di  -  giovedì 5 marzo 2009

AntivirusÈ di pochi giorni fa la notizia della pubblicazione di un report della società di sicurezza Damballa secondo cui dal 3% al 5% di tutti i sistemi enterprise sono infetti da malware che li rende membri di grosse botnet (computer zombie, quindi). Il report prosegue poi affermando che mediamente trascorrono 54 giorni dal momento in cui un virus viene rilasciato e quello in cui il nostro antivirus riceve la signature (firma) per riconoscerlo, che circa la metà dei malware non sono stati riconosciuti come tali nel momento in cui sono giunti sul sistema testato, e che a distanza di 180 giorni da quel momento ancora ben il 15% di loro risultava non identificato.

Lo studio si basava su sei mesi di test e circa 200.000 campioni di virus sottomessi al McAfee Scan Engine 5.3. Ovviamente l’azienda sfrutta questo report per poi proporre il suo magico rimedio, ma ritengo comunque buona l’attendibilità dei dati, peraltro in linea con indagini passate.

Visto che è un tema sempre caldo, vorrei cogliere quest’occasione per discutere, in maniera, per forza di cose, coincisa, su quale sia la reale efficacia di un software antivirus.

Premetto che, per semplicità e comodità, quando in questo articolo leggerete il termine virus, non sarà da intendersi in senso stretto bensì come sinonimo di malware, ovvero un generico agente software malevolo.

Vorrei iniziare con una riflessione che dovrebbe essere abbastanza ovvia. Quando si legge di un antivirus che si fregia di un’efficacia del 98% (dato ovviamente parziale, gonfiato e manomesso) significa che circa il 2% dei virus che gli vengono sottomessi non sono riconosciuti. Sapete quanti virus vengono rilasciati ogni mese? Alcune decine di migliaia. Ciò significa che alcune centinaia di virus ogni mese potrebbero infettare con facilità il nostro sistema.

D’altro canto la situazione reale è addirittura meno rosea, e per scoprire il vero tasso d’efficacia degli antivirus basta guardare le statistiche e i report che AV-comparatives pubblica ormai da alcuni anni. In quello di novembre 2008 sono stati presi in considerazione 16 tra gli antivirus più diffusi e il migliore di essi ha riconosciuto soltanto il 70% (peraltro con un numero di falsi positivi assai elevato) dei virus sottopostigli, mentre i due peggiori un misero 20% circa; la media tra tutti è un po’ al di sotto del 50%. I dettagli guardateli voi, non mi interessa fare nomi di prodotti in questo momento.

Quest’estate si è invece svolta la Race to Zero, ovvero una competizione presso il Defcon, il più importante raduno hacker al mondo, dove i partecipanti dovevano modificare una serie di malware, forniti dagli organizzatori, per renderli non riconoscibili a una ricca serie di antivirus; la gara era suddivisa in diversi round di difficoltà crescente, vinti man mano da chi per primo rendeva i virus irriconoscibili a tutti gli antivirus.

Il contest è stato poi vinto da un team che in sei ore ha passato tutti e nove i round rendendo virus ed exploit molto famosi e pericolosi totalmente irriconoscibili per tutti gli antivirus.

Iniziative come questa hanno il merito di destare i vendor dei prodotti di security dal sonno beato che spesso li intorpidisce e gli impedisce di innovare.

Sono parecchi anni che si parla della scarsa efficacia delle attuali soluzioni antivirus, ma ben poco è stato fatto. Negli ultimi tempi i principali produttori hanno affiancato al classico approccio signature-based, un approccio euristico. In poche parole l’antivirus non analizza più solo l’”impronta digitale” del malware, bensì adotta due tipi di analisi ben più concrete: da un lato si cerca di capire staticamente quali istruzioni contiene il virus (se un software contiene istruzioni per eliminare file importanti è quantomeno sospetto), dall’altro si fa girare l’agente malevolo in un ambiente virtuale minimale al fine di analizzarne il comportamento quando in esecuzione.

Entrambi i metodi hanno però una quantità di falsi positivi abbastanza elevata ma soprattutto esistono numerose tecniche anti-antivirus per renderne difficile l’applicabilità. I virus più sofisticati sono in grado di capire quando girano in un ambiente virtuale (peraltro, i ricercatori sono soliti usare macchine virtuali come VMware per analizzare i malware) e non su un computer vero e proprio, così da modificare il loro comportamento per non farsi riconoscere e analizzare.

Inoltre, esistono tool appositi, detti packer, per rendere invisibili agli antivirus i malware, anche già noti, grazie a processi di compressione e/o criptazione (offuscamento). Ovviamente poi sono stati inventati gli unpacker, usati dai ricercatori per poter analizzare normalmente il virus.

Il polimorfismo di un virus consiste invece nel avere il corpo criptato e nel portarsi dietro una funzione di decriptazione che cambia per ogni sistema infetto, in modo che non vi siano parti statiche nel virus su cui gli antivirus possono costruire le proprie signature.

Tutto questo è stato la linfa fitale per i partecipanti del Race to Zero contest. Per chi volesse una visione approfondita di alcune tecniche di anti-emulation e anti-debugging consiglio questo articolo.

C’è poi da notare l’evoluzione che il malware in generale ha avuto negli anni: agli inizi l’infenzione di un virus era piuttosto evidente dagli strani comportamenti che poteva avere il computer vittima, oggigiorno i virus cercano invece di essere il più invisibili possibili. Cercano di passare inosservati perché non sono più dei ragazzini divertiti a scriverli, ma sono persone (magari anche sempre adolescenti) che hanno spesso a che fare col crimine informatico vero e proprio e quindi con la ricerca del profitto.

Personalmente definirei quantomeno ingenuo e borioso chi afferma “Io non ho un antivirus eppure il mio PC non è mai stato infetto, basta fare un po’ di attenzione”. Prima obiezione ovvia: come può sapere se il suo computer sia infetto o meno? È poi vero che fare un minimo di attenzione in più riduce sensibilmente la possibilità di prendersi un malware di qualche tipo, ma le loro vie di diffusione sono assai numerose e molto sofisticate, ben più di quanto possa immaginare un utente comune. La prudenza perciò non è mai troppa, come si suol dire.

Per non parlare del caso in cui un malintenzionato prenda di mira un bersaglio specifico e crei un virus ad-hoc, in questo caso sarà ancora più improbabile del solito che l’antivirus lo riconosca.

Possiamo pure dire che ho dipinto una situazione a tinte molto fosche. C’è qualche via di scampo? Dipende… Un possibile cambio radicale di approccio al problema è quello di usare dei software basati su white list, come Bouncer della CoreTrace, al posto delle black list. Questo significa adottare una logica del default deny, ovvero tutto ciò che gira sulla mia macchina gira perché gli è stato esplicitamente permesso, tutto il resto è bloccato di default. Questo è magari applicabile su un server, ma non certamente su un PC desktop: gli utenti si troverebbero ad dover dare in continuazione a nuovi processi il permesso di essere eseguiti, finendo per automatizzare il consenso, non più informato, a quel punto.

C’è poi la via del trusted computing, molto dibattuta.

Ogni computer ha una propria misura di sicurezza accettabile; il computer del nonno avrà requisiti diversi da un computer governativo (anche da un punto di vista legislativo e di standard internazionali di sicurezza). A noi fare una buona scelta di compromesso.

In conclusione, lungi da me definire inutili gli antivirus e prodotti simili, il mio intento è semplicemente quello di non farvi sovrastimare la loro efficacia. Bisogna inoltre evitare di pensare di essere al sicuro grazie ad essi e con questo avere la scusa per compiere azioni  lesive per la sicurezza del proprio sistema. Un po’ come non si deve andare ai 130 Km/h in auto in città solo perché si hanno 7 airbag e cintura di sicurezza.

46 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Sire_Angeus
     scrive: 

    faccio parte del gruppo di quelli che” Fanno attenzione e non si sono presi mai niente”.. come controllo? partizione con xp e svariati anvitvirus, connesso solo il tempo degli aggornamenti, che fa l’analisi sull’altra partizione.

  • # 2
    Alberto Trivero (Autore del post)
     scrive: 

    Per Sire_Angeus:
    Non fai però allora parte del gruppo di cui parlavo io, quelli che gli antivirus non li usano affatto. In ogni caso, come dice Dijkstra, “Il test di un programma può essere usato per mostrare la presenza di bug, ma mai per mostrare la loro assenza”. Similmente, l’utilizzo di un antivirus aiuta a scoprire la presenza di malware, non la sua assenza.

  • # 3
    Riccardo
     scrive: 

    per come la vedo io l’antivirus no serve, basta aggiornre sempre il proprio sistema operativo, il browser internet se non è explorer e non cliccare su tutte le finestre che alle 3 di notte ti dicono che hai vinto una bmw o similari… 0 antivirus mai preso virus.. anzi no è vero ho preso november 13 che infettava il co0mmand.com sotto dos gioco passato da un amico…

  • # 4
    emakhno
     scrive: 

    mi piacerebbe sapere come gli sviluppatori di malware generano profitto, a livello aziendale si possono rubare progetti, informazioni sensibili, si puo bloccare il sistema informatico della società concorrente, ma infettando un pc casalingo, che profitto si ottiene?

  • # 5
    Alberto Trivero (Autore del post)
     scrive: 

    Per emakhno:
    A parte il fatto che spesso e volentieri anche un computer domestico contiene dati sensibili ed interessanti, all’atto pratico comunque la maggior parte dei PC casalinghi infetti finisce a far parte di gigantesche botnet (reti decentralizzate di computer zombie) che vengono usate dai criminali per dossare (attacchi DDoS) qualsiasi sito o rete in modo da renderli irraggiungibili, per poi magari ricattarli. E’ successo decine di volte. Per non parlare poi di come i computer infetti vengano usati per l’invio di enormi quantità di spam, altro malware o materiale relativo al phishing.

  • # 6
    L
     scrive: 

    @emakhno: diventi parte di una botnet, ovvero una rete di computer infetti sotto il controllo dell’attaccante, il quale può usare il tuo pc per inviare spam, infettare altri pc (aziendali o domestici) o attaccare server

  • # 7
    Massimo
     scrive: 

    Mi dispiace Riccardo ed altri: L’ultimo, il confliker, mi dici come fai a sapere che ce l’hai?
    Oppure il buon vechio sasser del ’03? Lì non c’era NULLA da fare. con o senza antivirus, con o senza aggiornamenti. Ah, certo, forse avevi pensato di metter un firewall.
    Beh, il confliker l’abbiamo beccato in azienda, su computer alterni. Non abbiamo capito come ha fatto visto che protezioni ed antivirus ci sono, abbiamo anche l’aggiornametno in automatico. Eppure .. Boh!
    Anche io nonho mi preso “niente”. Anzi il sasser e qualcosa che non sono riuscito neppure a vedere il nome. Cancellato subito. Ma non clikkarenella finestra per polli non basta!

  • # 8
    goldfix
     scrive: 

    x Riccardo

    ovviamente sei sicuro che il tuo sistema sia pulito… :DDD

    Come sostiene l’articolo (e cmq è un trend che va avanti ormai da qualche annetto) i virus moderni (quelli veramente pericolosi, difficilmente ti incasinano la macchina.

    poi ovviamente se sei sicuro te che il tuo sistema è pulito!

    ola

  • # 9
    emakhno
     scrive: 

    va bene ho capito, quindi ti usano piu che danneggiarti direttamente, ma devono farlo in modo diciamo delicato, visto che un grande impiego di risorse HW puo essere facilmente notato, anche dal semplice aumento di rumore delle ventole, che ormai sono generalmente regolate in base al carico, dal generale rallentamento della macchina, anche dai led del router che indicano la presenza un traffico anche quando non ci dovrebbe essere..
    Insomma totalmente invisibili non possono essere, a meno che l’utente non sia veramente sprovveduto, almeno spero.

  • # 10
    goldfix
     scrive: 

    x emakhno

    bhe nn è detto, qui non si parla di carico CPU elevato, di solito questo tipo di programmi serve per permettere di utilizzare spazio su HD (e in linea di massima questo uno potrebbe anche accorgersene), o molto più semplicemente come testa di ponte per eseguire attacchi ad altre macchine.
    In questo caso una delle possibili avvisaglie potrebbe essere il maggiore traffico in entrata/uscita, ma questo è già parecchio più difficile da notare, oppure l’utilizzo di porte non conformi, ma anche qui molto difficilmente un utente normale se ne potrebbe accorgere.

  • # 11
    Ilruz
     scrive: 

    Giusto per informazione,
    la mia azienda ha 120.000 host connessi in rete mondiale, supportata dalla famosa gestione “follow-the-sun”. Come antivirus sui client abbiamo mcafee con un servizio diretto, percui se mandiamo un campione infetto in meno di 4 ore ci creano un “extra.dat” che rimuove il virus in questione: se tutto va bene entro 8 ore e’ sui client. Per fermare le infezioni c’e’ anche una nutrita serie di firewall, con signature antivirus aggiornate ogni ora: praticamente ogni due o hop al massimo c’e’ un firewall che ti stoppa.

    Bene – in tre grossi siti in italia abbiamo una variante del conficker, che viene rilevata ma non rimossa. Questa variante e’ arrivata in azienda tramite delle EEPROM di configurazione di una appliance (!!!!), bypassando allegramente TUTTE le mille milioni di miliardi di protezioni & paranoie con cui ci fanno campare.

    Mai sono stato piu’ daccordo con un articolo di IT – avere tutte le sicurezze del mondo non ti mette proprio al sicuro da un bel niente: il miglior firewall del mondo e’ quello installato tra le orecchie.

  • # 12
    mazza
     scrive: 

    considerando che i forum sono sempre pieni di gente che si è beccato un virus, nonostante tutta sta gente ha i più disparati antivirus presenti sul mercato, questo implica che gli antivirus non servono ad una mazza!

  • # 13
    emakhno
     scrive: 

    ma quindi se ho capito bene la situazione per gli utenti casalinghi si potrebbe definire migliore rispetto al passato, quando un malware ti metteva in ginocchio la macchina, adesso non fanno danni e usano poche risorse HW, con questo non voglio dire che sia giusto lasciarli lavorare, ma comunque rompono meno le scatole all’utente medio, che a volte perdeva la voglia di imparare a causa di questi impedimenti.
    Ho letto inoltre che questi attacchi non sono solo commerciali, ma a volte anche politici, difatti leggevo che sono stati attaccati server che ospitano siti e blog di attivisti antipsichiatria, questo mi induce a pensare che questi malware non sono usati solo da singoli esperti, ma anche alcune multinazionali, o ancora peggio reparti dei servizi segreti e quant’altro…

  • # 14
    luigi
     scrive: 

    considerando che l’utente medio è gia di per se un virus non vedo cosa abbia da preoccuparsi se ne prende altri…

  • # 15
    emakhno
     scrive: 

    @Luigi

    dai non essere troppo cattivo, basta istruirli un minimo,
    dopo la terza volta che installavo win a mio padre ho scoperto che cliccava OK a qualsiasi cosa che non capiva!!! adesso ha cambiato abitudine e infatti non mi rompe piu le scatole…

  • # 16
    Jacopo Cocchi
     scrive: 

    lui forse niente (magari dovresti chiedere ad ogni utente medio per saperlo…io dubito sia della tua opinione).
    C’è di preoccupante il fatto però che ogni computer infettato e connesso alla Rete può essere potenzialmente usato per attacchi DDoS per esempio, rendendo inutilizzabili siti o i più disparati web services.
    E mi permetto di dire che non sia un particolare trascurabile.

    Per quanto riguarda l’articolo mi piace la disanima di Alberto nonché la citazione a Dijkstra :)
    I moduli HIPS che sono stati introdotti da qualche anno in parte colmano le lacune dei sistemi basati sulle euristiche.
    Ma è chiaro che questo non sia sufficiente e che per ridurre al minimo i rischi occorrano policy di sicurezza a 360°, l’uso di sandbox, macchine virtuali, una navigazione consapevole e attenta, l’apertura di file dalla provenienza certa ecc. ecc.
    Cose che non sono sempre conosciute dall’utente medio di un personal computer.
    E non è certo solo colpa sua; manca un sistema organico di informatizzazione e informazione ad ampio raggio sul territorio.
    Onere che, per come la vedo io visto la tendenza crescente a fornire servizi di e-government ed e-learning, dovrebbe essere preso in carico, almeno in parte, dallo Stato

  • # 17
    ferdi4
     scrive: 

    Cari amici,
    Ma nessuno di voi ha mai sentito parlare del sistema operativo LINUX?

    E’ praticamente impossibile prendersi virus o porcherie simili in Linux, anche navigando nei siti più infetti oppure aprendo tutti gli allegati possibili nelle mails.

    Non è difficile installere Linux in dual boot sul computer, oppure provare una distribuzione “live” senza installare nulla sul disco rigido.

    Non si può non provarlo se si ha un minimo interesse in informatica, o quantomeno per curiosità.

    Le ultime distribuzioni sono molto facili.

    ferdi4

  • # 18
    roberto
     scrive: 

    e quindi che si fa?
    si staccano i pc dalla rete?

    ho antivirus + firewall hardware, non uso il p2p, frequento solo i siti “affidabili” con un account senza permessi… ma tutto ciò non conta nulla se ci sono quei malware che si spargono per la rete automagicamente senza prompt all’utente…

  • # 19
    mazza
     scrive: 

    @ferdi4
    se tutti si trasferissero su linux, i virus migrerebbero a linux. Daltra parte se ci pensi che cosa è un virus? E’ un file che può essere eseguito. Anche in linux esistono programmi e file eseguibili, quindi nulla vieta ad un utonto di essere infettato anche su linux

  • # 20
    alberto
     scrive: 

    Sui miei PC desktop:

    – uso da sempre XP come utente normale
    – uso un antivirus (adesso ho avira)
    – installo regolarmente gli aggiornamenti di sicurezza sia dell’OS che delle applicazioni
    – uso il firewall perimetrale integrato nel router piu un personal firewall a livello di applicazione
    – installo solo programmi che provengono da fonti certe

    Per un uso domestico è sufficiente. In tanti anni non ho mai avuto problemi di virus e malware in generale.
    Seguire questi pochi accorgimenti è semplice e non richiede neanche tanto tempo.
    Ho insegnato queste cose in pochi minuti a molti amici e parenti e anche loro si trovano benissimo.

  • # 21
    alberto
     scrive: 

    @ ferdi4

    Linux è vulnerabile ai virus tanto quanto qualunque altro OS.

    Il fatto che non ne abbia è dovuto unicamente alla sua scarsa diffusione, sia nei desktop sia nei server, checchè se ne dica.

  • # 22
    alberto
     scrive: 

    A parte che per violare i sistemi Linux non servono neanche virus, ci pensano i manteiner a cancellare righe di codice a casaccio rendendo il sistema aperto a chiunque senza che per due anni nessuno dei responsabili se ne accorga:

    http://www.ossblog.it/post/4099/una-patch-mette-in-ginocchio-debian

    ah ah ah linux, che professionalita che c’è dietro!

    per non parlare dei driver per le webcam integrati nel kernel scritti da quindicenni taiwanesi, o dal fatto che chiunque puo diventare manteiner senza troppi problemi e dopo puo inserire quanti malware e sppyware vuole nei pacchetti tanto prima che quei quattro gatti che controllano se ne accorgano!

    buahahahahaha

    ok, fine ot :D
    pero non è bello che ogni volta che si parla di sicurezza salta fuori il solito genio a dire di passare a linux che è invulberabile!!
    e basta, che poi magari qualcuno ci crede per davvero…

  • # 23
    Marco
     scrive: 

    ho notato che semplicemente senza aggiornamenti di windows tempo un mese e ci si becca il virus.
    sinceramente con antivir + comodo + spybot non ho mai avuto problemi: raramente qualche alert e alla scansione trova un paio di file al massimo, quindi nessuna infezione diffusa. diversa è la storia per i pc degli utonti classici: lì se ne vedono di tutti i colori.
    inoltre uso xubuntu per 90%. spero che non troppo migrino al pinguino :D altrimenti il rischio di virus per ambienti unix salirebbe; ciò nonostante credo che il minor numero di falle e la gestione utente basata proprio sulle white list (di fatto usare sudo permette questo) la rende più sicura di default.
    E poi: quanti Mac infetti e malfunzionanti conscete?

  • # 24
    D
     scrive: 

    @emakhno

    E proprio per la questione botnet che finisce per dare vita ad autentici mostri informatici in grado di fare danni su vasta scala, sarebbe una buona cosa se le nazioni di tutto il mondo varassero delle leggi per punire in modo esemplare chi, con la sua stupidità e sbadataggine lascia che il proprio computer viene infettato.

  • # 25
    ferdi4
     scrive: 

    per il Sig Alberto

    1) io non sono un genio di computing, ho 67 anni e sono ormai pensionato.
    Dal 2004 uso Mandriva sia per lavoro che per diletto tutti i santi giorni.
    Non ho mai avuto contatti con virus o worms e sì che navigo molto per ricerche di lavoro.
    Non ho mai letto nei vari forums di persone che abbiano contratto virus in Linux, che io sappia ce ne sono 2 o 3 in tutto.
    Comunque è vero che di sistemi sicuri al 100% non esistono, Il sistema Linux per la sua struttura “a strati” è solo più sicuro.

    2)non capisco l’obiezione dei quindicenni o dei manteiners che modificano a casaccio.
    Il fatto successo a Debian non riguarda credo la versione “stabile” che viene raramente toccata dalla distribuzione.
    Comunque le distribuzioni “commerciali” tipo Suse, Fedora, Ubuntu, Mandriva non mandano a casaccio aggiornamenti che possano causare danni. Io almeno in tanti anni non ne ho mai avuti, questo comunque come sapete, può avvenire anche in Windows,

    Strana questa polemica contro Linux, si può solo provarlo(è gratis) e poi discutere, mi sembra che Lei che mi ha citato non lo abbia mai provato, e se lo ha provato mi dica quale distribuzione ed in quale anno.

    Ciao a tutti

    Ferdi4

  • # 26
    Flare
     scrive: 

    Io distinguerei fra i veri virus di una volta (dei “gioiellini” scritti in assembly che si infilavano *dentro* gli eseguibili e si “riproducevano” infettando altri eseguibili) rispetto ai moderni worm e trojan e parlerei quindi generalmente di malware. Sono diverse le modalità di diffusione e diversi gli scopi: non più fare sabotaggio (di solito), ma carpire dati e password, indirizzi a cui spammare, oppure ottenere il controllo della macchina (vedi botnet).

    Windows è sempre stato più insicuro per il fatto di venire usato di default con poteri di amministratore, a differenza di altri SO, rendendo troppo facile la vita a chi crea malware, se basta semplicemente aprire un allegato, visitare una pagina o più recentemente, infilare una chiavetta flash per installarli. Certo, restano sempre possibili degli “exploit” per ottenere diritti di amministratore di sistema, ma sono un altro paio di maniche.

    Negli ultimi anni Microsoft ha iniziato a pensare di più alla sicurezza, a partire dal firewall integrato e specialmente con Vista ci sono stati diversi progressi. Poi all’ultimo CanSecWest PWN to OWN, per quanto valga, è caduto prima MacOS :P Anche i vari GNU/Linux non sono inviolabili, ma qui stiamo andando oltre il semplice discorso malware. Vista poi adotta il compromesso dello UAC, che comunque non è la stessa cosa di una vera modalità utente e risulta pure scomodo, tant’è che molti lo disattivano.

    Quando però si adottano tecniche di “ingegneria sociale”, non c’è admin che tenga e la maggior falla sta tra la tastiera e la sedia.

  • # 27
    Tasslehoff Burrfoot
     scrive: 

    x Alberto: è ovvio che parlare di invulnerabilità di un sistema operativo rispetto ad un altro è pura fantasia e dimostra una ingenuità che francamente fa sorridere…

    Però sparare a zero come hai fatto mi puzza tanto di favoletta in stile “la volpe e l’uva” ;)

    Come in tutte le cose il problema vero non è l’agente malevolo o la causa stessa del problema, quelli ci saranno sempre…
    Il fulcro della questione è usare sistemi che ti diano gli strumenti adatti per riconoscere il problema, porvi rimedio ed evitare che si ripresenti.
    Da questo punto di vista Windows ha molto migliorato nel corso degli anni, ma è ancora ad anni luce anche rispetto alla più banale e antiquata distribuzione linux.

    E’ inutile che ci raccontiamo palle, io ahimè mi ritrovo a dover amministrare alcuni sistemi Win2k3 (a fronte di decine di sistemi RedHat) e nonostante antivirus, scansioni complete quotidiane (che ammazzano le macchine :\), sistemi di content filter, difese perimetrali, permessi blindati etc etc… nonostante tutto ogni tanto qualcosa succede sempre senza che sia imputabile ad un errore umano.
    Il brutto non è questo, è il fatto che Windows ha un sistema di logging penoso, farraginoso, criptico e dipendente dal web. Di strumenti di controllo seri per individuare problemi, colli di bottiglia o altro non ce ne sono, o se ci sono solo estremamente lacunosi.

    Questa è la realtà, e finchè in MS non si decideranno a invertire questa tendenza staremo sempre a incrociare le dita ad ogni installazione di Service Pack o a perdere ore a fare ghost su ghost prima di installare la più stupida patch, perchè in caso di disastro e BSOD al boot spesso c’è poco da fare…

  • # 28
    Fede
     scrive: 

    I Virus servono a qualcosa? assolutamente NO, anzi nessuno li vorrebbe… allora perché c’è gente che vive la sua vita nel crearli?
    Sono convinto che le stesse case produttrici di software antivirus finanziano gli ingengeri dei virus … Insomma si è innescato un sistema per guadagnare soldi dal nulla, è molto simile al racket e alle estorsioni … si paga per non essere danneggiati.
    Non c’è altro da dire, un mio consiglio sfruttare i software antivirus gratuti e stare attenti con le connessioni, con i CD e le chiavette degli “amici” ecc. ecc.
    Ha più senso l’esistenza dei becchini che delle ditte produttrici di software antivirus, perché da che mondo mondo la morte è un destino imposto a tutti e inevitabile per natura.
    In questo settore Norton è la cupola siciliana

  • # 29
    roberto
     scrive: 

    @fede

    ti sbagli di brutto: con i malware si fanno le botnet che poi si noleggiano :)
    ormai è così diffuso che con 20€ ti noleggi una botnet personale per kickare chi è troppo forte nei videogiochi…

  • # 30
    MarK'
     scrive: 

    bel thread, purtroppo di questo tipo se ne vedono pochi, e molto interessanti anche i commenti!

    cmq è ovvio che windows, a causa della sua diffusione, sia il sistema più bersagliato!
    anche i vari derivati unix, per quanto siano più improntati (almeno strutturalmente parlando) alla sicurezza non sono di certo immuni da codice malevolo, ma supponete che io voglia scrivere un virus e guadagnarci qualcosa (che come giustamente avete detto voi è quello che si fa oggi), a fronte di una diffusione di windows del 90% e dei sistemi unix-derivati del 10%, secondo voi per che piattaforma scriverò il malware? :)

    p.s.
    strano che non arrivi il solito informatissimo utente di macosx a sbandierare che è il sistema più inviolabile dell’universo.

  • # 31
    lakar
     scrive: 

    Non capisco come si possa dire che Windows ha più malware solo perchè è più diffuso e che se Linux si diffondesse di più allora sarebbe anch’esso pieno di virus o altro. A quanto pare qui c’è più di uno che non ha mai usato un sistema *nix.
    Sicuramente la maggior diffusione di windows attira di più i malware-writes ma è anche vero che i sistemi *nix hanno sempre avuto una gestione molto avanzata dei permessi e che l’utente normale ha così pochi privilegi che se anche unn virus si infilasse potrebbe fare ben poco, di sicuro non potrebbe attaccare parti vitali del sistema. Mentre windows per anni ha avuto la pessima abitudine di avere utenti con troppi privilegi così i virus che si infilavano avevano accesso a tutto il sitema. Con UAC la situazione è migliorata però c’è ancora la possibilità di disattivarlo (pessima idea).

    Detto questo secondo voi è più sicuro la gestione dei permessi *nix o un windows con UAC al massimo livello? E perchè? Me lo chiedo da tempo ma non ho mai fatto studi approfonditi sulle due soluzioni.

  • # 32
    lakar
     scrive: 

    P.S.
    Con il post precedente non intendevo certo dire che linux sia inviolabile. Il sistema perfetto purtroppo non esiste.

  • # 33
    Wolf01
     scrive: 

    Non per fare pubblicità a Dan Brown che ne ha già ricevuta abbastanza con il Codice Da Vinci, ma leggetevi Crypto.
    Neanche il miglior antivirus è in grado di bloccare l’uomo, che se vuole fare qualcosa la fa e basta, in barba a tutti i milioni di miliardi di protezioni, un po’ secondo l’esperienza di Ilruz.
    Prendendo poi il caso dell’utente medio, email con “Attento, non accettare file da messenger perchè possono essere virus: clicca qui per vedere se sei vulnerabile” vengono talmente prese per vere che se le girano l’un l’altro estendendo l’infezione!
    Ricordo il caso dell’email fasulla della polizia dove chiedevano di visitare un link per scaricare un modulo per la denuncia dei file mp3 scaricati… ecatombe totale, tutti i clienti che si passavano la mail con “è arrivata anche a te?” e tutti che cliccavano e passavano avanti.
    Fortuna che a casa avendo Ubuntu i *miei* utenti medi non sono riusciti a fare danni. (Torno dal lavoro “se vi arriva una mail così e colà buttatela via, non andate nel sito”, risposta: “già fatto (entrati nel sito)”, purtroppo oltre all’antivirus effettivamente ci vuole anche una grandissima dose di buonsenso)

  • # 34
    Fede
     scrive: 

    Concordo pienamente con Wolf01, ci vuole molto buon senso e accortezza nel gestire il PC o portatile che sia e gli applicativi installati.
    Io non ho avuto mai attacchi di virus nel mio computer e con molto orgolgio , benché il mio PC è obsoleto, è molto performante ancora oggi non ho motivo per doverlo sostituire con uno nuovo.
    E’ sufficiente un antivirus (gratuito gli altri mangiano solo soldi e non sono più efficaci, con Symantec addirittura alcune volte vengono installati i virus automaticamente durante l’aggiornamento dell’antivirus, è successo ad un mio collega di lavoro ve lo assicuro), attivare tutte le protezioni possibili, come per esempio impostate il Firewall in modo tale da non consentire eccezioni, usare un’account di accesso a Windows del tipo User o al più Power User (quest’ultimo solo se si hanno applicazioni legacy obsolete) per navigare in internet, scansionare sempre ogni software da installare prima di installarlo, scegliere sempre installazioni personalizzate, svuotare sempre la cache del browser, non memorizzare mai le password, evitare di memorizzare anche gli indirizzi web preferiti, disattivare il servizio di registro di sistema remoto, evitare le connessioni PtoP (tipo emule) tanto nei computer degli altri si trova in genere di peggio di quello che si trova nel proprio PC ecc. ecc.

  • # 35
    Fede
     scrive: 

    SE NON SIETE IN RETE CHIUDETE UNA VOLTA PER TUTTE E PER L’ETERNITA’ IL SERVIZIO “REGISTRO DI SISTEMA REMOTO”, ATTIVATE LA PROTEZIONE IN MEMORIA DI QUALSIASI ESEGUIBILE, TENETE SEMPRE VUOTA LA CACHE DEL BROWSER, IN INTERNET EXPLORER 7 SENZA PLUG-IN AGGIUNTIVI E’ POSSIBILE IMPOSTARE LA PULIZIA DEL BROWSER ATTRAVERSO LA CONSOLE “GPEDIT.MSC” IN MODO CHE IN USCITA VIENE CANCELLATO TUTTO. GPEDIT LO SI TROVA IN WINDOWS XP DENTRO LA CARTELLA “WINDOWS/SYSTEM32″.
    CON GPEDIT POTETE IMPOSTARE QUALSIASI COSA DEL SISTEMA OPERATIVO MI VIENE DA RIDERE, QUANDO VEDO PROPORRE MILIARDI DI TOOLS DI SISTEMA PER FARE QUESTO O QUELLO… DENTRO IL SISTEMA OPERATIVO C’E’ TUTTO PER FARE TUTTO BISOGNA ESSERE SOLO MENO IGNORANTI ….

  • # 36
    Giulio
     scrive: 

    Diciamoci la verità: chi scarica software warez o cmq robba illegale è MOLTO ma MOLTO più a rischio di chi non lo fa.

    Chi naviga su siti attendibili, magari con un ad-blocker, e visiona la posta da web o tramite client con supporto all’IMAP sta molto più al sicuro.

    Poi dipende dagli utenti… io nn uso AV da quando è uscito Vista, e idem mia sorella di 14 anni e non ci si è presi mai nulla.

    Se non ci sono eseguibili sospetti in esecuzione e il firewall non segnala traffico sospetto è evidente che non ci siano malware.

  • # 37
    Giulio
     scrive: 

    PS: se fai uno script bash su *nix tale che l’utente deve inserire la password di root (tramite sudo, ad esempio), allora è fatta.

  • # 38
    Giulio
     scrive: 

    @lakar: La differenza tra Win e Linux nella gestione dei permessi attualmente, non è strettamente collegata ad UAC che rappresenta più una comodità che altro… in WinXP si può usare RunAs alla stessa stregua di un sudo (fatte le dovute differenze)…

    La differenza maggiore è che di default l’utente di Windows è un Administrator (pur se limitato, ma un Admin). Disattivando UAC ti ritrovi con un Administrator.
    Se usi un account limitato e disattivi UAC ti ritrovi esattamente nella stessa condizione di Linux.

    Il punto però è che alcune applicazioni hanno bisogno di privilegi Administrator per fare alcune cose. Altri invece non hanno bisogno di queste cose. In teoria per installare un programma del “secondo tipo” non è necessario usare account Administrator, questo vuol dire che se un malware si nasconde in un programma qualunque quando lo vado ad installare se ho privilegi massimi sono cmq fregato.

    In Linux vale lo stesso, senza la comodità di UAC, ma come ho già detto prima non è assolutamente improbabile che l’utenta fornisca la password di root ad uno script che cancelli tutto.

    Chiaramente *nix ha anche dalla sua il fatto che script ed eseguibili provenienti da altre macchine non sono direttamente eseguibili, bisogna fare un chmod +x sul file.

    Ma se l’utente di sua spontanea volontà lo fa, perché magari un sito web malevolo gli dice come fare, allora bisogna distinguere la protezione del sistema dalla capacità dell’utente di non fare danni.

  • # 39
    Alberto Trivero (Autore del post)
     scrive: 

    Per Giulio:
    Tu scrivi “se non ci sono eseguibili sospetti in esecuzione e il firewall non segnala traffico sospetto è evidente che non ci siano malware”, ma questo da un punto di vista tecnico è sbagliato. Esistono innumerevoli tecniche che i malware possono utilizzare con semplicità per bypassare o addirittura disattivare i tuoi splendidi antivirus e firewall software, per non comparire nella lista dei processi in esecuzione, e tante altre belle cose.

  • # 40
    Giulio
     scrive: 

    Supponendo che un malware non abbia i privilegi per fare quello che hai detto, praticamente risulta impossibile vedersi disattivato il firewall.

    E cmq ad oggi ci sono molti router che filtrano il traffico anche in uscita ;).

    In ogni caso questo rafforza la mia opinione sul non usare un antivirus.

  • # 41
    Riccardo
     scrive: 

    antivirus e firewall non sono la stessa cosa e anche peerguardian non è un ativirus, poi scrivo 4 righe in c te e vediamo se l’antivirus lo riconosce…

  • # 42
    Marco
     scrive: 

    Mi sembra, personalmente, un argomento che è stato trattato con un po di superficialità, tentando di mettere in luce solo un lato della medaglia.

    L’articolo in oggetto contiene alcune imprecisioni.

    In primo luogo non vengono rilasciate decine di migliaia di virus ogni mese. Vengono isolate, che è diverso. E per raggiungere quel numero non è necessario aspettare il mese, migliaia di nuovi (per nuovi è inteso sia ex-novo che varianti) malicious software vengono isolati ogni giorno.

    Se è vero che per quel 2% il computer rimane scoperto, è altresì vero che per il 98% il computer è protetto. Fermo restando che bisogna far notare che quel 98% non è il 98% globale, è il 98% del set di malware testati, un test set che vuole simulare, in maniera più circoscritta, la “fauna” presente nel web.

    È stato citato AV-Comparatives, la comparativa di Novembre 2008, dicendo che il migliore dei software antivirus ha riconosciuto solo il 70% dei malware sottoposti. È un’affermazione non totalmente corretta. Il test in questione non riguarda la capacità dell’antivirus di individuare malware. Chi segue AV-Comparatives sà perfettamente che il team di Andreas Clementi svolge quattro test annuali, due dei quali vogliono analizzare la capacità dei software antivirus di individuare malware in maniera generale (scansione on-demand e utilizzo di tutte le tecnologie presenti nel software antivirus) e due, invece, prendono in esame solo le tecnologie euristiche dei software antivirus, cioè la capacità di individuare virus senza alcun aggiornamento di firme virali. Guarda caso, il test preso in esame di Novembre 2008 (anche denominato Retrospective test) prende in esame solo la tecnologia euristica. In altre parole, l’antivirus che è risultato primo nella comparativa è riuscito ad individuare il 70% dei malware analizzati senza bisogno di aggiornamenti e di nuove firme virali, ma semplicemente basandosi suelle proprie tecnologie euristiche.

    Ecco, vista sotto quest’ottica quel 70% assume un significato totalmente differente. Lo stesso antivirus, su test generale (signature ed euristica) è arrivato primo nei test individuando il 99,2% dei malware testati.

    Il problema dei falsi positivi è relativo. Bisogna vedere nuovamente quale è la scala di analisi. In questo caso, sempre citando il test di AV-Comparatives, il software antivirus che ha fatto registrare il 70% di individuazione attraverso tecnologia euristica ha fatto registrare “molti” falsi positivi. Cosa si intende con questo “molti”? Si intende che, pur essendo riuscito ad inviduare oltre 30.000 malware senza bisogno di aggiornare le firme virali ma solo con tecnologia euristica, ha fatto registrare ben 17 (diciassette!) falsi positivi.

    Se è vero che le tecnologie euristiche sono chiaramente più suscettibili, si tende da anni a raffinarle per evitare che capitino falsi positivi. Si può escludere la presenza di falsi positivi? È molto difficile, per la natura stessa dell’euristica che si prefigge come scopo quello di isolare nuovi malware esclusivamente da alcuni tratti generici. È un compito arduo ma che, come lo stesso AV-Comparatives ha messo in evidenza, sta dando ottimi risultati, colmando il gap che c’è tra il rilascio di un malware e l’aggiunta delle firme virali necessarie per l’esatta identificazione.

    Sono molti 17 falsi positivi in confronto a oltre 30.000 malware isolati con successo attraverso la sola euristica? Per la comparativa sì, per i loro metri di giudizio. Ragionandoci un attimo su, tuttavia, mi sembra un peccato perdonabile, che diventa già più un problema se in ambito aziendale, dove si preferisce sacrificare un po l’individuazione euristica (è configurabile nei software antivirus), ribilanciata con policy di sicurezza più alte.

    Per quanto riguarda le capacità di bypassare gli antivirus, cioè di scrivere malware capace di evitare i controlli dei software antivirus, è storia ben nota. È chiaro che un antifurto per macchine non protegge da tutti i furti in maniera globale. C’è chi riesce ad analizzarne il funzionamento e a disattivarlo. Ma questo in qualunque situazione, non solo riguardo i software antivirus. Ma non è questo un motivo sufficiente per dire che le tecnologie antivirus sono inutili, soprattutto perché fare ciò richiede notevoli capacità di analisi e reversing che sono più alla portata di contest quali per l’appunto i “Race to Zero” che alla portata generale.

    Attacchi mirati? Assolutamente vero, è un problema. Ma lì in qualunque situazione esiste il problema, con e senza antivirus. Qualunque cosa, se presa di mira, prima o poi capitola. È anche a causa di questo che sono state studiate nuove tecnologie per il blocco anche di attacchi mirati, quali l’utilizzo avanzato di tecnologie in-the-cloud che stanno dando ottimi risultati.

    Non si tratta di dire semplicemente “firma virale non basta più” e “tecnologie euristiche sono superate da packer e polimorfismo”. I software antivirus sono armati con molte più tecnologie che permettono l’individuazione preventiva di nuovi malware.

    Spesso poi ci si limita anche a fare i test analizzando i nuovi malware (o varianti) attraverso i motori on-demand dei software antivirus per poi esultare nel vedere che il malware non è stato individuato né via euristica né via signature. Il test, così svolto, è incompleto ed errato. Ci sono tecnologie euristiche che analizzano in tempo reale l’eventuale malware ed è anche lì che le nuove tecnologie ottengono ottimi risultati.

    In definitiva, se è vero che avere il solo software antivirus installato non basta per sentirsi totalmente al sicuro, è altresì vero che un software antivirus permette di bloccare ed isolare eventuali malware dove spesso l’occhio umano, per quanto attento, non è in grado di arrivare. E no, l’utilizzo di un account limitato di per sé non è sufficiente ad evitare infezioni. Aiuta, ma non risolve.

  • # 43
    Alberto Trivero (Autore del post)
     scrive: 

    Per Marco:
    Se sono decine di migliaia i virus isolati ogni mese (che siano poi migliaia al giorno è matematicamente ovvio), quanti dovrebbero essere quelli rilasciati? Sempre decine di migliaia, magari anche centinaia. Mi sembrava poi chiaro dalla conclusione del mio articolo che non ritengo futile l’utilizzo di antivirus, che è anzi indispensabile. Ci possono essere stati commenti da parte degli utenti che andavano in quella direzione, me certamente non avallati da me.
    Il punto è che ora siamo nel 2009, e sono più di dieci anni che si parla di polimorfismo e altre tecniche per bypassare gli antivirus, mentre sono solo pochi anni che essi utilizzano tecniche euristiche. Le quali, per inciso, non sono inutili, mi limito a notare come anche loro abbiano delle debolezze. Quindi è indubbio che le software house di antivirus debbano fare degli sforzi maggiori (che ora sembra vi siano), e contest come il Race to Zero stimolano in tal senso. Se non si evidenziano i lati negativi (magari poi possono aver esagerato), difficilmente viene voglia di migliorare. Alle aziende di sicurezza piacciono i prodotti “silver bullet”, ma è quasi sempre solo marketing, ed è importante che la gente conosca anche il dark-side-of-the-force. Di gente che lavora nel campo dell’analisi dei malware ne conosco, e posso assicurare che malware che fanno penare anche gli analisti migliori ve ne sono sempre di più.
    Hai ragione per quanto riguarda le percentuali di AV-comparatives, sono stato fuorviante, non ho specificato come le ultime prese in esame riguardassero solo la capacità di analisi euristica degli antivirus.

  • # 44
    Marco
     scrive: 

    Mi sembra già più interessante il sottolineare come gli sforzi delle società di sicurezza ci siano e siano molto importanti, come tu stesso hai detto in questo tuo ultimo post.

    È giusto far conoscere la controparte, ma è anche giusto far notare i lati positivi e tutto quello in cui veramente i software antivirus aiutano.

    Ne conosco anche io un po di gente che lavora nel campo dell’analisi di malware e so che non è tanto il problema della presenza sempre più massiccia di malware difficili da analizzare, quanto il livello generale di complessità che si è abbassato.

    Ad onor di cronaca: non è assolutamente vero che le tecnologie euristiche sono utilizzate da pochi anni da parte dei software antivirus, è molto ma molto di più. Che poi ultimamente abbiano avuto una spinta maggiore è dovuto al fatto di dover contrastare il numero sempre più massiccio di infezioni.

  • # 45
    paolo
     scrive: 

    insomma o bianco o nero!!!! ma guardate che in mezzo ci stanno anche gli altri colori!!!!!
    i virus, malware ecc… sono da considerarsi come i ladri di auto!
    se la tua auto la chiudi a chiave con l’immobilizer, non è detto che NON te portino via! ma stai certo che riduci di parecchio le probabilità di furto rispetto ad uno che la lascia aperta!
    gli antivirus ti fermano una buona fetta di infezioni, ma non tutte!
    io preferisco beccarmi un virus ogni tanto MA PROTETTO da antivirus! piuttosto che beccarmene MOLTI senza antivirus!!!

  • # 46
    chiara
     scrive: 

    in tanti ricerche, hanno dimostrato che piu’ persone hanno l’antivirus ma nessuno e aggiornato ho lo spostono nel cestino i virus che rilevano quindi NON VI PERMETETE DI DIRE QUESTE CAZZATI, CHE L’ANTIVIRUS NON SERVE, LA PRUDENZA NN SERVE PIU’ CHIARO!! IL MIO PC ERA PIENO DI VIRUS PERCHE AVEVO UN PROBLEMA ALLA CONNESSIONE,CIAO, AGGIONATE I SOFTWARE DI SICUREZZA CIAOOOOOOOOOOOOOOOOOOOOOOOO

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.