Questo semplice programma fa un’analisi “comportamentale” del sistema, svincolandosi così dall’uso delle firme virali. Una sorta di ultima linea di difesa da usare in accoppiata ai classici antivirus e antimalware.
Uno studio condotto da Gartner nei mesi scorsi, evidenziava come, entro la fine del 2007, il 75% delle imprese avrebbe visto parte delle macchine installate nella propria infrastruttura infettate da malware non rilevati attraverso i sistemi tradizionali, realizzati per interesse economico ed estremamente “personalizzati”.
Le firme virali
Sino a qualche tempo fa l’unico approccio generalmente utilizzato da parte dei vari software antivirus nella lotta contro i malware consisteva nell’impiego delle cosiddette firme virali: ogni file e ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all’interno dell’archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.
Gli attacchi sono divenuti però, purtroppo, sempre più “mirati” facendo assumere al “fenomeno malware” una natura dinamica, in continua evoluzione. Una vera e propria piaga per le aziende.
Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali.
Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di “reverse engineering”, procedure che prevedono l’analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario.
Chi realizza malware sta utilizzando sempre più sovente espedienti e metodologie che complicano drasticamente il lavoro di “reverse engineering”.
Il risultato è che questo tipo di attività è destinato a richiedere competenze tecniche sempre maggiori ed il tempo da dedicare all’analisi di ogni singolo campione malware si allunga in modo esponenziale.
Appare quindi evidente come attività del genere, che richiedono tempo e notevoli investimenti economici, si rivelino sempre meno adatte per affrontare un fenomeno, come quello del malware, in continua crescita.
In questo senso, può risultare utile un programma come ThreatFire, che basa il suo funzionamento su un’analisi di tipo comportamentale, svincolandosi così dall’impiego esclusivo degli archivi delle firme virali.
Il programma si incarica di svolgere azioni di analisi e di blocco, entrambe basate sul comportamento tenuto dalle applicazioni presenti sul sistema monitorato. Il software si propone come una sorta di “ultima linea di difesa” contro i nuovi malware, progettati per passare inosservati ai controlli basati sull’uso di definizioni antivirus ed euristica.
ThreatFire si integra bene con altri prodotti antivirus ed antimalware, compresi quelli sviluppati da terze parti.
ThreatFire è il risultato dell’acquisizione della società Novatix e del suo prodotto di punta CyberHawk da parte della irlandese PC Tools.
Le caratteristiche di ThreatFire
Una delle caratteristiche principali di PC Tools ThreatFire è il ridotto impatto sulle performance del sistema: i vari processi che il software esegue in background impegnano appena 10 MB di memoria RAM.
Un altro fiore all’occhiello del prodotto è la sua assoluta semplicità d’uso: il programma non richiede alcun tipo di configurazione. Gli unici interventi che l’utente potrebbe trovarsi a dover compiere consistono nell’indicare se una minaccia possa probabilmente trattarsi di un falso positivo (l’eventualità appare comunque piuttosto rara).
Il livello di protezione aggiuntivo offerto da ThreatFire Free (l’impiego del programma non sostituisce l’uso e l’aggiornamento continuo di un classico antivirus) risulta immediatamente operativo già ad installazione terminata: nel momento in cui il software dovesse rilevare un’attività sospetta, potenzialmente messa in atto da un componente malware, provvederà a bloccarla tempestivamente visualizzando contestualmente un messaggio di allerta.
La tecnologia ActiveDefenese, alla base di ThreatFire, si occupa di monitorare, a basso livello ed in modo continuativo, le attività avviate sul sistema in uso. Combinando l’impiego di una serie di algoritmi, ActiveDefense è capace di bloccare sul nascere eventuali operazioni dannose.
I malware riconosciuti vengono evidenziati mostrando una finestra caratterizzata da una riga d’intestazione di colore rosso; le operazioni potenzialmente dannose vengono invece segnalate con il colore giallo. Le applicazioni il cui giudizio è “border line” (Potentially Unwanted Applications) vengono riportate con il colore grigio. In tutti i casi, l’utente deve operare con la massima cautela.
La finestra principale di ThreatFire racchiude alcune interessanti informazioni statistiche, come ad esempio:
- il numero di azioni che il programma ha condotto a tutela del singolo personal computer in uso;
- il numero di volte che ThreatFire ha valutato un’azione condotta da un programma installato in modo da determinarne la potenziale pericolosità;
- il numero di processi che il software ha provveduto a monitorare ed analizzare;
- il numero di volte che ThreatFire ha individuato un’operazione rischiosa;
- il numero di occasioni in cui il software ha bloccato dei componenti malware.
I più smaliziati poi possono aggiungere delle regole personalizzate in modo da interagire più in profondità con il funzionamento di ThreatFire. Il programma richiederà l’applicazione da monitorare (Source), l’evento che dovrà scatenare la regola creata (Trigger), le opzioni per ottimizzare la regola stessa (Options) e le eventuali esclusioni, ossia le circostanze che non debbono essere prese in considerazione per richiamare la regola (Exclusions).
ThreatFire è disponibile in versione gratuita e “Pro” a pagamento. Entrambe le versioni del prodotto poggiano tuttavia sullo stesso motore di difesa (tecnologia ActiveDefense). Le uniche differenze risiedono nel fatto che la versione “Pro” integra anche un antivirus “tradizionale” che utilizza firme virali oltre a maggiori possibilità di personalizzazione.
