Last defense line

[sampei.nihira]

Leggo sempre più utenti nel forum "aiuto sono infetto cosa faccio ?" che, anche se ritengo accorti, in definitiva......... s'infettano.
A me non interessa l'ho sempre detto la disinfezione,interessa la prevenzione.
Un pc infetto è sempre una sconfitta.
Occorre potenziare le difese preventive.
Evidentemente qualcosa nelle linee di difesa concentriche non ha funzionato.
Forse sarebbe il caso che qualche utente prenda in esame di scrivere una guida in tal senso.

Io identificherei con la (linea 0) il sistema difensivo basilare.Identificato con i necessari aggiornamenti Microsoft e dei soft installati nel pc.
Magari illustrando sistemi che ricordano agli utenti in modo semplice come far ciò,mi viene ad esempio in mente il Secunia soft inspector a tal proposito.

Poi c'è la (linea 1) indispensabile come la linea 0 composta da un firewall,un antivirus,un antispyware.Io inserirei in questa linea difensiva anche l'uso di un browser alternativo ad i.E.

Linea 0 + linea 1 se con Windows Vista possono essere sufficienti alla protezione di un pc connesso ad internet con XP (impostazioni di default) risultano invece ampiamente insufficienti.

Occorre inserire un ulteriore linea difensiva.
Una specie di protezione estrema,l'ultima linea difensiva che è in grado di proteggere il sistema se l'accoppiata 0+1 fallisce.

(Last defense line)

In questa linea si devono inserire le protezioni evolute:

Account limitati,Riduzione dei privilegi del browser,HIPS,Vitualizzazioni e quanto altro.

Ogni utente naturalmente predisporrà la (linea LDL) come meglio crede ed usando magari un solo soft oppure una serie di soluzioni che non entrano in conflitto tra loro ma invece insieme amplificano la propria attività difensiva.
Io credo che sia nostro compito dare elementi agli utenti perchè prendano in esame di dotare il proprio pc di questa ultima linea difensiva.
Come credo che un utente che prende visione di ciò modifica in parte una sua "forma mentis".
Se l'utente ha nel proprio pc predisposta solo la linea 0+1 deve prendere coscienza che il suo sistema difensivo NON è come riteneva lui/lei ampiamente adeguato MA anzi è, alla luce delle nuove minacce che è possibile reperire in internet,INADEGUATO.

Cosa ne pensate ?

[W.S.]

In linea di massima hai ragione, a seconda del modo di vedere si possono fare distinzioni sul numero di "linee" e sulla reale separazione esistente tra esse ma il discorso di base quello rimane.

Non concordo nel passaggio "nostro compito". Son convinto che è compito di ogni utente difendere la propria macchina e di informarsi su come farlo, non che sia compito di altri difendere la macchina dell'utente.

Non capisco però che tipo di materiale vuoi fornire, o meglio, in che forma vuoi fornirlo. Di fatto, in particolare nella sotto-sezione "aiuto sono infetto" ma non solo, questo materiale esiste già nella sezione. Penso che la maggior parte delle volte sia l'utente a non aver voglia di cercarlo e non la mancanza di esso il problema.
Siamo sicuri che una raccolta/guida possa aiutare? Come si potrebbe organizzare?

[nV 25]

il post mi è piaciuto...

editato per contenere le mie solite minchiate..

Resto sintonizzato...

[sampei.nihira]

Quote:

Originariamente inviato da W.S.

In linea di massima hai ragione, a seconda del modo di vedere si possono fare distinzioni sul numero di "linee" e sulla reale separazione esistente tra esse ma il discorso di base quello rimane.

Non concordo nel passaggio "nostro compito". Son convinto che è compito di ogni utente difendere la propria macchina e di informarsi su come farlo, non che sia compito di altri difendere la macchina dell'utente.

Non capisco però che tipo di materiale vuoi fornire, o meglio, in che forma vuoi fornirlo. Di fatto, in particolare nella sotto-sezione "aiuto sono infetto" ma non solo, questo materiale esiste già nella sezione. Penso che la maggior parte delle volte sia l'utente a non aver voglia di cercarlo e non la mancanza di esso il problema.
Siamo sicuri che una raccolta/guida possa aiutare? Come si potrebbe organizzare?

W.S mi fai tante domande ed a tutte non sò o posso rispondere.
Però immedesimiamoci noi stessi negli altri.
Non dirmi che frequentando questa sezione del forum non hai mai imparato qualche cosa che non sapevi,o avevi sottovalutato,o tralasciato per i motivi più vari anche pigrizia o mancanza di tempo e mille altri motivi.

Ho in mente quello di fornire in linea generale un aiuto diverso da quello della sezione che ho specificato...... direi integrativo non certamente sostituitivo.
Hai presente quel detto non dare un pesce a chi ha fame ma insegnagli a pescare ?

Senza contare che io sono sempre Sampei e quindi se parliamo di pesca......

Se altri avessero la possibilità di imparare dalla nostra competenza un concetto difensivo,cioè prendessero coscienza di un deficit e non di una fatalità (quello di essere infettati) io credo sarebbe meglio no ?

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

il post mi è piaciuto...

Gradevole anche il concetto di LDL che deriva dallo sviluppo di L0/L1...

editato per contenere le mie solite minchiate..

Resto sintonizzato...

Enne io non sarei capace di mettere su carta e rendere pratico questo concetto.
Ma ritengo che questa sezione abbia validi elementi che possono farlo.
Se naturalmente la cosa sarà condivisa e quindi ci sarà da parte di qualcuno la volontà di fare.....

[W.S.]

Ora che ho capito meglio la proposta, mi piace parecchio

Non mi è ancora chiara però la forma ideale da dare a questo insieme di informazioni. Voglio dire, è una cosa che tocca tutti i livelli, è gigantesca, come facciamo a mettere insieme tutte queste informazioni? Da che parte iniziare? Quanto a fondo andare? E' meglio una serie di articoli, una guida, dei thread, appoggiarsi ad un sito/blog esterno?

P.S.: Ovvio che ho imparato e continuo a imparare nei post del forum, altrimenti che ci resterei a fare?!

[sampei.nihira]

Quote:

Originariamente inviato da W.S.

Ora che ho capito meglio la proposta, mi piace parecchio

Non mi è ancora chiara però la forma ideale da dare a questo insieme di informazioni. Voglio dire, è una cosa che tocca tutti i livelli, è gigantesca, come facciamo a mettere insieme tutte queste informazioni? Da che parte iniziare? Quanto a fondo andare? E' meglio una serie di articoli, una guida, dei thread, appoggiarsi ad un sito/blog esterno?

P.S.: Ovvio che ho imparato e continuo a imparare nei post del forum, altrimenti che ci resterei a fare?!

Naturalmente il grosso del lavoro sarebbe per la LDL.
Come fare ?
Eh.....qui ti voglio a rendere pratico un concetto teorico.....

La linea 1 in pratica coinvolge tutta questa sezione del forum e non dovrebbe essere approfondita ma solo evidenziata.

La linea 0 invece è una simbiosi trà gli aggiornamenti Microsoft e gli aggiornamenti dei soft presenti nel pc.
Mentre gli aggiornamenti Microsoft sono automatici quelli dei soft installati nei nostri pc sono solitamente demandati agli utenti.
Se naturalmente sanno l'importanza di fare ciò.

Io ritengo che avere un soft installato che ricordi all'utente di aggiornare alcuni soft che ha installati nel pc sia FONDAMENTALE per la prevenzione delle infezioni.
E tutto ciò dovrebbe essere semplice e facile (automatico) come fare gli aggiornamenti M.
Naturalmente il concetto pratico della mia linea 0 completa ed efficiente è in questo forum svolgo manualmente nella sezione NEWS per la maggior parte da c.m.g..........


Ho reperito nel forum di Generazione net un ottima e semplice guida per l'installazione di SECUNIA PSI che completa la mia idea di linea 0.

http://generazionenet.itadib.com/sof...blem-t402.html

Non ci resterebbe che la nostra "ultima linea di difesa"

p.s. naturalmente ogni utente può contribuire a questo concetto teorico,dire la sua e magari renderlo....pratico !!

secondo me andrebbe incentivato anche l'uso di programmi come returnil...sia per la semplicità d'uso, sia perché questo risolve alla radice il problema della pulizia da malware...oppure di software come drive image (per citarne uno freeware)

[Franz.]

Io vi posso dire due cose: la prima è la mia esperienza personale e relativa proprio ad un problema simile, e la seconda è il mio parere sull'iniziativa.

Riguardo alla mia esperienza, vi posso dire che mi son trovato nelle condizioni di dover "formare" del personale da addestrare all'uso di un applicazione particolarmente seria, la quale per funzionare necessita dell'uso di certificati digitali x509, connessione internet e tante belle cose. Io, ebbi l'incarico di preparare assieme ad altri colleghi dei corsi mirati proprio a cercare di "aprire gli occhi" (perchè in fondo di questo si tratta) a queste persone che poi avrebbero dovuto cominciare a navigare in internet per gestire quest'applicazione. Ovvio che si è dovuto parlare di tutto e non solo dell'applicazione in sè e per sè. Si è parlato concretamente dei rischi di intrusioni informatiche, di cavalli di troia, sniffer ecc.
Ragazzi, vi dico solo che la maggior parte di questa gente (circa 230 persone per renderci un attimo conto) sapeva usare a malapena word.
Tutta questa premessa, solamente per portare in questo 3d (che comunque mi piace, ottima iniziativa sampei ) la mia testimonianza che è quella che la maggior parte della gente vuole navigare tranquilla. Senza dover toccare nulla però.
Che vuol dire? Che non è sufficiente che gli diciamo quali prodotti usare, ma gli dovremo dire anche come installarli, come configurarli (magari secondo la regola del "tutto chiuso" ) e per finire anche come usarli.
Quindi, imho valutando l'iniziativa sotto questo aspetto la cosa diventa sicuramente onerosa per noi, ma presenterà il vantaggio di essere sicuramente un "progetto" esaustivo. Che però, andrà sicuramente revisionato a cadenze regolari, altrimenti sarà un'ottima guida si, un eccellente vademecum ma inesorabilmente a validità limitata.

Per ciò che riguarda il mio parere sull'iniziativa, vi posso dire che sono senz'altro favorevole! Non s'era capito?
Io sono uno convinto che Internet (ed i sistemi informatici) sia una risorsa inesauribile, una miniera di informazioni in qualsiasi campo che non ha eguali. E come tale pertanto che debba essere fruibile non solo dagli ingegneri informatici o dai fisici nucleari, ma anche (e soprattutto) dalla comune gente che deve poter accedere a questa risorsa senza dover ogni volta rischiare danni o problemi per qualche loro ignoranza (nel senso di cose che non sanno ovviamente, perchè per loro ancora troppo riservata agli addetti al settore, nulla di più errato) o perchè il lamerone di turno gli ha fatto qualche bello scherzetto.
Attenzione inoltre, sempre secondo me, sarebbe altrettanto indispensabile inserire in ognuna delle linee di condotta, la cultura del "backup", quale indispensabile atto finalizzato appunto al salvataggio dei dati, e che rientra di diritto nella più ampia accezzione per la messa in sicurezza di un pc.
Prevenire un infezione è importante.
Sapersi difendere dai pericoli della rete e dei supporti informatici in genere, è importantissimo.
Rimediare ai danni di un infezione (o di un guasto) è indispensabile.
Rammento a tutti infatti, che i dati si rischia di perderli non solo a causa di un virus o per danni simili, ma anche perchè (ad es.) si può rompere l'HD, che comunque è una parte elettromeccanica, soggetta anche ad usura. E quindi sarebbe buona cosa (per fortuna questa dovrebbe essere la più semplice) mettere in condizione i fruitori di questa futura guida, di riuscire a trovare il metodo a loro più congeniale per salvare i loro dati, al fine di poterli ripristinare.

Ecco. Per ora ho scritto tutto ciò che mi è venuto in mente. Andiamo avanti.

[deneb87]

Quote:

Originariamente inviato da sampei.nihira

Ho reperito nel forum di Generazione net un ottima e semplice guida per l'installazione di SECUNIA PSI che completa la mia idea di linea 0.

http://generazionenet.itadib.com/sof...blem-t402.html

Non ci resterebbe che la nostra "ultima linea di difesa"

p.s. naturalmente ogni utente può contribuire a questo concetto teorico,dire la sua e magari renderlo....pratico !!

LA GUIDA non è ancora completa ed sarà completata entro domani, con l'agguinta della descrizione di alcune funzioni di SECUNIA PSI.

PS: so che il MOD bazzica sempre da queste parti, aspetto sempre e comunque le SCUSE pubbliche.

[Chill-Out]

So di essere in parte OT ma visto che si parla di Secunia PSI segnalo anche:

• UpdateStar http://www.updatestar.com/
• SUMo http://www.kcsoftwares.com/?sumo
• RadarSync http://www.radarsync.com/
• Update Checker http://filehippo.com/updatechecker/ * disponibile anche in versione Standalone
• Belarc Advisor http://www.belarc.com/free_download.html
• App Update http://www.apple.com/downloads/dashb...appupdate.html
  per utenti Mac

[Franz.]

Bè? Che si fa?

[W.S.]

Quote:

Originariamente inviato da Franz.

Bè? Che si fa?

Personalmente non ho ancora trovato un buon modo di impostare la cosa, cmq ci sto ancora meditando.
Il problema, come giustamente hai scritto, è che l'utente non vuole e non dovrebbe essere costretto a sapere il perché delle cose. Purtroppo questo significa semplificare troppo e rendere inutile tutto il discorso

[xcdegasp]

per secunia psi era stato aperto un thread qui in questo forum proprio da sanpei:
http://www.hwupgrade.it/forum/showthread.php?t=1351658

comunque non so se avete provato il prodotto da installare localmente ma a me e su tutti i pc in cui ho provato si piantava sempre all'80% della scansione.
quindi io prediligo quello online che risulta essere anche mooolto più veloce


Chill-Out giustamente focalizza l'attenzione anche su le innumerevoli alternative come servizi di segnalazione update, come tra le altre cose fece a suo tempo deepdark con questo thread segnalandone uno:
http://www.hwupgrade.it/forum/showthread.php?t=1640878



@ deneb87 :
sei un po' inopportuno su questo thread e hai scritto la stessa cosa in altri 4 luoghi, questo sarebbe crossposting.. evita perfavore

[@Sirio@]

Quote:

Originariamente inviato da sampei.nihira

Leggo sempre più utenti nel forum "aiuto sono infetto cosa faccio ?" che, anche se ritengo accorti, in definitiva......... s'infettano.
A me non interessa l'ho sempre detto la disinfezione,interessa la prevenzione.
Un pc infetto è sempre una sconfitta.
Occorre potenziare le difese preventive.
Evidentemente qualcosa nelle linee di difesa concentriche non ha funzionato.
Forse sarebbe il caso che qualche utente prenda in esame di scrivere una guida in tal senso.
[...]
Cosa ne pensate ?

Piace molto anche a me la tua idea... certo, è un lavorone però se più persone si dividono i compiti e in particolare se qualcuno si prende la briga di coordinare il tutto (penso sia proprio qui la difficoltà), si potrebbe fare. IMHO sarebbe utile a tutti e faciliterebbe il lavoro di configurazione per la sicurezza degli utenti meno esperti.

Quote:

Originariamente inviato da Franz.

[...]
Che vuol dire? Che non è sufficiente che gli diciamo quali prodotti usare, ma gli dovremo dire anche come installarli, come configurarli (magari secondo la regola del "tutto chiuso" ) e per finire anche come usarli.
[...]

Per questo basta indirizzarli nella sottosezione "Guida all'uso dei programmi"

[Polonio]

finito tutto l'entusiasmo?!?!?!?!?

[sampei.nihira]

Per gli utenti che prediligono uno scan esclusivamente ON LINE consiglio:

http://support.f-secure.it/ita/home/...ces/fshc.shtml

Che nonostante i suoi limiti è certamente più "completo" del SSI.

[Bugs Bunny]

ho disegnato uno schema elementare di come un malware infetta un sistema attraversando le linee di difesa

[sampei.nihira]

Visto che l'argomento l'ho riportato in auge ritengo DOVEROSO far notare agli utenti (quindi a tutti gli utenti nessuno escluso) come stiamo combinati attualmente in tema "epidemia di siti infetti".

Per dovere di cronaca l'argomento è stato evidenziato dallo Staff di Generazione NET il 9 Maggio 2008.....io lo riprendo solamente ad esempio:

http://generazionenet.itadib.com/ana...rado-t724.html

Per facilitare la comprensione inserisco delle immagini del mio desktop.



Opera per dovere di cronaca lanciato da privilegi limitati allarma l'utente con l'avviso,e fin qui nulla di nuovo rispetto a ciò che è evidenziato su Generazione.



Anche dopo aver premuto "ANNULLA" niente da fare interviene l'antivirus.



Qualche diversità con K-Meleon 1.1.5 USB premendo "ANNULLA" non si evidenzia l'intervento dell'antivirus.



Al 17/05/2008 VIRUSTOTAL evidenzia che ne Norton ne Kaspersky (tanto per citare i più noti) riconoscono il malware.

Oggi la situazione del sito è la stessa e sono passati quasi 10 gg da quando Lancetta ha evidenziato la cosa.
Quindi una LAST DEFENSE LINE è oltremodo oggi indispensabile per navigare sotto windows.

Naturalmente esorto gli utenti a NON entrare senza opportuni accorgimenti nel sito incriminato.


Grazie per l'attenzione a voi i commenti !!

[nV 25]

no problem:

a casa di "babbo" questi problemi non si presentano


PS : Generazionenet mi piace, cosi' come mi piace il suo staff...

Per ritornare infatti al discorso "apparentemente sborone", si vede (al solito) un magico .exe in x:\document and settings\...\ (fotarella tua..) o in x:\Sandbox\...\ (lancetta)...



Qualsiasi HIPS anche se antidiluviano avvertirebbe di un magico TENTATIVO di esecuzione in corso....

IMO, se la FIRST LINE DEFENCE è LA TESTA* & un semplice HIPS con (anche) la SOLA funzione di ANTI-EXECUTABLE, il 99,..% dei malwares se ne stà dietro la porta indipendentemente dalle tecnologie che vi siano implementate....(in regime ovviamente di accont con diritti a paletta)...














...e senza neppure vedere le fasi successive l'esecuzione come accessi a file/cartelle, registro (di classe /di sistema ) and so on...


*Testa = non credo si debba avere una laurea per capire che file come opr005Y6.exe sono anomali...
opr005Y6.exe che, oltretutto, "nasce" da una "navigazione"....

Bà, no comment e W i coglioni che si infettano ogni 3x2...