" C'è davvero bisogno di antivirus e/o Firewall "

[W.S.]

Quote:

Originariamente inviato da 71104

rende più difficile infettare files di sistema, vero, ma fintanto che un utente potrà accedere ai suoi documenti un virus che gira sotto il suo account potrà sempre cancellarli senza problemi

Non sempre è vero, tramite SELinux è possibile discriminare l'accesso a risorse anche in base al processo e non solo in base all'utente che lo esegue. Vero è che non tutte le distro integrano SELinux di default. (Fedora si, ubuntu non mi sembra).

Su linux serve comunque il firewall, in rete si legge che è inutile perché molti utenti linux (soprattutto alle prime armi) si vantano dell'affidabilità del (per loro nuovo) sistema ma vi assicuro che di bug ce ne sono, di attacchi pure. Certo, il rischio è estremamente minore e fortunatamente gli aggiornamenti sono veramente frequenti. Inoltre ogni distro è leggermente diversa dalle altre (kernel patchato in qualche modo, pacchetti in più o in meno, ...) quindi un eventuale virus ha ben più difficoltà a diffondersi visto che potrebbe funzionare su una distro ma su un'altra no.

[sirus]

Quote:

Originariamente inviato da 71104

rende più difficile infettare files di sistema, vero, ma fintanto che un utente potrà accedere ai suoi documenti un virus che gira sotto il suo account potrà sempre cancellarli senza problemi

E' vero ma tutti i sistemi operativi sono vulnerabili in questo caso, non solo Windows.

Quote:

Originariamente inviato da W.S.

Non sempre è vero, tramite SELinux è possibile discriminare l'accesso a risorse anche in base al processo e non solo in base all'utente che lo esegue. Vero è che non tutte le distro integrano SELinux di default. (Fedora si, ubuntu non mi sembra).

Mai visto nulla di così complicato da configurare, ci ho tentato ma dopo qualche tempo ho desistito (anche perché non usando più Fedora non ho più installato SELinux).

[W.S.]

Quote:

Originariamente inviato da sirus

Mai visto nulla di così complicato da configurare, ci ho tentato ma dopo qualche tempo ho desistito (anche perché non usando più Fedora non ho più installato SELinux).

si, semplice non è di certo però ti permette di avere un controllo degli accessi davvero... forte.

[sampei.nihira]

Io ho attivato Firestarter che parte in modo automatico all'avvio e
si posiziona nella barra.
Dopo lunghi anni di Windows mi piacciono "queste cosine grafiche"
Però al momento non ho inserito la "restrittiva" per il traffico in uscita.
Credo che in queste condizioni netfilter sia impostato come il firewall nativo di XP giusto ?

[W.S.]

Quote:

Originariamente inviato da sampei.nihira

Credo che in queste condizioni netfilter sia impostato come il firewall nativo di XP giusto ?

Non so come si comporta firestarter, comunque credo di si, dovrebbe uscire tutto quello che vuole uscire.
Per verificarlo senza ombra di dubbio, dovresti usare il comando "iptables" da shell.
("iptables -t filter -L OUTPUT -n -v" x la precisione )

[xcdegasp]

Quote:

Originariamente inviato da W.S.

Non so come si comporta firestarter, comunque credo di si, dovrebbe uscire tutto quello che vuole uscire.
Per verificarlo senza ombra di dubbio, dovresti usare il comando "iptables" da shell.
("iptables -t filter -L OUTPUT -n -v" x la precisione )

sai magari anche come impedire i porta scan recursivi? e impedire le richieste ARP se non abbiamo fatto richiesta noi?

per il resto mi basta non accettare le comunicazioni al di fuori del notebook

[le_]

Se un pc non ha servizi (porte) aperti su internet non serve firewall perche` tanto non c'e` niente a cui collegarsi.

Un Linux si puo` sempre configurare in questo modo (puoi avere centomila servizi in esecuzione ma aperti solo sull'interfaccia ethernet), un Windows.. no, ma d'altra parte sulla tipica workstation Windows di servizi aperti ce ne possono facilmente essere zero con poco sforzo (esistono tool appositi per "chiudere" le porte in 2 clic), senza contare l'ormai ampia diffusione dei router domestici che fanno da filtro a monte.

E per di piu`, i firewall in windows sono stati introdotti inizialmente per problemi provenienti dall'interno! Servivano per lo piu` a sorvegliare l'uso 'illecito' di internet da parte di prog installati dall'utente, spyware vari e virus comunque infiltrati prima a livello applicativo (tutta roba che su Linux non esiste data la maggior sicurezza del livello app ma anche perche` si usa quasi esclusivamente software libero in cui nessuno ha interesse a ficcare degli spyware).

Solo piu` tardi con la diffusione di XP ci sono stati problemi il cui vettore *iniziale* e` stato realmente una connessione di rete (i worm, Blaster, Sasser eccetera) a causa di certi servizi aperti per default su tutte le interfacce, ma e` stato un episodio unico in pratica, e come ho detto per chiudere sti servizi bastano 2 clic con qualche tool chiuditore.

Tuttora il vero motivo dell'esistenza dei personal firewall di Windows rimane il controllo in uscita a causa della spropositata fauna di malware che circola in quell'ambiente.

[xcdegasp]

ci sono innumerevoli falle nelle quali basta creare una pagina web opportunamente studiata per far interagire un programma affetto da una vulnerabilità per sfruttarle per prendere accesso alla macchina

un firewall serve a impedire questo...

[71104]

Quote:

Originariamente inviato da xcdegasp

ci sono innumerevoli falle nelle quali basta creare una pagina web opportunamente studiata per far interagire un programma affetto da una vulnerabilità per sfruttarle per prendere accesso alla macchina

un firewall serve a impedire questo...

no. un firewall serve ad impedire a determinati processi di inviare o ricevere pacchetti su determinate porte, e a null'altro. in generale questo sistema di protezione non può in alcun modo contribuire ad impedire lo sfruttamento di una vulnerabilità, ma in compenso può impedire al trojan, una volta che si è installato nella macchina della vittima, di comunicare all'esterno, ma si tratterebbe comunque di una protezione assolutamente minima perché un malware per Windows può facilmente nascondersi all'interno di altri processi uscendo in Internet a nome loro; alcuni firewalls implementano delle tecniche per riconoscere, oltre al processo, anche il modulo esatto che effettua una certa richiesta, ma si tratta di meccanismi molto facilmente bypassabili (è sufficiente compilare il virus utilizzando l'opzione che disabilita gli stack frames: in altre parole al virus writer basta attivare un'opzione per i meccanismi di cui sopra).

[71104]

Quote:

Originariamente inviato da sirus

E' vero ma tutti i sistemi operativi sono vulnerabili in questo caso, non solo Windows.

tutti i sistemi operativi in cui non è possibile realizzare qualcosa di concettualmente analogo ad una sandbox, quindi vengono esclusi Windows e Linux
inoltre su Windows si può rimediare non solo con una sandbox, ma anche con una sessione multipla: imposti due account utente, uno che accede ad internet e l'altro no, e ti tieni i documenti nell'account che non accede. per switchare da un utente all'altro fai tasto Win+L e switchi tramite la schermata di logon. può darsi che esistano potenziali sistemi migliori ma non lo so, dovrei sfrugugliare bene le API Win32 per gestire i desktops e le window stations; in caso fosse possibile si potrebbe realizzare un programmetto che sta sul desktop di ciascuno dei due utenti e che permette di switchare con un solo clic (comodissimo, quasi quasi un giorno mi ci metto ).

[71104]

Quote:

Originariamente inviato da xcdegasp

sì ma devi eseguirlo un virus su linux e non potremmo chiamarlo come tale perchè significherebbe installarlo manualmente
poi non riusciresti a nasconderlo dai processi in esecuzione.

per entrambi i problemi esiste sempre l'ingegneria sociale, un attivo campo di ricerca nel settore virale informatico
chi potrebbe mai resistere ad uno screensaver che mostra cascate di letterine verdi stile Matrix? ne' utenti Windows ne' Linux

Quote:

per quanto riguarda windows, IE può introdurre qualsiasi cosa ma rimane troppo viuncolato al sistema indiper cui si avranno sempre falle coesistenti..

l'idea che sta dietro una sandbox non è quella di impedire lo sfruttamento di un exploit: il browser o il programma jailato, qualunque esso sia, può avere tutti i bug di questo mondo, ma non riuscirà mai a fare danni ai documenti dell'utente e ai files di sistema. questa è l'idea.

[xcdegasp]

Quote:

Originariamente inviato da 71104

no. un firewall serve ad impedire a determinati processi di inviare o ricevere pacchetti su determinate porte, e a null'altro. in generale questo sistema di protezione non può in alcun modo contribuire ad impedire lo sfruttamento di una vulnerabilità, ma in compenso può impedire al trojan, una volta che si è installato nella macchina della vittima, di comunicare all'esterno, ma si tratterebbe comunque di una protezione assolutamente minima perché un malware per Windows può facilmente nascondersi all'interno di altri processi uscendo in Internet a nome loro; alcuni firewalls implementano delle tecniche per riconoscere, oltre al processo, anche il modulo esatto che effettua una certa richiesta, ma si tratta di meccanismi molto facilmente bypassabili (è sufficiente compilare il virus utilizzando l'opzione che disabilita gli stack frames: in altre parole al virus writer basta attivare un'opzione per i meccanismi di cui sopra).

io ormai sono abituatoi ai firewall windows quindi quando parlo diu firewall non penso ad un iptables mi spiace ma attualòmente non ci riesco a pensarlo come iptables..
quindi pensandolo (come poi tentdi anche te a parlarne) su ambito windows ti assicuro che se tenti di sfruttare l'exploit del browser (esempio) per trasmettere codice arbitrario in quicktime (sempre un esempio) per assumere con l'accesso alla macchinae la scalata dei privilegi, l'interazione verrebbe bloccata dal firewall inquanto viene richiesta autorizzazione all'utente.
chiaro che se dal nulla viene la richiesta di accesso a quicktime nemme3no un utentino alle prime armi accetta
se il contesto rimane ben offuscato da social enginering è assolutamente facile pensare che ci sia anche un brevissimo video da visionare, ma è appunto qui che ritorna il firewall utoilissimo che blocca nuovamente l'uscita di Qtime perchè non volevamo mai che uscisse e quindi l'exploit non ha potuto avvenire visto che il programma non si è messo in comunicazione o per lo meno ha solo eseguito un codice arbitrario che non serve a nulla

[xcdegasp]

Quote:

Originariamente inviato da 71104

tutti i sistemi operativi in cui non è possibile realizzare qualcosa di concettualmente analogo ad una sandbox, quindi vengono esclusi Windows e Linux
inoltre su Windows si può rimediare non solo con una sandbox, ma anche con una sessione multipla: imposti due account utente, uno che accede ad internet e l'altro no, e ti tieni i documenti nell'account che non accede. per switchare da un utente all'altro fai tasto Win+L e switchi tramite la schermata di logon. può darsi che esistano potenziali sistemi migliori ma non lo so, dovrei sfrugugliare bene le API Win32 per gestire i desktops e le window stations; in caso fosse possibile si potrebbe realizzare un programmetto che sta sul desktop di ciascuno dei due utenti e che permette di switchare con un solo clic (comodissimo, quasi quasi un giorno mi ci metto ).

quindi lasci il "cambio rapido d'utente" attivo come servizio?
io non ci penso nemmeno a farlo

[Jammed_Death]

io ho fatto un'installazione di vista marcia (una prova con uan versione nemmeno attivata, in attesa della mia copia dalla ms)...ho disattivato il windows defender, non uso antivirus e navigo con internet explorer. Vado avanti da più di un mese così e ancora non ho beccato nulla, tenendo il solo firewall di windows attivo...finora nessun problema, magari perchè non ci sono virus per vista (non credo) o semplicemente perchè non clicco su qualsiasi cosa dice "cliccami" però sembra una cosa positiva. Soprattutto in paragone con xp, dove i virus entravano appena installato

[71104]

Quote:

Originariamente inviato da Jammed_Death

io ho fatto un'installazione di vista marcia (una prova con uan versione nemmeno attivata, in attesa della mia copia dalla ms)...ho disattivato il windows defender, non uso antivirus e navigo con internet explorer. Vado avanti da più di un mese così e ancora non ho beccato nulla, tenendo il solo firewall di windows attivo...finora nessun problema, magari perchè non ci sono virus per vista (non credo) o semplicemente perchè non clicco su qualsiasi cosa dice "cliccami" però sembra una cosa positiva.

tutto vero, confermo: l'avrà scritto almeno 10 volte, quindi significa che ne è proprio convinto

[71104]

Quote:

Originariamente inviato da xcdegasp

quindi lasci il "cambio rapido d'utente" attivo come servizio?
io non ci penso nemmeno a farlo

perché? che ti fa?

[sampei.nihira]

Avere firestarter attivo e residente nella barra è molto utile.
Quando il firewall entra in funzione bloccando qualche attacco l'icona da blu diventa rossa.
Puoi anche aprire firestarter e vedere quanti attacchi ha bloccato.
Da questa mattina stò eseguendo un test.
Ho connesso il pc (a-mule) e sono ben 8 gli attacchi fermati fino ad adesso.
Quindi credo si possa concludere che, avere un Fw settato bene anche sotto linux, è direi necessario.

Per chi conoscerà certamente meglio di me questo soft il protocollo è quasi sempre
ICMP (non è attivo di default va settato e scelto i parametri)+ 3 blocchi TCP porte ( 3146 - 2668).

[W.S.]

Quote:

Originariamente inviato da xcdegasp

sai magari anche come impedire i porta scan recursivi? e impedire le richieste ARP se non abbiamo fatto richiesta noi?

per il resto mi basta non accettare le comunicazioni al di fuori del notebook

Per ostacolare i port scan si usa il target REJECT al posto di DROP, serve ad impostare la macchina in modo che si comporti esattamente come se la porta fosse chiusa (icmp-port-unreachable o anche un tcp_RST se connessione TCP)

Per scansioni ricorsive cosa intendi? Quelle legate al traceroute?

Per le richieste arp potresti iniziare con l'accettare solo i pacchetti provenienti da mac address fidati (-m mac --mac-source XXX mi sembra), qualcosa di pronto specifico per l'arp non lo conosco, bisognerebbe documentarsi un pochino, i controlli sullo stato della connessione (RELATED) non credo funzionino sull'arp. Comunque se trovo qualcosa in merito ti informo

[xcdegasp]

Quote:

Originariamente inviato da W.S.

Per ostacolare i port scan si usa il target REJECT al posto di DROP, serve ad impostare la macchina in modo che si comporti esattamente come se la porta fosse chiusa (icmp-port-unreachable o anche un tcp_RST se connessione TCP)

Per scansioni ricorsive cosa intendi? Quelle legate al traceroute?

nel senso su più porte in successione...
tipo se viene intercettato un port scan su 3 porte in contemporanea si potrebbe bloccare quell'IP per 20 o 30 minuti...
avrei a monte sempre un router ma appunto perchè ho quello a monte nel pc vorrei qualcosa che possa bloccare IP al verificarsi di una situazione e questa è quella che potrebbe individuare le casistiche base che sono le più ampie.

Quote:

Originariamente inviato da W.S.

Per le richieste arp potresti iniziare con l'accettare solo i pacchetti provenienti da mac address fidati (-m mac --mac-source XXX mi sembra), qualcosa di pronto specifico per l'arp non lo conosco, bisognerebbe documentarsi un pochino, i controlli sullo stato della connessione (RELATED) non credo funzionino sull'arp. Comunque se trovo qualcosa in merito ti informo

non avrei sicuramente da aggiungere e togliere molti pc, ho un router e u n notebook da aggiungere quindi provo a vedere per la stringa.
se trovi qualcosa fai un fischio