sicurezza vademecum

- Stop Dialer
- Digisoft AntiDialer

Anti-Rootkit ( leggi la guida ai rootkit )

La minaccia di nuova generazione, ossia un tipo di malware molto "evoluto", in grado di modificarsi di volta in volta, per sistemi Windows è costituita dai Rootkit.
Il rootkit in se non causa tipicamente danni intenzionali, il suo scopo effettivo è quello di nascondere il software qualunque. Ma sono spesso usati per nascondere il malware, che potrebbe rimanere a lungo attivo ed inosservato in un sistema se usa un rootkit. Il malware può rimanere inosservato, anche se il pc è protetto con un antivirus, o un anti-spy, in quanto questi programmi non possono individuare e rimuovere qualcosa che non sono in grado di vedere. Tutto questo rende i rootkits una minaccia significativa. Sono una delle minacce più pericolose per i personal computer in quanto possono dare pieno controllo al cracker del pc modificando in modo definitivo e irreversibile alcune parti del SO. Possono nascondersi a vari tipi di monitoraggio e la loro rimozione é veramente ardua e faticosa, considerando il fatto che le minacce derivanti dai rootkit hanno innumerevoli varianti e come detto all'inizio si vanno man mano modificando.
Attualmente i produttori di AV e la stessa MS si stanno muovendo per inserire nei propri software strumenti di rimozione efficaci simili a quelli utilizzati sui sistemi Unix/Linux dove il problema è presente da tempo.

Le soluzioni più attendibili al momento:

- Rootkit Revealer ( rileva, ma i dati vanno analizzati e l’analisi non è semplice )
- GMER ( integra anche altri strumenti, tra cui l’interfaccia per lo scanner online di KAV )
- IceSword (ottimo, ma la rimozione va effettuata in manuale)
- ARIES Rootkit Remover ( rimuove il XCP Rootkit utilizzato dalla Sony per il DRM )
- Sophos Anti-Rootkit (forse il migliore tra tutti)
- F-Secure BlackLight (beta-version, rimuove automaticamente durante la scansione)
- BitDefender Rootkit Uncover (beta-version, rimuove automaticamente durante la scansione)
- Prevx Gromozon Rootkit Removal Tool

Si sono rivelati anche molto efficaci contro questo ultimo tipo di minaccia e loro derivanti i sopraccitati virit, SUPERantispyware e Zerospyware.
Nel caso in cui i Rootkit riescano ad apportare modifiche al SO, il più delle volte sono irreversibili, ma non irreparabili, quindi non perdetevi d'animo. Una soluzione potrebbe essere l'opzione ripara/ripristina del vostro recovery cd/dvd del SO. Da considerare che le beta-version potrebbero non essere così "performanti" come i programmi completi e definitivi.Attenzione che l’utilizzo di più di uno di questi strumenti può comportare la rilevazione dei file degli altri tools come rootkit (accade anche avendo installato PrevX).

HIPS

Le tecniche utilizzate dagli attuali software antivirus risultano inefficaci contro la gran mole di nuove infezioni giornaliere e sono incapaci di bloccarle in tempo reale, quindi necessitano nuove metodologie di individuazione preventiva automatica, quali appunto la tecnologia euristica o software di analisi comportamentale.
I software HIPS (Host Intrusion Prevention System) sono dei software che prevedono l'analisi in tempo reale di ciò che un file compie all'interno del sistema, permettendo all'utente di identificare un malware da un file benigno. Grazie a questa tecnologia sarebbe possibile teoricamente bloccare preventivamente ogni tipologia di malware sul nascere, prima ancora che i laboratori di ricerca delle società di antivirus dovessero prendere in consegna il malware, studiarlo e rilasciarne una firma virale.

tra i free:
- Infoprocess Anti-Hook
- System Safety Monitor (SSM)

Programmi a pagamento:
- Prevx1

Anti-Cookie ( leggi la guida sui cookie )

Una piccola parentesi é dedicata a questo tipo di "minaccia"; quando un utente qualsiasi visita pagine Web all'interno del nostro pc vengono memorizzati dei file di testo, questi sono i cookie (biscotti), essi contengono svariate informazioni, tra cui le nostre preferenze e abitudini di navigazione. Alle volte però vengono utilizzati per creare profili utenti, in modo da mostrare nel browser pubblicità mirata o per caricare automaticamente nuove pagine web. Per navigare e visualizzare il contenuto di alcuni siti é necessario accettare i cookie che ci vengono inviati, ma possiamo sempre bloccare quelli che giungono da siti esterni. Per Internet Explorer, Windows XP SP2, andiamo in Pannello di Controllo - Opzioni Internet - Privacy - Avanzate, segno di spunta su Sostituisci gestione automatica cookie e in Cookie di terze parti attivando l'opzione blocca, mentre in Cookie di siti Web visualizzati attiviamo l'opzione accetta. Per Mozilla Firefox andiamo in Strumenti - Opzioni - Privacy - Cookie, segno di spunta su Permetti ai siti di impostare cookie e solo per il sito web di origine. Anche se con queste impostazioni dovremmo usare molto buon senso nella navigazione e visitare siti assolutamente sicuri e conosciuti, anche se molti dei programmi sopraccitati sono in grado di rimuovere cookie indesiderati, tanto per citarne qualcuno Avg, Superantispyware, Ad Aware e altri.

IP Blocker

Navigando in Internet, utilizzando programmi p2p di file sharing, e quindi le loro rispettive reti, alcune organizzazioni e corporazioni ( RIAA, MPAA etc.) potrebbero voler violare la nostra privacy.
Questi programmi consentono di bloccare la maggior parte degli indirizzi IP considerati non sicuri:

- PeerGuardian ( guida a PeerGuardian )
- Foxie Firewall (ha la stessa utilità di Peerguardian2, anch'esso prodotto da PhoenixLab)
- Protowall

Cosa importante da fare, in quanto gli IP cambiano spesso, é aggiornare le Blocklist frequentemente.
Utilizzando questi programmi alle volte può accadere che non vengano visualizzati nemmeno siti sicuri; nel caso in cui si dovesse verificare una situazione del genere in siti che in precedenza funzionavano, prima di tutto verificate l'attendibilità del sito, fatto ciò controllate che non siano stati inseriti per errore nella Blocklist. The Blocklist Manager può risultare utile per la gestione delle Blocklist, che consente di realizzarne in formati differenti e compatibili per diversi programmi, firewall compresi. Èconsigliabile installare uno solo di questi programmi, anche perché già di per sé Peerguardian2 e Foxie Firewall, il primo non si avvia se l'altro é in funzione e viceversa.

Altri programmi necessari e utili
Hijack This (leggi la guida a HijackThis )

Capitolo a parte, il programma hijack-this, uno strumento molto utile e fondamentale, per poter analizzare le parti del SO più spesso modificate da malware, e quindi poter effettuare un'attenta analisi dello stesso, che fornendo un elenco di voci potenzialmente dannose dà la possibilità di rimuoverle, cosa che altresì sarebbe operazione più problematica e ostica da eseguire, inoltre possiede altre funzioni che potrebbero rivelarsi molto utili.
Per una prima analisi del log, si può ricorrere agli analizzatori automatici; non sono infallibili, ma comunque aiutano.

Pulizia Chache-Registro

Dopo aver rimosso i programmi nocivi dal nostro pc, dato che potrebbero essere rimasti dei residui del malware, è sempre bene dare una pulita con dei programmi appositi, per eliminare i file temp e le chiavi di registro non più necessarie e fare in modo da non avere più brutte sorprese in futuro.
Questi programmi sono comunque utili per mantenere il sistema efficiente anche se non precedentemente infetto, specialmente se si é soliti installare e disinstallare frequentemente programmi.

Tra i free :
- RegSeeker (meglio reperire qualche guida in rete, in quanto la pulizia é radicale)
- RegCleaner (stesso discorso di RegSeeker)
- Eusing Free Registry Cleaner
- CCleaner (con questo programma si può effettuare anche la pulizia cache)
- RegCleaner (molto meno "invasivo" degli altri).

Programmi a pagamento:
- System Mechanic (ha varie opzioni)
- Privacy Guardian (elimina tutte le tracce).
- Registry Mechanic

Inoltre da segnalare
- Sandboxie

La sua funzione é creare una zona protetta all'interno della quale far girare applicazioni in piena sicurezza e privacy, senza intaccare il resto del sistema prima di essere trasferiti negli HD, per evitare che qualche malware resti nel pc dopo la navigazione o semplicemente per cancellare tracce di altre attività, in questo modo tutto può tranquillamente essere eliminato semplicemente svuotando il cestino. Per iniziare una sessione protetta basterà chiamare il programma che si vuole dall'icona di Sandbox nell'area di notifica (Tray, in basso a destra). Attenzione nell’utilizzo con programmi p2p, perché potreste far sparire dei Download, ed a usare la versione 2.0 del programma, la 2.1 ha alcuni problemi.

- Privbar
- DropMyRights

Il più delle volte non si considera che, utilizzando Windows, sia una prassi molto pericolosa per l'integrità del sistema operativo e di tutto ciò che si trova all'interno del nostro pc, lavorare con l'account Administrator, soprattutto se l'utente non è sufficientemente esperto. Attraverso l'utilizzo di questi programmi tuttavia é possibile abbattere in modo quasi totale la pericolosità della maggior parte dei malware incontrati durante la navigazione. L’ utilizzo di un account per gli utenti che accedono al pc é prerogativa dei sistemi ntfs, sarebbe consigliabile limitare il più possibile l’ utilizzo di account Administrator, durante la navigazione in rete, ed utilizzando un account con privilegi limitati per mettersi al riparo da installazioni di trojan, spyware & co. Per chi non ne può fare a meno, è possibile utilizzare DropMyRights, che agendo a livello di applicazione limita i privilegi solo per le applicazioni stabilite da noi, o Privbar una nuova barra degli strumenti che visualizzi i diritti utente in uso. Bisogna precisare comunque che questa strategia non è efficace in quanto un Malware sofisticato può ancora cercare di attuare una scalata di privilegi ed eseguire il suo codice privo di limiti.

Ripristino Connessioni

Succede alle volte di non potersi più riconnette ad internet a causa della modifica dei parametri di connessione apportate di alcuni malware anche dopo la loro rimozione.
Tuttavia vi sono alcuni programmi che consentono di ripristinare il tutto in maniera semplice e veloce:

- XP TCP/IP Repair (solo per Windows XP)
- WinsockFix

Ricordarsi di verificate con Windows Worms Doors Cleaner che non ci siano porte da chiudere, dopo il ripristino dei parametri di connessione con i programmi sopraccitati. Inoltre possono essere usati anche in quei casi in cui il winsock risulti corrotto o malfunzionante, non necessariamente a causa di una modifica apportata da un malware.

Ripristino Internet Explorer

Nel caso in cui Internet Explorer non dovesse più funzionare in maniera corretta, o perché danneggiato da un virus o per qualsiasi altro motivo, per il suo ripristino:
- IEFix

File Host

Il file host è preso di mira da parte di alcuni trojan che modificandolo riescono a connettersi in maniera rapida a indirizzi determinati, da dove poter scaricare virus, worm, etc. o eseguire altre operazioni.
Inoltre attraverso la modifica di questo file, é possibile bloccare anche gli indirizzi conosciuti come dannosi.
Alcuni tra i programmi per poter controllare, gestire e modificare questo file sono:

- Hoster
- Bluetack Hosts Manager

Process Monitor

Alcuni malware ( ma anche altri programmi ) apportano modifiche ai file di sistema senza che altri programmi security siano in grado di rilevarli. Tuttavia vi sono diversi programmi che monitorano e segnalano ( e bloccano ) i tentativi di variazione dei file di sistema. E’ possibile installarne anche più di uno e lasciarli in esecuzione; fino ad oggi non si sono riscontrati problemi di conflitto.
Tra questi troviamo:

- Tea Timer (componente di Spybot Search & Destroy, sopraccitato).
- WinPatrol ( anche in Italiano )
- Prevx1

Process Explorer

Versione avanzata del task manager che consente di visualizzare i processi in maggior dettaglio:
- Process Explorer

Serve a verificare quanto succede nel nostro pc, non ha, però funzioni di sicurezza in senso proprio, nel senso che non previene ne cura nulla.

Tweak
I Tweak sono programmi che consentono di migliorare il pc sotto diversi aspetti, funzionali e prestazionali.
Tra questi vi sono:
- XP-AntiSpy
- Safe XP

Non sono specifici né per l’aumento di prestazioni né per la sicurezza, consentono, però di variare facilmente alcuni parametri, che possono metterci al riparo da diversi rischi informatici dovuti a vulnerabilità.

Analisi Eula ( Licenze )
Non tutti i programmi che installiamo sui nostri computer sono "puliti". Questo accade principalmente con programmi cosiddetti free, ma che alla fine permettono d'installare dei malware all'interno del nostro pc.
In questo caso é consigliabile:

- EULAlyzer (in inglese)

Che con un semplice drag’n’drop analizza automaticamente i contenuti sospetti delle licenze.

Inoltre dopo aver installato i programmi, è necessario aggiornarli frequentemente, altrimenti l’efficacia diminuisce, e di tenere aggiornati i vostri SO e programmi ( non dimenticate il Java Runtime Environment, per mettervi al riparo da molti exploit ). Nel caso di nuovi aggiornamenti però è sempre bene verificare che altri utenti non abbiano riscontrato problemi; può, infatti, capitare che gli stessi possano portare più danni che benefici. Evitare il click selvaggio su link e finestre che vi si aprono durante la navigazione o sui contenuti delle mail, qualsiasi sia il browser che state utilizzando, sia esso Internet Explorer (che con la versione 7 sembra aver fatto passi da gigante), FireFox, Opera o Netscape, anch'essi sempre aggiornati.

Quando installate programmi per voi nuovi, verificate sempre nelle licenze che non vi siano inserite cose tipo bundled, C2, third parties software etc, perchè nel 99% dei casi vi creeranno problemi.