PDA

Visualizza versione completa : Windows 8: l'anti-virus integrato


wintricks.staff
03-10-2011, 10.47.56
http://img266.imageshack.us/img266/1813/win8eicar500.png



L'esperto di sicurezza Chester Wisniewski, ha messo alla prova la tecnologia anti-virus integrata da Microsoft in Windows 8, per testarne l'effettiva funzionalità è stato utilizzato il test-file EICAR (http://eicar.org/86-0-Intended-use.html), che permette di simulare un'infezione da virus senza obbligare a maneggiare malware effettivi, in modo tale da assicurare il risultato, al contempo mantenendo sicuro il sistema di test.



La scelta di utilizzare EICAR, spiega Wisniewski, è anche dovuta al fatto che, fino ad oggi, ogni anti-virus ha rilevato il file di test, dunque l'efficacia del test è riconosciuta e comprovata.



Inizialmente, Wisniewski ha cercato di scaricare il file dall'indirizzo eicar.org, tramite il browser Internet Explorer 10, il quale ha bloccato il download e avvisato l'utente della pericolosità di ciò che si stava cercando di scaricare. In questo caso, dunque, il sistema di prevenzione implementato da Microsoft ha ben lavorato, individuando la minaccia ed evitando che finisse nella memoria del sistema.



La seconda mossa è stata copiare il codice (68 byte) di EICAR, aprire il notepad ed incollarlo, nominando il tutto come EICAR.COM. Tutta la procedura è stata portata a termine, il file era regolarmente presente nella cartella in cui era stato salvato. Quando Wisniewski ha tentato di eseguire il file, con un doppio click, questo è sparito dalla cartella, nessun log è stato creato da Event Viewer (il sistema che registra gli eventi in Windows 8) e nessun messaggio di allerta è stato mostrato.

In questo caso il test è stato negativo, perchè l'secuzione di EICAR deve creare almeno un messaggio di allerta.



Il terzo test partiva da una pendrive USB con all'interno il file EICAR.COM, è stato possibile copiarlo ed incollarlo in una cartella del disco di sistema, ma la sua esecuzione ha prodotto un messaggio di errore (perchè EICAR.COM è un'applicazione DOS).

Nonostante ci sia stato un messaggio di errore, ci si attendeva un messaggio di allerta, perchè questo è ciò che l'esecuzione del file comporta.



Confuso dai risultati, Wisniewski ha deciso di utilizzare malware reale, inserendo nel sistema di test alcune minacce ben note (la cui conoscenza risale a 6 o 12 mesi), malware per Mac, Linux e Windows, con l'intenzione di constatare se ci fosse effettivamente un anti-virus in Windows 8 e se questo fosse cross-platform come Microsoft afferma.



Il sistema di sicurezza di Windows 8 ha rilevato il 50% dei malware presenti nel sistema, registrando gli eventi ed informando l'utente della presenza delle minacce.

Il lato positivo è che il sistema di protezione di Windows 8 è stato in grado di rilevare minacce sia per Linux che per Mac (oltre, ovviamente, a quelle per la piattaforma Windows), ma è evidente che il suo algoritmo di scansione deve essere ancora sensibilmente migliorato, perchè allo stato attuale non consente di ottenere un sistema sicuro.



L'autore del test raccomanda, infatti, di utilizzare un anti-virus esterno su Windows 8, fintanto che Windows Defender non è in grado di assicurare una barriera decente contro le minacce esterne.

Jedi-78
03-10-2011, 18.55.48
Il 50%? Ma che risultato è? Ancora un po' e si è più sicuri a navigarne senza... nei test comparativi lo piazzerebbero come "Missing in Action", "non classificato" o "a cosa serve?"

borgata
03-10-2011, 19.24.18
Strano però, Microsoft ha MSE che è un prodotto valido, non era sufficiente integrare quello?

Alhazred
04-10-2011, 00.21.06
Il 50%? Ma che risultato è? Ancora un po' e si è più sicuri a navigarne senza... nei test comparativi lo piazzerebbero come "Missing in Action", "non classificato" o "a cosa serve?"
O magari direbbero semplicemente: "dato che si tratta di una beta, questo test lascia il tempo che trova, se ne riparla quando ci sarà una versione definitiva"

Jedi-78
04-10-2011, 13.28.16
O magari direbbero semplicemente: "dato che si tratta di una beta, questo test lascia il tempo che trova, se ne riparla quando ci sarà una versione definitiva"

No. Un 50% di fallimento può essere solo accettato da una PREALPHA ma nemmeno. Un antivirus in BETA è già comunque più sicuro (nessuno ha mai provato le BETA degli antivirus? Crashano, succhiano ogni bit di risorsa del pc magari... ma fanno il loro lavoro).

Da come si è comportato sembra un codice scritto da zero, perché come ha detto borgata, l'antivirus già ce l'hanno, e -pur non spiccando nella vetta della classifica- Microsoft MSE ha già un buon 85%... molto meglio del 50%

Alhazred
04-10-2011, 14.27.58
No. Un 50% di fallimento può essere solo accettato da una PREALPHA ma nemmeno. Un antivirus in BETA è già comunque più sicuro (nessuno ha mai provato le BETA degli antivirus? Crashano, succhiano ogni bit di risorsa del pc magari... ma fanno il loro lavoro).

Ma che discorso è? Non deve mica proteggere davvero un sistema, bisogna vedere se e quali problemi da durante l'uso. Hai preso in considerazione il fatto che non abbia un database di firme completo o aggiornato?
Dovrebbero spendere risorse dietro all'aggiornamento delle firme senza ancora sapere se il software funziona?
Io, come tutti gli sviluppatori, quando si fa un programma o un'applicazione che prevede l'uso di un database, non stiamo lì a popolare il database con tutti i dati reali che dovranno essere usati, se ne mettono un po' per provare le funzionalità, magari poi il database va cambiato e si è solo perso un mare di tempo senza motivo per riempire e tenere aggiornato il db.

Comunque se ne riparla sulla versione definitiva per quanto riguarda l'efficienza, per ora si può solo valutare se da problemi o no.