Zen, o l’arte di rimanere in contatto con i partner

Proprio quando le cose cominciavano ad andare meglio, sembra che ci sia una seconda ondata di questo maledetto virus che si sta diffondendo sempre di più in tutto il mondo. A Mosca il sindaco (per ora) sta gentilmente spingendo le aziende affinché i lavoratori rimangano a casa, le scuole si stanno preparando di nuovo per le lezioni di Zombie Zoom e il nostro quartier generale è ancora praticamente vuoto (soprattutto per quanto riguarda la parte di ricerca e sviluppo). Quindi sembra che usciremo raramente e, quando lo faremo, continueremo a indossare mascherine e guanti, a mantenere la distanza sociale e a salutare facendo toccare i pugni con un cenno di saluto, almeno durante l’autunno e l’inverno. Hmmm: cos’è è meglio, il covid in estate o in inverno? È una scelta difficile. Ma è meglio non soffermarsi sull’argomento, non aiuta affatto.

“Un giorno penseremo al 2020 e difficilmente potremo credere che tutto ciò sia accaduto”. O probabilmente sarà così, speriamo.

Rimarremo sbalorditi ricordando come questo virus sia riuscito a mettere il mondo sottosopra in così poco tempo, e da tutti i terribili effetti che ha avuto sull’umanità. Ma qui, oggi, visto che sono sempre uno che vede il bicchiere mezzo pieno, mi concentrerò su alcune cose positive che stanno avvenendo per via della pandemia da coronavirus, almeno dal punto di vista di un’azienda come la nostra. Abbiamo dovuto sviluppare nuove competenze e nuove capacità lavorando da casa e con i confini chiusi, pur essendo un’azienda globale. Già da sette mesi nessuno vola quasi più da nessuna parte. I nostri uffici sono per lo più vuoti. E non abbiamo organizzato le nostre conferenze e cene e non ci siamo divertiti con i nostri partner e clienti. Ma il lavoro sta andando avanti, e talmente bene che gli obiettivi sono stati superati! Ma, come? In questo modo…

  1. Ricerca e sviluppo. Praticamente tutti lavorano da casa! E lavorano meglio di prima, a giudicare (i) dalla maggiore velocità di implementazione di nuove funzionalità nei nostri prodotti; (ii) dalla maggiore velocità di rielaborazione del codice; e (iii) dall’efficienza del nostro sviluppo cresciuta del 15%. Wow! Tenete d’occhio il lancio dei nostri nuovi prodotti, in particolare quelli dei sistemi di controllo aziendali e industriali. Alcuni dipendenti K (non molti) sono tornati in ufficio, soprattutto perché l'”economia digitale” non è ancora del tutto digitale: molti hanno ancora bisogno di una firma manuale su molti moduli e altri pezzi di carta, ahimè. Altrimenti starebbero tutti a casa!
  2. Gli esperti di GReAT e Threat Research lavorano tutti da remoto, grazie alla nostra intelligenza AI humachine, che cattura automaticamente il 99,999% del nostro carico giornaliero di malware, ovvero una quantità enorme di file sospetti che riceviamo da ogni sorta di fonti, ma soprattutto dal nostro KSN su cloud. Un enorme grazie, quindi, a tutti i nostri utenti che sono collegati al nostro cloud! Con questo aiuto, siamo gomito a gomito con i nostri utenti nella creazione di una protezione informatica in grado di contrastare tutti i tipi di armi informatiche moderne. Inoltre, lo facciamo costantemente, automaticamente e online.

A proposito: ogni giorno il nostro bottino ammonta letteralmente a milioni di file (di tutti i tipi, compresa molta spazzatura), tra cui ogni giorno emergono circa 400.000 (quattrocentomila!) nuovi malware. Ogni giorno! Incluso oggi! E date le condizioni di quarantena del virus biologico in tutto il mondo, è un bene che li catturiamo, visto che la maggior parte di noi passa molto più tempo online rispetto a un anno fa.

  1. Interazione con i partner e i clienti. Questa è la parte più interessante. Con un orgoglio incondizionato per la nostra azienda e per il nostro K-team, posso annunciare che… siamo riusciti a sfruttare a nostro favore le difficoltà dell’attuale periodo di coronavirus! Non abbiamo semplicemente imparato a lavorare online in modo efficace con partner e clienti ma siamo riusciti a farlo ancora meglio di prima! Quindi, non solo salviamo il mondo dalle cyber-pandemie, ma trasformiamo anche il male in qualcosa di buono e positivo.

Al giorno d’oggi facciamo praticamente tutto online: riunioni, dibattiti, formazioni, presentazioni, e persino l’installazione e l’assistenza a distanza dei nostri prodotti, compresa la nostra linea per aziende. Direi che qui abbiamo davvero brillato, o come cantava Tina Turner, siamo “semplicemente i migliori”, ma non lo farò: non voglio portare sfortuna ai nostri continui mega-successi online! E come esempio pratico della nostra grande presenza online, voglio parlarvi della nostra conferenza annuale per reseller in Russia e per i paesi russofoni FSU.

// Breve momento di nostalgia: la nostra prima conferenza per i reseller russi si è tenuta nel 2007, non lontano da Mosca. Da allora (le conferenze) hanno “spiegato le ali” in altri luoghi: Montenegro, Giordania, Georgia, Turchia, Emirati Arabi Uniti, Oman… Sono sempre stati grandi eventi e sempre in luoghi divertenti e dalle temperature calde. Ora, naturalmente, questi luoghi assolati all’estero sono per lo più fuori discussione. Così, questa volta abbiamo deciso di tenere l’evento a Mosca, e di farne una conferenza “ibrida” online-offline (simile a quella che abbiamo tenuto a settembre a Sochi).

Ecco la ricetta per preparare un business show (in questo casa per i nostri reseller, ma la ricetta può andar bene anche per altri conference-show) in tempi di COVID-19. Ingredienti:

  • Un minimo di partecipanti fisicamente presenti;
  • Informazioni complete;
  • Lavoro di squadra;
  • Un team tecnico professionale (riprese, ecc.) per la trasmissione online;
  • Midori Kuma!

Obiettivi:

  • Portare all’evento il maggior numero possibile di addetti del settore e partecipanti, compreso del pubblico online;
  • Trasmettere il messaggio che lo smart working dovuto al coronavirus non ha avuto un impatto negativo sul business, anzi, abbiamo avuto modo di imparare ad operare in nuove condizioni e siamo riusciti a incrementare la nosta efficienza;
  • Coinvolgere i nostri partner-reseller in qualcosa di nuovo e di utile che possa aiutarli (a) a sviluppare il proprio business, e (b) a fornire ai loro clienti servizi di migliore qualità. Fondamentalmente, un “talk-show” per un grande pubblico.

Ecco la ricetta per il successo. Aspettate, manca qualcosa. Ah sì, le foto!

Continua a leggere:Zen, o l’arte di rimanere in contatto con i partner

Ransomware: basta scherzi

Per prima cosa: una piccola introduzione…

Il 10 settembre scorso, il ransomware-malware DoppelPaymer ha cifrato 30 server di un ospedale della città tedesca di Dusseldorf, a causa del quale la capacità di gestire il numero di pazienti malati è diminuita drasticamente. Una settimana fa, a causa di questo calo, l’ospedale non è stato in grado di accettare una paziente che aveva bisogno di un’operazione urgente, ed è stato organizzato il trasferimento in un ospedale di una città vicina. La paziente è deceduta durante il tragitto. È stato il primo caso conosciuto di perdita di vite umane a seguito di un attacco ransomware.

Un caso davvero molto triste, soprattutto se si guarda più da vicino: c’è stato un “incidente” fataledi per sé (presumendo che i cyberciminali non prevedessero una fatalità simile a seguito delle loro orribili azioni); c’è stata anche una chiara negligenza nel seguire le regole di base dell’igiene della sicurezza informatica; e c’è stata anche un’incapacità da parte delle forze dell’ordine di contrastare con successo i criminali responsabili.

I cybercriminali hanno attaccato la rete dell’ospedale attraverso una vulnerabilità (nota anche come Shitrix) sui server di Citrix Netscaler, che ea stata risolta già a gennaio. Sembra che gli amministratori di sistema abbiano aspettato troppo a lungo prima di installare la patch, e nel frattempo i cybercriminali sono riusciti a penetrare nella rete e a installare una backdoor.

Fino a qui, questo è quanto. Da qui in poi: possiamo fare congetture che non possono essere confermate, ma che sembrano essere probabili…

Non si può escludere che, dopo un certo tempo, l’accesso alla backdoor sia stato venduto ad altri cybercriminali su forum illegali come “accesso a una backdoor di una università”. L’attacco, infatti, era inizialmente diretto alla vicina Uuniversità Heinrich Heine. È questa università che è stata indicata nelle e-mail degli estorsori che richiedevano il pagamento di un riscatto per la restituzione dei dati cifrati. Quando i criminali informatici hanno scoperto che si trattava di un ospedale e non di un’università, hanno subito consegnato tutte le chiavi di cifratura (e poi sono scomparsi). Sembra che gli ospedali attaccati dal malware non siano così attraenti per i criminali informatici, sono considerati beni troppo “tossici” (come è stato dimostrato, purtroppo, nel peggiore dei modi in questo frangente).

È probabile che, dietro DoppelPaymer, ci sia il gruppo di cybercriminali di lingua russa Evil Corp, un gruppo composto da decine di diversi criminali informatici di alto profilo (anche sulla rete di Garmin) Nel 2019, il governo degli Stati Uniti ha formulato un atto d’accusa per i facenti parte di Evil Corp, e ha offerto una ricompensa di cinque milioni di dollari per chi offrisse dell’aiuto per la loro cattura. Curiosamente le identità dei criminali sono note, e fino a poco tempo fa si pavoneggiavano e mostravano il loro stile di vita da gangster, anche sui social network.


Fonte

Continua a leggere:Ransomware: basta scherzi

Foto di Flickr

  • Liechtenstein
  • Liechtenstein
  • Liechtenstein
  • Liechtenstein

Instagram Photostream

Cybersecurity: la nuova dimensione della qualità nel settore automotive

Molta gente sembra pensare che l’automobile del XXI secolo sia ancora un dispositivo meccanico. Certo, è stata introdotta l’elettronica per gestire alcune situazioni ma in fin dei conti è comunque un’opera di ingegneria meccanica: telaio, motore, ruote, volante, pedali… nell’elettronica, persino i computer, si limitano ad agevolare tutte le funzionalità meccaniche. Devono farlo, dopotutto, i cruscotti di questi tempi sono un mare di display digitali, con pochi quadranti analogici da vedere.

Beh, lasciate che vi dica una cosa: non è così!

Un’auto oggi è fondamentalmente un computer specializzato – un “cyber-cervello”, che controlla la meccanica e l’elettricità che tradizionalmente associamo alla parola “auto”, il motore, i freni, gli indicatori di direzione, i tergicristalli, l’aria condizionata e tutto il resto.

In passato, per esempio, il freno a mano era meccanico al 100%. Lo si tirava, con la “mano” (immaginate?!), e faceva una specie di rumore da meccanico. Oggi si preme un pulsante. 0% meccanico. 100% computerizzato. Ed è così con quasi tutto.

Ora, la maggior parte della gente pensa che in un’auto senza conducente sia un computer che guida la macchina. Ma se oggi c’è un umano al volante di una nuova auto, allora è l’umano che guida (non un computer), “certo, sciocco!”

Rieccoci di nuovo…: neanche questo è vero!

Con la maggior parte delle auto di oggi, l’unica differenza tra quelle senza conducente e quelle che sono guidate da un umano è che in quest’ultimo caso l’umano controlla il computer di bordo. Mentre nel primo caso, i computer di tutta l’auto sono controllati da un altro computer principale, centrale, molto intelligente, sviluppato da aziende come Google, Yandex, Baidu e Cognitive Technologies. A questo computer viene data la destinazione, osserva tutto quello che succede intorno e poi decide come navigare verso la destinazione, a quale velocità, con quale percorso e così via, basandosi su algoritmi mega-smart, aggiornati al nanosecondo.

Una breve storia della digitalizzazione dei veicoli a motore

Quando si è passati dalla meccanica al digitale?

Alcuni esperti del settore ritengono che l’informatizzazione dell’industria automobilistica sia iniziata nel 1955, quando la Chrysler propose una radio a transistor come optional su uno dei suoi modelli. Altri, pensando forse che una radio non sia una vera e propria caratteristica automobilistica, ritengono che sia stata l’introduzione dell’accensione elettronica, dell’ABS o dei sistemi elettronici di controllo del motore a inaugurare l’informatizzazione dell’automobile (da parte di Pontiac, Chrysler e GM rispettivamente nel 1963, 1971 e 1979).

Non importa quando è iniziato, ciò che è avvenuto dopo ha riguardato sempre più l’elettronica; poi le cose hanno cominciato a diventare più digitali, e la linea tra le due parti si è andata assottigliando. Tuttavia, per quanto mi riguarda l’inizio della rivoluzione digitale nelle tecnologie automobilistiche è datato febbraio 1986, quando, alla convention della Society of Automotive Engineers, la società Robert Bosch GmbH presentò al mondo il suo protocollo di rete digitale per la comunicazione tra i componenti elettronici di un’auto, detto anche CAN (Controller Area Network). E bisogna dare a questi ragazzi della Bosch il dovuto riconoscimento: ancora oggi questo protocollo è pienamente valido, di fatti utilizzato in ogni veicolo al mondo!

Breve panorama del mondo automobilistico digitale dopo l’introduzione del bus CAN:

I ragazzi Bosch ci hanno dato vari tipi di bus CAN (a bassa velocità, ad alta velocità, FD-CAN), mentre oggi ci sono FlexRay (trasmissione), LIN (bus a bassa velocità), MOST ottico (multimediale) e, infine, Ethernet a bordo (oggi a 100 mbps; in futuro fino a 1 gbps). Al giorno d’oggi, nel progettare le auto vengono applicati vari protocolli di comunicazione. C’è la trasmissione drive by wire (sistemi elettrici invece di collegamenti meccanici), che ci ha portato: pedali elettronici a gas, pedali elettronici dei freni (usati da Toyota, Ford e GM nelle loro ibride ed elettro-mobili dal 1998), freni a mano elettronici, cambi elettronici, e sterzo elettronico (usato per la prima volta da Infinity nella sua Q50 nel 2014).

Bus BMW e interfacce

Continua a leggere:Cybersecurity: la nuova dimensione della qualità nel settore automotive

Imparare a usare le regole YARA: prevedere i cigni neri

È da molto, molto tempo che l’umanità non viveva un anno come questo. Non credo di aver mai assistito a un anno con una così alta concentrazione di cigni neri di vari tipi e forme. E non intendo quelli con le piume. Parlo di eventi inaspettati con conseguenze di vasta portata, secondo la teoria di Nassim Nicholas Taleb, pubblicata nel 2007 nel suo libro Il cigno nero. Uno degli elementi principali della teoria è che, con il senno di poi, gli eventi sorprendenti già accaduti sembrano ovvi e prevedibili; tuttavia, prima che accadano, nessuno li prevede.

Esempio: questo orrendo virus che da marzo ha messo il mondo in isolamento. Si è scoperto che c’è un’intera famiglia estesa di coronaviridae, con decine di virus, e ne vengono trovate regolarmente di nuovi. Gatti, cani, uccelli e pipistrelli ne vengono infettati. Anche gli esseri umani. Alcuni causano raffreddori comuni. Altri si manifestano… in modo diverso. Quindi, sicuramente, dobbiamo sviluppare vaccini per loro come abbiamo fatto per altri virus mortali come il vaiolo, la poliomielite e altre malattie. Certo, ma avere un vaccino non sempre aiuta. Basti pensare all’influenza, ancora nessun vaccino risolve il problema, dopo quanti secoli? E comunque, anche per iniziare a sviluppare un vaccino è necessario sapere cosa si sta cercando, e questa è più arte che scienza.

Allora, perché vi sto dicendo tutto questo? Qual è la connessione con… beh, sarà inevitabilmente o la sicurezza informatica o i viaggi esotici, giusto?! Oggi, è il primo caso.

Ora, una delle più pericolose minacce informatiche esistenti è quella degli zero-day, rare, sconosciute (a chi si occupa di sicurezza informatica e non) vulnerabilità nei software che possono provocare danni su larga scala, ma che tendono a rimanere sconosciute fino a (o talvolta dopo) il momento in cui vengono sfruttate.

Tuttavia, gli esperti di sicurezza informatica hanno alcune armi per affrontare l’ambiguità e per prevedere i cigni neri. In questo post voglio parlare di una di queste armi: YARA.

In breve, YARA aiuta la ricerca e l’individuazione dei malware identificando i file che soddisfano determinate condizioni e fornendo un approccio basato su delle regole per creare descrizioni di famiglie di malware mediante modelli testuali o binari (oh, sembra complicato. Continuate a leggere per maggiori chiarimenti). Così, questo sistema viene utilizzato per la ricerca di malware simili identificando determinate caratteristiche. L’obiettivo è quello di poter dire che certi programmi dannosi sembrano essere stati creati dalle stesse persone, con obiettivi simili.

Ok, passiamo a un’altra metafora simile a quella del cigno nero, ma a tema marino.

Diciamo che la vostra rete è l’oceano, che è pieno di migliaia di tipi di pesci, e che siete un pescatore industriale che si trova nell’oceano con la nave che getta enormi reti alla deriva per catturare i pesci, ma solo alcune specie (malware creati da particolari gruppi di hacker) sono interessanti per voi. Ora, la rete da posta è particolare. Ha compartimenti speciali e in ognuno di essi vengono catturati solo pesci di una determinata razza (caratteristiche del malware).

Poi, alla fine del turno, si raccolgono un sacco di pesci, tutti suddivisi in compartimenti, alcuni dei quali sono pesci relativamente nuovi, mai visti prima (nuovi campioni di malware) di cui non si sa praticamente nulla. Ma se si trovano in un certo compartimento, diciamo: “Sembra la specie [gruppo di hacker] X” o “Sembra la specie [gruppo di hacker] Y”.

Ecco un caso che illustra la metafora pesci/pesca. Nel 2015, il nostro guru di YARA e capo del GReAT, Costin Raiu, si è dedicato completamente alla cyber-ricerca per individuare un exploit nel software Silverlight di Microsoft. Dovreste davvero leggere quell’articolo, ma, brevemente, ciò che Raiu ha fatto è stato esaminare attentamente la corrispondenza e-mail fatta trapelare da alcuni hacker per assemblare una regola YARA praticamente dal nulla, il che ha portato a trovare l’exploit e quindi a proteggere il mondo da questo grande problema. (La corrispondenza proveniva da un’azienda italiana chiamata Hacking Team, hacker che hackerano altri hacker!)

Quindi, a proposito di queste regole di YARA…

Da anni insegniamo l’arte di creare le regole YARA. Le minacce informatiche che YARA aiuta a scovare sono piuttosto complesse, ecco perché abbiamo sempre tenuto i corsi di persona, offline, e solo per un ristretto gruppo di ricercatori di alto livello nel campo della sicurezza informatica. Naturalmente, da marzo, la formazione offline è stata difficile a causa dell’isolamento; tuttavia, il bisogno di formazione non è quasi scomparso, e in effetti non abbiamo visto alcun calo di interesse nei nostri corsi.

È naturale che i cybercriminali continuino a pensare ad attacchi sempre più sofisticati, ancor più durante il lockdown. Di conseguenza, tenere le nostre conoscenze specialistiche su YARA per noi stessi durante il lockdown stato semplicemente sbagliato. Per questo motivo: (1) siamo passati da una formazione offline a online e (2) l’abbiamo resa accessibile a tutti. Non è un corso gratuito, ma per questo livello (il più alto) il prezzo è molto competitivo e giusto per il mercato.

Vi presento:

Continua a leggere:Imparare a usare le regole YARA: prevedere i cigni neri

Vi piace il gaming ad alto consumo di risorse? Scoprite la nostra modalità Gioco

Quasi 30 anni fa, nel 1993, è apparsa la prima incarnazione del gioco per computer cult Doom. E fu grazie ad essa che i pochi (immaginate!) proprietari di computer di allora scoprirono che il modo migliore per proteggersi dai mostri è quello di usare un fucile da caccia e una motosega.

Non sono mai stato un grande appassionato di giochi (semplicemente non c’era abbastanza tempo, sono sempre stato troppo occupato); tuttavia, di tanto in tanto, dopo una lunga giornata di lavoro, io e i colleghi passavamo un’ora o giù di lì a giocare a uno di quei giochi sparatutto, collegati tutti insieme alla nostra rete locale. Ricordo persino i campionati aziendali Duke Nukem, con tanto di tabelle dei risultati delle quali si discuteva a pranzo in mensa, e persino scommesse fatte su chi avrebbe vinto! Così, il mondo del gaming non è mai stato molto lontano da me.

Nel frattempo, è nato il nostro antivirus, completo di grugnito di maiale (impostate i sottotitoli inglesi, in basso a destra del video) per spaventare anche il più temibile dei cyber-mostri. Le prime tre release sono andate bene. Poi è arrivata la quarta, con un gran numero di nuove tecnologie contro le complesse cyber minacce, ma non avevamo pensato abbastanza bene alla struttura (e non l’avevamo nemmeno testato a sufficienza). Il problema principale era il modo in cui monopolizzava le risorse, rallentando i computer. E il software in generale a quei tempi, e il gioco in particolare, stava diventando sempre più impegnativo dal punto di vista delle risorse; l’ultima cosa di cui si aveva bisogno era un processore antivirus egoista e una RAM.

Quindi dovevamo agire in fretta, cosa che abbiamo fatto. E così, appena dopo due anni, abbiamo lanciato la nostra leggendaria sesta versione, che ha superato tutti in velocità (anche in termini di affidabilità e flessibilità). E negli ultimi 15 anni le nostre soluzioni sono sempre state tra le migliori in termini di prestazioni.

Continua a leggere:Vi piace il gaming ad alto consumo di risorse? Scoprite la nostra modalità Gioco

Le Top-5 K-tecnologie che ci hanno fatto entrare nella Top-100 Global Innovators

Ce l’abbiamo fatta di nuovo! Per la seconda volta siamo stati inseriti nella Top 100 Global Innovators di Derwent, una prestigiosa lista di aziende globali redatta sulla base dei loro portfolio di brevetti. Dico prestigiosa, perché nella lista siamo in contatto con aziende come Amazon, Facebook, Google, Microsoft, Oracle, Symantec e Tencent; inoltre, la lista non è solo una selezione di aziende apparentemente forti dal punto di vista brevettuale: è formata sulla base del titanico lavoro analitico della Clarivate Analytics, che la vede valutare più di 14.000 (!) aziende candidate su ogni tipo di criterio, di cui il principale è il tasso di citazione, alias “influenza”.

Entrando maggiormente in dettaglio, il tasso di citazione è il livello di influenza delle invenzioni sulle innovazioni di altre aziende. Per noi, è la frequenza con cui gli altri inventori ci citano nei loro brevetti. Ed essere menzionati formalmente nel brevetto di un’altra azienda significa che si è arrivati a qualcosa di nuovo e genuinamente innovativo e utile, che aiuta il loro “qualcosa di nuovo e genuinamente innovativo e utile”. Naturalmente, un sistema così consolidato di riconoscimento degli altri innovatori, non è il posto adatto per coloro che escogitano semplici brevetti di BS. Ed è per questo che nessuno di questi si avvicina a questa Top-100. Nel frattempo, noi siamo proprio lì, tra le prime 100 aziende innovatrici globali che fanno veramente progredire il progresso tecnologico.

Wow, che bella sensazione. È come una pacca sulla spalla per tutto il nostro duro lavoro: un vero riconoscimento del nostro contributo. Evviva!

Sono ancora in fibrillazione, è incredibile! Da tutto questo, per curiosità, mi sono chiesto quali, cinque, delle nostre tecnologie brevettate sono le più citate, le più influenti. Così ho dato un’occhiata. Ed ecco cosa ho trovato…

Continua a leggere:Le Top-5 K-tecnologie che ci hanno fatto entrare nella Top-100 Global Innovators

Un sistema di allerta precoce per i cyber-ranger (Adaptive Anomaly Control)

Molto probabilmente, se siete abituati a lavorare in ufficio, in questo momento è ancora piuttosto, o completamente vuoto, proprio come il nostro. Nel nostro quartier generale le uniche persone che vedrete di tanto in tanto sono le guardie di sicurezza, e l’unico rumore che sentirete sarà il ronzio dei sistemi di raffreddamento dei nostri pesanti server, dato che tutti sono collegati e lavorano da casa.

Non immaginereste mai che, invisibili, le nostre tecnologie, i nostri esperti e i nostri prodotti lavorano 24 ore su 24, 7 giorni su 7 per proteggere il mondo informatico, eppure è così. Tuttavia, nel frattempo i cybercriminali stanno escogitando nuovi trucchi. Meno male, quindi, che abbiamo un sistema di allerta precoce nella nostra collezione di tool per la protezione informatica. Ma ci arriverò tra un po’…

Il ruolo di un addetto/a alla sicurezza informatica assomiglia per certi versi a quello di una guardia forestale: per catturare i bracconieri (malware) e neutralizzare la minaccia che rappresentano per gli abitanti della foresta, è necessario prima di tutto trovarli. Certo, si potrebbe semplicemente aspettare che il fucile di un bracconiere spari e correre verso il luogo da cui proviene il suono, ma questo non esclude la possibilità che si arrivi troppo tardi e che l’unica cosa che si possa fare sia ripulire la scena.

Si potrebbe andare in paranoia: piazzare sensori e videocamere in tutta la foresta, ma poi ci si potrebbe ritrovare a reagire a qualsiasi fruscio che viene captato (e presto perdere il sonno, poi la testa). Ma quando ci si rende conto che i bracconieri hanno imparato a nascondersi davvero bene, anzi, a non lasciare alcuna traccia della loro presenza, allora diventa chiaro che l’aspetto più importante della sicurezza è la capacità di separare gli eventi sospetti da quelli regolari e innocui.

Sempre più spesso i cyber-bracconieri di oggi si mimetizzano con l’aiuto di strumenti e operazioni perfettamente legittime.

Alcuni esempi: l’apertura di un documento su Microsoft Office, la concessione dell’accesso remoto a un amministratore di sistema, il lancio di uno script su PowerShell e l’attivazione di un meccanismo di cifratura dei dati. Poi c’è la nuova ondata dei cosiddetti malware fileless, che lasciano letteralmente zero tracce su un disco rigido e che limitano seriamente l’efficacia degli approcci tradizionali alla protezione.

Esempi: (i) la minaccia Platinum ha utilizzato tecnologie fileless per penetrare nei computer di organizzazioni diplomatiche; e (ii) documenti di lavoro con payload dannoso sono stati utilizzati per infezioni tramite phishing nelle operazioni dell’APT DarkUniverse. Un altro esempio: il ransomware-encryptor fileless ‘Mailto’ (alias Netwalker) utilizza uno script PowerShell per caricare ilcodice dannoso direttamente nella memoria di processi di sistema affidabili.

Ora, se la protezione tradizionale non è all’altezza del compito, è possibile cercare di vietare agli utenti tutta una serie di operazioni e introdurre politiche severe sull’accesso e l’uso di software. Tuttavia, anche se così fosse, sia gli utenti che i criminali informatici alla fine troverebbero probabilmente il modo di aggirare i divieti (proprio come è sempre stato fatto anche per il divieto di bere alcolici).

Sarebbe molto meglio trovare una soluzione in grado di rilevare le anomalie nei processi standard e di informarne l’amministratore di sistema. Ma l’importante è che una tale soluzione sia in grado di imparare a determinare automaticamente in modo accurato il grado di “sospetto” dei processi in tutta la loro grande varietà, in modo da non tormentare l’amministratore di sistema con continue grida di “al lupo, al lupo!”

Bene, avete indovinato! Abbiamo una soluzione di questo tipo: si chiama Adaptive Anomaly Control, un servizio costruito su tre componenti principali: regole, statistiche ed eccezioni.

Continua a leggere:Un sistema di allerta precoce per i cyber-ranger (Adaptive Anomaly Control)

Cybersicurezza: i nostri inizi – Ottava parte: 1998-2000 (riorganizzazione, uffici all’estero, conferenze dei partner)

I primi anni dopo la fondazione dell’azienda furono i più duri di tutti, perché dovevamo mettercela tutta sempre, in qualsiasi momento, dedicando ore e ore di lavoro. Era come se stessimo tirando una molla affinché poi si liberasse l’energia che avrebbe portato l’azienda in alto e nella giusta direzione, verso i nostri sogni a occhi aperti (attenzione a ciò che sognate). Dopo la registrazione formale di KL nel 1997, facemmo tanto con molto poco . Non avevamo soldi e quasi nessuna risorsa, ma il treno della cybersecurity non aspettava nessuno: servivano nuove tecnologie e il mercato richiedeva nuovi prodotti. Così lavoravamo la maggior parte dei fine settimana e non prendevamo una vacanza quasi mai. A cosa stavamo lavorando? Ecco un esempio…

Giugno 1998: l’epidemia globale del Virus Chernobyl (CIH). Tutte le altre aziende AV non se ne erano accorte o non se preoccupavano, oppure erano in vacanza; eravamo quasi l’unica azienda ad avere un prodotto che non solo catturava, ma curava anche i sistemi infettati da questo agente patogeno. Il WWW (ormai non solo Runet) era costellato di link al nostro sito. E fu così che ci premiarono per i nostri tempi di reazione davvero veloci alle nuove minacce e anche per la nostra capacità di lanciare aggiornamenti rapidi con procedure per il trattamento di minacce specifiche. Nel frattempo, questa specifica minaccia di virus si installava in modo incredibilmente astuto nella memoria di Windows, agganciava le chiamate di accesso ai file e infettava i file eseguibili, tutto ciò richiedeva un processo di dissezione personalizzato che sarebbe stato impossibile da fornire senza una funzionalità flessibile di aggiornamenti.

Quindi, sì, stavamo ottenendo risultati e stavamo crescendo. E poi, due mesi dopo, ricevemmo un aiuto (del destino?!) e del tipo più inaspettato…

Agosto 1998: ci fu la crisi finanziaria russa, con la svalutazione del rublo, più la Russia inadempiente riguardo al suo debito. Fu un male per la maggior parte dei russi nel complesso ma noi fummo davvero fortunati: tutti i nostri partner stranieri ci pagarono in anticipo in valuta estera. Eravamo esportatori. La nostra moneta, opera/lavoro, un rublo fortemente svalutato; il nostro reddito, dollari, sterline, yen, ecc. Un po’ di tutto!

Ma non rimanemmo a riposarci sugli allori “fortunati” nel mezzo della crisi finanziaria. Sfruttammo questo periodo anche per assumere nuovi manager, dei costosi professionisti! E poco dopo seguirono direttori commerciali, tecnici e finanziari. E poi iniziammo ad assumere anche manager di medio livello. Questa fu la nostra prima  “riorganizzazione” in assoluto, quando il “team” passò ad essere una “società”; quando le relazioni amichevoli e organiche furono sostituite da una struttura organizzativa, una sistema e un livello di responsabilità più formali. Una riorganizzazione che avrebbe potuto essere dolorosa; per fortuna, non lo fu e andammo avanti senza troppa nostalgia dei vecchi tempi famigliari.

// Per tutto ciò che riguarda questo tipo di riorganizzazione-ristrutturazione-“reingegnerizzazione”- consiglio vivamente il libro Reengineering the Corporation di Michael Hammer e James Champy. È davvero un buon libro. Altri libri interessanti, qui.

Nel 1999 aprimmo il nostro primo ufficio all’estero, a Cambridge, nel Regno Unito. Ma come mai, penserete, visto che il mercato britannico è forse uno dei più difficili da conquistare per gli stranieri, perché proprio lì? In realtà, fu un po’ per caso (vi spiegherò poi). Comunque, dovevamo pur iniziare da qualche parte e, ad ogni modo, le nostre prime esperienze, compresi molti errori e lezioni imparate, nel Regno Unito hanno contribuito a rendere lo sviluppo del business in altri paesi molto più agevole…

Il nostro primo tour con la stampa ebbe luogo a Londra, dato che ci trovavamo comunque nella capitale britannica per una conferenza sulla sicurezza informatica (InfoSecurity Europe). Durante il press tour annunciammo con orgoglio l’intenzione di aprire un ufficio nel Regno Unito. Ma i giornalisti semplicemente si chiesero perché, dato che nel Paese c’erano già Sophos, Symantec, McAfee e così via, già ben affermati. Così passammo alla modalità “fanatici”: raccontammo come la nostra azienda fosse davvero innovativa e come, grazie a loro, fossimo migliori di tutta la concorrenza di cui avevano appena parlato. Questo messaggio fu accolto con notevole interesse e sorpresa (e un altro bonus: da allora non ci hanno più fatto domande così sciocche!). A proposito, allInfoSecurity Europe tenni il mio primo discorso in assoluto di fronte a un pubblico di lingua inglese composto da… due giornalisti, che si rivelarono essere dei nostri amici di Virus Bulletin che già sapevano molto su di noi! Comunque, quella fu la prima, e l’ultima, volta che una delle nostre presentazioni non fosse al completo (comunque: dettagli – qui).

Per quanto riguarda la nostra prima conferenza con i partner, ecco come è nata…

Nell’inverno 1998-1999 fummo invitati alla conferenza dei partner del nostro socio OEM F-Secure (Data Fellows). E fu così che venimmo a conoscenza dell’intero sistema di conferenze di partner e della loro unicità: riunirci tutti insieme, condividere le ultime informazioni sulle tecnologie e sui prodotti, ascoltare le preoccupazioni e i problemi dei partner e discutere di nuove idee, perfetto! E nel giro di un anno (nel 1999) organizzammo la nostra conferenza per i partner, invitando a Mosca circa 15 partner dall’Europa, dagli Stati Uniti e dal Messico. Eccoci tutti qui, in Piazza della Rivoluzione, accanto alla Piazza Rossa e al Cremlino:

Continua a leggere:Cybersicurezza: i nostri inizi – Ottava parte: 1998-2000 (riorganizzazione, uffici all’estero, conferenze dei partner)

Giocare a nascondino con i malware fileless

Il codice dannoso… si insinua ovunque…

È un po’ come un gas, che riempirà sempre lo spazio in cui si trova, anche se una differenza c’è: il codice dannoso passerà sempre attraverso i “buchi” (le vulnerabilità) di un sistema informatico. Quindi il nostro lavoro (anzi, uno di questi) è trovare tali falle e chiuderle. Il nostro obiettivo è di farlo in modo proattivo, cioè prima che il malware scopra queste falle. E se ci riesce, siamo lì pronti ad acciuffarlo.

Di fatto, è questa protezione proattiva e la capacità di prevedere le azioni dei cybercriminali e di creare una barriera in anticipo che fa la differenza tra una cybersecurity di qualità e altamente tecnologica dal marketing di paccottiglia.

Oggi voglio parlarvi di un altro modo in cui la nostra protezione proattiva protegge da un tipo di malware, particolarmente astuto. Sì, voglio parlarvi del cosiddetto codice dannoso fileless (o bodiless, senza corpo), un tipo pericoloso di malware-fantasma che ha imparato a usare i difetti dell’architettura di Windows per infettare i computer. E voglio parlarvi anche della nostra tecnologia brevettata che combatte questa particolare cyber-malattia. Lo farò proprio come piace a voi: spiegando problemi complessi in modo semplice, senza nascondere nulla ma in modo avvicente, una sorta di cyber-thriller con elementi di suspense.

Prima di tutto, cosa indica il termine fileless?

Ebbene, il codice fileless, una volta entrato in un sistema informatico, non crea copie di sé stesso sotto forma di file su disco e, in questo modo, evita di essere individuato dalle tecniche tradizionali, utilizzando ad esempio un monitor antivirus.

Come può esistere un tale “malware fantasma” all’interno di un sistema? In realtà, risiede nella memoria di processi affidabili! Ah, sì. Proprio così.

Su Windows (in realtà, non solo Windows), è sempre esistita la possibilità di eseguire un codice dinamico che, in particolare, viene utilizzato per il compilatore just-in-time; cioè, il codice del programma viene trasformato in linguaggio macchina non subito, ma quando è necessario e nel modo in cui è necessario. Questo approccio aumenta la velocità di esecuzione per alcune applicazioni. E per supportare questa funzionalità, Windows permette alle applicazioni di inserire il codice nella memoria del processo (o anche in un’altra memoria di un processo affidabile) e di eseguirlo.

Non è una grande idea dal punto di vista della sicurezza, ma cosa si può fare? Da decenni milioni di applicazioni eseguite su Java, .NET, PHP, Python e altri linguaggi e per altre piattaforme funzionano in questo modo.

Come era facile prevedere, i cybercriminali hanno approfittato della possibilità di utilizzare il codice dinamico, inventando vari metodi per utilizarlo per i propri scopi. E uno dei metodi più comodi e quindi più diffusi è la cosiddetta Reflective PE injection. Che cosa? Lasciate che vi spieghi (in realtà, è un argomento piuttosto interessante, quindi abbiate pazienza)…

Lanciare un’applicazione cliccando su un’icona, un’operazione abbastanza semplice e diretta, giusto? Sembra semplice, ma in realtà, dietro ci sono tante operazioni in ballo: viene richiamato un loader di sistema, che prende il rispettivo file dal disco, lo carica in memoria e lo esegue. E questo processo standard è controllato dai monitor antivirus, che controllano al volo la sicurezza dell’applicazione.

Ora, quando c’è un “riflesso”, il codice viene caricato bypassando il loader del sistema (e quindi anche il monitor antivirus). Il codice viene posto direttamente nella memoria di un processo affidabile, creando un “riflesso” del modulo eseguibile originale. Tale riflesso può essere eseguito come un modulo reale caricato con un metodo standard, ma non è registrato nella lista dei moduli e, come detto sopra, non ha un file sul disco.

Inoltre, a differenza di altre tecniche di iniezione del codice (per esempio, tramite shellcode), le reflected injection consentono di creare un codice funzionalmente avanzato in linguaggi di programmazione ad alto livello e framework di sviluppo standard con quasi nessuna limitazione. Quindi quello che si ottiene è: (i) nessun file, (ii) l’occultamento dietro un processo affidabile, (iii) l’invisibilità alle tradizionali tecnologie di protezione e (iv) via libera per causare un po’ di caos.

Quindi, naturalmente, le reflected injection hanno avuto un grande successo tra gli sviluppatori di codici dannosi: all’inizio apparivano in pacchetti di exploit, poi sono entrati in gioco le cyberspie (per esempio, Lazarus e Turla), i cybercriminali avanzati (perché è un modo utile e legittimo di eseguire un codice complesso!) e infine anche i cybercriminali di poco conto.

Ora, dall’altra parte della barricata, trovare una tale infezione fileless non è una passeggiata nel cyber-parco. Quindi non c’è da stupirsi che la maggior parte dei vendor di sicurezza informatica non sia troppo esperta. Alcune riescono a malapena a individuare il problema.

Continua a leggere:Giocare a nascondino con i malware fileless