Antivirus veloce e leggero ? Utopia !
21
Gen
2009
Inserito da: Andrea Lanfranchi in: Mondo IT
Molto spesso vengo interpellato da clienti e amici che cercano una soluzione antivirus o anti-malware che sia efficace ed estremamente veloce e leggera per il computer, e tutte le volte devo deluderli perchè una tale soluzione non esiste. Anzi … andrà sempre peggio.
Il numero sempre crescente di infezioni per computer (meglio dire per Windows) obbliga i produttori di programmi antivirus a ficcare nel loro prodotto un numero sempre crescente di samples (o impronte virali) e ad affinare il proprio scanner in modo tale da poter intercettare un sempre crescente numero di possibili azioni dannose che possano rendere infetto il computer. E’ facile intuire che tanto più aumentano i controlli, tanto più il processore, la ram, l’hard disk del computer saranno impegnati a servire il programma antivirus piuttosto che svolgere rapidamente il lavoro che l’utente chiede. Frustrazione e cali di produttività sono inevitabili, fino a quando i nervi saltano e si mette mano al portafogli per acquistare un pc nuovo più potente. Ovvero … spendo dei soldi perchè dei programmi che fanno un lavoro pesantissimo e reso necessario non certo da persone per bene, hanno rallentato il vero lavoro che si fa con il computer e che il mio vecchio computer potrebbe continuare ad eseguire egregiamente.
Personalmente sono convinto che i recenti sistemi operativi (sic) impegnano oltre il 70% delle risorse del pc per fare cose assolutamente inutili (interfacce mirabolanti, effetti stupendi, animazioni per ogni dove ecc.) : se a questo ci si somma la fame dell’antivirus (che proprio inutile non è) si capisce bene come il pc, poverino, abbia ben poco tempo da dedicarci.
A questa situazione è difficile rimediare, o almeno lo è nel mercato dell’utenza domestica o personale dove, per ovvii motivi, ci si aspetta che il computer sia sicuro senza avere la minima conoscenza di come funzioni. In altre parole l’utente medio vorrebbe poter disporre della celeberrima botte piena e moglie ubriaca.
Ma con un poco di buona volontà e, soprattutto, con cognizione di causa, è possibile ridurre sensibilmente l’occupazione di risorse da parte del vostro antivirus risparmiando qualche soldo sull’acquisto di un nuovo pc. Vediamo come:
- Individuare i punti di ingresso delle possibili infezioni : capire da quali strade potrebbe arrivare una possibile infezione per il nostro computer può essere di grande aiuto per cercare di mirare la protezione offerta dal nostro antivirus solo laddove ve ne sia effettivo bisogno, risparmiando quindi preziose risorse di calcolo che possono quindi essere efficacemente riservate per il lavoro vero del computer. Le infezioni moderne sfruttano il web per propagarsi alla massima velocità possibile : le email e la navigazione internet costituiscono, oggi, il canale preferenziale attraverso il quale il computer può essere infettato. Meno probabili (anche se sempre possibili) le infezioni derivanti da uno scambio file tradizionale, ad esempio, tramite floppy disk, CD o DVD, o ancora chiavette USB: va da se’ che questo discorso vale solo se sappiamo con certezza che chi ci sta offrendo un CD sia persona affidabile e che a sua volta abbia preso ogni precauzione utile per evitare di distribuire file infetti.
- Limitare la protezione in tempo reale : moltissimi (quasi tutti) gli antivirus offrono una protezione cosiddetta in tempo reale. Ciò significa che ogni qual volta un’applicazione o il sistema operativo stesso fa richiesta di un file (per aprirlo, per eseguirlo, per copiarlo ecc.) l’antivirus sottopone il file richiesto a scansione per controllare l’eventuale presenza di infezioni. Ovviamente questo comporta un super lavoro per il computer e quasi sempre gli stessi file vengono sottoposti a scansione decine e decine di volte nell’arco della giornata anche se il file non è cambiato e l’antivirus non ha ricevuto aggiornamenti (quindi non avrebbe nulla di nuovo da cercare). Inutile ! In questi casi allora è bene escludere dalla protezione in tempo reale determinate cartelle come, ad esempio, quelle che contengono gli archivi del tal programma contabile ). Da considerare inoltre il fatto che il 99% delle infezioni virali viene propagata attraverso file di piccole dimensioni (generalmente nell’ordine di poche decine di Kb) il che rende superfluo, nella maggior parte dei casi, la scansione di file di grandi dimensioni (oltre i 2 megabyte): se le esclusioni impostabili nel vostro programma antivirus lo consentono è altamente consigliato escludere i file di grandi dimensioni dalla protezione permanente. Se poi siete utenti smaliziati e volete spingervi una ulteriore tecnica è disponibile: quasi tutti i programmi antivirus offrono due tipi di protezione in tempo reale differenziata per i file residenti su disco e per quelli che arrivano dalla rete (navigazione internet e allegati email). E’ possibile quindi escludere definitivamente la protezione in tempo reale per i file già su disco e lasciare attiva la sola protezione per i file internet in modo che le scansioni avvengano solo per i nuovi file che raggiungono il computer attraverso la rete e non per quelli che sono già residenti sul nostro hard-disk e che abbiamo già verificato essere puliti.
- Non sottoporre a scansione automatica i file compressi (.zip, .rar ecc). Anche se potrebbe apparire una sciocchezza la realtà è diversa. Tutti gli archivi compressi contengono a loro volta dei file (documenti o eseguibili) che fino a quando restano nello stato compresso non sono utilizzabili: per poter essere aperti, utilizzati o eseguiti devono essere preventivamente decompressi. L’operazione di decompressione avviene in funzione del programma di decompressione montato sul computer. Per esempio Windows XP e Windows Vista sono in grado di decomprimere senza problemi i file in formato zip mentre per altri formati, come ad esempio rar, è necessario disporre dell’apposito programma installato. Quando si fa doppio clic su un file compresso ne viene visualizzato l’elenco dei file contenuti ma gli stessi non sono ancora stati decompressi e quindi sono ancora inerti. Quando poi vogliamo estrarre uno dei file contenuti nell’archivio compresso il sistema avvia la procedura di decompressione del file utilizzando una delle possibili aree temporanee di lavoro (generalmente il percorso indicato nelle variabile di ambiente %TEMP% e %TMP%) ricostruendo in quelle directory (che ovviamente non avremo escluso dalla protezione permanente) il file nella sua forma originale e che quindi potrebbe risultare infetto. Un altro modo per assicurarsi della bontà di un archivio compresso è quello di assicurarsi che non contenga virus tramite la funzionalità, resa disponibile da quasi tutti gli antivirus, che compare nel menu contestuale del file: faccio clic con il bottone destro del mouse sull’archivio compresso e scelgo la funzione “Ricerca virus” (o similari) che ordina al programma antivirus di verificare se all’interno dell’archivio esistono file infetti. Se l’archivio compresso risulta pulito potrò aprirlo tranquillamente.
- Limitare i rischi. Tanto più è alto il numero dei rischi ai quali, consapevolmente o inconsapevolmente, esponiamo il nostro computer, tanto più alto sarà il numero di controlli che programmi specializzati (gli antivirus e gli antimalware) dovranno eseguire per cercare di garantirci una protezione decente. E dico “cercare” non a caso perchè nessun antivirus o antimalware, e ripeto nessuno, è in grado di assicurare al 100% una protezione totale contro qualsiasi rischio. Se non credete a me allora crederete senz’altro al produttore dell’antivirus che avete scelto andandovi a leggere l’accordo di licenza nel quale troverete tali e tanti scaricabarile (leggasi disclaimer di responsabilità) da farvi sorgere immediatamente una domanda : “ma allora che lo monto a fare ?”. In realtà non è tutto così tragico : una protezione al 90% è comunque pur sempre meglio di una protezione zero. Detto questo è bene evitare di esporre deliberatamente il pc a quel residuo 10% di possibilità di infezione. Non cercate siti che pretendono di regalare chiavi di attivazione per software che andrebbero acquistati al costo di centinaia di euro, non cercate di installare programmi craccati, evitate di scaricare file e programmi tramite P2P (nella maggior parte dei casi avrete scaricato file che contengono infezioni), non credete a improvvise finestre che appaiono sullo schermo che vi dicono che il computer è infetto e che devi scaricare questo e quello per pulirlo (rogue antivirus). Tutto quello che cercherete sul web in violazione dei diritti del tal software avrà sempre un costo : l’infezione del vostro pc. Se poi appare una finestra che vi dice che il computer è infetto … fermatevi a pensare un attimo : “ho montato AVG ma questo non è il solito messaggio di AVG” oppure “ho montato BiTDefender ma questa non è una schermata di BiTDefender” ecc.
- Non incasinate il computer. Gli utenti sono spesso presi dalla cosidetta bulimia da programma. Qualsiasi scemenza o software consigliato dall’amico o trovata su un cd di una rivista deve assolutamente essere installata e provata. Verificare se un programma o un cd è infetto è piuttosto facile : basta eseguire una scansione sul supporto alla ricerca di eventuali infezioni. Ma l’effetto delle installazioni selvagge è, in termini di performance del computer, ben più devastante delle eventuali infezioni. Ogni programma installato deposita file sull’hard disk, scrive nel registro, crea le sue associazioni di file, porta con se poi altre versioni di prova di altri software, richiede se si vuole installare toolbar particolari per il browser ecc. Insomma un macello. Il termine inglese per tutta sta roba è bloatware: e quel che è peggio ce lo ritroviamo installato spessissimo sul computer nuovo di zecca dove, al primo avvio, vengono installate decine di programmini, utilità (?) varie, toolbar di ogni tipo ecc. Tutta roba che fa apparire un quadcore più lento di un 286 di 15 anni fa. Tristemente poi quando si passa alla disinstallazione di tutto ciò che non serve, il nostro computer non torna mai perfettamente pulito e qualche residuo resta sempre. Più file ci sono su disco più roba da controllare ci sarà per l’antivirus e più tempo impiegheranno le scansioni dell’intero computer che, almeno una volta a settimana, avremo l’accortezza di eseguire.
- Posso stare senza antivirus ? Si, se virtualizzi. Immaginate un computer che viene installato da zero, con un cd originale, non connesso in rete e che non riceve nulla da internet e sul quale il proprietario avrà l’accortezza di non inserire mai altri cd, altri floppy, altre chiavette USB ecc. La possibilità di infezione è zero e un antivirus non serve. Come posso allora connettermi con il mondo esterno facendo in modo che il mio pc non venga infettato ? Mi creo una macchina virtuale all’interno del mio pc. Con questa macchina virtuale potrò fare tutto quello che voglio nella certezza assoluta di non creare problemi al funzionamento del mio vero computer. Ogni volta che dovrò navigare in internet, installare nuovi programmi solo per provarli, guardare … ehm ehm … video di dubbia provenienza … il mio pc virtuale dotato di antivirus potrà fare il “lavoro sporco” ed essere esposto ai rischi. Se di colpo non funzionerà più, siccome sarò stato furbo ed avro’ salvato l’hard disk virtuale nello stato originale, in pochi clic riattiverò una nuova macchina virtuale pulita.
- Eseguite scansioni complete del computer quando NON lavorate voi. Molti mi chiedono come disabilitare la scansione programmata automaticamente dall’antivirus perchè … rallenta troppo. Io rispondo sempre: “non disabilitarla, cambia l’orario di esecuzione e falla eseguire quando non lavori tu”. Eseguire scansioni complete è importante : l’antivirus riceve aggiornamenti periodici, spesso quotidiani, e un file sottoposto a scansione 3 giorni fa magari risultava pulito solo perchè l’antivirus non aveva gli strumenti per riconoscere l’infezione. Dopo un aggiornamento verosimilmente l’antivirus sarà in grado di riconoscere un numero maggiore di virus e di conseguenza potrebbe saltar fuori che sul mio pc c’è un’infezione latente o, peggio, già attiva. Lasciare il pc accesso, magari la notte, per eseguire una scansione completa costa molto poco in termini di energia consumata (magari spegnete lo schermo) e logora molto meno gli organi meccanici interni (specialmente i desktop) piuttosto che spegnerla e riaccenderla 2 o 3 volte al giorno.
- Utilizzare sempre un firewall bidirezionale. Non è infrequente parlare con persone che immaginano come il firewall sia uno strumento utile solo per proteggersi da tentativi di attacchi di hacker dall’esterno. Di fronte a questo atteggiamento sorrido sempre : “davvero pensi che un hacker abbia interesse ad armarsi di pazienza per cercare di bucare il tuo computer ?” Gli hacker esistono, non v’è dubbio. Ma chi si può fregiare di questo titolo (generalmente non sbandierato ai quattro venti) può essere considerato una sorta di Zorro, ladro gentiluomo. Le conoscenze tecniche di costoro vengono generalmente messe al servizio della ricerca di vulnerabilità intrinseche al sistema operativo e la semplice abilità di averne trovata una è per loro giusta ricompensa. Difficilmente ne faranno uso. Al contrario degli hacker quelli da temere sono i cracker (no … non quelli della Saiwa) che, dotati di un’etica molto meno raffinata, tentano di trarre vantaggio dalle scoperte fatte da altri (gli hacker) per cercare di prendere il controllo del vostro computer. E come fanno ? Scrivendo dei piccoli programmi, che cercheranno di distribuire attraverso la rete nel modo più rapido possibile, i quali una volta installati nel computer chiameranno il padrone sostanzialmente dicendo “pronto ad eseguire ciò che comandi”. Si chiamano trojan e worm. Succede allora che il computer infetto continua a lavorare normalmente, voi non vi accorgete di nulla, ma in background (dietro le quinte) il programmino malevolo continua a stabilire connessioni di rete verso internet o verso gli altri computer della vostra rete per replicarsi o per inviare informazioni o ancora per eseguire comandi ricevuti dal creatore il quale, per esempio, potrebbe usare il vostro computer come postazione spara-spam. Il firewall bidirezionale aiuta a bloccare queste connessioni informandovi ogni volta che un qualche programma tenta di comunicare con l’esterno o di ricevere dall’esterno una chiamata. Windows XP dispone di un firewall proprio ma unidirezionale : ovvero blocca solo le comunicazioni in ingresso. Gli utenti di XP dovranno pertanto preoccuparsi di dotare il loro computer di un firewall bidirezionale: ve ne sono di gratuiti (Outpost) oppure potete attivare uno dei tanti offerti dai vendor di antivirus che integrano nella loro soluzione anche questi software. Per Windows Vista l’acquisto di un firewall di terze parti potrebbe essere superfluo: il firewall integrato di Vista, infatti, sebbene per impostazione predefinita lavori in modo unidirezionale (come Windows XP) può essere facilmente commutato alla modalità bidirezionale (in un prossimo articolo spieghero’ come fare) proteggendovi anche dalle comunicazioni non desiderate che hanno origine dal vostro computer. Con Vista sicuramente questa è l’opzione preferibile: perchè spendere ulteriori denari per acquistare un firewall di terze parti ed aggravare il computer (che già ha il suo bel daffare a reggere Vista) con un ulteriore driver che intercetta le comunicazioni di rete ?