In un’era in cui le minacce digitali sono sempre più sofisticate e pervasive, dotarsi di una soluzione di sicurezza affidabile è cruciale.
L’antivirus rappresenta la prima linea di difesa contro le minacce informatiche: per questo, da sempre, la regola di base della sicurezza informatica è l’installazione e il continuo aggiornamento del software di controllo installato sul proprio computer. Tra le tante soluzioni disponibili sul mercato, però, non è affatto semplice scegliere qual è il migliore per le nostre esigenze.
Ecco quindi una breve guida ragionata per imparare tutti i segreti degli antivirus, capire come funzionano e acquisire quindi le competenze giuste per scegliere i migliori.
Indice degli argomenti
Cosa sono gli antivirus
Con la nascita dei computer sono comparsi – quasi immediatamente – i virus, nella prima metà degli Anni 80 (fu Fred Cohen, nel suo saggio Computer Viruses – Theory and Experiments del 1984 a definire per la prima volta il concetto di “virus informatico”). Nella maggior parte dei casi erano veicolati attraverso i floppy disk, che in quei tempi rappresentavano il principale mezzo per lo scambio dei dati. Non molto tempo dopo sono arrivati gli antivirus, dando inizio all’eterna lotta tra guardie (analisti e ricercatori di sicurezza) e ladri (criminal hacker) che da sempre caratterizza il mondo dell’informatica.
Il primo prodotto del genere fu messo in commercio dall’azienda tedesca G Data nell’anno 1987 e successivamente da John McAfee.
Negli anni sia i virus sia gli antivirus si sono enormemente evoluti, ma fin da allora fu subito chiaro che sarebbe stato impossibile per qualsiasi antivirus riuscire a riconoscere tutti i possibili virus che continuamente nascevano e si modificavano.
Antivirus o antimalware: software dannosi
Oggi il termine antivirus è spesso sostituito con antimalware, che è sostanzialmente un suo sinonimo in quanto il termine malware (crasi delle parole “malicious software”) include in modo estensivo qualunque tipo di software dannoso, tra cui anche i virus.
Antivirus e antimalware sono in pratica software finalizzati alla rilevazione e alla successiva eliminazione dei vari tipi di codici malevoli.
Nell’accezione “software malevoli” sono compresi, oltre ai virus, una grande varietà di malware
Non li tratteremo in questa sede, soffermandoci invece sui software antimalware utili per contrastarli.
Come funzionano gli antivirus o antimalware
Capire come funzionano gli antivirus è utile anche per comprenderne i limiti.
I primi antivirus eseguivano un controllo sostanzialmente “meccanico” basato sul controllo della firma dei virus (si definiscono appunto “signature-based”).
La “signature” (firma) viene generata attraverso un algoritmo di hash e, per la sua univocità, è paragonabile ad un’impronta digitale che individua in modo univoco un file. Si parla infatti di fingerprint.
Con questo funzionamento erano in grado di rilevare i virus noti, perché già presenti nel loro database delle definizioni dei virus, ma non potevano intercettare i nuovi attacchi, perché non ancora classificati.
Ogni nuovo virus deve essere prima individuato e analizzato al fine di determinarne la firma e quindi aggiunto all’elenco dei virus noti. Gli aggiornamenti dei database vengono inviati agli utenti, con una frequenza che – a seconda del fornitore – può essere giornaliera o addirittura di più volte al giorno.
I malware polimorfi
Questa metodologia di rilevazione è inevitabilmente in ritardo, perché ci sarà sempre una finestra temporale (magari anche di un solo giorno…) entro la quale l’antivirus non sarà in grado di riconoscere il malware.
Questo problema è ulteriormente aggravato dal fenomeno del polimorfismo, ampiamente utilizzato dagli attaccanti. A questi non occorre costruire un malware ex novo, basta modificare la firma di quello esistente.
Un malware polimorfo è in grado di cifrare la propria firma ogni volta in un modo diverso, così da apparire diverso in ogni attacco. In pratica il malware trasforma un blocco di codice in un altro blocco di codice con le stesse funzionalità del precedente, ma con una fingerprint differente. I primi virus polimorfi sono comparsi all’inizio degli Anni 90.
Uno dei malware polimorfi più noti – e dannosi – è stato Emotet, un banking trojan identificato per la prima volta dai ricercatori di sicurezza nel 2014. Si diffonde principalmente attraverso e-mail di spam contenenti file JavaScript malevoli.
Grazie al polimorfismo, l’efficacia degli antivirus si riduce in misura importante: secondo uno studio di Malwarebytes (2017) un antivirus tradizionale non riesce a proteggere l’utente in quasi il 40% degli attacchi malware.
In conclusione: il metodo di rilevamento delle minacce basato sulla firma è utile, ma ha un’efficacia limitata.
Analisi euristica: la tecnologia si adegua ai nuovi malware
Per questo motivo gli antimalware moderni utilizzano anche metodi più innovativi, che puntano all’analisi dei comportamenti dannosi. In questo modo riescono a individuare attacchi non ancora noti. Questa tecnica è definita analisi euristica.
In altre parole, paragonando gli antivirus ad un’indagine di polizia, quelli tradizionali individuano il criminale perché hanno la sua impronta digitale, quelli euristici riescono a capire che è un criminale – anche se non l’hanno mai visto prima – perché lo perquisiscono e gli trovano un’arma oppure lo vedono compiere azioni sospette.
L’analisi euristica per identificare i virus
L’euristica è un insieme di strategie, tecniche e procedimenti inventivi utile a ricercare un argomento, un concetto o una teoria adeguati a risolvere un problema (dal vocabolario Treccani).
Nel caso specifico degli antivirus, è una funzionalità da utilizzare in aggiunta a quella basata sulle firme virali.
L’analisi euristica utilizzata dagli antivirus consente di effettuare una scansione di un file eseguibile per analizzarne la struttura, il comportamento e gli attributi.
In questo modo viene sezionato ed esaminato il suo codice sorgente. Se nel codice sono presenti istruzioni tipiche dei malware, oppure una determinata percentuale del codice sorgente corrisponde a qualcosa che è già stato individuato come malevolo, il codice viene contrassegnato come possibile minaccia.
In alcuni casi, per gli antimalware più avanzati, si esegue anche una analisi euristica dinamica: il file sospetto viene eseguito in una sandbox[1], per determinare senza rischio se un programma è sicuro o meno. L’esecuzione in sandbox consente di capire il comportamento del software e quali minacce potrebbe portare.
L’analisi euristica riesce ad essere molto efficace per identificare nuove minacce, ma può produrre falsi positivi bloccando un codice innocuo, o viceversa far passare un codice malevolo se non adeguatamente impostata.
Questo problema non è presente (o lo è in misura molto minore) negli antivirus basati sulle firme, che hanno un comportamento di tipo on/off, quindi molto più automatico.
La nuova generazione di antivirus
Nonostante siano un passo avanti, anche i software di analisi euristica senza firme si sono dimostrati insufficienti ad arginare le minacce informatiche sempre più evolute.
Ne abbiamo prova con l’esplosione – avvenuta dal 2013 e tuttora in corso – dei ransomware.
La frequenza degli attacchi ransomware in questi anni, con obbiettivi colpiti a qualsiasi livello e gli enormi danni economici creati, ad esempio, dal famigerato WannaCry, dimostrano quanto i ransomware possono risultare molto difficili da individuare.
Molto spesso vengono veicolati attraverso file dropper, cioè file trojan di piccole dimensioni che non contengono il codice malevolo e quindi riescono più facilmente a “passare sotto i radar” (eludendo l’antivirus).
Scaricati in genere attraverso un’e-mail di phishing, una volta entrati nel sistema target sono programmati per scaricare il vero e proprio codice malevolo, connettendosi con i server C&C (Command & Control) gestiti dagli attaccanti.
Antimalware: più efficienti con l’AI e il machine learning
Per combattere questi attacchi, gli antivirus si sono evoluti diventando veri e propri “programmi di sicurezza”, che non si possono più definire solo antivirus, ma che sarebbe più corretto chiamare antimalware.
La nuova frontiera della sicurezza informatica è rappresentata dall’intelligenza artificiale (AI) e dal machine learning (apprendimento automatico, ML).
L’AI non si limita alla mera esecuzione di una serie limitata di controlli; al contrario, analizza determinati comportamenti e ne individua le anomalie per identificare, ad esempio, un attacco ransomware.
Il machine learning è invece in grado di riconoscere comportamenti e pattern nuovi in modo da classificarli per “insegnarli” al sistema di difesa, che diventerà sempre più evoluto.
Queste tecnologie rappresentano il futuro (ormai già il presente, in realtà) e sono la soluzione ideali per la sicurezza informatica, soprattutto perché i metodi basati su firma o altri metodi manuali non sono in grado di gestire il numero e la varietà di minacce attuali.
Si tratta, insomma, di sistemi di sicurezza complessi, definiti IDS Intrusion Detection System.
Come scegliere l’antivirus aziendale
I sistemi di protezione IDS richiedono investimenti non trascurabili e sono implementabili solo in presenza di sistemi con architettura client-server.
L’installazione di un programma antivirus può in genere convivere con i sistemi IDS e comunque è necessaria – in ambiente Windows – in assenza di questi e soprattutto quando non si abbia un’architettura client-server (nella quale l’antivirus può essere installato anche lato server). La convenienza è ovviamente massima se si opta per una soluzione di antivirus PC gratis che può essere utilizzata anche come fosse una versione di prova.
L’offerta del mercato è molto ampia e con alcune caratteristiche comuni: nella quasi totalità dei casi i vendor offrono un software base gratuito con funzionalità limitate e pacchetti a pagamento variamente configurabili con scelta di opzioni più avanzate.
La valutazione e comparazione delle differenti offerte può essere complicata, riteniamo perciò utile fare riferimento ad un’organizzazione terza ed autorevole qual è Virus Bullettin o AV Comparatives.
Virus Bulletin non produce antivirus, ma è un portale sulla sicurezza con una rivista (Bulletin, le cui pubblicazioni vanno avanti dal 1989) nella quale i principali ricercatori in materia di sicurezza pubblicano le ultime ricerche sulle minacce più recenti, i nuovi sviluppi e le nuove tecniche nel panorama della sicurezza.
Virus Bullettin è anche un organismo di test e certificazione indipendente che, dal 1998 pubblica rapporti periodici di test che analizzano le protezioni antimalware (nella sezione VB100), quelle per la sicurezza delle e-mail (VBSpam) e Web (VBWeb) a livello aziendale.
I prodotti antivirus che riescono a rilevare almeno il 99,5% dei campioni di malware elencati nella sezione “In the Wild” della WildList Organization ed a generare non più dello 0,01% di falsi positivi ottengono la certificazione VB100. Attualmente i test vengono effettuati su sistemi Windows 10 e Windows 7.
Valutare un antimalware per uso aziendale o per professionisti
Scegliere un antivirus antimalware efficace per un’azienda o per un libero professionista richiede un’attenta valutazione di diversi fattori critici per garantire che la soluzione scelta sia adeguata alle specifiche esigenze di sicurezza e operatività. Ecco alcuni punti chiave da considerare:
- Livello di protezione – Assicurarsi che l’antivirus offra protezione in tempo reale contro un’ampia gamma di minacce, come virus, worm, trojan, ransomware, spyware e phishing. Cercare soluzioni che utilizzino tecnologie avanzate come machine learning e analisi comportamentale.
- Prestazioni e impatto sul sistema – Valuta l’impatto dell’antivirus sulle prestazioni del sistema. Un buon antivirus dovrebbe fornire una protezione efficace senza rallentare significativamente i dispositivi o i processi lavorativi.
- Facilità d’uso e gestione – Considerare l’interfaccia utente e la facilità con cui è possibile configurare e gestire l’antivirus. Per le aziende, è importante che il software offra una console di gestione centralizzata per monitorare e controllare facilmente la sicurezza su tutti i dispositivi.
- Aggiornamenti e manutenzione – Assicurarsi che l’antivirus riceva aggiornamenti regolari per proteggere contro le ultime minacce. Alcuni software offrono aggiornamenti automatici che garantiscono protezione costante senza intervento manuale.
- Compatibilità – Verificare la compatibilità dell’antivirus con i sistemi operativi e il software utilizzati nell’attività o azienda. È essenziale che il software funzioni senza conflitti con altre applicazioni aziendali.
- Supporto e assistenza clienti – Un buon supporto tecnico è vitale per risolvere rapidamente eventuali problemi di sicurezza o tecnici. Cercare fornitori che offrano un supporto affidabile e tempestivo.
- Caratteristiche Aggiuntive – Valutare funzionalità aggiuntive che possono essere vantaggiose per un’azienda o un libero professionista, come la protezione della rete, il controllo degli accessi, la cifratura dei dati, e la protezione della posta elettronica.
- Reputazione e recensioni – Valutare recensioni, test indipendenti e valutazioni per comprendere l’efficacia e l’affidabilità dell’antivirus. Organizzazioni come AV-Comparatives e AV-TEST possono fornire risultati oggettivi sulle prestazioni dei software antivirus.
- Costo – Considerare il rapporto qualità-prezzo dell’antivirus. Ponderare le funzionalità offerte con il costo di licenza o abbonamento, tenendo a mente che l’investimento in sicurezza informatica è cruciale per la protezione dei dati aziendali.
- Scalabilità – Orientarsi verso la scelta di un prodotto che possa crescere con l’attività. Se di prevede un’espansione, assicurarsi che l’antivirus possa essere facilmente scalato per proteggere un maggior numero di dispositivi o un network più esteso.
Bitdefender Total Security: l’antimalware completo
Bitdefender Total Security è stato considerato un eccezionale prodotto di sicurezza nella comparativa pubblicata da AV Comparatives. Disponibile nelle versioni per Windows, macOS, Android e iOS, offre una protezione multilivello che mantiene documenti, immagini e video al sicuro da tutte le minacce note ed emergenti, compresi ransomware e malware.
La protezione avanzata anti-phishing, inoltre, aiuta a rimanere al riparo dal pericolo delle truffe online. Bitdefender fiuta e blocca i siti web che si mascherano come affidabili per rubare dati finanziari come password o numeri di carte di credito.
Infine, protegge i pagamenti elettronici durante lo shopping online o le operazioni bancarie attraverso un browser unico e dedicato che protegge le transazioni per prevenire le frodi.
Il programma include, tra le altre cose, anche le seguenti funzioni:
- protezione in tempo reale dei dati;
- prevenzione dagli attacchi via Web;
- sistema di scansione dei file ottimizzata e via cloud;
- protezione ransomware multi-livello;
- VPN;
- File shredder;
- sistema di monitoraggio del microfono e della webcam.
Avast Premium Security: difesa dai malware di livello avanzato
Avast Premium Security è disponibile anche in versione gratuita e multi-dispositivo e multi-piattaforma (PC, Mac, Android e iPhone/iPad). Offre una protezione completa per i PC aziendali da tutte le minacce online, inclusi siti Web contraffatti e ransomware.
Nel caso dei siti Web contraffatti, in particolare, Avast Premium Security esegue la scansione di quelli visitati dall’utente per rilevare eventuali rischi per computer e telefoni cellulari, consentendo di effettuare acquisti e operazioni bancarie in tutta sicurezza da qualsiasi dispositivo.
Il programma include, tra le altre, anche le seguenti funzioni:
- Wi-Fi Inspector;
- Cyber Capture (per identificare e bloccare anche i malware più recenti);
- Browser cleanup;
- Sandbox;
- Firewall;
- Antispam;
- Protezione webcam;
- Data Shredder
Per installare Avast Premium Security è necessario soddisfare i seguenti requisiti minimi di sistema:
- PC: Windows 10, 8.1, 8, 7 (SP2) (a 32 o 64 bit), 1 GB di RAM, 2 GB di spazio libero sul disco.
- Mac: macOS 10.10 (Yosemite) o versione successiva con 500 MB di spazio libero sul disco.
- Android: Android 4.1 (Jelly Bean) o versione successiva.
- iPhone/iPad: iOS 10.0 o versione successiva.
AVG Internet Security: una barriera contro le minacce online
Anche la suite antivirus di AVG è disponibile anche in versione gratuita e per sistemi Mac e Android. AVG Internet Security consente di rilevare, rimuovere e bloccare virus, ransomware, spyware, rootkit, trojan e altri pericolosi malware in tempo reale, identificando le minacce ancora prima che raggiungano il PC. Altrettanto rapidamente vengono protette le unità USB e DVD.
Inoltre, AVG Internet Security aggiorna automaticamente la protezione e sfrutta l’intelligenza artificiale (IA) e l’analisi in tempo reale per tenere alla larga anche le minacce più recenti.
È inoltre possibile impedire a curiosi e applicazioni sospette di spiarci attraverso la webcam, utilizzare la crittografia per nascondere foto e file personali e riservati o distruggere in modo definitivo i documenti che non occorrono più.
La suite include le seguenti funzionalità:
- Rilevamento con intelligenza artificiale
- Scansione PUA (Potentially Unwanted Application)
- CyberCapture
- Turbo Scan
- Protezione comportamento
Per installare AVG Internet Security è necessario soddisfare i seguenti requisiti minimi di sistema:
- PC: Windows 10, 8.1, 8, 7 (SP2) (a 32 o 64 bit), 1 GB di RAM, 2 GB di spazio libero sul disco.
- Mac: OS X 10.10 Yosemite o versione successiva.
- Android: 5.0 o versione successiva
Avira Internet Security Suite: la sicurezza online senza rischi
Anche Avira offre una soluzione di protezione gratuita. Tra le caratteristiche principali di Avira Internet Security Suite, la possibilità di bloccare automaticamente le minacce online in tempo reale, la generazione e il salvataggio automatico di password sicure, l’aggiornamento automatico di software e driver e il blocco di annunci online fastidiosi e web tracker.
Il modulo antivirus incluso nella suite offre, inoltre, una efficace soluzione di sicurezza contro i ransomware che consente di bloccare i tentativi di impossessarsi dei dati riservati archiviati sul computer per chiedere un riscatto, proteggere i file più importanti e riconoscere perfino le mutazioni finora sconosciute dei codici malevoli.
Avira Internet Security Suite è inoltre in grado di bloccare i siti web infetti, arrestare gli attacchi di phishing, rilevare le PUA (Potentially Unwanted Application), scansionare i download e gli allegati di e-mail.
Per installare Avira Internet Security Suite è necessario soddisfare i seguenti requisiti minimi di sistema:
- Windows 7 SP1 e versioni successive, 2 GB di spazio libero su disco, 2 GB di RAM.
Kaspersky Security Cloud Free: protezione online completa
Così come i principali concorrenti, anche Kaspersky offre una versione gratuita (e limitata nelle funzioni) della sua soluzione Security Cloud.
Chi cerca una protezione completa, invece, può orientarsi sulla Kaspersky Internet Security, una suite per la sicurezza avanzata protegge ogni attività della tua vita online da malware, spionaggio tramite webcam, truffatori e molte altre minacce ancora: tutto questo con una singola licenza.
In particolare, la soluzione di sicurezza Kaspersky:
- blocca virus, cryptolocker, attacchi e molto altro;
- impedisce ai tracker online di raccogliere i tuoi dati (solo sulle versioni per PC e Mac);
- rileva eventuali spyware presenti sul tuo dispositivo Android;
- protegge i tuoi pagamenti online, con una crittografia bank-grade (solo sulle versioni per PC e Mac);
- blocca l’accesso non autorizzato alla tua webcam (solo sulle versioni per PC e Mac);
- crittografa tutti i dati inviati e ricevuti online tramite VPN (il servizio VPN protegge fino a 200 MB di traffico dati al giorno per ciascun dispositivo).
Per installare Kaspersky Security Cloud su desktop e laptop basati su Windows è necessario soddisfare i seguenti requisiti minimi di sistema:
- 1500 MB di spazio libero sul disco rigido
- Microsoft Internet Explorer 10 o versione successiva
- Microsoft .NET Framework 4 o versione successiva
- Microsoft Windows 101 Home / Pro / Enterprise2
- Microsoft Windows 8 e 8.1/Pro/Enterprise/aggiornamento 8.12
- Microsoft Windows 7 Starter / Home Basic & Premium / Professional / Ultimate — SP0 o versione successive2
- Processore: 1 GHz o superiore
- Memoria (RAM): 1 GB (32 bit) o 2 GB (64 bit)
Per installarla su desktop e laptop Mac
- 1620 MB di spazio libero sul disco rigido
- Memoria (RAM): 2 GB
- macOS 10.12 o versione successiva
Per installarla su smartphone e tablet Android:
- Android 4.4 o versione successiva
- Risoluzione minima dello schermo: 320 x 480
Per installarla su iPhone e iPad4:
- iOS 11.0 o versione successiva
Gli antivirus anche per MacOS e Apple
Partiamo da un dato di fatto: i Mac non sono immuni da attacchi, anche se rappresentano un bersaglio molto meno allettante per malware e virus.
Il primo motivo è dovuto alla minore diffusione dei computer Apple: secondo quanto riportato da Statcounter:
- Windows, nelle varie versioni detiene il 67,42% del mercato mondiale
- MacOS ha il 15,2%
- Linux il 3,66%
È naturale che gli attaccanti mirino soprattutto al bersaglio grosso rappresentato da Windows.
Il secondo motivo è legato all’architettura di macOS, sistema derivato da Unix.
Esso implementa molte funzionalità di sicurezza. Tra queste, segnaliamo Gatekeeper: presente nel sistema operativo sin dal 2012 e che ha lo scopo di controllare l’affidabilità dei programmi scaricati. Se si cerca di installare app, plug-in e pacchetti di installazione provenienti da piattaforme diverse dall’App Store, macOS controlla che il software provenga da uno sviluppatore certificato e che non sia stato alterato. Con macOS Mojave, gli sviluppatori possono anche chiedere l’autenticazione delle loro app da Apple.
Se un’app non risponde a questi requisiti, viene visualizzato un avviso con richiesta di una esplicita conferma da parte dell’utente. È consigliabile non modificare le impostazioni di default di Gatekeeper, anche se questo non rappresenta una sicurezza totale: oggi è abbastanza facile per un malintenzionato ottenere un certificato da una della tante CA (Certification Authority).
Nei sistemi Mac è implementata anche la Library Randomization o ASLR (Address Space Layout Randomization) che rende (parzialmente) casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria. Questo rende più complicato un attacco informatico che cerchi di accedere alle risorse ed alle librerie di sistema.
Con macOS 10.15 Catalina, presentato al WWDC19, ci sono stati ulteriori interventi rivolti ad innalzare il livello di sicurezza complessivo di macOS. Per esempio, i file di sistema in macOS vengono memorizzati in una partizione del disco nascosta e in sola lettura, non modificabile neanche dall’amministratore di sistema.
Tutte queste funzionalità rendono più difficile l’azione di un attaccante, ma dobbiamo essere consapevoli che, seppur ridotta, la probabilità di cadere vittima di ransomware, furto di credenziali, phishing, adware e via dicendo è comunque da considerare.
In macOS non sembra essere presente un antivirus nativo, come è Defender per Windows, ma in realtà – anche se molto nascosto – esiste XProtect, un sistema “signature-based” che può essere considerato un antivirus molto semplice, che lavora in background e che aggiorna il database delle minacce senza avvisare l’utente.
XProtect può convivere con gli antivirus classici che sono presenti sul mercato anche per i Mac.
Miglioramenti alla sicurezza delle app di Apple
I sistemi Apple, quindi, dispongono di un processo intelligente per identificare le minacce al fine di individuare e bloccare i malware. La difesa dai malware è strutturata su tre livelli:
- impedire l’avvio o l’esecuzione di un malware: App Store o Gatekeeper e Notarization;
- bloccare l’esecuzione di un malware sui sistemi dei clienti: Gatekeeper, Notarization e XProtect;
- bloccare un malware che è riuscito a penetrare nel sistema: MRT.
Il primo livello di difesa è progettato per inibire la distribuzione dei malware e per evitare che si avvii anche una sola volta: questo è l’obiettivo di App Store e Gatekeeper associato a Notarization.
Il successivo livello di protezione è destinato a garantire che nel caso in cui il malware venga visualizzato su qualsiasi Mac sia identificato e bloccato rapidamente, sia per interrompere la diffusione che per rimediare i sistemi Mac per cui ha già ottenuto una sistemazione. XProtect contribuisce a tale protezione, assieme a Gatekeeper e Notarization.
Infine, MRT serve a bloccare i malware che sono riusciti a penetrare correttamente nel sistema.
Questi sistemi di protezione si combinano per applicare le migliori prassi di protezione da virus e malware. Si tratta di una protezione aggiuntiva, in particolare per i Mac con Apple Silicon, per limitare il potenziale danno di un malware che riesce a penetrare nel sistema.
Gli altri antivirus per Mac
Tra questi uno dei più rinomati è – a parere di chi scrive – Sophos Home Premium, disponibile sia in versione gratuita che a pagamento (costo attuale 37,46 €/anno per la sottoscrizione).
Tra gli antivirus gratuiti per Mac i più noti sono Avast Free Antivirus e Avira. Di ambedue questi prodotti esistono anche le versioni a pagamento, ma già quelle gratuite svolgono bene il loro compito.
Ma la domanda che è lecito porsi è: serve un antivirus sul Mac?
La prima e principale risposta è che “l’antivirus principale è l’utente stesso”, perché è vero che esistono malware per Mac, ma il loro successo dipende tipicamente da un’azione da parte dell’utente: in genere lo scaricamento di un software da fonte non sicura o da un allegato ad una mail, oppure la comunicazione delle credenziali (username e password). Queste azioni improvvide rischiano di vanificare qualsiasi strumento di protezione.
Il Mac è un sistema piuttosto robusto, ma nessuna porta blindata può essere efficace se siamo noi ad aprire la porta al ladro.
Cos’è e cosa fa Malwarebytes
Riporto anche la mia personale esperienza di utilizzatore di ambedue i principali sistemi operativi: in Windows utilizzo un antivirus (e ritengo rischioso non averlo), nel Mac non lo considero necessario e mi limito ad un tool pratico ma poco invasivo quale Malwarebytes for Mac (esiste in versione gratuita senza protezione in tempo reale ed a pagamento con una protezione più completa).
Questo consente di verificare e rimuovere anche gli adware: basta installarlo ed eseguire la scansione che in pochi minuti analizza l’intero disco ed elimina le minacce rilevate. Malwarebytes può essere utilizzato anche in aggiunta ad un antivirus, se lo riteniamo utile.
L’arma giusta per difendersi dai ransomware
Per concludere, segnaliamo anche un utile tool, CryptoPrevent che può essere installato su sistemi Windows XP, Vista, 7, 8, 8.1 e 10 in aggiunta ad un antivirus e che si è dimostrato piuttosto efficace per fornire una protezione antiransomware.
Fino a qualche anno fa ne esisteva anche una versione gratuita, oggi invece la versione base è offerta con licenza annuale al costo di 15 dollari/anno.
Come spiegato nel sito del produttore, esso rappresenta una sicurezza supplementare, che non sostituisce l’antivirus o il firewall. È nato nel 2013, quando sono comparsi i primi ransomware e si è evoluto fino all’attuale versione v19 (è stato gratuito fino alla versione 9.1.0.0).
Una volta installato, si possono applicare diversi piani di protezione con livelli di sicurezza crescente: si va dal Minimal al Default fino al Maximum ed Extreme. L’impostazione di livelli di protezione elevati potrebbe interferire con alcuni programmi e rendere impossibile anche l’installazione di software legittimi: in questo caso basterà disabilitare temporaneamente CryptoPrevent, eseguire l’installazione e poi riattivarlo.
CryptoPrevent opera controllando alcune aree di sistema dove tipicamente il ransomware va ad interferire per portare a termine il suo attacco.
Blocca l’accesso in scrittura a cartelle di sistema quali: %localusertemp%, %localappdata%, %appdata%, %userprofile%, %programdata%.
Con CryptoPrevent possiamo inoltre creare delle regole che impediscono l’avvio di eseguibili e altri tipi di file potenzialmente pericolosi. Per esempio, può bloccare l’esecuzione di programmi interni di Windows che il ransomware cercherà di utilizzare, quali: vssadmin.exe, syskey.exe, cipher.exe (è uno strumento usato da riga di comando di Windows per cifrare i file), bcdedit.exe.
Con i livelli di protezione più elevati viene disabilitato anche il Windows Script Host, impedendo al malware di usare script di tipo *.js (file JavaScript) e *.vbs (Visual Basic Script). Si possono inoltre bloccare estensioni di file potenzialmente pericolose quali: .cpl, .scr, .pif ed altri.
Il livello della protezione Default è già sufficiente, mentre Maximum presenta qualche controindicazione, come detto potrebbe bloccare l’avvio di alcuni normali programmi. È possibile impostare anche delle policy di protezione personalizzate.
Questo software, dopo aver creato e attivato le regole, opera in background senza pesare sul funzionamento del computer.
Il suo utilizzo può risultare molto utile soprattutto per chi non dispone di un’architettura client-server o non intende installare programmi di protezione più costosi.
Dai test fatti, fino ad oggi risulta avere una buona efficacia. Questo potrebbe non essere più vero in futuro, tenuto conto della continua evoluzione dei malware e delle loro varianti.
HitmanPro: il malware remover
Un altro prodotto simile, che può essere installato in aggiunta ad un antivirus è HitmanPro sviluppato dalla olandese SurfRight ed oggi acquistato da Sophos: è definito un “malware remover”, che può essere usato per fare una scansione supplementare se abbiamo dubbi sull’efficacia dell’antivirus; per farlo non necessita neppure di essere installato, è sufficiente lanciare l’eseguibile.
Sophos propone anche HitmanPro.Alert: integra il modulo base HitmanPro e lavora come “anti-exploit”, utile soprattutto per bloccare quei codici dannosi che sfruttano vulnerabilità dei browser e dei siti web.
Ambedue questi software sono a pagamento (19,95 $/anno HitmanPro e 29,95 $/anno HitmanPro.Alert) e sono disponibili solo per Windows.
NOTE
- Sandbox: letteralmente “il recinto della sabbia per i giochi dei bambini”. In informatica identifica un ambiente di test, di prova, isolato dal sistema principale. Viene usato per lo sviluppo e il test delle applicazioni e per eseguire operazioni potenzialmente “pericolose” per l’integrità del sistema. ↑
Articolo originariamente pubblicato il 12 Apr 2021