Che cos’è, come funziona e cosa fa un antivirus in informatica

Che cos’è, come funziona e cosa fa un antivirus in informatica

Caratteristiche antivirus

Uno dei principali mezzi che sono oggi a disposizione per proteggere un singolo sistema è il software antivirus. I malware, volgarmente chiamati virus, sono software creati al solo scopo di causare danni, di qualsiasi tipo, a un sistema informatico. I software antivirus fanno parte di una particolare tipologia di software con il compito di rilevare, ed eventualmente eliminare, programmi malevoli come malware o virus informatici. Resta il fatto che per quanto efficiente un antivirus venga considerato, esso non consente singolarmente di considerare un sistema a prova di virus e questo fattore sarà uno dei temi principali di quest’indagine.

Che cos'è, come funziona e cosa fa un antivirus in informatica

L’avvento di Internet può essere quasi considerato come la data in cui i primi virus di massa furono creati, diventando un problema globale. Di pari passo, anche lo sviluppo di sistemi antivirus ha incominciato l’avvio, soprattutto in vista di un profitto economico più che di sicurezza. Oggi la presenza di un antivirus in ogni macchina collegata alla rete è indispensabile e il suo reperimento è semplice ed anche economico se non gratuito. In particolar modo, i proprietari di sistemi operativi Windows devono porre attenzione ancora maggiore, in quanto allo stato attuale delle cose, la maggior parte dei virus disponibile sono rivolti proprio contro questo sistema operativo. Il fatto è dovuto per molte cause come la diversa politica di gestione del sistemi operativi. I sistemi provenienti dal mondo Unix, ove i più restrittivi privilegi concessi all’utente e all’accesso dei dati ostacolano in modo netto l’attività dei virus o limitano in parte i possibili danni. Questo però non implica che anche su questi sistemi non sia necessaria una protezione antivirus visto che la possibilità che nasca un nuovo virus è sempre dietro l’angolo.
L’attitudine dei virus ai sistemi proprietari Microsoft è dettata anche dal fatto che essi occupano la più grande fetta di mercato ovvero 86% e in particolar modo nel mondo desktop dove l’ignoranza dell’utenza favorisce azione e la diffusione di virus. La peggior combinazione che un utente può trovare dinanzi al monitor è anche la più comune: browser e posta elettronica. Elementi che sfruttano la rete e lo scambio di dati.

Come funziona e che servizi offre

I moderni sistemi antivirus svolgono le loro principali funzioni di base analizzando ciò che è già all’interno del nostro sistema e ciò che cerca di entrarvi così che prima che ogni software sia lanciato in effettiva esecuzione, esso è analizzato secondo diversi criteri. Fortunatamente con il progressivo incremento della potenza dei processori e della velocità dei supporti di massa, i sistemi antivirus non si presentano più come pesanti software che svolgono in primo luogo, il complito di rallentare la nostra macchina, e in secondo quello di proteggerla, scoraggiando nel loro utilizzo una moltitudine di utenti. Oggi questi software, che girano principalmente in background ed un più servizi, occupano un quantitativo relativamente piccolo di memoria e uso cpu/disco, consentendo all’utente di svolgere le proprie attività incurante della sua presenza.

L’analisi sulle attività del sistema viene svolta ad eventi, ove a lancio di un nuovo processo o nell’accesso a un insieme di file, viene effettuata una verifica preventiva. Le principali tipologie d’analisi sono due: signatures e ricerca euristica.
Il metodo delle signatures, come fa intendere lo stesso nome, si base sul confronto delle firme. Il sistema ricerche all’interno della memoria ram o all’interno dei file presenti nella macchina uno schema tipico. Ogni virus è composto da una sequenza predefinita di istruzioni o righe di codice che ne determina il comportamento o ne caratterizza il tipo, quindi si va a effettuare un confronto diretto fra lo schema rilevato e un archivio che contiene tutte le firme dei virus noti. Come ben intuibile, il metodo delle signatures basa il suo corretto funzionamento della completezza e l’aggiornamento dell’archivio messo a disposizione dal produttore dell’antivirus, che può variare da produttore a produttore.

Fondamentale il lavoro che viene svolto dietro l’archivio. Esso viene creato analizzando il comportamento della maggior parte dei programmi con cui un utente può entrare in contatto. Se ritenuto dannoso, si conduce un analisi più approfondita per determinare l’effettiva natura. Da ciò è ben intuibile il principale punto debole di questo metodo ossia il tempo d’analisi; è da considerarsi molto improbabile che in un dato momento tutti i malware presenti sulla rete siano stati analizzati e riconosciuti da un produttore, in particolar modo se si parla di virus 0-day cioè appena prodotti. Esiste quindi un lasso di tempo considerevole prima che il produttore scopra, analizzi un virus, e successivamente aggiorni l’archivio, senza considerare il fatto che ogni utente deve successivamente aggiornare il proprio archivio privato. In questo periodo anche se il sistema è considerato aggiornato e sicuro, in realtà non lo è.

La seconda tipologia d’analisi è detta euristica e per molti versi consente di eliminare in modo parziale la falla di sicurezza delle signatures. La metodologia euristica basa il suo funzionamento non sul confronto diretto, ma sul confronto di comportamento. I servizi monitorizzano il comportamento di un determinando processo e cercano di determinare se questo può essere dannoso per il sistema. Il tutto si base sul principio che determinate tipologie di virus adottino simili comportamenti o routine per volgere i propri compiti. Le implementazioni euristiche si raggruppano in tre rami: analisi dei file, molto simile alla signatures e basandosi sull’analisi della struttura dei file a cui si accede, analisi comportamentale, ogni processo è monitorato e ogni azione potenzialmente pericolosa è segnalata all’utente, ed infine la sand-box. Questo metodo, forse è considerato il più interessante, in quanto non si effettua solo un controllo sul dato, ma anche una limitazione fisica. Il nuovo processo entrante non viene direttamente allocato nell’area di memoria comune ai processi di sistema, ma in un area protetta dove il monitoraggio del suo comportamento è più facilmente interpretabile. A seconda del comportamento, il processo successivamente potrà essere eseguito sulla macchina fisica, spostato in quarantena o addirittura terminato. Questo sistema garantisce un grado di protezione più alto, ma allo stesso tempo degrada, per quanto minimamente, le prestazioni del sistema visto che si necessita di un numero maggiore di risorse fisiche quali memoria e uso cpu. Sia per ragioni economiche che prestazionali, non tutti gli antivirus adottano sand-box, anche se ritenuto più sicuro.

Tutti i metodi euristici si basano su un livello di sensibilità al rilevamento, di norma gestito dal produttore e nei casi più raffinati anche dal utente. Il grado si sensibilità stabilisce il livello di tolleranza cui il sistema si deve attenere nell’analisi di un file, comportamento e azioni, visto che non si tratta più di un confronto diretto, ma di un interpretazione. L’interpretazione è il punto debole delle metodologie euristiche: un grado di sensibilità troppo basso consentirà l’avvio indisturbato di processo che all’apparenza compiono azioni poco rilevanti, ma dannosi al sistema, viceversa un grado di sensibilità troppo alto provocherà l’effetto contrario ovvero un eccessiva allerta anche su programmi potenzialmente innocui o che svolgono mansioni di routine simili, ma ben diverse da quelle dei virus come la condivisione di dati tra processi, dando vita a falsi positivi.

Antivirus di rete e firewall

Infine, alcuni antivirus si compongono anche di una parte firewall. Esso rappresenta una difesa passiva perimetrale tra il sistema e una rete informatica, sia di tipo LAN che WAN, compiendo il ruolo di filtraggio, monitoraggio e modifica dei pacchetti entranti e uscenti, da e verso la rete basandosi su regole prestabilite. La sua capacità si basano sul fatto di poter manipolare pacchetti di livello tre, e quindi ip, riuscendo a leggere le informazioni contenute nel proprio header. Nel nostro caso si parla di firewall di tipo software, in quanto esso è componente di un sistema antivirus. Ne possono esistere anche di tipo hardware, composti principalmente da una macchina fisica che svolto esclusivamente, o parzialmente, il ruolo di filtraggio e nodo perimetrale fisico.

Rimanendo proiettati verso il settore business esistono anche soluzioni ulteriormente evolute chiamate antivirus di rete, composti da una suite completa di software che consente ad un amministratore di rete di poter gestire da remoto tutti i software di sicurezza installati nelle proprie macchine host ed effettuare operazioni di manutenzione in modo invisibile al singolo utilizzatore, senza la necessita di operare fisicamente sulla macchina. Visto che parliamo di suite, questi prodotti si possono comporre anche di sistemi firewall.

Bisogna considerare che gli antivirus seguono sempre regole e algoritmi scritti da essere umani e in quanto tali possono essere soggetti a errori, falsi positivi e decisioni sbagliate.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *