Qual'è il miglior Antivirus? Quello che consuma meno Ram.
Il titolo prende spunto da un famoso post di Amrit Williams, che da ex dipendente di McAfee ha un opinione molto più autorevole della mia.
Titolo sensazionalistico a parte, ci sono molti motivi per dubitare dell'effettiva utilità degli Antivirus.
Nonostante non se ne possa fare a meno, gli antivirus sono stati per troppi anni considerati come uno strumento di "protezione" producendo quel "False sense of security" per citare Bruce Schneier, che è il peggiore nemico della vera sicurezza.
Ci sono interi siti autoproclamatisi di "sicurezza informatica" che hanno del "Qual'è il miglior Antivirus" la loro mission.
L'utente medio, poco esperto, dovrebbe però capire da cosa l'Antivirus protegge.
L'antivirus è indispensabile nel caso di virus noti e già in circolazione su larga scala.
L'antivirus è uno strumento inutile (a molto fastidioso) per quelle minacce in piccola scala, custom-made o rootkit.
La maggior parte degli antivirus in commercio (per centinaia di dollari) basa il riconoscimento dei virus su signature dell'eseguibile e posizionamento all'interno della macchina infetta.
La signature è un codice di lunghezza fissa ottenuto da una stringa a lunghezza variabile.
(molto simile al risultato di un md5 per rendere la discussione estremamente semplice).
Le definizioni dei virus (quelle che si aggiornano giornalmente) contengono appunto queste signature.
La bellezza della signature è che cambiando un singolo carattere alla stringa da cui viene generata, cambia completamente anch'essa.
Nello specifico, se il virus cambia il suo codice di un singolo byte, l'Antivirus è un'icona nella tray e 200Mb di Ram in meno. Nient'altro.
L'approccio per signature ha problemi di scalabilità che lo stesso signor Kaspersky ha ammesso.
Produrre la signature di un virus è un operazione che richiede un intervento umano.
Le aziende di Antivirus hanno migliaia di dipendenti allo scopo.
Un'ondata di "noise" virus, tutti diversi tra loro produrrebbe un sovraccarico di lavoro e un conseguente rallentamento nel rilevamento dei veri virus che avrebbero tempo a sufficienza per diffondersi.
Con l'aumentare delle signature da controllare, inoltre, si ha un rallentamento della velocità di scansione dei file. Ogni file che viene aperto su un computer viene comparato con un database di signature sempre più grande.
Non solo. Gli Antivirus sembrano anche soffrire di demenza senile (funzionano con tecnologie vecchie 10 anni). Molti di loro non sono nemmeno in grado di riconoscere API di Windows potenzialmente dannose come la
GetAsyncKeyStateUn minimo di intelligenza in questi software avrebbe permesso di capire quando tale funzione è utilizzata per scopi legittimi e quando invece ad esempio, il buffer recuperato da tastiera viene inviato via mail.
Scrivere un keylogger in C è un'operazione che possono fare davvero in molti.
Provate a compilare tale codice con qualche modifica. Poi fate una scansione con il vostro Antivirus.
Se un vostro amico vuole giocarvi uno scherzetto, non c'è Antivirus che lo possa fermare. Gli bastano, Google, copia e incolla e un compilatore. Nessuna reale conoscenza nè di programmazione tanto meno di hacking.
I vendor di antivirus, negli ultimi anni, hanno combattuto una guerra interna per accaparrarsi nuove quote del mercato entry-user. E hanno dimenticato di combattere contro chi sfornava virus polimorfici, rilocazione dinamica e mille altre diavolerie. Esercizi di stile più che altro.
Bypassare un antivirus è come uccidere una mosca con un cannone.
L'interfaccia di questi programmi è diventata sempre più accattivante (e pesante).
L'efficacia sempre la stessa. Un po come avere il motore di una 500 su una carrozzeria Ferrari.
Da notare che sinora si è parlato solo dei classici virus. I rootkit sono tutta un'altra storia.
Non c'è Antivirus che sia in grado di fornire la benchè minima protezione contro questo tipo di virus (presenti ormai da almeno 4-5 anni) nonostante quello che si legga in press release e recensioni.
Dal Morris worm ad oggi molte cose sono cambiate. Chi scrive malware non lo fa più per fama.
C'è un settore da centinaia di milioni di dollari dietro Botnet e malware, che vengono usati per spam al fine di frodare i cosiddetti utenti medi. Con tali interessi in gioco, le minacce si sono fatte sempre più sofisticate e insistenti. Mentre McAfee et al. raffinavano l'interfaccia grafica.
E' di pochi giorni fa una ricerca di Stephan Chenette di Websense dal nome Script fragmentation attack. La trovo interessante quanto semplice da realizzare.
Bypassare Antivirus su desktop o sul gateway è possibile frammentando lo scaricamento del codice malware dalla rete. In breve, una pagina web contiene un normalissimo e legittimo codice che provvederà a scaricare il codice malware byte per byte da sorgenti diverse.
Un codice del genere si trova in qualsiasi sito Web 2.0 che usi Ajax ad esempio. Quindi nessuna minaccia in se stessa.
Una volta scaricato tutto il payload il malware può essere lanciato senza che l'antivirus abbia avuto modo di "vedere" tutto il codice.
Nessuna soluzione è al momento disponibile per tale problema se non disattivare Javascript.
(Morte del Web 2.0, di Facebook e altre amenità).
La sicurezza desktop, o endpoint security nel gergo aziendale, è più questione di cultura che di tool. Le aziende dovrebbero spendere meno per gli Antivirus e di più in corsi e training per dipendenti. Solo con una cosciente cultura di sicurezza informatica un'azienda può sopravvivere ai costi crescenti dovuti a spam e interruzioni di servizio causati da malware. Che gli Antivirus non sono stati in grado di mitigare.
