Ci sarà un contest tutto nuovo al Defcon, la conferenza di hacker di agosto: si intitolerà Race to Zero, e sfiderà i partecipanti a modificare un malware già esistente in modo che diventi invisibile ad una batteria di antivirus famosi e molto popolari presso gli utenti. Non ci è voluto molto perchè gli sviluppatori di prodotti per la sicurezza reagissero con grande stizza, sostenendo che il concorso non farà altro che insegnare ai cybercriminali nuovi trucchi.
Secondo me la loro rabbia è davvero poco intelligente, ed a parer mio è il frutto di un forte senso di inadeguatezza.
Non stiamo parlando di gettare sassi dal cavalcavia. Produrre virus informatici a scopo di ricerca non danneggia nessuno, anzi, contribuisce alla sicurezza generale mettendo in chiaro quali sono i problemi dei nostri software di protezione attuali. Un programmatore di antivirus deve essere sempre all’erta, e non può permettersi di stare seduto sugli allori neanche per un secondo. Bisogna che la gente sappia, e tempestivamente, se un prodotto del genere non è all’altezza: nessun antivirus è efficace contro un virus completamente nuovo… Ma se quello stesso prodotto è tanto “stupido” da essere vulnerabile anche ad un virus ben conosciuto che ha subito una modifica, allora il problema è decisamente maggiore.
E parliamo di modifiche attuate nei ristretti limiti di tempo e spazio di un singolo concorso! Lì fuori ci sono migliaia di hacker cinesi e russi che non giocano, non si auto-assegnano medaglie, non hanno limiti di tempo. Sono criminali che lavorano 24 ore su 24 per trasformare il maggior numero possibile di computer in zombie sforna-spam.
La motivazione del concorso è riassunta perfettamente dal punto 5 del suo programma:
5. Gli antivirus basati su database sono già morti, gli sviluppatori devono ricorrere a tecniche di rilevamento basate sull’euristica, la statistica e studiate sui comportamenti tipici dei malware.
E su questo sono completamente d’accordo. Un archivio di firme malware aggiornato ogni giorno sarà sempre lento, troppo lento. Dopo tutto, se è davvero come dicono gli organizzatori di Defcon, ci vogliono solo pochi minuti per modificare un vecchio virus e renderlo non identificabile!