Gli antivirus rappresentano la prima linea di difesa del perimetro aziendale e degli endpoint racchiusi al suo interno. Capire come funzionano è utile anche per comprenderne i limiti e per scegliere quello più adatto alle proprie esigenze. Ecco un’utile guida ragionata
Cosa sono gli antivirus
Con la nascita dei computer sono comparsi quasi immediatamente i virus, nella prima metà degli Anni 80 (fu Fred Cohen, nel suo saggio Computer Viruses – Theory and Experiments del 1984 a definire per la prima volta il concetto di “virus informatico”).
Nella maggior parte dei casi erano veicolati attraverso i floppy disk, che in quei tempi rappresentavano il principale mezzo per lo scambio dei dati. Non molto tempo dopo sono arrivati gli antivirus, dando inizio all’eterna lotta tra guardie (analisti e ricercatori di sicurezza) e ladri (criminal hacker) che da sempre caratterizza il mondo dell’informatica.
Il primo prodotto del genere fu messo in commercio dall’azienda tedesca G Data nell’anno 1987 e successivamente da John McAfee.
Negli anni sia i virus sia gli antivirus si sono enormemente evoluti, ma fin da allora fu subito chiaro che sarebbe stato impossibile per qualsiasi antivirus riuscire a riconoscere tutti i possibili virus che continuamente nascevano e si modificavano.
Oggi il termine Antivirus è spesso sostituito da quello di Anti-malware, che è sostanzialmente un suo sinonimo in quanto il termine malware (“software malevole”) include in modo estensivo qualunque tipo di software dannoso, tra cui anche i virus.
Antivirus e Anti-malware sono in pratica software finalizzati alla rilevazione e alla successiva eliminazione dei vari tipi di codici malevoli.
Nell’accezione “software malevoli” sono compresi, oltre ai virus, una grande varietà di malware (spyware, keylogger, trojan, adware, ransomware, rootkit, worm e via dicendo). Non li tratteremo in questa sede, soffermandoci invece sui software Anti-malware utili per contrastarli.
Come funzionano gli antivirus
Capire come funzionano gli antivirus è utile anche per comprenderne i limiti.
I primi antivirus eseguivano un controllo sostanzialmente “meccanico” basato sul controllo della firma dei virus (si definiscono appunto “signature-based”). La “signature” (firma) viene generata attraverso un algoritmo di hash, cioè una sequenza di bit (o una stringa) che rappresenta i dati da cui deriva, per la sua univocità, è paragonabile ad un’impronta digitale che individua in modo univoco un file. Si parla infatti di “fingerprint”.
Con questo funzionamento erano in grado di rilevare i virus noti, perché già presenti nel loro database delle definizioni dei virus, ma non potevano intercettare i nuovi attacchi, perché non ancora classificati.
Ogni nuovo virus deve essere prima individuato e analizzato al fine di determinarne la firma e quindi aggiunto all’elenco dei virus noti. Gli aggiornamenti dei database vengono inviati agli utenti, con una frequenza che a seconda del fornitore può essere giornaliera o addirittura di più volte al giorno.
Questa metodologia di rilevazione è inevitabilmente in ritardo, perché ci sarà sempre una finestra temporale (magari anche di un solo giorno…) entro la quale l’antivirus non sarà in grado di riconoscere il malware.
Questo problema è ulteriormente aggravato dal fenomeno del polimorfismo, ampiamente utilizzato dagli attaccanti. A questi non occorre costruire un malware ex novo, basta modificare la firma di quello esistente.
Un malware polimorfo è in grado di cifrare la propria firma ogni volta in un modo diverso, così da apparire diverso in ogni attacco. In pratica il malware trasforma un blocco di codice in un altro blocco di codice con le stesse funzionalità del precedente, ma con una fingerprint differente. I primi virus polimorfi sono comparsi all’inizio degli Anni 90.
Uno dei malware polimorfi più noti e dannosi è stato Emotet, un banking trojan identificato per la prima volta dai ricercatori di sicurezza nel 2014. Si diffonde principalmente attraverso e-mail di spam contenenti file JavaScript malevoli.
Grazie al polimorfismo, l’efficacia degli antivirus si riduce in misura importante: secondo uno studio di Malwarebytes (2017) un antivirus tradizionale non riesce a proteggere l’utente in quasi il 40% degli attacchi malware.
In conclusione: il metodo di rilevamento delle minacce basato sulla firma è utile, ma ha un’efficacia limitata. Per questo motivo gli Anti-malware moderni utilizzano anche metodi più innovativi, che puntano all’analisi dei comportamenti dannosi. In questo modo riescono a individuare attacchi non ancora noti. Questa tecnica è definita analisi euristica.
In altre parole, paragonando gli antivirus ad un’indagine di polizia, quelli tradizionali individuano il criminale perché hanno la sua impronta digitale, quelli euristici riescono a capire che è un criminale – anche se non l’hanno mai visto prima – perché lo perquisiscono e gli trovano un’arma oppure lo vedono compiere azioni sospette.
L’analisi euristica per identificare i virus
L’euristica è un insieme di strategie, tecniche e procedimenti inventivi utile a ricercare un argomento, un concetto o una teoria adeguati a risolvere un problema (dal vocabolario Treccani).
Nel caso specifico degli antivirus, è una funzionalità da utilizzare in aggiunta a quella basata sulle firme virali.
L’analisi euristica utilizzata dagli Antivirus consente di effettuare una scansione di un file eseguibile per analizzarne la struttura, il comportamento e gli attributi.
In questo modo viene sezionato ed esaminato il suo codice sorgente. Se nel codice sono presenti istruzioni tipiche dei malware, oppure una determinata percentuale del codice sorgente corrisponde a qualcosa che è già stato individuato come malevolo, il codice viene contrassegnato come possibile minaccia.
In alcuni casi, per gli Anti-malware più avanzati, si esegue anche una analisi euristica dinamica: il file sospetto viene eseguito in una sandbox (cioè, un ambiente di test isolato), per determinare senza rischio se un programma è sicuro o meno. L’esecuzione in sandbox consente di capire il comportamento del software e quali minacce potrebbe portare.
L’analisi euristica riesce ad essere molto efficace per identificare nuove minacce, ma può produrre falsi positivi bloccando un codice innocuo, o viceversa far passare un codice malevolo se non adeguatamente impostata.
Questo problema non è presente (o lo è in misura molto minore) negli antivirus basati sulle firme, che hanno un comportamento di tipo on/off, quindi molto più automatico.
La nuova generazione di antivirus
Nonostante siano un passo avanti, anche i software di analisi euristica senza firme si sono dimostrati insufficienti ad arginare le minacce informatiche sempre più evolute. Ne abbiamo prova con l’esplosione avvenuta dal 2013 e tuttora in corso dei ransomware.
La frequenza degli attacchi ransomware in questi anni, con obbiettivi colpiti a qualsiasi livello e gli enormi danni economici creati, ad esempio, dal famigerato WannaCry, dimostrano quanto i ransomware possono risultare molto difficili da individuare.
Molto spesso vengono veicolati attraverso file “dropper”, cioè file trojan di piccole dimensioni che non contengono il codice malevolo e quindi riescono più facilmente a “passare sotto i radar” (eludendo l’antivirus).
Scaricati in genere attraverso un’e-mail di phishing, una volta entrati nel sistema target sono programmati per scaricare il vero e proprio codice malevolo, connettendosi con i server C&C (Command & Control) gestiti dagli attaccanti.
Per combattere questi attacchi, gli antivirus si sono evoluti diventando veri e propri “programmi di sicurezza”, che non si possono più definire solo antivirus, ma che sarebbe più corretto chiamare Anti-malware.
La nuova frontiera della sicurezza informatica è rappresentata dall’intelligenza artificiale (AI) e dal Machine Learning (apprendimento automatico, ML).
L’AI non si limita alla mera esecuzione di una serie limitata di controlli; al contrario, analizza determinati comportamenti e ne individua le anomalie per identificare, ad esempio, un attacco ransomware.
Il machine learning è invece in grado di riconoscere comportamenti e pattern nuovi in modo da classificarli per “insegnarli” al sistema di difesa, che diventerà sempre più evoluto.
Queste tecnologie rappresentano il futuro (ormai già il presente, in realtà) e sono la soluzione ideali per la sicurezza informatica, soprattutto perché i metodi basati su firma o altri metodi manuali non sono in grado di gestire il numero e la varietà di minacce attuali.
Si tratta, insomma, di sistemi di sicurezza complessi, definiti IDS (Intrusion Detection System).
Come scegliere l’antivirus
I sistemi di protezione IDS richiedono investimenti non trascurabili e sono implementabili solo in presenza di sistemi con architettura Client-Server.
L’installazione di un programma antivirus può in genere convivere con i sistemi IDS e comunque è necessaria in ambiente Windows in assenza di questi e soprattutto quando non si abbia un’architettura Client-Server (nella quale l’antivirus può essere installato anche lato server). La convenienza è ovviamente massima se si opta per una soluzione di antivirus PC gratis.
L’offerta del mercato è molto ampia e con alcune caratteristiche comuni: nella quasi totalità dei casi i vendor offrono un software base gratuito con funzionalità limitate e pacchetti a pagamento variamente configurabili con scelta di opzioni più avanzate.
La valutazione e comparazione delle differenti offerte può essere complicata, riteniamo perciò utile fare riferimento ad un’organizzazione terza ed autorevole qual è Virus Bullettin o AV Comparatives.
Virus Bulletin non produce antivirus, ma è un portale sulla sicurezza con una rivista (Bulletin, le cui pubblicazioni vanno avanti dal 1989) nella quale i principali ricercatori in materia di sicurezza pubblicano le ultime ricerche sulle minacce più recenti, i nuovi sviluppi e le nuove tecniche nel panorama della sicurezza.
Virus Bullettin è anche un organismo di test e certificazione indipendente che, dal 1998 pubblica rapporti periodici di test che analizzano le protezioni Anti-malware (nella sezione VB100), quelle per la sicurezza delle e-mail (VBSpam) e Web (VBWeb) a livello aziendale.
I prodotti antivirus che riescono a rilevare almeno il 99,5% dei campioni di malware elencati nella sezione “In the Wild” della WildList Organization ed a generare non più dello 0,01% di falsi positivi ottengono la certificazione VB100. Attualmente i test vengono effettuati su sistemi Windows 10 e Windows 7.
L’antivirus anche per il Mac
Partiamo da un dato di fatto: i Mac non sono immuni da attacchi, anche se rappresentano un bersaglio molto meno allettante per malware e virus.
Il motivo è dovuto alla minore diffusione dei computer Apple: secondo quanto riportato da Netmarketshare, Windows, nelle varie versioni detiene circa 87,5% del mercato mondiale, MacOS ha il 9,7% e Linux il 2,2%. È naturale che gli attaccanti mirino soprattutto al bersaglio grosso rappresentato da Windows.
Ma la domanda che è lecito porsi è: serve un antivirus sul Mac?
La prima e principale risposta è che “l’antivirus principale è l’utente stesso”, perché è vero che esistono malware per Mac, ma il loro successo dipende tipicamente da un’azione da parte dell’utente: in genere lo scaricamento di un software da fonte non sicura o da un allegato ad una mail, oppure la comunicazione delle credenziali (username e password). Queste azioni improvvide rischiano di vanificare qualsiasi strumento di protezione.
Il Mac è un sistema piuttosto robusto, ma nessuna porta blindata può essere efficace se siamo noi ad aprire la porta al ladro.
Fonti
La tua opinione conta
Cosa ne pensi di questo articolo?
Se sei arrivato a questo punto facci sapere che cosa ne pensi dell’articolo lasciando un commento.
Comments