In un precedente articolo abbiamo sviscerato l’anatomia degli antivirus, evidenziando quali sono le caratteristiche e le soluzioni vincenti di un buon prodotto.
Ora vogliamo parlarvi di un tema centrale nel concetto di antivirus, ossia la modalità con cui il motore (engine) confronta un file su computer con un campione per determinare se si tratta davvero di un virus oppure no.
In sostanza, come fa un antivirus a decidere se un file è un virus? Su cosa esegue il confronto? Chi fornisce il database e i dati di riferimento?

Ci sono due modi per creare una soluzione di antivirus…

Antivirus con database e motore di scansione noleggiato

Il primo metodo consiste nell’usare servizi prodotti da terze parti, collegarli tra loro mediante processi specifici e poi creare un’interfaccia grafica personalizzata che ci darà l’impressione di trovarci di fronte ad un nuovo prodotto.
Il risultato è pur sempre un antivirus funzionante che esegue scansioni, identifica le minacce e le mette in quarantena, ma si tratta di un risultato poco effettivo e, soprattutto, non garantito nel tempo. Infatti, sono molti i motori di scansione e database di terzi disponibili in rete, che possono essere acquistati in licenza o addirittura essere usati liberamente in quanto open source; in questo modo, con un database di signature (firme) e un motore di scansione è possibile creare con facilità il proprio antivirus personalizzato, pur avendo conoscenze di reti e sistemi limitati e senza una struttura specifica di ricerca e sviluppo.
È facile e relativamente economico produrre un antivirus di questo tipo, magari anche “leggero” e con un impatto minimo sulle prestazioni... Ma ricordiamoci che anche la sua efficacia sarà minima.
Le implicazioni negative sono alquanto evidenti: ci si basa su un prodotto che non si possiede, sul quale si hanno garanzie limitate e alla cui licenza bisogna attenersi. E, soprattutto, non è detto che sia aggiornato costantemente: un bel problema visti i numerosi attacchi 0-day che diventano sempre più frequenti!

Uno strumento che non riesce ad identificare le minacce è davvero un antivirus? Chi crea un prodotto di questo tipo non è un vero esperto di sicurezza, e non eroga di certo un servizio di punta! Senza controllo sul database e senza quel tesoretto di pratiche e conoscenze acquisite nel tempo, non si può agire in maniera proattiva e preventiva ma, soprattutto, non si può avere un prodotto migliore, capace di soddisfare il maggior numero possibile di esigenze.
Sempre nel mondo degli antivirus con engine e DB a noleggio è anche possibile creare checksum dei file scansionati e poi confrontarli con quelli presenti su VirusTotal.com - che rimane un servizio utilissimo in alcuni casi! - ma si tratta di un processo inefficiente, con limiti nelle API e rischioso per la privacy dell’utente: i termini d’uso che si accettano implicitamente prevedono la possibilità di condividere i file caricati con i vendor degli antivirus e con gli utenti premium, cosa che di fatto ci fa rinunciare alla riservatezza dei dati che andiamo ad analizzare con VirusTotal.com

Antivirus con laboratorio R&D proprio

Il secondo metodo consiste nello sviluppare in casa i componenti, ed è quello che i migliori sviluppatori di antivirus, come Dr.Web, fanno.

È una soluzione più complessa, costosa, onerosa e difficile da sostenere, ma è quella che garantisce indipendenza e i risultati più soddisfacenti nel corso del tempo. Una software house, in questo modo, si slega da terzi e non dipende più da un database o da un engine esterno prodotto da altri.
Dr.Web sviluppa antivirus dal 1992 con un laboratorio proprio di Ricerca e Sviluppo che si occupa di osservare costantemente l’ecosistema dei malware per rilevare tempestivamente le nuove minacce, prima che possano fare danni sui computer degli utenti: quindi non viene usato nessun database esterno. In questi 26 anni il capitale in termini di procedure, conoscenza e dati guadagnato è notevole, e ne viene data prova costantemente.
Il laboratorio R&D è in costante azione, pronto ad eseguire test in ambienti di prova e sandbox apposite per isolare le minacce, studiarle nello specifico e fornire soluzioni mirate di rimozione. Dei circa 300 impiegati dell’azienda, più della metà sono coinvolti nel settore R&D!
A dimostrazione di ciò, Dr.Web ha una sezione di news in tempo reale, consultabile a questo indirizzo, che avvisa delle nuove minacce immediatamente.
Ad esempio è notizia freschissima (al momento in cui viene scritto il presente articolo) che è stato scoperto un malware distribuito tramite i commenti di YouTube; la notizia data da Dr.Web è stata una delle prime.
Non solo: l’antivirus è già in grado di identificare la minaccia e neutralizzarla; inoltre, dato che non ci si affida a servizi esterni, è già stata catalogata nel database con tanto di catalogazione propria (Trojan.PWS.Stealer.23012 in questo caso) e informazioni sul malware e sulla rimozione.
I casi più eclatanti vengono poi riportati nella sezione news del sito coretech.it in modo da dare maggiore visibilità al pubblico italiano riguardo le nuove minacce. Ad esempio è stato dato avviso tempestivo riguardo il ransomware GrandCrab, oppure della scoperta di un trojan nascosto in app presenti su Google Store e scaricate da più di 2 milioni di utenti.

Mensilmente Dr.Web pubblica due bollettini di aggiornamento sulle minacce osservate nel mese passato, uno per gli ambienti mobile, l’altro relativo ai computer tradizionali. Sono elencate le minacce studiate, statistiche varie tra cui  la loro diffusione, informazioni sull’impatto potenziale e impatto verificato, istruzioni su come rimuoverle, link ad approfondimenti ed altro ancora.
Tutto ciò chi ha database “affittati” o non ha un laboratorio di ricerca e sviluppo proprio non può farlo.

Conclusioni

Le discriminanti nella scelta di un antivirus sono molte, così come sono molte le caratteristiche che distinguono le varie soluzioni. Uno dei parametri da considerare quando si adotta un antivirus è quello relativo allo sviluppo in proprio o meno del database di riferimento perchè, come abbiamo dimostrato in questo articolo, ci sono antivirus ed antivirus.
Ci sono soluzioni, utili in un numero limitato di contesti, che adottano database o motore di scansione di terze parti; a volte l’intero prodotto non è che un collage di pezzi esterni. Ma l’adozione va sempre valutata attentamente.

Altri software si basano su un laboratorio di Ricerca e Sviluppo proprietario. Queste soluzioni sono le più indicate: indipendenza da terzi, sviluppo proprio, costi assorbiti nella filiera, maggior livello di prestazioni e quindi di sicurezza, bagaglio di conoscenze e procedure sviluppato negli anni, monitoring dello stato delle minacce, modalità proattiva e non reattiva agli incidenti, etc… Dr.Web non solo vi garantisce tutto questo ma offre anche costi contenuti!
L’antivirus Dr.Web viene offerto in modalità SaaS, una formula di business che permette di centralizzare tutte le installazioni in un’unica piattaforma e di erogare a tutti gli effetti un servizio che rende superflua l’installazione delle vecchie console di gestione sui server dei clienti.
Il servizio permette di selezionare diversi tipi di abbonamento in base al livello di protezione antivirus che vogliamo sottoscrivere: la licenza Dr.Web di tipo Classic costa solo € 1 ,30 + IVA al mese per postazione e la licenza di tipo Premium costa solo € 1,65 + IVA al mese per postazione.
Il nuovo Partner Program per l’Italia lanciato da CoreTech e Doctor Web mette a disposizione licenze NFR per tutti gli operatori del settore IT e abbonamenti di prova per tutti gli utenti che desiderano approfondire i vantaggi di Dr.Web.
Per maggiori informazioni contattaci.