Darwinismo e sicurezza informatica, parte 3: è ora di affrontare i parassiti

Ciao a tutti!

La tematica della “sopravvivenza del più adatto” funziona. Non stavo programmando una trilogia, è capitato, in un certo modo.

Diciamo che il problema specifico dei parassiti nel mondo della sicurezza informatica di cui scriverò oggi mi frullava in testa già da un bel po’. Questa discussione sul darwinismo sembrava l’opportunità perfetta per esprimerlo, finalmente. Vedrete a cosa mi riferisco.

Amici, oggi parliamo di parassiti. Ma non quelli che combattiamo (quelli “davvero” cattivi), bensì coloro che affermano di combatterli anche loro, i cattivi (domanda filosofica: chi è peggio?).

I parassiti della sicurezza informatica che praticano l’appropriazione della scoperta stanno uccidendo l’industria e aiutando indirettamente il cybercrimine

Oggi lo sviluppo dell’industria IT procede a ritmo galoppante. Appena 10-15 anni fa i suoi temi principali erano antivirus desktop, firewall e backup: adesso esiste una moltitudine di nuove soluzioni di sicurezza differenti, approcci e idee. A volte riusciamo a essere all’avanguardia, a volte dobbiamo rimetterci in pari. E ci sono altre volte in cui cadiamo in stato confusionale dallo stupore, non a causa di nuove tecnologie, innovazioni o idee, ma per la spudorata sfrontatezza e la completa spregiudicatezza dei nostri colleghi dell’industria della sicurezza.

Ma prima, lasciatemi spiegare come si stanno sviluppando gli eventi.

Esiste un programma molto utile, un multiscanner chiamato VirusTotal. Mette insieme circa 60 motori antivirus, che utilizza per analizzare file e URL che la gente gli invia per il controllo dei malware, e poi restituisce il verdetto.

Esempio: Mario Rossi scopre un’applicazione o un documento office sospetti su un disco rigido/chiavetta USB/Internet. Il suo software antivirus non segnala la presenza di un virus, ma Mario è un tipo paranoico e vuole assicurarsi che non sia infetto. Per cui va sul sito di VirusTotal, fornito non di una sola soluzione antivirus, bensì di circa 60. È pure gratis, un gioco da ragazzi insomma. Quindi Mario carica il file su VirusTotal e ottiene informazioni immediate al riguardo da tutti i diversi antivirus.

Prima di tutto, chiariamo: la gente di VirusTotal e di Google, proprietaria di VirusTotal, sono fermamente dal lato dei “buoni”. Non hanno assolutamente alcun legame con i parassiti. VirusTotal viene gestito da un team molto professionale, che da anni svolge il suo compito in maniera estremamente efficace. (Non siete ancora convinti? Ebbene, l’anno scorso VirusTotal ha vinto il premio MVP al Security Analyst Summit – SAS). Oggi VirusTotal è una delle più importanti fonti di campioni di malware e URL dannose ed è anche un gran bel strumento archeologico per la ricerca di attacchi mirati.

Il problema si pone con alcuni loschi utenti del multiscanner che, ahimè, stanno diventando sempre più audacemente sfacciati nel modo di comportarsi.

Oltre al servizio gratuito, aperto e pubblico, VirusTotal ha un servizio di sottoscrizione a pagamento a un API (interfaccia di programmazione di un’applicazione) privato a turbocompressione, che consente il controllo automatico e in tempo reale di una quantità illimitata di file. Ed è qui che le cose si fanno interessanti, in senso negativo: è dove i parassiti della sicurezza IT tendono a intrattenersi.

L’appropriazione della scoperta non è una novità. Ma oggi la situazione è peggiorata: un intero ecosistema di parassiti basato su un continuo giro gratis su VirusTotal adesso dice stupidaggini al pubblico, e con successo

Danno un’occhiata al verdetto di tutti e poi lo adottano come se fosse il proprio, insomma copiano, arrivando perfino a utilizzare i nomi esclusivi dei verdetti! Per cui, un gruppo di aziende fa tutto il lavoro, mentre l’altro raccoglie il frutto di quelle fatiche, lo agghinda con impressionanti parole di tendenza nel marketing che suonano scientifiche, gli schiaffa il loro brand e lo vende.

La “appropriazione furto della scoperta” non è una novità. Addirittura nel 2009 abbiamo condotto un esperimento aperto che mostrava la portata del problema della catastrofe. Da allora la situazione non ha fatto altro che peggiorare: sono comparse start up il cui intero modello di business è basato su un continuo giro gratis su VirusTotal. Investire nello sviluppo di tecnologie e infrastrutture e pagare stipendi (alti) a esperti (eccellenti)? Macché! Basta riciclare il lavoro di altri professionisti, cambiare il brand e rivenderlo, tante grazie. Certo che è strano, ma è legale.

virustotal_nextgen_snakeoil_ENA volte l’impudenza dei parassiti va oltre i limiti: qualcuno ammette apertamente persino di utilizzare il multiscanner di VirusTotal come base per la “sua” scoperta. Ecco qui, per esempio, alcune idiozie di marketing incredibilmente spudorate (qui una copia del documento) a dimostrarlo:

vt_nextget_snake_oil1

Voglio dire, praticamente ogni frase nel paragrafo sopra provoca un involontario facepalm, a volte pure doppio. Ma il triplo facepalm arriva nella frase sottolineata, che in sostanza dice: “utilizziamo Virus Total [sic] per il nostro rilevamento”.

Ecco un altro esempio (qui una copia del documento, per ogni eventualità):

vt_nextget_snake_oil2

Qui abbiamo qualcosa di simile al primo esempio. Prima il prodotto conduce un’analisi poco chiara avvolta nell’espressione adeguatamente trendy e simil-scientifica analisi comportamentale, poi ricorre all’API VirusTotal per un tocco di “interattività”, quindi restituisce il verdetto al cliente. In altre parole, non importa quanto sia eccellente il risultato dell’analisi intelligente, il loro verdetto dipende comunque dall’opinione di altri. Allora a che serve tutta la loro analisi intelligente? Bella domanda.

Ci sono molti altri esempi come i precedenti, e tutti testimoniano il fatto che la ricerca-furto è diventata la norma nell’industria della sicurezza IT, e in base a questo, un intero ecosistema di parassiti adesso dice stupidaggini al pubblico, e con successo (con successo, ossia continuano a farla franca!). No, non me lo sto inventando.

I parassiti criticano con fervore i “metodi tradizionali”, gli identici metodi di esame che adottano attraverso VirusTotal

Tutti i parassiti concordano nella loro opposizione ai “metodi tradizionali” (gli identici metodi di esame che sottraggono attraverso VirusTotal) e nel loro amore per tutte le cose di “prossima generazione” (sebbene cosa ci sia di nuovo nelle scoperte fatte col copia e incolla, oltre che nell’IA, non lo indicano).

Conclusione: se venite avvicinati da persone di un’azienda sconosciuta che sparano paroloni come “prossima generazione”, “analisi comportamentale”, “intelligenza artificiale” ecc., senza risultati in test indipendenti che rendano quelle parole qualcosa di autentico, fate attenzione. Il materiale commerciale di tali compagnie mostra che l’unica intelligenza artificiale che usano è quella per arrivare ad altre aziende di sicurezza IT attraverso il cloud.

VirusTotal è al corrente del problema e sta facendo del suo meglio per risolverlo. Il 4 maggio sono state pubblicate nuove politiche per l’utilizzo del suo sistema, i cui punti principali sono: tutti gli utenti dell’API privato hanno bisogno di “integrare il loro scanner di rilevamento nell’interfaccia VP pubblica”, e “i nuovi che si uniscono alla community dovranno presentare una certificazione e/o delle recensioni di esaminatori della sicurezza secondo le buone norme della Anti-Malware Testing Standards Organization (AMTSO)”. Gli esperti pensano (non dimenticate di leggere i commenti) che queste regole faranno pulizia su VirusTotal e faranno sparire i parassiti.

Queste nuove regole sono la mossa giusta da compiere, sebbene tardiva. Ma non penso che VirusTotal dovrebbe fermarsi qui. Adesso è il momento giusto per proseguire con riforme simili. Perché? Perché i parassiti hanno ancora degli assi nella manica, metodi per aggirare i nuovi requisiti e continuare a succhiare competenze dal multiscanner.

Secondo il mio modesto parere, ciò che deve essere fatto prima di tutto:

  • La versione pubblica del multiscanner deve essere migliorata per effettuare query automatiche con tecniche anonime che siano le più difficili possibile;
  • Gli stessi partecipanti dovrebbero decidere chi accede ai risultati delle loro analisi.

L’abuso di VirusTotal non rende scontenti soltanto noi, e sono certo che ulteriori cambiamenti nel programma verranno sostenuti da molti dei nostri colleghi, soprattutto coloro che contribuiscono realmente alla community di VirusTotal. Nessuno vuole dei parassiti che si appropriano dei frutti del duro lavoro altrui, ma tutti sono pronti a condividere competenze con colleghi rispettabili, membri del CERT, forze dell’ordine e altre organizzazioni anticrimine. In altre parole, con qualunque organizzazione che collabori invece di copiare. L’appropriazione della scoperta sta uccidendo l’industria della sicurezza IT e indirettamente aiuta il cybercrimine.

PS: VirusTotal è il multiscanner più conosciuto, popolare e avanzato, ma non è l’unico disponibile. Ci sono anche Jotti, VirSCAN, Metadefender e programmi simili, sebbene anch’essi presentino degli inconvenienti. Tutti devono fare un po’ di… pulizie per eliminare gli abusi reiterati. E sì, spero che VirusTotal sarà l’esempio da seguire per tutti loro.

@e_kaspersky attacca i #parassiti che abusano di VirusTotal by copiando le scoperte di altri produttoriTweet
LEGGI I COMMENTI 0
Scrivi un commento