Feeds:
Articoli
Commenti

Posts Tagged ‘Spy’

Spyware

Tratto dal sito www.safetal.com/ Spyware…

L´attività di recupero informazioni da parte di hacker o di gestori di siti internet a livello commerciale o comunque da chiunque ne abbia particolare interesse, avviene attraverso diversi sistemi.
Tra i più noti e funzionali di questi sistemi, indichiamo i “trojan”, che sono essenzialmente di 3 tipi:BACKDOORS o WORMS: Si appoggiano al WINSOCK di Windows e sono predisposti per trasmettere e ricevere dati via internet utilizzando porte TCP/IP inconsuete. Per la loro attivazione l´hacker deve normalmente conoscere l´indirizzo IP del computer spiato, ma questo dato viene comunicato una tantum all´installazione (o autoinstallazione) del trojan con una e-mail in uscita oppure direttamente come flusso dati.

SPYWARE: Nati essenzialmente per motivi commerciali. Normalmente non presentano elevati livelli di rischio poichè, a differenza dei WORMS non consentono il controllo remoto dl PC spiato, ma sono semplicemente programmati per trasmettere sequenze di dati preordinate e periodiche, essenzialmente di natura statistica.

BANNERWARE: Di fatto è la comunicazione che un programma gratuito che visualizza banner pubblicitari effettua con il server del produttore. Sebbene abbiano una veste alquanto “innocente” è provato che la tecnica alla base del loro funzionamento è molto simile a quella dei Trojan, quindi possono potenzialmente essere utilizzati anche come Spyware o altro. Non risulta che nessun produttore abbia mai fatto concretamente un uso scorretto delle grosse potenzialità di queste porte “Bannerware” costantemente aperte e attive.

Inizialmente concepiti per spiare solo a livello locale (Local Area Network) negli ultimi anni sono stati adattati per lavorare anche via internet, rendendo illimitato il raggio di azione.
Le interfacce sono state semplificate e sono particolarmente semplici da usare, alla portata di tutti.

Sono composti da un software “client” e un software “server”. Il “client” e´ destinato al PC da controllare, e´ un piccolo file (generalmente non eccede i 12/15 KB ma che può arrivare anche a 200/250 KB) che viene memorizzato sul disco rigido. Normalmente sono files autonomi e distinti, con un nome ed un estensione, a differenza dei virus che vanno ad insediarsi all´interno di un altro file maggiore; Quasi sempre vengono lanciati ad ogni esecuzione di Windows mediante istruzioni nel file WIN.INI, SYSTEM.INI e/o nel File di Registro di Windows. Molto raramente in Autoexec.bat o Config.sys (solo vecchie versioni operanti in ambiente DOS). Inoltre non si replicano.

Sono però segnalati casi, come il recente QAZ.worm, che si sostituiscono a files di sistema di windows, o a files eseguibili standard del sistema operativo, e vengono eseguiti durante il boot del sistema mediante esecuzione automatica.

Il “client” e´ invece una vera e propria “console di sistema”, talvolta ha l´aspetto di un “file manager” per windows, e consente allo spione di prendere pieno controllo di tutti i dati presenti nel computer, di trasferire, cancellare o sostituire files.

Il software “server” e´ di norma auto installante, e viene inviato assieme ad una e-mail, oppure installato direttamente con un semplice dischetto in maniera veloce e discreta e si auto assegna una porta virtuale di comunicazione. Spesso le e-mail contengono brevi informazioni in linguaggio HTML (ovviamente del tutto estranee all´oggetto del messaggio) e non visualizzabili in chiaro, ma visibili solo richiamando l´opzione di visualizzazione completa del testo dell´e-mail. Vengono segnalate versioni estremamente pericolose, concepite per auto installarsi tramite una comune e-mail, decifrare automaticamente tutte le password presenti nel sistema e trasmettere queste password all´esterno tramite una nuova e-mail (in questo caso ovviamente trasmessa, quindi posta in uscita) oppure direttamente mediante un flusso dati in uscita su una delle 65000 porte virtuali TCP/IP presenti nel computer. Le password piu´ ambite sono quelle della posta elettronica e di word/excel. Durante una connessione ovviamente nulla viene visualizzato all´utente, difficilmente si notano rallentamenti o anomalie. E´ possibile decifrare password, copiare e trasferire files, leggere dati, cancellare informazioni, ecc. Altre strade note di “contaminazione”, ovvero di installazione dei “server” trojan sono le ICQ (chat lines), Net meting di Microsoft (videoconferenze) o Microsoft Messenger.

COME DIFENDERSI ? Ovviamente esistono antidoti a questa nuova forma virale, molto meno distruttiva dei virus, ma infinitamente piu´ subdola.

PROTEZIONE ATTIVA: Intercettano attività in tempo reale e le segnalano all´utente. La Symantec con i suoi “Norton Antivirus” e “Internet security 2000” ha esteso la protezione ai cavalli di troia piu´ conosciuti, dimostrando ampia sensibilita´ e consueta professionalità.

PROTEZIONE PASSIVA: Intercettano i trojan a posteriori, operando uno scanning del sistema. Ottimo il “Cleaner 2” uno scanner anti-trojan completo ed efficente.

FIREWALLS: Per i piu´ esperti e´ sempre utile disattivare la condivisione di file e stampanti, e utilizzare un “firewall” invece della connessione diretta, come Zone Alarm o Norton Personal Firewall. A differenza dei programmi di cui sopra, non si limitano ad identificare e/o a segnalare la presenza di un Trojan, ma agiscono in tempo reale bloccando sia in entrata che in uscita flussi di dati anomali o sospetti durante le connessioni internet. Consigliati sempre.

ALTRI FATTORI DI POSSIBILE SPIONAGGIO (esempi): Non tutti sanno che quando crediamo di avere eliminato definitivamente un file dal nostro PC (anche dal cestino), tale file invece e´ ancora presente e facilmente recuperabile con appositi programmi. Il file viene eliminato solamente quando viene fisicamente sovrascritto, ma questo potrebbe avvenire anche dopo mesi, ed e´ a completa discrezionalita´ del sistema operativo. Per eliminare questo problema consigliamo di dotarsi di un wipe eraser, un piccolo programma che sovrascrive fisicamente i dati cancellati, rendendone impossibile ogni recupero. Da segnalare ancora una volta la Norton, con l´ottimo WIPEINFO, che sovrascive i dati cancellati con lo standard americano raccomandato DoD 5220.22 M (sovrascrittura multipla con sequenze di 1 e di 0).

ANCORA: Quando crediamo di avere eliminato definitivamente una e-mail, tale documento e´ spesso (ma non sempre) ancora leggibile in un apposito file presente nel sistema di posta elettronica. Non servono programmi particolari. Per verificarlo basta controllare la cartella “application data” – “identities” in c:\windows. Per una prima difesa conviene attuare sempre la compressione delle cartelle di posta elettronica, anche di quella “eliminati”.

ANCORA: SE FORMATTIAMO UN DISCO RIGIDO PENSIAMO DI ESSERE AL SICURO? Assolutamente NO, sia la formattazione rapida che la formattazione completa, consentono il recupero dei dati con appositi programmi. L´unica formattazione veramente certa e´ quella cosidetta “a livello zero” (consultare il manuale dell´hard disk o il sito del suo produttore, sarà consentito lo scaricamento di un semplice programma allo scopo).

ANCORA: I principali “browser” (programmi di navigazione) sono dotati di vari livelli di cache che memorizzano spesso pagine, descrizioni, contenuti, a nostra completa insaputa. Non basta eliminare un sito “caldo” dalla lista dei preferiti o dalla cronologia, perche´ da un attento esame dei files temporanei, delle cache memories e dei cookies, che permangono sul sistema e´ facilmente individuabile la tipologia dei collegamenti effettuati. Effettuare frequentemente la cancellazione completa dei files temporanei da strumenti – opzioni internet. Ridurre il tempo di permamenza della “cronologia” a non più di 1 o 2 giorni. Cancellare periodicamente i cookies indesiderati con appositi programmi.

ANCORA: A torto si ritiene che le password di office (word, excel, access, power point) o di WINZIP siano sicure. Sono facilmente violabili in pochi secondi con semplicissimi programmi. L´unica sicurezza per i vostri dati può derivare dall´utilizzo di programmi di criptazione come PGP (pretty Good Privacy).

ANCORA: La password di connessione dell´accesso remoto e´ facilmente visualizzabile con un programmino da pochi Kbite, eseguibile anche da un comune dischetto in pochi secondi.

ANCORA: Anche se abbiamo dotato il BIOS e il sistema operativo di tutte le passwords possibili, puo´ essere temporaneamente asportato l´hard disk, e collegato come “SLAVE” ad un altro PC; In questo modo la maggior parte dei files di documenti e dati sara´ rintracciabile e copiabile in pochi minuti. Inoltre con un ponticello elettrico puo´ essere rapidamente resettato il BIOS, annullando la password. Anche la classica “chiavetta” sul frontale del PC è molto insicura. Basta svitare 6 viti e ponticellare due fili per annullarne l´effetto. Per una maggiore sicurezza “hardware” conviene apporre 2 – 3 etichette adesive sopra le viti posteriori del cabinet del PC. Ogniuna delle etichette dovrà riportare la nostra firma autografa. In generale raccomandiamo ancora una volta l´utilizzo di un programma di criptazione dei dati.

ANCORA: Ricordarsi sempre che il PC memorizza quasi tutte le nostre operazioni, include le date nei files, memorizza i commenti. Molti programmi generano dei files chiamati “LOG” o “miniLOG” preposti proprio a ricostruire le mosse svolte nel tempo. Proprio i LOG sono una delle principali fonti di spionaggio dei PC. Disattivare quando possibile la creazione di LOG files da parte dei vari programmi che eseguono questa operazione, spesso a nostra completa insaputa.

INFINE: Esistono programmi piu´ ufficiali, non di provenienza “hacker” preposti a controllare il PC discretamente. Sono nati per consentire al padre di controllare le pagine internet visitate dal figlio, ma si sono rapidamente estesi al controllo di fidanzati/e, mariti, mogli, dipendenti, ecc. Sono difficilissimi da rintracciare, non rallentano il sistema e non danno segni della loro presenza, ma compilano report dettagliati di tutto cio´ che e´ stato fatto o visto. Le versioni evolute “fotografano” periodicamente le schermate del PC e le comprimono in appositi files, pronti ad essere visualizzati o addirittura ad essere automaticamente spediti via internet.

QUINDI? Se si teme un azione di spionaggio non esistono soluzioni ideali. Preferire sempre una password operante sul BIOS, cioe´ attiva PRIMA che parta il sistema operativo. MAI COLLEGARE AD INTERNET O IN RETE LAN un PC destinato ad elaborare informazioni critiche o riservate. Non fidarsi delle “chiavette” presenti sul cabinet del PC. Apporre sigilli personalizzati e firmati sulle viti del cabinet, mantenere attivo ed aggiornato un buon programma antivirus (ottimo il Norton della Symantec). Se non si può fare a meno di connettersi ad internet, attivare CONTEMPORANEAMENTE un antivirus aggiornato e un programma come INTERNET SECURITY 2000 e/o un buon personal Firewall.

Ci sono poi ottimi programmi che ISOLANO temporaneamente il sistema operativo creandone un secondo fittizio pressoche´ inviolabile, ma risolvono solo alcuni aspetti di un problema molto vasto e complesso e francamente li sconsigliamo.

IN GENERALE: Limitare drasticamente gli accessi ad internet, MAI aprire e-mails di dubbia provenienza, soprattutto se presentano files allegati, CANCELLARLE SUBITO, non condividere mai le risorse del proprio PC, (hard disk, periferiche, ma anche stampanti), l´ideale sarebbe di NON caricare i driver di condivisione delle risorse in rete.

Se siete costretti a sospendere l´attività del vostro Firewall per una connessione internet che con il Firewall sembra proprio non funzionare, effettuate il collegamento di accesso remoto con il Firewall attivo, attendete 10-15 secondi, disattivate il firewall ed effettuate le operazioni su internet nel minor tempo possibile. In seguito riattivatelo al più presto o terminate la connessione di accesso remoto.

Mai fidarsi delle passwords legate a programmi comuni, sono tutte facilmente violabili. Se si deve lasciare incustodito a lungo un PC, e´ una buona abitudine smontare direttamente l´hard disk, e depositarlo in un luogo sicuro. E´ una operazione molto più semplice di quanto non si creda, alla portata di tutti.

Verificare periodicamente il contenuto HTML delle mail inviate (per outlook ad esempio cliccare sul messaggio ancora da aprire con il tasto destro del mouse, poi “proprietà” > “dettagli” > “messaggio originale”), NON devono apparire nomi di files, lunghe sequenze di numeri apparentemente casuali, caratteri incomprensibili, user ID, sequenze numeriche formate da un massimo di 3 numeri ciascuna, passwords, richiami a file allegati ma non visualizzabili in modalita´ normale, percorsi di rete o percorsi che riportano a files o cartelle interne al PC.

Prestare attenzione, durante i collegamenti in internet, alla velocita´ reale di navigazione rapportata al numero di byte movimentati. Verificare periodicamente quanti byte vengono trasmessi durante l´invio di una piccola e-mail senza allegati, NON DEVONO ESSERE PIU´ DI 2 – 2,5 K. Tutto cio´ e´ facilmente controllabile dalla finestra del collegamento di accesso remoto (in pratica i due piccoli schermi che dialogano durante una connessione). Se si è dotati di un modem esterno mantenere a vista il corpo del modem, e contrassegnare i due LED luminosi “RD” (receive data) e “SD” (send data) per verificare periodicamente la loro eventuale attività. Durante un momento di pausa in una connessione ad internet, il PC NON DEVE continuare a scambiare dati con l´esterno. Se continua a trasmettere o ricevere dati potrebbe trattarsi di uno spyware commerciale, di un bannerware, di un live-update, ma anche di un trojan in azione.

E´ MOLTO IMPORTANTE indagare sempre con attenzione sui motivi per cui, eventualmente, il modem continua a trasmettere o ricevere dati durante una pausa nella navigazione.

http://www.criminal.it

Read Full Post »