I numeri parlano chiaro: le infezioni giornaliere aumentano di ora in ora spaventosamente e il trend tende ad aumentare ogni settimana che passa, mettendo in chiara difficoltà le società produttrici di software antivirus. I centri di ricerca delle aziende non riescono a stare al passo con i tempi e chi ci rimette sono spesso gli utenti finali che, fidandosi del proprio software antivirus, si ritrovano infetti con qualche malware.

I tempi in cui un virus impiegava giorni, settimane per diffondersi, sono passati e la sola mano umana ora risulta inefficace per parare tutti i colpi inferti. L'abbassamento di conoscenze necessario per scrivere un malware ha portato ad un aumento delle persone che si dilettano, soprattutto per soldi, a scrivere malware.

Questa situazione, ben avviata da anni, è stata fronteggiata con le stesse armi con le quali si fronteggiavano dieci anni fa i virus informatici. È chiaro che le tecniche non sono più efficaci come una volta e necessitano di nuove metodologie di individuazione preventiva automatica, quali appunto la tecnologia euristica o software di analisi comportamentale.

I software HIPS (Host Intrusion Prevention System) sono dei software che, attraverso un'analisi comportamentale di ciò che un file lanciato sul sistema fa, permettono all'utente di identificare un malware da un file benigno. Grazie a questa tecnologia sarebbe possibile teoricamente bloccare preventivamente ogni tipologia di malware sul nascere, prima ancora che i laboratori di ricerca delle società di antivirus debbano prendere in consegna il malware, studiarlo e rilasciarne una firma virale.

Abbiamo parlato di software HIPS, di relativi pregi e difetti, di metodologie di analisi automatica, delle falle del sistema attuale e della situazione odierna e futura con Jacques Erasmus, direttore del centro ricerca malware di Prevx Ltd. Prevx sviluppa l'omonimo software, Prevx1, che basa il proprio funzionamento su tecniche avanzate di analisi comportamentale unite ad un sistema di ricerca automatizzato.

1) Abbiamo visto nello sviluppo delle minacce informatiche dagli anni '80 ad oggi numerose tappe che hanno segnato la storia dei virus. Abbiamo vissuto negli anni 80 e prima metà degli anni 90 il periodo dei file-infector, dei virus che infettavano i file, dei boot virus, alcuni dei quali capolavori di programmazione. A partire dal 1995 poi siamo passati alla tappa dei macro virus, poi dei worm. Negli ultimi anni c'è stato un brusco cambiamento con l'avvento di spyware, adware, trojan, rootkit.

Cambiano le tecniche, cambiano gli obiettivi - non più la larga diffusione ma obiettivi mirati - cambiano le conoscenze necessarie per la creazione di queste nuove minacce. Quali sono i fattori che hanno contribuito a questa brusca sterzata? Quali i nuovi obiettivi? Perché questo abbassamento di conoscenze necessarie per scrivere un malware?

Sono due i fattori che essenzialmente hanno portato a questo cambio di rotta. Il primo è che i virus writer hanno scoperto che tentare di infettare milioni di macchine in un unico attacco, come nel caso di Sasser, Blaster, Slammer, ha come risultato nella maggior parte dei casi un risvolto negativo per la propria persona. La stampa mondiale, le forze dell'ordine, reagiranno creando attorno all'ignoto virus writer massima attenzione, dando adito alla necessità che l'autore debba essere perseguito. Le autorità stesse concentreranno massima attenzione a questi casi.

Il secondo fattore riguarda le società di antivirus le quali più spesso si troveranno davanti un malware in rapida diffusione. Dovranno quindi rispondere con maggior sollecitudine rilasciando aggiornamenti per i propri software antivirus, bloccando il prima possibile il tentativo di infezione mondiale. I virus writer hanno capito che, se invece di tentare un unico attacco, sviluppano differenti attacchi per diversi obiettivi, questi non salteranno subito all'occhio dei ricercatori. Conseguenza diretta di tutto ciò è l'impossibilità di assegnare priorità alle differenti minacce. Il quadro viene ulteriormente complicato considerando eventuali codici malevoli commissionati a pagamento.

Per quanto riguarda i nuovi obiettivi, non penso ci siano grosse distinzioni tra i vari target, ma vorrei classificarli in due differenti categorie per ora:

• Il primo è l'utente singolo, sicuramente il principale target per l'attacco di malware. Ci sono all'incirca un miliardo di pc connessi ad internet ed una larga percentuale di questi sono senza protezione o protezione minima. Un'altra grossa fetta è rappresentata da utenti che necessitano ancora di educazione per quanto riguarda la sicurezza informatica, sebbene siano anni che le società tentano di avvertire del pericolo, invano a quanto sembra. Il giorno che gli utenti smetteranno di cliccare su tutto ciò che riporta frasi quali "porno gratis clicca qui e scarica xyz.exe per installare il viewer" vedremo un significativo decremento di infezioni.
• Il secondo target sono le società. Sembra che negli ultimi mesi, con la scoperta di numerosi bug nella suite di lavoro Microsoft Office - vedi bug in PowerPoint, Word ed Excel - molti siano stati gli attacchi mirati alle società. Lo scopo di tali iniziative era chiaramente quello di estrapolare informazioni sensibili, installare keylogger protetti da rootkit o backdoor ben nascoste. Anche in questa tipologia di attacco il metodo più efficace per l'infezione è l'utilizzo dell'ingegneria sociale, unita ad un'ottima tecnica di spoofing (ndr. tecnica utilizzata per camuffare informazioni). Sono minacce che sono sempre esistite e purtroppo esisteranno sempre.

Quale può essere la causa di questo abbassamento di consocenze necessario per scrivere malware? Penso che la risposta sia alquanto semplice e riguarda la grande collaborazione che c'è nel mondo dell'underground, nel quale sempre più frequentemente è possibile vedere scambi di codici uniti alla possibilità di comprare su internet set di istruzioni per spyware già preconfezionate.

Le conoscenze necessarie per creare un trojan downloader e usare un exploit, pubblicato su siti quali milw0rm o FD, sono veramente basse e una volta che un giovane programmatore ha messo le basi per un malware diventa poi semplice aggiungere pezzi preconfezionati. Ad oggi le minacce stanno arrivando per la maggior parte da spyware e adware, con la crescente diffusione di rootkit.

Proprio per l'attuale facilità di sviluppo, la maggior parte degli spyware sono scritti male e contengono all'interno del codice molte vulnerabilità, quali per esempio buffer overflow. Sono spesso programmati in fretta e senza molti controlli durante lo sviluppo. Sebbene la maggior parte di questi sia difficile da rimuovere, a causa di varie tecniche utilizzate per nascondersi, in generale sono quasi tutti standard, differentemente da virus vecchio stile quale il capolavoro Zmist.

Per questo motivo penso che i virus tradizionali siano oramai in declino e si nota bene la differenza tra la vecchia scuola e i giorni attuali: i vecchi programmatori di virus lo facevano per orgoglio, per pubblicità e per mostrare al mondo la propria creatura e le proprie capacità. Oggi vediamo solo crimine organizzato che diffonde i propri trojan downloader a milioni di indirizzi e-mail e li utilizza per installare spyware sui pc degli utenti o per mandare spam agli indirizzi e-mail.

2) I numeri di queste nuove minacce aumentano ogni giorno, raggiungendo cifre mensili impensabili fino a qualche tempo fa. Le società di antivirus rilasciano aggiornamenti giornalieri di centinaia di firme virali, eppure le singole mani dei ricercatori spesso non riescono a stare al passo con il numero di nuove infezioni. Perché e dove sta fallendo il vecchio concetto sul quale si sono basati per anni i ricercatori e che ora risulta incapace di restare al passo con l'aumentare continuo delle infezioni?

Questa è sicuramente una domanda interessantissima ed è probabilmente il problema principale che le società devono affrontare. I centri di ricerca sono sovraccaricati dal gran numero di sample che ricevono ogni giorno. Una società di antivirus riceve in media qualcosa come circa 5000 nuovi sample ogni giorno e analizzarli uno per uno diventa un incubo e può necessitare di giorni, se non settimane.

Il tempo necessario per un'analisi manuale non è compatibile con i tempi attuali, sebbene la maggior parte delle società utilizzi dei sistemi di analisi che creano delle priorità tra vari sample. Vediamo ogni giorno sempre più persone che si chiedono come mai l'antivirus utilizzato non trovi delle minacce sulle proprie macchine e centinaia di post nei vari forum adibiti a supporto per programmi quali HiJackThis dove le persone chiedono aiuto per identificare i malware.

Queste persone sono generalmente entrate in contatto con malware non ancora presi in considerazione perché con priorità bassa. Onestamente credo che il modello utilizzato attualmente per la ricerca non è compatibile con il numero di minacce che ci troviamo ad affrontare ogni giorno. L'obiettivo principale deve essere l'utilizzo e lo sviluppo di sempre più avanzate tecnologie di analisi euristica e di ricerca automatica, anche perché questo è l'unico modo per poter fornire un'adeguata protezione contro la maggior parte dei malware, più di quanto possa gestire la più grande società di antivirus attualmente.

3) Si parla spesso di nuove tecnologie basate sull'analisi comportamentale dei file, i cosiddetti HIPS - Host Intrusion Prevention System, che prevedono l'analisi in tempo reale di ciò che un file compie all'interno del sistema per giudicarlo poi nocivo o innocuo. Voi stessi vendete un prodotto, PREVX1, che si basa appunto sull'analisi comportamentale. Quali sono i risultati pratici nell'utilizzo di questa nuova tecnologia?

Con le difficoltà di analisi appena esposte penso sia naturale che vengano valutati differenti approcci, quali appunto analisi comportamentali. Il sovraccarico di malware che persiste può essere affrontato solo con questa tipologia di strumenti, ben programmati e capaci di classificare le nuove minacce in modalità del tutto automatica. Il nostro software, Prevx, è nel campo degli HIPS dal 2001 ed in origine era un prodotto installato nelle grandi società per sistemi Windows, Linux e Solari.

Non ci fu troppo spazio in quel settore e abbiamo tentato l'approccio come software HIPS nel mercato consumer. Dopo aver lanciato Prevx Home - e aver raggiunto un milione di download - ci siamo resi conto che il software non era di facile utilizzo. L'utente doveva rispondere ad un elevato numero di "Alert" attraverso i quali il software segnalava potenziali modifiche al sistema. Più del 50% degli utilizzatori non è in grado di discernere se una modifica è lecita o meno; spesso quindi l'utente autorizza ogni modifica al fine di evitare il blocco di eventuali applicazioni. Questo comportamento rende ovviamente inefficace l'uso di un HIPS.

Per superare questa difficoltà Prevx ha sviluppato una prima versione di un database comunitario denominato PAWS - Prevx Advanced Warning System.

Il funzionamento di questo applicativo, in estrema sintesi, è il seguente: ogni client installato sui pc degli utenti manda informazioni su un determinato file eseguito qualora venganoi violate delle regole precedentemente configurate nel client. In questo modo abbiamo pensato di poter assistere l'utente finale nelle possibili scelte richieste dall' HIPS.

Nell'arco di un anno abbiamo raccolto circa 3 terabyte di informazioni e si è quindi reso necessario un metodo più organico e capace di gestire al meglio una tale mole di dati. Da Gennaio 2005 abbiamo così deciso un differente approccio sviluppando un sistema capace di determinare automaticamente la natura benigna o meno di un software a seconda delle regole preimpostate. A questo approccio automatico si affianca comunque quello manuale anche se il carico di lavoro risulta comunque assai sgravato.

I nostri punti cardine nello sviluppo sono quindi stati:

• Minimo disturbo all'utente con domande sulle azioni da compiere;
• Unico database centrale di signature (quindi senza necessità di aggiornamenti per ogni singolo client) che contiene attualmente:
  - 35 milioni di signature generate automaticamente con completi profili comportamentali raccolti dai client
  - 700.000 malware determinati in base alle informazioni ricevute dai client installati sui pc degli utenti
• nessuna necessità di aggiornamenti locali perchè tutte le firme virali sono localizzate nel database centrale
• eventuali attacchi mirati vengono facilmente individuati grazie ai dati ricevuti sul server centrale
• routine di rimozione generica all'interno del client
• la possibilità che ogni sistema che abbia installato il client Prevx funzioni come honeypot; in tal modo è possibile avere sempre più rapidamente informazioni su nuovi malware al fine di bloccarli nella maggior parte dei casi automaticamente.

Tutto questo è possibile senza che un solo sample ci venga spedito: il tutto viene fatto analizzando i comportamenti, in modalità manuale o euristica dal database centrale.

4) La maggior parte delle persone che ha utilizzato un software HIPS lo ha trovato spesso noioso e irritante per le troppe domande con le quali inonda l'utente, domande spesso troppo tecniche che non tutti comprendono. In aggiunta tutto è lasciato al giudizio finale dell'utente, se questi dà il permesso ad un malware di agire, il gioco è fatto. Come il vostro prodotto previente questi problemi.

Detto in termini semplici, come avevo annunciato prima, abbiamo fatto del nostro meglio per rimuovere i grandi problemi che affliggono ogni software HIPS, quello più grande appunto è riguarda le capacità richieste all'utente. Il client raccoglie le informazioni comportamentali di un file sconosciuto lanciato dall'utente e lascia il compito di prendere la giusta decisione al nostro sistema centralizzato coadiuvato dal lavoro dei nostri ricercatori. In termini di "rumore", abbiamo già una whitelist di circa 20 milioni di applicazioni benigne e tecnologia euristica capace di determinare se un'applicazione è benigna. Grazie a questo approccio l'utente ha sicuramente un'esperienza migliore nell'utilizzo di un software HIPS.

5) Esisotono particolari situazioni in cui un software HIPS risulta inutile? Quali sono i limiti dei software HIPS? È possibile ingannarli in qualche maniera?

Con Prevx1 ci siamo allontanati dal concetto classico di HIPS. Prevx1 è più un CIPS, un Community Based Intrusion Prevention System con funzioni di rimozione delle infezioni dal pc. I software HIPS non hanno molto mercato attualmente, soprattutto ne hanno solo per gli utenti più esperti, a causa proprio del concetto per cui sono nati, cioè avvertire l'utente di cambi sospetti e lasciare a lui la decisione finale. Un software HIPS penso sia inutile per gli utenti intermedi e inesperti.

Immaginate un'anziana signora che ha appena comprato un pc e non sa minimamente cosa rispondere ad una domanda del tipo: "XZY123GH.DLL vuole modificare il processo WINLOGON.EXE. Vuoi dare il consenso?". Il pensiero della signora sarà probabilmente: "Sì, ovviamente....oppure no?". La maggior parte degli utenti dice Sì - ecco secondo me una grossa falla in un sistema che in realtà dovrebbe proteggerti. L'utilizzo di un database centralizzato è la chiave per il successo di un software HIPS perché permette di condividere esperienze già vissute per prendere decisioni più facili.

Se è possibile ingannare un software HIPS? Sicuramente è possibile, come è possibile raggirare un qualsiasi sistema. Per esempio i software antivirus, basta prendere un malware e comprimerlo con un runtime packer differente per raggirare l'antivirus. Penso in definitiva che i classici software HIPS non abbiano mercato, proprio per i problemi di usabilità che abbiamo sottolineato, se non per gli utenti più avanzati.

6) Alcune parole sul futuro. Come la situazione si sta evolvendo? Le società di antivirus sono in qualche modo con le spalle al muro per colpa di numerosi fattori. Iniziando da Microsoft, che è da poco entrata nel settore della sicurezza informatica con i propri software. Quando Microsoft fa il proprio ingresso in un settore si sà spesso può risultare dannoso per tutti i prodotti concorrenti. D'altro canto questa nuova tecnologia utilizzata dai software HIPS sta facendo crescere numerose nuove aziende che vendono prodotti simili. Che fine farà il vetusto "software antivirus"? Quale sarà il punto di rottura, quando semplicemente i software antivirus saranno completamente inefficaci a causa delle troppe nuove infezioni?

Hai toccato alcuni punti particolarmente importanti. È chiaro che l'ingresso di Microsoft nel mondo della sicurezza informatica causerà alcuni cambiamenti. Nei primi dodici mesi la società comincerà ad acquisire alcune fette di mercato, soprattutto nel mercato consumer. Gli analisti stimano tale cifra nel 12/15%. Penso che la contromossa delle società di antivirus dovrebbe essere quella di migliorare le proprie tecnologie, per esempio dotandosi di sistemi di ricerca automatica.

Penso che molti utenti hanno perso fiducia nelle grandi società pagate per fornire un servizio che a volte nasconde brutte sorprese. Tuttavia non credo che la tecnologia antivirus scomparirà, le firme virali sono ancora un validissimo sistema per identificare i malware. Il problema riguarda, come ho già detto, il lato della ricerca e l'abilità di identificare in maniera automatica nuovi threat. Windows Vista potrebbe avere molte novità dal punto di vista della sicurezza per gli utenti, ma ritengo che molti avranno problemi lavorando in un ambiente con privilegi limitati a priori dal sistema operativo; ci sono già delle modifiche per rimuovere queste limitazioni che potrebbero creare non pochi problemi.

Il futuro? Ci saranno sempre vulnerabilità, specialmente nei nuovi codici come Windows Vista. Il nuovo Network Stack per esempio promette divertimento per i più smanettoni. La scorsa settimana, al BlackHat Conference di Las Vegas, ho assistito ad una dimostrazione di Joanna Rutkowska che ha fatto vedere come un rootkit possa modificare il kernel di Vista in una manciata di secondi. Il futuro sarà sicuramente interessante.

Ringraziamo Jacques Erasmus e la Prevx Ltd. per la disponibilità avuta nei confronti della redazione di Hardware Upgrade.