Per anni l’antivirus ha funzionato come un buttafuori con in mano un faldone di foto segnaletiche. File sospetto? Confronto con l’archivio delle minacce conosciute. Se combaciava, fuori dalla porta. Se non combaciava, il malintenzionato entrava tranquillo magari con occhiali scuri e baffi finti. Quel modello oggi non basta più, e il motivo è semplice: i malware cambiano forma troppo in fretta perché un database di firme riesca a stargli dietro.
La rivoluzione vera sta nel fatto che il software di sicurezza non controlla più soltanto i nomi all’ingresso, ma osserva come si comportano i programmi. Le piattaforme moderne si appoggiano sempre più a machine learning, analisi comportamentale e monitoraggio in tempo reale per fiutare attività sospette ancora prima che una minaccia venga classificata del tutto. Tradotto: invece di riconoscere il pericolo solo dopo che si è manifestato, un buon antivirus prova a intercettare i movimenti strani prima che il danno si propaghi nel sistema.
Dalle firme al comportamento sospetto
Fin dagli albori dei personal computer la logica era sempre la stessa. Le aziende studiavano i virus, ne ricavavano una firma unica e la distribuivano agli utenti. Il sistema reggeva finché i database restavano aggiornati abbastanza in fretta. Ma chi scrive codice malevolo lo tratta come un bersaglio mobile. Esistono i malware polimorfici, che cambiano pezzi del proprio codice a ogni diffusione, e quelli metamorfici, che si riscrivono da soli così ogni versione sembra diversa dalla precedente. Poi ci sono gli attacchi zero-day, che colpiscono falle appena scoperte prima che chiunque abbia avuto il tempo di creare una protezione.
Il problema è la velocità. I criminali sfornano varianti infinite molto più in fretta di quanto i ricercatori riescano ad analizzarle a mano. Ecco perché l’attenzione si è spostata sul comportamento. Un programma sta cifrando file senza una ragione chiara? Sta frugando nella memoria protetta o contattando server strani alle tre di notte? Alcuni strumenti monitorano in tempo reale le chiamate API, gli accessi alla memoria, l’attività di cifratura e il traffico di rete. Qui entra in gioco la rilevazione delle anomalie: il software costruisce un’idea di cosa sia “normale” su un sistema e fa scattare l’allarme quando qualcosa esce dalle righe. Il ransomware è l’esempio perfetto, perché spesso si diffonde troppo in fretta per le firme tradizionali, mentre l’analisi del comportamento ne riconosce lo schema e lo blocca prima che tutto diventi una poltiglia cifrata.
Quando l’intelligenza artificiale gioca su due fronti
I modelli di machine learning vengono addestrati su enormi raccolte di file maligni e legittimi, imparando col tempo quali combinazioni di comportamenti puzzano e quali no. Una volta addestrato, il sistema assegna un punteggio di rischio o smista i file in categorie come sicuri, potenzialmente indesiderati o pericolosi. Aziende come Microsoft, CrowdStrike e SentinelOne usano approcci diversi, con alberi decisionali, support vector machine e reti neurali, ma l’obiettivo è identico: ridurre i malware che passano solo perché nessuno li aveva mai visti. C’è anche il sandboxing, dove un file sospetto viene aperto in un ambiente isolato e osservato prima che tocchi il sistema vero.
Il lato scomodo è che le stesse tecniche aiutano anche gli aggressori. Si sono già visti esperimenti di malware costruiti apposta per confondere i modelli di intelligenza artificiale, e il timore a lungo termine è quello di software capaci di adattarsi al volo all’ambiente in cui finiscono. Roba ancora quasi tutta da laboratorio, ma la direzione sembra quella. Nel frattempo l’antivirus basato su AI resta tutt’altro che perfetto, tra falsi positivi e una raccolta di dati di telemetria che fa storcere il naso a chi tiene alla privacy.
Per la maggior parte delle persone le protezioni integrate in Windows e MacOS, cioè Microsoft Defender e XProtect di Apple, bastano per la difesa di base, visto che i test di laboratorio mostrano ormai tassi di rilevamento solidi. Un livello aggiuntivo di terze parti può comunque servire, spesso con extra come controllo parentale, monitoraggio dell’identità, VPN e gestori di password. Meglio diffidare però del software gratuito troppo aggressivo nella raccolta dati o nell’upselling. Il guaio più grosso è un altro: gli attacchi moderni puntano alle persone più che ai dispositivi. Phishing, credenziali rubate, pagine di login false e ingegneria sociale aggirano l’antivirus perché tecnicamente sulla macchina non arriva nulla di malevolo. Servono buone abitudini, come usare le passkey quando disponibili, tenere il software aggiornato e perfino congelare il proprio credito per ridurre il rischio di furto d’identità.