F-Secure Antivirus 2007 [Recensione]

 
F-Secure Antivirus 2007
 

Durante l’ultimo periodo pre-rilascio di Windows Vista sono state molte le discussioni su quanto possa risultare importante un software antivirus installato nel nuovo sistema operativo o quanto invece possa risultare superfluo poiché la struttura stessa del nuovo prodotto rende l’ambiente già ampiamente protetto da attacchi esterni. Senza volerci addentrare troppo in questo argomento – ci sarà spazio anche per questo durante i prossimi mesi – è necessario fare un passo indietro e non perdere di vista Windows XP che, stando alle dichiarazioni di molti utenti su internet, rimarrà per parecchio tempo installato nei pc.

Sono ormai cinque anni che Windows XP ha fatto il suo debutto e, più o meno, quasi tutte le falle che sono state scoperte sono ormai conosciute e documentate. Sebbene sia possibile che qualche bug debba ancora venir individuato, si ha oramai ben chiaro il quadro della situazione su come possano venir sviluppati gli attacchi e come poterli prevenire e quindi difendere il pc. Purtroppo di attacchi all’utenza Windows si moltiplicano giorno dopo giorno, la necessità di poterli prevenire è diventata la parola d’ordine per tutte le società di sicurezza.

La via sembra sia stata illuminata: la soluzione all’intercettazione dei nuovi malware, prima ancora che possano far danno e senza uso di firme virali, si chiama HIPS. Una tecnologia che può essere tanto rumorosa, in termini di richieste eccessive all’utente finale, quanto efficace poiché analizza il comportamento dei programmi che stanno per essere eseguiti nel sistema.

L’argomento HIPS è stato già trattato nelle pagine di Hardware Upgrade, in un’intervista a Jacques Erasmus – direttore dei laboratori di ricerca Prevx Ltd. – dove viene spiegato con termini essenziali in cosa consista questa nuova tecnologia. L’ideale sarebbe riuscire a fondere la vecchia ma ben testata e ancora efficace tecnologia di scansione attraverso signature insieme a questa nuova tecnologia di intercettazione preventiva. F-Secure Corp., società finlandese attiva nel ramo della sicurezza informatica, presenta il proprio nuovo prodotto, F-Secure Antivirus 2007, che tenta di fondere un già ottimo scanner antivirus con un modulo HIPS ben sviluppato che possa integrare con efficacia un’analisi preventiva di possibili malware.

Finita l’installazione, che procede molto velocemente e richiede esclusivamente l’immissione del codice seriale, il programma riavvierà automaticamente il sistema – previo avviso all’utente – in modo tale che tutti i driver possano essere inizializzati correttamente. Al successivo avvio il sistema operativo sarà protetto da F-Secure Antivirus.

I programmatori della società finlandese hanno lavorato molto per rendere quest’ultima versione migliore in termini di prestazioni e di utilizzo di risorse di sistema. La versione 2006 infatti era risultata spesso pesante e rallentava l’utilizzo del pc nelle operazioni quotidiane. Sotto questo punto di vista la nuova versione 2007 ha visto notevoli passi avanti. Il sistema all’avvio impiega qualche secondo in più per inizializzare tutti i driver del software e per caricare l’icona nella system tray, ma ciò non influisce particolarmente nella reattività del sistema operativo, che risulta comunque scattante, solo leggermente appesantito.

Sono 14 circa i processi che vengono eseguiti nel sistema da F-secure Antivirus 2007, per un totale di circa 100 MB di memoria fisica occupata – cifra comunque non fissa ma variabile da pc a pc e da situazione a situazione. Uno degli aspetti particolarmente interessanti di F-Secure Antivirus è il fatto che, una volta installato, richiede pochissima interazione da parte dell’utente. I settaggi che vengono utilizzati di default garantiscono già un ottimo compromesso tra prestazioni e sicurezza.

F-Secure è una delle società di sicurezza, insieme a Gdata e AEC, che utilizza più engine di scansione per garantire maggior detection rate. Infatti, F-Secure utilizza ben quattro motori di scansione: Kaspersky, Libra, Orion, Draco. Kaspersky è l’engine di scansione fornito dalla società russa Kaspersky Lab, rinomato e uno dei punti di riferimento a livello mondiale. Viene utilizzato come principale motore di scansione sia per quanto riguarda virus, worm, trojan, backdoor sia per quanto riguarda l’individuazione di spyware e adware, grazie alle cosiddette "extended bases" fornite da Kaspersky che estendono la copertura anche per queste tipologie di infezione relativamente nuove.

Libra e Orion sono due motori di scansione sviluppati invece da F-Secure. Entrambi sono utilizzati per firme virali e euristica, ovviamente gestite internamente dai ricercatori della società finlandese. Infine Draco è l’engine di scansione fornito da Lavasoft, produttore del software di scansione ADAware, per l’individuazione di spyware e adware. Vi è infine un quinto motore di scansione, denominato BlackLight, che permette l’individuazione di rootkit attivi nel sistema. F-Secure BlackLight, prima di essere integrato nella suite F-Secure Antivirus, è stato – ed è ancora – disponibile da scaricare come tool standalone dal sito di F-Secure.

Se la scansione on-access è risultata sempre efficace e relativamente poco pesante, diversamente bisogna purtroppo dire della scansione on-demand, che è risultata sì efficace ma molto lenta. Purtroppo la lentezza di scansione è stata, dalla versione 4.5 di Kaspersky, un grosso problema per la società stessa che ha dovuto cercare degli stratagemmi per velocizzare il tutto senza perdere l’efficacia del proprio engine. Problema che è stato poi brillantemente risolto da Kaspersky con due tecnologie proprietarie denominate iSwift e iChecker: alla prima scansione completa del sistema, l’engine calcola dei checksum dei file scansionati e li deposita in un database proprio con altre informazioni relative al file in questione. Alla seconda scansione viene fatto un confronto delle informazioni calcolate dal file e quelle contenute nel database: se le due informazioni coincidono non è necessario effettuare di nuovo la scansione del file poiché non è cambiato dalla prima scansione.

Queste tecnologie hanno velocizzato notevolmente la scansione del sistema nei prodotti Kaspersky. Tuttavia F-Secure ha scelto di non implementare queste due tecnologie nella propria suite, ottenendo così sia i pregi che portandosi dietro i difetti dell’engine di scansione Kaspersky. Visto il problema dialer che da sempre affligge il territorio italiano, risulta ottima anche l’individuazione di questi software che redirigono le chiamate dei modem 56k verso numerazioni a valore aggiunto – grazie principalmente al sempre pluripremiato engine Kaspersky. Gli aggiornamenti delle firme virali e delle componenti dell’antivirus vengono controllati automaticamente più volte al giorno – come oramai prassi di molti software antivirus.

Nota positiva anche l’aspetto grafico, che risulta curato e ordinato. L’utente medio ha in un batter d’occhio a disposizione tutte le informazioni di cui ha bisogno: un resoconto della salute del sistema, dettagli più particolareggiati per la configurazione del motore di scansione antivirus e per gli aggiornamenti automatici.

F-Secure Antivirus 2007 introduce sotto questo aspetto il proprio modulo HIPS (Host Intrusion Protection System) denominato F-Secure DeepGuard(tm). L’opzione che attiva o meno questa nuova tecnologia è denominata "F-Secure System Control" o "Controllo di sistema". In realtà F-Secure DeepGuard(tm) è una tecnologia particolarmente complessa, composta da numerosi sottoparti.

Quando viene attivato, DeepGuard(tm) monitora ogni singolo processo che viene eseguito nel sistema e tiene sotto controllo eventuali tentativi di modifiche alle zone sensibili di Windows. Se il programma eseguito richiama l’attenzione di DeepGuard(tm), cioè tenta di effettuare dei cambi non ammessi, la tecnologia innanzitutto controlla che il programma non sia già stato inserito in una "lista bianca" dall’utente stesso. Se il programma risulta sconosciuto, viene analizzato da due motori di scansione: Gemini e Pegasus. Gemini è un motore di scansione adibito all’analisi euristica estesa del processo alla ricerca di anomalie o di tentativi di modifiche dannose al sistema. Pegasus è invece il motore di scansione fornito dalla società di sicurezza Norman. Pegasus esegue il file in una sandbox e ne registra i comportamenti.

Ricevuti i risultati da Gemini e Pegasus, un’intelligenza artificiale valuta il livello di rischio del programma e lo classifica in relazione al livello di pericolosità. I livelli sono: Malware (il programma è chiaramente un malware), colore rosso (il programma sta chiaramente tentando operazioni dannose e potrebbe essere un malware), colore giallo (il programma non è ben chiaro se possa essere un malware oppure no – è richiesto l’intervento dell’utente), colore verde (il programma è legittimo e non sembra possa effettuare danni al sistema).

Nei test questa nuova tecnologia è risultata particolarmente efficace, sebbene sia stata vista in azione relativamente poche volte vista la rapidità con cui gli aggiornamenti all’engine Kaspersky vengono rilasciati. Una nuova modalità di una vecchia infezione che in questi giorni sta rifacendo la propria comparsa è stata efficacemente bloccata da F-Secure DeepGuard(tm) senza bisogno di aggiornamenti.

 

Conclusioni:

F-Secure Antivirus 2007 risulta essere chiaramente un software di sicurezza particolarmente affidabile ed efficace. Lo dimostrano tutte le componenti di gran pregio, lo dimostra l’architettura stessa del programma, lo dimostrano i risultati di vari test indipendenti internazionali. F-Secure è una società molto attiva, lo si vede dalle soluzioni innovative introdotte e dal loro weblog dove ogni giorno vengono riportate novità interessanti o analisi di nuovi malware. È indubbio che il software, per quanti miglioramenti possa aver avuto dalla versione 2006, risulta sì molto più leggero e performante, ma sono sempre circa un centinaio di MB di ram occupata.

Il pc di test è equipaggiato con 3GB di RAM. Molti PC attualmente dispongono di 1GB di RAM, il che significa ottime prestazioni di F-Secure Antivirus con Windows XP. Con un quantitativo di RAM inferiore l’utente dovrebbe valutare bene, magari con una versione trial del programma, l’effettiva reattività del sistema e il peso che il software potrebbe apportare alla macchina.

L’introduzione di una componente HIPS ha sicuramente rinforzato il già ottimo arsenale di difesa del software, cercando di mettere una pezza sull’impossibilità di star fisicamente dietro attraverso signature all’ingente numero di nuove infezioni che vengono rilasciate ogni giorno.

F-Secure fornisce anche la versione Internet Security 2007 anziché solo Antivirus, che oltre a quello visto in questo articolo include firewall, antispam, antiphishing e parental control. F-Secure Antivirus 2007 è sicuramente una suite ottima, efficace e con un buon supporto tecnico. Avendo una sede anche in Italia, F-Secure garantisce il supporto tecnico anche in lingua italiana via e-mail o via telefono – quest’ultima a pagamento.

Il prezzo di F-Secure Antivirus 2007, licenza per 3 PC, è di 39.95 € mentre la versione Internet Security 2007, anch’essa licenza per 3 PC, ha un prezzo di 59.95 €. Sito ufficiale italiano: www.f-secure.it

 

Questa voce è stata pubblicata in Computer e Internet. Contrassegna il permalink.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...