Per cominciare, consideriamo una piccola porzione dell'insieme: gli strumenti antimalware. Gli utenti di solito iniziano chiedendo "quanto è efficace il mio antimalware?" E l'approccio classico è cominciare con un test di copertura per vedere come i vostri antimalware coprono lo spazio di attacco. Testare gli antimalware per verificare la copertura significa lanciare un'infinità di bit di badware contro le difese e vedere cosa viene catturato.
L'antimalware fa il suo lavoro?
Mi permetto di suggerire qualcosa di diverso: facciamo un passo indietro e cambiamo la domanda in: "Il mio antimalware fa davvero il suo lavoro? " La risposta potrebbe sorprendervi.
Se per esempio scoprite che il vostro tool antimalware cattura solo il 93% dei campioni, c'è un modo per aumentare questo numero ? Non ci sono moltissime opzioni se non di cambiare fornitore. Tuttavia, se eseguite un test di validazione e scoprite che avete un buco nei vostri tool per la sicurezza perimetrale della rete, sappiate che questa è un aspetto che spesso potete tenere sotto controllo. Potete infatti individuare errori di configurazione nei tool, oppure potete scoprire che le cose non si comportano esattamente come pensavate.
Un semplice penetration test
Iniziate il vostro test procurandovi un virus. In questo senso, visitate eicar.org e scaricate il loro virus campione. Tutti gli autori di antimalware concordano che il virus EICAR sarà individuato come virus - ma è anche completamente innocuo, è solo una stringa di testo. Lavorare con i campioni dal vivo è estremamente pericoloso e io non dovrei suggerirlo, ma devo ammettere che questo mi ha spesso permesso di ottenere interessanti risultati.
È necessario che eseguiate questi test con il vostro antivirus desktop attivo e successivamente con l'antivirus disattivato. Pensate che la vostra difesa agisca in profondità? Cerchiamo di scoprirlo con precisione.
Per fare questo test, avrete bisogno di un piccolo server Web e di posta elettronica, che potete procurarvi in Internet. Un approccio semplice è quello di scaricare una appliance virtuale Unix-based con questi tool preinstallati e lasciarla in funzione a casa con un indirizzo IP statico.
Una tecnica molto utile che uso solitamente è quella di avere in esecuzione servizi su porte sia standard sia non standard. Dal momento che gli autori di malware non si attengono alle regole, dovete fare altrettanto. Per esempio, quando testate il protocollo POP, operate sulla consueta porta 110, ma anche su una porta non standard, come la 1100 e su una porta utilizzata da un altro protocollo; 53 (la porta DNS) è una scelta particolarmente buona, ma lo sono anche 80 e 443 (le porte HTTP).
Il nostro obiettivo è confermare che l'antimalware funziona e non quanti virus possono essere individuati. Quindi un singolo campione di virus è sufficiente. Quello che vogliamo fare è cercare di iniettare un singolo virus all'interno della nostra organizzazione attraverso ogni possibile via di ingresso.
Ora, pensate a tutti i possibili vettori presenti nella vostra organizzazione. L'e-mail è la più ovvia ed è un via di tipo push. Provate a inviare il virus a voi stessi dal server che avete impostato a casa al vostro server di posta aziendale. Fate uno ZIP e ripetete la prova. Effettuate quindi un doppio ZIP. Provate ora con un doppio ZIP e proteggete il file tramite password.
Provate i formati di archivio più insoliti, come per esempio RAR o GZIP. Rinominare il file è un trucco semplice, ma può aiutare. Può essere EICAR.COM, ma provate anche a cambiarlo in FOO.PDF, FOO.ZIP, FOO.DOC, FOO.CSV, FOO.TXT, FOO.JPG e FOO.DLL. Potreste dover usare un paio di dozzine di test, ma alla fine potrete aver ottenuto alcuni risultati sorprendenti.
Continuate a provare altre strade di tipo push. Nella vostra azienda, gli utenti possono effettuare l'upload di file in Internet verso un sito FTP? Oppure, possono caricare file su dei Web forum (dove altri interni o esterni potrebbero scaricarli)? Potrebbero allegare dei file in risposta a una richiesta si supporto che arriva via Web?
Da push a pull
Una volta che avete esaurito la trasmissione push da Internet verso la vostra organizzazione, analizzate i vari modi in cui il personale può ottenere i dati in modalità pull. L'elenco è quasi infinito, iniziate con la navigazione Web.
Mettete tutti i file di prova, in tutti i loro possibili formati, su una serie di pagine Web. Provate quindi a scaricarli tutti. Fate girare il server Web sulla porta 80, poi sulla porta 443, non criptata. Fatelo poi girare sulle porte 25, 110, 143, 53, 8080 e 7633.
Un'altra interessante strategia di test è di mettere i virus in una webmail. La maggior parte dei servizi di webmail commerciali è in grado di rilevare e bloccare il virus, ma se installate Squirrelmail o qualsiasi altro tool di webmail open source, potete creare un vostro servizio di webmail e farlo puntare verso il server e-mail che avete appena creato. Provate a testare la webmail - non dimenticare le porte non standard - con POP e IMAP, ma anche l'outbound SMTP, su porte standard e non standard.
Alcuni altri consigli per la validazione del vostro antimalware: tenete un blocco note sempre al vostro fianco (può essere un supporto cartaceo o elettronico) e prendere appunti in relazione a ogni prova che eseguite. Quando si parla di 50 o 100 test è facile perdersi nei dettagli, ma tenendo nota di ciò che si è fatto e che non ha funzionato può aiutare a individuare le tendenze e ad analizzare i risultati.
*senior partner presso Opus One, società di consulenza IT specializzata in sicurezza e messaging
