Controllare l'attendibilità dei siti con Browser Defender, dei file con ThreatExpert

Quando si naviga in Rete, è interessante essere tempestivamente informati circa la potenziale pericolosità delle pagine web che si è in procinto di visitare. Uno dei prodotti più famosi che mette a disposizione una funzionalità simile è SiteAdvisor, prodotto acquisito da McAfee nel mese di Aprile 2006 e successivamente integrato nei suoi software per la sicurezza. Via a via i vari produttori di software antivirus ed antimalware hanno iniziato ad aggiungere caratteristiche simili nelle loro suite e nei rispettivi software per la sicurezza.

Browser Defender è un programma meno conosciuto. Sviluppato da ThreatExpert, società conosciuta soprattutto per l’omonimo servizio di analisi comportamentale basato sul web (ved. più avanti) che si occupa di verificare i potenziali rischi derivanti dall’avvio di un qualsiasi file eseguibile, Browser Defender è compatibile sia con Internet Explorer che con Firefox. Nel primo caso, viene messo a disposizione dell’utente un file d’installazione; nel secondo, viene proposto sotto forma di estensione per il browser (file .xpi).

Per installare Browser Defender, è sufficiente collagarsi con questa pagina e cliccare sul pulsante Start download now.
Nel caso di Mozilla Firefox, per procedere all’installazione dell’estensione sarà necessario cliccare sul pulsante Permetti, mostrato sotto la barra degli strumenti, in corrispondenza della striscia di colore giallo contenente il messaggio Firefox ha impedito a questo sito (www.browserdefender.com) di richiedere l’installazione di software su questo computer.

A questo punto si dovrà cliccare sul pulsante Installa adesso. L’indicazione PC Tools Labs è motivata dal fatto che ThreatExpert è una società creata dallo stesso team di professionisti al lavoro sui prodotti PC Tools (azienda, a sua volta, acquistata da Symantec ad Agosto 2008).
Ultimata l’installazione di Browser Defender, il browser dovrà essere riavviato accettando, quindi, il contratto di licenza d’uso (EULA).

Il browser si presenterà con una barra aggiuntiva: quella inserita da Browser Defender. Utilizzando diverse colorazioni, Browser Defender indicherà se il sito visitato sia da considerarsi sicuro o meno.

Il meccanismo di difesa opera però anche a priori, prima di visitare qualunque sito Internet. Effettuando infatti una qualsiasi ricerca (su Google o Yahoo), Browser Defender provvederà a dare un giudizio a ciascun link proposto mostrando uno scudetto di diverso colore a seconda del livello di sicurezza del sito. La valutazione viene effettuata analizzando il contenuto dei link: quelli contenenti software potenzialmente dannoso, codici sospetti, codici exploit in grado di sfruttare vulnerabilità del browser o del sistema operativo, tentativi di phishing vengono subito bollati con un giudizio negativo.

Soffermando il puntatore del mouse sullo scudetto colorato di Browser Defender, è possibile ottenere delle informazioni aggiuntive.

Il sito web cui si riferiscono i dati riportati in figura, non sembra essere di per sé pericoloso tuttavia ospita link a siti web riconosciuti come nocivi.

Dopo aver parlato di Browser Defender, ci sembra opportuno presentare il servizio di punta di ThreatExpert: l’ominimo strumento online che permette di verificare il comportamento di qualsiasi eseguibile. ThreatExpert è un servizio che differisce, ad esempio, da Jotti e VirusTotal perché poggia il suo funzionamento su un meccanismo di “sandboxing“. Si chiama “sandbox” un’area protetta e sorvegliata all’interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio.

Se si nutrono sospetti a proposito dell’identità di un programma e delle operazioni che esso può compiere sul sistema, il servizio ThreatExpert può essere un’ottima soluzione per analizzarlo senza rischiare di far danni sul personal computer utilizzato, ad esempio, per scopi produttivi.

Dopo aver individuato, sul proprio disco fisso, il file che si intende sottoporre ad esame, è sufficiente, senza eseguirlo, collegarsi con questa pagina, cliccare sul pulsante Sfoglia…, scegliere il file da verificare, specificare un indirizzo di posta elettronica valido nella casella Your e-mail address, accettare i termini e le condizioni di utilizzo del servizio (spuntare la casella I agree to be bound by the terms and conditions) quindi premere il pulsante Submit in basso.
A questo punto, nel giro di qualche minuto, ThreatExpert spedirà all’indirizzo e-mail indicato un resoconto dettagliato contenente le informazioni a proposito di tutte le varie operazioni compiute dal file inviato in precedenza.
Il report è consultabile visionando il file html allegato al messaggio di posta oppure cliccando sul link proposto nel corpo del testo dell’e-mail.

Il resoconto finale riassume tutti i gli elementi che, dopo l’avvio del file inviato a ThreatExpert, vengono creati, eliminati o modificati sul sistema (sezione File system modifications). Successivamente, vengono indicate le modifiche effettuate al contenuto dei dati conservati in memoria, nel registro di Windows e così via.
Si tratta di un ottimo sistema che permette non solo di smascherare attività pericolose ma anche di rendersi conto di quali operazioni compiano software assolutamente legittimi.
ThreatExpert è in grado di evidenziare, sempre nel report finale, la creazione di file e processi nascosti oltre all’eventuale traffico di rete generato: porte aperte, indirizzi visitati, traffico SMTP prodotto ossia e-mail eventualmente spedite con tutti i dati relativi.

Per l’invio dei file da analizzare, ThreatExpert mette a disposizione anche un pratico tool “stand alone”, scaricabile facendo riferimento a questa pagina.