Il mercato dei software di sicurezza informatica è in costante fermento, anche a causa del trend che i malicious software stanno seguendo, in perenne aumento rispetto agli anni precedenti.

Se è vero che la diffusione di nuovi virus sta rallentando, un 50% in meno rispetto l'anno scorso nei primi 6 mesi del 2005 secondo il rapporto semestrale di F-Secure, è altrettanto vero che gli spyware sono diventati la vera piaga del XXI secolo.

Secondo il primo rapporto annuale di Webroot, società di sicurezza produttrice del software SpySweeper, il 90% dei computer presenta qualche forma di spyware installato.

Un fenomeno che dunque, in silenzio, è dilagato in maniera spropositata fino a raggiungere percentuali da brivido.

Qualche mese fa persino Bill Gates, durante la presentazione di "Microsoft Antispyware" aveva etichettato gli spyware il pericolo maggiore, dei quali lui stesso ne era rimasto vittima.

É altrettanto vero però che, seppur meno insidiosi in questo periodo, si contano oltre 120.000 varianti tra virus, trojan e worm.

Cifre da record insomma, alle quali molte società da tutto il mondo con software più o meno rinomati tentano di porre rimedio.

Tra queste arriva in Italia, dopo anni di premi all'estero, la nuova suite di sicurezza della software house tedesca G DATA Security, denominata AntiVirusKit.
G DATA Software AG, società produttrice di AntiVirusKit, è stata fondata in Germania nel 1985 a Bochum.

Semisconosciuta in Italia, la società ricopre un ruolo leader in Germania ed è stata premiata in tutto il mondo vincendo ben 5 premi VirusBulletin
oltre che numerosi riconoscimenti da parte di riviste tedesche.

Il prodotto antivirus, da anni in vetta alle classifiche mondiali di individuazione virus, è stato da poco arricchito con firewall, antispam e webfilter per la creazione della nuova suite AntiVirusKit Internet Security, arrivata alla versione 2005.

La suite ci è stata gentilmente fornita da Pulsar Communication, contatto stampa per l'Italia per GData.

Prime impressioni - Installazione

Il pacco pervenutoci dalla Pulsar Communication conteneva una versione di AntiVirusKit Professional 2005 e AntiVirusKit Internet Security 2005, quest'ultima presa in considerazione e recensita.

Aperta la confezione siamo rimasti piacevolmente stupiti dalla ricchezza del contenuto che, oltre al cd del software, include un ricco manuale completamente in italiano dove descrive in modo abbastanza dettagliato le varie funzioni della suite.

Un particolare irrilevante per la maggior parte degli utenti ma carino per gli utenti più esperti o che vogliono informarsi: alla fine del manuale sono inclusi un mini vocabolario che include le definizioni dei vari tipi di malware e la storia dei virus informatici dalla nascita sino ad oggi.

L'installazione è stata abbastanza rapida e non è stato riscontrato nessun problema. Durante l'installazione vengono rilevati gli account di posta elettronica e, su richiesta dell'utente, viene attivata la protezione dai virus sugli account scelti.

La suite, finita l'installazione, consente di creare un CD di avvio con le ultime firme virali aggiornate da utilizzare su sistemi infetti per una pulizia prima dell'installazione.

Finita l'installazione vengono create le icone dei programmi sul desktop e le icone nella systemtray dell'antivirus e del firewall.

Prendiamo in analisi la sezione della suite riguardante l'antivirus, che è il cavallo di battaglia dell'intera suite.

AntivirusKit è rinomato nel mondo della sicurezza informatica per le capacità di individuazione virus che raggiungono percentuali pari al 99% circa.

Questo ragguardevole risultato è dovuto alla tecnologia DoubleScan®, brevettata da GData, grazie alla quale è possibile utilizzare due motori di scansione contemporaneamente per avere la massima protezione possibile.

AntivirusKit infatti utilizza due engine di scansione, di cui uno considerato universalmente il miglior engine di scansione al mondo: Kaspersky e BitDefender, quest'ultimo scelto negli ultimi anni e in sostituzione dell'engine RAV.

Al primo avvio l'antivirus informa l'utente della necessità di aggiornare le firme virali e di effettuare una scansione dell'intero sistema.

Prima di aggiornare le firme virali è necessario effettuare la registrazione al server per ottenere username e password, necessari per l'aggiornamento del programma.

Il primo aggiornamento delle firme virali è pesante, sugli 8-9 Megabyte, dovuto al fatto che l'antivirus deve scaricare gli aggiornamenti cumulativi fino al momento dell'installazione di due antivirus.

Gli aggiornamenti successivi risulteranno tuttavia molto più leggeri, nell'ordine di qualche centinaio di kilobyte.

É possibile programmare aggiornamenti automatici, avendo a disposizione molte scelte sul quando poterli effettuare.

Le configurazioni del programma sono relativamente facili ma allo stesso tempo lasciano buon margine di modifica anche agli utenti più esperti.

Tra le opzioni sono elencati gli account di posta sui quali è possibile attivare la protezione da virus e, in caso di individuazione di files infetti, è possibile rimuovere automaticamente l'allegato e aggiungere un messaggio nel quale si informa l'utente che è stato individuato e rimosso un virus nell'e-mail.

La protezione in real time non è sicuramente tra le più leggere, il sistema ne risente in termini di prestazioni ma il rallentamento non è sicuramente eccessivo su pc di ultimo modello.

Inoltre, se il rallentamento risulta eccesivo per l'utente, è possibile regolare le configurazioni per ottenere le massime prestazioni a scapito però della sicurezza.

I processi del programma utilizzano in totale circa 30 Megabyte in memoria.

É possibile scegliere se utilizzare solo uno dei due engine di scansione o entrambi, la seconda come scelta consigliata.

Nella prova su strada AVK si è comportato egregiamente, svolgendo ottimamente il proprio lavoro. Ha infatti individuato, confermando i risultati delle classifiche pubblicate online, quasi la totalità dei virus testati.

La scansione on-demand è risultata efficace ma lenta, ha infatti impiegato molto tempo per scansionare l'intero hard disk.

Anche la scansione in real time si è comportata egregiamente, intercettando i virus e mostrando le varie scelte possibili da effettuare per la rimozione.

Una nota negativa è che scegliendo di disinfettare il virus, il programma in alcuni casi è freezato, non rispondendo più a nessun comando dell'utente, con l'unica possibilità di terminare manualmente il processo.

Inoltre, utilizzando due engine di scansione, è molto più alta la possibilità di falsi positivi, cioè di files che vengono segnalati come virus quando in realtà non lo sono.

Durante i test è capitato più volte che la suite, dopo aggiornamenti delle firme virali, abbia individuato un file di QuickTime come un trojan.

Una volta messo in quarantena il file e segnalato il falso positivo attraverso l'ambulanza di AVK, un servizio di GData che permette di inviare i files in quarantena al laboratorio di analisi, il falso positivo è stato corretto in meno di 24 ore.

Un'altra nota negativa è stata la mancanza di una risposta da parte del laboratorio di analisi.

Ovviamente l'importante è che il problema sia stato risolto, ma una volta inviato il file sospetto avremmo gradito almeno un'e-mail di risposta dove ci veniva confermato se fosse veramente un falso positivo e se il problema fosse stato risolto.

Individuato un virus, l'icona dell'antivirus sulla system tray cambia immagine, mostrando un segnale di pericolo.

Passiamo ora all'analisi del firewall integrato nella suite.

É inutile ricordare agli utenti l'importanza che un firewall ha in un pc casalingo. Basti pensare che , pur non avendo aggiornato Windows, worm quali MSBlaster e Sasser (e affini) si sarebbero inesorabilmente schiantati contro il firewall, evitando di infettare i pc degli utenti.

Inoltre un firewall è necessario non solo per controllare gli attacchi dall'esterno, scansioni di porte o altre minacce simili, ma permette di tenere sotto controllo anche il traffico che il proprio computer ha verso l'esterno.

Infatti un firewall che tiene sotto controllo anche il traffico a livello delle applicazioni, permette di controllare quali programmi possono avere accesso ad Internet e quali no.

Basti infatti pensare che una backdoor, sfuggita alla scansione dell'antivirus, può in generale essere bloccata dal firewall, così da non permettere un'intrusione esterna di un possibile attacker.

Il firewall integrato nella suite non è nient'altro che il Kaspersky AntiHacker, prodotto dalla società Kaspersky Labs.

Il programma, che si presenta nella system tray con un'icona di un mondo con un punto esclamativo rosso, non risulta particolarmente difficile nella configurazione.

Tuttavia permette agli utenti più esperti e smaliziati di avere accesso ad impostazioni avanzate per personalizzare meglio il software.

L'interfaccia, spartana, permette all'utente di scegliere cinque livelli di sicurezza e la modalità invisibile, grazie alla quale il computer risulterà invisibile agli attacchi esterni.

É possibile configurare le applicazioni che possono avere accesso ad internet ma anche configuare delle regole di filtraggio dei pacchetti, lasciando notevole libertà all'utente.

Il firewall dispone anche di un sistema di rilevamento delle intrusioni (IDS) che permette di rilevare e bloccare gli attacchi più conosciuti ai pc.

Il software è risultato efficace nel proteggere dagli attacchi esterni, mentre è risultato quasi totalmente inefficace nel proteggere il pc dalle tecniche avanzate per permettere ad un programma di avere accesso ad Internet aggirando le costrizioni del firewall.

Durante la scansione delle porte il programma ha correttamente segnalato il tentativo bloccando la scansione. Lo stesso per attacchi esterni quali DoS.

Nei leaktest il programma invece è crollato miserabilmente, lasciando passare gran parte dei programmi che, utilizzando tecniche avanzate quali dll injection o process injection, sono riusciti ad avere accesso ad Internet.

Se per questi test in alcuni casi è risultato decisivo l'intervento dell'antivirus che ha riconosciuto e bloccato alcuni test come programmi rischiosi, la probabilità che un programma nocivo che utilizzi queste tecniche e che non sia presente nel database dell'antivirus è alto, minando così alla base la sicurezza del pc controllato.

Inoltre è stato notato un fastidioso problema con alcuni programmi di file sharing.

In alcuni casi il firewall ha segnalato un attacco DDoS, bloccando così l'intero traffico internet.

In realtà l'attacco non c'è stato e il firewall ha erroneamente scambiato la ricezione di frequenti pacchetti SYN provenienti dal programma di file sharing come un tentativo di SYN flood.

Il problema potrebbe essere risolto disattivando l'IDS ma è chiaro che in caso di un reale attacco il computer sarebbe veramente a rischio.

Un altro programma presente nella suite è AVK AntiSpam, software dedicato all'individuazione e la rimozione di e-mail spam.

Lo spam, ovvero e-mail pubblicitarie, hanno raggiunto cifre spaventose, arrivando ad occupare più del 70% delle e-mail totali.

Chiunque oggi abbia almeno una casella di posta non filtrata dal server avrà ricevuto almeno qualche e-mail pubblicitaria insolita e a volte fastidiosa.

Fastidiosa anche perché molte delle volte le pubblicità riguardano argomenti a sfondo erotico, che possono creare situazioni imbarazzanti.

AVK AntiSpam tenta di porre rimedio a questo problema filtrando le e-mail in ingresso.

L'interfaccia iniziale del programma è molto spartana e povera di funzioni; è possibile infatti controllare le e-mail filtrate, quelle non identificate come spame e le statistiche generali.

Andando più a fondo però è possibile configurare parecchi aspetti del programma, opzioni a volte anche abbastanza tecniche per un utente alle prime armi.

Il programma utilizza le cosiddette liste nere, ovvero liste di indirizzi e-mail scelti dall'utente che sono sicuramente fonti di spam, e liste bianche, che permettono di escludere determinati indirizzi e-mail dal sospetto di spam.

Inoltre il programma si appoggia a dei determinati server da dove attinge delle liste nere aggiornate in tempo reale.

Oltre alle liste nere contenenti indirizzi e-mail e dns filtrati il programma utilizza un filtro per i contenuti delle e-mail, basato sul metodo Bayes che calcola la probabilità di spam sulla base delle parole utilizzate nel testo dell'e-mail.

Il filtro contenuti è comunque personalizzabile in base alle esigenze dell'utente.

Webfiltering: filtriamo i pericoli del web

L'ultimo tool a disposizione dell'utente integrato nella suite è il Filtro Web, un tool che si integra nel browser Internet Explorer.

Il Filtro Web permette di bloccare i banner pubblicitari, popup e animazioni flash. Include inoltre un utile strumento per la cancellazione di informazioni private relative alla navigazione web, quali cronologia dei siti visitati, cookies, files temporanei di internet.

Il blocco dei banner avviene in base ad una lista nera che viene costantemente aggiornata da internet, in base alle dimensioni tipiche dei banner o opzionalmente è possibile scegliere di bloccare le immagini provenienti da domini esterni al sito che si sta visitando.

Il blocco dei popup ha raggiunto dei risultati discreti bloccando la maggior parte dei popup classici, mentre in alcune varianti di tecniche il filtro è uscito sconfitto.

Il filtro per le animazioni flash può risultare utile per bloccare alcuni tipi di popup o comunque per pc con connessione ancora analogica e che quindi necessitano di eliminare molti abbellimenti grafici.

In conclusione la suite si è comportata egregiamente, assicurando al pc dell'utente la massima sicurezza dal punto di vista di virus worm e malware generico.

D'altronde era impossibile immaginare il contrario, visti gli engine di scansione utilizzati dall'antivirus.

Un grande punto negativo è la mancanza di individuazione di spyware e adware. Molte software antivirus stanno aggiungendo alle loro firme virali signature per l'individuazione di spyware e adware che, come detto nell'introduzione, sono diventati ancor più insidiosi e pericolosi dei virus.

Citiamo a titolo di esempio Kaspersky che, nelle extended bases, include l'individuazione di spyware e adware; ma anche Nod32 o Norton Antivirus, Panda antivirus, McAfee e PCCillin. Insomma la maggior parte delle società stanno aggiungendo nei loro database le firme per l'individuazione di spyware.

Contrariamente GData non ha incluso le extended bases di Kaspersky e, sebbene stiano facendo dei test, probabilmente non rivedranno la loro scelta

Fortunatamente alcuni spyware e adware vengono individuati da BitDefender che li include nelle firme virali standard.

Se, comunque sia, l'antivirus offre un'ottima protezione da virus, il firewall fa decadere in parte l'ottimo giudizio che la suite ha raggiunto.
Volendo sintetizzare il nostro giudizioni nei confronti di questo elemento possiamo scrivere: un firewall leggero per il sistema e che permette una sicurezza classica dall'esterno verso l'interno ma che ha deluso per il controllo dall'interno verso l'esterno.

Creadiamo tuttavia che il firewall, essendo elemento appena introdotto e da poco tempo oggetto di sviluppo, verrà migliorato dalla società che lo produce nelle prossime versioni.

Il tool antispam si è comportanto discretamente bene, individuando al primo utilizzo il 67% di e-mail spam. Il programma tuttavia autoapprende e, anche grazie ad una buona configurazione dell'utente, permette di raggiungere ottimi risultati.

Il filtro web, infine, è utile per navigare sui siti web in tranquillità senza l'ansia di dover essere travolti da finestre pubblicitarie. Forse più del blocco popup, già presente nella versione 6 di Internet Explorer, è utile il blocco dei banner pubblicitari e delle animazioni flash, che rendono più agevole e leggera la navigazione in Internet per le persone non dotate di banda larga.

Una nota di merito va all'AVK Security Agent, un simpatico tool che permette di ricevere sul desktop informazioni sugli ultimi aggiornamenti per l'antivirus, sulle epidemie di virus e sulle ultime news relative alla sicurezza.

In generale una suite ottima, sicuramente una valida scelta per avere in un unico pacchetto un'insieme di tool che permettono di rendere più sicuro il proprio pc, con l'unica riserva per il firewall, sicuramente da migliorare.

Il pacchetto è disponibile all'indirizzo www.gdata.it al prezzo di 59,95 euro, mentre per 39,95 euro è possibile acquistare il solo pacchetto antivirus AntiVirusKit Professional 2005.