4. Spie, dialer e rootkit

Transcript

4. Spie, dialer e rootkit
Spyware
e
dialer
possono minacciare la
nostra privacy e, soprattutto, le nostre tasche. Per
nascondere le loro minacce a
Windows e ai sistemi di sicurezza,
informatici
i pirati
utilizzano i rootkit.
Se si credeva che le minacce per la sicurezza del nostro computer si limitassero a virus e trojan, purtroppo ci si sbagliava e di tanto.
I pirati informatici, infatti, hanno ideato altre minacce che possono compromettere la nostra privacy e colpire le nostre tasche.
Come per virus e trojan, anche in questo caso esistono dei rimedi con cui
possiamo salvaguardarci dalle minacce.
Privacy K.O. con gli spyware
Gli spyware sono minacce che raccolgono, a nostra insaputa, informazioni e dati sul nostro conto mentre stiamo navigando in Internet.
I dati raccolti, come per esempio la lista dei siti Web che abbiamo visitato,
vengono inviati ad aziende di marketing che delineeranno un profilo sulla
nostra persona, basato sulle nostre abitudini e preferenze.
131
Libro_SicurezzaInf.indb 131
5-03-2007 17:14:31
Sicurezza informatica
Lo scopo è quello di mostrarci della pubblicità mirata quando navighiamo in Internet. A differenza dei virus, gli spyware non sono in grado di
diffondersi autonomamente, ma come i trojan devono essere installati
manualmente dall’utente.
Il veicolo principale è costituito, anche in questo caso, dai programmi
scaricati da Internet. I programmi che contengono spyware sono distinguibili perché presentano una licenza di utilizzo adware (Figura 4.1).
Prima di installare un programma con licenza adware, proviamo a cercarne altri in
Internet. Con un po’ di pazienza è facile trovare programmi che, con pari funzionalità,
sono del tutto gratuiti e senza pubblicità. Sono esenti da spyware i programmi rilasciati
con licenza open source o freeware.
In breve, per usare le funzionalità di quel programma dobbiamo assorbirci la pubblicità con cui i creatori del programma sostengono il loro
progetto.
Figura 4.1 - La licenza di utilizzo di un programma viene indicata solitamente nella pagina Web da cui lo si può scaricare.
132
5-03-2007 17:14:31
Gli spyware più corretti si avviano soltanto quando il programma con licenza adware è aperto e lo stiamo usando. Molti di essi, tuttavia, sono poco
corretti poiché si avviano già all’accensione del computer e restano attivi
anche se abbiamo disinstallato il programma adware che li ha portati.
In questi casi, solitamente verremo tempestati di finestre pubblicitarie.
Una conseguenza degli spyware è il forte rallentamento del nostro computer e della connessione a Internet, data la mole di dati inviati sulle nostre abitudini.
Non voglio alcun biscottino, grazie!
I cookie (letteralmente biscottini) sono dei file di testo che vengono
salvati nel nostro computer dai siti Internet che visitiamo.
Essi contengono informazioni su di noi e possono essere scritti e letti
soltanto dal sito Internet che li ha creati.
I cookie sono molto utilizzati nei siti Internet che presentano delle aree
riservate. Questi siti, per evitare di far inserire all’utente ogni volta nome
utente e password, memorizzano queste informazioni all’interno di un
cookie. Quando l’utente aprirà quel sito Internet, il cookie verrà letto e
l’utente sarà riconosciuto immediatamente senza fare nulla.
Le aziende pubblicitarie non si sono fatte attendere e hanno iniziato a
utilizzare i cookie per tracciare gli utenti e capirne le abitudini. Così,
invece di salvare nome utente e password, i cookie sono stati utilizzati per
memorizzare le nostre preferenze.
Rispetto agli spyware, i cookie traccianti non richiedono alcun intervento
da parte nostra: basta aprire un sito Web che contiene pubblicità per essere schedati.
Le aziende pubblicitarie più grandi gestiscono la pubblicità di moltissimi
siti e possono controllare gli utenti grazie a un cookie tracciante inserito
dal sito che gestisce la pubblicità in modo centralizzato, e che viene richiamato dagli altri siti.
Questo tipo di cookie è anche definito di terze parti, perché creato da un
sito esterno a quello che si sta visitando. Ogni cookie ha una durata che
può essere stabilita dal sito Web che lo crea.
133
5-03-2007 17:14:31
La maggior parte dei cookie traccianti presenta una durata illimitata, in
modo da riconoscere l’utente anche a distanza di tempo.
Proteggiamoci dalle spie
Per proteggerci da spyware e cookie traccianti sono nati gli antispyware.
Il funzionamento è del tutto simile a quello degli antivirus: gli antispyware
controllano il nostro computer per trovare eventuali spie da rimuovere.
A differenza degli antivirus, gli antispyware non offrono generalmente
un controllo in tempo reale dei file e dobbiamo effettuare noi una scansione del computer periodicamente.
Ancora prima di ricorrere all’antispyware possiamo proteggerci dagli
spyware usando un pizzico di intelligenza. Dobbiamo evitare, in primo
luogo, di scaricare programmi inutili da Internet soltanto per lo sfizio di
provarli e stare attenti alla loro licenza di utilizzo.
Sono del tutto gratuiti ed esenti da minacce i programmi con licenza open
source e freeware. I programmi che contengono spyware presentano la
licenza adware.
Non tutti i programmi che contengono spyware sono però così corretti da
indicare che contengono minacce per la privacy degli utenti e cercano di
nascondere questo “dettaglio”.
Per evitare di farvi ingannare ed essere sicuri che il programma che state
per installare non contenga alcuno spyware, aprite il sito Web di SpywareGuide (http://www.spywareguide.com/).
Nel motore di ricerca dell’home page (Search the SpywareGuide Greynets Database) scrivete il nome programma che volete verificare e fate
clic sul tasto Search.
Nel caso il programma contenga spyware, SpywareGuide ci mostrerà
un indicatore con la pericolosità della minaccia. Cliccando sul nome
del programma è possibile avere maggiori informazioni sulla minaccia
(Figura 4.2).
134
5-03-2007 17:14:32
Figura 4.2 - Il risultato di una ricerca su SpywareGuide.com.
Possiamo inoltre scoprire i pareri di chi ha usato il programma che stiamo
installando, cercando il suo nome su un motore di ricerca come Google
(http://www.google.it).
In alcuni casi è possibile anche evitare l’installazione degli spyware nel
nostro computer durante l’installazione di un programma, togliendo il segno di spunta alle voci che ci chiedono se vogliamo installare programmi
aggiuntivi e toolbar per Internet Explorer (Figura 4.3).
Figura 4.3 - Rifiutando di installare gli sponsor il nostro computer non sarà riempito di spyware.
135
5-03-2007 17:14:32
Per evitare, invece, che qualche azienda pubblicitaria ci controlli usando
i cookie traccianti, possiamo configurare il nostro browser per far si che
rifiuti i cookie di terze parti.
Se usate Internet Explorer, dopo averlo aperto, fate clic sul menu Strumenti e poi sulla voce Opzioni Internet….
Nella finestra che si apre spostatevi nella scheda Privacy e cliccate sul
tasto Avanzate. A questo punto, mettete un segno di spunta a Sostituisci
gestione automatica dei cookie e selezionate Blocca nella voce Cookie
di terze parti (Figura 4.4).
Figura 4.4 - La finestra Impostazioni avanzate privacy di
Internet Explorer.
Mozilla Firefox permette invece di stilare una lista di siti Internet inaffidabili che non possono salvare cookie sul nostro computer. Fate clic sul
menu Strumenti e poi sulla voce Opzioni.... Nella finestra che si apre,
spostatevi nella scheda Privacy e fate clic sul pulsante Eccezioni....
A questo punto digitate l’indirizzo del sito Internet che non volete salvi i
cookie nel computer e fate clic sul pulsante Blocca. Da aggiungere a que-
136
5-03-2007 17:14:32
sta lista sono, per esempio, quei siti poco affidabili che non volete lascino
tracce sul vostro PC (Figura 4.5).
Bene... bene!
Se avete Windows Vista, saltate la parte relativa alla configurazione dell’antispyware Ad-Aware e andate al paragrafo Windows Defender, per leggere la configurazione del nuovo antispyware Microsoft incluso in Vista.
Figura 4.5 - La finestra Opzioni
di Mozilla Firefox.
Installiamo Ad-Aware
Ad-Aware è sicuramente uno dei migliori software antispyware. Anche
in questo caso esiste una versione di Ad-Aware del tutto gratuita per uso
personale, chiamata Ad-Aware Personal, accanto alle versioni a pagamento con funzionalità avanzate.
Per scaricare Ad-Aware, aprite il sito Internet di Lavasoft http://www.lavasoftusa.com/software/adaware/ e fate clic sul pulsante Download now.
Nella pagina che si apre fate clic sulla voce Download Now per avviare lo
scaricamento di Ad-Aware. Dal sito di Lavasoft scaricate, inoltre, il language pack per trasformare Ad-Aware in italiano.
Per scaricare il language pack per Ad-Aware, andate nella pagina http://
www.lavasoftusa.com/support/download/ e fate clic sul pulsante Language packs.
137
5-03-2007 17:14:33
Al termine, dopo aver chiuso tutti i programmi, fate doppio clic sul file di
installazione di Ad-Aware per avviare l’installazione.
L’installazione è del tutto guidata e occorre soltanto fare clic sul pulsante Next. Durante l’installazione, sarà necessario accettare il contratto di
licenza di Lavasoft, mettendo un segno di spunta alla voce I accept the
license agreement.
Al termine dell’installazione, prima di fare clic sul pulsante Finish, togliete
il segno di spunta alle voci Perform a full system scan now, Update a
definition file now e Open the help file now (Figura 4.6).
Figura 4.6 L’installazione
di Ad-Aware
è terminata.
Fate doppio clic, a questo punto, sul file di installazione del language
pack per Ad-Aware. Per concludere l’installazione del language pack occorre fare semplicemente clic su Next e accettare il contratto di licenza.
Aggiorniamo Ad-Aware
Per avviare Ad-Aware, andate su Start e portatevi alla voce Tutti i programmi. A questo punto, spostatevi in Lavasoft Ad-Aware SE Personal e
fate clic sulla voce Ad-Aware SE Personal.
138
5-03-2007 17:14:33
Nel caso le definizioni degli spyware non siano state aggiornate da molto
tempo, Ad-Aware ci chiede se vogliamo aggiornarle, scaricandole da Internet. Fate clic su OK e, nella finestra che si apre, sul pulsante Connect
(Figura 4.7).
Se sono disponibili aggiornamenti per Ad-Aware, fate clic sul tasto OK
per scaricarli. Al termine del processo, fate clic sul tasto Finish.
Figura 4.7 Ad-Aware sta
scaricando le
definizioni degli spyware.
Prima di effettuare una scansione con Ad-Aware ricordiamoci sempre di
aggiornarlo con le ultime definizioni. Nella finestra principale del programma, per aggiornarlo, fate clic sulla voce Check for updates now
oppure sul pulsante in alto rappresentante il mondo.
Impostiamo la lingua italiana in Ad-Aware
Per impostare la lingua italiana in Ad-Aware fate clic sul tasto in alto rappresentante la rotella di un ingranaggio. Nella finestra che si apre, fate clic
sulla scheda laterale Interface.
A questo punto, selezionate la voce italian nel menu a discesa Language File. Per confermare la modifica, fate clic sul pulsante Proceed
(Figura 4.8)
139
5-03-2007 17:14:34
Figura 4.8 - Impostiamo la lingua italiana in Ad-Aware.
Come per magia, tutta l’interfaccia di Ad-Aware sarà tradotta in Italiano.
Scansioniamo il nostro computer
Per scansionare il vostro computer alla ricerca di eventuali spie da rimuovere,
fate clic sulla scheda laterale Analizza nella finestra principale di Ad-Aware.
Nella finestra che si apre, selezionate la voce Scansione completa del
sistema nel riquadro Selezionare una modalità di scansione.
Alla fine, per avviare la scansione del vostro computer, fate clic sul pulsante Avanti. Il processo può durare anche qualche ora a seconda del
numero di file presenti nel vostro computer (Figura 4.9).
Figura 4.9 - Ad-Aware
sta scansionando il
nostro computer.
140
5-03-2007 17:14:34
Durante il processo, se vengono rilevati degli spyware, questi saranno
indicati nella voce oggetti riconosciuti.
Alla fine della scansione, fate clic sul pulsante Avanti. Nella finestra successiva, vengono mostrate le minacce divise in diverse schede a seconda
della loro tipologia.
All’interno della scheda Riepilogo fate clic con il tasto destro del mouse e
selezionate la voce Seleziona tutti gli oggetti (Figura 4.10).
Figura 4.10 - Ad-Aware ci mostra il riepilogo delle minacce trovate.
Per rimuovere le minacce e ripulire il vostro computer, fate infine clic sul
pulsante Avanti. Dopo la rimozione degli spyware, i programmi adware
che li hanno installati potrebbero non funzionare più.
Windows Defender
Windows Vista integra fra gli strumenti per la difesa del proprio computer
e della propria privacy Windows Defender, un nuovo antispyware prodotto da Microsoft.
L’installazione degli spyware in Windows Vista è bloccata a priori, poiché
Windows Defender include un controllo in tempo reale del computer.
141
5-03-2007 17:14:34
Windows Defender è disponibile anche per Windows XP, ma dev’essere scaricato a
parte dal sito Internet http://www.microsoft.com/italy/athome/security/spyware/software/default.mspx. In Windows XP è comunque preferibile installare Lavasoft Ad-Aware.
Per avviare Windows Defender in Windows Vista, andate su Start, spostatevi in Pannello di controllo, fate clic sull’icona Protezione e poi su
Windows Defender (Figura 4.11).
Figura 4.11 - La finestra principale di Windows Defender.
La prima cosa da fare dopo aver aperto Windows Defender è quella di
scaricare gli aggiornamenti delle definizioni degli spyware.
Per scaricare gli ultimi aggiornamenti fate clic, se presente, sul pulsante
Controlla aggiornamenti adesso nella finestra principale.
Gli aggiornamenti delle definizioni degli spyware vengono scaricati automaticamente da Windows quando siamo collegati a Internet.
142
5-03-2007 17:14:35
Configuriamo Windows Defender
Per configurare Windows Defender, fate clic sul pulsante Strumenti in alto
e poi sull’icona Opzioni. Windows Defender permette di pianificare periodicamente una scansione del computer. Per impostazione predefinita,
viene effettuata una scansione del computer ogni giorno alle 2.00.
Per effettuare la scansione, il computer deve essere acceso all’orario impostato. Se avete l’abitudine di lasciare il computer acceso ogni giorno,
per esempio alle 10.00, selezionate la voce 10.00 nel menu a discesa Ora
approssimativa e la voce Ogni giorno in Frequenza (Figura 4.12).
Figura 4.12 - Impostiamo l’analisi automatica del sistema.
Quella eseguita da Windows Defender è una scansione veloce, che va
ad analizzare le parti di Windows dove gli spyware si nascondono più
frequentemente. Per superare questi controlli, gli spyware più astuti si nascondono nei posti meno evidenti. Per scovarli occorre quindi eseguire
un’analisi completa del sistema.
143
5-03-2007 17:14:35
È bene far eseguire a Windows Defender una scansione veloce giornaliera
automatica ed eseguire manualmente a cadenza settimanale una scansione completa del computer.
Per fare in modo che Windows Defender scarichi da Internet gli aggiornamenti delle sue definizioni prima di effettuare una scansione, mettete un
segno di spunta alla voce Verifica la disponibilità di definizioni aggiornate prima di eseguire l’analisi.
Windows Defender tenta di individuare possibili programmi dannosi per
il nostro computer. Questa funzionalità può creare però dei falsi allarmi in
presenza di programmi del tutto innocui.
Per disabilitarla, togliete il segno di spunta alle voci Software non ancora
classificato in relazione ai potenziali rischi e Usa l’euristica per individuare file potenzialmente dannosi o comportamenti indesiderati da
parte di software i cui rischi non sono stati analizzati (Figura 4.13).
Figura 4.13 - Terminiamo la configurazione di Windows Defender.
144
5-03-2007 17:14:36
Ti ho scovato!
Per eseguire una scansione veloce del computer alla ricerca di spyware,
fate clic sul pulsante Analizza.
Se volete eseguire una scansione completa del computer, fate clic sulla
freccetta verso il basso accanto al pulsante Analizza e selezionate l’opzione Analisi completa (Figura 4.14).
Figura 4.14 - Eseguiamo una scansione completa di Windows Defender.
Se avete il sospetto che in una cartella ben precisa del vostro computer
siano presenti degli spyware e volete controllarla, fate clic sulla freccetta
verso il basso accanto al pulsante Analizza e selezionate l’opzione Analisi
personalizzata….
Nella finestra che si apre, selezionate Analizza unità e cartelle selezionate e fate clic sul pulsante Seleziona….
A questo punto, mettete un segno di spunta alla cartella o alle cartelle
che volete vengano scansionate, fate clic sul pulsante OK e poi su Avvia
analisi per avviare la scansione.
145
5-03-2007 17:14:36
Un programma di troppo!
Windows Defender permette di scoprire quali programmi vengono lanciati all’avvio di Windows. Fate clic sul pulsante Strumenti in alto e poi
sull’icona Gestione software.
Nella finestra che si apre selezionate la voce Programmi a esecuzione
automatica in Categoria. Nella lista laterale a sinistra vengono elencati
tutti i programmi che vengono lanciati all’avvio di Windows nel vostro
account utente.
Per vedere i programmi che vengono avviati in tutti gli account utente del
computer, fate clic sul pulsante Visualizza per tutti gli utenti (Figura 4.15).
Figura 4.15 - La lista dei programmi eseguiti all’avvio di Windows.
La presenza di un alto numero di programmi, specialmente se inutili, rallenta l’avvio di Windows. Se cliccate su un programma, potete avere nel
riquadro di destra delle informazioni sul suo conto.
146
5-03-2007 17:14:36
Per impedire l’esecuzione di un programma superfluo, selezionatelo e fate
clic sul pulsante Disabilita. Se volete in futuro farlo eseguire nuovamente
all’avvio, fate clic sul pulsante Abilita.
Ho l’ADSL e sono protetto
Gli utilizzatori di connessioni ADSL non sono interessati dal problema
dei dialer, che affligge solo chi utilizza una connessione 56K o ISDN.
Gli utilizzatori di connessioni ADSL possono quindi saltare la sezione
relativa al problema dei dialer e andare direttamente al paragrafo che
tratta i rootkit.
Dialer: i succhia soldi
I dialer sono dei software che creano sul nostro computer un’altra connessione a Internet a tariffazione elevata, disattivando quella che stiamo
usando e collegandosi con quella da loro creata.
Quelli più subdoli, invece, modificano il numero della nostra connessione
a Internet e sono più difficili da individuare, perché non viene creata una
nuova connessione ma semplicemente modificata quella esistente.
Il costo della connessione a Internet diventa stratosferico e può anche
a arrivare a 3 euro al minuto.
I dialer sono stati creati da aziende che offrono servizi on-line le quali
preferiscono addebitare i costi di fruizione da parte dell’utente sulla sua
bolletta telefonica, anziché ricorrere alle forme di pagamento consuete
quali le carte di credito o i bonifici.
Il funzionamento è molto semplice: per visitare un’area riservata in cui
usufruire dei servizi on-line di quella particolare azienda, occorre scaricare
il dialer, che si collegherà a un numero a tariffazione elevata.
Il costo della connessione a Internet pagato dall’utente viene poi ripartito tra l’operatore telefonico e l’azienda che offre il servizio.
I dialer sono leciti se vengono presentati in modo chiaro i costi e le modalità di installazione. Questo, però, non accade quasi mai.
È facile incontrare i dialer in siti che promettono immagini e video per
adulti e ricette e appunti per gli studenti, ma non solo.
147
5-03-2007 17:14:37
Sono a rischio soprattutto gli utilizzatori di Internet Explorer: dopo aver
aperto il sito, senza che abbiamo fatto nulla, viene loro proposto di installare un ActiveX oppure viene aperta la finestra per scaricare un file .exe
(Figura 4.16).
Figura 4.16 - Un
dialer cerca di
installarsi nel nostro computer.
Se l’utente preme sbadatamente il tasto Sì o Installa, mette a rischio le
sue tasche. I dialer truffaldini disattivano, inoltre, i suoni emessi dal modem in modo che l’utente non si accorga di nulla.
Se abbiamo, invece, usufruito consapevolmente di un servizio a pagamento tramite dialer, ricordiamoci di disattivare la connessione una volta
che abbiamo finito, altrimenti continueremo a pagare cifre stratosferiche
anche se stiamo visitando siti Internet gratuiti.
Gli operatori telefonici contro i dialer
Per proteggerci dai dialer ci vengono in aiuto, in primo luogo, gli operatori telefonici, che ci permettono di disattivare le chiamate verso numeri di
telefono a tariffazione elevata. Per disattivare tale tipo di chiamate, basta
chiamare semplicemente il servizio clienti.
Nel caso di Telecom Italia, la disattivazione è completamente gratuita e
viene indicata nella bolletta bimestrale.
Disattivando le chiamate a tariffazione elevata, la maggior parte delle con-
148
5-03-2007 17:14:37
nessioni (ma non tutte!) dei dialer viene bloccata sul nascere. Per avere una
protezione maggiore, occorre rafforzare le difese del proprio computer.
Raddrizziamo il nostro computer
Per proteggerci dai dialer, possiamo rafforzare Internet Explorer disattivando la tecnologia ActiveX, utilizzata solitamente per l’installazione
dei dialer.
Dopo aver aperto Internet Explorer, fate clic sul menu Strumenti e poi
sulla voce Opzioni Internet….
Nella finestra che si apre spostatevi nella scheda Protezione e, dopo aver
selezionato l’area Internet (rappresentata da un mondo), fate clic sul pulsante Livello personalizzato….
A questo punto, nella finestra che si apre selezionate Disattiva alla voce
Esegui controlli e plug-in ActiveX (Figura 4.17).
Figura 4.17 - Disattiviamo gli ActiveX in Internet Explorer.
I dialer più subdoli, vedendo che non possono installarsi usando gli ActiveX,
ricorrono a un altro metodo: far scaricare e aprire all’utente un file .exe.
149
5-03-2007 17:14:38
Nel caso in cui si apra una finestra di Internet Explorer per scaricare un
file .exe senza che voi abbiate fatto nulla, annullate lo scaricamento del
file-dialer.
Infine, ma non per questo meno importante, è necessario installare e
con¬figurare il programma gratuito StopDialers poiché, come già detto,
non tutti i dialer vengono bloccati dalla disattivazione delle chiamate a
tariffazione elevata effettuata presso l’operatore telefonico.
Installiamo STOP Dialers
STOP Dialers è un software gratuito che ci permette di proteggerci dai
dialer. Una volta installato, STOP Dialers controlla le connessioni a Internet che vengono effettuate.
Se ne viene fatta una a un numero diverso rispetto a quello del nostro
provider, questa verrà impedita, proteggendo le nostre tasche.
Per scaricare STOP Dialers, andate sul sito http://www.socket2000.com/
e fate clic sulla voce StopDialers nel riquadro Programmi & altro, nella
colonna di sinistra.
Nella pagina che si apre fate infine clic sulla voce Scarica StopDialers. Per
avviare l’installazione, fate doppio clic sul file scaricato.
L’installazione è guidata e basta fare semplicemente clic sul pulsante
Avanti. Durante l’installazione è necessario accettare il contratto di licenza, selezionando la voce Accetto l’accordo di licenza (Figura 4.18).
Figura 4.18 - Per procedere
nell’installazione è necessario
accettare il contratto di licenza.
150
5-03-2007 17:14:38
Al termine dell’installazione, per avviare STOP Dialers andate su Start,
spostatevi nella voce Tutti i programmi e poi in Socket2000.
Alla fine, fate clic sulla voce Stop Dialer. D’ora in avanti, STOP Dialers
verrà avviato automaticamente all’accensione del computer.
Configuriamo STOP Dialers
La configurazione di STOP Dialers è molto semplice. Dopo aver avviato il
programma, verrà mostrata una sua icona nella barra di sistema.
Per avviare la finestra principale di STOP Dialers, fate doppio clic sulla sua
icona nell’area di notifica. Nella finestra principale, fate clic sul pulsante S.
Nella finestra che si apre, viene mostrata la lista delle connessioni a Internet presenti nel vostro computer. Cliccando su ognuna di queste potete
visualizzarne il numero di telefono utilizzato e autorizzarne o negarne la
connessione.
Le connessioni non autorizzate presentano il numero di telefono con lo
sfondo in rosso.
Per evitare che un dialer possa cambiare il numero di telefono a una connessione autorizzata e passarla liscia, STOP Dialers riesce anche a individuare le
connessioni autorizzate alle quali è stato cambiato il numero di telefono e le
blocca (il numero di telefono avrà lo sfondo rosso).
Selezionate la connessione che usate per collegarvi a Internet e verificate
che il numero di telefono sia quello fornito dal vostro provider.
Se tutto è corretto, mettete un segno di spunta alla voce Permetti connessione. Le connessioni a Internet attuate verso quel numero di telefono
verranno così autorizzate (Figura 4.19).
Nella stessa finestra potete eliminare le eventuali connessioni a Internet
superflue, selezionandole e facendo clic sul pulsante Elimina.
Le connessioni a Internet con un numero diverso rispetto a quello autorizzato saranno impedite da STOP Dialers.
È possibile autorizzare in STOP Dialers anche due o più connessioni a Internet. In
questi casi verifichiamo, prima di autorizzarle, i loro numeri di telefono per la connessione confrontandoli con quelli del nostro provider: qualche dialer potrebbe averli
modificati.
151
5-03-2007 17:14:38
Figura 4.19 - Autorizziamo una
connessione a Internet.
Per chiudere STOP Dialers e lasciarlo lavorare, fate clic su Chiudi e poi sul
pulsante in alto a destra _. Ricordatevi di non premere il pulsante X, altrimenti
STOP Dialers verrà chiuso e resterete senza alcuna protezione. Durante il suo
lavoro, STOP Dialers riesce a monitorare eventuali modifiche al Registro di
sistema di Windows e ce le segnala, chiedendoci come comportarci.
Poiché il Registro di sistema è il cuore di Windows, da cui dipende il suo
funzionamento, eventuali modifiche azzardate potrebbero danneggiarlo.
Se non sapete cosa state facendo, quando STOP Dialers vi mostra la finestra con la lista delle modifiche al Registro di sistema, fate clic sul pulsante
Chiudi e conferma (Figura 4.20).
Figura 4.20 - STOP
Dialers ha rilevato
delle modifiche al
Registro di sistema di
Windows.
152
5-03-2007 17:14:39
Nel caso in cui vengano aggiunte delle connessioni nuove, STOP Dialers
ce le segnala, indicandoci il nome della connessione e il numero di telefono (Figura 4.21).
Se non avete creato voi queste nuove connessioni, sicuramente si tratta di
connessioni create da qualche dialer.
In quest’ultimo caso, dopo averle selezionate con un clic, fate clic sul pulsante Elimina connessioni per eliminarle, altrimenti fate clic su Accetta
variazioni.
Se cliccate sul pulsante Accetta variazioni, ricordatevi di approvare poi le
connessioni aggiunte per consentire loro l’accesso a Internet.
Figura 4.21 STOP Dialers
ha rilevato
delle nuove
connessioni a
Internet.
Soluzioni alternative
Oltre ad Ad-Aware, esistono altre valide soluzioni antispyware. Non tutte
però sono disponibili nella nostra lingua o sono gratuite.
ewido
Doppia versione (una gratuita e una a pagamento), in Inglese.
http://www.ewido.net/en/
Spybot-S&D
Freeware, in italiano.
http://www.safer-networking.org/it/
153
5-03-2007 17:14:39
In sostituzione all’antidialer STOP Dialers, considerato in questo capitolo,
potete installare Digisoft AntiDialer.
Il software è in Italiano ma, a differenza di STOP Dialers, non offre il controllo del Registro di sistema. Può essere scaricato dal sito http://www.
digisoft.cc/antidialer.asp.
Giochiamo a nascondino?
I virus e i trojan, una volta infettato un computer, cercano di nascondersi
agli antivirus e agli antitrojan per evitare di essere rimossi.
Per nascondersi al sistema operativo, essi fanno ricorso ai cosiddetti
rootkit. Un rootkit è un insieme di programmi che serve a rendere invisibili all’utente e al sistema operativo altri programmi o altri file.
Per cercare eventuali minacce nel nostro computer, gli antivirus e gli antitrojan fanno ricorso alle funzionalità di Windows.
Poiché virus e trojan sono stati nascosti da un rootkit a Windows, gli antivirus e gli antitrojan non rileveranno nulla.
Per nascondere al sistema operativo altri programmi o file, i rootkit
lo modificano. Possono, per esempio, modificare la funzionalità che
mostra quali programmi sono attivi oppure dire a Windows di non mostrare i file o i programmi che iniziano, per esempio, con la parola
nascondimi.
In questo modo, se uno sviluppatore di virus crea il programma nascondimivirus.exe e lo salva in Documenti, quando apriremo la cartella non vedremo
nulla. Allo stesso modo, l’antivirus non riuscirà ad accorgersi del file.
Fino a qualche anno fa, il problema ha interessato soltanto gli utenti del
sistema operativo Unix e di quelli da esso derivati: i pirati informatici,
dopo essere entrati nel computer della vittima, utilizzavano i rootkit per
nascondersi.
Il problema è stato portato alla luce su larga scala anche in Windows da
Sony, che ha inserito un rootkit all’interno dei suoi CD audio.
Dopo aver inserito il CD audio in un computer, venivano installati automaticamente e nascosti nel PC dei programmi per impedire delle copie non
autorizzate dei CD.
154
5-03-2007 17:14:40
Non sempre è facile estirpare un rootkit da un sistema operativo, specialmente quando lo modifica in profondità. In questi casi si è costretti anche
a formattare il PC.
È possibile tentare di individuare ed estirpare i rootkit grazie agli antirootkit.
Gli antirootkit, per riuscire a individuare i rootkit eseguono due scansioni
dei computer: una più superficiale, usando le funzionalità di Windows, e
una più approfondita, senza sfruttare le funzionalità di Windows. Alla fine
fanno un confronto fra le due scansioni, individuando le discrepanze e,
quindi, i rootkit.
La scansione superficiale sarà, infatti, influenzata dalla presenza dei rootkit,
a differenza di quella in profondità che sarà più fedele alla realtà.
Scansioniamo il nostro computer
F-Secure ha prodotto un utilissimo strumento per l’individuazione e rimozione dei rootkit, chiamato BlackLight. Si tratta di un prodotto in fase di
sviluppo, del tutto gratuito.
La tecnologia di BlackLight è stata integrata, inoltre, nell’antivirus di FSecure, che è tra i primi a riconoscere e a rimuovere, oltre a virus e trojan,
anche i rootkit.
Per scaricare F-Secure BlackLight, aprite l’URL https://europe.f-secure.
com/blacklight/try.shtml e fate clic sul pulsante I Accept, per accettare la
licenza di utilizzo.
Nella pagina che si apre, fate infine clic sulla voce Download Blacklight
Beta per scaricare Blacklight.
Dopo aver scaricato Blacklight, fate doppio clic su di esso per avviarlo.
Per usarlo non occorre installazione: è sufficiente accettare il contratto di
utilizzo, mettendo un segno di spunta alla voce I accept the agreement,
e fare clic sul pulsante Next.
Nella finestra che si apre, per effettuare una scansione del computer, fate
semplicemente clic sul pulsante Scan. A differenza dell’antivirus, il processo si conclude in una manciata di minuti (Figura 4.22).
155
5-03-2007 17:14:40
Figura 4.22 - La finestra
principale di F-Secure
Blacklight.
Nel caso in cui vengano individuati dei rootkit, è possibile rimuoverli. Prima
di rimuoverli, partiamo dal presupposto che il nostro computer potrebbe
non funzionare più nel caso in cui sia stato modificato in profondità.
Dobbiamo quindi prepararci a tale eventualità facendo un backup dei documenti più importanti del nostro computer. Solo a questo punto, possiamo fare clic sul pulsante Next (Figura 4.23).
Figura 4.23 - F-Secure
Blacklight ha rilevato
dei rootkit nel nostro
computer.
156
5-03-2007 17:14:40
Nella finestra che si apre, selezionate tutte le minacce trovate e fate clic
sul pulsante Rename. Fate clic su Next per procedere nella pulizia.
Prima di avviare la pulizia vera e propria, viene aperta una finestra con
alcuni avvertimenti. Per procedere, mettete un segno di spunta alla voce
I have understood the warning and wish to continue e fate clic su OK.
Alla fine occorre riavviare il computer.
Rimuoviamo le minacce
Dopo aver riavviato il PC, se tutto è andato a buon fine, i file nascosti dai
rootkit vengono a galla.
A questo punto, la prima cosa da fare è quella di controllare che i rootkit
siano stati estirpati correttamente. Fate una nuova scansione con F-Secure Blacklight.
Nel caso in cui siano presenti altri rootkit, provvedete a rimuoverli. Dopo
che avete accertato che il vostro PC sia stato ben ripulito dai rootkit, passate a rimuovere le minacce da essi nascoste.
Poiché si tratta di normalissimi virus o trojan, basta una scansione con
l’antivirus e l’antitrojan. Già che ci siamo, possiamo completare la pulizia
facendo una scansione con l’antispyware.
Nei casi peggiori, Windows potrebbe non funzionare più e si sarà costretti
a formattare il computer e installarlo da zero.
RootkitRevealer
Un software complementare a F-Secure Blacklight è RootkitRevealer, una
soluzione professionale per l’individuazione dei rootkit.
Questa applicazione è stata sviluppata da Mark Russinovich, lo scopritore
del rootkit dei CD audio di Sony, di recente assunto da Microsoft. A differenza di F-Secure Blacklight, RootkitRevealer si limita però a verificare la
presenza di rootkit, senza offrire la possibilità di rimuoverli.
Per scaricarlo, andate nella pagina Web http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx. Spostatevi alla fine della
pagina e fate clic sulla voce Download RootkitRevealer.
Al termine del download scompattate l’archivio, usando per esempio
WinZip, e fate doppio clic sul file RootkitRevealer.exe per avviarlo.
157
5-03-2007 17:14:41
Nella finestra che si apre, fate infine clic sul pulsante Scan per avviare la
scansione del vostro computer (Figura 4.24).
Figura 4.24 RootkitRevealer
sta scansionando il nostro
computer
alla ricerca di
rootkit.
158
5-03-2007 17:14:41

4. Spie, dialer e rootkit

Transcript

Documenti analoghi

Configurazione di una [email protected] con Windows Live Mail

Guida - Così si aggiornano i programmi Microsoft

Configurare DAP-1360 come un Access Punto utilizzando Mac OS

Messaggi protetti - Bank of America Secure Messaging Home Page

EXPRESS CARD SERIALE

Configurazione IMAP di una [email protected]

5 Come fare: Sincronizzare le schede aperte tra

Soufflè di Zucchine, Pisellini e Taleggio

Guida rapida Studio 15

come configurare una casella IMAP mediante il client Windows Live

Dialer - No Dialers - Difenditi dai dialer !