È un post che sta facendo molto discutere quello pubblicato da Robert O’Callahan, ex sviluppatore Mozilla che, in sostanza, mette alla gogna i software antivirus.
Secondo la tesi di O’Callahan gli antivirus utilizzerebbero una serie di strumenti che contribuirebbero a far scemare il livello di sicurezza garantito da un browser web invece che accrescerlo.
Lo stesso Justin Schuh (responsabile della sicurezza di Google Chrome), che viene citato nell’analisi di O’Callahan, ha recentemente sostenuto che “gli antivirus sono divenuti il principale ostacolo nell’ottica di distribuire un browser sicuro“.
Ma le cose stanno veramente così?
Attenzione a fare di tutta l’erba un fascio
Generalizzare non aiuta. Mai. A nessun livello.
O’Callahan ricorda che il team di Google Project Zero ha spesso rilevato delle vulnerabilità in diversi software antivirus.
I componenti aggiuntivi che molti browser attivano all’interno di ciascun browser installato sul sistema sono spesso gli elementi realizzati con minore attenzione.
Tavis Ormandy, ingegnere Google, ha più volte scoperto delle falle di sicurezza nelle estensioni automaticamente installate in Chrome, Firefox, Internet Explorer e Opera.
Vulnerabilità talvolta presenti in tali componenti possono essere sfruttati, da pagine malevole, per sottrarre dati degli utenti o comunque per sferrare attacchi più complessi (ne abbiamo parlato nell’articolo Eliminare estensioni dal browser, attenzione anche a quelle degli antivirus).
Un’altra cattiva abitudine di molti antivirus consiste nell’abilitare – di default – un componente che effettua una sorta di attacco man-in-the-middle per effettuare una scansione dei dati scambiati usando il protocollo HTTPS.
Si tratta di una pratica che a noi non piace affatto.
Indipendentemente dal nome dell’antivirus, abbiamo sempre consigliato di disabilitare i componenti software che sostituiscono il certificato originale dei siti visitati con uno installato in locale e che poi operano come proxy verso i server remoti.
Ne abbiamo parlato nell’articolo Configurare Avast antivirus e disinstallare i componenti superflui e nell’approfondimento Certificati digitali cosa sono e come rimuovere quelli fasulli abbiamo visto come rilevare l’eventuale presenza di certificati fasulli sul proprio sistema.
O’Callahan si spinge più avanti e ricorda che quando in Mozilla ci si accertò che Firefox utilizzasse senza problemi la funzionalità ASLR (Address Space Layout Randomization) di Windows (utile per scongiurare attacchi specifici che possono avere luogo conoscendo la locazione di memoria in cui sono conservati dati “sensibili”), molti produttori di antivirus “agganciarono” al browser librerie DLL sprovviste di supporto ASLR di fatto azzerando la protezione.
Ma è bene non fare di tutta l’erba un fascio.
Gli antivirus continuano a essere oggi indispensabili per una buona fetta di utenti e soprattutto per quelle realtà in cui non tutte le figure che utilizzano PC e dispositivi sono adeguatamente formate e informate sulle problematiche legate alla sicurezza.
Semmai è bene scegliere l’antivirus con attenzione.
Se l’analisi di O’Callahan giunge a conclusioni sconfortanti e “sentenzia” l’inutilità di qualunque software antivirus (con l’eccezione di Windows Defender, integrato con il sistema operativo), di soluzioni per la sicurezza affidabili che non pongono in essere nessuno dei comportamenti rischiosi ricordati dall’ex programmatore Mozilla ve ne sono diverse.
Le minacce sono diventate talmente evolute che utilizzare qualunque dispositivo senza una protezione evoluta è divenuto semmai ancora più pericoloso che in passato.
Come scegliere un buon antivirus
Secondo noi “chiudere” con i software antivirus è sbagliato sebbene i singoli utenti, più esperti e attenti, possano oggi tranquillamente farne a meno. E ciò grazie proprio al livello di protezione offerto dalle versioni più recenti dei browser che isolano qualunque contenuto rispetto al resto del sistema (sandboxing).
L’uso di un antivirus, però, è sempre consigliabile perché è capace di “mettere una pezza” a comportamenti avventati o rischiosi.
Nello scegliere un buon antivirus, quindi, si dovrà far ricadere la propria attenzione su soluzioni leggere, che non impattano negativamente sulle prestazioni del sistema, che sono altamente personalizzabili e che non installano componenti aggiuntivi nei vari browser web (o comunque ne permettono la semplice disabilitazione).
Un antivirus, oggi, non può più usare solo i database delle firme virali ma deve affiancare o sostituire tale approccio con una visione cloud, un’intelligenza distribuita che permetta di riconoscere e neutralizzare anche le minacce appena apparse online (minacce zero day). Deve altresì integrare un eccellente sistema di analisi comportamentale.
Solo così si potranno riconoscere ed evitare anche attacchi mirati, ransomware di ultima generazione e codici exploit da poco venuti a galla.
È poi altrettanto ovvio che l’utilizzo di un software antivirus, soprattutto in ambito aziendale, dovrebbe essere parte di una strategia per la sicurezza più articolata ed eventualmente centralizzata (soluzioni per la protezione degli endpoint, protezione antivirus a livello di mail server, utilizzo di efficaci politiche di backup, adozione di strumenti HIPS e per il controllo del traffico da e verso l’infrastruttura).