Java, croce e delizia degli utenti

Woo-hoo! Ancora una volta abbiamo messo i bastoni tra le ruote ai cybercriminali! Il nostro sistema di protezione ha protetto Microsoft Office da probabili attacchi davvero insidiosi.

Poco tempo fa è stata scoperta una nuova vulnerabilità piuttosto comune in questa applicazione: aprendo un documento, senza che l’utente se ne accorgesse, veniva iniettato un codice dannoso all’interno del computer. Si tratta di un attacco zero-day in piena regola che sfrutta una vulnerabilità in MS Office fino ad oggi sconosciuta (per la quale non sono state ancora rilasciate delle patch) e che la maggior parte degli antivirus sul mercato non riescono a individuare. Indovinate un po’? Il nostro antivirus è riuscito dove altri hanno fallito!

La nostra tecnologia di Prevenzione Automatica degli Exploit (AEP) ha individuato un comportamento anomalo e ha bloccato in maniera proattiva gli attacchi corrispondenti. Non sono stati necessari aggiornamenti, nessuna attesa, nessun problema. Acciuffato immediatamente!

Ricordiamo che gli attacchi zero-day ultimamente rappresentano una seria minaccia, e devono essere affrontati con la dovuta decisione.

Molti antivirus in realtà non servono quando si tratta di attacchi zero-day perché lavorano principalmente con signature e la cosiddetta “protezione dalle minacce future” è solo sulla carta: belle promesse ma niente di concreto. Per garantire una protezione concreta dalle minacce future sono necessarie menti intelligenti e risorse importanti, e non sempre questa combinazione è alla portata di tutti. Purtroppo (per loro) le tecnologie di cui ci avvaliamo per questo scopo non possono essere copiate così facilmente…

Magari il consiglio dei buddisti o della filosofia new-age di vivere alla giornata può aiutarci nella nostra vita quotidiana, ma nell’industria IT non si può improvvisare, anzi prevedere è la chiave del successo. Per garantire la sicurezza ai nostri utenti dobbiamo guardare sempre al futuro e ipotizzare quali potrebbero essere le azioni dei cybercriminali prima che esse si verifichino. Un po’ alla Minority Report, diciamo. Per questo l’idea di “proattività” rappresenta un punto fermo nella nostra politica aziendale fin dai primi anni ’90, e da allora hanno sviluppato tecnologie innovative come il calcolo euristico o l’emulatore. L’entusiasmo di pensare al futuro scorre nel vene di Kaspersky Lab!

Nel corso del tempo abbiamo rinnovato, raffinato e rafforzato le nostre tecnologie; così, circa due anni e mezzo fa tutti i sistemi di protezione che impediscono agli hacker di sfruttare vulnerabilità sconosciute e non, sono state riunite sotto la Prevenzione Automatica degli Exploit (AEP). E abbiamo fatto giusto in tempo, tra l’altro. Infatti, siamo riusciti a schivare attacchi mirati davvero insidiosi e diversificati, tra cui i famosi Red October, MiniDuke e Icefog.

Poi è arrivato l’interesse improvviso da parte dei cybercriminali nei confronti di Oracle Java; per fortuna, la tecnologia AEP era già pronta all’azione e ha fatto davvero un ottimo lavoro. Un’arma davvero efficace di AEP è stato il modulo Java2SW, specificamente disegnato per individuare gli attacchi condotti attraverso Java.

E proprio di questo modulo vi voglio parlare nel resto del post di oggi.

Nei nostri computer, i software tutti insieme somigliano a una sorta di copertina patchwork: tanti elementi messi assieme e molti buchi tra un elemento e l’altro. Si trovano sempre nuove vulnerabilità nei software (succede spesso, soprattutto se il programma è molto popolare) e le aziende devono garantire ai propri utenti il rilascio delle patch.

Ma… Nº1: Gli sviluppatori di software non rilasciano le patch non appena viene individuato il problema; a volte bisogna aspettare mesi!

Ma… Nº2: La maggior parte degli utenti si dimenticano d’installare le patch (o semplicemente non si preoccupano di farlo) e così continuano a lavorare con un software pieno di falle.

Tuttavia… Nº1: La grande maggioranza dei computer nel mondo hanno installato un software antivirus!

Cosa si può fare quindi? È molto semplice: dotarsi di Java2SW. Perché? Perché risolverà i vostri problemi con Java e potrete sfruttarne al meglio le sue potenzialità.

In generale l’architettura di Java, dal punto di vista della sicurezza, è abbastanza avanzata. Ogni programma viene eseguito in un ambiente isolato (JVM – Macchina Virtuale Java) e viene supervisionato da un Security Manager. Purtroppo, però, Java è diventata vittima della sua stessa popolarità: non importa quanto sia elevato il livello di protezione, prima o poi qualche vulnerabilità si trova, soprattutto se si tratta di un programma popolare. Per questo chi produce un software deve essere preparato a ogni evenienza: (i) sviluppare per tempo delle tecnologie proattive; (ii) avere dei tempi di reazione molto brevi e (iii) informare gli utenti dell’importanza di aggiornare sempre il programma e d’installare le patch.

Per quanto riguarda Java, Oracle non ha fatto un buon lavoro in tal senso. Per questo tantissimi utenti hanno disinstallato in massa Java dal proprio browser, anche se poi risultava complicato visitare alcuni siti Internet.

Le cifre parlano chiaro: nel 2010 sono state individuate in Java 52 vulnerabilità; 59 nel 2011, 60 nel 2012 e 180 nel 2013 (e l’anno non si è ancora concluso!). E anche gli attacchi a Java che sfruttano le sue vulnerabilità sono cresciuti in maniera esponenziale:

Cos’ha di speciale Java2SW e in che modo evita che i cybercriminali possano sfruttare le vulnerabilità di Java?

Oltre al Security Agent presente di default, viene aggiunta a ogni macchina virtuale un ulteriore elemento di sicurezza. Viene effettuata un’analisi extra e indipendente dal codice Java, il quale non verrà eseguito nel caso si riscontri qualcosa di sospetto.

Si tratta di una procedura bastante complessa perché dobbiamo avere accesso diretto alla piattaforma Java. Dall’esterno Java è abbastanza oscuro, sappiamo che all’interno sta succedendo qualcosa ma non sappiamo esattamente cosa. Ad esempio, Java può lanciare un determinato processo ma non sappiamo per quale motivo lo faccia! Se invece abbiamo la possibilità di dare uno sguardo a ciò che avviene all’interno, possiamo capire quale codice viene eseguito dalla macchina Java, quali autorizzazioni ha a disposizione, possiamo individuare la fonte ecc. In base a ciò che troviamo possiamo trarre le nostre conclusioni.

Grazie alla sua architettura Java può lavorare, almeno in teoria, su qualsiasi piattaforma. Ed è proprio questa flessibilità che dà dei gran grattacapi alle aziende produttrici di antivirus, perché non è facile disegnare un sistema di protezione altrettanto flessibile (e per fare ciò è necessario entrare nel cuore di Java per capirne esattamente il funzionamento). Per fortuna noi siamo riusciti in questo intento e il nostro sistema è in attesa di essere brevettato.

L’altro aspetto positivo è che Java2SW funziona insieme ad altri strumenti AEP, ovvero di prevenzione automatica degli exploit. Quando individua un’attività sospetta, il modulo invia tutte le informazioni a System Watcher, un componente che raccoglie i segnali da altri sensori antivirus; dopo aver analizzato la situazione generale, il sistema può prendere i provvedimenti necessari e accurati per far fronte anche agli attacchi più sofisticati.

In questo modo, anche se il Security Manager di Java è stato compromesso da un attacco (e ciò può avvenire abbastanza di frequente), non c’è nessun problema perché il nostro sistema riesce comunque a individuare l’attacco.

Java2SW è quindi la soluzione a tutti i problemi relazionati alle vulnerabilità Java?

Bisogna ricordare una cosa: Java2SW non individua gli attacchi zero-day e non risolve le vulnerabilità del programma. Java2SW rende evidenti i comportamenti anomali del codice, ma non dice dove andrà ad agire l’attacco zero-day. Non evita che ci siano delle falle nel programma, solo evita l’eventualità di un attacco. È un approccio più generico che dà grandi risultati.

Ovvero?

Innanzitutto, la percentuale di successo è molto alta: siamo in grado di proteggere gli utenti da attacchi sconosciuti che sfruttano le vulnerabilità presenti in Java. In sostanza, garantisce un livello di protezione adeguato tra quando viene scoperta la vulnerabilità e quando la casa produttrice rende disponibile la patch.

In secondo luogo, anche se l’utente non si preoccupa di installare subito la patch, la nostra tecnologia è in grado di proteggerlo da eventuali attacchi.

Con questa splendida notizia, vi saluto. Starò via per un po’, ma non per tanto tempo…

LEGGI I COMMENTI 0
Scrivi un commento