- Una guida amatoriale alla protezione. -
- Versione 1.0 di Booga @ http://www.obiettivopsicologia.it/forum/ -
--- Dedicata a Trilly Tinkerbell Campanellino.
"E di notte, di notte... ci va di camminar." <<Baol>> - Stefano Benni
0 - Preambolo
Prima di leggere e/o utilizzare questa guida, leggere attentamente il disclaimer posto in fondo ad essa; procedendo nella lettura accettate implicitamente tutto quanto è in esso scritto.
1 - Introduzione
Chi non ha mai sentito parlare di spyware, trojan, virus e co.?
Chi non ha mai sentito parlare delle falle di protezione nei sistemi Windows?
Siete sicuri che nessuno, mentre navigate su Internet o chattate su reti IRC, attenti alla sicurezza del vostro pc?
Se sapete di cosa sto parlando (almeno per sentito dire) e pensate che forse sarebbe il caso di "blindare" il vostro computer, questa guida fa al caso vostro.
2 - Da dove cominciare
Proteggere un sistema che pullula di virus, trojan ecc. sarebbe come chiudere la stalla una volta fuggiti i buoi, perciò come prima cosa è bene dare una bella ripulita.
--- 2a - Caccia ai trojan
Scarichiamo The Cleaner e installiamolo, facciamo l'update delle definizioni di ricerca, configuriamo il tutto per avere la scansione più approfondita possibile e lanciamola. Una volta rimossi gli eventuali trojan presenti, chiudiamo il programma e passiamo alla prossima fase.
--- 2b - Caccia agli spyware
Scarichiamo AdAware SE e/o SpyBot Search & Destroy, installiamolo/li, aggiorniamo le definizioni tramite il solito update online, configuriamo i criteri di ricerca di modo da avere la scansione più accurata possibile e avviamola. Fatto ciò, passiamo alla terza fase della nostra opera di pulizia.
--- 2c - Caccia al virus
Non tutti hanno la voglia o la possibilità di acquistare un antivirus a pagamento, perciò abbiamo due scelte possibili:
Effettuare una scansione del nostro pc tramite un servizio gratuito online (usare Internet Explorer in questo caso è un male necessario): Trend Micro ; Panda Antivirus.
Scaricare e istallare sul nostro sistema un antivirus gratuito: Avast; AntiVir PE.
In base alla scelta che abbiamo effettuato, seguiamo le istruzioni del caso, in caso avessimo deciso di installare un antivirus residente, è fondamentale aggiornarne le definizioni di ricerca tramite il relativo update.
Come al solito, scegliamo la scansione più approfondita possibile e avviamola, attendiamo che l'antivirus abbia terminato il lavoro, sbarazziamoci degli eventuali virus e passiamo alla parte centrale del nostro lavoro.
3 - Impedire ogni intrusione
Accettato il principio per cui la rete è popolata anche da utenti malintenzionati e potenzialmente dannosi nei nostri confronti, armiamoci di buona volontà e pazienza per impedire loro di nuocerci.
Per ottenere il nostro scopo, dobbiamo procurarci un Firewall, ovvero un programma che ci permetta di creare delle regole tramite cui permettere o negare l'accesso al nostro computer.
Ad esempio, poniamo per ipotesi di voler permettere il traffico di dati in entrata e uscita solo al browser, al programma di posta e a quello usato per chattare, e di voler negare ogni altro tipo di traffico... come facciamo?
--- 3a - Scarichiamo Kerio Personal Firewall o Sygate Personal Firewall e installiamo.
Se la nostra scelta fosse caduta su Kerio, durante l'installazione scegliamo di usare il programma in modalità "Advanced: Learning Mode", cosicché il programma ci chieda cosa fare anziché applicare arbitrariamente delle regole di cui nulla sappiamo.
Sygate fa questo di default.
Una volta installato il firewall, ci verrà chiesto di riavviare il computer di modo da permetterne la protezione fin dal suo avvio, rispondiamo di sì e attendiamo il riavvio della macchina.
--- 3b - ora che abbiamo il nostro bravo (gratuito) firewall installato, abbiamo quasi terminato il nostro lavoro.
Ci restano solo poche altre cose da fare, procediamo quindi per ordine...
...ma siamo davvero protetti? Verifichiamolo!
Lanciamo la connessione a Internet, Kerio ci avviserà del tentativo di connessione in corso, barriamo la casella "Ricorda la scelta e non chiedermelo in futuro" e premiamo il pulsante "sì/ok", successivamente ci informerà del fatto che la connessione risulta essere nuova, chiedendoci se essa è destinata ad un'area protetta/sicura. Internet non è un'area sicura, quindi daremo risposta in tal senso permettendo al programma di gestire la nostra connessione nel modo appropriato.
Sygate pressapoco ci chiederà le stesse cose.
--- 3c - Che cavolo sono quei "generic processes", "svchost", e compagnia bella?
Questa è la domanda che ogni utente di Windows XP si pone immediatamente dopo avere completato quanto descritto al punto 3b.
Il firewall ci dirà che tramite quei famigerati servizi/file exe/dll il nostro computer tenta di contattare o viene contattato da chissà chi; ci viene chiesto se permettere tale/i comunicazione/i.
La risposta nessuno la conosce, o meglio, si sa che sono servizi di Windows che per qualche ragione sconosciuta cercano di comunicare con qualche computer remoto (quello di Bill Gates?).
Ebbene sì, la nostra guerra contro le intrusioni comincia proprio contro gli stessi fornitori del nostro sistema operativo.
Clicchiamo la tanto cara casellina "ricorda e non chiedere in futuro" e premiamo il bottone "no/nega". ***
Il concetto principale che utilizzo per permettere o negare le comunicazioni è: "E' un programma che sto usando io, o che ha a che fare con qualcosa che sto facendo io?" Se la risposta è "no", molto probabilmente la connessione rilevata è un tentativo di intrusione. In caso contrario, posso sempre tornare sui miei passi.
--- 3d - Verifichiamo la nostra protezione
Apriamo il nostro browser, digitiamo l'url
http://scan.sygatetech.com/
e rechiamoci colà tramite il tasto "Invio" o il pulsante "Vai/Go"
Immediatamente il firewall ci avvertirà del tentativo di connessione da parte del browser al tale sito, barriamo la solita casellina "ricorda" e permettiamo l'operazione tramite il tasto "Sì/Yes".
Approderemo alla pagina sopracitata, dalla quale potremo avviare tutti i test necessari al nostro proposito.
Armiamoci di tanta pazienza e affrontiamoli uno ad uno, negando tramite il firewall ogni intrusione tentata dalla pagina di test (il firewall blocca il 98% dei tentativi dei test da solo, ma in alcuni casi è necessario da parte nostra fare il noto "ricorda e nega").
Il test più lungo in assoluto sarà quello sulle porte TCP, dalla 1 alla 1024 verranno attaccate, aspettare 20 minuti sarà palloso, ma in fondo questa serie di test dobbiamo farla una volta sola per tutte, quindi sacrifichiamoci e armiamoci di the e biscotti (o birra e tramezzini) per affrontare l'attesa.
Terminato ogni test avremo un rapporto che ci dirà se avremo passato o meno la prova.
Eseguiti tutti i test e ottenuto l'ok per ognuno di essi possiamo gioire: il nostro pc è quasi blindato.
--- 3dbis - volendolo, possiamo verificare la nostra protezione con altri test, sempre resi diponibili online gratuitamente. Questi sono:
PC Flank
Ottimo per verificare sia la protezione che la configurazione del nostro browser (maledetti cookies!)
Shields Up!
Altra serie di validi test.
4 - Ottimizzare la protezione su misura
Abbiamo verificato che il firewall ci protegge ottimamente, ora dobbiamo far sì che si adatti alle nostre esigenze in modo da non essere subissati dalle sue finestre di dialogo ogni 5 secondi.
Ogni qual volta un programma presente sul nostro computer tenti di connettersi alla rete, il firewall ci chiederà se permetterglielo o meno.
Ripensiamo all'esempio fatto in partenza, in cui la nostra necessità ipotetica era di permettere l'uso della rete solo a tre cose: browser, posta e chat.
Ebbene, non ci resta altro da fare che avviare ogni altro programma che vogliamo far accedere alla rete e chiedergli di connettersi. Per ciascun programma il firewall ci avviserà del tentativo di connessione in corso, e noi risponderemo "ricorda e permetti".
Verranno create le regole per ogni programma, cosicchè il firewall non ci chiederà più nulla ogni qual volta in cui useremo il browser, il client email, il programma irc o l'aggiornamento online dell'antivirus, o qualunque altra cosa noi si decida di far connettere alla rete.
E TUTTO IL RESTO?
Per quanto riguarda Kerio, alla voce "Rete", "Applicazioni", abbiamo una riga che dice "tutte le altre applicazioni" seguita da una serie di punti interrogativi.
Ciò sta a significare che il programma ci chiederà il da farsi per il resto delle situazioni possibili.
Se siamo sicuri di non desiderare che altri programmi utilizzino internet, possiamo cliccare su ciascun punto interrogativo fino a trasformarlo in una X rossa (nega).
In questo modo, il firewall permetterà solo le comunicazioni che abbiamo impostato, negando tutte le altre, senza chiederci più nulla.
E' chiaro che qualora intendessimo modificare tale situazione per permettere altre connessioni in entrata o uscita, dovremo riportare le X rosse ad essere punti interrogativi, cosicchè il software ci chiederà il da farsi per la nuova applicazione, dopodichè potremo nuovamente bloccare tutto il resto del traffico.
SYGATE purtroppo non possiede questa voce (per quanto ne so io), perciò di volta in volta dovremo usare "ricorda e nega" finchè non ci chiederà più nulla.
Teniamo a mente che ciascuno dei due firewall dispone di un menù elencante i vari programmi e le relative regole applicate, regole che potremo modificare in qualunque momento a nostro piacere.
5 - Non abbassare la guardia
Ora disponiamo di un computer privo di:
1) trojan
2) spyware
3) virus
4) cookie maligni
e predisposto a impedire l'accesso/l'uscita di qualunque cosa a nostra insaputa.
Non è cosa da poco!
Tuttavia teniamo sempre bene a mente che le vie dei cracker/lamer/hacker sono infinite, per ogni protezione approntata presto o tardi viene scoperto il modo in cui raggirarla.
Perciò che fare?
Mantenersi sempre aggiornati in materia di sicurezza e protezioni, oppure soccombere.
*** Nota Bene: nel caso in cui aveste predisposto Windows per aggiornarsi automaticamente tramite Windows Update, il famigerato "Generic Processes" verrà utilizzato per eseguire tale update. Va da sé che impedendo a tale servizio di accedere alla rete, nessun aggiornamento automatico sarà possibile.
Vi scoccia negargli l'accesso ogni volta che non è diretto al winupdate o alla sincronizzazione online dell'orologio di sistema? Prendetevela con Bill, la colpa è sua.
----- DISCLAIMER -----
La presente guida è scritta senza la pretesa di essere professionale, completa, infallibile.
Il lettore la accetta "così com'è", per dirla in Inglese, è fornita "as is".
Il principio in base a cui è stata scritta è quello dell'esperienza personale dell'autore, il quale essendo umano non è perfetto e pertanto potrebbe sbagliarsi, pur scrivendo in buona fede.
L'utilizzo pratico della stessa è a discrezione del lettore, il quale si assume OGNI responsabilità derivante dall'utilizzo della suddetta, sollevando l'autore da QUALUNQUE responsabilità in merito.
Perciò se mettendo in pratica quanto descritto nella presente doveste subire/provocare qualunque tipo di danno, di qualunque entità (sia essa la perdita di un singolo dato o la perdita totale dei vostri/altrui dati), la responsabilità è ESCLUSIVAMENTE VOSTRA.
L'autore dichiara comunque la sua buona fede nella redazione della presente, operando per fornire un aiuto in base alla propria esperienza e alle proprie conoscenze, e non per arrecare alcun tipo di danno.
Questa guida può essere modificata, aggiornata e diffusa liberamente per fini non commerciali, fermo restando che né l'autore originale (Booga @ http://www.obiettivopsicologia.it/forum/), né questo disclaimer possano in alcun modo venire omessi o modificati.
I nomi/programmi/siti citati sono di proprietà dei rispettivi depositari di copyright, l'autore non è in alcun modo legato ad essi.
L'accettazione in toto del contenuto di questo disclaimer è implicita all'atto della lettura e/o applicazione in pratica di quanto contenuto nella presente.