HIPS: nuove tecnologie per la sicurezza

5) Esisotono particolari situazioni in cui un software HIPS risulta inutile? Quali sono i limiti dei software HIPS? È possibile ingannarli in qualche maniera?

Con Prevx1 ci siamo allontanati dal concetto classico di HIPS. Prevx1 è più un CIPS, un Community Based Intrusion Prevention System con funzioni di rimozione delle infezioni dal pc. I software HIPS non hanno molto mercato attualmente, soprattutto ne hanno solo per gli utenti più esperti, a causa proprio del concetto per cui sono nati, cioè avvertire l'utente di cambi sospetti e lasciare a lui la decisione finale. Un software HIPS penso sia inutile per gli utenti intermedi e inesperti.

Immaginate un'anziana signora che ha appena comprato un pc e non sa minimamente cosa rispondere ad una domanda del tipo: "XZY123GH.DLL vuole modificare il processo WINLOGON.EXE. Vuoi dare il consenso?". Il pensiero della signora sarà probabilmente: "Sì, ovviamente....oppure no?". La maggior parte degli utenti dice Sì - ecco secondo me una grossa falla in un sistema che in realtà dovrebbe proteggerti. L'utilizzo di un database centralizzato è la chiave per il successo di un software HIPS perché permette di condividere esperienze già vissute per prendere decisioni più facili.

Se è possibile ingannare un software HIPS? Sicuramente è possibile, come è possibile raggirare un qualsiasi sistema. Per esempio i software antivirus, basta prendere un malware e comprimerlo con un runtime packer differente per raggirare l'antivirus. Penso in definitiva che i classici software HIPS non abbiano mercato, proprio per i problemi di usabilità che abbiamo sottolineato, se non per gli utenti più avanzati.

6) Alcune parole sul futuro. Come la situazione si sta evolvendo? Le società di antivirus sono in qualche modo con le spalle al muro per colpa di numerosi fattori. Iniziando da Microsoft, che è da poco entrata nel settore della sicurezza informatica con i propri software. Quando Microsoft fa il proprio ingresso in un settore si sà spesso può risultare dannoso per tutti i prodotti concorrenti. D'altro canto questa nuova tecnologia utilizzata dai software HIPS sta facendo crescere numerose nuove aziende che vendono prodotti simili. Che fine farà il vetusto "software antivirus"? Quale sarà il punto di rottura, quando semplicemente i software antivirus saranno completamente inefficaci a causa delle troppe nuove infezioni?

Hai toccato alcuni punti particolarmente importanti. È chiaro che l'ingresso di Microsoft nel mondo della sicurezza informatica causerà alcuni cambiamenti. Nei primi dodici mesi la società comincerà ad acquisire alcune fette di mercato, soprattutto nel mercato consumer. Gli analisti stimano tale cifra nel 12/15%. Penso che la contromossa delle società di antivirus dovrebbe essere quella di migliorare le proprie tecnologie, per esempio dotandosi di sistemi di ricerca automatica.

Penso che molti utenti hanno perso fiducia nelle grandi società pagate per fornire un servizio che a volte nasconde brutte sorprese. Tuttavia non credo che la tecnologia antivirus scomparirà, le firme virali sono ancora un validissimo sistema per identificare i malware. Il problema riguarda, come ho già detto, il lato della ricerca e l'abilità di identificare in maniera automatica nuovi threat. Windows Vista potrebbe avere molte novità dal punto di vista della sicurezza per gli utenti, ma ritengo che molti avranno problemi lavorando in un ambiente con privilegi limitati a priori dal sistema operativo; ci sono già delle modifiche per rimuovere queste limitazioni che potrebbero creare non pochi problemi.

Il futuro? Ci saranno sempre vulnerabilità, specialmente nei nuovi codici come Windows Vista. Il nuovo Network Stack per esempio promette divertimento per i più smanettoni. La scorsa settimana, al BlackHat Conference di Las Vegas, ho assistito ad una dimostrazione di Joanna Rutkowska che ha fatto vedere come un rootkit possa modificare il kernel di Vista in una manciata di secondi. Il futuro sarà sicuramente interessante.

Ringraziamo Jacques Erasmus e la Prevx Ltd. per la disponibilità avuta nei confronti della redazione di Hardware Upgrade.