PM - HOME PAGE ITALIANA PM-TELEMATIC PUBLISHING PSYCHO-BOOKS

PM-TP
PSYCHOMEDIA
Psycho-Books


SICUREZZA INFORMATICA
PER PSICOLOGI E PSICHIATRI

Luca Pezzullo @ 2002 per Psychomedia Telematic Review

PARTE QUARTA




Virus ed affini

I virus sono piccoli programmini (spesso di poche righe di codice, od al massimo di qualche kilobyte), costruiti apposta per infiltrarsi in un sistema informatico e produrvi degli effetti di vario tipo, spesso "negativi". Una caratteristica dei virus è quella di diffondersi facilmente, duplicandosi ("infettando") altri files.
Possiamo immaginare il virus informatico come un vero virus biologico, che sopravvive penetrando ed insediandosi in un "organismo" (ovvero, di solito, un file), dove può rimanere quiescente per un certo periodo, per può riattivarsi in base a fattori esterni od al suo "programma interno", e quindi diffondersi ad altri "organismi", dopo aver prodotto i suoi effetti patologici nel sistema.
Esistono decine di migliaia di virus (le ultime versioni di AVP, uno degli antivirus più famosi, difendono ad esempio da circa 50.000 virus diversi), solitamente sviluppati per scopo "ludico-sperimentali" da programmatori od hackers in erba. Altri sono invece stati sviluppati in maniera molto professionale per specifici scopi "distruttivi".

Non tutti i virus producono gli effetti distruttivi che spesso vengono paventati dai messaggi allarmistici che girano su Internet. Anzi, ne esistono molte migliaia che si limitano a produrre effetti divertenti o banali, quali l'occasionale comparsa di un messaggio o di un particolare effetto visivo sullo schermo a qualche data prefissata, o dopo l'esecuzione di una specifica operazione prestabilita a priori (esecuzione di certi files, apertura di un dato applicativo, etc.). Alcune centinaia di virus sono invece molto più pericolosi, e possono produrre danni che spaziano dalla perdita di files di dati e documenti, al blocco degli applicativi, al danneggiamento "fisico" dell'Hard Disk o del sistema operativo. Anche la modalità di diffusione può essere molto diversa, in base allo specifico tipo di virus.
Vediamo dunque i principali tipi di virus:

Virus del Kernel

Difficilmente avrete a che fare con un virus del Kernel. Il Kernel è il "cuore" di un sistema operativo: ovvero, il nucleo logico e computazionale del vostro Windows (o Linux, o MacOS). Il Kernel è la parte fondamentale del codice che fa funzionare il vostro computer: danneggiare il Kernel significa quindi danneggiare profondamente le strutture di base del vostro sistema. Possiamo considerarla come una gravissima e massiccia lesione encefalica: scarse possibilità di sopravvivenza, ed anche ammesso che si sopravviva, è quasi sicura un'invalidità pressochè totale. I virus del kernel sono rarissimi, perché la codifica ne è estremamente difficile; un'eventuale infezione al kernel obbligherebbe "d'ufficio" alla completa formattazione e reinstallazione totale del sistema operativo.

Virus Eseguibile

I virus eseguibili sono i virus "classici": un virus eseguibile si installa all'interno di un file con estensione ".exe" o ".com", ovvero un file che "esegue" direttamente una sequenza di operazioni all'interno del sistema: agganciandosi ad uno di tali file, le istruzioni del programma virale vengono "lanciate" nel sistema quando viene eseguito il file infettato. Ad esempio, l'ipotetico "Virus X" infetta il file "word.exe". Ogni volta che faccio partire Word, in pratica sto ordinando al mio PC di far eseguire una serie di files, tra cui word.exe. Ovvero, il sistema va a "aprire" certi files, ne "legge" il contenuto e esegue pedissequamente quello che c'è scritto. Ma siccome all'interno di "word.exe" si è nascosto il nostro "Virus X", il computer eseguirà automaticamente anche le istruzioni virali, le "pagine illegali" che sono state artificiosamente aggiunte alle originali istruzioni del file word.exe. Se in quelle "pagine illegali" c'è scritto di cambiare il colore allo sfondo, il computer lo farà (un virus sostanzialmente innocuo); se c'è scritto di cancellare tutti i file con estensione ".doc" presenti nel nostro disco fisso, abbiamo appena perso tutti i nostri documenti (virus altamente distruttivo, o "maligno"; fortunatamente, questo è un caso estremo).

La maggioranza dei virus sono programmati per infettare altri files: ovvero, quando il file-ospite viene eseguito, una parte delle istruzioni virali permettono al virus di duplicarsi all'interno di altri files, quali ad esempio quelli relativi ai processi attivi nel sistema (cioè, sostanzialmente, gli altri programmi che stanno girando) al momento dell'esecuzione del virus. Il virus, infatti, si installa e rimane attivo nella memoria del computer, cercando di infettare tutti gli altri programmi in funzione nello stesso momento.
I virus, ovviamente, si possono propagare con molta facilità anche da un computer all'altro (magari tramite un file che si pensa assolutamente innocente, e che finisce in un dischetto scambiato con un amico…).
I virus non sempre si attivano in automatico (o si attivano del tutto) all'esecuzione del file-ospitante: molti sono programmati per attivare certe loro istruzioni (ad es., quelle dannose) solo in particolari condizioni (ad esempio, ad una data particolare, o dopo l'esecuzione di un'operazione particolare con qualche applicativo prestabilito). Un virus può quindi rimanere silente per molto tempo (e nel frattanto essersi diffuso ampiamente), prima che si attivino le sue funzioni "distruttive" e produca i suoi effetti negativi.

Per evitare il riconoscimento e la neutralizzazione dei virus da parte dei programmi antivirus, i programmatori di virus hanno sviluppato delle tecniche in grado di rendere più semplice la mimetizzazione del virus nei files ospiti. Sono così nati i virus polimorfici, ovvero quelli in grado di "cambiare" il proprio aspetto in modo tale da non essere riconosciuti dai virus scanners; altri virus usano un particolare trucco per rendersi "invisibili" (stealth): siccome uno dei principali sistemi usati per individuare i virus consiste nel controllare se la lunghezza di un file è cambiata dal controllo precedente (si chiama "inoculazione"; una piccola modifica di dimensioni potrebbe ad esempio indicare che nel file preventivamente inoculato si sono "infiltrate" istruzioni virali), questi virus modificano la lunghezza del file-ospite in modo tale che sembri ancora normale.
Per riuscire ad identificare anche questi virus, è importante possedere un antivirus sufficientemente recente, il cui Scan Engine (ovvero, il programma di ricerca) sia abbastanza moderno da riconoscere anche questi tipi di virus (ma non vi preoccupate, ormai lo fanno tutti).

Virus delle Macro

Fino a qualche anno fa, si pensava che non potessero esistere altri virus oltre che quelli eseguibili. Questa credenza si è duramente infranta quando sono venuti alla ribalta i virii delle macro.
Le Macro sono particolari sequenze di operazioni automatiche che vengono eseguite da un applicativo quale Word o Excel. Come tali, rappresentano veri e propri pezzi di codice eseguibile, e come tale possono essere opportunamente sfruttate per costruire dei piccoli ma potentissimi virus. I virus delle macro infettano documenti e modelli di un particolare applicativo, e si diffondono con facilità: ad esempio, usare in Word un modello normal.dot infettato porta alla quasi automatica infezione di OGNI documento che viene anche solo aperto. Il documento così infettato, se inviato ad un amico, potrà a sua volta infettare il modello normal.dot del suo Word, e così via, tutti i documenti aperti con il modello normal.dot infetto si infetteranno a loro volta…

I virus delle Macro hanno conosciuto un rapidissimo sviluppo negli ultimi tre o quattro anni, divenendo una delle più frequenti cause di perdite di dati e documenti.
Un ulteriore rischio è causato dal fatto che le versioni più vecchie di Office fanno avviare automaticamente le Macro di un documento, senza nemmeno chiederlo all'utente, rendendo così pressochè inevitabile il contagio. Sono molto diffusi anche perchè, in linea di massima, è più semplice programmare un virus delle Macro che un virus eseguibile, ed i danni che possono derivarne sono spesso superiori (ad esempio, immaginatevi di perdere l'unica copia esistente del capitolo più importante della vostra tesi di laurea o di specializzazione a pochi giorni dalla consegna, come è successo all'autore di queste righe…).

Virus del Boot Sector

I "boot virus" sono virus particolari, che si installano nei boot sector. I boot sector sono i settori di avvio, ovvero la parte di un file, o ad esempio di un floppy disk, nel quale sono inserite le informazioni necessarie per rintracciare ed avviare l'esecuzione dei dati presenti. Un virus che si inserisce in un boot sector verrà quindi avviato immediatamente appena si accede al file stesso. I danni che possono causare sono dunque notevoli. Fortunatamente sono abbastanza facili da individuare.

Bombe Logiche

Le bombe logiche sono dei "virus a tempo". Nella versione più classica, si installano in un sistema e rimangono quiescenti per un certo periodo di tempo, fino a quando un evento-trigger le attiva: ad esempio, una certa operazione compiuta sul sistema, oppure il raggiungimento di una certa data. A questo punto la bomba logica "esplode", solitamente cancellando specifici dati presenti sul sistema.

Worms

I Worms (vermi) sono un particolare tipo (o componente) di un Virus, il cui scopo è moltiplicarsi a dismisura e diffondersi con grande facilità attraverso reti informatiche. Quasi tutti i virus più recenti e famosi (ILoveYou, AnnaKournikova, Nimda, etc…) hanno una componente “worm”, che distribuisce massicciamente il virus tramite invii forzati di mail a tutti gli indirizzi presenti nella rubrica di Outlook del nostro PC: in questo modo, il nostro computer può diventare, senza che noi lo sappiamo, un veicolo di infezione per tutti i nostri conoscenti ed amici. Gli invii di mail infette, che propagano il virus ad altissima velocità, hanno lo spiacevole effetto collaterale di far credere che il virus ci sia stato inviato “malignamente” da una certa persona; si tratta di sfatare questa credenza. Se siamo stati infettati da un worm, NON è colpa diretta di chi ce lo ha inviato, il quale, probabilmente, è assolutamente inconsapevole di essere a sua volta infetto e di “avercelo spedito” !

Troiani

Ed eccoci ad analizzare uno dei tipi di virus più pericolosi. I troiani (trojans) sono programmini particolari, che si installano in maniera nascosta nel sistema che li ospita, e, come veri cavalli di Troia, vi aprono un'accesso informatico. Questo significa che l'utilizzatore del troiano può accedere al nostro sistema quasi come se fosse seduto davanti alla tastiera, con gli stessi privilegi di accesso che abbiamo noi: può quindi prendere visione di tutti i nostri materiali, programmi, dati; modificarli, cancellarli od aggiungerne, e così via. I troiani, inoltre, consentendo il controllo remoto del nostro sistema ad un estraneo, gli permettono anche di sferrare attacchi informatici o tentativi di intrusione a sistemi terzi facendo credere che sia il nostro computer ad attaccarli.

Ad esempio, Antonio vuole attaccare il computer di Carlo, ma ha paura di essere individuato. Allora decide di usare un troiano. Prima di tutto, riesce a piazzare un troiano sul computer di Biagio. Poi, stando comodamente seduto a casa sua, controlla il computer di Biagio attraverso il troiano, in modo che sia quest'ultimo a sferrare l'attacco al computer di Carlo. Se Carlo si accorgerà di essere stato attaccato, l'analisi dei log (cioè dei dati di connessione) dimostrerà che l'attacco è venuto da Biagio... anche se noi sappiamo che la persona dietro a tutto questo è Antonio.
Tra i troiani più famosi, meritano sicuramente menzione SubSeven e Back Orifice (nella versione classica e nelle sue numerose varianti, tipo il pericoloso BO2000).

Questo tipo di attacco è estremamente pericoloso, soprattutto se la "backdoor" che viene aperta (ovvero, la "porta di servizio" attraverso cui l'hacker di turno può introdursi nel nostro sistema) permette l'accesso a dati sensibili (magari a cartelle cliniche di pazienti).
Un troiano può quindi creare dei danni molto maggiori di qualunque altro virus, da un punto di vista di riservatezza e sicurezza dei nostri dati. In fondo, se facciamo regolarmente dei backup dei files più importanti, nel peggiore dei casi quello che ci può succedere da un virus è di dover riformattare il disco fisso e reinstallare tutto: un pomeriggio di lavoro e qualche imprecazione. Se invece tutte le cartelle cliniche che abbiamo incautamente registrato sul computer finissero nelle mani di qualche malintenzionato, il danno che potrebbe derivarne sarebbe in molti casi ben più grave.
Inoltre, non è detto che ci si possa rendere conto che tale "furto" è avvenuto, proprio perchè i troiani sono costruiti in modo da non dare segni della propria presenza.


Hoax

Un Hoax è un finto virus. Le virus hoax sono delle vere e proprie bufale, leggende urbane che si diffondono in Internet con grande rapidità. Si tratta di messaggi, la cui struttura è sempre molto simile e facilmente riconoscibile, che avvertono della “recente scoperta, da parte di IBM, o Microsoft o simili, di un nuovo e terribile virus, il Virus X, che distruggerà tutti i vostri dati, e per il quale non esistono difese. L'unica possibilità è avvertire subito tutti i vostri amici e conoscenti, il più in fretta possibile”. In realtà questo annuncio è falso, e quel virus che viene descritto in maniera così vaga non esiste: si tratta soltanto di una grossa “bufala”, una "storia da marinaio" (parlando di Internet...).
Ma in questo modo, le mailing lists di mezzo mondo vengono intasate da queste catene di Sant'Antonio, create da migliaia di persone preoccupate che inoltrano subito l'avviso a tutti i nomi che hanno nella rubrica di Outlook...
Se vi arriva un messaggio con le caratteristiche suddette, molto probabilmente NON È un vero virus.
Prima di inviare l'avviso a tutti, DOVETE controllare (ci mettete 30 secondi esatti) sul sito di un produttore di antivirus se si tratti di una Virus Hoax.
Ad esempio, provate ad andare al SARC.
Si tratta dell'Antivirus Center di Symantec (uno dei più importanti produttori mondiali di Antivirus), dove potrete trovare in tempo reale tutti gli avvisi dei veri virus e l'analisi delle Hoax attualmente in circolazione (oltre a molte informazioni tecniche sui tutti i virus reali).
NON propagate le Catene di Sant'Antonio, verificate SEMPRE la fondatezza dell'avviso ricevuto prima di reinviarlo.

Keysniffing

Ed arriviamo ad analizzare una pratica di quelle che possono far preoccupare un professionista che usa il computer per gestire i suoi dati clinici. Un Key-Sniffer è un piccolo programma che, una volta installato nel computer, registra ogni singolo tasto battuto durante una sessione di lavoro (comprese, quindi, tutte le password !), ed in molti casi le può anche trasmettere automaticamente via Internet appena il computer viene connesso in rete. I keysniffer sono costruiti per essere invisibili, o per simulare di essere qualcosa d'altro (ad esempio, un'applicazione innocua), in modo tale da essere estremamente difficili da identificare, anche ad un eventuale controllo del sistema in caso di sospetti.

Come ci si può difendere ? Sostanzialmente, utilizzando un buon Firewall (vedi dopo) quando si è connessi ad Internet per evitare che vengano trasmessi dei dati sospetti; controllando l'accesso al computer con una password in caso di condivisione tra più utenti della stessa postazione; verificando con il Task Manager tutte le applicazioni che sono in corso di esecuzione durante una sessione di lavoro, e killando (cioè terminando forzatamente, cliccando su "End Task" dalla schermata del Task Manager dopo aver selezionato dall'elenco il processo in questione) quelle sospette.... ma è difficile capire cosa è sospetto, se non si conosce un poco il funzionamento del sistema operativo. Molti keysniffer sono anche riconosciuti dai principali software antivirus.

Dopo esserci spaventati un pò, passiamo a discutere della profilassi e della terapia: ovvero, del funzionamento di Antivirus e Firewall, oltre che di un paio di tool, strumenti, abbastanza utili.



Igiene Antivirale

Vi sono alcune semplicissime regole di comportamento che riducono notevolmente il rischio di prendersi un virus, di facilitarne inconsapevolmente la diffusione o comunque di minimizzarne le conseguenze sul proprio sistema.
La regola aurea è una sola: se non sai di cosa si tratta, diffida.
Il che significa, in primo luogo, verificare sempre TUTTI i files che ci vengono mandati o che scarichiamo da Internet (o che, in qualunque modo, facciamo entrare nel nostro sistema) con un buon antivirus, aggiornato molto di recente (a questo proposito si veda il paragrafo successivo).
NON è MAI una "perdita di tempo": è un investimento prezioso, che con uno sforzo impercettibile evita danni ben peggiori e perdite di tempo molto più gravi in seguito.
Un approccio del genere, che parte dalla "presunzione di infezione" (ovvero, tutti i files con cui entro in contatto sono infettati fino a prova contraria), unita al cosiddetto WCS (Worst Case Scenario, lo "scenario peggiore", per cui il file non solo è infetto, ma è infetto con un virus che formatterà il disco fisso dopo averne spedito copia dei contenuti ad uno sconosciuto), anche se può sembrare (ed in effetti è un pò) paranoico, garantisce non di meno l'atteggiamento corretto, l'habitus mentale che dovrebbe essere sempre assunto nei confronti della profilassi antivirale.

Allo stesso modo, è utile seguire le semplici regole esposte di seguito:

- Se un file od un programma appena avviato sembra comportarsi in maniera molto strana (operazioni sul disco fisso, funzionamento diverso da quello che è sempre stato, apertura di finestre mai viste in precedenza e non coerenti con la normale funzionalità del programma, etc.), è consigliabile bloccarlo subito (eventualmente usando Task Manager) e controllarlo con l'Antivirus.

- Impostate le opzioni di Word e di Excel sulla Protezione Macro (in Word 97, menu Opzioni, flaggare Protezione Macro; in Word 2000, menu Strumenti, Macro, Protezione, selezionare Elevata; idem per le versioni di Excel). Questo obbligherà sempre il sistema (anche se vi sono -rarissime- eccezioni) a chiedervi conferma prima di avviare una Macro (un miniprogrammino) contenuto all'interno di un file .doc o .xls. Tenete conto che le Macro vengono usate raramente, e se ne trovate una dove non dovrebbe esserci, molto probabilmente è un virus. Controllate il file con l'antivirus PRIMA di avviarlo ! Od altrimenti, fate disattivare le Macro da Word od Excel.

- Se non dovete usare particolari funzionalità avanzate di Word, salvate i vostri documenti di testo in un formato “di basso livello”, ovvero il Rich Text Format (.rtf) o il Solo Testo (.txt). In questo modo, evitate il rischio di ritrovarvi Virus delle Macro nei vostri documenti. Il Rich Text Format sembra proprio essere il formato ideale per i documenti di testo: non solo è immune al rischio di virus delle macro, ma permette anche di mantenere in maniera molto fedele la formattazione e le impostazioni originarie del vostro documento; è leggibile su qualunque sistema (Windows, Linux, MacOs, etc…) con editor di testo di qualunque tipo (da quelli praticamente elementari a quelli compresi nelle suite più diffuse di prodotti per ufficio: Office, CorelSuite, StarOffice, etc.); e, last but not least, occupa pochissimo spazio in termini di Kbyte.

- Di tutti i documenti più delicati, tenete una copia di sicurezza su un dischetto da riporre in luogo sicuro. In caso di perdita dell'originale, avete la possibilità di fare un backup.

- Quando un amico, anche di cui vi fidate, vi passa un Cd-Rom od un dischetto, o vi manda un allegato di posta elettronica, controllate SEMPRE tutto il contenuto con il solito antivirus. Nella stragrande maggioranza di casi, i virus arrivano proprio in un programma di cui ci si fida "perchè me l'ha passato un amico che se ne intende". Il problema non è mai la "fiducia" o la "consapevolezza": difficilmente il vostro amico vi vuole passare consapevolmente l'influenza, ammesso che sappia di covarla. Idem per i virus informatici.

- Controllate l'estensione dei files ricevuti, prima di avviarli. Le “estensioni” sono semplicemente le tre lettere dopo il punto nel nome dei files: ad esempio, relazione.doc ha l'estensione .doc, che indica i documenti di Word; tabella.xls ha l'estensione .xls, che indica i fogli di calcolo di Excel. Perchè è importante controllarla ? La maggior parte dei virus “classici” hanno un'estensione .exe o .com (cioè quelle dei files eseguibili, che avviano un programma); ve ne sono anche di .pif o .bat (con funzionalità simili). Siccome i virus non si nascondono all'interno delle immagini e delle fotografie (files .jpg o .gif), o dei files audio (.mp3, .mid, .wav), se ce ne arrivasse uno potremmo essere tentati di aprirlo senza controllarlo bene con l'antivirus. Sarebbe un errore molto grave: alcuni dei virus più recenti sfruttano una banale impostazione di Esplora Risorse di Windows per ingannare l'utente.

Normalmente, infatti, in Esplora Risorse non viene visualizzato il nome completo di estensione, per quanto riguarda i files già conosciuti dal sistema: ad esempio, anche se attiviamo la visualizzazione dettagli in Esplora Risorse, il file “relazione.doc” verrà visualizzato solo come “relazione”. I creatori di questi virus aggiungono un puntino in mezzo al nome del file virale eseguibile (che quindi “parte” appena cliccato) ed una finta estensione rassicurante: ad esempio, “(virus.jpg).exe”. Cosa succede ? Che il nostro sistema visualizzerà semplicemente la “finta estensione” rassicurante .jpg (che dovrebbe essere un'immagine), mentre in realtà si tratta di un pericoloso programma eseguibile (.exe), che se andiamo a cliccare produrrà subito i suoi nefasti effetti.

Soluzione ? In primo luogo (non lo si finirà mai di ripetere abbastanza), verificare SEMPRE TUTTI i files che riceviamo, e non solo gli eseguibili o quelli che “ci sembrano” sospetti o strani (si tratta di pochi secondi….); in secondo luogo, può essere molto utile, per evitare questo tipo di problemi, impostare Esplora Risorse in modo che visualizzi sempre l'estensione dei files. Si tratta semplicemente di aprire Esplora Risorse, andare su Visualizza, Opzioni e deselezionare la voce “Nascondi estensioni dei files conosciuti”.

- Posta Elettronica.

Croce e delizia per la diffusione dei virus informatici. La posta elettronica, attraverso gli allegati infetti, è diventata la strada maestra per la diffusione di virus di ogni tipo. In particolare, chi usa Microsoft Outlook (o, peggio, Outlook Express) è a serio rischio, proprio perchè la maggior parte degli ultimi virus approfittano delle debolezze informatiche di tale programma per diffondersi con estrma facilità e virulenza. Dunque, il consiglio migliore in assoluto è solo uno: abbandonare Outlook e passare ad altri comodissimi programmi di posta elettronica, quale ad esempio l'eccezionale e sicuro Eudora. Con Eudora avete due grossi vantaggi: riducete drasticamente il rischio di far partire inconsapevolmente virus sul vostro computer, ed eliminate praticamente del tutto la possibilità di trasformarvi a vostra volta in pericolosi veicoli d'infezione per altri.

Eudora 5.1, che è un programma di posta veramente semplice ed efficace, è scaricabile liberamente dal sito del produttore, la Qualcomm. Si può ottenere in tre modalità: nella versione Pro a pagamento (circa 60.000 lire), Pro con pubblicità (gratis, ma sconsigliata per motivi di privacy, perchè trasferisce ai server cui fa riferimento i vostri dati personali - profiling - per potervi proporre pubblicità mirata), oppure nella più semplice versione Light, assolutamente gratis e senza pubblicità. Il consiglio è quello di utilizzare la versione Light, che "light" solo nel nome: in realtà permette di effettuare un'enorme serie di operazioni sulla posta elettronica, con la massima semplicità e sicurezza antivirale.



Antivirus

Un antivirus è composto da uno Scan Engine (ovvero dal motore di ricerca che riconosce ed identifica i virus all'interno dei files analizzati) e dal Pattern, ovvero l'elenco “nosografico” dei virus riconosciuti, con la descrizione delle loro caratteristiche e peculiarità (da aggiornare periodicamente).
I programmi antivirus cercano, all'interno di un file, la "traccia virale", ovvero l'elenco tipico di istruzioni di ogni virus. In base alla corretta identificazione di tale traccia è poi possibile provvedere alla pulizia del file, tramite la rimozione delle istruzioni virali. Le due caratteristiche fondamentali sono dunque l'efficacia dello Scan Engine, che deve essere in grado di verificare in maniera precisa e sicura tutti i virus presenti nei pattern, evitando falsi positivi e soprattutto falsi negativi, e l'aggiornamento continuo del Pattern, che deve comprendere tutti i virus più recenti (si calcola che ne vengano prodotti circa 500 di nuovi ogni mese). La qualità dello Scan Engine è quella che differenzia gli antivirus di prima classe dagli altri: tra i migliori, non si possono non citare Norton Antivirus, Pc Cillin, McAfee Antivirus, AVP. Questi Scan Engine riescono ad identificare tutti i principali tipi di virus, molti troiani, vari tipi di "malware", il maliciuos ware (ovvero i programmi "maligni", che provocano danni al sistema) e le applet Java pericolose.

Risulta quindi fondamentale dotarsi di un buon antivirus, ed aggiornarlo continuativamente dal sito Internet del produttore.
Come impostazioni, consigliamo di settare il programma sulla pulitura automatica dei virus eventualmente trovati (cioè rimuoverli senza danneggiare il file che li ospita), e sulla negazione dell'accesso ai file che ospitano virus non cancellabili.
In molti casi è possibile attivare la cosiddetta “ricerca euristica”: ovvero, lo Scan Engine non si limita a cercare solo i virus già conosciuti ed elencati nel suo “catalogo interno”, ma va alla ricerca di tutti i “files che si comportano in modo strano” (ad esempio, duplicandosi da soli o mandando istruzioni di cancellazione dati a Windows). Se ne trova, ce li identifica come possibili virus (e li possiamo bloccare, analizzare meglio, etc.). Attivate sempre le funzioni di ricerca euristica sui vostri antivirus, se le avete a disposizione ! Ad esempio, su Norton Antivirus si deve attivare la tecnologia "Bloodhound" (impostandola al livello massimo).




Firewall

Un Firewall (“porta tagliafuoco”, e non “muro di fuoco” come traducono in molti) è un software che monitora le connessioni, le porte ed i flussi di dati del nostro computer, bloccando gli accessi non autorizzati ed i furti di dati.
Come abbiamo detto, il nostro PC è connesso ad Internet tramite delle "porte", dei varchi informatici attraverso cui passano i flussi di dati. Senza entrare nel dettaglio, le porte sono numerosissime (molte migliaia), e da una porta lasciata "aperta" ed incustodita è possibile, usando delle apposite tecniche, infiltrare dei pacchetti di dati che trasportano del codice eseguibile nel PC; questo codice può poi produrre una lunga serie di effetti nefasti, facendo anche assumere il controllo del sistema ad un estraneo, o nukando il sistema (farlo collassare).
Il Firewall monitora attivamente tutte le porte e le connessioni, impedendo di fatto l'accesso non autorizzato al nostro sistema. Gli unici flussi di dati, in entrata ed in uscita, che vengono consentiti sono quelli espressamente autorizzati da noi. L'utilità di un Firewall appare subito evidente: permette di evitare sia gli accessi indebiti al nostro sistema, sia che dei dati sensibili lascino il nostro PC in direzione esterna senza autorizzazione (magari per opera di un virus o di un troiano che ha infettato il nostro PC).

Un buon Firewall  particolarmente importante per chi si connette ad Internet tramite una linea "permanente" (ADSL, Fibra Ottica). In questo caso, infatti, l'indirizzo IP del computer (ovvero il suo identificativo individuale) rimane fisso in ogni sessione di navigazione, rendendo pi semplice un eventuale attacco al sistema (mentre per chi si connette con il normale modem V90 l'indirizzo IP  dinamico, ovvero viene generato sessione per sessione).

Vi sono diversi tipi di Firewall: qui, ci limitiamo a consigliare il celeberrimo ZoneAlarm, scaricabile gratuitamente dal sito ZoneLabs, e facilmente configurabile. Quelle che seguono sono due righe elementari per illustrarne il funzionamento; ma in fondo alla presente Guida è stato aggiunto il preziosissimo "ZoneAlarm MiniHowTo" di Max Bandinelli, la migliore e più sintetica guida alla configurazione di ZoneAlarm disponibile in lingua italiana (http://www.securfaq.usenet.eu.org, dove trovate anche una delle migliori guide italiane alla sicurezza informatica, ovvero le FAQ del gruppo di discussione it.comp.sicurezza.varie).
Dopo averlo installato, è sufficiente mettere i parametri di protezione sia per Internet che per Intranet su "High", e per il resto fa tutto lui. La prima volta che un programma si collega ad Internet, ci chiede se ha il diritto di farlo: noi ovviamente gli diremo di sì per i programmi che lo "devono fare" (Internet Explorer, Eudora, Outlook, l'Antivirus quando si aggiorna dal sito del produttore, etc.), mentre gli diremo di no (ed approfondiremo la questione) quando a chiedere l'accesso è un programma od un processo sconosciuti.

Ora navigate tranquillamente: sarà il Firewall a bloccare i tentativi di accesso o di "portscan" (ovvero di verifica della presenza di accessi liberi) al nostro sistema, notificandoceli con una finestrella ogni volta che avvengono (e riportandoci l'indirizzo IP di chi ci ha provato). Rimarrete stupiti dal numero di attacchi o portscan (monitoraggi esterni) che subisce un normale PC nel corso di un paio di ore di navigazione Internet... comunque, nella maggior parte dei casi non c'è nulla di cui preoccuparsi: si tratta solo di portscan automatici (e quasi sempre innocui) fatti con appositi programmi che verificano molte centinaia di computer alla volta, di solito lanciati da ragazzini che giocano a fare i pirati informatici.

Un buon Firewall deve garantire un buon livello di protezione anche contro gli attacchi di tipo "Masquerading" e di "IP Spoofing antiPacket Filtering": si tratta di attacchi più raffinati, nei quali ad esempio si tenta di ingannare il Firewall con files-pirata che "fingono di essere" un altro programma, autorizzato all'accesso (masquerading). Ad esempio, un attacco del genere può avvenire da parte del troiano "Cattivo.exe", che al momento di trasferire dei dati fuori dal nostro PC protetto da un Firewall finge di essere "Word.exe" (che noi abbiamo autorizzato all'accesso ad Internet). Negli attacchi IP Spoofing, invece, ci vengono spediti pacchetti di dati che fingono di avere, nella loro intestazione, un finto mittente (che noi abbiamo precedentemente autorizzato all'accesso sul nostro sistema): i migliori Firewall, però, fanno delle verifiche più approfondite del pacchetto dati ("Stateful Packet Filtering"), e riescono ad individuare anche questi trucchi.
Oltre a ZoneAlarm, che nella versione base è gratuito, si suggerisce ZoneAlarm Pro, scaricabile sempre da ZoneLabs, ma questa volta pagando (40 dollari): le funzionalità che offre sono effettivamente più sofisticate, ma anche il ZoneAlarm base è eccellente e, allo stato attuale, probabilmente sufficiente per le nostre esigenze professionali.

Potete testare la sicurezza del vostro Firewall facendo il divertente test di "grc.com" di Steve Gibson (uno dei più grandi esperti mondiali di sicurezza informatica). Collegatevi al suo sito dopo aver attivato il Firewall, e provate a fare sia il "LeakTest" che il test "Shields Up!": il sito simulerà dei tentativi di portscan e di masquerading contro il vostro firewall, per poi proporvi un'analisi delle criticità o dei problemi eventualmente riscontrati.


PM - HOME PAGE ITALIANA NOVITÁ RIVISTA TELEMATICA EDITORIA MAILING LISTS