Si intende approfondire quali soluzioni tecnologiche devono essere messe in atto per difendere il nostro sistema informatico dall'attacco dei malware, ponendo l'attenzione in questa pagina sul settimo anello della catena della sicurezza, ovvero le Protezioni Antimalware e successivamente, con i consigli per difendersi dai malware, sul primo anello della catena, Formazione e Informazione.

Un sistema Antimalware, più o meno articolato a seconda che si tratti di una soluzione destinata ad un singolo personal computer, o ad una piccola rete, o che sia una suite scalabile di software ed appliances dedicata a reti di medie-grandi dimensioni, deve comunque assicurare una serie di protezioni:

1. protezione automatica per il file system: deve disinfettare, processare in altro modo (quarantena) o impedire la scrittura su disco e la lettura da supporti fissi/rimovibili di file infetti;

2. scansione su richiesta del file system: deve consentire l'esecuzione di scansioni dei dischi immediate o programmate, da eseguirsi a discrezione dell'utente;

3. protezione automatica per la posta elettronica: deve assicurare la disinfezione o comunque un processo (quarantena, redirezione, eliminazione degli allegati o dell'intero messaggio) di messaggi contenenti qualsiasi genere di malware (quindi non solo messaggi contenenti allegati infetti ma anche Spam, Phishing, Hoax ecc.);

4. scansione su richiesta delle cartelle di posta elettronica (questa operazione può essere limitata solo a particolari formati delle caselle di posta)

5. protezione automatica della navigazione su Internet: deve impedire l'esecuzione di contenuti attivi potenzialmente pericolosi delle pagine web, che potrebbero installare malware nel sistema, oltre che impedire che vengano scaricati file infetti via HTTP e FTP;

6. protezione contro minacce varie: deve impedire il download di dialer, hacking tools, bots e trojans

7. protezione firewall: deve consentire solo traffico autorizzato tra il sistema informatico ed il mondo esterno e viceversa;

8. protezione contro minacce sconosciute: deve poter essere in grado di difendere il sistema informatico contro ogni genere di minaccia futura.

I prodotti Antimalware Panda Software permettono di implementare tutte queste protezioni usando quattro tecnologie:

1. Pattern Matching
   Il pattern matching, o metodo di confronto, è stata storicamente la prima tecnologia usata dai prodotti antivirus, e si basa sul fatto che ogni malware ha una propria particolare "firma", o "pattern" (che può essere una sequenza di istruzioni per un programma, o una parola/frase formattata in un certo modo per un messaggio): lo scanner antimalware analizza il contenuto di ogni oggetto comparandolo con un database, la Lista di Definizione dei Malware: se viene rilevata una corrispondenza ("match") tra il contenuto dell'oggetto ed una voce del database (confronto positivo) l'oggetto viene ritenuto infetto e processato di conseguenza. Ovviamente si comprende che, perchè questo metodo sia efficace, è necessario conoscere preliminarmente la firma del malware, che deve essere già stato "isolato" e "studiato" analogamente, ad esempio, al virus biologico dell'influenza: ogni anno si sviluppa un nuovo ceppo di virus resistente al vaccino dell'anno precedente, qualcuno purtroppo deve ammalarsi, si isola il virus e si ottiene un nuovo vaccino. Ogni volta che un computer si infetta con un nuovo malware è allora necessario isolare il malware, estrarne la firma ed aggiornare la Lista di Definizione Malware del prodotto Antimalware: questa operazione richiede alcune ore da quando il malware è stato isolato. Panda Software rilascia almeno una volta al giorno una lista di definizione malware che viene automaticamente acquisita via Internet dalle soluzioni di sicurezza.

2. Analisi Euristica
   Il metodo del pattern matching è stato più che valido finchè la velocità di diffusione dei virus era lenta, dell'ordine dei mesi o settimane (quando la connettività Internet era riservata alle Università, alle grandi Aziende ed agli enti pubblici) e resta valido tuttora per la certezza di identificazione di un malware già catalogato mediante un veloce confronto. Ciononostante già nel passato gli venne affiancata una tecnologia che consentiva di stabilire con una certa dose di certezza se un file senza firma catalogata poteva essere considerato un malware. L'analisi euristica (dal greco euriskein, "trovare") si basa sull'analisi in base a regole probabilistiche di un codice statico, alla ricerca di sequenze di istruzioni (per un programma) o parole/frasi (per un testo) che diano adito a possibili carattiristiche/comportamenti pericolosi. I moderni motori antispam, basati su filtri Bayesiani (dal nome del matematico Thomas Bayes) possono essere considerati una grande evoluzione dei primi scanner euristici. In generale queste regole, essendo basate su leggi della probabilità, hanno sempre una percentuale di incertezza che può dare luogo a falsi allarmi.

3. Content Filtering
   Il controllo dei contenuti è un tecnologia propria dei Firewall che è stata applicata anche ai prodotti antimalware, e si basa su un'idea tanto semplice quanto efficace: impedire tout court l'accesso alla rete a tutti quegli oggetti non richiesti e, per prudenza, anche ammissibili, che potrebbero essere pericolosi se eseguiti per disattenzione o distrazione: in sintesi, tutto ciò che non risponde a particolari convenzioni o che ha certe caratteristiche indesiderate, viene filtrato senza neanche essere sottoposto a nessuna delle due precedenti analisi. Tipici ed efficaci filtri sulle estensioni possono negare l'acceso al sistema informativo a tutti i file che non siano compressi, e sottoporre quelli compressi a verifiche di affidabilità circa il loro contenuto (numero di file, dimensione decompressa, livelli di annidamento): un filtro sulle estensioni ben tarato può impedire l'accesso ad oltre il 90% dei nuovi virus che si propagano con file dalle estensioni che non avrebbe senso inviare consapevolmente; tipici ed altrettanto efficaci filtri sul subject e sul body dei messaggi possono negare l'accesso mail che contengano particolari parole o frasi, o che provengano da particolari dominii o mittenti. Ovviamente occorre applicare i filtri con cognizione di causa per evitare grosse soggezioni al normale esercizio del sistema.

4. TruPrevent™ Technologies
   Situazione reale: un file ZIP ammesso al transito dal Content Filter, allegato ad una mail proveniente da un mittente noto, viene rilevato come non infetto dal Pattern Matching (aggiornato) e come non sospetto dall'Analisi Euristica: l'utilizzatore lo apre trovando un eseguibile che nel messaggio viene descritto come un utile tool, oppure trovando quello che sembra un file di immagine (infatti termina con JPG). L'utilizzatore lancia l'eseguibile, o cerca di visualizzare l'immagine (che immagine non è in quanto JPG è seguito da diversi spazi vuoi e quindi da .EXE) e... il computer viene infettato dall'ennesima versione di W32/NuovoVirus che si propaga attraverso allegati con estensione ZIP. La prudenza imporrebbe, prima di aprire il file, di chiedere conferma al mittente della spedizione, specie se si tratta di un file inatteso, e di essere ancor più diffidenti se il messaggio non è scritto nella lingua del mittente.. ma ormai il danno è fatto. Questa sitazione è, ripetiamo, reale