Firme Digitali, Malware e Aziende A/V

Posted on settembre 13, 2007. Filed under: News |

Joanna Rutkowska, ricercatrice che studia gli stealth malware, popolare per il suo prototipo di rootkit VM “Blue Pill“, ha pubblicato un interessante intervento sul suo blog “invisiblethings” riguardo gli approcci finora scelti dal settore della sicurezza per la creazione di software di protezione anti-malware. Rutkowska giudica il suo intervento un “commento filosofico” sul problema.

La ricercatrice focalizza il suo intervento sugli “executable file infector”, codici malevoli emersi negli anni novanta, che hanno dato il via all’infinito “inseguimento” tra virus writer e aziende antivirus, i primi impegnati nel creare codici sempre più difficili da rilevare, gli altri impegnati nel realizzare software “detector” sempre più efficaci. Rutkowska cita il virus writer “Z0mbie”, il motore Mistfall ed il virus Zmist, come “campione” fondamentale in questa gara alla realizzazione di virus “non rilevabili”. Si trattava infatti di uno dei virus più complessi mai scritti precedentemente.

Rutkowska commenta: “Tuttavia nulla è realmente impossibile da rilevare se si ha un campione del malware nel proprio laboratorio e si possono spendere XXX ore ad analizzarlo – si troverà sempre un trucco per rilevarlo presto o tardi. Il problema è – gli scanner A/V dell’epoca sarebbero stati in grado di rilevare una simile infezione se si fosse trattato di un 0day in the wild? Riuscirebbero gli scanner di oggi a rilevare un virus Zmist modificato o aggiornato, o dovrebbero affidarsi all’autore del virus nella speranza di ricevere un campione da analizzare prima?“. I file infector tuttavia, afferma Rutkowska, hanno smesso di essere un problema grave alcuni anni fa. Questo non è accaduto grazie agli sforzi dell’industria A/V, piuttosto in virtù della modica delle abitudini stesse degli utenti, che oggi sempre più comunemente scaricano dal Web e non scambiano tra di loro file eseguibili. L’industria antivirus avrebbe tuttavia potuto risolvere alla base il problema dei file infector utilizzando una soluzione ben conosciuta, le firme digitali per i file eseguibili.

Rutkowska commenta: “Con le firma digitali possiamo identificare qualsiasi tipo di modica eseguibile, a partire dal più semplice editing fino ai più complessi, EPO infector metamorfici (come mostratoci da Z0mbie). Tutto ciò che bisogna fare (o più precisamente che i sistemi operativi devono fare) è verificare le firme di un eseguibile prima di eseguirlo“. Tutti le ulteriori problematiche si sarebbero potute risolvere in seguito: il fatto che molti programmi non sono firmati digitalmente, che gli utenti sono ritenuti troppo “stupidi” per decidere a quali certificati dare fiducia, e che i malintenzionati sono a volte in grado di ottenere certificati legittimi. Secondo Rutkowska risolvere queste problematiche sarebbe stano meno dispendioso dal punto di vista economico rispetto a tutto il lavoro di ricerca sui file infector svolto negli ultimi 20 anni.Ma questo avrebbe anche significato ‘niente soldi’ per i vendor A/V“, commenta Rutkowska. Se questo non significa certo ottenere un OS sicuro al 100%, sarebbe tuttavia dovuto essere il primo passo per assicurare l’integrità di un sistema operativo. Rutkowska conclude il suo intervento con una critica più diretta all’operato dell’industria A/V, che avrebbe intrapreso una strada sbagliata che non porterà mai ad una soluzione “elegante ed efficace”.

Un ulteriore commento a questo intervento di Rutkowska è stato pubblicato da Marco Giuliani, malware analyst per PrevX. Marco “accoglie” il commento filosofico di Rutkowska ma ridimensiona il problema ed i termini di discussione. Giuliani afferma: “Ciò che è vero è che con un semplice software antivirus, anche con le tecnologie euristiche attuali, rimane sempre una falla nell’identificazione dei nuovi malware. Noi siamo i primi a dirlo, promuovendo un approccio al problema rivoluzionario ed innovativo. Quello che però non è vero è che le società abbiano speso soldi inutilmente e perso il proprio tempo sviluppando qualcosa di inutile invece di focalizzarsi su qualcosa che potesse risolvere il problema in maniera semplice ed efficace. Sicuramente le firme digitali sarebbero un modo per incrementare la sicurezza del sistema … Semplicemente ci sono state motivazioni tecniche e storiche che hanno motivato lo sviluppo di scanner antivirus. Microsoft con Windows Vista 64 bit ha tentato di utilizzare le firme digitali per evitare che driver sconosciuti possano essere caricati, così eventuali rootkit kernel mode non possono compromettere il sistema. Non è stata forse Joanna tra i primi ricercatori a mostrare come tentare di bypassare il controllo della Microsoft?” (Articolo completo di Giuliani).

Fonte. 

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: