Posts Tagged ‘Virus’

Exclusive Infographic: All Cyber Attacks on Military Aviation and Aerospace Industry

February 22, 2012 2 comments

Cross Posted from TheAviationist.

2011 has been an annus horribilis for information security, and aviation has not been an exception to this rule: not only in 2011 the corporate networks of several aviation and aerospace industries have been targeted by digital storms (not a surprise in the so-called hackmageddon) but, above all, last year will be probably remembered for the unwelcome record of two alleged hacking events targeting drones (“alleged” because in the RQ-170 Sentinel downed in Iran episode, several doubts surround the theory according to which GPS hacking could have been the real cause of the crash landing).

But, if Information Security professionals are quite familiar with the idea that military contractors could be primary and preferred targets of the current Cyberwar, as the infographic on the left shows, realizing that malware can be used to target a drone is still considered an isolated episode, and even worse, the idea of a malware targeting, for instance, the multirole Joint Strike Fighter is still something hard to accept.

However, things are about change dramatically. And quickly.

The reason is simple: the latest military and civil airplanes are literally full of electronics, which play a primary role in managing avionics, onboard systems, flight surfaces, communcation equipment and armament.

For instance an F-22 Raptor owns about 1.7 millions od line of codes , an F-35 Joint Strike Fighter about 5.7 millions and a Boeing 787 Dreamliner about 6.5 millions. Everything with some built in code may be exploited, therefore, with plenty of code and much current and future vulnerabilities, one may not rule out a priori that these systems will be targeted with specific tailored or generic malware for Cyberwar, Cybercrime, or even hacktivism purposes.

Unfortunately it looks like the latter hypothesis is closer to reality since too often these systems are managed by standard Windows operating systems, and as a matter of fact a generic malware has proven to be capable to infect the most important U.S. robots flying in Afghanistan, Pakistan, Libya, and Indian Ocean: Predator and Reaper Drones.

As a consequence, it should not be surprising, nor it is a coincidence, that McAfee, Sophos and Trend Micro, three leading players for Endpoint Security, consider the embedded systems as one of the main security concerns for 2012.

Making networks more secure (and personnel more educated) to prevent the leak of mission critical documents and costly project plans (as happened in at least a couple of circumstances) will not be aviation and aerospace industry’s information security challenge; the real challenge will be to embrace the security-by-design paradigm and make secure and malware-proof products ab initio.

While you wait to see if an endpoint security solution becomes available for an F-35, scroll down the image below and enjoy the list of aviation and aerospace related cyber attacks occurred since the very first hack targeting the F-35 Lightning II in 2009.

Of course aviation and aerospace industries are not the only targets for hackers and cybercriminals. So, if you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 (regularly updated) at And follow @pausparrows on Twitter for the latest updates.

As usual the references are after the jump…

Read more…

Oops, My Drone Was Infected!

October 8, 2011 3 comments
UAV Operators at Joint Base Balad (LSA Anacond...

Image via Wikipedia

Do you remember the intrepid Jeff Goldbum injecting malicious code on the Alien mothership during one of the most famous scenes of  Independence Day? Easy, no alien invasion is happening, simply a similar event occurred for US drones which were targeted with a common Key-Logger “civil” malware.

Of course no foreign country plugged any malicious ship to US facilities, indeed what has really happened was much more simple and common, an hard-drive which accidentally infected the Ground Control System at Creech Air Force Base in Nevada.

This does not sound surprising to me since I wrote several posts about the growing use of Consumer Technologies for military purposes (but I should have included consumer anti-malware software as well), moreover I also predicted specific malware targeting military planes. Although this is not exactly what happened, there are several points in common with my prediction, essentially the fact that consumer technologies (as simple PCs are) open security doors inside sophisticated military weapons.

So, at this point it should not be surprising, as Wired reports, that a computer virus has infected Predator drones and Reaper drones, logging pilots’ keystroke during their fly missions over Afghanistan and other warzones.

The virus was detected nearly two weeks ago at the Ground Control System (GCS) at Creech Air Force Base in Nevada and has not prevented drones from flying their missions. Nevertheless it has shown an unexpected strength so that multiple efforts were necessary to remove it from Creech’s computers, network security, Wired reposts.

Although Fox News quotes a senior Air Force source according to whom, Wired’s story is “blown out of proportion” and “vastly overwritten.”, this event points out the risks associated with the use of standard technologies to control sophisticated military weapons that play a central role in both its conventional and shadow wars, allowing U.S. forces to attack targets and spy on its foes without risking human lives.

Although they suffer of native security holes (for instance the footage is transmitted in clear), that they are just computers, after all, and hence controlled by standard PCs, that may get virtually sick like any other civil companion.

Although the malware seemed benign, it is still not clear how it could make its way inside the systems and most of all, since it affected classified and unclassified system, if it was able to leak information and send it to a remote source. On the other hand a key-logger is able to steal whatever information is typed on the keyboard to control the drone. As the famous aviation expert David Cenciotti said:

Do you want to know what a keylogger can grab fm a Predator control station? Think to your keyboard inputs when playing w/ Flight Simulator.

Maybe the virus could have accidentally spread: the Ground Control Stations handling more exotic operations are top secret and none of the remote cockpits are supposed to be connected to the public internet, this should make them immune to viruses and other network security threats.

Unfortunately hard disks and pen drives may build bridges connecting public and classified networks, and this could have possibly have happened at the base at Creech since the Predator and Reaper drone crews use removable hard drives to load map updates and transport mission videos from one computer to another. The same hard drives could have spread the malware and, as a consequence, drone units at other Air Force bases worldwide have now been ordered to stop their use.

This is not the first time that an infection has been spread through an hard drive: in late 2008, for example, the drives helped introduce the agent.btz worm to hundreds of thousands of Defense Department computers. It looks like the Pentagon is still disinfecting machines, three years later.

Curiously the virus showed to be very resistant to digital vaccines, and after several attempts to remove it with standard procedures (following removal instructions posted on the website of the Kaspersky security firm), the only safe method to clean it was to wipe the infected hard drives and rebuild them from scratch: a time consuming operations. As to say: sophisticated military weapons and technologies suffer the same issues than civil users (how many Windows installations from scratch after a malware infection), on the other hand the drone virus was detected by the military’s Host-Based Security System, a flexible, commercial-off-the-shelf (COTS)-based application. If you look carefully at the HBSS web site you will also be able to identify the commercial security technology which lays behind the HBSS.

Is it times for drones to be natively equipped with anti malware?

Il Mobile Malware Contagioso

March 15, 2011 2 comments

Come saprete sicuramente ieri al Security Summit di Milano si è tenuta la tavola rotonda “Mobile Security: Rischi, Tecnologie, Mercato“. Sicuramente è stata una occasione molto interessante per valutare lo scenario di rischio attuale, le evoluzioni di tecnologie e mercato e soprattutto la prospettiva degli operatori. Nell’attesa di condividere le impressioni sottolineo il fatto che, a forza di parlare di mobile malware, alla fine il malware l’ho preso io. Uno dei virus deve essere passato dall’Androide all’Uomo e ha contagiato anche me. Oggi mi ritrovo a letto con 38 di febbre!

Categories: Mobile, Security Tags: , ,

Sono Rimasto di Stuxnet…

March 1, 2011 1 comment

Dietro ogni incontro, anche il più impensabile, si nasconde un fatto divertente. Durante una delle riunioni di lavoro di oggi, uno dei partecipanti, lettore del blog, mi ha casualmente raccontato che pochi giorni or sono, durante una attività professionale di tutt’altro tipo, si era imbattuto in Stuxnet, il famigerato Virus delle Centrali Nucleari. Dal momento che il malware era stato prontamente rilevato dall’Antivirus a bordo del Notbeook, non ho resistito alla tentazione e gli ho chiesto se la sua macchina recava ancora i segni dell’infezione.

Il risultato è davanti ai vostri occhi e in effetti devo ammettere che alla visione dell’immagine sottostante mi sono leggermente emozionato perché finalmente, dopo tanto parlarne, mi sono indirettamente imbattuto anch’io nel terrore dello SCADA e delle Infrastrutture Critiche, nonché indiscusso protagonista del panorama di sicurezza informatica del 2010.

Domanda facile facile: secondo voi quale è stato il meccanismo di infezione tra quelli disponibili dal Malware? Mentre indovinate la facile risposta vi invito comunque a non preoccuparvi: l’incontro ravvicinato del terzo tipo non è avvenuto in una centrale nucleare…

La Sindrome Cinese

February 17, 2011 Leave a comment

Nel giorno in cui anche alla RSA Conference 2011 è stato ribadito che “E’ ora di prepararsi per le minacce mobili”, la Sindrome Cinese ha nuovamente colpito l’Androide che, in poche ore, è stato vittima di un nuovo malanno informatico. Ancora proveniente dalla Cina, ancora caratterizzato dal fatto di utilizzare come vettore di infezione un store di applicazioni parallelo cinese. A quanto pare quindi il malware Geinimi ha fatto proseliti.

A seguire le sue orme è oggi il malware HongTouTou (conosciuto anche con il nome di Android.Adrd o anche Android/Adrd.A nella sua ultima variante).

Le dinamiche di questo nuovo contagio dell’Androide Cagionevole (che alcuni ritengono essere una variante di Geinimi) sono le medesime, purtroppo collaudatissime, del suo illustre predecessore: il malware è rimpacchettato dentro applicazioni Android popolari e distribuito tramite market di applicazioni parallele e forum frequentati da utenti di lingua cinese. Ovviamente l’utente dovrebbe accorgersi dei permessi sospetti richiesti durante la fase di installazione.

Il malware, di cui sono state rilevate 14 istanze, è impacchettato dentro applicazioni lecite (tra cui il famosissimo Robo Defense con cui ho passato ore di riposo all’ombra di un ombrellone sotto il Sol Leone dell’Agosto passato). Una volta installata l’applicazione richiede i seguenti permessi, in realtà un po’ sospetti per un semplice passatempo o per un wallpaper:



All’avvio dell’applicazione infetta,  il malware si insinua nel telefono colpito viene eseguito al verificarsi di una delle condizioni sottostanti:

  • Sono passate 12 ore dell’avvio del Sistema Operativo;
  • E’ cambiata la connettività di rete (ad esempio è stata persa e ristabilita);
  • Il dispositivo infetto riceve una chiamata.

All’avvio il Trojan tenta di rubare le seguenti informazioni;

  • 3gnet
  • 3gwap
  • APN
  • cmnet
  • cmwap
  • Hardware information
  • IMEI
  • IMSI
  • Network connectivity
  • uninet
  • uniwap
  • Wifi

e le invia cifrate ad una coppia di domini remoti:


In risposta, HongTouTou riceve una pagina Web, ed un insieme di parole chiave di ricerca da inviare come query. Le richieste vengono inviate ad alcuni link noti. Un esempio di stringa è la seguente:[ENCODED SEARCH STRING]&vit=uni&from=[ID]


Lo scopo delle query è quello di incrementare il ranking e quindi la visibilità del sito Web.

A questo punto il malware emula il processo di richiesta utilizzando le parole chiave, analizza i risultati della ricerca con il ranking maggiore ed emula i click su specifici risultati, come se fosse l’utente ad effettuarli. Per il motore di ricerca truffato, le richieste sembrano provenire da un utente mobile che utilizza come browser il programma UCWeb Browser, “casualmente” un progamma di navigazione mobile “Made in China” (l’User-Agent corrisponde a J2ME/UCWEB7.4.0.57).

Il malware inoltre è in grado di scaricare pacchetti di installazione Android APK e quindi di autoaggiornarsi. Anche se ancora non è stato osservato sembrerebbe che il malware sia anche in grado di monitorare le conversazioni SMS e inserire contenuto inopportuno all’interno della conversazione SMS.

Ancor prima di dotarsi di una applicazione anti-malware mobile, come al solito le raccomandazioni sono sempre le stesse:

  • Evitare, a meno che non sia strettamente necessario, di abilitare l’opzione di installazione delle applicazioni da Sorgenti Sconosciute (pratica definita anche “sideloading”).
  • Fare attenzione in generale a ciò che si scarica e comunque installare esclusivamente applicazioni da sorgenti fidate (ad esempio l’Android Market ufficiale, le cui applicazioni non sono infette). Buona abitudine è anche quella di verificare il nome dello sviluppatore, le recensioni e i voti degli utenti;
  • Controllare sempre i permessi delle applicazioni durante l’installazione. Naturalmente il buon senso corrisponde al migliore anti-malware per verificare se i permessi sono adeguati allo scopo dell’applicazione;
  • Fare attenzione ai sintomi comportamenti inusuali del telefono (ad esempio SMS inusuali o una sospetta attività di rete) che potrebbero essere indicatori di una possibile infezione.

Aldilà delle raccomandazioni, applicabili in qualsiasi contesto, non posso fare a meno di notare che HongTouTou (o Android.Adrd) è il secondo malware per l’Androide proveniente dalla Cina in meno di due mesi. Poiché sovente i produttori cinesi di sicurezza sono  stati accusati di mettere in circolazione essi stessi il malware per promuovere i propri prodotti, mi domando a questo punto se certe scorciatoie non siano sbarcate anche nel mondo mobile…

I Cinque Domini Dell’Apocalisse

February 15, 2011 2 comments

Quando la sicurezza Informatica incontra (involontariamente) l’arte…

Zoom Del Grafico Infezione al Dominio E (Aprile 2010 - Dati Symantec)

Symantec ha da poco pubblicato un aggiornamento relativo al proprio documento di analisi del malware Stuxnet. In questa versione del documento, che rappresenta forse il lavoro più esaustivo dedicato al malware delle centrali nucleari, il produttore di sicurezza di Cupertino ha aggregato i dati raccolti relativi al traffico effettuato dal malware verso i server di controllo remoto, con lo scopo di tracciare la linea spazio-temporale che ha caratterizzato l’infezione.

Come molti ricorderanno Stuxnet è stato da subito caratterizzato da una notevole complessità tecnica sancita, oltre che dall’uso massiccio di vulnerabilità 0-day, anche da molteplici meccanismi di infezione. A partire dall’infezione di una qualsiasi macchina Windows connessa in rete (il paziente zero), il malware è stato in grado di propagarsi con virulenza inaudita [e con l’ (in)sperato supporto delle Vulnerabilità 0-day di Microsoft] all’interno della LAN. Come ultimo livello di infezione, grazie alla possibilità di propagarsi tramite drive USB, il malware ha raggiunto il vero (presumibile) obiettivo finale costituito dai nodi di programmazione PLC (definiti field PG) dei miscelatori delle Centrali Nucleari (soprattutto quelle Iraniane), nodi che tipicamente non sono connessi in rete.

Oltre a molteplici meccanismi di infezione, il team di sviluppo di Stuxnet (perché di un team deve essersi trattato considerata la complessità dell’architettura) ha dotato il malware della possibilità di aggiornarsi (per contrastare l’aggiornamento dei sistemi operativi e dei software di protezione anti-malware) e di essere controllato da remoto. In effetti il virus delle centrali nucleari non si è fatto mancare nulla ed i suoi creatori hanno previsto, seguendo la tendenza attuale del malware evoluto, un efficiente meccanismo peer-to-peer per controllare il malware da remoto ed eventualmente aggiornarlo grazie alla possibilità di connettersi ad un Server remoto di Comando e Controllo (C&C).

Sfrtuttando questo “vizietto” del malware, a partire dal 20 luglio 2010, Symantec ha messo in opera il monitoraggio del traffico dagli host compromessi connessi in rete verso i server di comando e controllo di Stuxnet. L’analisi dei campioni di virus analizzati ha consentito difatti di rilevare che i server di comando e controllo puntavano in realtà (tramite l’usuale http 80) a due domini:

facenti riferimento a server ubicati in Malesia e Danimarca. Una volta smascherati i finti domini il traffico è stato rediretto in lidi più sicuri. Contestualmente è stato possibile monitorare e analizzare il flusso di dati, impedendo ulteriormente il controllo delle macchine compromesse, e provvedendo nello stesso tempo ad avvisare le organizzazioni infette. I dati raccolti, appartenenti unicamente ai nodi compromessi connessi in rete, si sono rivelati estremamente preziosi per comprendere l’evoluzione dell’infezione. Ogni connessione verso i server di comando e controllo difatti, contiene dati quali: indirizzi IP interni ed esterni, nome del Computer, versione del Sistema Operativo, ed inoltre un indicatore che consente di capire se la macchina infetta ospita (e fa girare) il software di controllo industriale SIMATIC Step 7.

Grazie all’analisi di questi dati è stato possibile rilevare che alla  data del 29 settembre 2010 vi erano nel mondo 100.000 host infetti dei quali oltre il 60% localizzati in Iran. Dove peò i dati cominciano a farsi interessanti, è nel modo in cui è nata l’infezione: Symantec sostiene infatti che l’infezione sia nata da 5 punti ben precisi, ovvero tutto farebbe pensare che l’operazione sia stata concepita a tavolino per far partire il suo attacco mortale da cinque domini (il produttore giallo non rivela quali), da cui poi si è diffusa in tutto il globo.

A queste conclusioni si è giunti raccogliendo 3280 campioni del virus, “in rappresentanza” delle tre varianti del malware. Dal momento che il virus, ogni volta che infetta una nuova macchina, registra un timestamp oltre ad altre informazioni del sistema infetto; ogni campione racconta la storia del computer infetto, inclusa la prima infezione, il cosiddetto Paziente 0. Ovviamente con questi dati a disposizione è stato possibile ricostruire l’evoluzione del virus e determinare le caratteristiche di questa Apocalisse informatica:

  • Il nome di dominio registrato ha rivelato che Stuxnet è stato un attacco rivolto esplicitamente a cinque organizzazioni diverse;
  • Le cinque organizzazioni hanno subito 12.000 infezioni;
  • Tre organizzazioni sono state attaccate una sola volta, una è stata attaccata due volte, ed una ulteriore addirittura tre volte;
  • Il Dominio A è stato attaccato due volte (Giugno 2009 e Aprile 2010);
  • In ambedue i casi il paziente 0 (ovvero il computer origine dell’infezione) è stato sempre lo stesso;
  • Il Dominio B è stato attaccato tre volte (Giugno 2009, Marzo 2010 e Maggio 2010);
  • Il Dominio C è stato attaccato una sola volta (Luglio 2009);
  • Il Dominio D è stato attaccato una sola volta (Luglio 2009);
  • Il Dominio E sembra essere stato attaccato una sola volta (Maggio 2010), ma con tre infezioni iniziali (ovvero la stessa chiavetta USB galeotta è stata inserita dentro tre computer differenti);
  • Da queste 10 infezioni iniziali hanno avuto origine 12000 infezioni;
  • Sono stati registrati 1800 nomi di dominio diversi;
  • Tutte le date di infezione sono riconducibili a Giugno 2009, Luglio 2009, Marzo 2010, Aprile 2010 e Maggio 2010;
  • Tutte le organizzazioni infette hanno presenza in Iran;

Il grafici seguenti mostrano le lugubri figure geometriche derivanti dalla ricostruzione dell’infezione:

Infezioni per i domini A e B a Giugno 2009 (Dati Symantec)

Dominio B: Infezione Marzo 2010 (Symantec)

Sono stati riscontrati 10 cluster di infezione, il più virulento dei quali è stato quello che ha visto protagonista il Dominio B nel marzo 2010. Gli attacchi del 2009 hanno registrato il minore impatto, forse un artefatto causato dal numero ridotto di campioni raccolti per quell’anno. Inoltre, i grafici di infezione hanno principalmente rami lineari come se una singola infezione potesse influenzare un solo computer. Questo sarebbe solo parzialmente dovuto alle caratteristiche di autolimitazione del codice, mentre, probabilmente, potrebbe essere un artifatto introdotto dal numero ridotto di campioni raccolti.

Infezioni Aprile 2010 (Dati Symantec)

I dati evidenziano inoltre un non trascurabile effetto collaterale: il fatto che dagli iniziali 5 domini ne siano stati colpiti 1800 con 12000 indezioni, dimostra che Stuxnet è riuscito a sfuggire dai confini dei domini inizialmente colpiti, probabilmente per la collaborazione involontaria di partner e fornitori che, mediante una chiavetta USB galeotta, hanno propagato l’infezione oltre il perimetro virtuale del dominio obiettivo iniziale.

Il documento Symantec è estremamente curato e dettagliato, e questo ultimo aggiornamento è ulteriormente interessante e suggestivo (i grafi di evoluzione del virus sembrano opere arte ed hanno a mio avviso un contenuto artistico molto maggiore rispetto a certe opere che ho visto al MAXXI). Curiosamente, però, non ho potuto fare a meno di osservare che il documento Symantec è stato pubblicato subito dopo il report McAfee relativo al virus Night Dragon (che attacca facility differenti, appare meno raffinato del suo predecessore Stuxnet, ed ha inoltre sollevato reazioni controverse tra altri vendor di sicurezza). Questo sembrerebbe delineare una nuova tendenza dei produttori: ieri mettevano alla prova la bontà della propria tecnologia e dei propri laboratori di ricerca sfidandosi reciprocamente nella corsa dei tempi di rilascio delle signature per le nuove infezioni; oggi la sfida risiede nello sradicare per primi le minacce di nuova generazione (i cosiddetti Advanced Persistent Threat), soprattutto quando queste, anche utilizzando metodi di infezione “tradizionali”, effettuano il salto di qualità e minano alla base le infrastrutture critiche che presiedono all’Ordine Mondiale (almeno così come lo consociamo).

Matrimonio D'(Intel)esse…

January 31, 2011 1 comment

Il titolo di questo post non è tratto da una commedia cinese, ma rappresenta la mia personale interpretazione di una notizia che in questi giorni riecheggia tra i forum di sicurezza informatica.

Come abbiamo commentato tra le previsioni per il 2011, gli Advanced Persistent Threat e le vulnerabilità saranno tra i fattori di rischio informatico maggiormente al centro dell’attenzione per l’anno corrente, turbando i già poco tranquilli sonni dei professionisti di sicurezza informatica,

A tranquillizzarli potrebbe pensarci Intel, il colosso di Santa Clara, il cui CTO e direttore dei laboratori, Justin Rattner, in una intervista bomba, ha dichiarato che il gigante dei processori sta lavorando ad una tecnologia rivoluzionaria in grado di eliminare gli attacchi che sfruttano le vulnerabilità 0-day, ovvero quelle vulnerabilità per cui, nel momento di azione dell’exploit, non è ancora disponibile una pezza patch. La misteriosa tecnologia, interamente in Hardware, potrebbe addirittura essere presentata entro la fine dell’anno e utilizzerà un approccio completamente nuovo non basato su signature (ovvero pattern di comportamento noti), poiché, come prevedibile, un approccio tradizionale basato su impronte comportamentali conosciute per analizzare le applicazioni sospette, non è in grado di contrastare in alcun modo minacce sconosciute.

Sembra che Intel stesse già lavorando segretamente a questa tecnologia, ancora prima dell’acquisizione di McAfee (che ha da poco ricevuto il semaforo verde da parte della Comunità Europea): questo spiegherebbe il motivo per cui il principale produttore di processori abbia improvvisamente deciso di fare shopping nel supermercato della sicurezza: l’apparente inopinato ingresso del patrimonio tecnologico McAfee tra la proprietà intellettuali del Gigante di Santa Clara avrebbe avuto lo scopo di portare all’interno della tecnologia top secret, ulteriore know-how da parte di uno dei principali produttori di sicurezza anti-malware.

D’altro canto, questo strano matrimonio d’interesse (o meglio d’Intelesse) è sempre stato considerato strategicamente confuso da parte degli analisti, divisi tra una spiegazione riconducibile ad una focalizzazione di Intel nel mondo del mobile con la conseguente realizzazione di soluzioni di sicurezza integrate (per le quali McAfee possiede un portafoglio di soluzioni, frutto di acquisizioni, estremamente evoluto e capillare) ed una spiegazione riconducibile al desiderio di integrare soluzioni di sicurezza all’interno del processore.

In virtù delle nuove rivelazioni, il quadro propenderebbe per una terza ipotesi a metà tra le due precedentemente citate: il colosso di Santa Clara sarebbe già stato al lavoro per una tecnologia di sicurezza rivoluzionaria, basata su hardware, mirata a contrastare le minacce 0-day, e applicabile a qualsiasi tipo di dispositivo inclusi i terminali mobili (Intel stava cioè sviluppando la forma della tecnologia), e avrebbe fornito alla propria tecnologia know-how prezioso acquisendo uno dei principali produttori di soluzioni di sicurezza informatica (ovvero garantendo il contenuto alla propria tecnologia).

In questo scenario, potremmo veramente essere di fronte a una killer application per il panorama della sicurezza informatica, capace di cambiare le regole del gioco, come dicono i suoi creatori, anche se da parte di molti permane il dubbio se un approccio di tipo hardware possa garantire le necessarie dinamicità e flessibilità contro le minacce sconosciute, per contrastare le quali la concorrenza (Symantec, Kaspersky e Trend Micro in primis), utilizza un approccio di classificazione dinamica basato sul cloud al quale vengono inviati i file anomali rilevati dalla propria base di prodotti installata in tutto il globo.

Ad ogni modo i commenti della concorrenza non si sono fatti attendere. Per prima Sophos, tramite un articolo del proprio blog ha laconicamente liquidato la notizia con la battuta:

Intel to eliminate zero-day threats, pigs to fly

Ovvero letteralmente: “Intel sta per eliminare le minacce 0-day, i maiali stanno per volare”. Nel suo articolo il produttore inglese riconosce il possibile interesse per la tecnologa classificandola tuttavia più come una eventuale architettura su cui potranno poggiarsi i sistemi operativi per innalzare il livello di sicurezza, piuttosto che una tecnologia definitiva. Non senza aver acidamente sottolineato l’eccessivo clamore sollevato dall’annuncio, Sophos conclude che alla fine la tecnologia provocherà soltanto qualche emicrania in più agli hacker ma non sarà la panacea contro le minacce sconosciute.

La speranza, comunque, è che l’emicrania venga tolta ai professionisti della sicurezza informatica, che potrebbero avere una freccia in più nel proprio arco e di conseguenza dormire sonni più tranquilli tendendo nel comodino, accanto alle proverbiali tisane tranquillanti, un bel processore Intel.


Get every new post delivered to your Inbox.

Join 3,711 other followers