19 Gen 2009
Inserito da: Andrea Lanfranchi in: Mondo IT
Da qualche tempo il diffusissimo prodotto per la sicurezza del computer, AVG Antivirus e AVG Internet Security, sviluppato dalla ceca AVG Technologies, soffre di diversi problemi che ne hanno, a mio parere, seriamente intaccato l’immagine di serietà e di affidabilità. Numerose sono state, infatti, le lamentele degli utenti che hanno potuto sperimentare sulla loro pelle problemi di varia natura: falsi positivi su importanti file del sistema operativo, instabilità nel componente Firewall, malfunzionamenti dei componenti WebShield e LinkScanner, blocchi del funzionamento dell’intero programma e mancata rilevazione (e rimozione) di rootkit già riconosciuti da tempo.
Tutto questo lascia l’amaro in bocca specialmente agli utenti che hanno pagato per ottenere la loro licenza: gli utilizzatori della versione free, infatti, non hanno goduto degli stessi rilasci e, di contro, non hanno goduto di tutti gli stessi problemi.
Sicuramente a Brno, sede di AVG Technologies, non sono insensibili ai pasticci causati: è di pochi giorni fa la notizia che annuncia l’acquisizione, da parte di AVG, di Sana Security, un produttore di software per la sicurezza del computer basato su analisi comportamentale (behavioral) dei software malevoli piuttosto che sulle impronte conosciute. Tutto questo mi porta a pensare che, come accadde qualche anno fa con l’acquisizione di Ewido, che AVG offrirà presto una nuova versione del proprio software che integri questa nuova tecnologia.
La maggior parte dei software antivirus – ed AVG è tra questi – , basa la propria efficacia sul riconoscimento, all’interno dei file che scarichiamo dalla rete o che riceviamo da altri supporti (come ad esempio cd, dvd, chiavette usb ecc.), delle cosiddette impronte virali “note” ovvero una collezione, ormai piuttosto ampia in verità, di piccole porzioni di codice riconosciuto essere presente nei file virali. E’ intuitivo pensare che questo approccio sia sempre in ritardo : il virus deve essere stato distribuito sulla rete per poter essere ricevuto dai laboratori di analisi i quali provvederanno ad inserirne l’impronta nell’aggiornamento del database virale da distribuire agli utenti.
La tecnologia di Sana Security, al contrario, non utilizza la stessa tecnica: il loro prodotto Primary Response SafeConnect insegue il sogno platonico di un software anti-malware che non sia basato sul riconoscimento di impronte note, ma che possa analizzare il comportamento di un dato programma per capire se l’intento è malevolo o lecito. Qualora fosse malevolo PRSC provvederà a terminare il processo incriminato e ad eliminare i file programma associati dal computer. Ovviamente il software potrà essere istruito manualmente per indicare una lista (white-list) di programmi da considerare sempre leciti al fine di evitare possibili falsi positivi. Tutto questo, ovviamente, porta all’indubbio vantaggio di avere un software anti-malware che non insegue più il mondo dei virus noti, ma li anticipa prevenendo gli effetti indesiderati degli stessi sulle funzionalità e configurazioni del computer, sgravando di conseguenza i laboratori di analisi da un immane lavoro causato da migliaia di segnalazioni di file infetti alla settimana.
La strada è sicuramente interessante ed è già stata anticipata dalle tecniche di analisi euristica variamente implementate dai maggiori vendor di antivirus. Ma è la tecnologia ed il metodo di implementazione che mi lasciano perplesso: in particolare mi preoccupa l’impatto che questa nuova tecnica potrà avere sugli utenti non smaliziati e digiuni di cultura informatica (la maggior parte) per i quali l’avviso di un comportamento anomalo di un tal software non significa assolutamente nulla o, peggio, avrà il solo effetto di mandare l’utente nel panico e conseguentemente bombardare i centri di assistenza con domande su come comportarsi a loro volta. Vi è poi un secondo aspetto da tenere in considerazione: ovviamente ci si aspetta che un software anti-malware sappia individuare i cattivi tra i programmi all’interno del pc, ma deve anche poter certificare che i buoni … sono buoni davvero. Esistono infatti molte fattispecie di programmi che utilizzano tecniche apparentemente malevole per scopi leciti : basti pensare ai tool che permettono di prendere il controllo remoto del computer o ancora, per parlare di AVG, al modulo LinkScanner che effettua un download dei siti prima che noi effettivamente li visualizziamo.
In questo momento sto scaricando una versione trial di PRSC per verificarne il funzionamento su un pc virtuale. Pubblicherò una review in un secondo momento.
Per ora non ci resta che aspettare per vedere come AVG abbia intenzione di integrare la tecnologia appena acquistata all’interno del proprio software: sta arrivando AVG 8.5 ?