Lo strano gioco del virus-naming: problemi di incomunicabilità

Lo strano gioco del virus-naming: problemi di incomunicabilità

Nel mondo della sicurezza informatica ogni cosa avviene velocemente: le società antivirus si ritrovano a dover analizzare troppi files infetti senza potersi confrontare

di Marco Giuliani pubblicata il , alle 14:01 nel canale Sicurezza
 

Si è ripetuto più volte all'interno di vari articoli su Hardware Upgrade ma si può notare anche guardando i log del proprio software antivirus: il 2004 è definitivamente l'anno della guerra tra i worm Netsky, Mydoom e Bagle.

Da alcuni dati presi dal sito di Sophos Antivirus si possono contare fino ad ora circa 52 varianti del worm Netsky, 80 del worm Bagle e 49 del worm Mydoom: ad occhio e croce sino ad oggi una media di 16 nuove varianti al mese. Senza contare che molte delle varianti sono state largamente diffuse per molto tempo.
Le società di antivirus cercano di affrontare l'attacco di tutti questi malware impiegando il minor tempo possibile per fornire ai propri utenti un livello di protezione sempre ottimale.

C'è un fattore che però accumuna tutti i clienti delle società di antivirus, una domanda che soprattutto in questo periodo molti si sono fatti: ma la nuova variante del worm come si chiama? Tutti hanno notato che il nome di un virus cambia spesso da società a società. Se per il nome della famiglia dei worm le società si mettono spesso d'accordo, il grosso polverone arriva con le varianti del worm.

Chiunque si sia trovato a dover lottare per eliminare una delle varianti di questi worm si è trovato disorientato per la confusione delle notizie e la disorganizzazione tra le varie società. Problema che si è potuto notare due settimane fa con la diffusione di ben tre varianti del worm Bagle, una delle quali si è diffusa rapidamente in tutto il mondo in pochissime ore.

Anche per le redazioni che cercano di tenere informati gli utenti della diffusione di un nuovo virus il lavoro si complica: ed ecco che un Netsky diventa un SomeFool, un Bagle un Beagle, un Mydoom.AG un WORM_SWASH.A o un Win32.Mydoom.AE. Si è venuta a creare una situazione che di certo non aiuta gli utenti a difendersi dalle minacce informatiche.

Lo spinoso argomento dell'assegnazione dei nomi ai virus è al centro di alcune polemiche, tanto che qualcuno si è permesso di scrivere una lettera aperta di protesta alle società di antivirus. La lettera è apparsa sulle pagine dell'Internet Storm Center del SANS.

Siamo tutti consapevoli del fatto che esattamente una settimana fa c'è stata una insolita diffusione di non uno ma ben tre varianti del worm Bagle che rapidamente si sono diffuse in tutto il mondo. Ora che la nuvola di fumo si è dissolta e gli esperti di sicurezza in tutto il mondo hanno avuto il tempo di riflettere sugli eventi degli scorsi sette giorni, vorrei scrivervi per conto dei vostri clienti svelandovi un piccolo segreto che noi già conosciamo.
Il gioco dell'assegnazione dei nomi ai virus è uscito dal vostro controllo. Se non avete capito di cosa parlo, proverò a spiegarvelo.

Qualche volta durante la guerra tra Bagle e Netsky di quest'anno, i vostri nomi delle varianti non corrispondevano a quelli delle altre società di antivirus. Noi tutti possiamo comprendere come ciò sia successo. Ogni giorno vengono isolati molteplici varianti di questi virus, con i virus writer che cercano di superarsi l'un l'altro in una sorta di gioco bambinesco alla conquista della supremazia; voi fate di tutto per controllare queste ondate di malware nel modo più veloce possibile. Quando però questa guerra dei virus ha subito un rallentamento dovuto all'arresto dell'autore del worm Netsky, i nomi che avete assegnato alle varianti sono rimaste ancora differenti le une dalle altre. I vostri clienti riescono a convivere in questa confusione grazie al lavoro di numerose community quali l'Internet Storm Center, la pagina di informazione sui virus di Secunia, VGrep Online, forum relativi alla sicurezza di MyITforum e newsletter degli antivirus.

Questa ultima ondata di varianti del Bagle della scorsa settimana ci ha però ricordato in quale confusione ci troviamo. Visto che le vostre rispettive società hanno scelto di adottare un atteggiamento isolazionistico e solitamente non condividono le informazioni con le altre società di antivirus, il risultato è quello di lasciare i vostri clienti in uno stato di confusione quale è quello che stanno vivendo ora.

Mentre le nuove varianti del Bagle si stavano diffondendo rapidamente, alcune società ammettevano l'esistenza di queste varianti senza però dare nessun dettaglio su cosa facessero. E la situazione non è cambiata neanche dopo che il livello di allarme è stato alzato.

Altre società invece fornivano più dettagli ma il livello di allarme non corrispondeva a quello delle altre società poiché il numero di samples ricevuti era minore. Ovviamente i loro nomi delle varianti erano differenti dalle altre società, in modo tale da lasciar brancolare nel buio i vostri clienti.

Ancora altre società avevano solo una o due varianti elencate, con diversi livelli di dettagli; ancora una volta i nomi utilizzati erano completamente differenti da altre società. Anche in questo caso i vostri clienti sono rimasti nel buio più totale.
Addirittura per i vostri clienti che utilizzano più di un software antivirus, e posso confermare che ce ne sono parecchi, la confusione è stata addirittura maggiore. Come al solito noi clienti ci siamo attaccati alle poche e confuse informazioni che ci sono state date e, nello spirito di una community, abbiamo tentato di unirle per avere una quadro della situazione più chiaro. Come al solito ci siamo riusciti, anche se a qualcuno di noi sono venuti i capelli bianchi.

Penso di poter parlare per chiunque nella comunità della sicurezza quando affermo che il "dover convivere con tutto ciò" non è più ammissibile. I vostri clienti spendono soldi per i vostri prodotti, non dovremmo lavorare così tanto per capire se siamo veramente protetti.
Noi tutti sappiamo che potete fare molto meglio e vi sfidiamo a farlo.
Con l'aumento dei fenomeni di spyware, spam e gestione delle patch abbiamo già abbastanza problemi con cui convivere.

Dopo queste righe, vorrei farvi una proposta. Visto che il vostro business è basato sulla competizione con le altre società di antivirus, allora forse la scelta di un nome per un virus potrebbe essere vista come una gara tra le società. Per prima cosa avremmo bisogno di una parte neutrale alla quale mandare le informazioni sui virus, come l'Internet Storm Center o il United States Computer Emergency Readiness Team (US-CERT). Il gioco consisterebbe nel fatto che la prima società che manda alla parte neutrale una dettagliata e accurata analisi del virus prima delle altre sceglierà il nome del virus. Questo significherebbe che le altre società dovrebbero fare riferimento come punto di partenza a questa descrizione.

Comunque sia qualcosa va fatto prima che la situazione precipiti. Lavorare tutti insieme come una comunità di professionisti e allo stesso tempo aiutare i vostri clienti. Visto che Microsoft molto presto entrerà nel mondo degli antivirus, noi crediamo che sia nel vostro interesse capire come sistemare questa situazione e fornire una maggiore informazione ai vostri clienti.

Grazie mille per il vostro tempo e la vostra attenzione,
Chris Mosby
Amministratore SMS
moderatore del forum sulla sicurezza MyITforum.

Link alla lettera in inglese

Hardware Upgrade ha ritenuto lecito interpellare le società di antivirus per ricevere una loro risposta su questo delicato argomento. Le società che ci hanno risposto sono state Sophos, F-Secure e Kaspersky Labs.

Sophos ha risposto per mano di Graham Cluley, consulente tecnico della società.

Sophos riconosce il fatto che alcuni utenti potrebbero essere confusi quando diverse società di antivirus chiamano in differenti modi lo stesso virus. Per coloro che non sono personalmente impegnati nell'industria degli antivirus ciò può sembrare in effetti una cosa molto strana.
Sostanzialmente, non è come per gli uragani.

Di uragani ce ne sono pochi ogni anno. Di conseguenza si possono scegliere i nomi in largo anticipo e dire solamente "Oooh! Un nuovo uragano? Allora lo chiameremo tutti Britney".
Inoltre è evidente che tutti stanno parlando dello stesso uragano. "É quello che c'è nel Golfo del Messico..quello è Britney".

Con i virus invece la situazione è totalmente differente: possiamo isolare più di 1000 virus al mese e possono comparire secondo un ordine differente da paese a paese. Per questo è difficile scegliere un nome per ogni virus.

Inoltre non è sempre evidente che il ricercatore in Norvegia sta parlando dello stesso virus che un altro ricercatore ha isolato nel Milwaukee. Ci possono volere diverse ore prima di confermare che si tratti dello stesso virus.

I clienti preferiscono avere una protezione efficiente per il loro pc piuttosto che gli esperti di sicurezza spendere ore in chiamate e congressi per decidere se la variante isolata del Bagle si possa chiamare -AU o -AV.

In aggiunta ci possono volere diverse ore per capire effettivamente cosa faccia un nuovo virus - rispetto al poco tempo che ci può volere per creare una efficacia protezione contro di esso. Cosa preferirebbero gli utenti? Una rapida protezione contro un nuovo pericolo o aspettare parecchie ore fino a quando la società non abbia rilasciato un'analisi dettagliata del virus? Probabilmente la maggior parte dell'utenza sceglierebbe la prima.

Infine, Sophos (e altre società) pubblicano nella scheda di analisi dei virus una lista degli pseudonimi usati anche dalle società concorrenti. Perciò non è poi così difficile capire di quale virus si tratti anche incrociando le analisi di varie società.

F-Secure ha risposto per mano di Mikko Hypponen, direttore dei laboratori di ricerca della società.

Effettivamente noi diamo nomi ai virus tutto il tempo, è parte della routine giornaliera. Il principio basilare che seguiamo è semplice: la società che identifica per prima il virus gli assegna un nome e tutti gli altri seguono questa scelta.
Così è stato per tutti gli anni '80 e '90, quando un virus per diffondersi aveva bisogno di settimane o addirittura mesi.

Purtroppo le cose sono cambiate con i worm che si diffondono via e-mail e attraverso le reti. Ora la maggior parte delle società di antivirus identifica i virus più o meno contemporaneamente. In una situazione simile le società danno un nome ai virus prima ancora di poter comunicare l'un l'altra e questo può creare confusione, soprattutto quando uno stesso virus viene chiamato con cinque differenti nomi.

Le società tentano di minimizzare questo problema rinominando tutti i virus più importanti appena possono, tuttavia la situazione può rimanere in effetti un pò confusa.

Kaspersky Labs ha risposto per mano di Olga Kobzareva, responsabile delle pubbliche relazioni della società.

Quando individuiamo un nuovo virus/worm/trojan dobbiamo inventarci un nome adatto. Se vediamo che il nuovo sample appartiene ad una famiglia già conosciuta aggiungiamo una nuova lettera all'ultima variante conosciuta della famiglia. Di conseguenza abbiamo Bagle.a, Bagle.b e così via. Quando arriviamo alla variante z ricominciamo il giro con una doppia lettera -"Bagle.aa" per esempio.

Se non riconosciamo la famiglia il sample avrà un nome generico, come Backdoor.Win32.Agent, o TrojanDropper.Win32.Small, o Trojan.Win32.Dialer.
In ogni caso abbiamo già un TrojanDownloader.Win32.Small.zm - così questo nome generico è oramai vicino alla variante 'aaa'.

Solitamente nella maggior parte dei casi (99,9% dei casi) non si tratta di niente di urgente. É solamente un nuovo trojan che è stato trovato in pochi computer, niente insomma che necessiti di introdurre un nuovo nome.

Praticamente o il sample appartiene ad una famiglia o gli viene assegnato un nome generico, questo nel 99,9% dei casi.

Se però vediamo che la situazione diventa pericolosa (tipo una nuova epidemia via e-mail) la prima cosa da fare è scegliere un nuovo nome. Qui ci sono due casi:

- Qualche società ha già dato un nome al nuovo sample
- Nessun antivirus individua il sample e bisogna quindi introdurre un nuovo nome

Nel primo caso seguiamo la scelta della società che ha dato il nome (se concordiamo con la scelta). Solitamente le altre società fanno la stessa cosa. Se il nome è sbagliato (una società o un ricercatore può spiegare il perché sia sbagliato) il nome viene scelto a votazione tra i ricercatori delle società di antivirus attraverso contatti e-mail.

Nel secondo caso invece per scegliere un nuovo nome di solito si sceglie qualche stringa che compare all'interno del codice del virus.
Non ci piace usare le stringhe esatte prese dal codice del virus, quindi lo modifichiamo un pò. Per esempio in un worm scoperto recentemente era presente all'interno del codice la stringa "Buchelon" - quindi è stato chiamato "Buchon".

Ci sono poi altri motivi che ci guidano nello scegliere il nome. Per esempio il worm SkyBag è stato chiamato così perché era un misto tra i worm NetSky e Bagle.

E, come nota finale - non è nel nostro stile aprire il dizionario su una pagina a caso e scegliere un nome. In tutti i casi c'è qualcosa di specifico che lega il nome al codice del virus.

Lasciamo agli utenti la possibilità di commentare la notizia e, volendo, di provare a dare qualche suggerimento per migliorare la situazione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dottorpalmito15 Novembre 2004, 14:04 #1
del?
rmarango15 Novembre 2004, 14:10 #2
...del nome
HyperText15 Novembre 2004, 14:14 #3
C'è un errore nel titolo.
eraser15 Novembre 2004, 14:15 #4
si ora correggo
Johnny515 Novembre 2004, 14:34 #5
Sarebbe interessante l'idea di un database internazionale distribuito in cui ogni società registrata inserisce e aggiorna i dati di un virus man mano che ne scopre la caratteristiche.

Se ci si accorge che due virus sono uguali, di fatto vuol dire che una tupla del database è duplicata, e basta fondere le due righe insieme, tenendo come nome quello assegnato dal primo scopritore.

Il problema è la sicurezza, come sempre in questi casi. Pensa che bello poter accedere di straforo ad un db simile e cancellare i dati sul proprio virus che si è creato e che è stato scoperto...

L'altro problema è che se lo facessero veramente... bé che differenze ci sarebbero a quel punto fra un antivirus e l'altro?
bizzu15 Novembre 2004, 15:36 #6
[disinteressato mode ON]
Chiamateli come volete, basta che gli antivirus li trovino!
[disinteressato mode OFF]
Un bel casino cmq, non vorrei trovarmi nei panni degli esperti del settore.
Dr. Halo15 Novembre 2004, 15:40 #7
Originariamente inviato da Johnny5
L'altro problema è che se lo facessero veramente... bé che differenze ci sarebbero a quel punto fra un antivirus e l'altro?

eheeh... è qui che entra in gioco la bonta' di un antivirus. tutti gli antivirus trovano praticamente tutti i virus in circolazione se sono aggiornati a dovere. qualcuno arriverà una settimana dopo, un giorno dopo, alcuni un mese dopo... ma prima o poi ci arrivano. il fatto è come proteggono il pc, quanto incidono sulle prestazioni, sulla memoria, sullo sfruttamento della potenza del processore...
Krakatoa15 Novembre 2004, 16:04 #8
L'altro problema è che se lo facessero veramente... bé che differenze ci sarebbero a quel punto fra un antivirus e l'altro?

Che un antivirus non si valuterebbe/guadagnerebbe popolarità per quanti virus conosce ma su come agisce, quanto è impostabile, quanto è ingordo di risorse di sistema, quanto rompe ogni volta che apro un documento, e così via.
Magari questa mia opinione è opinabile; fatevi avanti.
K.
Krakatoa15 Novembre 2004, 16:08 #9
Per DrHalo: non ti avevo letto, non aveno ancora aggiornato la pagina.
Un po' scrivevo, un po' rispondevo al tel...

K.
Dr. Halo15 Novembre 2004, 16:46 #10
Be' cmq siamo d'accordo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^