Cybersecurity

Perché le firme antivirus non sono più sufficienti

23 Maggio 2014

Com'è possibile che in un settore dominato da test, beta release, parametri prestazionali e benchmark avanzati, i cybercriminali siano ancora capaci di rilasciare malware che non viene rilevato dai principali produttori di antivirus per intere settimane?

È molto semplice: il cybercrimine innova a una velocità superiore rispetto a quanto riesca a fare l'industria della sicurezza.
Un tempo i cybercriminali provenivano da un contesto marginale, e spesso lavoravano per conto proprio alla sola ricerca della fama personale. Oggi invece il cybercrimine rappresenta una carriera potenzialmente lucrosa; è tra le maggiori priorità nelle questioni di difesa nazionale; è sfruttato come forma di protesta politica; e, infine, è un settore nel quale è relativamente facile entrare.
Potrebbe sorprendere sapere quanto sia facile per chiunque accedere al mercato nero, versare una piccola quota d'iscrizione (o addirittura nulla) e avere a disposizione processi in grado di scatenare il caos nei siti Web delle aziende, sottrarre informazioni finanziarie e molto altro ancora. E giorno dopo giorno, vengono prodotti infiniti malware di nuova concezione.




Diamo uno sguardo da vicino ad alcune delle tattiche che gli hacker impiegano attualmente, così da capire perché i produttori di soluzioni per la sicurezza non possono pensare di fermarle avvalendosi di approcci ormai obsoleti
  1. Malware cifrato fai-da-te. I cosiddetti "malware cryptor", come sono chiamati in gergo, sono programmi crittografici studiati per evitare che il malware possa essere scoperto dalle soluzioni per la sicurezza informatica. I cybercriminali possono scrivere questi cryptor con relativa facilità. L'idea è questa: una volta che gli autori di malware rilasciano i propri cryptor in-the-wild, possono continuare a modificarli finché il malware diventa invisibile alle scansioni antivirus. Questo è un forte elemento di vantaggio nei confronti della sicurezza tradizionale.
  2. Servizi gestiti per la cifratura del malware. Pensiamo al malware come a una chiave che tenta di trovare una porta (il dispositivo di qualcuno) da aprire. Invece di provare a realizzare una propria chiave personalizzata, ci si può rivolgere a qualcuno che già sa che una certa chiave può funzionare. Questa è l'idea dietro i servizi gestiti per la cifratura del malware: un processo che permette ai cybercriminali di ottenere solamente gli eseguibili pericolosi (il software capace di introdursi in un computer e di asservirlo ai propri scopi) dotati delle maggiori probabilità di risultare efficaci senza dover realizzare nulla per conto proprio.
  3. Server-Side Polymorphism (SSP). Questa tecnica rende il malware di difficile identificazione da parte di una scansione, indipendentemente da quante volte si ripulisca il sistema. Quello che è particolarmente importante è che il polimorfismo server-side rende il software antivirus tradizionale totalmente inutile.
  4. Processi QA (Quality Assurance) nell'ecosistema cybercriminale. I cybercriminali non lavorano in modo approssimativo. Prima di lanciare una campagna di malware, essi eseguono solitamente una pre-scansione del codice pericoloso con tutti gli engine antivirus più diffusi in modo da essere sicuri di poter scavalcare il rilevamento basato sulle segnature. Questo processo è fortemente automatizzato ed è spesso offerto come servizio conto terzi in alcune community online frequentate dai cybercriminali.
Qual è il più grosso errore dell'industria della sicurezza?
 
La routine. Le società che producono soluzioni per la sicurezza si sono abituate ad affidarsi a un sistema obsoleto come il rilevamento basato su segnature per intercettare il malware e altre minacce, un sistema che rallenta i computer degli utenti e non fa nulla per affrontare lo scenario di rischio attuale.
Il rilevamento basato su segnature funziona in questo modo:
 
  • viene scoperta una nuova variante di virus o malware;
  • un produttore di antivirus crea una nuova firma che protegge da quel particolare malware;
  • la firma viene sottoposta a test e quindi inviata ai clienti sotto forma di aggiornamento delle segnature.

Anno dopo anno, l'obiettivo dei produttori di antivirus è sempre stato quello di raccogliere il maggior numero di firme. Questo non solo rallenta i computer degli utenti perché occupa una notevole quantità di spazio sull'hard disk, ma si affida anche al fatto che sia l'utente stesso a farsi parte attiva per aggiornare il proprio programma antivirus – un accorgimento che aumenta il rischio di infezioni.
Questo significa che persino nel giorno in cui un utente acquista una suite di sicurezza, nella maggior parte dei casi il programma è obsoleto e incapace di proteggere il dispositivo dal malware più recente. Una volta che vengono scaricati e applicati gli aggiornamenti, spesso è troppo tardi. In altre parole, è come cercare di acchiappare a una a una le mele che galleggiano in un barile quando invece il barile andrebbe rovesciato.
 
Rovesciare il barile
 
Il futuro della sicurezza online può e dovrebbe essere basato su tecniche di tipo comportamentale che analizzano i file per capire cosa fanno e cosa cercano di ottenere, anziché confrontarli con un elenco di minacce note. Questa è la nostra opzione migliore per restare un passo avanti rispetto agli hacker.
Non solo il rilevamento delle minacce basato su segnature rallenta i computer degli utenti, ma apre anche enormi finestre di opportunità nelle quali il nuovo malware può raggiungere i dispositivi connessi a Internet mentre sono in attesa degli aggiornamenti critici. È ora che il settore della sicurezza si dia una sveglia e affronti il malware come si deve.
Webroot SecureAnywhere ha un nuovo approccio alla sicurezza Internet basata su tecniche comportamentali.
Per un consumatore di prodotti per la protezione Internet è importante capire i motivi per cui i cybercriminali hanno attualmente la meglio su un discreto numero di società specializzate in sicurezza.

(Tratto da Webroot Threat Blog)

 
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.