Statistiche sito,contatore visite, counter web invisibile
Ciao da Alessandro Lucino e benvenuto nel Sito dell'Ingegneria

Precauzioni per difendersi dai Pirati Informatici, detti anche Cracker

Ci sono molti metodi per difendersi dai pirati informatici e sono raggruppabili in quattro categorie: metodi passivi, metodi attivi, metodi drastici (o rozzi), programmi utili.

Metodi passivi

I metodi passivi sono gratuiti infatti basta configurare a dovere il browser. Se avete una rete le cose più importanti sono tre, mettere i dati fondamentali su una partizione del disco non condivisa o dentro dei floppy (magari floppy ottici o zipdisk), disattivare "condivisione di file e stampanti" in proprietà della rete, controllare tutte le informazioni che scambia la rete, non accedete a pagine poco sicure (se lo fate salvate prima tutti i dati), installare solo i programmi necessari per la connessione ad internet.
Altra cosa da fare è disabilitare l'esecuzione automatica degli script java, infatti anche se il java per web non è stato dotato di mezzi per accedere alle vostre risorse ci sono alcuni comandi che posso accedere al disco e quindi anche danneggiarlo, per fare questo da Internet Explorer basta mettere protezione personalizzata e disattivare Script, con Netscape andare in preferences da Edit, andare su Advanced e disabilitare Enable Java e disattivare cookies; in questo modo sceglierete quale script eseguire e quale non eseguire.
Altra minaccia per la protezione dei propri dati personali sono i cookies, un insieme di dati che vengono scritti sul vostro hard disk e,a seconda dei casi, memorizzano le vostre impostazioni personali per il collegamento al sito ( come login,password...), certo fanno risparmiare molto tempo durante la navigazione sul web: infatti ci evitano di dover compilare ogni volta le caselle di accesso (nome utente/user name e password) per accedere a servizi e a siti riservati o personali, però permettono a terze persone di visualizzare i dati, le preferenze, le impostazioni ecc.
Per ovviare a questo inconveniente da internet explorer cliccate sul menù Strumenti,Opzione Internet e poi Protezione, cliccate su Personalizza livello e sulla finestra che si apre impostate su attiva la voce consenti cookie (non memorizzati) sessione per sessione e su disattiva la voce consenti cookie memorizzati sul computer, questo vale fino alla versione 5.5 di explorer mentre per la versione 6 dovete selezionare la scheda Privacy e premete Avanzate dalla finestra che si apre selezionate la casella Sostituisci gestione automatica cookie e poi chiedi conferma per le voci Cookie dei siti web visualizzati e Cookie di terze parti. Con Netscape 6.2 andate su Privacy&Security cliccare su Cookie e selezionare Enable Cookies for the originating web site only, in questo caso accettate solo i cookies del sito che state visitando e non quelli di terze parti.
Potete fare delle connessioni di breve durata, in questo modo cambierete continuamente il vostro indirizzo IP ad ogni connessione e vi nasconderete ogni volta momentaneamente da un pirata informatico (o cracker) che vuole attaccarvi.
Come evitare il nuking
Le soluzioni al problema del Nuking sono diverse:

Metodi attivi

Il migliore è quello di utilizzare la connessione via internet attraverso un proxy server e/o un firewall, questi due sono applicativi particolari che servono a nascondere i vostri indirizzi IP,infatti navigando con un proxy server non è il vostro computer che accede alle pagine ma un altro computer per voi quindi se va in overflow (errore che blocca il computer irreversibilmente) non si blocca il vostro computer ma il proxy server, praticamente vi siete creati un muro di protezione, i proxy server sono sia hardware che software, se volete navigare sicuri vi consiglio di sfruttare un anonimizzatore come quello offerto da anonymizer;il firewall è un dispositivo hardware e grazie a questo si può filtrare il traffico da e verso internet, inoltre alcuni firewall dispongono della funzione "Backtrace"come Sygate Personal Firewall che permette di usare questa funzione associata a "Whols" che permette di risalire in pochi secondi al titolare dell'IP che ci ha attaccato( di solito il nominativo non corrisponde alla persona che usa effettivamente il collegamento ma a quello del provider utilizzato, infatti gli indirizzi IP sono registrati alle compagnie che li assegnano, volta per volta, ai clienti che si collegano però se contattate il provider potrete scoprire chi ha usato quell'IP in quel determinato momento).
Per il proxy server vi consiglio
ISB100 The intenet sharing box è di tipo hardware ed è molto efficente, mentre per il firewall consiglio Conseal sopratutto per chi usa IRC e non vuole essere attaccato da nuke, smufe,Denial of service solo che non è gratuito.

Metodi drastici (o rozzi)

I metodi migliori sono quelli fatti in casa, prima di tutto bisogna disattivare tutti quei programmi per internet che non utilizzate perchè anche se non attivi sono in listening (attesa di chiamata) quindi hanno porte aperte le quali possono in ogni momento essere catturate da qualche attacco di cracker, non basta, si possono disattivare o mettere delle restrizioni ai pacchetti di entrata e uscita dei dati (i pacchetti sono dati e son gestiti da protocolli per il quale il browser si collega ad internet, sono come delle regole che deve seguire), bisogna però conoscere dettagliatamente i vari protocolli.
Ecco l'elenco dei protocolli per la trasmissione dei dati via internet:

UDP (user datagram protocol): serve per stabilire una connessione ma non controlla se il dato arriva a destinazione, quindi è un protocollo inaffidabile e si può subire un attaccato di tipo flood.
ICMP (internet control message protocol): è un protoccollo necessario in quanto standard per instradare i pacchetti verso il router controllandolo che non sia carico di lavoro quindi se è bloccato il router.
TCP (trasmission control protocol): serve per la trasmissione dei dati e si accerta che i dati sono arrivati a destinazione ed in caso contrario (per esempio se cade la linea o un router va in sovraccarico di lavoro) li ritrasmette. è in questo protocollo che ci sono le porte per i vari servizi (una volta attivata una porta viene utilizzata sempre quella quindi disattivare le altre porte non comporta errori):

  1. PORTA 8080: è una porta necessaria per il collegamento ai siti internet, con questa il vostro computer contatta un server che contiene la pagina web attende la risposta del server e una volta che la richiesta è stata rilevata il server dialoga con il client (il vostro computer o il proxy server che utilizzate) per lo scambio di dati.

  2. PORTA 23 - telnet: serve per fare connessioni remote, cioè operare su un computer in rete diverso dal vostro con la vostra tastiera e mouse, trasmette le password in chiaro e quindi sarebbe meglio disattivarlo se non strettamente necesario.

  3. PORTA 513 e 514 - rsh e rcdm: servono per l'esecuzione di comandi per le connessioni remote tra due computer collegati in rete quindi meglio disattivare anche questo servizio.

  4. PORTA 119 - nntp: serve per la trasmissione dei messaggi di news, se non lo disabilitate almeno filtrate i dati con un firewall.

  5. PORTA 110 - pop3: serve per scaricare la posta e per l'invio di e-mail (trasmette password in chiaro).

  6. PORTA 80 - http: è propia degli indirizzi interneted è molto esposta per il largo utilizzo di chi naviga in internet (praticamente ogni volta che vi collegate ad un sito utilizzate questa porta) quindi si consiglia la protezione con un firewall o con un proxy server.

  7. PORTA 520 - rip: è il protocollo di routing che utilizza il server o router per collegarsi alla vostra rete dei computer e quindi mettere a disposizione di chiunque le vostre risorse, quindi è meglio impedire l'uscita di questi pacchetti con un firewall.

  8. PORTA 53 - dns: trasforma gli indirizzi in formato alfanumerico in indirizzi ip (esempio http://qualche indirizzo.prova diventa 555.44.333.22.1) siccome utilizza protocolli UDP è meglio farlo passare attraverso un firewall.

  9. PORTA 67 e 68 - bootp e tftp: servono sopratutto per riavviare i computer senza hardisk che utilizzano esclusivamente la rete, meglio eliminarlo se non avete un computer del genere.

  10. PORTA 79 - finger: serve per recuperare da un server informazioni sugli utenti registrati in un server collegato ad una rete, quindi è meglio impedire l'uscita di questi dati dalla lan con un firewall.

Utilizzate il Notepad (blocco note fornito con il windows) ed aprite SERVICE nella directory c:\windows per windows95/98 c:\sistem32\drivers\... per windowsNT, fatto ciò aggiungete DISCARD per chiudere le porte che volete disattivare, mentre per Windows 2000 e XP andate alla pagina che spiega come diattivare alcune porte .

Le porte utilizzate dai principali backdoor sono:

Port Description
TCP 21 FTP - File Transfer Protocol
TCP 23 Telnet
TCP 25 SMTP - Simple Mail Transfer Protocol
TCP 80 HTTP - Hypertext Transfer Protocol
TCP 110 POP3 - Post Office Protocol v3
TCP 139 NetBIOS
TCP 30100 NetSphere - TCP Communication
TCP 30101 NetSphere - File Transfers
TCP 30102 NetSphere - Streaming Transfers
TCP 12345 NetBus - TCP Communication
TCP 12346 NetBus - File Transfers
UDP 31337 Back Orifice - UDP Communication
TCP 6670 Deep Throat - Does nothing. For scanners to detect.
UDP 3150 Deep Throat - UDP Communication
UDP 2140 Deep Throat - UDP Communication
TCP 20034 NetBus Pro - TCP Communication
TCP 27374 SubSeven - TCP Communication

Quando vi viene richiesto di inserire la password al riavvio di windows NON INSERITELA SUBITO ma premete ALT+TAB, in questo modo aprirete il Task manager del windows, controllate quali programmi sono in esecuzione, se ci sono dei programmi tipo PASSWORD THIEF, ACTMON, KEYLOGGER, o programmi che non dovrebbero essere attivi, scrivete una password qualunque oppure terminateli con TERMINA APPLICAZIONE selezionando prima il programma da terminare.

Nel caso volete controllare se siete attaccati da un cracker attraverso un Back Orifice dovete semplicemente controllare nel registro (file del windows dove risiedono le informazioni software e hardware installate, aprendo il programma in dotazione con windows chiamato REGEDIT che sta nella directory di windows, per aprirlo andate su AVVIO o START poi su ESEGUI e digitate REGEDIT) alla chiave \HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES o al posto di RUNSERVICES nel RUN qualunque file nella lista deve essere eliminato (tranne quelli propri del windows) poichè è di natura sospetta. Per togliere Back Orifice bisogna eliminare il collegamento al programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra specificato (scriversi su un foglietto il nome del programma che in genere è " .exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente (l'ultimo descritto è il modo più efficace che esiste).
Altro metodo per vedere se si è controllati da un Back Orifice è quello di accedere alla Task bar (premendo
ctrl+alt+canc) se avete nella lista dei programmi attivi ahqtb (nome difficile anche per alcuni cracker cambiare) avete Back Orifice, il programma
Netbus e Netsphere invece è invisibile anche dalla Task bar ma visibile in Regedit.
Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo descritto sopra (
\HKEY_LOCAL_MACHINE\......\RUN), quale è il nome del file server che l'hacher vi ha installato, fatto ciò eseguire nome_del_file_server /remove dove nome_del_file_server è il nome del file che avete individuato, a questo punto cancellate il programma server.
Per eliminare Netbus dalla versione 1.6 ad una superiore potete fare la stessa cosa descritta sopra o scaricare il programma Netbus (se non lo trovate ve lo fornisco io, ma dentro Astalavista lo trovate sicuramente vedi altri siti ftp) ed eliminarlo direttamente con il programma client tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra specificato, scriversi su un foglietto il nome del programma che in genere è "patch.exe", riavviare il sistema, cercare il file che in genere sta dentro c:\windows\system ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file manager), oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite netbus il programma manda in overlow il computer dell'hacker bloccandogli il computer.
Altro modo per eliminare
NetSphere è collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi selezionare Target > Server > Remove Server. Nel caso in cui sia un file server dotato di password allora vai su Start o Avvio della barra delle applicazioni, poi vai su esegui e inserisci il nome del file server con relativo percorso, cioè se il file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe /visible poi dal menù del file server clicca su REMOVE.
Per eliminare Master's Paradise dovete vedere nel registro di sistema con Regedit alla chiave riportata sopra (\HKEY_LOCAL_MACHINE\......\RUN) in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di sistema, se è infettato il vostro computer questo programma non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il collegamento al programma dal registro e cancellare il programma server come descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per eliminare SubSeven dovete procurarvi il client (se non lo trovate ve lo fornisco io, ma dentro Astalavista lo trovate sicuramente vedi altri siti ftp) ed eliminarlo direttamente tramite le opzioni. Ci sono altri metodi da usare per rimuovere SubSeven che variano in base alla versione con cui siete stati contagiati. Per la versione 1.7 bisogna avviare il computer in modalità MS-DOS andare nella directory c:\windows ed eliminare il file kernel16.dl, fatto ciò riavviate il sistema ed entrate nel registro di sistema tramite Regedit e alla chiave del registro HKEY_LOCAL_MACHINE\SOFTWARE\.....\RunServices eliminare la voce kernel16=kernel16.dl. Per la versione 1.8 la cosa è un pò più complicata perchè chi ha inviato il file può aver cambiato alcuni parametri per rendere difficile la sua identificazione quindi bisogna analizzare le chiavi del registro HKEY_LOCAL_MACHINE\SOFTWARE\.....\Run e HKEY_LOCAL_MACHINE\SOFTWARE\.....\RunService, analizzare anche i file win.ini e system.ini cercando un file dal nome kerne132.dl, è possibile che sia usata una variante di questo nome quindi controllare bene ogni voce che sembra sospetta, una volta identificato si può passare alla rimozione come nella versione precedente, naturalmente cambiando il nome del file da eliminare. Per la versione 1.9 la rimozione è uguale alla versione 1.7 solo che il file da eliminare èrundll16.exe e bisogna ripulire tutte e due le chiavi del registro eliminando la voce registryscan=rundll16.exe. La versione 2.0 ha lo stesso nome del file da eliminare della versione 1.9, ma le informazioni per il caricamento del programma si trovano nel file system.ini quindi bisogna aprirlo con il notepad cercare la riga "Shell=" e cancellare "trojanname.exe" salvare il file system.ini e riavviare il computer. Le versioni 2.1,2.2 sono più complicate da scoprire perchè fornite di una utility di configurazione che consente, a chi ci ha infettato, di cambiare il nome del file che ci ha inviato rendendo difficile individuarlo e rimuoverlo, inoltre queste versioni installano anche un piccolo programma di avvio (chiamato WINDOS.EXE) che viene registrato in modo che il trojan si carica in memoria ogni volta viene esguito un file EXE. A questo punto è meglio affidarsi a un buon antivirus o scaricare questo programma che ti aiuterà a rimuovereSubSeven scaricalo dal sito http://www.tlsecurity.net/subseven/misc.htm. Altro programma per eliminare questo trojan è SubSeven Cleaner che ripulisce la memoria, il registro e il disco fisso.
Per evitare di essere spiati con Netbios invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti Microsoft che sta dentro Rete del Pannello di controllo e se possibile disattivare Condivisione file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit (netbios è un exploit) non c'è nessun modo per evitare di essere penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere meno applicazioni possibili attive che utilizzano internet può servire a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo aprire un programma alla volta, ma la penetrazione al sistema è solo questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi sistemi di sicurezza.
Per determinare l'infezione da Remote Explorer si possono fare due strade:

  1. Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.

  2. Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, protrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)

Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema.
Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.

Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi recentemente.
Ulteriori notizie le potete trovare sul sito
Symantec

Programmi utili

Ci sono vari programmi utili per l'eliminazione di programmi che servono agli cracker per accedere al vostro computer, infatti da internet non sono i virus i più pericolosi, ma sono i back orifice (o le versione migliorate dei programmi come NETBUS o SUBSEVEN) i quali non sono virus (quindi non rilevabili dagli antivirus) ma sono dei programmi che consentono agli crackers di accedere alle vostre risorse (quindi i vostri hard disk) ogni volta che vi collegate in internet. Quindi vi serve un software per l'eliminazione dei virus e uno per l'eliminazione dei Back Door. Di antivirus ne esistono una infinità, il migliore comunque dovrebbe essere il McAfee antivirus che potete scaricare da tutti gli FTP e PC-cillin (non sono gratuiti, ma sono shareware); un programma utile per l'eleminazione di back orifice è Back Orifice Eradicator (nome file BOEradicate.exe, dimensione 0,2Mb, non necessita di installazione/disinstallazione ed è FREEWARE, NON è utile per eliminare anche NETBUS e SUBSEVEN); visitate il sito che lo ha creato per scaricare la versione più aggiornata.

Usare il back orifice eradicator è facile:

  1. avviare il programma e fare scansione della memoria.

  2. nel campo file metti c:\windows\system\ .exe (ricordate lo spazio prima di .exe, si chiamano così in genere ma non sempre i back orifice), oppure altro nome di file sospetto.

  3. se vi appare un messaggio del tipo "file scanned is the Back Orifice server please run autoremoval immediately" premete Autoremove e il cracker perderà ogni traccia di voi.

download
Download Back Orifice Eradicator

Se non lo trovate chiedetemelo a me (vedi pagina su come contattarmi) e ve lo fornirò gratuitamente via e-mail.

Esiste un altro programma gratuito (ma ce ne sono molti altri e sempre gratuiti) per rilevare Back Orifice Netbus ed altri trojan si chiama BOClean.

Altri programmi che rilevano Back orifice, Netbus e Master's Paradise sono Norton Antivirus 2002, McAfee ViruScan6, Panda Antivirus,Kasper Sky AntiVirus e Pc-Cillin (non gratuiti).

Difendersi dai rischi della posta elettronica:
Il consiglio mio è un doppio consiglio. Da un lato la prudenza. Occorre sempre essere sicuri del file che si sta aprendo e chi l'ha inviato. Inoltre un buon programma antivirus può essere d'aiuto. Norton Antivirus è uno dei prodotti migliori presenti oggi sul mercato. Questo software mantiene uno stretto monitoraggio del tuo sistema. Ogni volta che apri un file, sia esso eseguibile o semplicemente un documento a rischio (Word o Excel), Norton Antivirus verifica che esso non contenga un codice dannoso. È importante mantenere sempre aggiornato il proprio antivirus in modo che esso sia in grado di sconfiggere anche i virus più nuovi ed elaborati. Altro buonissimo antivirus per la posta elettronica e la protezione in internet è Viruscan della Mc Afee, con questo antivirus sarete fuori da molti, se non tutti, i pericoli di internet (tranne che per i programmi per chattare come IRC, per questo c'è s7sniper . Un sistema di potezione gratuito, che controlla i messaggi di posta durante la loro ricezione è VCatch3.7 è compatibile con i più famosi programmi di posta elettronica, è in grado di controllare anche i file scaricati con i più famosi browser e i file scambiati con programmi peer-to-pee .
Da scaricare assolutamente è f-prot.zip un ottimo antivirus, gratuito ma solo per uso personale, che controlla l'intero sistema,Se non lo trovate chiedetemelo a me ( vedi pagina su come contattarmi) e ve lo fornirò gratuitamente via e-mail.
Per difendersi dai virus di rete ci vuole un antivirus aggiornatissimo, Pc Clinic della Mc Afee è in grado di rimuovere Virus Explorer direttamente in linea ma la registrazione è valida solo per 30 giorni per ogni e-mail che registrate.

Vedi anche il sito di Speciale Virus Center

Elenco dei siti per gli antivirus:

AVP: ftp://ftp.volftp.tin.it/pub2/avp/
Dr.Solomon's AVTK: ftp://ftp.drsolomon.com/
F-Prot: ftp://ftp.europe.datafellows.com/com/fprot/free/
ITAV: ftp://ftp.systems.it/software/itav/
Norton Antivirus: ftp://ftp.symantec.com/
Pc-Cillin: ftp://ftp.trendmicro.com/
Scan McAfee: ftp://ftp.mcafee.com/pub/antivirus/english/
Sweep: ftp://ftp.sophos.com/
TBAV: ftp://ftp.thunderbyte.com/pub/thunder/
Virit Lite: ftp://idea.sec.dsi.unimi.it/pub/security/docs/tgsoft/
Virus Test Center presso l'Università di Amburgo - Computer Science Department http://agn-www.informatik.uni-hamburg.de/vtc/eng.htm
Vsum: ftp://ftp.vsum.com/

Nonostante tutti e quattro questi metodi siano validi non si è mai fuori dal rischio di un attacco di crackers cattivi quindi state sempre allerta per qualunque problema che vi dà il computer, fate sempre copie dei vostri dati più importanti e non lasciateli in partizioni facilmente leggibili.Comunque la probabilità che un cracker venga a disturbarvi è bassa, quindi navigate in internet senza eccessive paure.

Vai alla pagina che tratta i rischi della posta elettronica

Torna alla pagina principale che tratta gli hackers

Vai alla pagina che spiega come chiudere alcune porte TCP UDP per Windows 2000 e XP




Aggiungi ai preferiti Aggiungi ai preferiti   |   imposta come pagina iniziale Imposta come Pagina Iniziale   |   stampa paginaStampa Pagina   |  

Elenco collegamenti :

pagina precedente  |  vai alla homepage  | pagina successiva