Antivirus: la protezione è attiva

0

Come ho scritto più volte, avere un buon antivirus – aggiornato – in funzione sul proprio computer è al giorno d’oggi fondamentale. In un mondo in cui il malware è diventato a tutti gli effetti un’arma – vedi il caso stuxnet – non è ragionevole pensare di potere navigare su internet o consultare la posta elettronica senza dotarsi di un sistema di difesa.

Ma come si fa a definire un antivirus buono?

Per altri prodotti è possibile definire una griglia di test oggettivi, da cui è possibile stabilire una classifica oggettiva. Nel caso degli antivirus la questione è molto più complessa, perché la qualità finale del prodotto non dipende solo dalla capacità di individuare efficacemente il malware noto, ma quella di bloccare il più tempestivamente possibile i nuovi virus, le minacce del futuro prossimo venturo.

Questo è un elemento fondamentale. Ci sarà sempre una finestra di tempo fra il momento in cui il virus appare in rete, e quello in cui il vostro antivirus sarà in grado di individuare la minaccia e bloccarla. E’ fisiologico: il virus deve essere individuato, analizzato, e infine codificato perchè il motore di analisi possa rilevarlo qualora arrivasse sul vostro computer. E’ un processo laborioso e manuale, che richiede un team formato da personale competente. Dal mio punto di vista è questa la qualità più importante, ma è difficile – per non dire impossibile – testarla in maniera oggettiva. Esiste però un modo indiretto per analizzare il lavoro delle squadre di analisi dei vari produttori, ed è quello di leggere i blog in cui i principali produttori rendono pubblico il loro lavoro di analisi, e farsi una idea del loro lavoro.

Fra i team che seguo c’è quello di Eset, il produttore dell’antivirus NOD32. Recentemente un membro del loro team è riuscito a recuperare la master key di TeslaCrypt, evento che ha consentito di risolvere definitivamente i problemi dei pc sequestrati da questo malware. La loro filiale italiana mi ha inviato una copia di prova del loro ultimo prodotto, Multi Device Security Pack, una licenza che consente, ad un costo promozionale, di utilizzare i prodotti Eset su più dispositivi. Ero curioso di verificare la capacità del loro antivirus di intercettare le minacce più perniciose al giorno d’oggi: i virus crittografici. Ho quindi predisposto una macchina ad hoc in laboratorio ed ho fatto una batteria di test.

virus0

La prima cosa che volevo verificare è la capacità di intercettare i virus che utilizzano come vettore di infezione le email fasulle, quelle che mietono quotidianamente tante vittime. Ho aperto le due caselle email che utilizzo come honeypot: ricevono solo spam e virus per poterli analizzare, e non c’è praticamente giorno che non ne arrivino di nuovi. Ho provato ad aprire gli allegati dell’ultima settimana, per vedere quanti ne passassero attraverso i filtri dell’antivirus. Devo dire di essere stato piacevolmente sorpreso nel constatare come il software li abbia bloccati tutti. Questi sono i quattro di oggi:

virus1 virus2 virus3 virus3

Ovviamente per difenderci dal malware ogni antivirus impegna risorse. Ho provveduto quindi a paragonare l’occupazione di memoria a sistema scarico, con e senza l’antivirus installato. Sarebbe legittimo aspettarsi un incremento, anche significativo, dell’occupazione di memoria centrale. Ma, dato che Smart Security sostituisce due elementi standard di windows, a togliere e mettere evidentemente il conto è a favore dell’antivirus. Alla fine la memoria disponibile è leggermente maggiore con il software Eset installato rispetto a quella standard di windows.

mem_antivirus mem_noantivirus

Oltre alla memoria ho testato l’impegno dell’unità centrale. Cronometro alla mano, la versione con l’antivirus installato è risultata leggermente più lenta rispetto a quella senza. La differenza non è però eclatante: siamo intorno al 5-6% su applicazioni di una certa complessità ed articolazione in file. C’è da dire che ho utilizzato per i test una CPU single-core, volutamente lumaca, per evidenziare con più facilità differenze di esecuzione fra le due condizioni di lavoro.

Sono questi i tre elementi che ritengo importanti per valutare un antivirus. Altre analisi sono dal mio punto di vista poco significative, come ad esempio quelle sulla percentuale dei virus individuati: quelli attivi, quindi in circolazione, sono relativamente pochi se paragonati alla massa di quelli noti. Ed è molto più importante intercettare il virus che apparirà nelle prossime ore piuttosto che un coetaneo di Melissa.

Una nota a chiusura: parlando di software, c’è da considerare che le prestazioni sono sempre molto condizionate dalla configurazione del computer su cui è condotta la prova. Quindi piuttosto che fidarvi di classifiche e confronti diretti, è sempre preferibile provare direttamente i prodotti che intendete acquistare: i produttori maggiori hanno tutti versioni trial del loro software. Non dimenticando mai di non installare per nessuna ragione due antivirus contemporaneamente!

Condividi:

L'autore

Consulente Informatico, blogger, problem solver, radioamatore. Ho iniziato la mia attività nel 1977 sviluppando sistemi di calcolo nell'area energie alternative e rinnovabili e da allora mi sono sempre interressato delle frontiere della tecnologia. Nel 1984 sono stato fra i pionieri delle BBS, i primi servizi telematici pubblici, e l'anno successivo ho portato in Italia Fidonet, la prima rete pubblica mondiale, che ho coordinato sino al 1994. Sono attivamente su Internet agli inizi degli anni 90, Nel 1998 sono stato fra i primi a credere nella convergenza digitale, arricchendo internet con materiale multimediale, come audio e video, anni prima del Web 2.0. Continuo da sempre ad occuparmi di informatica e di tecnologia con un occhio attento al futuro che ci attende. Continuo a lavorare come consulente informatico, con una specifica competenza in sicurezza, reti di comunicazione, sistemi operativi e tecnologie di virtualizzazione.

Lascia un commento