- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
Problemi legati alla valutazione della pericolosità
Introduzione
La maggior parte dei tipi di software presenti in un computer vengono definiti in una delle seguenti categorie:
- software legittimo ricercato dall'utente e installato dall'utente stesso o da altri a suo nome;
- software maligno che viene installato senza il consenso dell'utente, denominato comunemente malware.
I produttori di software di sicurezza hanno quindi il semplice compito seguente:
rilevare e rimuovere quanti più tipi di software maligni possibile, senza definire erroneamente malware i tipi di software che in realtà non sono maligni.
Purtroppo non è così semplice come sembra.
Falsi positivi
Il termine "falso positivo" viene utilizzato per indicare le istanze in cui un software antimalware definisce per errore maligno un programma o un componente di un programma in realtà legittimo. Purtroppo questo problema si verifica continuamente in tutti i tipi di software di sicurezza. I falsi positivi sono stati trattati approfonditamente in un articolo sulla sicurezza all'inizio di quest'anno e non verranno affrontati ulteriormente in questa sede.
Pericoloso o non pericoloso, questo è il dilemma
L'argomento trattato in questi articoli introduce una terza categoria in aggiunta alle due sopra menzionate:
- un software che alcuni considerano maligno, ma presentato dal produttore del programma come legittimo.greyware.
Si può affermare che questo tipo di software si trova in una zona grigia che viene spesso identificata con il termine greyware
Molti tipi di software collocati nel greyware sono o vengono presentati come software di sicurezza. Può trattarsi di un software che in realtà rileva alcuni malware o almeno viene presentato come tale. In entrambi i casi tale tipo di software di solito avverte in modo aggressivo l'utente che è necessario acquistare il programma per essere sufficientemente protetto.
Un'ulteriore caratteristica del software appartenente a questa categoria è la difficoltà necessaria per eliminarlo.
Un esempio di greyware interessante è il rootkit Sony diventato famoso alcuni anni fa. Questo software è stato creato con un intento legittimo, ossia come strumento di protezione dalla copia dotato di una tecnologia nascosta, ma successivamente è stato utilizzato da malware come strumento di cloaking.
Un produttore di software rientrante nella categoria n. 3 tenta spesso di esercitare pressione su un'azienda per la sicurezza, se l'azienda rileva il programma come maligno. Possono essere avviate anche delle cause legali. Pertanto può essere allettante per i produttori di programmi soddisfare i desideri dei produttori greyware e rimuovere un programma specifico dall'elenco delle firme malware.
D'altro canto, l'obiettivo aziendale del software di sicurezza è la protezione dei clienti, i quali non possono certo essere soddisfati di una tale decisione.
Linee guida
Alcune linee guida e alcuni principi sono quindi utili alle aziende che si occupano di sicurezza per definire di volta in volta un software legittimo o maligno.
- il programma si installa senza il consenso dell'utente;
- il programma mostra solo una minima parte delle operazioni che in realtà effettua e la "parte nascosta" viene considerata indesiderata dalla maggior parte degli utenti;
- il programma si aggiorna con nuovi componenti senza il consenso dell'utente;
- il programma rende difficile la propria eliminazione, poiché non è disponibile alcun programma di rimozione e non è possibile rimuovere il programma dallo strumento di rimozione standard del sistema operativo;
- il programma richiede all'utente di effettuare acquisti in un modo estremamente aggressivo.