[OT] Virus e scarsa sicurezza

[unomichisiada]

Salve, in questo periodo sono in vena di domande abbastanza in zona OT (anche se questa una parentela con la programmazione in qualche modo ce l'ha), inoltre questa mi rendo conto che per l'argomento trattato potrebbe essere non troppo ben vista dai moderatori, quindi li invito a chiudere la discussione se ritengono che non sia consona al forum.
Mi sono sempre chiesto come fanno gli antivirus a scoprire un virus all'interno di un file, la prima cosa che mi viene in mente e' che probabilmente fanno un calcolo (una cosa tipo checksum) sui byte del file di un virus e memorizzano il risultato in un database aggiornabile (le firme dei virus) in modo da beccare un virus se il calcolo su un file da lo stesso valore. Premesso che questa è solo una mia ipotesi, ho provato ad avvalorarla in questo modo: su un sito diversi anni fa avevo beccato i sorgenti del famigerato visus "I love You" e li avevo scaricati, facendo fare una scansione del file ( un .txt contenente codice vbscript) al mio antivirus (avast personal edition aggiornatissimo) quello lo becca all'istante dicendomi che c'è appunto "I Love You" la dentro. Se però aggiungo in qualsiasi punto del file anche un solo apostrofo (che è un commento in vb e vbscript) il mio antivirus fallisce miseramente e mi dice che il file è apposto....Ma è possibile????Devo dedurre che gli antivirus operano proprio così? Spero che sia il mio antivirus scadente altrimenti stiamo freschi,se il mio ragionamento è corretto potenzialmente il creatore di un virus può generare un numero indefinito di copie del suo virus senza quasi sforzo. Anzi addirittura potrebbe generare delle copie di se stesso con alcuni byte cambiati in maniera random senza temere quindi alcun antivirus.Sono allarmato! Voi cosa ne pensate/sapete in proposito?

[Samuele_70]

Originariamente inviato da unomichisiada
...anni fa avevo beccato i sorgenti del famigerato visus "I love You" e li avevo scaricati, facendo fare una scansione del file ( un .txt contenente codice vbscript) al mio antivirus (avast personal edition aggiornatissimo) quello lo becca all'istante dicendomi che c'è appunto "I Love You" la dentro. Se però aggiungo in qualsiasi punto del file anche un solo apostrofo (che è un commento in vb e vbscript) il mio antivirus fallisce miseramente e mi dice che il file è apposto....Ma è possibile????Devo dedurre che gli antivirus operano proprio così? Spero che sia il mio antivirus scadente altrimenti stiamo freschi,

Anch' io ho fatto la stessa esperienza, il codice sorgente di un
'virus' (un .TXT) veniva segnalato sia dal vecchio norton
che dall' attuale F-Secure.
Uno dei metodi degli anti-virus è ricercare sequenze di byte
caratteristiche di ogni tipo di codice maligno,
credo anche eventuali stringhe nei codici sorgenti.

se il mio ragionamento è corretto potenzialmente il creatore di un virus può generare un numero indefinito di copie del suo virus senza quasi sforzo. Anzi addirittura potrebbe generare delle copie di se stesso con alcuni byte cambiati in maniera random senza temere quindi alcun antivirus.Sono allarmato! Voi cosa ne pensate/sapete in proposito?

Tipico dei virus polimorfi.
Eppure gli ativirus più scaltri, a volte, riescono a
scovarli lo stesso.

[albgen]

se provi a eseguire quello modificato con l'apostrofo, cosa succede ?
secondo me non funziona !

me li puoi mandare a me le sorgenti se hai paura di eseguirlo ?

[internet]

Originariamente inviato da unomichisiada
Salve, in questo periodo sono in vena di domande abbastanza in zona OT (anche se questa una parentela con la programmazione in qualche modo ce l'ha), inoltre questa mi rendo conto che per l'argomento trattato potrebbe essere non troppo ben vista dai moderatori, quindi li invito a chiudere la discussione se ritengono che non sia consona al forum.
Mi sono sempre chiesto come fanno gli antivirus a scoprire un virus all'interno di un file, la prima cosa che mi viene in mente e' che probabilmente fanno un calcolo (una cosa tipo checksum) sui byte del file di un virus e memorizzano il risultato in un database aggiornabile (le firme dei virus) in modo da beccare un virus se il calcolo su un file da lo stesso valore. Premesso che questa è solo una mia ipotesi, ho provato ad avvalorarla in questo modo: su un sito diversi anni fa avevo beccato i sorgenti del famigerato visus "I love You" e li avevo scaricati, facendo fare una scansione del file ( un .txt contenente codice vbscript) al mio antivirus (avast personal edition aggiornatissimo) quello lo becca all'istante dicendomi che c'è appunto "I Love You" la dentro. Se però aggiungo in qualsiasi punto del file anche un solo apostrofo (che è un commento in vb e vbscript) il mio antivirus fallisce miseramente e mi dice che il file è apposto....Ma è possibile????Devo dedurre che gli antivirus operano proprio così? Spero che sia il mio antivirus scadente altrimenti stiamo freschi,se il mio ragionamento è corretto potenzialmente il creatore di un virus può generare un numero indefinito di copie del suo virus senza quasi sforzo. Anzi addirittura potrebbe generare delle copie di se stesso con alcuni byte cambiati in maniera random senza temere quindi alcun antivirus.Sono allarmato! Voi cosa ne pensate/sapete in proposito?

Quando si applicano queste strategie è probabile che sotto ci sia un problema intrattabile (NP-completo)
http://en.wikipedia.org/wiki/NP-Complete

Per ora non mi dilungo su come vengono affrontati questi problemi NP (nella pratica è impensabile mettere a punto un algoritmo esatto, si usano tecniche euristiche)

per verificare se un problema è NP si usano varie tecnice (non è facile)

quando si ha la certezza di questo, c'è poco da fare: il problema con i calcolatori attuali (non si considerano per ora i calcolatori quantistici) richiederebbe per essere risolto in modo esatto di un tempo che cresce esponenzialmente con la taglia di input

ora c'è qualcun altro che ha fatto questo test al posto mio (ed è stato verificato spero da fior fior di ricercatori)
http://ieeexplore.ieee.org/search/wr...number=1159781

l'argomento per essere affrontato richiede una base teorica piuttosto ampia, ma se qualcuno vuole approfondire (meglio se ha basi di logica e di linguaggi formali)

per chi ha il Cormen (introduzione agli algoritmi):
c'è un capitolo dedicato fatto molto bene

poi c'è un libro in rete gratuito (dal corso di informatica teorica)
http://www.dis.uniroma1.it/~ausiello/InfoTeoRMvo/

nella sezione dispense è il "capitolo 9", che comunque si rifà ai primi 8 capitoli (sempre nella sezione dispense)
e al capitolo 8 in particolare.

riguardo agli antivirus c'è un articolo "accessibile" senza troppi crismi teorici
http://www.nwi.it/nwi_arretrati/r03a0401.htm

alla fine parla di un famoso problema ancora aperto "P = NP ?" chi lo risolve porta a casa 1.000.000 di $

http://www.claymath.org/millennium/P_vs_NP

Di problemi NP-completi nel mondo reale ce ne sono un marea
ad esempio il famoso problema del "commesso viaggiatore"
craccare un RSA

[unomichisiada]

Originariamente inviato da albgen
se provi a eseguire quello modificato con l'apostrofo, cosa succede ?
secondo me non funziona !

me li puoi mandare a me le sorgenti se hai paura di eseguirlo ?

Si ho paura di eseguirlo se devo essere sincero.Te lo mando volentieri se mi mandi la tua mail con un pvt. Per inciso non credo affatto che l'aggiunta di un apostrofo ne pregiudichi il funzionamento trattandosi di uno script.

[king64]

La ricerca di pattern all'interno di un insieme di dati , è la tecnica migliore , al momento , per individuare un virus in un file .

Se però aggiungo in qualsiasi punto del file anche un solo apostrofo (che è un commento in vb e vbscript) il mio antivirus fallisce miseramente e mi dice che il file è apposto....Ma è possibile????Devo dedurre che gli antivirus operano proprio così? Spero che sia il mio antivirus scadente altrimenti stiamo freschi,se il mio ragionamento è corretto potenzialmente il creatore di un virus può generare un numero indefinito di copie del suo virus senza quasi sforzo. Anzi addirittura potrebbe generare delle copie di se stesso con alcuni byte cambiati in maniera random senza temere quindi alcun antivirus.

Cambiare in maniera casuale un byte o un insieme di byte all'interno del virus , non vuol dire che questo continui a funzionare . Anzi sicuramente cesserà del tutto di funzionare . Un esperimento lo puoi fare tu stesso , provando a modificare un singolo byte di un eseguibile qualunque , con un qualsiasi hex editor , e poi provando a mandare in esecuzione il tutto .
Per cui , vero è che i virus , anzi i creatori di virus , modificano le loro creazioni in continuazione , ma questo nn vuol dire che ci mettono così poco per sfuggire ai controlli degli antivirus

[unomichisiada]

Originariamente inviato da internet
Quando si applicano queste strategie è probabile che sotto ci sia un problema intrattabile (NP-completo)
http://en.wikipedia.org/wiki/NP-Complete

Per ora non mi dilungo su come vengono affrontati questi problemi NP (nella pratica è impensabile mettere a punto un algoritmo esatto, si usano tecniche euristiche)

per verificare se un problema è NP si usano varie tecnice (non è facile)

quando si ha la certezza di questo, c'è poco da fare: il problema con i calcolatori attuali (non si considerano per ora i calcolatori quantistici) richiederebbe per essere risolto in modo esatto di un tempo che cresce esponenzialmente con la taglia di input

ora c'è qualcun altro che ha fatto questo test al posto mio (ed è stato verificato spero da fior fior di ricercatori)
http://ieeexplore.ieee.org/search/wr...number=1159781

l'argomento per essere affrontato richiede una base teorica piuttosto ampia, ma se qualcuno vuole approfondire (meglio se ha basi di logica e di linguaggi formali)

per chi ha il Cormen (introduzione agli algoritmi):
c'è un capitolo dedicato fatto molto bene

poi c'è un libro in rete gratuito (dal corso di informatica teorica)
http://www.dis.uniroma1.it/~ausiello/InfoTeoRMvo/

nella sezione dispense è il "capitolo 9", che comunque si rifà ai primi 8 capitoli (sempre nella sezione dispense)
e al capitolo 8 in particolare.

riguardo agli antivirus c'è un articolo "accessibile" senza troppi crismi teorici
http://www.nwi.it/nwi_arretrati/r03a0401.htm

alla fine parla di un famoso problema ancora aperto "P = NP ?" chi lo risolve porta a casa 1.000.000 di $

http://www.claymath.org/millennium/P_vs_NP

Di problemi NP-completi nel mondo reale ce ne sono un marea
ad esempio il famoso problema del "commesso viaggiatore"
craccare un RSA

ora mi leggo gli articoli che hai citato, comunque qualche base teorica ce l'ho già sui problemi NP completi e compagnia cantante, ho avuto modo di studiare anche io dal mitico Cormen Leiserson.

[unomichisiada]

Originariamente inviato da king64
La ricerca di pattern all'interno di un insieme di dati , è la tecnica migliore , al momento , per individuare un virus in un file .


Cambiare in maniera casuale un byte o un insieme di byte all'interno del virus , non vuol dire che questo continui a funzionare . Anzi sicuramente cesserà del tutto di funzionare . Un esperimento lo puoi fare tu stesso , provando a modificare un singolo byte di un eseguibile qualunque , con un qualsiasi hex editor , e poi provando a mandare in esecuzione il tutto .
Per cui , vero è che i virus , anzi i creatori di virus , modificano le loro creazioni in continuazione , ma questo nn vuol dire che ci mettono così poco per sfuggire ai controlli degli antivirus

Sono meno ingenuo di quello che ti posso essere sembrato, so bene che modificando a caso un eseguibile con un hex-editor non vai da nessuna parte, ho anche nozioni della struttura di un portable executable (PE), e se vogliamo proprio entrare nelmerito, so come si fa ad aggiungergli una sezione, so come si fa a inserire un altro programma all'interno di una di queste sezioni, e non continuo... fidati per un virus coder è banale modificare dei byte in maniera casuale (dove casuale è il loro valore non la posizione) evitando di pregiudicare il funzionamento, saprei farlo anche io....

[unomichisiada]

Originariamente inviato da internet
Quando si applicano queste strategie è probabile che sotto ci sia un problema intrattabile (NP-completo)
http://en.wikipedia.org/wiki/NP-Complete

Per ora non mi dilungo su come vengono affrontati questi problemi NP (nella pratica è impensabile mettere a punto un algoritmo esatto, si usano tecniche euristiche)

per verificare se un problema è NP si usano varie tecnice (non è facile)

quando si ha la certezza di questo, c'è poco da fare: il problema con i calcolatori attuali (non si considerano per ora i calcolatori quantistici) richiederebbe per essere risolto in modo esatto di un tempo che cresce esponenzialmente con la taglia di input

ora c'è qualcun altro che ha fatto questo test al posto mio (ed è stato verificato spero da fior fior di ricercatori)
http://ieeexplore.ieee.org/search/wr...number=1159781

l'argomento per essere affrontato richiede una base teorica piuttosto ampia, ma se qualcuno vuole approfondire (meglio se ha basi di logica e di linguaggi formali)

per chi ha il Cormen (introduzione agli algoritmi):
c'è un capitolo dedicato fatto molto bene

poi c'è un libro in rete gratuito (dal corso di informatica teorica)
http://www.dis.uniroma1.it/~ausiello/InfoTeoRMvo/

nella sezione dispense è il "capitolo 9", che comunque si rifà ai primi 8 capitoli (sempre nella sezione dispense)
e al capitolo 8 in particolare.

riguardo agli antivirus c'è un articolo "accessibile" senza troppi crismi teorici
http://www.nwi.it/nwi_arretrati/r03a0401.htm

alla fine parla di un famoso problema ancora aperto "P = NP ?" chi lo risolve porta a casa 1.000.000 di $

http://www.claymath.org/millennium/P_vs_NP

Di problemi NP-completi nel mondo reale ce ne sono un marea
ad esempio il famoso problema del "commesso viaggiatore"
craccare un RSA

Interessanti comunque gli articoli. Se ho ben capito quindi si usano una combinazione di tecniche per scovare un virus, nessuna garantisce la sicurezza totale ma nella maggior parte dei casi funzionano presto e bene.Comunque il mio antivirus mi ha deluso, lo credevo più "intelligente"