Cosa dovrebbero fare i produttori di antivirus

Sicurezza informatica
luglio 4, 2010 0

Tradizionalmente i produttori di AV hanno basato i propri programmi su una lunga lista nera di applicazioni cattive. Dovrebbero, invece, organizzare un database di tutte le applicazioni in circolazione, tenendo traccia se ciascuna sia buona, cattiva, se non si hanno informazioni sufficienti, indeterminata.

immagine consigli per produttori antivirus

Non c’è ragione per dover memorizzare sulle macchine degli utenti enormi file con firme crittografiche dei virus, anzi non c’è ragione di usare le firme crittografiche del tutto. L’ Antivirus dovrebbe invece interrogare i server del suo produttore e chiedergli se un certo software, prima che venga eseguito, sia sicuro o meno.

Aspetti da migliorare in un Antivirus

I produttori devono migliorare moltissimo la capacità di riconoscere il malware e per farlo gli Antivirus dovrebbero raccogliere informazioni sui programmi che gli utenti installano.

Per capire perché tutto ciò sarebbe molto utile, consideriamo ciò che oggi fanno i cattivi per rendere la vita difficile ai produttori di Antivirus. I cattivi sanno benissimo che utilizzando soluzioni di crittografia è possibile creare automaticamente moltissime versioni di malware a partire da uno stesso originale.

In questo modo il lavoro dei buoni viene complicato enormemente, visto che ogni versione “mutata” di uno stesso malware va rilevata separatamente. Questo perchè è difficile trovare una “cura” che valga per tutte le varianti di malware. Questa situazione è assolutamente caratteristica del mondo in cui ci muoviamo oggi.

Cambiamenti da applicare

Supponiamo ora che il produttore dell’ Antivirus raccolga dati da tutta la propria base di utenza e che l’ Antivirus della mia macchina segnali che è stato lanciato un eseguibile.

Tramite tecniche crittografiche ben note, il software potrebbe identificare un identificativo univoco del programma lanciato, senza aver bisogno di utilizzare il nome del file, e inviarlo dunque al produttore dell’ Antivirus. Se il produttore non ha mai visto quel programma, o se l’ha visto poche volte, chiederà altri dati prima di decidere se si tratta di un programma sicuro o meno.

Il nostro Antivirus potrebbe a questo punto raccogliere altre informazioni, per esempio la firma digitale e il fatto che l’eseguibile sia crittografato o meno. A questo punto l’ Antivirus potrebbe decidere che un eseguibile crittografato e usato da pochissimi utenti vada considerato come molto sospetto e quindi impedirne l’esecuzione.

Articoli correlati:

  1. Cos’è la cifratura e a cosa serve
  2. Cosa sono i Rootkits e come eliminarli
  3. VeriSign fa ufficialmente parte di Symantec: vediamo di cosa di tratta

Lascia un commento