Dall'utilizzo delle firme virali, all'adozione di tecniche firewall, sino all'analisi comportamentale ed all'“intelligenza collettiva”

Se sino alla fine degli anni '90 tutti i prodotti antivirus si basavano esclusivamente sull'utilizzo di definizioni antivirus, con l'inizio della diffusione in Rete di worm e spyware, a partire dal 2000, si rese necessaria un'evoluzione verso soluzioni che includessero anche funzionalità firewall in grado di rilevare e bloccare l'attività di malware effettuando un esame dei pacchetti di dati in transito da e verso il personal computer.

Negli anni seguenti, i vari vendor di soluzioni per la sicurezza hanno iniziato ad integrare funzionalità che si occupano di sorvegliare le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive.
Il concetto era nuovo per l'epoca: introdurre una nuova metodologia che permettesse di svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.
Questo tipo di protezione è in genere l'ultima linea di difesa contro i nuovi malware, progettati per passare inosservati ai controlli basati sull'uso di definizioni antivirus ed euristica. Le tecnologie di questo tipo, residenti in memoria, si occupano di osservare nel dettaglio le operazioni e le chiamate API effettuate da ogni singolo programma in esecuzione mettendole in correlazione ed esaminando le varie dipendenze. In questo modo, diviene possibile bloccare il malware prima che questo possa eseguire con successo operazioni dannose sul personal computer dell'utente. Qualora un processo in esecuzione dovesse essere ritenuto sospetto, questo verrebbe istantaneamente interrotto e ne sarebbe impedito un successivo avvio.

Un'altra protezione che i vari produttori di soluzioni per la sicurezza stanno cercando di implementare è quella che consente di definire quali azioni siano permesse e quali non lo siano per una determinata applicazione.
Molti malware, infatti, sfruttano i privilegi assegnati ad un particolare software, del tutto legittimo, per attaccare il sistema dell'utente. Un esempio su tutti è rappresentato dalla diffusione di file in formato Microsoft Office che, pur apparendo benigni, sono invece modificati ad arte da malintenzionati per sfruttare vulnerabilità già conosciute (per le quali è stata messa a disposizione una patch) oppure ancora irrisolte ("zero-day"). Un sistema di protezione che limita il raggio d'azione di ogni singola applicazione può stroncare sul nascere l'attacco.

Una risposta particolarmente efficace nei confronti del "fenomeno malware", letteralmente decuplicatosi nel corso dell'ultimo biennio, è la cosiddetta "intelligenza collettiva". Questo tipo di approccio sfrutta la ormai continua fruibilità della connessione Internet per rivoluzionare le modalità con cui i nuovi malware vengono rilevati, classificati e rimossi. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d'insieme sui milioni di altri sistemi infettati, l'"intelligenza collettiva" mira a modificare questo quadro. Grazie all'"intelligenza collettiva" l'intero processo di isolamento e raccolta del malware, classificazione e risoluzione del problema può essere eseguito online. Dopo una prima analisi sul sistema locale, nel caso in cui vengano rilevati file sospetti, gli oggetti potenzialmente nocivi sono trasmessi ai server mantenuti dal produttore. Qui, tutta una serie di procedure automatizzate si fanno carico dell'analisi approfondita di ogni campione pervenuto senza quindi impattare negativamente sulle performance del sistema dell'utente. Gli stessi server si occupano di produrre e distribuire aggiornamenti per le firme virali da distribuire a tutti gli utenti: in questo modo è subito possibile fidare del massimo livello di protezione anche nei confronti di malware nuovi, apparsi ad esempio soltanto su poche decine di sistemi.
Un altro vantaggio dell'"intelligenza collettiva" consiste nel quadro generale che questo approccio può restituire agli ingegneri ed agli analisti dei laboratori antimalware. Grazie all'"intelligenza collettiva", domande relative all'origine di un malware (è possibile ottenere l'elenco dei sistemi dai quali un malware è "nato") ed alle sue modalità di diffusione, possono trovare rapidamente risposta. Un aspetto, questo, che può risultare particolarmente utile in fase di supporto all'attività svolta dalle forze dell'ordine.
L'"intelligenza collettiva" è una delle soluzioni alle quali i vari produttori stanno guardando con sempre maggior interesse: il fenomeno malware non è contrastabile se i vari produttori non propongono soluzioni basate su un approccio centralizzato svincolato dal modello "PC-centric" sinora adottato.

Alle soluzioni di “intelligenza collettiva” ci si riferisce spesso con il termine più generico “in-the-cloud” per indicare come il processo di rilevazione e classificazione delle minacce venga spostato su server remoti sfruttando la ormai continua fruibilità della connessione Internet. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d'insieme sui milioni di altri sistemi infettati, oggi l'approccio è destinato a mutare radicalmente. F-Secure DeepGuard 2.0, McAfee Artemis, Panda Collective Intelligence, Norton Community Watch e Prevx sono alcuni dei protagonisti della battaglia "in-the-cloud". Ogni volta che un software viene eseguito, il modulo client del software antimalware cerca nel proprio database online se il file sia già conosciuto o meno, e nel caso sia ritenuto malevolo ne blocca immediatamente l’esecuzione.
Grazie a questo "modus operandi", un prodotto antivirus non deve più aggiornare il proprio archivio delle firme virali ma può fare affidamento sul database online mantenuto costantemente "up-to-date".

Strumenti lato client: antivirus, antimalware, firewall ed HIPS.

Il mercato offre decine di strumenti software per la protezione del personal computer. Gli utenti che desiderano fidare su una protezione “a tuttotondo”, possono orientarsi su una delle suite per la sicurezza disponibili in commercio. Ciascun produttore (ad esempio Symantec, McAfee, Kaspersky, Panda, F-Secure, TrendMicro, G DATA) propone una sua soluzione integrata che raccoglie, in un unico prodotto, antivirus, antimalware, firewall, antiphishing, antispam, meccanismi per la protezione dei dati personali, un modulo “parental control”, funzionalità per il controllo del livello di sicurezza del sistema (presenza di tutte le patch).

La rete Internet offre interessanti alternative, in molti casi anche a costo zero. Le soluzioni gratuite per la difesa del personal computer spesso non integrano soluzioni più evolute (ad esempio meccanismi di “intelligenza collettiva”) ma si rilevano comunque prodotti adatti per l'utente più scrupoloso che aggiorna tempestivamente il proprio sistema, autonomamente, con le ultime patch di sicurezza, sa riconoscere tentativi di phishing, provvede a configurare il browser in modo adeguato impedendo il prelievo di oggetti potenzialmente pericolosi.
Tra i migliori pacchetti antivirus distribuiti a titolo non oneroso vi sono Avira Antivir Personal, AVG Free ed Avast Antivirus. Tutti e tre risiedono in memoria, sono in grado di rilevare e bloccare un buon numero di minacce e dispongono di una buona euristica.

Mentre le suite per la sicurezza integrano anche un modulo firewall, gli antivirus free ne sono sprovvisti. L'adozione di un “personal firewall” sul sistema client è oggi un passo da considerarsi obbligato. I moderni firewall operano in modo “bidirezionale”: non solo, cioè, sono capaci di bloccare tentativi di attacco provenienti dalla Rete ma anche di sorvegliare costantemente l'attività del sistema individuando tutti i tentativi di connessione da parte delle applicazioni installate. Un aspetto, questo, assolutamente cruciale. Si immagini che un malware riesca ad insediarsi sul sistema in uso. Una delle prime operazioni che inizierà a compiere, consisterà nello scambio di dati con server ospitanti software “maligni”. Sempre più spesso accade, infatti, che un malware, dopo essersi installato sul sistema dell'utente, provveda a scaricare trojan, keylogger od altri componenti nocivi. Sovente, poi, i malware “spiano” l'attività dell'utente e trasmettono ad aggressori remoti informazioni personali e dati sensibili. In altri casi, il sistema dell'utente viene utilizzato per l'invio di campagne di spam o, addirittura, viene aggiunto ad una botnet, una rete composta da computer violati, come abbiamo visto in precedenza, che può essere controllata a distanza ed impiegata, da malintenzionati, per gli scopi illeciti più disparati.
E' importante, quindi, poter fidare su un firewall che controlli anche il traffico in uscita dal personal computer.

Introdotto dapprima in Windows XP con il rilascio del Service Pack 2 (Agosto 2004), il firewall integrato nel sistema operativo non permette di usare delle regole che consentano di consentire o bloccare i tentativi di connessione verso l'esterno intentati dalle varie applicazioni installate. Il Windows Firewall si è inoltre spesso dimostrato molto debole nei confronti di malware contenenti delle routine per la disabilitazione di questo componente.
Un netto miglioramento in tal senso, si è registrato con il rilascio di Windows Vista: il sistema operativo propone una versione di Windows Firewall che, finalmente, opera un filtraggio sui pacchetti di dati in uscita, mette a disposizione regolazioni avanzate per l'impostazione di indirizzi IP sorgenti o di destinazione, singole porte od intervalli.

La scelta di un personal firewall va operata anche in funzione del proprio livello di esperienza. In molti valutano un firewall dal numero di finestre pop-up che il programma mostra all'utente, allorquando vi sia la necessità di creare una nuova regola di comunicazione per un'applicazione presente sul personal computer. Il fatto che molti firewall recenti abbiano drasticamente ridotto od addirittura, in alcuni casi, praticamente eliminato la comparsa di finestre per la creazione manuale di regole di comunicazione, è certamente un aspetto importante: è il "personal firewall" che decide a quali applicazioni debba essere consentito "colloquiare" in Rete ed a quali, invece, quest'operazione debba essere limitata o vietata.
Non riteniamo, tuttavia, che un firewall che usa un approccio differente, ovvero che propone all'utente delle finestre per la creazione delle regole debba essere scartato a priori. Sarebbe auspicabile, invece, che un firewall offrisse un buon livello di flessibilità facendosi carico di creare le regole, "senza proferir parola", nel caso in cui l'utente non sia molto esperto ma dando anche l'opportunità di mettere a punto regole anche molto strette a beneficio dei più smaliziati.
Non siamo entusiasti di quei prodotti che sì permettono di "personalizzare" le regole firewall ma consentono questa possibilità solamente a posteriori. Di fatto, questi firewall creano automaticamente una regola dando l'opportunità all'utente di modificarla solo successivamente, quando la comunicazione è ormai già avvenuta.

Un valido "personal firewall" dovrebbe insomma chiedere all'utente, in fase d'installazione, quale modalità preferisce utilizzare: non presentare avvisi nel caso del funzionamento "automatico"; mostrare la finestra per la creazione di una regola nel caso di utenti esperti. Con questa seconda opzione, il firewall - in fase di creazione di una nuova regola - dovrebbe indicare chiaramente nome del programma, identità, protocolli e porte che il software intende utilizzare ed eventualmente offrire suggerimenti per la creazione automatica della regola stessa.

Un “personal firewall” che, da sempre, strizza l'occhio anche agli utenti più evoluti è Agnitum Outpost (www.agnitum.com). Si tratta di un prodotto che non è free ma che comunque integra anche una caratteristica molto importante: la possibilità di fungere anche da filtro tra il browser web ed i server remoti per quanto concerne gli elementi presenti nelle pagine Internet. Firewall come Outpost, infatti, sono in grado di impedire il download di elementi potenzialmente pericolosi (applet Java, controlli ActiveX, codice scripting e così via) in modo trasparente per l'utente. Elementi che potrebbero essere sfruttati per iniettare codice maligno o causare il download di componenti indesiderati vengono insomma bloccati immediatamente ed eliminati dalla pagina web in corso di visita. Ovviamente il prodotto permette di impostare delle “esclusioni”, regole specifiche che si discostano dal comportamento tenuto in generale.

Tra i software più interessanti c'è anche Online Armor, un programma gratuito che – oltre a fungere da “personal firewall” - integra funzionalità HIPS. Acronimo di Host Intrusion Prevention System, HIPS è una sigla con cui vengono accomunate molteplici soluzioni in grado di monitorare il sistema e/o la rete alla ricerca di attività sospette. In tali situazioni un HIPS è capace di reagire bloccando le comunicazioni potenzialmente pericolose od, ancor prima, prevenendole. Un software HIPS si fa carico di sorvegliare tutto quanto avviene sul sistema in uso consentendo solamente operazioni che risultino legittime o comunque che siano state precedentemente autorizzate. Se il firewall, in senso stretto, agisce quindi intervenendo sulle comunicazioni di rete, un HIPS opera ad un livello ancor più basso interfacciandosi con il sistema operativo, esaminando il comportamento dei servizi, dei processi e delle applicazioni in esecuzione.
La semplicità che contraddistingue Online Armor consente anche agli utenti meno smaliziati di avvicinarsi al mondo degli HIPS comprendendone più agevolmente il funzionamento e gli obiettivi.

Sin dal momento dell'installazione, Online Armor effettua una serie di controlli sulla configurazione del sistema mettendo in luce eventuali configurazioni sospette o comunque non consigliate. Attraverso le icone mostrate nella finestra principale di Online Armor si accede al firewall, al modulo HIPS e ad altre impostazioni del software. Il programma permette di configurare a fondo il comportamento di ogni singola applicazione impedendo che queste effettuino azioni potenzialmente pericolose o comunque non consentite.

Facendo riferimento a questa pagina, potete consultare una guida all'uso di Online Armor.

Porte di comunicazione e regole firewall. Le porte di comunicazione sono una sorta di punti d'accesso attraverso i quali viene stabilita una connessione in entrata od in uscita con il personal computer. Una connessione di rete è effettuabile utilizzando una delle 65.535 porte disponibili sul sistema: alle prime 1.024 porte (“well known ports”) sono associati specifici servizi previsti dallo IANA (Internet Assigned Numbers Authority). Per convenzione, quindi, le porte 20 e 21 sono utilizzate ad esempio dal protocollo FTP per il trasferimento di file; la 25 dal protocollo SMTP; la 80 da HTTP; la 110 da POP3; la 119 da NNTP e così via.
Come alcuni credono, non esiste una pericolosità intrinseca nell'utilizzo di porte specifiche: il problema si può semmai presentare nel momento in cui sul sistema in uso vi siano componenti server in ascolto, ovvero in grado di rispondere alle richieste di connessione provenienti dall'esterno. Se si configura un server web sulla propria macchina è normale che debba accettare il traffico di rete in arrivo sulla porta 80.
L'importante è che le richieste siano gestite correttamente e che il server non abbia vulnerabilità intrinseche che debbono essere sempre tempestivamente mediante l'applicazione delle patch di sicurezza rilasciate dalle varie software house.
Se, di contro, sul sistema viene installato un componente trojan in grado di mettersi in ascolto su una porta specifica, ecco che qualora l'antivirus non fosse in grado di rilevarne la presenza, essendo sprovvisti di un firewall in grado di segnalare all'utente e bloccare i tentativi di connessione provenienti dall'esterno, si correrebbero enormi rischi.
Ogni "personal firewall" consente di specificare anche se un programma debba operare solamente in modalità client oppure se possa accettare anche le connessioni provenienti dalla Rete (modalità server).
Su un sistema che non debba fornire ad altri utenti dei servizi sono solitamente ben poche le componenti server che vengono avviate, a meno che non si installino web server, file server, ftp server, print server o software per il file sharing. I malware che si mettono in ascolto su una o più porte integrano una componente server, che permette connessioni non autorizzate da parte di aggressori remoti.

Gli antivirus online

Quando si ha a che fare con un file la cui identità non appare chiara, è possibile ricorrere ai tanti servizi di analisi online. La principale peculiarità di tali servizi consiste nella possibilità di avviare una scansione di uno o più file presenti sul personal computer utilizzando i motori antivirus di più produttori differenti. Va precisato che questo tipo di controlli poggia sull'uso dei database delle firme virali al momento più aggiornati. Non viene quindi applicata alcun genere di analisi comportamentale. Tuttavia, VirusTotal, con i suoi ultimi aggiornamenti, ha provveduto ad applicare, durante la scansione dei file, anche l'utilizzo – ad esempio – della tecnologia “collective intelligence” di Panda e di un simile meccanismo “in-the-cloud” impiegato da Prevx. Grazie a queste tecnologie, alcuni motori antimalware sfruttati da VirusTotal per esaminare i file inviati dagli utenti sono in grado di rilevare tempestivamente le minacce a distanza di poche ore dalla loro prima comparsa in Rete.
Prima di eseguire un file che proviene da fonti non fidate è buona cosa sottoporlo all'esame di VirusTotal o di altri strumenti similari. Particolare cautela, ad esempio, va riposta prima di aprire od avviare file che provengano, per esempio, dai vari circuiti peer-to-peer (ad esempio da e-Mule).

Tra gli altri servizi analoghi ricordiamo Filterbit, VirScan.org e NoVirusThanks.

Discorso a parte va fatto invece per siti come ThreatExpert (ved. anche questo articolo per maggiori informazioni in merito, CWSandbox, Norman ed Anubis che poggiano su tecniche di “sandboxing”.
Si chiama “sandbox” un'area protetta e sorvegliata all'interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio. Le tecniche di “sandboxing” sono quindi uno strumento eccellente per lo studio di ogni genere di malware anche se molti componenti maligni più moderni si sono oggi fatti più furbi: riescono a riconoscere la loro esecuzione nell'ambito di una macchina virtuale o comunque di una sandbox ed, in queste circostanze, evitano il caricamento di qualunque codice nocivo in modo tale da non insospettire i tool di scansione.