Problema malware: antivirus inefficaci

[Sandro kensan]

Antivirus inefficaci in un caso ogni tre:

Circa il 30% del malware è stato classificato come nuovo o "zero-day" poiché non è stato rilevato da una soluzione tradizionale antivirus (AV). Ciò conferma che le capacità dei cybercriminali di ripacchettizzare in modo automatico o modificare il loro malware ha superato la capacità dell'industria antivirus di tenere il passo con le nuove firme. Senza una soluzione di prevenzione avanzata dalle minacce, capace di identificare in modo proattivo il malware usando tecniche di rilevazione moderne, le aziende non sono in grado di rilevare quasi 1/3 del malware.

https://www.tomshw.it/watchguard-rilasciato-suo-internet-security-report-84623


Gli attacchi esaminati sono di ogni tipo, non solo quelli diretti all'utente consumer.

[defender69]

Praticamente il comportamento dell'utente, su internet, si conferma (sempre piu?) il principale strumento contro i malintenzionati.

[giammangiato]

1/3 é veramente tantissimo, cavolo. Ma non ci sono modi per essere un po' piu sicuri?

[babo]

Antivirus inefficaci in un caso ogni tre:

Circa il 30% del malware è stato classificato come nuovo o "zero-day" poiché non è stato rilevato da una soluzione tradizionale antivirus (AV). Ciò conferma che le capacità dei cybercriminali di ripacchettizzare in modo automatico o modificare il loro malware ha superato la capacità dell'industria antivirus di tenere il passo con le nuove firme. Senza una soluzione di prevenzione avanzata dalle minacce, capace di identificare in modo proattivo il malware usando tecniche di rilevazione moderne, le aziende non sono in grado di rilevare quasi 1/3 del malware.

https://www.tomshw.it/watchguard-rilasciato-suo-internet-security-report-84623


Gli attacchi esaminati sono di ogni tipo, non solo quelli diretti all'utente consumer.

proprio in sti giorni ho dovuto fare un intervento straordinario sul windows di mio babbo, un adware ma cosi difficile da eradicare (youndoo)
ci ho speso 3 giorni, una fatica immane

la storia insegna due cose (a mio padre)
- usa un SO vero e non quella ciofeca di windows
- se proprio devi usare windows, NON INSTALLARE ROBA CRACCATA O PROGRAMMI-SCHIFO

ulteriore aggiunta
- se installate progrmmi for free, nella fase di installazione non pigiate AVANTI compulsivamente, perche li potrebbero farvi installare toolbar e altre troiate che poi vi inchiappettano

[TRF]

E che dire, io mi sono ritrovato con tutti i pc infettati da cryptolooker perchè una mia collaboratrice ha aperto un allegato. E' da una settimana che sono sull'Iphone

[Sandro kensan]

1/3 é veramente tantissimo, cavolo. Ma non ci sono modi per essere un po' piu sicuri?

Certo che ci sono modi. Prima di tutto avere conoscenze su come gli attacchi avvengono, almeno una infarinatura. Poi essere a conoscenza che un sistema operativo facile da usare è anche adatto a molte persone non acculturate e per questo molto attaccato dai virus, trojan, ransomware, malware. La sicurezza e la facilità d'uso non vanno d'accordo, esiste praticamente un principio generale.

Poi c'è il problema della diffusione del substrato su cui il virus cresce. In natura non esistono i cloni per cui i virus fanno difficoltà a prosperare, un virus non è mai adatto a tutte le piante o a tutti gli esseri umani, esiste sempre una classe di piante che non sono attaccate da un certo virus perché sono fatte in modo diverso.

Persino con l'AIDS esistono alcune persone che non sono attaccabili da questo virus per caratteristiche genetiche. Non c'è mai un virus che attacca tutte le persone, per questo gli essere umani e gli esseri viventi sono durati milioni di anni.

Lo stesso vale per i sistemi operativi, se si ha un clone questo sarà facilmente attaccato da un virus, più ci si distanzia dai cloni e avvicina agli esemplari unici e più si è immuni ai virus. Per questo motivo i mac sono meno attaccati dei windows e per questo motivo gli ubuntu sono meno attaccati dei mac e per questo motivo i vattelapasca linux sono meno attaccati degli ubuntu.

Quindi in generale meglio un sistema operativo difficile che abbia a cuore la sicurezza e che sia poco diffuso ma comunque ben supportato a livello di patch di sicurezza.

Io ho scelto una distribuzione linux poco diffusa ma ben supportata: ce ne sono tante.

[TRF]

Antivirus inefficaci in un caso ogni tre:

Circa il 30% del malware è stato classificato come nuovo o "zero-day" poiché non è stato rilevato da una soluzione tradizionale antivirus (AV). Ciò conferma che le capacità dei cybercriminali di ripacchettizzare in modo automatico o modificare il loro malware ha superato la capacità dell'industria antivirus di tenere il passo con le nuove firme. Senza una soluzione di prevenzione avanzata dalle minacce, capace di identificare in modo proattivo il malware usando tecniche di rilevazione moderne, le aziende non sono in grado di rilevare quasi 1/3 del malware.

https://www.tomshw.it/watchguard-rilasciato-suo-internet-security-report-84623


Gli attacchi esaminati sono di ogni tipo, non solo quelli diretti all'utente consumer.

proprio in sti giorni ho dovuto fare un intervento straordinario sul windows di mio babbo, un adware ma cosi difficile da eradicare (youndoo)
ci ho speso 3 giorni, una fatica immane

la storia insegna due cose (a mio padre)
- usa un SO vero e non quella ciofeca di windows
- se proprio devi usare windows, NON INSTALLARE ROBA CRACCATA O PROGRAMMI-SCHIFO

ulteriore aggiunta
- se installate progrmmi for free, nella fase di installazione non pigiate AVANTI compulsivamente, perche li potrebbero farvi installare toolbar e altre troiate che poi vi inchiappettano

Scusa Babo, cosa intendi per S.O. vero?

Considera che io (e i miei collaboratori) usiamo windows, senza mettere su schifezze : abbiamo installato solo office, usiamo outlook per la posta elettronica, e 4-5 programmi specifici di finanza tipo metatrader .

Pensi che un Mac sia più sicuro?

[babo]

E che dire, io mi sono ritrovato con tutti i pc infettati da cryptolooker perchè una mia collaboratrice ha aperto un allegato. E' da una settimana che sono sull'Iphone

la prima cosa che manca é la cultura informatica
consiglio la lettura de "l'arte dell'inganno" di Mitnick
non é un libro tecnico ed é in italiano

[babo]

Scusa Babo, cosa intendi per S.O. vero?

Considera che io (e i miei collaboratori) usiamo windows, senza mettere su schifezze : abbiamo installato solo office, usiamo outlook per la posta elettronica, e 4-5 programmi specifici di finanza tipo metatrader .

Pensi che un Mac sia più sicuro?

un qualsiasi sistema operativo che supporti in maniera adeguata quello che un SO deve avere.. tutti i sistemi unix like (come macosx) vanno bene
meglio sarebbe una distro linux

perche hai possibilita di vedere il codice o se vuoi di ricompilarti partendo dal codice


se io ti dessi una scatoletta anonima, senza etichette, senza nulla e ti dicessi: mangia é buono.. ti fideresti?
stesso vale con software chiuso

[TRF]

Scusa Babo, cosa intendi per S.O. vero?

Considera che io (e i miei collaboratori) usiamo windows, senza mettere su schifezze : abbiamo installato solo office, usiamo outlook per la posta elettronica, e 4-5 programmi specifici di finanza tipo metatrader .

Pensi che un Mac sia più sicuro?

un qualsiasi sistema operativo che supporti in maniera adeguata quello che un SO deve avere.. tutti i sistemi unix like (come macosx) vanno bene
meglio sarebbe una distro linux

perche hai possibilita di vedere il codice o se vuoi di ricompilarti partendo dal codice


se io ti dessi una scatoletta anonima, senza etichette, senza nulla e ti dicessi: mangia é buono.. ti fideresti?
stesso vale con software chiuso

Guarda, il mio problema sta nel fatto che uso software che non so se sono compatibili con linux . Fermo restando che io sono comunque molto ignorante in materia.

[jack0m]

Antivirus inefficaci in un caso ogni tre:

Circa il 30% del malware è stato classificato come nuovo o "zero-day" poiché non è stato rilevato da una soluzione tradizionale antivirus (AV). Ciò conferma che le capacità dei cybercriminali di ripacchettizzare in modo automatico o modificare il loro malware ha superato la capacità dell'industria antivirus di tenere il passo con le nuove firme. Senza una soluzione di prevenzione avanzata dalle minacce, capace di identificare in modo proattivo il malware usando tecniche di rilevazione moderne, le aziende non sono in grado di rilevare quasi 1/3 del malware.

https://www.tomshw.it/watchguard-rilasciato-suo-internet-security-report-84623


Gli attacchi esaminati sono di ogni tipo, non solo quelli diretti all'utente consumer.

Sono appunto le soluzioni tradizionali (antivirus) ad essere ormai inadeguate, perché si basano sul principio grossolano di rilevare una minaccia a partire da una firma dell'eseguibile.
I sistemi più seri ed efficaci anti-APT si basano su analisi del traffico di rete all'interno di LAN, con sistemi di machine learning che si adattano ai profili di utilizzo della particolare rete e rilevano automaticamente le anomalie, rispetto ai pattern identificati.
Ovvio che questo è applicabile all'interno di aziende medio-grandi, mentre avrebbe un costo proibitivo per piccole imprese e normali utenti domestici.

[giammangiato]

E quindi jack0m, se i sistemi migliori li hanno le aziende: noi utenti normali, casalinghi diciamo, come possiamo fare?
Io ho parecchia paura di 'sti ransomware.

[Sandro kensan]

Sono appunto le soluzioni tradizionali (antivirus) ad essere ormai inadeguate, perché si basano sul principio grossolano di rilevare una minaccia a partire da una firma dell'eseguibile.
I sistemi più seri ed efficaci anti-APT si basano su analisi del traffico di rete all'interno di LAN, con sistemi di machine learning che si adattano ai profili di utilizzo della particolare rete e rilevano automaticamente le anomalie, rispetto ai pattern identificati.
Ovvio che questo è applicabile all'interno di aziende medio-grandi, mentre avrebbe un costo proibitivo per piccole imprese e normali utenti domestici.

Ma andando sul concreto questi sistemi che adottano le aziende grandi sono adatti a proteggere gente come noi che ha una decina di bitcoin sul proprio pc e che dovrebbe impedire a un virus zero day di trasferire 50 caratteri (la chiave privata) al di fuori del proprio pc?

Questi cracker potrebbero fare un virus ad hoc, un virus in versione unica per rubare 10 btc, il sistema che descrivi protegge dai virus in versione unica o serie limitata? Cioè un programmatore potrebbe fare un virus che duri una settimana dal tempo in cui c'è una falla zero day su chrome al tempo in cui Google diffonde la patch, (potrebbero comprare bug zero day sul mercato nero). C'è protezione?

[bittaitaliana]

E quindi jack0m, se i sistemi migliori li hanno le aziende: noi utenti normali, casalinghi diciamo, come possiamo fare?
Io ho parecchia paura di 'sti ransomware.

gli utenti normali devono aprire gli occhi, solo questo.
io uso windows, e dal 1998 ad oggi, sempre con win, ho preso 1 solo virus, quella cazzata fake della polizia postale (ovviamente visitando un sito porno).
non uso antivirus, al max un firewall

poi c'è gente come mia sorella, che vede un banner CLICCA QUi, ci clicca e prende un virus

[jack0m]

Sono appunto le soluzioni tradizionali (antivirus) ad essere ormai inadeguate, perché si basano sul principio grossolano di rilevare una minaccia a partire da una firma dell'eseguibile.
I sistemi più seri ed efficaci anti-APT si basano su analisi del traffico di rete all'interno di LAN, con sistemi di machine learning che si adattano ai profili di utilizzo della particolare rete e rilevano automaticamente le anomalie, rispetto ai pattern identificati.
Ovvio che questo è applicabile all'interno di aziende medio-grandi, mentre avrebbe un costo proibitivo per piccole imprese e normali utenti domestici.

Ma andando sul concreto questi sistemi che adottano le aziende grandi sono adatti a proteggere gente come noi che ha una decina di bitcoin sul proprio pc e che dovrebbe impedire a un virus zero day di trasferire 50 caratteri (la chiave privata) al di fuori del proprio pc?

Questi cracker potrebbero fare un virus ad hoc, un virus in versione unica per rubare 10 btc, il sistema che descrivi protegge dai virus in versione unica o serie limitata? Cioè un programmatore potrebbe fare un virus che duri una settimana dal tempo in cui c'è una falla zero day su chrome al tempo in cui Google diffonde la patch, (potrebbero comprare bug zero day sul mercato nero). C'è protezione?

In che senso in versione unica? I malware non sono basati su un unico exploit in particolare, lo stadio di infezione può includere più vettori di attacco, in modo da aumentare le probabilità che il target sia vulnerabile ad almeno uno di essi. Comunque ci sono zero day che rimangono sconosciuti per mesi, in alcuni casi forse per anni: penso all'hack di Yahoo con cui sono stati violati un miliardo di account, e la cosa è stata resa nota a distanza di due anni...

In ogni caso il rischio di zero day non si può mai eliminare del tutto: protezioni? Mah le solite raccomandazioni tipo non aprire mail sospette, non cliccare su link a caso, non lanciare eseguibili se non si è ragionevolmente sicuri della provenienza affidabile, ecc. Se vuoi avere un maggior controllo del sistema dovresti anche disattivare tutti i servizi attivati di default ma che in realtà non usi, usare un firewall che blocchi le porte non standard e non utilizzate, ecc.

[TRF]

E siamo a quasi 10 giorni senza PC. Mai più senza back-up!

[jack0m]

E quindi jack0m, se i sistemi migliori li hanno le aziende: noi utenti normali, casalinghi diciamo, come possiamo fare?
Io ho parecchia paura di 'sti ransomware.

gli utenti normali devono aprire gli occhi, solo questo.
io uso windows, e dal 1998 ad oggi, sempre con win, ho preso 1 solo virus, quella cazzata fake della polizia postale (ovviamente visitando un sito porno).
non uso antivirus, al max un firewall

poi c'è gente come mia sorella, che vede un banner CLICCA QUi, ci clicca e prende un virus

lì si rischia veramente grosso. Come minimo devi ricordarti di incerottare la webcam, altrimenti quando ti arriva la mail "WE SAW WHAT YOU DID" cominci a sudare freddo

[Sandro kensan]

In che senso in versione unica?

Dicevo che un malware ha un costo per il cracker che se ben remunerato può usare il malware stando sotto il radar degli antivirus, possono fare un malware che si diffonda limitatamente e quindi risulta sconosciuto. Se il target sono un certo numero di possessori di bitcoin, il cracker può guadagnare anche da una diffusione limitata del suo prodotto.

[jack0m]

In che senso in versione unica?

Dicevo che un malware ha un costo per il cracker che se ben remunerato può usare il malware stando sotto il radar degli antivirus, possono fare un malware che si diffonda limitatamente e quindi risulta sconosciuto. Se il target sono un certo numero di possessori di bitcoin, il cracker può guadagnare anche da una diffusione limitata del suo prodotto.

mmm non è quella la strategia dei cracker. L'obiettivo è guadagnare il più possibile, per cui si tende a colpire nel mucchio, pescando "a strascico", piuttosto che prendere di mira target specifici. È contando sui grandi numeri che aumenti le probabilità che l'attacco abbia successo. È realtivamente più semplice ingannare un AV con malware polimorfici, piuttosto che investire risorse per crearne ad hoc.
Poi ci sono altri tipi di malware concepiti per tutt'altro scopo, in uso ad agenzie governative per spionaggio, lotta alla criminalità o altri motivi più o meno opachi: quelli sì che sono attacchi mirati, ma in quel caso se ne fottono dei tuoi 10 o 100 bitcoin. A meno che tu non sia un sia un noto criminale, narcotrafficante o finanziatore del terrorismo, non è quindi il caso di preoccuparsene.

[babo]

E quindi jack0m, se i sistemi migliori li hanno le aziende: noi utenti normali, casalinghi diciamo, come possiamo fare?
Io ho parecchia paura di 'sti ransomware.

gli utenti normali devono aprire gli occhi, solo questo.
io uso windows, e dal 1998 ad oggi, sempre con win, ho preso 1 solo virus, quella cazzata fake della polizia postale (ovviamente visitando un sito porno).
non uso antivirus, al max un firewall

poi c'è gente come mia sorella, che vede un banner CLICCA QUi, ci clicca e prende un virus

tu sei un utente scafato, peró non é faticoso stare sempre sul chi va la.. é uno sforzo cognitivo maggiore che non usare SO veri