Che cos'è il malware di reverse engineering?
Il malware di reverse engineering è un processo che i professionisti della sicurezza possono utilizzare per saperne di più su come funziona un malware in modo da poterlo combattere. Usano un sistema informatico attentamente controllato per vedere cosa fa il malware quando è attivo, usando queste informazioni per mettere insieme il metodo di costruzione e il meccanismo di azione. Queste informazioni sono utili per rimuovere il malware dai computer infetti, aggiornare il software antivirus, ripristinare i file danneggiati o preparare materiale per la testimonianza forense.
Le aziende di antivirus hanno interesse per il reverse engineering del malware perché vogliono mantenere aggiornato il loro software e hanno bisogno di saperne di più sulle tendenze emergenti nella progettazione di virus e malware. I loro ingegneri lavorano nei laboratori istituiti per questo scopo. L'ingegnere può infettare un computer, osservare l'azione del software, modificare i parametri e decostruire il design del software. Oltre allo studio del codice non elaborato, l'ingegnere potrebbe anche avere interesse a vedere cosa fa il software in vari ambienti e come cambia nel tempo.
Al termine, può cancellare il computer per ripristinare lo stato originale e utilizzerà le informazioni della sessione di reverse engineering per progettare un aggiornamento del software antivirus e generare informazioni che gli ingegneri utilizzeranno nelle future progettazioni del software. L'ingegnere può anche informare il produttore di un sistema operativo se una falla di sicurezza sembra essere vulnerabile da sfruttare in futuro. Il malware di reverse engineering fa anche parte dello sviluppo di software e prodotti per le società di software, inclusi i produttori di sistemi operativi.
Gli ingegneri informatici potrebbero anche essere interessati al malware di reverse engineering come parte del processo di pulizia di un computer o di una rete infetti. Queste informazioni sono necessarie per assicurarsi che il software dannoso sia completamente eliminato dopo la pulizia e può anche essere utile per affrontare i problemi di sicurezza. Se il software ha sfruttato un punto vulnerabile nel firewall di una rete, ad esempio, il reverse engineering lo mostrerà e fornirà informazioni su come risolvere la vulnerabilità.
Le forze dell'ordine possono anche praticare il reverse engineering per saperne di più sul malware. Queste informazioni possono essere utili per gestire i computer infetti in loro custodia, condurre indagini forensi e sviluppare prove per perseguire un creatore di malware. Nella testimonianza forense, uno scienziato informatico dovrà essere in grado di parlare di malware di reverse engineering per determinare la sua struttura e funzione in un linguaggio che un giudice e una giuria possano chiaramente comprendere. Ciò richiede una profonda conoscenza dell'informatica e delle comunicazioni e un testimone convincente può essere uno strumento prezioso nel corso di una sperimentazione relativa al malware.