In tempi particolarmente difficili per la sicurezza informatica, in cui anche uno studente delle scuole medie può creare il suo virus, si riaffacciano sul mercato dei software di sicurezza vecchie tecnologie, quali l'utilizzo di account limitati e programmi con privilegi ridotti, e applicazioni di tecnologie relativamente nuove, tra cui gli hips.
Tali software sono rivolti ad utenti medio - avanzati, in quanto presuppongono conoscenze di base, talvolta anche avanzate.
La più grande sfida di questi software è quella di diventare il più possibile chiari e semplici agli occhi dell'utente medio, che cerca programmi in grado di soddisfare tre particolari esigenze: leggerezza, potenza e semplicità.
Il pacchetto di sicurezza eqsecure si cimenta nel tentativo di portare nelle nostre case software tecnologicamente molto avanzati.
Eqsecure, ormai alla versione 3.4, ha dimostrato una notevole potenza e leggerezza, finalmente coadiuvata da messaggi di avviso assai più comprensibili per l'utente casalingo.
Un altro pregio è il prezzo, che è nullo; questo prodotto, infatti, è distribuito gratuitamente sul sito ufficiale www.eqsecure.com. Il link diretto al download è disponibile qui. La velocità di download è tutt'altro che buona, ma il risultato paga l'attesa.
Installazione e prima impressione
La prima cosa che ho notato è che l'installazione è molto semplice. Alla prima schermata si seleziona la lingua dal menu a tendina, quindi basta premere sempre avanti e in pochi click ci si ritrova un sistema già pronto per essere utilizzato. L'installazione, infatti, non richiede riavvio.
Cosa meno positiva, invece, è che le impostazioni di default impongono che le decisioni vengano prese interattivamente. Tuttavia, laddove ciò non sia possibile, viene dato l'assenso a qualunque azione.
In ogni caso, il software in esame è molto semplice da configurare, e i messaggi sono chiari e vanno subito al sodo.
La configurazione di base copre buona parte delle esigenze di protezione: essa offre all'utente la possibilità di scegliere se avviare o meno un programma, se consentirne l'installazione e, cosa molto positiva, disabilita automaticamente l'esecuzione di programmi dalla cartella file temporanei di Internet. Ciò si traduce in un grosso vantaggio per tutti quegli utenti che non molto ferrati in materia informatica, e che si trovano nel dubbio se permettere o meno l'esecuzione di un .exe.
Il software include una protezione per il registro di sistema, una per la scrittura di file nel disco rigido e una per le applicazioni, che comprende principalmente:
- il controllo dell'esecuzione di un programma,
- l'utilizzo e la creazione di driver e servizi da parte dello stesso,
- l'accesso alla memoria di sistema,
- la terminazione di programmi da parte di un altro processo.
Utilizzo e primi test
Durante il normale utilizzo del PC, un aspetto che si nota subito è la leggerezza della soluzione: su una macchina su cui sia installato Windows 2000, si può notare che, fra i processi attivi, solo 2 sono riconducibili al software. Inoltre, si può ben vedere che questi occupano insieme meno di 7 MB di memoria. Il software si dimostra sempre veloce e pronto e, al contrario di altre soluzioni (come ad esempio appdefend), non si appesantisce con l'aumento di processi nel database interno.
L'applicativo permette di scegliere dinamicamente cosa si vuole o non si vuole avviare.
La schermata standard per le applicazioni è questa:
Questa schermata, come già affermato in precedenza, è relativamente semplice e permette di individuare l'applicazione "padre", cioè quella che avvia il programma, e quella "figlio", cioè il programma che si vuole fisicamente avviare.
Sotto troviamo due impostazioni, che ci permettono di stabilire se il programma potrà scrivere nei log ciò che l'applicazione esegue e se l'azione intrapresa in quel momento dovrà essere utilizzata anche in situazioni analoghe.
In questo caso, la schermata chiede all'utente se il programma game maker, chiamato dall'applicazione explorer.exe (cioè quella che si occupa di chiamare il processo quando si clicca su un icona del desktop), può essere avviato o meno. In un'ipotesi del genere, dato che il programma è legittimo, si può procedere a spuntare l'opzione remember this action (che farà in modo che la domanda non si ripresenti) a premere allow, cioè permetti.
A meno che non sia disattivata a ogni azione intrapresa dal programma, vicino all'orologio comparirà questa finestrella...
... oppure questa
La prima indicherà che l'operazione è stata consentita, la seconda che è stata bloccata.
I moduli della protezione
Il programma è molto estensibile e permette di aggiungere aree del registro, file, cartelle, programmi ecc... a una lista di controllo.
Infatti, è stato molto semplice aggiungere al controllo del registro chiavi normalmente non controllate, ma che si rivelano spesso e volentieri covo di virus. Sono bastati pochi click per rendere impraticabile l'esecuzione di programmi dalla cartella dei file temporanei e la scrittura di dati nel system restore, ad eccezione di Windows.
Interessante il fatto che sia disponibile l'opzione per il controllo delle librerie caricate da un eseguibile. Tuttavia, si tratta di un'opzione disattivata di default (forse perché non tutti sono pronti a dare 150 assensi per aprire Internet Explorer).
La protezione per il registro copre tutte le aree standard, normalmente utilizzate dai virus per diffondersi e creare basi sicure per i loro "giochetti". Tuttavia, manca la protezione delle policy che possono permettere ad un Trojan di disabilitare il task manager e il registry editor. Poco male però, visto che molti software di sicurezza di questo genere non controllano tali aree.
Comunque, per chi volesse in qualche modo proteggere anche queste aree, è possibile non solo aggiungere chiavi e valori da far controllare al programma, ma anche configurare in automatico l'azione da eseguire.
Altro modulo della protezione è dato dal "File Protect", spesso non presente in altri software concorrenti.
Questo modulo permette di impedire che un file sia scritto in determinate posizioni; ad esempio, in caso di accidentale assenso all'esecuzione di un file virale, si potrà comunque rispondere negativamente alla richiesta di autorizzazione alla scrittura in posizioni quali le cartelle di sistema. Anche in questo caso la protezione di default non è particolarmente completa. Di default, infatti, non sono controllate ad esempio le cartelle di esecuzione automatica.
La "application protect" è senz'altro tra le più complete e permette di controllare con semplicità e notevole potenza e precisione molti parametri, tra cui il caricamento di driver e servizi, la chiusura di applicazioni e l'accesso alla memoria di sistema.
Unico rimpianto è la mancanza di un modulo per il controllo degli accessi alla rete, il che rende di fatto necessario aggiungere un firewall con controllo in uscita, per essere a conoscenza di cosa esca effettivamente sulla rete.
Per il resto, la protezione è fra le più complete e permette, con qualche peripezia, anche di decidere se un programma possa o meno caricare una libreria.
Altro interessante dettaglio è la possibilità di includere una blacklist di applicazioni considerate nocive a priori.
I test
Per testare una soluzione rivolta alla sicurezza avanzata di un sistema Windows, non c'è niente di meglio che una (poco) sana batteria di malware. Per l'occasione, sono stati messi in gioco contro il software ben 80 simple di virus, tra cui alcuni root kit. Come sistema di prova è stata utilizzata una macchina virtuale, su cui era stato installato Windows 2000 SP4 aggiornato.
I software installati sul PC, oltre a Eqsecure, sono Firefox e Open Office, quindi del tutto non interferenti con il test in oggetto.
Nella lista dei virus sono stati inclusi un root kit, svariati Trojan e due dialer. Nel test non è stato incluso l'assenso all'esecuzione del programma, poiché praticamente ogni software è in grado di bloccare un programma prima del suo avvio. Il test, invece, si interessa soprattutto di ciò che avviene in seguito.
Nei test il programma si è sempre dimostrato all'altezza della situazione; solo in alcuni casi ha fallito, soprattutto per quanto riguarda l'aggiunta, ai siti sicuri di Internet Explorer, di una schiera di siti relativamente malevoli.
In ogni caso, per quanto riguarda root kit e Trojan, il software non ha mancato un colpo, coprendo senza il minimo problema tutte le aree interessate dalle attività virali: cartelle di sistema e cartelle temporanee di Windows vengono monitorate e chiuse, le prime alla scrittura e le seconde all'esecuzione, senza nemmeno formulare domande all'utente; il registro viene protetto da tutti gli attacchi possibili e anche i rootkit trovano un muro di cemento armato, contro cui possono solo battere la testa.
Buona parte dei processi virali rimane comunque in esecuzione, benché i suoi effetti siano negati, e basta un semplice riavvio per poterli dimenticare. Al resto ci pensa Eqsecure.
I test parte 2
Anche dopo un assalto combinato di tutti i malware, i log di HijackThis e gmer risultano molto puliti e, a parte un file missing di un file non scritto, non c'è la benché minima traccia di un'attività virale in corso, né fra i processi in avvio automatico, né fra le impostazioni di Internet Explorer.
Il taskmanager è tutta un'altra storia e processi riconducibili a virus ci sono eccome, ma alla fine il giudizio è molto positivo: sistema salvo da minacce reali e in corso. C'è solo qualche rimasuglio di una battaglia che ha visto nettamente vincitore, per una volta, la sicurezza.
Dopo il riavvio, e dopo aver cancellato i simple di test, con la scansione di sistema dal sito kaspersky.com vengono trovate solo 7 tracce rimanenti dei virus, nessuna delle quali residenti in memoria, con la conseguenza che una qualsiasi scansione online con pulizia può rendere il nostro computer pulito senza sprechi di risorse.
Altro
Il software dispone inoltre di un task manager proprietario, di una gestione dei log molto dettagliata e di un'ottima modalità di auto apprendimento davvero molto utile nei primi tempi. Dispone inoltre di una funzione di auto update, a mio avviso estremamente utile, tramite la quale il programma si aggiorna in automatico, senza che l'utente lo richieda esplicitamente.
Pratico inoltre il sistema di gestione dei processi, tramite il quale è possibile importare da un file .xml impostazioni già predefinite da altri utenti e, eventualmente, esportare le proprie.
Conclusioni
Il software è stato estremamente veloce e preciso in una tale quantità di situazioni, che risulta veramente difficile dare un giudizio negativo.
Non ho potuto testare bene tutte le sue funzioni, ma l'interfaccia chiara, i messaggi di avviso non eccessivamente complicati e l'enorme mole di dati potenzialmente controllabili contribuiscono a rendere il software, probabilmente il primo nella sua categoria, meritevole del titolo di software "install and forget", considerata la notevole semplicità con cui si può maneggiare il pacchetto.
Unico rimpianto la mancanza di un controllo dati in uscita, che rende quindi consigliabile l'installazione di un firewall con controllo dei dati che escono sulla rete.
Si tratta di un software sicuramente da provare, che non fa certo sentire la mancanza di software più blasonati, quali System Safety Monitor Professional o Prosecurity.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati