{"id":5044,"date":"2014-10-17T14:23:22","date_gmt":"2014-10-17T14:23:22","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5044"},"modified":"2021-04-28T16:37:20","modified_gmt":"2021-04-28T14:37:20","slug":"le-meraviglie-del-whitelisting","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/le-meraviglie-del-whitelisting\/5044\/","title":{"rendered":"Le meraviglie della lista consentiti"},"content":{"rendered":"<p>Come molti sanno, la protezione dai malware si basa sull\u2019individuazione delle signature. Tuttavia, per un antivirus, individuare un software dannoso \u00e8 solo una parte del suo lavoro. Infatti, c\u2019\u00e8 chi sostiene che l\u2019individuazione dei malware basata sulle signature (essenzialmente una forma di lista bloccati) \u00e8 l\u2019aspetto meno importante. In opposizione al concetto di lista bloccati (negare l\u2019accesso ad una lista\u00a0 di software dannosi), si trova la lista consentiti ovvero la approvazione previa di determinati software considerati innocui. Un buon antivirus contempla entrambi i processi come fossero due lati della stessa medaglia.<\/p>\n<p><strong>Che cos\u2019\u00e8 la lista bloccati?<\/strong><\/p>\n<p>Permettetemi di spiegarvelo attraverso una tecnologia Kaspersky Lab: <a href=\"http:\/\/ksn.kaspersky.com\/en\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Security Network<\/a> (KSN). Quando gli utenti installano certi prodotti Kaspersky Lab, gli viene offerta l\u2019opportunit\u00e0 di unirsi a KSN. Se aderiscono, entreranno a far parte di una rete dedicata alla condivisione di informazioni sulla cybersicurezza. Per esempio, se un utente indiano, che ha aderito a KSN, viene infettato da un nuovo tipo di malware, Kaspersky Lab crea una <a href=\"https:\/\/www.kaspersky.it\/blog\/hash-cosa-sono-e-come-funziona\/3448\/\" target=\"_blank\" rel=\"noopener\">signature<\/a> per individuare quel malware e la aggiunge al proprio database di modo che nessun altro utente Kaspersky verr\u00e0 infettato da quel malware.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/xZy_SG9ZBWo?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Questo \u00e8 il modo in cui funziona la lista bloccati. Facciamo un lista di cose che sono dannose e le manteniamo alla larga dal vostro computer. La lista bloccati funziona molto bene, \u00e8 efficace al 99,9% \u2013 quando sono solo 10.000 le nuove famiglie malware che emergono ogni anno. Tuttavia non \u00e8 altrettanto efficace quando la cifra diventa 10.000.000.<\/p>\n<p><strong>Cos\u2019\u00e8 la lista consentiti?<\/strong><\/p>\n<p>User\u00f2 nuovamente la tecnologia Kaspersky Lab come metafora per spiegarvi come funziona la lista consentiti. Quando parliamo di lista consentiti, ci riferiamo a un processo denominato in inglese con \u201cDefault Deny\u201d (Nega). In base a questo parametro, un prodotto di sicurezza blocca di default tutte le applicazioni e i software a meno che l\u2019utente non abbia espressamente concesso loro il permesso. In questo modo avrete una lista consentiti, ovvere una lista di applicazioni con approvazione previa.<\/p>\n<p>Questa forma di lista consentiti (\u201cDefault Deny\u201d o Nega, in italiano) viene usata soprattutto in ambienti aziendali dove un\u2019autorit\u00e0 centrale pu\u00f2 esercitare o no un certo controllo in base all\u2019utente. \u00c8 relativamente facile affermare che certe applicazioni sono necessarie per lavorare e ignorare tutte le altre. In un contesto aziendale, inoltre, la lista delle applicazioni autorizzate \u00e8 probabilmente statica, gi\u00e0 decisa, e la stessa per molto tempo. Quando abbiamo a che fare con un dispositivo di un utente privato pu\u00f2 essere difficile sapere con esattezza ci\u00f2 di cui ha bisogno, che programmi pu\u00f2 e deve usare.<\/p>\n<p><strong>Nega via Applicazioni Attendibili<\/strong><\/p>\n<p>I nostri amici e <a href=\"https:\/\/securelist.com\/\" target=\"_blank\" rel=\"noopener\">ricercatori di Kaspersky<\/a> Lab hanno trovato il modo di applicare i principi di \u201cDefault Deny\u201d (Nega) alle necessit\u00e0 degli utenti privati. Come? Con la tecnologia \u201cApplicazioni Attedibili\u201d. Fondamentalmente Applicazioni Attendibili rappresenta una lista consentiti aggiornata dinamicamente, basata su di una serie di criteri di fiducia comparati con i dati acquisiti attraverso KSN.<\/p>\n<blockquote class=\"twitter-tweet\" lang=\"es\"><p><a href=\"https:\/\/twitter.com\/hashtag\/Whitelisting?src=hash\" target=\"_blank\" rel=\"noopener nofollow\">#Denylist<\/a> and smooth workflow: do they contradict each other? <a href=\"https:\/\/t.co\/CzVUzrWSFf\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/CzVUzrWSFf<\/a><\/p>\n<p>\u2014 Eugene Kaspersky (@e_kaspersky) <a href=\"https:\/\/twitter.com\/e_kaspersky\/status\/520676151648210944\" target=\"_blank\" rel=\"noopener nofollow\">octubre 10, 2014<\/a><\/p><\/blockquote>\n<p>In altre parole, la nostra lista consentiti dinamica, pronta all\u2019uso per il consumatore, non \u00e8 altro un\u2019ampio archivio, costantemente aggiornato di applicazioni esistenti. Il database contiene informazioni su circa un miliardo di file unici, riguardanti la maggioranza delle applicazioni popolari, come pacchetti office, browser, programmi per la visualizzazione di immagini e qualsiasi cosa voi od io possiamo immaginare.<\/p>\n<div class=\"pullquote\">Applicazioni Attendibili rappresenta una lista consentiti aggiornata dinamicamente, basata su di una serie di criteri di fiducia comparati con i dati acquisiti attraverso KSN.<\/div>\n<p>Grazie alle informazioni che ci vengono fornite da circa 450 partner, di cui la maggioranza sono aziende che sviluppano software, il database riesce a minimizzare l\u2019apparizione dei falsi-positivi dato che Kaspersky Lab conosce gli aggiornamenti implementati dai vendor prima che vengano lanciati.<\/p>\n<p><strong>Trust Chain<\/strong><\/p>\n<p>Che ne sar\u00e0 invece delle app che non conosciamo? Certe app e processi generano nuove applicazioni ed \u00e8 quasi impossibile per la nostra lista consentiti raccogliere informazioni su tutti questi programmi. Per esempio, per scaricare un aggiornamento su di un programma potrebbe essere necessario lanciare un modulo speciale che si colleghi al server del vendor del software e scarichi una nuova versione del programma. Inefetti, il modulo di aggiornamento \u00e8 una nuova applicazione creata dal programma originale e potrebbero non esserci dati su di lui nel database lista consentiti. Comunque, dato che questa applicazione \u00e8 stata creata e lanciata da un programma di fiducia, viene trattata come attendibile. Questo meccanismo si chiama \u201cTrust Chain\u201d, una sorta di \u201ccatena di fiducia\u201d.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>La lista bloccati (negare l\u2019accesso ad una lista bloccati di software dannosi) \u00e8 l\u2019opposto di Lista Consentiti, ovvero l\u2019approvazione previa di determinati software considerati innocui<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FE8wk&amp;text=La+lista+bloccati+%28negare+l%26%238217%3Baccesso+ad+una+lista+bloccati+di+software+dannosi%29+%C3%A8+l%26%238217%3Bopposto+di+Lista+Consentiti%2C+ovvero+l%26%238217%3Bapprovazione+previa+di+determinati+software+considerati+innocui\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>In un modo analogo, se si scarica automaticamente un nuovo aggiornamento ed \u00e8 cos\u00ec diverso che la lista consentiti non lo riconosce, pu\u00f2 essere approvato in altri modi, come verificare la sua signature digitale o <a href=\"https:\/\/www.kaspersky.it\/blog\/certificati-digitali-e-httpss\/871\/\" target=\"_blank\" rel=\"noopener\">certificato<\/a>. Un terzo problema di sicurezza sorge quando un\u2019app cambia inaspettatamente e non ha la firma. In questo caso, \u201cTrust Chain\u201d pu\u00f2 eseguire il dominio del download e controllarlo in base a una lista di domini di fiducia che generalmente appartengono a software prodotti da vendor molto conosciuti. Se un dominio \u00e8 affidabile, lo \u00e8 anche la nuova app; se un dominio viene usato per distribuire malware, invece, viene rimosso da \u201cTrust Chain\u201d.<\/p>\n<p><strong>Ultimo ma per questo non meno importante<\/strong><\/p>\n<p>Come probabilmente saprete, gli hacker sono sempre informatissimi sui sistemi di protezione che potrebbero metterli fuori gioco. I criminali sono costantemente alla ricerca delle vulnerabilit\u00e0 presenti nei programmi pi\u00f9 popolari per sfruttarli e poter cos\u00ec circumnavigare le misure protettive sopra descritte, realizzando attacchi attraverso programmi attendibili.<\/p>\n<p>Per combattere queste minacce, i nostri ricercatori hanno sviluppato un sistema conosciuto come \u201cSecurity Corridor\u201d. Tale sistema da supporto alla nostra lista consentiti dinamica e si assicura che il software approvato e le applicazioni realizzino solo le azioni che in teoria dovrebbero realizzare.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2014\/10\/05232851\/whitelisting-1.jpg\" alt=\"\" width=\"962\" height=\"514\"><\/p>\n<p>\u201cPer esempio, in teoria, il compito di un browser dovrebbe essere quello di mostrare pagine web e scaricare file\u201d spiega Andrey Ladikov di Kaspersky Lab, esperto che lavora nel team di ricerca sul sistema di lista consentiti e infrastruttura cloud. \u201cLe azioni come quelle indirizzate a modificare file di sistema o certi settori dell\u2019hard disk sono estranee al browser. Un programma come Word, per esempio, viene disegnato per aprire e salvare documenti di testo sull\u2019hard disk, ma non per salvare nuove applicazioni sull\u2019hard disk e poi avviarle\u201d. In questo modo se la vostra applicazione preferita per disegnare inizia a usare il microfono, verr\u00e0 contrassegnata come pericolosa.<\/p>\n<p><strong>Quali computer dispongono di questa tecnologia?<\/strong><\/p>\n<p>La dinamica tecnologia lista consentiti non \u00e8 presente di default su tutti i computer. Solo gli utenti di <a href=\"https:\/\/www.kaspersky.com\/it\/internet-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a>, <a href=\"https:\/\/www.kaspersky.com\/it\/multi-device-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security Multi-Device<\/a> e <a href=\"https:\/\/www.kaspersky.com\/it\/pure\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Pure<\/a> possono godere di questo livello di protezione.<\/p>\n<p><strong>Letture aggiuntive<\/strong><\/p>\n<p>I nostri ricercatori hanno scritto <a href=\"https:\/\/securelist.com\/analysis\/publications\/36746\/application-control-the-key-to-a-secure-network-part-1\/\" target=\"_blank\" rel=\"noopener\">non uno<\/a>, <a href=\"https:\/\/securelist.com\/analysis\/publications\/36897\/application-control-the-key-to-a-secure-network-part-2\/\" target=\"_blank\" rel=\"noopener\">non due<\/a>, bens\u00ec <a href=\"https:\/\/securelist.com\/analysis\/publications\/57882\/computing-securely-the-trusted-environment-concept\/\" target=\"_blank\" rel=\"noopener\">tre articoli, un po\u2019 pi\u00f9 tecnici<\/a>, sulla tecnologia delle liste consentiti. Per maggiori informazioni, date uno sguardo a questi articoli (in inglese).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Spesso si pensa che l\u2019unica cosa che fa l\u2019antivirus \u00e8 bloccare gli oggetti pericolosi. In realt\u00e0 si tratta di approvare ci\u00f2 che \u00e8 sicuro e ci\u00f2 che \u00e8 dannoso.  <\/p>\n","protected":false},"author":219,"featured_media":5045,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641],"tags":[197,121,22,125],"class_list":{"0":"post-5044","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-anti-malware","10":"tag-antivirus","11":"tag-malware-2","12":"tag-protezione-2"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/le-meraviglie-del-whitelisting\/5044\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/anti-malware\/","name":"anti-malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5044","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/219"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=5044"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5044\/revisions"}],"predecessor-version":[{"id":24527,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/5044\/revisions\/24527"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/5045"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=5044"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=5044"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=5044"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}