In genere si parla (almeno in ambito di sicurezza) quasi sempre delle tecniche di protezione e poche volte si fa cenno a quelle che sono le tecniche utilizzate dai malware e dai sistemi dannosi.
Nessuno si è mai domandato quali siano le risposte dei “produttori” di malware a quelli che sono i nuovi sistemi di protezione, che fanno di tutto per rimanere sempre aggiornati e sulla cresta dell’onda?
I Kaspersky LAB, colossi nell’ambito dell’IT security, hanno dimostrato, in una recente analisi, come, con l’uscita di ogni software antivirus/antimalware, i creatori dei suddetti malware siano “costretti” ad aggiornare e ad affinare le loro tecniche di “disturbo”.
Apparentemente niente di sconvolgente e niente di nuovo, non era certo necessaria un’analisi di Kaspersky per individuare una cosa del genere, penseranno alcuni di voi. Ovviamente se si vuole continuare a dare “fastidio” è necessario attrezzarsi contro quelli che sono i sistemi che impediscono il funzionamento dei propri “prodotti”. Il punto è che l’analisi non si ferma qui.
I meccanismi di difesa di un malware possono prevedere differenti operazioni: nascondere l’utilizzo di firme digitali, nascondere l’analisi del codice sorgente ai programmi antivirus, nascondere la notifica del rilevamento o anche ledere alcune funzioni dei software o malware, funzioni che sono in costante aggiornamento e modifica da parte di chi, questi software, li crea.
Alisa Shevchenko ci spiega il rapporto tra le tecniche di autodifesa e i progressi tecnologici compiuti dalle aziende che fanno della protezione il loro leit-motiv.
Fino a poco tempo fa le soluzioni antivirus si occupavano di rilevare esclusivamente il codice sorgente di ogni file, la prima risposta è stata quindi di modificare in continuazione questo codice: nascono “Polimorfismo” e “Metamorfismo”, tecniche che permettono ad un programma di cambiare in continuazione il codice sorgente, mantenendo inalterate le caratteristiche dannose.
Altra tipologia di “contro-difesa” consiste nell’utilizzo dei cosiddetti “packer”: programmi dedicati alla compressione e all’archiviazione dei file, compressione del file sorgente in modo che non sia rilevabile. Nascondere il file sorgente diviene dunque la prima mossa.
Altre tecniche prevedono l’occultamento della propria presenza all’interno del sistema: utilizzate per le primissime volte nel lontano 1990 (quando MS-DOS “spopolava”) queste si sono costantemente evolute e hanno preso il nome di “stealth technology” oggi note anche con il termine Rootkit.
D’altro canto la modifica costante del codice sorgente (al giorno d’oggi) si rivela non più efficace come un tempo: i sistemi antimalware si basano su un rilevamento di “comportamento”. Ovvero soluzioni che rilevano i cambiamenti in tempo reale di ogni file individuando quelli potenzialmente dannosi.
Si è deciso dunque di “puntare” sul compromettere le funzioni dei software antivirus, rifacendosi anche al principio che sostiene come la miglior difesa sia rappresentata da un attacco deciso.
L’analisi conclude con alcune considerazioni e previsioni di quelle che potrebbero essere le soluzioni future che adatteranno spammer e cracker per infastidire le utenze.
Sembrerebbe che il futuro sia rappresentato da due tecniche fondamentali: quella dei rootkit e quella dello sfruttamento degli exploit.
Sembrerebbe dunque un’eterna lotta “tra bene e male” nella quale a rimetterci sono sempre e comunque le utenze.