novembre 26, 2013

Java, croce e delizia degli utenti

Woo-hoo! Ancora una volta abbiamo messo i bastoni tra le ruote ai cybercriminali! Il nostro sistema di protezione ha protetto Microsoft Office da probabili attacchi davvero insidiosi.

Poco tempo fa è stata scoperta una nuova vulnerabilità piuttosto comune in questa applicazione: aprendo un documento, senza che l’utente se ne accorgesse, veniva iniettato un codice dannoso all’interno del computer. Si tratta di un attacco zero-day in piena regola che sfrutta una vulnerabilità in MS Office fino ad oggi sconosciuta (per la quale non sono state ancora rilasciate delle patch) e che la maggior parte degli antivirus sul mercato non riescono a individuare. Indovinate un po’? Il nostro antivirus è riuscito dove altri hanno fallito!

La nostra tecnologia di Prevenzione Automatica degli Exploit (AEP) ha individuato un comportamento anomalo e ha bloccato in maniera proattiva gli attacchi corrispondenti. Non sono stati necessari aggiornamenti, nessuna attesa, nessun problema. Acciuffato immediatamente!

Ricordiamo che gli attacchi zero-day ultimamente rappresentano una seria minaccia, e devono essere affrontati con la dovuta decisione.

Molti antivirus in realtà non servono quando si tratta di attacchi zero-day perché lavorano principalmente con signature e la cosiddetta “protezione dalle minacce future” è solo sulla carta: belle promesse ma niente di concreto. Per garantire una protezione concreta dalle minacce future sono necessarie menti intelligenti e risorse importanti, e non sempre questa combinazione è alla portata di tutti. Purtroppo (per loro) le tecnologie di cui ci avvaliamo per questo scopo non possono essere copiate così facilmente…

Magari il consiglio dei buddisti o della filosofia new-age di vivere alla giornata può aiutarci nella nostra vita quotidiana, ma nell’industria IT non si può improvvisare, anzi prevedere è la chiave del successo. Per garantire la sicurezza ai nostri utenti dobbiamo guardare sempre al futuro e ipotizzare quali potrebbero essere le azioni dei cybercriminali prima che esse si verifichino. Un po’ alla Minority Report, diciamo. Per questo l’idea di “proattività” rappresenta un punto fermo nella nostra politica aziendale fin dai primi anni ’90, e da allora hanno sviluppato tecnologie innovative come il calcolo euristico o l’emulatore. L’entusiasmo di pensare al futuro scorre nel vene di Kaspersky Lab!

Nel corso del tempo abbiamo rinnovato, raffinato e rafforzato le nostre tecnologie; così, circa due anni e mezzo fa tutti i sistemi di protezione che impediscono agli hacker di sfruttare vulnerabilità sconosciute e non, sono state riunite sotto la Prevenzione Automatica degli Exploit (AEP). E abbiamo fatto giusto in tempo, tra l’altro. Infatti, siamo riusciti a schivare attacchi mirati davvero insidiosi e diversificati, tra cui i famosi Red October, MiniDuke e Icefog.

Poi è arrivato l’interesse improvviso da parte dei cybercriminali nei confronti di Oracle Java; per fortuna, la tecnologia AEP era già pronta all’azione e ha fatto davvero un ottimo lavoro. Un’arma davvero efficace di AEP è stato il modulo Java2SW, specificamente disegnato per individuare gli attacchi condotti attraverso Java.

E proprio di questo modulo vi voglio parlare nel resto del post di oggi.

Nei nostri computer, i software tutti insieme somigliano a una sorta di copertina patchwork: tanti elementi messi assieme e molti buchi tra un elemento e l’altro. Si trovano sempre nuove vulnerabilità nei software (succede spesso, soprattutto se il programma è molto popolare) e le aziende devono garantire ai propri utenti il rilascio delle patch.

Ma… Nº1: Gli sviluppatori di software non rilasciano le patch non appena viene individuato il problema; a volte bisogna aspettare mesi!

Ma… Nº2: La maggior parte degli utenti si dimenticano d’installare le patch (o semplicemente non si preoccupano di farlo) e così continuano a lavorare con un software pieno di falle.

Tuttavia… Nº1: La grande maggioranza dei computer nel mondo hanno installato un software antivirus!

Cosa si può fare quindi? È molto semplice: dotarsi di Java2SW. Perché? Perché risolverà i vostri problemi con Java e potrete sfruttarne al meglio le sue potenzialità.

In generale l’architettura di Java, dal punto di vista della sicurezza, è abbastanza avanzata. Ogni programma viene eseguito in un ambiente isolato (JVM – Macchina Virtuale Java) e viene supervisionato da un Security Manager. Purtroppo, però, Java è diventata vittima della sua stessa popolarità: non importa quanto sia elevato il livello di protezione, prima o poi qualche vulnerabilità si trova, soprattutto se si tratta di un programma popolare. Per questo chi produce un software deve essere preparato a ogni evenienza: (i) sviluppare per tempo delle tecnologie proattive; (ii) avere dei tempi di reazione molto brevi e (iii) informare gli utenti dell’importanza di aggiornare sempre il programma e d’installare le patch.

Per quanto riguarda Java, Oracle non ha fatto un buon lavoro in tal senso. Per questo tantissimi utenti hanno disinstallato in massa Java dal proprio browser, anche se poi risultava complicato visitare alcuni siti Internet.

Le cifre parlano chiaro: nel 2010 sono state individuate in Java 52 vulnerabilità; 59 nel 2011, 60 nel 2012 e 180 nel 2013 (e l’anno non si è ancora concluso!). E anche gli attacchi a Java che sfruttano le sue vulnerabilità sono cresciuti in maniera esponenziale:

Cos’ha di speciale Java2SW e in che modo evita che i cybercriminali possano sfruttare le vulnerabilità di Java?

Oltre al Security Agent presente di default, viene aggiunta a ogni macchina virtuale un ulteriore elemento di sicurezza. Viene effettuata un’analisi extra e indipendente dal codice Java, il quale non verrà eseguito nel caso si riscontri qualcosa di sospetto.

Si tratta di una procedura bastante complessa perché dobbiamo avere accesso diretto alla piattaforma Java. Dall’esterno Java è abbastanza oscuro, sappiamo che all’interno sta succedendo qualcosa ma non sappiamo esattamente cosa. Ad esempio, Java può lanciare un determinato processo ma non sappiamo per quale motivo lo faccia! Se invece abbiamo la possibilità di dare uno sguardo a ciò che avviene all’interno, possiamo capire quale codice viene eseguito dalla macchina Java, quali autorizzazioni ha a disposizione, possiamo individuare la fonte ecc. In base a ciò che troviamo possiamo trarre le nostre conclusioni.

Grazie alla sua architettura Java può lavorare, almeno in teoria, su qualsiasi piattaforma. Ed è proprio questa flessibilità che dà dei gran grattacapi alle aziende produttrici di antivirus, perché non è facile disegnare un sistema di protezione altrettanto flessibile (e per fare ciò è necessario entrare nel cuore di Java per capirne esattamente il funzionamento). Per fortuna noi siamo riusciti in questo intento e il nostro sistema è in attesa di essere brevettato.

L’altro aspetto positivo è che Java2SW funziona insieme ad altri strumenti AEP, ovvero di prevenzione automatica degli exploit. Quando individua un’attività sospetta, il modulo invia tutte le informazioni a System Watcher, un componente che raccoglie i segnali da altri sensori antivirus; dopo aver analizzato la situazione generale, il sistema può prendere i provvedimenti necessari e accurati per far fronte anche agli attacchi più sofisticati.

In questo modo, anche se il Security Manager di Java è stato compromesso da un attacco (e ciò può avvenire abbastanza di frequente), non c’è nessun problema perché il nostro sistema riesce comunque a individuare l’attacco.

Java2SW è quindi la soluzione a tutti i problemi relazionati alle vulnerabilità Java?

Bisogna ricordare una cosa: Java2SW non individua gli attacchi zero-day e non risolve le vulnerabilità del programma. Java2SW rende evidenti i comportamenti anomali del codice, ma non dice dove andrà ad agire l’attacco zero-day. Non evita che ci siano delle falle nel programma, solo evita l’eventualità di un attacco. È un approccio più generico che dà grandi risultati.

Ovvero?

Innanzitutto, la percentuale di successo è molto alta: siamo in grado di proteggere gli utenti da attacchi sconosciuti che sfruttano le vulnerabilità presenti in Java. In sostanza, garantisce un livello di protezione adeguato tra quando viene scoperta la vulnerabilità e quando la casa produttrice rende disponibile la patch.

In secondo luogo, anche se l’utente non si preoccupa di installare subito la patch, la nostra tecnologia è in grado di proteggerlo da eventuali attacchi.

Con questa splendida notizia, vi saluto. Starò via per un po’, ma non per tanto tempo…

LEGGI I COMMENTI 0
Scrivi un commento
Facebook

giugno 27, 2023

I vertici di Infosec: di nuovo al SAS, questa volta di persona!

Trombe, rullo di tamburi, applausi, acclamazioni, fischi! Ecco due fantastiche notizie per voi: una ottima, l’altra ancora meglio… La prima: quest’anno si terrà la nostra quindicesima conferenza annuale sulla sicurezza informatica, il Security Analyst Summit (SAS). Quindicesima? Incredibile… come passa il tempo!! La seconda: siamo finalmente tornati a un formato offline, ovvero presenziale, faccia a […]

gennaio 19, 2023

Bilancio del 2022: anche i brevetti stanno arrivando!

Inventare nuove tecnologie all’avanguardia è solo una parte del nostro lavoro. Aspettate, no: non va bene essere così categorici… Una nuova tecnologia all’avanguardia e rivoluzionaria comporta un processo di creazione probabilmente molto più complesso e lungo di quanto molti possano immaginare. Certo, senza invenzioni non c’è progresso, ma senza il lungo processo di creazione che […]

novembre 11, 2022

11.11: vent’anni a oggi!

Saluti ragazzi e ragazze! All’ improvviso, è arrivato il momento di festeggiare un altro anniversario. Evviva!… Il nostro sistema operativo cyber-immune, KasperskyOS, compie oggi… aspettate. No, non è esatto… Esattamente 20 anni fa, l’11 novembre 2002, abbiamo iniziato un lungo e importante viaggio, che in realtà stiamo ancora percorrendo. Si tratta di un progetto vasto […]

luglio 21, 2022

Cyber-notizie dal Lato Oscuro (e non): audace hacking di criptovalute, K diventa neuromorfo e come entrare in un data-center attraverso un… bagno!

Salve gente! Per coloro che stanno ancora sudando in ufficio e che non sono ancora potuti partire per una seria vacanza di disintossicazione digitale, ecco a voi, per non farvi sentire in colpa, alcune succose iNews, ovvero racconti dark (e light) dal mondo cibernetico, e altre storie straordinarie e difficili da credere direttamento dal mondo […]

luglio 5, 2022

Un Kuarto di secolo? Come passa il tempo!…

Salve gente! Venticinque anni e nove giorni fa, precisamente il 26 giugno 1997, è stata registrata l’azienda che porta il mio stesso nome. Non possiamo non definirle “umili origini” (nel vero senso della parola): all’epoca era un’azienda con una dodicina di persone e con un fatturato pari a zero, ma con una speciale competenza tecnologica […]

Continua

Video