Sconti Amazon
venerdì 17 ottobre 2008 di 101696 Letture

Un'analisi delle minacce informatiche presenti e future

Da tempo le varie aziende attive nel campo della sicurezza informatica hanno registrato ed illustrato pubblicamente la tendenza che sta prendendo sempre più piede nel campo dello sviluppo di componenti malware. Una volta, infatti, i malware non erano realizzati principalmente per ottenerne un ritorno economico quanto per mostrare la propria bravura. Oggi lo scenario è radicalmente cambiato ed i malware appositamente studiati per sottrarre denaro od informazioni personali sono cresciuti in modo esponenziale. La diffusione di malware progettati per bersagliare una specifica cerchia di utenti od, addirittura, particolari aziende, rendono sempre più difficoltoso il loro tempestivo rilevamento e rimozione. Le nuove motivazioni (interessi economici) spingono gli sviluppatori di malware ad ideare codici nocivi sempre più raffinati, in grado di infettare anche gli utenti che non si ritengono propriamente dei neofiti.

Gli attacchi sono divenuti, purtroppo, sempre più “mirati” facendo assumere al fenomeno malware una natura dinamica, in continua evoluzione. Una vera e propria piaga per gli utenti comuni e le aziende.

Sino a qualche tempo fa l'unico approccio generalmente utilizzato da parte dei vari software antivirus nella lotta contro i malware consisteva nell'impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all'interno dell'archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.

Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di “reverse engineering”, procedure che prevedono l'analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario. L'attività di “reverse engineering” di un malware, così come di qualunque altro software, si può svolgere seguendo diversi approcci. I più comuni consistono nell'osservazione delle informazioni scambiate con l'impiego, per esempio, di packet sniffer (software che consentono di “intercettare” tutti i dati inviati e ricevuti dall'applicazione oggetto di analisi), nell'utilizzo di “debugger” a basso livello come SoftICE, nel disassemblare l'eseguibile dell'applicazione o del malware, nell'effettuare una decompilazione (processo che permette di rigenerare il codice sorgente in un linguaggio di livello più alto a partire dal codice macchina o “bytecode”).

Chi realizza malware, inoltre, sta utilizzando sempre più sovente espedienti e metodologie che complicano drasticamente il lavoro di “reverse engineering”. Il risultato è che questo tipo di attività è destinato a richiedere competenze tecniche sempre maggiori ed il tempo da dedicare all'analisi di ogni singolo campione malware si allunga in modo esponenziale.

Appare quindi evidente come attività del genere, che richiedono tempo e notevoli investimenti economici, si rivelino sempre meno adatte per affrontare un fenomeno, come quello del malware, in continua crescita.

Alcune aziende stanno tentando di far fronte all'emergenza incrementando il proprio personale (analisti all'interno dei laboratori) oppure, ad esempio, richiedendo frequentemente l'intervento delle forze di polizia: l'obiettivo è quello di ridurre i carichi di lavoro, e quindi il numero di varianti di malware in circolazione, individuando ed arrestando gli sviluppatori di malware più attivi e maggiormente pericolosi.

Le iniziative che mirano a coinvolgere maggiormente le forze di polizia sono certamente un passo nella giusta direzione purtuttavia questo tipo di soluzione non può essere considerata di per sé sufficiente, almeno nel breve termine. Gli sviluppatori di malware più esperti che, ad esempio, vendono i loro codici nocivi a spammers, organizzazioni mafiose e criminali, sono coloro che più facilmente riescono a sfuggire e che quindi sono indubbiamente i più difficoltosi da catturare. La mancanza di risorse umane, nella maggior parte delle polizie, ed una cooperazione a livello internazionale ancora troppo macchinosa, sono aspetti che contribuiscono a rendere meno tempestivo un intervento per l'individuazione e l'arresto degli sviluppatori di malware.

I produttori di soluzioni antivirus sono stati quindi costretti ad usare approcci differenti e più efficaci (li vedremo nel dettaglio più avanti) abbinando soluzioni tecnologiche ad un approccio “sociale”.

Tecniche di progettazione del malware: attacchi mirati per non farsi scoprire

Come appena visto, gli obiettivi cui guardano gli autori di malware sono radicalmente mutati rispetto al passato.

Oggi i malware vengono creati per sottrarre informazioni di autenticazione sui vari servizi online, per acquisire identità altrui, per usare i computer “infettati”, in modo automatizzato, per l'invio di campagne spam, per rubare credenziali d'accesso a servizi di online banking ed informazioni relative a carte di credito.

Affinché un malware possa raggiungere il suo scopo, è necessario che questo possa passare del tutto inosservato all'utente. E' questa una sostanziale differenza rispetto a quanto abbiamo assistito in passato. Diversamente rispetto a qualche anno fa, quando i malware ambivano a diffondersi sul maggior numero di sistemi possibile provocando, quindi, un'inevitabile eco sui media, oggi l'obiettivo di coloro che sviluppano componenti nocivi, è quello di mettere in atto tutte le tecniche per evitare di insospettire le varie suite per la sicurezza o gli utenti stessi.

Una delle strategie più largamente applicate dai malware odierni, consiste nell'infettare poche centinaia di sistemi per poi eventualmente aggiornare il codice nocivo con nuove varianti, prelevate direttamente dalla Rete. In questo modo è facile sfuggire all'individuazione da parte di soluzioni antivirus che poggiano pressoché esclusivamente sull'uso delle definizioni virali. Mentre, in passato, numerosi campioni malware arrivavano in poco tempo all'interno dei laboratori antivirus vista la diffusione su vastissima scala, oggi ciò avviene sempre più raramente proprio per la mutata mentalità di chi sviluppa malware.

Tra le tecniche impiegate in fase di progettazione del malware vi sono anche meccanismi automatici di controllo che effettuano test con i principali motori di scansione antivirus: ogni variante del malware si sottopone all'esame in modo tale da accertarsi di non essere riconosciuta dalla maggior parte dei motori. L'obiettivo non è quello di scampare al riconoscimento di tutti gli "engine" ma di evitare il rilevamento da parte della maggioranza di essi, anche nel caso in cui dovessero risultare attivate tutte le tecniche di rilevamento proattive (euristica, analisi comportamentale, blocco di attività specifiche in base alla specifica tipologia,...).

Il controllo automatico è paradossalmente facilitato dalla disponibilità, in Rete, di servizi come Jotti, VirusTotal, oltre a tutti i meccanismi online offerti dai vari produttori antivirus. Per lo stesso scopo vengono usati anche servizi di "sandboxing" online quali CWSandbox, Norman, Anubis e ThreatExpert. Si chiama “sandbox” un'area protetta e sorvegliata all'interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio. Le tecniche di “sandboxing” sono quindi uno strumento eccellente per lo studio di ogni genere di malware.


I più scaricati del mese

Buoni regalo Amazon
Un'analisi delle minacce informatiche presenti e future - IlSoftware.it