Torno su un argomento spesso sottovalutato quando si parla di sicurezza informatica in azienda: l'antivirus. O meglio, più che sottovalutato, ciascuno è certo di avere la soluzione "migliore".

Si trova di tutto in commercio. Incontro realtà che utilizzano anche soluzioni gratuite. Come sempre, l'occhio cade sul prezzo e non si pensa a cosa si può andare incontro.

C'è un fenomeno che viene sottovalutato, ed è quello delle così dette vulnerabilità zero day.

Cosa significa zero day?

E' il momento in cui viene creato un nuovo virus/attacco informatico. Pensiamo ad esempio ad una epidemia di una nuova malattia, sconosciuta, per la quale non esiste ancora una medicina: fino a quando non viene trovato un antidoto, le persone colpite da tale virus ne subiranno gli effetti. Qui la cinematografia si è sbizzarrita, fornendoci esempi più o meno catastrofici.

In informatica è la stessa cosa. I criminali informatici negli ultimi anni si sono specializzati nel creare virus sempre nuovi, magari con piccole varianti, ma comunque sconosciuti.

Perché un virus zero day è così pericoloso?

Per un motivo molto semplice, legato alla modalità di difesa che utilizzano la maggior parte degli antivirus oggi in circolazione.

Infatti oggi quasi tutti gli antivirus ragionano più o meno allo stesso modo: semplificando possiamo dire che, quando viene intercettato qualcosa di anomalo, l'antivirus verifica se file in questione contiene un pattern, una marcatura, un segno, che sia riconducibile a qualcosa di pericoloso.

Per farlo, viene interrogato un data base - molto ampio e sempre aggiornato dai produttori di antivirus.

Ma se il virus è nuovo (zero day)? Certamente il codice malevolo non è presente negli archivi e quindi non è riconoscibile. E, di conseguenza, l'antivirus non lo blocca e lo "fa passare". Il resto è facilmente immaginabile.

Aggiungo che, spesso, i nuovi virus non si manifestano immediatamente, anzi. Rimangono "dormienti" nella macchina infettata, iniziando una attività di scanning, per raccogliere il maggior numero di informazioni ed infettare altre macchine. Solo ad un certo punto emergono, colpiscono, ed il danno è fatto.

Cosa fare quindi con l'antivirus che stai utilizzando?

Innanzitutto verificare che sia sempre aggiornato. In secondo luogo, valutare il passaggio ad un sistema che possa intercettare anche i virus zero day: sì, esistono antivirus che svolgono questa funzione, grazie a sistemi particolari, dei quali vi racconterò la prossima volta :-)

Nel frattempo mai abbassare la guardia e valutare quando scadono le licenze dell'attuale antivirus: prima del rinnovo, il consiglio è quello valutare più alternative.

Potresti rimanere piacevolmente sorpreso, anche sotto il profilo del costo.

Concludo riportando qui il link ad un mio precedente articolo sui pericoli delle vulnerabilità zero day: lo trovi cliccando qui