giovedì 23 febbraio 2017

Antivirus per linux

Sono passati quasi 4 anni dall'ultima volta che ho provato dei programmi antivirus per linux, è ho deciso di darci nuovamente un'occhiata.
Resta sempre il presupposto di allora, per quanto mi riguarda, e cioè che in linux non c'è grande bisogno di un antivirus anche perchè fino ad oggi mi pare che di virus per linux ce ne siano ben pochi.
C'è da dire che negli ultimi anni i virus hanno cambiato "aspetto" e si sono diffusi molto i ransomware come il tristemente famoso CryptoLocker che vanno a criptare i file del proprio PC rendendoli inutilizzabili. In teoria credo che ciò potrebbe essere fatto anche su linux, con un virus adhoc, in quanto anche se si limita a criptare i documenti dell'utente, quindi senza rendere inutilizzabile il PC, ma una volta persi documenti importanti, di cui dovrebbe esserci sempre una copia, il danno basta e avanza.
Ma al di la di queste mie ipotesi, se il ns. PC linux è in una rete con altri computer Windows e magari fa pure da server SAMBA per la condivisione dei dati, oppure fa da downloader per file torrent, ecco che un antivirus che funzioni direttamente sul lato linux può essere anche utile.

Ho effettuato le prove con un paio di distribuzioni linux, Debian sia Jessie che Stretch, Centos 7 e Fedora 25, quest'ultima l'unica a 32 bit.
Per testare gli antivirus ho scaricato alcuni file di test da qui e alcuni keygen che ho, non che usi software piratato per l'amor del cielo ......


Il primo testato è il più famoso, e forse l'unico, antivirus opensource e disponibile con qualsiasi distribuzione linux. Testato su Fedora 25 si è comportato bene rilevando i file infetti senza però segnalare nulla in merito ai keygen. Questo programma è solo a linea di comando quindi va bene per essere usato all'interno di script, quindi anche in crontab. Su Fedora esiste anche un pacchetto clamtk per avere un'interfaccia grafica, ma è talmente spartana e poco funzionale che è meglio lasciarla perdere. Dico solo una cosa in fase di selezione della cartella da scansionare il programma non da la possibilità di eseguire una scansione ricorsiva delle eventuali sottodirectory e non lo fa nemmeno di default, quindi, a non saperlo, uno magari pensa anche di aver scansionato tutta la cartella e invece il programma si è limitato solo ai file in essa contenuti. Esiste anche un'interfaccia per KDE, che non ho testato, mi auguro sia più funzionale.
Questo antivirus non prevede la scansione realtime, che come vedremo in linux è praticamente inesistente.


Questo antivirus lo avevo testato anche la volta precedente, è ancora in circolazione ed è disponibile in formato DEB e RPM sia a 32 che a 64 bit. E' gratuito e ha una bella, questione di gusti, interfaccia grafica ma anche i tools da linea di comando, quindi utile sia per l'automazione di lavori via script che per l'utente desktop. Il programma una volta installato segnala subito di procedere con l'aggiornamento del database delle firme, e segnala anche di fare una scansione completa del sistema.
Sarebbe, a mio avviso, da 10 e lode se non fosse per un fastidioso problema, e cioè questo programma prevede la scansione realtime attraverso il modulo del kernel redirfs. Peccato che i sorgenti da compilare forniti con il pacchetto siano vecchi e funzioni solo con i kernel 2.6, da qui è possibile scaricare delle versioni aggiornate che mi hanno permesso di compilare il modulo su Jessie, che usa un kernel 3.16 .... ma con il kernel 4.9 di Fedora non vanno già più bene.
Ora la scansione realtime è quella che ti segnala che un file è infetto nel momento in cui lo scarichi sul PC o accedi ad una chiavetta USB dove è presente un file infetto .... quindi senza dover fare una scansione manuale.
Ma se anche non funziona non è proprio una tragedia, ma allora visto che il driver non è più mantenuto/aggiornato non è meglio togliere questa opzione ... o almeno disabilitarla in modo da non vedere ogni volta la segnalazione di errore che indica che il modulo redirfs non è stato caricato. 
Ripeto è proprio un'inezia secondo me, ma mi da l'impressione di poca cura verso un prodotto che, anche se gratuito, meriterebbe un pò di più attenzione.
Detto questo la scansione rileva in maniera efficace i virus di test e segnala anche i keygen come minacce, anche se in realtà si tratta di falsi positivi.


Questo antivirus mi ha deluso lasciandomi perplesso riguardo al reale interesse che l'azienda produttrice possa avere su questo prodotto, perchè dico questo, semplicemente perchè terminata l'installazione il programma non funziona.
Dopo aver aggiornato le definizioni del database dei virus un qualsiasi tentativo di scansione riporta un laconico messaggio che indica che il "motore non è stato caricato" o "engines not loaded" in versione inglese.
Sul loro forum c'è un post del 2011 che discute di questo problema, con una serie di comandi che dovrebbe risolverlo.
Sfortunatamente quelle istruzioni non risolvono il problema sui sistemi che usano RPM, io su Centos 7 a 64 bit e Fedora 25 a 32 bit con quelle istruzioni non ho risolto nulla .... su Debian Stretch a 64 bit invece hanno funzionato.
Onestamente mi domando come sia possibile che un problema già noto nel 2011 si ripresenti e non si risolva nel 2017 ..... ecco perchè dubito che ci sia un reale interesse verso questo prodotto. Ed è un peccato perchè sarebbe disponibile sia a 32 che a 64 bit, sia in formato DEB che RPM, ha sia l'interfaccia grafica che quella a linea di comando, quindi in grado di coprire le diverse esigenze degli utenti. Inoltre, su Debian Strecth, dopo aver risolto la scansione si comporta bene rilevando i file infetti e anche i keygen. 

SOPHOS

Dopo aver scaricato il file in formato tgz e averlo scompattato andrà eseguito il classico script di installazione, install.sh, che procederà a farci alcune domande per poi installare il programma con le definzioni aggiornate.
In fase di installazione possiamo abilitare la scansione realtime, on-access scanning come la chiama lui.
La scansione avviene solo da linea di comando in quanto anche questo antivirus non prevede interfaccia grafica, i risultati sono in linea con gli altri antivirus, anche questo non rileva nulla sui keygen.
La scansione on-access funziona a dovere intercettando al volo e segnalando i file infetti.
Un neo è che la cartella del programma, creata per default sotto /opt è accessibile solo all'utente root per cui bisogna usare sudo anche solo per vederne il contenuto, e quindi capire quali comandi sono disponibili.

F-PROT

L'installazione non è proprio per l'utente medio, il file è fornito in formato tar.gz e va scompattato, poi da bravi bambini bisogna leggere il file README e seguire le istruzioni, un paio di comandi da eseguire da shell per lanciare poi lo script di installazione vero e proprio.
Lo script di installazione al termine chiede se si vuole venga modificato il crontab per l'aggiornamento automatico, poi per l'uso del software ci sono solo due comandi, da shell, fpscan e fpupdate .... lascio a voi immaginare cosa facciano ;-)
Le prove di scansione hanno dato esito positivo evidenziando i file infetti usati per il test, anche in questo caso nessuna segnalazione per i keygen.
Sicuramente un buon antivirus per gli utenti che non hanno problemi a muoversi nella shell ma la mancanza di un'installazione standard, basata su pacchetti DEB o RPM o un installer grafico dedicato e di una gestione grafica dell'antivirus non lo rendono adatto ad un uso desktop, che magari non è nemmeno stato preso in considerazione.

ESET NOD32

Questo antivirus può essere scaricato e usato in modalità trial, e poi va eventualmente acquistato perchè non esiste una versione gratuita.
L'installazione è semplice ed avviene in modalità grafica, al termine va riavviato il PC, fa tutto da solo se glielo lasciate fare, al primo avvio viene chiesta la propria mail per attivare la licenza di prova.
Senza la licenza di prova non sarà possibile aggiornare il database delle firme ma il software risulta funzionante quindi lo si può testare fin da subito.
Anche questo programma prevede la possibilità di essere eseguito sia da linea di comando che dalla propria interfaccia GUI, che risulta semplice ed efficace. La scansione ha rilevato i file di test dei virus ma non ha segnalato anomalie sui keygen, il software prevede la scansione in realtime, che può essere anche disabilitata se dovesse impattare negativamente sulle performance del PC. Scaricando da internet alcuni file infetti questi sono stati subito intercettati ed eliminati.
Il programma si avvia in automatico ed è visibile e richiamabile dall'icona nella taskbar.
Una nota per quanto riguarda la licenza di prova, dopo aver impostato la mia mail in fase di installazione non ho ricevuto nulla nelle ore successive quindi ho trovato questa pagina da dove ho scaricato una username/password per avere i 30 giorni di prova e quindi procedere con l'aggiornamento delle firme.

Aggiornamento del 24 febbraio 2017.

L'interfaccia grafica del programma non si avvia più ... anche eseguendo il comando manualmente questo si blocca senza nessun messaggio di errore, il problema sembra essere nel "demone" esets_daemon che riporta sempre il messaggio :
error[24210000]: Impossibile inizializzare scanner: Module init
Nessuna notizia in rete, o meglio una sola che non mi ha aiutato, probabilmente una volta disinstallato il programma e poi reinstallato il problema si sistema ..... ma mi sono limitato solo alla rimozione del software.

A conclusione di questa mia breve, e sicuramente insufficiente, panoramica devo dire che per gli utenti che hanno una certa familiarità con la shell le possibilità non mancano e quindi la possibilità di usare i comandi di scansione o manualmente o in script, o in crontab possono servire per aumentare il controllo in ambienti dove ci siano altri PC Windows e risorse condivise. A livello di utenza desktop mi pare che le cose non vadano proprio bene, a meno di non spendere qualche decina di euro e acquistare ESET NOD32 che rispetto ai due diretti concorrenti, COMODO e BitDefender, si installa in maniera molto semplice e senza nessun problema.

Diciamo che al momento, come utenti linux, possiamo ancora vivere tranquillamente senza un antivirus .... poi se abbiamo PC Windows in casa e questi dovessero venire brutalmente distrutti da un virus .... beh forse non tutti i mali vengono per nuocere.
 

 

Nessun commento:

Posta un commento