Sicurezza del PC in rete

- Una guida amatoriale alla protezione. -
- Versione 1.0 di Booga @ http://www.obiettivopsicologia.it/forum/ -


--- Dedicata a Trilly Tinkerbell Campanellino.

"E di notte, di notte... ci va di camminar." <<Baol>> - Stefano Benni


0 - Preambolo

Prima di leggere e/o utilizzare questa guida, leggere attentamente il disclaimer posto in fondo ad essa; procedendo nella lettura accettate implicitamente tutto quanto è in esso scritto.


1 - Introduzione

Chi non ha mai sentito parlare di spyware, trojan, virus e co.?

Chi non ha mai sentito parlare delle falle di protezione nei sistemi Windows?

Siete sicuri che nessuno, mentre navigate su Internet o chattate su reti IRC, attenti alla sicurezza del vostro pc?

Se sapete di cosa sto parlando (almeno per sentito dire) e pensate che forse sarebbe il caso di "blindare" il vostro computer, questa guida fa al caso vostro.


2 - Da dove cominciare

Proteggere un sistema che pullula di virus, trojan ecc. sarebbe come chiudere la stalla una volta fuggiti i buoi, perciò come prima cosa è bene dare una bella ripulita.

--- 2a - Caccia ai trojan

Scarichiamo The Cleaner e installiamolo, facciamo l'update delle definizioni di ricerca, configuriamo il tutto per avere la scansione più approfondita possibile e lanciamola. Una volta rimossi gli eventuali trojan presenti, chiudiamo il programma e passiamo alla prossima fase.

--- 2b - Caccia agli spyware

Scarichiamo AdAware SE e/o SpyBot Search & Destroy, installiamolo/li, aggiorniamo le definizioni tramite il solito update online, configuriamo i criteri di ricerca di modo da avere la scansione più accurata possibile e avviamola. Fatto ciò, passiamo alla terza fase della nostra opera di pulizia.

--- 2c - Caccia al virus

Non tutti hanno la voglia o la possibilità di acquistare un antivirus a pagamento, perciò abbiamo due scelte possibili:

Effettuare una scansione del nostro pc tramite un servizio gratuito online (usare Internet Explorer in questo caso è un male necessario): Trend Micro ; Panda Antivirus.

Scaricare e istallare sul nostro sistema un antivirus gratuito: Avast; AntiVir PE.

In base alla scelta che abbiamo effettuato, seguiamo le istruzioni del caso, in caso avessimo deciso di installare un antivirus residente, è fondamentale aggiornarne le definizioni di ricerca tramite il relativo update.

Come al solito, scegliamo la scansione più approfondita possibile e avviamola, attendiamo che l'antivirus abbia terminato il lavoro, sbarazziamoci degli eventuali virus e passiamo alla parte centrale del nostro lavoro.


3 - Impedire ogni intrusione

Accettato il principio per cui la rete è popolata anche da utenti malintenzionati e potenzialmente dannosi nei nostri confronti, armiamoci di buona volontà e pazienza per impedire loro di nuocerci.

Per ottenere il nostro scopo, dobbiamo procurarci un Firewall, ovvero un programma che ci permetta di creare delle regole tramite cui permettere o negare l'accesso al nostro computer.

Ad esempio, poniamo per ipotesi di voler permettere il traffico di dati in entrata e uscita solo al browser, al programma di posta e a quello usato per chattare, e di voler negare ogni altro tipo di traffico... come facciamo?

--- 3a - Scarichiamo Kerio Personal Firewall o Sygate Personal Firewall e installiamo.

Se la nostra scelta fosse caduta su Kerio, durante l'installazione scegliamo di usare il programma in modalità "Advanced: Learning Mode", cosicché il programma ci chieda cosa fare anziché applicare arbitrariamente delle regole di cui nulla sappiamo.
Sygate fa questo di default.

Una volta installato il firewall, ci verrà chiesto di riavviare il computer di modo da permetterne la protezione fin dal suo avvio, rispondiamo di sì e attendiamo il riavvio della macchina.

--- 3b - ora che abbiamo il nostro bravo (gratuito) firewall installato, abbiamo quasi terminato il nostro lavoro.

Ci restano solo poche altre cose da fare, procediamo quindi per ordine...

...ma siamo davvero protetti? Verifichiamolo!

Lanciamo la connessione a Internet, Kerio ci avviserà del tentativo di connessione in corso, barriamo la casella "Ricorda la scelta e non chiedermelo in futuro" e premiamo il pulsante "sì/ok", successivamente ci informerà del fatto che la connessione risulta essere nuova, chiedendoci se essa è destinata ad un'area protetta/sicura. Internet non è un'area sicura, quindi daremo risposta in tal senso permettendo al programma di gestire la nostra connessione nel modo appropriato.
Sygate pressapoco ci chiederà le stesse cose.

--- 3c - Che cavolo sono quei "generic processes", "svchost", e compagnia bella?

Questa è la domanda che ogni utente di Windows XP si pone immediatamente dopo avere completato quanto descritto al punto 3b.

Il firewall ci dirà che tramite quei famigerati servizi/file exe/dll il nostro computer tenta di contattare o viene contattato da chissà chi; ci viene chiesto se permettere tale/i comunicazione/i.

La risposta nessuno la conosce, o meglio, si sa che sono servizi di Windows che per qualche ragione sconosciuta cercano di comunicare con qualche computer remoto (quello di Bill Gates?).

Ebbene sì, la nostra guerra contro le intrusioni comincia proprio contro gli stessi fornitori del nostro sistema operativo.

Clicchiamo la tanto cara casellina "ricorda e non chiedere in futuro" e premiamo il bottone "no/nega". ***

Il concetto principale che utilizzo per permettere o negare le comunicazioni è: "E' un programma che sto usando io, o che ha a che fare con qualcosa che sto facendo io?" Se la risposta è "no", molto probabilmente la connessione rilevata è un tentativo di intrusione. In caso contrario, posso sempre tornare sui miei passi.

--- 3d - Verifichiamo la nostra protezione

Apriamo il nostro browser, digitiamo l'url

http://scan.sygatetech.com/

e rechiamoci colà tramite il tasto "Invio" o il pulsante "Vai/Go"

Immediatamente il firewall ci avvertirà del tentativo di connessione da parte del browser al tale sito, barriamo la solita casellina "ricorda" e permettiamo l'operazione tramite il tasto "Sì/Yes".

Approderemo alla pagina sopracitata, dalla quale potremo avviare tutti i test necessari al nostro proposito.

Armiamoci di tanta pazienza e affrontiamoli uno ad uno, negando tramite il firewall ogni intrusione tentata dalla pagina di test (il firewall blocca il 98% dei tentativi dei test da solo, ma in alcuni casi è necessario da parte nostra fare il noto "ricorda e nega").

Il test più lungo in assoluto sarà quello sulle porte TCP, dalla 1 alla 1024 verranno attaccate, aspettare 20 minuti sarà palloso, ma in fondo questa serie di test dobbiamo farla una volta sola per tutte, quindi sacrifichiamoci e armiamoci di the e biscotti (o birra e tramezzini) per affrontare l'attesa.

Terminato ogni test avremo un rapporto che ci dirà se avremo passato o meno la prova.

Eseguiti tutti i test e ottenuto l'ok per ognuno di essi possiamo gioire: il nostro pc è quasi blindato.

--- 3dbis - volendolo, possiamo verificare la nostra protezione con altri test, sempre resi diponibili online gratuitamente. Questi sono:

PC Flank
Ottimo per verificare sia la protezione che la configurazione del nostro browser (maledetti cookies!)

Shields Up!
Altra serie di validi test.


4 - Ottimizzare la protezione su misura

Abbiamo verificato che il firewall ci protegge ottimamente, ora dobbiamo far sì che si adatti alle nostre esigenze in modo da non essere subissati dalle sue finestre di dialogo ogni 5 secondi.

Ogni qual volta un programma presente sul nostro computer tenti di connettersi alla rete, il firewall ci chiederà se permetterglielo o meno.

Ripensiamo all'esempio fatto in partenza, in cui la nostra necessità ipotetica era di permettere l'uso della rete solo a tre cose: browser, posta e chat.

Ebbene, non ci resta altro da fare che avviare ogni altro programma che vogliamo far accedere alla rete e chiedergli di connettersi. Per ciascun programma il firewall ci avviserà del tentativo di connessione in corso, e noi risponderemo "ricorda e permetti".

Verranno create le regole per ogni programma, cosicchè il firewall non ci chiederà più nulla ogni qual volta in cui useremo il browser, il client email, il programma irc o l'aggiornamento online dell'antivirus, o qualunque altra cosa noi si decida di far connettere alla rete.

E TUTTO IL RESTO?

Per quanto riguarda Kerio, alla voce "Rete", "Applicazioni", abbiamo una riga che dice "tutte le altre applicazioni" seguita da una serie di punti interrogativi.

Ciò sta a significare che il programma ci chiederà il da farsi per il resto delle situazioni possibili.

Se siamo sicuri di non desiderare che altri programmi utilizzino internet, possiamo cliccare su ciascun punto interrogativo fino a trasformarlo in una X rossa (nega).

In questo modo, il firewall permetterà solo le comunicazioni che abbiamo impostato, negando tutte le altre, senza chiederci più nulla.

E' chiaro che qualora intendessimo modificare tale situazione per permettere altre connessioni in entrata o uscita, dovremo riportare le X rosse ad essere punti interrogativi, cosicchè il software ci chiederà il da farsi per la nuova applicazione, dopodichè potremo nuovamente bloccare tutto il resto del traffico.

SYGATE purtroppo non possiede questa voce (per quanto ne so io), perciò di volta in volta dovremo usare "ricorda e nega" finchè non ci chiederà più nulla.

Teniamo a mente che ciascuno dei due firewall dispone di un menù elencante i vari programmi e le relative regole applicate, regole che potremo modificare in qualunque momento a nostro piacere.


5 - Non abbassare la guardia

Ora disponiamo di un computer privo di:

1) trojan
2) spyware
3) virus
4) cookie maligni

e predisposto a impedire l'accesso/l'uscita di qualunque cosa a nostra insaputa.

Non è cosa da poco!

Tuttavia teniamo sempre bene a mente che le vie dei cracker/lamer/hacker sono infinite, per ogni protezione approntata presto o tardi viene scoperto il modo in cui raggirarla.

Perciò che fare?

Mantenersi sempre aggiornati in materia di sicurezza e protezioni, oppure soccombere.




*** Nota Bene: nel caso in cui aveste predisposto Windows per aggiornarsi automaticamente tramite Windows Update, il famigerato "Generic Processes" verrà utilizzato per eseguire tale update. Va da sé che impedendo a tale servizio di accedere alla rete, nessun aggiornamento automatico sarà possibile.
Vi scoccia negargli l'accesso ogni volta che non è diretto al winupdate o alla sincronizzazione online dell'orologio di sistema? Prendetevela con Bill, la colpa è sua.

----- DISCLAIMER -----

La presente guida è scritta senza la pretesa di essere professionale, completa, infallibile.

Il lettore la accetta "così com'è", per dirla in Inglese, è fornita "as is".

Il principio in base a cui è stata scritta è quello dell'esperienza personale dell'autore, il quale essendo umano non è perfetto e pertanto potrebbe sbagliarsi, pur scrivendo in buona fede.

L'utilizzo pratico della stessa è a discrezione del lettore, il quale si assume OGNI responsabilità derivante dall'utilizzo della suddetta, sollevando l'autore da QUALUNQUE responsabilità in merito.

Perciò se mettendo in pratica quanto descritto nella presente doveste subire/provocare qualunque tipo di danno, di qualunque entità (sia essa la perdita di un singolo dato o la perdita totale dei vostri/altrui dati), la responsabilità è ESCLUSIVAMENTE VOSTRA.

L'autore dichiara comunque la sua buona fede nella redazione della presente, operando per fornire un aiuto in base alla propria esperienza e alle proprie conoscenze, e non per arrecare alcun tipo di danno.

Questa guida può essere modificata, aggiornata e diffusa liberamente per fini non commerciali, fermo restando che né l'autore originale (Booga @ http://www.obiettivopsicologia.it/forum/), né questo disclaimer possano in alcun modo venire omessi o modificati.

I nomi/programmi/siti citati sono di proprietà dei rispettivi depositari di copyright, l'autore non è in alcun modo legato ad essi.

L'accettazione in toto del contenuto di questo disclaimer è implicita all'atto della lettura e/o applicazione in pratica di quanto contenuto nella presente.

[g3pp3tto]

in molti ne avranno di certo bisogno, lo trovo utile come thread, quoto booga..
forse però un tantino esagerato..
un buon antivirus, aggiornarlo con frequenza e criterio nell'installare ogni 10 minuti programmi "porcherie"..
io consiglio solo questo... a buon itnenditore

bravo booga..

[Syrinx]

Originariamente postato da Booga
- Una guida amatoriale alla protezione. -
- Versione 1.0 di Booga @ http://www.obiettivopsicologia.it/forum/ -


--- Dedicata a Trilly Tinkerbell Campanellino.

"E di notte, di notte... ci va di camminar." <<Baol>> - Stefano Benni

il piccì sarà blindato su tutti i fronti!! così niente e nessuno potrà mandarmelo più in tilt!!

[Nos*]

Originariamente postato da g3pp3tto
in molti ne avranno di certo bisogno, lo trovo utile come thread, quoto booga..
forse però un tantino esagerato..
bravo booga..

Quoto anche io perfettamente Booga...è una miniera di link utilissimi,pensi sia esagerato Geppetto?Anche io ho gran parte dei software ricavati da questi link...e per esperienza posso tranquillamente dirti che a volte con Norton, sebbene aggiornato, non riesco ad estirpare tutti i virus dal pc...ma devo far ricorso a Trend micro...a volte l'inverso...ci sono alcuni antivirus e tu puoi insegnarmelo in quanto programmatore, sono programmati per individuare un tipo di virus ed altri per individuarne altri...Che dire poi di adware e spybot anche questi ho,quanto è fastidioso un spyware che ti dà un messaggio particolare e ti impedisce di accedere in Internet....Sono del parere che questi programmi vanno installati ed usati al momento opportuno e con cautela..ma avere solo l'antivirus aggiornato Geppetto questo no.....Si è vero che un pc sicuro è un pc spento, però fare dell'impossibile che non vada spesso dal tecnico...non so se mi spiego...Ora giacchè siamo in tema...non riesco a capire perchè prendo sempre lo stesso virus..si N. lo elimina..ma lo prendo in continuazione eccolo

W.32.HLLW.Gaobot ...

Lo elimino anche col tool apposito ma niente...lo riprendo....che devo fare affinchè non ritorni più ragazzi?E' vulnerabile a questo virus avete qualcosa?

[artid]

edit edit edit

[AndreaM]

Premetto che sono un tecnico, maniaco della protezione del Pc ..... (anche se in questo forum francamente l'argomento mi sembra un poco fuori posto .....)
Comunque, se posso dare un contributo, io uso sia in Ufficio che sulla linea ADSL di casa un Firewall externo, basato su Linux (IPCop) e poi anche uno sui miei Pc Windows (Sygate Personal Firewall PRO) che controlla oltre che i programmi anche le DLL che vengono scaricate anche durante la "normale" navigazione su Internet .... e periodicamente poi faccio girare Ad-Aware ....

E' vero, non solo il mondo "reale" ma anche Internet è un luogo con cui occorre "navigare" con circospezione !! (la mia è sicuramente eccessiva, ma conosco abbastanza in profondità i problemi tecnici ....)

Nos* se posso aiutarti, Gabot è un worm che presenta molte varianti. Puoi trovare tutte le informazioni qui: McAfee Virus Information Library

Buona disinfestazione

[g3pp3tto]

Beh Nos... io l'ho detta così anche in modo simpatico.. visto che sembrava un poemone..
però non ho negato che per molti potrebbe essere fondamentale sapere certe cose e informazioni..
non prenderla in modo sbagliato. Anzi!!

più che altro, sai cosè... che spesso non cè informazione specifica dei problemi..
ed io ho un po' una politica personale, contro tutti i programmini e utility varie da installare sul pc..
questo perchè, spesso, il 99% dei programmi, tolgono e aiutano da una parte, ma t'inchiappettano dall'altra
Ora, è verissimo che la mia è pure deviazione personale, e non dò affatto per scontato che tantissime cose non siano di dominio pubblico, però io non me la sento di consigliare l'installazione di 100 utility ognuna per un problema differente, nonostante la loro graditissima funzionalità per miliardi di utenti nel mondo..
è logico che una persona con poca dimestichezza e poco tempo per imparare i problemi di sicurezza di un pc, vuoi per lavoro, vuoi per lo studio o per chissà che altro, può trovare utilissimo avere programmi per gestire le diverse situazioni, però se uno può imparare, io consiglio questo. tutto qui..

sono un criticone... porta' pazienz...

[Nos*]

Originariamente postato da g3pp3tto
Beh Nos... io l'ho detta così anche in modo simpatico.. visto che sembrava un poemone..
però non ho negato che per molti potrebbe essere fondamentale sapere certe cose e informazioni..
non prenderla in modo sbagliato. Anzi!!

più che altro, sai cosè... che spesso non cè informazione specifica dei problemi..
ed io ho un po' una politica personale, contro tutti i programmini e utility varie da installare sul pc..
questo perchè, spesso, il 99% dei programmi, tolgono e aiutano da una parte, ma t'inchiappettano dall'altra
Ora, è verissimo che la mia è pure deviazione personale, e non dò affatto per scontato che tantissime cose non siano di dominio pubblico, però io non me la sento di consigliare l'installazione di 100 utility ognuna per un problema differente, nonostante la loro graditissima funzionalità per miliardi di utenti nel mondo..
è logico che una persona con poca dimestichezza e poco tempo per imparare i problemi di sicurezza di un pc, vuoi per lavoro, vuoi per lo studio o per chissà che altro, può trovare utilissimo avere programmi per gestire le diverse situazioni, però se uno può imparare, io consiglio questo. tutto qui..

sono un criticone... porta' pazienz...

Geppì non mi sono affatto arrabbiato,ho espresso la mia opinione e tu la tua,non sei criticone..se tutti la pensassimo in egual modo non ci sarebbe diversità...So che sei Programmatore,sei un esperto,può daris che a sbagliare sia io...questa non l'ho capita spiegati meglio

spesso, il 99% dei programmi, tolgono e aiutano da una parte, ma t'inchiappettano dall'altra

Quanto a voi ragazzi(AndreaM e Artid) grazie mille di cuore...ma non sono riuscito a trovare la cura..mi postate qualcosa in allegato per favore?

[isaefrenk]

sta di fatto che xp ogni tanto bisogna sfrattazzarlo cioè formattarlo no?

[Nos*]

Originariamente postato da isaefrenk
sta di fatto che xp ogni tanto bisogna sfrattazzarlo cioè formattarlo no?

Si avete ragione,ma questo virus è sfaccim è mbiccius..lo elimino,poi ricompare un'altra volta allo stesso posto...è come se fosse una neoplasia si riforma...pensate Norton aggiornatissimo ,trendmicro e per fino l'apposito tool non lo vedono....ha molte varianti...non sembra che danneggi il pc...''So dove si mette,sempre nello stesso posto,vado lì e lo elimino...ho scaricato anche le patch ,niente da fare.......ho seguito alla lettera anche i suggerimenti degli amici Geppetto,artid,e Andream..ma niente....certo che se esistesse qualcosa per togliermelo dai piedi mi farebbe piacere,un qualcosa in allegato......

[isaefrenk]

Sto virus ci ha sfrantecato

Confucio

[Nos*]

Originariamente postato da isaefrenk
Sto virus ci ha sfrantecato

Confucio

Sfrantecato=Fatto a pezzi?Siete di origine Campana?

[Antopsi]

Tante volte se il virus si ripresenta sempre nello stesso posto, vuol dire che PROBABILMENTE (non ci metto la mano sul fuoco) si è installato nel boot. Quindi si riavvia ogni volta che accendi il pc, partendo insieme ai file si sistema. Se è così, toglierlo è un mezzo casino. A volta capita, per fortuna non sono molti i virus così, però ci sono. A me è capitato.

[g3pp3tto]

antopsi.. il problema stà che la maggior parte degli utenti non conosce il regedit..
a saperlo, con una sufficiente conoscenza del pc, basterebbe fare una search delle porcate nel reg e rimuoverle a dovere..
tutto qui.

[isaefrenk]

Originariamente postato da Nos*
Sfrantecato=Fatto a pezzi?Siete di origine Campana?

Abbiamo la discografia degli squallor, tanti amici meridionali e frenk è di origine tarantina.