Virus e Antivirus

Nei giorni scorsi, mentre effettuavo un intervento su un PC di un cliente, ho dovuto dirgli che erano presenti alcuni virus. Potete facilmente immaginare la sua sorpresa:

“Ma come può essere?! Ho Windows Vista, la versione Pro, quella strafica. Ho Norton Internet Security. E poi ho installato anche AVG e ZoneAlarm! E c’ho pure il laptop in serie limitata, foderato in legno di bamboo profumato e marcato Ferrari! Non può essere!”

Può essere, può essere…

Novantanove virgola otto percento

AV-comparatives è un sito che fornisce delle analisi comparative degli antivirus. Secondo questi specialisti, la situazione è più o meno la seguente.

  1. Trustport: 99,8%

  2. Antivir: 99,6%

  3. Avk G data: 99,5%

  4. kaspersky: 98,3%

  5. Avg: 98,1%

  6. Nod32: 97,7%

  7. Norton: 97,7%

  8. Avast: 97,6%

  9. F-secure: 97,5%

  10. E-scan: 97,5%

Come potete vedere, nessuno dei dieci migliori antivirus sul mercato è in grado di riconoscere, interecettare ed eliminare tutti i virus conosciuti. Al massimo, si può arrivare al 99.8%.

Ostrega! Ma è un buonissimo risultato! Manca un pelo al 100%!”

No, non è così. Non è un buon risultato.

I virus noti (solo i virus propriamente detti) sono oltre 130.000. Lo 0,2% di virus che il miglior antivirus del mercato si lascia comunque sfuggire corrisponde a 260 virus, cioè quanti ne erano presenti su Internet all’inizio della sua storia italiana, nel 1995. Quei circa 200 virus sono stati sufficienti allora a creare dei seri problemi agli utenti e sono sufficienti anche adesso.

La paura dell’ignoto

Il vero problema, però, è che gli antivirus sono in grado di riconoscere e di intercettare solo i virus che sono già noti, basandosi sulla loro “impronta digitale” (il checksum di un particolare frammento di codice del virus).

Quelli più raffinati, che pretendono di avere anche delle doti di “autoapprendimento”, di ”fuzzy logic” e cose simili, estendono questo concetto all’”impronta digitale” dell’azione malvagia compiuta dal virus. In buona sostanza, cercano di riconoscere i possibili virus dalle istruzioni, potenzialmemte malvagie, di cui il loro codice li rende capaci.

In entrambi i casi, gli antivirus non sono in grado di capire in modo autonomo se un un nuovo programma od una sequenza di azioni mai vista prima può essere un segno di pericolo. Per queste cose ci vuole un essere umano. E non un qualunque essere umano: ci vuole uno specialista.

I tempi di reazione

Lo specialista, naturalmente, lavora in un laboratorio da qualche parte in Russia, in California o chissà dove. Per analizzare il problema e mettere a punto la soluzione ci vogliono, ad essere bravi, 10 o 12 ore. I virus più noti della storia, in 12 ore avevano già fatto il giro del globo un paio di volte, infettando centinaia di migliaia di PC.

Non è certo un caso che le epidemie più famose e più devastanti siano sempre state il risultato di un nuovo virus. Nessun criminale è così idiota da tentare un attacco usando un arma (un virus) per cui esiste, ed è largamente diffusa, una difesa che la rende innocua nel 100% dei casi.

Se vi possono interessare le statistiche, sappiate che i circa 130.000 virus conosciuti si stima che siano meno di un terzo di tutti i virus che sono stati prodotti. Non solo: si ritiene che ne esistano ancora alcune centinaia che sono completamente nuovi, che sfuggirebbero a qualunque antivirus e che non vengono utilizzati solo per non “bruciarli”.

Perchè i virus non colpiscono più come prima?

Nonostante tutto questo, i virus non colpiscono più come prima. Non li si vede più nelle liste dei risultati degli antivirus. Non rompono più le scatole agli utenti. Sembrano spariti.

In realtà, è solo cambiato il loro comportamento. Invece di rompere le scatole inutilmente all’utente si dedicano ad altre attività, più interessanti. Ora agiscono in silenzio, cercando di non farsi notare, e forniscono a chi li ha creati delle potenzialità notevoli.

Un esempio sono i virus (più esattamente i worm) creati per prendere il possesso del computer dell’utente e arruolarlo in una botnet. Le botnet sono delle “batterie” di migliaia di PC infettati da un apposito worm. Grazie ad una apposita backdoor installata da questo worm, una singola persona può controllare queste migliaia di PC da remoto. Le botnet vengono largamente usate per spedire posta sgradita (spam) e per mettere in atto attacchi di tipo DDoS. Sia l’invio di spam che gli attacchi DDoS vengono pagati profumatamente al criminale che gestisce la botnet.

Si, avete capito bene: questo criminale fa i soldi con la macchina che voi gli mettete involontariamente a disposizione. Adesso capite perchè i virus se ne stanno zitti-zitti in un angolino?

Potete farvi una cultura sulle botnet leggendo questi articoli di Wikipedia Inglese:

http://en.wikipedia.org/wiki/Kraken_botnet

http://en.wikipedia.org/wiki/Storm_botnet

http://en.wikipedia.org/wiki/Srizbi_botnet

http://en.wikipedia.org/wiki/Botnet

Non ci sono solo i virus

Come ho appena detto, più che di virus, si tratta spesso di worm. Dal punto di vista pratico, fa poca differenza. Sia i virus che i loro simili sono pericolosi per l’utente ed in entrambi i casi l’antivirus, che dovrebbe occuparsene, non è grado di proteggere l’utente nel 100% dei casi.

In realtà, al giorno d’oggi, i virus sono rari (ma non del tutto assenti). Il 70% dei problemi viene da worm e da altri tipi di malware. Questa è la ragione per cui sono spesso necessari dei programmi ausiliari, come gli Adware remover e cose simili. Questi programmi affiancano il lavoro degli antivirus.

Due non è meglio di uno

Si noti che tutti gli antivirus “beccano” lo stesso insieme di virus. Installare due (o venti) antivirus sullo stesso PC non migliora la protezione. Si passa dal 99.8% al 99.9%. Sembra un ottimo risultato ma in realtà è del tutto trascurabile. Riguarda, infatti, solo i virus conosciuti che, per definizione, sono quelli che non vengono mai usati per un attacco.

In compenso, ogni antivirus (ed ogni programma residente in genere) porta via dall’1% al 10% delle prestazioni della macchina. In altri termini, l’antivirus più il personal firewall, da soli, rallentano la macchina già in modo visibile e spesso fastidioso. Con due antivirus il PC diventa di melassa e con tre si ferma del tutto.

Se lo dice l’utente…

Il problema vero, ancora una volta, è un’altro.

Se è l’utente ad autorizzare esplicitamente una operazione, nessuno al mondo, nemmeno l’antivirus, nemmeno il firewall e nemmeno nessun altro programma, può impedire che l’azione venga eseguita.

Quasi tutto il malware esistente gioca proprio su questa “vulnerabilità”: cerca di convincere (con l’inganno) l’utente ad autorizzare una certa operazione. Non tenta di scavalcare l’antivirus: tenta di scavalcare il senso critico dell’utente.

Per nostra sfortuna, quasi sempre ci riesce. Basta una bella dialog box in inglese informatico ed un bel pulsante di OK per ottenere il consenso dell’utente. Chi legge mai il testo di queste dialog box? E poi, anche se lo leggesse, che cosa cambierebbe? Non c’è nessuno al mondo che possa garantire che la domanda che appare sulla dialog box corrisponda realmente all’azione che il programma ha intenzione di eseguire.

Il programma potrebbe chiedervi “vuoi che riordini le icone sul desktop?” e, dopo aver raccolto il vostro consenso, potrebbe installare una backdoor (oltre a riordinare le icone, per non insospettirvi). Non c’è modo di difendersi da questo tipo di “attacco”. Si chiama “ingegneria sociale”.

Admin/User

Una delle poche barriere difensive è la stretta separazione tra utenti (“vendite” e “contabilità”) e soprattutto tra utenti normali (“gianni”, “annalisa”) e chi gestisce la macchina (“amministratore”).

Tutti i sistemi operativi esistenti permettono di avere più “profili utente” (“utenze”, “account”, etc) che hanno ruoli diversi e possono fare cose diverse.

L’abitudine di usare una utenza normale (come “gianni”), che ha potenzialità limitate (ad esempio non può installare software), per il lavoro quotidiano e di riservare un’altra utenza più potente (come “amministratore”), che può installare software e fare altre cose), per i compiti di amministrazione, permette di salvare gli altri utenti e l’intera macchina in caso di infezione.

Linux, BSD, Mac OS X ed altri Unix permettono di lavorare solo in questo modo e risultano quindi molto più sucuri di molte versioni, anche recenti, di Windows.

Come faccio a sapere se ho un virus?

Semplicissimo: se usi Windows, allora hai un almeno virus.

Ora, a parte le battute sarcastiche a danno della solita, povera Microsoft, la probabilità di avere un virus “silente”, che non è stato intercettato dall’antivirus, o di avere una backdoor installata dal virus e che ora siede in angolo in attesa di essere usata dal suo creatore, è piuttosto elevata.

Solitamente, questo tipo di sgraditi ospiti viene scoperto verificando quali file sono presenti sulla macchina e verificando che questi file corrispondano a quelli che la software house ha rilasciato. Dato che si tratta di decine di migliaia di file, ognuno dei quali può esistere in varie versioni, si tratta di effettuare milioni di controlli. Quest’operazione si chiama FileSystem Integrity Checking, viene sempre eseguita da appositi programmi (cose come TripWire , OSSEC ed AIDE, per esempio) e richiede sempre almeno diverse ore (a volte giorni interi).

Questo confronto è ciò che fanno anche molti antivirus quando viene permesso loro di fare lo scan completo del disco ad intervalli regolari. Dato che si tratta di una operazione lunga, che blocca quasi completamente la macchina, molti utenti non permettono mai all’antivirus di fare questo genere di controlli.

Oltre a questo, alcuni virus (più esattamente alcuni spyware ed alcune backdoor) sono rilevabili per i loro tentativi di accedere ad Internet; tentativi che vengono rilevati dal firewall (quello esterno, che si trova dentro il router che usate per collegarvi ad Interent, non quello Interno, installato sul PC, che spesso viene ingannato).

L’antivirus resta necessario

Non sto nemmeno a spiegare il perchè. Installatelo e basta.

Lezioni apprese

In conclusione: non illudetevi di essere al riparo da infezioni solo perchè avete un antivirus. Le normali cautele non devono mai essere dimenticate. Le elenco qui di seguito per chi non se le ricorda più.

  1. Installare solo software di cui ci si può fidare.

  2. Non scambiarsi l’un l’altro le “chiavette USB” di memoria. Trasmettono infezioni come facevano una volta i floppy.

  3. Non usare CD e DVD di cui non si è del tutto sicuri.

  4. Non accettare documenti (Word, Excel e PowerPoint) che contengono delle macro da persone di cui non si è assolutamente sicuri.

  5. Non aprire gli allegati della posta se non si è assolutamente certi della loro provenienza.

  6. Tenere il più possibile disabilitato JavaScript durante la navigazione sul web.

Questi solo per cominciare. Poi cercate voi stessi di tenervi informati leggendo le webzine dedicate a questi argomenti.

Alessandro Bottoni

Annunci
Comments
3 Responses to “Virus e Antivirus”
  1. Stefano ha detto:

    … o usate GNU/Linux ;)

    Bell’articolo!!

  2. musashiII ha detto:

    per le chiavette usb… basterebbe non onorare quel fastidioso autorun.inf per far sì che il virus sia un file “passivo” su un dispositivo di memorizzazione. certo che se l’utente poi esegue l’eseguibile… ma per lo meno non c’è automatismo.
    io credo che il business dei virus non riguardi solo chi è interessato a guadagnare con la spam o altre attività attraverso la zombificazione di ignari utenti… penso che il business riguardi anche chi gli antivirus li scrive e li vende.

  3. marcelius ha detto:

    complimenti per “articolo e grazie per l”informazione che sono molto uttili

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: