Cybersecurity

Come fare a scoprire i virus e gli hacker (terza parte)

18 Novembre 2014

Ecco come i cacciatori di virus catturano i cattivi  Nella prima e seconda puntata di questa serie abbiamo visto come Avira riesce a scoprire l'arrivo di nuovo malware e nuovi siti pericolosi per mezzo delle honeypot, e come l'analisi statistica e dei Big Data serva a mettere a punto le opportune contromisure. In quest'ultima parte ci soffermeremo invece sul modo in cui Avira blocca il malware in arrivo sul tuo computer o dispositivo mobile prima che possa avvenire l'infezione.

 


 


 

Abbiamo già spiegato come Avira riesce a intercettare le nuove tipologie di malware e come fa a ingegnerizzare i relativi antidoti. Ma come facciamo a bloccare effettivamente il malware (e i keylogger, i furti di identità e altri fastidi nocivi) sul tuo computer o dispositivo mobile? Questo è il lavoro dell'agent software di Avira, il componente che vedi girare sui tuoi dispositivi con il logo dell'ombrello rosso.
 
Tutto il traffico in entrata e in uscita dal tuo dispositivo viene sottoposto a scansione: i messaggi di posta che ricevi e spedisci, i siti visitati dal tuo browser e tutto il traffico IP che richiede accessi alle tue porte. Per le macchine Avira tutto questo traffico è solo un insieme cifrato di 1 e 0, per cui non devi preoccuparti per la tua privacy. Gli engine di scansione implementati nell'agent Avira adoperano tre tecniche di base per identificare e bloccare il codice pericoloso:
 

  • scansione del traffico alla ricerca di firme corrispondenti a un database di virus e Trojan conosciuti;
  • controllo di programmi presenti sul dispositivo che iniziano a manifestare comportamenti sospetti come la modifica di voci del Registry o lo spacchettamento di malware cifrato;
  • analisi del codice dei programmi (chiamato talvolta codice disassemblato) alla ricerca di routine pericolose. Questa analisi è spesso molto complessa tanto da essere solitamente svolta nel cloud da server particolarmente potenti; i risultati vengono inviati al tuo dispositivo quasi istantaneamente.

 
Tutto questo avviene sul tuo computer nell'arco di qualche millisecondo, una cosa notevole se ci pensi.
 
Alcuni termini che ho usato qui sopra si sentono ripetere spesso quando si parla di antivirus e software per la sicurezza. Se può interessarti mi ci soffermerò ora per spiegarli un po' più in dettaglio.
 
Il rilevamento basato sulle firme è la tecnica antivirus più comune. Ogni codice malware possiede una propria impronta digitale univoca: può essere una particolare serie di byte nel codice, l'hash crittografico del file o qualsiasi altro elemento identificabile; e questa impronta digitale può essere verificata all'interno di un database di virus e Trojan conosciuti. Il vantaggio dei metodi di rilevamento basati su firma è di essere veloci ed efficaci al 100% di fronte a malware già noto. Il rovescio della medaglia è che non sono in grado di fermare il malware mai osservato in precedenza, e i malintenzionati sono molto bravi nel mutare il codice perché possa aggirare i rilevamenti conservando tuttavia le funzionalità originali. Quindi il rilevamento basato su firme è un primo filtro efficiente, ma deve essere impiegato in combinazione con altre tecniche.
 
Il rilevamento basato sul comportamento (a volte noto con il termine "rilevamento euristico") identifica il malware evidenziando attività sospette da parte del codice come per esempio tentativi di modificare file presenti sull'host o avviando comunicazioni dati con indirizzi IP dubbi. Rilevamento euristico significa, tecnicamente, un esame statistico dei file in assenza di una corrispondenza esatta con una firma. Sebbene nessun singolo comportamento o singola osservazione possano essere sufficienti per dichiarare il carattere pericoloso di un file, l'insieme delle tecniche euristiche e basate sul comportamento possono evidenziare il potenziale rischio di un file e aumentarne il punteggio. Definendo soglie di punteggi oltre le quali il codice viene bloccato, il tool antivirus può intercettare la presenza di malware o virus precedentemente sconosciuti mantenendo protetto il tuo sistema.
 
Il rilevamento basato su cloud raccoglie i campioni del potenziale malware dal tuo computer e li invia ai server di Avira a scopo di analisi. Questa tecnica minimizza il carico cui viene sottoposto l'agent software Avira (così che il tuo computer possa girare più velocemente) mentre il cloud engine di Avira può osservare i pattern e correlare i dati di milioni di utenti Avira. In questo modo tutti i singoli utenti dell'antivirus Avira possono approfittare dell'esperienza collettiva dell'intera community Avira. Un altro vantaggio derivante dallo spostamento dell'analisi al cloud è che per i malintenzionati diventa molto più difficile fare il reverse engineering degli engine di scansione e collaudarne l'efficacia rispetto al loro malware senza identificarsi.
 
In pratica tutte queste tecniche vengono utilizzate insieme all'interno di un approccio "stratificato" che fornisce ad Avira un tasso di rilevamento quasi perfetto pari al 99,8% secondo i test indipendenti svolti da AV-Comparatives nel marzo 2014.

(Tratto dal blog di Avira)
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.