Quello che state per leggere è un mix tra analisi e recensione un po' atipico, di quelli che i più appassionati di Apple o gli utenti di lunga data preferirebbero non leggere. Se siete in queste due categorie e la parola "antivirus" può arrecare fastidio, chiudete la pagina. Non ci assumiamo la responsabilità di eventuali problemi di salute causati dalla lettura di questo articolo.

Fatta questa premessa semiseria, iniziamo con l'argomento vero e proprio. Flashback è un caso ancora alquanto fresco, e nonostante i fix di Apple non considerabile chiuso: le più recenti stime di Symantec riportano come il numero di Mac infetti sia sì sensibilmente diminuito, ma anche che ad oggi siano ancora 140.000 le macchine su cui il malware "opera". E Flashback ha già compagnia, nel frattempo: Sabpub ha meccanismi piuttosto simili, sia nel funzionamento che nelle vulnerabilità sfruttate, soprattutto nella versione di Java fornita da Apple. Più in generale, se fino a poco tempo fa l'attacco di un malware su Mac faceva notizia in particolare proprio per la rarità, ora la frequenza è maggiore e fa notizia per i problemi che causa ad Apple, la quale deve correre ai ripari, e agli utenti, i quali devono prestare attenzione in attesa degli aggiornamenti di sicurezza.

Un problema evitabile? Direi di no: ho sempre pensato che prima o poi si sarebbe avverato. La crescita piuttosto sostenuta dei Mac, trainati anche da iOS che spesso convince molti a fare il salto più grande, prima o poi avrebbe fatto davvero gola ai malintenzionati. Aggiungiamoci inoltre un fatto: almeno fino a Lion, gli sforzi profusi da Apple per mantenere al sicuro il sistema operativo non si può dire siano stati eccezionali. Solo dalla 10.7 il sistema operativo di Cupertino include caratteristiche quali l'ASLR (Address Space Layout Randomization), che rendono la vita più difficile al malware. L'uso delle sandbox, che tra qualche mese dovrebbe diventare obbligatorio per le applicazioni sul Mac App Store (previo ennesimo rinvio), e i miglioramenti fatti in Safari 5.1 hanno permesso di avere un buon aumento di sicurezza, tanto che i più accaniti critici a riguardo come Charlie Miller e Dino Dai Zovi, invitati anche da Apple stessa a collaborare durante lo sviluppo di Lion, sono rimasti piacevolmente sorpresi. Tuttavia, aver fatto grossi miglioramenti non significa aver completato il lavoro, e i bug sfruttati da Flashback l'hanno dimostrato. La risposta di Apple è stata lenta, la sicurezza è un settore dove non ci si può permettere troppo tempo per porre rimedio. Lo imparò Microsoft a sue spese tra il 2003 e il 2004, quando una nutrita mole di virus, tra cui Netsky, Sobig, Sasser e Blaster (di quest'ultimo purtroppo ho esperienza personale), mise letteralmente in ginocchio Windows XP sfruttando moltissimi bug lasciati allora aperti, costringendo l'azienda di Redmond a porre rimedio con il famoso Service Pack 2, che di fatto si è rivelato una seconda edizione di XP e ha rallentato lo sviluppo di Longhorn (non fu l'unica causa, naturalmente) al punto da costringere Ballmer e soci a ripartire da una nuova base per quello che poi sarebbe diventato Vista. E a proposito di Vista, la lezione di quegli anni servì a Microsoft proprio per effettuare un hardening generale del suo sistema: caratteristiche come l'ASLR citato poco fa erano già presenti allora in Windows e anche il tanto vituperato UAC, benché spesso decisamente sopra le righe, ha dato il suo buon contributo. Con tutto ciò cosa intendo dire? Che purtroppo, se non si è fatta una buona prevenzione o si è iniziato a farla tardi come nel caso di Apple, è solo ciò che non uccide a fortificare. Flashback potrebbe essere considerato il Sasser di OS X? Difficile dirlo, ma di certo è un segnale che indica all'azienda come sia bene darsi da fare. Questo assumendo sempre come assodato un saldo principio: il sistema operativo inviolabile non esiste, può solo essere reso il più difficile possibile da violare.

A parte il necessario impegno di Apple, cosa deve fare l'utente? Nel corso dei giorni più caldi della vicenda Flashback, non pochi si sono chiesti se valesse la pena considerare l'installazione di un antivirus/antimalware. Non sono una novità assoluta, su Mac, ma per molto tempo sono serviti perlopiù a rimuovere minacce per Windows soprattutto in contesti di reti miste Mac-PC. Ora stanno iniziando ad assumere un ruolo più specifico anche su OS X, e non sono pochi: considerando i soli antivirus gratuiti, nella mia ricerca ho contato Avira, ClamXav, Comodo, Intego, PC Tools, Sophos. Prendendo in considerazione anche quelli a pagamento, sono inclusi tutti i principali player che si ritrovano anche su Windows come Avast, AVG, McAfee, NOD32, Panda e Symantec. Per scelta personale, si è rimasti solo su soluzioni gratuite. Inizialmente ho provato la soluzione di Avira, ma l'ho trovata troppo esosa di risorse, ogni operazione sul Mac era decisamente rallentata. Così sono passato a provare Sophos Free Antivirus, oggetto della seconda parte di questo articolo.

Se a molti utenti casalinghi il nome Sophos dirà poco, a qualche lettore sistemista o che comunque lavora in una azienda che ne adotta le soluzioni, saprà già che l'azienda inglese ha una buona storia e una altrettanto buona fama riguardo le sue suite di sicurezza. Fino a poco tempo fa, però, non se ne parlava nemmeno minimamente di prodotti gratuiti. Il crescente interesse per Mac ha spinto la società a creare un antivirus pensato specificatamente per la piattaforma, gratis. Di solito la versione free è solo per Windows, mentre su OS X si paga: quello di Sophos è forse un caso più unico che raro in cui accade l'esatto contrario.

Una volta installato e aggiornate le definizioni, l'interfaccia che si presenta all'utente è quella che si può vedere sopra, molto semplice e pulita. Purtroppo il software è solo in inglese, ma è molto facile da utilizzare anche per chi mastica poco la lingua d'Albione ("Scan" e "Quarantine" non sono molto diversi dai nostri "Scansione" e "Quarantena", dunque ci si arriva anche ad intuito). Chiudendo la finestra, la presenza di Sophos viene segnalata sia da una icona nel Dock sia da un'altra che si va a collocare assieme alle altre icone di stato nella barra dei menu. Premendovi, appaiono le principali opzioni di gestione dell'antivirus:

Anche qui tutto molto semplice: abbiamo le opzioni relative all'aggiornamento, alla scansione dei dischi locali e la possibilità di accedere alle preferenze del software. Preferenze ridotte all'osso, in linea con l'impostazione del programma già descritta. Possiamo scegliere se effettuare le scansioni in archivi compressi, stabilire il comportamento che deve assumere in automatico l'antivirus se rileva una minaccia, disattivare temporaneamente la protezione in tempo reale e così via. Gli aggiornamenti avvengono una volta all'ora, secondo le impostazioni predefinite, una procedura molto silenziosa e quasi sempre rapida (solo in un caso l'aggiornamento delle definizioni ha richiesto un po' di tempo, ma trattasi comunque di una questione risolta in pochi minuti).

Per quanto riguarda il funzionamento in tempo reale, Sophos si dimostra piuttosto tranquillo: da Monitoraggio Attività i processi dedicati all'antivirus presentano un consumo di CPU dello 0,1-0,2% e di memoria quantificabile in poco meno di 30 MB (e non parliamo di un Mac campione di RAM installata, sono 2 GB, ormai oggi considerati appena sufficienti). Un ottimo lavoro, dunque, da questo punto di vista. Naturalmente, in fase di scansione manuale le cose cambiano, e in quel caso infatti il consiglio è sempre quello di lasciare l'antivirus effettuare le operazioni senza utilizzare il computer per altro. Non abbiamo opzioni per la scansione veloce o lenta, il pulsante è unico e da lì parte il tutto. In realtà, tramite la funzionalità Custom Scans abbiamo la possibilità di creare veri e propri profili di scansione che includano o escludano determinati elementi, tipi di file e/o unità disco. Parlando dei tempi di scansione, anche qui non c'è da aspettarsi nulla di straordinario: per qualsiasi antivirus sono alquanto lunghi, soprattutto se per strada il software trova archivi compressi o immagini ISO e DMG.

Qualora venissero trovate delle minacce, in base all'impostazione predefinita l'utente è informato della loro presenza e avrà il compito di decidere sull'azione da eseguire entrando nella Quarantena e sbloccando le opzioni con la password di sistema. Nel mio caso, fortunatamente, il sistema è risultato perfettamente pulito. Solo per completezza, anche se ormai pure il più scarso degli antivirus lo passa facilmente, è stato effettuato il famoso test EICAR: se non altro è un modo per verificare la "prontezza di riflessi" del prodotto, e Sophos non ha deluso, minaccia rilevata a download appena terminato ed eliminata con successo. Visti i ritmi di aggiornamento delle definizioni, nutro pochi dubbi sul fatto che avrebbe gli stessi risultati anche nella rilevazione di Flashback e Sabpub. Purtroppo non avevo un "campione" di vero malware per il test.

Alla luce di tutto, che giudizio si può dare a Sophos Free Antivirus? Posto che questa volutamente non è una recensione fatta con i classici criteri che usiamo su SaggiaMente, qualora lo collocassimo nella categoria software meriterebbe senza problemi 4 stelle. Si tratta di una soluzione snella e funzionale, in inglese ma tranquillamente utilizzabile da chiunque, più che adatta per un utente che vuole installarla e dimenticarsi della sua esistenza il più possibile. Ovviamente, la sua semplicità può anche essere un punto debole: i più smaliziati preferiranno rivolgersi altrove per avere un controllo maggiore sull'operato dell'antivirus. Detto ciò che si doveva dire su Sophos, è ora di rispondere alla fatidica domanda... Lo consiglio? La risposta che mi sento più di dare è "dipende". Benché il malware su Mac ha iniziato a far sentire di più la sua presenza, non è certo il momento di gridare all'emergenza, un utente che non ha difficoltà alcuna nell'uso del computer e presta la sufficiente attenzione e buonsenso può tranquillamente cavarsela senza (anche su Windows c'è chi non usa soluzioni di sicurezza e non riscontra alcun problema da anni). Detto ciò, però, un utente poco avvezzo oppure che se la cava bene ma preferisce avere un aiuto in più che possa sopperire ad eventuali disattenzioni troverà in software come quello di Sophos un ottimo aiuto, a un costo veramente contenuto in termini di risorse. Insomma, per farla breve: lascio la scelta al lettore, che deciderà una volta presi in considerazione tutti i fattori a favore e contro l'installazione di un antivirus o una qualsiasi suite di sicurezza.