PDA

Visualizza versione completa : zonealarm impazzito?


renzo1165
10-07-2008, 01.01.10
ciao, per collegarmi ho dovuto ripristinare il firewall di XP in quanto zonealarm (versione free aggiornata) non mi consente più alcun collegamento bloccando qualsiasi mia richiesta in uscita.
Sono anni che utilizzo questo firewall free senza mai alcun problema e questo comportamento mi fa pensare a varie possibilità che vorrei condividere con chi di voi può essere interessato, o meglio, possa avere già risolto un caso del genere.
Le caratteristiche di utilizzo sono queste:
-il sistema è XP home aggiornato a questa sera
-router linksys
-come detto Z.A. free, anche questo aggiornato
Le possibilità che penso di dover valutare:
-verifica integrità funzionamento Z.A tramite disinstallazione e nuova installazione
-possibile, ma poco probabile, malware nel mio pc
-possibile danno creato dell'aggiornamento appena eseguito dal sito microsoft (faccio fatica a crederlo, ma questo problema è sorto questa sera dopo il riavvio richiesto dall'aggiornamento)
Tutto qui, certo che se qualcuno ha già sperimentato questa situazione, mi eviterei un bel pò di tentativi ;)
grazie e buonanotte
renzo

aggiornamento :mm:
http://www.zeusnews.it/index.php3?ar=stampa&cod=7887
cosa dovrei fare secondo voi? disinstallare la patch o zonealarm ? :inkaz:

leofelix
10-07-2008, 05.02.37
questo è quanto proposto dalla Zonelabs nel forum

http://forum.zonelabs.org/zonelabs/board/message?board.id=cfg&message.id=52727

una soluzione drastica, direi.

In ogni caso del medesimo problema se ne sta discutendo qui

http://forum.wintricks.it/showthread.php?t=135299

renzo1165
10-07-2008, 18.39.39
...non avrei mai immaginato che così tanti si fossero trovati nelle mie condizioni!!!
Non mi era mai capitato un problema del genere :mm:
Ho risolto installando la versione nuova in inglese
grazie
renzo

leofelix
10-07-2008, 19.18.01
prego, nemmeno io immaginavo che ci fossero ancora così tanti utenti che usano lo Zonealarm.
Io stesso l'ho usato per anni, sin dalle primissime versioni, per abbandonarlo qualche tempo fa.

L'importante è che tu abbia risolto e spero anche gli altri.

Pensare che giorni fa stavo per segnalare una promozione per ottenere gratuitamente per 5 mesi lo zonealarm con antispyware, tuttavia una versione rilasciata lo scorso anno mi pare

renzo1165
10-07-2008, 22.49.06
senti, leofelix, pure contravvenendo la regola aurea che, ho modo di ritenere, conoscerai :) ...
"meglio tacere e passare da stupidi che aprire bocca e togliere ogni dubbio"
vorrei chiedere ugualmente se esiste una discussione approfondita ed esaustiva sulla reale necessità ed efficacia dei firewall software personali, in particolare quando si lavora, ormai quasi sempre, dietro un router dotato esso stesso di un firewall e si usa, si spera nella maggior parte dei casi, un pò di buonsenso.
Non mi riferisco alle tante opinioni personali, spesso contraddittorie ed ugualmente condivisibili, che ho letto in gran numero, bensì a dettagli tecnici, espressi in modo comprensibile, da parte di chi conosce a fondo il modo di operare di attacchi e difese.
ti ringrazio per la disponibilità
renzo

leofelix
11-07-2008, 00.56.24
sì, renzo1165.
conosco bene quella frase, ma non ho mai saputo se è di Oscar Wilde o di Mark Twain;)
In quanto al resto, non saprei come rispondere.
Qui su wintricks ce ne sono diverse, in ogni caso: non resta che approfondire, per esempio qui
http://forum.wintricks.it/showthread.php?t=118709

ma io non ho detto nulla:)

Lionsquid
11-07-2008, 11.51.45
da 2 mesi ho mollato il comodo che mi rallentava troppo la macchina e talvolta la freezava proprio

ho messo lo ZA free, versione 7.0.362.000, una volta settato non rompe troppo, chiede sempre comfernma per ogni update dei vari programmi (FFox, Avira, spybot, etc) e da qualche giorno ho aggiornato alla versione 7.0.483.000 ...

non riscontro problemi

l'avviso della ZA http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue.html


PS: in effetti il sondaggio è parecchio obsoleto, anni fa tenevo traccia delle preferenze dei wintrickers e ne comparavo anche le scelte... se thor non ha tempo, magari ne riapro uno nuovo archiviando il vecchio... ma ho notato una forte diminuzione della partecipazione... vedremo

MG
11-07-2008, 12.17.31
questa mattina sono stato avvisato dal zone labs che e' pronto l'aggiornamento per la versione italiana che permette di eliminare il problema di XP :)

MG
11-07-2008, 12.40.33
COME NON DETTO : ho provato a scaricare l'aggiornamento , ma mi appare "impossibile visualizzare la pagina (!!!)

LoryOne
11-07-2008, 13.51.40
Non mi riferisco alle tante opinioni personali, spesso contraddittorie ed ugualmente condivisibili, che ho letto in gran numero, bensì a dettagli tecnici, espressi in modo comprensibile, da parte di chi conosce a fondo il modo di operare di attacchi e difese.
ti ringrazio per la disponibilità
renzo

Cribbio renzo, quello che chiedi ha valenza altamente professionale e non credo che possa essere ampiamente descritto con dovizia di particolari ed in modo sufficentemente esaustivo qui su Wintricks. Si dovrebbe cominciare dal protocllo TCP, passando per winsock e risalendo verso l'hooking del kernel. e' dura esporre concetti complessi in modo comprensibile.
Posso fornirti il nome del sito per eccellenza da consultare: securityfocus ;)

renzo1165
11-07-2008, 15.48.59
LoryOne, come non darti ragione :) la mia premessa già includeva la perplessità sul modo di porre la richiesta.
Cerco di formulare meglio la domanda.
Non sarebbe possibile, a tuo avviso, limitandosi ad una esposizione oggettiva, ma a "valle" delle conoscenze teoriche dell'informatica, proporre e discutere su quelli che, per semplificare, potrei individuare come quei risultati finali che interessano, per lo più, la maggior parte degli utenti?
Se riesco ad identificare con una certa chiarezza l'uso che intendo fare del mio pc, perchè non dovrebbe essere possibile identificare, con uguale chiarezza, le protezioni di cui potrei avere bisogno, senza che sia necessario affrontare (e superare :) ) un corso di ingegneria informatica?
grazie per la pazienza
renzo

LoryOne
11-07-2008, 16.44.39
Se riesco ad identificare con una certa chiarezza l'uso che intendo fare del mio pc, perchè non dovrebbe essere possibile identificare, con uguale chiarezza, le protezioni di cui potrei avere bisogno, senza che sia necessario affrontare (e superare :) ) un corso di ingegneria informatica?


Perchè, purtroppo, per rispondere alla tua domanda con cognizione di causa è necessario avere acquisito più delle nozioni fondamentali di informatica che più o meno tutti noi abbiamo ed avere un bagaglio di esperienza nella pratica che supera di gran lunga quelle nozioni teoriche.
Io non sono un ingegnere, ma sono dotato di grande curiosità ed ho la fortuna di far pratica giorno dopo giorno con il computer, un po per lavoro ed un po per diletto. Cio che non comprendo è solo una sconfitta temporanea; Diciamo che odio non conoscere ed amo cercar di capire ... Internet, biblioteche e forum di discussione sono risorse immense a cui tutti possiamo accedere e di cui tutti possiamo usufruire.
Credo, comunque, di aver compreso lo spirito col quale hai posto la domanda e penso che scriverò in seguito qualche cosa sull argomento.
Ps: Ovviamente la risposta alla domanda di renzo ha bisogno del contributo di tutto il forum :)

Lionsquid
11-07-2008, 16.48.03
COME NON DETTO : ho provato a scaricare l'aggiornamento , ma mi appare "impossibile visualizzare la pagina (!!!)

puoi scaricare l'ultima versione da qui

http://www.zonealarm.com/store/content/company/products/znalm/freeDownload.jsp


tanto l'aggiornamento che dicono è l'intero malloppo, non certo un'update

ah... devi prima rimuovere la vecchia versione ;) perderai le impostazioni... pazienza...

LoryOne
11-07-2008, 22.33.45
Sperando di andare incontro alle aspettative di renzo1165 e di essere rimasto fedele alla trattazione dell'argomento in termini puramente descrittivi, ho buttato giu due righe (una sorta di prefazione) che propongo di seguito e che spero catturino l'attenzione e la volontà di partecipazione degli amici Wintrickers alla trattazione della tematica sotto l'aspetto accattivante che può suscitare l'argomento sicurezza e tutela della privacy.

COME AVVIENE LA COMUNICAZIONE
La condizione fondamentale da rispettare affinché due o più PC possano comunicare tra loro è che essi utilizzino lo stesso protocollo, ossia condividano le informazioni scambiate attraverso un insieme di regole comuni.
Le tre tipologie di protocollo maggiormente utilizzate su Internet sono:
Il protocollo ICMP (Internet Control Message Protocol)
Il protocollo UDP (User Datagram Protocol)
Il protocollo TCP/IP (Transmission Control Protocol/Internet Protocol)
- ICMP non è adatto a trasferire informazioni tra due PC collegati in rete, ma è spesso utilizzato come protocollo di verifica e controllo della corretta installazione degli altri due. L’utilizzo più comune è rivolto piuttosto ad ottenere una risposta sulla operatività di un PC, constatandone la presenza in rete e verificandone la raggiungibilità.
Il comando PING fa uso di questo protocollo per verificare lo stato di connettività di un host bersaglio.
- UDP è più veloce di TCP, ma consente uno scambio d’ informazioni senza garantire la certezza che esse abbiano raggiunto la destinazione. Viene spesso impiegato all’ interno delle Intranet aziendali per ottenere l’ enumerazione degli utenti che appartengono ad uno stesso gruppo, oppure come protocollo alternativo per software specifici che non necessitano di particolari controlli sull’ avvenuta connessione e correttezza di ricezione durante lo scambio dati.
- TCP è relativamente più lento, ma fornisce la certezza dell’ avvenuta connessione nonché dell’ avvenuto trasporto dei dati; la rete Internet adotta questo protocollo per l’ interscambio d’ informazioni e, considerata la vastità della rete globale, è anche quello più comunemente utilizzato per sferrare un attacco ai danni del computer della potenziale vittima.
- L’ IP identifica in modo univoco un computer in rete, si compone di quattro cifre decimali (ognuna delle quali è compresa tra 0 e 255) e costituisce una sorta di numero civico. Una volta identificato l’ indirizzo IP assegnato dal Provider al computer obiettivo, l’ incursore avrà identificato con certezza il destinatario della trasmissione (oppure il mittente) e potrà avviare la procedura di attacco.
Poiché un protocollo da solo non è sufficiente a identificare la tipologia delle informazioni scambiate, si è reso necessario assegnargli un identificativo numerico; Quest’ ultimo costituisce una porta di accesso ed è identica per tutti i computer interessati dalla stessa tipologia di scambio dati, sia che essi siano client, sia che essi fungano da server.
Questo significa che un computer che faccia uso di un protocollo ed una porta specifica ad esso associata, utilizza o fornisce un servizio. Le porte utilizzabili hanno un range che varia da 0 a 65.535 e 1.024 di queste sono assegnate per convenzione ad un servizio specifico.
Fra queste le più comuni sono:
Porta Servizio Utilizzo
21 FTP (File Transfer Protocol) Trasmissione file
22 SSH (Secure Shell) Connesisone Shell Sicura
23 Telnet (Telematic Network) Servizio di connessione telematico
25 SMTP (Sending Mail Transfer Protocol) Spedizione posta elettronica
80 HTTP (Hyper Text Transfer Protocol) Internet browsing
110 POP3 (Post Office Protocol v3) Ricezione posta elettronica
135 RPC (Remote Procedure Call) Chiamata di procedura remota
139 NetBIOS Gestione sessioni per condivisione risorse
445 NetBIOS Grezzo Gestione sessioni per condivisione risorse
Qualunque servizio che sfrutti un protocollo integra direttive specifiche che ne consentono il corretto utilizzo, ma nessun protocollo può considerarsi esente da difetti di programmazione; spesso sono proprio questi ultimi, in parte, ad essere sfruttati in modo opportuno per i fini più disparati. Il protocollo TCP/IP, ad esempio, è un ottimo veicolo per il trasporto e consegna dei dati, ma integra al suo interno numerosi errori concettuali a sfavore della sicurezza che ricadono sulla impossibilità di essere certi dell’ identità reale fra i PC impegnati nella comunicazione, oppure sull’ impossibilità di evitare intercettazione e manipolazione di pacchetti scambiati, se non attraverso l’utilizzo di adeguata cifratura del protocollo. Se si affianca l’ inesperienza dell’ utente ai difetti di programmazione, il quadro che ne risulta rispecchia in pieno la pericolosità di una configurazione poco adatta a garantire una navigazione sicura.
Dirottamento di sessioni, sniffing ed IP Spoofing sono due fra le tecniche maggiormente conosciute ed utilizzate da incursori esperti al fine di superare firewall, acquisire le corrette credenziali, spacciarsi per host di fiducia e carpire informazioni riservate.

MONITORARE IL TRAFFICO DI RETE
Riconoscere le porte aperte ed i servizi in uso non sono sufficienti per identificare la fuga d’ informazioni riservate. Riuscire ad intercettare le informazioni in entrata e/o in uscita dal nostro PC è fondamentale per capire se la nostra sicurezza è stata compromessa, oppure se qualcuno è in procinto di agire in tal senso. Ogni informazione scambiata fra due o più computer viene suddivisa in pacchetti di dati identificati da un numero sequenziale che serve all’ host destinatario per ricostruire la sequenza corretta delle informazioni ricevute, una volta che esse abbiano raggiunto la destinazione; In questo modo, poichè la sequenza difficilmente viene rispettatta durante la trasmissione, i pacchetti sono riassemblati nel corretto ordine di ricezione, una volta che la coda in transito si sia esaurita. I software utilizzati per leggere le informazioni scambiate sono chiamati packet-sniffers (annusatori di pacchetto).
Annoverate tra le utilities notevolmente pericolose, se utilizzate dai pirati informatici e difficilmente rintracciabili, gli sniffers sono utilizzati principalmente per carpire password e nomi utente ad esse associati, ma spesso sono utili agli amministratori di rete allo scopo di verificare i dati in transito ed agire prontamente in caso di pericolo di violazione della privacy.
Windows XP non è dotato di un utilità che sia in grado di controllare i pacchetti in transito, sebbene su Internet non sia difficile reperire tale tipologia di strumento.

FIREWALL - COS'E' ?
Un firewall è un dispositivo in grado di operare un filtro sul traffico che lo attraversa, ossia è in grado di identificare, bloccare o consentire il transito di un flusso di pacchetti dati che debbano attraversarlo per raggiungere la propria destinazione.
Affinchè possa assolvere alla funzione di identificazione del pacchetto, il firewall deve necessariamente essere in grado di comprendere la struttura del pacchetto ed operare una suddivisione dello stesso nelle sue componenti generiche: instradamento(IP)->protocollo(TCP/UDP, ecc)->informazione.
Affinchè possa assolvere alla funzione di bloccare o consentire il transito di un pacchetto attraverso se stesso, il firewall deve operare un'ulteriore suddivisione delle tre componenti generiche e confrontare i parametri ricavati con le regole di filtraggio impostate.

EFFICACIA DEL FIREWALL
Non tutti i firewall sono uguali e non tutti i firewall sono impenetrabili; questa è una regola da tener sempre a mente quando si configura tale tipologia di dipositivo al fine di bloccare gli accessi indesiderati diretti dall’ esterno verso il PC da proteggere. L’ efficacia di un firewall non è garantita al 100%, ma al fine di progettare e realizzare una buona difesa, è obbligatorio conoscere le sue funzionalità per configuarlo opportunamente.
Sebbene non esistano regole precise per impostare opportunamente un firewall, in quanto è necessario considerare quale ruolo ricopre il computer da proteggere, l’utente che si veda impegnato a doverlo gestire deve sempre tenere a mente sei regole fondamentali:
Quali protocolli rendere utilizzabili e quali bloccare.
Quali porte consentire e quali bloccare.
A quali indirizzi IP consentire o negare l’accesso alla rete attraverso porte specifiche.
Se il dispositivo lo consente, a quali applicazioni consentire o negare l’accesso alla rete.
Una volta impostate le regole per il traffico consentito, non dimenticarsi mai di:
Negare l’accesso a qualunque protocollo, porta, IP o applicazione che non siano strettamente necessari.
Prestare la massima attenzione al traffico in uscita attraverso il firewall, poiché molti malware potrebbero oltrepassare la protezione sfruttando le relazioni di fiducia assegnate ad un applicativo conosciuto (ad esempio il browser) per connettersi all’ esterno.
Nel caso in cui un intruso possa avere scoperto una falla per oltrepassare il firewall in base a tecniche di evasione ben collaudate ma sconosciute alla sua vittima, la migliore difesa consiste sempre nel disabilitare ogni servizio che non sia strettamente necessario e che possa fornire una base d’ appoggio per potenziali software malevoli (malware) installati all’ insaputa dell’ utente.

renzo1165
11-07-2008, 23.05.11
LoryOne, non avrei mai osato sperare tanto, penso sia proprio questo il modo giusto per iniziare :act:
A questo punto sarebbe interessante che chi dovesse essere interessato a questo tipo di problemi proponesse le proprie situazioni operative consentendo ai più esperti di definire le indispensabili linee di difesa. Raccogliendo tutte le informazioni, anche chi, come me, non conosce a fondo le problematiche di impostazione del firewall, avrà qualche possibilità in più per decidere
-se sia sufficiente il filtraggio del router
-se vi sia necessità di un firewall software personale
-quale di questi sia il più indicato
-quali aperture si debbano necessariamente concedere
-...
Con le dovute proporzioni, a mio sfavore intendo :) , è lo spirito di cui parli che spinge un pò anche me a cercare di rendermi conto di cosa faccio e mi crea problemi ad usare delle protezioni che, in fin dei conti, non so se realmente mi proteggono, e, peggio, se davvero ne abbia necessità.
Operativamente, quali potrebbero essere le informazioni utili da evidenziare per delineare il più appropriato sistema difensivo? :)
grazie per la disponibilità e complimenti per la competenza
renzo

cippico
12-07-2008, 01.14.09
ecco il link x il dwl diretto...

link (http://download.zonelabs.com/bin/free/1220_itti/zapSetup_70_483_000_it.exe)

io solitamente installo sopra e mantengo tutte le impostazioni...

ciaooo

lomar66
12-07-2008, 11.44.22
ecco il link x il dwl diretto...

link (http://download.zonelabs.com/bin/free/1220_itti/zapSetup_70_483_000_it.exe)

io solitamente installo sopra e mantengo tutte le impostazioni...

ciaooo

Con la 483 finalmente funziona tutto lasciando la "sicurezza zona internet" = alto

:)

LoryOne
12-07-2008, 19.12.38
TIPOLOGIE DI FIREWALL
Poichè il firewall è un dispositivo posto lungo la linea di traffico di rete, ad esso può essere consentito di operare una sorta di manipolazione del pacchetto, bloccandone il transito, rielaborandone le peculiarità contenute e reinoltrandole al mittente in modo da falsificare le informazioni da esso attese in risposta. Si tratta di una combinazione di operazioni che si rivelano piuttosto efficaci, ma è utile comprendere quale sia stata l'evoluzione che ha impegnato gli sviluppatori nella concezione e realizzazione di firewall sempre più affidabili e sicuri:
Packet filtering:
Il packet filtering (filtraggio di pacchetti) si basa sul semplice filtraggio basato su:
- tipo di protocollo utilizzato
- IP sorgente/destinazione
- porta sorgente/destinazione, che, come visto in precedenza, insieme al protocollo corrisponde all'identificazione del servizio in uso.
Purtroppo, tale tipo di firewall si è rivelato col tempo poco affidabile a causa di una vulnerabilità riguardo alla frammentazione e riassemblaggio di pacchetti prima di procedere alla fase di filtraggio, che può consente l'apertura di porte altrimenti chiuse. Questa tipologia spuria di firewall è molto veloce nell' eseguire il filtraggio dei pacchetti, ma sta ormai scomparendo a causa di una sempre maggiore potenza di elaborazione e quantità di memoria che consentono di effettuare operazioni molto più affidabili e sicure sul traffico di rete, attribuendo in tal modo al firewall funzionalità sempre più evolute in termini di sicurezza garantita.
Stateful Firewall:
Un firewall stateful (stato di connessione) aggiunge la funzionalità di memorizzazione dello stato di una connessione, individuando quali pacchetti abbiano dato origine alla sua apertura, facciano parte del flusso consentito, abbiano dato origine alla sua chiusura e quali debbano essere bloccati perchè identificati come estranei. In pratica tengono traccia della corretta sequenza con cui:
- si è in procinto di instaurare una connessione
- Si instaura la connessione
- Si controlla la validità del flusso dei pacchetti scambiati
- Si è in procinto di chiudere una connessione
- Si chiude una connessione
DPI:
L'ultima tipologia di firewall riguarda il Deep Packet Inspection che unisce le due tipologie precedenti e ne accresce le funzionalità aggiungendo la capacità di tener traccia del protocollo in uso a livello application, rendendo più ardua la possibilità di effettuare il tunnelling e l'incapsulamento di protocolli differenti in quello consentito. Su tale tipologia di controlli sono basati gli odierni software IDS (Intrusion Detecting Systems) ed IDP (Intrusion Detection and Prevention)

IL FIREWALL SUI ROUTER
Ad oggi è possibile creare una rete protetta interna dalla quale, attraverso un router, sia possibile colloquiare con Internet e da Internet fornire accesso ad un PC interno alla rete, ad esempio un server web, spendendo una cifra piuttosto bassa. Il router acquistato è sicuramente provvisto di firewall e funzionalità di NAT (Network Address Translation) che consentono sia di filtrare il traffico in ingresso/uscita, sia di consentire lo scambio di informazioni tra tipologie di reti (INTRA-net ed INTER-net) pubbliche e private altrimenti precluse l'una all'altra.
Il firewall installato di default e configurabile dall' utente è però limitato ad effettuare il filtraggio sul traffico di rete prestabilito in base a regole di filtraggio statiche, senza possibilità di intervento su chi abbia dato origine al flusso di informazioni scambiate, quindi senza possibilità di intervenire sulla concessione o il diniego del tentativo da parte di un' applicazione di aprire una connessione verso l'esterno.
Tale comportamento ci porta inevitabilmente alla necessità di installare un ulteriore dispositivo di filtraggio sul client che avverta l'utente del tentativo di accedere ad internet da parte di un' applicativo ancora sconosciuto al firewall locale e che consenta all'utilizzatore di far rientrare tale applicazione tra quelle fiduciarie identificate dal firewall stesso.

LoryOne
12-07-2008, 19.14.46
NECESSITA' DI FIREWALL SUI CLIENT
Abbiamo visto che il firewall sui router è un filtro posto tra due tipologie di reti distinte e non raggiungibili tra loro se non attraverso il router stesso che consente o meno il traffico di pacchetti secondo regole di firewalling preimpostate. Non meno importante del firewall sul router è lo stesso dispositivo installato sul client che, oltre ad effettuare il filtraggio a livello di rete, offre anche l' importante funzionalità di monitorare il comportamento delle applicazioni che tentino di accedere ad Internet aprendo un canale di comunicazione tra il client ed il router (se questo è presente) ed il proprio ISP, oppure direttamante tra il client e l'Internet Service Provider.
Il numero di programmi creati appositamente per mettere a rischio l’integrità dei dati custoditi gelosamente, oppure creati al puro scopo di aggirare i dispositivi utilizzati per garantire la sicurezza nell’impedire la fuoriuscita di informazioni personali, negli ultimi anni è cresciuto in maniera esponenziale.
Riuscire a dar vita ad un dispositivo (sia esso di tipo hardware o di tipo software) che non sia compromettibile nell’ ambito della funzione che esso ricopre è praticamente impossibile, poiché l’ingegno, la fantasia, la creatività, ma soprattutto il tempo impiegato da un incursore per studiare e portare a termine un atto illecito, sono difficili da prevedere e quantificare.
I software potenzialmente in grado di recar danno se installati su postazioni violate, hanno caratteristiche e funzionalità diverse in base alla gravità del danno che l’incursore vuole arrecare al suo bersaglio. La categoria principale entro la quale sono circostritte tali tipologie di software è chiamata in gergo malware (software malevolo).
I malware assemblano diverse varianti che espongono la postazione manomessa a notevoli rischi di fuoriuscita d’informazioni non autorizzate.
Qui di seguito si riporta una lista dei malware più comuni e pericolosi che possono essere installati su un computer, qualora non vengano adottate le dovute precauzioni al fine di prevenire la manomissione:
Virus o Worm
I Virus sono software progettati per rendere inutilizzabile un PC o manomettere l’integrità e la struttura dei files che sono infettati dal loro codice malevolo.
Con l’avvento di Internet e la posta elettronica, questa tipologia di malware ha avuto una proliferazione senza uguali, tanto che l’inoltro di se stessi tramite l’utilizzo dell’ elenco dei mittenti immessi nella rubrica della posta, è il modo più comunemente applicato per propagare l’ infezione.
Il termine worm viene spesso utilizzato per associare il proliferare dell’ infezione alla crescita di lunghezza di un verme che trova nei suoi nuovi portatori del virus il cibo di cui si nutre.
Daemon
Il Daemon (o demone) è un software in grado di fornire un servizio ad uno o più utilizzatori che conoscano la porta di ingresso-uscita di dati / informazioni / direttive impartite - comandi eseguiti. La pericolosità di tale tipologia di software risiede nel suo stesso nome, considerato che le funzionalità messe a disposizione dal Daemon sono strettamente lagate alla creatività del suo programmatore, che può persino averlo progettato al fine di ottenere il controllo completo della macchina bersaglio in remoto.
Trojan
Il Trojan è un Daemon la cui funzione non è nota al proprietario della postazione manomessa che, fino quando non si accorge di essere un fruitore di servizio non autorizzato, può fornire informazioni riservate al creatore del malware, oppure a tutti coloro che siano a conoscenza della porta aperta sul computer bersaglio.
Il suo nome si rifà al famoso cavallo di Troia che custodiva al suo interno un numero esiguo di soldati Achei che, durante la notte, usciti dalla pancia del cavallo, aprirono le porte della città che subì devastazione e saccheggio dopo 10 lunghi anni di assedio.
Keylogger
Un Keylogger è un software di dimensioni contenute che memorizza i tasti premuti e li spedisce in sequenza a chiunque stia in ascolto sulla porta aperta sulla propria macchina. Questa tipologia di malware non è affatto da sottovalutare, in quanto vanifica ogni sorta di cifratura di password o di autenticazione che può essere trasmessa sulla rete Internet.
Nell’ ipotetico caso in cui uno sniffer fosse in ascolto sul tratto di rete che separa un client da un server e se fra i due hosts si fosse stabilita una connessione al fine di trasmettere dati cifrati per rendere la trasmissone sicura, l’ incursore si troverebbe nella possibilità di catturare i pacchetti cifrati e potrebbe poi con calma cercare di riconoscere l’algoritmo di cifratura per ottenere la combinazione nome utente/password in chiaro.
Con un keylogger, invece, la password risulta immediatamente disponibile, poiché è come se l’incursore si trovasse nei panni dell’ utente bersaglio mentre la digita in locale sul proprio PC.
Attraverso lo scambio cifrato di dati, è probabile che l’ accorgimento adottato porti presto a far cessare l’ azione di spionaggio da parte del malintenzionato, ma se quest’ ultimo è particolarmente ostinato, prima o poi sarà in grado di carpire le informazioni riservate alle quali ha dedicato così tanto tempo per ottenerle; inutile ricordare che il non utilizzo di alcun algoritmo di cifratura renderebbe l’ azione di spionaggio fin troppo facile da portare a termine ed è quindi vivamente sconsigliato non utilizzare protocolli cifrati durante lo scambio d’ informazioni private.
Spyware
Lo Spyware è un software nato con lo scopo di spiare l’attività svolta da un computer in rete attraverso la creazione di cataloghi concerneti la tipologia di file scaricati, le pagine Internet maggiormente visitate, i gusti e le tendenze di un utente nella scelta delle informazioni ricercate attraverso browser Internet, ecc.
Gli Spyware sono quindi software creati appositamente per spiare in che modo viene utilizzato un servizio al fine di renderlo più vicino ai gusti ed alle scelte che un utente compie durante la sua attività di navigatore della rete. I primi spyware a fare la loro comparsa furono i cookies, ossia files creati sul proprio hard-disk in seguito alla visualizzazione di un sito Web al solo scopo di reperire informazioni sulle pagine visitate con maggiore interesse. Poiché tali tipologie di files possono essere considerate lesive della privacy, le ultime versioni del browser Web consentono di evitare di accettare cookies sul proprio PC ed è per questa ragione che gli spyware esistono, al fine di eludere tale restrizione.
Inutile dire che una tale tipologia di software (sebbene sia legale nel 95% dei casi, in quanto molti degli applicativi scaricati ed installati svolgono anche l’attività di spyware sottoforma di moduli aggiuntivi) mette fortemente a repentaglio la privacy di chiunque e, per questo motivo, non deve essere presente tra gli applicativi installati ed utilizzati correntemente.
Rootkit
Un Rootkit è un insieme di software (kit) che permette di ottenere il controllo di un computer (acquisire i privilegi dell' utente Root su sistemi Unix o Administrator su sistemi Windows) in locale oppure da remoto in maniera nascosta, poichè sfruttano librerie e driver di sistema che non sono scansionate dalla maggior parte dei software antivirus in quanto ritenuti sicuri.
I Rootkit costituiscono il più recente metodo di manomissione dei controlli di sicurezza attualmente adottato dagli incursori informatici; Questo sistema consta sostanzialmente nell’ agganciare il software malevolo ad una o più librerie di sistema che sono vitali al funzionamento del S.O., assicurandosi, in tal modo, di essere eseguito in simbiosi con il sistema che lo ospita. La manomissione dei sistemi di sicurezza è effettuata attraverso la fornitura di una risposta falsata sulla propria presenza successivamente ad un'interrogazione effettuata dal software antivirus al S.O. durante la fase di scansione.
Dialer
Un Dialer è un software che viene installato a seguito di una richiesta di utilizzo di un servizio particolare messo a disposizione da siti Internet di dubbia fiducia.
La funzione principale di un Dialer è quella di modificare le impostazioni di accesso ad Internet in modo da collegare l’utente ad un altro ISP (Internet Service Provider) che fornisce servizi su richiesta a prezzi poco contenuti e che fanno innalzare sensibilmente la bolletta del telefono.
Negli ultimi anni, le tipologie di malware sopra elencate si sono evolute per accorpare più caratteristiche tra le funzionalità disponibili, in modo da rendere impossibile una diversificazione marcata tra di esse. Tutti i malware, comunque, hanno in comune la peculiarità di cercare di eludere ogni sorta di vincolo imposto dall’ utente, se non ostacolati da software specificamente progettati per riconoscerli e renderli inoffensivi.

Non scriverò altro sull argomento che credo di aver trattato in maniera sufficentemente chiara, anche se ammetto di averlo esposto in maniera superficiale. Informazioni molto dettagliate si possono trovare in rete, ma il mio scopo è quello di effettuare un sunto e lasciare all'interessato la volontà di approfondire l'argomento.
Spero di aver fornito a renzo1165 le informazoni richieste :).
Per tutto il resto c'è, come sempre, la comunità di Wintricks (Y).
Basta chiedere, che ce vo ? :D

LoryOne
12-07-2008, 23.40.37
Segue ...

LoryOne
12-07-2008, 23.41.55
Scarica e rinomina ptst.z01

LoryOne
12-07-2008, 23.42.56
Scarica e rinomina ptst.z02

LoryOne
12-07-2008, 23.43.57
Scarica e rinomina ptst.z03

LoryOne
12-07-2008, 23.44.42
Scarica e rinomina ptst.z04

LoryOne
12-07-2008, 23.45.35
Scarica e rinomina ptst.z05

LoryOne
12-07-2008, 23.46.25
Scarica e rinomina ptst.z06

LoryOne
12-07-2008, 23.47.15
Renzo1165, ti ringrazio per la competenza che mi hai attribuito ma io sono solo un appassionato parecchio curioso che ha voglia di condividere la sua passione con chi dimostra interesse;).
Credo che al buon Mati non dispiaccia se pubblico questo documento scaricabile in versione originale da Internet e non ne abbia a male se mi sono permesso di modificarlo leggermente. Le modifiche, comunque, non riguardano il contenuto, ma l' aggiunta di un codice colore che aiuti ad identificare in maniera evidente la distinzione tra comandi impartiti (requests) e risposte ottenute (answers).
blu -> user requests
verde -> answers di particolare interesse
rosso -> hacker requests
Prima che i moderatori possano chiudere il 3d e che alcuni wintrickers possano sentirsi affetti da spirito di emulazione, ci tengo a precisare che il whitehat penetration-testing condotto da Mati Aharoni è stato effettuato con successo grazie alla complicità di tutta una serie di condizioni piuttosto favorevoli e, soprattutto, sotto commissione ed ottenimento dell'autorizzazione a procedere.
Vorrei porre l'attenzione sull' ultima parte:

3:37 am
To completely consolidate my control of the client's network, I upload a modified version of KaHT II (the RPC DCOM autohacker) and edit the macros.txt file, so that each successful exploitation would tftp the 'repair' sam file to my attacking machine.
At this stage, I stop my attack on the client's network, as the contract objectives are completed.

Un vero hacker non è un vandalo e sa sempre quando fermarsi prima di compromettere seriamente un sistema.
Resta inteso che il documento pubblicato è utile a comprendere la metodologia di attacco condotta da Mati, con particolare riferimento ai tools utilizzati, alle considerazioni effettuate ed alle intuizioni avute dal pen-tester, nonchè allo scorrere del tempo che mostra un'azione non certo portata avanti con leggerezza. Dimenticatevi, quindi, il soggetto che digita a manetta che spesso si vede nei film :D. Un hacker pensa e valuta prima di agire.

Ho accennato a "tutta una serie di condizioni piuttosto favorevoli" ... Senza nulla togliere al pentester (notate la furbata nel manipolare opportunamente le tabelle di routing per portare a termine l'exploit su un server interno: ora 2:30 am) ecco a cosa mi riferivo:
1:30 am - Un router camuffato da qualcos altro ed accessibile da Internet (“Strange” I think to myself. “A Mail server running 'Finger' service?)
Un brute force effettuato con successo attraverso un dictionary file capiente con password fortunatamente inclusa
1:58 am - Una cifratura di password piuttosto debole
2:38 am - Una shell remota ottenuta attraverso il solito overflow di RPC su un web server operante su Windows 2000 sicuramente non patchato.
3:01 am - E' evidente la completa assenza di antivirus sulla macchina bersaglio e l'utilizo dell' obsoleto NTLanManager per l'hashing delle password relative agli account locali
3:30 am - La solita porta di default 3389 di M$ terminal server

Ho allegato un ulteriore PDF che considero una perla: Un questionario da leggere e divertirsi a rispondere.
Quando saprete rispondere a tutte le domande, potrete essere pronti ... per cominciare ad imparare nuovamente ... come me ;).
Conoscete Mati ? Eccolo.
Muts (alias Mati Aharoni) http://www.remote-exploit.org/about.html

Ps. Grazie ragazzi per l'ottimo Backtrack !

Ai mods: Se ritenete di chiudere il 3d fatemi sapere. Mi basta un solo avvertimento per chiudere l'argomento. Grazie.
Wintricks è su hakin9

Lionsquid
13-07-2008, 09.01.41
chiudere il 3d?? scherzi! :D

anzi, se sei daccordo segnalo a Billow questo thread per una pubblicazione sul sito come mini-articolo ;)

che ne dici?

Thor
13-07-2008, 09.27.41
e io mi permetto di mettere i 2 files contenuti nei 7 allegati 7 ^^ dei posts sopra, in uno solo ;)
http://www.mediafire.com/?xmwdh5nbfjy

LoryOne
13-07-2008, 10.45.25
chiudere il 3d?? scherzi! :D

anzi, se sei daccordo segnalo a Billow questo thread per una pubblicazione sul sito come mini-articolo ;)

che ne dici?

Dico che decide Billow. Io sono daccordo sulla pubblicazione :)

leofelix
13-07-2008, 18.37.56
Lionsquid mi ha tolto la parola di bocca, stavo pensando anche io di chiedere la pubblicazione dell'importante testo fornito dal vecchio lupo di mare LoryOne, qui su wintricks.

Intanto i miei complimenti, ragazzo :act:
Ancora una volta sei riuscito a strabiliare letteralmente chi - come me - silente ti legge.

Stavo anche per farti delle domande su dei Personal Firewall specifici, ma prima vorrei finire di rileggere e probabilmente non avrebbe senso in questo contesto

con ammirazione

LeoFallax de la Mancha

[EDIT] non è la prima volta che cito in modo erroneo dei nickname, me ne scuso.. (anche Larry ehm LoryOne ne sa qualcosa)

renzo1165
13-07-2008, 23.41.37
LoryOne, il tuo impegno e la tua professionalità non mi lasciano alternative...dovrò "mettermi a studiare" :)
Ho già salvato il tuo intervento ed ho iniziato a leggere...solo non mi riesce di aprire molti dei file .zip, nè con il solito 7zip, nè con winzip, potrebbe verificare qualcuno se dipende da me o sono i file ad essere danneggiati?
Tanti complimenti ancora e grazie da
renzo

LoryOne
14-07-2008, 20.44.08
Grazie a te renzo.

x il Fallax: Come sarebbe a dire che ti scusi quando citi erroneamente i nick ?
Io c' ho preso gusto a chiamarmi LarryDurex :D

Lionsquid
15-07-2008, 00.36.17
...cut...

LeoFallax de la Mancha

[EDIT] non è la prima volta che cito in modo erroneo dei nickname, me ne scuso.. (anche Larry ehm LoryOne ne sa qualcosa)





che esagerazione :D

leofelix
15-07-2008, 17.45.00
x il Fallax: Come sarebbe a dire che ti scusi quando citi erroneamente i nick ?
Io c' ho preso gusto a chiamarmi LarryDurex :D

questa volta incredibilmente il tuo nick lo avevo scritto correttamente, ragazzo. Esatto, ragazzo, esatto!
Per il resto, è una lunga storia, una lunghissima dannata storia, che un giorno scriverò nel mio diario di bordo, ragazzo. Esatto! :p

ora scusami ma sto installando un personal firewall nel computer di Dulcinea del Toboso, sono certo che tu hai già compreso e individuato esattamente di cosa si tratta, Esatto!