Questo Martedì sono stato a Milano per il primo giorno del Security Summit, la più importante manifestazione italiana sull’IT security.

È sempre un piacere incontrare altre persone che lavorano nel campo della sicurezza informatica, ed è altrettanto interessante assistere alle loro presentazioni. Pur avendo apprezzato molto l’organizzazione e gli argomenti affrontati, sono rimasto molto perplesso da come il tema dei malware e anti-malware sia stato affrontato.

Una delle presentazioni del pomeriggio era specificatamente dedicata all’evoluzione dei malware e le nuove minacce. Durante i primi minuti tuttavia si è parlato dell’inutilità dei software antivirus, spiegando che sono non solo inutili e scritti male a livello di programmazione, ma che inoltre riescono ad individuare a malapena il 10% dei malware.

Sono rimasto shockato da come un tema importante quale è quello dei software anti-malware sia stato affrontato. Il punto di vista comune è che le soluzioni anti-virus sono inutili ed esistono esclusivamente per permettere ai propri sviluppatori di arricchirsi.

Non condivido assolutamente questo concetto, che anzi dimostra una scarsa conoscenza dei malware attuali e delle nuove tecnologie antivirus.

Il concetto è: gli antivirus sono inutili, le persone devono essere educate prima di tutto; poi, per tenere i malware lontani dal proprio PC, basta utilizzare policy di sicurezza adeguate.

C’è un approccio sbagliato al concetto però. L’utente medio non vuole spendere il proprio tempo guardando ogni configurazione di sicurezza del sistema e come configurarla. L’utente medio vuole solo poter utilizzare il proprio PC tranquillamente per il proprio lavoro o svago.

Sicuramente potrebbe installare un software behaviour blocker, o un HIPS puro che gli permetterebbe di controllare totalmente il proprio PC (do per scontato che il software non dovrebbe avere nessuna vulnerabilità – il che non è una condizione proprio semplice). Chi gli insegnerà a rispondere correttamente a tutti gli allarmi dei software HIPS? È impensabile.

Anche se ovviamente condivido l’idea di dover educare gli utenti riguardo la sicurezza dei PC, è altresì verso che un antivirus riesce a vedere in maniera più approfondita rispetto agli occhi di un utente.

Il malware non è piu sviluppato con l’idea di fare quanti piu danni possibili al sistema operativo. La parola chiave è “denaro”.

C’è chi potrebbe pensare che è sufficiente lavorare con un account limitato per essere al sicuro dai malware. Approccio totalmente sbagliato.

È vero: lavorare con privilegi limitati aiuta considerevolmente gli utenti a proteggere l’integrità del proprio sistema operativo. Ma non è sufficiente per proteggersi dai malware.

Un malware eseguito con privilegi limitati può ancora rubare le informazioni che vuole. Se l’utente esegue una sessione del browser, il malware può ancora iniettare il proprio codice all’interno del browser, può ancora alterare le API necessarie per intercettare il traffico. Se un malware è eseguito con privilegi limitati, può ancora intercettare i tasti premuti e registrare cosa l’utente stia scrivendo.

Se un malware gira con privilegi limitati può ancora infettare i device USB quando vengono collegati al sistema. Può ancora eseguirsi all’avvio del sistema.

Sarebbe più semplice da rimuovere? Si, vero. L’infezione rimarrebbe confinata all’account dell’utente e la rimozione sarebbe perlopiù banale. La domanda quindi diventa: se non c’è un antivirus installato nel sistema, chi si accorge se c’è un malware che sta facendo tutto questo?

Si potrebbe farlo manualmente. Ma se l’infezione comprende un rootkit user mode? Sì, possono girare anche in un account limitato.

È necessario eseguire manualmente un file per rimanere infetti? La maggior parte dei browser in circolazione (Firefox e Chrome inclusi, Internet Explorer 8 su Windows Vista/7 escluso) eseguono i plugin utilizzando gli stessi privilegi del browser stesso. Questo significa che, se un exploit per Flash (è solo un esempio) viene inserito in una pagina web apparentemente sicura, un malware può venire tranquillamente eseguito nel PC. È una situazione impensabile? Non ne sarei così sicuro.

E ancora: cosa succederebbe se un software developer venisse infettato perché è convinto che il proprio PC sia al sicuro anche senza un antivirus? E che succede se il malware infettasse il compilatore? Il risultato potrebbe essere quello che è successo a centinaia di persone che sono rimaste infette dal virus Win32.Induc qualche mese fa. Vero, un virus che non faceva danni. Per questa volta. Il software è sicuro ed affidabile, scaricato da un sito web affidabile, magari si dà anche l’ok per un eventuale avviso UAC, il malware è pronto per attaccare il sistema.

Con un antivirus un utente avrebbe potuto essere avvisato di una minaccia. Senza, sicuramente non lo è.

Gli stessi pensieri valgono per i virus file infector, come Virut, Tenga, Parite. Potrebbero essere individuati da un antivirus, sicuramente passano inosservati agli occhi degli utenti. Non penso che l’utente medio disassembli ogni eseguibile che esegue prima di eseguirlo.

Gli antivirus non sono studiati per essere la soluzione definitiva al problema malware. In Prevx siamo i primi a dire che un approccio standard basato su signature non è piu sufficiente ad arginare il problema malware. Ma ci sono anche altre tecnologie che lavorano insieme alla tecnologia piu classica basata su signature: tecnologie euristiche locali, behavior-based blockers, tecnologie in-the-cloud. Tutte nuove tecnologie che aiutano ad individuare nuovi malware o varianti di malware già noti. E riescono ad individuare ben piu del 10% dei malware.

Un antivirus non è la soluzione. Un antivirus è una parte importante in una strategia di sicurezza a piu livelli che ogni utente dovrebbe avere per proteggere la propria identità digitale.