GDATA presenta la tecnologia OutbreakShield

Nel corso di una conferenza stampa tenutasi nella giornata di Giovedì 29 Settembre a Milano, presso il Museo della Scienza e della Tecnica "Leonardo da Vinci", G DATA ha mostrato alla stampa specializzata i due nuovi prodotti AntiVirusKit 2006 e Internet Security 2006 ed in particolar modo il nuovo sistema di protezione OutbreakShield che permette di mantenere il sistema ancor più al sicuro rispetto a qualunque software antivirus attualmente in circolazione.

G DATA Software AG è una compagnia tedesca fondata nel 1985 che si occupa della realizzazione di software di vario tipo. La compagnia si trova a Bochum ed è composta da un team di circa 50 dipendenti. Negli ultimi anni G DATA è riuscita a vendere più di 4 milioni di prodotti e vanta più di 5.000 punti vendita autorizzati in Germania, Austria e Svizzera. A livello internazionale, G DATA propone i propri prodotti in Giappone, Inghilterra, Italia, Olanda, Stati Uniti e in molti altri paesi.

Abbiamo parlato di "software di vario tipo" poiché oltre al core business principale, rappresentato dai prodotti per la sicurezza informatica, G DATA ha all'attivo una linea di prodotti per l'editing multimediale chiamata DaViDeo.

Come appena detto, comunque, la compagnia fa dei software di protezione informatica la punta di diamante della propria offerta. In particolare la compagnia ha sviluppato l'applicativo AntiVirusKit caratterizzato dalla tecnologia DoubleScan, ovvero una particolare modalità che basa la scansione e il riconoscimento dei virus su due motori antivirus, concessi in licenza d'uso da Kaspersky Lab e da BitDefender. Hardware Upgrade ha già analizzato i prodotti di GDATA, recensendo la suite Internet Security 2005

Ralf Benzmuller

Alla conferenza stampa è intervenuto Ralf Benzmüller che dal 1999 ha lavorato in G DATA alla ricerca e allo sviluppo del programma Logox. A partire dal 2004 Ralf Benzmuller è passato alla ricerca nel campo degli antivirus e si occupa della banca dati virus e delle informazioni aggiornate relative alla sicurezza dei dati sul sito www.antiviruslab.com.

Ralf ha illustrato il principio di funzionamento della nuova tecnologia OutbreakShield che sta alla base del nuovo pacchetto AntiVirusKit 2006. Si tratta di un sistema che permette di proteggere il sistema da attacchi virali già dopo pochi secondi l'individuazione di un nuovo virus.

La realizzazione di questo nuovo sistema di protezione si è resa necessaria poiché qualunque tipo di antivirus, anche quelli tra i più efficaci, sono caratterizzati da una grossa lacuna, ovvero il tempo che intercorre tra l'isolamento di un virus e la disponibilità delle firme virali necessarie a contrastare l'operato del virus. Mediamente si stima un tempo di 4 ore affinché una firma virale venga preparata e distribuita, ma a volte potrebbero essere necessari anche giorni. E' facilmente intuibile che in questo lasso di tempo il sistema può essere bersaglio degli attacchi per i quali la firma virale non è stata ancora realizzata.

Questa lacuna fisiologica è recentemente stata sfruttata in modo via via più massiccio dai creatori di maleware secondo un modello di diffusione che GDATA ha ben circostanziato nel corso dei propri studi relativi ai problemi di sicurezza informatica.

Secondo la compagnia, infatti molte delle recenti minacce informatiche vengono inviate mediante "computer zombie" appartenenti a reti cosiddette Botnet. Con i termini "computer zombie" s’intende un qualunque computer infetto e comandato da remoto tramite una backdoor. Questo computer zombie viene unito dai criminali a reti (dette anche “Botnet”) comprendenti centinaia di migliaia di computer. Secondo una recente indagine dell'azienda Ciphertrust nel solo mese di maggio sono stati avvistati ogni giorno 172.000 nuovi computer zombie.

E' facilmente intuibile come queste reti costituiscano una grossa risorsa, anche in termine computazionale, per i creatori di maleware ed in generale per tutti i malintenzionati che hanno modo di servirsi di strumenti informatici. Le botnet vengono infatti letteralmente noleggiate al fine di sferrare attacchi di tipo Denial-of-Service nei confronti degli utenti dei siti web, per inviare spam o per diffondere malware. In particolare, in relazione alla diffusione di Malware, GDATA ha definito i seguenti punti:

• Molti attacchi virus sono mirati e hanno una dimensione regionale. Non vengono più organizzati a livello globale e spesso si cerca di contenere il numero delle mail inviate in modo che passino inosservate agli occhi delle aziende di antivirus. Attacchi di virus vengono spesso organizzati in determinati paesi o gruppi di persone.

• Molti attacchi durano solo poche ore e in parecchi casi terminano prima che le firme virali siano disponibili presso tutti i fornitori. Un esempio è rappresentato da Bagle.BQ. Il malware infatti ha fatto la sua comparsa ed in poche ore ha raggiunto il massimo della sua diffusione per poi affievolirsi e scomparire. Ad oggi, non tutte le definizioni sono state ancora pubblicate dai produttori di antivirus.

• Una volta conclusosi l’attacco virus, i creatori dei virus iniziano a dedicarsi allo sviluppo della successiva versione della minaccia. Il successore spesso presenta poche modifiche – ma sufficienti affinché non possano essere individuati dalle firme virali correnti. Una volta garantita l'irriconoscibilità della nuova creazione, inizia la successiva ondata dell'attacco. Un esempio di questo modo di procedere è Mytob. Quasi ogni giorno vengono create nuove varianti.

• Invece di un worm completo, le cui dimensioni variano tra 40 KB e 120 KB, alle e-mail nocive vengono allegati programmi di download di trojan dalle dimensioni medie di 4 KBS (i cosiddetti trojan-downloader). Questi programmi di download prima indeboliscono il computer infetto, chiudendo i processi e i programmi di protezione e bloccandone l’avvio. Quindi scaricano il worm e un backdoor. Il vantaggio di questa procedura è che i piccoli file possono essere inviati molto più rapidamente del worm intero.

Per meglio comprendere questo meccanismo, è sufficiente immaginarsi uno scenario costituito da una Botnet di 1.000 zombie e che sfrutta in media una connessione DSL 1000. Ipotizzando che ciascuno di questi computer invia un file da 4 KB, in un’ora verranno inviate 100 milioni di e-mail, mentre per la diffusione delle prime firme virali sarà necessario attendere ancora almeno tre ore, periodo nel quale la mail contenente maleware ha già avuto modo di arrecare un buon numero di danni. L'autore del malware, intanto, è già al lavoro per la realizzazione di una nuova variante del worm.

Ecco allora che OutbreakShield entra in gioco proprio in questa fase. La particolarità di questa nuova tecnologia è rappresentata dal fatto che OutbreakShield non è basato sui sistemi delle firme virali ed è indipendente dal controllo del contenuto delle email: il principio di funzionamento è, infatti, completamente diverso.

Grazie alla partnership con Commtouch, una compagnia specializzata nella realizzazione di soluzioni di emailing, il traffico email su Internet viene monitorato mediante un particolare sistema brevettato da Commtouch. Quando il sistema rileva dei modelli di invio molto simili tra di loro, li estrae dal traffico e li salva all'interno di un database, assieme ad un certo numero di informazioni correlate, come indirizzi IP, dimensioni del messaggio, intestazioni e via dicendo. Se la frequenza con la quale questi modelli di invio si presentano in un arco di tempo definito supera un determinato valore soglia, allora le e-mail interessate vengono classificate come spam o malware. In questo modo, come abbiamo visto, l'analisi, di tipo euristico e comportamentale, è completamente slegata dal sistema delle firme virali e dai sistemi di analisi semantica.

L'implementazione di OutbreakShield in AntiVirusKit 2006 è molto semplice: quando viene ricevuta una e-mail, il software antivirus effettua il tradizionale controllo tramite i due motori antivirus di Kaspersky e BitDefender e se non viene rilevata alcuna minaccia allora la mail passa all'analisi di OutbreakShield che confronta le caratteristiche della mail con le informazioni ricavate dal database di Commtouch. Se il confronto ha esito negativo, la mail viene resa accessibile, viceversa se il confronto con il database dovesse rivelare un certo tipo di corrispondenza con la mail in esame, quest'ultima viene classificata come spam o maleware. In questo modo il sistema viene preservato da attacchi anche nel tempo che intercorre tra l'isolamento di un virus e la disponibilità della firma virale corrispondente.

AntiVirusKit 2006, oltre che come pacchetto singolo, è disponibile anche all'interno della più ampia suite InternetSecuruty 2006, che oltre al software antivirus comprende anche un personal firewall comprensivo di modulo di eliminazione delle tracce, un sistema di AntiSpam e un sistema di controllo parentale. AntiVirusKit è commercializzato al prezzo di €49,95, mentre InternetSecurity 2006 è commercializzata al prezzo di €69,95.