Intervista a Marco Giuliani

Marco Giuliani, laureando in Informatica presso l’Università degli studi di Perugia, è balzato alle cronache informatiche di tutto il mondo per aver prodotto uno dei primi e più approfonditi studi sull’insidioso malware Gromozon: Gromozon: The strange case of Dr.Rootkit and Mr.Adware, e per avere indicato le tecniche più adeguate per neutralizzarlo e liberarsene. Tanto da essersi meritata la non desiderata attenzione dei creatori di Gromozon, che in una successiva variante del malware come ritorsione l’hanno addirittura falsamente indicato come il suo ideatore. Ma Marco in realtà si era già da tempo dimostrato un brillante ricercatore nel campo della sicurezza informatica, tanto da lavorare come collaboratore per la famosa azienda di sicurezza Prevx che produce fra l’altro un ottimo software HIPS, Prevx 1.
Per questi motivi gli abbiamo rivolto alcune domande sui temi più importanti e attuali della sicurezza informatica, e in particolar modo sui Rootkit e sul nuovo sistema operativo Windows Vista, e ne è uscita questa intervista estremamente interessante che, ringraziandolo per la cortesia con cui ha risposto alle nostre domande, vi invitiamo caldamente a leggere.

Pianetapc – come funziona il lavoro in Prevx quando viene isolato un nuovo malware?

Marco Giuliani – La tecnologia alla base di Prevx è sostanzialmente automatizzata. Un database centrale tiene sotto controllo la situazione mondiale raccogliendo le informazioni provenienti dai vari client Prevx1 installati nei sistemi degli utenti. Quando un’utente che ha installato Prevx1 esegue un software, il nostro client esegue una scansione del file, calcolandone una signature – una firma virale unica. Questa firma virale viene spedita al server centrale il quale verifica se il file è già conosciuto come malevolo oppure no. Se il file non viene riconosciuto come malevolo immediatamente, il database centrale verifica eventuali correlazioni con gli altri file presenti al suo interno, evidenziando quindi possibili parentele con già conosciuti malicious software. Se neanche questo porta ad identificare il file come nocivo, il file viene eseguito sul pc dell’utente e il client tiene sotto controllo eventuali comportamenti nocivi, secondo delle regole prestabilite. In caso più regole vengano contemporaneamente infrante – regole ovviamente appositamente studiate in modo tale da identificare comportamenti tipici di un malware – il file viene identificato automaticamente come nocivo, ne viene bloccata l’esecuzione e viene aggiornato lo status nel database centrale da ‘unknown’ a ‘bad’. Questo cosa significa in parole povere? Che, grazie al database centralizzato, se un utente cade vittima di un nuovo malware immediatamente questa nuova minaccia viene isolata e tutti i pc protetti da Prevx1 sono al sicuro in un periodo di tempo di pochi minuti.

Questa è sostanzialmente la procedura automatizzata. Sarebbe sciocco ovviamente che non ci fosse dietro un team di ricercatori che assiste a questa procedura. Un grafico in tempo reale viene creato per monitorare la situazione di eventuali nuovi file sconosciuti ma che sembrano avere comportamenti nocivi. I ricercatori si prendono cura di questi file, analizzandoli attraverso i comportamenti registrati nel database o, in caso sia disponibile il file sospetto, analizzandolo a mano. Abbiamo al momento nel nostro database più di 66 milioni di firme virali generate in modalità automatica con completi profili comportamentali e ben oltre un milione di software nocivi isolati.

Pianetapc – Chi è Marco Giuliani? Com’è nato questo interesse per le ricerche su virus e applicazioni nocive.

Marco Giuliani - Marco Giuliani è un semplice ragazzo ventenne come tanti, appassionato di una scienza – quale è l’informatica – che negli ultimi due decenni è entrata di prepotenza nelle case di ogni singolo individuo. Frequenta il Corso di Laurea in Informatica presso il dipartimento di Matematica e Informatica all’Università degli studi di Perugia. Collabora come redattore per la testata giornalistica Hardware Upgrade curandone la sezione sicurezza e collabora con la società di sicurezza inglese Prevx Ltd. in veste di Malware Analyst. É inoltre fondatore del sito web PCAlSicuro.com, una delle tante piccole realtà a livello nazionale che si preoccupa di fornire informazioni sulle possibili minacce informatiche che investono il nostro paese.

La passione per la sicurezza informatica deriva da molto lontano, si parla di circa dieci anni, quando durante l’utilizzo di un vecchio pc il padre fece fare una scansione con l’allora F-Prot Antivirus per DOS. Incuriosito dall’aver visto quel software, incominciano le ricerche su cosa fossero i virus, come funzionassero i software antivirus e tutto ciò che ne gira intorno. Nel corso di questi dieci anni ha avuto la fortuna di poter entrare più addentro questa realtà, conoscendo molte persone del settore, sia italiane che internazionali, grazie alle quali ha potuto approfondire di più gli argomenti tecnici. Il mondo della sicurezza informatica è molto vasto, il ramo dei virus è solo uno dei tanti argomenti, ma richiede aggiornamenti costanti giorno dopo giorno, studiando nuove tecniche in un continuo botta e risposta tra i due fuochi, chi attacca e chi difende.

Pianetapc – Come vedi tu il futuro del processo evolutivo di queste insidie che in questo anno hanno toccato punte elevate come numero di infezioni?

Marco Giuliani - Ho rilasciato proprio in questi giorni un report in cui sottolineo come stiano cambiando le modalità di infezione e gli scopi della scrittura di malware informatici. Non c’è più lo scopo di far vedere al mondo intero la propria bravura nello scrivere un malware o lo scopo di danneggiare qualcosa. Non c’è molto da dire, i computer sono dappertutto. I malware informatici possono essere una grossa fonte di guadagno. Guadagno che può essere visto sia come furto di informazioni riservate – spionaggio industriale per esempio – sia come l’infezione per mezzo di dialer che permettono un’accrescimento monetario particolarmente veloce, sia come l’infezione di un pc in modo tale tra trasformarlo in uno “zombie” – un pc controllato da remoto utilizzabile per scopi vari, per esempio come strumento per attacchi di tipo DDoS.

Ci si sta orientando verso una tipologia di attacchi silenziosi, studiati e mirati verso precisi obiettivi con uno scopo per chiaro. Questo significa che, come abbiamo visto, vedremo sempre più infezioni da trojan, da password stealer, da backdoor e dialer, gli strumenti necessari per poter sfruttare al meglio l’infezione di un pc. Interessante vedere come vengano sfruttati sempre più spesso bug dei software per trasmettere infezioni. L’utilizzo di siti web contenenti più exploit per sfruttare i bug dei browser, bug vari del sistema operativo Windows, saranno i vettori di infezione più utilizzati nei prossimi mesi. E, dove non verranno sfruttati exploit, verranno sempre più utilizzate tecniche di ingegneria sociale mirate per specifici obiettivi, in modo tale da rendere il tutto più credibile possibile. Ne abbiamo avuto testimonianza diretta in questo 2006 che si è appena concluso, con attacchi mirati e tecniche per convincere gli utenti ben studiate e credibili agli occhi di molti utenti non esperti.

Pianetapc – L’evoluzione del fenomeno rootkit nel futuro.

Marco Giuliani - I rootkit sono uno degli strumenti che si stanno rivelando fondamentali nella tecnica degli attacchi mirati. Non troppo nuovi concettualmente parlando, hanno subito un incremento in termini di tecniche di sviluppo proprio negli ultimi anni. Sono diventati recentemente argomento di studio approfondito da parte dei malware writer, proprio perché ricoprono un ruolo utilissimo nell’atto di compromissione di un sistema. Un attacker che vuole compromettere un sistema ovviamente tenta di tutto per cercare di non far scoprire eventuali malware installati. Fondamentalmente un rootkit fa questo: un file viene nascosto totalmente alterando le funzioni di Windows (API) utilizzate da ogni applicazione per interfacciarsi con il kernel ed eseguire comandi quali l’enumerazione dei files in una directory. Facendo un esempio, banale per ogni programmatore, l’enumerazione dei file in una directory è quasi sempre fatta utilizzando due API di Windows: FindFirstFile e FindNextFile. Quindi, un rootkit che altera il funzionamento di queste due API riesce a fare in modo che un determinato file – quale può essere un trojan – non compaia mai tra i file presenti nell’hard disk. Un esempio banale ma che permette di capire in maniera basilare come un rootkit agisca.

Abbiamo assistito alla creazione di rootkit user mode, capaci di filtrare le API di Windows nella zona di memoria dedicata alle applicazioni utente – relativamente facili da individuare e rimuovere. Le tecniche si sono poi evolute, passando a rootkit di tipologia kernel-mode, cioè capaci di lavorare nella zona di memoria riservata al kernel di Windows, dove l’accesso è solitamente proibito a qualunque applicazione utente. Sostanzialmente le tecniche attuali più diffuse sono queste due, di cui la seconda molto più difficile da individuare e rimuovere proprio perché arriva a compromettere zone di memoria di difficile controllo. Su questo campo vedremo molto probabilmente uno sviluppo più avanzato di rootkit kernel-mode sempre più a basso livello, di conseguenza più difficili da individuare e rimuovere. Penso che ancora per un periodo di tempo a medio termine i rootkit useranno come campo di battaglia il kernel di Windows, anche se alcune avvisaglie di rootkit relativamente indipendenti dal sistema operativo sono stati mostrati ad alcune conferenze internazionali. Tuttavia il vero pericolo al momento e per i prossimi mesi sono i rootkit user-mode e kernel-mode. Abbiamo avuto avvisaglie che Rustock, uno dei migliori rootkit kernel-mode mai scritti, abbia già una nuova variante che elude in maniera egregia la gran parte degli attuali scanner.

Pianetapc – Hai già avuto modo di usare Windows Vista? Se si, che pensi del sistema PatchGuard?

Marco Giuliani - Windows Vista, il nuovo sistema operativo di Microsoft, ha sicuramente le potenzialitá per poter diventare il sistema operativo piú sicuro mai scritto dalla societá. Le caratteristiche tecniche ci sono. Parliamo peró di un arco di tempo a medio-lungo termine, cioé quando il sistema sará ben testato e le tecnologie mature.
Differentemente, agli inizi, saranno inevitabili exploit e bug nel software, a causa del codice nuovo. Ad aggravare il panorama c’é poi l’immaturitá di molti software di sicurezza, le cui societá stanno ancora adattando i propri codici al nuovo sistema operativo. Di conseguenza, paradossalmente, nei primi tempi potrebbero risultare piú protetti gli utenti che ancora utilizzano Windows XP – piattaforma ben testata – piuttosto che il nuovo e pressocché sconosciuto sistema operativo.

Alla Prevx stiamo lavorando per adattare Prevx1 a Windows Vista dal primo trimestre del 2006 e, con molta probabilitá, la versione a 32 bit di Prevx1 sará disponibile subito da Gennaio 2007. A seguire, entro il primo trimestre 2007, sará rilasciata la versione a 64 bit, totalmente compatibile con la tecnologia PatchGuard.
Proprio su PatchGuard ci sarebbe molto da parlare. Ci sono state molte discussioni a riguardo, accuse lanciate da societá di sicurezza e difese da parte di Microsoft. Devo dire che le nostre ricerche ci hanno chiaramente evidenziato come sia possibile ottenere funzionalitá equivalenti pur senza intaccare PatchGuard.

Piuttosto sono nate alcune perplessitá su questa tecnologia di Microsoft, non nuova ma implementata giá nelle versioni a 64 bit di Windows XP Professional e Windows Server 2003 . Bisogna prima di tutto ragionare un attimo su questa protezione. Questa forma di sicurezza é ovviamente un problema per gli sviluppatori di Microsoft, obbligati a trovare una via di mezzo tra una tecnologia che possa fornire molta sicurezza senza peró intaccare le prestazioni del sistema operativo. In fondo é sempre cosí: una guerra tra sicurezza e performance. Quello che abbiamo notato da ricerche interne é che Microsoft sembra abbia optato per non penalizzare le prestazioni, intaccando quindi il livello di sicurezza fornita. Di conseguenza, PatchGuard fornirebbe un’efficace protezione solo durante i primi tempi, dopo di che rischierebbe di venire agilmente superato.
Se Microsoft ha veramente scelto questa via, si prospetta uno scenario non troppo affascinante.

Uno scenario in cui noi e qualunque altra società di sicurezza sarebbe inibita dal poter mettere un “tappo” a chiudere la falla – come da policy Microsoft – mentre i malware potrebbero tranquillamente sfruttarla e lavorare direttamente in modalità kernel, prendendo il controllo completo. Puó Microsoft permettere che accada tutto ciò?

Pianetapc – che ci dici sui rootkit in grado di bypassare il kernel o di penetrare nel sistema al disotto del kernel (vedi quelli ipotizzati dalla memoria flash del bios)?

Marco Giuliani – Si fa tanto parlare di cosiddetti proof-of-concept, o meglio dire degli esempi di infezione scritti ad-hoc per evidenziare delle possibili nuove tecniche di attacco.
Fino ad oggi abbiamo visto infezioni da rootkit user-mode e kernel-mode. In entrambi i casi, come c’é stato l’attacco, nella maggior parte dei casi é stata trovata una soluzione per individuarli e rimuoverli. Certo, piú si scende a fondo nel compromettere il kernel di sistema, piú possibilitá si hanno di restare invisibili. La sfida del prendere quanto più possibile il controllo del sistema senza destare sospetto a scanner antivirus/antirootkit e agli occhi degli utenti si è arricchita adesso di un altro componente: la virtualizzazione.

Per chi ha visto il film “Matrix” il concetto è sostanzialmente lo stesso. Un utente lavora su un pc tranquillamente, ma chi assicura che quel sistema operativo in uso non sia in quell’esatto momento emulato, creato virtualmente, da un rootkit? Il concetto suona tanto affascinante quanto misterioso. Si tratta cioè di prendere il controllo del computer prima ancora che il sistema operativo parta, totalmente al di sotto del kernel, e poi emulare Windows o qualunque altro sistema operativo. La conseguenza sarebbe che l’utente utilizza tranquillamente il pc come se tutto fosse nella normalità, ma nella realtà il sistema operativo è solamente emulato e probabilmente è attiva qualche infezione per esempio per controllare il traffico di rete e rubare password o dati sensibili. Sembra fantascienza, non lo è. Microsoft ha presentato il primo trimestre del 2006 il nuovo prototipo di rootkit, denominato SubVirt. Questo progetto sfrutta Virtual Machine già conosciute, quali VMWare o VirtualPC, per emulare il sistema operativo. Una volta lanciato un file infetto – degno di nota il fatto che per portarsi dietro un Virtual Machine Monitor il file non è proprio così piccolo per quanto riguarda le dimensioni – il rootkit si installa nel Master Boot Record dell’Hard Disk, in modo tale che al successivo riavvio non venga lanciato il sistema operativo ma l’ambiente di emulazione.

Ovviamente questa tecnologia ha i suoi limiti, quali possono essere l’emulazione fornita dai software commerciali VMWare e VirtualPC. Per quanto ottimi, difficilmente in emulazione raggiungono le prestazioni in termini di velocità di un computer fisico. Inoltre, questo tipo di infezione può essere individuata offline, cioè in fase di boot del computer è possibile partire da un cdrom e controllare che il MBR sia in regola e non contraffatto in qualche maniera. Un’altra presentazione è stata fatta dalla società di sicurezza eEye, con il progetto BootRoot. Anche qui il pc viene messo sotto controllo quando il BIOS ha finito la fase di boot e prima dell’avvio del sistema operativo, questa volta senza alcuna emulazione ma prendendo possesso di alcuni interrupt. Anche questa tecnica, molto affascinante, ha i suoi limiti ed è comunque di difficile implementazione.

Infine, non è possibile non citare quello che sicuramente ha fatto più scalpore di tutti, ovvero il progetto di Joanna Rutkowska denominato Blue Pill.
Blue Pill è, concettualmente parlando, simile a SubVirt, ma ne supera alcuni suoi limiti. Non utilizza più VMM proprietarie come SubVirt, bensì utilizza una nuova tecnologia implementata da AMD nei propri processori Athlon64 su socket AM2 e denominata AMD Secure Virtual Machine o Pacifica. AMD fornisce dunque delle funzionalità per creare a tutti gli effetti una virtualizzazione “completa”.

La ricercatrice Joanna Rutkowska ha pensato di sfruttare questa tecnologia per una possibile nuova infezione. La sua “blue pill” permette di infettare il sistema on-the-fly, cioè nel momento stesso in cui l’infezione viene lanciata non c’è bisogno di un riavvio di sistema. Il sistema viene immediatamente virtualizzato e l’infezione esiste solo in memoria, cioè niente di “anormale” viene scritto nel disco. Viene quindi totalmente resa inoffensiva una scansione di tipo offline, perché non risulterebbe niente di anormale. Inoltre, stando alle parole di Rutkowska, si renderebbe anche molto difficile individuare questa infezione poiché significherebbe trovare una falla nel sistema di virtualizzazione di AMD. Insomma, sono tutti concetti molto affascinanti e, tecnicamente parlando, pericolosi se sfruttati appunto a scopo di lucro o comunque da chi non ha buone intenzioni.

Tuttavia, al momento il reale pericolo è basso, un’implementazione del genere richiederebbe notevoli capacità di sviluppo e i vincoli da considerare sono molti. É chiaro che, soprattutto osservando la nuova moda degli attacchi mirati, sarebbe da incoscienti abbassare la guardia e pensare che un rischio del genere sia totalmente assente. Però al momento è forse necessario concentrarsi di più nello sviluppare tecnologie il più efficaci possibili per individuare e rimuovere le infezioni causate dai rootkit attuali.

Pianetapc – Cosa consigli per prevenire l’intrusione di rootkit nel sistema?

Marco Giuliani - Oltre all’utilizzo di software antivirus tradizionali, che sono sempre assolutamente necessari e che proprio negli ultimi tempi hanno incrementato le firme virali per l’individuazione dei rootkit e aggiornato le tecnologie euristiche, per gli utenti che vogliono sentirsi più al sicuro può essere consigliabile l’utilizzo di un software HIPS.

Al momento questa tipologia di software, atta ad analizzare i comportamenti di un software più che cercare eventuali firme virali, permette di bloccare efficacemente molte infezioni da rootkit e aggiunge un livello di protezione sicuramente importante ai software di sicurezza tradizionali che devono comunque essere sempre presenti. Anche sulla configurazione dei software HIPS si pone il solito dilemma tra sicurezza e facilità d’uso: il massimo della sicurezza, quindi la possibilità di bloccare ogni software che sta tentando di fare qualcosa di potenzialmente dannoso, o la facilità d’uso per l’utente tralasciando delle configurazioni a scapito della sicurezza? Il sostanziale limite di questi software sta proprio nella difficoltà di utilizzo, proprio per questo si stanno cercando compromessi tra usabilità ed efficacia.

Si cerca cioè di renderli appetibili all’utenza comune, sebbene sia intrinseco nella natura stessa dei software HIPS una difficoltà nell’utilizzo, perché richiede una conoscenza non basilare delle possibili azioni di un file eseguibile sul sistema, quali siano dannose e quali necessarie. Non è superfluo però ricordare che, prima di utilizzare software avanzato, sarebbe consigliabile rispettare le basilari regole di sicurezza, quali l’utilizzo di un account utente limitato, l’utilizzo di browser e applicazioni più sicure, attenzione nell’aprire allegati e-mail e durante la navigazione online. Perché non c’è software di sicurezza che tenga se prima non si utilizza un minimo di testa nelle cose.>

Pianetapc – la formattazione dell’HD, quella “completa” ma normale, non quella fisica a basso livello, cancella un rootkit – magari insediatosi a nostra insaputa nel sistema prima della formattazione? oppure il rootkit rimane, sia pure nel nuovo file system, e può ridiventare attivo una volta reinstallato il sistema? Nel caso di rootkit dopo la sua eliminazione dal sistema, non è più opportuno formattare comunque il sistema usando un sw Boot & Nuke per sovrascrivere l’HD?

Marco Giuliani - Attualmente una formattazione completa dell’hard disk comprensiva di pulizia del Master Boot Record permette di eliminare i rootkit conosciuti. Sostanzialmente anche una semplice formattazione senza pulizia del Master Boot Record basterebbe ma, come abbiamo detto prima per quanto riguarda le possibili nuove tecnologie di infezione dei rootkit, il Master Boot Record potrebbe venire utilizzato come locazione per depositare parti dell’infezione.

L’utilizzo di un software quale Boot and Nuke – o una formattazione a basso livello di tipo zero fill full – è più indicato per eliminare dati sensibili da un hard disk in modo che non possano essere recuperati in nessun modo anche se il disco cada in mano a persone non desiderate. In aggiunta, una formattazione a basso livello di tipo zero fill full permette di identificare e correggere – problemi meccanici permettendo – eventuali settori danneggiati.

– Fra le tante considerazioni interessanti di Giuliani, vogliamo sottolinearne specialmente due.

In primo luogo la sempre crescente difficoltà, anche da parte dei software di sicurezza più sofisticati, nell’individuare la presenza e l’azione di un rootkit: la descrizione approfondita dedicata da Marco Giuliani agli effetti ed alle conseguenze di rootkit in grado di creare sistemi virtuali nei nostri pc è realmente inquietante.

L’altra considerazione riguarda la difficoltà di definire un equilibrio adeguato fra le esigenze della sicurezza e quelle dell’efficienza e della funzionalità pratica di un sistema operativo nel momento in cui si utilizzano software e tecniche di difesa particolarmente sofisticate, che controllano e agiscono ad un livello basso e molto esteso del sistema stesso. Gli esempi di Marco a proposito dell’uso dei software HIPS e della tecnologia PatchGuard implementata nel sistema Windows Vista sono molto significativi.

Fonte : Pianeta Pc