I produttori antivirus discutono le metodologie per il test dei loro prodotti

I rapporti tra i produttori di soluzioni antivirus e coloro che effettuano “prove sul campo” degli stessi sono solitamente molto cordiali sebbene occasionalmente, allorquando un software non superi un test, possa ingenerarsi qualche tensione.
Alcuni rappresentanti di Symantec, F-Secure e Panda Software, in occasione dell'”International Antivirus Testing Workshop” tenutosi il mese scorso a Reykjavik, in Islanda, si sono accordati per definire un piano di testing che possa meglio riflettere le reali potenzialità di ogni antivirus. La speranza è che tutti i produttori di soluzioni per la sicurezza possano accettare il nuovo “modus operandi” in modo tale che possa essere globalmente applicato.
Una prima bozza del modo di procedere per i vari test dovrebbe essere rilasciata entro Settembre, stando a quanto dichiarato da Mark Kennedy, uno degli ingegneri Symantec.
Una delle prove che più comunemente viene effettuata, consiste nel caricare sul sistema di test un insieme di campioni malware così da verificare il comportamento del motore antivirus installato nell’individuazione delle varie minacce.
I software antivirus hanno però subìto un profondo mutamento nel corso degli ultimi due anni ed “adesso molti prodotti utilizzano altre modalità per rilevare e bloccare i malware”, ha osservato Toralv Dirron, esperto di sicurezza presso McAfee. L’individuazione di potenziali componenti nocivi attraverso l’utilizzo di firma virali (“signature”) è importante ma l’incremento esponenziale della diffusione di software maligni che sono varianti di altre minacce oppure la veicolazione di malware sviluppati “in pochi esemplari” – quindi non conosciuti su larga scala -, rende l’approccio basato sulle definizioni antivirus poco efficace.
I vari vendor di soluzioni antivirus hanno quindi iniziato ad impiegare metodologie di riconoscimento malware basate sull’analisi comportamentale: in questo modo è possibile individuare la presenza di un componente potenzialmente dannoso in forza delle azioni che questo sta tentando di mettere in atto. Scritture sul registro del sistema, download di materiale da server sconosciuti, modifica di parti vitali del sistema operativo, invio di e-mail senza l’autorizzazione dell’utente sono ad esempio spia della presenza di malware: la soluzione antivirus che sfrutta l’analisi comportamentale dovrebbe quindi essere automaticamente in grado di bloccare queste attività e il programma nocivo che le ha avviate.
Un malware può essere anche identificato e bloccato allorquando tenti di sfruttare una vulnerabilità di buffer overflow. Soluzioni HIPS (“Host-based Intrusion Prevention Systems) possono inoltre abbinare l’uso di firewall e tecniche di analisi dei pacchetti dati trasmessi e ricevuti in modo da bloccare altri attacchi.
Le innumerevoli modalità con cui un sistema può essere attaccato ed eventualmente infettato rende perciò estremamente complesso anche il lavoro di testing di un prodotto. Le differenti metodologie d’attacco implicano l’adozione di differenti difese, ciascuna delle quali deve essere accuratamente testata per arrivare ad un giudizio finale obiettivo.
Di contro, i test basati sulle sole firme virali può essere portato a termine in appena cinque minuti. “Questo è un test di base”, ha commentato Andreas Marx di AV-Test.org, “è facile ed economico”. Restano comunque problematiche anche riguardo questo specifico aspetto quali la scelta dei campioni malware e quanto essi siano più o meno recenti.
I test (logo VB100) che Virus Bulletin conduce sono effettuati sfruttando i campioni malware raccolti dalla Wildlist Organization International, un gruppo di ricercatori di sicurezza che collezionano e raccolgono componenti software nocivi. Per essere promosso all’interno del test VB100, un prodotto antivirus deve essere in grado di riconoscere completamente tutti i campioni malware.
Per il mese di Giugno, Virus Bulletin ha annunciato “bocciature” di nomi di grande fama quali Kaspersky e Grisoft.
Da parte sua, però, Kaspersky – nella persona di Roel Schouwenberg, ingegnere ricercatore presso la società russa -, ha fatto presente di aver eliminato una specifica firma virale dal database dell’antivirus nella giornata in cui Virus Bulletin ha effettuato il test e ciò per effettuare alcune ottimizzazioni sul prodotto. La firma virale è poi stata successivamente reintrodotta. “Ovviamente, qualora quella firma fosse stata presente avremmo superato il test invece di essere bocciati”, ha osservato Schouwenberg. “Se la prova fosse stata condotta un giorno prima od un giorno dopo, saremmo stati considerati idonei”.
Similmente, anche F-Secure era stata in un primo tempo bocciata, a causa di un problema simile, sebbene la valutazione sia stata poi rivista. John Hawes, consulente tecnico presso Virus Bulletin ha fatto notare, lui stesso, come i test basati unicamente sulle definizioni antivirus “non siano pienamente rappresentativi di come vanno le cose nel mondo reale”. Hawes ha comunque rimarcato come, secondo la sua opinione, tali tipologie di test riflettano la “competenza” e la serietà di un produttore antivirus.