Nuove tecnologie antivirus al CeBIT 2005

Nuove tecnologie antivirus al CeBIT 2005

Alcune delle aziende impegnate nello sviluppo di soluzioni antivirus hanno presentato novità relative a tecnologie euristiche, kernel rootkits e virus sui dispositivi mobile

di pubblicata il , alle 09:19 nel canale Sicurezza
 

BitDefender ha da poco presentato la nuova tecnologia HIVE (heuristics in virtual environments) che verrà presto implementata nei sistemi "real world".
Nel corso di una breve conferenza stampa lo staff di BitDefender ha a grandi linee presentato la nuova tecnologia, anche se i dettagli sono decisamente scarsi.

"Quello che realmente fa HiVE, detto in termini semplici, è creare all'interno del computer un computer virtuale dove i pezzi di software che sembrano sospetti vengono eseguiti per vedere se cercano di fare una delle cose che i virus e i worm fanno di solito. Dal quel momento in poi, a qualsiasi cosa che assomiglia ad un'anatra e fa il verso dell'anatra noi gli spariamo", ha dichiarato Bogdan Dumitru Direttore tecnico di BitDefender. "Siamo molto preoccupati dal fatto che il numero e la varietà dei nuovi virus continuerà a crescere e dunque siamo sempre alla ricerca di nuove tecnologie che ci portino fuori del consueto paradigma di reazione basato sul riconoscimento delle firme."

La tecnologia HiVE è frutto di due anni di lavoro, e sarà introdotta integralmente alla fine di quest'anno" ha detto Viorel Canja, capo dei laboratori di ricerca BitDefender. "Questo per noi è un territorio nuovo e stiamo procedendo con cautela, ma i primi risultati ci danno molte ragioni per essere ottimisti. I tassi di riconoscimento che abbiamo sperimentato nelle prove sono piuttosto buoni, e ulteriori miglioramenti ci dovrebbero portare a raggiungere l'obiettivo che ci siamo prefissati: raggiungere il 60% di individuazione con HiVE. Ma il miglioramento in termini di tempo di reazione è ancora più importante del tasso di riconoscimento. Una volta adottato HiVE, i nostri clienti saranno protetti dai nuovi virus ancora
prima che i campioni di tali virus raggiungano i nostri laboratori."

La tecnologia HiVE è basata sull'analisi del comportamento in un ambiente virtuale ed è l'evoluzione di un'idea precedente che ha già ottenuto un premio IST nel 2003. La concezione originaria è quella del MIDAS, noto anche come riconoscimento del malware tramite l'analisi del comportamento, ma l'attenzione è concentrata sull'individuazione delle intrusioni.

Il rilevamento euristico dei virus porterebbe a superare il problema relativo all'aggiornamento delle definition list, proprio in merito a questo problema Eugene Kaspersky, CEO di Kaspersky Lab, ha detto la sua nel corso di un breve incontro al Cebit 2005.

Lo staff di Kaspersky ha una task force operativa 24 ore su 24 in ogni giorno dell'anno, questi tecnici sono impegnati nel verificare le segnalazioni di nuovi virus e nel produrre gli update necessari a tamponare l'epidemia.
Diversamente da altre case di antivirus Kaspersky crede che il miglior modo per tenere sotto controllo il "pianeta informatico" sia quello di realizzare un'unico centro di osservazione e sviluppo.
In tali laboratori i team all'opera si dividono le mansioni nel seguente modo: un tecnico è responsabile della realizzazione di un aggiornamento veloce per i software antivirus, mentre un'altra persona è responsabile del lavoro di documentazione ed informazione.

La disponibilità di un update in tempi rapidissimi dall'individuazione del virus e la relativa capacità di divulgare le informazioni in modo efficace sono le nuove frontiere per gli sviluppatori di Kaspersky. Proprio per meglio comunicare ed aumentare il livello di conoscenza in merito alla sicurezza informatica KasperskyLab ha sviluppato "News Agent", un tool che informa l'utente in tempo reale circa le nuove epidemie e permette di accedere in modo assai semplice ad una gran quantità di informazioni disponibili sul sito Kaspersky.com.

L'orientamento comune ai vari produttori di antivirus pare essere comunque quello della rapidità di intervento (si consideri ad esempio che in occasione dell'epidemia MyDoom in 17 minuti necessari al rilascio dell'aggiornamento sono stati infettati migliaia di sistemi), in attesa ovviamente che le tecnologie euristiche dimostrino la propria validità.

La sicurezza avrà sempre più importanza proprio in virtù della sempre maggior diffusione di sistemi mobile, Eugeny Kaspersky ha infatti provato a descrivere il "panorama tecnologico" da qui a qualche anno, immaginando ad esempio software antivirus e sistemi di aggiornamento pensati per palmari, smartphone e tutta la serie di nuovi dispositivi che entreranno nel nostro uso comune.
In tale scenario la sicurezza informatica e le possibilità di business legate a questo delicato settore sono destinate ad aumentare in modo esponenziale.

Anche F-Secure ha scelto il CeBIT 2005 per annunciare un'importante novità tecnologica chiamata F-Secure BlackLight, ideata allo scopo di individuare una delle ultime novità in campo di malware: i Rootkits che, semplificando molto il discorso, possono essere visti come degli elementi installati su un sistema ed invisibili da antivirus o tools simili, che permettono però ad un malintenzionato di effettuare pericolose operazioni sulla macchina agendo da remoto.

Nel corso del recente RSA di San Francisco i principali sviluppatori di software per la sicurezza e la stessa Microsoft hanno manifestato la propria preoccupazione rispetto ai kernel rootkit difficilmente individuabili con le attuali tecniche.

F-Secure ha annunciato la prima release beta di BlackLight che, abbinata alle consuete protezioni antivirus ed antispyware, dovrebbe essere in grado di fronteggiare anche l'ultimo dei pericoli legati alla sicurezza informatica.
Ulteriori informazioni circa BlackLight sono disponibili a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sig. Stroboscopico26 Marzo 2005, 09:33 #1
Hmmmm

Con libero sono 6 mesi che non ricevo un virus...
Oggigiorno comunque mi pare molto più utile un buon firewall che un antivirus.

Ciao e buona Pasqua!
Watt26 Marzo 2005, 09:53 #2

bene

Io di virus ne ricevo eccome, specialmente trojan, non è questione di provider.
Invece a me sembrano utili allo stesso modo, anche perchè svolgono due funzioni totalmente differenti, che si integrano tra loro.

ciao e buona pasqua a tutti
Janos12126 Marzo 2005, 09:54 #3
Pur considerando HiVE di BitDefender una tecnologia interessante credo che il 60% di individuazione di nuovi virus (percentuale non ancora raggiunta) non sia un risultato soddisfacente e tale da indurre gli utilizzatori a pensare che non ci sia bisogno di fare un update dell’antivirus.

Per quanto riguarda F-SECURE BLACKLIGHT Rootkit Eliminator ho scaricato la versione beta ed ho fatto una scansione del mio sistema: non sono stati trovati rootkit sul mio PC.

A volte penso che le società produttrici di antivirus esagerino nel lanciare allarmi o addirittura, con queste notizie, danno loro stesse idee ai malintenzionati per sviluppare malware che poi saranno contrastati dai prodotti già realizzati ad hoc da queste società..

Per fortuna si riescono a trovare antivirus gratuiti che permettono agli utenti più informati di sfuggire a tale logica.
ertortuga26 Marzo 2005, 11:29 #4

Novità?

Quello che realmente fa HiVE, detto in termini semplici, è creare all'interno del computer un computer virtuale dove i pezzi di software che sembrano sospetti vengono eseguiti per vedere se cercano di fare una delle cose che i virus e i worm fanno di solito. Dal quel momento in poi, a qualsiasi cosa che assomiglia ad un'anatra e fa il verso dell'anatra noi gli spariamo", ha dichiarato Bogdan Dumitru Direttore tecnico di BitDefender.

A me non sembra nulla di nuovo...far eseguire il possibile virus in una "sand box" e vedere se ha possibili comportamenti da virus.
Questa è la tecnologia euristica (a grandi linee) ma è già utilizzata da tempo da altri AV (NOD32 Avast!...) dov'è la novità?
Se ho detto imprecisioni correggetemi...;-)
Watt26 Marzo 2005, 12:28 #5
non lo sapevo che avast l'utilizzasse!
non si finisce mai di imparare...
invece mi sembra buona l'idea proposta dal CEO di Kaspersky, che ne pensate?
Firedraw26 Marzo 2005, 14:57 #6
penso che ci otcccherà pagare l'antivirus anche per telefonare con il cellulare. Io mi tengo stretto il mio 8310
Azaroth26 Marzo 2005, 15:40 #7
in effetti non capisco la novità del "computer vrtuale"
come dice ertortuga è una tecnologia vecchia e già
conosciuta, magari ci sono dettagli che nell'articolo
non sono citati...
LASCO26 Marzo 2005, 17:42 #8
E la Symantec che dice? Non se ne parla perché non presenta "novità" interessanti? Tanto con le licenze che paga chi si compra un portatile o un PC brand non avrà problemi di vendite, o almeno a breve e medio periodo.
riva.dani26 Marzo 2005, 20:50 #9
Beh se si parla di sicurezza Symantec non c'entra proprio per niente....
eraser26 Marzo 2005, 21:19 #10

Re: Novità?

Originariamente inviato da ertortuga
Questa è la tecnologia euristica (a grandi linee) ma è già utilizzata da tempo da altri AV (NOD32 Avast!...) dov'è la novità?


forse sarebbe meglio fare differenza tra euristica statica e dinamica

Quella che usano la maggior parte degli av è un'euristica statica, basata sull'analisi del codice virale alla ricerca di particolari opcode o comunque stringhe binarie che rappresentano una particolare azione del codice. Un'euristica dinamica è invece un sistema virtuale, o comunque una parte del sistema, necessaria all'esecuzione del file per registrare i cambiamenti effettuati al sistema.

Fino ad ora un'euristica basata esclusivamente sull'emulazione è la famosa sandbox di Norman (http://sandbox.norman.no)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^