Alcune settimane fa ho scritto un articolo un po’ provocatorio che metteva in dubbio uno dei dogmi della sicurezza informatica: l’antivirus, che oggi sembra diventato impotente di fronte al dilagare di worm, virus e altra immondizia aggressiva su Internet. Il dubbio che ponevo era che con la complicità delle connessioni veloci e di client di posta colabrodo, gli antivirus avessero perso gran parte della propria efficacia, perché per natura non sono in grado di contrastare un virus appena rilasciato, ossia proprio nel momento di maggior bisogno. Così ho proposto altri approcci alla sicurezza, in cui gli antivirus avrebbero un ruolo piuttosto marginale.
L’idea non è stata accolta esattamente con una standing ovation dai produttori di antivirus. Trend Micro e Symbolic (distributore italiano di F-Secure) mi hanno inviato alcuni commenti che pubblico volentieri, non solo per diritto di replica, ma perché forniscono dettagli preziosi sul mondo poco conosciuto degli operatori antivirali.
Fabrizio Cassoni, responsabile tecnico dei prodotti antivirus presso Symbolic, nota giustamente che il problema non è limitato al semplice “virus” (nell’imprecisa accezione comune del termine), ma al concetto più ampio di malware, che include tutto il software ostile: quello che si propaga tramite allegati a un e-mail (mail worm), quello che si annida nei CD o dischetti scambiati dagli utenti, i dialer che riprogrammano il numero di telefono composto per accedere a Internet e generano bollette cosmiche, gli spyware che registrano silenziosamente le nostre abitudini di navigazione e ci rifilano spam e pubblicità indesiderata, e i network worm, ossia software come Lovsan/MSBlast/Blaster o Slapper, che non viaggiano via e-mail ma infettano automaticamente per il solo fatto di connettere il Pc non protetto alla Rete.
Se state per obiettare che a volte tutto il software che avete sul computer vi sembra “ostile”, non siete i soli, ma questa è un’altra storia. Quello che conta è che lo zoo di creature digitali dalle quali occorre trovare una difesa è molto più variegato di quanto ho descritto, semplificando brutalmente, nell’articolo precedente. Cosa più importante, la mia proposta di bandire gli allegati funzionerebbe sì contro i tantissimi worm diffusi via e-mail, ma sarebbe inefficace contro i network worm, che sono gli unici ad avere il citato “effetto Warhol”, dunque in grado di infettare l’intera Rete in pochi minuti, e che per ora sono pochi ma probabilmente destinati ad aumentare, vista la loro grande efficacia distruttiva. Va detto comunque che i dati pubblicati sulla diffusione di Swen dimostrano una velocità di diffusione notevole pur trattandosi di un mail worm: trecentomila vittime in tre ore. Non sarà un Warhol worm, ma fa abbastanza danni lo stesso.
Proprio per questa “biodiversità” delle creature ostili che popolano la Rete, Cassoni concorda che “l’oggetto antivirus sia da ripensare e riprogettare”, ma non da eliminare. In effetti non proponevo di eliminarlo, ma semplicemente di riconoscerne i limiti e toglierlo dal piedistallo sul quale lo si pone di solito come perno della sicurezza, e dargli un ruolo più consono, vale a dire quello di uno strumento fra i tanti di un’orchestra di tecniche di difesa.
Come ammette Cassoni, “l’antivirus puro e semplice, inteso come agente che effettua il controllo sul file system e sulla memoria di una macchina, non è più la difesa ottimale”. Per le ragioni descritte nell’articolo precedente, ormai non basta più esaminare passivamente il traffico in arrivo e confrontarlo con una collezione di “schede segnaletiche” di minacce virali note. Per dirla tutta: se pensate che installando semplicemente un antivirus diventiate invulnerabili, vi sbagliate di grosso.
L’antivirus deve quindi evolversi in un ibrido che includa anche funzioni oggi svolte da programmi separati di firewalling e di rilevamento/prevenzione delle intrusioni, e già si muovono i primi passi in questo senso. In altre parole, l’antivirus del prossimo futuro sarà un bouquet di tecniche di difesa integrate, al punto che non sarà più possibile chiamarlo “antivirus” senza sminuirlo. Non ne faremo certo a meno, ma quello che useremo non sarà più un antivirus in senso stretto.
HTML nell’e-mail, errore epocale
Tuttavia l’efficacia dei mail worm è dovuta, come dicevo, anche alla complicità di chi realizza client di posta che interpretano l’HTML e ogni altro linguaggio che può contenere istruzioni ostili. E su questo punto Cassoni non esita a definire l’adozione dell’HTML per la posta come un “errore epocale; penso che tutti saremmo contenti se i client di posta venissero installati per default con questa discutibile feature disabilitata, se proprio la devono avere”.
Per fortuna, a furia di ripeterla questa lezione sembra in procinto di essere capita. Come già accennato, anche Microsoft Outlook Express, che è sempre stato un colabrodo (ed è anzi considerato spesso malware esso stesso), è ora configurabile in modo da ripudiare HTML e soci, ma occorre che vi provveda l’utente. Invece Outlook 2003 (la versione “professionale” del client di posta Microsoft, inclusa in Microsoft Office) viene finalmente installato con le opzioni di sicurezza già attivate al massimo di rigore e consente di bloccare tutto l’HTML e le macro: occorre insomma un gesto volontario di incoscienza per riaprire queste finestre di vulnerabilità.
La pericolosità dell’uso dell’HTML nell’e-mail è un problema di assoluta attualità: le falle appena annunciate da Microsoft possono sfruttare proprio un e-mail in formato HTML per aggredire il computer della vittima. È dunque ora di rinunciare agli sfondi colorati e agli effetti speciali nella posta, con la consolazione di dire anche adieu alle donnine che compiono a scatti gesti assai equivoci sul posto di lavoro o davanti ai nostri figli. Forse, rimossi questi pericolosi orpelli, riusciremo finalmente a dedicarci al contenuto più che alla forma nella nostra corrispondenza elettronica.
In quarantena per mezz’ora
L’antivirus “tradizionale”, per quanto condannato a essere uno strumento reattivo (euristica a parte), ha ancora molti colpi in canna anche secondo Giovanni Zanasca, marketing manager di Trend Micro. Specialmente nelle grandi aziende, la “finestra di vulnerabilità”, ossia il tempo che intercorre fra quando viene segnalato un nuovo virus e il momento in cui l’antivirus del cliente è pronto a riconoscerlo, è ormai scesa a mezz’ora e anche meno. Tempi più lunghi valgono invece tuttora, come accennavo nell’articolo precedente, per il sistema tradizionale in cui ogni utente scarica periodicamente i propri aggiornamenti antivirus.
Mezz’ora è un risultato davvero notevole: significa che è sufficiente tenere in quarantena per qualche decina di minuti un allegato sospetto per sapere con certezza se è pericoloso o meno. A questi livelli, anche un antivirus convenzionale è utilizzabile: purché non usiate client di posta così sprovveduti da non infettarsi semplicemente passando il mouse sul titolo del messaggio (taccio i nomi per non ripetermi), vi basta ricordare di non aprire subito gli allegati.
Tuttavia Zanasca rileva un problema culturale oltre al limite tecnologico: le vendite di antivirus salgono subito dopo ogni nuovo attacco virale. Questo è certo un bene per chi produce antivirus, ma è soprattutto sintomo del fatto che non si pensa sufficientemente alla prevenzione: si interviene solo a danno fatto. È su questo fronte che occorre intervenire: sui comportamenti.
È curioso notare che fra questi comportamenti Zanasca non include la scelta del client di posta. Non è usanza di Trend Micro, dice, consigliare ai clienti un programma di e-mail intrinsecamente più sicuro di quello attualmente in uso. Il suggerimento di cambiare client di posta può però far parte di un’analisi più ampia delle esigenze di sicurezza: cosa che purtroppo molti clienti (professionisti e piccole imprese) non chiedono. Comprano la scatola magica e pretendono che basti a risolvere tutti i loro problemi, con le conseguenze che ben conosciamo. È ora di svegliarsi.
Nelle grandi aziende, dice il rappresentante di Trend Micro, il problema virus invece sostanzialmente non si pone a livello del singolo utente, perché esiste un manager della sicurezza informatica, che ha a disposizione una rete correttamente strutturata e isolata da Internet e che educa gli utenti a non compromettere il sistema.
Con queste premesse si possono implementare anche tecniche di reazione più rapida: se un nuovo virus arriva come allegato di una determinata dimensione, si mettono automaticamente in quarantena tutti gli allegati di quella grandezza; se arriva una minaccia che si propaga attraverso una vulnerabilità del software anziché via e-mail, si chiudono le porte sulle quali avviene la propagazione, e così via. Tutto molto bello, ma purtroppo questi sono livelli di servizio ai quali raramente possono accedere le piccole imprese. Lasciamo stare il professionista o il privato collegato in dial-up.
Resta comunque vero il concetto che si reagisce alla nuova minaccia anziché prevenirla, e anche Trend Micro si sta muovendo verso soluzioni software che non sono più soltanto antivirus in senso stretto ma includono firewall e prevenzione delle intrusioni. L’antivirus puro e semplice, mi conferma Zanasca, ormai è da considerare meglio di niente: ha una utilità, ma soltanto relativa. Occorre usarlo conoscendone i limiti, come una base su cui costruire la sicurezza. Creare questa consapevolezza è la prossima sfida per tutti i produttori di antivirus, ed è una sfida da affrontare in fretta prima che l’utenza si disaffezioni all’antivirus, delusa dalla sua apparente inefficacia.
Abolire gli allegati? È l’utente che non lo vuole
Sulla mia proposta drastica di abolire ogni e qualsiasi allegato, meglio se a livello del provider, i due rappresentanti delle società antivirali (e non pochi lettori) sono molto perplessi. Ben venga l’e-mail senza HTML, mi dicono, ma non si può pensare seriamente a un’Internet senza allegati. Sono gli utenti stessi a chiederlo: il sistema attuale è troppo conveniente e pratico. Sostituirlo con un’alternativa più complessa (ftp, scp e simili) rallenterebbe senz’altro la diffusione di quasi tutti i virus (intesi come mail worm) e di tanto spam, ma sarebbe di una scomodità insostenibile.
Fra l’altro, vari provider italiani e stranieri hanno svolto sperimentazioni in questo senso, senza arrivare all’estremo di cancellare tutti gli allegati ma applicando un filtro antivirus sui propri server di posta. Purtroppo i risultati sono stati scadenti, perché la logica dell’antivirus (un filtraggio selettivo, limitato soltanto agli allegati riconosciuti come pericolosi) lascia sempre sfuggire qualche allegato infetto, per cui la prova non è stata premiata dal pubblico.
L’abolizione di qualsiasi allegato e la rimozione di ogni codice HTML è l’unica ricetta che garantisca un’e-mail assolutamente sicura, ma chi ha provato queste soluzioni si è trovato a disagio, orfano di attachment. C’è chi l’ha paragonato a strapparsi le orecchie per non sentire i vicini rumorosi e poi non poter più ascoltare Mozart o, più schiettamente, a tagliare altre appendici per fare un dispetto alla consorte.
Sarà. Rimango dell’idea che vi sia interesse e spazio commerciale per un’offerta diversificata: un’opzione degli abbonamenti che permetta di scegliere se si vogliono ricevere gli allegati (a proprio rischio e pericolo) oppure no. Io la sottoscriverei subito per l’account e-mail del mio cellulare, ma sembra invece che a grande richiesta ci terremo il Far West dell’Internet attuale.
L’importante è che passi chiaro il messaggio che volevo lanciare inizialmente: usate l’antivirus, perché a qualcosa serve ancora, ma non fidatevi troppo. Imparatene i limiti, e vi servirà bene; ignorateli, e vi tradirà. E rinunciate all’HTML nella posta. Ora non avete più scuse per non farlo, e avete la conferma degli esperti. La Rete, come dicevo, ve ne sarà grata.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
