Chi si occupa di sicurezza o chi legge PillolHacking.Net sa che le vere minacce di Internet sono gli Zero Day. Scenario: avete l’antivirus installato, con gli ultimi aggiornamenti disponibili e dopo una scansione non viene rilevata la presenza di malware. Significa forse che il computer è sicuro? No. Significa che l’antivirus non ha rilevato minacce conosciute. Però potrebbero esserci virus appena usciti non ancora riconosciuti dagli antivirus.
Gli antivirus basano il loro funzionamento sul concetto di black-list. Vengono rilevate le firme dei file e confrontate con quelle della black-list. Se le firme coincidono vuol dire che è stato trovato un virus. La black-list vengono create nei laboratori di ricerca, dove vengono analizzati i virus.
A grandi linee si procede estrapolando una “firma” che permette di riconoscere il virus e la si aggiunge al database. Infine i produttori di antivirus distribuiscono gli aggiornamenti agli utenti. Naturalmente i virus che non sono ancora inseriti nella black-list hanno campo libero. Il tempo che intercorre tra l’apparizione di un virus e la sua rilevazione da parte degli antivirus espone gli utenti alla minaccia dell’infezione.
Una soluzione a questo problema tenta di fornirla DriveSentry. DriveSentry è un antivirus che offre un approccio diverso dagli antivirus convenzionali, dispiegando tre linee di difesa. Questo antivirus lavora controllando gli accessi ai file; inoltre è in grado di rilevare i dispositivi mobili (chiavi usb) e proteggerli.
Le tre linee di difesa di DriveSentry sono le seguenti:
Black-list:
La classica black-list, una collezione di firme dei malware attualmente conosciuti. Nulla di nuovo, si comporta come gli altri antivirus. Da notare comunque che la lista è abbastanza corposa, essendo composta da oltre 2 milioni di firme, in continua crescita.
While-list:
Questa è la lista delle applicazioni conosciute che possono legittimamente accedere alle risorse (disco, registro).
Advisor Community:
L’innovazione. Vengono raccolte informazioni in tempo reale dagli utenti. Questi dati vengono utilizzati come statistiche per capire come comportarsi di fronte a file sconosciuti, file che non appartengono allablack-list ma neppure alla white-list.
Queste sono le caratteristiche di DriveSentry. Segnalo anche che il prodotto è free, l’occupazione in memoria contenuta; inoltre non mi sembra particolarmente intrusivo.
Affiancando DriveSentry ad un personal firewall e ad un antivirus convenzionale si accresce decisamente il grado di sicurezza del PC.
Chi volesse provarlo può scaricarlo dal sito http://www.drivesentry.com/.
PillolHacking.Net: I Migliori Articoli di Marzo 2009
Anche questa mese propongo l'elenco di quelli che a mio avviso sono stati i migliori articoli di PillolHacking.Net... Trova le Vulnerabilità del tuo Sistema con Secunia Inspector
Una delle principali misure per la protezione del proprio sistema è la prevenzione. Avere un sistema... Analisi Anti-Malware Online con Nanoscan
Qualcuno pensa che gli antivirus siano inutili. Altri pensano che agli antivirus possano essere affiancati... PDF Vulnerabile “By Design”
Probabilmente Didier Stevens è la persona che meglio conosce il formato PDF, meglio degli stessi...
