Antivirus

L’antivirus rappresenta la prima linea di difesa contro le minacce informatiche: per questo, da sempre, la regola di base della sicurezza informatica è l’installazione e il continuo aggiornamento del software di controllo installato sul proprio computer.

Disponibile anche in versione gratuita e multi-dispositivo e multi-piattaforma (PC, Mac, Android e iPhone/iPad), l’antivirus offre una protezione completa per i PC aziendali da tutte le minacce online, inclusi siti Web contraffatti e ransomware.

Nel caso dei siti Web contraffatti, in particolare, viene eseguita la scansione di quelli visitati dall’utente per rilevare eventuali rischi per computer e telefoni cellulari, consentendo di effettuare acquisti e operazioni bancarie in tutta sicurezza da qualsiasi dispositivo.

Molto importante è la possibilità di utilizzare una piattaforma centralizzata che permette di supervisionare, gestire e bloccare le eventuali minacce.

 

 

  • Cosa sono gli antivirus

Con la nascita dei computer sono comparsi – quasi immediatamente – i virus, nella prima metà degli Anni 80 (fu Fred Cohen, nel suo saggio Computer Viruses – Theory and Experiments del 1984 a definire per la prima volta il concetto di “virus informatico”). Nella maggior parte dei casi erano veicolati attraverso i floppy disk, che in quei tempi rappresentavano il principale mezzo per lo scambio dei dati. Non molto tempo dopo sono arrivati gli antivirus, dando inizio all’eterna lotta tra guardie (analisti e ricercatori di sicurezza) e ladri (criminal hacker) che da sempre caratterizza il mondo dell’informatica.

Il primo prodotto del genere fu messo in commercio dall’azienda tedesca G Data nell’anno 1987 e successivamente da John McAfee.

Negli anni sia i virus sia gli antivirus si sono enormemente evoluti, ma fin da allora fu subito chiaro che sarebbe stato impossibile per qualsiasi antivirus riuscire a riconoscere tutti i possibili virus che continuamente nascevano e si modificavano.

Oggi il termine antivirus è spesso sostituito da quello di antimalware, che è sostanzialmente un suo sinonimo in quanto il termine malware (crasi delle parole “malicious software”) include in modo estensivo qualunque tipo di software dannoso, tra cui anche i virus.

Antivirus e antimalware sono in pratica software finalizzati alla rilevazione e alla successiva eliminazione dei vari tipi di codici malevoli.

 

  • Come funzionano gli antivirus

Capire come funzionano gli antivirus è utile anche per comprenderne i limiti.

I primi antivirus eseguivano un controllo sostanzialmente “meccanico” basato sul controllo della firma dei virus (si definiscono appunto “signature-based”). La “signature” (firma) viene generata attraverso un algoritmo di hash e, per la sua univocità, è paragonabile ad un’impronta digitale che individua in modo univoco un file. Si parla infatti di “fingerprint”.

Con questo funzionamento erano in grado di rilevare i virus noti, perché già presenti nel loro database delle definizioni dei virus, ma non potevano intercettare i nuovi attacchi, perché non ancora classificati.

Ogni nuovo virus deve essere prima individuato e analizzato al fine di determinarne la firma e quindi aggiunto all’elenco dei virus noti. Gli aggiornamenti dei database vengono inviati agli utenti, con una frequenza che – a seconda del fornitore – può essere giornaliera o addirittura di più volte al giorno.

Questa metodologia di rilevazione è inevitabilmente in ritardo, perché ci sarà sempre una finestra temporale (magari anche di un solo giorno…) entro la quale l’antivirus non sarà in grado di riconoscere il malware.

Questo problema è ulteriormente aggravato dal fenomeno del polimorfismo, ampiamente utilizzato dagli attaccanti. A questi non occorre costruire un malware ex novo, basta modificare la firma di quello esistente.

Un malware polimorfo è in grado di cifrare la propria firma ogni volta in un modo diverso, così da apparire diverso in ogni attacco. In pratica il malware trasforma un blocco di codice in un altro blocco di codice con le stesse funzionalità del precedente, ma con una fingerprint differente. I primi virus polimorfi sono comparsi all’inizio degli Anni 90.

Uno dei malware polimorfi più noti – e dannosi – è stato Emotet, un banking trojan identificato per la prima volta dai ricercatori di sicurezza nel 2014. Si diffonde principalmente attraverso e-mail di spam contenenti file JavaScript malevoli.

Grazie al polimorfismo, l’efficacia degli antivirus si riduce in misura importante: secondo uno studio di Malwarebytes (2017) un antivirus tradizionale non riesce a proteggere l’utente in quasi il 40% degli attacchi malware.

In conclusione: il metodo di rilevamento delle minacce basato sulla firma è utile, ma ha un’efficacia limitata. Per questo motivo gli antimalware moderni utilizzano anche metodi più innovativi, che puntano all’analisi dei comportamenti dannosi. In questo modo riescono a individuare attacchi non ancora noti. Questa tecnica è definita analisi euristica.

In altre parole, paragonando gli antivirus ad un’indagine di polizia, quelli tradizionali individuano il criminale perché hanno la sua impronta digitale, quelli euristici riescono a capire che è un criminale – anche se non l’hanno mai visto prima – perché lo perquisiscono e gli trovano un’arma oppure lo vedono compiere azioni sospette.