{"id":17362,"date":"2019-05-28T11:17:20","date_gmt":"2019-05-28T09:17:20","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17362"},"modified":"2019-11-22T10:52:27","modified_gmt":"2019-11-22T08:52:27","slug":"emulator-technology","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/emulator-technology\/17362\/","title":{"rendered":"La nostra nuova tecnologia di emulazione: il peggior incubo dei malware pi\u00f9 insidiosi"},"content":{"rendered":"

Vi siete mai chiesti perch\u00e9 i virus informatici vengono chiamati, per l\u2019appunto, \u201cvirus\u201d? A dire il vero, al giorno d\u2019oggi la parola virus \u00e8 utilizzata in maniera impropria per riferirsi a \u201cpraticamente qualsiasi tipo di programma dannoso o per descrivere qualsiasi azione dannosa di un programma su un computer\u201d.<\/em> Ho preso questa definizione dalla nostra enciclopedia<\/a>.<\/p>\n

In realt\u00e0 (sempre prendendo spunto dalla nostra enciclopedia), \u201cin senso stretto\u2026 un virus si definisce tale quando il codice del programma \u00e8 in grado di autoreplicarsi<\/strong>\u201d <\/em>e di diffondersi, cos\u00ec come fa un virus biologico, tipo quello dell\u2019influenza.<\/p>\n

La particolarit\u00e0 \u00e8 che i virus in quanto tali sono scomparsi dalla circolazione parecchi anni. Oggigiorno abbiamo a che fare con programmi dannosi che non si autoreplicano ma dispongono di funzionalit\u00e0 piuttosto insidiose che consentono loro di rubare i dati dal vostro computer o di cancellarli completamente (come fa, ad esempio, un Trojan). Eppure, ancora oggi, se chiedete a qualcuno di pensare a un\u2019immagine da relazionare alle \u201ctecnologie di sicurezza informatica\u201d, spesso queste immagini mostrano scienziati in camice da laboratorio <\/span>tuta isolante<\/a> che recintano una zona in quarantena e con delle provette in mano, insomma tutto ci\u00f2 che ci viene in mente quando si parla di \u00a0maneggiare dei virus biologici.<\/p>\n

Insomma, avete capito: i virus sono ormai molti e sepolti ma i metodi di analisi che si utilizzavano per la loro identificazione e disinfezione <\/em>(altro termine preso in prestito dal mondo della microbiologia<\/em>!), continuano a esistere, si evolvono e ancora oggi sono indispensabili per la lotta ai virus<\/span> malware del mondo di oggi. L\u2019emulatore<\/a> fa parte di queste tecnologie \u201cold school\u201d.<\/p>\n

In breve, l\u2019emulazione \u00e8 un metodo per scoprire minacce fino ad allora sconosciute: in un ambiente virtuale (\u201cemulato\u201d) che imita quello di un computer reale viene immesso un file dal comportamento sospetto (insolito e non abituale). Qui l\u2019antivirus* osserva il comportamento del file (on the fly, ma lo vedremo dopo) e se identifica un\u2019attivit\u00e0 pericolosa, lo isola per effettuare ulteriori indagini.<\/p>\n

Vedete l\u2019analogia che esiste con la virologia microbiologica? Perch\u00e9 iniettare un potente antidoto con un sacco di effetti collaterali in un paziente che potrebbe<\/em> avere una certa malattia, non \u00e8 detto che ce l\u2019abbia? Meglio l\u2019emulazione in vitro e vedere prima cosa succede per poi <\/em>somministrare la medicina pi\u00f9 idonea.<\/p>\n

Tuttavia, la sfida da accettare \u00e8 la stessa della microbiologia: bisogna assolutamente far s\u00ec che l\u2019ambiente emulato somigli il pi\u00f9 possibile a quello reale, altrimenti i file dannosi potrebbero rendersi conto che si tratta di una simulazione e agiscono di conseguenza, ovvero nel modo pi\u00f9 innocente possibile. Ci occupiamo di emulazione da diversi anni <\/span>decenni ormai e, senza cedere alla falsa modestia, siamo in testa a questa gara. Siamo dei grandi!<\/p>\n

Il primo emulatore al mondo l\u2019ho sviluppato questo signore che vi scrive<\/em> nell\u2019epoca DOS, nel 1992. Presto gli esperti di tutto il mondo hanno iniziato a parlare del tasso di identificazione del nostro antivirus (s\u00ec, ai tempi erano ancora \u201cantivirus\u201d nel vero senso della parola) che ha scatenato la concorrenza nei test indipendenti, e questo in parte grazie all\u2019emulatore.<\/p>\n

Con il passare del tempo e il panorama delle minacce ha iniziato a farsi pi\u00f9 complicato: i virus sono stati sostituiti dai worm di rete, dai Trojan e da altre minacce complesse. Nel frattempo, la gamma di computer\/dispositivi mobili\/Internet delle Cose e di tutte le altre tecnologie digitali si \u00e8 ampliata di parecchio e allo stesso modo \u00e8 aumentata la concorrenza nel settore degli emulatori. Lo abbiamo adattato alla nostra sicurezza su cloud KSN<\/a>, gli abbiamo insegnato nuovi linguaggi di programmazione, lo abbiamo reso famigliare ai nuovi browser e agli altri oggetti<\/a> del sistema operativo\u2026 \u00a0tutto per identificare automaticamente tipi di malware mai visti prima. Niente intelligenza artificiale<\/a> di paccottiglia<\/a>, tanto duro lavoro svolto con criterio che ha portato alle innovazioni della vera HuMachine<\/a>. \ud83d\ude0a<\/p>\n

\"Cos'\u00e8<\/p>\n

\u00a0<\/p>\n

Al giorno d\u2019oggi, in pochi tra la concorrenza possono vantare di una tecnologia del genere e non c\u2019\u00e8 da meravigliarsi: l\u2019emulazione \u00e8 un compito molto difficile che richiede anni di esperienza, l\u2019integrazione nei prodotti di punta richiede tempo e uno sviluppo costante. E poi molte aziende entrate da poco nel settore della cybersecurity preferiscono investire nel marketing basato solo sulle parole<\/a>: a breve termine, questo approccio offre un impulso notevole al business, ma non si possono ingannare gli utenti per molto tempo: alla fine si verifica un errore e scoppia il caso. Mettiamola in un altro modo, se una compagnia di cybersecurity \u00e8 dotata del suo emulatore, il livello di esperienze e maturit\u00e0 di chi lo ha sviluppato sar\u00e0 sicuramente notevole. Viceversa: niente emulatore = poca esperienza, poche conoscenze e poca vita nel settore.<\/p>\n

Ma sto divagando\u2026<\/p>\n

Sebbene miglioriamo costantemente il nostro emulatore, dall\u2019altra parte della barricata i cybercriminali non stanno certamente a girarsi i pollici. Proteggono attivamente i loro affari e le loro operazioni di cyberspionaggio, il che implica anche provare a difendersi dal nostro emulatore.<\/p>\n

I creatori delle minacce pi\u00f9 avanzate utilizzano una serie di trucchi anti-emulatore per riconoscere l\u2019ambiente da \u201cprovetta di laboratorio\u201d (ad esempio lanciano una funzione non documentata, verificano l\u2019autenticit\u00e0 delle richieste di modifica dei registri del processore, analizzano i codici degli errori, vanno alla ricerca di un codice specifico in memoria, utilizzano \u201cbombe logiche\u201d per fare entrare l\u2019emulatore in un loop infinito etc.). Se il malware percepisce che c\u2019\u00e8 qualcosa di sospetto, blocca subito le funzionalit\u00e0 dannose per non farsi scoprire.<\/p>\n

Siamo consapevoli che esistono queste tattiche e vi prestiamo attenzione costantemente, adattando l\u2019emulatore a questi trucchi e migliorandolo sotto altri punti di vista (cercando di ridurre innanzitutto il consumo di risorse). Ad esempio, per renderlo pi\u00f9 veloce utilizziamo differenti limiter, ottimizzatori e profili di configurazione, che possono anche essere disattivati completamente in situazioni in cui il rallentamento \u00e8 negativo alla stregua della famosa schermata blu della morte<\/a>.<\/p>\n

Nel frattempo, l\u2019altro giorno i nostri guerreri dei brevetti<\/a> ci hanno dato buone notizie provenienti dal fronte dell\u2019emulazione: abbiamo ottenuto un brevetto (US10275597<\/a>) per un emulatore di codice programma in grado di interpretare gli oggetti sconosciuti! Da quel che so, nei prodotti della concorrenza non esiste una funzionalit\u00e0 del genere: per difendersi dai trucchi anti-emulatore dei malware, la concorrenza deve lavorare pi\u00f9 e pi\u00f9 volte sull\u2019intero <\/em>emulatore e, naturalmente, non si tratta di un processo veloce. Invece noi abbiamo insegnato al nostro emulatore ad aggiornarsi da solo on the fly<\/em> a partire da un database locale! Una funzionalit\u00e0 estremamente utile e non abbiamo motivi per non parlarvene, perch\u00e9 la nostra forza \u00e8 proprio rendervi partecipi dei metodi che utilizziamo per proteggervi! \ud83d\ude0a<\/p>\n

Alcuni file non vengono distribuiti nel codice della macchina<\/em> ma direttamente nel codice sorgente<\/em>. Per eseguire questi file sul computer \u00e8 necessario un interprete (JavaScript o VBA, ad esempio) che traduca questo codice in tempo reale in un linguaggio comprensibile per la macchina e, indovinate un po\u2019, spesso i malware si trovano in questi file.<\/p>\n

Per identificare questo tipo di minacce sconosciute, anni fa abbiamo creato un emulatore di codice programma che esamina \u201cin provetta\u201d i file prima di eseguirli. Tuttavia, l\u2019emulazione dell\u2019interprete richiede un dispendio eccessivo di risorse e il ritardo nel caricamento delle pagine web con script potrebbe provocare frustrazione nell\u2019utente di Internet. Per questo motivo, gli emulatori di solito ricreano una versione intermedia dello spazio virtuale, accettabile in termini di prestazioni e di qualit\u00e0 della protezione. Cosa succede se l\u2019emulatore si imbatte in un oggetto sconosciuto, un metodo o una funzione all\u2019interno del codice, la cui interpretazione \u00e8 assolutamente fondamentale per effettuare l\u2019analisi completa del file?<\/p>\n

Abbiamo risolto il problema in un altro modo, con l\u2019aiuto di un interprete \u201cintelligente\u201d in grado di apprendere velocemente a emulare oggetti di questo tipo. Durante l\u2019aggiornamento mediante il cloud di KSN, il prodotto riceve il codice ausiliario nel linguaggio dell\u2019oggetto che si sta analizzando (JavaScript, VBA, VB Script, AutoIt etc.) e, con queste nuove conoscenze a disposizione, analizza nuovamente il file. Nei casi pi\u00f9 difficili, quando non \u00e8 stato ancora possibile ricavare il codice ausiliario, il compito passa ai nostri analisti che sviluppano il codice e lo aggiungono prontamente al database.<\/p>\n

In questo modo, gli utenti hanno a disposizione una tecnologia robusta ed estremamente veloce capace di rispondere rapidamente alle cyberminacce, senza dover attendere la release successiva dell\u2019intero emulatore. Fantastico!<\/em><\/p>\n

* La parola \u201cantivirus\u201d \u00e8 ormai un altro arcaismo appartenente all\u2019epoca dei virus informatici. Gli antivirus moderni non proteggono solamente dai virus ma da tutti i tipi di malware; inoltre, dispongono di tante altre funzionalit\u00e0 di sicurezza davvero utili come password manager<\/a>, VPN<\/a>, parental control<\/a>, backup<\/a> dei dati etc. Per essere pi\u00f9 precisi, quindi, un buon \u201cantivirus\u201d si dovrebbe chiamare \u201canti-questo, anti-quello e anti-tutto\u201d, che protegge me, la mia famiglia, tutti i nostri dispositivi e i nostri dati<\/a><\/em>, <\/em>completo di campane e fischietti. \u00a0Una definizione un po\u2019 difficile da usare, vero? <\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

L\u2019emulatore dei prodotti Kaspersky Lab: cos\u2019\u00e8 e perch\u00e9 \u00e8 cos\u00ec importante che un antivirus ne abbia uno. <\/p>\n","protected":false},"author":13,"featured_media":17363,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14,2195],"tags":[1516,2097,3130,2517,2620,191,662,941,939],"class_list":{"0":"post-17362","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"category-technology","9":"tag-ai","10":"tag-brevetti","11":"tag-emulatore","12":"tag-humachine","13":"tag-ia","14":"tag-kaspersky-lab","15":"tag-ksn","16":"tag-prodotti","17":"tag-tecnologie"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/emulator-technology\/17362\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/emulator-technology\/15815\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/emulator-technology\/13342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/emulator-technology\/17725\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/emulator-technology\/15870\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/emulator-technology\/14613\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/emulator-technology\/18520\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/emulator-technology\/22750\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/emulator-technology\/27070\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/emulator-technology\/11775\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/emulator-technology\/10783\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/emulator-technology\/19327\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/emulator-technology\/23324\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/emulator-technology\/18402\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/emulator-technology\/22650\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/emulator-technology\/22600\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/prodotti\/","name":"prodotti"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17362"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17362\/revisions"}],"predecessor-version":[{"id":18444,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17362\/revisions\/18444"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17363"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}