Tra le aziende produttrici di software per la sicurezza e la protezione e coloro che effettuano “prove sul campo”, scorre (generalmente) buon sangue. Occasionalmente può però accadere che i rapporti si incrinino.
In occasione dell’International Antivirus Testing Workshop che si è tenuto il mese scorso a Reykjavik, in Islanda, alcuni rappresentanti di Symantec, F-Secure e PandaSoftware si sono accordati per definire un piano di testing che possa meglio riflettere le reali potenzialità di ogni antivirus. La speranza è quella di costituire un nuovo “modus operandi” che venga universalmente accettato da tutte le case di produzione.
Una primissima bozza del nuovo modo di procedere (stando alle dichiarazioni di Mark Kennedy, uno degli ingegneri Symantec) dovrebbe essere rilasciata entro il mese di Settembre.
Toralv Dirron, esperto di sicurezza della McAfee ha messo in evidenza come nel corso degli ultimi anni le tecniche di rilevamento di software dannoso si siano notevolmente modificate.
Analizzare l’efficacia di un software antimalware secondo la vecchia e tradizionale maniera (quella di inserire nel PC una serie di malware per osservare la reazione dell’antivirus) potrebbe non risultare più così efficace come un tempo.
I vari vendor delle soluzioni antivirus hanno iniziato a impiegare alcune metodologie di riconoscimento malware basate sull’analisi comportamentale: in questo modo è possibile individuare la presenza di un componente dannoso in forza delle azioni che questo tenta di mettere in atto: modifica di parti importanti, azioni sul registro, invio di mail, azioni automatiche perpetrate senza il consenso dell’utente, download di materiale. Le azioni riportate, come molte altre, sono spie di un’evidente presenza di malware nel sistema.
Le modalità attraverso le quali un sistema può essere infettato sono molteplici e forse anche innumerevoli. Tutto questo rende il lavoro di testing di un prodotto estremamente complesso.
Differenti metodologie di attacco implicano anche differenti modi di difendersi, ciascuna delle quali deve essere opportunamente testata.
Virus Bullettin conduce test sfruttando i campioni di malware raccolti dalla Wildlist Organization International, un gruppo di ricercatori di sicurezza che collezionano e raccolgono componenti software nocivi. Per ottenere un risultato positivo un prodotto deve essere in grado di riconoscere tutti i campioni di malware.
Nel mese di Giugno, per esempio, sono state annunciate bocciature che hanno fatto discutere quali Kaspersky e Grisoft.
C’è da dire però che Kaspersky (nella persona di Roel Schouwenberg, ingegnere ricercatore) ha fatto presente di aver eliminato una specifica firma virale dal database dell’antivirus nella giornata in cui Virus Bulletin ha effettuato il test e ciò per effettuare alcune ottimizzazioni sul prodotto.
Questo mette in evidenza come i test basati solo sulle definizioni virali non siano sufficienti a stabilire la validità o meno di un software di protezione.
Lo stesso John Hawes, consulente tecnico Virus Bulletin, ha fatto notare che:
[i test] non siano pienamente rappresentativi di come vanno le cose nel mondo reale ma riflettano comunque competenza e serietà di una società produttrice di software per la protezione e la sicurezza informatiche.