Darwinismo e sicurezza informatica, parte 3: è ora di affrontare i parassiti

Ciao a tutti!

La tematica della “sopravvivenza del più adatto” funziona. Non stavo programmando una trilogia, è capitato, in un certo modo.

Diciamo che il problema specifico dei parassiti nel mondo della sicurezza informatica di cui scriverò oggi mi frullava in testa già da un bel po’. Questa discussione sul darwinismo sembrava l’opportunità perfetta per esprimerlo, finalmente. Vedrete a cosa mi riferisco.

Amici, oggi parliamo di parassiti. Ma non quelli che combattiamo (quelli “davvero” cattivi), bensì coloro che affermano di combatterli anche loro, i cattivi (domanda filosofica: chi è peggio?).

I parassiti della sicurezza informatica che praticano l’appropriazione della scoperta stanno uccidendo l’industria e aiutando indirettamente il cybercrimine

Oggi lo sviluppo dell’industria IT procede a ritmo galoppante. Appena 10-15 anni fa i suoi temi principali erano antivirus desktop, firewall e backup: adesso esiste una moltitudine di nuove soluzioni di sicurezza differenti, approcci e idee. A volte riusciamo a essere all’avanguardia, a volte dobbiamo rimetterci in pari. E ci sono altre volte in cui cadiamo in stato confusionale dallo stupore, non a causa di nuove tecnologie, innovazioni o idee, ma per la spudorata sfrontatezza e la completa spregiudicatezza dei nostri colleghi dell’industria della sicurezza.

Ma prima, lasciatemi spiegare come si stanno sviluppando gli eventi.

Esiste un programma molto utile, un multiscanner chiamato VirusTotal. Mette insieme circa 60 motori antivirus, che utilizza per analizzare file e URL che la gente gli invia per il controllo dei malware, e poi restituisce il verdetto.

Esempio: Mario Rossi scopre un’applicazione o un documento office sospetti su un disco rigido/chiavetta USB/Internet. Il suo software antivirus non segnala la presenza di un virus, ma Mario è un tipo paranoico e vuole assicurarsi che non sia infetto. Per cui va sul sito di VirusTotal, fornito non di una sola soluzione antivirus, bensì di circa 60. È pure gratis, un gioco da ragazzi insomma. Quindi Mario carica il file su VirusTotal e ottiene informazioni immediate al riguardo da tutti i diversi antivirus.

Prima di tutto, chiariamo: la gente di VirusTotal e di Google, proprietaria di VirusTotal, sono fermamente dal lato dei “buoni”. Non hanno assolutamente alcun legame con i parassiti. VirusTotal viene gestito da un team molto professionale, che da anni svolge il suo compito in maniera estremamente efficace. (Non siete ancora convinti? Ebbene, l’anno scorso VirusTotal ha vinto il premio MVP al Security Analyst Summit – SAS). Oggi VirusTotal è una delle più importanti fonti di campioni di malware e URL dannose ed è anche un gran bel strumento archeologico per la ricerca di attacchi mirati.

Il problema si pone con alcuni loschi utenti del multiscanner che, ahimè, stanno diventando sempre più audacemente sfacciati nel modo di comportarsi.

Continua a leggere:Darwinismo e sicurezza informatica, parte 3: è ora di affrontare i parassiti

Darwinismo e sicurezza informatica, parte 2: vaccino anti fesserie

Salve amici!

Come promesso, con la presente, ecco altre informazioni sul legame tra teoria dell’evoluzione e sviluppo della protezione contro le minacce informatiche.

A oggi, non si sa con precisione cosa provochi le mutazioni negli organismi viventi. Alcuni degli esperti più alternativi affermano che sia opera dei virus, i quali riorganizzano intenzionalmente i geni (ebbene sì, c’è chi davvero governa il mondo!). Ma in ogni caso, processi simili di mutazione si verificano anche nella sicurezza informatica, a volte anche con l’aiuto dei virus.

Il mercato è stanco dei profeti, e oggi monetizzare le “panacee” richiede molti più investimenti e sforzi in termini di marketing

In linea con la migliore tradizione del principio della lotta per la sopravvivenza, le tecnologie della sicurezza si evolvono nel corso del tempo: appaiono nuove categorie di prodotti, altri si estinguono, mentre alcuni si fondono con altri. Per quanto riguarda quest’ultimi, ad esempio gli integrity checker (software di verifica dell’integrità), a metà degli anni 90 rappresentarono una svolta importante, ma oggigiorno sono una fetta minore delle soluzioni endpoint. Appaiono nuovi segmenti di mercato e nicchie (per esempio, gli anti APT) per completare gli arsenali esistenti delle tecnologie protettive, essendo questo un normale processo di simbiosi positiva. Nel contempo, odiosi parassiti sbucano fuori per riscaldarsi al sole. C’est la vie, è sempre stato così e non ci si può far niente.

Nella lotta per la quota di mercato nella sicurezza IT, appaiono regolarmente profeti che vaticinano una fine improvvisa delle “tecnologie” tradizionali e, per una fortunata coincidenza, una simultanea (“appena in tempo”!) invenzione di una cavolata panacea rivoluzionaria (con generosi sconti per i primi cinque clienti).

ai_oil_2Ma non è una novità: qualcuno ricorda l’anti-spyware? Nei primi anni 2000 si sviluppò dal nulla un’enorme bolla di prodotti per eliminare lo spyware. Ai consumatori furono raccontate molte stupidaggini sull’incapacità degli “antivirus tradizionali” di superare questo particolare problema, ma fin dall’inizio era tutta un’invenzione.

Tuttavia il mercato si è abituato e stancato di tali profeti, e oggi monetizzare le “panacee” richiede molti più investimenti e pozioni miracolose sforzi in termini di marketing.
Continua a leggere:Darwinismo e sicurezza informatica, parte 2: vaccino anti fesserie

Darwinismo e sicurezza informatica: adattarsi o morire

“Non è la specie più forte a sopravvivere ma quella che si adatta meglio al cambiamento.” (Charles Darwin)

È passato un po’ di tempo dall’ultima volta in cui, su queste pagine virtuali, mi sono espresso riguardo il mio argomento preferito: il futuro della sicurezza informatica, per cui rimediamo. Preparatevi per un fiume di parole, spero nessuna troppo fuori luogo, sulle ultime tecnologie, mercato e tendenze della sicurezza informatica, con un assortimento di fatti e riflessioni per contorno. Pronti con i popcorn: via!

Qui scriverò della sicurezza informatica ideale e di come l’industria si stia evolvendo in questa direzione (e cosa stia accadendo lungo il percorso evolutivo verso di essa). Vi parlerò di come tutto questo possa essere spiegato con l’aiuto della teoria evoluzionistica di Darwin, di come la selezione naturale porti certe specie a dominare mentre altre periscono, lasciate ai paleontologi degli anni a venire. E inoltre, cosa sia la simbiosi e cosa siano i parassiti.

ai_oil_1Comincerò con alcune definizioni:

Quasi-perfezione in un mondo imperfetto

Una protezione perfetta, sicura al 100%, non esiste. Nel processo di creazione del miglior sistema protetto possibile, l’industria della sicurezza informatica può e dovrebbe, ovviamente, ambire alla perfezione, ma più ci si avvicina al 100%, più i costi aumentano in maniera esponenziale, quindi il costo della protezione finisce per essere di gran lunga superiore a quello del potenziale danno provocato dal peggior scenario di un attacco riuscito.

Di conseguenza, è logico dare (dal punto di vista delle potenziali vittime) la seguente definizione di protezione ideale realistica (ottenibile): la protezione ideale si verifica laddove il costo necessario per attaccare il nostro sistema è maggiore del costo del potenziale danno che potrebbe essere causato. O, guardando dall’altro lato delle barricate: la protezione ideale si verifica laddove il costo di un attacco andato a buon fine è superiore al guadagno che (i cybercriminali, ecc.) otterrebbero.

La protezione ideale è laddove il costo di un attacco riuscito è superiore al guadagno

Ovviamente, ci saranno volte in cui agli aggressori non importerà il costo dell’attacco, per esempio ai guerrafondai cibernetici sostenuti dai governi. Ma questo non significa che ci arrendiamo.

Quindi, come sviluppiamo un sistema di sicurezza che fornisca protezione realistica (ottenibile) ideale (al massimo)?

Continua a leggere:Darwinismo e sicurezza informatica: adattarsi o morire

Cyber-News: reattori nucleari infetti, cyber-rapinatori di banca e cyber-distruttori di dighe

Basta dare una rapida occhiata ai notiziari di questi giorni per desiderare un… contatore Geiger. Voglio dire, ultimamente alcune notizie sono davvero molto allarmanti. O sto reagendo in maniera eccessiva? Vediamo…

Notizia nº1: apocalisse evitata… per adesso

inews-1Foto per gentile concessione di Wikipedia

È stato riportato che il sistema informatico della centrale nucleare di Gundremmingen, nel distretto bavarese della Svevia (Germania sudoccidentale), proprio nel giorno del trentesimo anniversario del disastro di Chernobyl (!) è stato colpito da malware. Tuttavia, è stato anche riferito che non c’è niente di cui preoccuparsi, assolutamente nessun pericolo. Tutto ok, possiamo dormire sonni tranquilli, tutto è sotto controllo e il livello di allerta non potrebbe essere più basso.

Dopo aver tirato un respiro di sollievo ed esservi asciugati la fronte, continuate a leggere…

…e venite a conoscenza di qualche dettaglio in più sull’incidente. In effetti pare che sia tutto ok: il livello di radiazione di fondo, dopo tutto, non è salito, questo è l’importante, ovviamente. Giusto? Ma leggete ancora e…

E scoprirete che il sistema (non collegato a Internet) che è stato colpito risulta essere quello che controlla il movimento delle barre di combustibile nucleare. Fermatevi, strofinate gli occhi e leggete di nuovo, lentamente…

COSAAAAAAA?

Continua a leggere:Cyber-News: reattori nucleari infetti, cyber-rapinatori di banca e cyber-distruttori di dighe

Vi presentiamo KICS, la protezione per le industrie

Hurrà!

Abbiamo lanciato uno dei nostri nuovi prodotti per grandi aziende KICS (Kaspersky Industrial CyberSecurity), la cyber-cura contro i cyber-mali che protegge le fabbriche, le centrali energetiche, gli ospedali, gli aeroporti, gli hotel, i magazzini, il vostro ristorante preferito e tantissimi altri tipi di aziende che usano i sistemi di controllo industriali ICS. Oppure, detto in un altro modo, dato che è raro per le aziende non utilizzare ICS, abbiamo lanciato una cyber-soluzione per milioni di piccole e grandi aziende di beni e servizi sparse in tutto il mondo.

Quindi cosa ci offre KICS esattamente? A che scopo è stato pensato? Per poter rispondere, torniamo un attimo indietro…

Prima del 2000 un cyberattacco ad una rete industriale era pura fantascienza, ma il 14 agosto del 2003 nel nord-est degli stati uniti e nel sud-est del Canada, la fantascienza è diventata realtà.

Oops

A causa di alcuni bug che hanno interessato alcune installazioni elettriche, 50 milioni di nord-americani sono rimasti senza elettricità, alcuni per molte ore, altri per giorni. Sono state avanzate varie teorie che spiegherebbero la grande catastrofe, tra cui alberi maltenuti, un fulmine, scoiattoli “dannosi” e… un effetto collaterale causato da un cyberattacco che avrebbe usato il worm per computer Slammer (Blaster).
Continua a leggere:Vi presentiamo KICS, la protezione per le industrie

Il quadro generale

La scorsa primavera (nel 2015) abbiamo scoperto Duqu 2.0, un’operazione di cyberspionaggio professionale e costosa, probabilmente finanziata dallo stato. L’abbiamo identificata quando stavamo testando la versione beta della piattaforma Kaspersky Anti Targeted Attack (KATA), la nostra soluzione che difende dagli attacchi mirati sofisticati come Duqu 2.0.

E ora, un anno dopo, posso finalmente annunciare che… Hurrà!! Abbiamo finalmente lanciato il prodotto e siamo pronti per la battaglia!

Kaspersky Anti-Targeted Attack Platform

Ma permettetemi di tornare un attimo indietro e di raccontarvi come siamo arrivati a questo punto, perché ci interessano le operazioni di cyberspionaggio finanziate dallo stato e perché abbiamo deciso di creare una specifica protezione per combatterlo.

(Per coloro che preferiscono andare direttamente al grano, cliccate qui)

“I buon vecchi tempi”, parole che si pronunciano molto spesso come ad indicare che una volta tutto era migliore. La musica era migliore, la società era più giusta, le strade erano più sicure, le birre avevano un sapore più buono e così via. In certi casi, forse, dovremmo ammettere che le cose erano davvero migliori. Per esempio, in passato, era più facile catturare i cybercriminali.

Naturalmente a quei tempi, io non la pensavo così. Lavoravamo 25 ore al giorno, 8 giorni alla settimana, dando caccia agli scrittori di virus e al loro fenomenale indice di riproduzione. Ogni mese (e qualche volta anche più spesso) c’erano delle epidemie di worm globali e vivevamo nella sensazione che tutto potesse peggiorare ulteriormente, ma ci sbagliavamo di grosso…

All’inizio di questo secolo i virus venivano scritti principalmente da studenti e cyber-hooligan. Non avevano né l’intenzione, né le capacità per creare qualcosa di serio, quindi le epidemie di cui erano responsabili venivano spazzate via in pochi giorni, spesso usando solo metodi proattivi. Spesso non avevano nemmeno la voglia di creare qualcosa di più nefasto; lo facevano per divertimento fino a quando non si sono stancati di Doom e Duke Nukem 🙂

A metà degli anni 2000 abbiamo visto come Internet ha iniziato a generare molti soldi: compaiono nuove tecnologie che si collegano a tutto, dalle centrali energetiche agli MP3. Anche i gruppi cyber-criminali professionisti si sono gettati nella mischia, visto i grandi introiti che Internet può offrire, e dietro di loro i servizi di cyber-intelligence, anch’essi molto interessati alle nuove possibilità che la tecnologia può mettere loro a disposizione. Questi gruppi avevano la voglia, i mezzi e il know how per creare malware davveeeeeero complessi e realizzare attacchi mooooolto sofisticati, e difficili da localizzare.

Più o meno verso questo stesso periodo… “l’antivirus muore”: i tradizionali metodi di protezione non potevano mantenere i comuni livelli di sicurezza. Poi è iniziata una sorta di lotta cibernetica (una versione moderna dell’eterno modello di potere basato sulla violenza). I cyberattacchi sono diventati più selettivi/individualizzati rispetto ai target che venivano scelti, più furtivi e molto più avanzati.

Nel frattempo l’AV basico si è evoluto (in quel momento ben lontano dal potersi considerare un antivirus vero e proprio) in un complesso, sistema multi-componente multi-protezione, dotato di ogni sorta di tecnologie protettive. Nello stesso tempo i sistemi di sicurezza aziendali avanzati hanno iniziato ad includere un arsenale di difesa sempre più formidabile per controllare i perimetri e individuare le intrusioni.

Comunque, quell’approccio, non importa quanto ragguardevole potesse apparire, aveva un piccolo ma critico lato negativo per le grandi aziende: non può far molto per individuare i principali attacchi mirati professionali, quelli che usano malware unici usati appositamente per l’ingegneria sociale e gli zero-day. Malware che non vengono percepiti dalle tecnologie di sicurezza.

Sto parlando di attacchi che vengono attentamente pianificati con molti mesi d’anticipo se non anni, realizzati con budget infiniti e, in alcuni casi, appoggiati dallo stato. Attacchi come questi possono a volte rimanere inosservati per molti anni; per esempio, l’operazione Equation è stata scoperta nel 2014 e affonda le sue radici nel lontano 1996!

Le banche, i governi, le infrastrutture critiche, le industrie, decine di migliaia di grandi imprese appartenenti a diversi campi e con diverse forme di titolarità (basicamente la base dell’ordine e dell’economia mondiale), tutte queste entità risultano essere altamente vulnerabili a questi attacchi professionali. E la richiesta di dati, soldi, proprietà intellettuale è alta e in continuo aumento.

Quindi cosa possiamo fare? Accettare queste minacce contemporanee come parte inevitabile della vita moderna? Arrendersi alla lotta contro gli attacchi mirati?

Assolutamente no.

Tutto quello che può essere attaccato (non importa quanto sofisticato sia) può essere protetto in grande misura se si investe tempo, sforzi e ricerca nella protezione. Non esisterà mai la protezione totale al 100%, ma esistono protezioni massimali, che rendono gli attacchi economicamente poco convenienti da portare avanti: barriere così forti da far arrendere gli aggressori perché devono impiegare troppe risorse per poterle abbattere, quindi desistono e decidono di attaccare vittime meno protette. Naturalmente ci sono eccezioni, specialmente quando ci troviamo di fronte ad attacchi con motivi politici disegnati per colpire specifiche vittime. Tali attacchi verranno tenacemente perseguiti fino alla fine, una fine vittoriosa per gli hacker. Non c’è ragione per smettere di opporre resistenza.

Ok, ora chiudiamo con la lezione sul contesto storico…

… e passiamo alla cura raccomandata dal dottore a questa malattia (gli attacchi avanzati mirati), ovvero la nostra nuova piattaforma Kaspersky Anti Targeted Attack (KATA).

 

Quindi esattamente che cos`è KATA, come funziona e quando costa?

Prima di tutto un po’ di anatomia degli attacchi mirati…

Un attacco mirato è sempre personalizzato: è fatto su misura per una specifica azienda o individuo.

I criminali responsabili di un attacco mirato iniziano la loro opera raccogliendo scrupolosamente informazioni sui loro target nei più piccoli dettagli. Il successo di un attacco dipende dalla completezza di questo dossier e quasi nella stessa misura dal budget dell’operazione. Tutti i soggetti scelti nell’operazione vengono studiati e analizzati: il loro stile di vita, le famiglie, gli hobby e così via. Anche la rete aziendale viene costruita attentamente. E sulla base di tutte le informazioni raccolte viene selezionato un attacco strategico.

Poi (i) la rete viene penetrata via acceso remoto (in modo silenzioso) con il massimo dei privilegi. Dopodiché, (ii) i nodi delle infrastrutture critiche vengono compromessi. E infine, (iii) “si sganciano le bombe”: si rubano o si distruggono i dati, si distruggono i processi o qualsiasi altra cosa in base all’obiettivo dell’attacco. Un’altra cosa importante è coprire le tracce di modo che non si venga a sapere chi è il responsabile.

Il perché, la durata delle varie fasi di preparazione ed esecuzione, gli attacchi vettoriali, le tecnologie di penetrazione e il malware stesso, tutto questo è personalizzato. Ma non importa quanto individuale sia un attacco, avrà sempre il suo tallone d’Achille. Un attacco lascia sempre delle piccole tracce, nonostante siano quasi invisibili (attività di rete, certi comportamenti dei file e altri oggetti, ecc), emergono delle anomalie e si osservano delle attività di rete anormali. Quindi osservando il panorama dall’alto quadro generale (il quadro generale si forma a partire da diverse risorse attorno alla rete) è possibile individuare un attacco informatico.

Per raccogliere tutti i dati sulle anomalie e sulla creazione di questo quadro generale, KATA usa dei sensori, degli speciali e-agents, che analizzano continuamente il traffico IP/web/email oltre a tutti gli eventi della workstation e dei server.

Per esempio, intercettiamo il traffico IP (HTTPs, FTP, DNS) usando TAP/SPAN; il sensore web è integrato nel server proxy via ICAP e il sensore mail viene incluso al server email via POP3 (S). Gli agenti sono davvero leggeri (stiamo parlando di circa 15 megabyte per Windows) e sono compatibili con altri software di sicurezza avendo un impatto minimo sia sulla rete che sulle risorse endpoint.

Tutti i dati raccolti (oggetti e metadata) vengono poi trasferiti al centro analisi (Analysis Center) per essere processati; si utilizzano vari metodi (sandbox, AV scanning e regole YARA, il controllo dei file e la reputazione delle URL, lo scanner delle vulnerabilità, ecc.) e l’archivio. Inoltre, è possibile collegare il sistema alla nostra cloud KSN o salvarle a livello interno (creando una copia interna di Kaspersky Private Security Network).

Una volta che il quadro completo è stato assemblato, è tempo di passare alla fase successiva! KATA rivela un’attività sospetta e informa gli amministratori e il SIEM (Sistema di Gestione delle Informazioni e degli eventi di Sicurezza, come Splunk, Qradar, ArcSight) circa tutto quello che trova. Quanto più il sistema lavora, maggiore sarà il numero dei dati accumulati sulla rete e la sua efficienza dato che i comportamenti atipici saranno facili da individuare.

Maggiori informazioni su KATA qui.

Ah giusto… quanto costa?

Beh, non c’è una solo risposta a questa domanda. Il prezzo del servizio dipende da una dozzina di fattori, tra cui la dimensione e la tipologia della rete aziendale, come la soluzione viene configurata e quanti servizi vengono usati. Una cosa è sicura: il costo non è nulla se comparato ai danni che la soluzione può prevenire.

 

I migliori risultati nei test: il quinto anno consecutivo

Il più veloce, il più affidabile, il più tecnologico e naturalmente il più modesto…

… beh, come potete immaginare, si sta parlando di noi! Di nuovo!

I laboratori indipendenti austriaci AV-Comparatives ci hanno nuovamente conferito il titolo di “Prodotto dell’anno”. Raggiungere il primo posto nei test di @AV-C sta diventando un appuntamento annuale ed una tradizione che si conferma ogni gennaio: per il momento si è confermata nel 2011201220132014 e nell’appena concluso 2015! Hurrà!

year award 2015 product of the year_CS6

Image00002
Ora parliamo del modo in cui loro giungono a proclamare il vincitore…

Continua a leggere:I migliori risultati nei test: il quinto anno consecutivo

La magia delle fonti anonime

Chi ha ucciso Kennedy?

Cosa c’è nel Triangolo delle Bermuda?

Qual è lo scopo della Massoneria?

Facile! La risposta a queste domande non potrebbe essere più semplice. Basta aggiungere alla fine “in base a fonti anonime“. Et voilà! Ecco la risposta a qualsiasi domanda, su qualsiasi cosa o persona. E le risposte sono così tutte credibili, non grazie all’affidabilità delle fonti ma per il prestigio che ha quel particolare giornale che ha diffuso la notizia.

Di recente Reuters ha dato “l’esclusiva mondiale” che ha lasciato di stucco il settore degli antivirus. Nell’articolo, pieno di false accuse sensazionalistiche, si legge che Kaspersky Lab (KL) avrebbe creato dei malware specifici e ben mirati, li ha distribuiti anonimamente alla concorrenza con lo scopo di creare loro seri problemi e metterli in difficolta nella loro fetta di mercato. Certo. Ma si sono dimenticati di aggiungere che queste congiure hanno avuto luogo durante le nostre abituali sessioni di sauna, dopo aver parcheggiato fuori gli orsi ovviamente.

La storia di Reuters si basa su informazioni fornite da ex dipendenti KL che sono rimasti anonimi. E le accuse sono completamente prive di senso, non c’è altro da dire.

Gli ex dipendenti arrabbiati di un’azienda spesso dicono peste e corna dei loro precedenti datori di lavoro ma in questo caso si tratta di accuse ridicole. Queste fonti probabilmente sono riuscite ad attirare l’attenzione dei giornalisti ma, dal mio punto di vista, pubblicare un'”esclusiva” di questo genere, SENZA UNO STRACCIO DI PROVA, non è fare del giornalismo di qualità. Sono curioso di sapere cosa diranno su di noi la prossima volta questi “ex dipendenti” e chi crederà alle loro illazioni.

La verità è che la storia di Reuters non è altro che un insieme di fatti con l’aggiunta di pura fantasia.

Nel 2012-2013, l’industria anti-malware ha vissuto un periodo buio a causa dei falsi positivi e, purtroppo, noi siamo state una delle aziende che ha più patito questo problema. Si è poi visto che si trattava di un attacco ben organizzato al nostro settore: qualcuno aveva diffuso un software legittimo pieno di codici dannosi che colpivano il cuore di molte compagnie, tra cui KL. Non si conoscono ancora i responsabili di questo attacco ma ora si scopre che sono stato io! Giuro per me è come un fulmine a ciel sereno, sono davvero sorpreso da queste accuse senza fondamento!

Ecco cosa è successo: nel novembre del 2012 i nostri prodotti hanno generato falsi positivi su diversi file che invece erano legittimi, come il client Steam, il game center Mail.ru e il client QQ. Un’indagine interna ha evidenziato che questi incidenti erano il risultato di un attacco coordinato da una terza parte non ben definita.

Durante vari mesi prima dell’incidente, attraverso canali interni di scambio d’informazioni come il sito Internet VirusTotal , il nostro laboratorio di ricerca anti-malware ha ricevuto ripetutamente diversi file legittimi ma leggermente modificati di Steam, Mail.ru e QQ. Chi ha creato questi file vi ha aggiunto dei frammenti di codici dannosi.

Successivamente siamo giunti alla conclusione che i cybercriminali conoscevano gli algoritmi utilizzati dalle diverse aziende antivirus e sono riusciti a iniettare il codice dannoso proprio dove i sistemi automatici li avrebbero cercati.

Questi nuovi file modificati sono stati quindi considerati come dannosi e immagazzinati nei nostri database. In totale abbiamo ricevuto alcune decine di file legittimi contenenti codici dannosi.

Sono iniziati a comparire i falsi positivi quando i legittimi proprietari dei file hanno rilasciato versioni aggiornate dei propri software. Il sistema ha confrontato i file con il database dei malware (che conteneva file simili), segnalando i file legittimi come dannosi. In seguito a ciò, abbiamo aggiornato i nostri algoritmi per evitare problemi di questo genere.

Nel frattempo gli attacchi sono proseguiti per tutto il 2013 e abbiamo continuato a ricevere file legittimi modificati. Ci siamo resi conto che non eravamo gli unici obiettivi, altri nostri competitor hanno ricevuto gli stessi file e li hanno identificati come falsi positivi.

Nel 2013 si è tenuto un incontro a porte chiuse tra le aziende leader nel campo della sicurezza informatica e altri aziende che hanno subito conseguenze per questi attacchi; hanno partecipato anche vendor non colpiti dal problema ma del quale erano a conoscenza. Durante questo incontro sono state condivise informazioni sull’accaduto per capire le ragioni dell’attacco e per lavorare a un piano d’azione. Purtroppo non è stata raggiunta una soluzione anche se sono emerse alcune teorie interessanti soprattutto in merito agli autori dell’attacco. In particolare, alcuni partecipanti al meeting erano dell’opinione che si trattasse di alcuni vendor di AV, oppure che l’attacco fosse un tentativo da parte di una mano sconosciuta quanto potente di modificare i propri malware in modo che non potessero essere individuati dai principali prodotti antivirus.

Accuse come queste non sono niente di nuovo per noi. È dalla fine degli anni ’90 che dovrei portare sempre con me alle conferenze stampa un cartello con su scritto “NO!”, mi farebbe risparmiare un sacco di tempo. E farei riferimento al cartello nel caso mi facessero la solita domanda “Siete voi a scrivere i virus, così i vostri prodotti possono ‘curare’ le infezioni?”. Sì, certo. E ancora oggi mi fanno la stessa identica domanda. Ma davvero pensano che un’azienda che lavora onestamente da oltre 18 anni debba ricorrere a certe cose?

Sembra che certe persone preferiscano condannare piuttosto che dichiarare innocente qualcuno fino a prova contraria. E sicuro ci saranno sempre persone così. C’est la vie. Spero davvero che la gente vada oltre queste accuse anonime, sciocche e prive di fondamento. L’unica cosa che posso dire è che continuerò a lavorare sodo nel mio settore per rendere il digitale un mondo più sicuro; il nostro impegno è quello di combattere le minacce informatiche, anche quando non sappiamo chi siano gli autori.

Illazioni contro @kaspersky affermano che l’azienda abbia messo i bastoni tra le ruote alla concorrenza con falsi positiviTweet

https://twitter.com/luludcheng/status/632241882437976064

 

Auto controllate in remoto da un hacker: è realtà

Da qualche anno ormai, ogni tanto succedono degli episodi davvero preoccupanti nel mondo dell’informatica, che mettono il mondo in agitazione. Per i non addetti ai lavori, comunque sia, si tratta di un flusso costante di spiacevoli sorprese apparentemente inevitabili. Invece io e i miei colleghi, quando veniamo a conoscenza di queste notizie, annuiamo, facciamo l’occhiolino o alziamo il sopracciglio alla Roger Moore come per dire “Ce lo aspettavamo, perché ci hanno messo così tanto?”

Noi che analizziamo e studiamo costantemente le principali tendenze del Dark Web, ovviamente ci facciamo un’idea di chi c’è dietro a certi fenomeni e le motivazioni; in questo modo possiamo prevedere come si evolveranno le cose.

Ogni volta che avviene uno di questi eventi “inaspettati”, mi trovo nella difficile posizione di dover fare una qualche dichiarazione in merito (o dei veri e propri comunicati) per far capire che è così che continueranno ad andare le cose. Ancor più difficile è far capire che sto ripetendo sempre le stesse cose da anni ormai. In realtà dovrei solo aggiornare un po’ il sermone, della serie: “vi ho già avvisato e voi che pensavate che volessi solo vendere i miei prodotti!”.

Insomma, avete capito (a nessuno piace ascoltare la frase “ve l’avevo detto”, per cui vado avanti).

Allora, di quale spiacevole minaccia stiamo parlando stavolta? Riguarda un settore che mi sta particolarmente a cuore, il mondo dell’automobile!

Qualche giorno fa la rivista WIRED ha pubblicato un articolo con questa frase di apertura: “Stavo guidando a 110 km/h quasi nel centro della città di St. Louis quando l’exploit ha iniziato a prendere il controllo“. Cooosa?

 

L’articolo descrive un esperimento di successo in cui alcuni hacker ricercatori di sicurezza hanno “ucciso” un’auto fin troppo “intelligente”: hanno analizzato minuziosamente (durante un lavoro di mesi) il sistema computerizzato Uconnect di una Jeep Cherokee, alla fine, hanno trovato una vulnerabilità e sono riusciti a prendere il controllo via Internet delle funzioni principali del veicolo, proprio quando il giornalista di WIRED stava guidando l’auto in autostrada! Non sto scherzando e non sto parlando di un caso da laboratorio, su un’auto specifica. La vulnerabilità trovata dai ricercatori colpisce circa mezzo milione di vetture. Il “cooosa?” è di nuovo d’obbligo.

can2

Continua a leggere:Auto controllate in remoto da un hacker: è realtà