Google: chi sviluppa malware sta affilando le armi

Alcuni ricercatori di Google hanno pubblicato un nuovo studio spiegando come stia divenendo sempre più difficoltosa l’individuazione del codice dannoso inserito nelle pagine web e dei tentativi di attacco, oggi sempre più frequenti. Gli ingegneri dell’azienda fondata da Larry Page e Sergey Brin hanno analizzato quattro anni di informazioni raccolte durante la visita ad oltre 8 milioni di siti web e 160 milioni di pagine web. I dati sono stati elaborati da Google utilizzando il servizio “Safe Browsing“, impiegato ad esempio da Chrome così come da Firefox per allertare gli utenti circa la potenziale pericolosità di un sito web.
Proprio grazie alla funzionalità “Safe Browsing“, Google afferma di esporre qualcosa come 3 milioni di messaggi d’allerta al giorno mettendo al riparo circa 400 milioni di utenti dalle possibili infezioni.

Le pericolosità di una pagina web viene accertata da Google utilizzando un meccanismo automatizzato che sfrutta molteplici “indicatori” per stabilire se un sito possa rappresentare una minaccia. “Così come molti altri fornitori di servizi similari, siamo coinvolti in una gara continua con chi sviluppa i malware“, si legge in una nota del team Google che si occupa di sicurezza.
Al giorno d’oggi, la verifica della “bontà” di una pagina web sta divenendo un’operazione sempre più complicata dal momento che gli autori dei malware sono soliti impiegare numerose metodologie per “dribblare” i motori di scansione come quelli di Google.

Il colosso di Mountain View usa le cosiddette “virtual machine honeypot“, macchine virtuali che vengono sfruttate per visitare ciascun sito web ad annotare il suo comportamento. Google sfrutta anche appositi emulatori dei browser web che hanno lo scopo di diagnosticare eventuali tentativi d’attacco e registare la sequenza di operazioni compiute. Tali emulatori sono composti da un “nucleo” in grado di analizzare e gestire il codice HTML (HTML parser) e di un motore JavaScript opensource modificato “ad hoc”.
Le altre metodologie di rilevamento usate da Google includono un sistema di valutazione della reputazione e, da ultimo, l’impiego di software antivirus.

Gli esperti di Google hanno spiegato come gli autori dei malware stiano eludendo i controlli effettuati nell’ambito di una macchina virtuale richiedendo che la vittima dell’attacco effettui un clic col mouse. L’aggressione, insomma, viene attivata solamente nel momento in cui l’utente interagisca – usando il suo browser – con gli elementi della pagina dannosa. Gli ingegneri della società guidata da Larry Page hanno quindi anticipato che presto le loro virtual machine saranno in grado di simulare il clic del mouse effettuato da un normale utente.

Gli emulatori del browser, inoltre, possono essere mandati in confusione utilizzando particolare codice “offuscato” ossia reso in una forma “innaturale”, non immediatamente comprensibile a colpo d’occhio. Dato che l’emulatore del browser non è, ovviamente, un vero e proprio browser, il codice offuscato non viene eseguito così come se si ricorrere ad un browser di tipo tradizionale.

I tecnici di Google spiegano poi come sia sempre più frequente l’impiego dell'”IP cloacking“: il codice dannoso, cioé, non viene trasmesso a quei sistemi client che sono utilizzati dalle aziende che si occupano di sicurezza. Ad agosto 2009, Google ha individuato ben 200.000 siti web che stavano “bandendo” gli IP appartenenti alle più famose società che sviluppano soluzioni per la sicurezza informatica. In tal modo, i contenuti pericolosi non venivano trasmessi evitando di ingenerare allarmi.

Il testo dell’analisi elaborata da Google è pubblicata a questo indirizzo.