Punto informatico Network

20090707113627_1739075733_20090707113549_1002079795_insecurity.png

Gli attuali software di sicurezza? Tutti facilmente superabili

07/05/2010
- A cura di
Sicurezza - Un recente studio di Matousec dimostra come le protezioni offerte da tutti i software di sicurezza più diffusi siano superabili tramite un ingegnoso utilizzo delle funzioni messe a disposizione da Windows.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

sicurezza (1) , software (1) , sicuri (1) .

Valutazione

  •  
Voto complessivo 4 calcolato su 18 voti
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Matousec è una società attiva ormai da diversi anni nel settore della sicurezza in ambiente Windows e non è nuova a studi sui software di sicurezza che fanno venire a galla problemi di ampia portata.

La società ha guadagnato una certa notorietà grazie all'iniziativa nota come Proactive Security Challenge, una sorta di gara che vede come concorrenti i più diffusi software di sicurezza dotati di tecnologia proattiva e che ha spesso fornito risultati sorprendenti, mettendo in evidenza le numerose debolezze di molti di questi, anche blasonati.

Recentemente il team ha pubblicato i risultati di uno studio sui sistemi HIPS integrati in molti software di sicurezza, evidenziando come pressoché la totalità di questi risulti vulnerabile ad una particolare tecnica di attacco, nota come argument-switch attack, che consentirebbe di chiamare funzioni di Windows protette senza alcun controllo da parte del software di sicurezza.

Tralasciando le questioni tecniche, possiamo semplificare il concetto dicendo che praticamente tutti i software di sicurezza inseriscono dei controlli (noti come hook) in molte delle funzioni (API) di Windows potenzialmente veicolo di attività pericolose, in modo da poter verificare in che modo queste vengano utilizzate e bloccare eventuali comportamenti pericolosi.

Gli esperti di Matousec sono riusciti ad eludere questo controllo sfruttando lo scheduler dei processi di Windows, cioè il componente del sistema operativo che si occupa di stabilire quale programma debba utilizzare il processore per un determinato lasso di tempo.

Infatti, se il processo nocivo è composto da più thread opportunamente programmati, è possibile che dopo che uno di questi ha chiamato una certa funzione di Windows con dei parametri leciti e quindi il software di sicurezza abbia consentito l'operazione, un secondo thread possa modificare i parametri prima dell'effettiva esecuzione del comando e cambiare quindi il comportamento ottenuto, con la possibilità di eseguire codice nocivo.

Sicuramente uno degli scenari più interessanti per i malware-writer è la disattivazione del software di sicurezza, che questa tecnica rende notevolmente più facile.

Sebbene la vulnerabilità possa richiedere, per un'eventuale malware, l'esecuzione di più di un tentativo, il team di Matousec afferma che statisticamente il numero è piuttosto ridotto e talvolta ne basta uno solo.

È da notare come la società affermi che la vulnerabilità sia sfruttabile anche se l'utente è connesso con privilegi ridotti. Tuttavia è probabile che applicando questa misura di sicurezza sia possibile ridurre la portata di un eventuale attacco.

Matousec ha realizzato un bollettino dove segnala i software e le relative versioni affette dal problema. Come è possibile vedere nell'immagine sotto non è stato risparmiato nessuno: nella lista dei programmi vulnerabili figurano volti molto noti e diffusi, come avast!, AntiVir, G DATA, Kaspersky e Norton.

Matousec.png

La società conclude la sua analisi, di cui una versione più completa sarà resa disponibile alle software house che ne faranno richiesta, dicendo che la correzione di questo problema dovrebbe risultare piuttosto difficile per i team di sviluppo, in quanto si tratta di un problema presente by design, cioè a livello di architettura.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 142
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.11