Tag: malware

Cyber-News: il futuro è arrivato e il malware è resuscitato

Come sempre per questa “colonna“, vi fornirò una raccolta delle notizie più recenti sulla sicurezza informatica, che magri non sono finite in prima pagina ma non per questo meno preoccupanti. E come sempre, si tratta per lo più di cattive notizie. Tuttavia, ci sono ancora delle ragioni per cui essere ottimisti, ma sono poche. Aiuto!

Notizia nº1: Il futuro è arrivato

Un fotogramma da Blade Runner

Un fotogramma da Blade Runner

A molti autori piace fantasticare su come saranno le cose nel futuro. Spesso, gli scrittori di fantascienza si inventano profonde riflessioni filosofiche sull’uomo e il suo posto nell’Universo. Ci sono i fratelli russi Strugatsky, c’è Philip K. Dick e c’è Arthur C. Clarke (più il suo “traduttore” sul grande schermo, Stanley Kubrick), per esempio. E molto spesso, questa profonda riflessione filosofica è piuttosto cupa e sinistra.

Altre volte, la riflessione è un po’ meno profonda e filosofica, ma non è meno probabile che un giorno si avveri: in effetti, lo è molto più frequentemente. Qui è dove intervengo io!

Dunque, nella prima decade di questo secolo, durante le mie presentazioni al vostro umile servitore piaceva raccontare divertenti storie “di terrore” su ciò che sarebbe potuto avvenire nel futuro. Esempio: una macchinetta per il caffè lancia un attacco DDoS contro il frigo, mentre il microonde trova i codici PIN di fabbrica dello spremitore così da poter mostrare testi pubblicitari sul suo display digitale.

Facciamo un balzo avanti di meno di un decennio e questa “fantascienza” sta diventando vera.

Continua a leggere:Cyber-News: il futuro è arrivato e il malware è resuscitato

Darwinismo e sicurezza informatica, parte 3: è ora di affrontare i parassiti

Ciao a tutti!

La tematica della “sopravvivenza del più adatto” funziona. Non stavo programmando una trilogia, è capitato, in un certo modo.

Diciamo che il problema specifico dei parassiti nel mondo della sicurezza informatica di cui scriverò oggi mi frullava in testa già da un bel po’. Questa discussione sul darwinismo sembrava l’opportunità perfetta per esprimerlo, finalmente. Vedrete a cosa mi riferisco.

Amici, oggi parliamo di parassiti. Ma non quelli che combattiamo (quelli “davvero” cattivi), bensì coloro che affermano di combatterli anche loro, i cattivi (domanda filosofica: chi è peggio?).

I parassiti della sicurezza informatica che praticano l’appropriazione della scoperta stanno uccidendo l’industria e aiutando indirettamente il cybercrimine

Oggi lo sviluppo dell’industria IT procede a ritmo galoppante. Appena 10-15 anni fa i suoi temi principali erano antivirus desktop, firewall e backup: adesso esiste una moltitudine di nuove soluzioni di sicurezza differenti, approcci e idee. A volte riusciamo a essere all’avanguardia, a volte dobbiamo rimetterci in pari. E ci sono altre volte in cui cadiamo in stato confusionale dallo stupore, non a causa di nuove tecnologie, innovazioni o idee, ma per la spudorata sfrontatezza e la completa spregiudicatezza dei nostri colleghi dell’industria della sicurezza.

Ma prima, lasciatemi spiegare come si stanno sviluppando gli eventi.

Esiste un programma molto utile, un multiscanner chiamato VirusTotal. Mette insieme circa 60 motori antivirus, che utilizza per analizzare file e URL che la gente gli invia per il controllo dei malware, e poi restituisce il verdetto.

Esempio: Mario Rossi scopre un’applicazione o un documento office sospetti su un disco rigido/chiavetta USB/Internet. Il suo software antivirus non segnala la presenza di un virus, ma Mario è un tipo paranoico e vuole assicurarsi che non sia infetto. Per cui va sul sito di VirusTotal, fornito non di una sola soluzione antivirus, bensì di circa 60. È pure gratis, un gioco da ragazzi insomma. Quindi Mario carica il file su VirusTotal e ottiene informazioni immediate al riguardo da tutti i diversi antivirus.

Prima di tutto, chiariamo: la gente di VirusTotal e di Google, proprietaria di VirusTotal, sono fermamente dal lato dei “buoni”. Non hanno assolutamente alcun legame con i parassiti. VirusTotal viene gestito da un team molto professionale, che da anni svolge il suo compito in maniera estremamente efficace. (Non siete ancora convinti? Ebbene, l’anno scorso VirusTotal ha vinto il premio MVP al Security Analyst Summit – SAS). Oggi VirusTotal è una delle più importanti fonti di campioni di malware e URL dannose ed è anche un gran bel strumento archeologico per la ricerca di attacchi mirati.

Il problema si pone con alcuni loschi utenti del multiscanner che, ahimè, stanno diventando sempre più audacemente sfacciati nel modo di comportarsi.

Continua a leggere:Darwinismo e sicurezza informatica, parte 3: è ora di affrontare i parassiti

Foto di Flickr

Instagram

Vi presentiamo KICS, la protezione per le industrie

Hurrà!

Abbiamo lanciato uno dei nostri nuovi prodotti per grandi aziende KICS (Kaspersky Industrial CyberSecurity), la cyber-cura contro i cyber-mali che protegge le fabbriche, le centrali energetiche, gli ospedali, gli aeroporti, gli hotel, i magazzini, il vostro ristorante preferito e tantissimi altri tipi di aziende che usano i sistemi di controllo industriali ICS. Oppure, detto in un altro modo, dato che è raro per le aziende non utilizzare ICS, abbiamo lanciato una cyber-soluzione per milioni di piccole e grandi aziende di beni e servizi sparse in tutto il mondo.

Quindi cosa ci offre KICS esattamente? A che scopo è stato pensato? Per poter rispondere, torniamo un attimo indietro…

Prima del 2000 un cyberattacco ad una rete industriale era pura fantascienza, ma il 14 agosto del 2003 nel nord-est degli stati uniti e nel sud-est del Canada, la fantascienza è diventata realtà.

Oops

A causa di alcuni bug che hanno interessato alcune installazioni elettriche, 50 milioni di nord-americani sono rimasti senza elettricità, alcuni per molte ore, altri per giorni. Sono state avanzate varie teorie che spiegherebbero la grande catastrofe, tra cui alberi maltenuti, un fulmine, scoiattoli “dannosi” e… un effetto collaterale causato da un cyberattacco che avrebbe usato il worm per computer Slammer (Blaster).
Continua a leggere:Vi presentiamo KICS, la protezione per le industrie

Inserisci il tuo indirizzo email per iscriverti al Blog

Il quadro generale

La scorsa primavera (nel 2015) abbiamo scoperto Duqu 2.0, un’operazione di cyberspionaggio professionale e costosa, probabilmente finanziata dallo stato. L’abbiamo identificata quando stavamo testando la versione beta della piattaforma Kaspersky Anti Targeted Attack (KATA), la nostra soluzione che difende dagli attacchi mirati sofisticati come Duqu 2.0.

E ora, un anno dopo, posso finalmente annunciare che… Hurrà!! Abbiamo finalmente lanciato il prodotto e siamo pronti per la battaglia!

Kaspersky Anti-Targeted Attack Platform

Ma permettetemi di tornare un attimo indietro e di raccontarvi come siamo arrivati a questo punto, perché ci interessano le operazioni di cyberspionaggio finanziate dallo stato e perché abbiamo deciso di creare una specifica protezione per combatterlo.

(Per coloro che preferiscono andare direttamente al grano, cliccate qui)

“I buon vecchi tempi”, parole che si pronunciano molto spesso come ad indicare che una volta tutto era migliore. La musica era migliore, la società era più giusta, le strade erano più sicure, le birre avevano un sapore più buono e così via. In certi casi, forse, dovremmo ammettere che le cose erano davvero migliori. Per esempio, in passato, era più facile catturare i cybercriminali.

Naturalmente a quei tempi, io non la pensavo così. Lavoravamo 25 ore al giorno, 8 giorni alla settimana, dando caccia agli scrittori di virus e al loro fenomenale indice di riproduzione. Ogni mese (e qualche volta anche più spesso) c’erano delle epidemie di worm globali e vivevamo nella sensazione che tutto potesse peggiorare ulteriormente, ma ci sbagliavamo di grosso…

All’inizio di questo secolo i virus venivano scritti principalmente da studenti e cyber-hooligan. Non avevano né l’intenzione, né le capacità per creare qualcosa di serio, quindi le epidemie di cui erano responsabili venivano spazzate via in pochi giorni, spesso usando solo metodi proattivi. Spesso non avevano nemmeno la voglia di creare qualcosa di più nefasto; lo facevano per divertimento fino a quando non si sono stancati di Doom e Duke Nukem 🙂

A metà degli anni 2000 abbiamo visto come Internet ha iniziato a generare molti soldi: compaiono nuove tecnologie che si collegano a tutto, dalle centrali energetiche agli MP3. Anche i gruppi cyber-criminali professionisti si sono gettati nella mischia, visto i grandi introiti che Internet può offrire, e dietro di loro i servizi di cyber-intelligence, anch’essi molto interessati alle nuove possibilità che la tecnologia può mettere loro a disposizione. Questi gruppi avevano la voglia, i mezzi e il know how per creare malware davveeeeeero complessi e realizzare attacchi mooooolto sofisticati, e difficili da localizzare.

Più o meno verso questo stesso periodo… “l’antivirus muore”: i tradizionali metodi di protezione non potevano mantenere i comuni livelli di sicurezza. Poi è iniziata una sorta di lotta cibernetica (una versione moderna dell’eterno modello di potere basato sulla violenza). I cyberattacchi sono diventati più selettivi/individualizzati rispetto ai target che venivano scelti, più furtivi e molto più avanzati.

Nel frattempo l’AV basico si è evoluto (in quel momento ben lontano dal potersi considerare un antivirus vero e proprio) in un complesso, sistema multi-componente multi-protezione, dotato di ogni sorta di tecnologie protettive. Nello stesso tempo i sistemi di sicurezza aziendali avanzati hanno iniziato ad includere un arsenale di difesa sempre più formidabile per controllare i perimetri e individuare le intrusioni.

Comunque, quell’approccio, non importa quanto ragguardevole potesse apparire, aveva un piccolo ma critico lato negativo per le grandi aziende: non può far molto per individuare i principali attacchi mirati professionali, quelli che usano malware unici usati appositamente per l’ingegneria sociale e gli zero-day. Malware che non vengono percepiti dalle tecnologie di sicurezza.

Sto parlando di attacchi che vengono attentamente pianificati con molti mesi d’anticipo se non anni, realizzati con budget infiniti e, in alcuni casi, appoggiati dallo stato. Attacchi come questi possono a volte rimanere inosservati per molti anni; per esempio, l’operazione Equation è stata scoperta nel 2014 e affonda le sue radici nel lontano 1996!

Le banche, i governi, le infrastrutture critiche, le industrie, decine di migliaia di grandi imprese appartenenti a diversi campi e con diverse forme di titolarità (basicamente la base dell’ordine e dell’economia mondiale), tutte queste entità risultano essere altamente vulnerabili a questi attacchi professionali. E la richiesta di dati, soldi, proprietà intellettuale è alta e in continuo aumento.

Quindi cosa possiamo fare? Accettare queste minacce contemporanee come parte inevitabile della vita moderna? Arrendersi alla lotta contro gli attacchi mirati?

Assolutamente no.

Tutto quello che può essere attaccato (non importa quanto sofisticato sia) può essere protetto in grande misura se si investe tempo, sforzi e ricerca nella protezione. Non esisterà mai la protezione totale al 100%, ma esistono protezioni massimali, che rendono gli attacchi economicamente poco convenienti da portare avanti: barriere così forti da far arrendere gli aggressori perché devono impiegare troppe risorse per poterle abbattere, quindi desistono e decidono di attaccare vittime meno protette. Naturalmente ci sono eccezioni, specialmente quando ci troviamo di fronte ad attacchi con motivi politici disegnati per colpire specifiche vittime. Tali attacchi verranno tenacemente perseguiti fino alla fine, una fine vittoriosa per gli hacker. Non c’è ragione per smettere di opporre resistenza.

Ok, ora chiudiamo con la lezione sul contesto storico…

… e passiamo alla cura raccomandata dal dottore a questa malattia (gli attacchi avanzati mirati), ovvero la nostra nuova piattaforma Kaspersky Anti Targeted Attack (KATA).

 

Quindi esattamente che cos`è KATA, come funziona e quando costa?

Prima di tutto un po’ di anatomia degli attacchi mirati…

Un attacco mirato è sempre personalizzato: è fatto su misura per una specifica azienda o individuo.

I criminali responsabili di un attacco mirato iniziano la loro opera raccogliendo scrupolosamente informazioni sui loro target nei più piccoli dettagli. Il successo di un attacco dipende dalla completezza di questo dossier e quasi nella stessa misura dal budget dell’operazione. Tutti i soggetti scelti nell’operazione vengono studiati e analizzati: il loro stile di vita, le famiglie, gli hobby e così via. Anche la rete aziendale viene costruita attentamente. E sulla base di tutte le informazioni raccolte viene selezionato un attacco strategico.

Poi (i) la rete viene penetrata via acceso remoto (in modo silenzioso) con il massimo dei privilegi. Dopodiché, (ii) i nodi delle infrastrutture critiche vengono compromessi. E infine, (iii) “si sganciano le bombe”: si rubano o si distruggono i dati, si distruggono i processi o qualsiasi altra cosa in base all’obiettivo dell’attacco. Un’altra cosa importante è coprire le tracce di modo che non si venga a sapere chi è il responsabile.

Il perché, la durata delle varie fasi di preparazione ed esecuzione, gli attacchi vettoriali, le tecnologie di penetrazione e il malware stesso, tutto questo è personalizzato. Ma non importa quanto individuale sia un attacco, avrà sempre il suo tallone d’Achille. Un attacco lascia sempre delle piccole tracce, nonostante siano quasi invisibili (attività di rete, certi comportamenti dei file e altri oggetti, ecc), emergono delle anomalie e si osservano delle attività di rete anormali. Quindi osservando il panorama dall’alto quadro generale (il quadro generale si forma a partire da diverse risorse attorno alla rete) è possibile individuare un attacco informatico.

Per raccogliere tutti i dati sulle anomalie e sulla creazione di questo quadro generale, KATA usa dei sensori, degli speciali e-agents, che analizzano continuamente il traffico IP/web/email oltre a tutti gli eventi della workstation e dei server.

Per esempio, intercettiamo il traffico IP (HTTPs, FTP, DNS) usando TAP/SPAN; il sensore web è integrato nel server proxy via ICAP e il sensore mail viene incluso al server email via POP3 (S). Gli agenti sono davvero leggeri (stiamo parlando di circa 15 megabyte per Windows) e sono compatibili con altri software di sicurezza avendo un impatto minimo sia sulla rete che sulle risorse endpoint.

Tutti i dati raccolti (oggetti e metadata) vengono poi trasferiti al centro analisi (Analysis Center) per essere processati; si utilizzano vari metodi (sandbox, AV scanning e regole YARA, il controllo dei file e la reputazione delle URL, lo scanner delle vulnerabilità, ecc.) e l’archivio. Inoltre, è possibile collegare il sistema alla nostra cloud KSN o salvarle a livello interno (creando una copia interna di Kaspersky Private Security Network).

Una volta che il quadro completo è stato assemblato, è tempo di passare alla fase successiva! KATA rivela un’attività sospetta e informa gli amministratori e il SIEM (Sistema di Gestione delle Informazioni e degli eventi di Sicurezza, come Splunk, Qradar, ArcSight) circa tutto quello che trova. Quanto più il sistema lavora, maggiore sarà il numero dei dati accumulati sulla rete e la sua efficienza dato che i comportamenti atipici saranno facili da individuare.

Maggiori informazioni su KATA qui.

Ah giusto… quanto costa?

Beh, non c’è una solo risposta a questa domanda. Il prezzo del servizio dipende da una dozzina di fattori, tra cui la dimensione e la tipologia della rete aziendale, come la soluzione viene configurata e quanti servizi vengono usati. Una cosa è sicura: il costo non è nulla se comparato ai danni che la soluzione può prevenire.

 

CYBERNOTIZIE: CENTRALI NUCLEARI VULNERABILI E CONTROLLO CIBERNETICO

Con la presente, un rapido commento su alcune “notizie”, o piuttosto, aggiornamenti, su ciò che ripeto da anni! Odio dire “ve l’avevo detto” ma… VE L’AVEVO DETTO!

Prima cosa

(Foto a caso della) centrale nucleare di Cattenom in Francia dove, spero, sia tutto eccellente in materia di sicurezza informatica.(Foto a caso della) centrale nucleare di Cattenom in Francia dove, spero, sia tutto eccellente in materia di sicurezza informatica.

Continua a leggere:CYBERNOTIZIE: CENTRALI NUCLEARI VULNERABILI E CONTROLLO CIBERNETICO

La magia delle fonti anonime

Chi ha ucciso Kennedy?

Cosa c’è nel Triangolo delle Bermuda?

Qual è lo scopo della Massoneria?

Facile! La risposta a queste domande non potrebbe essere più semplice. Basta aggiungere alla fine “in base a fonti anonime“. Et voilà! Ecco la risposta a qualsiasi domanda, su qualsiasi cosa o persona. E le risposte sono così tutte credibili, non grazie all’affidabilità delle fonti ma per il prestigio che ha quel particolare giornale che ha diffuso la notizia.

Di recente Reuters ha dato “l’esclusiva mondiale” che ha lasciato di stucco il settore degli antivirus. Nell’articolo, pieno di false accuse sensazionalistiche, si legge che Kaspersky Lab (KL) avrebbe creato dei malware specifici e ben mirati, li ha distribuiti anonimamente alla concorrenza con lo scopo di creare loro seri problemi e metterli in difficolta nella loro fetta di mercato. Certo. Ma si sono dimenticati di aggiungere che queste congiure hanno avuto luogo durante le nostre abituali sessioni di sauna, dopo aver parcheggiato fuori gli orsi ovviamente.

La storia di Reuters si basa su informazioni fornite da ex dipendenti KL che sono rimasti anonimi. E le accuse sono completamente prive di senso, non c’è altro da dire.

Gli ex dipendenti arrabbiati di un’azienda spesso dicono peste e corna dei loro precedenti datori di lavoro ma in questo caso si tratta di accuse ridicole. Queste fonti probabilmente sono riuscite ad attirare l’attenzione dei giornalisti ma, dal mio punto di vista, pubblicare un'”esclusiva” di questo genere, SENZA UNO STRACCIO DI PROVA, non è fare del giornalismo di qualità. Sono curioso di sapere cosa diranno su di noi la prossima volta questi “ex dipendenti” e chi crederà alle loro illazioni.

La verità è che la storia di Reuters non è altro che un insieme di fatti con l’aggiunta di pura fantasia.

Nel 2012-2013, l’industria anti-malware ha vissuto un periodo buio a causa dei falsi positivi e, purtroppo, noi siamo state una delle aziende che ha più patito questo problema. Si è poi visto che si trattava di un attacco ben organizzato al nostro settore: qualcuno aveva diffuso un software legittimo pieno di codici dannosi che colpivano il cuore di molte compagnie, tra cui KL. Non si conoscono ancora i responsabili di questo attacco ma ora si scopre che sono stato io! Giuro per me è come un fulmine a ciel sereno, sono davvero sorpreso da queste accuse senza fondamento!

Ecco cosa è successo: nel novembre del 2012 i nostri prodotti hanno generato falsi positivi su diversi file che invece erano legittimi, come il client Steam, il game center Mail.ru e il client QQ. Un’indagine interna ha evidenziato che questi incidenti erano il risultato di un attacco coordinato da una terza parte non ben definita.

Durante vari mesi prima dell’incidente, attraverso canali interni di scambio d’informazioni come il sito Internet VirusTotal , il nostro laboratorio di ricerca anti-malware ha ricevuto ripetutamente diversi file legittimi ma leggermente modificati di Steam, Mail.ru e QQ. Chi ha creato questi file vi ha aggiunto dei frammenti di codici dannosi.

Successivamente siamo giunti alla conclusione che i cybercriminali conoscevano gli algoritmi utilizzati dalle diverse aziende antivirus e sono riusciti a iniettare il codice dannoso proprio dove i sistemi automatici li avrebbero cercati.

Questi nuovi file modificati sono stati quindi considerati come dannosi e immagazzinati nei nostri database. In totale abbiamo ricevuto alcune decine di file legittimi contenenti codici dannosi.

Sono iniziati a comparire i falsi positivi quando i legittimi proprietari dei file hanno rilasciato versioni aggiornate dei propri software. Il sistema ha confrontato i file con il database dei malware (che conteneva file simili), segnalando i file legittimi come dannosi. In seguito a ciò, abbiamo aggiornato i nostri algoritmi per evitare problemi di questo genere.

Nel frattempo gli attacchi sono proseguiti per tutto il 2013 e abbiamo continuato a ricevere file legittimi modificati. Ci siamo resi conto che non eravamo gli unici obiettivi, altri nostri competitor hanno ricevuto gli stessi file e li hanno identificati come falsi positivi.

Nel 2013 si è tenuto un incontro a porte chiuse tra le aziende leader nel campo della sicurezza informatica e altri aziende che hanno subito conseguenze per questi attacchi; hanno partecipato anche vendor non colpiti dal problema ma del quale erano a conoscenza. Durante questo incontro sono state condivise informazioni sull’accaduto per capire le ragioni dell’attacco e per lavorare a un piano d’azione. Purtroppo non è stata raggiunta una soluzione anche se sono emerse alcune teorie interessanti soprattutto in merito agli autori dell’attacco. In particolare, alcuni partecipanti al meeting erano dell’opinione che si trattasse di alcuni vendor di AV, oppure che l’attacco fosse un tentativo da parte di una mano sconosciuta quanto potente di modificare i propri malware in modo che non potessero essere individuati dai principali prodotti antivirus.

Accuse come queste non sono niente di nuovo per noi. È dalla fine degli anni ’90 che dovrei portare sempre con me alle conferenze stampa un cartello con su scritto “NO!”, mi farebbe risparmiare un sacco di tempo. E farei riferimento al cartello nel caso mi facessero la solita domanda “Siete voi a scrivere i virus, così i vostri prodotti possono ‘curare’ le infezioni?”. Sì, certo. E ancora oggi mi fanno la stessa identica domanda. Ma davvero pensano che un’azienda che lavora onestamente da oltre 18 anni debba ricorrere a certe cose?

Sembra che certe persone preferiscano condannare piuttosto che dichiarare innocente qualcuno fino a prova contraria. E sicuro ci saranno sempre persone così. C’est la vie. Spero davvero che la gente vada oltre queste accuse anonime, sciocche e prive di fondamento. L’unica cosa che posso dire è che continuerò a lavorare sodo nel mio settore per rendere il digitale un mondo più sicuro; il nostro impegno è quello di combattere le minacce informatiche, anche quando non sappiamo chi siano gli autori.

Illazioni contro @kaspersky affermano che l’azienda abbia messo i bastoni tra le ruote alla concorrenza con falsi positiviTweet

 

Risultati interessanti dai test indipendenti del 2014!

Noi di Kaspersky Lab ci sforziamo continuamente per migliorare nel campo della ricerca, nello sviluppo di nuovi prodotti, nel creare nuove e interessanti collaborazioni. Tuttavia, per migliorare e andare sempre nella giusta direzione, dobbiamo avere sempre presente il nostro obiettivo, la nostra missione. E già sapete qual è…

La nostra missione è salvare il mondo dalle minacce informatiche di ogni genere. E quanto lo facciamo bene? Dopotutto, non tutte le case produttrici di antivirus si sono prefissate questo obiettivo. Per questo vogliamo che i nostri utenti sappiano esattamente i grandi risultati che riusciamo ad ottenere rispetto agli altri…

Utilizziamo diversi tipi di metriche; una delle più importanti ci viene fornita dai test  indipendenti di esperti che mettono a dura prova  in laboratorio i  nostri prodotti e le nostre tecnologie. L’equazione è molto semplice: migliorisono i  risultati che si ottengono per un determinato settore, più le nostre tecnologie sono in grado di contrastare le minacce informatiche e quindi di salvare davvero il mondo. 🙂

La questione è: quali test devono essere presi in considerazione tra le centinaia eseguiti dai numeroisi centri indipendenti di tutto il mondo? Ovverosia, in che modo possono essere selezionati e raffinati i dati a disposizone per poter ricavare dei risultati importanti, facili da capire e contrastare? Inoltre, non ci sono soltanto centinaia di laboratori che effettuano i test, ma anche centinaia di produtori antivirus: come si fa a selezionare le compagnie antivirus di qualità da quelle meno efficienti e poi fare una comparazione solo tra le migliori? Altro problema (non è così complesso, lo prometto) sono i risultati dei test selettivi, che non forniscono un quadro completo della situazione, soprattutto nell’era del marketing e dell’advertising.

Per spiegare tutto ciò qualche anno fa abbiamo creato questa semplice formula per valutare le prestazione di un antivirus in maniera facile, accurata e onesta: la cosiddetta  Top 3 Rating Matrix!

In cosa consiste?

Innanzitutto, dobbiamo assicurarci di includere tutti i laboratori più importanti e rispettati che si sono occupati di ricerca anti-malware in un determinato periodo di tempo.

In secondo luogo, dobbiamo includere tutti i tipi di test dei laboratori prescelti da applicare a tutti i principali vendor.

In terzo luogo, dobbiamo tenere in considerazione: (1) il numero totale di test a cui prende parte la casa produttrice di antivirus, (2) la percentuale di primi posti ottenuti e (3) la percentuale di appartenza ai primi tre posti in una determinata categoria.

Seguiamo così i criteri di semplicità, trasparenza, analisi obiettiva, mettendo da parte il “test marketing” (purtroppo esiste). Potremmo aggiungere altri 25 mila parametri, solo per ottenere lo 0,0025% di obiettività, ma sarebbe elemento di soddisfazione solo per narcisisti della tecnologia e altri nerd, andando a scapito dell’utente normale e anche di qualche esperto.

Riassumendo: prendiamo in esame un intervallo di tempo specifico, considerando tutti i test di tutti i migliori laboratori (effettuati su tutti i principali vendor) e non ci lasciamo scappare nulla (come scarsi risultati in un test piuttosto che un altro). Ciò si applica anche ai prodotti Kaspersky Lab.

Ok, basta teoria. Trasportiamo questo metodo al mondo reale, in particolare all’anno 2014.

Prima, però, qualche precisazione tecnica:

  • Nel 2014 sono stati effettuati studi comparativi da parte di 8 importanti laboratori indipendenti (ho visto di persona che si tratta di laboratori con molti anni di esperienza e dai grandi requisiti tecnici e membri dell’AMTSO): AV-Comparatives,AV-TestAnti-malwareDennis Technology LabsMRG EFFITASNSS LabsPC Security Labs e Virus Bulletin. In questo documento e in questo video vengono spiegate chiaramente le metodologie adottate;
  • Sono stati prese in considerazione solo le case produttrici di antivirus che hanno partecipato almeno al 35% dei test. In caso contrario, si sarebbero potuti decretare “vincitori” alcuni prodotti in certe categorie, mentre in molti altri test i risultati non sarebbero stati altrettanto buoni (in questo modo, si eliminano le prove di marketing false).

Ebbene… analizzando i risultati dei test nel 2014….

Rullo di tamburi…

Espressione di attesa…

Battito accellerato…

Eccoci!

top3-2014-1024x472 Continua a leggere:Risultati interessanti dai test indipendenti del 2014!

L’evoluzione del malware per OS X

Esiste un malware specifico che attacca il sistema OS X , ovvero il sistema operativo dei computer Macintosh?

Eh sì, purtroppo sì. E per qualche strana ragione è da un po’ che non ne parlo… Molto male!

L’ultima volta che ne ho parlato è stato circa 2 anni e mezzo fa. Sì, è passato un sacco di tempo dall’apparizione del worm Flashback che colpì circa 700 milla Mac in tutto il mondo. L’industria della sicurezza IT ne ha parlato ampiamente (ed ha velocemente disabilitato la botnet Flashback), ma da allora, silenzio; nessuno ha più parlato dei malware che attaccano i sistemi Mac, come se non esistesse nessun “iMalware” capace di attaccare la “fortezza dell’impero Apple”.

Ma si sbagliavano di grosso…

Mac malware is not amyth, they do exist

Certo, se comparate il livello di diffusione o pericolosità dei malware che attaccano altri sistemi, la piattaforma più vulnerabile è senza dubbio Microsoft Windows e al secondo posto, Android (il suo figlio minore in un certo senso). Durante gli ultimi 3 anni i “cyber-cattivoni” hanno iniziato a bombarbare spietatamente il piccolo e innocente robottino verde, facendo aumentare esponenzialmente il livello di attività malware su questa piattaforma. Nel frattempo, nel regno iPhone e iPad (ad esclusione di paio di casi isolati di cyber-spionaggio) regnava una relativa pace, nonostante i criminali abbiano usato varie metodologie. Poco a poco, però, le forze del male si sono avvicinate ai Mac: le cose andavano bene rispetto alle altre piattaforma, ma presto o tardi anche i Mac sarebbero stati attaccati… Ed è proprio di questo che vi parlerò oggi.

Iniziamo dando i numeri:

  • Il numero dei nuovi malware per Mac individuati negli ultimi anni ha raggiunto le migliaia;
  • Nei primi 8 mesi del 2014, sono state individuate 25 diverse famiglie di malware per Mac;
  • La probabilità che un Mac venga infettato da un malware specifico per Apple è aumentata di circa il 3%.

Nel 2013, @KasperskyLab ha individuato circa 1.700 campioni di malware per OS X Tweet
Continua a leggere:L’evoluzione del malware per OS X

Al di là del bene e del male?

Qualche giorno fa, Microsoft ha annunciato la sua grande offensiva nei confronti di No-IP , il servizio di DNS dinamici; in seguito a questo raid, sono stati confiscati ben 22 domini. Il gigante di Redmond ha dichiarato di avere dei buoni motivi per aver preso questa decisione: secondo Microsoft, No-IP ospita i più svariati e fastidiosi malware esistenti, asseconda le azioni dei cybercriminali; inoltre, No-IP rappresenta l’epicentro di attacchi mirati e non è mai disposta a collaborare nella lotta alla piaga dei malware.

Come avviene nella maggior parte dei conflitti, nelle varie dichiarazioni ognuno ha scaricato la colpa sull’altro.

In particolare, No-IP ha affermato di agire sempre con le migliori intenzioni e di essere sempre disponibile a collaborare per sdradicare il problema dei cybercriminali; di contro, ha dichiarato anche che i propri clienti non sono affatto contenti di questo raid della Microsoft e No-IP considera questa azione come un attacco illegale al proprio business: dal momento che i malware si trovano praticamente ovunque, la soluzione non è certo interrompere dei servizi di cui gli utenti si avvalgono. Continua a leggere:Al di là del bene e del male?

Dai dieci anni dal primo malware per smartphone fino a oggi

Il 15 giugno 2004, precisamente alle 19:17 orario di Mosca, è accaduto qualcosa che ha segnato una nuova era per la sicurezza informatica. Abbiamo scoperto il primo malware per smartphone. Si trattava di Cabir, infettava i dispositivi Nokia con sistema operativo Symbian e si diffondeva attraverso le connessioni Bluetooth non sicure. Con questa scoperta, il mondo ha appreso dell’esistenza di malware non solo per computer (di cui tutti, tranne forse dei monaci su un eremo, ormai ne erano ben a conoscenza) ma anche per smartphone. All’inizio molti erano un po’ scettici (Dei virus che infettano il telefono? Ma per piacere!), ma alla fine la verità è venuta a galla e chi prima (nel giro di mesi), chi dopo (sono passati decenni) hanno dovuto accettare la dura realtà (anche se probabilmente c’è ancora gente in giro che non lo sa). In ogni caso, i nostri analisti con questa scoperta hanno fatto la storia!

Perché abbiamo battezzato il malware Cabir? Perché esisteva una speciale stanza protetta nel nostro quartier generale di Mosca? E perché Cabir è andato a finire in tasca di un dipendente di F-Secure? Abbiamo posto queste e altre domande ad Aleks Gostev, il nostro Chief Security Expert, durante un’intervista per la nostra Intranet, che oggi vogliamo condividere con voi.

La storia inizia subito con questi due dispositivi che utilizzavamo per analizzare il malware:

The legendary Symbian-powered Nokia phones we used to analyze Cabir

Continua a leggere:Dai dieci anni dal primo malware per smartphone fino a oggi