[NEWS] Gli hacker sfidano gli antivirus. E' panico

c.m.g · 29-04-2008, 09:14

martedì 29 aprile 2008

Roma - Preoccupazione sincera di pericolose ricadute nel settore sicurezza o paura di vedersi sbugiardare, con pochi tocchi di codice ben programmato, "protezioni" che costano decine, centinaia o anche migliaia di dollari all'anno? La lettura del criticismo dei vendor di software antivirale contro il prossimo DEFCON 16 può pendere, a seconda dei punti di vista, dall'una o l'altra parte.

La più grande conferenza hacker internazionale, tenuta annualmente a Las Vegas in Nevada, ospiterà per la prossima edizione il contest Race to Zero, che è, per l'appunto, il motivo del cruccio delle multinazionali della sicurezza informatica. La gara consisterà nel modificare i sample di virus e malware forniti dagli organizzatori in modo tale da riuscire a beffare quanti più possibile engine di scanner antivirali.

I partecipanti faranno passare le proprie creazioni attraverso fasi successive, di difficoltà e complessità crescenti. Il team o il coder in grado di passare tutti i test senza inciampare negli antivirus verranno incoronati come vincitori. A latare anche premi per categorie meno sobrie, come l'offuscamento più elegante, l'hack più sporco per l'offuscamento e il trick più meritevole di birra.

Una vera e propria prova di polimorfismo da malware insomma, che se gli smanettoni da codice possono trovare divertente e interessante, di certo ha già collezionato critiche sperticate da parte di chi quegli engine antivirali li produce e li raffina.

"Non tutti gli antivirus sono uguali", recita la homepage di Race to Zero, e ve ne sono alcuni che è possibile beffare con una quantità di lavoro e impegno ridottissimi, non proporzionati al costo della protezione che la società produttrice spilla in abbonamento all'utente finale. "I produttori di antivirus dalle scarse prestazioni devono essere smascherati", continua il manifesto del contest, lanciando senza mezzi termini un guanto di sfida all'industria della security che non è più al passo con la qualità e la quantità sopraffina delle moderne minacce informatiche.

Chiamati in causa in questo modo, gli autori di antivirus hanno risposto per le rime definendo Race to Zero come un'occasione per fare più male che bene: "La divulgazione responsabile (delle vulnerabilità ndr) è una cosa - ha dichiarato Paul Ferguson di TrendMicro - ma incoraggiare le persone a farlo come un contest è un po' troppo". Roger Thompson di AVG Technologies sottolinea come le società di antivirus siano già oberate di lavoro - "30mila sample di codice processati ogni giorno" sostiene Thompson - e incoraggiare le persone a scrivere ancora più virus non è una cosa che si presta a un giudizio positivo.

Gli organizzatori di Race to Zero assicurano comunque che i sample modificati non verranno distribuiti "in the wild" e verranno usati al solo scopo del contest, vale a dire dimostrare - in maniera possibilmente eclatante per fare maggiore impressione - che "l'antivirus basato sulle firme virali è morto, gli utenti hanno bisogno di guardare all'euristica, e a tecniche basate sulle statistiche o comportamentali per identificare le minacce emergenti".

Nel settore della sicurezza IT il dibattito infuria. C'è ad esempio chi come Andreas Clementi, il ben noto personaggio dietro i test antivirali di AV-Comparatives, sostiene che nonostante il proliferare quasi in tempo reale di pericoli e malware sconosciuti - impossibili da bloccare senza l'impiego di difese proattive come gli engine H.I.P.S. e simili - una buona capacità di difesa basata sul tradizionale metodo degli hash per ogni singolo malware o famiglia di malware rimanga uno dei parametri più importanti da considerare nella scelta di una buona difesa antivirus.

Su Offensive Computing c'è però chi non la pensa alla stessa maniera, sostenendo che è "scandalosamente facile eludere qualsiasi engine antivirus con una quantità davvero misera di lavoro". Una scomoda verità di cui sia le società di antivirus che i malware writer professionisti sono perfettamente consapevoli, senza dover attendere per questo i risultati di un contest come Race to Zero.

"Gli unici a non esserne a conoscenza sono i consumatori - continua il post di tale "dannyquist" sul weblog malware-centrico - Scuotere la loro fiducia nello spendere 60 dollari all'anno per gli aggiornamenti è qualcosa che i produttori di AV temono. Ed è per questo che probabilmente gli avvocati verranno coinvolti piuttosto rapidamente nella faccenda".

Alfonso Maruccia

Fonte: Punto Informatico

sampei.nihira · 29-04-2008, 17:24

Interessante articolo !!

Sono proprio curioso di vedere se sarà fatta la gara e chi vincerà !!

Anche io ritengo in definitiva fondamentale il "reparto Heuristic" di un antivirus.
Anzi credo che test simili siano da incentivare.
Anche gli antivirus si devono evolvere per stare in linea con le minacce.
Oggi un ottima euristica è la base che tutti gli antivirus dovrebbero avere.
Ma solo la base.....c'è modo di svliluppare soluzioni che siano al passo con le minacce.
Basta solo volerlo.

Naico69 · 29-04-2008, 20:59

Quote:

Originariamente inviato da sampei.nihira

Interessante articolo !!

Sono proprio curioso di vedere se sarà fatta la gara e chi vincerà !!

Hai ragione...e non è detto che uno di questi giorni non la trasmettano su Sky dopo il Poker.

xcdegasp · 30-04-2008, 16:03

io sostituirei proprio le puntate del poker con queste

la vedrei una cosa molto costruttiva che lascerebbe spazio all'approfondimento.. un po' come "american choppers" ma un po' più dettagliato sul perchè si faccia una scelta piuttosto di un altra

Caius_Julius · 01-05-2008, 21:35

Perchè non una convention di provetti terroristi, con un contest dal titolo: "chi usa meno tritolo per demolire il palazzetto".
Sono seriamente perplesso, non per quello che quei ragazzi, anche se a volte ragazzi lo erano ieri, potrebbero fare, ma per la facilità con cui informazioni diciamo sensibili saranno scambiate.
Non la vedo come una partitina a poker tra amici, ma come un picnic tra gli amici di Pacciani in un collegio di educande.
Saro' vecchio e retrogrado ma sono perplesso.....

W.S. · 02-05-2008, 10:40

Quote:

Originariamente inviato da Caius_Julius

Perchè non una convention di provetti terroristi, con un contest dal titolo: "chi usa meno tritolo per demolire il palazzetto".

1) Perché il tritolo lo usa solo chi vuol far saltare qualcosa, l'antivirus lo usano tutti.

2) Perché conoscere un problema è il primo passo per risolverlo.

3) Per spingere l'evoluzione degli antivirus più velocemente di quanto non lo facciano le regole di mercato. (quindi per proteggerci meglio)

4) Perché i "cattivi" di queste cose parlano comunque tutti i giorni, impedire che lo facciano i "buoni" non è una buona strategia di difesa.

5) Il problema non è creato da chi attacca. Il problema è già presente, l'attaccante si limita a sfruttarlo. Basta con l'incolpare esclusivamente gli attaccanti, spesso non sono gli unici colpevoli.

6) Questa penso di averla già detta in qualche forma, comunque è importante:
un problema non si risolve chiudendo gli occhi.

Naico69 · 02-05-2008, 11:28

Quote:

Originariamente inviato da Caius_Julius

Non la vedo come una partitina a poker tra amici, ma come un picnic tra gli amici di Pacciani in un collegio di educande.

Nel senso che Pacciani rappresenta la casa produttrice di Antivirus e noi "utonti" le educande?

Quote:

Originariamente inviato da Caius_Julius

Saro' vecchio e retrogrado ma sono perplesso.....

E fin qui...

Naico69 · 02-05-2008, 11:33

Quote:

Originariamente inviato da W.S.

4) Perché i "cattivi" di queste cose parlano comunque tutti i giorni, impedire che lo facciano i "buoni" non è una buona strategia di difesa.

Scusa, spiegati meglio...perchè questo concetto è molto "LOSTIANO" (consentimi questo neologismo): chi sono i buoni?

W.S. · 02-05-2008, 11:56

Quote:

Originariamente inviato da Naico69

Scusa, spiegati meglio...perchè questo concetto è molto "LOSTIANO" (consentimi questo neologismo): chi sono i buoni?

Li ho messi apposta tra virgolette

Il senso è: chi vuole usare l'hacking per commettere crimini, lo fa e continuerà a farlo con o senza regole mirate a limitare la circolazione di conoscenza (e in queste persone identifico molto grossolanamente i "cattivi"). Chi invece ha come scopo il miglioramento dei sistemi informatici, o anche solo capire come funziona il suo pc senza far danni a nessuno, verrebbe ostacolato enormemente da regole simili.
Limitare la circolazione di conoscenza, a mio parere, è inutile e dannoso.
Inutile perché chi vuole usarla per commettere crimini se ne frega dei limiti imposti dalla legge o dal comportamento comune.
Dannoso perché impedisce alle vittime di capire cosa succede e quindi difendersi in modo più efficiente.

cloutz · 03-05-2008, 21:04

come è stato già detto reputo un incontro di questo tipo molto costruttivo...
o per lo meno, nel limite del possibile, cerco di ammirarne l'intento costruttivo...che credo sia dare una bella smossa ai produttori di av, per fargli capire verso quale direzione devono(dovrebbero) sviluppare i loro software...e soprattutto quali sono le loro lacune o pti deboli (dalla proattiva all'euristica)..
ben vengano i test antivirus, ma ogni tanto un pò di "concorrenza sleale" ci sta...

poi ovviamente non vorrei mai che fosse il mio antivirus a dover fare i conti con quei tipi lì

29-04-2008, 09:14	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Gli hacker sfidano gli antivirus. E' panico martedì 29 aprile 2008 Roma - Preoccupazione sincera di pericolose ricadute nel settore sicurezza o paura di vedersi sbugiardare, con pochi tocchi di codice ben programmato, "protezioni" che costano decine, centinaia o anche migliaia di dollari all'anno? La lettura del criticismo dei vendor di software antivirale contro il prossimo DEFCON 16 può pendere, a seconda dei punti di vista, dall'una o l'altra parte. La più grande conferenza hacker internazionale, tenuta annualmente a Las Vegas in Nevada, ospiterà per la prossima edizione il contest Race to Zero, che è, per l'appunto, il motivo del cruccio delle multinazionali della sicurezza informatica. La gara consisterà nel modificare i sample di virus e malware forniti dagli organizzatori in modo tale da *riuscire a beffare quanti più possibile engine* di scanner antivirali*. I partecipanti faranno passare le proprie creazioni attraverso fasi successive, di difficoltà e complessità crescenti. Il team o il coder* in grado di passare tutti i test senza inciampare negli antivirus verranno incoronati come vincitori. A latare anche premi per categorie meno sobrie, come l'offuscamento più elegante, l'hack più sporco per l'offuscamento e il trick più meritevole di birra. Una vera e propria prova di polimorfismo da malware insomma, che se gli smanettoni da codice possono trovare divertente e interessante, di certo ha già collezionato critiche sperticate da parte di chi quegli engine antivirali li produce e li raffina. "Non tutti gli antivirus sono uguali", recita la homepage di Race to Zero, e ve ne sono alcuni che è possibile beffare con una quantità di lavoro e impegno ridottissimi, non proporzionati al costo della protezione che la società produttrice spilla in abbonamento all'utente finale. "I produttori di antivirus dalle scarse prestazioni devono essere smascherati", continua il manifesto del contest, lanciando senza mezzi termini un guanto di sfida all'industria della security che non è più al passo con la qualità e la quantità sopraffina delle moderne minacce informatiche. Chiamati in causa in questo modo, gli autori di antivirus hanno risposto per le rime definendo Race to Zero come un'occasione per fare più male che bene: "La divulgazione responsabile (delle vulnerabilità ndr) è una cosa - ha dichiarato Paul Ferguson di TrendMicro - ma incoraggiare le persone a farlo come un contest è un po' troppo". Roger Thompson di AVG Technologies sottolinea come le società di antivirus siano già oberate di lavoro - "30mila sample di codice processati ogni giorno" sostiene Thompson - e incoraggiare le persone a scrivere ancora più virus non è una cosa che si presta a un giudizio positivo. Gli organizzatori di Race to Zero assicurano comunque che i sample modificati non verranno distribuiti "in the wild" e verranno usati al solo scopo del contest, vale a dire dimostrare - in maniera possibilmente eclatante per fare maggiore impressione - che "l'antivirus basato sulle firme virali è morto, gli utenti hanno bisogno di guardare all'euristica, e a tecniche basate sulle statistiche o comportamentali per identificare le minacce emergenti". Nel settore della sicurezza IT il dibattito infuria. C'è ad esempio chi come Andreas Clementi, il ben noto personaggio dietro i test antivirali di AV-Comparatives, sostiene che nonostante il proliferare quasi in tempo reale di pericoli e malware sconosciuti - impossibili da bloccare senza l'impiego di difese proattive come gli engine H.I.P.S. e simili - una buona capacità di difesa basata sul tradizionale metodo degli hash per ogni singolo malware o famiglia di malware rimanga uno dei parametri più importanti da considerare nella scelta di una buona difesa antivirus. Su Offensive Computing c'è però chi non la pensa alla stessa maniera, sostenendo che è "scandalosamente facile eludere qualsiasi engine antivirus con una quantità davvero misera di lavoro". Una scomoda verità di cui sia le società di antivirus che i malware writer professionisti sono perfettamente consapevoli, senza dover attendere per questo i risultati di un contest come Race to Zero. "Gli unici a non esserne a conoscenza sono i consumatori - continua il post di tale "dannyquist" sul weblog malware-centrico - Scuotere la loro fiducia nello spendere 60 dollari all'anno per gli aggiornamenti è qualcosa che i produttori di AV temono. Ed è per questo che probabilmente gli avvocati verranno coinvolti piuttosto rapidamente nella faccenda". Alfonso Maruccia Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

30-04-2008, 16:03	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	io sostituirei proprio le puntate del poker con queste la vedrei una cosa molto costruttiva che lascerebbe spazio all'approfondimento.. un po' come "american choppers" ma un po' più dettagliato sul perchè si faccia una scelta piuttosto di un altra __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

03-05-2008, 21:04	#10
cloutz Senior Member Iscritto dal: Apr 2008 Messaggi: 2000	come è stato già detto reputo un incontro di questo tipo molto costruttivo... o per lo meno, nel limite del possibile, cerco di ammirarne l'intento costruttivo...che credo sia dare una bella smossa ai produttori di av, per fargli capire verso quale direzione devono(dovrebbero) sviluppare i loro software...e soprattutto quali sono le loro lacune o pti deboli (dalla proattiva all'euristica).. ben vengano i test antivirus, ma ogni tanto un pò di "concorrenza sleale" ci sta... poi ovviamente non vorrei mai che fosse il mio antivirus a dover fare i conti con quei tipi lì Ultima modifica di cloutz : 03-05-2008 alle 21:08. Motivo: .

29-04-2008, 17:24	#2
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Interessante articolo !! Sono proprio curioso di vedere se sarà fatta la gara e chi vincerà !! Anche io ritengo in definitiva fondamentale il "reparto Heuristic" di un antivirus. Anzi credo che test simili siano da incentivare. Anche gli antivirus si devono evolvere per stare in linea con le minacce. Oggi un ottima euristica è la base che tutti gli antivirus dovrebbero avere. Ma solo la base.....c'è modo di svliluppare soluzioni che siano al passo con le minacce. Basta solo volerlo.

01-05-2008, 21:35	#5
Caius_Julius Member Iscritto dal: Dec 2003 Messaggi: 44	Perchè non una convention di provetti terroristi, con un contest dal titolo: "chi usa meno tritolo per demolire il palazzetto". Sono seriamente perplesso, non per quello che quei ragazzi, anche se a volte ragazzi lo erano ieri, potrebbero fare, ma per la facilità con cui informazioni diciamo sensibili saranno scambiate. Non la vedo come una partitina a poker tra amici, ma come un picnic tra gli amici di Pacciani in un collegio di educande. Saro' vecchio e retrogrado ma sono perplesso.....

Strumenti
Mostra una versione stampabile Invia questa pagina per email