Ditemi cosa ne pensate di Adobe Flash e vi dirò se lavorate protetti. Per molta gente, Flash è qualcosa che il browser chiede di aggiornare prima di avviare un video virale. Gli esperti di tecnologia sono soliti andare su tutte le furie al minimo sentore di scarsa sicurezza nella piattaforma. Si tratta di una facile occasione per creare scompiglio.
Di fatto, Adobe Flash è in cima alla nostra lista dei programmi più utilizzati del 2015. Tra le prime posizioni troverete altri nomi noti come Java, Adobe Reader, Microsoft Office e Silverlight. Ma Flash è più conosciuto, affetto da vulnerabilità e non così spesso aggiornato dagli utenti come dovrebbe essere.
Alla luce di tutto questo, siamo lieti di annunciarvi che a Kaspersky Lab è stato assegnato un brevetto per la tecnologia che risulta essere di particolare aiuto per combattere i tipi di exploit che colpiscono in particolare gli utenti di Flash.
BadUSB: problem solved -> https://t.co/Qx890SNJfw pic.twitter.com/MdJ8e1Q4ij
— Eugene Kaspersky (@e_kaspersky) July 8, 2016
In cosa sono diversi gli exploit di Flash?
Siamo felici che ce lo abbiate chiesto. Per rispondervi con parole semplici, abbiamo bisogno di fare un passo indietro nella storia. Esistono praticamente solo due modi per infettare un PC. Il primo metodo ha bisogno del vostro intervento diretto: scaricare e avviare un file eseguibile, aprire un documento con macro dannoso, cliccare su un’URL pericolosa, o altre azioni di questo tipo.
Il secondo metodo non richiede il vostro intervento. In uno scenario del genere, i cybercriminali trovano e sfruttano una vulnerabilità nel vostro sistema operativo o in uno dei programmi che avete installato e che utilizzate. Se un browser possiede una vulnerabilità, sarebbe sufficiente aprire, ad esempio, una sola pagina web pericolosa (i lettori di Kaspersky Daily non saranno sorpresi di sapere che i siti web pericolosi sono davvero tanti).
Il modo più semplice per infettare un PC è farlo su Internet, per cui gli exploit delle pagine web sono molto famosi tra i cybercriminali. Non sfruttano necessariamente le vulnerabilità nei browser; spesso ottengono l’accesso a Java o ai componenti di Adobe Flash Player, responsabili della riproduzione dei file multimediali sul sito web.
#exploit kits spreading attacks for recent #Flash player zero day via @threatpost https://t.co/0s3GOKldGz pic.twitter.com/H5029jCqd1
— Kaspersky (@kaspersky) May 23, 2016
Pensate ai video Flash non come file che aprite in un programma ma come veri e propri programmi. Si scaricano insieme agli altri contenuti del sito web, ma vengono poi eseguiti separatamente, con l’aiuto del componente di Adobe Flash installato nel sistema. Ad ogni modo, il processo è un po’ più complesso. Per avviare in maniera sicura questi programmi, Adobe Flash li esegue nel proprio ambiente virtuale (in altre parole, questi programmi sono avviati su un computer simulato all’interno del computer).
Quindi una macchina virtuale può rendere sicuro Flash?
Bella domanda! Flash esegue i file in un ambiente virtuale protetto perchè avviare il codice dall’intricato mondo di Internet è rischioso. Avviare tutti i codici senza una macchina virtuale significa che qualora un codice scaricato da Internet provasse a fare qualcosa sul vostro computer, non potrebbe accedere ai vostri file e documenti (o ai componenti critici del sistema operativo). Ma tutto questo è solo teorico. In realtà, gli exploit possono aggirare le misure di sicurezza di Flash (ad esempio, la virtualizzazione), usando le vulnerabilità in Adobe Flash.
Wait for it… #Adobe patches 52 #flash vulnerabilities via @Mike_Mimoso https://t.co/qyhs7rY2b8 on @threatpost #IT pic.twitter.com/Qu8D4MeLpp
— Kaspersky (@kaspersky) July 12, 2016
C’è poi un’altra questione: la natura del file e della macchina virtuale di Flash li rende un ambiente adatto in cui nascondere intenti di minaccia provenienti dal sistema. Gli hacker possono anche creare un unico file per ogni vittima.
Questo rappresenta un problema per il rilevamento di un antivirus tradizionale, che si affida ad enormi liste di file per rilevare i malware. Questi milioni di exploit funzionano allo stesso modo, ma sembrano essere diversi dal punto di vista della sicurezza. Inoltre, i programmi di Adobe Flash possono essere scritti in una delle tre lingue di programmazione, e questo aggiunge un’ulteriore complessità al sistema responsabile di rilevare i contenuti pericolosi tra quelli legittimi di Flash.
Cosa si può fare se non ci si può fidare dei nomi dei file e l’ambiente virtuale non è sicuro?
Questa è una domanda che ha sconcertato la comunità di sicurezza per un po’ di tempo. Avevamo bisogno di un modo per identificare la natura dannosamali del codice prima di eseguirlo. In teoria, potremmo avviare il programma nella nostra macchina virtuale prima di trasmettere il codice ad Adobe Flash, ma si tratta di un processo troppo complesso e che richiede molte risorse per l’utilizzo giornaliero. Anche se impiega solo una frazione di secondo, la gente è abituata a voler ricevere la gratificazione immediata online.
Se sembra essere un exploit…
È proprio qui che la nuova tecnologia di Kaspersky Lab entra in gioco. Creata da Anton Ivanon e Alexander Liskin e basata sull’emulazione del codice sospetto, il nostro metodo impiega meno tempo ad analizzare tantissimi oggetti simili che hanno poche differenze tra loro. Gli sviluppatori del metodo utilizzano la macchina virtuale a stack, non per avviare il codice ma per raccogliere informazioni al riguardo.
Dai risultati ottenuti si è visto che gli oggetti pericolosi di Flash non hanno bisogno di essere avviati per manifestare la loro vera natura. Se applicassimo il nostro metodo, anche le modifiche che i programmatori di malware introducono a quasi tutti i campioni di un codice non possono nascondere le intenzioni pericolose del programma.
Per concludere, finché conosciamo un metodo per sfruttare Flash, possiamo bloccare automaticamente tutti i malware che utilizzano lo stesso metodo. Dopo aver integrato questa tecnologia al Kaspersky Internet Security e al Kaspersky Total Security, il nostro tasso di rilevamento di queste minacce specifiche è raddoppiato.
Un altro po’ di storia: le aziende produttrici di Antivirus lottano energicamente per aumentare di piccole percentuali i propri tassi di rilevamento. Raddoppiare il tasso è a dir poco sorprendente.