{"id":22708,"date":"2020-09-02T10:50:47","date_gmt":"2020-09-02T08:50:47","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22708"},"modified":"2020-09-02T11:29:38","modified_gmt":"2020-09-02T09:29:38","slug":"cybersecurity-expert-training","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cybersecurity-expert-training\/22708\/","title":{"rendered":"Imparare a usare le regole YARA: prevedere i cigni neri"},"content":{"rendered":"

\u00c8 da molto, molto tempo che l\u2019umanit\u00e0 non viveva un anno come questo. Non credo di aver mai assistito a un anno con una cos\u00ec alta concentrazione di cigni neri di vari tipi e forme. E non intendo quelli con le piume<\/a>. Parlo di eventi inaspettati con conseguenze di vasta portata, secondo la teoria<\/a> di Nassim Nicholas Taleb<\/a>, pubblicata nel 2007 nel suo libro Il cigno nero<\/em><\/a>. Uno degli elementi principali della teoria \u00e8 che, con il senno di poi, gli eventi sorprendenti gi\u00e0 accaduti sembrano ovvi e prevedibili; tuttavia, prima che accadano, nessuno li prevede.<\/p>\n

Esempio: questo orrendo virus che da marzo ha messo il mondo in isolamento. Si \u00e8 scoperto che c\u2019\u00e8 un\u2019intera famiglia<\/a> estesa di coronaviridae, <\/em>con decine di virus, e ne vengono trovate regolarmente di nuovi. Gatti, cani, uccelli e pipistrelli ne vengono infettati. Anche gli esseri umani. Alcuni causano raffreddori comuni. Altri si manifestano\u2026 in modo diverso. Quindi, sicuramente, dobbiamo sviluppare vaccini per loro come abbiamo fatto per altri virus mortali come il vaiolo, la poliomielite e altre malattie. Certo, ma avere un vaccino non sempre aiuta. Basti pensare all\u2019influenza, ancora nessun vaccino risolve il problema, dopo quanti secoli? E comunque, anche per iniziare a sviluppare un vaccino \u00e8 necessario sapere cosa si sta cercando, e questa \u00e8 pi\u00f9 arte che scienza.<\/p>\n

Allora, perch\u00e9 vi sto dicendo tutto questo? Qual \u00e8 la connessione con\u2026 beh, sar\u00e0 inevitabilmente o la sicurezza informatica o i viaggi esotici, giusto?! Oggi, \u00e8 il primo caso.<\/p>\n

Ora, una delle pi\u00f9 pericolose minacce informatiche esistenti \u00e8 quella degli zero-day<\/a>, rare, sconosciute (a chi si occupa di sicurezza informatica e non) vulnerabilit\u00e0 nei software che possono provocare danni su larga scala, ma che tendono a rimanere sconosciute fino a (o talvolta dopo) il momento in cui vengono sfruttate.<\/p>\n

Tuttavia, gli esperti di sicurezza informatica hanno alcune armi per affrontare l\u2019ambiguit\u00e0 e per prevedere i cigni neri. In questo post voglio parlare di una di queste armi: YARA<\/a>.<\/p>\n

In breve, YARA aiuta la ricerca e l\u2019individuazione dei malware identificando i file che soddisfano determinate condizioni e fornendo un approccio basato su delle regole per creare descrizioni di famiglie di malware mediante modelli testuali o binari (oh, sembra complicato. Continuate a leggere per maggiori chiarimenti). Cos\u00ec, questo sistema viene utilizzato per la ricerca di malware simili identificando determinate caratteristiche. L\u2019obiettivo \u00e8 quello di poter dire che certi programmi dannosi sembrano essere stati creati dalle stesse persone, con obiettivi simili.<\/p>\n

Ok, passiamo a un\u2019altra metafora simile a quella del cigno nero, ma a tema marino.<\/p>\n

Diciamo che la vostra rete \u00e8 l\u2019oceano, che \u00e8 pieno di migliaia di tipi di pesci, e che siete un pescatore industriale che si trova nell\u2019oceano con la nave che getta enormi reti alla deriva per catturare i pesci, ma solo alcune specie (malware creati da particolari gruppi di hacker) sono interessanti per voi. Ora, la rete da posta \u00e8 particolare. Ha compartimenti speciali e in ognuno di essi vengono catturati solo pesci di una determinata razza (caratteristiche del malware).<\/p>\n

Poi, alla fine del turno, si raccolgono un sacco di pesci, tutti suddivisi in compartimenti, alcuni dei quali sono pesci relativamente nuovi, mai visti prima (nuovi campioni di malware) di cui non si sa praticamente nulla. Ma se si trovano in un certo compartimento, diciamo: \u201cSembra la specie [gruppo di hacker] X\u201d o \u201cSembra la specie [gruppo di hacker] Y\u201d.<\/p>\n

Ecco un caso<\/a> che illustra la metafora pesci\/pesca. Nel 2015, il nostro guru di YARA e capo del GReAT<\/a>, Costin Raiu, si \u00e8 dedicato completamente alla cyber-ricerca per individuare un exploit<\/a> nel software Silverlight di Microsoft. Dovreste davvero leggere quell\u2019articolo, ma, brevemente, ci\u00f2 che Raiu ha fatto \u00e8 stato esaminare attentamente la corrispondenza e-mail fatta trapelare da alcuni hacker per assemblare una regola YARA praticamente dal nulla, il che ha portato a trovare l\u2019exploit e quindi a proteggere il mondo da questo grande problema. (La corrispondenza proveniva da un\u2019azienda italiana chiamata Hacking Team, hacker che hackerano altri hacker!)<\/p>\n

Quindi, a proposito di queste regole di YARA\u2026<\/p>\n

Da anni insegniamo l\u2019arte di creare le regole YARA. Le minacce informatiche che YARA aiuta a scovare sono piuttosto complesse, ecco perch\u00e9 abbiamo sempre tenuto i corsi di persona, offline, e solo per un ristretto gruppo di ricercatori di alto livello nel campo della sicurezza informatica. Naturalmente, da marzo, la formazione offline \u00e8 stata difficile a causa dell\u2019isolamento; tuttavia, il bisogno di formazione non \u00e8 quasi scomparso, e in effetti non abbiamo visto alcun calo di interesse nei nostri corsi.<\/p>\n

\u00c8 naturale che i cybercriminali continuino a pensare ad attacchi sempre pi\u00f9 sofisticati, ancor pi\u00f9<\/a> durante il lockdown. Di conseguenza, tenere le nostre conoscenze specialistiche su YARA per noi stessi durante il lockdown stato semplicemente sbagliato. Per questo motivo: (1) siamo passati da una formazione offline a online e (2) l\u2019abbiamo resa accessibile a tutti. Non \u00e8 un corso gratuito, ma per questo livello (il pi\u00f9 alto) il prezzo \u00e8 molto competitivo e giusto per il mercato.<\/p>\n

Vi presento<\/a>:<\/p>\n

\"Caccia<\/p>\n

Cos\u2019altro aggiungere?<\/p>\n

Ah, s\u00ec.<\/p>\n

Ora, visti i continui problemi legati al coronavirus in tutto il mondo, continuiamo a fornire assistenza a chi si trova in prima linea. Abbiamo voluto dare una mano fin dall\u2019inizio offrendo licenze gratuite alle organizzazioni sanitarie<\/a>. Ora continuiamo aiutando una variet\u00e0 di organizzazioni no profit e non governative che lottano per i diritti o che si concentrano sul rendere il cyberspazio un posto migliore (l\u2019elenco completo \u00e8 qui<\/a>). Per loro, la nostra formazione YARA sar\u00e0 gratuita.<\/p>\n

Perch\u00e9? Perch\u00e9 le ONG lavorano con informazioni molto sensibili che possono essere hackerate in attacchi mirati<\/a>, e non tutte le ONG possono permettersi il lusso di assumere un dipartimento di esperti informatici.<\/p>\n

\"Formazione<\/p>\n

Una rapida analisi di ci\u00f2 che \u00e8 incluso nel corso:<\/p>\n