Criticata la metodologia utilizzata per il test di Secunia

Pesanti critiche arrivano da Panda in merito al test condotto dalla società danese Secunia (ved. questa notizia per maggiori informazioni) circa l’abilità delle varie suite per la sicurezza nel combattere i codici exploit.
Pedro Bustamante, Panda, commenta sul blog aziendale il risultato della prova: le sue riflessioni sono taglienti e criticano aspramente la metodologia utilizzata per la prova.

“Quando si effettua un test con gli exploit uno degli aspetti molto importanti da tenere presente è che le suite per la sicurezza non si affidano esclusivamente all’uso delle “tradizionali” firme virali“, ha osservato Bustamante che continua: “il test di Secunia ha preso in considerazione solamente la scansione manuale di 144 codici exploit inattivi.” Ed è proprio sul termine “inattivi” che Bustamante si sofferma: “sarebbe come dire di voler provare l’ABS di un’autovettura gettandola da un precipizio di 200 metri.” E chiarisce che se viene testato soltanto il comportamento di un’unica difesa di un prodotto software contro i codici exploit – difesa che per inciso non è espressamente concepita per contrastare gli exploit – è altamente probabile che i risultati ottenuti siano fuorvianti.
Sopratutto, spiega Bustamante, se il test non prende in considerazione le altre difese concepite invece per contrastare gli attacchi da codice exploit.

Secondo Bustamante, inoltre, Secunia avrebbe completamente tralasciato di testare le funzionalità di analisi comportamentale, euristica, policy di sicurezza, rilevamento delle vulnerabilità software che molti prodotti presi in esame invece integrano.

Bustamante allega alle sue riflessioni una lunga lista di exploit che Panda è risultato perfettamente in grado di rilevare mentre invece Secunia ne aveva riportato la mancata individuazione. Sarebbe stato opportuno eseguire gli exploit, osserva Bustamante, per saggiare il reale comportamento delle varie suite ricordando anche come la funzionalità di Panda “Kernel Rules Engine“, lanciata nel 2004 ed integrata in tutti i prodotti per la sicurezza commercializzati dall’azienda spagnola, offra una valida protezione nei confronti di exploit “zero-day”. Questa funzionalità di protezione definisce quali azioni ogni applicazione debba essere in grado di compiere e quali debbano essere invece preventivamente bloccate. “Quali applicazioni debbono poter eseguire il comando cmd? Non certo Adobe Acrobat, né Windows Media Player, né RealPlayer” aveva affermato qualche tempo fa lo stesso Bustamante.

Abbiamo chiesto anche il parere di Marco Giuliani, Prevx Malware Analyst, in merito al test condotto da Secunia.
“Se, concettualmente parlando, il test svolto da Secunia è particolarmente interessante e pone l’accento su quesiti importanti, le procedure di svolgimento della prova lasciano parecchi dubbi“, ha dichiarato Giuliani. “Ciò che Secunia ha tentato di dimostrare è che la maggior parte dei software di sicurezza non previene exploit individuandoli attraverso signature, ma questo è sbagliato. Individuare un exploit per mezzo di firme virali è in molti casi senza senso, oneroso in termini di utilizzo di risorse di sistema e impreciso.”
Giuliani spiega come, in realtà, l’individuazione di nuovi exploit riesca molto più facilmente attraverso un’analisi dinamica che permetta di isolare l’eventuale codice malevolo in maniera più chiara.
Com’è noto, gli exploit spesso sfruttano una vulnerabilità di un prodotto.
Ad esempio, un exploit per Microsoft Word potrebbe sfruttare una vulnerabilità nella gestione di alcuni parametri di un documento Word. “Ma individuare la vulnerabilità semplicemente attraverso firme virali potrebbe causare un numero di falsi positivi a causa di documenti corrotti o malformati senza volontà di essere nocivi“, sottolinea Giuliani. “Di fatto, basare la prevenzione e l’individuazione di exploit solo su firme virali può essere altamente rischioso, non che come già detto inutile“.

Anche Symantec, da una valutazione iniziale del test condotto da Secunia, osserva come la provia appaia focalizzata principalmente sulla tecnologia antivirus tradizionale. “Se questo tipo di difesa rappresenta una parte importante del sistema di protezione Norton, costituisce comunque una delle tante linee di difesa e non fornisce una visione accurata dei livelli di protezione dei prodotti di sicurezza recenti. Test specifici come questo non analizzano in modo completo le capacità di sicurezza che operano basandosi sul traffico in entrata ed uscita dal sistema. Queste capacità sono integrate in Norton Antivirus e Norton Internet Security da alcuni anni“, si osserva da Symantec che nota come tecnologie di difesa basate sull’analisi comportamentale (i.e. Symantec “SONAR”) non siano state valutate da Secunia.
Tali tecnologie “entrano in funzione nel momento in cui si esegue una minaccia, proprio come avviene nel mondo reale, e non semplicemente aprendo un file o attivando una scansione. E’ come fare dei test sulla sicurezza di un’automobile concentrandosi solo sui freni, senza prendere in considerazione airbag, cinture di sicurezza ecc. test come questo forniscono un punto di vista limitato e fuorviante sull’efficacia di una suite di sicurezza.“