Come nel gioco del gatto con il topo o “guardie e ladri”, per decenni hacker, creatori di virus ed esperti di sicurezza informatica hanno passato il tempo a rincorrersi. I primi cercavano bug e creavano “agenti patogeni” - virus, per l'appunto – in grado di sfruttare queste falle e introdursi in sistemi informatici di tutto il mondo; i secondi scansionavano reti e sistemi informatici per “captare” i primi segnali di infezione e tentare di arginare il problema sviluppando protezioni antivirus.
Una partita a scacchi andata avanti a lungo ma che ora ha subito un veloce, quanto inatteso, cambiamento di rotta. Gli hacker sono diventati sempre più scaltri, riuscendo a superare le nuove protezioni e barriere di sicurezza nel giro di poche ore o alcuni giorni, costringendo i vari Symantec, Kaspersky, McAfee e AVG ad una massacrante rincorsa senza fine. Di qui la decisione di passare ad un livello “avanzato” di cyber security.
Meno della metà
Dovendo adattarsi ad una situazione completamente nuova, le software house specializzate nello sviluppo di antivirus, hanno deciso di cambiare radicalmente tattica. Anziché opporsi strenuamente agli attacchi provenienti da più fronti, si tenta di ridurre al minimo i possibili danni causati dagli hacker e dagli altri criminali informatici. Tanto che gli antivirus – così come sono stati concepiti sino ad oggi – funzionano solo per metà. L'ammissione, forse un po' candida, è del vicepresidente Symantec Brian Dye che al Wall Street Journal afferma che “gli antivirus sono in grado di fermare solo il 45% degli attacchi in arrivo”. Insomma, come una rete, con maglie piuttosto larghe, messa a contrastare un flusso continuativo di attacchi.
Recinto di sabbia
La nuova tattica, invece, è quella del sandbox: creare un ambiente protetto (una sorta di anticamera di sicurezza) dove arrestare le incursioni degli “ospiti indesiderati” e, come detto, limitare al minimo i possibili danni. Sono soprattutto i player più piccoli sul mercato a ingegnarsi e cercare soluzioni alternative per garantire il più alto livello possibile di sicurezza informatica.
Juniper Networks, tra i leader del mercato degli apparati di rete industriali, raccomanda l'inserimento di dati falsi, veri e propri “dati civetta” posti all'interno del perimetro protetto dal firewall di sistema, utili per distrarre gli hacker e guadagnare tempo per organizzare un contrattacco. ShapeSecurity, startup californiana con il pallino della cyber security, studia e realizza sistemi per rendere inutilizzabili dati sensibili e credenziali di accesso rubati nei sistemi informatici di mezzo mondo. FireEye, altra software house specializzata in cyber security, sviluppa programmi in grado di scansionare la Rete alla ricerca di codice malevolo allo scopo di studiarlo prima ancora di esserne attaccati così da approntare in via preventiva le contromisure adeguate. Entro sei mesi anche Symantec si aggiungerà a questo circolo di “specialisti” della sicurezza informatica, offrendo consulenze su possibili pericoli e attacchi ad aziende di grosse dimensioni. Insomma, l'antivirus così come oggi lo conosciamo ha i giorni contati.
Il sandbox informatico
In ambito informatico, quando si parla di sandbox ci si riferisce a un ambiente estraneo a quello di funzionamento del programma all'interno del quale poter fare esperimenti o “rinchiudere” parti di codice potenzialmente malevolo. Se ci si riferisce, come in questo caso, alla sicurezza informatica, un sandbox è un ambiente virtuale dove il virus è libero di agire, ma senza provocare danni rilavanti al sistema. L'attacco viene “accompagnato” verso questa zona-cuscinetto, totalmente isolata rispetto a quella realmente “operativa”, all’interno della quale il virus agisce normalmente. Il sistema di cyber security non tenta quindi di neutralizzare il virus “vaccinandolo” (ovvero cancellandolo dal sistema stesso), ma cerca di renderlo innocuo circoscrivendo la sua possibile area d’azione e di conseguenza i suoi possibili effetti negativi (lasciandolo libero di infettare una parte non indispensabile del sistema ospite).
Problema gratuito
A decretare la morte dell'antivirus (citazione testuale dell'intervista di Brian Dye al Wall Street Journal) non è solo il comportamento più aggressivo degli hacker ma anche la concorrenza spietata dei software gratuiti. Essendosi assottigliata la differenza prestazionale tra i software a pagamento e quelli rilasciati gratuitamente, sono sempre di più gli utenti che optano per una soluzione freeware piuttosto che pagare per un programma tutto sommato simile e dalle prestazioni equiparabili. Capita così che i profitti di un gigante delle dimensioni di Symantec si riducano fortemente, costringendo la società statunitense a forti tagli di spesa e di personale. Negli ultimi due trimestri fiscali le entrate sono calate, mentre in quello in corso è atteso un saldo positivo tra 1,62 e 1,66 miliardi di dollari, in calo del 5% rispetto allo stesso periodo dello scorso anno.
Passato, presente e futuro
Il settore degli antivirus, insomma, è in piena fase transitoria. Se nel passato hacker, criminali informatici ed esperti di sicurezza gareggiavano in velocità (il tempo in cui la minaccia era scoperta e neutralizzata), ora sembrano volersi focalizzare sulla creazione di ambienti protetti dove arrestare il tentativo di attacco e renderlo innocuo. Il futuro, però, potrebbe essere ancora differente: le software house, molto probabilmente, si specializzeranno in un unico settore della cyber security.
John McAfee, fondatore dell'omonima compagnia di cyber security, ha recentemente rilasciato Chadder, applicazione di messaggistica istantanea con protocollo crittografico a prova di spie. La software house finlandese F-Secure, invece, si sta specializzando nel settore della sicurezza cloud e ha da poco pubblicato il portale Younited, servizio di cloud storage crittografato e, apparentemente, a prova di incursione hacker.