Come sconfiggere i Voldemort della rete

13 Ago 2018

Le fiabe e le storie fantasy hanno da sempre contribuito a demolire il mito dell’invincibilità di loschi faccendieri e malfattori (quanto a noi, da più di vent’anni abbiamo fatto lo stesso, anche se nel cyberspazio). Ogni Voldemort si affida alla protezione del suo diario, del suo anello, del suo serpente, del suo… beh, penso sappiate tutto degli Horcrux. E il successo della vostra battaglia contro i malfattori, siano essi personaggi delle fiabe o virtuali, dipende da due fattori chiave: la costanza e l’intelligenza (vale a dire la tecnologia). Oggi vi racconterò in che modo la costanza e l’intelligenza, sommati alle reti neurali, all’apprendimento automaticoalla cloud security e alle conoscenze specifiche — parti integranti dei nostri prodotti — vi proteggeranno da potenziali cyberminacce future.

 

In realtà, ci siamo occupati di tecnologie di protezione contro cyberminacce future già in passato (più di una voltamolto più di una volta e anche per farci due risate). La ragione per cui siamo così fissati al riguardo la potete ben immaginare.

Il motivo è dovuto al fatto che tali tecnologie sono esattamente ciò che differenzia una protezione solida e robusta da  una finta intelligenza artificiale e da prodotti che utilizzano informazioni rubate per individuare i malware. Identificare la sequenza dei codici utilizzando una firma conosciuta, dopo che il malware si è già introdotto nel sistema e ha iniziato a giocare brutti scherzi all’utente, non serve a nessuno, equivale a pestare l’acqua in un mortaio.

Tuttavia, anticipare il modo di agire dei malfattori cybernetici, imparando a conoscere i punti deboli che loro gradiscono maggiormente e stendere delle reti invisibili in grado di effettuare una rilevazione veloce e automatica, è una cosa che solo pochi operatori del settore sanno fare, triste ma vero. Un numero molto esiguo, in effetti, in base ai risultati di test indipendenti. WannaCry, la più grande epidemia del decennio, ne è un tipico esempio: grazie alla tecnologia System Watcher, i nostri prodotti hanno protetto i nostri utenti contro tale attacco informatico in maniera proattiva.

Il punto chiave è il seguente: Non è possibile avere una protezione così estesa contro minacce informatiche future. Non esiste emulatore o sistema specifico di analisi di Big Data che sia in grado di coprire tutte le possibili minacce. Per fare ciò, le reti invisibili dovrebbero proteggere il più possibile ogni livello e ogni canale, conservando traccia di tutte le attività dell’oggetto nel sistema per evitare che possano creare problemi, mantenendo l’uso di risorse al minimo, zero “falsi positivi” e una compatibilità al 100% con le altre applicazioni per evitare la temuta schermata blu.

D’altronde, anche l’industria dei malware continua a perfezionarsi. I malfattori cybernetici hanno insegnato alle loro creature (e continuano a farlo) come celarsi in modo efficace nel sistema. In poche parole, in che modo mutare la loro struttura e il loro comportamento, come modificare le modalità di azione ed agire lentamente, senza fretta (minimizzando l’utilizzo delle risorse del computer, attivandosi in modo programmato senza dare nell’occhio una volta introdotti nel pc, etc.) e, inoltre, come immergersi letteralmente nel sistema nascondendo le loro tracce e utilizzare metodi “puliti” o quasi. Ma dove c’è un Lord Voldemort, ci sono sempre degli Horcrux  da distruggere per porre fine ai suoi propositi malvagi. La domanda è: dove trovarli?

Qualche anno fa, i nostri prodotti avevano rafforzato il loro arsenale di tecnologie proattive per la protezione contro le minacce informatiche avanzate adottando un’invenzione molto interessante (il brevetto RU2654151). Tale brevetto utilizza un modello comportamentale di oggetti addestrati all’ identificazione accurata di anomalie sospette all’ interno del sistema, la localizzazione della fonte e l’eliminazione anche del “più prudente” dei worm.

Come funziona?

Ogni oggetto lascia delle tracce su un computer quando è attivo. L’utilizzo di hard disk, l’accesso alle risorse di sistema, il trasferimento di file in rete: alla fine, in un modo o nell’altro, ogni tipo di malware, anche il più sofisticato, manifesterà la sua presenza e le tracce non potranno essere rimosse completamente. I tentativi di ripulire le tracce ne genereranno ulteriori e così via, ricorsivamente.

In che modo possiamo capire quali tracce appartengano ad applicazioni legittime e quali a malware? E come assicurarsi che il pc non collassi a causa di una potenza di calcolo insufficiente? Ecco come fare.

L’antivirus raccoglie informazioni relative alle attività delle applicazioni (comandi eseguiti, parametri, l’accesso a risorse di sistema critiche, etc.) e le utilizza per costruire dei modelli comportamentali, individuare eventuali anomalie e calcolare il fattore di rischio. Ma ora vorrei che deste un’occhiata al metodo utilizzato per raggiungere tale obiettivo. Ricordatevi che stiamo ricercando la velocità di esecuzione, non solo l’affidabilità. Qui entra in gioco la matematica o, più specificatamente, i cosiddetti digest .

Il modello comportamentale viene pacchettizzato al minimo, preservando, da un lato, la necessità di informazioni comportamentali approfondite relative all’oggetto e senza richiedere, dall’altro, risorse di sistema consistenti. Anche chi controlla e monitora strettamente le performance del computer non riuscirebbe a rilevare alcun segnale identificativo di tale tecnologia.

Esempio (indicativo):

Il calcolo del fattore di rischio si basa su quattro attributi esterni:

  • Il tipo di oggetto (eseguibile/non eseguibile);
  • Le dimensioni (maggiore/minore di 100kB);
  • La fonte (scaricato da Internet o da un archivio su una unità flash USB);
  • La propagazione (maggiore o minore di 1.000 installazioni sulla base delle statistiche di KSN)

e quattro attributi di comportamento:

  • Se l’oggetto trasferisce i dati in rete;
  • Se l’oggetto legge i dati dall’HD;
  • Se l’oggetto aggiunge dati al registro;
  • Se l’oggetto interagisce con l’utente tramite una interfaccia grafica.

Ad ognuna delle domande possiamo rispondere con “no” (0) o “sì” (1).

Detto ciò, il file app.exe, con dimensioni di 21kB, estratto da otherstuff.zip, rilevato su 2.113 computer, che non legge i dati dell’HD, trasferisce i dati in rete, non ha interfaccia grafica e aggiunge dati al registro, apparirà come segue:

1 0 0 1 1 0 1 0

Se lo rappresentiamo come un numero intero da 8 bit, otteniamo 0b10011010 = 154.  Questo è ciò che chiamiamo digest. Ma contrariamente al classico hashing (MD5 o SHA-1, ad esempio), la nostra tecnologia digest è molto più intelligente. In condizioni reali, vengono registrati migliaia di attributi dell’oggetto, da ognuno dei quali derivano molteplici digest che sono utilizzati da un modello addestrato per identificare i pattern. Il risultato è un modello comportamentale estremamente accurato, ottenuto anche molto velocemente.

Il fattore di rischio rappresenta, nel complesso, una storia a sé, in quanto sia i malware che le applicazioni legittime possono infatti manifestare comportamenti perfettamente identici. Molte applicazioni, per esempio, aggiungono dati alla cartella di sistema. Come possiamo sapere quali lo fanno in quanto parte dei loro compiti legittimi e quante, invece, con finalità dolose?

Innanzitutto, il fattore ha un effetto cumulativo – per essere più chiari, aumenta in modo uniforme. Ciò permette, con il tempo, di identificare i malware di basso profilo senza alcun falso positivo – le attività sospette di piccola entità, come le modifiche del registro di sistema che avvengono ogni volta che si installa un’applicazione, non attiveranno l’antivirus. Il digest che ne deriva è alimentato tramite una rete neurale che è stata addestrata come  una “scatola nera” e che emette un responso in merito al possibile comportamento dannoso o meno dell’oggetto.

Naturalmente la tecnologia ottiene molti benefici da KSN — questo sistema su cloud permette la sostituzione di campioni sospetti, la loro analisi automatica e il perfezionamento della tecnologia stessa, al fine di migliorare l’accuratezza dei responsi. Le funzionalità offerte da KSN sono utilizzate in modo regolare per mettere a punto la rete neurale e far sì che questa venga istruita da altri algoritmi e specialisti. Ciò ci aiuta non solo a individuare i file pericolosi ma anche le sessioni di networking, i comportamenti e altri nanoelementi all’interno di questo puzzle, che ci conducono, inevitabilmente, ai nostri Voldemort presenti in rete.