Uno studio condotto da Gartner nei mesi scorsi, evidenziava come entro la fine del 2007 il 75% delle imprese avrebbero visto parte delle macchine installate nella propria infrastruttura infettate da malware non rilevati attraverso i sistemi tradizionali, realizzati per interesse economico ed estremamente “personalizzati”.
Sino a qualche tempo fa l’unico approccio generalmente utilizzato da parte dei vari software antivirus nella lotta contro i malware consisteva nell’impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all’interno dell’archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.
Gli attacchi sono divenuti però, purtroppo, sempre più “mirati” facendo assumere al “fenomeno malware” una natura dinamica, in continua evoluzione. Una vera e propria piaga per gli utenti comuni e le aziende.
Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di “reverse engineering”, procedure che prevedono l’analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario.
Chi realizza malware sta utilizzando sempre più sovente espedienti e metodologie che complicano drasticamente il lavoro di “reverse engineering”. Il risultato è che questo tipo di attività è destinato a richiedere competenze tecniche sempre maggiori ed il tempo da dedicare all’analisi di ogni singolo campione malware si allunga in modo esponenziale.
Appare quindi evidente come attività del genere, che richiedono tempo e notevoli investimenti economici, si rivelino sempre meno adatte per affrontare un fenomeno, come quello del malware, in continua crescita.
Vi presentiamo un software gratuito, rilasciato da PC Tools – software house produttrice di altre soluzioni per la sicurezza informatica -, che basa il suo funzionamento su un’analisi di tipo comportamentale, svincolandosi così dall’impiego esclusivo degli archivi delle firme virali.
Il programma si chiama ThreatFire e si incarica di svolgere azioni di analisi e di blocco, entrambe basate sul comportamento tenuto dalle applicazioni presenti sul sistema monitorato. Il software si propone come una sorta di “ultima linea di difesa” contro i nuovi malware, progettati per passare inosservati ai controlli basati sull’uso di definizioni antivirus ed euristica.
ThreatFire si integra bene con altri prodotti antivirus ed antimalware, compresi quelli sviluppati da terze parti.
ThreatFire è il risultato dell’acquisizione della società Novatix e del suo prodotto di punta CyberHawk da parte della irlandese PC Tools.
Una delle caratteristiche principali di PC Tools ThreatFire è il ridotto impatto sulle performance del sistema: i vari processi che il software esegue in background impegnano appena 10 MB di memoria RAM. Un altro fiore all’occhiello del prodotto è la sua assoluta semplicità d’uso: il programma non richiede alcun tipo di configurazione. Gli unici interventi che l’utente potrebbe trovarsi a dover compiere consistono nell’indicare se una minaccia possa probabilmente trattarsi di un falso positivo (l’eventualità appare comunque piuttosto rara).
A conclusione dell’installazione, ThreatFire – per poter essere completamente operativo – necessita di un riavvio del sistema. Per accedere alla finestra principale del software sarà poi possibile fare doppio clic sull’icona visualizzata nell’area della traybar di Windows, generalmente posizionata in basso a destra.
Il livello di protezione aggiuntivo offerto da ThreatFire Free (l’impiego del programma non sostituisce l’uso e l’aggiornamento continuo di un classico antivirus) risulta immediatamente operativo già ad installazione terminata: nel momento in cui il software dovesse rilevare un’attività sospetta, potenzialmente messa in atto da un componente malware, provvederà a bloccarla tempestivamente visualizzando contestualmente un messaggio di allerta. La tecnologia ActiveDefenese, alla base di ThreatFire, si occupa di monitorare, a basso livello ed in modo continuativo, le attività avviate sul sistema in uso. Combinando l’impiego di una serie di algoritmi, ActiveDefense è capace di bloccare sul nascere eventuali operazioni dannose.
I malware riconosciuti vengono evidenziati mostrando una finestra caratterizzata da una riga d’intestazione di colore rosso; le operazioni potenzialmente dannose vengono invece segnalate con il colore giallo. Le applicazioni il cui giudizio è “border line” (Potentially Unwanted Applications) vengono riportate con il colore grigio. In tutti i casi, l’utente deve operare con la massima cautela.
Il Threat Control Center, accessibile cliccando sull’apposito pulsante nella finestra principale del programma, consente di revisionare gli oggetti che sono stati ritenuti da ThreatFire come potenzialmente dannosi.
La finestra principale di ThreatFire racchiude alcune interessanti informazioni statistiche.
Nella colonna Your protection viene indicato il numero di azioni che il programma ha condotto a tutela del singolo personal computer in uso. In corrispondenza della voce Community protection, invece, ThreatFire riporta le azioni svolte a protezione dell’intera comunità degli utenti del programma.
In particolare, Events analyzed indica il numero di volte che ThreatFire ha valutato un’azione condotta da un programma installato in modo da determinarne la potenziale pericolosità; Programs examined restituisce un’informazione sul numero di processi che il software ha provveduto a monitorare ed analizzare; Suspicious activities detected mostra il numero di volte che ThreatFire ha individuato un’operazione rischiosa; Malware blocked riassume il numero di occasioni in cui il software ha bloccato dei componenti malware.
Facendo riferimento al pulsante Start Scan è possibile avviare un’analisi rapida del sistema (Quick Scan) alla ricerca di malware e di rootkit oppure effettuare una scansione approfondita (Full Scan). La casella Scan for threats non risulta selezionabile perché trattasi di una funzione prevista nella versione “Pro” del programma: si tratta della possibilità di effettuare una scansione del sistema alla ricerca di malware conosciuti, facendo ricorso all’archivio delle firme virali.
Il pulsante Advanced rules va considerato appannaggio esclusivamente degli utenti più esperti. ThreatFire è infatti già pre-configurato in modo tale da essere in grado di rilevare e bloccare tutte le azioni potenzialmente pericolose. Ad ogni modo, i più smaliziati possono aggiungere delle regole personalizzate in modo da interagire più in profondità con il funzionamento di ThreatFire. Il programma richiederà l’applicazione da monitorare (Source), l’evento che dovrà scatenare la regola creata (Trigger), le opzioni per ottimizzare la regola stessa (Options) e le eventuali esclusioni, ossia le circostanze che non debbono essere prese in considerazione per richiamare la regola (Exclusions).
La versione di ThreatFire che vi proponiamo è quella completamente gratuita. L’utente potrà comunque decidere, in qualsiasi momento se passare alla versione “Pro” a pagamento. Entrambe le versioni del prodotto poggiano tuttavia sullo stesso motore di difesa (tecnologia ActiveDefense). Le uniche differenze risiedono nel fatto che la versione “Pro” (costo in promozione: 14,95 Dollari) integra anche un antivirus “tradizionale” che utilizza firme virali oltre a maggiori possibilità di personalizzazione.