Buongiorno Maurizio. Complimenti per i prodotti e per l'azienda. Se vuoi possiamo cominciare.

Certo

Gli utenti hanno capito l'importanza della sicurezza. Per questo, solitamente, sono abbastanza accorti da installare un antivirus e un firewall. Vorrei sapere però… questo tipo di protezione è sufficiente? o per come stanno le cose adesso, non basta?

Dipende dal contesto. Se facciamo un discorso “home”, questo può essere sufficiente. Comunque ormai esistono dispositivi hardware che possono integrare l'antivirus e il firewall: anche l'antivirus per le sue caratteristiche, anche se home, può avere il suo controllo sulla navigazione eccetera. Se facciamo un discorso più enterprise, da soli, il firewall e l'antivirus diciamo che non sono più sufficienti. Per fare un discorso globale è il caso di aggiungere dell'hardware specializzato, o sistemi per individuare un comportamento anomalo, parlo di Intrusion Detection Sistem, per esempio, quindi, dipende chiaramente dalla specializzazione e dal contesto.

Per proteggere un pc dai virus, ci sono dei software di sicurezza, che eseguono dei monitoraggi che un utente non potrebbe realizzare. Ma, ribaltando il discorso: c'è qualcosa per la sicurezza, che un essere umano può fare e che un sofware antivirus no?

In questo caso non possiamo certo parlare di virus o vulnerabilità, ma possiamo certamente parlare dell'applicazione di alcune regole etiche, regole comportamentali, quali per esempio non scrivere le proprie password su pezzetti di carta dimenticati in giro, cambiare spesso le password. Ma si tratta di regole davvero molto semplici, regole di base. La risposta sicuramente è no: chiaramente non nello stesso lasso di tempo.

Cos'hanno i prodotti della Trend Micro più degli altri? perchè dovrei comprare software della vostra azienda fra i tanti prodotti che ci sono a disposizione?

A livello tecnico diciamo che le caratteristiche del nostro antivirus e dei nostri prodotti sono personalizzabili, quindi il nostro prodotto può funzionare anche come antispam, protezione della navigazione e altro ancora. Detto questo, noi siamo più leggeri rispetto alla concorrenza, su un pc che magari non è “super” dal punto di vista delle risorse di sistema, un antivirus della Trend Micro è sicuramente più leggero e consuma decisamente meno risorse. Un'altro punto di forza è che per quanto riguarda i moduli delle firme virali o altri moduli di funzionamento, all'aggiornamento viene scaricata la differenza fra i vari pattern, non viene mai scaricato il file completo, e questo è un bene anche dal punto di vista del consumo di banda, banda che ha un suo costo. Dal punto di vista più commerciale, i prodotti non si limitano all'antivirus, ma ci sono soluzioni anche più complete, che possono fornire sicurezza, ad esempio, anche a livello di gateway. E poi, come fidelizzazione, la gente sceglie sempre Trend Micro dopo la prima prova, perchè è soddisfatta delle prestazioni del prodotto.

L'intervista continua nella prossima pagina

[pagebreak]

Corrado Giustozzi, in un articolo apparso su Internet Magazine, parlando del ciclo di vita dei virus, ha messo in luce un fatto preoccupante. I virus, non scompaiono mai completamente, con il rischio che gli utenti meno aggiornati possano infettarsi anche con malware particolarmente datati, e scrive: “Gli strumenti convenzionali di prevenzione contro il malware, diventeranno necessariamente sempre più inefficenti, essendo costretti a gestire un database firme dalle dimensioni continuamente crescenti. Infatti, non potendo considerare estinta nessuna minaccia, neanche quelle più vecchie, è impossibile eliminare dai database firme quelle relative a virus del passato”, aumentando a dismisura il peso del pattern. Cosa risponde Trend Micro?

Dunque, è chiaro che a fronte dell'esistenza, all'interno dell'ambiente Windows, di alcune decine di milioni di virus esistenti, un database di proporzioni adeguate è impensabile. Dovendo tenere conto di tutti i virus esistenti nella storia dell'informatica, sono circa 20 anni, è chiaro che dovremmo avere un database firme davvero molto grande. Come in molti vendor, esiste una distizione fra le varie tipologie di malware, e quindi non viene inserito tutto quanto in un singolo pattern, perchè questo sarebbe molto molto grande: noi, categorizzando le varie tipologie di malware, inseriamo l'”antidoto”, la firma virale, in varie tipologie di moduli, e questo aiuta ad avere un file con dimesioni accettabili.

Quindi non c'è pericolo su questo lato

Si riesce sicuramente a gestire, perchè diciamo che possiamo organizzare le informazioni necessarie per riconoscere una tipologia di malware. Allo stesso tempo non dobbiamo combattere più contro i virus canonici che sono il classico allegato piuttosto che il virus che spedisce mail a tutto spiano, piuttosto oggi la minaccia più grande deriva da Internet, più che altro.

Per prevenire queste minacce esiste la tecnologia euristica. Il metodo utilizzato dall'euristica, è quello di riconoscere un virus tramite l'analisi del suo comportamento. Ma quando un file si comporta “male”?

Si comporta male quando crea molte connessioni di rete, quando utilizza risorse condivise, quando va a sovrascrivere i file in maniera poco corretta, quando si connette ad un sito ripetutamente: questi sono i metodi per poter riconoscere che le cose non stanno andando bene: c'è una tecnologia per cui c'è un tipo di controllo e se c'è questo tipo di comportamento, molte connessioni ripetute, o molte visite a certi siti, ecco l'euristica, che chiaramente non si basa su database firme ma sulla probabilità che quel tipo di comportamento corrisponda ad un codice maligno.

L'intervista continua nella prossima pagina

[pagebreak]

Quanto è affidabile l'euristica?

L'euristica è molto affidabile. A volte basta veramente un nulla, un ActiveX, un collegamento ad un sito di phishing che dice di essere di una banca per farla scattare. Magari, riferendosi alla domanda di prima, i vecchi virus che possono essere in circolazione, le garantisco che abbiamo dei clienti che ospitano vecchi virus, analizzando le connessioni o l'accesso alle risorse condivise… diciamo che può essere d'aiuto.

Prima parlavamo di phishing e siti falsi. La Trend Micro ha lanciato il tool Email ID per riconoscere questi pericoli. Come funziona? ci vorrebbe una capacità “umana” per distinguere mail truffa da mail legittime…

Email ID è di fatto un plug-in per la posta web che viene letta sul browser, di fatto nell'Email ID partecipano un centinaio di grandi aziende, e il tool fornisce una sorta di certificato allegato alla mail, che attesta che chi spedisce la mail è proprio dell'azienda, e quindi posso essere certo del contenuto della mail: il sito Ebay è sicuramente Ebay, piuttosto che una versione criminale che vuole farci credere di essere sul quel sito.

Stanno arrivando i primi virus per i Mac. I virus writer si sono accorti adesso che ci sono?

Diciamo che i Mac stanno diventando decisamente più popolari rispetto al passato: tra l'altro dietro i Mac c'è un sistema operativo, che è Unix, il quale è anche lui vulnerabile. Non allo stesso livello di Windows, ovvio, ma non è invulnerabile. Noi già da 4 -5 anni, abbiamo infatti allestito una soluzione che difende le distribuzioni Linux. Quindi c'è un discorso di migliore conoscenza del sistema operativo, come succede con
Windows che conoscono in tanti e quindi si approfitta delle vulnerabilità: ecco, ora si sta andando verso un Linux vulnerabile, anche se sempre meno di Windows.

L'intervista continua nella prossima pagina

[pagebreak]

Ci sono pericoli anche per i telefonini, smartphone, Iphone?

C'è una frontiera di pericolo anche per i telefonini e Trend Micro si è organizzata da circa un anno e mezzo, specie per i telefonini intelligenti come gli smartphone, che hanno un sistema operativo basato su Windows o su Linux. Generalmente possiamo dire che ogni apparecchiatura elettronica che ha a che fare con l'informatica, anche una vecchia linea USB, può chiaramente contenere un codice maligno e lo smartphone può essere in qualche modo oggetto di exploit attraverso un interfaccia bluetooth. Su una spiaggia uno può fare una scansione con uno di questi apparecchi e far partire una infezione.

Qual'è il più grave errore che un utente può fare per la sicurezza?

Attualmente l'errore più grave è quello di non controllare e prestare fede a comportamenti anomali presenti in email di phishing belle confezionate con screenshot di Ebay, piuttosto che della banca presso cui abbiamo il nostro conto corrente, e fornire i dati personali, i dati dell'account di conto on-line. E' un discorso di social engineering, la banca ti scrive e ti dice: “Ti facciamo un bonifico di 100 euro, se ci dai i tuoi dati e ci dai la possibilità di aggiornare i tuoi dati anagrafici”. E' chiaro che si tratta di fake. Un'altra possibilità di errore è quella di rispondere alle tonnellate di posta spam che vengono inviate. In qualche modo si legittima l'invio perchè si utilizza un algoritmo che include anche la nostra mail nei database, e da quel momento si è certi che la nosta mail è valida, e si viene tartassati ancora di più.

Una delle ultime minacce è il rootkit. Ma il rootkit, in origine, era un normale strumento di amministrazione, che è stato poi utilizzato in maniera pericolosa. Esistono altri strumenti di amministrazione utilizzati che un domani possono diventare rischiosi se usati malamente?

Di per sè il rootkit non è mai stato uno strumento molto normale, molto ortodosso, legittimo. Parliamo in realtà di rootkit, se non dico una eresia, a cavallo fra 1999 e 2000, grosso modo. E' venuto a conoscenza delle masse nell'estate del 2006… con il caso Gromozon

Si, possiamo dire che Gromozon ha preso in contropiede tutti i vendor…

Si, anzitutto perchè la modalità di acquisizione del rootkit era assolutamente innocente. Andando a cercare informazioni, semplicemente andando a cliccare su uno dei link proposti dal motore di ricerca ci si infettava. La diffusione di Gromozon è stata “imponente” perchè nel momento in cui Gromozon entrava nel computer, venivano creati due utenti: poi non veniva azionato nessun processo, però la cosa grave è che attraverso eseguibili apparentemente innocenti, venivano creati due utenti amministrativi. La cosa particolare è il modo con cui questi exploit vengono portati a termine.

L'intervista continua nella prossima pagina

[pagebreak]

Vi risulta che sia in atto un attacco di spionaggio industriale dalla Cina, tramite la distribuzione di spyware appositamente creati?

Diciamo che in questo momento tutto potrebbe essere possibile. Il pericolo esiste ma non è a livelli di criticità mostruosi. Esistono due livelli di criticità: il yellow alert, e il famoso red alert in funzione della diffusione del virus, della tipologia di codice maligno che viene distribuito, della criticità, del pericolo effettivo nel momento in cui il virus si propaga. Quello che posso confermare è che il grosso delle minacce da un pò di tempo a questa parte sta arrivando da est. Non in modo particolare dalla Cina, ma dagli ex paesi satelliti della Russia. Il grosso del malware, dello spyware e delle mail di phishing… il grosso della percentuale deriva da quei luoghi…

Quali sono i tuoi hobby?

L'informatica, ahimè, la fotografia e la musica

Suoni qualcosa?

Suonavo la batteria… prima di mettere su famiglia e il resto…

Qual'è la tua domanda preferita?

Dunque… vediamo… può essere circa i gusti musicali

Bè, allora te la faccio. Qual'è il tuo genere musicale preferito?

Sono un tipo legato un pò al passato… diciamo, le produzioni giapponesi..

La tua bevanda preferita?

Direi la birra, la birra appena appena più scura del normale.

Fatti un complimento

Sono critico, a volte vado un pò controvento

Fatti una critica

A volte sono polemico

Ti auguri…

Mha, mi auguro…mi auguro…una buona continuazione del percorso professionale, sinceramente

Perfetto Maurizio, i miei saluti e miei complimenti.

A presto Roberto.

cod:188