No,non sono diventato matto !!

E' un titolo nel titolo.

E' altresi una domanda che anche gli utenti linux si pongono come noi utenti windows.
Per chi vuole saperne di più:

http://forum.ubuntu-it.org/index.php?topic=56521.msg321180#msg321180

Se volete potete leggere le impressioni degli utenti e le risposte di alcuni personaggi competenti.

Ho aperto questo 3D per avere impressioni direi dall'altro punto di vista,quello di utenti windows..

Riassumo i due punti di vista più in voga sotto linux:

a) Non c'è bisogno di antivirus perchè non serve a nulla e se per disgrazia il tuo sistema è "portatore sano" ed invii un file infetto ad un pc windows lui tanto dovrebbe essere protetto.

b) No,occorre evitare di infettare gli altrui sistemi,quindi se c'è interazione con i sistemi windows un antivirus è eticamente obbligatorio (questa è la posizione ritengo minoritaria)

Considerate che in un sistema linux non c'è nulla, se non è installato l'antivirus che però per linux stesso non ha alcuna utilità, che vi avvisi che, ad esempio, l'allegato che state per inviare tramite posta elettronica è infetto per un sistema operativo Windows......

Esiste una security suite.
E' formata da un interfaccia firewall (la più in voga sarebbe Firestarter) che fà da ponte con il firewall del sistema IP-tables.
Ed un antivirus,per i sistemi desktop quello più in voga sembra ClamTK.

La "materia nostra" vista con gli occhi di altri utenti che non si preoccupano di spyware,adware,tracking cookie,e virus vari.
Quasi per nulla perfino dei rootkit e ne hanno ben ragione se la lista 2007 di antirootkit.com riporta che tutti gli "animaletti" nati quest'anno sono eclusivi per windows:

http://www.antirootkit.com/rootkit-list.htm

Spero sia interessante,perchè non si finisce mai d'imparare.
Grazie per l'attenzione e se volete potete dire la vostra in tema.

questo atteggiamento degli utenti Linux certe volte mi fa proprio venire voglia di scrivere un bel virus per Linux, ma di quelli micidiali.

io sostengo che l'antiìvirus andrebbe fin d'ora usato su sistemi linux proprio perchè ora non ve ne sono e la guerra sarebbe a larga scala.

il problema non è se ci sono o quanti ce ne siano di malware per linux, come abbiamo avuto modo di apprendere dalla gang di gromozon, basta un po' di fantasia e si trova il modo di inoculare o comunque di "disturbare" la vittima e farla innervosire.
ed è appunto corretto che tutti i sistemi contribuiscano a bloccare tempestiva,mente diffusioni di malware.


attualmente linux per quanto possa essere o apparire "blindato" non possiede le stesse tecniche avanzate di controllo dei processi, tipo software HIPS ch e appunto possa mantenere il controllo dei processi.
si dovrebbe anche finalmente proporre un firewall semplice come quelli su linux nel quale con due click creare una benedetta regola per applicazione e non per porta di comunicazione!

in sostanza il mio punto di vista è che questa attegiamento nel mondo linux sia solo deleterio nel lungo periodo aumentando l'abisso dall'user friendly e dal poter ottenere una rete di comunicazione navigabile.
basterebbe veramente poco per dare gli strumenti sostenuti e sviluppati dalle entrate del settore windows :)

Normalmente non avrei risposto per evitare l'inutile solito flame ma vorrei precisare un paio di cose:
- un forum di ubuntu NON rappresenta tutti gli utenti linux, ubuntu è notoriamente usato (per la maggior parte, ovviamente le eccezzioni ci sono) da nuovi utenti, da utenti che vogliono tutto pronto subito e soprattutto da utenti poco sensibili alla sicurezza rispetto alla media degli utenti linux.
- Linux non ha HIPS? basta cercare un attimo su google per trovarne (tipo http://www.f-secure.it/products/fsavssl.html). Non ha sistemi avanzati per il controllo dei processi??? Mai sentito parlare di SELinux? Di PaX, di chroot di AppArmor...
- iptables (il firewall). Verissimo, non è per nulla amichevole ma se lo conosci permette una gestione del traffico estremamente completa. Non solo, se non ti basta quello che mette a disposizione, puoi scrivere un modulo (user-space tra l'altro) che controlla quello che vuoi. Un utente vuole una conferma per ogni pacchetto? Può scriversi un programma che fa proprio questo, personalmente stò scrivendo qualcosa di simile e il fatto di poterlo fare "non ha prezzo".

Sull'atteggiamento del mondo linux potremmo stare a parlare per anni senza concludere nulla, semplicemente non esiste un comportamento omogeneo dipende dalla gente con cui discuti.
Sul fatto che anche su linux bisognerebbe fare attenzione ai virus/simili ti do pienamente ragione.

P.S.:
basterebbe veramente poco per dare gli strumenti sostenuti e sviluppati dalle entrate del settore windows questa non l'ho capita ...

l'iptables lavora con le porte ma non per applicazione quindi se voglio bloccare konquero cosa faccio?
se voglio bloccare evolution cosa faccio?
nulla perchè non lavora per applicazione ma per porte :)

sulla questione hips ora studierò quanto mi hai proposto. come controllo processi sì ti do ragione ma forse hai franteso quello che volevo dire.. ma intendevo proprio il lavoro che svolge un hips.
ps: f-secure è una suite, e precisamente "F-Secure Linux Server Security".. io ho chiesto un hips :)


basterebbe veramente poco per dare gli strumenti sostenuti e sviluppati dalle entrate del settore windows
che basterebbe veramente poco offrire a linux gli strumenti già sviluppati nel mondo windows (quindi ampiamente appoggiati economicamente da tali utenti e ditte) che per tale ambiente sono obsoleti ma allo stesso tempo d'avanguardia per il mondo linux.

per fare un esempio pratico a linux manca attualmente un controllo paragonabile a outpost-free. tale programma è stato sviluppato e studiato con i soldi del mondo windows e costerebbe veramente poco riprodurlo nel mondo linux :)
o offrire un antivirus all'altezza e stabile..

l'iptables lavora con le porte ma non per applicazione quindi se voglio bloccare konquero cosa faccio?
se voglio bloccare evolution cosa faccio?
nulla perchè non lavora per applicazione ma per porte :)
Non è vero, come ho detto prima, iptables offre i mezzi per controllare tutto di una connessione, dal livello 2 in su, anche in user-space, da "man iptables":

owner
This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP
ping responses) may have no owner, and hence never match.

--uid-owner userid
Matches if the packet was created by a process with the given effective user id.

--gid-owner groupid
Matches if the packet was created by a process with the given effective group id.

--pid-owner processid
Matches if the packet was created by a process with the given process id.

(Please note: This option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux kernel sources. And if support for this
option is available for the specific Linux kernel source version, that support might not be enabled in the current Linux kernel binary.)

--sid-owner sessionid
Matches if the packet was created by a process in the given session group.

(Please note: This option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux kernel sources. And if support for this
option is available for the specific Linux kernel source version, that support might not be enabled in the current Linux kernel binary.)

--cmd-owner name
Matches if the packet was created by a process with the given command name.

E se questo non basta, si può scrivere un modulino che controlla quello che vuoi.
Verissimo che non è una cosa banale da fare, ma bisogna tenere conto che linux è diverso da win, utenti compresi. Insomma se ci si accontenta di usare passivamente linux hai più che ragione linux può apparire arretrato, se lo si vuole utilizzare davvero no.

Per il "porting" di applicazioni giustissimo, ogni esperienza fa scuola e sarebbe sciocco ripercorrere gli stessi passi. Il problema potrebbero essere le licenze dei software (cosa su cui gli utenti linux sono mediamente più sensibili), bisogna anche vedere quali applicazioni bisogna importare e quali no. Esempio, importare un firewall non serve, servirebbe importare/scopiazzare un'interfaccia per iptables.

Per gli antivirus credo proprio di non poterti contraddire :), penso che il problema (e non tutti lo reputano un problema) sia proprio quello sollevato in precedenza: mediamente gli utenti linux se ne fregano dei virus e visto che, purtroppo, molti dei nuovi utenti passano a linux perché credono di immunizzarsi da tutti i problemi in un colpo solo... la situazione non migliora.

Uso Vista da oltre 7 mesi ormai, senza alcun antivirus (un esperimento), ma accedo con account limitato e uac abilitato, navigo con firefox...

Quanto alle email uso Outlook 2007 configurato per la sola ricezione delle intestazioni (titolo e altre info) della mail.

Di conseguenza mi posso reputare abbastanza soddisfatto, credo che l'aver dotato Windows di un sistema di gestione privilegi più efficacie e per certi versi simile a Linux sia stata un'ottima mossa, che aumenta in maniera sostanziale la sicurezza intrinseca di un sistema.

Aggiungo che navigo dietro router, in modalità Stealth.

Io non faccio uso di antimalware su nessuno dei sistemi operativi che utilizzo (Mac OS X Tiger, Windows Vista ed Arch) ma su tutti ho configurato un firewall (ipfw, Windows Firewall - abilitando il controllo inbound ed outbound - e iptables). :p
Credo che neppure su Windows un antimalware sia necessario se il sistema è configurato per lavorare con il minor livello di privilegi possibile, con un po' di attenzione non ho mai preso malware quindi direi che si può tranquillamente fare a meno di questi software di sicurezza. Gli unici software che approvo sono gli hips. ;)

Come utente windows ormai sono abituato ai miei softs di protezione e senza di questi mi sentirei come uscire senza orologio.....cioè nudo !! :D

Ma come utente linux (da non molto) ancora non ho capito bene l'aspetto firewall.
Faccio un esempio pratico:

L'utente linux è di default non root.
E' anche importante come si connette tale utente alla rete !!!
Immaginiamo che sia dietro ad un ADSL router ethernet ad ip dinamico (modo in media maggiormente usato).
Il pc non è connesso in modalità "always-on".
Utente quindi desktop, magari privato, e non server.

A cosa serve il Fw ?

Ed infatti i vari commenti che finora ho letto per il web sull'uso del fw con linux sono del tipo:

-se proprio volete stare in una botte di ferro.....

-se siete paranoici.......

-avere un fw non guasta.....

Insomma sembra che sia una cosa in più che male non fà......ma non necessaria anzi indispensabile......stile windows !!!

E' così oppure sono in errore ?

Tanti utenti GNU/Linux pensano di essere inattaccabili solo perché usano GNU/Linux ma io continuo a pensare che un firewall, sia hardware o software sia sempre e comunque necessario.

mi ero già informato, e ho sempre letto che per ora un antivirus e un fw su linux non serve praticamente a niente... di virus ce ne sono pochi, e non si è utenti root, quindi, a meno che non si sia davvero sfi****i o niubbi,, infettarsi il pc è praticametne impossibile
però non sapevo che potrei infettare un utente windows tramite linux.. credo che non installero' antivirus solo per infettare gli utenti microsoft:ciapet: muahahah :D ovviamente no...

cmq.. una cosa che mi cheido da un pò è: su linux è possibile essere infettati da spyware (anche?) per windows?? perchè non ho mai sentito parlare di antispyware per linux..:confused:

@WarDuck
Ma hai fatto una qualche scansione per vedere se non hai virus e spywares?? magari ne hai, ma non lo sai:D

mi ero già informato, e ho sempre letto che per ora un antivirus e un fw su linux non serve praticamente a niente... di virus ce ne sono pochi, e non si è utenti root, quindi, a meno che non si sia davvero sfi****i o niubbi,, infettarsi il pc è praticametne impossibile
però non sapevo che potrei infettare un utente windows tramite linux.. credo che non installero' antivirus solo per infettare gli utenti microsoft:ciapet: muahahah :D ovviamente no...

cmq.. una cosa che mi cheido da un pò è: su linux è possibile essere infettati da spyware (anche?) per windows?? perchè non ho mai sentito parlare di antispyware per linux..:confused:

@WarDuck
Ma hai fatto una qualche scansione per vedere se non hai virus e spywares?? magari ne hai, ma non lo sai:D

No non esistono dal versante linux gli spyware come per Windows.
Però occorre fare attenzione ai possibili bugs del browser usato.
Sarà anche per quello (è quindi un motivo psicologico ed anche naturalmente di preferenza) che anche sotto linux il mio browser predefinito resta e rimane (nonostante sia stato piuttosto faticoso settarlo perchè la pappa scodellata è sempre per FF) Opera !! :D

avrei una domanda, ma il sistema Linux, essendo OpenSource non rende più facile la creazione di Virus potenzialmente distruttivi e magari irrilevabili?

avrei una domanda, ma il sistema Linux, essendo OpenSource non rende più facile la creazione di Virus potenzialmente distruttivi e magari irrilevabili?
Rende anche più semplice scovare i bug, ci sono molte persone che lavorano al codice e quindi è più semplice migliorarlo, inoltre i cracker non pongono molta attenzione ai mondi alternativi a Windows e per finire la configurazione di default del sistema rende più complicato scrivere un virus funzionante.
Considera che solo impostare un account limitato su Windows ed utilizzarlo invece di un account amministratore riduce considerevolmente i problemi di sicurezza di quest'ultimo. ;)

Rende anche più semplice scovare i bug, ci sono molte persone che lavorano al codice e quindi è più semplice migliorarlo, inoltre i cracker non pongono molta attenzione ai mondi alternativi a Windows e per finire la configurazione di default del sistema rende più complicato scrivere un virus funzionante.
Considera che solo impostare un account limitato su Windows ed utilizzarlo invece di un account amministratore riduce considerevolmente i problemi di sicurezza di quest'ultimo. ;)

Una cosa inoltre che lascia sbalorditi è che gli aggiornamenti proposti tramite il "gestore aggiornamenti" non sono come per Windows a cadenza mensile ma direi quasi giornaliera.

Una cosa inoltre che lascia sbalorditi è che gli aggiornamenti proposti tramite il "gestore aggiornamenti" non sono come per Windows a cadenza mensile ma direi quasi giornaliera.
La versione stabile del kernel viene aggiornata mensilmente, il DE viene aggiornato con cadenze diverse, per esempio GNOME ha un ciclo release di 6 mesi se non erro KDE qualche cosa di meno invece.
Sono le piccole utility che vengono aggiornate maggiormente oppure dei pacchetti che non vengono aggiornati a livello di codice ma che necessitano comunque di essere ricompilati perché variano delle dipendenze (eg. un esempio è il kernel c'è la versione 2.6.20-14 e la 2.6.20-15 - in Ubuntu per esempio - il codice è lo stesso, il -14 o -15 indicano che è solo stato ricompilato). :)
Poi ci sono pacchetti gestiti completamente dalla comunità che invece vengono compilati giornalmente da cvs/svn/git. ;)

Rende anche più semplice scovare i bug, ci sono molte persone che lavorano al codice e quindi è più semplice migliorarlo, inoltre i cracker non pongono molta attenzione ai mondi alternativi a Windows e per finire la configurazione di default del sistema rende più complicato scrivere un virus funzionante.
Considera che solo impostare un account limitato su Windows ed utilizzarlo invece di un account amministratore riduce considerevolmente i problemi di sicurezza di quest'ultimo. ;)

grazie per la delucidazione

avrei una domanda, ma il sistema Linux, essendo OpenSource non rende più facile la creazione di Virus potenzialmente distruttivi e magari irrilevabili?
e tra l'altro, da quel che so, di solito hackers, crackers ecc ecc hanno simpatia per linux... quindi ci sono meno virus

e per finire la configurazione di default del sistema rende più complicato scrivere un virus funzionante. rende più difficile infettare files di sistema, vero, ma fintanto che un utente potrà accedere ai suoi documenti un virus che gira sotto il suo account potrà sempre cancellarli senza problemi :D

l'unica vera soluzione a questo problema sono le sandbox, utilizzate non troppo spesso che io sappia. chroot è un esempio di sandbox; la modalità protetta di IE7 è un altro. fortunatamente IE7 sta introducendo le sandbox nell'uso comune.

rende più difficile infettare files di sistema, vero, ma fintanto che un utente potrà accedere ai suoi documenti un virus che gira sotto il suo account potrà sempre cancellarli senza problemi :D

sì ma devi eseguirlo un virus su linux e non potremmo chiamarlo come tale perchè significherebbe installarlo manualmente :)
poi non riusciresti a nasconderlo dai processi in esecuzione.
riassumendo se hai un sistema che nasconde le informazioni all'utente è più facile nascondere un programma maligno, e in questo linux non aiuta il malwarewriter :)

l'unica vera soluzione a questo problema sono le sandbox, utilizzate non troppo spesso che io sappia. chroot è un esempio di sandbox; la modalità protetta di IE7 è un altro. fortunatamente IE7 sta introducendo le sandbox nell'uso comune.
secondo me hai frainteso il discorso... nel senso questo è corretto su windows ma per linux no.
e il discorso che hai ripreso era su linux :p

per quanto riguarda windows, IE può introdurre qualsiasi cosa ma rimane troppo viuncolato al sistema indiper cui si avranno sempre falle coesistenti..

rende più difficile infettare files di sistema, vero, ma fintanto che un utente potrà accedere ai suoi documenti un virus che gira sotto il suo account potrà sempre cancellarli senza problemi :D
Non sempre è vero, tramite SELinux è possibile discriminare l'accesso a risorse anche in base al processo e non solo in base all'utente che lo esegue. Vero è che non tutte le distro integrano SELinux di default. (Fedora si, ubuntu non mi sembra).

Su linux serve comunque il firewall, in rete si legge che è inutile perché molti utenti linux (soprattutto alle prime armi) si vantano dell'affidabilità del (per loro nuovo) sistema ma vi assicuro che di bug ce ne sono, di attacchi pure. Certo, il rischio è estremamente minore e fortunatamente gli aggiornamenti sono veramente frequenti. Inoltre ogni distro è leggermente diversa dalle altre (kernel patchato in qualche modo, pacchetti in più o in meno, ...) quindi un eventuale virus ha ben più difficoltà a diffondersi visto che potrebbe funzionare su una distro ma su un'altra no.

rende più difficile infettare files di sistema, vero, ma fintanto che un utente potrà accedere ai suoi documenti un virus che gira sotto il suo account potrà sempre cancellarli senza problemi :D
E' vero ma tutti i sistemi operativi sono vulnerabili in questo caso, non solo Windows.

Non sempre è vero, tramite SELinux è possibile discriminare l'accesso a risorse anche in base al processo e non solo in base all'utente che lo esegue. Vero è che non tutte le distro integrano SELinux di default. (Fedora si, ubuntu non mi sembra).
Mai visto nulla di così complicato da configurare, ci ho tentato ma dopo qualche tempo ho desistito (anche perché non usando più Fedora non ho più installato SELinux).

Mai visto nulla di così complicato da configurare, ci ho tentato ma dopo qualche tempo ho desistito (anche perché non usando più Fedora non ho più installato SELinux).

:D si, semplice non è di certo :) però ti permette di avere un controllo degli accessi davvero... forte.

Io ho attivato Firestarter che parte in modo automatico all'avvio e
si posiziona nella barra.
Dopo lunghi anni di Windows mi piacciono "queste cosine grafiche":D
Però al momento non ho inserito la "restrittiva" per il traffico in uscita.
Credo che in queste condizioni netfilter sia impostato come il firewall nativo di XP giusto ?

Credo che in queste condizioni netfilter sia impostato come il firewall nativo di XP giusto ?

Non so come si comporta firestarter, comunque credo di si, dovrebbe uscire tutto quello che vuole uscire.
Per verificarlo senza ombra di dubbio, dovresti usare il comando "iptables" da shell.
("iptables -t filter -L OUTPUT -n -v" x la precisione ;) )

Non so come si comporta firestarter, comunque credo di si, dovrebbe uscire tutto quello che vuole uscire.
Per verificarlo senza ombra di dubbio, dovresti usare il comando "iptables" da shell.
("iptables -t filter -L OUTPUT -n -v" x la precisione ;) )
sai magari anche come impedire i porta scan recursivi? e impedire le richieste ARP se non abbiamo fatto richiesta noi?

per il resto mi basta non accettare le comunicazioni al di fuori del notebook :D :p

Se un pc non ha servizi (porte) aperti su internet non serve firewall perche` tanto non c'e` niente a cui collegarsi.

Un Linux si puo` sempre configurare in questo modo (puoi avere centomila servizi in esecuzione ma aperti solo sull'interfaccia ethernet), un Windows.. no, ma d'altra parte sulla tipica workstation Windows di servizi aperti ce ne possono facilmente essere zero con poco sforzo (esistono tool appositi per "chiudere" le porte in 2 clic), senza contare l'ormai ampia diffusione dei router domestici che fanno da filtro a monte.

E per di piu`, i firewall in windows sono stati introdotti inizialmente per problemi provenienti dall'interno! Servivano per lo piu` a sorvegliare l'uso 'illecito' di internet da parte di prog installati dall'utente, spyware vari e virus comunque infiltrati prima a livello applicativo (tutta roba che su Linux non esiste data la maggior sicurezza del livello app ma anche perche` si usa quasi esclusivamente software libero in cui nessuno ha interesse a ficcare degli spyware).

Solo piu` tardi con la diffusione di XP ci sono stati problemi il cui vettore *iniziale* e` stato realmente una connessione di rete (i worm, Blaster, Sasser eccetera) a causa di certi servizi aperti per default su tutte le interfacce, ma e` stato un episodio unico in pratica, e come ho detto per chiudere sti servizi bastano 2 clic con qualche tool chiuditore.

Tuttora il vero motivo dell'esistenza dei personal firewall di Windows rimane il controllo in uscita a causa della spropositata fauna di malware che circola in quell'ambiente.

ci sono innumerevoli falle nelle quali basta creare una pagina web opportunamente studiata per far interagire un programma affetto da una vulnerabilità per sfruttarle per prendere accesso alla macchina :)

un firewall serve a impedire questo... :D

ci sono innumerevoli falle nelle quali basta creare una pagina web opportunamente studiata per far interagire un programma affetto da una vulnerabilità per sfruttarle per prendere accesso alla macchina :)

un firewall serve a impedire questo... :D no. un firewall serve ad impedire a determinati processi di inviare o ricevere pacchetti su determinate porte, e a null'altro. in generale questo sistema di protezione non può in alcun modo contribuire ad impedire lo sfruttamento di una vulnerabilità, ma in compenso può impedire al trojan, una volta che si è installato nella macchina della vittima, di comunicare all'esterno, ma si tratterebbe comunque di una protezione assolutamente minima perché un malware per Windows può facilmente nascondersi all'interno di altri processi uscendo in Internet a nome loro; alcuni firewalls implementano delle tecniche per riconoscere, oltre al processo, anche il modulo esatto che effettua una certa richiesta, ma si tratta di meccanismi molto facilmente bypassabili (è sufficiente compilare il virus utilizzando l'opzione che disabilita gli stack frames: in altre parole al virus writer basta attivare un'opzione per i meccanismi di cui sopra).

E' vero ma tutti i sistemi operativi sono vulnerabili in questo caso, non solo Windows. tutti i sistemi operativi in cui non è possibile realizzare qualcosa di concettualmente analogo ad una sandbox, quindi vengono esclusi Windows e Linux :p
inoltre su Windows si può rimediare non solo con una sandbox, ma anche con una sessione multipla: imposti due account utente, uno che accede ad internet e l'altro no, e ti tieni i documenti nell'account che non accede. per switchare da un utente all'altro fai tasto Win+L e switchi tramite la schermata di logon. può darsi che esistano potenziali sistemi migliori ma non lo so, dovrei sfrugugliare bene le API Win32 per gestire i desktops e le window stations; in caso fosse possibile si potrebbe realizzare un programmetto che sta sul desktop di ciascuno dei due utenti e che permette di switchare con un solo clic (comodissimo, quasi quasi un giorno mi ci metto :D).

sì ma devi eseguirlo un virus su linux e non potremmo chiamarlo come tale perchè significherebbe installarlo manualmente :)
poi non riusciresti a nasconderlo dai processi in esecuzione. per entrambi i problemi esiste sempre l'ingegneria sociale, un attivo campo di ricerca nel settore virale informatico :asd:
chi potrebbe mai resistere ad uno screensaver che mostra cascate di letterine verdi stile Matrix? ne' utenti Windows ne' Linux :D

per quanto riguarda windows, IE può introdurre qualsiasi cosa ma rimane troppo viuncolato al sistema indiper cui si avranno sempre falle coesistenti.. l'idea che sta dietro una sandbox non è quella di impedire lo sfruttamento di un exploit: il browser o il programma jailato, qualunque esso sia, può avere tutti i bug di questo mondo, ma non riuscirà mai a fare danni ai documenti dell'utente e ai files di sistema. questa è l'idea.

no. un firewall serve ad impedire a determinati processi di inviare o ricevere pacchetti su determinate porte, e a null'altro. in generale questo sistema di protezione non può in alcun modo contribuire ad impedire lo sfruttamento di una vulnerabilità, ma in compenso può impedire al trojan, una volta che si è installato nella macchina della vittima, di comunicare all'esterno, ma si tratterebbe comunque di una protezione assolutamente minima perché un malware per Windows può facilmente nascondersi all'interno di altri processi uscendo in Internet a nome loro; alcuni firewalls implementano delle tecniche per riconoscere, oltre al processo, anche il modulo esatto che effettua una certa richiesta, ma si tratta di meccanismi molto facilmente bypassabili (è sufficiente compilare il virus utilizzando l'opzione che disabilita gli stack frames: in altre parole al virus writer basta attivare un'opzione per i meccanismi di cui sopra).

io ormai sono abituatoi ai firewall windows quindi quando parlo diu firewall non penso ad un iptables mi spiace ma attualòmente non ci riesco a pensarlo come iptables..
quindi pensandolo (come poi tentdi anche te a parlarne) su ambito windows ti assicuro che se tenti di sfruttare l'exploit del browser (esempio) per trasmettere codice arbitrario in quicktime (sempre un esempio) per assumere con l'accesso alla macchinae la scalata dei privilegi, l'interazione verrebbe bloccata dal firewall inquanto viene richiesta autorizzazione all'utente.
chiaro che se dal nulla viene la richiesta di accesso a quicktime nemme3no un utentino alle prime armi accetta :D
se il contesto rimane ben offuscato da social enginering è assolutamente facile pensare che ci sia anche un brevissimo video da visionare, ma è appunto qui che ritorna il firewall utoilissimo che blocca nuovamente l'uscita di Qtime perchè non volevamo mai che uscisse e quindi l'exploit non ha potuto avvenire visto che il programma non si è messo in comunicazione o per lo meno ha solo eseguito un codice arbitrario che non serve a nulla :)

tutti i sistemi operativi in cui non è possibile realizzare qualcosa di concettualmente analogo ad una sandbox, quindi vengono esclusi Windows e Linux :p
inoltre su Windows si può rimediare non solo con una sandbox, ma anche con una sessione multipla: imposti due account utente, uno che accede ad internet e l'altro no, e ti tieni i documenti nell'account che non accede. per switchare da un utente all'altro fai tasto Win+L e switchi tramite la schermata di logon. può darsi che esistano potenziali sistemi migliori ma non lo so, dovrei sfrugugliare bene le API Win32 per gestire i desktops e le window stations; in caso fosse possibile si potrebbe realizzare un programmetto che sta sul desktop di ciascuno dei due utenti e che permette di switchare con un solo clic (comodissimo, quasi quasi un giorno mi ci metto :D).

quindi lasci il "cambio rapido d'utente" attivo come servizio?
io non ci penso nemmeno a farlo :D

io ho fatto un'installazione di vista marcia (una prova con uan versione nemmeno attivata, in attesa della mia copia dalla ms)...ho disattivato il windows defender, non uso antivirus e navigo con internet explorer. Vado avanti da più di un mese così e ancora non ho beccato nulla, tenendo il solo firewall di windows attivo...finora nessun problema, magari perchè non ci sono virus per vista (non credo) o semplicemente perchè non clicco su qualsiasi cosa dice "cliccami" però sembra una cosa positiva. Soprattutto in paragone con xp, dove i virus entravano appena installato :D

io ho fatto un'installazione di vista marcia (una prova con uan versione nemmeno attivata, in attesa della mia copia dalla ms)...ho disattivato il windows defender, non uso antivirus e navigo con internet explorer. Vado avanti da più di un mese così e ancora non ho beccato nulla, tenendo il solo firewall di windows attivo...finora nessun problema, magari perchè non ci sono virus per vista (non credo) o semplicemente perchè non clicco su qualsiasi cosa dice "cliccami" però sembra una cosa positiva. tutto vero, confermo: l'avrà scritto almeno 10 volte, quindi significa che ne è proprio convinto :D

quindi lasci il "cambio rapido d'utente" attivo come servizio?
io non ci penso nemmeno a farlo :D perché? che ti fa? :wtf:

Avere firestarter attivo e residente nella barra è molto utile.
Quando il firewall entra in funzione bloccando qualche attacco l'icona da blu diventa rossa.
Puoi anche aprire firestarter e vedere quanti attacchi ha bloccato.
Da questa mattina stò eseguendo un test.
Ho connesso il pc (a-mule) e sono ben 8 gli attacchi fermati fino ad adesso.
Quindi credo si possa concludere che, avere un Fw settato bene anche sotto linux, è direi necessario.

Per chi conoscerà certamente meglio di me questo soft il protocollo è quasi sempre
ICMP (non è attivo di default va settato e scelto i parametri)+ 3 blocchi TCP porte ( 3146 - 2668).
http://img02.picoodle.com/img/img02/9/9/30/f_forumm_fe3c5fe.png

sai magari anche come impedire i porta scan recursivi? e impedire le richieste ARP se non abbiamo fatto richiesta noi?

per il resto mi basta non accettare le comunicazioni al di fuori del notebook :D :p
Per ostacolare i port scan si usa il target REJECT al posto di DROP, serve ad impostare la macchina in modo che si comporti esattamente come se la porta fosse chiusa (icmp-port-unreachable o anche un tcp_RST se connessione TCP)

Per scansioni ricorsive cosa intendi? Quelle legate al traceroute?

Per le richieste arp potresti iniziare con l'accettare solo i pacchetti provenienti da mac address fidati (-m mac --mac-source XXX mi sembra), qualcosa di pronto specifico per l'arp non lo conosco, bisognerebbe documentarsi un pochino, i controlli sullo stato della connessione (RELATED) non credo funzionino sull'arp. Comunque se trovo qualcosa in merito ti informo :)

Per ostacolare i port scan si usa il target REJECT al posto di DROP, serve ad impostare la macchina in modo che si comporti esattamente come se la porta fosse chiusa (icmp-port-unreachable o anche un tcp_RST se connessione TCP)

Per scansioni ricorsive cosa intendi? Quelle legate al traceroute?
nel senso su più porte in successione...
tipo se viene intercettato un port scan su 3 porte in contemporanea si potrebbe bloccare quell'IP per 20 o 30 minuti...
avrei a monte sempre un router ma appunto perchè ho quello a monte nel pc vorrei qualcosa che possa bloccare IP al verificarsi di una situazione e questa è quella che potrebbe individuare le casistiche base che sono le più ampie.

Per le richieste arp potresti iniziare con l'accettare solo i pacchetti provenienti da mac address fidati (-m mac --mac-source XXX mi sembra), qualcosa di pronto specifico per l'arp non lo conosco, bisognerebbe documentarsi un pochino, i controlli sullo stato della connessione (RELATED) non credo funzionino sull'arp. Comunque se trovo qualcosa in merito ti informo :)
non avrei sicuramente da aggiungere e togliere molti pc, ho un router e u n notebook da aggiungere quindi provo a vedere per la stringa.
se trovi qualcosa fai un fischio ;)