Prevenire è meglio di rincorrere: il virus Dorifel e RES

Scritto il 01/09/2012
 

Mi colpisce questo articolo di Grant Tiller della RES sul virus che sta attaccando milioni di PC (mia traduzione domestica, ma fedele):

«C’è un nuovo virus piuttosto pericoloso che sta dilagando chiamato Dorifel. È responsabile del 90% degli attacchi qui in Olanda. È un Trojan particolarmente aggressivo che cifra i files Excel e Word, lasciando l’utente miseramente incapace di lavorare.

«L’attacco è stato velocemente messo sotto controllo grazie alla pronta reazione dei produttori di antivirus, ma la preoccupazione è che il virus prima di essere bloccato abbia già rubato informazioni sensibili quali le carte di credito.

«res-workspace-manager-2012Alla RES siamo stati lusingati nel vedere che il Dutch National Cyber Security Center ha raccomandato l’uso di RES Workspace Manager come metodo preventivo contro questo tipo di attacchi. Il nostro focus infatti è tutto sulla prevenzione piuttosto che sulla cura.

«Durante i quasi sette anni che ho lavorato in RES, ho ricevuto sempre la stessa domanda – perché mai i nostri prodotti non incorporino la funzione di cura – e la mia risposta era sempre la stessa: se è possibile impedire che capiti un problema, allora non serve alcuna cura.

«Una veloce esemplificazione ce la dà Remko Weijnen sul suo blog di gennaio su come usare Excel per attaccare un sistema; e si vede che con RES Workspace Manager bastano pochi click per impedire la manomissione del sistema.

«Ma torniamo a Dorifel. La raccomandazione del National Cyber Security Center è giunta il 16 agosto 2012 dopo che Dorifel aveva già infettato migliaia di aziende, enti locali ed agenzie governative in Olanda. Mentre l’attacco era in corso i consigli vertevano su come prevenirne altri. RES Software non è un produttore di anti-virus, quindi perché RES Workspace Manager come soluzione del problema?

«Il rischio di un attacco da parte di un malware aumenta più aumentano i diritti di accesso dell’utente; l’equilibrio tra i giusti diritti di accesso e la sicurezza sono una questione storica nell’informatica. Gli utenti non vogliono limiti alla loro operatività, quindi il rischio di attacchi è costante. Symantec, azienda che si occupa di antivirus e sicurezza, registrò nel 2010 tre miliardi di attacchi tramite oltre 286 milioni di varianti di virus.

«RES Workspace Manager mette nelle mani degli IT manager uno strumento potente in grado di dare agli utenti il giusto grado di diritti di accesso in quanto questi diritti sono contestuali invece che generici. Ciò è particolarmente utile visto che molte applicazioni si devono richiamare e interoperare tra loro mentre al tempo stesso si deve impedire il lancio di applicazioni sconosciute. Il sistema dei privilegi contestuali è molto flessibile e rende la vita molto più semplice.

«Il mio collega Max Ranzau è stato recentemente colpito da Dorifel e il suo antivirus non l’ha protetto. Mi ha colpito vedere come Max e Helge Klein hanno usato RES Automation Manager per ripulire il loro sistema dal Trojan, mi piace vedere come la gente trovi nuovi modi di usare il nostro software! Statemi puliti.»

Grant Tiller, Senior Product Manager and member of the Office of the CTO at RES

Le mie considerazioni

La funzione che Grant Tiller definisce “protezione contestuale” a Serverlab la chiamiamo “Application Firewall di RES”. La chiamiamo così per chiarirne lo scopo ultimo, si ottiene infatti che:

  1. l’utente non può lanciare programmi non previsti, quindi non lancia inavvertitamente i virus che gli possono arrivare magari anche solo navigando
  2. la sua configurazione è memorizzata in SQL Server, non nel profilo, quindi non si corrompe mai

In ambiente Terminal Server è una funzione vitale, noi la proponiamo sempre, ma anche in ambiente PC è fortemente consigliabile.

Questa applicazione è una voce presente nella versione Gold di RES Workspace Manager.

Qualche dubbio?

Facciamo assieme un test su almeno 10 utenti, sarà una bella sorpresa.

Serverlab