Secondo voi è possibile?

[WorcesterSauce]

Scusate il titolo che non spiega una mazza, ma vi pongo il mio quesito:

-Ho un pc con WinXP sp3, sul quale ho installato Avira, Outpost e HijackThis. Questi sono i 3 programmi che uso come sicurezza. Mai un positivo che non fosse un tracking cookie o roba di poco conto. HijackThis è sempre stato a posto (nel corso dei mesi passati, se non anni, ovviamente mi è capitato di provare soluzioni diverse, da Kaspersky, a Nod32... da Comodo a altri firewall, ma il risultato è sempre stato lo stesso).
-Non sono uno sprovveduto, agisco con prudenza e non apro file sospetti e tanto meno li autorizzo a inviare dati e passare il firewall di turno.
-Ho fastweb adsl (non so se aiuti ad essere più protetti o no, ma ve lo dico comunque). Ci sono 3 pc collegati al modem di fastweb, ma non sono in lan tra loro, non si vedono.

Dati questi presupposti, vi chiedo: quali competenze deve avere un malintenzionato per poter avere accesso sul mio pc da remoto, e fare una qualsiasi operazione? E' necessario installare del codice, che aumenta in qualche modo le possibilità di venire scoperti, o se ne può fare a meno?



Non è solo una domanda a fini informativi, è che ho la netta sensazione che una persona di mia conoscenza da tempo si diverta a mie spese, e tenti anche di farmi capire con battute abbastanza inequivocabili di conoscere tutto ciò che faccio, siti visitati, abitudini su internet, ecc...

Mi sono sempre detto "dev'esserci una spiegazione più logica", ma dopo mesi (forse più di un anno) che questa storia va avanti, mi sto arrendendo all'idea che sia tutto vero. Oltretutto sporadicamente si sono verificati fatti poco piacevoli come la cancellazione di file abbastanza importanti (ho voluto pensare di averlo fatto io per sbaglio, ma è assai improbabile)

La persona in questione, pur essendo utente abbastanza esperto, non credo abbia conoscenze informatiche così estese, anche se l'eventualità che si affidi a qualcun altro c'è.

Quindi ricapitolando: dato il mio sistema, pensate che per compiere operazioni simili servano conoscenze molto estese, e poco comuni, oppure la ritenete un'ipotesi tutt'altro che remota, e alla portata di molti pseudo-hacker?

Certo che se un sistema come il mio è così facilmente vulnerabile, programmi come antivirus e firewall non sono forse la più grande farsa della storia?

Vi ringrazio, e spero che qualcuno vorrà dedicare qualche minuto del proprio tempo per rispondermi.
Ciao

[epa]

Guarda io ne so esattamente 0, ma tempo fa per curiosità avevo letto qualcosa che spiegava come intrufolarsi e prendere possesso di un pc altrui.
Detto questo i metodi che avevo letto e che in linea di massima ricordo per funzionare occorrevano di alcuni passaggi:
-innanzi tutti il presunto intruso dovrebbe sapere il tuo indirizzo IP, che per quanto ne so, ogni qualvolta tu sconnetti e riconnetti internet generalmente cambia;
-L'intruso in qualche modo deve averti installato sul computer un programmino con il quale tramite il suo pc possa governare il tuo, ma generalmente tutti o quasi gli AV lo riconoscono come trojan anche prima dell'installazione.

Queste potrebbero essere un mucchio di stupidaggini, ma anche no, probabilmente qualcosa di vero c'è, se mi ricordo bene!

[cloutz]

tieni conto che il tuo sospetto è che una persona si sia infilata nel tuo sistema e abbia accesso ai tuoi dati personali...l'antivirus non ti protegge da ciò (a meno che il malintenzionato non abbia usato un qualche backdoor, e comunque non è detto che l'antivirus lo riesca a rilevare)
non ho presente il livello di conoscienza dell'utente in questione, ma se un hacker si mette in testa di violare un sistema non è certo Outpost che glielo impedisce

innanzitutto hai una rete wireless?
fastweb con ip statico?

se le risposte sono entrambe si ti consiglio in primis di controllare se qualcuno si connette abusivamente, senza il tuo consenso, alla tua rete...può essere anche qualcuno sulla strada o un vicino di casa...

Non sono un esperto in materia, di sicuro qui c'è gente che ne sa più di me...
Saluti

[WorcesterSauce]

Ip dinamico, ma non credo sia un problema trovare il mio ip, dato che questa persona figura tra i miei contatti di msn.
Connessione via cavo.

Per il resto, ovviamente vorrei sapere qualche parere un po' più specifico... quanto dici tu epa, è l'abc della sicurezza in internet, così come so che nessun sistema è inviolabile. Quello che ho chiesto è se secondo voi sto figurando un ipotesi da una su un milione, o no, e avere qualche dettaglio tecnico da chi è più "colto". Magari esperienze simili...
Comunque grazie

[epa]

Quote:

Originariamente inviato da WorcesterSauce

Ip dinamico, ma non credo sia un problema trovare il mio ip, dato che questa persona figura tra i miei contatti di msn.
Connessione via cavo.

Per il resto, ovviamente vorrei sapere qualche parere un po' più specifico... quanto dici tu epa, è l'abc della sicurezza in internet, così come so che nessun sistema è inviolabile. Quello che ho chiesto è se secondo voi sto figurando un ipotesi da una su un milione, o no, e avere qualche dettaglio tecnico da chi è più "colto".
Comunque grazie

Infatti, come ti ho detto è quello che mi ricordo di aver letto da qualche parte...
Comunque il fatto che figura tra i tuoi contatti msn non centra niente col tuo indirizzo IP

[W.S.]

Ceto che più di un anno è un bel po di tempo per rimanere nascosti.

Comunque, tutto può essere e la capacità necessaria all'attaccante dipende dalle tue difese. Vista così è difficile riuscire a fare quanto sospetti, il tizio dovrebbe essere in gamba.

Se può controllare la tua macchina ottenere l'ip è la cosa più banale, probabilmente sarebbe la tua stessa macchina ad informarlo.

Però c'è da verificare che:
1) tu sia davvero sotto attacco
2) che non ci siano buchi nei muri. Ok antivirus, firewall etc ma se poi nelle regole c'è scritto che determinate connessioni sono autorizzate è tutto inutile. Ad esempio se passa da un software che tu reputi fidato non c'è sw che tenga.

Quindi, per andare davvero sul sicuro ed evitare di cadere nella paranoia ti consiglio di salvare i tuoi dati, formattare tutto quanto, verificare che i dati salvati siano affidabili e reinstallare il necessario partendo dai sw di protezione, in particolare dal firewall, iniziando con regole il più restrittive possibile.

Che programmi sono in uso tipicamente sul tuo pc? Quali chat, p2p? In che modo ti conosce il tizio? Eravate amici, è mai entrato in casa tua?

[Bazz89]

Quote:

Originariamente inviato da epa

Infatti, come ti ho detto è quello che mi ricordo di aver letto da qualche parte...
Comunque il fatto che figura tra i tuoi contatti msn non centra niente col tuo indirizzo IP

beh, nn è proprio cosi: con un log di Comodo o di un altro firewall, è facile individuare l'indirizzo IP del contatto con cui stai parlando, basta ad esempio che gli trasferisci un file e vedi dal log di Comodo il trasferimento dati e quindi l'indirizzo IP di destinazione

cmq sono d'accordo con W.S.

segui i suoi consigli e cerca di capire quali informazioni lui puo avere accesso "materialmente"

ciao

[epa]

Quote:

Originariamente inviato da Bazz89

beh, nn è proprio cosi: con un log di Comodo o di un altro firewall, è facile individuare l'indirizzo IP del contatto con cui stai parlando, basta ad esempio che gli trasferisci un file e vedi dal log di Comodo il trasferimento dati e quindi l'indirizzo IP di destinazione

cmq sono d'accordo con W.S.

segui i suoi consigli e cerca di capire quali informazioni lui puo avere accesso "materialmente"

ciao

Questa mi è nuova Grazia per la massima che potrà tornare utile...

[Bazz89]

Quote:

Originariamente inviato da epa

Questa mi è nuova Grazia per la massima che potrà tornare utile...

il problema è individuare, tra le molteplici connessioni attiva di msn, quella giusta

nn a caso ho riportato l'esempio di un file: se tu gli trasferisci una canzone, capisci subito, dalla quantita di dati, l'indirizzo che ti interessa

ciao

[WorcesterSauce]

Per chi ha detto che MSN non c'entra niente con l'ip, beh risalire all'ip di un contatto msn è questione di poco.

In questi mesi poteva capitare -al massimo- (e mooolto raramente) di trovare un file infetto fra i temporanei di internet, ma lo cancellavo manualmente senza alcun problema, nessun segno di infezione, nessun processo maligno in corso o all'avvio. Mai nulla di più. Per questo vi ho chiesto se l'esecuzione di codice maligno è davvero indispensabile. Tali erano le coincidenze che sono arrivato a pensare che potesse avere accesso ai dati del mio provider sugli indirizzi da me visitati ecc (per farvi capire quanto fatico ad ammettere che possa davvero aver violato il mio pc)

Gli unici programmi autorizzati erano msn, emule e credo nient'altro... ovviamente quando il firewall domandava, io negavo sempre l'accesso a internet...

Comunque, per evitare le paranoie a cui hai accennato, ho adottato due misure che spero bastino per il futuro:
1) sono passato a Linux (ubuntu) col quale mi trovo peraltro molto bene.
2) ho comprato un router con un buon firewall integrato.

Ma se quanto ho scritto è vero, per il passato un bel danno è stato fatto.

[WorcesterSauce]

Quote:

In che modo ti conosce il tizio? Eravate amici, è mai entrato in casa tua?

Esatto, stesse frequentazioni, ci dobbiamo frequentare pur non essendo più in ottimi rapporti. E' entrato in casa mia ma non di recente, addirittura non da quando ho questo pc, quindi non ha installato niente in locale.

[riazzituoi]

.

[W.S.]

Per prendere possesso di una macchina senza destare sospetti, eliminare file e stare nascosti un anno si, direi che qualche tipo di codice non tanto normale è necessario. Di cosa si tratta dipende, potrebbe essere qualcosa di banale come qualcosa di estremamente complesso, dipende da cosa è realmente successo.
La via più probabile (ammesso che la configurazione generale sia ok, quindi niente risorse strane in condivisione, desktop remoti) credo risieda in emule, sia come mezzo di infezione che per nascondere le connessioni probabilmente. Rimane il fatto che non è una operazione tanto semplice da fare anzi, è abbastanza complessa e credo che se c'è stato un attacco c'è qualcosa che ci sta sfuggendo.

Comunque, grave per grave ormai è passato e dato che il sistema non c'è più è abbastanza inutile immaginare senza prove cosa può essere successo.

Entrambe le soluzioni (soprattutto insieme) sono decisioni più che sensate
Tra pulizia del vecchio sistema (eventuale infezione compresa) e cambio di sistema operativo (e funzionamento della connessione) sicuramente quanto poteva essere sfruttato prima ora non è più valido.
Non voglio alimentare paranoie ma è inutile dirti che anche su linux qualche problema c'è, niente su cui farsi venire i capelli bianchi, dico solo di non abbassare eccessivamente la guardia, ogni tanto investi del tempo nella verifica della configurazione del sistema

[wisher]

Postando un log di Hijack this credo che un'eventuale backdoor potrebbe venire scoperta abbastanza facilmente. O sbaglio?

[WorcesterSauce]

Quote:

Originariamente inviato da riazzituoi

Gli indirizzi assegnati all'hag di fastweb sono privati (perciò msn o altri programmi non c'entrano nulla). Quindi non c'è modo di entrare in una rete fastweb, a meno che, l'attaccante non sia già all'interno.

Intendi che l'attaccante dovrebbe essere collegato al mio hag, oppure che dovrebbe avere anch'egli fastweb come provider?

Non è un po' riduttivo pensare che il solo avere fastweb possa mettere al sicuro da qualsiasi minaccia?

[Bazz89]

Quote:

Originariamente inviato da riazzituoi

Gli indirizzi assegnati all'hag di fastweb sono privati (perciò msn o altri programmi non c'entrano nulla). Quindi non c'è modo di entrare in una rete fastweb, a meno che, l'attaccante non sia già all'interno.

nn avevo letto che aveva fastweb

[W.S.]

Quote:

Originariamente inviato da WorcesterSauce

Intendi che l'attaccante dovrebbe essere collegato al mio hag, oppure che dovrebbe avere anch'egli fastweb come provider?

Significa che anche avendo l'ip pubblico, l'attaccante non può instaurare una connessione ma deve sfruttarne una già creata oppure fare in modo che sia la macchina vittima ad instaurarne una, cosa possibile solo se hai già il controllo della macchina. Per questo il tizio deve essere in gamba per fare quanto dicevamo.

Non dice qualsiasi minaccia.

[WorcesterSauce]

Quote:

Originariamente inviato da W.S.

Significa che anche avendo l'ip pubblico, l'attaccante non può instaurare una connessione ma deve sfruttarne una già creata oppure fare in modo che sia la macchina vittima ad instaurarne una, cosa possibile solo se hai già il controllo della macchina. Per questo il tizio deve essere in gamba per fare quanto dicevamo.

Non dice qualsiasi minaccia.

Non può aprire una connessione neanche tramite un trasferimento file su msn?

secondo me bisognerebbe fare chiarezza su quali erano le informazioni private di cui questa persona era a conoscenza nello specifico e se non poteva averle dedotte in altro modo

[W.S.]

Quote:

Originariamente inviato da WorcesterSauce

Non può aprire una connessione neanche tramite un trasferimento file su msn?

Spe, con "non può instaurare una connessione" intendo che non può iniziare lui la connessione verso la tua macchina (perché il primo pacchetto che invia non può raggiungerla) ma non significa che le due macchine non possano dialogare. Per aggirare l'ostacolo basta che il primo pacchetto venga inviato dalla destinazione.
Nel caso di msn (per altri programmi il meccanismo è analogo), quando lui ti invia un file, il suo client invia al tuo (tramite la rete msn a cui entrambi siete connessi) una notifica di invio che contiene l'indirizzo e la porta a cui il tuo client si connette (quindi sei tu ad inviare il primo pacchetto) per ottenere il file.