Sicurezza di un pc collegato in wireless

[Undead1]

Salve.Volevo sapere in genere fino a che punto in pc collegato ad una rete wireless è al sicuro dalle intrusioni da parte degli altri utenti utilizzanti la wireless stessa. Voglio dire: in termini di difficoltà e di potenziali conoscenze quanto è difficoltoso poter violare e prelevare files da un pc in tale situazione?
Il mio pc possiede winxp ed avast

[xcdegasp]

la stessa possibilità che esiste via lan, un antivirus non ti protegge adeguatamente
per sapere come migliorare puoi usare questo bellissimo thread:
http://www.hwupgrade.it/forum/showthread.php?t=1476319

[Undead1]

Ti ringrazio, terrò conto della discussione per rendere più sicuro il mio pc...ma per poter accedere cmq c'è bisogno di un virus o qualcosa di affine che deve essere introdotto nel pc dall'aggressore,dico bene?

[xcdegasp]

Quote:

Originariamente inviato da Undead1

Ti ringrazio, terrò conto della discussione per rendere più sicuro il mio pc...ma per poter accedere cmq c'è bisogno di un virus o qualcosa di affine che deve essere introdotto nel pc dall'aggressore,dico bene?

no non necessariamente, si possono sfruttare i bug presenti nei software che la potenziale "vittima" possieda nel pc
un esempio è il sistema operativo, java, acrobat reader, flash player, real player, quicktime, il browser, il client di posta, ecc..

ogni programma qui elencato ha avuto nell'ultimo anno o negli ultimi 2 anni, una grave falla che consentisse (a chi ne ha capacità tecniche e conoscenze ben sviluppate) di ingegnarsi al fine di sfruttare questa vulnerabilità, può anche essere una pagina web del tutto legale e appartenente realmente ad un sito innoquo ma modificata aggiungendo un iframe ben occultato agli occhi del visitatore che appunto ignaro non si accorgerà di quel che sta succedendo all'interno del suo pc.

[Undead1]

Presumo sia molto più pericoloso incappare in questi pericoli navigando siti particolari ( e abbiamo capito quali). Ma poi voglio dire, queste persone che interesse possono avere ad entrare nel tuo pc?

Possono farlo quando vogliono?

[xcdegasp]

no possono essere siti assolutamente leciti e anche di discreta importanza basta che siano stati violati, come succede da due anni a questa parte, con l'aggiunta di iframe estranei e ben occultati

tra i primi siti caduti in questa rete ci furono quello di carmen consoli e di un altro cantante italiano che ora non ricordo, poi furono fatti attacchi molto più massivi che coinvolsero pesantemente due hosting italiani, ma nel corso dei mesi ci finirono in mezzo anche siti istituzionali, ambasciate ecc...

tutt'oggi questa pratica è ancora in corso e le metodologie con cui avviene sono molto collaudate e ben rivenduti nel sottobosco.

l'interesse nel è nel tuo pc vista come entità singola o come oggetto in sè, ma come un pedone che comporrà a breve una grande botnet!

le botnet sono grandi "lan virtuali" ossia tantissimi pc comunicanti tra loro, che rimangono in attesa di ordini, ricevuto l'ordine poi in massa eseguono il compito assegnato, solitamente si tratta proprio di attacchi DenialOfServices, spam, ma ultimamente queste sono divenute molto molto aggressive pertanto non sono più pc in attesa di ordini ma pc che tra un ordine ed un altro setacciano la lan nella quale sono insediati per infettare gli altri pc.

i virus al mondo di oggi non sono più specialistici come in passato ad esempio solo trojan o solo keylogger, sono un raffinato ed accurato mix di caratteristiche pertanto un infezione trasforma di fatto il pc in zombie e quindi in pc in preda alla botnet.
un esempio? il virus confliker è un chiaro ed esplicito esempio

anche microsoft mette in guardia del problema: http://www.microsoft.com/italy/athom...d_botnets.mspx


un qualcosa lo avevo abozzato anche in questo thread in rilievo per mettere il canpanellino di allerta:
http://www.hwupgrade.it/forum/showthread.php?t=1902431

[Undead1]

Capisco, beh puoi vedere se c è qualcosa di strano nel mio pc?

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.43.47, on 19/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
F:\eMule\emule.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1235635046328
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/downlo...BundleId=27986
O17 - HKLM\System\CCS\Services\Tcpip\..\{199A6627-E474-4B60-8D17-A1A4CE305D77}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{338B785A-7D25-4DE6-A59A-391E24B5FDC2}: NameServer = 85.37.17.46 85.38.28.84
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6265 bytes

[xcdegasp]

fixa:

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

nulla di preoccupante ma sono voci che occupano cpu e ram per nulla.

poi aggiorna i software installati iqnuanto sei proprio a rischio e per farlo in semplicità basta che vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[Undead1]

Fatto, ed ho aggiornato alcuni programmi come suggerito dal sito che mi hai detto tu. Ultima cosa: credi che nello stato in cui si trova ora il mio pc sono possibili delle intrusioni?

[xcdegasp]

bhè, quello che posso dire io è come limitarle e rendere più difficoltosa la riuscita, un pc acceso non è mai definibile sicuro ancor meno se è collegato alla lan.
come in medicina non esiste la ricetta per non essere infettati o ammalarsi di cancro così anche i pc nei quali il 99% delle cause è l'errore umano

per errore umano non intendo colpevole il solo utilizzatore ma tutta la serie di persone che hanno ideato, progettato, sviluppato e prodotto non solo i componenti ma anche il reparto software.
quindi solo 1% delle cause non è attribuibili ad errori di qualcuno o di qualcosa..

[xcdegasp]

pc zombie in vendita: http://www.hwupgrade.it/forum/showthread.php?t=2003793

[Undead1]

Ultima cosa. Il discorso è che sul pc in questione (non questo) ho ospitato dei files importanti per un mesetto diciamo e per la maggior parte del tempo tenevo spenta la wireless...inoltre solitamente questi files li mantenevo su una penna e venivano trasferiti all'hd solo per utilizzo e modifiche.Che probabilità ho che qualche intruso (ammesso che ci sia) sia entrato in possesso dei files?