È il 2014 quando gli analisti dell’azienda russa Kaspersky si accorgono della presenza di un malware nei loro sistemi informatici. Il software maligno, denominato Duqu 2.0, era stato creato dall’intelligence israeliana per spiare il colosso degli antivirus che fornisce servizi per la sicurezza informatica a 400 milioni di clienti in tutto il mondo. Tra questi ci sono anche alcuni dipendenti di 22 agenzie governative USA, tra cui il Dipartimento di Stato, il Pentagono e l’NSA (National Security Agency). Quello che scoprono gli agenti segreti israeliani, però, è che i software di Kaspersky sono stati utilizzati dalla stessa azienda russa per monitorare e sottrarre documenti riservati delle agenzie governative americane. In particolare, nel 2015, l’intelligence russa avrebbe messo le mani su alcuni documenti classificati che un dipendente della NSA avrebbe trasferito sul suo PC personale, dove era installato un antivirus della compagnia di Mosca.
I servizi israeliani informarono il governo statunitense e così, a partire dallo scorso settembre, l’amministrazione Trump ha deciso di rimuovere gli antivirus Kaspersky, utilizzati come dei cavalli di troia, dai sistemi informatici di tutte le agenzie governative.
Il Wall Street Journal è stato il primo a pubblicare un articolo sulla vicenda. La Kaspersky ha subito smentito le indiscrezioni con un comunicato stampa. “Non abbiamo aiutato né mai aiuteremo un governo a effettuare operazioni di cyberspionaggio”. Allo stesso tempo, però, il fondatore Evghenij Kaspersky ha ammesso, durante un’intervista con Associated Press, che in un’occasione i suoi esperti hanno scaricato per errore file segreti dell’NSA, durante un’indagine nei confronti di Equaton Group (un’organizzazione criminale dedita ai cyber attacchi).
Come ha affermato Matthew Green, professore di crittografia alla John Hopkins University, in un tweet pubblicato a fine ottobre, “Kaspersky potrebbe anche non collaborare direttamente con Mosca, ma i suoi software sono sicuramente compromessi”. Insomma, i rischi sono enormi proprio perché i moderni antivirus (come appunto quelli di Kaspersky) hanno accesso a tutti i livelli dei sistemi operativi che li ospitano. In un articolo pubblicato su Wired lo scorso ottobre, il giornalista Brian Barrett paragona il meccanismo di funzionamento degli antivirus al sistema di sicurezza di un edificio enorme: “Per svolgere alla perfezione il suo lavoro, deve almeno sapere esattamente cosa succede in ogni parte dell’edificio in un dato momento. Mettere una telecamera in ogni stanza, ad esempio, o persino una guardia. Dovrebbe essere in grado di ispezionare ogni consegna per assicurarsi che non contenga niente di dannoso. In breve, per ottenere una protezione completa, dovrebbe trasformare quell’edificio in un Panopticon”.
Secondo i risultati di un’indagine pubblicata lo scorso anno, 17 software dedicati al mondo delle imprese e 8 antivirus destinati al settore consumer contengono falle nella sicurezza.
E cosa succede se i sistemi di sicurezza sono compromessi? La loro pervasività potrebbe favorire l’intrusione proprio di quei malware (o ransomware) che gli antivirus dovrebbero individuare ed eliminare. È il caso delle vulnerabilità scoperte da Tavis Ormandy, analista informatico di Google, nei prodotti della linea Norton Antivirus di Symantec. Secondo i risultati dell’indagine pubblicata lo scorso anno, 17 software dedicati al mondo delle imprese e 8 antivirus destinati al settore consumer contengono falle nella sicurezza. Alcune di queste vulnerabilità sono superficiali, altre però permetterebbero agli eventuali hacker di controllare in remoto le macchine o inserire dei codici malevoli nel nucleo del sistema operativo di Windows. In un caso particolare, scrive Ormandy, “è possibile sfruttare la vulnerabilità semplicemente inviando un file infetto. La cosa più grave è che la vittima non deve neanche aprire il documento o interagire con il software per installare il virus”. In passato il ricercatore aveva già individuato vulnerabilità e errori anche negli antivirus prodotti da altri colossi del settore come FireEye, la stessa Kaspersky Lab, Mcafee, Sophos e Trend Micro.
Il vero problema, secondo Ormandy, non è tanto la presenza di errori e vulnerabilità nella scrittura dei programmi, ma la scarsa trasparenza delle compagnie che producono gli antivirus. “Le aziende dovrebbero rendere pubblici i loro codici, in modo che i professionisti della sicurezza possano fare ricerca, invece non lo fanno”, scrive.
Gli antivirus avrebbero anche un ruolo attivo nella diffusione delle minacce informatiche. Secondo l’ex sviluppatore di Firefox Robert O’ Callahan, sarebbero talmente invasivi da moltiplicarsi in piccoli pezzi e impedire l’aggiornamento dei browser, con il risultato di mettere a repentaglio la sicurezza dei software stessi. “Durante il mio lavoro su Firefox, stavo implementando delle misure di protezione ASLR (capaci di impedire l’accesso alle funzioni di libreria dei file NdR), ma gli antivirus le rendevano inutilizzabili”, scrive lo sviluppatore in un post pubblicato sul suo blog personale. Secondo Justin Schuh, responsabile della sicurezza di Chrome, gli antivirus avrebbero impedito per più di un anno la creazione di una sandbox (uno spazio sicuro in cui testare gli aggiornamenti) del browser di Google. O’ Callahan scrive che nel 2012 aveva proposto ai suoi colleghi di pubblicare una lista degli antivirus che interferiscono con il browser, ma l’idea è stata bocciata dai responsabili della comunicazione di Mozilla. “Gli utenti associano il concetto di sicurezza agli antivirus e quando c’è un problema, non danno mai la colpa al prodotto ma al browser o al software stesso. E così, le compagnie evitano di portare alla luce i rischi”.
Oggi, gli effetti di un attacco possono colpire migliaia di sistemi informatici in tutto il mondo. L’attenzione da parte di analisti, esperti e agenzie di sicurezza governative non è mai stata così elevata. Eppure non è la prima volta che il mondo degli antivirus viene percepito come inadeguato: già nel 2014 i creatori del popolare marchio Norton Antivirus affidavano ad un articolo pubblicato sul Wall Street Journal il necrologio di un certo modo di intendere la sicurezza informatica. I nuovi prodotti non dovrebbero più limitarsi a proteggere il sistema da una possibile intrusione, ma individuare il virus e rispondere in maniera adeguata. E se da una parte si trattava di una provocazione, dall’altra le percentuali parlano chiaro: gli antivirus rivelerebbero solo il 45% dei malware.
Oggi gli effetti di un attacco possono colpire migliaia di sistemi informatici in tutto il mondo. L’attenzione da parte di analisti, esperti e agenzie di sicurezza governative non è mai stata così elevata.
Ma quali sono le tecnologie utilizzate oggi dalla maggior parte degli antivirus sul mercato? Quella del cosiddetto metodo delle firme (signature) è una delle più diffuse. Consiste nell’analisi di un file attraverso un confronto sulla base delle informazioni presenti all’interno di un archivio in cui sono catalogati i virus. Più grande il database, più efficiente sarà l’azione del software. C’è poi tecnica della sandbox, una procedura che consiste nell’eseguire un file malevolo in una zona protetta (la sandbox appunto) in modo che, sulla base del comportamento di quest’ultimo, l’antivirus riesca a identificare un’eventuale minaccia.
Il data mining rappresenta una delle innovazioni più recenti nel settore. A partire dagli ultimi anni, i prodotti di aziende come Mcafee e Symantec utilizzano algoritmi che apprendono come comportarsi sulla base dell’analisi delle informazioni e dei dati disponibili nel database. Così, l’antivirus migliora ed evolve grazie alla capacità di confrontare le caratteristiche dei software malevoli già classificati con quelle dei nuovi programmi non identificati: è un primo approccio verso l’intelligenza artificiale.
Il futuro della sicurezza informatica sembra essere affidato all’apprendimento profondo (deep learning) di macchine che diventerebbero capaci di aiutare i ricercatori e gli analisti a districarsi tra le migliaia di minacce. Compagnie come Darktrace, Spark Cognition, Jask e Deep Instinct hanno già sviluppato programmi in grado analizzare le fragilità di un sistema, prevedere i rischi futuri e individuare in tempo (quasi) reale i pericoli incombenti. Sembra il miglior sistema di sicurezza possibile, se non fosse che l’intelligenza artificiale è e sarà a disposizione anche degli hacker. E può essere utilizzata in maniera piuttosto subdola: “i nuovi malware sono già in grado di imitare il comportamento degli esseri umani”, dice a Business Insider, il manager di Darktrace Dave Palmer, “possono inviare mail scritte nello stesso modo in cui le scriverebbe un nostro conoscente. Possono conoscere le vulnerabilità presenti non solo nei sistemi informatici, ma anche nei nostri comportamenti”, riuscendo a estorcere così password o dati delicati. E contro le falle dei comportamenti degli esseri umani, non esiste antivirus che tenga.
I più letti del mese
