Antivirus + Firewall = Sicurezza?

Un buon antivirus ed un buon firewall sono sufficienti a rendere sicuro il proprio computer?
Secondo il parere di alcuni (incluso chi vi scrive) la risposta è NO.

Ad ogni modo passiamo prima in rassegna quelli che ritengo siano i migliori software antivirus e firewall in circolazione.

Utenti Microsoft
Potete trovare qualche interessante confronto sui software AV sul sito Top Ten Review. Uno dei confronti più attendibili è però http://www.av-comparatives.org/. Attualmente è disponibile un confronto recente (di febbraio) su diversi prodotti: http://www.av-comparatives.org/seiten/ergebnisse_2007_02.php. Anche per un confronto sui firewall potete fare riferimento al sito Top Ten Review e dare inoltre un’occhiata al sito Firewall Leak Tester (cliccando sul pulsante “view results” a fondo pagina).

Utenti Linux
Come firewall avete naturalmente l’eccellente Netfilter che è già integrato nel kernel. Al limite potete dotarvi di un’interfaccia grafica che vi semplifichi il compito di impostarlo: vedi Firestarter.
Come antivirus consiglio invece ClamAV: abbastanza aggiornato, semplice, leggero (ne esistono di più efficaci, anche se non Open Source; su un sistema Linux tenderei però a dare più importanza alla leggerezza e non invasività del programma piuttosto che alla sua efficacia).

Come vi ho anticipato, un AV ed un firewall non vi mettono al riparo al 100%:

  • gli AV utilizzano sistemi di rilevamento basati sulle “virus definition”, in pratica nient’altro che una semplice lista delle firme (parti di codice, stringhe di byte) presenti nei codici dei virus. Quasi tutti gli attuali antivirus in circolazione, freeware compresi, utilizzano in abbinamento al sistema di riconoscimento delle firme un sistema chiamato “euristico”. La finalità del sistema euristico dovrebbe essere quella di riconoscere nuovi virus per i quali non sono ancora state inserite le relative firme nella “definition list” (il sistema euristico dovrebbe cioè essere in grado di analizzare e “simulare” il comportanmento di un software in modo da riconoscerne l’eventuale pericolosità). Un parere personale che in quanto tale è opinabile: meglio un AV senza sistema euristico ma con una lista di definizioni aggiornatissima rispetto ad un AV con sistema euristico ma con una lista aggiornata poco frequentemente. Con questo non voglio dire che il sistema euristico sia inutile, tutt’altro… non lo considero però il punto principale per la scelta di un AV.
  • la tempistica con cui vengono rilasciati gli aggiornamenti dell’AV è fondamentale; purtroppo anche i programmatori dei migliori brand di AV in circolazione necessitano di tempo (a volte giorni) per esaminare il codice del virus, implementare un sistema per impedirne la diffusione e che possa rimuovere l’intruso dalle macchine infettate. Con la diffusione di connessioni ad internet di tipo “a canone fisso senza limiti di tempo”, i computer rimangono connessi in rete sempre più a lungo: la velocità a cui si diffondono i moderni virus è impressionante (una diffusione ancora più veloce si può notare nelle intranet aziendali).
  • chi è in grado di programmare dei virus veramente efficienti è anche in grado di fare in modo che il virus possa disabilitare l’eventuale software antivirus: in alcuni casi si tratta soltanto di trovare le librerie (dll), gli eseguibili ed i relativi processi utilizzati dagli antivirus più diffusi e fermarli/disabilitarli ad ogni riavvio del sistema. Questo è tanto più plausibile ai giorni nostri, quando le falle create da un virus sono sfruttate anche da altri virus/spyware ed i comandi che deve eseguire il virus possono essere impartiti direttamente da remoto (magari tramite apertura di una connessione ad un determinato sito web).
  • gli attuali worm sono in grado di moltiplicarsi e diffondersi anche senza che vi sia alcun intervento da parte dell’utente. Agiscono infatti sfruttando delle falle del sistema operativo o del software presente sulla macchina: non colpiscono quindi soltanto utenti un po’ ingenui che aprono allegati di posta elettronica dalla dubbia provenienza… Il worm per antonomasia è forse Sasser: basta disattivare AV e firewall e navigare in rete per un po’ di tempo ed ecco che se ne viene immancabilmente infettati. Da sottolineare che Sasser è datato: cosa succederebbe con nuovi worm di simile calibro per i quali però antivirus e firewall non garantissero ancora un’adeguata protezione?
    Non è neppure da sottovalutare il pericolo Trojan Horse. I trojan necessitano di essere eseguiti in locale sul computer della vittima e quindi la loro diffusione è contenuta; il problema nasce però dal fatto che la diffusione dei trojan è facilitata dai worm che aprono spesso una breccia da cui i primi possono penetrare senza troppi problemi.
  • non tutti i virus vengono rilevati: se abbiamo la sfiga di beccarci un rootkit potremo avere enormi difficoltà a liberarcene (sempre da essere così fortunati da riuscire a scoprire di essere stati infettati). Il malware può infatti utilizzare rootkit per rendersi “invisibile” ad una comune scansione antivirus. Su sistemi Microsoft è possibile utilizzare RootkitRevealer o altri programmi simili per tentare di scovarli. Per i sistemi Linux potete trovare un interessante articolo su blog di Kijio.
  • un firewall basilare (come quello integrato nel sistema operativo Windows Xp) è settato per bloccare le connessioni in entrata (inbound); lo stesso occhio di riguardo non viene però usato per le connessioni in uscita (outbound). Se ci colleghiamo ad un sito web sul quale è presente un’immagine (.jpeg) che contiene un virus od un exploit il firewall non blocca assolutamente nulla… Questo accade perché la connessione verso il sito web l’abbiamo stabilita noi, non il contrario. E poco importa se navighiamo soltanto in siti che riteniamo affidabili: anche i “big” hanno avuto le loro belle gatte da pelare (vedi per esempio il recentissimo exploit che ho menzionato sul mio blog: ha colpito persino il sito web dell’Asus!).
  • da notare che molte persone lasciano attivo il protocollo UPnP: UPnP abilita i computer della rete ad aprire automaticamente le porte sul firewall e fare un port forwarding su tali computer. Ad esempio UPnP serve a software come MSN Messenger per aprire automaticamente le porte del router verso l’IP privato che ne fa richiesta. C’è quindi la possibilità che vi siano diverse porte aperte di cui ignoravamo la conoscenza (in quanto aperte appunto in modo automatico dall’UPnP). Perciò, anche se abbiamo un buon firewall, fare una scansione delle proprie porte per vedere quali sono aperte non è una cattiva idea.
  • un firewall può giustamente bloccare l’accesso ad alcuni servizi potenzialmente pericolosi. Per certi servizi esiste però un’altra soluzione più drastica ed a mio avviso più sicura: disabilitare i servizi non necessari che su alcune macchine abbondano… E’ anche possibile restringere l’accesso ad alcuni servizi al nostro solo indirizzo IP.
  • con un antivirus ed un firewall diventa superfluo aggiornare il proprio sistema operativo ed i programmi che utilizziamo: niente di più falso. Purtroppo, in particolare per i possessori di sistemi operativi Microsoft non originali, è un’abitudine abbastanza diffusa non preoccuparsi più di tanto se non riescono ad utilizzare il sistema “Microsoft Update”.
  • la maggioranza degli utenti Windows utilizza l’account da amministratore. Sarebbe molto più sicuro crearsi un secondo account con permessi limitati. Purtroppo ciò può comportare dei problemi in quanto alcuni programmi potrebbero così non funzionare correttamente: quantomeno per navigare su internet potete però tranquillamente limitarvi ad utilizzare un account con restrizioni.
  • esistono vari software freeware che permettono un controllo sulle comunicazioni che vengono attivate dagli applicativi sulle diverse porte del computer. Dato che sono freeware tentiamo di non lasciarci vincere dalla pigrizia. Esempi di simili programmi per sistemi Microsoft sono Active Ports, Port Reporter, ecc.
  • anche avendo un elevato livello di protezione è difficilissimo potersi ritenere al sicuro da un attacco di tipo Man In The Middle.

C’è una soluzione a tutto questo? Sì, la paranoia!
P.S. ……scherzo.

~ di 2BFree su aprile 27, 2007.

3 Risposte to “Antivirus + Firewall = Sicurezza?”

  1. vorrei far notare che esistono anche alcuni programmilli come i keylogger che vengono installati in/consapevolmente .. dai genitori , dalle/dagli amanti, dalle mogli/mariti etc., che contribuiscono a rendere mooolto insicuro windows.
    Invito 2BFree a trattare l’argomento … su linux ce ne sono diversi ma ovviamente bisogna essere superutente.. su windows a bizzeffe e basta un click (vi lascio immaginare da remoto come sia facile…)

  2. Kijio ha ragione, molto azzeccato anche l’accenno alle mogli/amanti😛

    Scherzi a parte esistono persino dei Keylogger Hardware, simili a chiavette USB che vengono inserite tra tastiera e computer. Con le giuste conoscenze tecniche è anche possibile costruirsene uno da soli: http://www.keelog.com/diy.html

    Non avviano nessun processo sul computer: l’unico modo per scoprire questi keylogger è… vederli.

    Su internet è addirittura possibile acquistare delle tastiere che hanno un simile congengo già incorporato all’interno. In questo caso l’unico modo per scoprire il keylogger è… rompere la tastira😛

  3. You should try Bit Defender or Kaspersky antivirus 2009.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger cliccano Mi Piace per questo: