Non sono mai stato tenero coi vendor di AntiVirus.
Li ho sempre considerati troppo lenti nella corsa all'ultimo malware e ho considerato l'approccio basato su signature obsoleto da almeno 5-7 anni.
Tuttavia, a Symantec devo riconoscere il fegato di aver contattato per una review, un blogger che ha scritto ben 3 post Anti-Antivirus nell'ultimo anno. Bravi. Meritate un'altra chance.
Ho ricevuto quindi una copia dell'ultima versione della suite Norton360 2010 (che sembra essere una delle più complete disponibili sul mercato) che ho potuto valutare per 2 settimane prima di comporre questa breve ma spero utile review.
In estrema sintesi elenco i punti salienti della suite. Non me ne vogliate per la sintesi. Non è da tutti scrivere libri su come installare un Antivirus.
Interfaccia
Buona. Decisamente buona. Partiamo infatti dal vero scopo dei vendor di Antivirus negli ultimi 10 anni: offrire una buona interfaccia ai loro antivirus.
Direi comunque che risulta estremamente semplice da utilizzare anche per i meno esperti e soprattutto occupa poca RAM. (Avranno mica letto i miei post?).
Pochi effetti grafici, straight to the point, nessun fronzolo. Bravi.
Feature
E' una suite. Ci trovate anche quello che non vi aspettereste/serve:
- Antivirus (per fortuna)
- Antispyware (come se gli spyware non fossero dei malware)
- Protezione email/spam/phishing
- Firewall
- Ottimizatore di prestazioni
- Backup
E' veramente una suite a 360 gradi. Si intuisce che l'obiettivo è quello di costituire un UTM per l'endpoint (O detto senza gergo: un penso-a-tutto-io-te-stai-su-facebook).
La sfida non è da poco ma è coerente con la tendenza ormai conoslidata di porre sempre più l'attenzione degli attacchi verso l'anello debole della catena: l'utente.
Quindi ottime intenzioni. Bene. La classica visione olistica della sicurezza.
FirewallIl Firewall, mi desta qualche perplessità.
Sebbene sia assolutamente possibile configurare regole per filtri in ingresso/uscita sui vari protocolli/porte (layer 3-4), a livello applicazione deficita un po.
Di default ogni applicazione può accedere alla rete, cosa che non avviene con un personal firewall come
Comodo (che per altro è gratuito).
L'utente non viene praticamente mai avvisato di eventuali connessioni in ingresso o in uscita da parte delle applicazioni.
E' tuttavia possibile agire sulla singola applicazione definendone il livello d'accesso in maniera molto granulare,
Il problema è: cosa pensa un utente medio? "Sono protetto, ho un Firewall. Eh wow, è così discreto che fa tutto senza chiedermi nulla".La realtà è un po diversa ed è il solito trade-off, incarnato dalla UAC di Microsoft:
Security o Usability?
Per intenderci, il Firewall di per sè è ottimo e molto flessibile, ma la protezione con la configurazione di default, per un utente medio potrebbe essere del tutto insufficiente.
Onestamente, la protezione Firewall offerta dal gratuito Comodo, sembra migliore per l'utente medio.
AntivirusNorton è un Antivirus. Quindi offre il suo meglio quando gioca in casa.
C'è poco da dire nel supporto alla rilevazione di threat basata su signature se non parlare della frequenza di aggiornamento (sigh).
Rispetto ad altri antivirus offre un aggiornamento continuo delle definizioni (anche 10 volte al giorno), poichè queste vengono scaricate non in blocco bensì man mano che queste vengono aggiunte al database. E questo è sicuramante un punto a favore.
La protezione è comprensiva di adware, spyware, keylogger e persino rootkit! (ora non pensiate di proteggervi dai rootkit avanzati quando ancora non esiste una protezione dagli 0-day).
Inoltre mi sembra da elogiare l'attenzione posta sul phishing e lo spam.
I canali di protezione sono i tradizionali:
- Outlook (plugin)
- Navigazione web (download e pagine visitate)
- Office (documenti MS Word...)
- Dischi removibili (usb drive, schede SD/MMC...)
Ma veniamo al sodo. Come ho già avuto modo di dire mille volte, l'approccio per definizioni va bene per minacce su larga scala ma è del tutto *inutile* per minacce serie, mirate (sento qualcuno dire
APT, APT, APT...).
Verizon, operatore mobile americano, risparmia in Belen, e coi soldi ci finanzia delle ottime ricerche nel campo della sicurezza e degli ottimi report sui data breach.
L'annuale Verizon DBIR è ormai uno dei report di fine anno più attesi.
Questo uno dei grafici inclusi nel
DBIR 2009:
Inutile commentare: c'è un forte incremento dell'uso di malware nei data breach. L'80% dei data breach nel 2008 ha interessato l'uso di malware. Nel 59% dei casi era un malware custom-made e per questo difficilmente rilevabile da un Antivirus.
Most common in 2008, however, was malware that had (apparently) been created for the attack(s) entirely from scratch. In a rather sobering statistic, 85 percent of the 285 million records breached in the year were harvested by custom-created malware
Norton in questo senso impiega il cosiddetto
SONAR 2 . Tecnologia acquis-tata da Symantec nel 2005. Il SONAR si basa sul "comportamento" più che sulla signature ed ha fatto la sua prima apparizione nel 2008.
2008? Si. Questa è la strada giusta da seguire anche se con una decade di ritardo.
Da segnalare qualche falso positivo: tool che vengono segnalati come infetti quando non lo sono.
Se poi siete un pentester con metasploit ed una miriade di altri tool del mestiere installati può diventare un vero inferno (in quel caso, la prima cosa da fare è configurare le esclusioni).
ConclusioniNorton360 mi sembra in fin dei conti una buona suite.
Non essendo questa recensione una prova comparativa e mancando di test affidabili mi astengo da qualsiasi giudizio negativo. Tuttavia mi sembra di poter dire che forse i tempi sono maturi per nuove tecnologie di rilevazione degli attacchi che coinvolgano i recenti avanzamenti in termini di virtualizzazione.
Lungi dall'essere la soluzione ad ogni problema di sicurezza desktop, Norton non richiede più un cluster di CPU, è di facile configurazione ed ha il giusto approccio alla sicurezza personale.
A 360° appunto.
Continuate così, siete ancora indietro ma sulla buona strada.
[Nei prossimi giorni proporrò dei test su strada in cui mettere seriamente alla prova Norton, con malware customized]
