È sempre utile avere a portata di mano dei veri esperti che rispondano alle nostre domande. A nostra disposizione abbiamo il meglio del meglio, i membri del GreAT, il Global Research and Analysis Team di Kaspersky. Si tratta del gruppo di ricerca dell’azienda che si occupa d’individuare, analizzare e combattere possibili minacce prima che raggiungano i nostri computer.
Ogni giorno Kaspersky Lab riceve oltre 200.000 nuovi esemplari di malware! Abbiamo girato ai nostri esperti alcune domande che abbiamo ricevuto su malware, antivirus e sicurezza.
Mi piacerebbe sapere qualcosa di più sull’ambiente di lavoro degli analisti. Quali SO, browser Internet o altri strumenti utilizzate?
Michael Molsner:
Non siamo legati a impostazioni specifiche, ci serviamo di determinati strumenti in base alle esigenze del momento. Ad esempio, io utilizzo ancora un vecchio computer con Windows 2000, altri con WinXP, Win7, CentOS, Ubuntu e FreeBSD.
In che modo riuscite a trovare nuovi malware?
Roel Schouwenberg:
Con 200.000 nuovi esemplari di malware al giorno, è tutto praticamente automatico. Abbiamo a disposizione diversi tipi di crawler che si occupano di navigare su Internet alla ricerca di nuovi malware. Entrando su tantissimi siti, verificano se sono infetti e catturano eventuali exploit e malware. Abbiamo a disposizione anche vari tipi di honeypot, ad esempio per email e traffico di rete. Quando processiamo un malware che è stato identificato, spesso troviamo URL che ci conducono ad altri malware, che a loro volta vengono processati automaticamente. Noi membri dell’industria anti-malware collaboriamo continuamente, e riceviamo esemplari anche da produttori di antivirus. Infine, e non va sottovalutato, abbiamo segnalazioni da appassionati del mondo anti-malware, tanto professionisti del settore quanto nostri clienti.
Al momento, coloro che disegnano i malware si concentrano più sui PC o sulle piattaforme mobili?
Sergey Novikov:
L’obiettivo di chi progetta un nuovo malware è qualsiasi dispositivo da cui si possano ricavare guadagni o informazioni preziose. Ovviamente sono più appetibili obiettivi facili da hackerare. I proprietari di dispositivi mobili al momento sono meno coscienti dei pericoli che corrono smartphone e tablet e gli hacker approfittano di questa inconsapevolezza. Il 99% degli attacchi ai dispositivi mobili sono rivolti alla piattaforma Android mentre, nel mondo dei computer, Windows è ancora il principale obiettivo in quanto è il sistema operativo più diffuso. Lo scopo di chi progetta un malware è rubare dati bancari, oppure password di account email e di social network. Tutti questi dati vengono rivenduti ad altri criminali che li utilizzano per gli scopi più diversi. Inoltre, gli hacker sfruttano i dispositivi infetti per inviare spam, portare a termine attacchi DDoS o per compiere altre attività criminali. E tutto ciò si può fare utilizzando tutte le piattaforme: ad esempio, abbiamo già identificato botnet che si avvalgono sia di dispositivi Android che di Mac OS.
Qual è la vulnerabilità più comune tra gli smartphone?
Christian Funk:
È ormai una prassi per i cybercriminali utilizzare applicazioni legittime per diffondere malware. Si aggiungono codici maligni ad applicazioni legali e po si ripropongono sul mercato per il download: si diffonde così il malware sfruttando il nome dell’applicazione ufficiale.
Qual è il paese che potrebbe affrontare meglio una guerra cibernetica? Ritienete che le istituzioni e i rappresentanti politici europei siano davvero consapevoli di tutti i rischi? Sono investite risorse sufficienti per far fronte a questo problema?
Vicente Díaz:
Ovviamente nessun paese pubblica informazioni su argomenti così importanti. In ogni caso, è evidente che gli Stati Uniti sono il paese più preparato, ma anche la Cina sta investendo molte risorse in tecnologie informatiche. Seguono paesi come Francia, Regno Unito, Germania, Russia e Israele.
Quali malware sono rivolti a Mac OS X e dove si possono scaricare?
Sergey Novikov:
I computer Mac non sono diversi dai PC Windows per quanto riguarda le minacce a cui possono essere soggetti: abbiamo keylogger, botnet e chi più ne ha più ne metta. L’unica cosa è che il numero di esemplari di malware è minore, ma comunque in costante crescita. E non è vero quello che si pensa comunemente, ovvero che un Mac s’infetta soltanto se il proprio utente scarica il malware; infatti, proprio l’anno scorso la botnet Flashback/Flashfake si è estesa su vasta scala, coinvolgendo circa un milione di Mac, a causa di una vulnerabilità di Java. Ovviamente non dirò qui dove trovare i malware, perché scaricarli è un reato.
Parlando di numeri, la principale minacca ai Mac è sicuramente il phishing, sia via email che attraverso siti Internet falsi. La maggior parte degli utenti Mac hanno una cosa in comune: utilizzano un ID Apple per scaricare software e contenuti. Per questo le campagne di phishing che hanno come oggetto, ad esempio, il recupero dell’ID Apple danno sempre buoni risultati. Alcuni utenti, tra l’altro, forniscono i dati bancari per verificare l’autenticità del proprio ID Apple o per aggiornare le transazioni di pagamento effettuate con l’ID, e questi sono chiaramente operazioni di phishing.
Salve, vorrei sapere come possiamo fare noi utenti a proteggerci dai trojan nascosti in file PDF o in altri tipi di allegati. Grazie.
Stefano Ortolani:
La tua domanda è molto interessante perché molti attacchi sono stati realizzati (e sarà cosi anche in futuro) attraverso documenti Office o PDF. Purtroppo, sia i file PFD che Office, al fine di offrire sempre maggiori funzionalità, richiedono lettori sofisticati ed è più probabile che essi contengano bug sfruttabili dagli hacker. Oltre a installare un buon antivirus, ti consiglio di utilizzare un lettore PDF semplice (ad esempio Sumatra PDF), che non solo è più leggero ma è anche meno esposti a vulnerabilità. Non è la soluzione al problema ma può aiutare.
Come prima linea di difesa, diffida sempre di file e documenti di cui non conosci la fonte.
Roel Schouwenberg:
Il metodo più efficace per evitare problemi è semplicemente disinstallare qualsiasi lettore PDF. È fondamentale avere a disposizione l’ultima versione aggiornata di Adobe Reader e Microsoft Office, poiché sono dotati di sandbox difficili da superare. Disporre dell’ultima versione di Windows può aiutare. Molti consigliano di utilizzare lettori PDF o documenti meno diffusi per evitare gli exploit più comuni. È vero, può essere utile per non essere coinvolti in attacchi malware estesi, ma questa strategia non funziona se si è l’obiettivo di un attacco mirato.
Non mi sono mai imbattuto in un sito di phishing, o probabilmente non me ne sono mai accorto. Alla luce di ciò mi chiedo: senza un antivirus installato, prima o dopo aver essere entrato in un sito, come posso sapere se si tratta di un sito di phishing? Gli antivirus sono utili in tal senso, ovvero posso ricevere un messaggio se entro per sbaglio in un sito di phishing?
Michael Molsner:
Navigare su Internet senza un sistema di sicurezza al giorno d’oggi è molto rischioso. Non lo dico perché voglio vendere il nostro prodotto, ma in quanto ogni giorno rileviamo un numero altissimo di siti legittimi compromessi. Spesso i codici maligni che poi attaccano i computer sono inseriti tra i contenuti legittimi e, senza una protezione adeguata, il computer potrebbe venire infettato anche se l’utente non ha cliccato su alcun contenuto presente nella pagina.
Con un antivirus Kaspersky installato, non t’imbatterai in email di phishing in quanto i nostri prodotti non sono solo semplici antivirus, ma proteggono anche da altre minacce e da contenuti indesiderati. Circa il 99,5% delle email di phishing finiranno automaticamente nel cestino.
In ogni caso, se dovessi comunque cliccare su un link di phishing, con i nostri prodotti visualizzerai una finestra pop-up che ti avviserà dei rischi che il computer corre nel caso tu decida di entrare comunque nel sito.
Dove si trovano maggiormente i link di phishing? Ci possiamo fidare dei link presenti sui siti Internet delle compagnie o dei blog più popolari? I link pubblicitari sui blog sono pericolosi?
Michael Molsner:
Molti link di phishing sono inviati via email ma ci sono anche altre forme, come messaggi diretti o commenti nei forum.
Io non userei mai il verbo “fidarsi” quando si parla di Internet in generale. Anche i siti Web delle compagnie o dei blog più conosciuti possono essere attaccati e sfruttati per diffondere malware. È successo in passato e succederà anche in futuro.
Sono preoccupato dall’idea che siano le stesse compagnie antivirus a creare i malware. Ad esempio, il primo virus di Android è comparso proprio quando è stato lanciato sul mercato il primo antivirus per questa piattaforma.
Vicente Díaz:
Pensiamo a uno scenario ipotetico. Analizziamo circa 200.000 esemplari di malware ogni giorno. Se Kaspersky dovesse creare un nuovo virus, gli utenti non correrebbero a comprare i nostri prodotti solo per questo; di contro, se tutti venissero a sapere che Kaspersky ha creato un virus, la reputazione sarebbe definitivamente compromessa e l’azienda chiuderebbe in poco tempo.
Tutto ciò non avrebbe senso. Viviamo in un mondo dove le minacce arrivano da diversi fronti e ci sono persone che guadagnano approfittandosi degli altri, non vogliamo fare parte di un mondo del genere.
Perché c’è bisogno di una protezione specifica per gli smartphone? Da due anni ho uno smartphone e non vi ho mai trovato nessun virus. Secondo me per questi dispositivi è utile solo l’analisi dei link Web.
Sergey Novikov:
Il fatto che tu non abbia ancora rilevato nessun virus, non significa che questi virus non esistano. Fino ad ora sei stato molto attento oppure molto fortunato. Probabilmente non ti sei accorto dell’infezione dal momento che i cybercriminali s’impegnano molto affinché i propri virus passino inosservati. Alcune backdoor sono progettate per rimanere “silenti” per molto tempo fino a quando poi il cybercriminale decida di utilizzarle.
Va considerato anche un altro aspetto: i dispositivi non protetti diffondono le infezioni ad altri computer della stessa rete. Il tuo smartphone potrebbe far parte di un attacco su larga scala o può star diffondendo un malware senza che tu lo sappia. Per questo ritengo che sia da irresponsabili non dotarsi di un sistema di protezione adeguato: perché essere coinvolti nel cybercrimine?
Cosa rende Kaspersky migliore di Norton o McAfee?
David Emm:
È una domanda a cui è difficile rispondere, perché si potrebbero creare dei conflitti tra aziende. Kaspersky Lab è sicuramente all’avanguardia nella tecnologia anti-malware, basti leggere tutte le ricerche che abbiamo pubblicato su www.securelist.com. Inoltre sviluppiamo nuove tecnologie direttamente all’interno dei nostri laboratori, non le acquistiamo. Per sapere tutte le novità su ciò che facciamo basta leggere il blog personale di Eugene Kaspersky, il nostro CEO. L’alto livello dei nostri prodotti viene confermato anche da vari testi indipendenti, tra cui quelli presenti su www.av-test.org, www.av-comparatives.org, e www.anti-malware-test.com.
Sulla questione adware, Kaspersky ha intenzione di prendere decisioni al riguardo? Ritengo che si dovrebbe fare come un tempo, ovvero questi programmi dovrebbero essere identificati con la dicitura “adware” o “programma potenzialmente indesiderato”. Il problema è che molti adware sono considerati legali ma possono creare comunque problemi ai computer degli utenti perché assieme all’adware vengono installati altri “programmi”.
Vicente Díaz:
Alcuni software come gli adware non sono pericolosi in sé. Di fatto, a volte è difficile determinare cosa è nocivo e cosa no. È evidente che si tratta di programmi fastidiosi e che possono ingannare gli utenti, ma dobbiamo bloccare quelli che possono danneggiare il computer, non quelli fastidiosi. Se la legge consente questo genere di programmi, bisognerebbe fare in modo che le compagnie di antivirus e gli utenti si uniscano per bloccare questi software. Cerchiamo di migliorare i nostri prodotti affinché i dispositivi dei nostri utenti siano sempre più al sicuro. Tra le potenziali minacce ci sono gli adware, e se rileviamo che un adware ha intrapreso azioni pericolose, lo blocchiamo subito.
Cosa suggerisce Kaspersky Lab per rendere le transazioni online più sicure?
Chistian Funk:
Le transazioni online, così come la diffusione di dati sensibili in generale, dovrebbero essere effettuate solo su computer sicuri, e non da Internet Cafe o PC non conosciuti. Quando non si naviga con il proprio computer, non si può essere mai certi del tipo di sofware di sicurezza installato, se tale software è aggiornato o se il computer è già infetto. Inoltre, bisognerebbe accedere al proprio sito di home banking digitando l’indirizzo manualmente. Meglio non utilizzare link provenienti dal Web o da email, potrebbero essere siti o messaggi di posta non inviati dalla banca. Si evita, così, d’incappare nel phishing.
Inoltre, prima di accedere al servizio di home banking, l’utente deve mantenere sempre aggiornati i sistemi di sicurezza e tutte le applicazioni installate sul suo computer. Gli attacchi spesso sono condotti sfruttando le vulnerabilità dei software, una sorta di porta aperta per i malware.
Al giorno d’oggi, gli istituti bancari propongono ai propri clienti diversi sistemi di sicurezza per proteggere le proprie operazioni di home banking, è necessario solo informarsi.
Questi suggerimenti aiutano da un lato a mantenere i dispositivi sempre aggiornati, il che è un bene; dall’altro fanno in modo che i soldi rimangano dove devono stare: nel conto bancario dell’utente.
Perché avete eliminato il sandboxing?
David Emm:
Non abbiamo eliminato il sandboxing, abbiamo apportato dei cambiamenti al nome dato alla tecnologia del sandboxing, da “Safe Run” siamo passati a “Safe Money. Questo cambio rende più intuitivo per gli utenti capire a cosa serve quel tipo di tecnologia, ovvero rendere sicure le transazioni bancarie. Inoltre, questa funzionalità è ora più facile da usare: invece di selezionare l’opzione ogni volta che si accede al sito di home banking, adesso viene attivata automaticamente ogni volta che la transazione lo richiede (si possono aggiungere anche siti per questa opzione ovviamente). In ogni caso utilizziamo il processo di sandboxing nelle nostre procedure di scansione per determinare se un codice possa definirsi maligno o no.
State pensando a plugin, applicazioni o estensioni per prodotti come Kaspersky Internet Security che consentano agli utenti di navigare in sicurezza utilizzando comunicazioni Web criptate?
David Emm:
Mettiamo a disposizione dei nostri clienti una vasta gamma di estensioni per Internet Explorer, Chrome e Firefox:
- Anti-banner: analizza gli indirizzi da cui vengono scaricati i banner;
- Content Blocker: blocca i contenuti provenienti da URL pericolose;
- URL Advisor: verifica l’affidabilità delle URL e, grazie a un sistema a “semaforo”, indica se si può visitare il sito senza problemi o meno;
- Safe Money: garantisce transazioni online sicure;
- Virtual Keyboard: fa in modo che le password non possano essere lette da un keylogger.
Un malware può essere identificato da un antivirus attraverso la firma. Perché quindi chi crea un malware dovrebbe usare una “firma”? Tutti i software hanno una firma, in che modo un antivirus classifica una firma come pericolosa oppure no? Cosa manipola realmente un malware?
Roel Schouwenberg:
La firma è ciò che identifica univocamente un malware o una famiglia di malware. Ci sono firme di vario tipo. Per individuare un malware ci si avvale del codice che utilizzare un algoritmo specifico. Una firma viene creata per individuare alcuni comportamenti del sistema. La maggior delle fime oggigiorno sono intelligenti. Riusciamo a individuare migliaia di file maligni diversi con una sola firma.
Noi decidiamo solo come individuare i file. Se un malware complica l’analisi, creiamo una firma basata sul codice o sul comportamento del malware. In questo modo chi ha creato il malware deve adottare altri stratagemmi per evitare che esso venga individuato.
Ci avvaliamo sia di liste bloccati che di liste consentiti. Grazie ai database di liste consentiti più ampie, è più facile per noi procedere con la scansione, evitando i falsi positivi e prestando maggiore attenzione ai file sconosciuti.
Come posso proteggermi dagli attacchi DDoS?
Roel Schouwenberg:
Il problema dei DDoS è abbastanza difficile da risolvere. Gli attacchi DDoS si differenziano molto tra loro per grandezza e tipologia. Se un hacker prova a inondare il servizio con traffico di rete, dovrai lavorare o spostarti su un provider di servizi con esperienza in mitigazione DDoS. In casi di questo genere, IDS/IPS possono essere d’aiuto.
Mantenere le porte aperte comporta esporsi a vulnerabilità?
Roel Schouwenberg:
I programmi sono responsabili dell’apertura delle porte. La domanda da porsi, quindi, è se ci si può fidare di programmi di questo genere. Se un malware apre una porta il sistema è vulnerabile. Quando un programma legittimo apre una porta, bisogna capire di quale tipo di programma si tratta e se l’apertura di questa porta a Internet è davvero necessaria. La maggior parte delle volte la risposta a tali quesiti è no, per questo è importante attivare un firewall, presente al giorno d’oggi nella maggior parte degli antivirus.
L’ antivirus Kaspersky per Android protegge dal malware Obad?
Sergey Novikov:
Certo che sì! Kaspersky Internet Security per Android protegge dall’Obad, un malware non poi così raro.
Avete intenzione di sviluppare un browser sicuro da integrare a Kaspersky Internet Security?
Sergey Novikov:
No, non abbiamo questo progetto. Siamo una delle aziende leader in quanto a sicurezza e non vogliamo disegnare nessun altro software. Ciò che possiamo fare è rafforzare i browser più diffusi con un livello di sicurezza maggiore, ad esempio attraverso la tecnologia Safe Money.
Avete intenzione di sviluppare un antivirus per Internet che risieda nei Web server in modo tale che i web developer possano proteggere i propri da eventuali attacchi?
Sergey Novikov:
Non sono a conoscenza di un progetto del genere per Kaspersky. In realtà si può aprire un dibattito su cosa serva per garantire la sicurezza dei siti Web e cosa no. Lo so, la maggior parte dei web developer, per questioni di budget, non fanno molto caso alla sicurezza. Posso darti comunque qualche consiglio su come migliorare la sicurezza dei siti Internet. Utilizza password lunghe e complicate per il tuo FTP, per la tua console di amministrazione e per le altre impostazioni del server. Aggiorna regolarmente il software del server (compresi gli script, come il CMS). Sembra una sciocchezza, in realtà i siti Internet minori spesso sono trascurati per anni e sono le vittime ideali degli hacker. Inoltre, proteggerai anche gli altri utenti, che non visiteranno siti infetti.
Come bisogna comportarsi con i RansomWare?
Christian Funk:
Se il tuo computer viene infettato, procurati una soluzione antivirus moderna ed efficace; aggiorna il sistema operativo, i browser e le applicazioni. Se il ransomware blocca il tuo account utente e non puoi più accedere al sistema, puoi scaricare il nostro CD gratuito di ripristino, che ti consente di scansionare e pulire l’hard disk dall’esterno attraverso un boot Linux.
Sergey Novikov:
Abbiamo sviluppato una tecnologia generica che sarà disponibile nella prossima versione di Kaspersky Internet Security. Dovrai digitare una specifica combinazione di tasti per sbarazzarti dei processi in foreground in corso (un’applicazione ransomware).
Windows 8 è sicuro? Sono in programma futuri miglioramenti in vista della versione Windows 8.1?
Sergey Novikov:
Windows 8 è stato disegnato utilizzando buoni sistemi di sicurezza. Lo abbiamo testato a fondo e abbiamo rilevato grandi miglioramenti rispetto a Windows 7, per no parlare delle versioni precedenti. Purtroppo, è praticamente impossibile progettare un prodotto perfetto, e gli hacker hanno già trovato la maniera di compromettere anche Windows 8. Per questo è necessario disporre sempre di un software di protezione. Non posso dire nulla della versione 8.1, perché si tratta di una versione beta.
Ho sentito in TV che alcuni hacker russi riescono a penetrare la sicurezza di un PC in trenta minuti, e la cosa mi spaventa. Ho installato sul mio PC un prodotto Kaspersky, posso considerarmi al sicuro? Di cosa dovrei preoccuparmi?
Michael Molsner:
Non siamo mai al 100% al sicuro. Naturalmente, con un prodotto Kaspersky, la tua attività online è molto più protetta.