G Data: nessun allarme per Khobe

A seguito del nostro precedente articolo sul ritrovamento di una falla di notevole importanza che permetteva la disattivazione di tutti gli AntiVirus su sistema Windows XP, G Data ci comunica alcuni dubbi e perplessità nel comunicato che vi citiamo dopo il salto…

Tanto rumore per nulla intorno alla “presunta” tecnica che renderebbe inutili i software antivirus.

Bochum (Germany), 24 Maggio 2010 –  Da diversi giorni si discute in rete di un presunto attacco malware che sarebbe in grado di superare i meccanismi di protezione di tutti i più importanti antivirus. G Data fa il punto della situazione e spiega perché, in concreto, non ci sia nessun allarme reale.

Secondo quanto diffuso in rete dal gruppo di ricerca indipendente Matousec, sarebbe stato scoperto un nuovo metodo in grado di bypassare la protezione antivirus di tutti i più famosi software per la sicurezza.

Il tutto sarebbe basato su un proof-of-concept denominato KHOBE (Kernel Hook Bypassing Engine) che consiste nell’inviare porzioni di codice benigno che il software antivirus riterrebbe innocuo per poi sfruttare questo passaggio di dati al fine di sostituire rapidamente il codice benigno con del malware. In altre parole si utilizzerebbe il codice benigno come esca o cavallo di troia per poi inviare al suo posto del malware.

G Data ha esaminato il problema e ha scoperto che l’allarme è più fittizio che reale.

“Sorprende la quantità di articoli pubblicati in rete su KHOBE, nonostante di tratti di un attacco puramente “accademico” e non realmente affidabile, spiega Ralf Benzmüller, Manager di G Data SecurityLabs. Abbiamo voluto così andare alla fonte di questa notizia e verificare davvero come stanno le cose. Per questo motivo G Data ha inviato una e-mail a questo gruppo di ricerca per comprendere quali sarebbero state le presunte vulnerabilità del proprio software.”

La risposta ricevuta non solo è stata anonima, ma ha presentato anche alcuni aspetti piuttosto strani:

  • è stato genericamente detto che il software G Data presenteva solo “qualche” problema
  • i dettagli tecnici sarebbero stati meglio descritti in un documento ancora in fase di ultimazione e che poi sarebbe stato messo in vendita
  • è stato offerto il codice sorgente e un servizio di audit

Ad un’ulteriore richiesta sul prezzo del documento, sulle tempistiche della sua disponibilità e sul perché la risposta è anonima è stato poi risposto:

  • il prezzo è a quattro cifre (quindi qualche migliaio di dollari), ma se tutte le aziende produttrici di antivirus avessero sottoscritto il documento, la cifra sommata sarebbe stata nell’ordine delle sei cifre
  • qualcuno avrebbe fornito assistenza una volta pagato quanto richiesto

G Data tiene sempre in considerazione gli sforzi profusi per cercare e mettere in atto un nuovo attacco, ma considera innanzitutto esagerata la cifra richiesta.

In secondo luogo G Data si domanda perché tale informazione sia stata comunicata e diffusa in rete senza documentazione a sostegno.

Non si capisce, infine, perché ogni comunicazione debba sempre essere anonima.

Risulta dunque piuttosto strano che, in una situazione del genere, dopo che tale notizia è diventata di dominio pubblico, non venga rivelata l’identità dell’interlocutore e, inoltre, sia stata richiesto del denaro per informazioni e documenti non ancora disponibili.

Ciò nonostante G Data ha già risolto il problema nei suoi prodotti quindi KHOBE non rappresenta una minaccia.

Da un lato Matousec avrebbe dovuto rivelare la propria identità e usare un modo più responsabile per diffondere notizie riguardo nuovi attacchi. Dall’altro, chi ha ripreso e rilanciato la notizia in tutto il mondo avrebbe dovuto verificare e controllare la fonte prima di pubblicare notizie che possono essere interpretate e percepite come la fine di ogni software antivirus.