Antivirus

Antivirus e anti-malware. Entrambi fanno riferimento a un software di sicurezza informatica, ma cosa significano questi termini, in cosa si distinguono e come si rapportano alle moderne minacce digitali?

Malwarebytes tiene molto alla precisione, specialmente quando arriva il momento di affrontare due nozioni di sicurezza informatica spesso confuse l'una con l'altra e utilizzate come sinonimi — antivirus e anti-malware. Certo, entrambi i termini fanno riferimento a un software di sicurezza informatica, ma cosa significano davvero e in cosa si distinguono? Sono entrambi in grado di gestire le moderne minacce digitali?

Analizziamo questi termini uno per volta e tuffiamoci nel mondo della semantica applicata alla sicurezza informatica.

Qual è la differenza tra antivirus e anti-malware?

Per la maggior parte, i termini “antivirus” e “anti-malware” significano la stessa cosa. Entrambi fanno riferimento a software progettati per rilevare ed eliminare i software dannosi, proteggendo l'utente. Contrariamente a quanto suggerisce il nome, gli antivirus non si limitano a proteggere i sistemi dai virus – semplicemente, utilizzano un termine piuttosto obsoleto per descrivere la propria funzione. Anche i software anti-malware sono concepiti per proteggere gli utenti dai virus, ma adottano un nome più moderno che include qualunque tipo di software dannoso, tra cui i virus. Detto ciò, un sistema anti-malware è in grado di contrastare un'infezione virale ed eliminare i file infetti. Tuttavia, non necessariamente sarà attrezzato per ripristinare i file che sono stati modificati o sostituiti da un virus. Sia gli antivirus che i software anti-malware rientrano nella categoria più ampia della “sicurezza informatica”.

Cos'è la sicurezza informatica?

La sicurezza informatica (o sicurezza dei computer) è un termine generico che indica qualunque strategia di protezione dei sistemi da attacchi mirati al furto di denaro, informazioni personali, risorse di sistema (cryptojacking, botnet) e tutta una serie di altre attività dannose. L'attacco potrebbe coinvolgere componenti hardware o software, oppure utilizzare l'ingegneria sociale.

Sebbene le minacce informatiche odierne e le contromisure per combatterle possano essere alquanto varie e sfaccettate, il mercato tende per natura a semplificare al massimo la comunicazione con i consumatori. Ecco perché molte persone sono ancora convinte che i “virus” rappresentino la più grande minaccia per il proprio computer. In realtà i virus sono soltanto un tipo di minaccia informatica, che per caso era molto popolare agli albori dell'era dei computer. Sebbene non siano affatto la minaccia più diffusa al giorno d'oggi, il nome è rimasto. È un po' come definire "un raffreddore" qualunque malattia.

“Per la maggior parte, i termini “antivirus” e “anti-malware” significano la stessa cosa. Entrambi fanno riferimento a software progettati per rilevare ed eliminare i software dannosi, proteggendo l'utente.”

Cos'è un virus per computer?

Un virus per computer o PC è un software (generalmente) dannoso che si distingue per due caratteristiche:

  • Per agire, ha bisogno dell'intervento di un utente ignaro. Per attivare un virus può bastare aprire un allegato dannoso contenuto in un'e-mail (MalSpam) o eseguire un programma infetto. Dopodiché, il virus cerca di diffondersi su altri sistemi nella rete del computer o nell'elenco dei contatti dell'utente.
  • I virus si riproducono autonomamente. Se il software non si riproduce autonomamente, allora non è un virus. Questo processo di riproduzione può avvenire tramite la modifica o la completa sostituzione di altri file nel sistema dell'utente. In ogni caso, il file che ne risulta deve mostrare lo stesso comportamento del virus originale.

I virus per computer sono in circolazione da decenni. In teoria, l'origine degli “automi autoriproducibili” (ossia i virus) risale a un articolo pubblicato dal matematico e studioso poliedrico John von Neumann alla fine degli anni '40. I primi virus hanno iniziato a comparire sulle piattaforme precedenti ai PC negli anni '70. Tuttavia, la storia dei virus moderni inizia con un programma chiamato Elk Cloner, che ha iniziato a infettare i sistemi Apple II nel 1982. Diffuso attraverso floppy disk infetti, il virus era di per sé innocuo, ma si propagava a tutti i dischi legati a un sistema. Proliferava talmente in fretta che molti esperti di sicurezza informatica considerano questo caso la prima epidemia di un virus su larga scala nella storia.

La maggior parte dei primi virus, come Elk Cloner, erano semplici scherzi. I loro creatori non volevano altro che la notorietà e qualcosa di cui vantarsi. Tuttavia, entro l'inizio degli anni '90, queste marachelle adolescenziali hanno iniziato ad assumere intenti dannosi. Gli utenti di PC hanno assistito a un'ondata di virus progettati per distruggere dati, rallentare le risorse di sistema e registrare la pressione dei tasti (keylogger). L'esigenza di contromisure ha condotto allo sviluppo dei primi software antivirus.

I primi antivirus si limitavano a essere reattivi. Erano in grado di rilevare le infezioni soltanto dopo che si erano verificate. Inoltre, identificavano i virus con la tecnica relativamente primitiva che prevede il controllo della firma. Ad esempio, se sapevano che in circolazione c'era un virus denominato “PCdestroy” e riconoscevano quel nome nel sistema, allora contrastavano la minaccia. Tuttavia, se il responsabile del virus ne cambiava il nome, il programma antivirus perdeva la propria efficacia. Sebbene fossero in grado di riconoscere specifici schemi e tracce digitali, ad es. sequenze di codice nel traffico di rete o sequenze note di istruzioni dannose, era una continua corsa per mettersi in pari.

I primi antivirus che utilizzavano strategie basate sulla firma potevano facilmente rilevare i virus noti, ma non potevano intercettare i nuovi attacchi. I virus nuovi dovevano essere isolati e analizzati al fine di determinarne la firma e quindi aggiunti all'elenco dei virus noti. Gli utenti dovevano scaricare regolarmente un database in costante crescita, composto da centinaia di migliaia di firme. Anche in questo modo, i nuovi virus che venivano rilasciati prima degli aggiornamenti del database lasciavano una notevole percentuale di dispositivi senza protezione. Il risultato? Una gara costante per tenere il passo con il panorama di minacce in continua evoluzione, nel quale venivano creati e sguinzagliati virus sempre nuovi.

Lo stato attuale dei virus per computer e dei programmi antivirus

Oggi, i virus per PC rappresentano più una minaccia del passato che un rischio per gli utenti. Sono in circolazione da decenni e non sono cambiati in modo sostanziale. Di fatto, l'ultimo virus effettivamente “nuovo” che sfruttava l'interazione con l'utente per riprodursi risale al 2011 o 2012.

Dunque, se i virus per computer non costituiscono più una minaccia grave, perché le persone si riferiscono ai propri software di protezione con il termine "antivirus"?

Semplicemente perché l'uso di questo nome si è consolidato. Negli anni '90, la parola "virus" dominava i titoli dei giornali e le aziende di sicurezza hanno iniziato a utilizzarla per indicare le minacce informatiche in generale. Così è nato il termine “antivirus”. Decenni dopo, numerose aziende di sicurezza continuano a usare il termine “antivirus” per vendere i propri prodotti. È diventato un circolo vizioso. I consumatori credono che i virus siano sinonimo di qualunque minaccia informatica e di conseguenza le aziende chiamano "antivirus" i propri prodotti di sicurezza informatica, spingendo a loro volta le persone a ritenere che i virus rappresentino ancora il cuore del problema.

Ecco il punto. Sebbene “virus” e “antivirus” non siano propriamente degli anacronismi, le minacce informatiche moderne sono decisamente peggio dei loro virali predecessori. Si nascondono più in profondità all'interno dei sistemi informatici e più abili nell'evadere il rilevamento. I virus del passato hanno dato origine a tutta una serie di minacce avanzate, tra cui spyware, rootkit, trojan, exploit e ransomware, per menzionarne alcuni.

Con la nascita e l'evoluzione di queste nuove categorie di attacchi, i produttori di antivirus hanno proseguito nella propria missione di combatterli. Tuttavia, non sapevano quale termine utilizzare per definirsi. Dovevano continuare a vendere i propri prodotti come “antivirus”, a rischio di suonare riduttivi? O dovevano utilizzare un altro termine specifico per vendersi, come ad esempio “anti-spyware”? Oppure era il caso di adottare un approccio onnicomprensivo e proporre un prodotto unico che combattesse tutti i tipi di minaccia? Le risposte fornite a queste domande variano di caso in caso.

Malwarebytes si posiziona nella categoria più generale della sicurezza informatica. Di conseguenza, abbiamo deciso di riassumere il nostro approccio in un unico termine che non si limita a indicare i semplici virus. Ecco perché per rappresentare al meglio ciò che facciamo abbiamo scelto la parola “anti-malware” (abbreviazione di “anti-software malevoli”).

“I consumatori credono che i virus siano sinonimo di qualunque minaccia informatica e di conseguenza le aziende chiamano "antivirus" i propri prodotti di sicurezza informatica, spingendo a loro volta le persone a ritenere che i virus rappresentino ancora il cuore del problema.”

Se i virus non rappresentano più una minaccia grave, a cosa serve un sistema di sicurezza informatica?

I virus sono soltanto un tipo di malware. Sebbene continuino a esistere, al giorno d'oggi ci sono altri tipi di malware più diffusi. Per esempio, ecco alcune delle minacce più comuni che Malwarebytes è in grado di contrastare:

  • Gli adware sono software indesiderati progettati per presentare messaggi pubblicitari sullo schermo, spesso all'interno di un browser web, ma talvolta anche nelle app per dispositivi mobili. Generalmente, si mascherano da componenti legittimi oppure si nascondono all'interno di un altro programma per spingere l'utente a installarli sul proprio PC, tablet o dispositivo mobile.
  • Gli spyware sono malware che osservano segretamente le attività dell'utente sul computer, senza autorizzazione, per poi segnalarle al creatore del software.
  • I virus sono malware che si attaccano ad altri programmi e, quando eseguiti, si riproducono modificando altri programmi e infettandoli con il proprio codice.
  • I worm sono un tipo di malware simile ai virus nei metodi di diffusione, ma la loro attivazione non richiede l'intervento dell'utente.
  • I trojan, o cavalli di Troia, rappresentano più un metodo di diffusione delle infezioni che un'infezione in sé. I trojan si presentano sotto forma di qualcosa di utile, per ingannare l'utente e spingerlo ad aprire il file. Gli attacchi trojan possono nascondere qualunque tipo di malware, tra cui virus, spyware e ransomware.
  • I ransomware sono malware che impediscono all'utente di accedere al proprio dispositivo e/o criptano i suoi file, obbligandolo a pagare un riscatto per riottenerli. Sono stati definiti "l'arma scelta" dei criminali, perché richiedono un pagamento rapido e ingente in criptovalute difficili da rintracciare. Il codice di un attacco ransomware è semplice da ottenere sui marketplace criminali e difendersi da essi è molto difficile.
  • I rootkit sono dei malware che forniscono al criminale i privilegi da amministratore del sistema infetto e si nascondono attivamente dall'utente. I rootkit si nascondono anche da altri software presenti nel sistema, tra cui il sistema operativo stesso.
  • I keylogger sono malware che registrano la pressione dei tasti degli utenti sulla tastiera, memorizzando le informazioni raccolte e inviandole ai criminali responsabili, che puntano a informazioni sensibili come nomi utente, password o dati delle carte di credito.
  • Il cryptomining dannoso, noto anche come drive-by mining o cryptojacking, è un tipo di attacco malware sempre più diffuso che talvolta sfrutta i browser web e si avvale di svariati metodi di infiltrazione, tra cui MalSpam, drive-by download e app ed estensioni dannose. Consente a persone estranee di utilizzare la CPU o GPU di un computer per generare criptovalute come Bitcoin o Monero. Anziché lasciare che gli utenti raccolgano i frutti del lavoro del proprio computer, i cryptominer inviano la valuta raccolta ai propri account. Essenzialmente, un cryptominer dannoso deruba gli utenti delle loro risorse per lucro.
  • Gli exploit sono minacce che sfruttano i bug e le vulnerabilità di un sistema per consentire al loro creatore di diffondere un malware. Come altre minacce, gli exploit sono legati al malvertising, un tipo di attacco che fa comparire annunci pubblicitari dannosi su siti web prevalentemente legittimi al fine di diffondere un exploit. Per essere infettati non serve nemmeno fare clic sull'annuncio — gli exploit e il malware che li accompagna sono in grado di auto-installarsi sul computer con un drive-by download. È sufficiente visitare un sito legittimo al momento sbagliato.

Come funzionano i sistemi anti-malware?

Il vecchio metodo di rilevamento delle minacce basato sulla firma non è del tutto inefficace, ma gli anti-malware moderni rilevano le minacce adottando metodi più innovativi, che puntano all'individuazione dei comportamenti dannosi. In altre parole, utilizzare tecniche di rilevamento basate su firma è un po' come cercare le impronte digitali di un criminale. Si tratta di un ottimo modo per identificare una minaccia, ma soltanto se si conoscono già le impronte digitali del ricercato. I moderni anti-malware portano l'efficacia di rilevamento al livello successivo, al fine di identificare minacce mai viste prima. Analizzando la struttura e il comportamento di un programma, rilevano le attività sospette. Per continuare con l'analogia, è come notare il fatto che una certa persona frequenta sempre lo stesso covo di criminali e ha un grimaldello in tasca.    

Questa nuova e più efficace tecnologia di sicurezza informatica è denominata analisi euristica. “Euristica” è un termine coniato dai ricercatori per indicare una strategia che rileva le minacce analizzando la struttura, il comportamento e gli altri attributi di un programma.

Quando un sistema anti-malware euristico scansiona un file eseguibile, ne esamina la struttura generale, la logica di programmazione e i dati. Nel frattempo, va attivamente alla ricerca di istruzioni inusuali, codice spazzatura, ecc. In questo modo, riesce a valutare la probabilità della presenza di malware nel programma.

Inoltre, un grande vantaggio offerto dall'euristica è la capacità di rilevare i malware contenuti in file e record di avvio prima che questi abbiano la possibilità di essere eseguiti e infettare il computer. In altre parole, i sistemi anti-malware che sfruttano la tecnologia euristica sono proattivi anziché reattivi. Alcuni prodotti anti-malware sono perfino in grado di eseguire il sospetto malware in una sandbox, ossia un ambiente controllato in cui il software di sicurezza può determinare se un programma è sicuro o meno. L'esecuzione di malware in una sandbox consente al sistema anti-malware di capire come agisce il software, quali azioni esegue e se tenta di nascondersi o compromettere il computer.

Un altro modo in cui l'analisi euristica contribuisce alla sicurezza degli utenti è l'analisi delle caratteristiche delle pagine web, con l'obiettivo di identificare i siti pericolosi che potrebbero contenere exploit. Se si rileva qualcosa di sospetto, il sito viene bloccato.

In poche parole, gli antivirus basati su firma sono come il buttafuori di una discoteca che porta con sé un enorme libro di foto segnaletiche e caccia via chiunque vi corrisponda. L'analisi euristica, invece, è un buttafuori che individua i comportamenti sospetti, perquisisce le persone e manda a casa coloro che hanno un'arma.

“Euristica è un termine coniato dai ricercatori per indicare una strategia che rileva le minacce analizzando la struttura, il comportamento e gli altri attributi di un programma.”

Innovazioni nei programmi di sicurezza informatica

Due tipi di malware relativamente nuovi hanno contribuito a stimolare il progresso dei metodi di rilevamento senza firma: gli exploit e i ransomware. Sebbene abbiano molto in comune con altre minacce, possono risultare molto difficili da individuare. Inoltre, una volta che l'infezione è andata a segno, rimuoverli può essere quasi impossibile.

Gli exploit sfruttano le vulnerabilità di un sistema, software o browser web al fine di installare del codice dannoso in una varietà di modi. Di conseguenza, sono state sviluppate delle misure anti-exploit per contrastare questo metodo di attacco, proteggendo gli utenti dagli exploit contenuti in Flash e dalle vulnerabilità nei browser, compresi i nuovi exploit non identificati o le lacune per le quali non sono ancora state create delle patch.

I ransomware hanno fatto la loro spettacolare comparsa nel panorama dei malware nel 2013. Si sono fatti un nome compromettendo e criptando i dati dei computer, tenendoli in ostaggio per poi richiedere un pagamento e minacciando di eliminarli se il riscatto non fosse stato pagato entro la scadenza.

Inizialmente, queste minacce hanno condotto allo sviluppo di prodotti anti-exploit e anti-ransomware dedicati. A dicembre 2016, Malwarebytes ha inserito la funzione anti-exploit e la protezione contro i siti web dannosi nella versione premium di Malwarebytes for Windows, arrivando poi ad aggiungere la funzione anti-ransomware per garantire una protezione ancora più avanzata.

Il futuro dei programmi di sicurezza informatica (che è già arrivato)

L'intelligenza artificiale (AI) e l'apprendimento automatico (ML) sono le ultime novità della tecnologia anti-malware.

L'AI consente alle macchine di eseguire attività per le quali non sono state specificamente pre-programmate. Non si limita alla cieca esecuzione di una serie limitata di comandi. Al contrario, utilizza l'intelligenza per analizzare una situazione e intervenire a un determinato fine, ad esempio per identificare segnali di attività ransomware.

L'apprendimento automatico è un tipo di programmazione in grado di riconoscere degli schemi in nuovi dati, per poi classificarli in modo da "insegnare" alla macchina.

In altre parole, l'intelligenza artificiale è incentrata sulla costruzione di macchine intelligenti, mentre l'apprendimento automatico utilizza degli algoritmi che consentono alle macchine di imparare dall'esperienza. Queste tecnologie sono ideali per la sicurezza informatica, soprattutto perché i metodi basati su firma o altri metodi manuali non sono in grado di gestire il numero e la varietà di minacce attuali. Entrambe si trovano ancora in fase di sviluppo, ma sono estremamente promettenti.

Malwarebytes utilizza già un componente di apprendimento automatico che rileva i malware mai visti prima, noti anche come 0-day o 0-hour. Il nostro software esegue inoltre rilevamenti euristici basati sul comportamento — ossia, è possibile che il sistema non contrassegni come dannoso un determinato codice, riconoscendo però il comportamento inusuale di un file o sito web. Questa tecnologia si basa proprio sui sistemi AI/ML ed è disponibile sia con la protezione in tempo reale che con le scansioni su richiesta.

Nel caso dei professionisti nel settore IT che devono mettere in sicurezza più di un endpoint, l'approccio euristico è fondamentale. Non si può mai sapere quale sarà la prossima grande minaccia malware. Ecco perché l'euristica riveste un ruolo importante in Malwarebytes Endpoint Protection, come anche le tecnologie AI e ML. Insieme, consentono la creazione di più livelli di protezione per gestire tutte le fasi della catena di attacco di minacce note e sconosciute.

Prevenire è meglio che curare

Dai desktop ai laptop fino ai tablet e agli smartphone, tutti i nostri dispositivi sono vulnerabili ai malware. Avendo una scelta, chi non preferirebbe prevenire un'infezione anziché affrontarne le conseguenze?

Gli antivirus tradizionali non sono all'altezza del compito, come dimostrano i frequenti titoli di giornale che segnalano un altro attacco informatico andato a segno.

Quindi, cosa fare per rimanere al sicuro? Quale software di sicurezza informatica — antivirus o anti-malware — si dovrebbe scegliere per affrontare un panorama di minacce composto da vecchi virus e nuovi malware?  

Il fatto è che gli antivirus tradizionali non sono all'altezza del compito, come dimostrano i frequenti titoli di giornale che segnalano un altro attacco informatico andato a segno. Risultano inadeguati contro le minacce 0-day, consentono ai ransomware di compromettere i computer e non riescono a eliminare completamente i malware. Quello che serve è un programma di sicurezza informatica avanzato, flessibile e sufficientemente intelligente da anticipare le moderne minacce sempre più sofisticate.

Malwarebytes for Windows risponde a questa esigenza di sicurezza informatica avanzata (insieme a Malwarebytes for Mac, Malwarebytes for Android e alle soluzioni Malwarebytes per le aziende). I prodotti Malwarebytes proteggono da malware, hacking, virus, ransomware e altre minacce in continua evoluzione, per contribuire a un'esperienza online sicura. La nostra tecnologia basata sull'euristica che sfrutta l'intelligenza artificiale blocca le minacce che gli antivirus tradizionali non riescono a fermare.

Gli esperti del settore hanno lodato Malwarebytes for Windows per il suo approccio di protezione a più livelli, che fornisce una protezione affidabile senza compromettere le prestazioni del sistema. Rimuove ogni traccia dei malware, blocca le minacce più recenti ed esegue scansioni rapide.

A prescindere dal sistema di sicurezza informatica che sceglierai, la tua prima linea di difesa è la consapevolezza. Scopri le ultime novità sulle minacce e i sistemi di protezione leggendo regolarmente il blog Malwarebytes Labs.

Informazioni indispensabili di sicurezza informatica

Vuoi rimanere aggiornato sulle ultime novità in materia di sicurezza informatica? Iscriviti alla nostra newsletter per imparare a proteggere il tuo computer dalle minacce.

Seleziona lingua