Introduzione
Gli autori di virus stanno usando tecniche sempre più complesse
e raffinate nel loro tentativo di aggirare i software anti-virus
e diffondere i propri virus. Un esempio in tal senso è costituito
dal noto virus Nimda che ha utilizzato molteplici metodi per
diffondersi. Il suo comportamento era molto più vicino ad
un exploit che un virus/Trojan, eludendo pertanto il controllo
anti-virus che tipicamente si occupa di questi ultimi. Gli
strumenti per la sicurezza e-mail devono essere perfezionati
se s'intende bloccare tale minaccia prima che causi danni
irreparabili. Un software anti-virus, in ogni caso essenziale,
non è in grado di combattere tali minacce da solo; uno strumento
per la scoperta di e-mail exploit è anch'esso necessario.
Che
cosa è un exploit?
Un exploit usa le vulnerabilità conosciute di applicazioni
o sistemi operativi per eseguire un programma o un codice.
Tale codice "exploit", ossia acquisisce illegalmente il controllo
di una caratteristica di un programma o del sistema operativo
per scopi propri, in questo modo è possibile eseguire ad arbitrio
codice macchina, lettura/scrittura di file presenti sull'hard
disk, o avere accessi illeciti.
Che cosa è un e-mail exploit?
Un e-mail exploit è un exploit lanciato via e-mail. Un e-mail
exploit è essenzialmente un exploit che può essere allegato
in un e-mail, ed eseguito sul computer ricevente una volta
che l’utente ha ricevuto e/o aperto l’e-mail. Questo consente
all’hacker di bypassare la maggior parte dei prodotti anti-virus
e firewall.
Differenze
tra software anti-virus e software per la ricerca degli e-mail
exploit
Un software anti-virus è realizzato per individuare codici
dannosi CONOSCIUTI. Un motore per e-mail exploit ha un approccio
differente: esso analizza il codice per l'exploit che PUÒ
ESSERE dannoso. Questo significa che può proteggere da nuovi
virus, ma soprattutto, può proteggere da virus/codici dannosi
SCONOSCIUTI. Questo è fondamentale poiché un virus sconosciuto
può essere un'unica parte di un codice, realizzato appositamente
per danneggiare il vostro network. Un software per la ricerca
di e-mail exploit analizza le e-mail alla ricerca di exploit
- per esempio, ricerca i metodi usati per "exploit" il sistema
operativo, il client e-mail o Internet Explorer - che possono
consentire l'esecuzione di codici o programmi sul vostro sistema.
Esso non esamina se il programma è dannoso o no. Semplicemente,
se l'e-mail sta utilizzando un exploit per eseguire un programma
o un'unica parte di un codice, rileva la presenza di un rischio
per la sicurezza.
In questo modo, un motore per e-mail exploit lavora per scoprire
le intrusioni nel sistema tramite e-mail. Un tale motore può
causare falsi allarmi, ma aggiunge senza dubbio, un nuovo
livello di protezione che non è normalmente contenuto in un
pacchetto anti-virus, semplicemente perché utilizza un metodo
completamente diverso per la sicurezza e-mail.
I motori anti-virus forniscono protezione contro alcuni exploit
ma non rilevano tutti gli exploit ed i vari attacchi. Un motore
per la scoperta degli exploit ricerca ogni exploit conosciuto.
Poiché un motore per exploit è ottimizzato per la ricerca
di e-mail exploit, significa che può realizzare tale lavoro
molto meglio di un generico motore anti-virus.
Un motore per exploit richiede aggiornamenti meno frequenti
rispetto ad un motore anti-virus, questo perché più che riguardare
uno specifico virus esso si riferisce ad un 'metodo'.
Sebbene l'aggiornamento dei motori anti-virus e di exploit
richiede operazioni molto simili, i risultati sono differenti.
Una volta che un exploit è stato identificato ed integrato
in un motore di exploit, tale motore è in grado di proteggere
da tutti i nuovi virus basati sull'exploit conosciuto. Questo
significa che un motore per exploit bloccherà il virus prima
ancora che il motore anti-virus si renda conto del pericolo,
e certamente prima che l'anti-virus sia aggiornato per contrastare
l'attacco. Questo costituisce un vantaggio fondamentale, così
come illustrano gli esempi seguenti verificatesi nel 2001.
Le
lezioni di Nimda e BadTrans.B
Nimda e BadTrans.B sono due virus che sono diventati enormemente
famosi nel mondo Internet nel 2001, infatti, infettarono un
numero impressionante di computer con accesso ad Internet.
Il solo Nimda, secondo l'agenzia di ricerca Computer Economics
(USA, 2001), ha infettato circa 8,3 milioni di network nel
mondo.
Nimda è un worm che utilizza metodologie multiple per infettare
automaticamente altri computer. Si può moltiplicare e diffondere
via email tramite l'uso di un exploit realizzato ed emesso
mesi prima dell'attacco, l'exploit MIME. BadTrans.B è un warm
di mass-mailing che si diffonde grazie al reinvio dell'exploit
MIME. BadTrans.B è il primo warm ad essere comparso dopo lo
scoppio di Nimda.
Grazie alla loro rapida diffusione, sia Nimda che BadTrans.B
colsero di sorpresa i produttori di anti-virus. Infatti, sebbene
i produttori cercassero di aggiornare i propri anti-virus
mano a mano che acquisivano informazioni su ognuno di loro,
durante il tempo per la realizzazione degli aggiornamenti
i virus avevano già contagiato un gran numero di computer.
Sebbene entrambi i virus utilizzassero lo stesso exploit,
i produttori di anti-virus dovevano comunque realizzare un
file di aggiornamento per ognuno di loro. Utilizzando invece
un motore per la scoperta di exploit, si sarebbe potuto riconoscere
l'exploit usato ed evitare il tentativo di esecuzione automatica
dei file eseguibili attraverso il reinvio dell'exploit MIME.
Test
di vulnerabilità agli exploit
Si può facilmente testare se il vostro sistema è vulnerabile
o meno agli exploit descritti sopra, e/o a minacce ed e-mail
exploit simili. GFI ha realizzato una zona test che consente
a tutti di verificare la sensibilità del proprio sistema alle
e-mail exploit quali alterazioni degli header MIME, exploit
active, file CLSID, ed altro. I test eseguibili in tale zona
sicuri e non provocano alcun tipo di danno. Con questi test
si può facilmente conoscere se il vostro sistema è al sicuro
o meno da un numero consistente di minacce e-mail.
E' possibile realizzare i test al sito:http://www.gfi.com/emailsecuritytest/.
GFI MailSecurity
Il primo prodotto per la sicurezza contro gli e-mail exploit
è GFI MailSecurity for Exchange/SMTP. Si tratta di un pacchetto
software che tra i quattro elementi chiave, realizzati per
fornire una protezione completa contro le minacce via e-mail,
include un motore per la scoperta degli exploit.
Realizzato dalla GFI, tra i principali ricercatori nel campo
degli exploit, questo primo motore per aziende rileva le firme
degli exploit conosciuti e blocca tutti i messaggi contenenti
tali firme. La maggior parte delle minacce identificate dal
motore exploit di MailSecurity non è individuata da nessun
altro programma presente oggi sul mercato.
Connesse a questa caratteristica innovativa, GFI MailSecurity
for Exchange/SMTP include anche multipli motori anti-virus,
per garantire una più alta percentuale di scoperta ed una
più veloce risposta ai nuovi virus; controllo del contenuto
della posta e degli allegati, per mettere in quarantena
gli allegati ed i contenuti pericolosi; un motore per le
minacce HTML, per disabilitare gli script HTML; uno
Scanner per i Trojan & gli Eseguibili, per scoprire
gli eseguibili potenzialmente pericolosi; ed altro. GFI MailSecurity
è disponibile come versione gateway SMTP e per VS API (Exchange
2000/2003). La versione gateway dovrebbe essere dispiegata
nel perimetro del network come un relay del server di posta
e controllare la posta in entrata ed uscita.
Ulteriori informazioni ed una versione di valutazione sono
disponibili a: http://www.gfi-italia.com/italia/mailsecurity/.
© 2003 GFI Software Ltd. All rights reserved. The
information contained in this document represents the current
view of GFI on the issues discussed as of the date of publication.
Because GFI must respond to changing market conditions, it
should not be interpreted to be a commitment on the part of
GFI, and GFI cannot guarantee the accuracy of any information
presented after the date of publication. This White Paper
is for informational purposes only. GFI MAKES NO WARRANTIES,
EXPRESS OR IMPLIED, IN THIS DOCUMENT. GFI FAXmaker, GFI MailEssentials,
GFI MailSecurity, GFI LANguard and GFI DownloadSecurity and
the GFI FAXmaker, GFI MailEssentials, GFI MailSecurity, GFI
LANguard and GFI DownloadSecurity logos and the GFI logo are
either registered trademarks or trademarks of GFI Software
Ltd. in the United States and/or other countries. Microsoft,
Exchange Server, ISA Server, VS API, Word, Excel, SUS, and
Windows NT/2000/XP are either registered trademarks or trademarks
of Microsoft Corporation in the United States and/or other
countries. All product or company names mentioned herein may
be the trademarks of their respective owners. GFI. http://www.gfi.com
info@gfi.com 1-888-2GFIFAX / +44 (0) 870 770 5370
|