« Scoprire le vulnerabilità del proprio computer »

Contattami Rss
Sabato, Maggio 3 2008 di David Terni
Leggi i commenti Stampa questo articolo Condividi questa notizia Seguimi tramite Feed RSS 2.0

Molto spesso ricevo questa domanda ed è difficile dare una risposta semplice in poche righe. Durante l’articolo saranno spiegati quali sono i programmi da evitare e quali invece si rivelano essere i più adatti anche all’utente con normali conoscenze.

Premessa: Qualunque tipo d’analisi, con qualunque sistema di scansione, si basa su vulnerabilità note. Proprio come una villa è fatta da tante finestre e porte il vostro computer ha tanti punti d’accesso e un solo programma non vi garantisce un controllo completo. L’antivirus ad esempio si occupa dei virus ma non della connessione e vice versa. Per analisi approfondite, complete o per vulnerabilità non pubbliche bisogna fare scansioni mirate con programmi specifici per ogni possibile falla impiegando ore di lavoro da parte di persone con conoscenze superiore alla media. Scordatevi dunque di poter trovare un unico tool di questo tipo perché non esiste. Capiti i limiti dell’utente comune, vediamo di trovare i giusti mezzi per chi non ha fatto della sicurezza informatica il suo lavoro.

Quali programmi sono da evitare: Per due ragioni evitate applicazioni che dicono di scovare vulnerabilità nel vostro computer. Il primo motivo perché se non siete pratici potreste scaricare un virus che, con la scusa di trovarvi delle vulnerabilità, vi convince in maniera subdola a farsi installare nel vostro sistema ottenuto l’esatto opposto di quello che andavate cercando. L’altro motivo è che non tutti i software fanno quello che promettono. Un esempio evidente è ProtectorPlus. Quello che fa questo programma è di vedere se avete fatto tutti gli aggiornamenti di windows e mostrando il risultato poco veritiero che può essere: sicuro o non sicuro. Se vi ricordate di fare un Windows Update allora non avete bisogno di ProtectorPlus e il semplice controlla sulla sola presenza degli aggiornamenti non garantisce in alcun modo lo status su sicuro. Oppure esiste anche System Shutdown Simulator, utile solo a capire se possiamo diventare vittima di programmi molesti ma non pericolosi. Purtroppo chi li pubblicizza non sa nulla di sicurezza informatica e “reclamizza” un oggetto per quello che non è, poco male tanto voi mi leggete ma chi non lo sa si fascia di una sicurezza che non ha.

Programmi validi e che vi consiglio caldamente: sono Nessus e Secunia PSI. Il primo lo avevo già recensito per cui non c’è da aggiungere altro. Il secondo va detto che è in inglese e prodotto da una nota azienda che distribuisce una versione a pagamento con maggiori funzionalità rispetto all’altra versione freeware liberamente scaricabile. Cosa ha questo software rispetto ad altri? Innanzi tutto ha un controllo continuo sul sistema, già questo lo contraddistingue per quei programmi che una volta spenti non si sa più niente. Altri motivi di vanto sono che oltre alle patch di sicurezza controlla eventuali aggiornamenti di software presente sul computer, avvertendoti della presenza di nuove versioni più sicure aggiornate e dandoti la possibilità di scaricarle direttamente senza bisogno di andarsele a cercare da solo. Scansiona file sensibili come exe e dll. Infine i report della scansione e delle vulnerabilità sono dettagliate e chiare. Secunia scansione

Quando si ha a che fare con questo genere di programmi bisogna sempre ricordare diverse cose:

  • Errori d’interpretazione: Il fatto che la scansione, con antivirus o altro, non riveli nessuna vulnerabilità non implica che il sistema sia sicuro o il fatto che trovi dei problemi siano una minaccia alla sicurezza. Il software può essere poco efficiente o troppo scrupoloso segnalando “possibili” problemi ingiustificati andando a spaventare inutilmente l’utente. Solo un utente avanzato riesce a distinguere la differenza. Un classico esempio sono i cookie, fin troppo segnalati da antivirus e antispyware anche quando non c’è una reale motivazione d’insicurezza. Nel mio caso Secunia mi segnala che ho una versione non aggiornata di un DownloadManager chiamato Orbit, certamente potrebbe esse vulnerabile ma che io sappia per la versione che ho installato io non esistono vulnerabilità. Forse sarei più a richio se scaricassi l’ultima versione. Ovviamente queste considerazioni non vengono da un utente con conoscenze medie.
  • Un solo software non basta: Se avete compreso il precedente concetto allora capite che non basta un unico programma per rilevare TUTTE o la maggior parte delle vulnerabilità. Antivirus, antispyware, firewall e altro sono specializzati nel loro settore per cui uno non sostituisce l’altro e dove tutti sono importanti e insostituibili.
  • Il miglior sistema di sicurezza e prevenzione siamo noi stessi. Ricordiamoci che qualunque programma installato sul computer o file è una possibile fonte di guai: Browser, client di posta, chat, documenti di testo, immagini, file compressi e tutto quello che vi può venire in mente può nascondere una minaccia. A tale scopo copiate il codice messo in evidenza in questo articolo e incollatelo in un semplice file di testo vuoto, salvate il tutto e attendete che accada qualcosa.
    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    Se avete un buon antivirus dovrebbe avervi rivelato che il file appena creato è un virus, fortunatamente per voi è un virus solo a scopo dimostrativo ma necessario per farvi capire che bastano poco codice nascosto dentro ad un file apparentemente innocuo per minare la sicurezza del vostro sistema. Se non siete buoni a creare il file potete scaricarvi il test direttamente dall’Eicar

  • Precarietà della validità: oggi avete eseguito una scansione e siete risultati puliti e al sicuro, ma chi vi dice che appena conclusa l’analisi non venga scoperta una vulnerabilità e voi non siete le sue prime vittime? Qualunque sistema, anche il più potente ed efficiente, ha dei tempi in cui è inutile che va dal momento in cui viene trovata una vulnerabilità fino a quando non viene rilasciato un aggiornamento. Ovviamente non potete vivere con la paura di venir infettati ogni istante, se capiterà correte ai ripari domandovi come è potuto succedere, se era evitabile e preoccupandovi che non riaccada. Fasciarsi la testa prima di essersela rotta non ha senso.

Se una mente è allenata a riconoscere possibili veicoli d’infezione, avrà con molta probabilità diminuito sensibilmente il rischio d’intrusioni senza aver installato particolari programmi a propria difesa. Inutile ricordare che è inutile aver installato un antivirus o altro sistema di scansione e difesa se installiamo software, apriamo file o visitiamo siti senza un minimo senso critico. I software come Nessus e Secunia devono andare a completamento. Sono utili ma non fondamentali.

Articoli simili e consigliati

Sabato, Maggio 3 2008 di David Terni
Leggi i commenti Stampa questo articolo Condividi questa notizia Seguimi tramite Feed RSS 2.0
Termini & Copyright
Questo articolo é rilasciato sotto Licenza Creative Commons

Cerca nel sito

«Parla con Wasabi»

Apro questo spazio dedicato a voi, miei letteri che ogni giorno mi tempestate di domande.

Da oggi smetterò di rispondere in maniera privata. Considerato che molto spesso ricevo i medesimi quesiti esisterá questo nuovo spazio dove risponderó pubblicamente.

Le domande più interessanti e d'interesse pubblico verranno pubblicate su Sismi.info
Leggi come pormi una domanda o suggerirmi un argomento...

Ci sono 14 Commenti per questo articolo.

  1. 1
    		 Giuseppe
    Mag 3, 2008 alle 06:42

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FIL
    Prova. Con questa mail sto trasferendo il suddetto codice nel tuo PC, il tuo antivirus dovrebbe rilevarlo. Facci sapere
  2. 2
    		 David Terni
    Mag 3, 2008 alle 07:35
    Autore dell'articolo

    Giuseppe non devi copiarlo e incollarlo qui il codice… ma creare un file vuoto nel tuo computer tramite: taasto destro del mouse > nuovo > file di testo
  3. 3
    		 Giuseppe
    Mag 3, 2008 alle 08:12

    Quella prova l’ho già fatta. Ho creato un file con una riga dove ho inserito quel codice e l’ho chiamato 000.txt, lasciandolo per circa 20 minuti nel PC. Il mio firewall (non ho antivirus installati) _non_ si è accorto di nulla. Poi l’ho cancellato.
    Successivamente ho pensato di fare quell’esperimento, riscrivendolo in questa comunicazione per vedere se il tuo antivirus lo rilevasse. Evidentemente, per essere individuato, deve stare nella prima riga di un file testo. O no? Una semplice curiosità. Ciao
     
  4. 4
    		 David Terni
    Mag 3, 2008 alle 08:58
    Autore dell'articolo

    Innanzi tutto è un test che funziona solo per Windows, inoltre il firewall non si occupa dei virus ma monitorizza la connessione quindi come si dice qua a Firenze: Cosa cèntra i culo con le ore?

    Se non hai un antivirus mi sembra normale che non ti abbia rilevato nulla.
  5. 5
    		 KK
    Mag 3, 2008 alle 10:56

    Ciao Davide,
    se mi permetti vorrei dare qualche informazione in più sulla stringa da te postata.
    La stringa X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    si chiama EICAR Test File ed è un file creato dall’European Institute for Computer Antivirus Research per testare la risposta degli antivirus. Non è un virus in sè stesso, ma è un codice che viene rilevato *per convenzione* come tale da tutti gli antivirus. Perchè lo si usa? lo si usa per vedere se il proprio antivirus è ancora attivo o è stato disattivato da qualche codice maligno, oppure se il proprio antivirus scansione correttamente i file compressi (lo si può comprimere ad esempio) e così via.
    Per quello che ne so io, tuttavia, dopo avere creato il file di testo bisogna rinominarlo in .com perchè sia rilevato. Se lo si esegue si otterrà la scritta: EICAR-STANDARD-ANTIVIRUS-TEST-FILE e basta (non succede nulla!).
    Se lo si lascia come semplice file di testo, gli antivirus non lo rileveranno in quanto gli antivirus non scansionano il contenuto testuale di un documento (altrimenti comincerebbero a riportare come virus anche le pagine HTML in cache in cui si parla dell’argomento!).
    Per maggiori informazioni rimando alla pagina wiki: http://en.wikipedia.org/wiki/Eicar_test_file
    Ciao e buon lavoro.
  6. 6
    		 David Terni
    Mag 3, 2008 alle 12:51
    Autore dell'articolo

    @kk: Grazie per la precisazione qualcuno potrebbe pensar male, comunque devo correggerti. Quello di cui fai accenno te dipende dalle impostazione realtime dell’antivirus. Il test, come l’ho esposto deve e funziona comunque perchè come ben saprai un file prima di essere salvato passa per la cartella temporanea. Un antivirus può rilevarlo durante questa fase dove passa da semplice file temporaneo a file salvato oppure direttamente sul nuovo file creato/scaricato. Se rileva solo i file che vengono eseguiti è una grossa falla nella sicurezza e l’antivirus non garantisce protezione a 360 gradi.
  7. 7
    		 KK
    Mag 3, 2008 alle 13:01

    @Davide:
    io non ho detto che un antivirus controlla solo i file che vengono eseguiti bensì che controlla tutti i file che potrebbero essere eseguiti (o eseguire script maligni).
    Se infatti così non fosse, allora anche il tuo antivirus sotto Linux avrebbe rilevato il file .txt (o come vuoi rinominarlo, l’estensione non conta) con la stringa incriminata. Ti dirò di più: io credo che come me anche tu programmi un poco. Bene, quante volte ti capita di fare copia-incolla di codice in file di testo temporaneo prima di utilizzarlo in un programma? Sai che paranoia se l’antivirus controllasse il codice scritto ogni volta? Pensa solo a tutto il codice scritto per lavorare coi FS.
    Quindi, mi dispiace dissentire, ma se non rinomini il file di testo in .com (ma anche in .exe o .scr o .vbs) nessun antivirus lo rileverà. (e se non credi a me, puoi anche andare  a leggere nella pagina della EICAR)
  8. 8
    		 David Terni
    Mag 3, 2008 alle 13:30
    Autore dell'articolo

    @kk: non è che non credo a te, forse sono stato abituato male. Nod32 me lo rileva e non riesco a pensare ad un buon antivirus che si comporti diversamente..

    Nod32 EICAR

    Come puoi notare viene rilevato il file txt e l’allarme proviene dalla protezione realtime e non da una scansione eseguita manualmente sul file o sull’esecuzione del file. Inoltre non fa differenza che estensione usi, questo lo sa bene chi proviene dal mondo unix. L’estensione serve solo al sistema operativo per associare un programma in grado di aprire il file correttamente, ma a livello d’informazioni non cambia nulla.

    Comunque grazie per il dialogo, serve a migliorare l’articolo e a mettere i puntini sulle i che molte volte mi dimentico di fare.
  9. 9
    		 Giuseppe
    Mag 3, 2008 alle 17:55

    >Innanzi tutto è un test che funziona solo per Windows
    E chi ha detto il contrario. Si vede le mail che ti scrivono qui i lettori non le leggi!
    Peccato!
  10. 10
    		 David Terni
    Mag 3, 2008 alle 23:18
    Autore dell'articolo

    Se era una frecciatina non l’ho capita?! :-D

  11. 11
    		 pingback:
    Mag 5, 2008 alle 07:40     		Links della settimana (41) at Paolo Gatti’s web corner

    [...] Scoprire le vulnerabilità del proprio computer [...]
  12. 12
    		 kali
    Mag 6, 2008 alle 21:36

    Si è vero, il bytecode di un file exe non cambia cambiando l’estensione.
    Peccato che se si mette l’estensione txt il contenuto non potrà mai essere eseguito perchè il file txt viene aperto direttamente dal gestore dei processi di windows mediante l’explorer.exe
    il quale lo inoltra a notepad.exe che lo apre in modalità testo… (almeno penso sia così). Mentre gli exe, dll, vba etc eseguono il proprio bytecode maligno… mettendo estensione txt o qualsivoglia invece risultano innocui. (per questo far controllare i file non exeguibili dall’antivirus mi sembra inutile).

    Concordo con kk sul fatto che solo l’eicar è riconosciuto dagli antivirus come stringa tale e quale, mentre per i veri virus, gli av usano il controllo digest (md5, sha ecc). Difatti se salvi un exe con notepad esso si danneggia, mentre se aggiungi caratteri prima della stringa eicar l’altivirus lo riconosce lo stesso perchè fa una ricerca sequeziale all’interno.

    Scusa David una curiosità… il Nod dice anche che notepad++.exe è stato messo in quarantena… ma se te cancellavi il file dalla shell dos (o lo creavi da dos con gli appositi comandi), Nod avrebbe messo in quarantena anche cmd.exe (o explorer.exe)? Puoi fare una prova?
  13. 13
    		 David Terni
    Mag 7, 2008 alle 11:26
    Autore dell'articolo

    Attenzione Kali, il nod rivela l’eseguibile che ha dato origine al processo ma elimina il file. Purtroppo la schermata è un po equivoca.

    La tua osservazione è giusta fino al punto in cui affermi che scansionare file non eseguibili non ha senso. Considera anche semplicemente la doppia estensione o un buffer overflow su un’applicazione qualsiasi con file che non sono eseguibili come: javascript, un’email, un’immagine o un file di testo contenuto in un archivio compresso. Msn, Evolution, winzip, IE e firefox lo sanno bene questo e a caro prezzo. Non attacchi direttamente il sistema, ma fai una scalata di privilegi passando attraverso una vulnerabilità del software usato dall’utente. Quindi si: devono essere scansionati anche i file non eseguibili.

    Anche sul motore di scansione devo obbiettare. Quello che dici si riferisce ad uno scenario vecchio, anche se non di molto. Considerato l’alto aumento di infezioni, le varianti e il tasso lento con cui riescono a stargli dietro, i produttori di antivirus prediligono maggiormente un sistema euristico anche se con l’aggiunta di firme digitali. Il motore analizza il comportamento, e se sospetto in base al suo livello di sensibilità, lo identificano. Ecco quindi spiegato il successo di Nod, Kaspersky e del perchè alle volte rivelano falsi positivi. Gli unici che ancora funziona prevalentemente con firme digitali dovrebbero essere il Norton e l’F-prot, che ti dicono anche l’eventuale variante, mentre altri ti danno un allarme e un nome generico il più delle volte.
  14. 14
    		 kali
    Mag 7, 2008 alle 15:40

    grazie per la spigazione!
    Per quanto riguarda il motore degli antivirus prima non avevo citato l’euristica perchè mi riferivo all’eicar (avevo visto che gli antivirus lo rivelano anche con l’euristica disattivata) e non ho generalizzato così tanto.

    grazie, buon lavoro ciao

Scrivi un commento

In media nell'arco di 24ore modero tutti i commenti. Tuttavia...
  • Non fornisco assistenza per domande inerenti la configurazione di un particolare programma.
  • I messaggi contenenti frasi offensive, fuori tema, di propaganda o futili saranno modificati o non pubblicati.
  • Non riportare lo stesso commento in piú Articoli.
  • Accetto le critiche, ma quelle personali mandatele via email
  • E' stato implementato un sistema di filtraggio automatico, per cui verranno cancellati in maniera automatizzata e senza recupero tutti quei commenti che conterranno:
    1. Anche una sola PAROLA tutta maiuscola o EdItAtA in modo strano
    2. Parole abbreviate come: cmq, nn, qlc
    3. Parole volgari, compresi alcuni intercalari.
    4. Evidenti link di Spam
    5. Email fasulle o temporanee

N.B. I campi in rosso sono obbligatori

t- T+ phone