4. Spie, dialer e rootkit
Transcript
4. Spie, dialer e rootkit
4. Spie, dialer e rootkit Spyware e dialer possono minacciare la nostra privacy e, soprattutto, le nostre tasche. Per nascondere le loro minacce a Windows e ai sistemi di sicurezza, informatici i pirati utilizzano i rootkit. Se si credeva che le minacce per la sicurezza del nostro computer si limitassero a virus e trojan, purtroppo ci si sbagliava e di tanto. I pirati informatici, infatti, hanno ideato altre minacce che possono compromettere la nostra privacy e colpire le nostre tasche. Come per virus e trojan, anche in questo caso esistono dei rimedi con cui possiamo salvaguardarci dalle minacce. Privacy K.O. con gli spyware Gli spyware sono minacce che raccolgono, a nostra insaputa, informazioni e dati sul nostro conto mentre stiamo navigando in Internet. I dati raccolti, come per esempio la lista dei siti Web che abbiamo visitato, vengono inviati ad aziende di marketing che delineeranno un profilo sulla nostra persona, basato sulle nostre abitudini e preferenze. 131 Libro_SicurezzaInf.indb 131 5-03-2007 17:14:31 Sicurezza informatica Lo scopo è quello di mostrarci della pubblicità mirata quando navighiamo in Internet. A differenza dei virus, gli spyware non sono in grado di diffondersi autonomamente, ma come i trojan devono essere installati manualmente dall’utente. Il veicolo principale è costituito, anche in questo caso, dai programmi scaricati da Internet. I programmi che contengono spyware sono distinguibili perché presentano una licenza di utilizzo adware (Figura 4.1). Prima di installare un programma con licenza adware, proviamo a cercarne altri in Internet. Con un po’ di pazienza è facile trovare programmi che, con pari funzionalità, sono del tutto gratuiti e senza pubblicità. Sono esenti da spyware i programmi rilasciati con licenza open source o freeware. In breve, per usare le funzionalità di quel programma dobbiamo assorbirci la pubblicità con cui i creatori del programma sostengono il loro progetto. Figura 4.1 - La licenza di utilizzo di un programma viene indicata solitamente nella pagina Web da cui lo si può scaricare. 132 Libro_SicurezzaInf.indb 132 5-03-2007 17:14:31 Sicurezza informatica Gli spyware più corretti si avviano soltanto quando il programma con licenza adware è aperto e lo stiamo usando. Molti di essi, tuttavia, sono poco corretti poiché si avviano già all’accensione del computer e restano attivi anche se abbiamo disinstallato il programma adware che li ha portati. In questi casi, solitamente verremo tempestati di finestre pubblicitarie. Una conseguenza degli spyware è il forte rallentamento del nostro computer e della connessione a Internet, data la mole di dati inviati sulle nostre abitudini. Non voglio alcun biscottino, grazie! I cookie (letteralmente biscottini) sono dei file di testo che vengono salvati nel nostro computer dai siti Internet che visitiamo. Essi contengono informazioni su di noi e possono essere scritti e letti soltanto dal sito Internet che li ha creati. I cookie sono molto utilizzati nei siti Internet che presentano delle aree riservate. Questi siti, per evitare di far inserire all’utente ogni volta nome utente e password, memorizzano queste informazioni all’interno di un cookie. Quando l’utente aprirà quel sito Internet, il cookie verrà letto e l’utente sarà riconosciuto immediatamente senza fare nulla. Le aziende pubblicitarie non si sono fatte attendere e hanno iniziato a utilizzare i cookie per tracciare gli utenti e capirne le abitudini. Così, invece di salvare nome utente e password, i cookie sono stati utilizzati per memorizzare le nostre preferenze. Rispetto agli spyware, i cookie traccianti non richiedono alcun intervento da parte nostra: basta aprire un sito Web che contiene pubblicità per essere schedati. Le aziende pubblicitarie più grandi gestiscono la pubblicità di moltissimi siti e possono controllare gli utenti grazie a un cookie tracciante inserito dal sito che gestisce la pubblicità in modo centralizzato, e che viene richiamato dagli altri siti. Questo tipo di cookie è anche definito di terze parti, perché creato da un sito esterno a quello che si sta visitando. Ogni cookie ha una durata che può essere stabilita dal sito Web che lo crea. 133 Libro_SicurezzaInf.indb 133 5-03-2007 17:14:31 Sicurezza informatica La maggior parte dei cookie traccianti presenta una durata illimitata, in modo da riconoscere l’utente anche a distanza di tempo. Proteggiamoci dalle spie Per proteggerci da spyware e cookie traccianti sono nati gli antispyware. Il funzionamento è del tutto simile a quello degli antivirus: gli antispyware controllano il nostro computer per trovare eventuali spie da rimuovere. A differenza degli antivirus, gli antispyware non offrono generalmente un controllo in tempo reale dei file e dobbiamo effettuare noi una scansione del computer periodicamente. Ancora prima di ricorrere all’antispyware possiamo proteggerci dagli spyware usando un pizzico di intelligenza. Dobbiamo evitare, in primo luogo, di scaricare programmi inutili da Internet soltanto per lo sfizio di provarli e stare attenti alla loro licenza di utilizzo. Sono del tutto gratuiti ed esenti da minacce i programmi con licenza open source e freeware. I programmi che contengono spyware presentano la licenza adware. Non tutti i programmi che contengono spyware sono però così corretti da indicare che contengono minacce per la privacy degli utenti e cercano di nascondere questo “dettaglio”. Per evitare di farvi ingannare ed essere sicuri che il programma che state per installare non contenga alcuno spyware, aprite il sito Web di SpywareGuide (http://www.spywareguide.com/). Nel motore di ricerca dell’home page (Search the SpywareGuide Greynets Database) scrivete il nome programma che volete verificare e fate clic sul tasto Search. Nel caso il programma contenga spyware, SpywareGuide ci mostrerà un indicatore con la pericolosità della minaccia. Cliccando sul nome del programma è possibile avere maggiori informazioni sulla minaccia (Figura 4.2). 134 Libro_SicurezzaInf.indb 134 5-03-2007 17:14:32 Sicurezza informatica Figura 4.2 - Il risultato di una ricerca su SpywareGuide.com. Possiamo inoltre scoprire i pareri di chi ha usato il programma che stiamo installando, cercando il suo nome su un motore di ricerca come Google (http://www.google.it). In alcuni casi è possibile anche evitare l’installazione degli spyware nel nostro computer durante l’installazione di un programma, togliendo il segno di spunta alle voci che ci chiedono se vogliamo installare programmi aggiuntivi e toolbar per Internet Explorer (Figura 4.3). Figura 4.3 - Rifiutando di installare gli sponsor il nostro computer non sarà riempito di spyware. 135 Libro_SicurezzaInf.indb 135 5-03-2007 17:14:32 Sicurezza informatica Per evitare, invece, che qualche azienda pubblicitaria ci controlli usando i cookie traccianti, possiamo configurare il nostro browser per far si che rifiuti i cookie di terze parti. Se usate Internet Explorer, dopo averlo aperto, fate clic sul menu Strumenti e poi sulla voce Opzioni Internet…. Nella finestra che si apre spostatevi nella scheda Privacy e cliccate sul tasto Avanzate. A questo punto, mettete un segno di spunta a Sostituisci gestione automatica dei cookie e selezionate Blocca nella voce Cookie di terze parti (Figura 4.4). Figura 4.4 - La finestra Impostazioni avanzate privacy di Internet Explorer. Mozilla Firefox permette invece di stilare una lista di siti Internet inaffidabili che non possono salvare cookie sul nostro computer. Fate clic sul menu Strumenti e poi sulla voce Opzioni.... Nella finestra che si apre, spostatevi nella scheda Privacy e fate clic sul pulsante Eccezioni.... A questo punto digitate l’indirizzo del sito Internet che non volete salvi i cookie nel computer e fate clic sul pulsante Blocca. Da aggiungere a que- 136 Libro_SicurezzaInf.indb 136 5-03-2007 17:14:32 Sicurezza informatica sta lista sono, per esempio, quei siti poco affidabili che non volete lascino tracce sul vostro PC (Figura 4.5). Bene... bene! Se avete Windows Vista, saltate la parte relativa alla configurazione dell’antispyware Ad-Aware e andate al paragrafo Windows Defender, per leggere la configurazione del nuovo antispyware Microsoft incluso in Vista. Figura 4.5 - La finestra Opzioni di Mozilla Firefox. Installiamo Ad-Aware Ad-Aware è sicuramente uno dei migliori software antispyware. Anche in questo caso esiste una versione di Ad-Aware del tutto gratuita per uso personale, chiamata Ad-Aware Personal, accanto alle versioni a pagamento con funzionalità avanzate. Per scaricare Ad-Aware, aprite il sito Internet di Lavasoft http://www.lavasoftusa.com/software/adaware/ e fate clic sul pulsante Download now. Nella pagina che si apre fate clic sulla voce Download Now per avviare lo scaricamento di Ad-Aware. Dal sito di Lavasoft scaricate, inoltre, il language pack per trasformare Ad-Aware in italiano. Per scaricare il language pack per Ad-Aware, andate nella pagina http:// www.lavasoftusa.com/support/download/ e fate clic sul pulsante Language packs. 137 Libro_SicurezzaInf.indb 137 5-03-2007 17:14:33 Sicurezza informatica Al termine, dopo aver chiuso tutti i programmi, fate doppio clic sul file di installazione di Ad-Aware per avviare l’installazione. L’installazione è del tutto guidata e occorre soltanto fare clic sul pulsante Next. Durante l’installazione, sarà necessario accettare il contratto di licenza di Lavasoft, mettendo un segno di spunta alla voce I accept the license agreement. Al termine dell’installazione, prima di fare clic sul pulsante Finish, togliete il segno di spunta alle voci Perform a full system scan now, Update a definition file now e Open the help file now (Figura 4.6). Figura 4.6 L’installazione di Ad-Aware è terminata. Fate doppio clic, a questo punto, sul file di installazione del language pack per Ad-Aware. Per concludere l’installazione del language pack occorre fare semplicemente clic su Next e accettare il contratto di licenza. Aggiorniamo Ad-Aware Per avviare Ad-Aware, andate su Start e portatevi alla voce Tutti i programmi. A questo punto, spostatevi in Lavasoft Ad-Aware SE Personal e fate clic sulla voce Ad-Aware SE Personal. 138 Libro_SicurezzaInf.indb 138 5-03-2007 17:14:33 Sicurezza informatica Nel caso le definizioni degli spyware non siano state aggiornate da molto tempo, Ad-Aware ci chiede se vogliamo aggiornarle, scaricandole da Internet. Fate clic su OK e, nella finestra che si apre, sul pulsante Connect (Figura 4.7). Se sono disponibili aggiornamenti per Ad-Aware, fate clic sul tasto OK per scaricarli. Al termine del processo, fate clic sul tasto Finish. Figura 4.7 Ad-Aware sta scaricando le definizioni degli spyware. Prima di effettuare una scansione con Ad-Aware ricordiamoci sempre di aggiornarlo con le ultime definizioni. Nella finestra principale del programma, per aggiornarlo, fate clic sulla voce Check for updates now oppure sul pulsante in alto rappresentante il mondo. Impostiamo la lingua italiana in Ad-Aware Per impostare la lingua italiana in Ad-Aware fate clic sul tasto in alto rappresentante la rotella di un ingranaggio. Nella finestra che si apre, fate clic sulla scheda laterale Interface. A questo punto, selezionate la voce italian nel menu a discesa Language File. Per confermare la modifica, fate clic sul pulsante Proceed (Figura 4.8) 139 Libro_SicurezzaInf.indb 139 5-03-2007 17:14:34 Sicurezza informatica Figura 4.8 - Impostiamo la lingua italiana in Ad-Aware. Come per magia, tutta l’interfaccia di Ad-Aware sarà tradotta in Italiano. Scansioniamo il nostro computer Per scansionare il vostro computer alla ricerca di eventuali spie da rimuovere, fate clic sulla scheda laterale Analizza nella finestra principale di Ad-Aware. Nella finestra che si apre, selezionate la voce Scansione completa del sistema nel riquadro Selezionare una modalità di scansione. Alla fine, per avviare la scansione del vostro computer, fate clic sul pulsante Avanti. Il processo può durare anche qualche ora a seconda del numero di file presenti nel vostro computer (Figura 4.9). Figura 4.9 - Ad-Aware sta scansionando il nostro computer. 140 Libro_SicurezzaInf.indb 140 5-03-2007 17:14:34 Sicurezza informatica Durante il processo, se vengono rilevati degli spyware, questi saranno indicati nella voce oggetti riconosciuti. Alla fine della scansione, fate clic sul pulsante Avanti. Nella finestra successiva, vengono mostrate le minacce divise in diverse schede a seconda della loro tipologia. All’interno della scheda Riepilogo fate clic con il tasto destro del mouse e selezionate la voce Seleziona tutti gli oggetti (Figura 4.10). Figura 4.10 - Ad-Aware ci mostra il riepilogo delle minacce trovate. Per rimuovere le minacce e ripulire il vostro computer, fate infine clic sul pulsante Avanti. Dopo la rimozione degli spyware, i programmi adware che li hanno installati potrebbero non funzionare più. Windows Defender Windows Vista integra fra gli strumenti per la difesa del proprio computer e della propria privacy Windows Defender, un nuovo antispyware prodotto da Microsoft. L’installazione degli spyware in Windows Vista è bloccata a priori, poiché Windows Defender include un controllo in tempo reale del computer. 141 Libro_SicurezzaInf.indb 141 5-03-2007 17:14:34 Sicurezza informatica Windows Defender è disponibile anche per Windows XP, ma dev’essere scaricato a parte dal sito Internet http://www.microsoft.com/italy/athome/security/spyware/software/default.mspx. In Windows XP è comunque preferibile installare Lavasoft Ad-Aware. Per avviare Windows Defender in Windows Vista, andate su Start, spostatevi in Pannello di controllo, fate clic sull’icona Protezione e poi su Windows Defender (Figura 4.11). Figura 4.11 - La finestra principale di Windows Defender. La prima cosa da fare dopo aver aperto Windows Defender è quella di scaricare gli aggiornamenti delle definizioni degli spyware. Per scaricare gli ultimi aggiornamenti fate clic, se presente, sul pulsante Controlla aggiornamenti adesso nella finestra principale. Gli aggiornamenti delle definizioni degli spyware vengono scaricati automaticamente da Windows quando siamo collegati a Internet. 142 Libro_SicurezzaInf.indb 142 5-03-2007 17:14:35 Sicurezza informatica Configuriamo Windows Defender Per configurare Windows Defender, fate clic sul pulsante Strumenti in alto e poi sull’icona Opzioni. Windows Defender permette di pianificare periodicamente una scansione del computer. Per impostazione predefinita, viene effettuata una scansione del computer ogni giorno alle 2.00. Per effettuare la scansione, il computer deve essere acceso all’orario impostato. Se avete l’abitudine di lasciare il computer acceso ogni giorno, per esempio alle 10.00, selezionate la voce 10.00 nel menu a discesa Ora approssimativa e la voce Ogni giorno in Frequenza (Figura 4.12). Figura 4.12 - Impostiamo l’analisi automatica del sistema. Quella eseguita da Windows Defender è una scansione veloce, che va ad analizzare le parti di Windows dove gli spyware si nascondono più frequentemente. Per superare questi controlli, gli spyware più astuti si nascondono nei posti meno evidenti. Per scovarli occorre quindi eseguire un’analisi completa del sistema. 143 Libro_SicurezzaInf.indb 143 5-03-2007 17:14:35 Sicurezza informatica È bene far eseguire a Windows Defender una scansione veloce giornaliera automatica ed eseguire manualmente a cadenza settimanale una scansione completa del computer. Per fare in modo che Windows Defender scarichi da Internet gli aggiornamenti delle sue definizioni prima di effettuare una scansione, mettete un segno di spunta alla voce Verifica la disponibilità di definizioni aggiornate prima di eseguire l’analisi. Windows Defender tenta di individuare possibili programmi dannosi per il nostro computer. Questa funzionalità può creare però dei falsi allarmi in presenza di programmi del tutto innocui. Per disabilitarla, togliete il segno di spunta alle voci Software non ancora classificato in relazione ai potenziali rischi e Usa l’euristica per individuare file potenzialmente dannosi o comportamenti indesiderati da parte di software i cui rischi non sono stati analizzati (Figura 4.13). Figura 4.13 - Terminiamo la configurazione di Windows Defender. 144 Libro_SicurezzaInf.indb 144 5-03-2007 17:14:36 Sicurezza informatica Ti ho scovato! Per eseguire una scansione veloce del computer alla ricerca di spyware, fate clic sul pulsante Analizza. Se volete eseguire una scansione completa del computer, fate clic sulla freccetta verso il basso accanto al pulsante Analizza e selezionate l’opzione Analisi completa (Figura 4.14). Figura 4.14 - Eseguiamo una scansione completa di Windows Defender. Se avete il sospetto che in una cartella ben precisa del vostro computer siano presenti degli spyware e volete controllarla, fate clic sulla freccetta verso il basso accanto al pulsante Analizza e selezionate l’opzione Analisi personalizzata…. Nella finestra che si apre, selezionate Analizza unità e cartelle selezionate e fate clic sul pulsante Seleziona…. A questo punto, mettete un segno di spunta alla cartella o alle cartelle che volete vengano scansionate, fate clic sul pulsante OK e poi su Avvia analisi per avviare la scansione. 145 Libro_SicurezzaInf.indb 145 5-03-2007 17:14:36 Sicurezza informatica Un programma di troppo! Windows Defender permette di scoprire quali programmi vengono lanciati all’avvio di Windows. Fate clic sul pulsante Strumenti in alto e poi sull’icona Gestione software. Nella finestra che si apre selezionate la voce Programmi a esecuzione automatica in Categoria. Nella lista laterale a sinistra vengono elencati tutti i programmi che vengono lanciati all’avvio di Windows nel vostro account utente. Per vedere i programmi che vengono avviati in tutti gli account utente del computer, fate clic sul pulsante Visualizza per tutti gli utenti (Figura 4.15). Figura 4.15 - La lista dei programmi eseguiti all’avvio di Windows. La presenza di un alto numero di programmi, specialmente se inutili, rallenta l’avvio di Windows. Se cliccate su un programma, potete avere nel riquadro di destra delle informazioni sul suo conto. 146 Libro_SicurezzaInf.indb 146 5-03-2007 17:14:36 Sicurezza informatica Per impedire l’esecuzione di un programma superfluo, selezionatelo e fate clic sul pulsante Disabilita. Se volete in futuro farlo eseguire nuovamente all’avvio, fate clic sul pulsante Abilita. Ho l’ADSL e sono protetto Gli utilizzatori di connessioni ADSL non sono interessati dal problema dei dialer, che affligge solo chi utilizza una connessione 56K o ISDN. Gli utilizzatori di connessioni ADSL possono quindi saltare la sezione relativa al problema dei dialer e andare direttamente al paragrafo che tratta i rootkit. Dialer: i succhia soldi I dialer sono dei software che creano sul nostro computer un’altra connessione a Internet a tariffazione elevata, disattivando quella che stiamo usando e collegandosi con quella da loro creata. Quelli più subdoli, invece, modificano il numero della nostra connessione a Internet e sono più difficili da individuare, perché non viene creata una nuova connessione ma semplicemente modificata quella esistente. Il costo della connessione a Internet diventa stratosferico e può anche a arrivare a 3 euro al minuto. I dialer sono stati creati da aziende che offrono servizi on-line le quali preferiscono addebitare i costi di fruizione da parte dell’utente sulla sua bolletta telefonica, anziché ricorrere alle forme di pagamento consuete quali le carte di credito o i bonifici. Il funzionamento è molto semplice: per visitare un’area riservata in cui usufruire dei servizi on-line di quella particolare azienda, occorre scaricare il dialer, che si collegherà a un numero a tariffazione elevata. Il costo della connessione a Internet pagato dall’utente viene poi ripartito tra l’operatore telefonico e l’azienda che offre il servizio. I dialer sono leciti se vengono presentati in modo chiaro i costi e le modalità di installazione. Questo, però, non accade quasi mai. È facile incontrare i dialer in siti che promettono immagini e video per adulti e ricette e appunti per gli studenti, ma non solo. 147 Libro_SicurezzaInf.indb 147 5-03-2007 17:14:37 Sicurezza informatica Sono a rischio soprattutto gli utilizzatori di Internet Explorer: dopo aver aperto il sito, senza che abbiamo fatto nulla, viene loro proposto di installare un ActiveX oppure viene aperta la finestra per scaricare un file .exe (Figura 4.16). Figura 4.16 - Un dialer cerca di installarsi nel nostro computer. Se l’utente preme sbadatamente il tasto Sì o Installa, mette a rischio le sue tasche. I dialer truffaldini disattivano, inoltre, i suoni emessi dal modem in modo che l’utente non si accorga di nulla. Se abbiamo, invece, usufruito consapevolmente di un servizio a pagamento tramite dialer, ricordiamoci di disattivare la connessione una volta che abbiamo finito, altrimenti continueremo a pagare cifre stratosferiche anche se stiamo visitando siti Internet gratuiti. Gli operatori telefonici contro i dialer Per proteggerci dai dialer ci vengono in aiuto, in primo luogo, gli operatori telefonici, che ci permettono di disattivare le chiamate verso numeri di telefono a tariffazione elevata. Per disattivare tale tipo di chiamate, basta chiamare semplicemente il servizio clienti. Nel caso di Telecom Italia, la disattivazione è completamente gratuita e viene indicata nella bolletta bimestrale. Disattivando le chiamate a tariffazione elevata, la maggior parte delle con- 148 Libro_SicurezzaInf.indb 148 5-03-2007 17:14:37 Sicurezza informatica nessioni (ma non tutte!) dei dialer viene bloccata sul nascere. Per avere una protezione maggiore, occorre rafforzare le difese del proprio computer. Raddrizziamo il nostro computer Per proteggerci dai dialer, possiamo rafforzare Internet Explorer disattivando la tecnologia ActiveX, utilizzata solitamente per l’installazione dei dialer. Dopo aver aperto Internet Explorer, fate clic sul menu Strumenti e poi sulla voce Opzioni Internet…. Nella finestra che si apre spostatevi nella scheda Protezione e, dopo aver selezionato l’area Internet (rappresentata da un mondo), fate clic sul pulsante Livello personalizzato…. A questo punto, nella finestra che si apre selezionate Disattiva alla voce Esegui controlli e plug-in ActiveX (Figura 4.17). Figura 4.17 - Disattiviamo gli ActiveX in Internet Explorer. I dialer più subdoli, vedendo che non possono installarsi usando gli ActiveX, ricorrono a un altro metodo: far scaricare e aprire all’utente un file .exe. 149 Libro_SicurezzaInf.indb 149 5-03-2007 17:14:38 Sicurezza informatica Nel caso in cui si apra una finestra di Internet Explorer per scaricare un file .exe senza che voi abbiate fatto nulla, annullate lo scaricamento del file-dialer. Infine, ma non per questo meno importante, è necessario installare e con¬figurare il programma gratuito StopDialers poiché, come già detto, non tutti i dialer vengono bloccati dalla disattivazione delle chiamate a tariffazione elevata effettuata presso l’operatore telefonico. Installiamo STOP Dialers STOP Dialers è un software gratuito che ci permette di proteggerci dai dialer. Una volta installato, STOP Dialers controlla le connessioni a Internet che vengono effettuate. Se ne viene fatta una a un numero diverso rispetto a quello del nostro provider, questa verrà impedita, proteggendo le nostre tasche. Per scaricare STOP Dialers, andate sul sito http://www.socket2000.com/ e fate clic sulla voce StopDialers nel riquadro Programmi & altro, nella colonna di sinistra. Nella pagina che si apre fate infine clic sulla voce Scarica StopDialers. Per avviare l’installazione, fate doppio clic sul file scaricato. L’installazione è guidata e basta fare semplicemente clic sul pulsante Avanti. Durante l’installazione è necessario accettare il contratto di licenza, selezionando la voce Accetto l’accordo di licenza (Figura 4.18). Figura 4.18 - Per procedere nell’installazione è necessario accettare il contratto di licenza. 150 Libro_SicurezzaInf.indb 150 5-03-2007 17:14:38 Sicurezza informatica Al termine dell’installazione, per avviare STOP Dialers andate su Start, spostatevi nella voce Tutti i programmi e poi in Socket2000. Alla fine, fate clic sulla voce Stop Dialer. D’ora in avanti, STOP Dialers verrà avviato automaticamente all’accensione del computer. Configuriamo STOP Dialers La configurazione di STOP Dialers è molto semplice. Dopo aver avviato il programma, verrà mostrata una sua icona nella barra di sistema. Per avviare la finestra principale di STOP Dialers, fate doppio clic sulla sua icona nell’area di notifica. Nella finestra principale, fate clic sul pulsante S. Nella finestra che si apre, viene mostrata la lista delle connessioni a Internet presenti nel vostro computer. Cliccando su ognuna di queste potete visualizzarne il numero di telefono utilizzato e autorizzarne o negarne la connessione. Le connessioni non autorizzate presentano il numero di telefono con lo sfondo in rosso. Per evitare che un dialer possa cambiare il numero di telefono a una connessione autorizzata e passarla liscia, STOP Dialers riesce anche a individuare le connessioni autorizzate alle quali è stato cambiato il numero di telefono e le blocca (il numero di telefono avrà lo sfondo rosso). Selezionate la connessione che usate per collegarvi a Internet e verificate che il numero di telefono sia quello fornito dal vostro provider. Se tutto è corretto, mettete un segno di spunta alla voce Permetti connessione. Le connessioni a Internet attuate verso quel numero di telefono verranno così autorizzate (Figura 4.19). Nella stessa finestra potete eliminare le eventuali connessioni a Internet superflue, selezionandole e facendo clic sul pulsante Elimina. Le connessioni a Internet con un numero diverso rispetto a quello autorizzato saranno impedite da STOP Dialers. È possibile autorizzare in STOP Dialers anche due o più connessioni a Internet. In questi casi verifichiamo, prima di autorizzarle, i loro numeri di telefono per la connessione confrontandoli con quelli del nostro provider: qualche dialer potrebbe averli modificati. 151 Libro_SicurezzaInf.indb 151 5-03-2007 17:14:38 Sicurezza informatica Figura 4.19 - Autorizziamo una connessione a Internet. Per chiudere STOP Dialers e lasciarlo lavorare, fate clic su Chiudi e poi sul pulsante in alto a destra _. Ricordatevi di non premere il pulsante X, altrimenti STOP Dialers verrà chiuso e resterete senza alcuna protezione. Durante il suo lavoro, STOP Dialers riesce a monitorare eventuali modifiche al Registro di sistema di Windows e ce le segnala, chiedendoci come comportarci. Poiché il Registro di sistema è il cuore di Windows, da cui dipende il suo funzionamento, eventuali modifiche azzardate potrebbero danneggiarlo. Se non sapete cosa state facendo, quando STOP Dialers vi mostra la finestra con la lista delle modifiche al Registro di sistema, fate clic sul pulsante Chiudi e conferma (Figura 4.20). Figura 4.20 - STOP Dialers ha rilevato delle modifiche al Registro di sistema di Windows. 152 Libro_SicurezzaInf.indb 152 5-03-2007 17:14:39 Sicurezza informatica Nel caso in cui vengano aggiunte delle connessioni nuove, STOP Dialers ce le segnala, indicandoci il nome della connessione e il numero di telefono (Figura 4.21). Se non avete creato voi queste nuove connessioni, sicuramente si tratta di connessioni create da qualche dialer. In quest’ultimo caso, dopo averle selezionate con un clic, fate clic sul pulsante Elimina connessioni per eliminarle, altrimenti fate clic su Accetta variazioni. Se cliccate sul pulsante Accetta variazioni, ricordatevi di approvare poi le connessioni aggiunte per consentire loro l’accesso a Internet. Figura 4.21 STOP Dialers ha rilevato delle nuove connessioni a Internet. Soluzioni alternative Oltre ad Ad-Aware, esistono altre valide soluzioni antispyware. Non tutte però sono disponibili nella nostra lingua o sono gratuite. ewido Doppia versione (una gratuita e una a pagamento), in Inglese. http://www.ewido.net/en/ Spybot-S&D Freeware, in italiano. http://www.safer-networking.org/it/ 153 Libro_SicurezzaInf.indb 153 5-03-2007 17:14:39 Sicurezza informatica In sostituzione all’antidialer STOP Dialers, considerato in questo capitolo, potete installare Digisoft AntiDialer. Il software è in Italiano ma, a differenza di STOP Dialers, non offre il controllo del Registro di sistema. Può essere scaricato dal sito http://www. digisoft.cc/antidialer.asp. Giochiamo a nascondino? I virus e i trojan, una volta infettato un computer, cercano di nascondersi agli antivirus e agli antitrojan per evitare di essere rimossi. Per nascondersi al sistema operativo, essi fanno ricorso ai cosiddetti rootkit. Un rootkit è un insieme di programmi che serve a rendere invisibili all’utente e al sistema operativo altri programmi o altri file. Per cercare eventuali minacce nel nostro computer, gli antivirus e gli antitrojan fanno ricorso alle funzionalità di Windows. Poiché virus e trojan sono stati nascosti da un rootkit a Windows, gli antivirus e gli antitrojan non rileveranno nulla. Per nascondere al sistema operativo altri programmi o file, i rootkit lo modificano. Possono, per esempio, modificare la funzionalità che mostra quali programmi sono attivi oppure dire a Windows di non mostrare i file o i programmi che iniziano, per esempio, con la parola nascondimi. In questo modo, se uno sviluppatore di virus crea il programma nascondimivirus.exe e lo salva in Documenti, quando apriremo la cartella non vedremo nulla. Allo stesso modo, l’antivirus non riuscirà ad accorgersi del file. Fino a qualche anno fa, il problema ha interessato soltanto gli utenti del sistema operativo Unix e di quelli da esso derivati: i pirati informatici, dopo essere entrati nel computer della vittima, utilizzavano i rootkit per nascondersi. Il problema è stato portato alla luce su larga scala anche in Windows da Sony, che ha inserito un rootkit all’interno dei suoi CD audio. Dopo aver inserito il CD audio in un computer, venivano installati automaticamente e nascosti nel PC dei programmi per impedire delle copie non autorizzate dei CD. 154 Libro_SicurezzaInf.indb 154 5-03-2007 17:14:40 Sicurezza informatica Non sempre è facile estirpare un rootkit da un sistema operativo, specialmente quando lo modifica in profondità. In questi casi si è costretti anche a formattare il PC. È possibile tentare di individuare ed estirpare i rootkit grazie agli antirootkit. Gli antirootkit, per riuscire a individuare i rootkit eseguono due scansioni dei computer: una più superficiale, usando le funzionalità di Windows, e una più approfondita, senza sfruttare le funzionalità di Windows. Alla fine fanno un confronto fra le due scansioni, individuando le discrepanze e, quindi, i rootkit. La scansione superficiale sarà, infatti, influenzata dalla presenza dei rootkit, a differenza di quella in profondità che sarà più fedele alla realtà. Scansioniamo il nostro computer F-Secure ha prodotto un utilissimo strumento per l’individuazione e rimozione dei rootkit, chiamato BlackLight. Si tratta di un prodotto in fase di sviluppo, del tutto gratuito. La tecnologia di BlackLight è stata integrata, inoltre, nell’antivirus di FSecure, che è tra i primi a riconoscere e a rimuovere, oltre a virus e trojan, anche i rootkit. Per scaricare F-Secure BlackLight, aprite l’URL https://europe.f-secure. com/blacklight/try.shtml e fate clic sul pulsante I Accept, per accettare la licenza di utilizzo. Nella pagina che si apre, fate infine clic sulla voce Download Blacklight Beta per scaricare Blacklight. Dopo aver scaricato Blacklight, fate doppio clic su di esso per avviarlo. Per usarlo non occorre installazione: è sufficiente accettare il contratto di utilizzo, mettendo un segno di spunta alla voce I accept the agreement, e fare clic sul pulsante Next. Nella finestra che si apre, per effettuare una scansione del computer, fate semplicemente clic sul pulsante Scan. A differenza dell’antivirus, il processo si conclude in una manciata di minuti (Figura 4.22). 155 Libro_SicurezzaInf.indb 155 5-03-2007 17:14:40 Sicurezza informatica Figura 4.22 - La finestra principale di F-Secure Blacklight. Nel caso in cui vengano individuati dei rootkit, è possibile rimuoverli. Prima di rimuoverli, partiamo dal presupposto che il nostro computer potrebbe non funzionare più nel caso in cui sia stato modificato in profondità. Dobbiamo quindi prepararci a tale eventualità facendo un backup dei documenti più importanti del nostro computer. Solo a questo punto, possiamo fare clic sul pulsante Next (Figura 4.23). Figura 4.23 - F-Secure Blacklight ha rilevato dei rootkit nel nostro computer. 156 Libro_SicurezzaInf.indb 156 5-03-2007 17:14:40 Sicurezza informatica Nella finestra che si apre, selezionate tutte le minacce trovate e fate clic sul pulsante Rename. Fate clic su Next per procedere nella pulizia. Prima di avviare la pulizia vera e propria, viene aperta una finestra con alcuni avvertimenti. Per procedere, mettete un segno di spunta alla voce I have understood the warning and wish to continue e fate clic su OK. Alla fine occorre riavviare il computer. Rimuoviamo le minacce Dopo aver riavviato il PC, se tutto è andato a buon fine, i file nascosti dai rootkit vengono a galla. A questo punto, la prima cosa da fare è quella di controllare che i rootkit siano stati estirpati correttamente. Fate una nuova scansione con F-Secure Blacklight. Nel caso in cui siano presenti altri rootkit, provvedete a rimuoverli. Dopo che avete accertato che il vostro PC sia stato ben ripulito dai rootkit, passate a rimuovere le minacce da essi nascoste. Poiché si tratta di normalissimi virus o trojan, basta una scansione con l’antivirus e l’antitrojan. Già che ci siamo, possiamo completare la pulizia facendo una scansione con l’antispyware. Nei casi peggiori, Windows potrebbe non funzionare più e si sarà costretti a formattare il computer e installarlo da zero. RootkitRevealer Un software complementare a F-Secure Blacklight è RootkitRevealer, una soluzione professionale per l’individuazione dei rootkit. Questa applicazione è stata sviluppata da Mark Russinovich, lo scopritore del rootkit dei CD audio di Sony, di recente assunto da Microsoft. A differenza di F-Secure Blacklight, RootkitRevealer si limita però a verificare la presenza di rootkit, senza offrire la possibilità di rimuoverli. Per scaricarlo, andate nella pagina Web http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx. Spostatevi alla fine della pagina e fate clic sulla voce Download RootkitRevealer. Al termine del download scompattate l’archivio, usando per esempio WinZip, e fate doppio clic sul file RootkitRevealer.exe per avviarlo. 157 Libro_SicurezzaInf.indb 157 5-03-2007 17:14:41 Sicurezza informatica Nella finestra che si apre, fate infine clic sul pulsante Scan per avviare la scansione del vostro computer (Figura 4.24). Figura 4.24 RootkitRevealer sta scansionando il nostro computer alla ricerca di rootkit. 158 Libro_SicurezzaInf.indb 158 5-03-2007 17:14:41