Gli antivirus sono uno dei software più popolari e conosciuti dagli utenti. Tra le prime cose che si insegnano solitamente a chi si avvicina per la prima volta al mondo dell’informatica è il prestare attenzione ai virus, programmi che possono danneggiare irrimediabilmente un sistema, rubare dati e via dicendo. Sebbene si tenda forse ad ingigantire eccessivamente la minaccia, almeno per l’utente comune è raro incorrere in virus/malware in grado di creare danni irreversibili, è comunque innegabile che rappresentino una delle insidie principali per utenti privati.
I più fortunati si troveranno davanti a semplici eseguibili che installano senza permesso delle utility (toolbar di ricerca nel browser) e/o forzano l’apertura di determinate pagine; in altre situazioni potrebbero invece trovarsi in situazioni più delicate come quelle in cui specifici file sono criptati e resi inutilizzabili dal software malevolo. Tutto questo per dire che vi sono eterogenee tipologie di virus con “effetti” variabili sul sistema del malcapitato di turno.
Gli antivirus, tornando ai protagonisti del post odierno, sono stati ideati anche per proteggere gli utenti alle prime armi. E sono generalmente visti come dei preziosi alleati. E’ tuttavia curioso constatare come nell’arco degli ultimi 16 anni il software di protezione così famoso sia stato dato più volte per finito, “morto” – per usare un termine di un certo effetto. Uno dei “necrologi” più eclatanti risale al 2014 e destò scalpore soprattutto per via dell’azienda che si rese protagonista della vicenda, ovvero la Symantec, nome che potrebbe non essere noto a molti ma che se associato all’amato/odiato antivirus Norton “accenderà più di una lampadina” tra i lettori.
La nota azienda dietro al brand Norton annunciava sul Wall Street Journal il pensionamento degli antivirus e l’avvio di un nuovo iter di ricerca che avrebbe portato in futuro inedite soluzioni per attaccare/affrontare le minacce online con altre metodologie/strategie – si doveve passare da “proteggere” a “individuare la minaccia e rispondere” disse l’allora senior vice president for information security Brian Dye. A distanza di tre anni, Norton è ancora presente sulla scena, così come altri prodotti analoghi, e continua ad essere supportato.
Antivirus: dal 2000 al 2007
In questa seconda parte ripercorreremo gli ultimi quindici anni dei software di protezione rifacendoci a quanto scritto dall’esperto di sicurezza Brian Krebs in risposta alla dichiarazione di Symantec. Avendo trattato per quasi 15 anni (Washington Post) di tematiche inerenti la sicurezza online, è un’ottima fonte per ripercorrere le vicissitudini degli antivirus.
Tra il 1999 ed il 2001, esordisce Krebs, l’industria degli antivirus era sostanzialmente giovane ed i protagonisti presenti sulla scena molto meno numerosi che al giorno d’oggi. La routine degli addetti ai lavori era scandita da una serie di fasi ben precise: individuazione delle minacce, analisi in laboratorio (“dissezionamento”), scrittura di un report, rilascio delle definizioni per il software, ovvero le informazioni che interpretate dall’antivirus consentivano di proteggere i pc non ancora colpiti dal software malevolo appena studiato.
Con il passare degli anni, le aziende constatarono quel che attualmente è un fatto conclamato, ovvero l’aumento esponenziale del numero di minacce presenti in Rete. Ai piani alti si intuì rapidamente che occorreva automatizzare le precedure di riconoscimento/analisi ed investire in tecnologie adeguate, pena il non riuscire a tenere il passo dei programmatori di virus. E’ fu così che nacque il rilevamento euristico (heuristic detection), una tecnologia paragonabile ad una sorta di IA (intelligenza artificiale) in grado di contrastare la folta schiera di malware basando l’individuazione di questi ultimi su una serie di eventi/segnali ricorrenti (es: la modifica delle dimensioni di un file) della loro presenza. L’emergenza sembrava essere stata risolta.
L’arrivo dei crypting services
Come detto in altre occasioni, l’evoluzione delle tecnologie è una costante che finisce con l’essere fruibile a tutti: al progresso dei sistemi di sicurezza ne corrisponde, non per forza contemporaneamente, uno per quelli di attacco. Nella prossima fase del racconto, collocabile tra il 2008 ed il 2014, sono questi ultimi ad alzare nuovamente l’asticella della sfida ideando il cosiddetto servizio di criptaggio (crypting service), l’invezione che secondo Krebs ha consentito la nascita e lo sviluppo di una delle industrie più redditizie dell’ecosistema cybercriminale.
FUD (fully un-detectable, completamente invisibile si potrebbe tradurre non letteralmente) è l’acronimo che i cybercriminali iniziarono ad utilizzare in riferimento alla nuova generazione di malware nata grazie ai crypting services. Krebs spiega in poche righe il funzionamento di questi ultimi: il servizio prendeva “in consegna” un qualsiasi malware ed avviava due distinte operazioni. La prima era volta ad individuare le porzioni di codice note ai principali antivirus del mercato (il servizio disponeva di un proprio database antivirus si potrebbe dire!). La seconda avviava delle routine di offuscamento/criptaggio del codice con lo scopo di rendere il malware irriconoscibile ai software di protezione. Una volta ultimata la procedura di camuffamento, il malware risultava cioè invisibile a tutti gli antivirus del database, il virus era pronto per essere restituito al creatore ed essere lanciato sul Web.
Le varianti più avanzate di crypting services possono gestire autonomamente i vari passaggi via server dedicati: il malintenzionato, spiega Krebs, si avvale di uno o più server di distribuzione malware dai quali un crypting service, affidato a sua volta ad un bot che “esegue” le varie task, preleva a scadenze regolari il codice dei virus. Quando questi ultimi sono etichettati come FUD, il bot provvede a rispedire al server di distribuzione il virus ed a notificare il tutto al suo creatore.
Quale futuro per gli antivirus
Il racconto di Krebs si interrompe a metà 2014 ma le considerazioni finali sono ancora attuali – potete in ogni caso proseguire “il viaggio” consultando il post Sicurezza online: la sfida dei “fileless malware”, dedicato all’ennesima nuova generazione di minacce online. L’esperto afferma che gli antivirus, seppur messi ciclicamente alle strette dai cybercriminali e leggermente “antiquati”, restano in ogni caso un valido alleato per l’utenza.
Sarebbe tuttavia un errore considerarli come una soluzione infallibile ed in grado di proteggerci da ogni minaccia. La difesa di un computer non deve basarsi infatti su un’unica tecnologia ma bensì strutturarsi su più livelli (layers). L’antivirus è solo uno di questi layer. Un ruolo importante lo ricoprono anche gli stessi utenti con le proprie valutazioni, conoscenze, azioni: “molte minacce hanno successo [non grazie al loro livello di sofisticazione] ma perchè si avvantaggiano delle debolezze umane (pigrizia, apatia, ignoranza, etc.)” osserva giustamente Krebs.