- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
Problemi di sicurezza? - no!
Introduzione
Le organizzazioni per la sicurezza sono sempre in prima linea nella lotta agli autori di malware, nel tentativo di proteggere gli utenti finali da possibili infezioni causate da software dannoso. Dopo aver più volte discusso questo argomento, è ormai chiaro che il numero di software dannosi è aumentato in modo esponenziale e le nuove tecniche di diffusione del malware sono in continua evoluzione. È chiaro quindi che tutto ciò rende sempre più gravoso il compito delle organizzazioni per la sicurezza.
Come vedremo nell'articolo sulla sicurezza di questa settimana, purtroppo è possibile che occasionalmente si verifichino alcuni inconvenienti.
Tutti i siti Web sono dannosi. Vero o falso?
Google è uno dei siti Web più visitati in Internet. Una delle funzionalità di questo notissimo motore di ricerca consente di ricevere un avviso ogni volta che si ottiene un risultato di ricerca che possa includere siti Web con contenuti potenzialmente dannosi. Si tratta, naturalmente, di un'utile funzionalità, che evita ai navigatori di visitare inavvertitamente siti Web dannosi.
Tuttavia, il 31 gennaio di quest'anno un errore di programmazione di secondaria importanza nel sistema di Google ha avuto come conseguenza che tutti i siti Web visualizzati tra i risultati di ricerca venissero contrassegnati con la dicitura "Questo sito potrebbe danneggiare il tuo computer". Questa situazione è stata risolta in meno di un'ora e probabilmente non ha avuto conseguenze serie. Tuttavia, è plausibile che abbia causato alcuni inconvenienti, quali ad esempio:
- Alcuni navigatori che hanno ricevuto il messaggio in merito a un determinato sito Web potrebbero aver avuto la convinzione che tale sito Web fosse effettivamente dannoso. Non è possibile avere la certezza che, in seguito, tutti i navigatori siano venuti a conoscenza del fatto che il messaggio era stato visualizzato a causa di un errore.
- Alcuni navigatori potrebbero aver avuto timore di visitare un sito che conteneva informazioni di cui avevano necessità in quel determinato momento.
- Alcuni navigatori utilizzano Google come accesso per tutte le loro attività sul Web e non sono a conoscenza di come utilizzare segnalibri/preferiti o come inserire un URL direttamente nel browser. Pertanto, potrebbero essere stati esclusi completamente dalla navigazione sul Web durante il periodo di tempo in cui si è verificato l'errore.
Quello verificatosi può essere classificato come un caso speciale del cosiddetto "incidente falso positivo"; termine noto in altri ambienti relativi al settore della sicurezza informatica.
Antivirus e falsi positivi
Nel settore degli antivirus, il termine falso positivo viene utilizzato per situazioni in cui il programma antivirus segnala che un particolare file o programma è dannoso anche se in realtà non lo è.
Tutte le principali società che si occupano dello sviluppo di antivirus possono riesaminare determinate situazioni passate e analizzare gli incidenti verificatisi ogni volta che i loro prodotti hanno segnalato falsi positivi in merito a un programma. Nella maggior parte dei casi le conseguenze non saranno serie, poiché i file segnalati erroneamente come dannosi non sono file di sistema critici. In questi casi, il fornitore del prodotto antivirus farà del proprio meglio per risolvere il problema rapidamente con un nuovo aggiornamento delle firme di malware corrette.
Purtroppo, a volte, il prodotto antivirus può segnalare un falso positivo anche in merito a un file di sistema critico o ad altri file fondamentali. Questo può portare a situazioni molto gravi per i clienti interessati: i computer potrebbero non avviarsi dopo il riavvio, attività di fondamentale importanza potrebbero non essere completate e così via. Spesso, tornare alla situazione corretta per i clienti interessati potrebbe richiedere molto tempo, anche dopo il rilascio dell'aggiornamento corretto.
Situazioni simili si possono verificare con altri programmi di protezione, come i sistemi di rilevamento/prevenzione delle intrusioni. Il problema in questi casi può essere dato dal fatto che alcune delle azioni eseguite da un programma (ad esempio, in modo lecito, ma inusuale) potrebbero essere ritenute dannose dal sistema per la sicurezza e, pertanto, interrotte.
Tali situazioni sono ovviamente annoverate tra gli incidenti peggiori per un fornitore, in quanto causa di gravi problemi per i propri clienti. I clienti sono irritati (a ragione) e l'ampia risonanza della questione sui media potrebbe risultare dannosa per il fornitore.
La soluzione definitiva
Purtroppo, con la tecnologia corrente, questo tipo di soluzione non esiste. La combinazione di un volume di malware sempre più elevato e l'esigenza di release delle firme di malware sempre più frequenti rappresenta una minaccia per il processo di controllo della qualità e rende quasi impossibile proteggersi completamente da falsi avvisi su prodotti software legittimi. Il fatto che il numero delle firme di virus di Norman negli attuali file di rilevamento dei virus sia di oltre 2,6 milioni dà un'idea della dimensione di cui stiamo parlando.
Il potenziale per i falsi positivi aumenta con il numero delle firme e con la tecnologia utilizzata per il rilevamento di malware in base, ad esempio, a un comportamento sospetto.
Ciò che le società che si occupano della sicurezza devono fare – e fanno – è continuare a creare sistemi sempre migliori per collaudare i propri file di rilevamento allo scopo di evitare il rilevamento di falsi positivi in merito a file critici (in particolare). Questo significa che le aziende che si occupano di sicurezza devono disporre di database enormi, ad esempio, per file di sistemi operativi in tutte le lingue, per tutti i service pack, per tutte le patch di sicurezza. E questi database devono essere aggiornati istantaneamente, nel momento in cui un fornitore di software rilascia una nuova versione di questi componenti. Un collaudo sufficiente dei sistemi è un'attività che richiede molte risorse. Richiede inoltre molto tempo, cosa che potrebbe risultare assolutamente uno svantaggio, quando è necessario rilasciare nuovi file per una nuova minaccia.
Come spesso accade, esiste un conflitto tra l'esigenza di release di firme rapide e precise e la tecnologia per il rilevamento di malware e la necessità di collaudi per evitare conseguenze indesiderate per i clienti nel caso in cui si verifichino errori.
Questa è solamente una parte della lotta contro il malware!