Sono sempre rimasto affascinato dal concetto di entropia, ovvero, dalla tendenza dell’universo intero nonché della mia stanza verso il disordine. La cosa più buffa è l’ostinazione e a volte l’ostentazione con cui certa gente (leggi: mamme e fidanzate:) si opponga a questa legge della fisica intraprendendo una battaglia senza tempo e senza vincitori contro il caos. Ma la Mandiant è andata oltre scoprendo che l’entropia è anche una sensazionale arma per scovare file maliziosi altrimenti conosciuti come malware che, se qualcuno non se ne fosse accorto, creano appunto confusione nel vostro PC.
Partendo da questo presupposto la Mandiant ha ultimamente rilasciato il suo Red Curtain, uno strumento freeware per l’analisi di malware che si offre come valido aiuto per i professionisti della sicurezza nell’analisi di files potenzialmente pericolosi. Il software esamina (con mooolta calma) i file eseguibili per determinare il loro grado di affidabilità e calcolando un punteggio al fine di stabilire se un file dovrà essere nuovamente sottoposto a scansione o tenuto sotto stretta sorveglianza.
David Merkel della Mandiant afferma che ci sono differenti modi di approcciarsi al problema malware
“è possibile lanciare un antivirus, ma questo troverà solo minacce già conosciute. Le nuove generazioni di malware molto spesso riescono ad aggirare questo tipo di rilevazione e quando ci si trova davanti a queste falle della sicurezza c’è bisogno di uno strumento che aiuti a identificare tutto ciò che può risultare sospetto. Solitamente il metodo euristico è il più utile quando non si sa esattamente quello che si sta cercando”
Red Curtain assegna il suo punteggio al file in base a 6 variabili di cui la prima e più importante è l’entropia. Merkel infatti tende a sottolineare come in presenza di malware il grado di entropia dei dati tende a salire. Il software della Mandiant, inotre, analizza le firme digitali, identifica file eseguibili che sembrano essere stati modificati e quelli che presentano una variegata combinazione di permessi, più altre amenità. Il punteggio solitamente oscilla tra 0 e 2. Un punteggio 0.9-1.0 è considerato “very interesting” e significa che ci potrebbero essere file maliziosi che stanno tentando di offuscarsi e nascondersi nel vostro sistema. Ovviamente ci possono essere degli eseguibili che vanno anche oltre la soglia del 3.0, ma che sono ugualmente attendibili e il cui grado di entropia è dovuto proprio ad una caratteristica intrinseca del software (leggasi: vi incasina il pc senza essere un malware:).
Disponibile per Windows Xp e 2003 Server.
Scarica gratuitamente Mandiant Red Curtain qui!
I commenti sono chiusi.