Sotto esame 10 prodotti integrati per la sicurezza

La soluzione di prodotti integrati per la sicurezza proposta da McAfee integra un antivirus (VirusScan), un personal firewall, un modulo in grado di eliminare le e-mail indesiderate in arrivo nella vostra casella di posta elettronica (SpamKiller), un sistema per la protezione della navigazione sul web (Privacy Service) ed uno per la creazione di copie di sicurezza dei file importanti (Backup). Oltre a questi strumenti, è stato aggiunto anche SiteAdvisor – tecnologia acquistata ad Aprile 2005 da McAfee -: si tratta di un plug-in per il browser che mette in guardia l’utente allorquando stesse per accedere ad un sito web ospitante contenuti pericolosi.

Accanto ad ogni sito web visualizzato nella pagina dei risultati di ciascuna ricerca operata con Google, ad esempio, viene aggiunta un’icona che anticipa all’utente se il sito corrispondente risulti fidato oppure potenzialmente nocivo. La funzionalità SideAdvisor, inoltre, aggiunge un’indicazione alla barra degli strumenti del browser informando in tempo reale su un’eventuale pericolosità del sito che si sta visitando. In questo modo l’utente viene immediatamente messo in guardia su siti sospetti, contenenti materiale nocivo (spyware, malware, utilizzo di tecniche per l’installazione di componenti dannosi all’insaputa dell’utente e così via) o che tentino di mettere in atto attività truffaldine (phishing). Da apprezzare il fatto che SiteAdvisor si integra perfettamente sia con Internet Explorer che con Mozilla Firefox (anche con la più recente versione 2.0) mentre la funzionalità antiphishing della suite Symantec, ad esempio, risulta compatibile solo con il browser Microsoft.

McAfee ha implementato in Total Protection Suite 2007 una serie di moduli chiamati “SystemGuards” che si occupano di sorvegliare costantemente le modifiche apportate alle più importanti componenti del sistema operativo e del browser. L’azione dei “SystemGuards” si svilupa su tre fronti: programmi, Windows e browser. Cliccando, nella finestra principale del SecurityCenter, dapprima sul pulsante Computer e file, quindi su Configura, sulla scheda Protezione SystemGuard, infine su Avanzate, è possibile controllare le attività di monitoraggio svolte per ciascuno dei tre filoni appena citati. I vari “SystemGuards” rilevano le modifiche subite dal sistema e visualizzano un messaggio d’allerta ogniqualvolta sia in corso un tentativo di intervento sulla configurazione di Windows.

Installazione di ActiveX. McAfee Total Protection Suite 2007 rileva e blocca i tentativi d’installazione di controlli ActiveX eventualmente scaricati mediante Internet Explorer. Grazie a questa funzionalità è così possibile prevenire l’insediamento di oggetti nocivi. Gli ActiveX sono una tecnologia concepita da Microsoft con l’obiettivo di estendere le funzionalità di un’applicazione (il browser, ad esempio). Purtroppo, però, vengono spesso utilizzati da produttori di malware per veicolare ed installare software dannosi. Internet Explorer 7 gestisce in modo più efficiente i controlli ActiveX sebbene sia indispensabile evitare di accettare ActiveX sconosciuti o provenienti da siti web non fidati.
Mozilla Firefox, così come gli altri browser, non supportano la tecnologia ActiveX.
Il nostro consiglio è di disattivare completamente la ricezione dei controlli ActiveX (eventualmente effettuando anche un’azione di filtraggio da firewall).
Elementi di avvio. I “SystemGuards” di McAfee monitorano gli elementi aggiunti all’interno delle chiavi del registro di Windows e delle altre aree del sistema operativo che consentono l’esecuzione automatica di file specifici. Spesso malware e spyware inseriscono riferimenti ai propri file eseguibili in queste aree in modo da garantirsi l’avvio automatico ad ogni ingresso in Windows. I nomi di componenti dannosi sono sovente scelti in modo tale da avvicinarsi molto a quelli di elementi assolutamente benigni il cui caricamento è talvolta indispensabile per il corretto funzionamento del sistema operativo, dei software installati o di driver di periferica.
Hook di esecuzione della shell di Windows. Il termine “hook” è traducibile, dall’inglese, come “uncino”, “gancio”. Il prodotto di McAfee è in grado di rilevare l’insediamento di componenti che tentano di “agganciarsi” alla shell di Windows (in particolare, al processo explorer.exe). Sebbene in molti casi questa possibilità venga utilizzata da software legittimi per estendere le funzionalità dell’interfaccia di Windows, molti malware effettuano operazioni similari.
Shell Service Object Delay Load. Si tratta di una chiave del registro di sistema che può essere sfruttata dai malware per avviarsi automaticamente ad ogni ingresso in Windows, prima ancora che l’utente possa effettuare qualsiasi intervento.

I “guardiani” software di McAfee sono in grado di rilevare immediatamente tentativi di modifiche ad alcune aree del sistema operativo all’interno delle quali spesso usano insediarsi componenti spyware e malware. AppInit_DLLs ed Userinit sono due chiavi del registro di Windows spesso usate per scopi dannosi. La stringa AppInit_DLLs, ad esempio, può contenere una lista di librerie DLL che devono essere inizializzate all’avvio di Windows. Alcuni malware sfruttano questa possibilità per caricare, ad ogni avvio del sistema, i propri pericolosi file. Sono ben pochi i programmi “legittimi” che usano AppInit_DLLs. L’“occhio vigile” dei SystemGuards McAfee si estende anche sul file win.ini, eredità di un passato sempre più lontano (era già utilizzato in Windows 3.x), ancora oggi sfruttato, però, dai malware per autoeseguirsi all’avvio del sistema operativo.
McAfee controlla anche il file HOSTS di Windows, un file di testo che permette di associare un indirizzo “mnemonico” (per esempio, www.google.it) ad uno specifico indirizzo IP. Il risultato che si ottiene ricorda da vicino quello di un comune server DNS. In Windows NT/2000/XP/2003 è presente nella cartella \SYSTEM32\DRIVERS\ETC mentre in Windows 9x/ME nella cartella d’installazione di Windows (es.: C:\WINDOWS). Molti malware o hijacker (tipologia di malware che intervengono sul comportamento del browser variando la pagina iniziale od effettuando reindirizzamenti su siti nocivi) modificano il file HOSTS con lo scopo di reindirizzare il browser su siti web specifici. A seguito di questi interventi non autorizzati, digitando www.google.it o gli URL di altri siti web molto conosciuti, si potrebbero aprire, anziché le pagine web corrette, siti web “dannosi”. La modifica del file HOSTS è effettuata anche da molti virus con lo scopo di evitare l’apertura dei siti di software house che sviluppano soluzioni per la rimozione di malware.
Total Protection Suite offre comunque una protezione che agisce anche a livello più basso in modo da neutralizzare efficacemente l’azione di quei malware che cerchino di modificare il Winsock, driver utilizzato da Windows per le transazioni di rete. Il sistema operativo lo usa per gestire i protocolli di rete a basso livello e le applicazioni interagiscono con Winsock per collegarsi con altri sistemi, per comunicare con altri programmi residenti su diversi computer, per instradare dati sulla rete. Alcuni hijackers altamente pericolosi, come parassiti, si “agganciano” al sistema operativo a livello di Winsock intercettando tutte le comunicazioni di rete. Si tratta di malware con la “M” maiuscola che concatenano un loro componente alle librerie Winsock di Windows: ogni volta che ci si connette ad Internet tutto il traffico passa anche attraverso i file che fanno capo all’ospite indesiderato. Il malware ha così modo di registrare, indisturbato, tutto il traffico (rubando, tra le altre cose, anche dati personali ed informazioni sensibili) e di rinviarlo a terzi.
McAfee tiene sotto controllo anche eventuali tentativi di modifica alla configurazione dell’utilità di pianificazione di Windows, ai menù di scelta rapida, alla shell di sistema.

Sezione “browser”
Malware e spyware fanno ampio uso dei BHO (acronimo di Browser Helper Objects), componenti specificamente concepiti per Internet Explorer. Gli oggetti di questo tipo sono nati con lo scopo di aprire il browser Microsoft a funzionalità messe a disposizione con applicazioni sviluppate da terze parti. Alcuni programmi assolutamente legittimi ricorrono all’uso di BHO per arricchire il browser di Microsoft con funzionalità aggintive. Basti ricordare che gli stessi Adobe Acrobat e Google Desktop ricorrono ad oggetti BHO per dotare Internet Explorer di funzionalità per la gestione di file PDF, l’effettuazione di ricerche in Rete, l’implementazione di funzioni di “desktop search”. Gli oggetti BHO sono ampiamente usati da malware e spyware per compiere operazioni illecite. Analoghe considerazioni possono essere fatte per le barre degli strumenti che, in sistemi poco difesi e raramente aggiornati, compaiono in massa in Internet Explorer. I SystemGuards di McAfee Total Protection Suite 2007 si occupano di rilevare ed eventualmente impedire l’installazione di BHO, toolbar e plug-in per il browser.
Non solo. McAfee sorveglia tutta una serie di componenti di Internet Explorer che sono spesso utilizzate dai malware per svolgere le loro attività illecite. Citiamo, ad esempio, gli “hook di ricerca” ossia i criteri applicati automaticamente dal browser nel momento in cui l’utente eviti di digitare il prefisso relativo al protocollo di comunicazione che intende utilizzare (ad esempio, http:// oppure ftp://).
La protezione offerta da McAfee Total Protection Suite riguarda anche le restrizioni del browser e le impostazioni di sicurezza dello stesso, spesso modificate dai malware per facilitare le loro attività nocive.

Non sono però solo rose e fiori. La nuova suite di McAfee è risultata essere decisamente più pesante rispetto al passato rallentando molte delle operazioni che si compiono quotidianamente con il personal computer (l’impatto sulle performance del sistema è apparso superiore anche a quello del pacchetto “concorrente” di Symantec). E’ assai probabile che l’utente più evoluto preferisca restare lontano da questo tipo di suite integrate orientandosi magari su una combinazione di soluzioni “stand alone” free e commerciali (SiteAdvisor, ad esempio, può essere prelevato dal sito www.siteadvisor.com).
Il modulo firewall offre un’adeguata protezione dagli attacchi provenienti dall’esterno ma adotta secondo noi un approccio decisamente troppo semplicistico nel trattare le applicazioni che richiedono di colloquiare con la rete Internet. Il software, grazie alla tecnologia Smart Recommendations, è in grado di stabilire autonomamente se il programma sia fidato o meno ma non è possibile per l’utente più smaliziato impostare regolare firewall più restrittive agendo su porte, protocolli, indirizzi remoti (la ricezione o la trasmissione di dati da e verso la Rete può essere accettata o negata completamente, senza vie di mezzo).
La funzionalità antispam è compatibile con Outlook, Outlook Express, Windows Mail (client Microsoft inserito in Windows Vista), Mozilla Thunderbird ed Eudora ed offre un ottimo livello di protezione contro la posta indesiderata: gli approcci adottati sono infatti molteplici. McAfee SpamKiller analizza ogni messaggio in arrivo alla ricerca delle tecniche comunemente usate da spammer e “phishers” (utilizzo di testi nascosti, immagini usate per mascherare altri elementi dell’e-mail, errori di formattazione HTML commessi a scopo fraudolento), effettua un’analisi del testo servendosi di filtri bayesiani che consistono in un complesso ed efficace sistema di classificazione dei messaggi in base al loro contenuto: alle varie parole che compongono ogni e-mail viene assegnato un punteggio specifico; quando il punteggio supera un certo valore di soglia, il messaggio viene immediatamente classificato come “spam”. E’ possibile rigettare anche messaggi preparati usando set di caratteri stranieri. Se non si hanno corrispondenti in Cina, nei Paesi arabi, in Corea e così via, è possibile bloccare la ricezione di messaggi preparati con tali “character set” in modo da prevenire l’arrivo di posta indesiderata da queste nazioni. Nel caso del client di posta Microsoft, le e-mail di spam vengono spostate – per impostazione predefinita – nella cartella dedicata di SpamKiller, mentre nel caso di Thunderbird è risultato necessario creare manualmente una regola per la loro gestione. Migliorabile comunque anche il riconoscimento dello spam: con le impostazioni di default McAfee ha riconosciuto circa 240 mail di spam su un totale di 850.
La funzione “Parental control” si interfaccia direttamente con la gestione account di Windows e consente di impedire la visualizzazione di siti web ed immagini di dubbio gusto oppure a carattere violento o pornografico ai minori che facciano uso del personal computer od agli utenti non autorizzati.

Aspetti positivi:
– Interfaccia utente
– Completezza
– Il modulo antispam supporta tutti i principali client di posta
– SiteAdvisor: blocca tentativi di phishing e siti pericolosi

Aspetti negativi:
– Impatto sulle performance generali del sistema
– Regole firewall non configurabili in profondità
– Efficacia del filtro antispam migliorabile
– Incompatibilità con altri software di sicurezza

Symantec Norton Internet Security 2007

Anche la suite per la sicurezza targata Symantec si presenta in una veste grafica rinnovata rispetto al passato. Al momento dell’installazione, come accade nel caso di McAfee, pure Norton Internet Security 2007 va alla ricerca di software, presenti sul sistema in uso, che siano incompatibili con la suite di Symantec. Diversamente da McAfee qui il dito viene puntato contro SpyBot Search&Destroy, famosa ed apprezzata soluzione antispyware distribuita gratuitamente sul web. Se per i software antivirus è assolutamente sconsigliabile installare sullo stesso sistema più programmi (è assai probabile che si presentino falsi positivi, incompatibilità tra i rispettivi moduli residenti in memoria, malfunzionamenti), i principali produttori di suite per la sicurezza (quali McAfee e Symantec) stanno cominciando a dichiarare come incompatibili le soluzioni antispyware ed antimalware concorrenti, sia free che commerciali.
Ad installazione ultimata, Norton inserisce nella barra delle applicazioni un nuovo pulsante il cui intento consiste nell’attirare l’attenzione dell’utente qualora vi sia un aspetto relativo alla configurazione della suite che deve essere preso in esame prima possibile. I primi avvisi che si ricevono sono correlati con la necessità di applicare gli aggiornamenti rilasciati da Symantec ed effettuare una scansione completa del sistema alla ricerca di eventuali minacce.

Tra le vere innovazioni si registra la presenza della nuova funzionalità antiphishing; per quanto riguarda il resto, infatti, si ha a che fare con migliorie delle caratteristiche già presenti nelle precedenti versioni del prodotto, gran parte delle quali riguardano il modulo antivirus. La suite 2007 di Symantec è infatti ora in grado, tra l’altro, di individuare con maggior efficacia componenti rootkit e ciò grazie alla tecnologia Veritas VxMS, sinora adottata in ambito enterprise, che si occupa di effettuare una comparazione tra il contenuto di una directory e le informazioni salvate a livello di unità disco.
La protezione offerta da Norton Internet Security 2007 include un modulo antivirus (che effettua anche la scansione della posta elettronica in arrivo ed in uscita), un antispyware, un personal firewall, un sistema antiphishing, uno strumento che analizza il materiale scambiato attraverso i comuni client di messaggistica istantanea bloccando tempestivamente eventuali file dannosi. Mancano invece funzionalità presenti in altre suite concorrenti: tra le principali, antispam e “parental control”.
Antivirus, antispyware e firewall si sono rivelati piuttosto efficaci. Nel caso dell’antivirus, Norton supera alcune lacune nella fase di riconoscimento di componenti nocivi grazie all’ottima euristica. Il firewall è impostato di default per prendere automaticamente una decisione nel momento in cui un’applicazione tenti di trasmettere dati in Rete. Abbiamo provato ad installare numerosi software comunemente impiegati in Internet: il firewall li ha riconosciuti correttamente ed ha configurato delle regole specifiche. Abbiamo particolarmente apprezzato la possibilità di poter scegliere di volta in volta autonomamente quali comunicazioni debbono essere consentite e quali negate. Da questo punto di vista, Norton permette di impostare regole firewall anche molto complesse personalizzandole secondo le proprie necessità.

Tra le note negative, continuiamo a registrare la tradizionale “pesantezza” in termini di risorse di sistema impegnate; un aspetto, questo, che rende l’utilizzo del software di Symantec impraticabile su configurazioni hardware non proprio recenti. Norton Internet Security 2007, inoltre, occupa circa il doppio dello spazio su disco richiesto dall’analoga soluzione di McAfee.

Aspetti positivi:
– Ottimo comportamento del modulo antivirus e del firewall
– Le regole firewall sono eventualmente personalizzabili in profondità
– Sistema antiphishing integrato
– Valida protezione anti-rootkit

Aspetti negativi:
– Impatto sulle performance generali del sistema
– Mancano strumenti di protezione presenti in altre suite “concorrenti”
– Incompatibilità con alcuni software di sicurezza sviluppati da terze parti

BitDefender Internet Security v10

Rispetto alle precedenti versioni, BitDefender Internet Security si arricchisce di una utilità in grado di rilevare e rimuovere rootkit presenti sul sistema in uso. All’interno del CD d’installazione che abbiamo ricevuto è presente anche un software anti-rootkit “stand alone” che non necessita di alcuna installazione e che può essere eseguito direttamente da CD ROM (indicato, tuttavia, come ancora in versione beta). BitDefender Internet Security v10 integra un modulo antivirus, un firewall, un sistema antispam, un modulo “parental control”. La procedura d’installazione del prodotto si conclude molto più rapidamente rispetto a quelle che contraddistinguono le suite sinora presentate: già in fase d’installazione BitDefender provvede a scaricare le definizioni antivirus aggiornate e ad effettuare una scansione completa del sistema.

Come nel caso delle soluzioni di McAfee e Symantec, anche BitDefender Internet Security imposta il firewall con un set di regole predefinite in modo da ridurre al minimo la comparsa di pop-up che invitano l’utente a scegliere se una comunicazione da e verso la Rete debba essere o meno consentita. Il comportamento che prevede la creazione, da parte di BitDefender, di regole firewall specifiche per i programmi considerati legittimi è attivabile in fase d’installazione del prodotto spuntando la casella Permesso Whitelist. Attraverso la stessa finestra è possibile decidere se acconsentire o meno alla condivisione della connessione Internet sui sistemi che facessero uso di questa funzionalità propria di Windows. Successivamente, il componente firewall della suite di BitDefender individua il browser ed il client di posta elettronica impostati come predefiniti e richiede all’utente se si debba consentire loro l’accesso ad Internet.
I passi successivi consistono nello specificare se si faccia uso di un server proxy e se ci si colleghi ad Internet direttamente (i.e. modem) oppure attraverso la rete locale.

A questo punto BitDefender risulta completamente operativo. Nell’area dello schermo in basso a destra viene aggiunta una piccola finestra fluttuante che fotografa, in forma grafica, l’attività del sistema e della connessione di rete.
Il firewall, se configurato con le opzioni di default, consente automaticamente l’accesso alla Rete a centinaia di applicazioni riconosciute come perfettamente legittime (ne viene fornito l’elenco completo cliccando sul pulsante Permesso Whitelist). Qualora un programma che richiede di “colloquiare” in Internet non risultasse conosciuto, BitDefender mostra all’utente una finestra a comparsa invitandolo a configurare una regola specifica. L’utente esperto, selezionando la voce Chiedi può comunque, di volta in volta, non appena viene visualizzata la finestra pop-up, creare una regola personalizzata anche molto restrittiva. Sebbene il firewall fornisca una protezione più che adeguata, è risultato possibile terminare manualmente i processi che fanno capo alla suite di BitDefender: malware che dovessero insediarsi in qualche modo sul sistema potrebbero quindi riuscire a vanificare la protezione fornita dalla suite.
La funzione “parental control” è stata notevolmente migliorata: è possibile definire profili utente basati sull’età dello stesso. La tecnologia integrata in BitDefender si occuperà di bloccare i contenuti potenzialmente offensivi presenti nelle pagine web o nei messaggi di posta elettronica. Similmente alla funzionalità che Microsoft ha introdotto in Windows Vista, anche mediante BitDefender diviene ora possibile applicare politiche che limitino l’uso del sistema ad ore specifiche della giornata od impedire l’utilizzo di singole applicazioni.

Buona anche la protezione antispam che nel nostro caso ha sin da subito riconosciuto 600 mail di spam su un totale complessivo di circa 900. BitDefender aggiunge una nuova barra degli strumenti all’interno del client di posta utilizzato dall’utente: ricorrendo all’uso dei pulsanti presenti in questa barra, è possibile far presente un errore nella fase di individuazione delle e-mail indesiderate. BitDefender deve essere infatti “addestrato” dall’utente: è possibile, sopratutto nei primi periodi, che il modulo antispam riconosca come indesiderate e-mail che in realtà non lo sono affatto. E’ indispensabile adeguare i filtri bayesiani usati da BitDefender segnalando di volta in volta gli errori commessi od abbassare l’”aggressività” del modulo antispam.
Fiore all’occhiello resta il modulo antivirus che vanta numerosi riconoscimenti (VB 100%, ICSA Labs e West Coast Labs) ed include la nuova euristica B-HAVE (Behavioural Heuristic Analyzer in Virtual Environments) che si occupa di prevenire attacchi sferrati da minacce non ancora ufficialmente classificate. Abbiamo incontrato tuttavia qualche difficoltà operativa nell’utilizzare il prodotto su sistemi già infetti.
Il pacchetto di BitDefender si è rivelato molto leggero dal punto di vista delle richieste hardware e software andando ad impattare in modo assai contenuto sulle performance globali del sistema (abbiamo anche provato ad installare nuovi software durante l’effettuazione di una scansione del contenuto del disco fisso senza rilevare rallentamenti apprezzabili).
Tra le note di demerito, inseriamo un appunto relativo alla traduzione del pacchetto nella nostra lingua. I testi mostrati appaiono spesso tradotti in italiano in maniera molto approssimativa: è auspicabile, quindi, un aggiornamento dei file di localizzazione.

Aspetti positivi:
– Suite leggera e poco esigente in termini di risorse di sistema
– Firewall liberamente personalizzabile
– Buona l’efficacia del “parental” control
– Valida protezione anti-rootkit

Aspetti negativi:
– Traduzione in lingua italiana molto approssimativa
– Firewall disattivabile con facilità

F-Secure Internet Security 2007

F-Secure è uno dei software che, nel corso dei nostri test, si è meglio comportato nella fase di riconoscimento ed individuazione di virus e malware in generale. Lo scotto da pagare è una forse eccessiva lentezza del modulo antispyware che comunque ha ben figurato nell’eliminazione del set di minacce che avevamo fatto insediare sul nostro sistema.

Altrettanto positive “le doti” del modulo firewall che, per quanto concerne il monitoraggio delle applicazioni installate sul sistema, si basa su un approccio guidato dall’analisi comportamentale di ogni singolo programma. La tecnologia si chiama DeepGuard: uno dei vantaggi più immediati per l’utente normale consiste nell’eliminazione di gran parte delle finestre pop-up che invitano alla definizione di una regola di comunicazione specifica. Si tratta, questa, di una novità che verrà particolarmente apprezzata dagli utenti meno evoluti mentre la mancanza della possibilità di restringere a proprio piacimento le regole impostate per ciascuna applicazione potrebbe scontentare il più smaliziato.

Il modulo antispam si incarica di configurare automaticamente Outlook ed Outlook Express. Per quanto riguarda gli altri client di posta elettronica, vengono fornite le istruzioni per provvedere manualmente. In particolare, nel caso di Outlook Express, F-Secure configura una regola affinché tutta la posta marcata dal filtro antispam con la dizione [SPAM] nell’oggetto venga spostata nella cartella “Posta eliminata” mentre, ad esempio, qualora si utilizzi Thunderbird od Eudora è necessario creare una nuova regola che si occupi di smistare adeguatamente i messaggi contenenti, tra le righe che compongono l’intestazione (header), il valore X-Flag-Spam impostato a Sì.
Anche nel caso di F-Secure è possibile selezionare l’”aggressività” dello strumento antispam che, purtuttavia, non ci ha entusiasmato sia per efficacia che per efficienza. Il filtro antispam sfrutta, tra l’altro, anche una soluzione basata sull’uso delle DNSBL: l’intestazione del messaggio viene confrontata con le informazioni raccolte da alcune “liste nere” mantenute aggiornate su Internet. Se l’e-mail appare come proveniente da indirizzi IP che hanno inviato o spediscono spesso spam – generalmente da “open proxy” od “open-relay mail server” – il messaggio viene classificato come indesiderato. L’uso delle DNSBL può aiutare ma presenta comunque qualche “effetto collaterale”: c’è il rischio che qualche e-mail possa essere erroneamente classificata come spam. Non è invece possibile “addestrare” il filtro antispam come nel caso, ad esempio, di BitDefender.
Per quanto riguarda la funzionalità “parental control”, F-Secure non si interfaccia con gli account utente di Windows ma consente la creazione di tre profili (genitore, adolescente e bambino) protetti mediante password. Chi usa il profilo “bambino” può navigare solo sui siti we definiti dal genitore mentre nel caso dell’”adolescente” è possibile bloccare anche categorie specifiche di siti.

Aspetti positivi:
– Leggero in termini di risorse di sistema occupate
– Interfaccia compatta
– Ottima efficacia di antivirus ed antispyware
– Il firewall controlla il comportamento delle applicazioni

Aspetti negativi:
– Lentezza del motore di scansione
– Regole firewall non personalizzabili in profondità
– Efficacia ed efficienza dell’antispam discutibile

Trend Micro Internet Security 2007

Anche l’antivirus di Trend Micro vanta certificazioni VB 100%, West Coast Labs e ICSA Labs. Per impostazione predefinita, il software si occupa di effettuare periodicamente una scansione completa del sistema e di controllare la presenza di eventuali vulnerabilità del sistema operativo ancora non risolte mediante l’applicazione delle patch rilasciate da Microsoft. Cliccando sul pulsante Esegui scansione, Trend Micro provvederà a controllare tutte le aree del sistema mentre servendosi del link Altre opzioni si possono richiedere analisi specifiche. Ad esempio, selezionando Vulnerabilità, Trend Micro informa l’utente sulla mancanza di eventuali patch di sicurezza Microsoft che potrebbero porre a rischio il personal computer ed i dati in esso memorizzati facilitando attacchi intentati da aggressori remoti.

Lo strumento messo a disposizione da Trend Micro è una sorta di MBSA (Microsoft Baseline Security Analyzer) ridotto che risulta comunque particolarmente semplice e veloce da usare proprio perché integrato nella suite.
Per quanto riguarda la scansione della posta elettronica, è interessante che oltre all’analisi dei messaggi in arrivo ed in uscita, Trend Micro permetta anche di interfacciarsi con le più famose caselle di posta gestibili via web (webmail). Il supporto dei client di messaggistica istantanea è purtroppo limitato al solo MSN Messenger sebbene, ovviamente, i file veicolati attraverso altri client siano immediatamente analizzati nel momento in cui l’utente tenti di accedervi.
Trend Micro ha protetto adeguatamente i nostri sistemi da virus e spyware sebbene si siano evidenziate diverse difficoltà nel tentativo di installare e rendere operativo il prodotto su macchine preventivamente già infestate da malware.
Al momento dell’installazione, Trend Micro richiede all’utente se si desidera attivare il “servizio database di rating” disponibile sul web. Si tratta di un servizio opzionale che permette di aumentare il livello di protezione offerto dalla suite. Attivando le due caselle proposte, nel momento in cui un programma tenti di accedere ad Internet, il servizio di rating messo a punto da Trend Micro provvederà a consultare un database disponibile online: l’utente verrà immediatamente messo in allerta qualora un programma pericoloso dovesse tentare una connessione alla Rete. Un meccanismo simile è stato studiato anche per i siti web: ogni volta che si introduce un URL nella barra degli indirizzi del browser, Trend Micro può confrontarlo con il suo database di rating impedendo l’accesso alle pagine web riconosciute come maligne.
Grazie al database di rating, il firewall riduce al minimo la comparsa delle finestre pop-up che invitano l’utente a decidere se un programma debba poter accedere o meno ad Internet. Accedendo alla finestra delle proprietà del “personal firewall”, è possibile scegliere tra quattro profili preimpostati che differiscono in base alle politiche di sicurezza che verranno applicate ed alla modalità di connessione ad Internet (diretta, attraverso rete locale o wireless). Facendo riferimento alla scheda Controllo Programma, si possono eventualmente personalizzare le varie regole firewall a livello di porte e protocolli.
Il controllo antispam di Trend Micro ci ha positivamente impressionato. Nel caso in cui l’utente faccia uso di Outlook od Outlook Express, le e-mail considerate come indesiderate vengono spostate di una cartella di “quarantena”. Nel caso in cui si utilizzino altri client di posta, è necessario impostare un filtro che tratti opportunamente le e-mail classificate da Trend Micro come spam. All’utente è permesso impostare fino a sei differenti livelli di “aggressività” del filtro antispam: uno per ciascuna categoria di e-mail in arrivo (posta elettronica con contenuti per adulti, commerciali, tematiche finanziarie, relative alla salute e così via). Si tenga presente che la scelta di un livello di sensibilità alto può portare a falsi positivi.

Nella suite di Trend Micro non esiste una vera e propria funzionalità per il “parental control”: viene permesso il blocco di talune categorie di siti web (è indispensabile proteggere mediante password l’accesso alla configurazione del programma) ma non è possibile collegare le impostazioni al singolo utente del personal computer.

Aspetti positivi:
– Interfaccia utente chiara e compatta
– Buona efficacia di antivirus ed antispyware
– Verifica delle vulnerabilità del sistema operativo
– Buon filtro antispam

Aspetti negativi:
– “Resistenza” del firewall a tentativi di disabilitazione e “leak test” migliorabile
– Qualche difficoltà da parte dell’antispyware su sistemi già infetti
– Non esiste un vero e proprio modulo “parental control”

CA Internet Security Suite 2007

Una volta c’era ZoneAlarm, oggi il firewall è stato rimpiazzato da Tiny. E’ questa, forse, la novità maggiormente degna di nota nella versione 2007 della suite di CA. L’integrazione della tecnologia sviluppata da Tiny Software appare come una diretta conseguenza dell’acquisizione della società, operata da CA nel mese di Giugno 2005.

CA ha quindi preferito evitare di continuare ad integrare, nel suo prodotto, il firewall ZoneAlarm e ha implementato le funzionalità precedentemente offerte basandosi sul codice fatto proprio in seguito all’acquisizione di Tiny Software.
Purtroppo il personal firewall è risultato ancora un pò acerbo: vengono infatti visualizzate ancora troppe finestre pop-up che invitano l’utente alla creazione di una regola specifica. Ciò accade anche per alcune applicazioni note e diffuse (ad esempio, Mozilla Firefox). Non appena compare a video la finestra pop-up che richiede all’utente se un’applicazione debba essere o meno autorizzata a trasmettere dati in Internet (od a riceverli), non si ha la possibilità di specificare immediatamente anche una regola più complessa (a beneficio dei più esperti).
Il firewall, inoltre, visualizza sovente finestre a comparsa che mettono in allerta l’utente circa comportamenti del sito web in corso di visita. Elementi di per sé non pericolosi come cookie e pop-up dovrebbero essere automaticamente trattati dal programma senza richiedere l’intervento dell’utente. Purtroppo, al momento, la versione 2007 di CA perde punti rispetto alle precedenti versioni che includevano la protezione targata ZoneAlarm.

La velocità di scansione del modulo antispyware è certamente quella migliore riscontrata durante le nostre prove (il software antivirus si è, di contro, rivelato molto lento) sebbene la sua efficacia nella rimozione di alcuni malware già presenti sul sistema e di alcune minacce che abbiamo lasciato insediarsi sul personal computer è apparsa migliorabile.
Il filtro antispam poggia il suo funzionamento essenzialmente sul concetto di “white list” e “black list”: i messaggi provenienti a mittenti non autorizzati dall’utente vengono automaticamente posti in una cartella di “quarantena” per una successiva analisi manuale. Il programma può essere comunque addestrato in modo tale che riconosca le e-mail di spam sulla base delle indicazioni dell’utente. Il filtro antispam è compatibile con Outlook ed Outlook Express.
La protezione “parental control” non è integrata nella suite di CA ma deve essere installata separatamente. Anche in questo caso abbiamo a che fare con uno strumento già ampiamente conosciuto in Rete (si tratta di “K9”). K9 Web Protection consente di consentire oppure negare, a seconda delle scelte operate, la connessione a 18 categorie di siti web con la possibilità di fruire di una suddivisione ancor più approfondita. K9 può impedire l’utilizzo della Rete per un certo numero di minuti qualora l’utente (bambino od adolescente) provi a connettersi con siti web bloccati. Purtroppo la protezione è efficace solo con Internet Explorer o con i browser basati sul motore Microsoft.

Aspetti positivi:
– Interfaccia utente elegante
– Velocità di scansione del modulo antispyware
– Buona efficacia dell’antivirus

Aspetti negativi:
– Vengono proposte troppe finestre a comparsa durante la “navigazione” in Rete
– “Parental control” non integrato direttamente nella suite
– Il modulo antispam utilizza un approccio troppo semplicistico

Kaspersky Internet Security 6

Kaspersky Internet Security, insieme con Avira, G DATA ed F-Secure è una delle suite che vanta il motore antivirus più efficiente nella fase di rilevamento e rimozione di virus e malware.

In fase d’installazione viene richiesto all’utente se egli voglia programmare scansioni automatiche delle aree critiche del sistema oppure se analizzare periodicamente almeno i file caricati all’avvio di Windows. Dopo la richiesta dell’inserimento di una password (da impiegarsi per impedire che utenti non autorizzati possano operare modifiche alla configurazione della suite), Kaspersky rileva la presenza di dispositivi di rete (la modalità Stealth, da usarsi per la connessione Internet, consente di rendere totalmente invisibile il personal computer all’esterno mentre la relativa casella non dovrà essere attivata, ad esempio, nel caso di connessioni LAN). Il personal firewall individua, sin dal momento dell’installazione, le varie applicazioni conosciute e fidate che sono solite richiedere l’accesso alla rete Internet: per ciascuna di esse vengono istantaneamente create le regole più opportune (eventualmente personalizzabili dall’utente cliccando sul pulsante Applications). Come gran parte delle suite sinora prese in esame, anche Kaspersky effettua un’analisi comportamentale dei vari programmi allertando l’utente sulle azioni potenzialmente pericolose. Per velocizzare drasticamente il tempo impiegato per portare a conclusione i vari tipi di scansioni antivirus, Kaspersky evita di rianalizzare nuovamente i file che non hanno subìto modifiche dall’ultimo controllo. L’uso, allo scopo, di una tecnologia basata sugli Alternate Data Streams (ADS) implica il presentarsi, all’atto della scansione effettuata mediante strumenti anti-rootkit sviluppati da terze parti, di falsi positivi: tenetelo a mente.

Il pulsante Settings, visualizzato nella finestra principale del programma, permette di accedere ad una vastissima gamma di possibilità di personalizzazione. L’interfaccia di Kaspersky è ben organizzata: pur apparendo semplice al primo impatto, racchiude decine di regolazioni a beneficio dei più esperti.
Il firewall si è rivelato efficace e robusto: la tecnologia Proactive defense intercetta e blocca comportamenti potenzialmente pericolosi da parte dei software installati a livello di sistema e di interazione con gli altri programmi. La suite è in grado di monitorare la configurazione di Microsoft Office (difesa da attacchi da macro virus) e del registro di Windows.
L’abilità in fase di riconoscimento dello spam è invece nettamente migliorabile (il modulo antispam si integra direttamente con Outlook, Outlook Express e The Bat! pur supportando tutti i client di posta).
Completamente vacante una funzionalità “parental control”, generalmente presente nelle altre suite concorrenti.
Kaspersky è molto cresciuto rispetto al passato confermando le sue abilità antivirus, antispyware ed antimalware ma proponendosi oggi anche come soluzione poco avida in termini di risorse di sistema.

Aspetti positivi:
– Poco avido in termini di risorse di sistema occupate
– Scansione veloce
– Ottima protezione antivirus ed antispyware
– Comportamento del firewall ampiamente personalizzabile

Aspetti negativi:
– Possibilità che tool anti-rootkit restituiscano falsi positivi sui sistemi protetti da Kaspersky
– Mancanza della funzionalità “parental control”
– Efficacia del modulo antispam migliorabile

Panda Internet Security 2007

Ad una prima occhiata Panda Internet Security 2007 appare identico alla precedente versione. E’ stata riconfermata la tecnologia TruPrevent sulla quale Panda Software ha investito molto: si tratta di una funzionalità che sorveglia le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive, spia dell’attività di componenti dannosi non ancora presenti nell’archivio delle firme virali dell’antivirus.

Tra i pregi del prodotto sottolineiamo come la suite di Panda sia stata in grado di riconoscere minacce malware anche molto recenti. Anche Panda controlla la presenza di eventualità vulnerabilità relative al sistema operativo che potrebbero essere sfruttate da parte di malintenzionati per far danni. Il personal firewall, inoltre, non disorienta l’utente con la visualizzazione di troppe finestre a comparsa creando automaticamente le regole di comunicazione per le applicazioni più note e fidate. Accedendo alle impostazioni avanzate, l’utente più esperto può creare regole di connessione più strette agendo su porte, protocolli ed indirizzi di destinazione.
Particolarmente interessante anche la possibilità di richiedere l’invio tramite posta elettronica di un messaggio d’allerta che informi, ad esempio, la persona preposta all’amministrazione della rete locale su di un problema rilevato da parte della suite.

Il personal firewall riduce al minimo la comparsa di finestre pop-up creando autonomamente le regole d’accesso ad Internet per la maggior parte dei software conosciuti. Cliccando su Opzioni avanzate è possibile personalizzare tali regole.
La protezione antispam è un pò troppo semplicistica: viene garantito il supporto diretto di Outlook ed Outlook Express mentre nel caso in cui si impiegasse altri client e-mail si dovrà creare manualmente una regola-filtro.
Non sono offerte regolazioni particolari tranne quella che consente di configurare una “white list” ossia un elenco di interlocutori fidati la cui posta non sarà mai classificata come indesiderata (non è prevista, però, una funzionalità che consenta di importare, ad esempio, la rubrica dei contatti come invece accade nel caso di Norton, McAfee o CA).

Quello che bisogna rimarcare è la sostanziale assenza di falsi positivi nell’analisi delle e-mail in ingresso.
La protezione “parental control” non risulta attiva di default: gli sviluppatori di Panda, essendo consci che l’uso di simili funzionalità possa contribuire a rallentare la “navigazione” in Rete, ne propongono l’installazione solamente nel caso in cui l’utente sia effettivamente interessato.
Panda permette di configurare diversi profili utente (ad esempio: “bambino”, “adolescente”, “dipendente” e così via) offrendo l’opportunità di bloccare l’accesso a siti web facenti capo a specifiche categorie. La procedura di filtro dei contenuti è indipendente dalla piattaforma che si utilizza per il browsing (il “parental control” è compatibile quindi, ad esempio, sia con Internet Explorer che con Mozilla Firefox). Ogni volta che si effettua il login in Windows, inoltre, viene richiesta la password di accesso personale in modo che Panda possa applicare il profilo relativo.

Aspetti positivi:
– Completo ed abbastanza leggero
– Tecnologia TruPrevent in grado di riconoscere minacce sconosciute
– Buona efficienza di antivirus ed antispyware
– Il firewall riduce al minimo le finestre pop-up visualizzate

Aspetti negativi:
– Antispam troppo semplicistico
– Nessuna funzionalità per la tutela dei dati sensibili veicolati attraverso client IM

G DATA Internet Security 2007

Con la versione 2006 della suite, la software house tedesca G DATA aveva fatto ingresso anche nel nostro Paese sebbene i loro prodotti per la sicurezza, pressoché completamente sconosciuti in Italia, fossero già apprezzati all’estero. La suite 2007 di G DATA integra un antivirus, un personal firewall, un modulo antispam, protezione antiphishing, “parental control”, un filtro web ed un’utilità per la cancellazione sicura dei dati.

Due sono le caratteristiche degne di nota dell’antivirus: le tecnologia DoubleScan ed OutbreakScan. La prima, comune alle precedenti versioni dell’antivirus inserito nella suite, consiste nell’utilizzo simultaneo di due motori antivirus: l’uno realizzato da Kaspersky, l’altro da Alwil Software (produttore di Avast). La percentuale dei virus identificati durante i test supera il 99%. OutbreakScan, già introdotta con la versione 2006 del prodotto, nasce come risposta alla sviluppo ed alla quotidiana diffusione di nuovi virus. Prima che un software antivirus sia in grado di riconoscere automaticamente le nuove minacce possono passare dalle 4 alle 30 ore di tempo (analisi del componente maligno da parte del team di esperti della software house, aggiornamento delle abilità di riconoscimento dell’antivirus, distribuzione delle nuove firme virali a tutti i clienti del prodotto). L’obiettivo di G DATA è quello di rendere l’antivirus un software maggiormente “reattivo” che possa intercettare minacce ancora sconosciute (per le quali non esistono informazioni nell’archivio delle firme virali) entro pochi secondi. OutbreakScan si basa su un approccio euristico: ogni e-mail che viene scaricata sul personal computer dell’utente, viene prima analizzata utilizzando i due motori di scansione quindi, qualora non venga rilevato alcunché di sospetto, il programma passa ad interrogare un database online mantenuto costantemente aggiornato. All’interno di tale archivio viene tenuta traccia del traffico in Rete relativo alla posta elettronica prendendo, come riferimento, un gran numero di sistemi a livello mondiale. Se il sistema intercetta un gran numero di messaggi con caratteristiche similari conclude come, con buona probabilità, si abbia a che fare con un’attività di e-mailing collegata all’azione di spammers, virus o malware.
Molto valido anche il modulo firewall: non appena il programma rileva il tentativo di connessione ad Internet da parte di un’applicazione sconosciuta, viene proposta all’utente una finestra attraverso la quale egli può decidere l’azione da intraprendere. A seconda dell’esperienza dell’utente è possibile configurare il firewall perché riduca il meno possibile le richieste oppure, se viceversa, rendere possibile la personalizzazione delle regole a livello di indirizzi, porte e protocolli.
Il firewall non replica la flessibilità di Agnitum Outpost ma può facilmente raccogliere il favore anche degli utenti più smaliziati.
Il filtro antispam usa una combinazione delle tecniche più diffuse per eliminare automaticamente gran parte della posta indesiderata: è possibile impiegare filtri bayesiani in grado di analizzare il contenuto dei messaggi di posta ed imparare dagli errori in fase di riconoscimento, usufruire delle DNSBL (le “liste nere” aggiornate in Rete), bloccare le e-mail sulla base di parole specifiche contenute nell’oggetto o nel corpo del testo oltre alle classiche “whitelist” e “black list” compilabili manualmente. Il filtro antispam è compatibile con tutti i client di posta elettronica: sarà necessario comunque configurare delle regole opportune per trattare i messaggi indesiderati.

G DATA è l’unica suite vista sinora ad offrire un modulo per il blocco dei contenuti potenzialmente nocivi inseriti nelle pagine web. La funzionalità “parental control” si interfaccia con i vari account utente creati sul personal computer e consente di creare diversi profili per impedire la consultazione di siti web che ospitino contenuti non indicati per bambini, adolescenti o dipendenti. Un’apposita funzionalità consente anche di controllare gli orari in cui si vuol rendere possibile la navigazione o l’uso del personal computer.

Aspetti positivi:
– Pacchetto molto completo
– Due motori antivirus
– Tecnologia OutbreakScan
– Ottimo filtro antispam

Aspetti negativi:
– Migliorabile l’integrazione con browser e client di posta
– Il primo aggiornamento del pacchetto risulta piuttosto pesante

Agnitum Outpost Firewall PRO 4

Sebbene Outpost Firewall non sia propriamente una suite per la sicurezza abbiamo voluto ugualmente includerlo nella nostra rassegna visto l’ottimo comportamento del prodotto. Tra i firewall disponibili in Rete, la semplicità d’uso e l’efficacia di Agnitum ci hanno sempre più convinto versione dopo versione. Oltre a fornire una robusta protezione contro gli attacchi provenienti dalla rete Internet, il gran pregio di Outpost consiste nel permettere la creazione di regole firewall anche molto complesse in grado di limitare allo stretto necessario le modalità con cui un’applicazione può “colloquiare”.

Tutto ciò non rende però Outpost un prodotto per soli esperti: il software, infatti, integra una tecnologia detta “Smart Advisor” che si occupa di aiutare l’utente nella fase di configurazione delle regole firewall. L’utente meno smaliziato può affidarsi alle regole di volta in volta proposte da Outpost per configurare l’accesso alla Rete per le varie applicazioni installate sul suo sistema: il prodotto di Agnitum conosce infatti la stragrande maggioranza dei programmi in circolazione ed è quindi in grado di autoconfigurare il firewall impostando le regole di comunicazione più opportune.
Outpost Firewall si compone di diversi moduli (“plug-in”): tra quelli più importanti citiamo Contenuto attivo. Servendosi di questa caratteristica, ogni utente può bloccare il download e la gestione da parte del browser installato di tutti i contenuti, inseriti nelle pagine web o nei messaggi di posta elettronica (viene fornito anche un controllo di base sugli allegati), che potrebbero risultare nocivi. Si tratta, questa, di un’eccezionale possibilità che secondo noi manca colpevolmente all’appello in molte suite commerciali.
Accanto al firewall, a partire dalla terza versione di Outpost, Agnitum ha deciso di affiancare anche un modulo antispyware che si occupa di controllare in tempo reale l’attività del sistema operativo bloccando azioni sospette legate a malware di ogni genere.

Viene comunque messo a disposizione dell’utente anche un pratico modulo “on-demand”, per la scansione completa del sistema a richiesta. Il software controlla costantemente che nessun malware si insedi sul personal computer: tutti i software non conformi (potenzialmente pericolosi) vengono immediatamente terminati. Outpost, inoltre, mantiene traccia della configurazione degli aspetti “vitali” del sistema: modifiche non autorizzate da parte di componenti dannosi vengono rilevate ed impedite; viene verificata la presenza di componenti spyware su dischi fissi, floppy disk, CD, DVD, unità di memorizzazione esterne (ogni spyware viene eliminato e posto in “Quarantena” per una successiva analisi); vengono bloccati tentativi non autorizzati di trasmissione di dati personali (funzione “ID block”).
La funzione denominata, nella versione italiana, “Intercetta attacco” permette di difendere il sistema in maniera proattiva da tutti i pericoli, compresi quelli legati a vulnerabilità insite nel sistema operativo.
Outpost non integra un modulo antivirus, antispam né una funzionalità di “parental control”. Va detto comunque che il prodotto di Agnitum non è da considerarsi propriamente una suite in senso stretto. Outpost, grazie all’uso del meccanismo dei plug-in, è comunque un programma aperto alle aggiunte sviluppate da terze parti: non è escluso, quindi, che altri sviluppatori (o la software house stessa) implementino nuove funzionalità proprio sfruttando l’architettura aperta ai contributi esterni che contraddistingue il software.

Aspetti positivi:
– Firewall robusto ed efficace
– Regole firewall personalizzabili in profondità
– Procedure automatizzate per la creazione delle regole firewall

Aspetti negativi:
– Mancano antivirus, antispam e “parental control”