di Lucio Viganò

Dopo aver conosciuto, nel corso di numerosi interventi sulle pagine di In-sieme, le principali minacce cui sono sottoposte sia la nostra tranquillità di navigazione nella rete, sia la sicurezza e la riservatezza dei dati personali custoditi nel nostro computer, è giunto il momento di osservare un po’ più da vicino le caratteristiche di quello che a ragione si può chiamare l’angelo custode del nostro PC: l’antivirus, questo illustre sconosciuto.
Per la verità la definizione di antivirus è piuttosto riduttiva e ricorda più i primi anni dell’alfabetizzazione informatica, quando non c’era ancora internet e tanto meno la posta elettronica e la possibilità di contagio era piuttosto remota, affidata quasi esclusivamente all’unico strumento di scambio tra appassionati: il floppy disk, supporto magnetico racchiuso in un guscio di plastica di vari colori, che poteva al massimo contenere 1,44 Megabytes di dati, un’inezia se confrontato con i moderni supporti ottici quali il compact disk (700 MB), il DVD (può arrivare, nel tipo a doppio strato, a 8,5 Gigabytes), oppure il modernissimo BluRay, il supporto per contenuti multimediali ad alta definizione che nella versione a doppio stra-to arriva alla strepitosa capacità di 50 GB, ovvero 53.687.091.200 di bytes!
Oggigiorno, vista l’enorme quantità di insidie che circolano sul web, l’antivirus, nell’accezione letterale del termine, non è più sufficiente per proteggere il nostro computer, ma è necessario uno strumento più versatile e poliedrico, capace di offrire una protezione a 360° su tutta la nostra atti-vità informatica. Ecco allora che il software nel tempo si è evoluto, tra-sformandosi in una vera e propria suite, integrata da tutte quelle caratteri-stiche che ne fanno un prodotto adatto alle esigenze dell’utente evoluto.
Si va dall’antivirus vero e proprio, in grado però di riconoscere anche altro malware quali worm, trojan, dialer e keylogger, al filtro antispam e anti-phishing, funzioni utili per arginare il fenomeno delle mail spazzatura e per prevenire il furto dei dati sensibili memorizzati nel PC. Non viene dimenti-cato poi un buon firewall (lett. muro di fuoco), in grado di innalzare una vera e propria barriera tra il nostro computer e la rete, rendendone più dif-ficile l’individuazione da parte dei cyber-criminali quando siamo connessi a internet. Per finire, nei prodotti più completi non manca il parental control, una funzione molto comoda per i genitori, in grado di impedire la navigazione in siti i cui contenuti sono inidonei alla visione da parte dei minori.
Occorre tuttavia considerare che la presenza di uno strumento così com-plesso sul computer si paga in termini di efficienza del sistema, quindi di utilizzo delle risorse disponibili; un moderno antivirus, infatti, per mettere efficacemente in pratica tutti i controlli che abbiamo visto sopra, interferi-sce pesantemente con l’attività del computer, limitandone sensibilmente le prestazioni, anche se, a onor del vero, oggigiorno l’inconveniente è stato notevolmente ridimensionato dalla potenza dei moderni processori.
Ma come funziona un antivirus?
Prima di approfondire l’argomento è tuttavia necessario fare una piccola digressione circa il funzionamento di un virus; esso essenzialmente è un piccolo programma, specificatamente progettato per compiere attività dan-nose per il nostro computer o per i dati in esso memorizzati, dopo esservi penetrato in maniera fraudolenta, prevalentemente attraverso la navigazio-ne in internet o la posta elettronica. L’insieme delle caratteristiche proprie di ogni virus, vale a dire il blocco di istruzioni che compone il codice ma-levolo, diverso da virus a virus secondo gli scopi prefissati, è chiamato in gergo “firma”, proprio perché, come una firma, permette di identificare il malware in modo univoco. I laboratori dei produttori di antivirus, sono co-stantemente occupati a identificare i nuovi virus che appaiono continua-mente sulla scena mondiale, in modo da isolarne le firme; esse vanno poi a costituire un particolare elenco chiamato “database delle firme”, in altre parole l’universo dei virus sino a quel momento conosciuti, con le loro ca-ratteristiche peculiari. Questi database, aggiornati quotidianamente, sono inviati agli antivirus installati sui PC, che se ne servono per la loro attività di controllo; questa è la ragione per la quale da sempre si raccomanda cal-damente la costante, sistematica manutenzione del proprio antivirus: se la firma di un nuovo virus non viene riconosciuta, perché non presente nel database, il codice maligno potrebbe non essere individuato, con le conse-guenze che tutti possiamo immaginare.
Per poter efficacemente intervenire, l’antivirus è automaticamente avviato all’accensione del computer e rimane attivo in una porzione della memoria durante tutta la sessione di lavoro; esso esamina ogni singola operazione, analizza ogni file che è elaborato o immesso nel computer e controlla tutta la posta elettronica scaricata, passando al setaccio ogni messaggio con gli allegati eventualmente presenti. Quando rileva una sequenza di istruzioni sospetta, la confronta immediatamente con il database delle firme e, se l’esito è positivo, interviene immediatamente in due modi: se possibile, impedisce al virus di penetrare nel computer, bloccando e distruggendo il file che lo contiene o l’allegato di posta infetto. Spesso però l’infezione è scoperta quando ormai l’agente infettante ha già contaminato il sistema ed allora l’unica via d’uscita è quella di mettere il virus “in quarantena”, te-nendolo in un’area controllata e protetta dall’antivirus, che gli impedisce di agire in attesa che ne sia possibile l’eliminazione.
Gli argomenti fin qui trattati suggeriscono una considerazione importante: esiste uno spazio temporale tra l’arrivo di un nuovo virus e la sua scoperta, durante il quale il sistema diviene particolarmente vulnerabile e vi è la concreta probabilità di essere infettati, senza che l’antivirus installato sul PC intervenga; questa eventualità è indipendente dall’aggiornamento del database delle firme, semplicemente perché la firma non esiste ancora. La domanda allora è: in che modo proteggere il computer dalle nuove insidie in circolazione, non ancora scoperte e isolate dai laboratori incaricati?
La risposta ci è fornita dall’analisi euristica, efficace tecnica messa a punto dagli esperti.
Durante tutti gli anni passati a studiare il fenomeno delle infezioni infor-matiche, si è scoperto che tutti i tipi di malware posseggono una base com-portamentale comune, indipendente dagli scopi finali di ognuno di essi, che possono essere profondamente differenti. In presenza di un comporta-mento sospetto da parte di qualsiasi applicazione, che secondo i criteri classificati possa essere assimilato ad attività virale, l’antivirus interviene a prescindere dall’origine dell’attività medesima, sia essa identificata o no come malware. Si tende cioè a sospettare la presenza di un virus non tanto dalla sua firma quanto dal suo comportamento. Questo metodo di analisi si affianca alla scansione normale, integrandola e potenziandola, ma in taluni casi può creare qualche problema con applicazioni perfettamente legittime, generando dei falsi positivi; il rischio che ciò possa accadere è tuttavia mi-nimizzato con l’aiuto di altre tecniche, quali ad esempio il controllo d’integrità sui files di sistema presenti nel computer, attraverso la verifica di alcuni parametri come le dimensioni e la data di creazione, per stabilire se sia in corso un eventuale attacco.
In caso di allarme attivato dall’analisi euristica, molti antivirus demandano all’utente l’onere di decidere se l’applicazione o la circostanza che ha cau-sato l’intervento della protezione siano coerenti con l’attività svolta al computer. È evidente che dare una risposta congrua a un simile quesito può essere piuttosto difficile e presuppone sempre un minimo di competenza informatica, per evitare di bloccare un programma utile o peggio di conce-dere via libera ad un virus con il proprio consenso!
L’analisi euristica è utilissima per contrastare una tipologia di infezioni subdola e pericolosa, conseguenza del progresso inarrestabile della crimi-nalità informatica nello specifico settore: i virus mutanti, categoria che comprende principalmente i virus polimorfici e i virus metamorfici.
Questi virus, estremamente evoluti, si caratterizzano perché tentano di sfuggire all’individuazione da parte degli antivirus cambiando ripetuta-mente il proprio aspetto mediante la tecnica della crittografia (polimorfici), o addirittura modificando sé stessi per trasformarsi in qualcos’altro (meta-morfici), così da non essere intercettabili dall’antivirus. Fortunatamente, però, in entrambi i casi il nocciolo del virus, ovverossia il codice malevolo che sferra l’attacco, deve prima o poi venire allo scoperto per agire; questa, alla resa dei conti è la sua vulnerabilità, il tallone d’Achille del malware che gli attuali antivirus, divenuti anch’essi molto sofisticati, nella maggior parte dei casi sono fortunatamente in grado di sconfiggere.
Il messaggio che si può ricavare dalla lettura di queste righe è fondamenta-le per la comprensione delle complesse fenomenologie che sono alla base delle infezioni informatiche: nessun antivirus è infallibile al cento per cen-to; esiste sempre un margine di errore, di fatalità e di imprevedibilità che, per quanto esiguo possa essere, è sufficientemente ampio perché il nemico vi si possa infilare.
È l’eterna lotta tra il Bene e il Male, la rincorsa tra il veleno e il suo antido-to, tra il proiettile e la corazza, una lunga sequenza di sconfitte e di vittorie dei cui significati simbolici è piena la storia dell’Umanità, riproposta oggi in chiave moderna e informatica.