Il Cryptolocker ha ucciso gli antivirus
“Col dovuto rispetto”: quando si inizia un discorso dicendo “con tutto il dovuto rispetto” normalmente il rispetto è già venuto meno del tutto.
La settimana scorsa ho sentito un vendor che assicurava che il suo firewall aveva a bordo un innovativo sistema antivirus in grado di intercettare il cryptolocker. Con tutto il dovuto rispetto mi sono morso un labbro per non fargli presente che i Cryptolocker, Cryptowall, CryptorBit, TeslaCrypt in questi anni sono passati tutti indenni dai i sistemi di analisi, sia perimetrale (firewall) che installati sui PC.
Ieri leggevo online annunci dei roadshow di TrendMicro che venivano presentati come “Difesa dal cryptolocker” e pensavo fosse uno scherzo. Penso che ogni decente sistemista abbia visto con i propri occhi come abbiamo visto in Serverlab arrivare i CryptoLocker sui PC dei clienti ed aspettare 3, 4, 5 giorni che TrendMicro rilasciasse l’antidoto per rimuoverlo.
L’onestà intellettuale che portò Bryan Dye, senior vice president di Symantec, ad affermare “l’antivirus è morto” nel maggio del 2014 sul Wall Steet Journal è stata poco emulata.
Certi produttori potrebbero tenere un profilo più realistico ed evitare figuracce quale quella che leggo oggi su SC MAGAZINE: in questo articolo Google ridicolizza TrendMicro per aver lasciato una falla banale (remote debugging remote access) nei suoi prodotti:
Google’s Project Zero outs “ridiculous” Trend Micro flaw
In pratica, costoro hanno una falla (flaw) che mette in grado anche un hacker imbranato di eseguire codice da remoto dentro la pancia di Maximum Security, la suite “top” di TrendMicro.
Scrive testualmente Tavis Ormandy, capo progetto di Google Project Zero:
To exploit [it] is really easy in JavaScript. I wrote a very quick example exploit
TrendMicro si è difende dicendo che il baco era presente “solo nel Password manager, che è un prodotto consumer”.
Con tutto il dovuto rispetto, se per TrendMicro i consumatori possono avere un password manager con un baco del genere io lascerei la parola a Fantozzi:
Reinventare la ruota
Il commento di James Maude, senior security engineer di Avecto, l’azienda che ha ripensato dalle fondamenta la protezione dei PC è stato salace:
in the security industry companies often introduce flaws by trying to reinvent the wheel, AntiVirus vendors are known to bypass security features like Microsoft’s PatchGuard in order to make their products work […] We increasingly see virtualisation technologies and hypervisor based products that circumvent the operating system, leading to an entirely different attack surface. Vendors need to work with the platform and environment to improve security, not fight against it and risk instability and compromise
Che in italiano suona: la toppa sopra il buco è peggiore del buco stesso.
In questo articolo McAfee spiega come PatchGuard, il sistema di Microsoft che dovrebbe proteggere il rilascio dei suoi aggiornamenti dall’essere manomessi, consente, per come è fatto, di essere sabotato in Windows 8.1.
Ripensare alla sicurezza partendo dal whitelisting applicativo e dalla intelligente gestione dei permessi è l’unica strategia possibile.