Antivirus
Da Wikipedia, l'enciclopedia libera.
Un antivirus è un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi come worm, trojan e dialer.
[modifica] Funzionamento
Il suo funzionamento si basa principalmente sulla ricerca nella memoria RAM o all'interno dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus è composto da un numero ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che cercare se questa sequenza è presente all'interno dei file o in memoria). Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus è in grado di riconoscere effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli utenti e da gruppi specializzati nell'individuazione di nuovi virus.
Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente).
[modifica] Parti che compongono l'antivirus
Con il termine antivirus in realtà si intendono più parti differenti, alcune indipendenti tra di loro:
- il file (o i file) delle firme: file che contiene tutte le firme dei virus conosciuti. Questa parte è fondamentale ed essenziale per il funzionamento corretto di qualsiasi altro componente
- il binario in grado di ricercare il virus all'interno dell'elaboratore. Questo componente è l'antivirus vero e proprio
- il binario che rimane residente e richiama l'antivirus ogni qual volta viene creato/modificato un nuovo file o viene modificata una zona di memoria per controllare che il computer non sia stato infettato con questa operazione
- il binario che effettua gli update del file delle firme e di tutti i binari dell'antivirus
Nota: alcuni software antivirus possono essere sprovvisti di una o di entrambe le parti 3 e 4
[modifica] Limiti di un antivirus
Bisogna ricordare che l'antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i nuovi virus (per nuovi si intende sia virus che il proprio antivirus non conosce che quelli che non sono ancora stati scoperti) possono passare completamente inosservati e fare tutto quello che vogliono senza che l'antivirus intervenga. Inoltre l'antivirus riesce ad intercettare il virus soltanto quando questo è entrato all'interno del computer e quindi ha già infettato un file o la memoria; a questo punto, a seconda del virus, può "disinfettare" il file o la memoria eliminando completamente il virus o in alcuni casi è costretto a mettere in "quarantena" il file contagiato ed a eliminarlo per l'impossibilità di recuperare il file originario.
L'antivirus inoltre è un grande utilizzatore delle risorse del computer e se viene lanciato in background ogni volta che viene acceso il computer può comportare un forte rallentamento soprattutto nelle fasi iniziali (perché controlla prima tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale rallentamento è presente anche in tutte le fasi in cui si scrive su disco anche se qui può risultare più trascurabile. Per questi motivi l'antivirus affretta l'obsolescenza del proprio computer creando la necessità di aggiornarne alcune parti o prenderne uno nuovo per ottenere delle prestazioni che siano accettabili per l'utente.
Occorre aggiornare continuamente l'antivirus per evitare che virus già riconosciuti dall'antivirus che si è scelto possano infettare il proprio PC. La scelta di un antivirus è una cosa molto complessa anche perché antivirus diversi possono riuscire a rintracciare e quindi a controllare i nuovi virus prima di altri.
La scoperta di un nuovo virus dipende molto da quanto è "infettivo", più un virus si propaga velocemente e più veloce e semplice è individuarlo e quindi aggiornare le firme; se invece il virus tende ad essere molto poco "infettivo" e tende a rimanere localizzato soltanto in una certa area può passare un tempo relativamente lungo prima che venga intercettato e aggiunto alle firme.
È successo più volte che un antivirus considerasse dei file o programmi come virali anche se in realtà non lo erano. Questo è dovuto al fatto che un insieme di istruzioni (od una sua piccola variante) che compongono un virus (od una sua parte) può essere presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati salvati non in formato testo. Il problema principale è che si può non riuscire ad eseguire questo programma od aprire il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o rovinato in modo irreparabile nel frattempo.
Ci sono numerosi metodi per criptare e compattare codice malevolo rendendolo così non rintracciabile da un antivirus; su questo fronte molti antivirus non sono attrezzati e riescono a fare ben poco, ma anche gli altri possono non essere in grado di rilevare un file infetto se non quando questo entra in esecuzione: il virus viene scompattato in RAM per essere eseguito e solo in questo momento l'antivirus sarà in grado di rintracciarlo.
Infine le compagnie che creano i software antivirus possono avere un incentivo finanziario molto forte a far sì che nuovi virus vengano creati continuamente e che il panico nel pubblico generi un continuo ricorso all'aggiornamento dei loro software. Questa è uno delle accuse che da varie parti vengono rivolte ai produttori di antivirus, anche se in realtà non vi attualmente è nessuna prova che convalidi tale tesi.
[modifica] Il firewall: ulteriore protezione contro i virus
Per quello che si è detto si capisce che per avere un sistema sicuro l'antivirus non è affatto sufficiente, occorre una protezione ulteriore: il firewall. Un firewall permette, se ben configurato ed usato correttamente, di bloccare i virus, anche se non conosciuti, prima che questi entrino all'interno del proprio computer e volendo permette anche di bloccare all'interno alcuni virus presenti nel proprio computer evitando così di infettare la rete a cui ci si è collegati. Un firewall quindi può essere uno strumento aggiuntivo che impedisce ad un virus di infettare la macchina prima che possa essere individuato dall'antivirus (con la possibile perdita del file infetto) ed inoltre permette di nascondere parzialmente o totalmente la macchina sulla rete evitando attacchi dei cracker o degli stessi virus.
[modifica] Antivirus e sistemi operativi
Con l'avvento di internet l'antivirus è diventato uno strumento quasi indispensabile per i sistemi operativi rilasciati da Microsoft, mentre altri sistemi ne risultano quasi immuni; per questo motivo la maggior parte degli antivirus sono realizzati per questo sistema operativo. Negli ultimi anni sono stati prodotti antivirus anche per altri sistemi, di solito usati come server, per poter controllare il flusso di dati, soprattutto e-mail, che poi finiranno sui computer desktop degli utenti che usano prodotti Microsoft.
La causa di una così alta diffusione dei virus su questa piattaforma è dovuta principalmente alla sua diffusione, sia per la più facile proliferazione, sia perché chi vuole creare un virus tende a farlo per il sistema operativo più diffuso. Inoltre alcuni sistemi operativi non Microsoft sono visti dalla maggior parte degli utenti come più difficili da usare e quindi tendono ad essere usati da utenti più esperti con maggiore dimestichezza nell'affrontare i possibili problemi.
È vero che sui sitemi operativi derivati da UNIX, come Linux o Mac OS, la diffusione dei virus è in linea teorica molto più ostacolata soprattutto dalla gestione delle utenze che tende a far eseguire programmi da utenti con pochi privilegi, limitando dunque i danni che potrebbero scaturire dall'esecuzione di un codice malevolo; risulta quindi molto più difficile che questa operazione causi una compromissione del sistema operativo come invece accade spesso nei sistemi Microsoft.
[modifica] Antivirus e programmi
I programmi che maggiormente permettono la diffusione dei virus sono i client di posta elettronica ed i browser, questo perché questi due programmi sono l'accesso diretto a due funzionalità indispensabili in internet: la posta e la navigazione.
Un'altra tipologia di software informatico molto colpito dai virus è quella composta dai file di dati ricavati con microsoft office. In questa suite è possibile creare all'interno dei file delle istruzioni (macro) che eseguono date funzionalità in modo automatico o sulla pressione di una determinata combinazione di tasti. Molti virus writer sfruttano questa "potenzialità" per allegare delle macro che sono in realtà dei virus.
In generale i virus sfruttano delle vulnerabilità nei sistemi informatici, usando a volte - in modo automatico - tecniche di penetrazione sviluppate dai cracker. Diverse organizzazioni, oltre ai produttori di software antivirus, si occupano di raccogliere le segnalazioni di vulnerabilità o attacchi, e renderle pubblicamente disponibili; tali organizzazioni sono normalmente note con l'acronimo di CERT ("Computer Emergency Response Team", squadra di risposta alle emergenze informatiche).
[modifica] Client di posta
Tra i client di posta spicca l'uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi microsoft; naturalmente anche altri client di posta, se funzionanti su sistema microsoft, non sono immuni o totalmente immuni dall'essere un veicolo usato dai virus. Outlook Express unito all'inesperienza dell'utente, è forse la prima forma di diffusione di alcuni tipi di virus. Outlook Express per default memorizza tutti gli indirizzi E-Mail dai contatti prelevati in modo automatico da tutte le mail ricevute o spedite, questo fa si che se un utente si iscrive, per esempio, ad una mailing list può alla fine avere un insieme di indirizzi di dimensioni considerevoli; questa base di dati viene sfruttata dai virus per spedire delle mail e per cercare di espandere l'infezione. I virus di ultima generazione sfruttano questi elenchi di indirizzi per nascondere il vero mittente, prendendo a caso due indirizzi e facendo risultare uno come mittente e l'altro come destinatario. Il problema di base è dovuto all'utente che apre ed esegue gli allegati anche di mail che sono palesemente portatrici di virus, ma anche i buchi presenti in questi software hanno la loro parte. Per esempio Outlook Express ha sofferto di svariati buchi molto critici che permettevano, per esempio, l'esecuzione del virus appena la mail era ricevuta all'interno del proprio client (quindi senza aprirla) o appena la si apriva (nella firma è possibile inserire delle istruzioni, istruzioni usate per attivare il virus).
Naturalmente la prima causa di diffusione dei virus tramite i client di posta è l'esecuzione degli allegati e qui non esiste un client di posta che possa impedire la diffusione del virus se l'antivirus non riesce ad intercettarlo prima.
[modifica] Browser
Anche i browser possono essere un veicolo per l'infezione, basta che vi sia un buco sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft l'utente si trova installato internet explorer e, anche a causa della sua diffusione, risulta proprio questo browser il più soggetto a questi tipi di attacchi, tanto che ultimamente è stato consigliato da più fonti di usare altri browser soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).
[modifica] Client IRC e IM
I clienti dei sistemi di messaggistica immediata posseggono la capacità di inviare e ricevere file ed inoltre spesso sono dotati di un linguaggio di scripting che è stato spesso sfruttato per diffondere virus, backdoor e dialer. L'uso di questi programmi deve tenere in gran conto che il corrispondente che offre un file non corrisponde sempre necessariamente ad una persona, dal momento che molti virus si diffondono automaticamente. È consigliabile rifiutare gli invii a meno che non si abbia effettivamente richiesto o si desideri qualcosa da un utente conosciuto e non si abbia la protezione di un antivirus che effettua l'esame dei file, anche compressi, in tempo reale.
[modifica] Possibile strategia per limitare al minimo i rischi di contagio
La strategia che si può suggerire può essere suddivisa nei seguenti punti:
- informarsi su cosa è un virus, un antivirus ed un firewall; consultare vari manuali reperibili anche on-line per capire abbastanza a fondo il problema
- informarsi su come funziona il proprio sistema operativo, il proprio client di posta ed il proprio browser in caso di "attacco" di virus, per poter capire quali sono le operazioni che permettono di limitare al minimo i rischi di contagio
- quando si naviga in internet evitare di scaricare eseguibili e soprattutto di eseguirli senza avere la certezza assoluta che la fonte è attendibile. Se l'antivirus dichiara che non ha rilevato nessun virus sul binario scaricato, questo non vuol dire che non è contagiato, infatti potrebbe contenere un nuovo virus o magari il vostro antivirus non è aggiornato
- quando si naviga su internet evitare di scaricare add-on ai propri programmi di navigazione se non si è più che sicuri della fonte
- quando si naviga in internet evitare di andare su siti che soprattutto offrono gratis cose che in realtà sono a pagamento, perché molte volte queste pagine cercano di sfruttare buchi presenti nel proprio browser per: installarvi un virus, reperire informazioni salvate sul vostro PC (esempio la carta di credito se fate acquisti on-line) o semplicemente permettere al cracker che ha costruito quel sito di prendere possesso da remoto del vostro computer
- quando si riceve una e-mail da uno sconosciuto, soprattutto se ha un allegato, è sempre meglio eliminarla e mai aprire l'allegato od eseguirlo; se la mail arriva da un vostro conoscente ed ha un allegato non previsto o inaspettato magari chiedere conferma se l'ha spedito effettivamente lui
- quando si ricevono mail con file eseguibili, magari spedite da un proprio conoscente, conviene sempre evitare di eseguirli. È meglio perdersi un filmato od un giochino divertente che vedere il proprio computer compromesso e doverlo reinstallare o far reinstallare da zero, magari perdendo tutti i lavori in esso contenuti
- quando si spediscono e-mail evitare di includere messaggi in formato ms-office, ma spedirli in formato testo o altro formato non contenente macro; richiedere che anche i propri conoscenti facciano lo stesso quando vi spediscono delle mail a voi
- abilitare, in ms-office, la richiesta per l'esecuzione delle macro; in questo modo sarà possibile sapere se il file contiene delle macro ed impedirne l'esecuzione.
- evitare di eseguire programmi non originali o per cui non è possibile controllarne la non compromissione (per esempio per tutti i file è possibile associare vari codici di protezione che permettono di identificare se il pacchetto è stato modificato da altri. Il più semplice di questi è l'MD5)
- informarsi di quali sono i prodotti che nella storia recente hanno mostrato maggiori falle e permesso un più semplice contagio da parte degli ultimi virus e se possibile sostituirli all'interno del proprio elaboratore con programmi simili, ma che risultano più sicuri
- controllare costantemente gli aggiornamenti di sicurezza per tutti i prodotti che si affacciano direttamente alla rete (sistema operativo, browser, client di posta, client irc, ...)
[modifica] Metodi di distribuzione e commercializzazione
Per la necessità di provvedere ad un continuo e costante aggiornamento (degli schemi virali ed eventualemnte anche del software stesso) per far fronte ai nuovi virus e vulnerabilità man mano diventano presenti, la commercializzazione di software antivirus richiede notevoli spese ed investimenti da parte delle case produttrici. Pertanto vengono distribuiti e commecializzati con sistemi classici a pagamento e con licenza chiusa e proprietaria (da negozi e successivamente da siti internet) o al limite come shareware, mentre è molto più difficile che vengano distribuiti con licenze più libere e gratuite.
Recentemente alcune case produttrici hanno iniziato a rilasciare versioni utilizzabile gratuitamente dei propri prodotti con però delle limitazioni rispetto alla versione completa a pagamento, sia per quanto riguarda alcuni funzioni che sono disattivate, tanto per quanto riguarda l'utilizzabilità solo per uso personale da parte di privati (e non di ditte, organizzazioni, ecc.).
Tra le versioni gratuite di antivirus vi sono: AntiVir Personal Edition , Avast! Home Edition e AVG Free Edition .
Clam AntiVirus (ClamAV per sistemi Unix e dirivati, ClamWin per sistemi Windows e ClamXav per sistemi Mac OS X) è software libero distribuito sotto la licenza GPL.
[modifica] Elenco di programmi antivirus
Vedasi Elenco di programmi per computer#Antivirus, antispyware, firewall e similari
[modifica] Compagnie produttrici di prodotti antivirus
- Aladdin Knowledge Systems
- Alwil
- Avira Antivir
- Computer Associates
- ClamAV
- Eset
- Frisk Software
- F-Secure
- GeCAD
- Grisoft
- Hauri
- H+BEDV
- Kaspersky
- McAfee
- Mks
- Norman
- Panda Software
- SOFTWIN
- Sophos
- Stiller Research
- Symantec
- TG Soft
- Trend Micro
- BullGuard Antivirus
[modifica] Organizzazioni che forniscono test per il proprio sistema
Queste organizzazioni forniscono la scansione di virus e programmi correlati. Esse hanno diversi livelli che indicano la protezione che il software installato fornisce al sistema.
- AV-Comparatives: Av-Comparatives
- AV-Test GmbH: AV-T
- C.R.A.M. Centro Ricerche Anti Malware: Tgsoft
- ICSA Labs: ICSA Labs
- Virus Bulletin: Virus Bulletin
- Trend Micro: Trend Micro
