Da circa due settimane AVG ha annunciato il rilascio del suo LinkScanner per Mac con l’espresso obiettivo di “garantire sicurezza agli utenti Mac contro l’aumentato numero di sempre più sofisticati attacchi web”. Molto probabilmente i fanatici Mac non l’hanno presa molto bene … tant’è che la stessa AVG si è sentita in dovere di rilasciare le seguenti dichiarazioni :
“E’ noto che la maggior parte degli utenti Mac credono di essere in qualche modo immuni da tutti i possibili rischi derivanti dal malware che si propaga tramite web. Questa convinzione è talmente forte per costoro da portarli a non installare qualsiasi software antivirus sui loro computer. Tuttavia i tempi stanno cambiando e il 2009 si è rilevato essere un anno piuttosto complicato per i rischi di sicurezza che coinvolgono le piattaforme Apple, compresi Mac OSX e l’iPhone. Durante l’ultimo anno i Mac sono stati oggetto dell’attacco del trojan iServices A, che ha comportato, per oltre 20.000 utenti, al download di un file infetto da un sito di software pirata.”
AVG continua dichiarando che il successivo trojan iServices B ha già colpito altre 5000 macchine ed ha sottolineato come altri virus (tra cui Tored-A e Jahlav-C) sono già causa di preoccupazione nella comunità Apple.
“Sono state scoperte delle vulnerabilità nel browser Safari, in iTunes e nel programma per la lettura dei PDF. Tra l’altro è da notare il fatto che lo scorso mese sono stati evidenziati dei report relativi a vulnerabilità non ancora corrette nel browser Safari 4.0. Sembra dunque che i Mac non siano più sicuri come un tempo.”
Ovviamente gli utenti Mac sono ancora molto lontani dall’incidenza pesantissima di malware esistente per la piattaforma Windows. Tuttavia è bene, a mio avviso, non sottovalutare troppo il problema. Sono stato sempre convinto del fatto che non esiste un sistema operativo intrinsecamente inattaccabile e che la distribuzione di virus e malware per un determinato OS è diretta conseguenza della sua popolarità. In fondo è anche logico: dal momento che scrivere codice malevolo non è (spesso) un’operazione banale ed in considerazione del fatto che il virus-writer punta a massimizzare l’effetto della propria opera, ovviamente si cercherà di colpire, preferenzialmente, la piattaforma di maggiore diffusione. E se le alternative a Windows iniziano ad aumentare le loro quote di diffusione è lecito attendersi anche una evoluzione del malware per computer.
E se qualcuno ancora vi dice che i Mac sono immuni dai virus … ecco qua un bel video istruttivo:
Alla prossima.
26 Ago
Posted by: Andrea Lanfranchi in: Mondo IT
Gli autori di codice malevolo fanno di tutto, con eccellenti risultati in verità, per eludere difese e protezioni messe a guardia del pc. Il loro obiettivo primario, a dispetto di quello che si può immaginare, non è creare danni immediati al computer quanto piuttosto quello di intrufolarsi all’interno del computer e stare ben nascosti cercando di svolgere attività poco lecite come ad esempio fregarvi dati personali, usare la vostra macchina come base di lancio per attacchi ad altri computer o server, sfruttare le vostre connessioni di rete locale per propagarsi agli altri computer dell’azienda o di casa. Insomma … cercare di fare i loro comodi con il minimo impatto sulla vostra percezione di qualcosa che non va’. Infatti, più è il tempo che passa senza che voi vi accorgiate di nulla, più è il tempo che il malware ha a disposizione per compiere i suoi misfatti.
Come sempre amo ricordare, affidarsi solo ad un buon antivirus/antimalware, non è sufficiente. La tecnologia alla base della rilevazione di virus e malware in genere è, concettualmente, vecchia di anni: i grandi produttori dei noti marchi di antivirus dispongono di laboratori di analisi che passano il tempo a studiare nuovi esempi (sample) di codice malevolo raccolto da macchine infette o segnalato dai loro utenti, compilano elenchi di nuove impronte da rilasciare in aggiornamento (siamo alla data attuale nell’ordine delle migliaia al giorno) e le distribuiscono tramite il web. I rovesci della medaglia sono presto detti: delle centinaia di migliaia di impronte virali che il vostro antivirus o antimalware è istruito a riconoscere più del 97% non è e non sarà mai di alcun interesse per il vostro computer – con evidenti ripercussioni sulle prestazioni del computer -, gli aggiornamenti arrivano – inevitabilmente – con un ritardo di qualche ora che, per infezioni a rapidissima diffusione, potrebbero essere fatali e, da ultimo, l’intero sistema di protezione si regge sull’assunto che il pc funzioni correttamente per poter ricevere gli aggiornamenti via web. Specialmente in questo ultimo caso è facile intuire come molti codici malevoli abbiano come obiettivo da colpire la risoluzione dei nomi internet all’interno del computer in modo che l’antivirus non sappia più dove andare a richiedere i propri aggiornamenti.
Ma in definitiva, come ci si può accorgere se la macchina è stata in qualche modo infettata ? Elevando la propria percezione di qualcosa che non va come dovrebbe. E l’unico modo per farlo è quello di imparare a conoscere cosa c’è nel computer e come funziona per potersi accorgere di cosa non dovrebbe esserci. Per questo è essenziale crearsi una “base” di partenza dalla quale poter partire nell’analisi dei possibili casi di infezione a cui il vostro antivirus o antimalware non ha potuto/saputo porre rimedio.
Ma quali strumenti utilizzare ? Ve ne sono molti, anche alcuni che sicuramente mi sfuggono, che possono aiutarvi ad individuare eventuali ospiti non invitati.
Con Process Explorer è possibile elencare quali processi siano attualmente in esecuzione sul computer e descrive le funzione di ogni processo. Ma la cosa più importante è che con Process Explorer potete salvare una “situazione base” dello stato dei processi del pc e, nel caso in cui iniziate a rilevare comportamenti anomali, confrontare una nuova analisi con una precedentemente salvata per cercare di individuare cosa c’è di nuovo che non dovrebbe esserci. Ogni differenza rilevata può essere un punto di partenza per iniziare ad investigare sulla eventuale presenza di malware.
HiJackThis è una sorta di Process Explorer con funzionalità aggiuntive e l’indubbia eccellente caratteristica di essere facilmente utilizzabile anche da chi non sia particolarmente esperto di sistemi operativi. La creazione di una situazione di base (ottenuta quando si è sicuri che il computer stia funzionando al meglio) è estremamente facile ed utilissima per individuare le differenze che, nel tempo, si possono verificare. Nel caso in cui non siate in grado di interpretare il risultato dell’analisi di HiJackThis, niente paura: vi sono dei siti che possono interpretarlo per voi dandovi immediatamente evidenza di cosa c’è di buono e cosa di cattivo in esecuzione sul computer. I due più famosi sono HiJackThis.de e Networktechs.com: semplicemente copiate l’esito dell’analisi nella casella della pagina web, date invio e aspettate il risultato.
Se, invece, desiderate ottenere il parere di un esperto potete sempre consultare il forum di HijackThis (in lingua inglese) o, se non avete dimestichezza con la lingua, rivolgervi ad uno dei tanti forum in lingua italiana che possono darvi assistenza come ad esempio pc-facile.com.
Attenzione : la rimozione dei processi o delle chiavi di registro suggerite dall’applicazione potrebbe non sempre essere la soluzione adatta ai vostri problemi. E’ importante disporre di una buona base di conoscenza per capire quali effetti produrrà il vostro intervento soprattutto sul registro di sistema. Nel dubbio … chiedete, chiedete, chiedete !!!!
Questi due strumenti costituiscono già una buona base di partenza, ma come è intuibile, esprimono tutta la loro utilità quando ci stiamo accorgendo che c’è qualcosa che non funziona a dovere, quindi quando verosimilmente il codice malevolo si è già installato nel computer.
Come si può allora evitare di lasciare troppe porte aperte alle infezioni ? La risposta sta nei frequenti aggiornamenti che Microsoft rilascia di continuo per i propri sistemi operativi e per le proprie applicazioni. Si tratta di aggiornamenti importanti che nella stragrande maggioranza dei casi hanno lo scopo di mettere delle pezze (patch) alle vulnerabilità via via rilevate nel tempo. Sono proprio queste vulnerabilità che, se non corrette adeguatamente, diventano autostrade aperte alle infezioni. Emblematico è il caso della recente infezione di Conficker (altrimenti noto come Downadup): i computer regolarmente aggiornati con tutte le patch di sicurezza hanno resistito all’infezione mentre quelli NON aggiornati se la sono beccata con un indice di infezione altissimo.
Il consiglio quindi è sempre lo stesso : eseguite gli aggiornamenti del sistema operativo con regolarità, anche tutti i giorni. Obiezioni del tipo “non monto la service pack x perchè se no mi rallenta il computer” sono semplicemente sciocche e potrebbero farvi rimpiangere di non essere intervenuti prima. In termini di sicurezza è molto meglio avere un sistema operativo aggiornato con tutte le patch di sicurezza piuttosto che aggiornare quotidianamente l’antivirus. Ricordate sempre che uno dei fattori su cui fanno leva gli autori del codice malevolo è proprio il fatto che sanno perfettamente che molta parte dei computer non è aggiornata e quindi vi sono vulnerabilità da sfruttare.
Per cercare di capire a quali rischi di vulnerabilità sia esposto il vostro computer, e ovviamente metterci le opportune pezze di protezione, potete usare questi strumenti:
Microsoft Baseline Security Analyzer è uno scanner di vulnerabilità che rileva le impostazioni di configurazione non sicure e verifica, in tutti i prodotti Microsoft installati sul pc (incluso il sistema operativo Windows ovviamente) quali patch di sicurezza non siano state applicate e che quindi sono necessarie. Purtroppo è disponibile solo in lingua inglese.
Come per MBSA anche gli scanner di Secunia ricercano le vulnerabilità non corrette all’interno del computer, ma a differenza del prodotto Microsoft, includono nella scansione anche prodotti software di terze parti (ovvero non Microsoft), il che li rendono ovviamente più completi. Sia gli scanner on-line che quelli client offrono un’interfaccia intuitiva su cosa ci sia che non va e sul modo per porvi rimedio. Quando possibile indicano anche il collegamento diretto alla pagina del produttore il cui software deve essere corretto per il download degli aggiornamenti.
Tuttavia le cose non sempre facili come sembrano. A questo punto non fatevi trarre in inganno dall’assunto “nessuna vulnerbilità … nessun punto di accesso per il malware”: esiste del malware particolarmente insidioso che ricade nelle classi comunemente chiamate zero-day. Un’attacco di questo tipo sfrutta vulnerabilità ancora sconosciute, soprattutto al produttore del software e che, ovviamente, non vengono rilevate dai precedenti scanner come vulnerabilità da correggere. E’ a questo punto che entra in gioco la scelta di un buon antivirus specialmente se in grado di offrire una protezione euristica.
Ultimamente gli antivirus stanno perdendo molto della loro rispettabilità a causa della intrinseca impossibilità di raggiungimento del 100% di rilevazione delle infezioni conosciute e non conosciute. Tuttavia non è una buona idea tenere un computer senza antivirus: è troppo rischioso. Personalmente ho optato per TrustPort che offre una soluzione di scansione basata su diversi motori : quello che non trova l’uno, si spera, trova l’altro. Non voglio comunque accendere le solite frequenti e violente discussioni su quale antivirus sia il migliore.
Anche qui, comunque, l’antivirus non è sufficiente dal momento che la loro tecnica di rilevazione si basa su collezioni di impronte virali e su una analisi euristica dalle limitate capacità di indagine. I writers di virus e di codice malevolo in genere utilizzano tecniche di morphing (mascheramento) del loro codice, rendendo impossibile il confronto delle impronte virabile e confondendo l’analisi euristica. Scegliete dunque con cura il vostro antivirus/antimalware prestando moltissima attenzione e senza cadere nelle facili trappole di malware che si fingono degli antivirus (come ad esempio antivirus 2009).
A coadiuvare l’attività del vostro antivirus potrete comunque adottare anche altri tipi di programmi letteralmente chiamati Antimalware Enforcers (rafforzatori).
Malicious Software Removal Tool è in generale un buon strumento per la rilevazione e rimozione del malware se non altro per il fatto che è prodotto dalla stessa Microsoft: in linea di principio almeno loro sanno quale codice, di windows o delle loro applicazioni, è legittimo o è malware. Gli aspetti salienti di questa applicazione sono principalmente da ricondursi al fatto che il processo di rimozione dell’eventuale malware è completamente automatico, ed i suoi aggiornamenti vengono rilasciati tramite Windows Update.
Windows Defender è uno strumento, gratuito, di protezione dallo spyware. In generale non gode di un’ottima reputazione, ma secondo me questa cattiva fama gli è stata appioppata a torto. Sicuramente non è uno degli strumenti più efficaci nella rimozione del malware ma dispone di una caratteristica saliente che lo fa apprezzare da un’utenza poco esperta: la notifica immediata delle modifiche in corso in importanti chiavi di registro oltre a strumenti per l’analisi dei programmi in esecuzione. Potrebbe essere validamente inserito anche nel primo gruppo di applicazioni (vedi in cima all’articolo).
Questo strumento fornito da BleepingComputers è veramente impressionante per quanto delicato da utilizzare. L’ho testato in diverse occasioni con ottimi successo. Piuttosto che fornire il link diretto al download preferisco rimandarvi alla pagina di spiegazioni all’uso perchè, come consiglia lo stesso sito, non dovrebbe essere utilizzato senza l’assistenza di un esperto.
Sicuramente Malwarebyte’s AntiMalware (MBAM) è tra gli strumenti di maggiore successo, forse il migliore, nella rilevazione e rimozione del malware di ultima generazione.
GMER è un tool per la rilevazione di un malware particolare : i rootkit. Nonostante la rimozione dei rootkit sia operazione particolarmente complessa, GMER ha ottenuto ottimi risultati in questo delicatissimo campo.
In conclusione, con gli strumenti indicati, e mantenendo sempre viva la curiosità e la voglia di farsi aiutare, riuscirete ad aumentare notevolmente la vostra sicurezza specialmente se avrete SEMPRE l’accortezza di mantenere i vostri sistemi aggiornati.
“Il rapporto tra produttori di software antivirus basati su impronte virali e i virus-writers è quasi comico. Uno rilascia qualcosa al quale l’altro risponde con un altro rilascio e così via, avanti e indietro. E’ come una piccola rincorsa agli armamenti senza fine.”
Questo il pensiero di Greg Shipley, Chief Technical Officer di Neohapsis, al quale, nel mio modestissimo piccolo, non so dar torto in alcun modo. E’ evidente che il desiderio è quello di potersi liberare quanto prima delle forme tradizionali di antivirus. Ma il problema è : come ?
L’industria degli antivirus ha costruito il proprio successo sul modello del sistema di immunizzazione umano: assegna un’etichetta ad ogni agente infettante in modo da poterlo riconoscere ed eliminare la prossima volta che viene incontrato (esattamente come gli anticorpi). Anche se i moderni antivirus si sono spinti oltre al semplice riconoscimento di impronte virali note (implementando l’analisi euristica o il sand-boxing che permettono di analizzare, almeno in parte, il comportamento del codice malevolo), la ricerca di impronte note è sempre alla base del sistema di prevenzione e ha visto quasi raddoppiare nel solo 2007 il numero di samples da rilevare rispetto agli anni precedenti ed il rateo di crescita è in continuo aumento. Naturale chiedersi allora quale impatto possa avere una tale crescita nei database di aggiornamento e nelle performance di calcolo dei nostri computer: ricercare all’interno dei file infettabili centinaia di migliaia di possibile impronte virali non è uno scherzo.
La nuova tecnica di analisi e blocco comportamentale (vedi anche qui) potrebbe non essere sufficiente ad eliminare la ricerca per impronte: anche se un software fosse in grado di bloccare le azioni non desiderate o non autorizzate da parte di codice malevolo, dovrebbe pur sempre essere in grado di riconsocere il codice da rimuovere dal computer per evitare che tali azioni si riverifichino alla prossima esecuzione. E questo riconoscimento può avvenire solo tramite il riconoscimento per impronte.
Perchè allora non cambiare la prospettiva ? E’ quello che si chiedono (ed a cui tentano di rispondere) aziende come Bit9. Anzichè basare la propria protezione su un sistema di tipo negazionale (ovvero basato su una lista nera – black list – molto lunga) potrebbe risultare più efficace adottare una logica di autorizzazioni basata su white-list ovvero : tutto quello che è presente nell’elenco delle applicazioni autorizzate può essere eseguito, il resto no. L’idea non è priva di ottime ragioni ma le difficoltà di implementazione ed i possibili effetti di impatto sul mercato non sono trascurabili.
Il mantenimento di un elenco di applicazioni “lecite” all’interno di un ambito ristretto (singolo pc) o mediamente vasto (piccole lan, reti aziendali, wan ecc) non è cosa facile come ben sanno i responsabili IT che cercano disperatamente di combattere con l’ottusità degli utenti e la miopia di molti manager. Scendendo poi nel mondo del piccolo utente privato le difficoltà, soprattutto dovute ad una scarsa competenza tecnica, aumentano a dismisura: perchè dovrebbe autorizzare un’applicazione ? perche non dovrebbe farlo ? e’ sicura ? ecc. Esattamente come le finestre di dialogo dei personal firewall: alla fine molti cliccano sempre su autorizza rendendo il firewall completamente inefficace e senza una esatta comprensione di ciò che avviene dietro le quinte.
Oltre a ciò va considerato un altro fatto: il white-listing delle applicazioni ha sicuramente il pregio di ridurre pesantemente il rischio di infezione sul pc che lo adotta ma non garantisce assolutamente che l’eventuale file infetto possa essere trasmesso all’esterno (per esempio inviando un allegato email) e quindi possa infettare a sua volta altri computer che non adottano il white-listing. Un mail server, ad esempio, potrebbe essere protetto da sistemi di blocco comportamentale o di white-listing, ma le email (e relativi allegati) che passano attraverso il servizio non vengono eseguiti e quindi non potrebbero rivelare comportamenti anomali da bloccare. Dovere del mail server, al contrario, è quello di ricercare all’interno dei file che passano tramite email, possibili impronte virali da rimuovere o bloccare per prevenire possibili infezioni ai computer client che riceveranno quelle email.
Prepariamoci dunque a dover sopportare, e a far sopportare ai nostri computer, un numero sempre più alto di strati (layer) di protezione che interagiranno gli uni con gli altri per cercare di offrire garanzie di protezione sempre più alte.
E per ora tenetevi stretto il vostro antivirus classico e tanto buon senso.