Da Panda arrivano obiezioni di merito sulla metodologia utilizzata per il test che analizza le suite di sicurezza.
Pesanti critiche arrivano da Panda in merito al test condotto dalla società danese Secunia (ved. questa notizia per maggiori informazioni) circa l’abilità delle varie suite per la sicurezza nel combattere i codici exploit.
Pedro Bustamante, Panda, commenta sul blog aziendale il risultato della prova: le sue riflessioni sono taglienti e criticano aspramente la metodologia utilizzata per la prova.
“Quando si effettua un test con gli exploit uno degli aspetti molto importanti da tenere presente è che le suite per la sicurezza non si affidano esclusivamente all’uso delle “tradizionali” firme virali“, ha osservato Bustamante che continua: “il test di Secunia ha preso in considerazione solamente la scansione manuale di 144 codici exploit inattivi.” Ed è proprio sul termine “inattivi” che Bustamante si sofferma: “sarebbe come dire di voler provare l’ABS di un’autovettura gettandola da un precipizio di 200 metri.” E chiarisce che se viene testato soltanto il comportamento di un’unica difesa di un prodotto software contro i codici exploit – difesa che per inciso non è espressamente concepita per contrastare gli exploit – è altamente probabile che i risultati ottenuti siano fuorvianti.
Sopratutto, spiega Bustamante, se il test non prende in considerazione le altre difese concepite invece per contrastare gli attacchi da codice exploit.
Secondo Bustamante, inoltre, Secunia avrebbe completamente tralasciato di testare le funzionalità di analisi comportamentale, euristica, policy di sicurezza, rilevamento delle vulnerabilità software che molti prodotti presi in esame invece integrano.
Bustamante allega alle sue riflessioni una lunga lista di exploit che Panda è risultato perfettamente in grado di rilevare mentre invece Secunia ne aveva riportato la mancata individuazione. Sarebbe stato opportuno eseguire gli exploit, osserva Bustamante, per saggiare il reale comportamento delle varie suite ricordando anche come la funzionalità di Panda “Kernel Rules Engine“, lanciata nel 2004 ed integrata in tutti i prodotti per la sicurezza commercializzati dall’azienda spagnola, offra una valida protezione nei confronti di exploit “zero-day”. Questa funzionalità di protezione definisce quali azioni ogni applicazione debba essere in grado di compiere e quali debbano essere invece preventivamente bloccate. “Quali applicazioni debbono poter eseguire il comando cmd? Non certo Adobe Acrobat, né Windows Media Player, né RealPlayer” aveva affermato qualche tempo fa lo stesso Bustamante.
Abbiamo chiesto anche il parere di Marco Giuliani, Prevx Malware Analyst, in merito al test condotto da Secunia.
“Se, concettualmente parlando, il test svolto da Secunia è particolarmente interessante e pone l’accento su quesiti importanti, le procedure di svolgimento della prova lasciano parecchi dubbi“, ha dichiarato Giuliani. “Ciò che Secunia ha tentato di dimostrare è che la maggior parte dei software di sicurezza non previene exploit individuandoli attraverso signature, ma questo è sbagliato. Individuare un exploit per mezzo di firme virali è in molti casi senza senso, oneroso in termini di utilizzo di risorse di sistema e impreciso.“
Giuliani spiega come, in realtà, l’individuazione di nuovi exploit riesca molto più facilmente attraverso un’analisi dinamica che permetta di isolare l’eventuale codice malevolo in maniera più chiara.
Com’è noto, gli exploit spesso sfruttano una vulnerabilità di un prodotto.
Ad esempio, un exploit per Microsoft Word potrebbe sfruttare una vulnerabilità nella gestione di alcuni parametri di un documento Word. “Ma individuare la vulnerabilità semplicemente attraverso firme virali potrebbe causare un numero di falsi positivi a causa di documenti corrotti o malformati senza volontà di essere nocivi“, sottolinea Giuliani. “Di fatto, basare la prevenzione e l’individuazione di exploit solo su firme virali può essere altamente rischioso, non che come già detto inutile“.
