Parliamo di Malware con Avira [Intervista]

Grazie alla collaborazione della agenzia Sound PR, abbiamo avuto l’opportunità di proseguire il nostro breve “viaggio” nel mondo della Cyber Security (iniziato alcuni giorni fà con Darktrace) rivolgendo alcune domande ad Alexander Vukcevic, direttore dei Virus Labs Avira, la nota azienda fornitrice di protezione IT per PC, smartphone, server e reti. Nostro intento era avere qualche informazione in più sulle attività svolte da un Virus Lab e soddisfare alcune curiosità, relative all’ormai vasto mondo dei Malware.

Alexander Vukcevic, direttore dei Virus Labs Avira

Ecco il resoconto della nostra breve chiaccherata:

TD: Dalle informazioni che abbiamo ricevuto risulta che le principali attività dei Virus Labs siano concentrate nell’analisi dei nuovi campioni di softwares “malevoli”, nella definizione di nuovi schemi di comportamento, nella riparazione di routines e nella creazione delle descrizioni di Virus per il sito internet della Compagnia. Quante persone sono coinvolte in queste attività?

AV: Il ruolo tipico di un Virus Lab (l’analisi puntuale dei campioni di software potenzialmente pericoloso o la creazione di nuovi schemi) è completamente cambiato nel corso degli anni. La maggior parte dei nostri ricercatori lavora per sviluppare nuove tecnologie di rilevamento e classificazione, per poter intercettare le più recenti minacce. La valutazione di singoli campioni di Malware non è più possibile, poichè stiamo ricevendo giornalmente centinaia di migliaia di nuovi campioni. Pertanto i teams stanno sviluppando nuovi servizi e regole di classificazione, per poter sopperire a questa situazione. Tale compito è portato avanti da più di 90 persone.

TD: Come entrate in possesso dei nuovi campioni?  E cosa succede dopo averli ricevuti?

AV: Riceviamo più di 300.000 nuovi campioni “malevoli” da esaminare ogni giorno, da differenti sorgenti. Alcuni di questi campioni non sono mai stati catalogati nel nostro database, ma la maggior parte è già coperta da uno dei nostri sistemi di rilevazione. Se un file può essere automaticamente identificato come pericoloso, questo segnale sarà disponibile, in tempo reale, sul nostro Avira Protection Cloud, ed un aggiornamento degli schemi di identificazione sarà inviato a tutti i nostri prodotti, nel giro di minuti.

TD: Ci sono dei Paesi specifici dai quali provengono le minacce informatiche?

AVNon si può stabilire, in maniera precisa, da quali Paesi questi attacchi sono portati, in particolare perchè i criminali utilizzano tecniche di “travestimento” come i DGA (= Domain Generated Algorithms) per mettere in “cascata” la zona di origine. In effetti, questi individui potrebbero essere seduti anche accanto a noi.

TD: Il termine Malware indica, in realtà, una gruppo di programmi pericolosi: Viruses, Trojan horses, Worms, Spywares e Ransomwares, principalmente. Può fornirci una definizione per ciascuno di essi ed eventualmente integrare questa breve lista, se lo ritiene opportuno?

AV: Ecco cosa posso dire a riguardo:

Virus –  Software malevolo in grado di riprodursi da solo, che crea problemi all’interno dei dispositivi e si diffonde prima da un file ad un altro e poi da un dispositivo ad un altro. Tale diffusione avviene frequentemente attraverso gli allegati delle emails, incauti downloads ed USB drives.

Trojan – Programma malevolo che finge di essere un software di routine o addirittura utile, ma nella realtà è portatore di funzionalità nascoste. Ad esempio alcuni Trojan scaricano applicazioni pericolose per la sicurezza, danneggiando l’utente.

Worm – Software malevolo simile al Virus. Crea problemi all’interno dei dispositivi ed è in grado di auto-replicarsi.

Spyware – Software che, segretamente, monitora e raccoglie informazioni. Gli Spywares possono essere utilizzati legalmente. Alcune Compagnie li installano nei computer dei loro dipendenti, per controllare alcune attività (anche se in questo caso il contratto lo deve specificare). Possono essere anche inclusi in alcuni programmi destinati al Parental Control, con lo scopo di salvaguardare i più giovani.

Ransomware – Ci sono due tipi di Ransomware: i Crypto-ransomwares che criptano i files rendendoli illeggibili, e gli Screen-locking ransomwares che bloccano la home screen. In entrambe i casi, gli autori di questi softwares chiedono un riscatto alle proprie vittime, per “liberare” dati e/o postazioni.

Exploits – Si avvantaggiano delle vulnerabilità per accedere od infettare dispositivi, di tutte le piattaforme. Lo Zero-day exploits spesso si riferisce a vulnerabilità identificate prima che lo sviluppatore del software ne venga a conoscenza.

Adware – Un “advertising software”  che mostra banners pubblicitari o pop-ups, senza aver ricevuto autorizzazione

TD: Cosa si cela dietro la definizione di Potential Unwanted Application?

AV: E’ una applicazione, inconsapevolmente scaricata assieme ad altre apps “legittimate”, che riempie di pubblicità, sequestra il browser e rallenta il PC, raccogliendo spesso anche i dati dell’utente. 

TD: Ci sono Sistemi Operativi, versioni mobili incluse, che possono essere considerati a minor rischio? 

AVI criminali si concentrano, di solito, su una vasta gamma di piattaforme, per ottenere il miglior guadagno possibile per il loro business. Non ci sono in realtà piattaforme da poter considerare a minor rischio, ad ogni modo quelle così dette “chiuse” permettono un maggiore livello di sicurezza.

TD: Tra tutti i Malware, pensa ci sia una differenza nella diffusione tra gli utenti? C’è un trend particolare, se confrontiamo il periodo attuale con gli anni passati?

AV: Sì ed i Ransomwares sono un esempio perfetto. Anche se sono circolati svariati campioni per anni, l’incremento attuale è legato ai Crypto-ransomwares. A quanto pare le vittime stanno pagando i riscatti ed i criminali sono spinti a lavorare su questi programmi ed a diffonderne più varianti. E’ diventata una sorta di business (Darknet), in quanto questa attività illecita viene venduta alla stregua di un servizio.

TD: Ci sono nuovi tipi di minacce che avere rilevato recentemente?

AV: Il progresso tecnologico, in particolare nei campi dell’IT e delle telecomunicazioni, comporta un rapido incremento del volume di dati scambiati e questo nasconde sia potenzialità, che rischi. Ultimamente, abbiamo assistito all’azione del Mirai botnet che ha determinato un attacco IoT DDos (ndr: Distributed Denial of Service) su scala mondiale. In sintesi, i criminali sono a conoscenza dell’innovazione e questo li porta a pensare a nuove “opportunità”.

TD: Quali sono i comportamenti meno appropriati che i dipendenti assumono nelle proprie aziende, favorendo la diffusione dei Malware?

AV: Ultimamente, il “cattivo comportamento” che stiamo osservando con frequenza maggiore è quello relativo alla apertura di allegati che appaiono strani, inviati via mail da mittenti conosciuti e non. Aggiungerei l’utilizzo di computers che montano Sistemi Operativi obsoleti (come anche il mancato aggiornamento delle applicazioni installate sul proprio dispositivo), che possono esporre ad attacchi tramite Exploits e l’installazione di software da fonti non sicure.

TD: Parlando di programmi antivirus, perché è importante aggiornare periodicamente le definizioni?

AV: Come già detto in precedenza, il numero di Malware che rileviamo giornalmente è enorme. Senza aggiornare il client, l’utente bypassa le più recenti tecnologie di rilevamento, rischiando il tal modo di essere infettato molto facilmente.

TD: Oggigiorno, c’è un grande interesse verso l’Internet of Things. Pensa che ci stiamo preparando adeguatamente, da un punto di vista della sicurezza, ad entrare in questo campo?

AV: Ora come ora non osserviamo un reale interesse nella collaborazione tra le industrie, per la definizione di un comune standard relativo alla sicurezza dei dispositivi IoT. I softwares malevoli possono avere facilmente accesso, grazie alla vulnerabilità offerta dal nome utente e dalla password di default, quando presenti in questi dispositivi. Già solamente considerando questo aspetto, si può comprendere come la strada che conduce ad una efficace protezione, sia ancora lunga da percorrere.

Ringraziamo nuovamente Alexander Vukcevic, per la disponibilità offerta e vi rimandiamo al link ufficiale alla homepage della Compagnia, per ogni approfondimento ulteriore legato ai prodotti ed alle iniziative di Avira.

 

Fabrizio Paoletti

42enne affetto dalla....sindrome di Peter Pan, appassionato di tecnologia ed affascinato dalle molteplici opportunità offerte dal web