Mi capita sempre più spesso di dover affrontare discussioni in cui la controparte afferma che la sicurezza in un pc si ottiene con l’installazione di un software antivirus e basta.

La sicurezza purtroppo non si ottiene con l’installazione di un software, ma con l’apprendimento di quali possano essere i rischi derivanti dall’uso di un pc e e delle relative contromisure. In realtà, per quanto sottovalutati, componenti secondari – che secondari poi non sono – quali firewall e HIPS ricoprono un ruolo importante a fianco del software antivirus, complementare e altrettanto di primo piano nell’atto di rafforzare le linee di difesa della macchina.

Un software antivirus, componente importantissima, è il primo elemento e quello che salta subito all’occhio durante l’installazione delle difese elettroniche. Chiaramente, l’antivirus è, per antonomasia, IL software che blocca i malware. Efficace, ha alle spalle una tecnologia oramai ben assestata e garantisce ottimi risultati di individuazione di malware conosciuti. L’individuazione attraverso firme virali (signature) è l’unica tecnica che può con certezza discriminare il software nocivo da quello buono. D’altro canto, è necessario che il malware sia conosciuto dalla società che produce il software antivirus, sia stato analizzato e siano stati rilasciati aggiornamenti per il prodotto.

Un’architettura, quest’ultima, che poteva andar bene quando i malware si diffondevano attraverso floppy disk e impiegavano mesi per effettuare il giro del mondo. Architettura che oggi sta lentamente cedendo, incapace di reggere il passo dei nuovi malware che vengono rilasciati ogni giorno a ritmi troppo elevati. Così, dal massimo grado di certezza che è possibile avere con una firma virale, è necessario diminuire le aspettative e studiare una tecnologia (n.b. euristica) che possa individuare automaticamente i malware con un certo margine di sicurezza – margine che comunque difficilmente sarà paragonabile a quello dell’individuazione attraverso signature. Di falsi positivi se ne possono venire a creare in entrambe le tecnologie, ma chiaramente saranno molti di più quelli causati da una tecnologia euristica piuttosto che quelli causati da scansione con firme virali.

Il secondo elemento che salta all’occhio è il firewall. Troppe volte viene sottovalutata l’importanza di un firewall software installato nella macchina. Se è vero che gran parte dei firewall sono equiparabili per quanto riguarda il filtraggio del traffico di rete dall’esterno verso l’interno – si tratta esclusivamente di controllare alcune regole e di ammettere o negare un determinato traffico – differente e molto importante è il controllo del traffico in uscita. Se tutti gli attuali personal firewall integrano dei controlli delle applicazioni, in realtà molti sono bypassabili attraverso l’utilizzo di tecniche particolari ormai ben note. Spesso e volentieri un attacco progettato nei confronti di un pc non prende inizio dall’esterno verso l’interno, ma dall’interno stesso – ad esempio convincendo l’utente vittima ad aprire un eseguibile o sfruttando una falla del sistema operativo o di un software non aggiornato.

Infine un software HIPS. I software denominati Host Intrusion Prevention System sono dei software che analizzano i comportamenti degli eseguibili in un pc e ne bloccano eventuali azioni nocive. In moltissimi test di infezioni di rootkit, gli autori stessi del rookit avvertono di non utilizzare il malware in sistemi con installati software HIPS, perché l’infezione avrebbe esito negativo. Questo è solo un esempio, tuttavia i software HIPS forniscono un servizio complementare ai software antivirus e di grande aiuto, permettendo di intercettare moltissimi sample di malware senza aver bisogno di conoscerne firme virali. Il concetto su cui si basano, d’altronde, è efficace per gran parte delle situazioni: appena è possibile riconoscere che un software sta facendo qualcosa di possibilmente nocivo, viene bloccato.
Ovviamente l’individuazione attraverso firma virale garantisce maggior sicurezza in termini di falsi positivi ed è meno dispendiosa parlando di risorse di sistema.

Questa breve presentazione mi serve per far capire meglio come questi tre strumenti possano collaborare tra loro e forniscano ognuno un servizio complementare all’altro per rafforzare la linea di difesa generale.

Nel momento in cui arriva un nuovo malware, la prima linea che incontra é un software antivirus, il quale tenterá una scansione attraverso firme virali sperando che il malware sia giá conosciuto dalle societá di sicurezza. Ma, se il malware é nuovo, il software antivirus non riconoscerá l’infezione e non bloccherá l’esecuzione – a meno di una tecnologia euristica particolarmente avanzata ed efficace. La prima linea di difesa, e l’unica per molte persone, é cosí saltata. Mettiamo caso peró che si abbia anche un firewall e il malware cerchi di comunicare con l’esterno – per tentare ad esempio di scaricare altro malware, di inviare informazioni riservate o di fungere da server backdoor – un buon personal firewall si accorgerá del tentativo e ne bloccherá l’esecuzione chiedendo informazioni all’utente. Poco male, un malware potrebbe tentare di iniettare il proprio codice all’interno di un processo – ad esempio Internet Explorer – e di bypassare cosí il firewall che riconoscerá in uscita un processo che ha i permessi di comunicazione verso l’esterno. Alcuni firewall, anche freeware, implementano inoltre controlli di patching dei processi. Di conseguenza ecco come un buon firewall, oltre che garantire sicurezza dall’esterno verso l’interno, abbia fornito un servizio complementare al software antivirus, intercettando un possibile malware non identificato dagli antivirus.

Mettiamo inoltre che l’infezione possa trattarsi di un nuovo rootkit, situazione non troppo lontana dalla realtá purtroppo. Il software antivirus viene nella maggior parte dei casi bypassato, a meno ovviamente della presenza di signature o di una buona tecnologia euristica. Una volta che il rootkit si é installato nel sistema, puó andare ad alterare i driver del protocollo di rete, per cui anche un personal firewall potrebbe essere bypassato. Ecco che viene in aiuto un software HIPS, il quale, nel momento dell’esecuzione del rootkit, analizza il comportamento e riconosce il tentativo di modifica di zone sensibili del sistema (come avevo detto prima, molti dei test rootkit non vengono eseguiti in computer con software HIPS poiché vengono bloccati a priori). In aggiunta, un software HIPS permette nella maggior parte delle volte di isolare un nuovo malware prima ancora che possa intervenire in determinati casi il firewall. Questo perché nel momento in cui il firewall interviene é perché il malware ha giá avuto accesso al sistema e si é installato regolarmente. Invece, con un software HIPS, il malware verrebbe bloccato nel momento in cui ne viene lanciata l’esecuzione.

Il software antivirus classico, da solo, purtroppo non é piu in grado insomma di garantire la massima sicurezza al pc. Combinare invece piu tecnologie come quelle sopra esposte, senza dover per forza appesantire troppo il sistema (esistono ottime soluzioni anche leggere, sebbene gli attuali pc possano garantire abbondanti risorse di sistema) permette all’utente di rafforzare le difese del pc. Chiaramente, poi, i vari software vanno scelti secondo le proprie opinioni personali o affidandosi a test indipendenti che possano fornire un indice di performance e affidabilitá.

Insomma, quelle soluzioni di sicurezza che tempo fa potevano essere considerate superflue rispetto ad un software antivirus, ora risultano quanto mai necessarie per colmare quel gap che gli attuali antivirus lasciano con i tempi di aggiornamenti delle firme virali.

Il tutto dando per sottointeso, ovviamente, che il pc sia connesso ad internet e non toccando l’argomento permessi utente, per il quale sarebbe necessario un altro aprire un altro capitolo – anche se qualcosa avevo giá scritto qui.