Alex Gostev
Gli ultimi anni anni sono stati anni di cambiamento nel panorama delle minacce informatiche, con un aumento del numero degli strumenti di sorveglianza segreta, come Gauss e Flame, e del volume dei malware diretti verso le piattaforme mobile, come Android. Di recente, Alex Gostev, l’esperto di malware di Kaspersky Lab, ha risposto ad alcune domande che gli erano state rivolte dagli utenti di Facebook e ha discusso con loro dell’evoluzione delle soluzioni anti-malware, delle minacce contro le piattaforme mobili e di come i governi mondiali hanno gestito – e stanno gestendo – il cybercrimine.
I governi mondiali stanno copiando il cyber crimine o lo stanno solo studiando?
Alex Gostev: Oggi il problema principale nella lotta contro il cyber crimine è il suo carattere globale. Senza dubbio, molti paesi nel mondo hanno raggiunto grandi risultati nella lotta contro le minacce informatiche. Tuttavia, i crimini più seri possono essere studiati e combattuti se c’è una cooperazione internazionale. Sfortunatamente, in questo senso ci sono ancora molte difficoltà: molti paesi, per una ragione o per un altra, non sono coinvolti in iniziative internazionali per combattere il cyber crimine.
Come hai fatto a diventare quello che sei? Dove hai acquisito le tue conoscenze sul malware?
Alex Gostev: Domanda difficile 🙂 Bisogna tornare indietro nel tempo, nel 1994, anno in cui mi sono imbattuto per la prima volta in un virus per computer. Tuttavia ho iniziato a lavorare in Kaspersky lab solo nel 2002. Perciò posso dire di aver acquisito molte nozioni sui virus per conto mio. Prendete le mie parole per quello che sono, ma ci sono molte informazioni disponibili in rete, sia per imparare ad analizzare i programmi malware, che per studiare le tendenze attuali del cyber crimine e delle minacce informatiche. Dunque, io suggerisco di leggere più siti e blog di esperti possibili, e cercare di riprodurre le loro scoperte da soli, cercare di capire come gli esperti sono arrivati alle conclusioni di cui parlano. Kaspersky Lab ha tre blog dedicati: Securelist, Threatpost e il nuovo blog, versione consumer (disponibile in traduzione italiana).
Perché uno sviluppatore di virus dirige gli attacchi soprattuto ai sistemi operativi Windows?
Alex Gostev: La risposta è semplice. Il 90% degli utenti hanno Windows. E lo stesso avviene quando si tratta di piattaforma mobile: Android è la piattaforma più attaccata dai malware.
Dicono che la cyber guerra è iniziata. Kaspersky Lab è mai stato attaccato?
Alex Gostev: Come qualsiasi altra azienda di sicurezza informatica, Kaspersky Lab è molto spesso nel mirino degli hacker. Era da aspettarselo. E, ovviamente, usiamo le migliori tecnologie per proteggerci da tali attacchi.
Voglio lavorare nel fantastico team Kaspersky. Che università e che studi devo frequentare?
Alex Gostev: Una educazione tecnica è importante. Non esiste un’università o uns serie di corsi specifici che, al cui termine, fanno di te un security researcher, ma una buona conoscenza sui sistemi operativi, sui linguaggi di programmazione e tanta pratica sono essenziali.
Quante minacce vengono aggiunte ogni giorno al data base di Kaspersky per offrire a tutti gli utenti la migliore delle protezioni? Qual’è la differenza fra un software a pagamento e un antivirus gratuito?
Alex Gostev: Siamo in grado di individuare più di 200.000 nuovi malware al giorno. Naturalmente, esso necessita di serie risorse, sia umane che tecniche, per raccogliere e processare un tale volume di minacce. Oltre ai file malware, ci sono poi altri tipi di minacce tra cui siti malevoli, reti di attacchi, exploit ecc., che dobbiamo tenere sotto controllo. Tutto questo richiede un grande investimento economico. Controlli indipendenti hanno dimostrato che Kaspersky Lab è leader nei software di sicurezza gratuiti.
Come possiamo proteggerci dal nostro proprio governo?
Alex Gostev: Dobbiamo protteggerci contro ogni programma pericoloso senza distinguere chi lo ha creato.
So che Windows Phone non è nel mirino degli hacker ma per coloro che volessero una protezione maggiore, perché è così difficile creare una soluzione antivirus per Windows Phone?
Alex Gostev: Non c’è nessun problema. E’ possibile creare una protezione anti-virus per Windows Phone – per lo meno, non è un problema per il team di Kaspersky Lab.
Perché si dice che i computer Apple non possono contrarre virus quando invece sono più attaccati di quello che la gente crede?
Alex Gostev: Ci sono vecchi stereotipi che sono stati creati dalla stessa Apple. Apple ha affermato per molto tempo che i loro computer sono molto più sicuri. Ciò nonostante, hanno ammesso che esistono malware disegnati per Apple e, di fatto, hanno dotato i loro OS X di una scansione anti-virus. Microsoft, per esempio, ha dovuto subire un decennio di forti attacchi per imparare a prendere la questione seriamente. Apple è solo all’inizio di questo percorso, ma crediamo che si sta muovendo nella giusta direzione, specialmente se si osserva il sistema di protezione dell’i-Phone.
Alex, qual’è il modo migliore per evitare che infettino o blocchino un computer senza dover pagare l’hacker informatico per sbloccarlo?
Alex Gostev: Nella stra grande maggioranza dei casi di ransomware o estorsioni via malware, il computer della vittima viene infettato via browser. Questo è spesso dovuto a delle vulnerabilità di Java, Adobe Flash o degli stessi browser. I fornitori conoscono le vulnerabilità e cercano di offrire aggiornamenti. Per questo motivo, la prima cosa da fare è installare tutti gli ultimi aggiornamenti e i patch disponibili per il tuo software.
Quali sono le principali minacce per Android?
Alex Gostev: Puoi trovare molte informazioni al punto 3 (“The explosion of Android threats”) e al punto 10 (“Mobile malware”) del Security Bulletin di Kaspersky. Si veda il link sottostante.
http://www.securelist.com/en/analysis/204792254/Kaspersky_Security_Bulletin_2012_Malware_Evolution
Perché ogni tanto (a volte molto spesso) Kaspersky identifica software “buoni” come malevoli?
Alex Gostev: Devo ammettere che non sono d’accordo. I prodotti Kaspersky Lab hanno tra gli indici di falsi positivi più bassi dell’intero settore. Test indipendenti hanno confermato il dato. Non possiamo aver ricevuto il titolo di Prodotto dell’Anno senza aver dimostrato il basso indice di falsi positivi.
Quale browser preferisci? Qual’è il più sicuro? Qual’è il più adatto ai prodotti Kaspersky?
Alex Gostev: In questo momento, preferisco Google Chrome. Qual’è il browser più sicuro? Beh, la risposta cambia continuamente. La situazione può cambiare da un momento all’altro: la scoperta di un Zero-Day potrebbe trasformare il browser più sicuro nel più vulnerabile. Perciò, a parte tenere sempre sott’occhio la situazione del tuo browser, è consigliabile scaricare alcune applicazioni di sicurezza aggiuntive, come Sandbox o lista consentiti. La maggior parte delle funzionalità offerte da questo tipo di applicazioni sono già integrate nei prodotti Kaspersky.
Come funziona Kaspersky Windows Unlocker?
Alex Gostev: Puoi trovare la risposta qui: http://support.kaspersky.com/faq/?qid=208285998.
Qual’è il virus più “popolare”, tra gli ultimi usciti, e quale il più inusuale dell’anno scorso?
Alex Gostev: Dipende da cosa intendi per “popolare”. Se stiamo parlando dei malware di ultima generazione, esiste un nuovo gruppo di malware provenienti dall’Este d’Europa tra i quali Flame, Duqu, Gauss, miniFlame, Wiper. Questi virus ci hanno tenuti molto occupati durante l’anno, sia in termini di ricerca, che per quanto riguarda la fase di analisi dei risultati. Tuttavia, oggi la questione più scottante riguarda le armi cibernetiche, ovvero quei malware creati a livello governativo per attaccare i cittadini, aziende e istituzioni di altre nazioni.
Per quanto riguarda i malware inusuali, ci sono alcuni elementi nei malware appena menzionati, che sono certamente poco comuni. Per esempio, uno dei moduli di Gauss installa nel sistema un font modificato chiamato Palida Narrow. Il perché lo faccia è un mistero. Un altro esempio è il modulo di propagazione incorporato nel worm Flame: gli permette di diffondersi nelle reti locali. I suoi creatori non solo hanno progettato con successo un attacco cifrato MD5 senza precedenti, ma hanno anche creato un certificato Microsoft vero. Prima di allora, non era mai successa una cosa come questa.
Alcuni utenti di PC usano soluzioni antivirus gratuite. Credi che questi prodotti possano competere con i prodotti commerciali di sicurezza a pagamento?
Alex Gostev: Possono competere, ma non possono offrire o assicurare una protezione affidabile e completa.
Essere un virus analyst è un lavoro difficile?
Alex Gostev: E’ difficile all’inizio, durante i primi anni. Dopo di chè, una volta che hai maturato un certa esperienza, il compito si fa più facile. Ricordo che circa 6 anni fà, nei nostri laboratori abbiamo organizzato una gara per vedere chi analizzava malware più velocemente. Il record fu 43 secondi – dal momento in cui arrivò il file, a quello in cui è stato riconosciuto. Tuttavia, l’analisi del virus è solo una piccola parte del lavoro. Devi essere ben informato su tutti gli sviluppi e soprattutto sulla concorrenza. E’ necessario essere aggiornati su tutto quello che accade oggi e anticipare quello che verrà. Quest’ultima parte è la più difficile – e diventa sempre più complicato ogni giorno che passa.
Che nuovi tipi di malware ci mette il serbo il futuro?
Alex Gostev: E’ improbabile che si sviluppino nuovi tipo di malware. I comportamenti generici dei malware sono stati identificati da tempo – ivi incluso virus, worm, trojan e exploit che seguono in genere lo stesso comportamento. Certamente, esistono dozzine di sottogeneri, come per esempio il Trojan crittografo, il Trojan bancario e il Worm di rete. Comunque l’evoluzione dei malware riguarda principalmente la velocità con cui sono capaci di impossessarsi di nuove piattaforme o sistemi operativi, come nel caso dei Trojan per dispositivi mobili. Dal punto di vista della tecnologia, è tutto uguale a prima, ma con nuove piattaforme e possibilità, come l’invio degli SMS. Perciò, ci aspettiamo che le minacce convenzionali migrino dai personal computer a tutta la gamma dei dispositivi di ultima generazione.
Alex, tieni un diario personale? Per esempio, ‘oggi ho trovato questo malware’, ‘oggi sono riuscito a bloccare questa minaccia in questo modo’, ‘ho provato a fare questo e questo e mi è piacuto’, ‘il tempo oggi è buono’, ecc.
Alex Gostev: Non ho tempo per questo genere di cose. Ma credo che varrebbe la pena prendere nota delle mie ricerche. Ne verrebbe fuori un libro piuttosto interessante. Tuttavia, molte delle cose che scriverei non potrebbero essere pubblicate (non ancora).
Quale sistema operativo usi? Quale credi sia il più sicuro per un computer fisso?
Alex Gostev: Non propendo per nessun sistema operativo in particolare. Infatti, il mio punto di vista è piuttosto semplice: per ogni compito esiste un SO diverso e sviluppo il mio lavoro di conseguenza. Nell’arco di un’unica giornata posso lavorare con Windows, OS X e Linux, per non parlare delle piattaforme mobili per smartphone e tablet.
Non esiste un sistema operativo sicuro. Un SO può essere definito sicuro solo quando ha una vulnerabilità pari a zero e questo dato cambia velocemente. In poco tempo un sistema operativo può trasformasi dal più sicuro, al più vulnerabile. Sto parlando di vulnerabilità pubbliche, perché ogni sistema può avere vulnerabilità private.
Quanto tempo dedica un analista senior a lavori pratici, come ingegneria inversa, debugging e sandboxing?
Alex Gostev: Dipende dal periodo dell’anno e dal progetto di ricerca. Qualche volta, posso dedicare l’80% della giornata a ricerche pratiche su di un malware specifico. Questo può durare, diciamo, una settimana. Altre volte non tocco un singolo malware per un intero giorno. In generale, posso dire che dedicao non più del 20% del mio tempo a lavori concreti sul campo. Tuttavia, quando ero un analista di virus, dedicavo il 100% del tempo all’analisi del traffico malware. Ora, mi dedico anche ad altre attività – come rispondere alle vostre domande 🙂
Che smartphone o telefono usi (quale marca o modello)? Hai una soluzione di sicurezza installata?
Alex Gostev: Al momento ho l’iPhone. Non ho nessun antivirus attivo perché: 1) non ci sono soluzione antivirus per iPhone; 2) non è stato liberato; 3) non ci sono virus per iPhone non liberati.
Quali preservativi raccomanda un analista virus senior?
Quelli della sua taglia.
Come si può disinstallare un prodotto Kaspersky senza lasciare traccia nel sistema e nel registro?
Alex Gostev: Il modo più appropriato è un programma di rimozione standard. Se qualcosa va storto e il risultato non è soddisfacente, usa uno strumento di rimozione dedicato: http://support.kaspersky.com/faq/?qid=208279463
Come posso liberarmi dalla paranoia e dall’ossessione di contrarre un Trojan o di avere una vulnerabilità nel sistema?
Alex Gostev: Perché te ne vuoi liberare? Quando si tratta di paranoie sulla sicurezza IT è una cosa positiva. Questo ti rende più attento a ciò che fai e a come lo fai, a come funziona il sistema, a promuovere una coscenza sull’uso della tecnologia, a ampliare i tuoi orizzonti… In poche parole, è una buona cosa.
Usare sistemi di immagazzinamento dati basati su cloud è sicuro? Conosci qualche caso in cui la cloud è stata infettata?
Alex Gostev: Questa è una questione importante. Abbiamo parlato proprio di questo in una recente pubblicazione che purtroppo è disponibile solo in russo. Per coloro che possono leggere il russo, segnaliamo la seguente pagina web: http://www.kommersant.ru/doc/1771693
Ci può dire come viene creata l’Enciclopedia di Virus di Kaspersky Lab?
Alex Gostev: Il 99% della descrizione dei malware contenuti nell’Enciclopedia di Virus di Kaspersky è stata creata da un robot usando template, in base a un’analisi automatica dei file. Vi sono contenute anche diverse migliaia di descrizioni scritte da collaboratori in carne e ossa. Diverse centinaia son state scritte da me in persona.
Un dirigente di una nota compagnia ha affermato che Kaspersky Lab scrive virus e crea reti zombie per infettare i computer dell’area internet russa con lo scopo di vendere i loro prodotti e offrire servizi. Puoi rilasciare un commento su questa questione? Non posso svelare il nome della compagnia dato che ci lavoro.
Alex Gostev: Ti consiglio di cambiare datore di lavoro. Se questa è l’opinione della direzione della tua azienda, chissà cos’altro potrà venir fuori.
Quali sono gli sviluppi futuri del cyber crimine? Quali altre minaccce sono in serbo per gli utenti?
Alex Gostev: Come detto in precedenza, il 90% delle infezioni che registriamo sono dirette verso gli utenti standard. Per essere più esatti, sono disegnate per estorcere soldi usando ogni tipo di metodo. Ostap Bender conosce ‘400 modi onesti per estorcere soldi’. I cyber criminali moderni ne conoscono almeno 50, ma assolutamente disonesti.
Controllate il link sottostante dove compare una previsione della situazione che si potrebbe presentare nel 2020.
http://www.securelist.com/en/analysis/204792165/Cybercrime_Outlook_2020_From_Kaspersky_Lab
Che cosa ne pensi dell’antivirus che verrà incorporato in Windows 8? Questo ruberà un pò il lavoro alle aziende di software antivirus propriamente dette. Qual’è la tua opinione?
Alex Gostev: Ci è voluto un pò di tempo prima che fosse incorporato e ci vorrà un pò di tempo prima che inizino a rubare il lavoro alle aziende di sicurezza IT. Il punto è che non hanno rubato il lavoro a nessuno. Per sviluppare soluzioni per la sicurezza di successo, una compagnia ha bisogno di specializzarsi nello sviluppo di queste soluzione. Questa diventerà la sua principale occupazione – e ci vuole tempo. Non si può dire questo di Microsoft.
Un mio amico dice che l’anti-virus Kaspersky è un mostro affamato di risorse e raccomanda l’uso di un anti-virus gratuito (non publicizzerò il nome). Egli crede che un anti-virus gratuito non sia necessariamente peggiore, ma può essere migliore in molti aspetti. Credi che abbia ragione?
Alex Gostev: No, non sono daccordo. Personalmente, non usarei mail un anti-virus gratuito, anche se non lavorassi per Kaspersky Lab. So come funzionano questi software, chi vi lavora e come.
C’è una azienda antivirus di cui sei invidioso? Lavoreresti per loro se ti pagassero di più?
Alex Gostev: Non sono invidioso o geloso di nessuna azienda. Ci sono molte aziende che rispetto, sopratutto quelle che fanno buon uso delle risorse che hanno, sia umane che tecniche, dove il lavoro degli specialisti mi fa dire “come diavolo hanno fatto a trovare questa cosa prima di noi o come hanno fatto ad analizzare meglio di noi una determinata cosa”! Questo stimola la concorrenza e, di conseguenza, ci spinge a migliorarci.
Di recente, ho osservato questo tipo di stimolo e di concorrenza solo tra noi e Symantec. Per essere più precisi, tra il team di GReAT esperti di Kaspersky e il loro gruppo STAR. Detto questo, cooperiamo spesso con loro, in particolare in riferimento ad alcuni casi di ricerca specifici. Siamo in buoni rapporti.
Per quanto riguarda cambiare azienda, beh… credo di essere diventato definitivamente un uomo Kaspersky. E’ più probabile che cambi l’area di lavoro, da sicurezza IT a un altro dipartimento. O mettermi in affari per conto mio.
Come reclutate gli studenti e gli specialisti più brillanti? C’è una possibilità che possano essere assunti, in seguito, dai servizi segreti (stranieri o russi)? O è la prima volta che ne senti parlare?
Alex Gostev: Come attiriamo nuovi impiegati è un segreto aziendale 🙂 Per quanto riguarda il reclutamento nei servizi segreti, non ho ben capito. I servizi segreti possono reclutare chiunque, un taxista, un manager (noi non esclusi) e quindi? Kaspersky Lab ha il suo proprio servizio di sicurezza e fa un grande lavoro.
E’ sufficente avere un firewall nel router? O forse, oltre a questo, è meglio avere un software firewall?
Alex Gostev: Nei router moderni i firewall sono piuttosto limitati in termini di funzionalità e fungono principalmente da filtro a livello di indirizzo. Naturalmente, questa soluzione da sola non è sufficente per garantire una protezione adeguata.
Recentemente, ho letto che Android è il sistema operativo meno sicuro. Sei d’accordo? Secondo te, qual’è il SO mobile più sicuro?
Alex Gostev: Si, sono d’accordo. Android è il SO più vulnerabile. Il più sicuro è iOS.
Non voglio che Google o Facebook mi spiino? Qual’è l’opzione e-mail migliore? Stavo pensando di comprare un hosting e un nome di dominio, è una buona idea?
Alex Gostev: Un tuo hosting personale? Non ti fidi di Google, ma sei pronto a fidarti di un account e-mail di una compagnia di hosting? Non c’è una grande differenza.
Perché avete cancellato la “zona verde” nel KIS 2012? E’ un gran peccato.
Alex Gostev: Non lo abbiamo fatto in realtà. Gli utenti possono trovare il modulo nelle Impostazioni Web Anti-virus, sia nella versione del 2012 che in quella del 2013.
Perché Kaspersky rallenta così tanto il mio PC?
Alex Gostev: Un buon livello di protezione richiede sempre un certo uso delle risorse del PC. Ci sono software che si fanno chiamare soluzioni antivirus e che operano più velocemente dei nostri prodotti, ma il livello di protezione che offrono non è paragonabile a quello di Kaspersky. Non riteniamo appropriato abbassare il livello di protezione perché anche solo un unico virus che scappa al sistema, può causare gravi danni. Noi stiamo lavorando constantemente allo sviluppo di nuove tecnologie che ci permetteranno di staccarci dai vecchi sistemi di protezione, come la scansione multi-livello dei file. Queste tecnologie utilizzeranno meno le risorse del computer ma, allo stesso tempo, aumenteranno il livello di protezione.
Perché non offrite una licenza gratuita in prova per un anno, per esempio?
Alex Gostev: Abbiamo licenze gratuite che permettono agli utenti di provare i nostri prodotti. Secondo noi, un mese è sufficente. E’possible trovare anche codici promozionali on-line o nella riviste fino validi fino a 60-90 giorni. I nostri partner nei vari paesi offrono periodi di prova del prodotto a partire da 30 giorni. Per quanto riguarda una licenza della durata da te menzionata, dai un’occhiata alla nostra sezione notizie – nel 2013 ti faremo sapere come averne una.
Qual’è il ruolo della Protezione basata su Cloud nella versione dei prodotti Kaspersky del 2012? Quali sono i vantaggi in più rispetto alla protezione base?
Alex Gostev: Il tempo di reazione della cloud alle nuove minacce è in genere molto più breve di quello offerto da un data base tradizionale basato su signature. La protezione basata su cloud è intesa principalmente per prevenire gli attacchi di ultima generazione.
Il vostro antivirus è efficace contro i virus e i trojan le cui signature sono già note e il cui codice è già riconosciuto come malevole? Che ne pensi dei virus “fatti a mano” che contengono codici nascosti?
Alex Gostev: L’analisi basata sulla signature è un metodo molto sperimentato e ampiamente usato, ma da solo, contro le minacce più moderne, è quasi inutile. Ecco perché i nostri prodotti sono capaci di analizzare e determinare i comportamenti dei programmi.
La versione corrente (KIS 2013) è la versione migliore?
Alex Gostev: Ovviamente! L’ultima versione è sempre la migliore. Noi raccomandiamo di usare l’ultima versione dei nostri prodotti perché include l’ultima tecnologia in commercio, offre una migliore performance e usabilità, ed è compatibile con tutti i sistemi operativi più recenti.
Quando si installa Kaspersky Anti-Virus unito a un’altra soluzione anti-virus, perché Kaspersky ti dice di rimuovere gli altri software, ma non Kaspersky? Lo trovo un pò strano.
Alex Gostev: Per assicurare un alto livello di protezione e evitare ogni conflitto con qualsiasi altro programma, raccomandiamo agli utenti di disinstallare tutte le precedenti soluzioni anti-virus prima di procedere con l’installazione dei nostri prodotti. E’ tecnicamente possibile avere due o tre antivirus nello stesso computer, ma il computer si sovraccaricherà e si rallenterà in forma considerevole.
Perché non contatti rutracker.org e dici loro di smettere di distribuire i vostri prodotti?
Alex Gostev: Lasciali pur fare, a noi non ci importa 🙂
Kaspersky Mobile Security è sufficente per proteggere con efficacia il mio Android? Inoltre, perché ci sono prezzi diversi per KMS su Google Play e sul sito di Kaspersky?
Alex Gostev: Kaspersky Mobile Security è uno dei software anti-virus per dispositivi mobili migliori – e questa non è solo una nostra opinione, lo dicono anche PPCSL, AV-Test e altre fonti indipendenti. Quindi in risposta alla tua prima domanda: sì, è così. Ci sono alcune differenze tra la velocità di update su GPlay e Kaspersky Lab, e i termini della tecnologia supportata sono diversi (su GPlay per esempio il supporto via e-mail è limitato).
Quando sarà disponibile in KAV o KIS un plug-in per browser?
Alex Gostev: E’ davvero necessario? E’ più facile aprire il prodotto e fare tutti i cambiamenti necessari dal di lì. Se stai parlando di modificare le impostazioni del prodotto, è più efficace fare tutti i cambiamenti da lì. Inoltre, abbiamo bisogno di isolare le impostazoni UI in relazione al malware o ad altri processi in corso per assicurare un buon livello di protezione.
Oggi giorno scarichiamo una grande quantità di applicazioni gratuite sui nostri dispositivi. Può l’hacker approfittarsene, ‘travestirsi’ da trojan e comprommettere così i nostri sistemi operativi – raggiungendo obiettivi remoti e sensibili?
Alex Gostev: Ci sono molti Trojan per Android che si diffondono attraverso app legittime, ma ci sono anche casi di utenti che inseriscono applicazioni malware in programmi popolari. Per riuscirci, modificano le app originali e aggiungono il trojan.
Qui ci sono un pò di esempi:
Vale inoltre la pena leggere la nostra inchiesta del 2012 sui malware per dispositivi mobili:
