Un software antivirus, in genere, utilizza una varietà di strategie per rilevare e rimuovere virus, worm e altri programmi nocivi. I metodi maggiormente impiegati per l’identificazione della minaccia sono essenzialmente due :
- Signature-based detection (approccio Dictionary) : Questo è il metodo più usato e comporta la ricerca di modelli di virus noti all’interno di un determinato file. Quando periodicamente l’antivirus si aggiorna, scarica dal database dell’azienda produttrice un dizionario contenente campioni di codice malevolo (in gergo firme). Ogni volta che un file del computer viene esaminato, l’antivirus lo confronta con il dizionario dei codici campione, se il file sotto esame corrisponde con uno dei codici campione interni al dizionario allora viene contrassegnato e subito segnalato all’utente in modo da poter intraprendere un’ azione di riparazione file, quarantena o eliminazione definitiva. Questa tecnica può essere molto efficace, ma richiede aggiornamenti frequenti del dizionario delle firme. Quindi gli utenti devono periodicamente aggiornare il proprio antivirus in modo da difendersi contro le minacce che ogni giorno vengono create.
- Euristico (approccio del comportamento sospetto) : Si basa sull’ identificazione di un comportamento sospetto da parte di un programma che potrebbe indicare un rischio potenziale. E’ una tecnica utilizzata per identificare nuovi malware (malware=MALicious softWARE) e varianti di malware già noti. Per esempio, i comportamenti dannosi di un programma malevolo che tenta di scrivere su un programma eseguibile (.exe) viene segnalato e l’utente viene avvisato di questa azione. Questo metodo di rilevazione fornisce un ulteriore livello di protezione dalle minacce identificate. La maggior parte dei software antivirus commerciali usano una combinazione di approcci basata sia su firme che euristico.
Una domanda sorge spontanea. Perché anche aggiornando con regolarità il proprio antivirus (anche quelli pagamento!!!!!) si è sempre vulnerabili alle minacce? Questa domanda merita molte risposte ma preferisco rispondere con dei semplici consigli.
Una minaccia zero-day avviene quando un malware tenta di sfruttare le vulnerabilità di un’applicazione non ancora identificata dalla società di software antivirus o dalla società che ha prodotto il software sotto attacco. Tanto per citare un esempio evidente, Microsoft Windows come gli altri sistemi operativi, chiedono all’utente di installare gli aggiornamenti (patch o service pack) poiché gli aggiornamenti costituiscono la soluzione migliore per prevenire o risolvere problemi noti e consentono di ottimizzare la protezione del computer. Quindi anche se un software antivirus può rilevare quasi tutti i malware, questo non basta per garantire ad un computer un livello di sicurezza al 100% contro tutti i tipi di minacce. Poiché nuovi virus vengono rilasciati ogni giorno, è molto importante mantenere il dizionario dei virus aggiornato all’ultima versione disponibile dalla software house. Per questo, la maggior parte dei software avrà una funzione di aggiornamento automatico in modo che le definizioni dei virus vengono aggiornate ogni volta che il computer è connesso a internet.
Al di là di ogni software antivirus e di ogni computer c’è sempre un utente che vi dovrebbe operare con coscienza. Quindi è importante anche l’educazione degli operatori su pratiche di navigazione sicura, download di file solo da siti fidati ed esecuzione di programmi provenienti da “fonti” attendibili.
E se proprio si vuole avere qualche pensiero in meno….beh passate a Linux!!
0 commenti
Posts a comment