Antivirus e antispam
Uno dei principali metodi di funzionamento degli antivirus si basa sulla ricerca nella memoria RAM e/o all’interno dei file presenti in un computer di uno schema tipico di ogni virus. In sostanza, ogni virus è composto da un numero specifico di istruzioni, chiamato codice, che può essere visto come una stringa di byte, e il programma cerca semplicemente se questa sequenza è presente all’interno dei file o nella memoria. Un modello di questo tipo è chiamato anche “virus signature“. Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l’antivirus è in grado di riconoscere, aggiornamento che di solito viene effettuato da un gruppo di persone che seguono le segnalazioni degli utenti e da gruppi specializzati nell’individuazione di nuovi virus. A loro volta, gli antivirus per la casa e per l’ufficio vengono aggiornati periodicamente scaricando nuovi modelli di virus dalla rete. Gli antivirus con tecnologie euristiche tendono a rilevare firme parziali di virus, in modo da poter identificare anche virus non ancora presenti nel loro database.
Negli antivirus che utilizzano tecnologie di analisi in tempo reale, ogni file a cui l’utente o il sistema accede viene analizzato per verificare che non abbia una struttura sospetta o non contenga istruzioni potenzialmente pericolose. Negli antivirus che utilizzano l’analisi comportamentale, ogni processo in esecuzione sul computer viene monitorato e le azioni potenzialmente pericolose, come gli accessi al registro del computer di Windows o le comunicazioni con altri processi, vengono segnalate all’utente.
La strategia per ridurre al minimo i rischi di contagio che si può suggerire può essere suddivisa nei seguenti punti:
- Informarsi su cos’è un virus, un antivirus e un firewall; consultare i vari manuali che si possono trovare anche online per comprendere il problema in modo sufficientemente approfondito
- Informarsi su com’è fatto il proprio sistema operativo, il proprio client di posta e il proprio browser e su come funzionano in caso di “attacco” di un virus, per poter capire quali sono le operazioni che permettono di ridurre al minimo i rischi di contagio
- Quando si naviga in Internet evitare il più possibile di scaricare file eseguibili e soprattutto di eseguirli senza avere la certezza assoluta che la fonte sia affidabile. Se l’antivirus dichiara di non aver rilevato alcun virus sul file binario scaricato, questo non significa automaticamente che non siete stati infettati, ma semplicemente che l’antivirus non ha rilevato nulla di sospetto: potrebbe esserci un nuovo virus o forse l’antivirus non è aggiornato
- Quando navigate in Internet evitate di scaricare componenti aggiuntivi per i vostri programmi di navigazione a meno che non siate molto sicuri della fonte
- Quando navigate in Internet evitate di andare su siti sospetti, soprattutto quelli che offrono gratuitamente cose che normalmente dovreste pagare, perché molte volte queste pagine cercano di sfruttare le falle del vostro browser per installarvi un virus, recuperare informazioni salvate sul vostro PC (ad esempio, la vostra carta di pagamento se siete soliti fare acquisti online), o semplicemente permettere al cracker che ha costruito quel sito di prendere il controllo del vostro computer da remoto
- Quando si riceve un’e-mail da uno sconosciuto, soprattutto se contiene allegati, è sempre meglio cancellarla immediatamente senza aprire né il messaggio né tanto meno l’allegato; se l’e-mail proviene da un conoscente e contiene un messaggio o un allegato non previsto, chiedere conferma dell’effettivo invio
- Quando si ricevono e-mail con file eseguibili in allegato, anche se inviati da un conoscente, è sempre bene evitare di eseguirli. È meglio rinunciare a un “gioco” divertente che vedere il proprio computer compromesso da questo e doverlo reinstallare o farlo reinstallare da zero, magari perdendo tutto il lavoro svolto
- Quando inviate messaggi di posta elettronica evitate di allegare file in formato Microsoft Office, ma inviateli in formato testo o altro formato che non contenga macro; chiedete che anche i vostri conoscenti facciano lo stesso quando vi inviano messaggi di posta elettronica
- Abilitate in Microsoft Office la richiesta di esecuzione delle macro; in questo modo saprete se il file contiene macro e ne impedirete l’esecuzione.
- Evitare di eseguire programmi non originali o per i quali non è possibile verificare che non siano compromessi (ad esempio, per tutti i file è possibile associare vari codici di protezione che permettono di identificare se il pacchetto è stato modificato da terzi, il più semplice dei quali è MD5)
- Informarsi su quali sono i prodotti informatici che nella storia recente hanno mostrato più falle e hanno permesso un più facile contagio da parte dei virus più recenti, e se li si possiede informarsi se è possibile sostituirli all’interno del computer con programmi simili, ma più sicuri
- Eseguire e controllare costantemente gli aggiornamenti di tutti i prodotti che si affacciano direttamente sulla rete (sistema operativo, browser, client di posta, client IRC, …)
- Mantenere sempre aggiornati antivirus, firewall e altri programmi di sicurezza
Panoramica
Spesso, al giorno d’oggi, un antivirus “classico” da solo non è in grado di proteggere un computer da tutte le minacce esistenti, come i cyberattacchi, le Advanced Persistent Threat (APT), le botnet, gli attacchi DDoS, il phishing, le truffe, il social engineering o lo spam. Pertanto, la “sicurezza informatica” è generalmente offerta in prodotti, o pacchetti di prodotti, e servizi multipli offerti dalle società di software antivirus. Questa pagina descrive il software utilizzato per la prevenzione, l’identificazione e la rimozione di malware, piuttosto che la sicurezza informatica implementata da altri metodi software, come antispam, firewall, IDS, IPS, ecc…