A. C. Larizza - Così si creano gli antivirus in laboratorio

Così si creano gli antivirus in laboratorio

di Antonio Carlo Larizza

Le maglie della Rete appaiono sempre meno strette: i sistemi sono vulnerabili, gli utenti disinformati, la gestione della sicurezza complessa, le soluzioni antivirus impotenti davanti alle nuove minacce che si annidano nel Web. Solo 15 giorni fa il worm Sasser ha messo Internet a dura prova infettando, in una sola notte, 18 milioni di computer in tutto il mondo. Mentre meno di un mese fa una grave vulnerabilità scoperta da un ricercatore canadese ha tenuto la Rete con il fiato sospeso, allarmando il dipartimento per la Sicurezza interna degli Usa e il centro nazionale per le cybersicurezza della Gran Bretagna.

Nuove armi. Gli hacker stanno sviluppando nuove tecniche di attacco. Con i nuovi worm di Rete (che per diffondersi non hanno bisogno della posta elettronica) la velocità di penetrazione dei virus è aumentata drasticamente: oggi bastano poche ore perché si diffonda un'epidemia. I produttori di antivirus hanno sempre meno margini per organizzare la controffensiva. E in un futuro non lontano, potrebbe mancare il tempo materiale per organizzare qualsiasi difesa. Ma chi vigila sulla Rete, e come si identifica, e si sconfigge, un virus? Nei laboratori spagnoli di Bilbao di Panda software, uno dei maggiori produttori europei di sistemi per la sicurezza informatica, vengono scoperti in media 100 nuovi malware ogni giorno. Di questi, solo l'1% si rivela realmente pericoloso. "Con malware - spiega Luis Corrons, direttore di Pandalabs - si intende qualsiasi programma messaggio o comportamento che possa causare danni agli utenti dei sistemi informatici". Appesi alle pareti del laboratorio (totalmente isolato dalla Intranet aziendale), quattro orologi segnano l'ora di Tokyo, Madrid, Los Angeles e Shanghai mentre uno schermo al plasma proietta 24 ore su 24 un'immagine elettronica del planisfero aggiornata in tempo reale sullo stato della Rete, con informazioni sul numero dei computer infetti, sulla diffusione e la comparsa di nuovi virus nel mondo.

Nella stanza si contano almeno 50 postazioni: ognuna ha due pc, uno completamente isolato e l'altro collegato a un sistema di reti incrociate che, in caso di epidemie incontrollate, garantisce il funzionamento almeno di un gruppo di pc. Mentre, in un angolo, due computer privi di protezione sono facili prede per i virus che viaggiano nel Web

Il lavoro dei tecnici. Nessuno, nel laboratorio, può sapere quando colpirà il prossimo hacker. Nell'attesa, i tecnici setacciano il Web alla ricerca di nuove minacce. Sulle tecniche vige la massima segretezza per evitare di dare informazioni che possano agevolare i malintenzionati: "Il 95% dei malware viene identificato monitorando la posta elettronica, le pagine Web e il traffico della Rete - lascia intendere Corrons - e tutto questo avviene in stretta collaborazione con le principali aziende di sicurezza di tutto il mondo. Mentre circa il 5% viene scoperto grazie alle segnalazioni dei nostri clienti, che ci inviano file sospetti da analizzare".

Ma cosa succede quando un nuovo virus viene identificato? "Lo schermo alla parete si colora di rosso e appare la scritta "Now virus" - spiega Corrons - a questo punto, se il virus è insidioso si lavora in equipe: c'è chi si preoccupa di eseguire il file infetto in vari ambienti (Windows, Linux eccetera); chi studia l'ingegneria del codice e infine chi cura le informazioni da pubblicare sul sito e le istruzioni da comunicare ai nostri abbonati". Nel frattempo, applicando raffinate tecniche di "ingegneria inversa", i tecnici cercano di capire come è stato creato e cosa nasconde il codice maligno e, individuata le stringa infetta, sono in grado di fornire una soluzione. "Il sabato in cui si diffuse Sasser - racconta Corrons - nel laboratorio c'erano quattro persone che, in meno di un'ora, hanno neutralizzato il worm".

Nuovi prodotti. Nonostante il suo codice fosse poco complesso, Sasser si è però diffuso velocemente creando danni in tutto il mondo. Questo esempio mostra come i nostri sistemi siano indifesi davanti alle minacce sconosciute, anche se non particolarmente insidiose. I sistemi antivirus tradizionali, infatti, sono reattivi: devono cioè conoscere il virus per rivelarlo ed eliminarlo. "Oggi le case antivirus non proteggono da malware sconosciuti, non sono in grado di individuarli - spiega Pedro Buscamante, direttore dell'area prodotto - eppure continuano a vendere le loro soluzioni. Questo per noi è, prima di tutto, un problema etico. Anche per questo stiamo sviluppando una nuova generazione di antivirus che sfrutta tecnologie pro-attive: capaci, cioè, di riconoscere anche i malware sconosciuti".

Su queste capacità si gioca la sfida del futuro. Da quando, infatti, nel 1995, si diffuse l'uso dell'e-mail e i virus divennero un fenomeno globale, è diminuito sempre più lo spazio di tempo che intercorre tra la scoperta di una nuovo virus e la diffusione dell'epidemia: allora erano necessari alcuni giorni, oggi bastano solo poche ore. "Sfruttando vulnerabilità sconosciute e la velocità di contagio raggiunta su Internet - continua Bustamante - nuovi hacker potrebbero sviluppare minacce in grado di diffondersi in pochi minuti". E secondo i tecnici di Panda Software, l'effetto di questi nuovi la virus non sarebbe più un'epidemia, ma una pandemia: l'infezione irreversibile di tutto Internet si produrrebbe, cioè, in pochi istanti.

(Ndr: ripreso dall'inserto @lfa del Sole-24 Ore di giovedì 3 giugno 2004)