Alfonso Maruccia

Gli hacker sfidano gli antivirus. E' panico

Solleva preoccupazione tra i produttori l'annuncio che il prossimo Defcon di agosto ospiterà tra le altre cose una gara a chi frega meglio gli antivirus. Non che ci voglia poi molto, dicono i protagonisti

Roma - Preoccupazione sincera di pericolose ricadute nel settore sicurezza o paura di vedersi sbugiardare, con pochi tocchi di codice ben programmato, "protezioni" che costano decine, centinaia o anche migliaia di dollari all'anno? La lettura del criticismo dei vendor di software antivirale contro il prossimo DEFCON 16 può pendere, a seconda dei punti di vista, dall'una o l'altra parte.

un'immagine dall'ultima edizione del DefconLa più grande conferenza hacker internazionale, tenuta annualmente a Las Vegas in Nevada, ospiterà per la prossima edizione il contest Race to Zero, che è, per l'appunto, il motivo del cruccio delle multinazionali della sicurezza informatica. La gara consisterà nel modificare i sample di virus e malware forniti dagli organizzatori in modo tale da riuscire a beffare quanti più possibile engine di scanner antivirali.

I partecipanti faranno passare le proprie creazioni attraverso fasi successive, di difficoltà e complessità crescenti. Il team o il coder in grado di passare tutti i test senza inciampare negli antivirus verranno incoronati come vincitori. A latare anche premi per categorie meno sobrie, come l'offuscamento più elegante, l'hack più sporco per l'offuscamento e il trick più meritevole di birra.
Una vera e propria prova di polimorfismo da malware insomma, che se gli smanettoni da codice possono trovare divertente e interessante, di certo ha già collezionato critiche sperticate da parte di chi quegli engine antivirali li produce e li raffina.

"Non tutti gli antivirus sono uguali", recita la homepage di Race to Zero, e ve ne sono alcuni che è possibile beffare con una quantità di lavoro e impegno ridottissimi, non proporzionati al costo della protezione che la società produttrice spilla in abbonamento all'utente finale. "I produttori di antivirus dalle scarse prestazioni devono essere smascherati", continua il manifesto del contest, lanciando senza mezzi termini un guanto di sfida all'industria della security che non è più al passo con la qualità e la quantità sopraffina delle moderne minacce informatiche.

Chiamati in causa in questo modo, gli autori di antivirus hanno risposto per le rime definendo Race to Zero come un'occasione per fare più male che bene: "La divulgazione responsabile (delle vulnerabilità ndr) è una cosa - ha dichiarato Paul Ferguson di TrendMicro - ma incoraggiare le persone a farlo come un contest è un po' troppo". Roger Thompson di AVG Technologies sottolinea come le società di antivirus siano già oberate di lavoro - "30mila sample di codice processati ogni giorno" sostiene Thompson - e incoraggiare le persone a scrivere ancora più virus non è una cosa che si presta a un giudizio positivo.

Gli organizzatori di Race to Zero assicurano comunque che i sample modificati non verranno distribuiti "in the wild" e verranno usati al solo scopo del contest, vale a dire dimostrare - in maniera possibilmente eclatante per fare maggiore impressione - che "l'antivirus basato sulle firme virali è morto, gli utenti hanno bisogno di guardare all'euristica, e a tecniche basate sulle statistiche o comportamentali per identificare le minacce emergenti".

Nel settore della sicurezza IT il dibattito infuria. C'è ad esempio chi come Andreas Clementi, il ben noto personaggio dietro i test antivirali di AV-Comparatives, sostiene che nonostante il proliferare quasi in tempo reale di pericoli e malware sconosciuti - impossibili da bloccare senza l'impiego di difese proattive come gli engine H.I.P.S. e simili - una buona capacità di difesa basata sul tradizionale metodo degli hash per ogni singolo malware o famiglia di malware rimanga uno dei parametri più importanti da considerare nella scelta di una buona difesa antivirus.

Su Offensive Computing c'è però chi non la pensa alla stessa maniera, sostenendo che è "scandalosamente facile eludere qualsiasi engine antivirus con una quantità davvero misera di lavoro". Una scomoda verità di cui sia le società di antivirus che i malware writer professionisti sono perfettamente consapevoli, senza dover attendere per questo i risultati di un contest come Race to Zero.

"Gli unici a non esserne a conoscenza sono i consumatori - continua il post di tale "dannyquist" sul weblog malware-centrico - Scuotere la loro fiducia nello spendere 60 dollari all'anno per gli aggiornamenti è qualcosa che i produttori di AV temono. Ed è per questo che probabilmente gli avvocati verranno coinvolti piuttosto rapidamente nella faccenda".

Alfonso Maruccia
79 Commenti alla Notizia Gli hacker sfidano gli antivirus. E' panico
Ordina
  • Il peggior virus per un pc è il suo utente. Un utente può fare cose a un pc che nemmeno il peggior virus riuscirebbe a fare. Come individuarli ? Hanno la foto di parenti/amici/morosi sul dekstop.
    non+autenticato
  • tanto sul mio uso linux
    non+autenticato
  • Io avevo NOD32...che l' utilizzava, di altri antivirus non so.
    Come mai nell' articolo non se ne parla e il produttore dà peso solo alla mole di lavoro per l' hash di cose già in circolazione?
    In questo modo sembra che la qualità di un' antivirus si riduce alla quantità di aggiornamenti ed alla leggerezza, cose che teoricamente dovrebbero rendere inutili gli stessi se utilizzati con un SO aggiornato visto che esiste un bug sfruttabile conosciuto, ma credo sia un' altro discorso che riguarda la serietà e il lavoro dei produttori di sistemi operativi.
    Quindi l' euristica serve e quanto?
    E' così difficile o onerosa da sviluppare per renderla veramente affidabile ed efficace?
    Un grazie a chi mi chiarisce le idee (o corregge eventuali castronerie...)

    Vincenzo
    non+autenticato
  • - Scritto da: Vincenzo
    > Io avevo NOD32...che l' utilizzava, di altri
    > antivirus non
    > so.
    > Come mai nell' articolo non se ne parla e il
    > produttore dà peso solo alla mole di lavoro per
    > l' hash di cose già in
    > circolazione?
    > In questo modo sembra che la qualità di un'
    > antivirus si riduce alla quantità di
    > aggiornamenti ed alla leggerezza, cose che
    > teoricamente dovrebbero rendere inutili gli
    > stessi se utilizzati con un SO aggiornato visto
    > che esiste un bug sfruttabile conosciuto, ma
    > credo sia un' altro discorso che riguarda la
    > serietà e il lavoro dei produttori di sistemi
    > operativi.
    > Quindi l' euristica serve e quanto?
    > E' così difficile o onerosa da sviluppare per
    > renderla veramente affidabile ed
    > efficace?

    L'euristica serve solo per riconoscere malware molto simile a quello gia' in circolazione senza averne a disposizione i samples per creare una firma. In altre parole, l'euristica ti salva nel caso in cui i programmatori del malware hanno creato due versioni del malware, NON ti salva assolutamente quando i creatori vogliono aggirare la rilevazione dell'antivirus, in quanto aggirare l'euristica presenta difficolta' minime, non molto diverse da quelle per aggirare le firme.
    non+autenticato
  • Un'euristica e` una soluzione approssimata, che viene chiamata cosi` quando non c'e` verso o intenzione di dimostrare qualora sia una soluzione efficiente. E` un tirare a indovinare, un prova-e-riprova. Un chatbot, un programma che simula una conversazione intelligente, e` un'euristica, per esempio.
  • Ha veramente senso comperare un pc per 600euro se poi devo stare attento a tutte queste cazzate?

    Antivirus e firewall ti succhiano un casino di cpu/ram
    per non parlare dei var antispyware, cclenaer, regclear e vari che servono per proteggere/ripulire il pc

    Gli utenti persono più tempo a fare manutenzione che a usare il pc e non sfruttano mai a pieno il proprio pc.

    Con grande godimento dei rivenditori Hardware...per far andare Vista ed essere sicuri serve un pc a livelli NASASorride e loro guadagnano...


    Usate GNU/LinuxOcchiolino
    non+autenticato
  • mah non so ke programmi usi tu..ma avira antivir free mi occupa solo 8mb, uso outpost firewall ke nel peggiore dei casi occupa 30mb, per fare una pulizia ogni tanto del registro di sistema uso tuneup utilities, di una facilità disarmante, una volta ogni morto di papa uso spybot, e ogni volta rileva quasi niente... tutto dipende da come lo usi il pc...

    ps vista home premium va alla grande su un portatile(provato personalmente) da 500€ con pentium dual core 1,4ghz, 1gb ram, 80gb hd..non mi sembra proprio un pc della "nasa"...non scadiamo nei soliti luoghi comuni
    non+autenticato
  • Quoto... E aggiungo che, se uno deve usare Windows XP (Vista proprio non lo concepisco...) come me, per abitudine e per pigrizia... Deve rendersi conto che il miglior antivirus che c'è è quello che tiene il mouse e batte sulla tastiera. Non basta un buon antivirus e antispyware per proteggere il pc, bisogna avere anche un minimo di intelligenza...
    non+autenticato
  • Visto che anche pagando non si ottengono risultati certi, perchè farlo?
    Ci sono buoni antivirus gratuiti in giro (tipo Avast o altri)
    Imbarazzato
    non+autenticato
  • - Scritto da: Homer S.
    > Visto che anche pagando non si ottengono
    > risultati certi, perchè
    > farlo?
    > Ci sono buoni antivirus gratuiti in giro (tipo
    > Avast o
    > altri)
    > Imbarazzato

    Gia'.
    Che poi sono gratuiti solo per chi non puo' pagare: lo fanno perche' un antivirus craccato e' ancora peggio che non avere antivirus e rappresenta una minaccia per il resto della clientela.

    GT
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)