Salta al contenuto

Temi di tendenza

Gestione dei dati raccolti dagli AV: tutto ciò che volevi sapere ma non osavi chiedere

Samanta Fumagalli

15.12.17 14 minuti di lettura

Se sei interessato alle notizie geopolitiche, ti sarà capitato di leggere o di sentire parlare della tempesta nata attorno a Kaspersky. L’azienda russa di antivirus si è trovata a dover rispondere alle accuse di aver raccolto i file top secret NSA da una macchina di un cliente e di averli condivisi con le agenzie di intelligence russe. Kaspersky dichiara la sua innocenza sostenendo di aver raccolto i file come parte di normali operazioni, ma di aver poi cancellato i file dai propri sistemi sotto la direzione del CEO.

La questione ha fatto sorgere domande sui fornitori di antivirus in generale. F-Secure ha ricevuto e risposto ad alcune di queste domande: perché gli antivirus raccolgono file dalle macchine dei clienti? Cosa accade a quei file e come vengono protetti?

F-Secure ha interpellato Mikko Hypponen, Chief Research Officer di F-Secure, per rispondere a molte di queste domande e lo ha fatto inaugurando il primo episodio della serie di nuovi podcast intitolata Cyber Security Sauna. Ascolta la spiegazione di Mikko su come e perché F-Secure raccoglie dati e file dei clienti, e perché è importante aver fiducia nel proprio vendor di sicurezza.

Se preferisci leggere, questa è una sintesi della trascrizione in italiano delle risposte fornite da Mikko.

(…) Il problema è legato alle informazioni sottratte ai clienti di Kaspersky tramite il suo software. Immagino che la domanda sia perché dei dati dovrebbero essere trasmessi da un client antivirus alla società che lo gestisce?

MIKKO: Inizialmente, anni fa, non accadeva. Quando internet è diventato alla portata di tutti, ha iniziato ad avere un senso che i prodotti per la sicurezza raccogliessero informazioni dai sistemi dei clienti e li facessero analizzare dai loro laboratori. Ma agli inizi dei prodotti antivirus, non era la norma. Lo è diventata negli ultimi dieci, quindici anni e oggi è realmente la norma, nel senso che ogni singolo prodotto per la sicurezza raccoglie informazioni sul client su cui è installato, dalla workstation o dal dispositivo mobile su cui viene eseguito, e le invia agli sviluppatori. Sono informazioni pubbliche. Quando installi un prodotto per la sicurezza, cercheranno di dirtelo – raccoglieremo informazioni dai tuoi sistemi – perché è così che funzionano i moderni prodotti per la sicurezza.

Quindi è una cosa che facciamo anche noi?

MIKKO: Certo, lo facciamo anche noi. Si deve tuttavia anche capire che la maggior parte dei campioni che analizziamo ogni giorno non proviene dai sistemi dei clienti. In effetti, la maggior parte dei campioni che analizziamo quotidianamente la raccogliamo noi, facendo lavorare i nostri sistemi che cercano di infettarsi intenzionalmente. Abbiamo centinaia di server in rete proprio adesso che cercano di essere infettati da exploit kit o da allegati dannosi che raccogliamo noi stessi. Ma abbiamo anche campioni che provengono dai nostri clienti. Alcuni sono inviati dai nostri clienti stessi mediante il nostro modulo web, vale a dire che ci inviano attivamente un campione, ma alcuni sono inviati indirettamente dal terminale client. Quindi i nostri prodotti raccolgono informazioni dalle workstation su cui sono installati e ce le inviano.

Che tipo di informazioni viene inviato ai server F-Secure?

MIKKO: Vengono inviati parecchi dati, perché l’idea è quella di utilizzare i nostri server per diminuire il carico sui clienti e le workstation. Ai brutti vecchi tempi dell’antivirus, avevamo la cattiva reputazione di rallentare i sistemi, occupare tutta la memoria o tutto lo spazio sul disco rigido. Ebbene, oggi abbiamo milioni di volte più malware da bloccare e non utilizziamo più spazio su disco rigido o memoria. Il motivo è che la maggior parte di questa roba viene archiviata dal nostro lato. E perché questo funzioni, quando accade qualcosa di strano sul tuo computer, questo invia un’interrogazione al nostro cloud, che risponde “Sì, va tutto bene. Non va bene – non ti ci lasceremo andare.” Quindi il tuo computer invia informazioni al cloud di F-Secure e il cloud di F-Secure, che ha un’infinità di informazioni in più rispetto al tuo pc, risponde. Per questo motivo mandiamo informazioni avanti e indietro.

Ma per quanto riguarda me come utente, che tipo di informazioni mie vedete?

MIKKO: Ad esempio, quando esegui Microsoft Word, riceviamo l’informazione che un nostro utente, un nostro cliente, ha appena eseguito Microsoft Word. Perché quando esegui un programma sul tuo computer, calcoliamo un hash, come numero unidirezionale, di quale programma esegui, e inviamo questa informazione al nostro cloud al back end. E questo ci fornisce informazioni privilegiate, come ad esempio quali tipi di applicazioni sono più comuni, che tipo di programma i nostri clienti eseguono nel mondo. Questo è utile perché a volte, quando un utente esegue un malware completamente nuovo e sconosciuto, è in genere il primo utente del pianeta a eseguire un particolare nuovo file binario. Quindi dobbiamo sapere quali file binari, quali programmi sono comuni e quali non lo sono. Questo è un esempio. Un altro esempio è che quando visiti dei siti web col tuo browser, calcoliamo un hash degli URL che stai visitando. In questo modo otteniamo informazioni privilegiate sui siti web visitati dagli utenti. In alcuni casi inviamo l’URL reale. Non vediamo chi ha visitato un sito web, ma otteniamo l’URL del sito che l’utente ha visitato. Raccogliere queste informazioni ci consente di proteggere meglio gli utenti.

Hai menzionato i file binari. Che altri tipi di file vengono inviati?

MIKKO: A volte inviamo realmente copie complete di programmi, questo accade nei casi in cui un utente esegue un programma che ci è ignoto, che non abbiamo mai visto prima e attiva qualcosa nei nostri sistemi di protezione. Così la sandbox locale e i sistemi di analisi locali eseguiti sul tuo computer pensano ci sia qualcosa di strano nel file e, in questo caso, inviano il file ai nostri laboratori.

È qualcosa di cui come utente dovrei preoccuparmi? Voglio dire, non scrivo il mio codice quindi quali sono le probabilità che abbia un programma eseguibile sconosciuto sul mio pc?

MIKKO: È molto probabile che non sia una cosa buona. Il solo scenario naturale in cui un utente abbia un file binario totalmente nuovo, che nessuno ha mai eseguito prima nel mondo, è che sia egli stesso uno sviluppatore. Se esegui un programma e lo compili, sei ovviamente il primo utente sul pianeta a eseguirlo. Quindi nella maggior parte dei casi, quando acquisiamo un campione di questo tipo, c’è qualcosa di realmente strano, o si tratta di un nuovo sistema estremamente complesso, che non abbiamo mai visto prima, o è un malware. Ma anche in questi casi, non sappiamo quale sistema lo ha inviato a noi e non condividiamo questi campioni con nessun altro. Sono taggati come confidenziali e rimangono sempre all’interno dei sistemi F-Secure. Non li diamo ad altri.

Hai detto che gli sviluppatori spesso hanno programmi eseguibili unici perché li hanno creati loro. Come sviluppatore dovrei quindi preoccuparmi che le mie brillanti idee e il codice sorgente siano trasmessi a F-Secure?

MIKKO: Il codice sorgente non ci viene mai inviato. Non esiste alcuno scenario in cui potremmo avere accesso al codice sorgente. Ai file binari, sì, sarebbe possibile. Tuttavia, se sei uno sviluppatore e scrivi il tuo codice, lo vedi immediatamente. Ogni volta che compili ed esegui un programma ti arriverà una notifica dall’antivirus F-Secure. E in quel caso, sei uno sviluppatore, sei un esperto, sai come andare alle impostazioni e come inserire la cartella interessata nella whitelist. Questa sarà la cartella che non vuoi che analizziamo per trovare file binari ignoti, perché sarà piena di file binari ignoti tutti i giorni in cui lavori.

Questo è comprensibile. Se qualcuno avesse accesso alle informazioni che ci vengono inviate, ai file che ci vengono inviati, cosa otterrebbe esattamente?

MIKKO: Se qualcuno dovesse hackerarci, prima di tutto sarebbe una pessima cosa. Ma, naturalmente, niente è impossibile. Se dovessero accedere al nostro sistema backend, il sistema cloud di protezione, avrebbero accesso a questi esclusivi campioni eseguibili che non fanno parte dei nostri normali feed di malware. Ma non sarebbero in grado di capire da dove vengono.

Cosa facciamo per proteggere i file e le informazioni che ci vengono inviati dai client durante il tragitto? Cosa facciamo per assicurarci che non vengano sottratti dei dati?

MIKKO: Si può riassumere in una parola: codifica. Per citare Edward Snowden, la codifica funziona. Tutto viene quindi codificato end to end. Viene utilizzata una crittografia solida per qualsiasi elemento, non solo a livello di trasporto, ma anche del resto. Codifichiamo tutto per essere certi che niente venga sottratto dai sistemi che proteggiamo.

Ovviamente i nostri ricercatori hanno accesso ad alcune di queste informazioni. Alcune vengono rese anonime o in qualche modo tokenizzate, ma alcune non lo sono? Adottiamo tutte le misure di protezione?

MIKKO: Se utilizzi il nostro software significa che sostanzialmente ti fidi di noi. È quello che fai quando esegui il software di qualcuno sul tuo sistema. E questo è particolarmente importante quando si tratta di chi ti vende sicurezza. Devi scegliere con cura i produttori perché in teoria hanno accesso a tutto quello che fai. Non prendiamo certo alla leggera una simile responsabilità. Siamo perfettamente consapevoli della responsabilità che abbiamo e questo significa che i nostri dipendenti vengono accuratamente controllati e controlliamo le referenze degli analisti che lavorano per noi e hanno accesso a queste informazioni. Non abbiamo mai avuto problemi, nessuno ha mai abusato del potere che ha, ma, di fatto, quando esegui software di basso livello, come il software di protezione, ti devi fidare del tuo produttore.

E questo vale anche per i nostri concorrenti?

MIKKO: Tutto dipende dal modello di minaccia. Quando acquisti software di protezione, devi capire chi ti preoccupa. In breve, se ti preoccupa l’intelligence cinese, forse non dovresti acquistare un antivirus cinese. Se ti preoccupa l’intelligence russa, forse non dovresti acquistarne uno russo. Se ti preoccupano gli americani, non dovresti acquistarne uno americano. Ed è molto facile per me da dire, perché sono finlandese e immagino siano davvero pochi gli utenti preoccupati dall’intelligence finlandese.

Questo è comprensibile. Condividiamo mai copie di queste informazioni, di questi file con Virus Total o con forze dell’ordine e agenzie di intelligence nazionali o straniere?

MIKKO: Molti si sorprendono quando apprendono quanto sia stretta ed estesa la collaborazione tra le società di sicurezza informatica. Viene condivisa una quantità impressionante di informazioni. C’è un’enorme condivisione di malware, di feed che ci passiamo apertamente tra di noi. Chiediamo aiuto agli altri e ci aiutiamo tra noi, anche se sul fronte commerciale siamo acerrimi rivali. E il motivo per cui questo accade è che combattiamo tutti lo stesso nemico, gli autori di malware e i criminali on line. Quindi sì, condividiamo moltissime informazioni. Ma le informazioni che condividiamo sono quelle che raccogliamo noi stessi. Eseguiamo reti estese di monkey e honeypot e honeynet che raccolgono informazioni e campioni di malware, si infettano di proposito, e poi da questi estraiamo automaticamente campioni servendoci dei nostri backend di apprendimento automatico. E sono dati nostri. Li abbiamo raccolti noi e siamo liberi di farne quel che vogliamo. La diffusione di informazioni riguarda solo autori di malware, e non ci importa del loro diritto alla privacy, giusto? Ci importa invece della privacy dei nostri clienti. Quindi, quando i clienti ci inviano dei campioni, questi sono confidenziali e non li condividiamo con altri.

Quindi nessuna delle mie informazioni, dei miei filename, nessuna informazione collegabile a me viene condivisa?

MIKKO: Penso che il miglior esempio di quanto prendiamo seriamente la riservatezza dei clienti sia il fatto che, per quanto ne sappia, siamo l’unico produttore che pubblica esattamente quello che raccogliamo dai sistemi degli utenti finali. Quindi abbiamo un documento pubblico sul nostro sito web. Sono tre anni che c’è e spiega esattamente cosa raccogliamo. Perché non abbiamo proprio niente da nascondere. Facciamo di tutto per accertarci di rendere anonimo tutto ciò che è possibile. Così, ad esempio, quando inviamo un file sospetto da un sistema utente ai nostri sistemi, esaminiamo il percorso ed eliminiamo tutto ciò che in quel percorso potrebbe assomigliare a un nome utente, perché è una cosa che non vogliamo sapere. È un’informazione che non ci serve. E non ce la inviamo.

Immagino che sia anche una questione, per così dire di ‘igiene’. Intendo dire che non vogliamo essere infettati da qualcosa che potrebbe procurarci dei problemi.

MIKKO: E quando si raccolgono i dati, questi dati non sono solo preziosi, comportano anche delle responsabilità. Non vogliamo raccogliere informazioni non necessarie, il genere di informazioni che non ha valore. Perché più informazioni abbiamo, più informazioni dobbiamo proteggere. Tutte devono essere protette, tutte devono essere codificate e di tutte occorre fare il backup. Non c’è nessun interesse da parte nostra a raccogliere informazioni prive di valore.

Quindi, per un utente, condividere questi file con i ricercatori è una scelta? Si può accettare o rifiutare?

MIKKO: È l’impostazione predefinita. Se non si cambiano le impostazioni nel nostro client di protezione, questa è l’impostazione predefinita. L’utente ha la possibilità di modificare le impostazioni, ma in questo modo la sicurezza diminuisce. Si eliminano delle funzionalità del prodotto. Ma è qualcosa che si può fare e immagino che ci siano ambienti in cui si desidera modificare queste impostazioni.

È quindi possibile per l’utente trovare un compromesso tra sicurezza e privacy.

MIKKO: Come quasi tutto nel campo della sicurezza è in effetti un compromesso. Rinunci a qualcosa ma ricevi qualcos’altro in cambio e, se pensi non sia un buon compromesso, puoi sempre annullarlo.

Immagino quindi che il messaggio sia che, se non hai paura che l’intelligence finlandese voglia scoprire tutti i tuoi segreti, i prodotti F-Secure dovrebbero garantirti una ragionevole sicurezza.

MIKKO: Onestamente ritengo che, sotto questo aspetto, i nostri siano i migliori prodotti disponibili sul mercato, perché non credo che altri siano aperti quanto noi su questi temi.

A volte condividiamo informazioni con terzi, per anonime che possano essere. Di che terzi si tratta?

MIKKO: In genere si tratta di CERT (computer emergency response team). Oggi, quasi tutti i paesi hanno un CERT locale, nazionale o governativo. Sono il principale punto di contatto di un particolare paese per quanto riguarda gli incidenti informatici. In caso di attacco su grande scala, come è accaduto ad esempio con WannaCry o Petya, sono quelli con cui collaboriamo per trovare informazioni su ciò che sta accadendo in un determinato paese. O, ad esempio, se c’è un server C&C di una botnet in un IP che si trova in un determinato paese, il principale punto di contatto per noi è il CERT. E per fare questo lavoro, per fermare gli attacchi, dobbiamo fornirgli informazioni. Qui ci sono le classi di indirizzi IP che abbiamo visto. Questo è il traffico che abbiamo visto. Questo è il centro di controllo della botnet. E questo è il tipo di informazioni che in questi casi condividiamo con i CERT. Ed è piuttosto facile capire perché lo facciamo, perché si tratta di fermare un attacco e questo è di aiuto a tutti.

Giusto. Così, se c’è un segnale che si sta verificando qualcosa di simile a WannaCry, questo è il modo in cui si può tracciarlo.

MIKKO: Esattamente. E questo è il tipo di condivisione di informazioni che deve esserci se vogliamo sempre essere aggiornati.

Quindi, tornado a Kasperksy e al suo caso particolare, cosa pensi che sia successo? Pensi che abbia cospirato con l’intelligence russa, pensi che sia stata violata, hackerata, infiltrata?

MIKKO: Non lo so. Sono tutte congetture, come sempre accade per storie di questo genere. Fino ad oggi si è trattato solo di congetture. Qualunque sia la verità, devo dire che gli autori sono stati poco lungimiranti. Non credo che Kaspersky come società abbia collaborato volontariamente con le autorità. Perché? Perché sarebbe stato avventato. Se lo fai e ti beccano, la tua società è finita, e deve esserlo. È una pessima decisione aziendale. Se è il governo russo a utilizzare una società di sicurezza informatica locale per avere accesso alle informazioni, anche questo è poco lungimirante. Perché Kaspersky Lab è la più grande storia di successo nel campo del software fuori dalla Russia dai tempi di Tetris. Vogliono realmente compromettere questo successo per avere accesso ad alcune informazioni? Se è quello che hanno fatto, è di una miopia sconfortante.

SEGUI LA SERIE DI PODCAST “CYBER SECURITY SAUNA” QUI

Invia domande e commenti su Twitter citando @FSecure oppure @FSecure_IT con l’hashtag #CyberSecuritySauna

Samanta Fumagalli

15.12.17 14 minuti di lettura

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.