firewall e user medio

[nuovoUtente86]

Si parla e scrive tanto sulla necessità di un firewall,ma se vi venisse chiesto cosa rischia un utente medio a lavorare senza firewall o girando la domanda da cosa deve proteggersi un utente casalingo tanto da rendere necessario l' utilizzo di un firewall o addirittura router(che gia isola) +firewall?
Esiste qualche programma per testare il firewall in uso?

[lancetta]

Quote:

Originariamente inviato da nuovoUtente86

Si parla e scrive tanto sulla necessità di un firewall,ma se vi venisse chiesto cosa rischia un utente medio a lavorare senza firewall o girando la domanda da cosa deve proteggersi un utente casalingo tanto da rendere necessario l' utilizzo di un firewall o addirittura router(che gia isola) +firewall?
Esiste qualche programma per testare il firewall in uso?

1 da test effettuati su un pc senza firewall in rete:durate 4 minuti eppoi il pc si è infettato(se trovo il link lo posto)

2 https://www.grc.com/x/ne.dll?bh0bkyd2 http://www.pcflank.com/

Saluti

[nuovoUtente86]

di che tipo di infezione si tratta?
Che devo fare da quel link per fare il test o meglio uale test devo fare?

[xcdegasp]

Quote:

Originariamente inviato da nuovoUtente86

di che tipo di infezione si tratta?
Che devo fare da quel link per fare il test o meglio uale test devo fare?

sul primo link devi clickare sul tasto a centro pagina dal nome "proceed", mentre sul secondo link eseguire i test del menù di sinistra.

[nuovoUtente86]

ecco il risultato del common port:
"Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice."

spero di aver fatto il test giusto oppure quale altro devo fare?

Ritornando all' altra domanda..quali virus attaccano le porte e quindi il firewall è indispensabile?

[xcdegasp]

non c'è ne è mica uno solo, ce ne saranno almeno 8 categorie di test da eseguire su pcflank.com..
che le tue porte siano sthealt non significa nulla inquanto tu sei dietro a un router, ma prova il bagno di sangue facendo i leaktest.. sicuramente aulcuni li boccherà il tuo antivirus (è normale essendo programmi che simulano degli attacchi sono considerati malware lo stesso) ad ogni modo non rischi nessuna infezione, ma bastano quei pochi che non riconoscerà l'antivirus a farti ben capire quali siano oggi giorno le minacce
sicuramente il dnstester.exe non è identificato da nessun antivirus quindi potrai verificarlo senza problemi

[nuovoUtente86]

ora li vado a fare.
Ma ti faccio una domanda-provocazione:
se tu dovessi vendere un firewall ad un utente come lo convinceresti?
Insomma io utente sono testado e del firewall me ne frego..........oltre al rischio che qualcuno mi entri nel computer.....quali malefici malware mi entrano senza che io utente faccia nulla(accendo il computer,lo connetto e vado a prendere un caffe...nn apro browser e nn lancio exe).

[nuovoUtente86]

Quote:

Originariamente inviato da xcdegasp

non c'è ne è mica uno solo, ce ne saranno almeno 8 categorie di test da eseguire su pcflank.com..
che le tue porte siano sthealt non significa nulla inquanto tu sei dietro a un router, ma prova il bagno di sangue facendo i leaktest.. sicuramente aulcuni li boccherà il tuo antivirus (è normale essendo programmi che simulano degli attacchi sono considerati malware lo stesso) ad ogni modo non rischi nessuna infezione, ma bastano quei pochi che non riconoscerà l'antivirus a farti ben capire quali siano oggi giorno le minacce
sicuramente il dnstester.exe non è identificato da nessun antivirus quindi potrai verificarlo senza problemi

dnstester bloccato da NIS2007
mentre le connessioni outbound sn passate quasi tutte(se nn erro le outbound sono dall' interno verso l' esterno).Anche se ho notato che piu che il firewall è l' antivirus a bloccare le minaccie.

[W.S.]

Quote:

Originariamente inviato da nuovoUtente86

ora li vado a fare.
Ma ti faccio una domanda-provocazione:
se tu dovessi vendere un firewall ad un utente come lo convinceresti?
Insomma io utente sono testado e del firewall me ne frego..........oltre al rischio che qualcuno mi entri nel computer.....quali malefici malware mi entrano senza che io utente faccia nulla(accendo il computer,lo connetto e vado a prendere un caffe...nn apro browser e nn lancio exe).

risposta a) (da qui si vede che non ho la stoffa di un commerciante): a ste punto non connetterlo nemmeno il pc. Anzi, non accenderlo. Il firewall non ti serve, addio.

risposta b) non c'è una distinzione così netta tra "qualcuno entri nel mio pic" e "un malware entra nel mio pc" in entrambi i casi vengono sfruttate le stesse tecniche, quindi non cambia proprio nulla. Praticamente qualsiasi malware abbastanza nuovo (o nascosto) da non essere riconosciuto dal tuo antivirus rappresenta un problema se non hai un firewall.

[xcdegasp]

Quote:

Originariamente inviato da nuovoUtente86

dnstester bloccato da NIS2007
mentre le connessioni outbound sn passate quasi tutte(se nn erro le outbound sono dall' interno verso l' esterno).

non ha bloccato nessuna interazione tra programmi, quindi un programma può tranquillamente pilotarti il tuo IE e visualizzarti le pagine che vuole lui che te nemmeno te ne accorgeresti
il tutto a discapito della tua sicurezza, quindi addio codici di carte di credito, addio ai dati personali, addio al login dell'home-banking, addio a tutte quelle cose che avevano bisogno di una password
inoltre anche un keylòogger non verrebbe bloccato...
per non parlare di inettare codice in dll che nemmeno quello ha superato

te lo avevo detto che sarebbe stato un bagno di sangue


tutte queste cose credo che possano convincere chiunque e senza trovare parole o frasi da mercante ma la mera realtà è più forte di qualsiasi altra cosa


se aggiungiamo che anche un wormettino del piffero che si auto replica contattando una determinata porta (mi avevi posto il caso di kazaa ed è appunto un esempio significativo) è di sicuro un grossissimo problema per chi non possiede un firewall.

[nuovoUtente86]

Quote:

Originariamente inviato da xcdegasp

non ha bloccato nessuna interazione tra programmi, quindi un programma può tranquillamente pilotarti il tuo IE e visualizzarti le pagine che vuole lui che te nemmeno te ne accorgeresti
il tutto a discapito della tua sicurezza, quindi addio codici di carte di credito, addio ai dati personali, addio al login dell'home-banking, addio a tutte quelle cose che avevano bisogno di una password
inoltre anche un keylòogger non verrebbe bloccato...
per non parlare di inettare codice in dll che nemmeno quello ha superato

te lo avevo detto che sarebbe stato un bagno di sangue


tutte queste cose credo che possano convincere chiunque e senza trovare parole o frasi da mercante ma la mera realtà è più forte di qualsiasi altra cosa

i tsest dll sn stati bloccati,pxerò ti ripeto è sempre intervenuto l' antivirus,mai il firewall..ecco la cosa che mi sembra strana...Anche a firewall disabilitato i test sn uguali...

[W.S.]

Quote:

Originariamente inviato da nuovoUtente86

mentre le connessioni outbound sn passate quasi tutte

[nuovoUtente86]

sul cambio di homepage in IE è intervenuto spybot,mentre su PCAudit contemporaaneamnete Norton e Vista(ha impedito la scrittura di file su disco)

[xcdegasp]

Quote:

Originariamente inviato da nuovoUtente86

i tsest dll sn stati bloccati,pxerò ti ripeto è sempre intervenuto l' antivirus,mai il firewall..ecco la cosa che mi sembra strana...Anche a firewall disabilitato i test sn uguali...

infatti... non è strano ma è un cesso di suite e ti spiego anche in modo semplicissimo perchè:
il 90% del lavoro è affidato al solo componente antivirus mentre il firewall è stato impostato per dare meno avvisi possibili all'utente.
l'utente così rimane ignaro di cosa stia facendo il firewall e sopratutto ha una falsa idea di protezione, se vai a vedere le regole che il firewall ha creato in autonomia sono di lasciare passare tutto su tutte le porte per quell'applicazione.
in sostanza non avere il firewall sarebbe esattamente la stessa cosa, e lo hai appena confermato.

disattiva l'antivirus e lascia solo il firewall


lo stesso "problema" lo possiede anche la suite di bit-defender ed in entrambi i casi sono state scelte aziendali.
a bit-defender ho provato a spronarli a far in modo che usassero un minimo di regole porefissate tanto da proporre e istruire l'utente in modo veloce e semplice (quello che fa' qualsiasi firewall di classe) ma non vogliono sentire ragioni..
prodotti del genere non andrebbero nemmeno proposti a utenti alle prime armi, oltre al fatto che questi due firewall fanno abbastanza acqua sui leaktest

[nuovoUtente86]

da quello che ho capito,molto codice maligno si spaccia per applicazioni note..per cui una soluzione sarebbe limitare tali applicazioni alle porte strettamente necessarie.Correggimi se sbaglio?

[nuovoUtente86]

Quote:

Originariamente inviato da W.S.

risposta a) (da qui si vede che non ho la stoffa di un commerciante): a ste punto non connetterlo nemmeno il pc. Anzi, non accenderlo. Il firewall non ti serve, addio.

risposta b) non c'è una distinzione così netta tra "qualcuno entri nel mio pic" e "un malware entra nel mio pc" in entrambi i casi vengono sfruttate le stesse tecniche, quindi non cambia proprio nulla. Praticamente qualsiasi malware abbastanza nuovo (o nascosto) da non essere riconosciuto dal tuo antivirus rappresenta un problema se non hai un firewall.

b)si in sostanza hai ragione,però io utente testardo che non voglio comprare il tuo firewall ti chiedo:
Ok prendo un virus se apro exe(oaaltri formati ) infetti o vado su un sito civetta....ma io sto attento....se nn metto il tuo firewall mi entra qualche virus..(so che con un portscan posso ricevere attacchi da Hacker..ma io mi preoccupo dei worm.....)?

[W.S.]

Quote:

Originariamente inviato da nuovoUtente86

b)si in sostanza hai ragione,però io utente testardo che non voglio comprare il tuo firewall ti chiedo:
Ok prendo un virus se apro exe(oaaltri formati ) infetti o vado su un sito civetta....ma io sto attento....se nn metto il tuo firewall mi entra qualche virus..(so che con un portscan posso ricevere attacchi da Hacker..ma io mi preoccupo dei worm.....)?

no, non hai capito. I worm e gli attaccanti usano le stesse tecniche. Un semplice portscan non è un attacco, è solo d'aiuto per capire quali attacchi potrebbero andare a buon fine, è un test ma non è necessario all'attacco in sè.
Quindi se hai dubbi sulla tua protezioni contro i worm, gli stessi dubbi valgono anche per attaccanti in carne ed ossa (e viceversa).

[xcdegasp]

Quote:

Originariamente inviato da nuovoUtente86

da quello che ho capito,molto codice maligno si spaccia per applicazioni note..per cui una soluzione sarebbe limitare tali applicazioni alle porte strettamente necessarie.Correggimi se sbaglio?

non solo si spaccia per applicazioni note e ottennendo nel tuo caso libero accesso, ma potrebbe pilotare il svchost affinchè invii dati sfruttando la connessione già esistente quuindi non avresti nemmeno un avviso

ogni applicazione deve avere l'autorizzazione all'uso delle porte essenziali quindi il 90% delle applicazioni può benissimo usare una regola in tutto e per tutto uguale a quella del browser, quindi porta remota tcp80.
non serve un lascia passare vasto, e se non si tratta di un browser allora si può includere nella regola anche l'host remoto in modo da evitare che possa essere sfruttata una falla interna al pc.

nell'altro 10% dei casi ci sono le regole per i client di posta, per "desktop remoto" (in uscita), ftp in uscita, messaggistica istantanea come msn-messenger in uscita, giochi multiplayer.

l'unica applicazione che può e deve avere libero accesso alla rete è eMule visto che basta eseguirlo con l'opzione "usa utente con bassi privilegi" e ogni possibile problema è scongiurato

[W.S.]

Quote:

Originariamente inviato da nuovoUtente86

da quello che ho capito,molto codice maligno si spaccia per applicazioni note..per cui una soluzione sarebbe limitare tali applicazioni alle porte strettamente necessarie.Correggimi se sbaglio?

sbagli, anche bloccando tutte le altre porte il problema rimane, il codice può benissimo usare quelle che usa normalmente il programma a cui si attacca, persino verificare che il protocollo usato sia quello giusto non basta.
Bisogna verificare l'integrità del programma, comprese librerie esterne, in modo da avere una buona probabilità che sia effettivamente il programma a richiedere la connessione.

[W.S.]

Quote:

Originariamente inviato da xcdegasp

l'unica applicazione che può e deve avere libero accesso alla rete è eMule visto che basta eseguirlo con l'opzione "usa utente con bassi privilegi" e ogni possibile problema è scongiurato

è retorico vero?