Due tra i più importanti progetti open-source per la sicurezza informatica ricevono aggiornamenti significativi. Wireshark 4.6 introduce una serie di novità mirate all’analisi avanzata del traffico di rete, mentre ClamAV 1.5 evolve il proprio antivirus engine con nuove capacità di verifica, firma e rilevamento. Entrambe le release rafforzano la posizione dei rispettivi strumenti nel panorama della cybersecurity moderna, rispondendo alle esigenze di analisti, amministratori e sviluppatori che operano in ambienti complessi.
Cosa leggere
Wireshark: novità tecniche e funzioni avanzate nella versione 4.6
La versione 4.6 di Wireshark, distribuita come major update, introduce innovazioni che migliorano la produttività e la precisione nelle analisi. Tra le principali novità figura il nuovo dialogo Plots, che permette la creazione di scatter plot multipli con marcatori interattivi e scrolling automatico, utile per la visualizzazione di pattern temporali e correlazioni tra flussi di rete. Wireshark ora supporta la compressione delle catture live durante la scrittura dei file, ottimizzando lo spazio di archiviazione, e consente la registrazione dei campi temporali in formato ISO 8601 UTC con l’opzione -T json. Importante anche la possibilità di decrittare pacchetti NTP tramite NTS e l’espansione della decrittazione MACsec, che ora accetta chiavi SAK provenienti dal dissector MKA o pre-shared key configurate. Sul fronte Linux, il tool introduce l’uso delle estensioni BPF per filtrare il traffico inbound e outbound, offrendo maggiore controllo sui capture filter. Inoltre, vengono applicate unità con prefissi SI per gli assi dei grafici TCP Stream, migliorando la leggibilità dei dati e aggiungendo un suffisso “Z” per i timestamp in UTC conformi allo standard ISO 8601. Wireshark 4.6 modifica anche la gestione dei campi EUI-64, ora interpretati come array di byte per semplificare il matching dei pacchetti, e consente la personalizzazione delle colonne con valori formattati a livello di dettaglio pacchetto. Nei dialoghi Conversations ed Endpoints, vengono introdotti i conteggi di byte e bit rate esatti, oltre al supporto per protocolli industriali come DNP3. Sul piano dell’interfaccia, Wireshark aggiunge l’opzione “Edit → Copy as HTML”, utile per esportare testo allineato nei report, e la funzione “View → Redissect Packets”, che consente di rieseguire manualmente la dissezione dei pacchetti. Importanti le modifiche strutturali: eliminato il supporto a AirPcap e WinPcap, abbandonate le versioni 1 e 2 di libnl, e introdotta la compatibilità con nuovi formati come RIFF e TTL File Format.
Supporto protocolli e decodifiche estese
Wireshark 4.6 amplia il proprio ecosistema con una lunga lista di protocolli aggiunti o aggiornati, tra cui Binary HTTP, BPSec COSE, vSomeIP, NTS-KE, Roughtime, DLMS/COSEM, DECT NR+, SGP.22 e SGP.32, oltre a nuove integrazioni nel campo Bluetooth HCI (Android e Intel), CoLA (ASCII e Binary) e USB Picture Transfer Protocol (USB-PTP). Il supporto a MPEG-2 Transport Stream (PID) consente di seguire flussi multimediali complessi, mentre l’introduzione della Follow Stream per MPEG-2 e del tracking HTTP/2 opzionale su reti 5G conferma l’attenzione del progetto verso l’evoluzione delle comunicazioni mobili e dei servizi over-the-air.
ClamAV 1.5: sicurezza e integrità dei database antivirus
La release ClamAV 1.5 rappresenta una svolta per l’engine antivirus open-source di riferimento, introducendo funzioni pensate per migliorare l’affidabilità, la conformità FIPS e la sicurezza della catena di aggiornamento. La nuova versione introduce la firma e verifica dei database CVD tramite file .sign esterni, abilitando un meccanismo di verifica crittografica più robusto per il download delle definizioni. È ora possibile specificare directory alternative per i certificati CVD, mentre Freshclam scarica automaticamente i file di firma e patch incrementali .cdiff, garantendo la coerenza dei database. ClamAV aggiunge inoltre il supporto ai documenti OLE2 cifrati, migliorando il rilevamento dei file Microsoft Office protetti, e implementa regex avanzati per la direttiva OnAccessExcludePath in clamd.conf, consentendo configurazioni più granulari per le esclusioni di scansione. La versione 1.5 introduce anche una modalità FIPS-like che disabilita gli algoritmi deprecati MD5 e SHA-1 in favore di SHA-256, ora utilizzato per la cache dei file puliti. Questa scelta rafforza la conformità con gli standard di sicurezza enterprise e riduce il rischio di collisioni crittografiche. Tra le altre migliorie spiccano: l’opzione per disabilitare comandi amministrativi specifici; la precisione aumentata nei contatori di byte scansionati; nuove funzioni di scansione CLI per hash e tipi di file; una migliore estrazione di archivi ZIP corrotti; il riconoscimento dei file di modelli AI; e la compatibilità con sistemi Solaris, GNU/Hurd e NCurses tramite link dinamico a libtinfo.
Innovazioni per la sicurezza e l’integrazione AI
Particolarmente rilevante è la capacità di ClamAV 1.5 di riconoscere formati file associati a modelli di intelligenza artificiale, segnale di un’evoluzione verso la protezione di ambienti che integrano AI e machine learning. Questa funzione mira a intercettare dataset o modelli potenzialmente manipolati che possono essere veicolo di codice malevolo o exploit embedded. Gli sviluppatori hanno inoltre migliorato la gestione dei metadati JSON e la possibilità di disabilitare la registrazione automatica degli URI in file HTML e PDF, riducendo i rischi di esposizione di informazioni sensibili.
Compatibilità e distribuzione
Entrambi i progetti restano completamente open-source e disponibili su più piattaforme. Wireshark 4.6 può essere scaricato come tarball sorgente o pacchetto Flatpak da Flathub, mentre ClamAV 1.5 è disponibile tramite tarball, pacchetti DEB/RPM e repository ufficiali su GitHub. Questi aggiornamenti consolidano il ruolo di Wireshark e ClamAV come strumenti essenziali per la diagnostica di rete e la protezione endpoint, offrendo nuove garanzie di sicurezza e interoperabilità nel panorama open-source.
