E’ necessario installare un antivirus nei sistemi con Mac OS X? Annosa questione: Charlie Miller, noto per aver più volte mostrato alcuni exploit su Mac OS X pensa che, almeno per il momento, non ne valga la pena. Il numero di minacce esistenti e realmente pericolose è talmente basso in confronto ad altri sistemi operativi, che l’utilizzo di un applicativo antivirus è un di più del quale in molti possono tranquillamente fare a meno. Diverso è il discorso per le aziende (non solo per la sicurezza e la legge sulla privacy, ma anche perché è prevista l’imputabilità di chi, anche in modo involontario, crea danni tangibili) e per chi condivide/scambia file con utenti PC, in particolare con utenti Windows, questi ultimi da anni target preferito degli “untori”. Se, infatti, riceviamo via e-mail o leggiamo da un supporto un file contenente un virus per Windows e a nostra volta inviamo via e-mail o memorizziamo su qualche supporto il file in questione, a noi utenti Mac OS X non succede nulla, ma se il destinatario che riceve il nostro file è un utente di un PC Windows potrebbe avere l’impressione che siamo stati noi gli “untori”.
L’antivirus che abbiamo avuto modo di recensire, riconosce e blocca non solo i (per fortuna pochi) malware per Mac OS X esistenti, ma anche i tanti malware e virus per Windows che potrebbero essere contenuti in allegati e documenti vari che maneggiamo ogni giorno. Virus Barrier è anche in grado di esaminare eseguibili Linux, per il vecchio Mac OS Classic, shell script, script JavaScript, macro virus (virus che infettano documenti Word o Excel) e così via. L’applicazione è dunque utile anche per chi sfrutta software di virtualizzazione quali Parallels Desktop, VMware Fusion o il VirtualBox di Oracle: esaminando in anteprima (sul Mac) i file ricevuti, potremo passarli agli ambienti virtuali con relativa tranquillità avendo il sistema provveduto a scansionarli preventivamente (sperando che l’eventuale virus o malware non sia uno di quelli non ancora riconosciuti dal software).
Installazione e uso
Il pacchetto (acquistabile sia versione scaricabile dal web, sia in versione pacchettizzata) s’installa in modo molto semplice e veloce e consiste nel seguire pochi passaggi, riavviare il computer e inserire il numero di serie dell’applicazione (la licenza d’uso è valida un anno, al termine del quale è possibile eventualmente rinnovarla per un anno ancora o due anni). L’applicazione si presenta con un’interfaccia “ricca” e strabordante di pulsanti e opzioni che non è detto tutti apprezzeranno (ci piacerebbe in futuro avere la possibilità di rendere minimalista tutta l’interfaccia). Al primo avvio, dopo aver aggiornato il “motore” con le definizioni dei virus (“filtri” nel linguaggio di Intego) abbiamo provveduto a scansionare l’HD del nostro iMac di ultima generazione (CPU Core i5, 2.5GHz) usato per le prove: la scansione completa di un HD di 500GB ma con solo 94GB occupati da file di sistema e documenti vari ha richiesto più di otto ore. Sul disco di test avevamo volutamente copiato file “infetti” con virus per PC e un file con il noto scareware MAC Defender (un finto antivirus per Mac OS X) per comprendere se il programma, sarebbe stato in grado di individuarli. Tutti i virus e malware sono stati individuati, sia quelli presenti in documenti contenuti in alcune cartelle, sia quelli presenti in file compressi, allegati ad alcuni messaggi di posta elettronica. I tempi di scansione dell’intero sistema sono stati deludenti e notevolmente lenti (e per fortuna che erano occupati solo 94GB: quanto tempo avrebbe richiesto la scansione di un intero disco da 500GB o 1000GB con centinaia di migliaia di file?).
Tutto ciò premesso, bisogna ammettere che nonostante la nostra diffidenza iniziale verso questo tipo di applicazioni per Mac, il software si è mostrato completo sotto ogni punto di vista. La finestra principale del programma è suddivisa in varie sezioni. La prima è denominata “Quarantena”: in questa sezione verranno inseriti eventuali file infetti per i quali l’utente non ha ancora preso una decisione (tentare di ripararli o cancellarli). La sezione “File attendibili” permette di indicare file e cartelle “sicure”, da non controllate dagli scanner o dagli strumenti di analisi in tempo reale o su richiesta. In “Programmazione” è possibile impostare un gestore dal quale decidere il comportamento di VirusBarrier quanto un volume è montato nel sistema e attivare funzionalità di scheduling (scansioni programmate in determinati orari). Dalla sezione “Controlla impostazioni” è possibile decidere il comportamento dell’applicazione quando viene individuata una minaccia informatica: chiedere cosa fare, inviare un’e-mail, tentare la riparazione; da qui è possibile decidere quali archivi controllare (il software è in grado di individuare malware anche all’interno di file compressi di tutti i tipi) e impostare opzioni quali il controllo del volume Boot Camp, se controllare o no minacce per Windows, Linux, shell script, ecc. Interessante e utile anche la possibilità di includere nell’elenco delle minacce strumenti di hacking e keylogger (non veri e propri virus ma applicativi che potrebbero essere installati a nostra insaputa e con i quali, ad esempio, memorizzare tutto quanto digitiamo davanti al computer: password, numeri di carte di credito, ecc.).
La sezione Firewall
Il pulsante “Firewall” apre una schermata con due schede: Regole firewall e Cavallo di Troia; VirusBarrier, infatti, non si limita a proteggere il sistema dai malware ma include un firewall che s’integra con quello di serie in Mac OS X permettendo di impostare funzioni protettive tra due o più “tronconi” di rete, filtrando e applicando regole ai pacchetti in entrata o uscita. Dalla scheda “Cavallo di troia” è possibile bloccare i malware che tentano di sfruttare Internet o il network TCP/IP locale. Nel Firewall troviamo cinque impostazioni predefinite (se ne possono creare ad ogni modo altre) che coprono le situazioni che avvengono con il normale utilizzo del computer, ognuna accompagnata da un’animazione che illustra graficamente l’effetto dell’applicazione dell’impostazione. La schermata più vicina all’utente rappresenta il Mac; il globo rappresenta Internet; la schermata a metà strada tra i due rappresenta il limite del network locale. Le cinque impostazioni firewall disponibili per default sono: “Nessuna limitazione” (il firewall consente l’invio e la ricezione di tutti i dati di network in entrata e in uscita), “Nessun network” (il firewall impedisce il passaggio di qualsiasi dato da o verso il computer, inviato o ricevuto da Internet o dal network locale TCP/IP, opzione utile quando non si è al computer ma si desidera proteggerlo completamente), “Client e server locale” (il firewall consente al Mac di funzionare come client e server di network locale; il Mac può accedere a Internet come computer client e come client e server in un network locale), “Solo server” (il firewall consente al computer di funzionare solo come server: tutte le funzioni di client, inclusa la capacità di navigare in Internet, sono bloccate), “Solo client” (il Mac funziona solo come client su un network locale o su Internet; le funzioni di server e di condivisione file del Mac sono bloccate). Queste cinque impostazioni sono sufficienti per la maggior parte degli utenti. Se tuttavia si desidera maggiore controllo sull’accesso al computer (se, ad esempio, si sta giocando a un gioco on line e si desidera impedire tutte le comunicazioni eccetto quelle riguardanti il gioco) è possibile creare regole personalizzate passando alla modalità avanzata, scegliendo esattamente il tipo di traffico da consentire o bloccare, in entrata o in uscita.
Antiattacchi
La sezione denominata “antiattacchi” controlla tutti i dati in arrivo, filtrandoli per scoprire eventuali segni d’intrusione. Questa sezione è trasparente: se è rivelato un dato sospetto, è visualizzato un avviso. Nella sotto-sezione “Politica antiattacchi”, troviamo gli strumenti per la prevenzione di sei tipi d’intrusioni: “Attacchi di overflow del buffer” (attacchi che potrebbero verificarsi quando determinati software presentano imperfezioni nel modo in cui gestiscono la memoria, consentendo a malintenzionati di accedere al computer), ”Tentativi di intrusione” (prove di accesso mediante un numero predefinito di richieste di password errate in un dato periodo, con impostazioni personalizzabili per AppleShare IP, FTP, HTTP, IMAP, POP e SMTP), “Attacchi Ping” (il computer riceve un numero o una frequenza di attacchi ping così elevato che rispondere a tutti saturerebbe il Mac), “Attacchi Broadcast Ping” (richieste ping di diffusione di indirizzi, in cui un singolo ping è moltiplicato nel network locale), “Scansione porte” (tentativi da parte di sistemi remoti di cercare porte vulnerabili; è consigliabile non selezionare questa opzione qualora si utilizzi il computer come server), “Attacchi SYN” (richieste TCP multiple inviate da qualcuno che non completa l’ultima fase dello scambio, causando un consumo di risorse nel computer di destinazione). Facendo clic sull’opzione accanto a ciascun tipo, è possibile attiva o disattivare la protezione, visualizzare le politiche di notifica e scegliere le azioni da compiere per quel tipo d’intrusione. Il manuale (in italiano, come il software) è molto dettagliato e spiega dettagliatamente le possibili opzioni.
L’elenco “Indirizzi bloccati” garantisce che una volta che un tentativo di attacco o di intrusione è stato bloccato, la comunicazione tra la macchina che ha lanciato l’attacco e il Mac in uso non sarà possibile per un periodo di tempo determinabile dall’utente. La sezione “Indirizzi attendibili” è l’opposto dell’elenco Indirizzi bloccati: descrive i computer “amici”, autorizzati a collegarsi al nostro Mac; In poche parole, Indirizzi bloccati protegge dai nemici, l’elenco Indirizzi attendibili apre la porta agli amici. Questo strumento non blocca l’accesso ai computer elencati nell’elenco Indirizzi attendibili, né imposta alcun avviso riguardante le azioni eseguite; tuttavia, i computer dell’elenco Indirizzi attendibili saranno comunque soggetti alle regole firewall attive.
Filtri di navigazione per il web
VirusBarrier mette a disposizione alcuni strumenti per difendersi al phishing (minacce che hanno origine da siti camuffati per sembrare legittimi inducendo l’utente a inserire dati personali su siti web che in realtà sono contraffatti in modo da imirare quelli reali) e offre tre filtri per controllare le informazioni che il Mac invia e riceve mentre naviga su Internet. La “protezione anti-phishing” è in grado di bloccare alcuni siti pericolosi, proteggendo l’utente da questo tipo di truffa. E’ possibile aggiungere manualmente URL che si desidera considerare sempre attendibili, possibilità utile se determinati siti vengono erroneamente contrassegnati come siti di phishing. L’applicazione offre protezione anche da minacce che potrebbero essere presenti in siti web quali attacchi con script, download indesiderati, clickjacking, nonché da pagine web con codice JavaScript dannoso o applet Java pericolose (anche in questo caso è possibile aggiungere manualmente siti che si desidera sempre considerare attendibili). Altri filtri di navigazione che consentono di scegliere il tipo di informazione da inviare ai server web e di navigare senza visualizzare annunci, sono: il Filtro Banner (nasconde gli annunci pubblicitari sui siti Web visitati), il Filtro Cookie (impedisce al Mac di inviare informazioni traccianti a siti che seguono i movimenti degli utenti), il filtro Occultamento informazioni (nasconde determinate informazioni ai browser). I filtri di navigazione sono applicati a tutti i programmi che comunicano utilizzando il protocollo HTTP (i browser sono i programmi che utilizzano il protocollo HTTP più di frequente, ma lo fanno anche iTunes, i lettori di notizie RSS e a molti altri software). Nel filtro banner è possibile impostare un elenco di regole che l’applicazione utilizza per filtrare elementi indesiderati come i banner pubblicitari, consentendo di navigare più rapidamente e con meno distrazioni (VirusBarrier blocca gli annunci e li sostituisce con elementi grafici trasparenti). Il programma include un elenco interno di stringhe con banner da filtrare, ma è possibile aggiungere stringhe personalizzate e filtrare gli annunci pubblicitari incontrati navigando. Tutti i browser rispondono alle richieste di siti Web indicano la piattaforma utilizzata (Mac, Windows, Linux e cos’ via), il browser e la versione in uso. Queste informazioni consentono ad alcuni siti di fornire informazioni nella maniera migliore, ad esempio attivando specifiche funzioni secondo il browser e il sistema operativo in uso. Altri siti limitano l’accesso ad alcune piattaforme e browser. VirusBarrier X6 può nascondere le informazioni riguardanti il computer, consentendo in alcuni casi l’accesso laddove diversamente sarebbe stato negato.
La sezione “Privacy”
Gli strumenti di protezione della privacy di VirusBarrier X6 esaminano i pacchetti di dati (sia in entrata, sia in uscita), alla ricerca di tipi di dati specifici per la protezione della privacy. E’ possibile visualizzare e modificare varie impostazioni; sebbene la configurazione del firewall possa consentire l’accesso generale al network, nella sezione “Anti-spyware” è possibile affinare in che modo VirusBarrier deve agire quando applicazioni specifiche cercano di accedere al network. Il sistema è utile per impedire agli utenti di accedere al network con applicazioni specifiche: se un’applicazione cerca di collegarsi al network a insaputa dell’utente, VirusBarrier glielo impedisce, avvisando l’utente e aspettando che questo scelga se autorizzarla o bloccarla. Sul Mac sono presenti molte applicazioni che accedono a Internet o ad altri network, inclusi browser, programmi di posta elettronica, programmi FTP per la trasmissione di documenti e applicazioni di messaggistica istantanea; vi sono anche programmi che si collegano al network senza comunicarlo, magari per verificare il numero di serie del software installato e inviare dati personali senza il consenso dell’utente; queste applicazioni possono potenzialmente aprire una porta del computer fornendo a hacker e a malintenzionati l’accesso al sistema. VirusBarrier informa di questi tentativi e consente di decidere se autorizzarli.
Strumenti di monitoraggio
Il programma installa due icone nella barra dei menu: dalla prima è possibile richiamare il programma vero e proprio, verificare la presenza di aggiornamenti, modificare alcune impostazioni concernenti la privacy e la navigazione. La seconda icona consente di monitorare il traffico di rete. Antivirus a parte, infatti, l’applicazione è dotata di decine d’interessanti strumenti di monitoraggio: alcune duplicano funzioni in realtà già conosciute dai più esperti o utilizzabili richiamando da Terminale comandi di serie con Mac OS X, ma le versioni messe a disposizioni da VirusBarrier sono spesse riviste e corrette, rendendo il loro utilizzo facile anche ai meno esperti. Il resoconto network, ad esempio, visualizza tutte le attività del network osservate, nonché tutti i tentativi d’intrusione bloccati X6. È possibile applicare filtri secondo diversi criteri in modo da evidenziare elementi d’interesse. Nella modalità di visualizzazione per “esperti”, sono visualizzati eventi degni di nota, l’indirizzo IP (o dominio) che ha originato la necessità di registrare il dato, destinazione, protocollo (com’è stato realizzato il tentativo di connessione, a es. TCP, UDP, ICMP o IGMP), porta di origine, porta di destinazione, ecc. I dati possono essere esportati in diversi formati (HTML, testo, analitico, ecc.). Selezionando l’esportazione manuale verranno esportati i dati visualizzati; se, ad esempio, si è selezionato solo Firewall nel pannello Resoconto, verranno esportati solo i dati del firewall. È anche possibile esportare i dati automaticamente. Il formato “analitico” è un formato di testo senza separazioni con tabulazioni e con delle etichette davanti ad alcuni campi. VirusBarrier include numerosi strumenti che consentono di monitorare il traffico del network in entrata o in uscita dal Mac, di eseguire query e ricerche sugli indirizzi di network e di conoscere quali servizi e network sono disponibili per il proprio computer. Un insieme di elementi visivi indicano il tipo e la quantità di attività di network in entrata e in uscita dal Mac, sia via Internet, sia mediante network locali. La schermata “Traffico” mette a disposizione quattro modalità di visualizzazione, attivabili facendo clic sui pulsantini che si trovano nella parte superiore dello schermo. L’indicatore IN superiore, con valori mostrati per default in arancione, mostra la quantità di dati in entrata; l’indicatore OUT nella seconda riga, con valori mostrati per default in verde, mostra la quantità di dati in uscita. Il numero all’interno dell’indicatore corrisponde alla velocità attuale calcolata in kilobyte al secondo (k/s); il secondo numero fa riferimento al volume totale, solitamente in megabyte (MB) o gigabyte (GB).L’indicatore di tempo in fondo mostra il traffico rispetto al tempo, con le barre più a destra che rappresentano il tempo presente e quelle più a sinistra il tempo passato. Come sopra, i valori di color arancione mostrano il traffico in entrata e quelli verdi il traffico in uscita. Per default, l’indicatore di tempo registra l’attività dei 111 secondi passati. È possibile aumentare questo lasso di tempo allargando la finestra, facendo clic sul pulsante verde d’ingrandimento nell’angolo superiore sinistro, oppure facendo clic e trascinando l’angolo inferiore destro della finestra. Il tempo massimo è determinato dalle dimensioni dello schermo o dalla volontà di visualizzare solo una sezione per volta dell’indicatore di tempo. Se si pone il cursore sull’indicatore di tempo, viene visualizzata l’indicazione del volume medio attuale di dati, aggiornato ogni secondo. In ogni modalità è possibile scegliere il tipo di traffico da visualizzare: per default, i tipi di dati di attività controllati sono Web, FTP, Mail, iChat/AIM. Il quinto indicatore mostra il resto del traffico, mentre il sesto mostra il totale.
VirusBarrier Traffic Monitor
Nella cartella Applicazioni è installata anche un’applicazione chiamata “Traffic Monitor”: quest’applicazione visualizza una piccola finestra fluttuante che consente di controllare l’attività del network in qualsiasi momento, senza dover aprire il pannello degli indicatori di attività del programma; All’apertura del programma viene visualizzata una finestra con indicatori di attività nell’angolo in basso a destra della schermata. Per default l’applicazione mostra il traffico di network di tutti i servizi nel loro insieme. È possibile modificare il tipo di traffico visualizzato facendo clic su “Tutti” nella parte inferiore della finestra del programma e selezionando un servizio specifico dal menu a comparsa. Non manca la possibilità di caricare un widget per la dashboard di Mac OS X con il quale mostrare l’attività del network quando la dashboard è aperta. Non poteva mancare, infine, un salvaschermo ad hoc per fornire una vista d’insieme dell’attività di network del computer quando questo è inattivo. L’opzione è comoda in particolare se il Mac è utilizzato come server: il salvaschermo consente di avere una vista generale delle rispettive attività di network.
Conclusioni
Il programma, come avrete capito, non è un semplice antivirus: è molto di più. Gli strumenti a disposizione sono potenti, semplici e veramente completi. Le funzioni di monitoraggio della rete sono fatte molto bene e sono quelle che abbiamo apprezzato di più. Un plauso va anche alla traduzione italiana (è stato fatto un buon lavoro: un compito non facile per questo tipo di applicazioni) e al completo manuale che spiega in dettaglio ogni singola scelta disponibile. L’interfaccia, come abbiamo già detto, è un po’ “pomposa” (dal menu “Vista” è possibile scegliere la voce “Mini scanner” e visualizzare una mini-finestra) ci sarebbe piaciuto avere finestre meno ricche graficamente, più minimaliste; lo diciamo ad ogni modo tanto per fare qualche critica: il prodotto è valido e in alcuni ambienti potrebbe essere effettivamente utile. Il costo d’acquisto iniziale a nostro avviso dovrebbe essere minore (a onor del vero bisogna riconoscere che il programma può essere installato legalmente su due Mac); il rinnovo della licenza (utilizzabile su due computer, costa ad ogni modo 29.95 euro per un anno e 49.95 euro per due anni).
Nome: VirusBarrier X6
Produttore: Intego
Sito web: www.intego.com
Requisiti di sistema: Mac SO X 10.5 o superiore, 40MB spazio libero su disco
Prezzo: 59,00 euro + IVA (licenza utilizzabile su due Mac)
Pro
- In italiano e completo di documentazione ricca e dettagliata.
- Ottimi strumenti di monitoraggio/analisi e di semplice uso
Contro
- Mancano funzioni anti-spam per la posta elettronica (sono però incluse nella versione “Security Barrier X6” dell’applicativo).
- La scansione completa degli HD di grandi dimensioni richiede tempi eccessivamente lunghi- Il prezzo è un po’ alto, soprattutto in considerazione del fatto che dopo un anno bisogna rinnovare l’abbonamento.
[A cura di Mauro Notarianni]
