Hardware Upgrade Forum - View Single Post - Protezione del Computer: consigli e valutazioni

Polonio · 06-07-2009, 01:16

--- thread in aggiornamento---

Prefazione:
L'intento di questo post è, senza troppe pretese, quello di porre l'utente nelle condizioni di poter scegliere la configurazione di sicurezza più adatta alle proprie esigenze e possibilità.
Nelle “Considerazioni Generali” cercherò di illustrare il funzionamento e le caratteristiche delle varie categorie di software nel modo più chiaro e semplice possibile, e in base a quanto detto in questo capitolo verranno poi illustrati i software consigliati per ogni categoria e, quando disponibile, per ogni software sarà linkato il thread dedicato del forum.
Alcuni punti potrebbero risultare semplificati, ma lo scopo del post è quello di offrire una panoramica generale nell'ambito della sicurezza, non quello di fornire un dettagliato manuale tecnico.
ps: il post, per sua natura, necessità di aggiornamenti: saranno effettuati nei limiti del possibile

Quest'opera è distribuita con la seguente licenza Creative Commons:

---

Considerazioni Generali

Solitamente l'antivirus è alla base di una configurazione di sicurezza: questo infatti controlla in tempo reale la ram e i file in esecuzione nel computer bloccandoli quando individua che il file/processo è malevolo. Il riconoscimento dell'antivirus si basa su 2 sistemi: il database (virus già riscontrati e aggiunti tra le firme virali) e l'euristica (sistema che permette di riconoscere un virus anche se non ancora inserito nel database virale). Se l'antivirus fosse in grado di bloccare ogni programma malevolo, non avremo bisogno di altro e avremo un computer sempre "pulito". Ma per quanto buono possa essere un antivirus, questo non sarà mai in grado di riconoscere tutte le infezioni in circolazione (ne creano una al secondo) e non può sapere che un programma che al suo interno non ha alcun codice malevolo sta in realtà inviando tutti i nostri dati a qualcun altro nel mondo. Per questo motivo l'uso del solo antivirus non è mai sufficiente.

Tra i software da aggiungere all'antivirus per aumentare il proprio livello di sicurezza c'è sicuramente il firewall. Questo software permette di filtrare i dati in entrata e in uscita dal computer rispondendo a regole impostate: grazie al firewall possiamo quindi decidere ciò che può trasmettere dati con l'esterno e ciò che, invece, non può. Le versioni di Windows da XP in poi hanno già integrato un firewall; il firewall di XP però si occupa solo del traffico in entrata, e quello di Vista, che pure si occupa del traffico in uscita, risulta tra i peggiori firewall in circolazione... probabilmente perché la Microsoft ha preferito "risparmiare" ai suoi utenti (molto spesso utonti) configurazioni complicate e pop-up fastidiosi... Fatto sta che se si vuole garantire un buon livello di sicurezza al proprio computer è consigliato disattivare quello di Windows e installare e utilizzarne uno tra quelli che verranno proposti nel seguente post.

HIPS: (l'acronimo di Host Intrusion Prevention System) sono implementati in tutti i firewall software citati di seguito. L'obbiettivo degli HIPS è quello di chiedere l'autorizzazione all'utente per qualsiasi cambiamento nel computer (creazione/rimozione/spostamento di file; processi avviati/terminati; cambiamenti nelle voci del registro ecc ecc) e permette quindi un controllo dell'intero computer. In via teoria, quindi, si potrebbero utilizzare solo firewall e HIPS per impedire infezioni e la fuoriuscita non autorizzata di dati (cè anche qualcuno che lo fa) ma “errare è umano” (e soprattutto è niubbo), e non esiste software senza bug o falla... per questo, ai più, è consigliata l'aggiunta di altre categorie di software nella propria configurazione di sicurezza.

L'utilizzo di un HIPS, oltre a poter risultare invasivo, richiede comunque una buona conoscenza del computer: sapere cosa è lecito e cosa non è lecito autorizzare ad un determinato programma così da poter adeguatamente rispondere ai pop-up che ci verranno proposti. Esiste allora una categoria di software, quella dei cosiddetti Behavior Blockers, che potrebbe essere interessante. In breve, questi software analizzano il comportamento dei processi in atto nel computer per determinare se si tratta di processi malevoli o meno. Nella maggior parte dei casi non hanno un database di firme da tenere aggiornato, bensì si basano su un database comunitario, il che li rende efficaci anche contro gli 0-days. I behavior blockers svolgono, in pratica, gli stessi compiti di un HIPS, ma a differenza di questi però, riservano a loro stessi, e non più all'utente, la decisione da prendere sulle azioni monitorate.

Come dicevamo prima i malware in circolazione sono milioni, e ogni giorno ne vengono creati di nuovi, per questo motivo un antivirus che viene reputato buono, è solo un antivirus che, rispetto agli altri, è in grado di rilevare una maggiore percentuale di malware.
Quindi, per cercare di aumentare le probabilità di individuare un software malevolo, oltre all'antivirus vengono utilizzati i cosiddetti antimalware. In seguito verranno esposti i software che offrono una protezione in tempo reale (da affiancare a quella dell'antivirus) e quei software che invece vengono solitamente utilizzati solo per scansioni periodiche.

Veniamo ora al browser: da qui, infatti, proviene buona parte delle minacce con cui potremo avere a che fare. Su tutti i sistemi Windows di default è già presente Internet Explorer, e per questo motivo è il browser più utilizzato al mondo. In realtà però è un software che, rispetto alla concorrenza, è molto indietro sia dal punto di vista della velocità sia da quello della sicurezza (presenta infatti numerose falle).Pertanto è consigliato l'utilizzo di un altro browser.

Software di virtualizzazione e sandboxing: qualora un malware dovesse riuscire a “sfuggire” dal real-time dell'antivirus, dell'eventuale antimalware e a bypassare gli HIPS, l'ultima speranza è da riporre proprio in un software di virtualizzazione. Spiegare il concetto di “virtualizzazione” richiederebbe parecchio tempo ma per quanto ci riguarda ci basta sapere che questi software ci permettono di circoscrivere i danni dell'eventuale infezione in un delimitato spazio (Sandboxie) o in un periodo di tempo (Returnil).
Ulteriori informazioni nel seguito del post.

Software Specifici

Antivirus:
Avira Antivir è considerato, almeno per ora, il miglior antivirus gratuito disponibile.
Questo presenta, oltre alla versione completa a pagamento, una versione gratuita senza limitazioni di tempo. Questa versione gratuita però comporta, tra le tante di minore importanza, la minore velocità nel download degli aggiornamenti, la presenza di una finestra di pubblicità e la mancanza del controllo mail e web (quest'ultimi ritenuti da alcuni anche controproducenti).
Tra le migliori alternative free ad Avira ci sono: Avast 5 (con i numerosi moduli di controllo e la varietà di impostazioni che lo contraddistinguono), Microsoft Essential Elements (che, al contrario, è il classico "installa e vai"); nel panorama del Cloud Computing (per chi non sapesse cosa sia, qui c'è una facile spiegazione) è invece da segnalare il free PandaCloud.
Tra i migliori programmi a pagamento, che ricordo non necessariamente superiori ad Avira free, ci sono Kaspersky, NOD32,Norton Antivirus, G-Data e BtiDefender.
Su av-comparatives è disponibile una comparativa tra i software antivirus considerata tra le più affidabili.

Firewall / HIPS:
Per i software di questa categoria occorre far distizione tra i più moderni e blasonati "firewall + hips", e i firewall "puri".
I software della prima categoria offrono certamente un livello di sicurezza superiore che però richiede un certo coinvolgimento dell'utente.
Tra questi software il migliore (in termini di risultati, s'intende) è Comodo Firewall: questo software, se prima era riservato solo agli utenti più esperti, nelle ultime versioni è diventato accessibile praticamente a tutti grazie ad una serie di regole preimpostate, whitelist, trends comunitari e via dicendo; tuttavia l'enorme mole di configurazioni disponibili potrebbe, in caso di un impostazione errata, o impedire il corretto svolgimento di certe funzioni del sistema, o lasciarlo vulnerabile e esposto a rischi. Pur non volendo scoraggiare l'utilizzo dell'ottimo software appena citato, ricordo che non mancano certo delle valide alternative più usefriendly. Tra questi troviamo la versione free di Online Armor* (nonostante sia dotata anch'essa di un modulo HIPS piuttosto invasivo) e ancor di più PCTools Firewall Plus, Outpost Firewall 2009** e Private Firewall**.
*supporta i 64bit solo in una versione beta
** non disponibili in italiano
Un test comparativo (considerato molto affidabile) tra i software di questa categoria è svolto e aggiornato dalla Matousec ed è raggiungibile cliccando QUI.

Tra i cosiddetti "firewall puri", invece, rientrano sicuramente quelli integrati in Windows: fatta eccezione del firewall incluso in XP (che è praticamente inutile), i firewall di Windows Vista e 7 offrono una discreta quantità di opzioni per il controllo sia per il traffico in entrata che per quello in uscita, essendo quindi una soluzione adatta soprattutto per chi si trova già coperto dal firewall integrato nel router o comunque ha la certezza di trovarsi su un computer "pulito" e con una bassa possibilità di infezione.
Perchi fosse interessato, QUI c'è una guida (in inglese) per configurare ed utilizzare al meglio questi firewall.
Da citare c'è anche Gostwall.

Behavior Blockers:
In questa categoria si distinguono ThreatFire e Mamutu (shareware).

Antimalware / Antispyware:
Il concetto di malware và spesso a confondersi con quello di virus, e quindi l'uso di un antimalware in realtime può essere considerato superfluo se abbiamo già attivo il guard dell'antivirus. Inoltre è da tenere presente che Avira, Kaspersky e generalmente tutti i grandi software antivirus dicono di includere anche il controllo sul malware generico.
Tuttavia è consigliabile comunque tenere installato almeno uno di questi software per delle scansioni ondemand.
A questo fine si possono utilizzare Emisoft Antimalware (ex A-Squared, con molti falsi positivi e la disponibilità di una versione standalone), MalwareBytes Antimalware e SuperAntispyware (di cui è adesso disponibile un online scan qui).
Nonostante nella versione free non sia possibile (ultimati i 30 giorni della tryal) rimuovere le minacce trovate, HitmanPro potrebbe risultare un ottima scelta: questo software, sfruttando la già citata tecnologia "cloud" è grado di analizzare il computer in pochissimo tempo, utilizzando anche le firme di programmi quali (attualmente) G-Data, Ikarius, Prevx, Dr.Web e Emisoft.
Rimando comunque al Thread Ufficiale degli Antispyware/malware per qualsiasi chiarimento.

Prevx 3.0 (ex Edge): nonostante sia un antimalware può essere posto, a mio parere, in una categoria a parte. Il motivo risiede nel fatto che, senza intaccare la sua efficacia, il suo consumo di risorse è talmente basso da rendere questo software consigliato per qualsiasi configurazione di sicurezza.
La versione gratuità però non blocca/rimuove le infezioni rilevate, ma il suo uso in realtime è comunque consigliato in quanto, segnalata la minaccia, è possibile bloccarla con un HIPS o rimuoverla con un antimalware (sas, emisoft a-m, mbam ecc). Dall'ultima versione integra anche il "SafeOnLine", un modulo per la protezione del sistema durante la navigazione (utilizzabile a pieno solo nella versione pro).
Per guida/download/chiarimenti ed eventuali problemi QUI cè il thread ufficiale.

Virtualizzazione/Sandbox:
Per completare la spiegazione del concetto di virtualizzazione, iniziata nella prima parte del post, andiamo ad analizzare i principali software che fanno parte di questa categoria.
Sandboxie: questo software si occupa di creare, per l'appunto, una sandbox (=recinto) nella quale è possibile scegliere di eseguire intere applicazioni; a queste applicazioni Sandboxie concede i diritti di lettura ma “dirotta” quelli di scrittura all'intero della sandbox, nella quale vengono così racchiuse le modiche che l'applicazione del caso apporta al sistema. Facendo un esempio: se noi dovessimo avviare il browser sotto Sandboxie, potremo comunque vedere i cookie memorizzati precedentemente, ma qualora navigando se ne dovessero aggiungere altri, questi rimarrebbero salvati solo all'interno del browser sandboxato. Come per i cookie, qualsiasi azione un malware dovesse intraprendere attraverso il browser (o qualsiasi altro programma) sandboxato, rimarrebbe limitata solo all'interno di questa sandbox, e basterà svuotare quest'ultima per rimuoverlo.
Returnil: è teoricamente più efficace in quanto virtualizza l'intero sistema operativo (e non più solo singole applicazioni), ma potrebbe essere anche più fastidioso a causa dei riavvii che richiede per funzionare. Quando attiviamo Returnil questo crea una istantanea dell'intero sistema e, da questo punto in poi, ogni cambiamento che avverrà nel nostro computer (nel bene e nel male) sparirà al successivo riavvio.
GesWall: questo software è in grado di isolare le applicazioni che solitamente veicolano malware (oltre al browser, i software di p2p, le applicazione di instant messaging ecc) permettendo a queste di compiere, in base a delle regole preimpostate (ma editabili) e aggiornate dagli sviluppatori, solo le operazioni considerate potenzialmente non pericolose.
SteadyState è prodotto direttamente dalla MS, e il suo funzionamento non si distacca particolarmente da quello di Returnil. Nel link associato sono disponibili ulteriori spiegazioni.
Tra i software di virtualizzazione bisogna anche citare Wubi e VirtualBox, per i quali occorre qualche ulteriore precisazione. Entrambe i software virtualizzano non più singole applicazioni ne un istantanea del computer in uso, bensì permettono la virtualizzazione di un altro sistema operativo (virtual machine) internamente a quello in uso e di utilizzarlo come una normale applicazione, con il solito vantaggio di circoscrivere a quello eventuali danni ed infezioni.

L'utilizzo di questi software, nonostante possano essere bypassati da qualche (rarissima) minaccia, è comunque consigliato indipendentemente dalla propria configurazione.

Antirootkit:
La maggior parte degli antivirus e degli antimalware si dicono in grado di rilevare questo tipo di minacce. Tuttavia ci sono dei software specifici come ad esempio: GMER, o RootRepeal.
Esiste, inoltre, un apposito sito con la lista completa dei software: antirootkit.com e una discussione dedicata sul forum.

SUITE: Le cosiddette "suite di sicurezza" sono software all-in-one che racchiudono, in genere, funzioni di antivirus, antimalware,hips e firewall; tuttavia l'uso combinato di software specifici (e gratuiti) fornisce solitamente una maggiore protezione.
La migliore suite di sicurezza al momento è quella a pagamento di Kaspersky. Purtroppo su questo versante la concorrenza free non è particolarmente agguerrita, ma è comunque degna di nota la suite del già citato Comodo (gratuita anche per uso commerciale) che pecca principalmente nell'antivirus (và comunque ricordato che è un prodotto relativamente giovane, e visti i precedenti della software house, potrebbe diventare un prodotto quantomeno interessante).

Browser:
Tra i browser alternativi a IE si consigliano Firefox (con apposite estensioni), Opera e ChromePlus. Proteggere il browser con sandbox, blacklist o quant'altro è comunque consigliabile.
Cliccando QUI trovate il thread ufficiale sulle configurazioni dei vari browser curando l'aspetto della sicurezza.

Altri (software che non rientrano nelle categorie convenzionali):
DriveSentry: ha il suo punto di forza nell'integrazione di varie tipologie di software: monitorizza sistema e dati personali chiedendo l'autorizzazione all'utente per eventuali cambiamenti (HIPS), basandosi inoltre su una blacklist di firme aggiornate quotidianamente (antivirus) e su un database comunitario (CIPS). update: sembra essere discontinuato.
Defense Wall: permette all'utente di dividere i software in 2 categorie: trusted e untrusted. I software della prima categoria avranno pieno accesso al sistema, mentre gli altri verranno eseguiti in un'area virtuale (separati dal sistema e dai trusted software) e con diritti limitati.
Malware Defender: composto fondamentalmente da un potente modulo HIPS al quale sono stati aggiunti un firewall, un proces manager (dotato anche di un sistema per l'individuazione dei rootkit), un kernel manager e tante altre varie funzioni "minori" come l'editor di registro, gestione dei programmi in avvio automatico ecc ecc.... Oltre all'home page del prodotto (già linkata) c'è anche una discussione dedicata sul forum (click).

06-07-2009, 01:16	#1
Polonio Senior Member Iscritto dal: Jan 2008 Messaggi: 562	Protezione del Computer: consigli e valutazioni --- thread in aggiornamento--- Prefazione: L'intento di questo post è, senza troppe pretese, quello di porre l'utente nelle condizioni di poter scegliere la configurazione di sicurezza più adatta alle proprie esigenze e possibilità. Nelle “Considerazioni Generali” cercherò di illustrare il funzionamento e le caratteristiche delle varie categorie di software nel modo più chiaro e semplice possibile, e in base a quanto detto in questo capitolo verranno poi illustrati i software consigliati per ogni categoria e, quando disponibile, per ogni software sarà linkato il thread dedicato del forum. Alcuni punti potrebbero risultare semplificati, ma lo scopo del post è quello di offrire una panoramica generale nell'ambito della sicurezza, non quello di fornire un dettagliato manuale tecnico. ps: il post, per sua natura, necessità di aggiornamenti: saranno effettuati nei limiti del possibile Quest'opera è distribuita con la seguente licenza Creative Commons: --- Considerazioni Generali Solitamente l'antivirus è alla base di una configurazione di sicurezza: questo infatti controlla in tempo reale la ram e i file in esecuzione nel computer bloccandoli quando individua che il file/processo è malevolo. Il riconoscimento dell'antivirus si basa su 2 sistemi: il database (virus già riscontrati e aggiunti tra le firme virali) e l'euristica (sistema che permette di riconoscere un virus anche se non ancora inserito nel database virale). Se l'antivirus fosse in grado di bloccare ogni programma malevolo, non avremo bisogno di altro e avremo un computer sempre "pulito". Ma per quanto buono possa essere un antivirus, questo non sarà mai in grado di riconoscere tutte le infezioni in circolazione (ne creano una al secondo) e non può sapere che un programma che al suo interno non ha alcun codice malevolo sta in realtà inviando tutti i nostri dati a qualcun altro nel mondo. Per questo motivo l'uso del solo antivirus non è mai sufficiente. Tra i software da aggiungere all'antivirus per aumentare il proprio livello di sicurezza c'è sicuramente il firewall. Questo software permette di filtrare i dati in entrata e in uscita dal computer rispondendo a regole impostate: grazie al firewall possiamo quindi decidere ciò che può trasmettere dati con l'esterno e ciò che, invece, non può. Le versioni di Windows da XP in poi hanno già integrato un firewall; il firewall di XP però si occupa solo del traffico in entrata, e quello di Vista, che pure si occupa del traffico in uscita, risulta tra i peggiori firewall in circolazione... probabilmente perché la Microsoft ha preferito "risparmiare" ai suoi utenti (molto spesso utonti) configurazioni complicate e pop-up fastidiosi... Fatto sta che se si vuole garantire un buon livello di sicurezza al proprio computer è consigliato disattivare quello di Windows e installare e utilizzarne uno tra quelli che verranno proposti nel seguente post. HIPS: (l'acronimo di Host Intrusion Prevention System) sono implementati in tutti i firewall software citati di seguito. L'obbiettivo degli HIPS è quello di chiedere l'autorizzazione all'utente per qualsiasi cambiamento nel computer (creazione/rimozione/spostamento di file; processi avviati/terminati; cambiamenti nelle voci del registro ecc ecc) e permette quindi un controllo dell'intero computer. In via teoria, quindi, si potrebbero utilizzare solo firewall e HIPS per impedire infezioni e la fuoriuscita non autorizzata di dati (cè anche qualcuno che lo fa) ma “errare è umano” (e soprattutto è niubbo), e non esiste software senza bug o falla... per questo, ai più, è consigliata l'aggiunta di altre categorie di software nella propria configurazione di sicurezza. L'utilizzo di un HIPS, oltre a poter risultare invasivo, richiede comunque una buona conoscenza del computer: sapere cosa è lecito e cosa non è lecito autorizzare ad un determinato programma così da poter adeguatamente rispondere ai pop-up che ci verranno proposti. Esiste allora una categoria di software, quella dei cosiddetti Behavior Blockers, che potrebbe essere interessante. In breve, questi software analizzano il comportamento dei processi in atto nel computer per determinare se si tratta di processi malevoli o meno. Nella maggior parte dei casi non hanno un database di firme da tenere aggiornato, bensì si basano su un database comunitario, il che li rende efficaci anche contro gli 0-days. I behavior blockers svolgono, in pratica, gli stessi compiti di un HIPS, ma a differenza di questi però, riservano a loro stessi, e non più all'utente, la decisione da prendere sulle azioni monitorate. Come dicevamo prima i malware in circolazione sono milioni, e ogni giorno ne vengono creati di nuovi, per questo motivo un antivirus che viene reputato buono, è solo un antivirus che, rispetto agli altri, è in grado di rilevare una maggiore percentuale di malware. Quindi, per cercare di aumentare le probabilità di individuare un software malevolo, oltre all'antivirus vengono utilizzati i cosiddetti antimalware. In seguito verranno esposti i software che offrono una protezione in tempo reale (da affiancare a quella dell'antivirus) e quei software che invece vengono solitamente utilizzati solo per scansioni periodiche. Veniamo ora al browser: da qui, infatti, proviene buona parte delle minacce con cui potremo avere a che fare. Su tutti i sistemi Windows di default è già presente Internet Explorer, e per questo motivo è il browser più utilizzato al mondo. In realtà però è un software che, rispetto alla concorrenza, è molto indietro sia dal punto di vista della velocità sia da quello della sicurezza (presenta infatti numerose falle).Pertanto è consigliato l'utilizzo di un altro browser. Software di virtualizzazione e sandboxing: qualora un malware dovesse riuscire a “sfuggire” dal real-time dell'antivirus, dell'eventuale antimalware e a bypassare gli HIPS, l'ultima speranza è da riporre proprio in un software di virtualizzazione. Spiegare il concetto di “virtualizzazione” richiederebbe parecchio tempo ma per quanto ci riguarda ci basta sapere che questi software ci permettono di circoscrivere i danni dell'eventuale infezione in un delimitato spazio (Sandboxie) o in un periodo di tempo (Returnil). Ulteriori informazioni nel seguito del post. Software Specifici Antivirus: Avira Antivir è considerato, almeno per ora, il miglior antivirus gratuito disponibile. Questo presenta, oltre alla versione completa a pagamento, una versione gratuita senza limitazioni di tempo. Questa versione gratuita però comporta, tra le tante di minore importanza, la minore velocità nel download degli aggiornamenti, la presenza di una finestra di pubblicità e la mancanza del controllo mail e web (quest'ultimi ritenuti da alcuni anche controproducenti). Tra le migliori alternative free ad Avira ci sono: Avast 5 (con i numerosi moduli di controllo e la varietà di impostazioni che lo contraddistinguono), Microsoft Essential Elements (che, al contrario, è il classico "installa e vai"); nel panorama del Cloud Computing (per chi non sapesse cosa sia, qui c'è una facile spiegazione) è invece da segnalare il free PandaCloud. Tra i migliori programmi a pagamento, che ricordo non necessariamente superiori ad Avira free, ci sono Kaspersky, NOD32,Norton Antivirus, G-Data e BtiDefender. Su av-comparatives è disponibile una comparativa tra i software antivirus considerata tra le più affidabili. Firewall / HIPS: Per i software di questa categoria occorre far distizione tra i più moderni e blasonati "firewall + hips", e i firewall "puri". I software della prima categoria offrono certamente un livello di sicurezza superiore che però richiede un certo coinvolgimento dell'utente. Tra questi software il migliore (in termini di risultati, s'intende) è Comodo Firewall: questo software, se prima era riservato solo agli utenti più esperti, nelle ultime versioni è diventato accessibile praticamente a tutti grazie ad una serie di regole preimpostate, whitelist, trends comunitari e via dicendo; tuttavia l'enorme mole di configurazioni disponibili potrebbe, in caso di un impostazione errata, o impedire il corretto svolgimento di certe funzioni del sistema, o lasciarlo vulnerabile e esposto a rischi. Pur non volendo scoraggiare l'utilizzo dell'ottimo software appena citato, ricordo che non mancano certo delle valide alternative più usefriendly. Tra questi troviamo la versione free di Online Armor* (nonostante sia dotata anch'essa di un modulo HIPS piuttosto invasivo) e ancor di più PCTools Firewall Plus, Outpost Firewall 2009** e Private Firewall*. supporta i 64bit solo in una versione beta non disponibili in italiano Un test comparativo (considerato molto affidabile) tra i software di questa categoria è svolto e aggiornato dalla Matousec ed è raggiungibile cliccando QUI. Tra i cosiddetti "firewall puri", invece, rientrano sicuramente quelli integrati in Windows: fatta eccezione del firewall incluso in XP (che è praticamente inutile), i firewall di Windows Vista e 7 offrono una discreta quantità di opzioni per il controllo sia per il traffico in entrata che per quello in uscita, essendo quindi una soluzione adatta soprattutto per chi si trova già coperto dal firewall integrato nel router o comunque ha la certezza di trovarsi su un computer "pulito" e con una bassa possibilità di infezione. Perchi fosse interessato, QUI c'è una guida (in inglese) per configurare ed utilizzare al meglio questi firewall. Da citare c'è anche Gostwall. Behavior Blockers*: In questa categoria si distinguono ThreatFire* e Mamutu (shareware). Antimalware / Antispyware: Il concetto di malware và spesso a confondersi con quello di virus, e quindi l'uso di un antimalware in realtime può essere considerato superfluo se abbiamo già attivo il guard dell'antivirus. Inoltre è da tenere presente che Avira, Kaspersky e generalmente tutti i grandi software antivirus dicono di includere anche il controllo sul malware generico. Tuttavia è consigliabile comunque tenere installato almeno uno di questi software per delle scansioni ondemand. A questo fine si possono utilizzare Emisoft Antimalware (ex A-Squared, con molti falsi positivi e la disponibilità di una versione standalone), MalwareBytes Antimalware e SuperAntispyware (di cui è adesso disponibile un online scan qui). Nonostante nella versione free non sia possibile (ultimati i 30 giorni della tryal) rimuovere le minacce trovate, HitmanPro potrebbe risultare un ottima scelta: questo software, sfruttando la già citata tecnologia "cloud" è grado di analizzare il computer in pochissimo tempo, utilizzando anche le firme di programmi quali (attualmente) G-Data, Ikarius, Prevx, Dr.Web e Emisoft. Rimando comunque al Thread Ufficiale degli Antispyware/malware per qualsiasi chiarimento. *Prevx 3.0* (ex Edge): nonostante sia un antimalware può essere posto, a mio parere, in una categoria a parte. Il motivo risiede nel fatto che, senza intaccare la sua efficacia, il suo consumo di risorse è talmente basso da rendere questo software consigliato per qualsiasi configurazione di sicurezza. La versione gratuità però non blocca/rimuove le infezioni rilevate, ma il suo uso in realtime è comunque consigliato in quanto, segnalata la minaccia, è possibile bloccarla con un HIPS o rimuoverla con un antimalware (sas, emisoft a-m, mbam ecc). Dall'ultima versione integra anche il "SafeOnLine", un modulo per la protezione del sistema durante la navigazione (utilizzabile a pieno solo nella versione pro). Per guida/download/chiarimenti ed eventuali problemi QUI cè il thread ufficiale. Virtualizzazione/Sandbox: Per completare la spiegazione del concetto di virtualizzazione, iniziata nella prima parte del post, andiamo ad analizzare i principali software che fanno parte di questa categoria. Sandboxie: questo software si occupa di creare, per l'appunto, una sandbox (=recinto) nella quale è possibile scegliere di eseguire intere applicazioni; a queste applicazioni Sandboxie concede i diritti di lettura ma “dirotta” quelli di scrittura all'intero della sandbox, nella quale vengono così racchiuse le modiche che l'applicazione del caso apporta al sistema. Facendo un esempio: se noi dovessimo avviare il browser sotto Sandboxie, potremo comunque vedere i cookie memorizzati precedentemente, ma qualora navigando se ne dovessero aggiungere altri, questi rimarrebbero salvati solo all'interno del browser sandboxato. Come per i cookie, qualsiasi azione un malware dovesse intraprendere attraverso il browser (o qualsiasi altro programma) sandboxato, rimarrebbe limitata solo all'interno di questa sandbox, e basterà svuotare quest'ultima per rimuoverlo. Returnil: è teoricamente più efficace in quanto virtualizza l'intero sistema operativo (e non più solo singole applicazioni), ma potrebbe essere anche più fastidioso a causa dei riavvii che richiede per funzionare. Quando attiviamo Returnil questo crea una istantanea dell'intero sistema e, da questo punto in poi, ogni cambiamento che avverrà nel nostro computer (nel bene e nel male) sparirà al successivo riavvio. GesWall: questo software è in grado di isolare le applicazioni che solitamente veicolano malware (oltre al browser, i software di p2p, le applicazione di instant messaging ecc) permettendo a queste di compiere, in base a delle regole preimpostate (ma editabili) e aggiornate dagli sviluppatori, solo le operazioni considerate potenzialmente non pericolose. SteadyState è prodotto direttamente dalla MS, e il suo funzionamento non si distacca particolarmente da quello di Returnil. Nel link associato sono disponibili ulteriori spiegazioni. Tra i software di virtualizzazione bisogna anche citare Wubi e VirtualBox, per i quali occorre qualche ulteriore precisazione. Entrambe i software virtualizzano non più singole applicazioni ne un istantanea del computer in uso, bensì permettono la virtualizzazione di un altro sistema operativo (virtual machine) internamente a quello in uso e di utilizzarlo come una normale applicazione, con il solito vantaggio di circoscrivere a quello eventuali danni ed infezioni. L'utilizzo di questi software, nonostante possano essere bypassati da qualche (rarissima) minaccia, è comunque consigliato indipendentemente dalla propria configurazione. Antirootkit: La maggior parte degli antivirus e degli antimalware si dicono in grado di rilevare questo tipo di minacce. Tuttavia ci sono dei software specifici come ad esempio: GMER, o RootRepeal. Esiste, inoltre, un apposito sito con la lista completa dei software: antirootkit.com e una discussione dedicata sul forum. SUITE: Le cosiddette "suite di sicurezza" sono software all-in-one che racchiudono, in genere, funzioni di antivirus, antimalware,hips e firewall; tuttavia l'uso combinato di software specifici (e gratuiti) fornisce solitamente una maggiore protezione. La migliore suite di sicurezza al momento è quella a pagamento di Kaspersky. Purtroppo su questo versante la concorrenza free non è particolarmente agguerrita, ma è comunque degna di nota la suite del già citato Comodo (gratuita anche per uso commerciale) che pecca principalmente nell'antivirus (và comunque ricordato che è un prodotto relativamente giovane, e visti i precedenti della software house, potrebbe diventare un prodotto quantomeno interessante). Browser: Tra i browser alternativi a IE si consigliano Firefox (con apposite estensioni), Opera e ChromePlus. Proteggere il browser con sandbox, blacklist o quant'altro è comunque consigliabile. Cliccando QUI trovate il thread ufficiale sulle configurazioni dei vari browser curando l'aspetto della sicurezza. Altri (software che non rientrano nelle categorie convenzionali): DriveSentry: ha il suo punto di forza nell'integrazione di varie tipologie di software: monitorizza sistema e dati personali chiedendo l'autorizzazione all'utente per eventuali cambiamenti (HIPS), basandosi inoltre su una blacklist di firme aggiornate quotidianamente (antivirus) e su un database comunitario (CIPS). update: sembra essere discontinuato. Defense Wall: permette all'utente di dividere i software in 2 categorie: trusted e untrusted. I software della prima categoria avranno pieno accesso al sistema, mentre gli altri verranno eseguiti in un'area virtuale (separati dal sistema e dai trusted software) e con diritti limitati. Malware Defender: composto fondamentalmente da un potente modulo HIPS al quale sono stati aggiunti un firewall, un proces manager (dotato anche di un sistema per l'individuazione dei rootkit), un kernel manager e tante altre varie funzioni "minori" come l'editor di registro, gestione dei programmi in avvio automatico ecc ecc.... Oltre all'home page del prodotto (già linkata) c'è anche una discussione dedicata sul forum (click). Ultima modifica di Polonio : 25-08-2010 alle 18:28.