GDATA presenta la tecnologia OutbreakShield

GDATA presenta la tecnologia OutbreakShield

La compagnia tedesca ha presentato AntiVirusKit 2006 e InternetSecurity 2006 che, grazie alla teconologia OutbreakShield, proteggono il sistema da attacchi per i quali non è stata ancora sviluppata una firma virale

di Andrea Bai pubblicata il , alle 14:19 nel canale Sicurezza
 

Nel corso di una conferenza stampa tenutasi nella giornata di Giovedì 29 Settembre a Milano, presso il Museo della Scienza e della Tecnica "Leonardo da Vinci", G DATA ha mostrato alla stampa specializzata i due nuovi prodotti AntiVirusKit 2006 e Internet Security 2006 ed in particolar modo il nuovo sistema di protezione OutbreakShield che permette di mantenere il sistema ancor più al sicuro rispetto a qualunque software antivirus attualmente in circolazione.

G DATA Software AG è una compagnia tedesca fondata nel 1985 che si occupa della realizzazione di software di vario tipo. La compagnia si trova a Bochum ed è composta da un team di circa 50 dipendenti. Negli ultimi anni G DATA è riuscita a vendere più di 4 milioni di prodotti e vanta più di 5.000 punti vendita autorizzati in Germania, Austria e Svizzera. A livello internazionale, G DATA propone i propri prodotti in Giappone, Inghilterra, Italia, Olanda, Stati Uniti e in molti altri paesi.

Abbiamo parlato di "software di vario tipo" poiché oltre al core business principale, rappresentato dai prodotti per la sicurezza informatica, G DATA ha all'attivo una linea di prodotti per l'editing multimediale chiamata DaViDeo.

Come appena detto, comunque, la compagnia fa dei software di protezione informatica la punta di diamante della propria offerta. In particolare la compagnia ha sviluppato l'applicativo AntiVirusKit caratterizzato dalla tecnologia DoubleScan, ovvero una particolare modalità che basa la scansione e il riconoscimento dei virus su due motori antivirus, concessi in licenza d'uso da Kaspersky Lab e da BitDefender. Hardware Upgrade ha già analizzato i prodotti di GDATA, recensendo la suite Internet Security 2005


Ralf Benzmuller

Alla conferenza stampa è intervenuto Ralf Benzmüller che dal 1999 ha lavorato in G DATA alla ricerca e allo sviluppo del programma Logox. A partire dal 2004 Ralf Benzmuller è passato alla ricerca nel campo degli antivirus e si occupa della banca dati virus e delle informazioni aggiornate relative alla sicurezza dei dati sul sito www.antiviruslab.com.

Ralf ha illustrato il principio di funzionamento della nuova tecnologia OutbreakShield che sta alla base del nuovo pacchetto AntiVirusKit 2006. Si tratta di un sistema che permette di proteggere il sistema da attacchi virali già dopo pochi secondi l'individuazione di un nuovo virus.

La realizzazione di questo nuovo sistema di protezione si è resa necessaria poiché qualunque tipo di antivirus, anche quelli tra i più efficaci, sono caratterizzati da una grossa lacuna, ovvero il tempo che intercorre tra l'isolamento di un virus e la disponibilità delle firme virali necessarie a contrastare l'operato del virus. Mediamente si stima un tempo di 4 ore affinché una firma virale venga preparata e distribuita, ma a volte potrebbero essere necessari anche giorni. E' facilmente intuibile che in questo lasso di tempo il sistema può essere bersaglio degli attacchi per i quali la firma virale non è stata ancora realizzata.

Questa lacuna fisiologica è recentemente stata sfruttata in modo via via più massiccio dai creatori di maleware secondo un modello di diffusione che GDATA ha ben circostanziato nel corso dei propri studi relativi ai problemi di sicurezza informatica.

Secondo la compagnia, infatti molte delle recenti minacce informatiche vengono inviate mediante "computer zombie" appartenenti a reti cosiddette Botnet. Con i termini "computer zombie" s’intende un qualunque computer infetto e comandato da remoto tramite una backdoor. Questo computer zombie viene unito dai criminali a reti (dette anche “Botnet”) comprendenti centinaia di migliaia di computer. Secondo una recente indagine dell'azienda Ciphertrust nel solo mese di maggio sono stati avvistati ogni giorno 172.000 nuovi computer zombie.

E' facilmente intuibile come queste reti costituiscano una grossa risorsa, anche in termine computazionale, per i creatori di maleware ed in generale per tutti i malintenzionati che hanno modo di servirsi di strumenti informatici. Le botnet vengono infatti letteralmente noleggiate al fine di sferrare attacchi di tipo Denial-of-Service nei confronti degli utenti dei siti web, per inviare spam o per diffondere malware. In particolare, in relazione alla diffusione di Malware, GDATA ha definito i seguenti punti:

• Molti attacchi virus sono mirati e hanno una dimensione regionale. Non vengono più organizzati a livello globale e spesso si cerca di contenere il numero delle mail inviate in modo che passino inosservate agli occhi delle aziende di antivirus. Attacchi di virus vengono spesso organizzati in determinati paesi o gruppi di persone.

• Molti attacchi durano solo poche ore e in parecchi casi terminano prima che le firme virali siano disponibili presso tutti i fornitori. Un esempio è rappresentato da Bagle.BQ. Il malware infatti ha fatto la sua comparsa ed in poche ore ha raggiunto il massimo della sua diffusione per poi affievolirsi e scomparire. Ad oggi, non tutte le definizioni sono state ancora pubblicate dai produttori di antivirus.

• Una volta conclusosi l’attacco virus, i creatori dei virus iniziano a dedicarsi allo sviluppo della successiva versione della minaccia. Il successore spesso presenta poche modifiche – ma sufficienti affinché non possano essere individuati dalle firme virali correnti. Una volta garantita l'irriconoscibilità della nuova creazione, inizia la successiva ondata dell'attacco. Un esempio di questo modo di procedere è Mytob. Quasi ogni giorno vengono create nuove varianti.

• Invece di un worm completo, le cui dimensioni variano tra 40 KB e 120 KB, alle e-mail nocive vengono allegati programmi di download di trojan dalle dimensioni medie di 4 KBS (i cosiddetti trojan-downloader). Questi programmi di download prima indeboliscono il computer infetto, chiudendo i processi e i programmi di protezione e bloccandone l’avvio. Quindi scaricano il worm e un backdoor. Il vantaggio di questa procedura è che i piccoli file possono essere inviati molto più rapidamente del worm intero.

Per meglio comprendere questo meccanismo, è sufficiente immaginarsi uno scenario costituito da una Botnet di 1.000 zombie e che sfrutta in media una connessione DSL 1000. Ipotizzando che ciascuno di questi computer invia un file da 4 KB, in un’ora verranno inviate 100 milioni di e-mail, mentre per la diffusione delle prime firme virali sarà necessario attendere ancora almeno tre ore, periodo nel quale la mail contenente maleware ha già avuto modo di arrecare un buon numero di danni. L'autore del malware, intanto, è già al lavoro per la realizzazione di una nuova variante del worm.

Ecco allora che OutbreakShield entra in gioco proprio in questa fase. La particolarità di questa nuova tecnologia è rappresentata dal fatto che OutbreakShield non è basato sui sistemi delle firme virali ed è indipendente dal controllo del contenuto delle email: il principio di funzionamento è, infatti, completamente diverso.

Grazie alla partnership con Commtouch, una compagnia specializzata nella realizzazione di soluzioni di emailing, il traffico email su Internet viene monitorato mediante un particolare sistema brevettato da Commtouch. Quando il sistema rileva dei modelli di invio molto simili tra di loro, li estrae dal traffico e li salva all'interno di un database, assieme ad un certo numero di informazioni correlate, come indirizzi IP, dimensioni del messaggio, intestazioni e via dicendo. Se la frequenza con la quale questi modelli di invio si presentano in un arco di tempo definito supera un determinato valore soglia, allora le e-mail interessate vengono classificate come spam o malware. In questo modo, come abbiamo visto, l'analisi, di tipo euristico e comportamentale, è completamente slegata dal sistema delle firme virali e dai sistemi di analisi semantica.

L'implementazione di OutbreakShield in AntiVirusKit 2006 è molto semplice: quando viene ricevuta una e-mail, il software antivirus effettua il tradizionale controllo tramite i due motori antivirus di Kaspersky e BitDefender e se non viene rilevata alcuna minaccia allora la mail passa all'analisi di OutbreakShield che confronta le caratteristiche della mail con le informazioni ricavate dal database di Commtouch. Se il confronto ha esito negativo, la mail viene resa accessibile, viceversa se il confronto con il database dovesse rivelare un certo tipo di corrispondenza con la mail in esame, quest'ultima viene classificata come spam o maleware. In questo modo il sistema viene preservato da attacchi anche nel tempo che intercorre tra l'isolamento di un virus e la disponibilità della firma virale corrispondente.

AntiVirusKit 2006, oltre che come pacchetto singolo, è disponibile anche all'interno della più ampia suite InternetSecuruty 2006, che oltre al software antivirus comprende anche un personal firewall comprensivo di modulo di eliminazione delle tracce, un sistema di AntiSpam e un sistema di controllo parentale. AntiVirusKit è commercializzato al prezzo di €49,95, mentre InternetSecurity 2006 è commercializzata al prezzo di €69,95.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium30 Settembre 2005, 14:39 #1

ma...

se l' e-mail è buona ma per qualche motivo non passa 'sto controllo, che si fa? Viene buttata del tutto o si può recuperare?

E poi, già AVK sfrutta due motori neanche leggeri, mettendoci anche questo non sarà un mattone?

boh, aspettando una (vostra) recensione, mi tengo NOD32 :P
jappilas30 Settembre 2005, 15:00 #2
mah...
a leggerla così, sembra una tecnologia tutt' altro che rivoluzionaria, l' analisi euristica delle firme virali esiste da almeno un decennio

o sarà che con l' ultima serie "l'allegato-è-IL-virus" di codici maligni assortiti erano diventate inutili per qualcuno e finite nel dimenticatoio?

o forse ho capito male io...
Queid30 Settembre 2005, 15:16 #3
Ho provato AVK2005 Pro su windows me, e su entrambi rende il pc inutilizzabile: il computer si blocca poco dopo il riavvio. Testato anche
su installazioni nuove per capire da cosa dipendesse, senza nessun cambiamento. Risultato: 3 licenze da buttare.
Wonda-da30 Settembre 2005, 15:33 #4
-Ho AntivirusKit InternetSecurity 2005 su un aspire 1694 con XP Home e mi trovo benissimo non ho mai avuto nessun problema.

-Confermo invece quello che dice Queid su una seconda macchina con sistema operativo Me tutto si pianta dopo l'installazione.

-Ora attendo una recensione dettagliata di questa nuova versione 2006 e vediamo di aggiornare se è il caso.
Queid30 Settembre 2005, 15:40 #5
Probabilmente lo hanno sviluppato per sistemi operativi "recenti" come xp. Sebbene il supporto mi abbia risposto molto in fretta, la risposta lasciava a desiderare, mi consigliavano di aggiornare i driver....
per le richieste successive mi hanno sempre spedito un link alla loro sezione faq e niente di più.
0rph3n30 Settembre 2005, 15:48 #6
Originariamente inviato da: jappilas]mah...
a leggerla così
Penso abbia capito male tu!
Provo a spiegare quello che credo sia il funzionamento di questo sistema:

1) Il sistema esegue il normale controllo:
Originariamente inviato da: Redazione di Hardware Upg]quando viene ricevuta una e-mail, il software antivirus effettua il tradizionale controllo tramite i due motori antivirus di Kaspersky e BitDefender

2) Nel caso la precedente scansione non abbia rilevato niente di sospetto, il comando passa al sistema OutbreakShield che confronta delle caratteristiche della mail con quelle contenute all'interno del database di Commtouch e viene stabilito se quella mail è
se non viene rilevata alcuna minaccia allora la mail passa all'analisi di OutbreakShield che confronta le caratteristiche della mail con le informazioni ricavate dal database di Commtouch

Il database della Commtouch su cui si appoggia OutbreakShield viene aggiornato in questo modo:
Originariamente inviato da: Redazione di Hardware Upg
Quando il sistema rileva dei modelli di invio molto simili tra di loro, li estrae dal traffico e li salva all'interno di un database, assieme ad un certo numero di informazioni correlate, come indirizzi IP, dimensioni del messaggio, intestazioni e via dicendo. Se la frequenza con la quale questi modelli di invio si presentano in un arco di tempo definito supera un determinato valore soglia, allora le e-mail interessate vengono classificate come spam o malware.

Spero di essere stato utile e non aver creato altra confusione.
zao

*EDIT: apparizione inspiegabile di faccine indesiderate...
BravoGT8330 Settembre 2005, 17:01 #7
io ho appena acquista il internetsecurity e mi trovo bene...

all'inizio è solo una decina di secondi + lento tutto il resto va alla grande
BravoGT8330 Settembre 2005, 17:02 #8
Originariamente inviato da: Opteranium
se l' e-mail è buona ma per qualche motivo non passa 'sto controllo, che si fa? Viene buttata del tutto o si può recuperare?

E poi, già AVK sfrutta due motori neanche leggeri, mettendoci anche questo non sarà un mattone?

boh, aspettando una (vostra) recensione, mi tengo NOD32 :P

è un mattone sui pc datati
capitan_crasy30 Settembre 2005, 17:30 #9
Originariamente inviato da: Queid
Ho provato AVK2005 Pro su windows me, e su entrambi rende il pc inutilizzabile: il computer si blocca poco dopo il riavvio. Testato anche
su installazioni nuove per capire da cosa dipendesse, senza nessun cambiamento. Risultato: 3 licenze da buttare.


il problema non è l'antivirus ma il sistema operativo!
BravoGT8330 Settembre 2005, 17:46 #10
Originariamente inviato da: capitan_crasy
il problema non è l'antivirus ma il sistema operativo!

infatti ME è vecchissimo era meglio win2000 almeno

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^