Antivirus

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
ClamAV Antivirus rulează pe Ubuntu datorită front-end-ului ClamTK .

Un antivirus este software - ul care vizează prevenirea, detectarea și , eventual , făcând rău intenționate inofensive coduri și malware - ului la un calculator , cum ar fi viruși , adware , backdoors , BHO , dialect , fraudtools , hijacker , keyloggers , LSP , rootkits , spyware , troieni , viermi sau care solicită răscumpărarea . [1]

În general, acest tip de program nu este capabil să protejeze complet un computer de toate amenințările cibernetice existente - atacuri cibernetice , amenințări persistente avansate (APT), rețele bot , atac DDoS , phishing , înșelătorie , inginerie socială sau spam - și, prin urmare, securitatea este oferită în general de produsele și serviciile compozite oferite de companiile de software. [ fără sursă ]

Istorie

Studiile lui John Newman

Virușii informatici au fost teorizați pentru prima dată în 1949 de către John von Neumann, care a emis ipoteza creării unor programe capabile de auto-replicare prin copierea propriului cod. Prima apariție a software-ului scris cu această intenție a fost Creeper , creat de Bob Thomas la Bolt Beranek și Newman, o companie din Massachusetts - care va deveni ulterior BBN Technologies - unde au fost dezvoltate tehnologii pentru schimbul de pachete de date în rețele. Computer, apoi preluat de Arpanet . Newman lucra la dezvoltarea TENEX , un sistem de operare de partajare a timpului care funcționa pe PDP-10 și a venit cu ideea de a scrie cod capabil să comute între computere în timp ce acesta rulează. Ray Tomlinson, un coleg al lui Newman, a elaborat codul creând ceea ce a fost considerat ulterior primul vierme din istorie: o versiune care nu numai că era capabilă să se deplaseze de la un sistem la altul, dar a reușit să se dubleze reproducând copii de pe sine pe computere cu care a intrat în contact. Acest lucru a dus la principala problemă cu acest tip de software: cum să opriți răspândirea acestuia. Prin urmare, în paralel, a fost creat Reaper , scris cu singurul scop de a verifica dacă Creeper rulează pe o anumită mașină și, în cele din urmă, s-o elimine și, de fapt, a devenit primul program antivirus din istorie. [2] [3]

Primele experimente

Primul virus propriu-zis a apărut în 1982 și a fost un program, Elk Cloner , scris în 1982 de Rich Skrenta pentru sistemul de operare Apple DOS al computerului personal Apple II . Virusul replicat prin infectarea sectorului de boot al dischetelor și, prin urmare, a fost încărcat în memorie împreună cu sistemul de operare și de fiecare dată când utilizatorul a cerut lista de fișiere de disc, virusul a fost copiat pe disc în acel moment prezent în cititor. [4] [5] [6]

În 1984 , prima definiție a terminologiei - virusul computerului - a apărut într-un document scris de Fred Cohen , unde a descris-o ca pe un program care „ afectează alte programe de computer modificându-le pentru a include o copie (posibil evoluată) a sa ”. [7] [8]

Primul virus pentru sistemele MS-DOS a fost Brain , datând din 1986 și cunoscut și sub numele de Pakistani Brain, deoarece a fost scris de doi frați pakistanezi. Nu este clar dacă s-a născut ca un sistem anti-copiere sau ca un virus real, dar faptul este că a fost primul virus care s-a făcut cunoscut la nivel mondial, atât de mult încât, pentru răspândirea sa, a fost definit ca „ gripa pakistaneză "de revista BusinessWeek . [9] [10] [11] Creierul a fost urmat de alții cu o largă difuzie, dar inofensivitatea lor relativă (în general, s-au limitat la a face să apară mesaje pe ecran) nu ne-a făcut să simțim nevoia unui software capabil să le contracareze. Lucrurile s-au schimbat rapid pe măsură ce virușii au început să compromită datele computerelor pe care le-au lovit. [12] În 1987 , hackerul german Bernd Fix a scris un program, care a fost considerat ulterior primul antivirus, [13] [14] pentru a eradica virusul Viena de pe un computer.

Tot în 1987 , G Data a lansat G Data AntiVirusKit , considerat primul antivirus comercial, scris pentru sistemele Atari ST . [15] La sfârșitul aceluiași an, a debutat Ultimate Virus Killer (UVK) 2000 , un alt antivirus pentru Atari ST, [16] , McAfee VirusScan , scris de John McAfee (care a fondat ulterior McAfee ), [17] și NOD32 , scris de doi programatori slovaci care, datorită succesului său, ar fi fondat ulterior ESET . [18]

Fred Cohen a analizat proliferarea virușilor și nevoia tot mai presantă de software antivirus și a mers până acolo încât a scris că „ nu există niciun algoritm care să poată recunoaște perfect toți virușii informatici posibili ”. [19] De fapt, mulți viruși au fost derivați de la alții prin schimbarea unor porțiuni mici de cod, astfel încât a fost esențial să se mențină actualizată arhiva de semnături a virusului, dar acest lucru a fost foarte dificil într-o perioadă în care schimbul de date a avut loc prin medii precum discheta . Din acest motiv, unele antivirusuri au apărut pe baza unei noi tehnologii de analiză, euristică , ai cărei algoritmi de analiză au funcționat încercând să înțeleagă dacă un cod ar putea fi considerat rău intenționat sau nu; în acest fel, antivirusul ar putea identifica și noi viruși ale căror semnături nu erau încă prezente în arhivele lor. Primele euristici antivirus care au apărut au fost FluShot Plus de Ross Greenberg și Anti4us ale lui Erwin Lanting, ambele din 1987.[20]

Virușii polimorfi și nașterea antivirusului

Pictogramă lupă mgx2.svg Același subiect în detaliu: Virușii polimorfi .

Pentru a contracara acest mecanism de identificare, scriitorii de viruși au început să scrie viruși polimorfi , capabili să mute codul pentru a păcăli scanerele antivirus. De fiecare dată când virusul a infectat un fișier, a făcut acest lucru cu un cod ușor diferit de al său și, prin urmare, fiecare copie nouă era diferită. Primul virus care a folosit această tehnică a fost 1260, din 1990 . [21] Un renumit virus polimorf a fost Dark Avenger , al cărui autor a distribuit, de asemenea, software pentru a crea virusuri polimorfe, numit Dark Avenger Mutation Engine. [22] Pentru a identifica această nouă categorie de viruși, au fost concepuți diferiți algoritmi euristici, cum ar fi F-Prot din 1991 .

Între sfârșitul anilor optzeci și începutul anilor nouăzeci s-au născut numeroase companii dedicate exclusiv dezvoltării antivirusului care a produs programe precum Avira , din 1988 , Avast , din 1988, Panda Antivirus , din 1990 ; Norton , din 1991 , AVG și F-Secure , din 1992 .[20]

Caracteristici

Un antivirus singur, oricât de fiabil și eficient, nu reprezintă o protecție totală împotriva tuturor virușilor informatici existenți în lume. Mai mult, un antivirus se bazează pe anumite reguli și algoritmi scrise de oameni și, prin urmare, acestea pot duce la erori, cum ar fi falsuri pozitive, adică fișiere recunoscute ca infectate atunci când nu sunt, și false negative, în caz contrar, sau la decizii greșite. . Din punct de vedere tehnic, există mai multe metode care pot fi utilizate pentru prevenirea și detectarea malware-ului. O altă limitare se datorează faptului că un virus nu este încă suficient de răspândit și, prin urmare, nu a fost încă studiat de toți producătorii de antivirus.

În general, aceste metode pot fi împărțite în tehnici de analiză statică, care se bazează exclusiv pe analiza codului și a datelor fișierelor binare (cum ar fi: semnături, analize de telemetrie și exploatarea datelor) și analize dinamice (cum ar fi: sandbox și honeypot ), care se bazează pe executarea dinamică a unui fișier pentru a afla dacă este rău intenționat sau nu. Cu toate acestea, ultimele tehnici sunt rareori utilizate în produsele antivirus destinate utilizatorilor finali, dar sunt utilizate în general numai în laboratoarele companiilor de software antivirus, pentru a ajuta cercetătorii să studieze eșantioane de malware. Acest lucru se datorează limitelor puternice ale analizei dinamice, cum ar fi cheltuielile generale ridicate și faptul că nu poate „vedea” totul despre program. Cu toate acestea, există unele produse antivirus care implementează de fapt aceste tehnici. [ fără sursă ] [ potențială cercetare originală ]

Componente

Un antivirus este alcătuit din mai multe părți diferite, unele independente unele de altele; este posibil ca unele software antivirus să nu aibă una sau ambele părți 3 și 4, care sunt cele care funcționează „în timp real” și, în acest caz, baza de date a semnăturilor trebuie să fie actualizată manual, iar antivirusul nu efectuează verificări dinamice ale sistemului, deci puteți doar folosiți-l pentru scanări la cerere:

  1. fișierul (sau fișierele) semnăturilor: o arhivă care conține toate semnăturile virușilor cunoscuți, o parte fundamentală și esențială pentru funcționarea corectă a oricărei alte componente;
  2. fișierul binar : fișier capabil să caute virusul în fișierele computerului infectat și vă permite să efectuați o serie de operațiuni la cerere, cum ar fi să știți la ce dată a fost actualizată ultima dată baza de date a semnăturii sau să efectuați o scanare completă a sistemului pe cerere;
  3. fișierul binar care este încărcat în memorie atunci când sistemul pornește și rămâne acolo până când computerul este oprit: această componentă apelează antivirusul de fiecare dată când este creat / modificat un nou fișier sau este modificată o zonă de memorie, pentru a verifica dacă computerul dvs. are nu a fost infectat cu această operațiune;
  4. fișierul binar care actualizează fișierul de semnătură și toate celelalte componente antivirus și care poate face parte din fișierul binar principal sau poate fi un program separat, care este programat să ruleze periodic.

Metode de analiză

Semnături

Metoda semnăturilor, sau mai bine zis a semnăturilor, este una dintre cele mai utilizate și, în esență, implică compararea fișierului care urmează să fie analizat cu o arhivă în care sunt înregistrate toate malware-urile cunoscute, sau mai bine zis semnăturile lor. Eficiența acestei metode se bazează pe integralitatea arhivei, care este diferită pentru fiecare producător de software antivirus și pe viteza software-ului în efectuarea comparației dintre fișier și semnătură, precum și pe semnătura în sine. O semnătură de virus este o secvență continuă de octeți care este comună pentru unele modele de malware. Aceasta înseamnă că este conținut în malware sau într-un fișier infectat și nu în fișierele nedeteriorate. În prezent, semnăturile nu sunt suficiente pentru a detecta fișierele rău intenționate. Creatorii de programe malware folosesc ofuscarea, folosind diferite tehnici pentru a-și acoperi urmele. Acesta este motivul pentru care produsele antivirus moderne trebuie să utilizeze metode de detectare mai avansate. Bazele de date antivirus conțin în continuare semnături (ele reprezintă peste jumătate din toate intrările bazei de date), dar includ și intrări mai sofisticate. Arhiva este creată prin analiza tuturor fișierelor presupuse rău intenționate cu care intră în contact. Odată ce a fost găsit un fișier presupus rău intenționat, un producător de software antivirus va trebui apoi să îl analizeze și, eventual, să adauge semnătura acestui fișier în arhiva sa [23] .

Este destul de clar că toate vulnerabilitățile unui sistem de operare - exploatat în așa - numita zi zero - și malware-ul care nu a fost încă descoperit sau pur și simplu nu a fost încă analizat, evident nu poate face parte dintr-o anumită arhivă. Deci, de fapt, această metodă nu poate duce la detectarea totală a tuturor programelor malware existente, deoarece se presupune că vor exista întotdeauna programe malware care nu au fost încă descoperite și / sau analizate. Nici măcar utilizarea încrucișată a tuturor software-urilor antivirus existente în lume nu ar putea asigura indisponibilitatea completă a unui computer.

Cu toate acestea, în ciuda acestui fapt, metoda semnăturilor rămâne una dintre cele mai eficiente și stabilite metode din industria sectorului. Acest lucru se datorează și faptului că nu toate programele malware se răspândesc la fel de repede și cu aceeași intensitate. De fapt, cu cât un malware este mai infecțios, cu atât este mai probabil să ajungă la mâinile cercetătorilor de la companii de software antivirus. Deci, deși metoda utilizată nu garantează inviolabilitatea absolută, totuși garantează o securitate destul de ridicată față de cel mai răspândit malware. Mai mult, trebuie de asemenea considerat că multe dintre malware-urile existente nu mai sunt în curs de răspândire, a căror existență se limitează la centrele de cercetare anti-malware, care le folosesc pentru testarea internă. În cele din urmă, unul dintre punctele cheie pentru care metoda este încă cea mai utilizată este faptul că, dacă este implementată corect, garantează un număr mic (teoretic zero) de fals pozitiv, în funcție de modul în care se extrage semnătura, ca și cum semnătura este unică identifică malware-ul analizat (de exemplu, hash MD5 al întregului fișier), aceeași semnătură nu va duce niciodată la un fals pozitiv.

Cu toate acestea, companiile de software antivirus, pentru a-și îmbunătăți produsele pentru a detecta chiar și programe malware care nu sunt cunoscute de antivirus, adică care nu sunt încă conținute în baza lor de date malware , tind să ia doar semnături parțiale malware. În general, de fapt, semnătura extrasă este reprezentată de un număr variabil (în general cel puțin trei) de secvențe de octeți non-consecutivi care reprezintă în mod unic (cu cea mai bună precizie posibilă) malware-ul. În acest fel, nu numai că devine posibilă detectarea unor programe malware care nu fac încă parte din baza de date antivirus, dar și baza de date în sine devine mai compactă, cu o consecință a creșterii vitezei antivirusului în scanare. Alte tipuri de tehnici utilizate pentru extragerea semnăturilor parțiale sunt așa-numitele metacaractere și expresii regulate.

Tehnologii euristice

Comparația numărului de fals pozitivi în diferitele antivirusuri

Tehnologia euristică este o componentă implementată de un anumit antivirus care permite detectarea unor programe malware care nu sunt cunoscute de antivirus, adică nu sunt conținute în baza sa de date malware . În general, este utilizat ca o tehnologie complementară metodei de semnare . Există mai multe tipuri de tehnologii euristice, cum ar fi scanarea memoriei sau a codului sursă pentru modele rău intenționate cunoscute. Alte metode pot fi verificarea secțiunilor cu nume suspecte sau dimensiuni neregulate ale antetului.

Această tehnologie nu este întotdeauna prezentă într-un antivirus și nu garantează întotdeauna rezultate bune. De fapt, în funcție de modul în care este implementat, dacă este setat la un nivel prea sensibil, poate duce la un număr mai mare de fals pozitivi și / sau falsi negativi. La fel, dacă este setat prea îngăduitor, poate fi aproape inutil. În primele zile, una dintre cele mai utilizate tehnici euristice presupunea împărțirea fișierului binar în diferite secțiuni, cum ar fi secțiunea de date și secțiunea de cod.

De fapt, un fișier binar legitim începe de obicei întotdeauna din aceeași locație. Pe de altă parte, primii viruși au rearanjat dispunerea secțiunilor sau au suprascris începutul secțiunii pentru a trece la sfârșitul fișierului unde se afla codul rău intenționat. În cele din urmă, au sărit din nou la începutul fișierului pentru a relua execuția codului original. Desigur, acesta este un model foarte specific, care nu a fost folosit de software-ul legitim și, prin urmare, a reprezentat o bună euristică pentru detectarea fișierelor suspecte.

Analiza telemetriei

Deoarece companiile de software antivirus au mulți clienți răspândiți în întreaga lume, în zilele noastre există o mulțime de informații de telemetrie care pot fi utilizate. Într-adevăr, majoritatea antivirusurilor au senzori care stochează de la distanță unele informații care pot fi folosite pentru a decide sau pentru a ajuta la stabilirea faptului că un binar observat de un anumit client într-o anumită locație geografică este sau nu rău intenționat.

Exploatarea datelor

Una dintre cele mai noi metode de detectare a malware-ului este utilizarea algoritmilor avansați de extragere a datelor . Acești algoritmi utilizează caracteristicile fișierelor, extrase direct din fișiere binare, pentru a clasifica un executabil ca fiind rău intenționat sau nu. [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37]

Sandbox

Unele antivirusuri execută fișiere suspecte într-un sandbox , care este un mediu de test închis, și analizând comportamentul lor înțeleg dacă conțin sau nu coduri rău intenționate. Această metodă, dacă se bazează pe algoritmi buni, poate fi foarte precisă. În mod evident, însă, execuția într-un sandbox necesită performanțe și timpi de execuție mai mari decât o metodă bazată pe semnături. În general, metodele de analiză dinamică, cum ar fi sandbox-urile, sunt utilizate de companiile de software antivirus pentru a analiza virușii primiți și a extrage automat semnături. [ fără sursă ]

Operațiune

Una dintre principalele metode de operare a antivirusului se bazează pe căutarea în memoria RAM și / sau în interiorul fișierelor de pe computer a unui model tipic al fiecărui virus: în practică, fiecare virus este compus dintr-un număr precis de instrucțiuni , numit cod , care poate fi văzut ca un șir de octeți , iar programul nu face altceva decât să caute dacă această secvență este prezentă în fișiere sau în memorie. O astfel de schemă se mai numește și semnătură de virus . Succesul acestei tehnici de cercetare se bazează pe actualizarea constantă a tiparelor pe care antivirusul le poate recunoaște, o actualizare efectuată de obicei de un grup de persoane în urma rapoartelor utilizatorilor și de grupuri specializate în identificarea de viruși noi. La rândul său, software-ul antivirus la domiciliu / birou este actualizat periodic descărcând din rețea noi modele de virus.

Antivirusurile cu tehnologii euristice tind să ia semnături parțiale ale virusului, astfel încât pot identifica și viruși care nu sunt încă în baza lor de date. O altă tehnică de recunoaștere constă în analizarea comportamentului diferitelor programe în căutarea instrucțiunilor suspecte, deoarece acestea sunt tipice comportamentului virusului (cum ar fi căutarea fișierelor sau rutinele de inserare într-un alt fișier ) sau în căutarea unor variante mici de viruși deja cunoscuți (prin variația unuia sau mai multe instrucțiuni este posibil să se obțină același rezultat cu un program ușor diferit).

În antivirusul cu tehnologii de scanare în timp real, fiecare fișier accesat de utilizator sau sistem este scanat pentru a verifica dacă nu are o structură suspectă sau conține instrucțiuni potențial periculoase. În antivirusul care utilizează analiza comportamentală, fiecare proces care rulează pe computer este monitorizat și acțiunile potențial periculoase, cum ar fi accesarea registrului sistemelor Windows sau comunicarea cu alte procese, sunt raportate utilizatorului.

Una dintre caracteristicile suplimentare ale software-ului antivirus este posibilitatea actualizărilor automate prin intermediul cărora software-ul caută, descarcă și instalează actualizări de îndată ce este disponibilă o conexiune la internet. Actualizările pot privi semnăturile de autentificare a virușilor și / sau chiar motoarele de scanare și motoarele euristice (funcționalitatea nu este întotdeauna pusă la dispoziție). Primul software AntiVirus care a introdus actualizări automate Live-Update a fost Norton Antivirus al Symantec .

Protecția sistemului poate fi apoi integrată cu un firewall care vă permite să blocați virușii, chiar și cei necunoscuți, înainte ca aceștia să intre în computer și, dacă se dorește, vă permite să blocați și unii viruși prezenți în computer în interior, evitând astfel că pot infecta rețeaua la care sunteți conectat. Prin urmare, un paravan de protecție poate fi un instrument suplimentar care împiedică un virus să infecteze mașina înainte ca acesta să fie detectat de antivirus (cu posibila pierdere a fișierului infectat). De asemenea, vă permite să ascundeți parțial sau total aparatul în rețea, evitând atacurile crackerilor sau ale virușilor.

Răspândirea infecției

Odată cu apariția internetului, antivirusul a devenit un instrument aproape indispensabil și aproape exclusiv doar pentru sistemele de operare Microsoft, în timp ce celelalte sisteme sunt mai puțin atacate de viruși; din acest motiv, majoritatea antivirusurilor sunt create pentru sistemele de operare Microsoft. În ultimii ani, produsele antivirus au fost produse și pentru alte sisteme, utilizate de obicei ca servere, pentru a controla fluxul de date, în special e-mailuri, care vor ajunge apoi pe computerele desktop ale utilizatorilor care utilizează produsele Microsoft .

Cu alte sisteme de operare bazate pe Linux și Mac OS, răspândirea virușilor este mult mai împiedicată în special de politica de gestionare diferită; programele de utilizator au activități mai strict specificate și, mai presus de toate, cu privilegii foarte reduse, astfel încât activitățile virușilor sunt foarte dificile, iar daunele care ar putea rezulta din acestea în timpul execuției sunt la fel de limitate; prin urmare, este foarte dificil să cauzezi un compromis al sistemului de operare, așa cum se întâmplă adesea în sistemele Microsoft. [ citație necesară ] Programele care permit cel mai mult răspândirea virușilor sunt clienții de e-mail și browserele , deoarece aceste două programe reprezintă acces direct la două funcții indispensabile de pe internet: mail și navigare pe web; un alt tip de software foarte afectat este constituit de faptul că fișierele de date obținute cu Microsoft Oficiul pentru pachetul ; cu această suită este posibil să creați instrucțiuni (numite macrocomenzi ) în cadrul fișierelor care îndeplinesc anumite funcții - automat sau în urma presiunii unei anumite combinații de taste - care pot fi exploatate pentru a atașa macrocomenzi la fișierele care sunt în realitate de viruși.

În general, virușii exploatează vulnerabilitățile din sistemele informatice , uneori folosind - automat - tehnici de penetrare dezvoltate de crackere. Diverse organizații, pe lângă producătorii de software antivirus, sunt implicate în colectarea rapoartelor de vulnerabilități sau atacuri și punerea lor la dispoziția publicului; aceste organizații sunt cunoscute în mod obișnuit prin acronimul CERT („Computer Emergency Response Team”).

Client de mail

Printre clienții de e-mail se remarcă utilizarea Outlook Express , preinstalată, în versiunea de bază, pe toate sistemele de operare Microsoft; în mod firesc, și alți clienți de e-mail, dacă rulează pe sistemul Microsoft, nu sunt imuni sau total imuni de a fi un vehicul utilizat de viruși. Outlook Express combinat cu lipsa de experiență a utilizatorului, este poate cea mai veche formă de răspândire [fără surse ] a anumitor tipuri de malware. Outlook Express implicit stochează toate adresele de e-mail din contactele preluate automat din toate mesajele primite sau trimise, aceasta înseamnă că, dacă un utilizator se abonează, de exemplu, la o listă de corespondență, poate avea în cele din urmă un set de adrese mărimea; această bază de date este exploatată de viruși pentru a trimite e-mailuri și pentru a încerca să extindă infecția.

Virușii de ultimă generație exploatează aceste liste de adrese pentru a ascunde adevăratul expeditor, luând aleatoriu două adrese, una pentru a fi utilizată ca destinatar și cealaltă pentru a fi afișată ca expeditor. Problema de bază se datorează utilizatorului care deschide și execută atașamentele chiar și ale e-mail-urilor care sunt în mod clar purtători de viruși, dar și găurile din aceste software își au partea lor. De exemplu, Outlook Express a suferit de mai multe găuri foarte critice care au permis virușului să ruleze imediat ce mesajul a fost primit în cadrul clientului dvs. (deci fără a-l deschide) sau imediat ce a fost deschis (în semnătură este posibil să introduceți instrucțiuni , instrucțiuni utilizate pentru activarea virusului). Prima cauză a răspândirii virușilor prin clienții de e-mail este executarea atașamentelor și aici nu există niciun client de e-mail care să poată preveni răspândirea virusului dacă antivirusul nu reușește să-l intercepteze mai întâi.

Browser

Browserele pot fi, de asemenea, un vehicul pentru infecție, atâta timp cât există o gaură de securitate (vulnerabilitate) exploatată de un site web pe care îl vizitați. La fel ca în cazul clienților de e-mail, utilizatorul are instalat Internet Explorer pe toate sistemele de operare Microsoft și, datorită difuziunii sale, acest browser este cel mai supus acestor tipuri de atacuri, atât de mult încât în ​​ultimul timp este recomandat de mai multe surse să utilizați alte browsere [38] mai ales dacă efectuați tranzacții riscante (de exemplu, dacă vă conectați la contul dvs. curent).

Clienți IRC și IM

Clienții sistemelor de mesagerie instant au capacitatea de a trimite și primi fișiere și sunt, de asemenea, adesea echipați cu un limbaj de scriptare care a fost deseori exploatat pentru a răspândi viruși, ușile din spate și apelatorii .

Utilizarea acestor programe trebuie să ia în considerare faptul că utilizatorul care oferă un fișier nu corespunde întotdeauna neapărat unei persoane reale, deoarece mulți viruși se răspândesc automat. Este recomandabil să refuzați trimiterile, cu excepția cazului în care ați solicitat sau doriți ceva de la un utilizator cunoscut și nu aveți protecția unui antivirus care scanează fișiere, chiar și cele comprimate, în timp real.

Fereastra de avertizare a unui antivirus, care tocmai a găsit un troian

Dispute

Există dezbateri cu privire la utilitatea software-ului antivirus. În 2012, Imperva , o companie de securitate cibernetică , a publicat un studiu în care susținea că mai puțin de 5% din soluțiile antivirus erau capabile să detecteze viruși necategorizați anterior. [39] [40] Acest studiu a fost criticat pe larg nu doar de aproape toate companiile de software antivirus, ci și de majoritatea celorlalte companii care lucrează în lumea securității cibernetice . [41] [42] [43] La principale critica è legata alle dimensioni del campione di studio. Infatti, il test ha utilizzato solamente 84 campioni su i milioni di malware esistenti per Windows .

Un'altra critica ha riguardato il fatto che lo studio è stato effettuato utilizzando i report di VirusTotal piuttosto che i reali prodotti e, come la stessa VirusTotal ha precisato: «Il servizio non è stato progettato come strumento per eseguire analisi comparative antivirus, ma come uno strumento che controlla campioni sospetti con diverse soluzioni antivirus e aiuta i laboratori antivirus inoltrandogli malware che non riescono a rilevare. Coloro che usano VirusTotal per eseguire analisi comparative antivirus dovrebbero sapere che stanno facendo molti errori impliciti nella loro metodologia, l'essere più ovvio...» [44] . [45] Questo è principalmente dovuto al fatto che le compagnie produttrici di software antivirus non forniscono a VirusTotal le esatte configurazioni dei prodotti reali. [41] Inoltre, VirusTotal non esegue i malware con i prodotti già installati. Questo significa che tutte le tecnologie euristiche e comportamentali e la scansione della memoria non sono utilizzate. E così i risultati del rilevamento sono scarsi rispetto ai prodotti completi. Un altro aspetto che è stato criticato è stata la "rilevanza" dei campioni. Infatti, il set di campioni dovrebbe includere solo campioni che sono stati verificati infettivi. Valutare la protezione degli antivirus utilizzando campioni di prova che non rappresentano alcun pericolo non ha alcun senso. Per questa, e altre ragioni, la Anti-Malware Testing Standards Organization (AMTSO) fornisce linee guida per il testing di prodotti AntiMalware. [46]

Nel 2017, il computer di un consulente della National Security Agency è stato violato attraverso l'antivirus, regolarmente installato ed aggiornato. Si è ipotizzato [47] che la singola installazione sia stata manipolata da un operatore della casa madre del software, in modo tale da permettere l' attacco da parte di un soggetto remoto, considerato che la società ha fornito il codice del programma alle autorità governative e che queste non hanno rilevato la presenza di backdoor . [48] Uno dei fattori di rischio è il fatto che gli antivirus sono programmi a sorgente chiuso e proprietario, tali che sottraggono al singolo acquirente il pieno controllo della propria macchina, per cederne le chiavi di accesso a uno [47] o più soggetti terzi.

Virus Bulletin VB100

Il VB100 è un premio dato da Virus Bulletin e rappresenta uno dei più famosi riconoscimenti per i software AntiVirus. Stando a quanto pubblicato da Virus Bulletin [49] le uniche società di cui almeno uno dei loro prodotti è stato iscritto al test per almeno tre volte e ha sempre ottenuto il VB100 per la categoria di Windows 7 sono:

Curiosamente, non c'è neanche una società che non abbia fallito il test almeno una volta nella categoria di Windows XP .

Per le categorie di Red Hat Enterprise Linux e diUbuntu Linux Server Edition , invece, le società sono:

Questioni giuridiche

Una delle principali battaglie e delle lamentele dell'industria degli antivirus è quella relativa alla creazione di una regolamentazione unificata e globale, una base di regole comuni per contrastare legalmente i crimini informatici . Infatti, ancora oggi, anche se una società produttrice di antivirus dovesse riuscire a scoprire chi è il criminale informatico dietro alla creazione di un particolare virus o di un malware , spesso le autorità locali non possono comunque agire. [59] [60] Questo è principalmente dovuto al fatto che praticamente ogni stato ha una sua propria regolamentazione, differente da quella degli altri stati.

«[I virus informatici] passano da un paese a un altro, da una giurisdizione all'altra – si spostano in tutto il mondo, sfruttando il fatto che non siamo in grado di eseguire globalmente operazioni di polizia come questa. Quindi Internet è come se qualcuno [avesse] dato biglietti aerei gratuiti a tutti i criminali online del mondo. [61] » [59] ( Mikko Hyppönen )

La Commissione europea ha deciso di fondare l' EC3 (European Cybercrime Centre) [62] il quale è attivo dal primo gennaio 2013 e si focalizza nella lotta della UE contro i crimini informatici . [63]

Organizzazioni di ricerca antivirus

Note

  1. ^ Antivirus software , su searchsecurity.techtarget.com , TechTarget.com. URL consultato il 30 aprile 2016 .
  2. ^ First computer virus of Bob Thomas , su history-computer.com . URL consultato il 10 maggio 2015 .
  3. ^ Descrizione di Creeper , su virus.wikidot.com , Virus.wikidot. URL consultato il 10 maggio 2015 .
  4. ^ Iain Thomson , Shaun Nichols, Top ten worst viruses , su pcauthority.com.au , PC & Tech Authority, 4 maggio 2009. URL consultato il 7 maggio 2015 .
  5. ^ Margaret Rouse, Elk Cloner , su searchsecurity.techtarget.com , Tech Target. URL consultato il 7 maggio 2015 (archiviato dall' url originale il 29 aprile 2015) .
  6. ^ List of computer viruses developed in 1980s , su infoniac.com , Info NIAC, 7 settembre 2009. URL consultato il 7 maggio 2015 .
  7. ^ Fred Cohen, Computer Viruses – Theory and Experiments (1983) , su eecs.umich.edu , 1984. URL consultato il 29 aprile 2016 .
  8. ^ Fred Cohen, On the implications of Computer Viruses and Methods of Defense , 1988. URL consultato il 29 aprile 2016 .
  9. ^ Scheda del Brain , su f-secure.com , F-Secure. URL consultato il 26 dicembre 2010 .
  10. ^ Storia dei virus per computer , su cknow.com , Computer Knowledge. URL consultato il 26 dicembre 2010 .
  11. ^ Trend Micro, I 20 virus che hanno fatto la storia , su blog.panorama.it , Panorama.it, 24 novembre 2008. URL consultato il 6 gennaio 2011 (archiviato dall' url originale il 7 luglio 2012) .
  12. ^ About computer viruses of 1980's ( PDF ). URL consultato il 30 aprile 2016 .
  13. ^ Securelist (History of malicious programs) [archiviato su Archive.org] , su securelist.com . URL consultato il 30 aprile 2016 (archiviato dall' url originale il 24 luglio 2012) .
  14. ^ Kaspersky Virenlexikon ( PDF ). URL consultato il 30 aprile 2016 (archiviato dall' url originale il 24 maggio 2012) .
  15. ^ G Data History , su gdatasoftware.co.uk , G Data. URL consultato il 30 aprile 2016 .
  16. ^ Storia dell'antivirus Ultimate Virus Killer , su uvk2000.exxoshost.co.uk . URL consultato il 30 aprile 2016 .
  17. ^ Kevin McAleavey, The Birth of the Antivirus Industry , su infosecisland.com . URL consultato il 30 aprile 2016 (archiviato dall' url originale il 21 aprile 2016) .
  18. ^ Storia di NOD32 , su eset.com , ESET. URL consultato il 30 aprile 2016 (archiviato dall' url originale il 13 ottobre 2016) .
  19. ^ Fred Cohen, An Undetectable Computer Virus , 1987. URL consultato il 30 aprile 2016 (archiviato dall' url originale il 4 giugno 2011) .
  20. ^ a b What is an antivirus software? , su antivirus.comodo.com , Comodo.com. URL consultato il 30 aprile 2016 .
  21. ^ Virus V2PX (1260) , su home.mcafee.com , McAfee. URL consultato il 30 aprile 2016 .
  22. ^ Dark Avenger Mutation Engine , su virus.wikidot.com , The Virus Encyclopedia. URL consultato il 30 aprile 2016 (archiviato dall' url originale il 17 gennaio 2013) .
  23. ^ Principi fondamentali dell'antivirus , su www.kaspersky.it . URL consultato il 23 maggio 2019 .
  24. ^ ( EN ) A Machine Learning Approach to Anti-virus System , su Japan Science and Technology . URL consultato il 30 novembre 2020 (archiviato dall' url originale il 13 aprile 2013) .
  25. ^ Data Mining Methods for Malware Detection Archiviato il 26 agosto 2014 in Internet Archive .
  26. ^ Data mining and Machine Learning in Cybersecurity
  27. ^ Analysis of Machine learning Techniques Used in Behavior-Based Malware Detection
  28. ^ A survey of data mining techniques for malware detection using file features
  29. ^ Intelligent automatic malicious code signatures extraction
  30. ^ Malware Detection by Data Mining Techniques Based on Positionally Dependent Features
  31. ^ Data mining methods for detection of new malicious executables
  32. ^ IMDS: Intelligent Malware Detection System
  33. ^ Learning to Detect and Classify Malicious Executables in the Wild
  34. ^ Malware detection using statistical analysis of byte-level file content
  35. ^ An intelligent PE-malware detection system based on association mining
  36. ^ Malware detection based on mining API calls
  37. ^ "Andromaly": a behavioral malware detection framework for android devices
  38. ^ Francia e Germania sconsigliano Internet Explorer
  39. ^ Assessing the Effectiveness of Antivirus Solutions
  40. ^ Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt
  41. ^ a b On the Topic of AV Being Useless
  42. ^ That Anti-Virus Test You Read Might Not Be Accurate, and Here's Whys
  43. ^ Do you really need Anti Virus protection? Go on uninstall it then Archiviato il 18 gennaio 2013 in Internet Archive .
  44. ^ "At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being..."
  45. ^ About - VirusTotal , su www.virustotal.com . URL consultato l'8 maggio 2018 (archiviato dall' url originale il 15 gennaio 2013) .
  46. ^ publisher=AMTSO Anti-Malware Testing Standards Organization
  47. ^ a b Filmato audio Stefano Fratepietro, Cyber InSecurity , su youtube , Bologna, TEDx Talks , 31 ottobre 2017 ( archiviato il 27 luglio 2019) . , dal minuto 7:15.
  48. ^ Russian spies used Kaspersky AV to hack NSA staffer, swipe exploit code – new claim , in The Register , 5 ottobre 2017. URL consultato il 18 agosto 2019 ( archiviato il 5 ottobre 2017) .
  49. ^ VB100 vendors
  50. ^ a b VB100 Results History: Avira
  51. ^ VB100 Results History: BullGuard
  52. ^ VB100 Results History: ESET
  53. ^ VB100 Results History: Frisk
  54. ^ VB100 Results History: G Data
  55. ^ VB100 Results History: Kaspersky
  56. ^ VB100 Results History: F-Secure
  57. ^ a b VB100 Results History: Panda , su virusbtn.com . URL consultato il 23 agosto 2014 (archiviato dall' url originale il 4 novembre 2014) .
  58. ^ a b VB100 Results History: Sophos
  59. ^ a b Mikko Hypponen: Fighting viruses, defending the net
  60. ^ Mikko Hypponen - Behind Enemy Lines
  61. ^ [Computer viruses] switch from one country to another, from one jurisdiction to another — moving around the world, using the fact that we don't have the capability to globally police operations like this. So the Internet is as if someone [had] given free plane tickets to all the online criminals of the world.
  62. ^ ( EN ) Virus Bulletin :: European Cybercrime Centre set for launch , su www.virusbtn.com . URL consultato l'8 maggio 2018 .
  63. ^ Europol European Cybercrime Centre (EC3)

Bibliografia

Voci correlate

Altri progetti

Collegamenti esterni

Organizzazioni che forniscono test comparativi

  • AV-Comparatives , su av-comparatives.org .
  • AV Test , su av-test.org .
  • ICSA Labs , su icsalabs.com . URL consultato il 12 gennaio 2013 (archiviato dall' url originale il 13 agosto 2015) .
  • Virus Bulletin , su virusbulletin.com .
Controllo di autorità Thesaurus BNCF 7097