PrevX è una società attiva nel campo della sicurezza informatica, ancora poco conosciuta nel nostro Paese ma che già da anni si sta mettendo in evidenza per l’efficacia dei software prodotti. Tanto che Yankee Group ha lodato la società così come ha fatto Gartner Research classificandola come “cool vendor”.
Il “quartier generale” di PrevX è sito a Derby, in Inghilterra.
Vogliamo fornire ai nostri lettori non solo una panoramica sulle soluzioni PrevX per la protezione del computer e la rimozione di malware ma anche un’interessante opportunità.
I primi 200 lettori che si registreranno al forum ed alla newsletter e che seguiranno le istruzioni illustrate avranno diritto ad uno sconto del 20% sull’acquisto di PrevX CSI o di PrevX 2.0.
Per qualunque chiarimento sull’iniziativa, potete contattarci all’indirizzo e-mail info@ilsoftware.it.
L’iniziativa ha visto, nei giorni scorsi, anche l’assegnazione di 10 licenze gratuite ai primi lettori che si sono registrati al forum ed alla nostra newsletter.
Uno dei punti di forza di PrevX consiste nell’aver messo da parte il tradizionale approccio per il riconoscimento dei malware basato sull’utilizzo delle firme virali. Sino a qualche tempo fa l’unica arma generalmente utilizzata da parte dei vari software antivirus nella lotta contro i malware consisteva nell’impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all’interno dell’archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.
Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di reverse engineering, procedure che prevedono l’analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario. L’attività di “reverse engineering” di un malware, così come di qualunque altro software, si può svolgere seguendo diversi approcci. I più comuni consistono nell’osservazione delle informazioni scambiate con l’impiego, per esempio, di packet sniffer (software che consentono di “intercettare” tutti i dati inviati e ricevuti dall’applicazione oggetto di analisi), nell’utilizzo di “debugger” a basso livello come SoftICE, nel disassemblare l’eseguibile dell’applicazione o del malware, nell’effettuare una decompilazione (processo che permette di rigenerare il codice sorgente in un linguaggio di livello più alto a partire dal codice macchina o bytecode).
Chi realizza malware, inoltre, sta utilizzando sempre più sovente espedienti e metodologie che complicano drasticamente il lavoro di “reverse engineering”. Il risultato è che questo tipo di attività è destinato a richiedere competenze tecniche sempre maggiori ed il tempo da dedicare all’analisi di ogni singolo campione malware si allunga in modo esponenziale.
La tecnologia integrata da PrevX nei suoi software è stata battezzata Community Intrusion Prevention (CIP) e si incarica di identificare codici maligni sulla base del comportamento tenuto. In questo modo, è possibile svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.
PrevX CSI
Il primo dei due prodotti di punta di PrevX è CSI, un programma che si incarica di esaminare le informazioni memorizzate sul sistema in uso alla ricerca di eventuali componenti dannosi. Qualunque utente può effettuare gratuitamente una scansione del personal computer: chi desiderasse però eliminare i malware eventualmente rilevati deve necessariamente acquistare una licenza a pagamento.
Una delle caratteristiche più interessanti di PrevX CSI è il fatto che il programma non necessita di installazione. Si rivela, quindi, uno strumento prezioso, pronto all’uso. Il software potrebbe essere inserito, ad esempio, in una penna USB così da effettuare rapidamente delle scansioni antimalware sui personal computer utilizzati.
Il motore di scansione di PrevX CSI è in grado di rilevare spyware, virus, rootkit, trojan e milioni di altre tipologie di infezioni da malware. Fiore all’occhiello del software è la sua velocità di scansione, anche nel caso di dischi fissi “densamente popolati” di file e cartelle.
PrevX CSI non integra un modulo residente in memoria che monitora costantemente l’attività del sistema bloccando eventuali tentativi d’infezione: è invece un programma che può essere abbinato ad altre suite suite per la protezione.
Il software non richiede nemmeno competenze tecniche: è infatti in grado di adottare le misure necessarie nel caso in cui venga rilevata un’infezione malware sul sistema oggetto di esame.
Ci preme comunque di sottolineare che la visualizzazione di un’icona collegata a PrevX CSI nella traybar di Windows non significa che il programma fornisca una protezione in tempo reale (che invece è prerogativa di PrevX 2.0). CSI può essere quindi affiancato a prodotti di terze parti per poter fidare su di un livello di protezione aggiuntivo. In fase di sviluppo, l’azienda ha fatto in modo che PrevX CSI non evidenzi incompatibilità con altri software di sicurezza conosciuti.
Una scansione del sistema con PrevX CSI dovrebbe essere eseguita periodicamente, con regolarità. Per venire incontro ai più “smemorati” CSI integra una funzionalità di “scheduling” che, nella configurazione predefinita, provvede ad esaminare quotidianamente il sistema in uso. Nel caso in cui non venga rilevata alcuna infezione il programma non mostra mai alcun tipo di avviso. In questo modo CSI evita di distogliere l’utente dalle attività alle quali sta lavorando mostrando un messaggio di allerta solamente nel caso in cui dovesse essere individuata un’infezione.
Nell’eventualità in cui PrevX CSI dovesse diagnosticare la presenza di uno o più malware, l’utente può valutare l’acquisto di una licenza a pagamento, indispensabile per la rimozione dei componenti dannosi oppure orientarsi su prodotti alternativi.
PrevX CSI è così veloce nella fase di scansione del sistema grazie al particolare approccio impiegato. La procedura di analisi di CSI può durare anche appena uno o due minuti di tempo. Diversamente da altri software per la sicurezza, PrevX CSI va specificamente alla ricerca di tutti quei programmi che risultino attivi oppure che possano essere eseguiti sul sistema in uso. Limitando il suo raggio d’azione alle aree del sistema operativo maggiormente vulnerabili e più utilizzate dai malware per insediarsi sul sistema o per garantirsi l’esecuzione automatica ad ogni avvio di Windows, PrevX CSI è in grado di scoprire la maggior parte delle infezioni in un ridotto lasso di tempo.
Al termine della prima scansione con PrevX CSI, il programma richiede se il software debba essere installato sul sistema in modo tale da configurare un’analisi automatica su base giornaliera (opzione Scan my PC daily at this time). In alternativa, è possibile sempre avviare PrevX CSI al bisogno, come programma “stand alone”, facendo doppio clic sul suo file eseguibile (pesa appena 600 KB).
Stando a quando dichiarato da PrevX, CSI a fine 2007 era già impiegato su più di 725.000 personal computer, prendendo come riferimento un periodo di due mesi. Come illustrato più volte nelle pagine de IlSoftware.it (ved. questo materiale), l’installazione di un prodotto antivirus/antimalware non deve indurre un falso senso di sicurezza nell’utente. Sono infatti all’ordine del giorno casi di prodotti, sia freeware che commerciali, che non siano riusciti ad individuare ed a neutralizzare minacce provenienti dalla Rete, in particolare malware appena iniziati a diffondersi. Le software house che più hanno fidato sull’uso dell’approccio basato sulle firme virali sono oggi certamente quelle più in difficoltà.
Che il numero di malware, contando le innumerevoli varianti di ogni singolo componente nocivo, stia aumentando in modo esponenziale è cosa ormai nota. Il dato allarmante che diverse ricerche portano all’attenzione degli utenti consiste però nel fatto che un considerevole numero di infezioni interessano molti sistemi protetti mediante l’installazione di una suite di sicurezza.
Tra i dati più disarmanti, vi è quello che esprime la percentuale di sistemi protetti e quelli non dotati di alcuna protezione o di antivirus/antimalware “scaduti”. Nonostante gli sforzi dei vari produttori nello sviluppo di funzionalità che consentono l’aggiornamento semplificato dei vari pacchetti software, ben il 62,5% dei sistemi non disporrebbero di alcun tipo di protezione oppure non risulterebbero aggiornati.
Altrettanto impressionante la percentuale (circa il 23%) dei sistemi protetti con soluzioni antimalware, attive ed aggiornate, che sono comunque risultati infetti.
Nel caso in cui un rootkit (ved. anche, in proposito, questi nostri articoli) riesca ad insediarsi sul sistema, le conseguenze potrebbero essere “drammatiche”. La stragrande maggioranza dei rootkit è infatti in grado di disattivare funzionalità di riconoscimento integrate in software antivirus, antimalware e nei moderni “personal firewall”. Può capitare che l’utente non si accorga dell’infezione in atto non ricevendo più alcun messaggio di allerta da parte della soluzione antivirus/antimalware installata.
Data | Nuovi utenti PrevX CSI | Sistemi con spyware/malware attivi | Utenti infetti | Utenti con prodotti per la sicurezza installati | Utenti INFETTI seppur con software antimalware installati |
22/10/2007 | 290.647 | 45.251 | 15,6% | 78,0% | 13,8% |
09/12/2007 | 419.939 | 92.233 | 22,0% | 77,0% | 18,9% |
Totale | 710.586 | 137.484 | 19,3% | 77,0% | 17,6% |
La tabella mostra alcuni dati resi noti da PrevX stessa che indicano quanto la situazione sicurezza non sia affatto rosea. Le conclusioni sono piuttosto amare: l’indagine evidenzia, da un lato, come ancora oggi vi sia una scarsa consapevolezza delle problematiche connesse con la sicurezza informatica, soprattutto in ambiente consumer, dall’altro come le attuali soluzioni di sicurezza presenti sul mercato risultino inadeguate nei confronti dei malware recentemente rilasciati. AusCERT, autorità australiana che si interessa di sicurezza informatica, conferma i dati parlando di un 80% di nuovi malware in grado di passare inosservati all’azione di software antivirus ed antimalware.
Soluzioni basate sull’analisi comportamentale sono destinate ad affermarsi sempre più, offrendo un aiuto sempre più efficace nel rilevamento e nell’eliminazione delle minacce più moderne.
A proposito di PrevX CSI, PrevX ci ha anticipato che a partire dal prossimo 1° Febbraio verrà rilasciata una nuova versione del prodotto, completamente rinnovata. Ecco la schermata principale di “PrevX CSI 2.0”:
E’ immediata la somiglianza, dal punto di vista grafico, con PrevX 2.0, software illustrato nella pagina che segue.
PrevX 2.0: monitorare in tempo reale l’attività del sistema ed eliminare malware
PrevX 2.0 è la soluzione più completa, rispetto a CSI, per la protezione del personal computer dai malware.
Il software è compatibile con Windows 2000, Windows XP mentre è ancora in versione beta per quanto riguarda il supporto per Windows Vista.
Il software è in grado di monitorare costantemente l’attività del sistema in uso, alla ricerca di componenti dannosi.
PrevX 2.0 è stato studiato con il preciso intento di proporre all’utente un programma di semplice utilizzo, poco invadente e che richieda nessuna od una pressoché minima configurazione.
Una volta installato, il software visualizza un’icona nell’area traybar di Windows. Il colore verde suggerisce che il sistema in uso è libero da virus e perfettamente operativo; il giallo indica che sul computer risultano in esecuzione delle applicazioni che sono in corso di analisi da parte dei laboratori di ricerca PrevX e che tuttavia non possono essere ritenute completamente sicure; un’icona di colore rosso, invece, viene mostrata allorquando il sistema contenga uno o più malware. Tali elementi dannosi vengono automaticamente inseriti da PrevX 2.0 in un’area di quarantena denominata Jail (“Prigione”, in italiano).
Affinché PrevX 2.0 fornisca il massimo livello di protezione possibile, il sistema da monitorare deve essere connesso alla Rete.
Il programma, inoltre, è stato concepito per funzionare correttamente di concerto con altre suite di sicurezza, comprese quelle sviluppate da terze parti. Ciò significa, quindi, che PrevX può essere impiegato per fidare su di un livello di protezione aggiuntivo.
Al primo avvio di PrevX 2.0, subito dopo l’installazione del prodotto, il programma provvede ad effettuare una scansione “una tantum” del sistema alla ricerca di tutti quei file eseguibili che vengono avviati automaticamente ad ogni ingresso in Windows oppure con periodicità frequente.
Dopo la raccolta di queste informazioni, i dati rilevati vengono confrontati con i database memorizzati sui server di PrevX. Il “Prevx Central Database” contiene infatti tutte le informazioni riguardanti i malware conosciuti e le applicazioni benigne.
La figura sottostante riassume il flusso delle informazioni e riflette i controlli che PrevX 2.0 compie prima di consentire (oppure negare) l’esecuzione di un software.
Nella rara eventualità in cui né il database memorizzato sul computer locale né quello centralizzato, gestito da PrevX, contengano informazioni su un particolare eseguibile, PrevX 2.0 visualizzerà all’utente una finestra di dialogo attraverso la quale richiederà l’azione da compiere.
Dopo aver terminato l’installazione del software, qualora l’interfaccia non dovesse risultare in lingua italiana, è sufficiente cliccare sull’icona di PrevX 2.0, mostrata nella traybar, cliccare su More, Preferences, Language ed infine scegliere l’italiano (il prodotto richiede un riavvio).
Il pulsante Prigione dà accesso all’area di “quarantena” di PrevX 2.0: si tratta di una zona protetta e sorvegliata all’interno della quale il programma sposta eventuali componenti maligni rilevati sul personal computer. Sebbene non più attivi, i malware eventualmente trovati sul sistema in uso risultano ancora presenti. Per eliminarli definitivamente è possibile ricorrere ai pulsanti proposti in questa finestra.
Gli utenti più esperti, consultando la sezione Avanzate del programma, possono verificare quali aree del sistema operativo PrevX 2.0 provvede a tenere costantemente sotto controllo.
PrevX 2.0 viene installato e configurato per operare, in modo predefinito, in modalità ABC. Ciò significa che il programma prende automaticamente delle decisioni sulla base delle informazioni memorizzate nel database del programma.
Nelle modalità Pro ed Expert, PrevX 2.0 visualizzerà delle finestre a comparsa ogniqualvolta un’applicazione presente sul sistema violi le impostazioni di sicurezza.
Ad esempio, limitandoci ad esaminare le impostazioni relative alla protezione esercitata da PrevX 2.0 sugli elementi legati all’avvio del sistema operativo (sezione Avvio di Windows), si può verificare come, nella modalità “ABC”, il software non mostri mai alcun tipo di richiesta mentre nella modalità “Pro” richieda all’utente l’azione da compiere nel caso di eliminazione di chiavi del registro, creazione di servizi, modifica della chiave del registro RunOnce.
Attraverso le regolazioni proposte nella sezione Protezione Plus, l’utente può indicare come PrevX 2.0 debba comportarsi nella rara eventualità in cui non conosca un programma in esecuzione sul sistema, programmare una scansione automatica dei processi attivi (questa operazione, per default, viene condotta all’avvio di Windows) e se disattivare la protezione di rete (sconsigliato). Quest’ultima funzionalità viene utilizzata da PrevX per raccogliere informazioni sulle attività in Rete dei malware rilevati (server verso i quali viene instaurata una connessione, attività di invio di messaggi di posta elettronica in modo non autorizzato e così via).
Facendo riferimento alla sezione Scansione e controllo, l’utente ha la possibilità eseguire manualmente (“on demand”) i controlli che PrevX 2.0 effettua in modo automatico. Nel caso della scansione file, cliccando su Opzione avanzate, si può richiedere un’analisi rapida del sistema (SmartScan) oppure un esame più dettagliato, esteso al contenuto dei vari dischi fissi. La scansione personalizzata consente di restringere l’attività ad un numero ristretto di supporti di memorizzazione, partizioni e cartelle.
Conclusioni
Anche PrevX, così come le software house più lungimiranti, ha integrato nei propri software tecnologie che si mettono alle spalle approcci tradizionali che stanno diventando sempre più obsoleti nella lotta contro la nuova generazione di malware.
Facendo leva sulla ormai continua fruibilità della connessione Internet, PrevX rivoluziona le modalità con cui i nuovi malware vengono rilevati, classificati e rimossi. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati, la tecnologia che sta alla base di CSI e PrevX 2.0 mira a modificare questo quadro.
L’intero processo di isolamento e raccolta del malware, classificazione e risoluzione del problema può essere eseguito online: i server di PrevX si occupano di produrre e distribuire aggiornamenti per le firme virali da distribuire a tutti gli utenti: in questo modo è subito possibile fidare del massimo livello di protezione anche nei confronti di malware nuovi, apparsi ad esempio soltanto su poche decine di sistemi.
Il nuovo approccio abbracciato da PrevX consente agli ingegneri ed agli analisti dei laboratori dell’azienda di comprendere meglio il meccanismo utilizzato da nuovi malware: domande relative all’origine di un malware (è possibile ottenere l’elenco dei sistemi dai quali un malware è “nato”) ed alle sue modalità di diffusione, possono trovare rapidamente risposta. Un aspetto, questo, che può risultare particolarmente utile in fase di supporto all’attività svolta dalle forze dell’ordine.
Quella di PrevX è certamente una delle soluzioni più efficaci ed efficienti a cui guardare nel prossimo futuro: il fenomeno malware non è contrastabile se i vari produttori non propongono soluzioni basate su un approccio centralizzato svincolato dal modello “PC-centric” sinora adottato.
(920 KB circa).
(14,7 MB circa).