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.