Last Updated on January 31, 2011

Il titolo di questo post non è tratto da una commedia cinese, ma rappresenta la mia personale interpretazione di una notizia che in questi giorni riecheggia tra i forum di sicurezza informatica.

Come abbiamo commentato tra le previsioni per il 2011, gli Advanced Persistent Threat e le vulnerabilità saranno tra i fattori di rischio informatico maggiormente al centro dell’attenzione per l’anno corrente, turbando i già poco tranquilli sonni dei professionisti di sicurezza informatica,

A tranquillizzarli potrebbe pensarci Intel, il colosso di Santa Clara, il cui CTO e direttore dei laboratori, Justin Rattner, in una intervista bomba, ha dichiarato che il gigante dei processori sta lavorando ad una tecnologia rivoluzionaria in grado di eliminare gli attacchi che sfruttano le vulnerabilità 0-day, ovvero quelle vulnerabilità per cui, nel momento di azione dell’exploit, non è ancora disponibile una pezza patch. La misteriosa tecnologia, interamente in Hardware, potrebbe addirittura essere presentata entro la fine dell’anno e utilizzerà un approccio completamente nuovo non basato su signature (ovvero pattern di comportamento noti), poiché, come prevedibile, un approccio tradizionale basato su impronte comportamentali conosciute per analizzare le applicazioni sospette, non è in grado di contrastare in alcun modo minacce sconosciute.

Sembra che Intel stesse già lavorando segretamente a questa tecnologia, ancora prima dell’acquisizione di McAfee (che ha da poco ricevuto il semaforo verde da parte della Comunità Europea): questo spiegherebbe il motivo per cui il principale produttore di processori abbia improvvisamente deciso di fare shopping nel supermercato della sicurezza: l’apparente inopinato ingresso del patrimonio tecnologico McAfee tra la proprietà intellettuali del Gigante di Santa Clara avrebbe avuto lo scopo di portare all’interno della tecnologia top secret, ulteriore know-how da parte di uno dei principali produttori di sicurezza anti-malware.

D’altro canto, questo strano matrimonio d’interesse (o meglio d’Intelesse) è sempre stato considerato strategicamente confuso da parte degli analisti, divisi tra una spiegazione riconducibile ad una focalizzazione di Intel nel mondo del mobile con la conseguente realizzazione di soluzioni di sicurezza integrate (per le quali McAfee possiede un portafoglio di soluzioni, frutto di acquisizioni, estremamente evoluto e capillare) ed una spiegazione riconducibile al desiderio di integrare soluzioni di sicurezza all’interno del processore.

In virtù delle nuove rivelazioni, il quadro propenderebbe per una terza ipotesi a metà tra le due precedentemente citate: il colosso di Santa Clara sarebbe già stato al lavoro per una tecnologia di sicurezza rivoluzionaria, basata su hardware, mirata a contrastare le minacce 0-day, e applicabile a qualsiasi tipo di dispositivo inclusi i terminali mobili (Intel stava cioè sviluppando la forma della tecnologia), e avrebbe fornito alla propria tecnologia know-how prezioso acquisendo uno dei principali produttori di soluzioni di sicurezza informatica (ovvero garantendo il contenuto alla propria tecnologia).

In questo scenario, potremmo veramente essere di fronte a una killer application per il panorama della sicurezza informatica, capace di cambiare le regole del gioco, come dicono i suoi creatori, anche se da parte di molti permane il dubbio se un approccio di tipo hardware possa garantire le necessarie dinamicità e flessibilità contro le minacce sconosciute, per contrastare le quali la concorrenza (Symantec, Kaspersky e Trend Micro in primis), utilizza un approccio di classificazione dinamica basato sul cloud al quale vengono inviati i file anomali rilevati dalla propria base di prodotti installata in tutto il globo.

Ad ogni modo i commenti della concorrenza non si sono fatti attendere. Per prima Sophos, tramite un articolo del proprio blog ha laconicamente liquidato la notizia con la battuta:

Intel to eliminate zero-day threats, pigs to fly

Ovvero letteralmente: “Intel sta per eliminare le minacce 0-day, i maiali stanno per volare”. Nel suo articolo il produttore inglese riconosce il possibile interesse per la tecnologa classificandola tuttavia più come una eventuale architettura su cui potranno poggiarsi i sistemi operativi per innalzare il livello di sicurezza, piuttosto che una tecnologia definitiva. Non senza aver acidamente sottolineato l’eccessivo clamore sollevato dall’annuncio, Sophos conclude che alla fine la tecnologia provocherà soltanto qualche emicrania in più agli hacker ma non sarà la panacea contro le minacce sconosciute.

La speranza, comunque, è che l’emicrania venga tolta ai professionisti della sicurezza informatica, che potrebbero avere una freccia in più nel proprio arco e di conseguenza dormire sonni più tranquilli tendendo nel comodino, accanto alle proverbiali tisane tranquillanti, un bel processore Intel.