Hardware Upgrade Forum - View Single Post - Un altro "mattoncino" riguardo la sicurezza

juninho85 · 19-11-2006, 18:18

Da tempo pensavo di buttar giù una piccola guida per rendere il proprio pc il più sicuro possibile,senza ovviamente spendere un € fermo restando che l'unica spesa che andrebbe fatta sarebbe quella della licenza di windows
Farò riferimento a modifiche varie da fare al sistema operativo più browser,antispyware,antivirus,firewall da utilizzare,la nuova tecnologia HIP e un pò di buonsenso che non deve mai mancare

Per ciò che riguarda il sistema operativo,tenendo in considerazione che Internet Explorer venga utilizzato occasionalmente,seppur settato come browser di default,modificate quanto segue
1)disabilitare condivisione semplice files:

metodo per win xp professional: pannello di controllo/Opzioni Cartella/Visualizzazione/Togliere il segno di spunta su Utilizza condivisione file semplice
metodo per win xp home: aprire il registro di configurazione e portarsi sulla seguente chiave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa.
Ora cliccare col tasto destro sulla voce "LSA" e selezionare "Nuovo/valore Dword",dunque incollare la scritta "forceguest" e impostare "1" come valore esadecimale

2)impedire l'accesso a file e cartelle nascosti: accedete al registro di sistema di Windows cliccando su Start, Esegui quindi digitando REGEDIT.
Portatevi in corrispondenza della chiave seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
Fate clic con il tasto destro del mouse sulla chiave Hidden quindi cliccate su Autorizzazioni.

Cliccate ora sul pulsante Avanzate.

La casella denominata Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti figlio. (...) è attiva per default: disattivatela.

Comparirà automaticamente la finestra Protezione: cliccate sul pulsante Copia. Dopo aver cliccato su OK, selezionate, dalla finestra principale "Autorizzazioni per Hidden", il gruppo Users infine premete il pulsante Rimuovi. Se volete che neppure i "Power users" possano
accedere a file e cartelle nascosti, eliminate dall'elenco anche il gruppo Power users.
3)difendersi dai dialer: tutti i dati relativi alle connessioni di accesso remoto impostate, vengono memorizzate, da parte di Windows 2000/XP, in un file denominato RASPHONE.PBK.;Tale file risiede, generalmente, nella cartella \Documents and Setting\All Users\Dati
applicazioni\Microsoft\Network\Connections\Pbk.
Tenete presente che la cartella Dati applicazioni è nascosta quindi, per accedervi, dovrete renderla visibile selezionando Strumenti , Opzioni cartella... , Visualizzazione quindi attivate l'opzione Visualizza cartelle e file nascosti.

Fate a questo punto clic con il tasto destro del mouse sul file RASPHONE.PBK, cliccate su Proprietà quindi attivate la casella Sola lettura. Confermate premendo il pulsante OK.
In questo modo il file contenente i dati delle connessioni di accesso remoto non potrà essere modificato (neppure dai dialer...).
Come protezione aggiuntiva dai dialer in ogni caso si consiglia caldamente l'installazione di dialer control che provede a bloccarne l'esecuzione e alla loro rimozione.
4)impedire la modifica delle DLL conosciute: avviate l'Editor del registro di sistema (Start , Esegui... , REGEDIT) quindi portatevi in corrispondenza della chiave seguente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
Nel pannello di destra dovreste trovare un parametro denominato ProtectionMode. Accertatevi che il suo valore sia impostato a 1 (in caso contrario modificatelo).

Per verificare la lista delle librerie DLL che viene sottoposta costantemente al controllo
automatico, portatevi in corrispondenza della chiave seguente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs

5)aggiungere una nuova "area di navigazione" in opzioni internet/protezione per i siti ad alto rischio che potremo aver necessità di visitare.
Avviare regedit e andare fino a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\

si vedranno 5 sezioni, la 1,2,3,4 rappresentano le 4 opzioni della sezione protezione di IE, per la precisione sono:

# Internet
# Intranet Locale
# Siti Attendibili
# Siti con restrizioni

quella con il numero 0 visibile nel registro, non è visibile nelle opzioni protezione di IE e rappresenta Risorse del Computer.
Scaricando questo pacchetto vi troverete la nuova zona impostabile a un livello massimo di sicurezza selezionandola da opzioni internet/protezione e cliccando su "alta" da "livello predefinito"
6)disabilitare le condivisioni amministrative,andando,sempre sul registro di sistema, a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters e verificando la presenza del valore DWORD "AutoShareWks" (senza le virgolette): se non presente lo creiamo lasciando il valore a 0 (zero) come da screenshot.

A questo punto torniamo in Pannello di Controllo/Strumenti di Amministrazione/Gestione Computer ed eliminiamo tutte le condivisioni amministrative tranne IPC (tramite clic destro -> termina condivisione), quindi riavviamo il computer e verifichiamo la reale disattivazione delle condivisioni.
Il risultato finale deve essere questo.

7)impostazioni/pannello di controllo/opzioni internet/protezione:
- disattivare "persistenza dati utente"
- impostare "installazione oggetti desktop" su "chiedi conferma"
- disattivare "non richiedere la selezione del certificato client quando esiste un solo certificato o non ne esiste nessuno"
- impostare "esplora sottoframe in domini diversi" su "chiedi conferma"
- impostare "invia dati modulo non crittografati" su "chiedi conferma"
8) impostazioni/pannello di controllo/opzioni internet/avanzate/scheda protezione:
- disattivare "abilita autenticazione windows integrata"
- arrivare "non salvare pagine crittofrafatte su disco"
9)proteggere il file host:scaricare e rimpiazzare il file host del vostro sistema con questo,scompattatelo in "lettera unità HD":\WINDOWS\system32\drivers\etc,dopodichè cliccare col tasto destro sul file HOSTS e selezionare "sola lettura" quindi applica e ok,affinchè si eviti che un qualsiasi malware possa modificarlo)
10)ripulire il proprio pc dagli ADS con il tool della NOD
11)visualizzazione di tutte le estensioni dei file: opzioni cartella/visualizzazione/"nascondi le estensioni per i tipi di file conosciuti",togliere spunta
12)vuotamento automatico cache del browser: opzioni internet/avanzate/protezione/selezionare "svuota la cartella dei file temporanei Internet alla chiusura del browser"

Tenere sempre aggiornato il vostro sistema operativo,per farvi capire quanto ciò possa salvarvi da possibili rogne volevo farvi un esempio:
la microsoft il 5 gennaio 2006 rilasciò una patch giudicata critica riguardo la falla sui WMF,a questo indirizzo....la prima infezione da parte del rootkit LinkOptimizer/Gromozon è stata rilevata nell'ultima
settimana,dunque chi non a aggiornato il proprio sistema operativo in questi 5 mesi(5 mesi,non 5 giorni!)è rimasto infettato,chi bazzica spesso in questa sezione non potrà non aver letto almeno una volta questothread e
vedere quanti utenti sono rimasti infetti da questo fastidioso rootkit,impossibile da estirpare se non grazie al tool messo a disposizione dalla Prevx
Tutto ciò per convincervi a dare un occhiata al sito microsoft il primo martedì di ogni mese,giorni in cui vengono rese disponibili le patch.
Potete aggiornare:

automaticamente tenendo abilitato il servizio di windows "aggiornamenti automatici" e abilitando la funzione da pannello di controllo/sistema/aggiornamenti automatici/automatico se volete che il computer scarichi e installi gli aggiornamenti senza aspettare un vostro input
manualmente visitando la prima settimana di ogni mese la home microsoft dedicata agli aggiornamenti disponibile al sito http://www.microsoft.com/italy/techn...fault.mspx#ERE
tramite tool Microsoft Baseline Security Analyzer 2.0:MBSA è un software "stand alone" che permette di verificare la presenza di tutte le patch di sicurezza sul proprio sistema o su quelli collegati in rete locale ,inoltre consente anche di ottenere tutta una serie di suggerimenti volti a migliorare la sicurezza del sistema prevenendo rischi di furto di dati ed accessi non autorizzati. MBSA ridimensiona o tende ad annullare le possibili superfici di attacco utilizzabili da parte di aggressori remoti.
MBSA nella sua ultima versione,la 2.0,è disponibile a questo indirizzo

Consiglio inoltre di disabilitare i seguenti servizi di windows,andando su pannello di controllo/strumenti di amministrazione/servizi,cliccandovi e selezionando "disabilitato" accanto alla voce "tipo di avvio"

-Messenger(disabilitato di default con l'installazione del service pack 2.provoca la visualizzazione di banner e pop up pubblicitari durante la navigazione,con l'invito a scaricare programmi o chattare con la svetlana di turno)
-Servizio Ripristino configurazione di sistema(se disabilitato impedisce al malware di rigenerarsi al nel momento in cui si esegue il ripristino di sistema,al limite riabilitatelo solo dopo esser certi di aver rimosso definitivamente il malware)
-Helper NetBIOS di TCP/IP(con relativa chiusura della porta locale,col fine di evitare attacchi netbios)
N.B.:
la disabilitazione del servizio può dare problemi nel caso in cui la rete locale faccia uso dei protocolli netbios e WINS,altri problemi ma in casi veramente rari possono essere riscontrati nell'utilizzo di programmi P2P,ma riguardo quest'ultimo stiamo parlando di un caso più unico che raro
-Accesso secondario:vale la pena tenerlo attivato solamente se lo stesso pc è utilizzato da più utenti e almeno uno di questi ha privilegi limitati e gli si voglia dare la possibilità di loggarsi su un account con privilegi di amministratore
-Registro di sistema remoto(permette all'utente che agisce da remoto sul vostro sistema di apportare modifiche al vostro registro di configurazione)

Segnalo anche il programma Windows Worms Doors Cleaner che consente di chiudere le porte definite "critiche" di windows le quali potrebbero essere sfruttate dall'ultimo malware di turno per mettervi a soqquadro il pc
Il programma è scaricabile a questo indirizzo.
Una volta chiuse tutte le porte e riavviato il pc dovreste ritrovarvi questa schermata come conferma che tutte le porte son state effettivamente chiuse

.
Una volta finito di aver ottimizzare con WWDC sarete protetti,tra gli altri,da virus tipo autorun.inf/setup.exe,che infettano entrando dalla porta 135.
===============================================================================================
Passiamo al Browser.
Per quanto possiate tenere costantemente aggiornato il browser di casa microsoft la soluzione migliore per avere una navigazione più sicura e perchè no anche veloce è cambiar browser,sia per via dei maggiori bug a cui esso è soggetto,sia per la differenza di tempo che intercorre per risolvere gli stessi tra casa microsoft e opera/mozilla
A oggi i migliori disponibili sulla piazza sono Opera 9.01 e Firefox giunto alla versione 1.5.0.8(oppure la versione 2.0,a cui sono state apportate migliorie in quanto funzioni e pulizia del codice),col primo in vantaggio sul secondo in fatto di sicurezza,come si può intuire dal rapporto stilato da Secunia sul totale dei bug riscontrati nei 3 browser e quali tra questi risultano ancora irristolti.
quipotete leggere il report su Opera,qui quello riguardante Firefox 1.5.0.8(link per la 2.0) e infine qui per Internet Explorer 6.0(link per la versione 7).
Opera una volta installato sul proprio pc si può considerare già pronto per l'utilizzo senza bisogno di particolari settaggi nei vari ambiti,soluzione perciò sicuramente raccomandabile all'utenza meno esperta.
Da segnalare soltanto alcune modifiche da apportare riguardo cookie e pishing:
1. menu strumenti-> preferenze-> avanzate-> cronologia: impostare su "svuota all'uscita".
2. menu strumenti-> preferenze-> avanzate-> cookie: impostare "accetta solo i cookie dei siti che si visitano" e "svuota cookie all'uscita di opera".
3. menu strumenti-> preferenze-> avanzate-> sicurezza: abilitare "enable fraud protection".

Firefox invece è frutto di una corrente di pensiero diversa da opera,in quanto una volta installato si ha subito a dispozione le versione base del programma personalizzabile con l'aggiunta delle estensioni,particolarmente consigliate,tra le altre:
1)NoScript 1.1.4.5: permette l'esecuzione di script provenienti dai soli domini consentiti:questo blocco preventivo basato su una whitelist(in quanto di default tutti gli script vengono bloccati,poi voi manualmente deciderete quali consentire e quali no)impedisce lo sfruttamento delle vulnerabilità conosciute e non derivanti dal loro utilizzo.
2)Spoofstick 1.06: permette di rilevare quale sito "effettivamente" si stia visitando, aiutando quindi "a prevenire" eventuali situazioni di spoofing (siti "fasulli", fake)

Disponibile il download anche per Internet Explorer
3)McAfee Site Advisor: questa estensine vi segnala se il sito su cui state navigando è sicuro(pulsante verde)oppure se è considerato un sito a rischio infezione(pulsante rosso)

Questa utili lavora anche se voi effettuate una ricerca nei motori di ricerca Google, Yahoo e MSN,visualizzando il verdetto affianco ai risulati della ricerca

Disponibile anche per Internet Explorer
4)Dr.Web anti-virus link checker: scansiona il file che volete scaricare prima che venga effettuato il download

Altre estensioni consigliate ma secondo me non indispendabili:
IDN Info:info disponibili qui,di seguito un esempio in cui l'estensione entra in funzione:

Process Library:Cerca le ultime informazioni su spyware, adware, trojans, virus, processi di sistema e applicazioni comuni.

=====================================================================================================================
Capitolo Antispyware
A differenza del resto dei programmi che si occupano della sicurezza dei nostri pc,questa è definibile come una macrocategoria che al suo interno racchiude programmi differenti tra loro per le modalità con cui fanno da scudo al codice maligno.
Per capire però cos'è un antispyware e come esso agisce preferirei chiarire il concetto di spyware,e nello specifico per quale motivo si fa una distinzione tra tale malware e i virus veri e propri.
Uno spyware è una tipologia di malware che,una volta presente nel nostro sistema,raccoglie informazioni sulle nostre abitudini nella navigazione sulla rete:siti visitati,acquisti e dunque preferenze commerciali dell'utente,ovviamente all'insaputa di quest'ultimo.Successivamente queste informazioni,attraverso il file infetto presente sul sistema,vengono trasmesse via internet a una società che ne usufruirà per trarne profitto in particolare inviando pubblicità
al sistema infetto.
La caratteristica principale che contraddistingue uno spyware da un virus sta nel fatto che senza l'intervento dell'utente essi non sono in grado di diffondersi autonomamente(un pò come avviene per i trojan,se vogliamo)
Tali programmi inizialmente sono nati per lo più per rendere gratuiti all'utenza finale programmi che senza questa forma di "finanziamento" sarebbero a pagamento,questo era il caso dei vari divx PRO(gator),kazaa (newdotnet,c-zilla e cydoor),messenger 3 plus(C2Media,Lop.com) e flashget(cydoor) giusto per citarne alcuni.
Ecco la richiesta di autorizzazoine per gain gator in fase di installazione del codec divx

In queste condizioni lo spyware si avviava assieme al programma con cui esso esso era stato installato.

Fin qui nulla di illecito,dal momento che l'utente era a conoscenza della necessarietà se non si voleva pagare il software,successivamente si è giunti a un cambiamento per cui il pc con dello spyware installato è considerabile infetto,in quanto i sintomi della lor presenza sono:

la modifica della pagina iniziale;
la modifica della lista dei Preferiti del browser;
redirezione su falsi siti di e-commerce (phishing);
l'installazione di dialer truffaldini per numeri a tariffazione speciale;
saturazione della banda internet;
sovraccarico di CPU e RAM con notevali e visibili a "occhio nudo";
comparsa di messaggi che alludono alla vulnerabilità del proprio sistema risolvibili con l'installazione di fantomatici e improbabili software,per cui talune volte viene anche richiesto pagamento tramite carte di credito

La loro installazione infatti non avviene con trasparenza assieme al'esecuzione del programma lecito,ma principalmente visitando pagine web designate per sfruttare falle di sicurezza dei browser per consentire l'esecuzione automatica di applicativi non sicuri,spyware appunto.
Con l'evolversi della minaccia anche i programmi che si occupano della loro rimozione son cambiati:se inizialmente era necessario avere sul pc uno solo di questi programmi che si preoccupava di ripulire il sistema solamente una volta lanciata la scansione manualmente,a oggi siamo arrivati a programmi simili in tutto e per tutto ad un vero e proprio antivirus,ossia dotati di firme aggiornate più volte quotidianamente e di una protezione in tempo reale.
Possiamo dunque già fare un distinguo in programmi(citandone alcuni tra i più comuni):

che informano dell'infezione solo una volta che l'utente ha lanciato manualmente la scansione,dunque si viene a conoscenza dell'avvenuta infezione solo una volta eseguito il controllo(Spybot Search & Destroy,Ad-Aware Pe);
che agiscono alla stessa stregua di un antivirus,dotati di una protezione in tempo reale che viene eseguita in avvio automatico con l'avvio di windows ma che comunque permettono all'utente di lanciare manualmente delle scansioni sul proprio sistema(Avg Antispyware)
che fanno della prevenzione sul proprio pc,apportando delle modifiche al sistema per cui ne risulti impossibile l'infezioni dai malware riconosciuti dalle firme del programma(cosidetta "immunizzazione" attuata da programmi come Spyware Blaster e Spybot Search & Destroy).

.
E si vero che per essere relativamente sicuri di esser protetti da questo minacce conviene installare più antispyware,ma è anche vero che non serve infarcire il sistema con questi programmi,ancor meno utilizzandone per tutti la protezioni in real time,per tale motivo penso che con

un immunizzatore(spyware blaster)
uno antispyware per le scansioni manuali(spybot,che funge anche da immunizzatore)
uno per la protezione in real-time(avg-antispyware,a patto che se ne acquisti la licenza)

ci si possa ritenere al riparo dalla stragrande maggioranza di spyware del nostro sistema,cookie traccianti compresi.

19-11-2006, 18:18	#1
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28846	Un altro "mattoncino" riguardo la sicurezza Da tempo pensavo di buttar giù una piccola guida per rendere il proprio pc il più sicuro possibile,senza ovviamente spendere un € fermo restando che l'unica spesa che andrebbe fatta sarebbe quella della licenza di windows Farò riferimento a modifiche varie da fare al sistema operativo più browser,antispyware,antivirus,firewall da utilizzare,la nuova tecnologia HIP e un pò di buonsenso che non deve mai mancare Per ciò che riguarda il sistema operativo,tenendo in considerazione che Internet Explorer venga utilizzato occasionalmente,seppur settato come browser di default,modificate quanto segue 1)disabilitare condivisione semplice files: metodo per win xp professional: pannello di controllo/Opzioni Cartella/Visualizzazione/Togliere il segno di spunta su Utilizza condivisione file semplice metodo per win xp home: aprire il registro di configurazione e portarsi sulla seguente chiave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa. Ora cliccare col tasto destro sulla voce "LSA" e selezionare "Nuovo/valore Dword",dunque incollare la scritta "forceguest" e impostare "1" come valore esadecimale 2)impedire l'accesso a file e cartelle nascosti: accedete al registro di sistema di Windows cliccando su Start, Esegui quindi digitando REGEDIT. Portatevi in corrispondenza della chiave seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder Fate clic con il tasto destro del mouse sulla chiave Hidden quindi cliccate su Autorizzazioni. Cliccate ora sul pulsante Avanzate. La casella denominata Eredita dall'oggetto padre le autorizzazioni propagate agli oggetti figlio. (...) è attiva per default: disattivatela. Comparirà automaticamente la finestra Protezione: cliccate sul pulsante Copia. Dopo aver cliccato su OK, selezionate, dalla finestra principale "Autorizzazioni per Hidden", il gruppo Users infine premete il pulsante Rimuovi. Se volete che neppure i "Power users" possano accedere a file e cartelle nascosti, eliminate dall'elenco anche il gruppo Power users. 3)difendersi dai dialer: tutti i dati relativi alle connessioni di accesso remoto impostate, vengono memorizzate, da parte di Windows 2000/XP, in un file denominato RASPHONE.PBK.;Tale file risiede, generalmente, nella cartella \Documents and Setting\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk. Tenete presente che la cartella Dati applicazioni è nascosta quindi, per accedervi, dovrete renderla visibile selezionando Strumenti , Opzioni cartella... , Visualizzazione quindi attivate l'opzione Visualizza cartelle e file nascosti. Fate a questo punto clic con il tasto destro del mouse sul file RASPHONE.PBK, cliccate su Proprietà quindi attivate la casella Sola lettura. Confermate premendo il pulsante OK. In questo modo il file contenente i dati delle connessioni di accesso remoto non potrà essere modificato (neppure dai dialer...). Come protezione aggiuntiva dai dialer in ogni caso si consiglia caldamente l'installazione di dialer control che provede a bloccarne l'esecuzione e alla loro rimozione. 4)impedire la modifica delle DLL conosciute: avviate l'Editor del registro di sistema (Start , Esegui... , REGEDIT) quindi portatevi in corrispondenza della chiave seguente: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager Nel pannello di destra dovreste trovare un parametro denominato ProtectionMode. Accertatevi che il suo valore sia impostato a 1 (in caso contrario modificatelo). Per verificare la lista delle librerie DLL che viene sottoposta costantemente al controllo automatico, portatevi in corrispondenza della chiave seguente: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs 5)aggiungere una nuova "area di navigazione" in opzioni internet/protezione per i siti ad alto rischio che potremo aver necessità di visitare. Avviare regedit e andare fino a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\ si vedranno 5 sezioni, la 1,2,3,4 rappresentano le 4 opzioni della sezione protezione di IE, per la precisione sono: # Internet # Intranet Locale # Siti Attendibili # Siti con restrizioni quella con il numero 0 visibile nel registro, non è visibile nelle opzioni protezione di IE e rappresenta Risorse del Computer. Scaricando questo pacchetto vi troverete la nuova zona impostabile a un livello massimo di sicurezza selezionandola da opzioni internet/protezione e cliccando su "alta" da "livello predefinito" 6)disabilitare le condivisioni amministrative,andando,sempre sul registro di sistema, a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters e verificando la presenza del valore DWORD "AutoShareWks" (senza le virgolette): se non presente lo creiamo lasciando il valore a 0 (zero) come da screenshot. A questo punto torniamo in Pannello di Controllo/Strumenti di Amministrazione/Gestione Computer ed eliminiamo tutte le condivisioni amministrative tranne IPC (tramite clic destro -> termina condivisione), quindi riavviamo il computer e verifichiamo la reale disattivazione delle condivisioni. Il risultato finale deve essere questo. 7)impostazioni/pannello di controllo/opzioni internet/protezione: - disattivare "persistenza dati utente" - impostare "installazione oggetti desktop" su "chiedi conferma" - disattivare "non richiedere la selezione del certificato client quando esiste un solo certificato o non ne esiste nessuno" - impostare "esplora sottoframe in domini diversi" su "chiedi conferma" - impostare "invia dati modulo non crittografati" su "chiedi conferma" 8) impostazioni/pannello di controllo/opzioni internet/avanzate/scheda protezione: - disattivare "abilita autenticazione windows integrata" - arrivare "non salvare pagine crittofrafatte su disco" 9)proteggere il file host:scaricare e rimpiazzare il file host del vostro sistema con questo,scompattatelo in "lettera unità HD":\WINDOWS\system32\drivers\etc,dopodichè cliccare col tasto destro sul file HOSTS e selezionare "sola lettura" quindi applica e ok,affinchè si eviti che un qualsiasi malware possa modificarlo) 10)ripulire il proprio pc dagli ADS con il tool della NOD 11)visualizzazione di tutte le estensioni dei file: opzioni cartella/visualizzazione/"nascondi le estensioni per i tipi di file conosciuti",togliere spunta 12)vuotamento automatico cache del browser: opzioni internet/avanzate/protezione/selezionare "svuota la cartella dei file temporanei Internet alla chiusura del browser" Tenere sempre aggiornato il vostro sistema operativo,per farvi capire quanto ciò possa salvarvi da possibili rogne volevo farvi un esempio: la microsoft il 5 gennaio 2006 rilasciò una patch giudicata critica riguardo la falla sui WMF,a questo indirizzo....la prima infezione da parte del rootkit LinkOptimizer/Gromozon è stata rilevata nell'ultima settimana,dunque chi non a aggiornato il proprio sistema operativo in questi 5 mesi(5 mesi,non 5 giorni!)è rimasto infettato,chi bazzica spesso in questa sezione non potrà non aver letto almeno una volta questothread e vedere quanti utenti sono rimasti infetti da questo fastidioso rootkit,impossibile da estirpare se non grazie al tool messo a disposizione dalla Prevx Tutto ciò per convincervi a dare un occhiata al sito microsoft il primo martedì di ogni mese,giorni in cui vengono rese disponibili le patch. Potete aggiornare: automaticamente tenendo abilitato il servizio di windows "aggiornamenti automatici" e abilitando la funzione da pannello di controllo/sistema/aggiornamenti automatici/automatico se volete che il computer scarichi e installi gli aggiornamenti senza aspettare un vostro input manualmente visitando la prima settimana di ogni mese la home microsoft dedicata agli aggiornamenti disponibile al sito http://www.microsoft.com/italy/techn...fault.mspx#ERE tramite tool Microsoft Baseline Security Analyzer 2.0:MBSA è un software "stand alone" che permette di verificare la presenza di tutte le patch di sicurezza sul proprio sistema o su quelli collegati in rete locale ,inoltre consente anche di ottenere tutta una serie di suggerimenti volti a migliorare la sicurezza del sistema prevenendo rischi di furto di dati ed accessi non autorizzati. MBSA ridimensiona o tende ad annullare le possibili superfici di attacco utilizzabili da parte di aggressori remoti. MBSA nella sua ultima versione,la 2.0,è disponibile a questo indirizzo Consiglio inoltre di disabilitare i seguenti servizi di windows,andando su pannello di controllo/strumenti di amministrazione/servizi,cliccandovi e selezionando "disabilitato" accanto alla voce "tipo di avvio" -Messenger(disabilitato di default con l'installazione del service pack 2.provoca la visualizzazione di banner e pop up pubblicitari durante la navigazione,con l'invito a scaricare programmi o chattare con la svetlana di turno) -Servizio Ripristino configurazione di sistema(se disabilitato impedisce al malware di rigenerarsi al nel momento in cui si esegue il ripristino di sistema,al limite riabilitatelo solo dopo esser certi di aver rimosso definitivamente il malware) -Helper NetBIOS di TCP/IP(con relativa chiusura della porta locale,col fine di evitare attacchi netbios) N.B.: la disabilitazione del servizio può dare problemi nel caso in cui la rete locale faccia uso dei protocolli netbios e WINS,altri problemi ma in casi veramente rari possono essere riscontrati nell'utilizzo di programmi P2P,ma riguardo quest'ultimo stiamo parlando di un caso più unico che raro -Accesso secondario:vale la pena tenerlo attivato solamente se lo stesso pc è utilizzato da più utenti e almeno uno di questi ha privilegi limitati e gli si voglia dare la possibilità di loggarsi su un account con privilegi di amministratore -Registro di sistema remoto(permette all'utente che agisce da remoto sul vostro sistema di apportare modifiche al vostro registro di configurazione) Segnalo anche il programma Windows Worms Doors Cleaner che consente di chiudere le porte definite "critiche" di windows le quali potrebbero essere sfruttate dall'ultimo malware di turno per mettervi a soqquadro il pc Il programma è scaricabile a questo indirizzo. Una volta chiuse tutte le porte e riavviato il pc dovreste ritrovarvi questa schermata come conferma che tutte le porte son state effettivamente chiuse . Una volta finito di aver ottimizzare con WWDC sarete protetti,tra gli altri,da virus tipo autorun.inf/setup.exe,che infettano entrando dalla porta 135. =============================================================================================== Passiamo al Browser. Per quanto possiate tenere costantemente aggiornato il browser di casa microsoft la soluzione migliore per avere una navigazione più sicura e perchè no anche veloce è cambiar browser,sia per via dei maggiori bug a cui esso è soggetto,sia per la differenza di tempo che intercorre per risolvere gli stessi tra casa microsoft e opera/mozilla A oggi i migliori disponibili sulla piazza sono Opera 9.01 e Firefox giunto alla versione 1.5.0.8(oppure la versione 2.0,a cui sono state apportate migliorie in quanto funzioni e pulizia del codice),col primo in vantaggio sul secondo in fatto di sicurezza,come si può intuire dal rapporto stilato da Secunia sul totale dei bug riscontrati nei 3 browser e quali tra questi risultano ancora irristolti. quipotete leggere il report su Opera,qui quello riguardante Firefox 1.5.0.8(link per la 2.0) e infine qui per Internet Explorer 6.0(link per la versione 7). Opera una volta installato sul proprio pc si può considerare già pronto per l'utilizzo senza bisogno di particolari settaggi nei vari ambiti,soluzione perciò sicuramente raccomandabile all'utenza meno esperta. Da segnalare soltanto alcune modifiche da apportare riguardo cookie e pishing: 1. menu strumenti-> preferenze-> avanzate-> cronologia: impostare su "svuota all'uscita". 2. menu strumenti-> preferenze-> avanzate-> cookie: impostare "accetta solo i cookie dei siti che si visitano" e "svuota cookie all'uscita di opera". 3. menu strumenti-> preferenze-> avanzate-> sicurezza: abilitare "enable fraud protection". Firefox invece è frutto di una corrente di pensiero diversa da opera,in quanto una volta installato si ha subito a dispozione le versione base del programma personalizzabile con l'aggiunta delle estensioni,particolarmente consigliate,tra le altre: 1)NoScript 1.1.4.5: permette l'esecuzione di script provenienti dai soli domini consentiti:questo blocco preventivo basato su una whitelist(in quanto di default tutti gli script vengono bloccati,poi voi manualmente deciderete quali consentire e quali no)impedisce lo sfruttamento delle vulnerabilità conosciute e non derivanti dal loro utilizzo. 2)Spoofstick 1.06: permette di rilevare quale sito "effettivamente" si stia visitando, aiutando quindi "a prevenire" eventuali situazioni di spoofing (siti "fasulli", fake) Disponibile il download anche per Internet Explorer 3)McAfee Site Advisor: questa estensine vi segnala se il sito su cui state navigando è sicuro(pulsante verde)oppure se è considerato un sito a rischio infezione(pulsante rosso) Questa utili lavora anche se voi effettuate una ricerca nei motori di ricerca Google, Yahoo e MSN,visualizzando il verdetto affianco ai risulati della ricerca Disponibile anche per Internet Explorer 4)Dr.Web anti-virus link checker: scansiona il file che volete scaricare prima che venga effettuato il download Altre estensioni consigliate ma secondo me non indispendabili: IDN Info:info disponibili qui,di seguito un esempio in cui l'estensione entra in funzione: Process Library:Cerca le ultime informazioni su spyware, adware, trojans, virus, processi di sistema e applicazioni comuni. ===================================================================================================================== Capitolo Antispyware A differenza del resto dei programmi che si occupano della sicurezza dei nostri pc,questa è definibile come una macrocategoria che al suo interno racchiude programmi differenti tra loro per le modalità con cui fanno da scudo al codice maligno. Per capire però cos'è un antispyware e come esso agisce preferirei chiarire il concetto di spyware,e nello specifico per quale motivo si fa una distinzione tra tale malware e i virus veri e propri. Uno spyware è una tipologia di malware che,una volta presente nel nostro sistema,raccoglie informazioni sulle nostre abitudini nella navigazione sulla rete:siti visitati,acquisti e dunque preferenze commerciali dell'utente,ovviamente all'insaputa di quest'ultimo.Successivamente queste informazioni,attraverso il file infetto presente sul sistema,vengono trasmesse via internet a una società che ne usufruirà per trarne profitto in particolare inviando pubblicità al sistema infetto. La caratteristica principale che contraddistingue uno spyware da un virus sta nel fatto che senza l'intervento dell'utente essi non sono in grado di diffondersi autonomamente(un pò come avviene per i trojan,se vogliamo) Tali programmi inizialmente sono nati per lo più per rendere gratuiti all'utenza finale programmi che senza questa forma di "finanziamento" sarebbero a pagamento,questo era il caso dei vari divx PRO(gator),kazaa (newdotnet,c-zilla e cydoor),messenger 3 plus(C2Media,Lop.com) e flashget(cydoor) giusto per citarne alcuni. Ecco la richiesta di autorizzazoine per gain gator in fase di installazione del codec divx In queste condizioni lo spyware si avviava assieme al programma con cui esso esso era stato installato. Fin qui nulla di illecito,dal momento che l'utente era a conoscenza della necessarietà se non si voleva pagare il software,successivamente si è giunti a un cambiamento per cui il pc con dello spyware installato è considerabile infetto,in quanto i sintomi della lor presenza sono: la modifica della pagina iniziale; la modifica della lista dei Preferiti del browser; redirezione su falsi siti di e-commerce (phishing); l'installazione di dialer truffaldini per numeri a tariffazione speciale; saturazione della banda internet; sovraccarico di CPU e RAM con notevali e visibili a "occhio nudo"; comparsa di messaggi che alludono alla vulnerabilità del proprio sistema risolvibili con l'installazione di fantomatici e improbabili software,per cui talune volte viene anche richiesto pagamento tramite carte di credito La loro installazione infatti non avviene con trasparenza assieme al'esecuzione del programma lecito,ma principalmente visitando pagine web designate per sfruttare falle di sicurezza dei browser per consentire l'esecuzione automatica di applicativi non sicuri,spyware appunto. Con l'evolversi della minaccia anche i programmi che si occupano della loro rimozione son cambiati:se inizialmente era necessario avere sul pc uno solo di questi programmi che si preoccupava di ripulire il sistema solamente una volta lanciata la scansione manualmente,a oggi siamo arrivati a programmi simili in tutto e per tutto ad un vero e proprio antivirus,ossia dotati di firme aggiornate più volte quotidianamente e di una protezione in tempo reale. Possiamo dunque già fare un distinguo in programmi(citandone alcuni tra i più comuni): che informano dell'infezione solo una volta che l'utente ha lanciato manualmente la scansione,dunque si viene a conoscenza dell'avvenuta infezione solo una volta eseguito il controllo(Spybot Search & Destroy,Ad-Aware Pe); che agiscono alla stessa stregua di un antivirus,dotati di una protezione in tempo reale che viene eseguita in avvio automatico con l'avvio di windows ma che comunque permettono all'utente di lanciare manualmente delle scansioni sul proprio sistema(Avg Antispyware) che fanno della prevenzione sul proprio pc,apportando delle modifiche al sistema per cui ne risulti impossibile l'infezioni dai malware riconosciuti dalle firme del programma(cosidetta "immunizzazione" attuata da programmi come Spyware Blaster e Spybot Search & Destroy). . E si vero che per essere relativamente sicuri di esser protetti da questo minacce conviene installare più antispyware,ma è anche vero che non serve infarcire il sistema con questi programmi,ancor meno utilizzandone per tutti la protezioni in real time,per tale motivo penso che con un immunizzatore(spyware blaster) uno antispyware per le scansioni manuali(spybot,che funge anche da immunizzatore) uno per la protezione in real-time(avg-antispyware,a patto che se ne acquisti la licenza) ci si possa ritenere al riparo dalla stragrande maggioranza di spyware del nostro sistema,cookie traccianti compresi. Ultima modifica di juninho85 : 13-07-2007 alle 17:39.