Preoccupazione sincera di pericolose ricadute nel settore sicurezza o paura di vedersi sbugiardare, con pochi tocchi di codice ben programmato, “protezioni” che costano decine, centinaia o anche migliaia di dollari all’anno? La lettura del criticismo dei vendor di software antivirale contro il prossimo DEFCON 16 può pendere, a seconda dei punti di vista, dall’una o l’altra parte.
La più grande conferenza hacker internazionale, tenuta annualmente a Las Vegas in Nevada, ospiterà per la prossima edizione il contest Race to Zero , che è, per l’appunto, il motivo del cruccio delle multinazionali della sicurezza informatica. La gara consisterà nel modificare i sample di virus e malware forniti dagli organizzatori in modo tale da riuscire a beffare quanti più possibile engine di scanner antivirali .
I partecipanti faranno passare le proprie creazioni attraverso fasi successive, di difficoltà e complessità crescenti. Il team o il coder in grado di passare tutti i test senza inciampare negli antivirus verranno incoronati come vincitori . A latare anche premi per categorie meno sobrie, come l’offuscamento più elegante , l’hack più sporco per l’offuscamento e il trick più meritevole di birra .
Una vera e propria prova di polimorfismo da malware insomma, che se gli smanettoni da codice possono trovare divertente e interessante, di certo ha già collezionato critiche sperticate da parte di chi quegli engine antivirali li produce e li raffina.
“Non tutti gli antivirus sono uguali”, recita la homepage di Race to Zero, e ve ne sono alcuni che è possibile beffare con una quantità di lavoro e impegno ridottissimi, non proporzionati al costo della protezione che la società produttrice spilla in abbonamento all’utente finale. “I produttori di antivirus dalle scarse prestazioni devono essere smascherati”, continua il manifesto del contest, lanciando senza mezzi termini un guanto di sfida all’industria della security che non è più al passo con la qualità e la quantità sopraffina delle moderne minacce informatiche.
Chiamati in causa in questo modo, gli autori di antivirus hanno risposto per le rime definendo Race to Zero come un’occasione per fare più male che bene: “La divulgazione responsabile (delle vulnerabilità ndr ) è una cosa – ha dichiarato Paul Ferguson di TrendMicro – ma incoraggiare le persone a farlo come un contest è un po’ troppo”. Roger Thompson di AVG Technologies sottolinea come le società di antivirus siano già oberate di lavoro – “30mila sample di codice processati ogni giorno” sostiene Thompson – e incoraggiare le persone a scrivere ancora più virus non è una cosa che si presta a un giudizio positivo.
Gli organizzatori di Race to Zero assicurano comunque che i sample modificati non verranno distribuiti “in the wild” e verranno usati al solo scopo del contest , vale a dire dimostrare – in maniera possibilmente eclatante per fare maggiore impressione – che “l’antivirus basato sulle firme virali è morto, gli utenti hanno bisogno di guardare all’euristica, e a tecniche basate sulle statistiche o comportamentali per identificare le minacce emergenti”.
Nel settore della sicurezza IT il dibattito infuria. C’è ad esempio chi come Andreas Clementi, il ben noto personaggio dietro i test antivirali di AV-Comparatives , sostiene che nonostante il proliferare quasi in tempo reale di pericoli e malware sconosciuti – impossibili da bloccare senza l’impiego di difese proattive come gli engine H.I.P.S. e simili – una buona capacità di difesa basata sul tradizionale metodo degli hash per ogni singolo malware o famiglia di malware rimanga uno dei parametri più importanti da considerare nella scelta di una buona difesa antivirus.
Su Offensive Computing c’è però chi non la pensa alla stessa maniera, sostenendo che è “scandalosamente facile eludere qualsiasi engine antivirus con una quantità davvero misera di lavoro”. Una scomoda verità di cui sia le società di antivirus che i malware writer professionisti sono perfettamente consapevoli , senza dover attendere per questo i risultati di un contest come Race to Zero.
“Gli unici a non esserne a conoscenza sono i consumatori – continua il post di tale “dannyquist” sul weblog malware-centrico – Scuotere la loro fiducia nello spendere 60 dollari all’anno per gli aggiornamenti è qualcosa che i produttori di AV temono. Ed è per questo che probabilmente gli avvocati verranno coinvolti piuttosto rapidamente nella faccenda”.
Alfonso Maruccia