K-LOVE & KISSES 2014 – Seconda parte: alfa, beta, zeta

Bentornati amici!

Cosa c’è di nuovo nel nostro KIS 2014, il nuovo prodotto Kaspersky Lab che ha la missione di salvare i nostri dati dai cybercriminali? L’ospite d’onore del post di oggi è la tecnologia ZETA Shield.

Potremmo definirla come una sorta di microscopio hi-tech per antivirus che individua ed elimina anche i malware più insidiosi che si nascondono nei meandri dei file complessi. Per dirlo in poche parole, questa tecnologia ci protegge da future minacce, anche le più sconosciute, quelle che ci colgono di sorpresa e che si trovano nei file più insospettabili.

Per capire meglio il funzionamento della tecnologia ZETA Shield, prendiamo ad esempio le matrioske, le tipiche bamboline russe.

Gli antivirus possono scomporre anche i malware più complessi, nascosti uno dentro l’altro come delle bambole russe. Tuttavia non è sempre semplice.

Come ben sapete, le matrioske sono delle bamboline nascoste una dentro l’altra. Si tratta di una buona analogia con il mondo dei virus e dei programmi infetti e ora vi spiego perché. Un malware fa di tutto per intrufolarsi nell’ambiente che vuole attaccare, e adotta anche dei trucchi per modificare le sue sembianze ed evitare di essere intercettato dai programmi antivirus. S’insinua nei file archiviati, nei contenitori crittografati, nei file multimediali, nei documenti, negli script ecc. E le possibilità sono infinite. Il compito di un programma antivirus  è quello di frugare nelle zone più recondite di questi oggetti ed estrarre eventuali malware.

Quindi è così che funziona e niente più? In realtà non è così semplice, c’è dell’altro.

I programmi antivirus da tempo riescono a scorporare anche i file più complessi. Fin dai primi anni ’90 le aziende si avvalgono delle nostre tecnologie antivirus soprattutto perché riescono ad aprire file compressi e archiviati. Tuttavia, decomprimere un file è solo una parte del lavoro.  C’è bisogno di uno strumento  abbastanza sofisticato che consenta anche di analizzare queste “matrioske”, capire cosa contengono, creare collegamenti tra eventi diversi e infine elaborare una diagnosi. E il tutto in maniera proattiva senza avvalersi di aggiornamenti e signature. È come il lavoro di un detective, che deve trovare potenziali armi binarie. Le componenti di queste armi, prese da sole, sono innocue, ma insieme danno come risultato un congegno mortale.

Ed è qui che interviene la tecnologia ZETA Shield.

Giusto in tempo, tra l’altro, dal momento che il numero di attacchi mirati e zero-day continua ad aumentare, così come la loro sofisticatezza. L’acronimo in inglese ZETA riflette proprio lo scopo per cui è stata creata questa tecnologia (ZETA = Zero-day Exploits & Targeted Attacks).

ZETA Shield

Anche la tecnologia ZETA Shield, che debutta nel mondo dei prodotti dedicati ai privati e inclusa in KIS 2014, era stata disegnata inizialmente per le soluzioni per aziende, in combinazione con Applicazioni Attendibili e inclusa in KIS 2014. Per quanto ne sappiamo, è la prima volta al mondo in cui viene applicato questo sistema a prodotti  non  business.

Il lavoro che compie la tecnologia ZETA Shield può essere suddivisa in due fasi.

C’è prima una fase “meccanica”, ovvero l’oggetto obiettivo dell’analisi deve essere suddiviso in parti più piccole. Ad esempio, un documento Word  può contenere al suo interno altri oggetti, come file, dati in flash, documenti, ma anche sistemi operativi distribuiti o un numero nutrito di virus… qualsiasi cosa insomma! Il nostro compito è quello d’identificare la natura di questi oggetti (e nel caso anche in che modo riescono a camuffarsi) per poi classificarli.

Poi arriva la parte interessante… l’analisi euristica valuta i contenuti, gli strati di annidamento, i collegamenti che esistono tra gli oggetti; individua somiglianze con minacce riscontrate in passato o anomalie, e decide se un file possa essere considerato pericoloso oppure no (ovvero se si tratta di un’arma binaria).

Zeta Shield lavora a stretto contatto con altre tecnologie di sicurezza. Per questo è in grado di prendere migliori decisioni.

La decisione viene presa considerando tutta questa serie di fattori e anche il servizio basato su cloud Kaspersky security network, che fornisce statistiche raccolte dall’antivirus circa eventuali sintomi sospetti presenti su altri computer. Grazie a KSN, è possibile identificare il tipo di malware e la distribuzione geografica della minaccia, si possono riconoscere le anomalie tipiche di un attacco mirato e ottenere molti dati utili che in futuro aiuteranno a proteggere gli utenti.

Per spiegarlo meglio, facciamo un altro paragone. È come riconoscere un’auto dalle parti che la compongono. Carrozzeria in plastica? Si può guidare su due ruote? Motore di una moto? È tedesca? Ah, ma allora è una Trabant! Ecco, il meccanismo che c’è dietro la tecnologia ZETA Shield è più o meno questo!

Poi viene la parte più dura, ovvero smontare pezzo per pezzo la Trabant e analizzare i singoli pezzi per vedere di cosa si tratta.

Prendiamo come caso tipo un attacco mirato condotto il marzo scorso. Alle vittime selezionate erano stati inviati documenti  RTF dal titolo  “Risultati finanziari dei primi nove mesi del 2012”, in teoria provenienti dalla Rubin Submarine Manifacturing Company. All’interno del documento erano nascosti sia un exploit che un malware ma, e qui è il problema, l’antivirus utilizzato non è riuscito a riconoscerli perché i cybercriminali li avevano nascosti veramente bene. La tecnologia ZETA Shield, dopo aver analizzato i documenti in RTF, ha individuato immediatamente questi elementi dannosi!

ZETA Shield

Grazie a una specifica funzionalità, questa tecnologia inizialmente applicata alle aziende scorpora e analizza non solo singoli file ma “flussi di dati”. Alla fine della giornata lavorativa ogni file viene inserito in un quadro più ampio; solo vedendo la situazione nel suo complesso è possibile capire  i collegamenti complicati esistenti tra i vari file e prendere così le decisioni adeguate.

Purtroppo, in KIS 2014 la tecnologia ZETA Shield perde un po’ della sua efficienza: la versione del programma indirizzata ai privati lavora solo con file e sempre su richiesta dell’utente. Tuttavia, se utilizzato in concomitanza con un sistema di pulizia  appropriato (ad esempio effettuando regolari scansioni del computer alla massima potenza), ZETA Shield rappresenta un’arma di difesa in più contro gli attacchi mirati (pensandoci bene, i grandi manager possono essere nel mirino non solo al lavoro, ma anche a casa, dove utilizzano i propri dispositivi personali. In casa non hanno lo stesso livello di protezione che è stato predisposto in azienda. Ed è qui che viene in aiuto la tecnologia ZETA Shield, che lavora insieme alle modalità Applicazioni attendibili e Prevenzione automatica degli exploit. In questo modo, possono essere filtrati accuratamente quegli attacchi che sfruttano diverse vulnerabilità).

Le domande che, a questo punto, gli utenti potrebbero porsi sono: 1) perché applicare questa tecnologia anche ai prodotti per privati? E 2) che senso ha compiere attacchi mirati a un computer che si trova in casa (o, al massimo, in una piccola azienda)?

Gli attacchi mirati non vengono diretti solo contro governi, politici e grandi aziende. Chiunque può diventare una vittima. Ecco perché abbiamo deciso di introdurre delle misure di protezione contro gli attacchi mirati anche nei prodotti per utenti privati.

Innanzitutto, una cosa importante:

Si crede comunemente che gli attacchi mirati siano rivolti solo a governi, organizzazioni militari, infrastrutture critiche od obiettivi politici e, nel caso si trattasse di aziende, comunque a colossi industriali tipo Microsoft. Si pensa anche che, grazie alla loro complessità, attacchi del genere siano degni di scene da film di Hollywood.

Ci si sbaglia in entrambi i casi.

La ragione per cui questa concezione è sbagliata risiede nel fatto che i media raccontano soltanto storie di attacchi di alto livello; inoltre, ci sono talmente tanti termini complicatissimi e incomprensibili e poche informazioni che la gente comune non è familiarizzata con questi temi. Per questo comunemente si pensa: “Hanno attaccato un ministro, e i ministri hanno a loro disposizione professionisti della sicurezza e ottimi sistemi di difesa, quindi gli attacchi per andare a buon fine devono essere stati organizzati da veri e propri geni dell’informatica”.

In realtà, può riuscirci praticamente qualsiasi utente od organizzazione, come dimostrato dal gruppo di hacker Winnti o dall’esistenza stessa di spyware come FinSpy. Non dimentichiamo che le minacce per computer non sono facilmente controllabili, un attacco mirato può andare fuori controllo e fare moltissime vittime (anche al proprio interno).

E poi per quanto riguarda l’obiezione che è molto complicato portare a termine attacchi mirati, in realtà non lo è poi così tanto. È vero, esistono operazioni cybercriminali molto complicate (come Stuxnet o Flame), ma la grande maggioranza sono il risultato di metodi ormai collaudati assemblati insieme, più un pizzico d’ingegneria sociale. Col passare del tempo diventa sempre più facile ed economico organizzare attacchi di questo tipo. Si possono acquistare kit di exploit per un migliaio di dollari, da montare come si fa con un modellino.

Con ZETA Shield siamo preparati per affrontare ciò che il futuro ci riserva. E ora lo sarete anche voi.

Infine, ora spiegheremo la ragione principale per cui abbiamo deciso di inserire delle tecnologie così sofisticate, che operano su più livelli, anche nei prodotti dedicati ai privati.

Qualsiasi invenzione, anche quella più malvagia, ha un proprio ciclo di vita. Prima o poi alcuni hacker troveranno un modo di lanciare ai privati quegli attacchi che un tempo, per la loro complessità, erano rivolti solo alle grandi aziende. E noi siamo preparati proprio a questa evenienza: KIS può contrastare questi grandi attacchi che arriveranno dai malware di domani!

In sostanza, siamo preparati per affrontare ciò che il futuro ci riserva. E ora lo sarete anche voi.

LEGGI I COMMENTI 0
Scrivi un commento