Come funziona un antivirus
Gli antivirus sono dei programmi utilizzati per proteggere computer, notebook e altri dispositivi dai malware. Ecco come agiscono
Proteggersi contro tutte le minacce informatiche che si nascondono in rete è diventato sempre più difficile. Un’arma che non può mancare mai su qualsiasi dispositivo è l’antivirus, soprattutto su computer e notebook, notoriamente più fragili rispetto a tablet e smartphone. Lavorano in silenzio, impedendo che un qualsiasi malware colpisca il device.
Tutto quello che gli utenti devono fare è trovarne e installarne uno: al resto ci penserà l’antivirus. I programmi di protezione, infatti, sono progettati per effettuare del controlli continui sulla macchina. Possiamo immaginarli come dei cancelli virtuali che si aprono per far passare solo i file legittimi, bloccando quelli nocivi e isolando quelli sospetti. Senza un antivirus una macchina sarebbe in balia di trojan, worm e altri malware. Un computer sprovvisto di uno scudo di protezione è come una casa senza porte. E lasciare un’abitazione incustodita significa esporsi a numerosi pericoli.
Una volta aver capito il compito importante assolto da un antivirus, è utile anche interrogarsi sul funzionamento di questi programmi di sicurezza. Come fanno a proteggerci dagli hacker?
Come funziona un antivirus
In via generale possiamo cominciare a dire che gli antivirus analizzano qualsiasi file o programma che sta per entrare nel sistema. Gli elementi sono confrontati con quelle che in gergo sono definite “virus signatures”, un archivio di firme in cui sono inserite informazioni sui malware. Se il file combacia con le definizioni presenti nello “schedario”, l’antivirus lo blocca.
Gli altri, invece, sono lasciati passare dal primo cancello e convogliati in un altro “spazio” di sicurezza, presente in alcuni firewall e antivirus: l’Host Based Intrusion Prevention System (HIPS). Cosa succede in questa zona? Semplice. I programmi affidabili sono fatti circolare nel sistema, mentre ai file non conosciuti dall’antivirus viene dato una sorta di “nullaosta” temporaneo: girano sul computer, ma solo in “ambienti” isolati. Spetterà poi all’utente decidere se aprire le porte della macchina a questi programmi, oppure chiuderle per sempre. Nel secondo caso, come gli altri malware, i file finiscono in quarantena.
Tecniche di analisi
Come detto, gli antivirus eseguono delle scansioni continue e in tempo reale, perlustrando tutto il “territorio”. Il principale strumento di attacco sono, come visto, i malware. Ecco perché è molto importante mantenere aggiornati gli antivirus: un archivio di firme obsoleto non sarebbe in grado di bloccare un nuovo malware.
Ci sono anche altre tecniche di indagine. Un metodo molto utilizzato è quello euristico, che solitamente funziona insieme al “virus signatures”. Di cosa si tratta? Serve per individuare codici malevoli non conosciuti dall’antivirus. Attraverso questa tecnologia, il programma di protezione analizza un file sospetto in una zona virtuale e isolata dal sistema. In questo modo, se il file è pericoloso non rischia di infettare l’intera macchina.
Poi c’è anche la tecnicha che effettua delle analisi comportamentali, ossia il programma individua il malware, studiando i suoi “comportamenti” mentre è in funzione.
Una delle più avanzate soluzioni di indagine è quella del data mining, che analizza il file estraendo parti di codice binario. Un altro metodo di analisi è il Sandbox: i file sospetti sono eseguiti in un ambiente virtuale, dove l’antivirus riesce a capire se sono malevoli o meno.
