I vendor di antimalware suonano la carica proponendo una pletora di tool che sfruttano metodologie tradizionali, come la rilevazione basata su signature, l'individuazione euristica, il rilevamento impostato sulle più comuni caratteristiche di attacco, gli exploit delle vulnerabilità conosciute, il controllo delle applicazione, i firewall host e così via.
Ma tutto questo quanto è efficace? Recenti test eseguiti da un paio di aziende specializzate - Virus Bulletin (VB) e Secunia - non hanno offerto tutte le risposte cercate, ma hanno mostrato risultati sufficientemente interessanti da farci chiedere, ancora una volta, quanto efficaci siano questi prodotti e come si può tastarne l'efficacia.
“Per parecchio tempo, ho pensato che la rilevazione basata sulle signature fosse una commodity. Si possono facilmente acquistare prodotti con funzionalità molto simili da tutti i principali fornitori - ha affermato Ed Skoudis, co-fondatore e senior security consultant di InGuardians -. Un'altra cosa è invece capire dove veramente nascono gli attacchi, soprattutto se si considera che l'efficacia della rilevazione basata sulla signature cresce lentamente nel corso del tempo, mentre i 'cattivi' si muovo molto in fretta”.
La certificazione VB100
L'annuale test per la certificazione VB100, che viene effettuato dal 1998, non ha detto molto, tranne che i vendor di antivirus possono individuare facilmente ciò che conoscono (ad esempio, un virus WildList per il quale sicuramente dispongono di tutte le signature). Ma gli altri risultati dei test, come l'individuazione di bot e worm, virus polimorfi, e soprattutto dei cavalli di Troia, sono stati più significativi. Tutti i principali fornitori hanno fornito ottime prestazioni con il test VB100, ma non sono andati oltre il 5-15% nella prova dei Trojan horse.
Il motivo? In primo luogo, si trattava di un nuovo insieme di esemplari, per cui i prodotti hanno dovuto far affidamento su differenti tecniche di rilevamento, ottenendo risultati nel complesso un po' deludenti.
“I cavalli di Troia sono di difficile individuazione perché ce ne sono tanti: il 90-95% dei nuovi malware segnalati è costituito dai cavalli di Troia - ha affermato John Hawes consulente tecnico per il VB-. Un numero enorme di malware viene creato ogni giorno, e contrastarli è un compito davvero arduo”.
L'analisi di Secunia
Il test Internet Security Suite di Secunia è stato progettato per verificare la capacità di individuare gli exploit da parte di una dozzina di diversi prodotti. Secunia ha predisposto 144 file maligni e 156 pagine Web realizzate per attaccare una versione di Windows XP SP2 con patch mancanti e una serie di programmi vulnerabili. Ebbene, Symantec è stato il migliore ma con soli 64 risultati positivi. In altre parole, questi prodotti antimalware ci rendono più sicuri, ma non ci mettono al sicuro.
Thomas Kristensen, Chief Technology Officer di Secunia, ritiene che le cose potrebbero andare anche peggio se i creatori di codice maligno si impegnassero maggiormente.
“Siamo fortunati perché i 'cattivi' hanno ancora un po' da imparare - ha sostenuto Kristensen -. Non sono ancora in grado di sfruttare le vulnerabilità più recenti su vasta scala. Se riusciamo a individuare i loro tentativi di violare la sicurezza è solo perché stanno usando alcuni vecchi payload già noti a diversi soluzioni di security”.
Dipendiamo ancora dalla nostra suite di sicurezza endpoint che svolge un ruolo essenziale nella protezione dei nostri sistemi e delle nostre informazioni. E nelle nostre decisioni di acquisto dipendiamo sia dai test degli antimalware sia dalle loro certificazioni. Ma i test rappresentano ancora la parte predominante. I siti di media It e le riviste specializzate hanno ciascuno una propria metodologia e queste procedure possono essere più o meno simili tra loro. Gli organismi di certificazione, come ICSA e VB, effettuano ripetuti test e cercano di mettere in atto metodologie coerenti.
Come effettuare i test, i principi base definiti da AMTSO
Data la rapida evoluzione delle minacce e dei prodotti progettati per contrastarle, non esistono facili risposte al dilemma di come effettuare un test. La nuova Anti-Malware Testing Standards Organization (AMTSO) ha proposto una serie di linee guida, The fundamental principles of testing, e le ha rese disponibili lo scorso mese di novembre: l'obiettivo è stabilire un terreno comune per effettuare test equi e sicuri. AMTSO è guidato principalmente dai vendor ma include numerosi laboratori di certificazione, come per esempio ICSA, VB Bollettin, AV-Comparatives.Org e Av-Test.org.
AMTSO ha indicato nove principi che dovrebbero essere alla base di ogni valutazione:
- I test non devono mettere a repentaglio il pubblico.
- I test devono essere imparziali.
- I test dovrebbero essere ragionevolmente aperti e trasparenti.
- L'efficacia e il rendimento di un prodotto antimalware devono essere misurati in modo equilibrato.
- I tester devono prendere tutte le precauzioni possibili per verificare che i campioni usati o le prove eseguite ricadono nelle classificazioni maligni, innocui o non validi.
- La metodologia di prova deve essere coerente con la finalità del test.
- Le conclusioni di un test devono essere basate sui risultati delle prove condotte.
- I risultati di un test devono essere statisticamente validi.
- Vendor, tester ed editori devono avere un punto di contatto affinché tutte le prove condotte siano coerenti tra loro.
Queste indicazioni sembrano essere semplicemente dettate dal comune senso per il bene contro il male. Tuttavia, forniscono un framework per i test antimalware, i quali possono differire per alcuni particolari ma si dovrebbe avere l'assicurazione che siano stati condotti in modo responsabile.
In determinate situazioni, le linee guida entrano nel dettaglio di come il tester dovrebbe agire. Per esempio, "i test dovrebbero essere ragionevolmente aperti e trasparenti" è un invito alla divulgazione del metodo di prova: la selezione dei campioni, l'aggiornamento dei prodotti, le impostazioni della configurazione, l'ambiente (la versione del sistema operativo, le applicazioni in esecuzione e così via) e come le risposte sono state misurate.
AMTSO ha rilasciato un ulteriore documento, Best practices for dynamic testing, perché questo tipo di test è sia critico sia molto difficile da riprodurre, se comparato a prove statiche. Tra le altre cose, si raccomanda l'impiego di un numero sufficiente di campioni e prove ripetute nel tempo, con diversi tipi di campioni.
"Il testing dinamico prevede di lasciare aperte le macchine al mondo Internet reale per vedere cosa succede durante il loro funzionamento - ha sottolineato Andrew Hayter, antimalcode program manager di ICSA Labs -. Questo è un processo estremamente difficile, richiede moltissimo tempo ed è quasi impossibile da riprodurre".
AMTSO non ha ancora raccomandato, e probabilmente non lo farà mai in futuro, specifici protocolli o criteri per i test. I tester continueranno a operare in uno scenario in cui le minacce sono in continua evoluzione.
"Definire un particolare protocollo sarebbe molto difficile - ha detto Hayter -. Si dovrebbe poter regolare dinamicamente qualunque cosa si stia facendo e il metodo di prova dovrebbe poter reagire a fronte dei cambiamenti o delle evoluzioni del malware".
Inoltre, per usare un eufemismo, è quantomeno problematico effettuare il test di tutti gli elementi all'interno di prodotti che utilizzano molteplici strumenti e tecniche - praticamente tutti quelli in commercio, cercando di trarre conclusioni e proporre raccomandazioni.
Skoudis di InGuardians propone a questo punto tre possibilità:
- Testate tutto; basta attivare tutte le opzioni e registrare i risultati. Il problema è che vendor diversi propongono ovviamente prodotti e funzionalità differenti ed è difficile dire se si è o meno attivata una determinata funzione.
- Effettuate i test utilizzando la configurazione di default. In questo caso, il vendor potrebbe dirvi che dovevate andare oltre i valori predefiniti. "Allora perché tale fornitore non ha creato una differente configurazione di default?" si è chiesto Skoudis.
- Testate una parte per volta - le signature, i tipi di comportamento, i firewall, gli HIPS. In questo caso, ha evidenziato Hayter, la questione è: "Come si può sviluppare un risultato rappresentativo della suite e, testando i singoli componenti, come si può amalgamare il tutto fino a dire che globalmente la soluzione è certificata?"
“I prodotti antimalware sono diventati tanto complicati che è impossibile eseguire un test completo in un tempo e con un budget ragionevoli - ha concluso Skoudis -. E le cose possono solo peggiorare, dato che questi prodotti aggiungono un numero sempre maggiore di funzioni”.
