Se per alcuni, il malicious code “tradizionale” rappresenta ancora il pericolo maggiore, gli studiosi e la comunità tecnica vedono negli spyware il pericolo più latente
Il mercato degli antivirus tradizionali è in affanno. Lo hanno dimostrato i tentativi sfumati di enfatizzazione di episodi quali Kamasutra et similia, favoriti da incidenti (anche di rilievo, ma comunque isolati) che si sono dimostrati di minore importanza rispetto alla situazione reale. Questo non significa che il trend della creazione di categorie di malware diffusi quail i worm sia in diminuzione, anzi. Esistono ancora numerosi esempi di questo genere ma le contromisure sono ormai diventate delle commodity, quindi meno influenti sulle architetture di sistema e di network.
Il Worm coding, invece, sta dando spazio a una categoria alternativa di malicious code, che magari ha una capacità di replicazione e di diffusione inferiore, ma un’incidenza e una pericolosità maggiori. Stiamo parlando di spyware, di una categoria ben definita di codice maligno, il cui obiettivo è quello di trasmettere informazioni all’esterno in maniera subdola, dinamica, ma, soprattutto, continuativa.
Il Focus di questo numero cercherà di far luce su questo fenomeno, e sulle contromisure che, in alcuni casi, possono rivelarsi sottodimensionate o, addirittura, invadeguate.
Le origini del fenomeno
Se consideriamo come il fenomeno spyware fu introdotto nell’informatica cinque anni fa, ricorderemo agevolmente che all’inizio era stato forse sottovalutato, catalogato come un “semplice” elemento di fastidio, la cui installazione, in paesi come gli Stati Uniti, per esempio, doveva addirittura essere notificata per legge. In quel periodo, infatti, si trattava “semplicemente” di una possibile invasione della privacy dell’utente, in quanto da un lato comunicava all’esterno esclusivamente i dati sulla navigazione e sulle configurazioni macchina e, dall’altro, portava sul desktop utente alcune informazioni commerciali (o pseudo tali), in alcuni casi anche potenzialmente utili. Ed era possible anche prevenire il problema.
In un mondo dove all’inizio era puro spyware, poi affiancato dallo spam, era possibile implementare un limitatore efficace con l’utilizzo di sempici filitri a livello e-mail client, mentre gli spyware potevano essere estirpati dall’utente, il quale, avvalendosi altresì di imposizioni di legge, poteva dire di no o, in alternativa, avvalersi di strumenti gratuiti. Se lo spam ha davvero le origini più disparate (dalle mailing list, ai Website personali contenenti l’indirizzo e-mail dell’azienda, ai generatori randomici di indirizzi e-mail che, dato un dominio, generano gli indirizzi stessi con degli algoritmi che in molti casi si rivelano più efficaci del previsto), lo spyware non è da meno.
Software peer-to-peer per scaricare musica, programmi di gestione immagini, applicazioni di vario genere. Di solito sono applicativi appetibili per l’utente che, di base, accetta di buon grado di essere “monitorato per ragioni di marketing”, pur di non pagare e per avere l’ultimo cd del suo artista preferito o l’ultimo film ancora nelle sale. All’inizio gli spyware comunicavano con l’esterno quasi in chiaro, senza usare canali “non ufficiali”. Ora le cose sono cambiate.
L’attualità del problema
Chiunque, lato utente, abbia avuto contatti con questo fenomeno negli ultimi due anni si è trovato perlomeno davanti a un continuo susseguirsi di pop up, una diminuzione drastica (e cronica) delle performance e, in molti casi, si è trovato quale soggetto passivo di attacchi di tipo phishing.
Adesso, chi ha la sfortuna di incappare negli spyware, deve combattere con la potenziale perdita di informazioni e, contestualmente, anche della digitazione in tempo reale.
Lo stato dell’arte attuale degli spyware si sovrappone a quello dei toolkit di prima generazione. Per comunicare, lo spyware utilizza sempre più spesso i cosiddetti covert channel, cioè un trasporto di comunicazione contenuto all’interno di protocolli consentiti dalle politiche di sicurezza. Questo rende ancor più complessa la detection a livello rete. E, a prescindere da ciò, uno spyware è difficile da riconoscere dopo la sua installazione, soprattutto in quanto effettua solo una “trasmissione” unilaterale di informazioni verso l’esterno; difficilmente la comunicazione è bidirezionale, anche se esistono alcune eccezioni.
Le conseguenze operative
Dal punto di vista delle conseguenze, è stato già detto, uno dei problemi più tangibili risiede nell’abbassamento delle performance, per esempio nella fase di boot dei personal computer e nell’accesso ai siti Web. In aziende molto distribuite, inoltre, la presenza di un numero alto di spyware può creare una problematica evidente di lentezza operativa, unita, ovviamente, a pericoli seri di perdita di informazioni, anche cruciali. Quest’ultimo fattore corre il rischio di essere ancora più di impatto rispetto a quanto si creda; spesso accade in ambienti complessi, infatti, di vedere la fuoriuscita di informazioni e di non essere in grado di comprenderne la fonte e/o la causa.
Il discorso spam related sembra scollegato, ma in realtà non è così. Sono molte le ricerche che vedono gli spyware prodromici all’acquisizione di indirizzi per un successivo spam. Inoltre, la combinazione tra i due fattori può essere determinante per attacchi più importanti, quail i malicious code e il phishing.
Ma da dove arrivano?
Una recente ricerca pubblicata dall’Acm (Association for Computing Machinery) rivela che una delle fonti principali di “infezione” risulta essere la navigazione Web. Microsoft, per esempio, dichiara che la metà dei crash oggetto di report è causata da spyware. Quest’ultimo è un segnale che va tenuto in considerazione, per un ragionamento che faremo tra poco. Andando più nel dettaglio, si scoprono fatti ancor più interessanti. Molte infezioni, per esempio, avvengono navigando su siti che l’utente ritiene essere “trusted”. E questo è testimonianza del fatto che i Webmaster cercano sempre strade nuove per sfruttare le vulnerabilità dei browser in maniera strutturata e al contempo “elegante”, cioè senza dare troppo nell’occhio. Inutile ricordare che questa prassi è, diplomaticamente parlando, “border line”. In realtà, lo scaricamento degli spyware da parte di alcuni siti e di alcuni software più o meno autorizzati avviene in maniera molto simile a un attacco. Viene trovata una vulnerabilità e posta in essere l'”installazione”. Questo è un discorso che, recentemente, è diventato ancor più ampio e pericoloso.
Come difendersi dallo spyware
Abbiamo parlato di un’azione spesso combinata tra spyware e altri agenti invasivi quali gli spammer. È, quindi, evidente che la difesa debba essere allo stesso modo. Per questo è conveniente agire in maniera bilanciata sia dal punto di vista tecnologico sia organizzativo. Per quanto concerne il primo fattore, il numero dei vendor in grado di fornire delle soluzioni combinate aumenta.
Il vero valore aggiunto richiesto dal cliente è dato dalla semplicità d’uso, combinata con un numero infinitesimale di falsi positivi/falsi allarmi/falsi negativi. Per lo spam, infatti, l’inclusione di un mittente nella black list dell’utente può risultare davvero micidiale dal punto di vista business, mentre il non riconoscimento di spyware (magari miscelati con malicious code) può generare danni ben più gravi. È lampante, comunque, che l’utilizzo di tecnologie appropriate debba essere affiancato da comportamenti dell’utenza ben regolati, senza i quail ogni tecnologia risulta essere vana.
Un esempio importante di antispam a livello “sistemico” è stata annunciata da Microsoft alcuni mesi fa. Dopo essere partiti (in pompa magna, ma con non poche perplessità) con il Service Pack 2 per Windows Xp, gli uomini di sicurezza di Microsoft avevano iniziato un’opera di evangelizzazione sugli spyware. In questa strategia Microsoft aveva deciso di rilasciare una tecnologia di spyware monitoring, dandola in test ad alcuni utenti finali. L’esito sembra essere stato soddisfacente.
La caratteristica maggiormente enfatizzata da Microsoft in questo caso è stata la semplicità di utilizzo. Si tratterebbe, infatti, di uno strumento, anche abbastanza granulare e selettivo, in grado di fornire una certa efficacia alla protezione. Tuttavia, a dire di chi ha avuto l’opportunità di testarlo, sembra maggiormente orientato all’utenza domestica piuttosto che a quella enterprise. La clientela di fascia alta, infatti, ha l’esigenza duplice di gestione e controllo delle piattaforme software installate nell’infrastruttura di sistema. Allo stato attuale, quindi, i test effettuati hanno manifestato una carenza di strumenti di amministrazione, specie per quanto concerne il reporting e l’inventario dei moduli installati.
La tecnologia utlizzata da Microsoft era frutto di una recente acquisizione di un’azienda denominata Giant Company Software. Lo strumento era disponibile per Windows 2000 e versioni successive.
Tuttavia rumor abbastanza accreditati argomentarono che si trattava di uno dei primi step di Microsoft verso l’approccio al mondo degli strumenti di rimozione del malware, virus inclusi. Mentre il mercato reagiva, nel frattempo, il gigante di Redmond faceva presente che l’utilizzo di questo strumento consente, agli utenti finali, di far parte della comunità denominata SpyNet. Si tratta di un network mondiale di volontari, il cui obiettivo è quello di monitorare il fenomeno spyware e di catalogare tutti i moduli, alla stregua di quello che fa da anni la comunità antivirus.
Altri commenti sul tool vengono dalla comunità tecnica, con particolare riferimento a strumenti contenuti, per esempio, nei browser (vedasi Barra di Google e altre technicality simili), che potrebbero essere identificati come dannosi quando, invece, non lo sono.
Per questo motivo, segnaliamo anche un’altra preoccupazione sollevata dal Sans Institute, il quale ritiene necessaria la possibilità di poter agire e decidere via console il tipo di programmi consentito, al fine di ridurre al minimo i falsi positivi. Questo non solo sullo strumento Microsoft appena citato, ma anche su altre soluzioni di questo tipo.
Infine, alcuni test hanno denotato che, al momento in cui scriviamo, il tool Antispyware di Microsoft non riconosce alcuni oggetti del browser (HPO) con potenziale aumento dei falsi negativi. Per questo motivo, evidentemente, il progetto di Microsoft non ha poi avuto il riscontro desiderato.
Mentre alcuni vendor (e non solo) sono impegnati in inziative di coalizione per la gestione di misure alternative e complementari (come per esempio le black list di provenienza e destinazione del traffico spyware), altri ritengono che un approccio corretto alla limitazione degli spyware sia quello di operare a livello gateway. Molti vendor quindi, si basano su Key Requirement quali la real time scanning performance, la scansione del traffico inbound e outbound finalizzata al riconoscimento di software in transito, a prescindere dalla sua destinazione finale. Questo dovrebbe consentire una copertura più ampia. Si tratta di un modello già proprio degli Antivirus Gateway, molti dei quali si propongono di raggiungere una copertura globale del traffico Internet relativo all’azienda. Insieme con questo metodo, si consiglia altresì di utilizzare una tecnologia di Enterprise Spy Audit, al fine di esaminare i personal computer presenti sul network, in ordine a uno spettro di spyware più ampio possibile. La maggior parte di questi strumenti sono in grado semplicemente di riconoscere la presenza di questo tipo di malicious code e di predisporre una controffensiva (per esempio una rimozione) in un secondo momento.
Gli investimenti delle venture capital
Come si vede, si tratta di un problema decisamente serio, che soprattutto all’inizio è stato sottovalutato. Mentre i soliti futuristi ritengono che lo spyware potrà consentire l’intercettazione del Voice over IP, la tecnologia di difesa mostra grosse potenzialità, ma anche problemi apparentemente celati dietro una semplicità d’uso sicuramente evidente. Del resto questo settore della malware detection seguirà, per forza di cose, lo stesso percorso della protezione antivirale, nel bene e nel male.
Fatto sta che le venture capital stanno investendo tantissimo nelle start up della spyware detection and removal; questo può far riflettere sia sull’importanza del problema sia su quanto appetitosa sia questa fetta di mercato.
