Pagine

Visualizzazioni totali

lunedì 22 novembre 2010

Scansionare eseguibili e URL con dei servizi Web


Il costante trend che vede le applicazioni spostarsi sempre più verso il Web ha aperto interessanti orizzonti che fino a poco tempo addietro sarebbero risultati stridenti. Un esempio su tutti risulta la possibilità di controllare la presenza di virus su determinati file direttamente online, senza la presenza di software antivirus installati sulla macchina locale. L'uso di tale tipo di servizi online risulta di utilità sia per chi non utilizza normalmente software antivirus sia (e lo vedremo) per chi possieda, al contrario, un computer "protetto" da antivirus. Molti, specie (o esclusivamente?) in ambienti Microsoft Windows, utilizzano software antivirus sul proprio computer e lo aggiornano spesso, reputandosi quindi immunizzati da ogni malware. Tuttavia, l'antivirus in questione non riesce generalmente a rilevare i virus che non conosce ed è quindi possibile che si venga infettati da malware appena usciti "in the wild" pur credendosi assolutamente al sicuro. Oltre il danno la beffa, in quanto i computer con software antivirus attivi risultano avere prestazioni sicuramente peggiori (a volte al limite del ridicolo) rispetto a quelli che ne siano sprovvisti, e questa è la motivazione che spinge molti (che abbiano però dimestichezza con l'Informatica) a non usare antivirus ma a seguire invece precise e rigorose pratiche di sicurezza, quali: aggiornare sempre sistema operativo e programmi, girare con privilegi limitati in una rete sicura, evitare di installare software non considerato affidabile, usare browser con sandbox, usare Linux (notoriamente, per diverse ragioni, meno minato da malware), e via discorrendo. Anche questa categoria di persone, tuttavia, una volta o l'altra si troverà tentata di installare un software scaricato da Internet da fonti non di comprovata affidabilità o passato da una persona della quale sia noto il computer perennemente infetto... in tale caso una scansione online non potrà che essere di assoluta utilità. Se è chiara ed immediata la motivazione che spinge chi non installa antivirus all'utilizzo di tali servizi online, perchè questi servizi possono rivelarsi utili anche per chi l'antivirus lo usa? Prendiamo come esempio VirusTotal, una tra le prime applicazioni web a fornire scansioni antivirus online e tutt'ora una tra le più famose se non la più celebre in assoluto. VirusTotal è un servizio che analizza file ed URL identificando malware (virus, worm, trojan, eccetera) attraverso l'ausilio di più engine antivirus (contrariamente a quanto avviene su un computer dotato di antivirus, dove appunto l'engine è unico). Le sue principali caratteristiche, come leggiamo dal website del progetto, sono le seguenti:

  • free;
  • utilizza più engine antivirus;
  • update realtime delle signature degli antivirus;
  • statistiche;
  • fornisce API ai programmatori per l'utilizzo del web service
L'uso di più engine antivirus permette, ricollegandoci alla domanda lasciata precedentemente in sospeso, di ottenere, per determinati file di cui si diffidi, una sicurezza maggiore che quella data dal solo antivirus installato sull'host locale: come è facile verificare nella pratica, accade che un file infetto venga riconosciuto come tale da VirusTotal solamente su "suggerimento" di alcuni engine antivirus, mentre altri non lo riconoscano affatto come minaccia. Con più "occhi" puntati, tuttavia, se è vero che è più difficile che un file infetto sfugga al controllo, è altresì più facile ottenere come risultato falsi positivi, ovvero file "innocenti" riconosciuti come "colpevoli": occorre quindi un po' di attenzione in merito. L'utilizzo di VirusTotal non ha bisogno di spiegazioni: caricando il file sospetto, questo viene scansionato da un buon numero di motori; le immagini seguenti raffigurano, quale esempio, la scansione del vetusto trojan Back Orifice 2000 (BO2K); al suo upload, VirusTotal ci informa che esso è già stato processato nel passato (figura 1) e ci propone di visionarne i risultati (figura 2) per un responso immediato, oppure di optare per una nuova scansione, che appunto darà quanto ci attendiamo. Nonostante siano passate ere informatiche dalla sua creazione, Back Orifice 2000 non viene riconosciuto da ben 3 engine su 42; inoltre, per esperienza, la scansione di un trojan recentemente trovato su un sistema Windows XP (completamente aggiornato) ed iniettato attraverso un exploit 0day su di un browser (anch'esso completamente aggiornato!) non è stato riconosciuto che da un quarto scarso degli engine, alla data dell'infezione. Ciò dovrebbe far meditare sia sull'effettiva efficacia dei software antivirus presi singolarmente che sull'asserzione che crede "gli antivirus tutti uguali". VirusTotal non è l'unico servizio per la scansione di file online: nella Rete si annoverano decine di web service similari, tra i quali possiamo menzionare Avast Online Scan, che, come intuibile, utilizza il motore Avast per la scansione, così come ad unico engine troviamo Dr. Web. Molto più simili dei precedenti a VirusTotal risultano essere Filterbit che, come il suo concorrente, offre scansioni validate da più engine, nella fattispecie 12 e non 42, anche se l'accuratezza non è messa in discussione, dati i nomi in gioco (AVG scan engine , McAfee VirusScan Enterprise , Symantec Scan Engine); VirusChief e Jotti's Malware Scan, ancor più ricco e validissima alternativa a VirusTotal.

Rilevazione minacce presenti sui siti web
Sempre più sovente i malware vengono iniettati via browser piuttosto che mediante scambio di file o p2p: risulta quindi possibile spostare l'attenzione a monte anzichè a valle, verificando direttamente un sito web, online, a partire dal suo URL.
URLVoid risulta essere il miglior servizio online di scansione di website alla ricerca di malware; utilizza un buon numero di engine e/o "blacklist":
  • AmaDa
  • BrowserDefender
  • DNS-BH
  • Google Diagnostic
  • hpHosts
  • joewein.de LLC
  • Malware Domain List
  • Malware Patrol
  • MyWOT
  • Norton SafeWeb
  • ParetoLogic URL Clearing House
  • PhishTank
  • SURBL
  • Threat Log
  • TrendMicro Web Reputation
  • URIBL
  • Web Security Guard
  • ZeuS Tracker

In chiusura, altro servizio similare è LinkScanner Online

Fonte: Html.it - Autore: Marco Buratto