Kaspersky Lab lancia nuova soluzione di sicurezza virtuale Light Agent

Kaspersky Lab annuncia una nuova soluzione di sicurezza nel campo della virtualizzazione, che offre una protezione avanzata per le piattaforme virtuali VMware, Citrix e Microsoft. Kaspersky Security For Virtualization - Light Agent si aggiunge alla già esistente soluzione di sicurezza agentless per la virtualizzazione di Kaspersky Lab, leader nel settore, per gli utenti VMware e vSphere, che continuerà ad essere offerta con il nome di Kaspersky Security for Virtualization - Agentless.

La nuova tecnologia light agent è la prima soluzione di sicurezza di Kaspersky Lab ottimizzata per i clienti di Microsoft Hyper-V e Citrix XenServer e fornirà ai clienti VMware la possibilità di scegliere tra la protezione agentless o light agent. La soluzione light agent di Kaspersky Lab offre il "meglio dei due mondi" oltre ai modelli di sicurezza virtuale agentless già esistenti o quelli agent-based. 

I dati in breve

• Kaspersky Security for Virtualization | Light Agent è la prima soluzione di Kaspersky Lab specificamente progettata per le piattaforme di virtualizzazione Citrix e Microsoft

• Sia il nuovo Light Agent che la soluzione già esistente Agentless saranno offerte ai clienti attraverso l’acquisto di una singola licenza del prodotto Kaspersky Security for Virtualization

• La nuova soluzione Light Agent di Kaspersky Lab offre funzioni di sicurezza aggiuntive, tra cui i controlli degli applicativi e l'applicazione delle policy di utilizzo del web per ambienti virtuali

• Il prodotto Kaspersky Security for Virtualization sarà offerto in pacchetti di licenze flessibili, rendendo più facile alle aziende in crescita la possibilità di rendere sicuri i futuri sviluppi

I vantaggi delle performance del Light Agent

Costruire e mantenere una rete virtuale richiede software specializzati e competenze che differiscono notevolmente dagli strumenti e dalla formazione necessaria per gestire una rete fisica di endpoint e di server. Troppo spesso però, le aziende utilizzano il software di sicurezza pensato per le macchine fisiche per la loro rete virtuale con conseguenze negative. Nella migliore delle ipotesi questa protezione "agent-based" porta ad uno spreco di risorse informatiche - problematica a cui cerca di dare una soluzione la virtualizzazione - e può ridurre il rapporto di consolidamento di macchine virtuali e il ROI globale di un progetto di virtualizzazione. 

Mentre gli utenti lamentano un rallentamento delle prestazioni sui loro desktop virtuali, non sanno che nella rete si nasconde una vera e propria minaccia per le macchine virtuali, un "Instant On Gap". Ovvero una finestra di tempo che si crea dopo che una macchina virtuale è stata creata e prima che gli ultimi aggiornamenti di sicurezza vengano scaricati dall'agente di sicurezza su ogni macchina virtuale.

Mentre questi aggiornamenti vengono elaborati, la macchina virtuale è vulnerabile e la durata della vulnerabilità varia a seconda del numero di utenti che stanno scaricando contemporaneamente gli aggiornamenti sulle singole VM e dei giorni necessari all’elaborazione degli stessi. Mentre questo processo di aggiornamento dei database di sicurezza sui desktop virtuali va avanti, le risorse dei server virtuali risulteranno “stanche” con conseguenti scarse prestazioni della rete e un minor rendimento degli investimenti di virtualizzazione della società. Kaspersky Security for Virtualization | Light Agent offre dei benefici che garantiscono diversi vantaggi rispetto all’approccio tradizionale agent-based. 

Nel modello light agent, quasi tutti i processi di sicurezza ad alta intensità di risorse vengono eseguiti da un dispositivo virtuale dedicato ad un livello di hypervisor. Incanalando il traffico di rete virtualizzato e i file attraverso questo dispositivo aggiornato, le VM sono completamente protette da aggiornamenti di sicurezza nello stesso istante in cui questi vengono creati e questo fa si che non sia più necessario produrre, per ogni VM, copie ridondanti di database anti-malware attraverso la rete. La scansione intelligente di Kaspersky Lab garantisce anche che lo stesso file non venga analizzato più volte, liberando le risorse aggiuntive di sistema.

Vantaggi della protezione Light Agent 

L’approccio light agent oltre ad offrire prestazioni migliori rispetto ad un approccio "agent-based", offre anche una maggiore protezione di sicurezza rispetto ad un modello "agentless". I modelli di sicurezza agentless, a livello di prestazioni, offrono il vantaggio di far svolgere il 100% delle attività di sicurezza alla macchina virtuale e ad un dispositivo virtuale dedicato, ma questo, allo stesso tempo, limita la capacità del software di eseguire attività di gestione di sicurezza avanzate e di protezione della rete sugli endpoint virtuali.

Un sistema di sicurezza agentless protegge efficacemente l'attività basata su file ma non può garantire protezione contro i nuovi malware del web, come i worm o le altre minacce avanzate in grado di penetrare i processi del sistema degli endpoint virtuali e diffondersi attraverso una rete. Questo dimostra come un approccio light agent sia in grado di fornire l'equilibrio ideale tra prestazioni e protezione. 

Kaspersky Security for Virtualization - Light Agent include un piccolo software agent su ogni macchina virtuale, molto diverso dai software di risorse monopolizzati che si trovano nel modello tradizionale agent-based. Questo piccolo agente consente grandi funzionalità di sicurezza, consentendo al Kaspersky Security for Virtualization - Light Agent di disporre di tutte le competenze nel campo della sicurezza di cui dispone Kaspersky Lab per il controllo di una rete virtuale, e la possibilità di essere distribuito senza la necessità di riavviare. Le tecnologie di protezione avanzate messe a disposizione da una soluzione light agent comprendono:

• Controlli sugli applicativi

• Controlli del dispositivo

• Policy di utilizzo del web

• Host-based Intrusion Prevention Systems (HIPS) e Firewall 

Kaspersky Security for Virtualization | Light Agent include anche tutte le funzionalità di sicurezza presenti nella soluzione agentless di Kaspersky Lab, compresa l'analisi euristica dei file e la cloud-assisted intelligence tramite il Kaspersky Security Network per le informazioni in tempo reale sulle minacce emergenti e le applicazioni dannose. Kaspersky Lab continuerà ad offrire Kaspersky Security for Virtualization | Agentless - attualmente disponibile solo per gli ambienti VMware - come soluzione efficace per i data center, i server che non accedono a Internet e quelle situazioni in cui la protezione automatica di ogni nuova VM sono di primaria importanza. 

"Spinti dalla ricerca dei nostri esperti di sicurezza la nostra missione è quella di educare le imprese sui possibili rischi della sicurezza virtuale e fornire delle valide opzioni per proteggere la propria rete" ", ha dichiarato Nikolay Grebennikov, Chief Technology Officer di Kaspersky Lab ."Non c'è soluzione che vada bene per tutte le reti, per questo Kaspersky Lab offre una combinazione di opzioni di sicurezza valide per le tre principali piattaforme virtuali del mondo cosi che i nostri clienti siano protetti e allo stesso tempo ottengano il massimo dai loro investimenti di virtualizzazione." 

Maggiori dettagli su Kaspersky Security for Virtualization | Light Agent, sono disponibili su B2B Security Blog. 

Gestione e Licenze

I prodotti per la sicurezza virtuale di Kaspersky Lab offrono una combinazione di tecnologie e sicurezza oltre che una facilità di gestione della piattaforma che nessun altro fornitore riesce a garantire. Utilizzando la console di amministrazione di Kaspersky Security Center, Kaspersky Security for Virtualization, si può gestire dalla stessa interfaccia delle soluzioni di sicurezza di Kaspersky Lab per le macchine fisiche.

Questo dà ai responsabili IT una visione completa sia della rete fisica che di quella virtuale per la gestione delle sfide alla sicurezza e delle attività quotidiane di amministrazione, senza la necessità di alternare diverse interfacce. Sia tramite Kaspersky Security for Virtualization | Agentless che tramite Kaspersky Security for Virtualization | Light Agent - o la combinazione di entrambe le applicazioni - i responsabili IT possono controllare la soluzione di sicurezza Kaspersky Lab da una console di gestione realmente unificata e gestire facilmente qualsiasi migrazione da fisico a virtuale, o da una piattaforma virtuale ad un’altra. 

Kaspersky Lab offre una licenza unificata per i suoi prodotti di sicurezza dedicati alla virtualizzazione, così le aziende che acquistano una licenza per Kaspersky Security for Virtualization avranno accesso ad entrambi i modelli Kaspersky Security for Virtualization | Agentless e Kaspersky Security for Virtualization | Light Agent. Le opzioni di licenza flessibili consentono alle aziende di acquistare licenze "per virtual machine" - che necessitano di conoscere l'esatta quantità di server virtuali e le licenze desktop necessarie - o "per core", in base al numero di core CPU nell'hardware di virtualizzazione del cliente, che permette alle imprese di espandere la propria rete, qualora fosse necessario.   

Requisiti di sistema

Kaspersky Security for Virtualization | Light Agent opera sul VMware ESXi 5.1 e gli hypervisor 5.5; hypervisor Microsoft Hyper-V Server 2008 R2 / 2012 e hypervisor Citrix XenServer 6.0.2 / 6.1. Un elenco completo dei sistemi operativi supportati per tipo di hypervisor, è disponibile visitando la pagina dedicata al prodotto Kaspersky Security for Virtualization | Light Agent. Fonte: Kaspersky

Kaspersky Lab protegge le macchine virtuali con nuovi sistemi di difesa

Kaspersky Lab ha presentato Kaspersky Security for Virtualization 2.0, l’ultima versione della soluzione di sicurezza per le macchine virtuali che utilizzano la piattaforma VMware. Grazie all’integrazione con le nuove funzioni in VMware vCloud Networking and Security, la nuova soluzione consente di offrire ulteriori funzionalità per rilevare e proteggere la rete dalle intrusioni. La protezione anti-malware del prodotto è stata significativamente migliorata grazie alle informazioni sulle minacce, fornite in tempo reale dal Kaspersky Security Network. L'architettura, look and feel e funzionalità tipiche di Kaspersky, e la suite di prodotti si comportano esattamente come ci si aspetterebbe.

Crisis: virus per Windows, Mac e smartphone che registra le conversazioni

Crisis, noto anche come Morcut, è un rootkit che infetta macchine sia Windows che Mac OS X utilizzando un falso programma di installazione di Adobe Flash Player. Scoperto nel mese di luglio da Symantec, Kaspersky ha poi riferito che arriva sul computer infetto tramite un file JAR utilizzando tecniche di ingegneria sociale. Nell'esempio portato da Sergey Golovanov di Kaspersky, il trojan Mac viene chiamato Backdoor.OSX.Morcut e viene distribuito per mezzo di un file JAR con il nome AdobeFlashPlayer.jar e firmato da VeriSign Inc.

Se l'utente consente l'esecuzione del file JAR, viene creato il file eseguibile payload.exe in una cartella temporanea e lo avvia. Tuttavia, è ora venuto alla luce che il malware può essere diffuso in quattro ambienti diversi, tra cui le macchine virtuali. Il trojan Crisis ha come obiettivi utenti Windows e Mac OS X ed è in grado di registrare le conversazioni di MSN Messenger, Skype, acquisire il traffico di messaggistica istantanea e tracciare i siti web visitati in Firefox o Safari e gli Url dei browser.

Si sviluppa attraverso attacchi di ingegneria sociale, ovvero cerca di ingannare gli utenti nell'eseguire l'applet Java dell'installer Flash di Adobe, rilevando il sistema operativo, ed eseguendo il programma trojan di installazione adeguato attraverso un file JAR. File exe aprono una backdoor che compromettere il computer. In origine, si è creduto che il malware potesse diffondersi solo su questi due sistemi operativi. Tuttavia, Symantec ha rilevato una serie di ulteriori mezzi di replica, come unità disco rimovibili, macchine virtuali e Windows Phone.

Un metodo è la possibilità di copiare se stesso e creare un file autorun.inf su un'unità disco rimovibile, un altro è quello di insinuarsi su una macchina virtuale VMware, e il modo finale è far cadere i moduli su un dispositivo Windows Mobile. Questo malware per la prima volta prende di mira le macchine virtuali, ma Symantec insiste sul fatto che questo non è dovuta a falle di sicurezza o vulnerabilità del software VMware sfruttate in sé, piuttosto il trojan Crisis sfrutta la forma di VM, che non è altro uno o più file sul disco di una macchina host.

Anche se la macchina virtuale non è in esecuzione, i file possono ancora essere montati o manipolati da codice dannoso. Takashi Katsuki scrive sul blog ufficiale di Symantec: "La minaccia ricerca l'immagine di una macchina virtuale VMware sul computer infetto e, se trova un immagine, la monta e poi si copia sulla stessa utilizzando uno strumento di VMware Player. Questo può essere il primo malware che tenta di diffondersi su una virtual machine". Symantec rileva il file JAR come Trojan.Maljava, la minaccia per Mac come OSX.Crisis, e la minaccia di Windows come W32.Crisis.

Crisis può anche attivare la webcam integrata e microfono per guardare e ascoltare, scattare screenshot istantanei di Safari e Firefox, registrare i tasti premuti, e rubare i contatti dalla rubrica della macchina. Tuttavia, vi è una buona notizia per gli utenti di dispositivi iOS e Android. Dato che usano il Remote Application Programming Interface (RAPI), questi sistemi non sono tenuti in ostaggio dalle vulnerabilità come i modelli di telefoni Windows.

"Questa variante Crisis non fa altro che, quando è eseguita su un sistema Windows, verranno montate tutte quelle immagini di unità virtuali che avete creato e poi farà una copia di quel sistema operativo all'interno del vostro sistema operativo. E' come se fosse un disco fisico come una chiavetta USB, e il malware si copia sul disco. Così, quando un utente infetto tenta di accedere a quelle immagini ancora una volta, il malware spierà senza che l'utente ne sia a conoscenza", scrive Lysa Myers sul blog di Intego.

Secondo Intego, che ha pubblicato una prima analisi Martedì a cui hanno fatto seguito ulteriori informazioni, il codice di Crisis si collega ad un software di una ditta italiana che vende un kit di strumenti di spionaggio per 245.000 dollari all'intelligence nazionale e alle forze dell'ordine. Intego ha definito Crisis come "una minaccia molto avanzata e completamente funzionale", in parte a causa del collegamento col codice del malware di origine con il software commerciale di spionaggio.

Come scrive Computer World, in una brochure di marketing [download PDF] della società italiana Hacking Team, il Remote Control System (RCS) viene descritto come "La suite di hacking per l'intercettazione del governo", che il software viene utilizzato in tutto il mondo, e si vanta che il software in grado di monitorare centinaia di migliaia di computer infetti o smartphone alla volta. Il software RCS è commercializzato dall'impresa italiana ed "è una soluzione progettata per eludere la crittografia per mezzo di un agent direttamente installato sul dispositivo per il monitoraggio".

Guarda caso, questa è una buona definizione di "malware", ed in particolare di rootkit. Se questa teoria è corretta, Crisis diventa dunque molto più pericoloso di Gauss, Mahdi, Stuxnet, Flame o Shamoon, il malware che sovrascrive il Master Boot Record. Perché mentre questi ultimi sembrano mirare al Medio Oriente, mentre Crisis non avrebbe un target geografico specifico. Il consiglio è quello di non installare il Flash Player mediante siti diversi da quello ufficiale di Adobe e di mantenere il software antivirus aggiornato alle ultime definizioni.

Vulnerabilità cross-site scripting in Skype consente controllo remoto

Una vulnerabilità cross-site scripting (XSS), che consente agli aggressori di dirottare le sessioni web è stata identificata in Skype. La debolezza XSS, simile a quella di maggio, è stata scoperta da un hacker armeno di nome Levent Kayan che ha notificato a Skype e resa pubblica sul suo blog. La vulnerabilità si trova nel client VoIP "mobile phone" ed è il risultato della validazione dell'input improprio in quel campo. La vulnerabilità di maggio permetteva agli utenti di ingannare i client Mac di Skype in esecuzione di codice arbitrario in quanto il client non controllava, o sterilizzava, i messaggi istantanei per assicurarsi che fossero liberi da codice maligno. 

Skype aveva reso noto sul suo blog di aver reso disponibile una patch di bassa priorità. "Questo nuovo aggiornamento include alcune ulteriori aggiornamenti e correzioni di bug", si legge. Al momento, l'hacker armeno ingegnere di sicurezza di "noptrix", ha affermato nella notte di Mercoledì che una vulnerabilità XSS simile esiste altrove nel software di Skype. Levent Kayan ha detto che la mancata disinfezione di alcune informazioni utente o le uscite rese nel client Skype potrebbero ancora consentire al codice di essere eseguito. Skype considera la vulnerabilità un problema minore, tuttavia sta sviluppando una patch che sarà disponibile la prossima settimana.

In particolare, Kayan sostiene che "è possibile vedere le informazioni sulle sessioni di utenti remoti", in quanto un utente malintenzionato potrebbe utilizzarli per farsi passare come l'utente remoto ed effettuare chiamate sul proprio account. La falla permetterebbe a chiunque di dirottare l'account dei propri contatti, inserendo una stringa di codice nel campo "cellulare" dell'utente. L'hack è una semplice vulnerabilità cross-site scripting, una falla nel modo in cui Skype gestisce l'input dell'utente e impedisce che venga interpretato come comandi sul computer di destinazione. 

"Questa cosa è un bug assolutamente banale ma al tempo stesso in grado di incidere macchine e gli account Skype", ha detto Kayan. L'ingegnere ha anche detto che potrebbe essere utilizzato per usufruire di altre falle, magari permettendo il pieno controllo del PC. Entrambe le ultime versioni di Windows e client Mac sono interessate. Si tratta di un cosiddetto difetto permanente di memorizzazione o XSS perché i pirati informatici possono inserire del JavaScript canaglia in campo al fine di generare una pagina definitivamente modificata. "Un utente malintenzionato potrebbe banalmente dirottare gli ID di sessione di utenti remoti e sfruttare la vulnerabilità per aumentare il vettore di attacco per il software di base e il sistema operativo della vittima", ha scritto Kayan nel suo advisory.

Secondo ZDNet, Skype non vede la vulnerabilità come un problema grave perché ci sono fattori limitanti perchè un attacco possa riuscire. Skype ha spiegato che al fine di sfruttare la vulnerabilità l'aggressore deve essere uno dei contatti della vittima con cui più frequentemente interagisce. Inoltre, le informazioni sulla sessione che possono essere ottenuti non sono legati all'account di Skype sul client, ma al sito. 

Questo significa che gli aggressori non possono effettuare chiamate in nome delle vittime, come è stato suggerito, sostiene ZDNet.  "Come potete immaginare, probabilmente qualcuno con cui avete a che fare è spesso improbabile che possa trarre vantaggio da questo bug comunque", ha detto il portavoce di Skype Chaim Haas a Forbes. Questo è vero a meno che il contatto abbia avuto il suo account dirottato. Non c'è ancora alcun segno che il bug sia stato sfruttato al di fuori dei test di Kayan. 

Ma fino a quando Skype non pubblicherà un fix, Kayan suggerisce agli utenti di essere prudenti eseguendo il programma all'interno di una macchina virtuale sul proprio computer. Oltre a questo, egli consiglia di "Non aggiungere contatti, tranne gli amici. Ma anche gli amici possono essere sfruttati". All'inizio di quest'anno, un consulente di sicurezza australiano ha individuato una vulnerabilità XSS nella finestra di chat di Skype in ingresso che potrebbe essere sfruttata per crash del client della vittima.

Rapporto Microsoft: attacchi a Java senza precedenti

Secondo il centro di protezione malware di Microsoft negli ultimi mesi sono cresciuti a dismisura gli attacchi e gli exploit contro la virtual machine di Java. Ad annunciarlo è Microsoft con un post sul blog ufficiale del Microsoft Malware Protection Center. In particolare gli attacchi contro Java hanno registrato un picco nel terzo trimestre del 2010 e sono avvenuti sfruttando tre diverse vulnerabilità.

Secondo un ricercatore Microsoft negli ultimi mesi gli attacchi a Java si sono moltiplicati a un ritmo preoccupante. L'allarme proviene dal Microsoft Malware Protection Center: sul blog ufficiale, l'organizzazione che fa capo a Redmond descrive quella che è "un'ondata senza precedenti" di attacchi ed exploit pensati per sfruttare vulnerabilità in Java. I dati provengono dalle analisi fatte per mettere assieme l'ultimo Security Intelligence Report di Microsoft, e registrano un picco degli attacchi contro Java durante il terzo quarto dell'anno 2010. 

Gli attacchi sono stati rilevati un po’ in tutti i mesi dell’anno in corso, raggiungendo un picco in particolare nell’ultimo trimestre, con tre diverse vulnerabilità (due delle quali pericolose e in grado di portare all’esecuzione non autorizzata di software sulle macchine prese di mira) ad essere entrate particolarmente nel mirino di diversi cracker. Complessivamente le vulnerabilità riscontrate da Oracle ammontano a 29, ma ben 15 di esse sono state classificate come ad altissimo rischio per la sicurezza, mentre 28 potrebbero portare ad attacchi da remoto.

Alla base del nuovo attacco mirato ad abusare della virtual machine universale di Sun-Oracle, dice Microsoft, ci sono in particolare i tentativi di exploit contro tre diverse vulnerabilità. La prima di esse, CVE-2008-5353, ha registrato oltre 3,5 milioni di tentativi di attacco su 1,2 milioni di computer. Questa falla è relativa un problema di deserializzazione delle versioni vulnerabili di JRE e consente l’esecuzione di codice remoto mediante i browser su cui è installato il componente Java e sulle piattaforme Windows, Linux e Mac OS X. La seconda vulnerabilità, CVE-2009-3867, ha registrato 2,6 milioni di attacchi su 1,1 milioni di PC ed è invece relativa ad un problema di parsing di URL “file://” che può portare all’esecuzione di codice da remoto. 

La terza, infine, CVE-2010-0094, è un problema di deserializzazione come la prima falla sfruttando il quale sono stati effettuati 213 mila attacchi su 173 mila computer. Le tre vulnerabilità sono state corrette da un’apposita patch, ma ciò non è stato sufficiente per difendere gli utenti dagli attacchi. La maggior parte degli utenti infatti non sanno di avere Java Runtime Environment attivo sul computer, non sanno quale versione viene utilizzata e non sanno come aggiornare o come attivare o disattivare questo componente all’interno del browser.

Il ricercatore Microsoft che ha diffuso la notizia, Holly Stewart, sottolinea la gravità degli attacchi in quanto Java è una piattaforma diffusa su quasi tutti i computer del mondo. Java Runtime Environment è un componente attivo in background che non si è ben disposti ad aggiornare con la stessa (alta) frequenza con cui vengono distribuiti gli update del sistema operativo, per esempio. Effettivamente non essendo un applicazione “visibile” dall'utente, ma contenuta in altre applicazioni, l'user medio, non ne comprende la “presenza” ne la funzione e di conseguenza l'importanza degli aggiornamenti. 

Oracle dovrebbe adottare l'approccio già seguito da Adobe in merito alla sicurezza dei suoi componenti per browser web, rafforzando il suo impegno nell'irrobustimento del codice e adottando uno schema di distribuzione periodica degli update di sicurezza. Sarebbe opportuna la collaborazione con Microsoft per una migliore integrazione di JRE su Windows. Tutte le vulnerabilità sfruttate sono già state corrette da Oracle, ma il rilascio di un nuovo aggiornamento purtroppo non assicura che gli utenti lo effettuino. Per ora i dati relativi degli attacchi che sfruttano Java, non sono preoccupanti, ma va considerata la crescita elevata riscontrata negli ultimi mesi.