Link all'Articolo: http://www.hwupgrade.it/articoli/sicurezza/1366/virus-una-panoramica-in-attesa-del-futuro_index.html

Internet: la rete globale presenta sempre continue novità, accompagnate purtroppo da pericoli e trappole per i navigatori.
Abbiamo intervistato un ricercatore di Eset per una panoramica generale sull'attuale pericolo dei virus informatici.

Click sul link per visualizzare l'articolo.

Purtroppo nulla di nuovo sull tecniche della ricerca virus. :(

Gli AV sono destinati a permanere ancora per un bel po' sui nostri HD. :O

Per chi, come me, e' sui pc da piu' di 10 anni, questo proliferare di worms e trojans da quattro soldi scritti da bamboccetti non puo' preoccupare piu' di tanto.

Una volta i virus erano molto piu' distruttivi, lo scopo era proprio danneggiare in modo irreparabile un sistema. L' insinuarsi nel MBR era quasi una prassi, ora, per fortuna, e' gia' tanto se quei virus writers sanno cosa sia...

Sinceramente penso che questa "involuzione" sia dettata anche dal fatto che l' informatica e' entrata massicciamente nelle aziende, nelle PA, in ambienti dove girano molti ma molti soldi e dati sensibili.

Bloccare intere macchine, sistemi di storage e via dicendo sarebbe una perdita di denaro enorme per le aziende, che ovviamente potrebbero benissimo chiedere i danni alle societa' che sviluppano antivirus.

L' ultimo virus veramente preoccupante e ben fatto che ricordi e' stato l' SQL Slammer, una manciata di righe in ASM che hanno sdraiato Poste Italiane e tanti altri come loro per ore e giorni.

E li si e' corso ai ripari comprando un bel po' di licenze per Antivirus Entreprise della Mcafee, con tutte le conseguenze economiche e non del caso.

I vari Code Red, Sasser, Blaster & Co. sfruttavano semplicemente dei bachi di Windows, nulla piu'. Per questo hanno avuto una diffusione cosi' ampia e hanno causato cosi' tanto danni in termini monetari.

Dal punto di vista prettamente tecnico, erano da ridere in confronto a quello che girava sui floppy fino a qualche anno fa.

Sto poema e' semplicemente un modo per riflettere su come sia cambiato il mondo dei virus/worms/trojans e su chi si sia dato da fare per cambiarlo e per evitare di pagare miliardi di dollari di danni.

Oppure semplicemente i virus writers sono diventati delle mammolette? :rolleyes:

Oppure semplicemente i virus writers sono diventati delle mammolette? :rolleyes:

Oppure semplicemente si è abbassata paurosamente la media degli utenti? ;)

Secondo me e' diventato molto piu' difficile trovare persone esperte di linguaggio macchina e funzionamento del pc a bassissimo livello.
Ora come ora se un ragazzo appassionato volesse combinare qualcosa a livello di programmazione sfrutterebbe linguaggi di alto livello e non inizierebbe certo dall'assembler.

I ragazzini geniali che scrivevano i virus dei tempi d'oro oramai saranno tutti impegnati a scrivere codice per il kernel di linux ;)

Secondo me e' diventato molto piu' difficile trovare persone esperte di linguaggio macchina e funzionamento del pc a bassissimo livello.
Ora come ora se un ragazzo appassionato volesse combinare qualcosa a livello di programmazione sfrutterebbe linguaggi di alto livello e non inizierebbe certo dall'assembler.

I ragazzini geniali che scrivevano i virus dei tempi d'oro oramai saranno tutti impegnati a scrivere codice per il kernel di linux ;)


ovvero C, che un linguaggio ad alto livello :Prrr:

Oppure semplicemente si è abbassata paurosamente la media degli utenti? ;)

Indubbiamente, pero' non vedo la correlazione tra la crescita di "utonti" e la minor aggressivita' dei virus.

Probabilmente come dice anche l' intervistato, ci sono pochissime persone che si mettono a fare virus polimorfi o relativamente complessi, ed ancora meno che li fanno in linguaggi di basso livello.

Piccolo OT per S4t0r1:

Visti i risultati degli ultimi anni, non direi proprio che quei ragazzini geniali si siano messi a codare per il kernel di linux... :D

O almeno lo spero per loro... :asd:

Indubbiamente, pero' non vedo la correlazione tra la crescita di "utonti" e la minor aggressivita' dei virus.


No, però la correlazione c'è tra la minor aggressività dei virus e il fatto che cmq fanno danni e si diffondono.
Prima per potere avere una diffusione neanche lontanamente paragonabile, se proprio non si aveva niente da fare ovvio :), si doveva inventare.

a proposito di evitare di usare sempre account con privlegi di admin...qualcuno conosce qualche buon software antivirus che si aggiorni in automatico quando si entra come semplice User?

No, però la correlazione c'è tra la minor aggressività dei virus e il fatto che cmq fanno danni e si diffondono.
Prima per potere avere una diffusione neanche lontanamente paragonabile, se proprio non si aveva niente da fare ovvio :), si doveva inventare.

Verissimo. O passavi floppy col virus ( con conseguente accidenti del poveraccio che lo prendeva da te ) oppure si usavano le BBS, ancora piu' raro... :D

Se anche un bamoccio volesse creare il piu' temibile e distruttivo dei virus non ci vorrebbe molto: basterebbe un po' di copia e incolla!

Infatti esistono svariate vulnerabilità note nei sistemi attuali, e le possibilità di infezione sono molto maggiori che non nel passato, dove appunto il creatore si doveva ingegnare nella speranza e nell'attesa che il passaggio di un floppy infetto facesse il resto.

Creando un unico virus che cerca di propagarsi provando alternativamente le varie falle eventualmente aperte (a partire dalle note vulnerabilità sfruttate in passato da sasser, blaster etc...) si avrebbe un virus che raggiungerebbe notevoli livelli di diffusione.

A tutto questo andrebbe solo aggiunta la caratteristica di "silenziosità latente senza sintomi" per un notevole numero di mesi......
infatti un sistema che manifesta sintomi immediatamente dopo "l'infezione" è immediatamente curato, non puo' piu' infettare nessuno, e da indicazioni alle società antivirus che mettono a punto le signature......
se il virus resta latente, e intanto continua ad infettare, la diffusione potrebb essere enorme....il danno pure....

I virus devono essere piccoli, creare codice che provi alternativamente molti exploit non farebbe altro che generare alto traffico durante la diffusione, alto traffico durante la prove delle vulnerabilità e alto consumo di risorse durante tutte le prove. 3 sintomi che da soli insospettiscono.
Mettici pure il fatto che lo metti a dormire per un pò e che quindi ti dia il tempo di esaminarlo e scoprirlo e vedi che, se nessun bamboccio ci ha pensato, non è poi così semplice :)

Eih, ma quello è il mio avatar in bianco e nero! :D

Comunque sono d'accordo sulla frase “Nessuna soluzione antivirus può proteggerti da te stesso”, se i virus si diffondono è perchè esistono sistemi che quotidianamente permettono loro di passare, grazie ad utenti distratti o proprio niubbi :rolleyes:

non sono troppo daccordo sulla concetto che

" ...il proliferare di worms scritti da bamboccetti non puo' preoccupare "

Non sono preoccupato dai ragazzini che si scaricano virus preconfezionati, ma da quelli che creano qualcosa di semplice, mirato, invisibile.

Sono veramente in paranoia ad esempio per i programmi definiti KeyLoggers, concettualmente banali (nella realizzazione lo ignoro) non ti fanno certo danni al sistema, ma se ti svuotano il conto corrente è ben più devastante.

Chi può rassicurarci sul fatto che qualcosa di invisibile non sia già in circolo, che si sia installato per l'ennesimo baco del programma X o del sistema operativo Y, che nessuno se ne sia accorto perché fino ad oggi ha solo raccolto dati, e che da domani, li trasmetterà alla fonte che in giornata svuoterà, grazie ai dati raccolti, un bel po' di conti correnti ?

Ecco, è questo mi preoccupa molto di più di un disco formattato.

Se è installato significa che sul tuo sistema ci è entrato. Come? Con un programma? Di solito i programmi che si installano devono essere di provenienza fidata, dubito che (per citarne alcuni che mi vengono in mente) dentro a Firefox, Winamp, Opera ci sia anche la remota possibilità di trovare quello che dici. Logicamente se installi software scaricato da chissà dove, che faccia chissà cosa, l'installazione di un key logger è il meno che ti può capitare :)
E si ritorna al punto di partenza, l'utente è artefice di se stesso. Tu puoi dirmi che ad esempio, alcuni virus si installano senza che l'utente faccia nulla. TI puoi tamponare in diversi modi, usando programmi alternativi, e usando un antivirus e quant'altro.
Sicuramente non sarai al sicuro al 100%, ma ridurrai di molto il pericolo.
Altrimenti, se quelle sono le tue reali paure, spegni il pc e leggiti un libro :) A parte gli scherzi, non potrai mai essere sicuro al 100% di niente, ma ogni tanto fidarsi fa bene.

beh un libro è sempre un'ottima idea :)

Infatti, non parlavo di programmi "malfidati" , parlavo ad esempio di activeX o java che sfruttando bachi non pubblicati installassero il KeyLogger.

La conclusione a cui giungo io è che non ci sia possibilità di difesa,
sicuramente anche meno per l'utente medio che rappresenta la maggior parte dell'utenza.

beh un libro è sempre un'ottima idea :)


Era ovviamente una battuta :)


Infatti, non parlavo di programmi "malfidati" , parlavo ad esempio di activeX o java che sfruttando bachi non pubblicati installassero il KeyLogger.

La conclusione a cui giungo io è che non ci sia possibilità di difesa,
sicuramente anche meno per l'utente medio che rappresenta la maggior parte dell'utenza.

Non esiste probabilmente possibilità di difesa a tutto tondo, ma è sicuramente possibile arginare il problema (occhio, non debellarlo). Di solito anche java e activex maliziosi sono cmq installati da siti non propriamente legali o canonici (chi vuol capire capisca :)).

non sono troppo daccordo sulla concetto che

" ...il proliferare di worms scritti da bamboccetti non puo' preoccupare "

Non sono preoccupato dai ragazzini che si scaricano virus preconfezionati, ma da quelli che creano qualcosa di semplice, mirato, invisibile.

Sono veramente in paranoia ad esempio per i programmi definiti KeyLoggers, concettualmente banali (nella realizzazione lo ignoro) non ti fanno certo danni al sistema, ma se ti svuotano il conto corrente è ben più devastante.

Chi può rassicurarci sul fatto che qualcosa di invisibile non sia già in circolo, che si sia installato per l'ennesimo baco del programma X o del sistema operativo Y, che nessuno se ne sia accorto perché fino ad oggi ha solo raccolto dati, e che da domani, li trasmetterà alla fonte che in giornata svuoterà, grazie ai dati raccolti, un bel po' di conti correnti ?

Ecco, è questo mi preoccupa molto di più di un disco formattato.

La stessa preoccuppazione la potrei avere io, visto che lavoro in una grande societa', con migliaia di postazioni tutte monitorate tramite vari tool, tipo l' SMS di Microsoft. Niente di illegale, si limita a mandarti programmi, aggiornamenti ed ogni toti di giorni si prende l' elenco dei programmi installati e del contenuto degli hard disk.

E chi mi dice che non sia installato anche un keylogger? E' facile a questo punto prendersi user e pass del mio conto bancario.

Quanti casi ci sono stati di persone truffate a causa di keylogger? Poche, te lo assicuro. Ci sono stati furti di identita' su data center bancari, casi di phishing e del cosiddetto reverse engineering, ma l' ultimo caso di truffe con keylogger che io ricordi fu fatto ai danni di Poste Italiane da personale interno, tra l' altro con un keylogger hardware messo sulla porta PS/2.

Comunque, anche i cosiddetti keyloggers vengono inseriti tra le firme dei vari antivirus, almeno dei maggiori.

Per intenderci, il NOD32 mi avvisa anche dei tentativi di phishing.

a proposito di evitare di usare sempre account con privlegi di admin...qualcuno conosce qualche buon software antivirus che si aggiorni in automatico quando si entra come semplice User?
Avast

Per chi ha paura dei keyloggers... Usate Linux con un browser non molto diffuso, tipo Konqueror, con java e javascript disabilitati e tutte le opzioni paranoiche abilitate e... pregate che il vostro sito di home banking funzioni!!! :D

Per chi ha paura dei keyloggers... Usate Linux con un browser non molto diffuso, tipo Konqueror, con java e javascript disabilitati e tutte le opzioni paranoiche abilitate e... pregate che il vostro sito di home banking funzioni!!! :D

Per la questione keyloggers diverse banche si stanno muovendo per promuovere sistemi di autenticazione basati sulla posizione fisica di chi fa il login e, cosa assai piu' intelligente, su one-time passwords.

Se siete verameeeeeeeente paranoici, sotto linux ( ma anche sotto Solaris ) potete usare PAM piu' il modulo per le one-time passwords, ma solo per quanto riguarda l' autenticazione da remoto.

Utile se dovete accedere alla vostra box da fuori casa.

Certo, cosa ci terrete mai di cosi' importante da dover usare un sistema di autenticazione simile... :asd:

Certo, cosa ci terrete mai di cosi' importante da dover usare un sistema di autenticazione simile... :asd:

Porno, Mp3, film, giochi piratati :asd:

Ormai siamo al punto che al posto degli anti-virus dovremmo fare dei pro-tuttoilresto... sono più semplici e ci sono meno cose :)

Io uso "f-prot" come antivirus da molti anni e mi trovo benissimo.
E' leggerissimo, scandisce TUTTO quello che passa nella memoria del PC,
occupa pochissimo di RAM.

Un pò di statistiche prese con "Process Explorer" su "F-StopW.exe" (l'unico eseguibile caricato da f-prot) con PC acceso da 3 giorni:

Kernel time: 0:00:01.187
User time: 0:00:00.015
Total time: 0:00:01.202

Workin set (memoria utilizzata): 2.092 kb
Peak Workin set (memoria utilizzata picco): 2.108 kb

In questi 3 giorni mi ha avvisato di un paio di virus in alcune mail.

Qualcuno può darmi qualche statistica su Nod32 o può fare un raffronto col suddetto antivirus?

grazie,
ciao.

scusate che cos'è l'Euristica e cosa cambia tra le varie tecniche per identificare un virus?

scusate che cos'è l'Euristica e cosa cambia tra le varie tecniche per identificare un virus?

Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente).

mi piace wikipedia, molto chiara e specifica :)

riguardo alle tecniche per identificare virus già ci sono dei tentativi via "hardware", come ad esempio la tecnologia installata sui processori amd64 (di cui sinceramente adesso non ricordo il nome) che permette di evitare l'esecuzione di "codice malizioso", ma suppongo funzioni con veramente pochi tipi di virus / malware

forse qualcuno che ne sà di piu riguardo questo tipo di protezione saprà aggiungere qualcosa ;)

la tecnologia installata sui processori amd64 (di cui sinceramente adesso non ricordo il nome) che permette di evitare l'esecuzione di "codice malizioso", ma suppongo funzioni con veramente pochi tipi di virus / malware

Quella tecnologia non è efficace contro i virus/malware ma solo contro i buffer overflows (e i virus/malware che si diffondono tramite questi) poiché (SOLO NEI PROGRAMMI APPOSITAMENTE COMPILATI) ogni pagina di dati è logicamente serparata dalle pagine di esecuzione (senza quella tecnologia puoi eseguire del codice presente anche nelle pagine di dati che potrebbero essere appositamente danneggiate da buffer overflows).

Con il NX (no-execute, nome tecnico della "protezione antivirus" di AMD) si evita che porzioni di memoria destinate ai dati vengano eseguite (generando un access violation exception)
I comuni worms-trojan quindi non sono di certo bloccati da tale tecnologia.

Inoltre mi preme ricordarvi che questa pseudo-tecnologia non ha come scopo principale fornire protezione da buffer overflows ma bensì (cosa più terrificante) quella di evitare il code-injection in aree di memoria di un processo che gira (cosa che avviene adesso quando si utilizzano i "loader")
(per chi non lo sapesse un loader è un software che "patcha" in memoria un programma, una specie di crack in memoria perché il programma su disco è crittografato e impossibile da craccare, mentre in memoria viene prima decodificato, poi patchato dal loader e poi eseguito "craccato")

Il no-execute semplicemente complica la vita ai cracker perché non puoi iniettare codice tramite loader in pagine di dati ma devi "limitarti" a patchare il codice nelle pagine di codice...

Il NX spacciato come una miglioria per gli utenti non è altro che l'inizio di palladium (come tutto il resto della tecnologia relativa a palladium. Si dice che eviterà che i virus si spargeranno, che i pc saranno più sicuri, che finirà lo spam.. non è vero niente di niente... i worm ci saranno come ci sono adesso... ma non potrai craccare windows per eseguirlo senza attivazione come si fa adesso con xp).

[cut]

Il no-execute semplicemente complica la vita ai cracker perché non puoi iniettare codice tramite loader in pagine di dati ma devi "limitarti" a patchare il codice nelle pagine di codice...

...probabilmente il NX-bit e' ANCHE questo, ed e' cosa buona e giusta, o no?

Tra l'altro e' una soluzione che esiste da un'eternita' su CPU ben piu' professionali anche di parecchi ANNI fa.

Poi, che possa crearci il dispiacere di non poter giocare ai giochini scaricati dal mulo e' un'altra questione, ed IM(NSH)O anche questa e' cosa buona e giusta.
:O
Sempre pero' che il giochino sia stato compilato per sfruttarlo.


Il NX spacciato come una miglioria per gli utenti non è altro che l'inizio di palladium (come tutto il resto della tecnologia relativa a palladium. Si dice che eviterà che i virus si spargeranno, che i pc saranno più sicuri, che finirà lo spam.. non è vero niente di niente... i worm ci saranno come ci sono adesso... ma non potrai craccare windows per eseguirlo senza attivazione come si fa adesso con xp).

Non e' vero proprio per un cazzo!
:mad:

Il NX-bit serve per non permettere quello spiacevole inconveniente come nei casi di Blaster e Sasser, ovvero un bel exploit remoto su un servizio di sistema che causa l'esecuzione di codice arbitrario, non ovviamente rilevabile nemmeno dal miglior AV di questo mondo, ma chiaramente prevenibile tramite fw!
:muro:

Se questo e' Palladium, beh, che dire...

VIVA POLLADIUM!
:asd:

PS: tra l'altro il wpakill patcha si' winlogon, ma non a runtime, ovvero modifica il file ma poi per far funzionare la versione crackata devi ovviamente riavviare.
Per quanto riguarda worm, trojan e spam, e' ovvio che il NX-bit non risolva il problema, mica e' un AV hw!
Difatti la campagna di marketing di AMD in tale circostanza fu duramente criticata.