Perché è necessario un motore per la ricerca degli Exploit

INTRODUZIONE

Gli autori di virus stanno usando tecniche sempre più complesse e raffinate nel loro tentativo di aggirare i software anti-virus e diffondere i propri virus. Un esempio in tal senso è costituito dal noto virus Nimda che ha utilizzato molteplici metodi per diffondersi. Il suo comportamento era molto più vicino ad un exploit che un virus/Trojan, eludendo pertanto il controllo anti-virus che tipicamente si occupa di questi ultimi. Gli strumenti per la sicurezza e-mail devono essere perfezionati se s'intende bloccare tale minaccia prima che causi danni irreparabili. Un software anti-virus, in ogni caso essenziale, non è in grado di combattere tali minacce da solo; uno strumento per la scoperta di e-mail exploit è anch'esso necessario.

CHE COSA E' UN EXPLOIT ?

Un exploit usa le vulnerabilità conosciute di applicazioni o sistemi operativi per eseguire un programma o un codice. Tale codice "exploit", ossia acquisisce illegalmente il controllo di una caratteristica di un programma o del sistema operativo per scopi propri, in questo modo è possibile eseguire ad arbitrio codice macchina, lettura/scrittura di file presenti sull'hard disk, o avere accessi illeciti.

CHE COSA E' UN E-MAIL EXPLOIT ?

Un e-mail exploit è un exploit lanciato via e-mail. Un e-mail exploit è essenzialmente un exploit che può essere allegato in un e-mail, ed eseguito sul computer ricevente una volta che l’utente ha ricevuto e/o aperto l’e-mail. Questo consente all’hacker di bypassare la maggior parte dei prodotti anti-virus e firewall.

DIFFERENZE TRA SOFTWARE ANTI-VIRUS E SOFTWARE PER LA RICERCA DEGLI E-MAIL EXPLOIT ?

Un software anti-virus è realizzato per individuare codici dannosi CONOSCIUTI. Un motore per e-mail exploit ha un approccio differente: esso analizza il codice per l'exploit che PUÒ ESSERE dannoso. Questo significa che può proteggere da nuovi virus, ma soprattutto, può proteggere da virus/codici dannosi SCONOSCIUTI. Questo è fondamentale poiché un virus sconosciuto può essere un'unica parte di un codice, realizzato appositamente per danneggiare il vostro network. Un software per la ricerca di e-mail exploit analizza le e-mail alla ricerca di exploit - per esempio, ricerca i metodi usati per "exploit" il sistema operativo, il client e-mail o Internet Explorer - che possono consentire l'esecuzione di codici o programmi sul vostro sistema. Esso non esamina se il programma è dannoso o no. Semplicemente, se l'e-mail sta utilizzando un exploit per eseguire un programma o un'unica parte di un codice, rileva la presenza di un rischio per la sicurezza.

In questo modo, un motore per e-mail exploit lavora per scoprire le intrusioni nel sistema tramite e-mail. Un tale motore può causare falsi allarmi, ma aggiunge senza dubbio, un nuovo livello di protezione che non è normalmente contenuto in un pacchetto anti-virus, semplicemente perché utilizza un metodo completamente diverso per la sicurezza e-mail.

I motori anti-virus forniscono protezione contro alcuni exploit ma non rilevano tutti gli exploit ed i vari attacchi. Un motore per la scoperta degli exploit ricerca ogni exploit conosciuto. Poiché un motore per exploit è ottimizzato per la ricerca di e-mail exploit, significa che può realizzare tale lavoro molto meglio di un generico motore anti-virus.

Un motore per exploit richiede aggiornamenti meno frequenti rispetto ad un motore anti-virus, questo perché più che riguardare uno specifico virus esso si riferisce ad un 'metodo'.

Sebbene l'aggiornamento dei motori anti-virus e di exploit richiede operazioni molto simili, i risultati sono differenti. Una volta che un exploit è stato identificato ed integrato in un motore di exploit, tale motore è in grado di proteggere da tutti i nuovi virus basati sull'exploit conosciuto. Questo significa che un motore per exploit bloccherà il virus prima ancora che il motore anti-virus si renda conto del pericolo, e certamente prima che l'anti-virus sia aggiornato per contrastare l'attacco. Questo costituisce un vantaggio fondamentale, così come illustrano gli esempi seguenti verificatesi nel 2001.

LE LEZIONI DI NIMDA E BadTrans.B

Nimda e BadTrans.B sono due virus che sono diventati enormemente famosi nel mondo Internet nel 2001, infatti, infettarono un numero impressionante di computer con accesso ad Internet. Il solo Nimda, secondo l'agenzia di ricerca Computer Economics (USA, 2001), ha infettato circa 8,3 milioni di network nel mondo.

Nimda è un worm che utilizza metodologie multiple per infettare automaticamente altri computer. Si può moltiplicare e diffondere via email tramite l'uso di un exploit realizzato ed emesso mesi prima dell'attacco, l'exploit MIME. BadTrans.B è un warm di mass-mailing che si diffonde grazie al reinvio dell'exploit MIME. BadTrans.B è il primo warm ad essere comparso dopo lo scoppio di Nimda.

Grazie alla loro rapida diffusione, sia Nimda che BadTrans.B colsero di sorpresa i produttori di anti-virus. Infatti, sebbene i produttori cercassero di aggiornare i propri anti-virus mano a mano che acquisivano informazioni su ognuno di loro, durante il tempo per la realizzazione degli aggiornamenti i virus avevano già contagiato un gran numero di computer.

Sebbene entrambi i virus utilizzassero lo stesso exploit, i produttori di anti-virus dovevano comunque realizzare un file di aggiornamento per ognuno di loro. Utilizzando invece un motore per la scoperta di exploit, si sarebbe potuto riconoscere l'exploit usato ed evitare il tentativo di esecuzione automatica dei file eseguibili attraverso il reinvio dell'exploit MIME.

TEST DI VULNERABILITA' AGLI EXPLOIT

Si può facilmente testare se il vostro sistema è vulnerabile o meno agli exploit descritti sopra, e/o a minacce ed e-mail exploit simili. GFI ha realizzato una zona test che consente a tutti di verificare la sensibilità del proprio sistema alle e-mail exploit quali alterazioni degli header MIME, exploit active, file CLSID, ed altro. I test eseguibili in tale zona sicuri e non provocano alcun tipo di danno. Con questi test si può facilmente conoscere se il vostro sistema è al sicuro o meno da un numero consistente di minacce e-mail.

E' possibile realizzare i test al sito: http://www.gfi.com/emailsecuritytest/.

GFI MailSecurity

Il primo prodotto per la sicurezza contro gli e-mail exploit è GFI MailSecurity for Exchange/SMTP. Si tratta di un pacchetto software che tra i quattro elementi chiave, realizzati per fornire una protezione completa contro le minacce via e-mail, include un motore per la scoperta degli exploit.

Realizzato dalla GFI, tra i principali ricercatori nel campo degli exploit, questo primo motore per aziende rileva le firme degli exploit conosciuti e blocca tutti i messaggi contenenti tali firme. La maggior parte delle minacce identificate dal motore exploit di MailSecurity non è individuata da nessun altro programma presente oggi sul mercato.

Connesse a questa caratteristica innovativa, GFI MailSecurity for Exchange/SMTP include anche multipli motori anti-virus, per garantire una più alta percentuale di scoperta ed una più veloce risposta ai nuovi virus; controllo del contenuto della posta e degli allegati, per mettere in quarantena gli allegati ed i contenuti pericolosi; un motore per le minacce HTML, per disabilitare gli script HTML; uno Scanner per i Trojan & gli Eseguibili, per scoprire gli eseguibili potenzialmente pericolosi; ed altro. GFI MailSecurity è disponibile come versione gateway SMTP e per VS API (Exchange 2000/2003). La versione gateway dovrebbe essere dispiegata nel perimetro del network come un relay del server di posta e controllare la posta in entrata ed uscita.

Ulteriori informazioni ed una versione di valutazione sono disponibili a: http://www.gfi-italia.com/italia/mailsecurity/.