Che cosa può fare per voi una protezione contro i virus e i malware

I produttori di antivirus (AV) affermano che quando si decide di ignorarli si rischia davvero tanto! O, per lo meno, si mettono a rischio i dati. Alcuni utenti Windows hanno una visione opposta: gli strumenti antivirus interferiscono con le prestazioni del sistema, infastidiscono gli utenti con notifiche non necessarie e bloccano applicazioni assolutamente innocue lasciando invece a volte “passare” software dannosi.

Anche se un software antivirus può apparire estremamente fastidioso, garantisce una rete di sicurezza essenziale. Quando si decide di non installare un software antivirus, l’unica soluzione per evitare la possibilità di un’infezione dannosa è prestare particolare attenzione a tutte le nostre interazioni con altri utenti. In breve: in assenza di una protezione antivirus è meglio scordarsi di Internet.

Gli attuali programmi antivirus si comportano grossomodo nello stesso modo quando devono proteggere gli utenti contro i software dannosi, ovvero i “malware” per essere più concisi. I moduli di protezione in tempo reale verificano tutti i file non appena vengono caricati mentre un modulo di protezione web può inibire l’accesso a siti dannosi. Infine, una scansione su richiesta esegue un controllo di tutti i dati locali alla ricerca di possibili infezioni.

Ma è anche vero che tutti questi metodi richiedono risorse per l’elaborazione, riducendo le prestazioni dell’intero sistema. Tuttavia, attualmente sono disponibili alcuni metodi che limitano questo impatto. Uno di questi prevede un approccio su più livelli quando viene utilizzato per rilevare la presenza di software dannoso,.

Una breve premessa: come lavora una protezione antivirus?

Il sistema più semplice per rilevare le minacce è abbinare il codice alle “firme” di un malware noto. Per essere più chiari, questo metodo effettua un controllo per verificare se il file analizzato corrisponde a un “checksum” (valore calcolato) presente in una “blacklist” (elenco elementi non affidabili).

Questo approccio ha lo svantaggio che gli aggressori sono in grado di vanificare il riconoscimento della firma apportando lievi modifiche al codice. Entra allora in gioco l’analisi euristica che consente ai programmi antivirus di ampliare i propri criteri di rilevazione utilizzando un schema più approfondito che agisce, per esempio, su uno spezzone specifico del codice invece che sull’intero file.

L’analisi euristica ha il vantaggio di essere in grado di rilevare con facilità le varianti di una minaccia. Tuttavia – e per i software antivirus vi è sempre un “tuttavia” – dato che le analisi euristiche si basano sostanzialmente su un qualche livello di congetture, possono considerare un software innocuo come un malware.

Un altro approccio si basa sull’analisi comportamentale. In questo caso, le applicazioni sospette vengono prima eseguite in un ambiente protetto (“sandbox”) e isolato dal sistema operativo. Questo metodo di rilevazione, tuttavia, richiede molte risorse e quando viene avviato su un computer l’operazione potrebbe influire significativamente sulle prestazioni.

Per arginare questo problema, i programmatori di antivirus hanno sviluppato dei “sistemi di reputazione” on-line. Quando il programma antivirus locale non è sicuro del contenuto di un file contatterà immediatamente i server del produttore di antivirus per verificare se il programma in questione è presente in una “whitelist” (elenco elementi affidabili) centralizzata, e se il codice è considerato innocuo, ne verrà autorizzata l’esecuzione. Se il codice è sconosciuto, il file viene inviato come campione ai server del produttore per essere sottoposto a un’analisi centralizzata, durante la quale il campione viene eseguito in un ambiente Windows virtuale dove il suo comportamento viene analizzato per rilevare attività insolite.

E tutto questo, di solito, si verifica senza che l’utente debba in alcun modo interagire. Provate a pensare a un programma antivirus come a una serie di piccoli folletti che lavorano in background per mantenervi al sicuro. Tuttavia, anche questi “folletti” possono sbagliare.

Quando gli strumenti antivirus vanno in confusione o “impazziscono”

Malgrado le sicurezze delle whitelist e dei controlli di reputazione on-line, vi sono alcune condizioni nelle quali i software antivirus mancano il bersaglio impedendo la corretta esecuzione di software non dannosi e l’accesso a siti web innocui. Questi errori vengono definiti “falsi positivi”.

Un recente esempio di falso positivo è Comodo Internet Security Pro che, in alcune circostanze, impedisce agli utenti di utilizzare SoftMaker Office 2018. Con le sue impostazioni standard, il firewall integrato di Comodo può bloccare l’accesso ai server di attivazione di SoftMaker. Il risultato è che il software non sarà in grado di verificare la validità della licenza, impedendone l’attivazione.

Gli sviluppatori di software coinvolti da un problema come questo hanno a disposizione ben poche risorse, se non quella di contattare il produttore dell’antivirus e convincerlo della legittimità del loro software e richiedere che il loro prodotto venga inserito nella loro whitelist aziendale. Ma questo richiede tempo. Nel frattempo, gli utenti devono affidarsi a soluzioni alternative.

Nel caso di Comodo Internet Security Pro e di SoftMaker Office 2018, l’unica soluzione attualmente valida per assicurare l’attivazione è disattivare il modulo “Filtro Web” del pacchetto. Per farlo dovranno accedere alle impostazioni di Comodo Internet Security e raggiungere la sezione Filtro Web. In questa sezione sarà necessario disattivare l’opzione “Abilita Filtro Web (Raccomandato)” e confermare la scelta facendo clic su OK.

In linea generale si dovrebbe fare particolare attenzione quando si decide di disabilitare elementi della protezione antivirus installata. La soluzione migliore è la creazione di eccezioni per applicazioni specifiche creando, in questo modo, una whitelist locale. Tuttavia, prima di definire un’eccezione di questo tipo è opportuno verificare attentamente che questa non interferisca con la sicurezza del computer. Per fortuna vi sono vari servizi on-line gratuiti che possono aiutare in questo compito.

Come verificare che un file sia innocuo

Alcune applicazioni antivirus sono particolarmente drastiche: i file sospetti vengono velocemente eliminati o inviati in “quarantena”, un’area speciale del PC dove non possono causare danni. E questo accade ancora prima che il programma antivirus possa emettere una qualsiasi segnalazione.

Vi sono vari modi per verificare se un file è un falso positivo oppure un qualcosa di dannoso come segnalato dal software antivirus. Spesso accade di dover innanzitutto recuperare il file dalla sua cartella di “quarantena”. Dato che questo processo è particolare per ogni applicazione, sarà anche necessario fare riferimento alla documentazione del programma antivirus. Per evitare che il file recuperato venga di nuovo rimosso, potrebbe a volte essere necessario creare prima un’eccezione temporanea.

Successivamente si potrà trasmettere il file a un servizio di scansione on-line come HerdProtect, Jotti’s Malware Scan, Opswat Metadefender Cloud o VirusTotal. Fare comunque attenzione a non fare mai doppio clic su un file prima di averlo trasmesso a uno di questi siti! Il servizio avvierà una scansione per controllare il file trasmesso usando diversi motori di scansione antivirus, e questa operazione richiede solo alcuni minuti.

Il risultato ottenuto da una scansione antivirus on-line potrebbe anche risultare difficile da interpretare. A questo punto, se più motori concordano sul fatto che si tratta di un file dannoso, si potrà desumere che il programma antivirus locale avesse ragione. È pertanto necessario fare particolare attenzione ai risultati catalogati come euristici (comunemente identificati con “heur”). Come accennato in precedenza, l’analisi euristica è soggetta a errori.

I servizi on-line di scansione antivirus non sono perfetti: potrebbe accadere che tutti i motori di scansione non siano in grado di rilevare la malizia nascosta nel file trasmesso per la verifica. E questo è particolarmente vero quando i file sono stati ricevuti come allegato di un messaggio di posta elettronica. Spesso, questo tipo di malware è stato creato appositamente per evitare di essere rilevato da una protezione antivirus.

Di solito, i produttori di antivirus riescono a evidenziare lo stratagemma, ma questa analisi richiede qualche ora. Pertanto, quando dopo una prima analisi si hanno dei sospetti su un file, è necessario mantenerlo inerte e non aprirlo/eseguirlo per qualche ora e, successivamente, inviarlo di nuovo per una ulteriore scansione on-line. Il risultato ottenuto, di solito, è diverso da quello iniziale eliminando qualsiasi dubbio.

Fare però attenzione quando si trasmettono dati personali a un sistema di scansione antivirus on-line perché la maggior parte di questi servizi inoltra i file sospetti ai singoli produttori di antivirus ai quali richiedono un’ulteriore analisi. Si tratta di una procedura che viene di solito riportata nelle condizioni di utilizzo dei servizi di scansione on-line, anche se raramente vengono lette dall’utente.

Come scegliere un antivirus

Per un utente privato che utilizza un sistema Windows, Windows Defender è una soluzione antivirus abbastanza decente. Si tratta di uno strumento sviluppato da Microsoft che, pertanto, si integra senza problemi con Windows. Windows Defender si basa sia sulle firme, sia sui controlli di reputazione on-line. Pur trattandosi di uno strumento gratuito, cerca di essere il meno intrusivo possibile.

Tutti gli altri strumenti antivirus gratuiti sono essenzialmente dei veicoli pubblicitari per i rispettivi partner commerciali. Questo significa che gran parte degli sforzi è dedicata a richiamare l’attenzione su se stessi, in quanto lo scopo finale è quello di vendere un prodotto. Windows Defender adotta un modello commerciale diverso.

Se si utilizza il computer a livello professionale, Windows Defender potrebbe non rivelarsi la scelta migliore. L’utilizzo del software richiede la partecipazione attiva a "SpyNet,", un servizio di reputazione di Microsoft con un nome un po’ imbarazzante. Quando Windows Defender rileva la presenza nel computer di un file sospetto lo trasmette a Microsoft senza chiedere il preventivo permesso dell’utente, con il rischio di divulgare a terzi dati di tipo riservato.

La ragione di questo comportamento sta nel fatto che Microsoft commercializza anche una soluzione antivirus a pagamento, “Endpoint Protection", specificatamente progettata per i clienti aziendali. Essenzialmente, Windows Defender alimenta Endpoint Protection con esempi di malware.

Gli utenti professionali possono quindi decidere di adottare una soluzione antivirus diversa. La maggior parte di queste soluzioni consente di decidere di non aderire alla trasmissione dei file sospetti, anche se questa scelta riduce il grado di protezione. Inoltre, queste soluzioni offrono vari livelli di protezione: alcuni utili, altri discutibili.

I produttori di antivirus commerciali offrono, di solito, pacchetti diversificati con caratteristiche e prezzi altrettanto diversi: un programma antivirus basilare offre solo funzionalità basilari. Un pacchetto di sicurezza Internet di medio livello comprende caratteristiche aggiuntive, tra cui un ambiente di navigazione sicuro per le operazioni che coinvolgono le transazioni bancarie, funzioni di blocco degli annunci pubblicitari, aree protette da password e controllo parentale. Una versione di tipo avanzato offre ulteriori funzioni, molte delle quali hanno dei benefici abbastanza discutibili.

Quando si deve decidere quale pacchetto antivirus scegliere si consiglia innanzitutto di installare una versione di prova per imparare a conoscere l’applicazione e, successivamente, decidere se quanto proposto soddisfa le proprie esigenze. È anche opportuno dedicare del tempo per verificare se l’applicazione cerca di “sequestrarvi”, vale a dire, se vi forza a continuare a utilizzare il prodotto.

In linea generale, le aree protette da password, per esempio, sono una buona idea, anche se quelle offerte con i pacchetti di sicurezza internet, spesso, non consentono di esportare i dati in un formato diverso da quello leggibile dalle aree protette da password. E questo potrebbe portare l’utente a orientarsi verso un programma antivirus di livello inferiore solo perché i programma “tiene in ostaggio” le password inserite.

Gli strumenti per “mettere a punto” o “pulire” il sistema operativo hanno anch’essi un’utilità discutibile dato che Windows, per liberare spazio sul disco fisso, comprende già funzioni come “Pulizia del disco” e “Sensore di memoria”. Inoltre, uno strumento per la “pulizia del registro” potrebbe danneggiare il sistema operativo e Microsoft dichiara espressamente di rifiutare l’assistenza ai clienti che utilizzano questi strumenti.