63241 Letture

Sotto esame 10 prodotti integrati per la sicurezza

La soluzione di prodotti integrati per la sicurezza proposta da McAfee integra un antivirus (VirusScan), un personal firewall, un modulo in grado di eliminare le e-mail indesiderate in arrivo nella vostra casella di posta elettronica (SpamKiller), un sistema per la protezione della navigazione sul web (Privacy Service) ed uno per la creazione di copie di sicurezza dei file importanti (Backup). Oltre a questi strumenti, è stato aggiunto anche SiteAdvisor – tecnologia acquistata ad Aprile 2005 da McAfee -: si tratta di un plug-in per il browser che mette in guardia l'utente allorquando stesse per accedere ad un sito web ospitante contenuti pericolosi.

Accanto ad ogni sito web visualizzato nella pagina dei risultati di ciascuna ricerca operata con Google, ad esempio, viene aggiunta un'icona che anticipa all'utente se il sito corrispondente risulti fidato oppure potenzialmente nocivo. La funzionalità SideAdvisor, inoltre, aggiunge un'indicazione alla barra degli strumenti del browser informando in tempo reale su un'eventuale pericolosità del sito che si sta visitando. In questo modo l'utente viene immediatamente messo in guardia su siti sospetti, contenenti materiale nocivo (spyware, malware, utilizzo di tecniche per l'installazione di componenti dannosi all'insaputa dell'utente e così via) o che tentino di mettere in atto attività truffaldine (phishing). Da apprezzare il fatto che SiteAdvisor si integra perfettamente sia con Internet Explorer che con Mozilla Firefox (anche con la più recente versione 2.0) mentre la funzionalità antiphishing della suite Symantec, ad esempio, risulta compatibile solo con il browser Microsoft.

McAfee ha implementato in Total Protection Suite 2007 una serie di moduli chiamati “SystemGuards” che si occupano di sorvegliare costantemente le modifiche apportate alle più importanti componenti del sistema operativo e del browser. L'azione dei “SystemGuards” si svilupa su tre fronti: programmi, Windows e browser. Cliccando, nella finestra principale del SecurityCenter, dapprima sul pulsante Computer e file, quindi su Configura, sulla scheda Protezione SystemGuard, infine su Avanzate, è possibile controllare le attività di monitoraggio svolte per ciascuno dei tre filoni appena citati. I vari “SystemGuards” rilevano le modifiche subite dal sistema e visualizzano un messaggio d'allerta ogniqualvolta sia in corso un tentativo di intervento sulla configurazione di Windows.

Installazione di ActiveX. McAfee Total Protection Suite 2007 rileva e blocca i tentativi d'installazione di controlli ActiveX eventualmente scaricati mediante Internet Explorer. Grazie a questa funzionalità è così possibile prevenire l'insediamento di oggetti nocivi. Gli ActiveX sono una tecnologia concepita da Microsoft con l'obiettivo di estendere le funzionalità di un'applicazione (il browser, ad esempio). Purtroppo, però, vengono spesso utilizzati da produttori di malware per veicolare ed installare software dannosi. Internet Explorer 7 gestisce in modo più efficiente i controlli ActiveX sebbene sia indispensabile evitare di accettare ActiveX sconosciuti o provenienti da siti web non fidati.
Mozilla Firefox, così come gli altri browser, non supportano la tecnologia ActiveX.
Il nostro consiglio è di disattivare completamente la ricezione dei controlli ActiveX (eventualmente effettuando anche un'azione di filtraggio da firewall).
Elementi di avvio. I “SystemGuards” di McAfee monitorano gli elementi aggiunti all'interno delle chiavi del registro di Windows e delle altre aree del sistema operativo che consentono l'esecuzione automatica di file specifici. Spesso malware e spyware inseriscono riferimenti ai propri file eseguibili in queste aree in modo da garantirsi l'avvio automatico ad ogni ingresso in Windows. I nomi di componenti dannosi sono sovente scelti in modo tale da avvicinarsi molto a quelli di elementi assolutamente benigni il cui caricamento è talvolta indispensabile per il corretto funzionamento del sistema operativo, dei software installati o di driver di periferica.
Hook di esecuzione della shell di Windows. Il termine “hook” è traducibile, dall'inglese, come “uncino”, “gancio”. Il prodotto di McAfee è in grado di rilevare l'insediamento di componenti che tentano di “agganciarsi” alla shell di Windows (in particolare, al processo explorer.exe). Sebbene in molti casi questa possibilità venga utilizzata da software legittimi per estendere le funzionalità dell'interfaccia di Windows, molti malware effettuano operazioni similari.
Shell Service Object Delay Load. Si tratta di una chiave del registro di sistema che può essere sfruttata dai malware per avviarsi automaticamente ad ogni ingresso in Windows, prima ancora che l'utente possa effettuare qualsiasi intervento.

I “guardiani” software di McAfee sono in grado di rilevare immediatamente tentativi di modifiche ad alcune aree del sistema operativo all'interno delle quali spesso usano insediarsi componenti spyware e malware. AppInit_DLLs ed Userinit sono due chiavi del registro di Windows spesso usate per scopi dannosi. La stringa AppInit_DLLs, ad esempio, può contenere una lista di librerie DLL che devono essere inizializzate all'avvio di Windows. Alcuni malware sfruttano questa possibilità per caricare, ad ogni avvio del sistema, i propri pericolosi file. Sono ben pochi i programmi "legittimi" che usano AppInit_DLLs. L'“occhio vigile” dei SystemGuards McAfee si estende anche sul file win.ini, eredità di un passato sempre più lontano (era già utilizzato in Windows 3.x), ancora oggi sfruttato, però, dai malware per autoeseguirsi all'avvio del sistema operativo.
McAfee controlla anche il file HOSTS di Windows, un file di testo che permette di associare un indirizzo "mnemonico" (per esempio, www.google.it) ad uno specifico indirizzo IP. Il risultato che si ottiene ricorda da vicino quello di un comune server DNS. In Windows NT/2000/XP/2003 è presente nella cartella \SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella cartella d'installazione di Windows (es.: C:\WINDOWS). Molti malware o hijacker (tipologia di malware che intervengono sul comportamento del browser variando la pagina iniziale od effettuando reindirizzamenti su siti nocivi) modificano il file HOSTS con lo scopo di reindirizzare il browser su siti web specifici. A seguito di questi interventi non autorizzati, digitando www.google.it o gli URL di altri siti web molto conosciuti, si potrebbero aprire, anziché le pagine web corrette, siti web “dannosi”. La modifica del file HOSTS è effettuata anche da molti virus con lo scopo di evitare l'apertura dei siti di software house che sviluppano soluzioni per la rimozione di malware.
Total Protection Suite offre comunque una protezione che agisce anche a livello più basso in modo da neutralizzare efficacemente l'azione di quei malware che cerchino di modificare il Winsock, driver utilizzato da Windows per le transazioni di rete. Il sistema operativo lo usa per gestire i protocolli di rete a basso livello e le applicazioni interagiscono con Winsock per collegarsi con altri sistemi, per comunicare con altri programmi residenti su diversi computer, per instradare dati sulla rete. Alcuni hijackers altamente pericolosi, come parassiti, si "agganciano" al sistema operativo a livello di Winsock intercettando tutte le comunicazioni di rete. Si tratta di malware con la "M" maiuscola che concatenano un loro componente alle librerie Winsock di Windows: ogni volta che ci si connette ad Internet tutto il traffico passa anche attraverso i file che fanno capo all'ospite indesiderato. Il malware ha così modo di registrare, indisturbato, tutto il traffico (rubando, tra le altre cose, anche dati personali ed informazioni sensibili) e di rinviarlo a terzi.
McAfee tiene sotto controllo anche eventuali tentativi di modifica alla configurazione dell'utilità di pianificazione di Windows, ai menù di scelta rapida, alla shell di sistema.


Sezione “browser”
Malware e spyware fanno ampio uso dei BHO (acronimo di Browser Helper Objects), componenti specificamente concepiti per Internet Explorer. Gli oggetti di questo tipo sono nati con lo scopo di aprire il browser Microsoft a funzionalità messe a disposizione con applicazioni sviluppate da terze parti. Alcuni programmi assolutamente legittimi ricorrono all'uso di BHO per arricchire il browser di Microsoft con funzionalità aggintive. Basti ricordare che gli stessi Adobe Acrobat e Google Desktop ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalità per la gestione di file PDF, l'effettuazione di ricerche in Rete, l'implementazione di funzioni di "desktop search". Gli oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni illecite. Analoghe considerazioni possono essere fatte per le barre degli strumenti che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet Explorer. I SystemGuards di McAfee Total Protection Suite 2007 si occupano di rilevare ed eventualmente impedire l'installazione di BHO, toolbar e plug-in per il browser.
Non solo. McAfee sorveglia tutta una serie di componenti di Internet Explorer che sono spesso utilizzate dai malware per svolgere le loro attività illecite. Citiamo, ad esempio, gli “hook di ricerca” ossia i criteri applicati automaticamente dal browser nel momento in cui l'utente eviti di digitare il prefisso relativo al protocollo di comunicazione che intende utilizzare (ad esempio, http:// oppure ftp://).
La protezione offerta da McAfee Total Protection Suite riguarda anche le restrizioni del browser e le impostazioni di sicurezza dello stesso, spesso modificate dai malware per facilitare le loro attività nocive.


Non sono però solo rose e fiori. La nuova suite di McAfee è risultata essere decisamente più pesante rispetto al passato rallentando molte delle operazioni che si compiono quotidianamente con il personal computer (l'impatto sulle performance del sistema è apparso superiore anche a quello del pacchetto “concorrente” di Symantec). E' assai probabile che l'utente più evoluto preferisca restare lontano da questo tipo di suite integrate orientandosi magari su una combinazione di soluzioni “stand alone” free e commerciali (SiteAdvisor, ad esempio, può essere prelevato dal sito www.siteadvisor.com).
Il modulo firewall offre un'adeguata protezione dagli attacchi provenienti dall'esterno ma adotta secondo noi un approccio decisamente troppo semplicistico nel trattare le applicazioni che richiedono di colloquiare con la rete Internet. Il software, grazie alla tecnologia Smart Recommendations, è in grado di stabilire autonomamente se il programma sia fidato o meno ma non è possibile per l'utente più smaliziato impostare regolare firewall più restrittive agendo su porte, protocolli, indirizzi remoti (la ricezione o la trasmissione di dati da e verso la Rete può essere accettata o negata completamente, senza vie di mezzo).
La funzionalità antispam è compatibile con Outlook, Outlook Express, Windows Mail (client Microsoft inserito in Windows Vista), Mozilla Thunderbird ed Eudora ed offre un ottimo livello di protezione contro la posta indesiderata: gli approcci adottati sono infatti molteplici. McAfee SpamKiller analizza ogni messaggio in arrivo alla ricerca delle tecniche comunemente usate da spammer e “phishers” (utilizzo di testi nascosti, immagini usate per mascherare altri elementi dell'e-mail, errori di formattazione HTML commessi a scopo fraudolento), effettua un'analisi del testo servendosi di filtri bayesiani che consistono in un complesso ed efficace sistema di classificazione dei messaggi in base al loro contenuto: alle varie parole che compongono ogni e-mail viene assegnato un punteggio specifico; quando il punteggio supera un certo valore di soglia, il messaggio viene immediatamente classificato come “spam”. E' possibile rigettare anche messaggi preparati usando set di caratteri stranieri. Se non si hanno corrispondenti in Cina, nei Paesi arabi, in Corea e così via, è possibile bloccare la ricezione di messaggi preparati con tali “character set” in modo da prevenire l'arrivo di posta indesiderata da queste nazioni. Nel caso del client di posta Microsoft, le e-mail di spam vengono spostate – per impostazione predefinita – nella cartella dedicata di SpamKiller, mentre nel caso di Thunderbird è risultato necessario creare manualmente una regola per la loro gestione. Migliorabile comunque anche il riconoscimento dello spam: con le impostazioni di default McAfee ha riconosciuto circa 240 mail di spam su un totale di 850.
La funzione “Parental control” si interfaccia direttamente con la gestione account di Windows e consente di impedire la visualizzazione di siti web ed immagini di dubbio gusto oppure a carattere violento o pornografico ai minori che facciano uso del personal computer od agli utenti non autorizzati.


Aspetti positivi:
- Interfaccia utente
- Completezza
- Il modulo antispam supporta tutti i principali client di posta
- SiteAdvisor: blocca tentativi di phishing e siti pericolosi

Aspetti negativi:
- Impatto sulle performance generali del sistema
- Regole firewall non configurabili in profondità
- Efficacia del filtro antispam migliorabile
- Incompatibilità con altri software di sicurezza


Sotto esame 10 prodotti integrati per la sicurezza - IlSoftware.it