La cura regolare è fondamentale per i denti, per la barba e sì, anche per il computer e l’antivirus. Cresciamo con la frequenza di alcune attività abituali ben radicata nel cervello: lavarsi i denti dopo ogni pasto, farsi la doccia tutti i giorni e tagliarsi le unghie quando necessario.
Ma nella vita online le attività di routine sono meno definite: scansionare regolarmente il dispositivo con l’antivirus in cerca di malware o installare le patch e gli aggiornamenti corrispondenti il prima possibile. Le linee guida non chiariscono a cosa corrisponda il concetto di “regolarmente” in termini di frequenza.
Passare in rassegna i “tesori” in quarantena
Mentre davo un’occhiata all’antivirus del computer di mio figlio ho scoperto la bellezza di un centinaio di campioni di malware e PUA al sicuro in quarantena. E questo prima di iniziare la scansione del sistema. Allora mi sono chiesto se non stessi trascurando qualche aspetto importante nelle impostazioni di sicurezza generali del suo computer.
Non è la dimensione che conta, ma la frequenza
Ho girato agli esperti di Avira la domanda “Con quale frequenza dovrei scansionare il PC con l’antivirus?” seguita dal seguente quesito qualitativo: “Ma se un antivirus è buono, perché devo eseguire anche la scansione?”
La risposta non si è fatta attendere. “L’esecuzione di scansioni regolari è sempre consigliata. L’ideale sarebbe eseguirne una a settimana”, afferma Fabian Sanz, ricercatore di sicurezza di Avira. “Infatti in tutte le versioni Avira è prevista una scansione a settimana per impostazione predefinita.”
Minacce a livello zero-day
La scansione regolare si fonda su una logica ferrea. Come spiega Fabian, il malware potrebbe essere stato scaricato ma non eseguito. Se si tratta di un nuovo tipo di malware mai incontrato prima, non esiste ancora alcuno schema di rilevamento e il file rimane nel sistema. È uno scenario piuttosto raro, ma possibile. Alcune ore più tardi arriva un aggiornamento VDF contenente lo schema di rilevamento per tale file, appena creato.
“Se il malware non è attivo, ossia non è mai stato eseguito, rimane nel sistema, perché la protezione in tempo reale reagisce solo all’esecuzione del file, ad esempio quando il file viene spostato in un’altra cartella o copiato”, spiega. “Potremmo affermare che viene visto solo se si muove. La scansione del sistema, invece, lo individua ugualmente perché analizza direttamente ciascun file”.
Sicurezza per impostazione predefinita
Ora lo sappiamo: una volta a settimana! Ed è anche l’impostazione predefinita. Non resta che accertarsi di non lavorare sul computer mentre si è connessi come amministratore e di aver aggiornato tutte le patch. Se solo il resto della vita fosse così semplice…