{"id":17874,"date":"2019-09-02T11:42:41","date_gmt":"2019-09-02T09:42:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17874"},"modified":"2019-11-22T10:47:47","modified_gmt":"2019-11-22T08:47:47","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/kaspersky-sandbox-patent\/17874\/","title":{"rendered":"Una trappola irresistibile per i malware"},"content":{"rendered":"

Non ho visto il sesto film di Mission Impossible<\/em>, e non credo che lo vedr\u00f2. Ho visto il quinto (in uno stato zombie durante un lungo viaggio a casa dopo una dura settimana di lavoro), solo perch\u00e9 una scena era stata girata nel nostro nuovo e moderno ufficio di Londra.<\/a> Si trattava di un capitolo di troppo di Mission Impossible<\/em>, film che non sono per niente il mio stile. Botte, spari, schianti, esplosioni, stupore, rabbia. Nah, io preferisco qualcosa<\/a> di pi\u00f9 impegnativo, intellettualmente stimolante e semplicemente pi\u00f9 interessante. Dopotutto, il mio tempo \u00e8 limitato e prezioso.<\/p>\n

Sto davvero insultando Tom Cruise e compagnia, vero? Aspettate. In realt\u00e0, devo riconoscere il merito di almeno una scena fatta molto bene (voglio dire, che risulta essere intellettualmente stimolante e semplicemente interessante). Si tratta della scena nella quale i buoni devono far s\u00ec che uno dei cattivi tradisca i suoi compagni, o una cosa del genere. Per far ci\u00f2, mettono in scena un ambiente falso in un \u201cospedale\u201d con la \u201cCNN\u201d che annuncia in \u201cTV\u201d un Armageddon nucleare. Contento del fatto che il suo manifesto apocalittico fosse stato diffuso al mondo intero, il cattivo consegna i suoi compagni (o era un codice di accesso?) come d\u2019accordo con gli interrogatori. Ups, ecco lo spezzone.<\/a><\/p>\n

Perch\u00e9 mi piace tanto questa scena? Perch\u00e9, in realt\u00e0, dimostra adeguatamente uno dei metodi per rilevare minacce informatiche sconosciute! Effettivamente, esistono molti metodi, che cambiano a seconda dell\u2019area di applicazione, efficacia, uso di risorse e altri parametri (scrivo<\/a> spesso qui a proposito di ci\u00f2). Ce n\u2019\u00e8 uno che spicca sempre: l\u2019emulazione<\/a> (di cui ho parlato molto qui<\/a>).<\/p>\n

Come nel film MI, <\/em>un emulatore introduce l\u2019oggetto investigato in un ambiente artificiale isolato, spingendolo a rivelare il suo carattere dannoso.<\/p>\n

Tuttavia, questa strategia presenta un grande svantaggio: il fatto che l\u2019ambiente sia artificiale. L\u2019emulatore si sforza per rendere l\u2019ambiente artificiale un ambiente vero del sistema operativo, ma i malware sempre pi\u00f9 intelligenti riescono ancora a distinguerlo dalla realt\u00e0. L\u2019emulatore poi vede che il malware lo ha riconosciuto, mette insieme e migliora la sua emulazione, e cos\u00ec via in un ciclo infinito che apre le porte della vulnerabilit\u00e0 a un computer protetto. Il problema fondamentale \u00e8 che ancora nessun emulatore rappresenta l\u2019immagine speculare di un vero sistema operativo.<\/p>\n

D\u2019altra parte, c\u2019\u00e8 un altro metodo per far fronte all\u2019analisi comportamentale degli oggetti sospetti: analizzarli (in un sistema operativo reale) dentro una macchina virtuale. Beh, perch\u00e9 no? Se l\u2019emulatore non lo ferma completamente, lasciate che lo faccia una macchina (reale) virtuale! Sarebbe l\u2019interrogatorio ideale: si svolge in un ambiente reale, non artificiale, ma senza le conseguenze negative reali.<\/p>\n

Ascoltando questo concetto, \u00e8 possibile che alcuni si chiedano perch\u00e9 nessuno ci aveva mai pensato prima. Dopotutto, la virtualizzazione \u00e8 una delle tendenze della tecnologia dal 1992. Beh, a quanto pare non \u00e8 cos\u00ec semplice.<\/p>\n

Prima di tutto, l\u2019analisi degli oggetti sospetti in una macchina virtuale \u00e8 un processo che utilizza molte risorse, cosa che risulta idonea solo per le soluzioni di sicurezza di grandi aziende dove l\u2019analisi deve essere super intensa, in modo che assolutamente nessun oggetto dannoso riesca a superare le difese. Ahim\u00e8, questa tecnologia non \u00e8 adatta ai computer di casa e agli smartphone, almeno per ora.<\/p>\n

In secondo luogo, questa tecnologia esiste\u00a0 per davvero. Infatti, la usiamo gi\u00e0 internamente qui nella K<\/em>ompagnia, per effettuare indagini. Per\u00f2 se parliamo di prodotti per essere venduti, non ce ne sono ancora molti disponibili. La concorrenza ha rilasciato prodotti simili, ma la loro efficacia lascia ancora molto a desiderare. In generale, questi prodotti si limitano a raccogliere registri e analisi di base.<\/p>\n

In terzo luogo, avviare un file in una macchina virtuale \u00e8 solo l\u2019inizio di un lungo e difficoltoso processo. Dopotutto, l\u2019obiettivo dell\u2019esercizio \u00e8 quello di far s\u00ec che si riveli la natura dannosa di un oggetto; e per far ci\u00f2 c\u2019\u00e8 bisogno (tra le altre cose) di un hypervisor intelligente, l\u2019analisi e il registro comportamentale, la messa a punto costante dei modelli di azioni pericolose, la protezione contro i trucchi anti-emulazione e l\u2019ottimizzazione dell\u2019esecuzione.<\/p>\n

Posso affermare senza falsa modestia che siamo molto avanti rispetto al resto del mondo!<\/p>\n

Recentemente, abbiamo ottenuto un brevetto statunitense (US10339301<\/a>) che riguarda la creazione di un ambiente adeguato a far s\u00ec che la macchina virtuale effettui analisi veloci e profonde di oggetti sospetti. Funziona cos\u00ec:<\/p>\n