Precauzioni per difendersi dai Pirati Informatici, detti anche Cracker
Ci sono molti metodi per difendersi dai pirati informatici e sono raggruppabili in quattro categorie: metodi passivi, metodi attivi, metodi drastici (o rozzi), programmi utili.
I metodi passivi sono gratuiti infatti
basta configurare a dovere il browser. Se avete una rete le cose più importanti
sono tre, mettere i dati fondamentali su una partizione del disco non condivisa
o dentro dei floppy (magari floppy ottici o zipdisk), disattivare "condivisione
di file e stampanti" in proprietà della rete, controllare tutte le informazioni
che scambia la rete, non accedete a pagine poco sicure (se lo fate salvate prima
tutti i dati), installare solo i programmi necessari per la connessione ad internet.
Altra cosa da fare è disabilitare l'esecuzione automatica degli script
java, infatti anche se il java per web non è stato dotato di mezzi per
accedere alle vostre risorse ci sono alcuni comandi che posso accedere al disco
e quindi anche danneggiarlo, per fare questo da Internet Explorer basta mettere
protezione personalizzata e disattivare Script, con Netscape andare in preferences
da Edit, andare su Advanced e disabilitare Enable Java e disattivare cookies;
in questo modo sceglierete quale script eseguire e quale non eseguire.
Altra minaccia per la protezione dei propri dati personali sono i cookies, un
insieme di dati che vengono scritti sul vostro hard disk e,a seconda dei casi,
memorizzano le vostre impostazioni personali per il collegamento al sito ( come
login,password...), certo fanno risparmiare molto tempo durante la navigazione
sul web: infatti ci evitano di dover compilare ogni volta le caselle di accesso
(nome utente/user name e password) per accedere a servizi e a siti riservati
o personali, però permettono a terze persone di visualizzare i dati, le preferenze,
le impostazioni ecc.
Per ovviare a questo inconveniente da internet explorer cliccate sul menù Strumenti,Opzione
Internet e poi Protezione, cliccate su Personalizza livello e sulla finestra
che si apre impostate su attiva la voce consenti cookie (non memorizzati) sessione
per sessione e su disattiva la voce consenti cookie memorizzati sul computer,
questo vale fino alla versione 5.5 di explorer mentre per la versione 6 dovete
selezionare la scheda Privacy e premete Avanzate dalla finestra che si apre
selezionate la casella Sostituisci gestione automatica cookie e poi chiedi conferma
per le voci Cookie dei siti web visualizzati e Cookie di terze parti. Con Netscape
6.2 andate su Privacy&Security cliccare su Cookie e selezionare Enable Cookies
for the originating web site only, in questo caso accettate solo i cookies del
sito che state visitando e non quelli di terze parti.
Potete fare delle connessioni di breve durata, in questo modo cambierete continuamente
il vostro indirizzo IP ad ogni connessione e vi nasconderete ogni volta momentaneamente
da un pirata informatico (o cracker) che vuole attaccarvi.
Come evitare il nuking
Le soluzioni al problema del Nuking sono diverse:
Il migliore è quello di utilizzare la connessione via
internet attraverso un proxy server e/o un firewall, questi due sono applicativi
particolari che servono a nascondere i vostri indirizzi IP,infatti navigando
con un proxy server non è il vostro computer che accede alle pagine ma un altro
computer per voi quindi se va in overflow (errore che blocca il computer irreversibilmente)
non si blocca il vostro computer ma il proxy server, praticamente vi siete creati
un muro di protezione, i proxy server sono sia hardware che software, se volete
navigare sicuri vi consiglio di sfruttare un anonimizzatore come quello offerto
da anonymizer;il firewall è un dispositivo hardware e grazie
a questo si può filtrare il traffico da e verso internet, inoltre alcuni
firewall dispongono della funzione "Backtrace"come Sygate Personal Firewall
che permette di usare questa funzione associata a "Whols" che
permette di risalire in pochi secondi al titolare dell'IP che ci ha attaccato(
di solito il nominativo non corrisponde alla persona che usa effettivamente
il collegamento ma a quello del provider utilizzato, infatti gli indirizzi IP
sono registrati alle compagnie che li assegnano, volta per volta, ai clienti
che si collegano però se contattate il provider potrete scoprire chi ha usato
quell'IP in quel determinato momento).
Per il proxy server vi consiglio ISB100 The intenet
sharing box è di tipo hardware ed è molto
efficente, mentre per il firewall consiglio Conseal
sopratutto per chi usa IRC e non vuole essere attaccato da nuke,
smufe,Denial of service solo che non è gratuito.
I metodi migliori sono quelli fatti in
casa, prima di tutto bisogna disattivare tutti quei programmi per internet che
non utilizzate perchè anche se non attivi sono in listening (attesa di chiamata)
quindi hanno porte aperte le quali possono in ogni momento essere catturate da
qualche attacco di cracker, non basta, si possono disattivare o mettere delle
restrizioni ai pacchetti di entrata e uscita dei dati (i pacchetti sono dati
e son gestiti da protocolli per il quale il browser si collega ad internet, sono
come delle regole che deve seguire), bisogna però conoscere dettagliatamente
i vari protocolli.
Ecco l'elenco dei protocolli per la trasmissione dei dati via internet:
UDP (user datagram protocol): serve per stabilire una connessione ma non controlla se il dato arriva a destinazione, quindi è un protocollo inaffidabile e si può subire un attaccato di tipo flood.
ICMP (internet control message protocol): è un protoccollo necessario in quanto standard per instradare i pacchetti verso il router controllandolo che non sia carico di lavoro quindi se è bloccato il router.
TCP (trasmission control protocol): serve per la trasmissione dei dati e si accerta che i dati sono arrivati a destinazione ed in caso contrario (per esempio se cade la linea o un router va in sovraccarico di lavoro) li ritrasmette. è in questo protocollo che ci sono le porte per i vari servizi (una volta attivata una porta viene utilizzata sempre quella quindi disattivare le altre porte non comporta errori):
PORTA 8080: è una porta necessaria per il collegamento ai siti internet, con questa il vostro computer contatta un server che contiene la pagina web attende la risposta del server e una volta che la richiesta è stata rilevata il server dialoga con il client (il vostro computer o il proxy server che utilizzate) per lo scambio di dati.
PORTA 23 - telnet: serve per fare connessioni remote, cioè operare su un computer in rete diverso dal vostro con la vostra tastiera e mouse, trasmette le password in chiaro e quindi sarebbe meglio disattivarlo se non strettamente necesario.
PORTA 513 e 514 - rsh e rcdm: servono per l'esecuzione di comandi per le connessioni remote tra due computer collegati in rete quindi meglio disattivare anche questo servizio.
PORTA 119 - nntp: serve per la trasmissione dei messaggi di news, se non lo disabilitate almeno filtrate i dati con un firewall.
PORTA 110 - pop3: serve per scaricare la posta e per l'invio di e-mail (trasmette password in chiaro).
PORTA 80 - http: è propia degli indirizzi interneted è molto esposta per il largo utilizzo di chi naviga in internet (praticamente ogni volta che vi collegate ad un sito utilizzate questa porta) quindi si consiglia la protezione con un firewall o con un proxy server.
PORTA 520 - rip: è il protocollo di routing che utilizza il server o router per collegarsi alla vostra rete dei computer e quindi mettere a disposizione di chiunque le vostre risorse, quindi è meglio impedire l'uscita di questi pacchetti con un firewall.
PORTA 53 - dns: trasforma gli indirizzi in formato alfanumerico in indirizzi ip (esempio http://qualche indirizzo.prova diventa 555.44.333.22.1) siccome utilizza protocolli UDP è meglio farlo passare attraverso un firewall.
PORTA 67 e 68 - bootp e tftp: servono sopratutto per riavviare i computer senza hardisk che utilizzano esclusivamente la rete, meglio eliminarlo se non avete un computer del genere.
PORTA 79 - finger: serve per recuperare da un server informazioni sugli utenti registrati in un server collegato ad una rete, quindi è meglio impedire l'uscita di questi dati dalla lan con un firewall.
Utilizzate il Notepad (blocco note fornito con il windows) ed aprite SERVICE nella directory c:\windows per windows95/98 c:\sistem32\drivers\... per windowsNT, fatto ciò aggiungete DISCARD per chiudere le porte che volete disattivare, mentre per Windows 2000 e XP andate alla pagina che spiega come diattivare alcune porte .
Le porte utilizzate dai principali backdoor sono:
Port | Description |
TCP 21 | FTP - File Transfer Protocol |
TCP 23 | Telnet |
TCP 25 | SMTP - Simple Mail Transfer Protocol |
TCP 80 | HTTP - Hypertext Transfer Protocol |
TCP 110 | POP3 - Post Office Protocol v3 |
TCP 139 | NetBIOS |
TCP 30100 | NetSphere - TCP Communication |
TCP 30101 | NetSphere - File Transfers |
TCP 30102 | NetSphere - Streaming Transfers |
TCP 12345 | NetBus - TCP Communication |
TCP 12346 | NetBus - File Transfers |
UDP 31337 | Back Orifice - UDP Communication |
TCP 6670 | Deep Throat - Does nothing. For scanners to detect. |
UDP 3150 | Deep Throat - UDP Communication |
UDP 2140 | Deep Throat - UDP Communication |
TCP 20034 | NetBus Pro - TCP Communication |
TCP 27374 | SubSeven - TCP Communication |
Quando vi viene richiesto di inserire la password al riavvio di windows NON INSERITELA SUBITO ma premete ALT+TAB, in questo modo aprirete il Task manager del windows, controllate quali programmi sono in esecuzione, se ci sono dei programmi tipo PASSWORD THIEF, ACTMON, KEYLOGGER, o programmi che non dovrebbero essere attivi, scrivete una password qualunque oppure terminateli con TERMINA APPLICAZIONE selezionando prima il programma da terminare.
Nel caso volete controllare
se siete attaccati da un cracker attraverso un Back Orifice
dovete semplicemente controllare nel registro (file del windows dove risiedono
le informazioni software e hardware installate, aprendo il programma in dotazione
con windows chiamato REGEDIT che sta nella directory
di windows, per aprirlo andate su AVVIO o START
poi su ESEGUI e digitate REGEDIT)
alla chiave \HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES
o al posto di RUNSERVICES
nel RUN qualunque file
nella lista deve essere eliminato (tranne quelli propri del windows) poichè
è di natura sospetta. Per togliere Back Orifice bisogna eliminare il
collegamento al programma sospetto eliminando la chiave del regitro regedit
all'indirizzo sopra specificato (scriversi su un foglietto il nome del programma
che in genere è " .exe", riavviare il sistema, cercare il file
che in genere sta dentro c:\windows\system ed eliminarlo semplicemente
(l'ultimo descritto è il modo più efficace che esiste).
Altro metodo per vedere se si è controllati da un Back Orifice è
quello di accedere alla Task bar (premendo ctrl+alt+canc)
se avete nella lista dei programmi attivi ahqtb (nome difficile anche per alcuni
cracker cambiare) avete Back Orifice, il programma Netbus
e Netsphere invece è invisibile anche
dalla Task bar ma visibile in Regedit.
Per togliere Netbus versione inferiore a 1.6 o Netsphere bisogna vedere con
Regedit nell'indirizzo descritto sopra (\HKEY_LOCAL_MACHINE\......\RUN),
quale è il nome del file server che l'hacher vi ha installato, fatto
ciò eseguire nome_del_file_server /remove
dove nome_del_file_server è il nome del file
che avete individuato, a questo punto cancellate il programma server.
Per eliminare Netbus dalla versione 1.6 ad una superiore potete fare la stessa
cosa descritta sopra o scaricare il programma Netbus (se non lo trovate ve lo
fornisco io, ma dentro Astalavista lo trovate sicuramente vedi
altri siti ftp) ed eliminarlo direttamente con il programma client
tramite le opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento
al programma sospetto eliminando la chiave del regitro regedit all'indirizzo
sopra specificato, scriversi su un foglietto il nome del programma che in genere
è "patch.exe", riavviare il sistema, cercare il file che in
genere sta dentro c:\windows\system
ed eliminarlo semplicemente tramite elimina di gestione delle risorse (o file
manager), oppure ad esempio se è patch.exe fate: PATCH.EXE
/REMOVE (questo è il modo più efficace e sicuro che
esiste). Esiste anche un programma chiamato Netbast
che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite
netbus il programma manda in overlow il computer dell'hacker bloccandogli il
computer.
Altro modo per eliminare NetSphere è
collegandosi a se stessi cioè 127.0.0.1 con il client del programma poi
selezionare Target > Server > Remove Server.
Nel caso in cui sia un file server dotato di password allora vai su Start o
Avvio della barra delle applicazioni, poi vai su esegui e inserisci il nome
del file server con relativo percorso, cioè se il file è nssx.exe
allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe
/visible poi dal menù del file server clicca su REMOVE.
Per eliminare
Master's Paradise dovete vedere nel registro
di sistema con Regedit alla chiave riportata sopra (\HKEY_LOCAL_MACHINE\......\RUN)
in genere viene infettato SYSEDIT.EXE, è un programma fornito con Windows
per editare i file di sistema, se è infettato il vostro computer questo programma
non edita più i file, comunque potrebbe trovarsi anche sotto altri nomi di file,
eliminare il collegamento al programma dal registro e cancellare il programma
server come descritto per gli altri due Backdoor precedenti (Back Orifice e
Netbus).
Per eliminare SubSeven
dovete procurarvi il client (se non lo trovate ve lo fornisco io, ma dentro
Astalavista lo trovate sicuramente vedi altri
siti ftp) ed eliminarlo direttamente tramite le opzioni.
Ci sono altri metodi da usare per rimuovere SubSeven che variano in base alla
versione con cui siete stati contagiati. Per la versione 1.7
bisogna avviare il computer in modalità MS-DOS
andare nella directory c:\windows
ed eliminare il file kernel16.dl, fatto ciò
riavviate il sistema ed entrate nel registro di sistema tramite Regedit e alla
chiave del registro HKEY_LOCAL_MACHINE\SOFTWARE\.....\RunServices
eliminare la voce kernel16=kernel16.dl. Per la
versione 1.8 la cosa è un pò più
complicata perchè chi ha inviato il file può aver cambiato alcuni
parametri per rendere difficile la sua identificazione quindi bisogna analizzare
le chiavi del registro HKEY_LOCAL_MACHINE\SOFTWARE\.....\Run
e HKEY_LOCAL_MACHINE\SOFTWARE\.....\RunService, analizzare
anche i file win.ini e system.ini
cercando un file dal nome kerne132.dl, è
possibile che sia usata una variante di questo nome quindi controllare bene
ogni voce che sembra sospetta, una volta identificato si può passare
alla rimozione come nella versione precedente, naturalmente cambiando il nome
del file da eliminare. Per la versione 1.9 la rimozione
è uguale alla versione 1.7 solo che il file da eliminare èrundll16.exe
e bisogna ripulire tutte e due le chiavi del registro eliminando la voce registryscan=rundll16.exe.
La versione 2.0 ha lo stesso nome del file da eliminare
della versione 1.9, ma le informazioni per il caricamento del programma si trovano
nel file system.ini quindi bisogna aprirlo con il
notepad cercare la riga "Shell="
e cancellare "trojanname.exe" salvare il
file system.ini e riavviare il computer. Le versioni 2.1,2.2
sono più complicate da scoprire perchè fornite di una utility
di configurazione che consente, a chi ci ha infettato, di cambiare il nome del
file che ci ha inviato rendendo difficile individuarlo e rimuoverlo, inoltre
queste versioni installano anche un piccolo programma di avvio (chiamato WINDOS.EXE)
che viene registrato in modo che il trojan si carica in memoria ogni volta
viene esguito un file EXE. A questo punto è meglio affidarsi a un buon
antivirus o scaricare questo programma che ti aiuterà a rimuovereSubSeven scaricalo dal sito http://www.tlsecurity.net/subseven/misc.htm.
Altro programma per eliminare questo trojan è SubSeven
Cleaner che ripulisce la memoria, il registro e il disco fisso.
Per evitare di essere
spiati con Netbios invece dovete soltanto
disattivare l'opzione netbios da CLIENT per reti Microsoft
che sta dentro Rete del Pannello di
controllo e se possibile disattivare Condivisione
file e stampanti almeno quando ci si connette ad internet.
Per gli altri exploit
(netbios è un exploit) non c'è nessun modo per evitare di essere
penetrati, aggiornamenti molto frequenti dei software possono risolvere alcuni
bug, tenere meno applicazioni possibili attive che utilizzano internet può servire
a tenere le porte e i programmi dotati di bug utili agli exploit chiuse, al
massimo aprire un programma alla volta, ma la penetrazione al sistema è solo
questione di tempo, fare delle connessioni brevi e utilizzare firewall o proxy
server non è utile anzi esistono vari bug sfruttati dagli exploit che
usano proprio questi sistemi di sicurezza.
Per determinare
l'infezione da Remote Explorer si possono
fare due strade:
Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.
Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, protrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)
Se in uno di questi due casi risulta quanto
detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è
utile a ripristinare il sistema.
Se invece avete commesso
l'imprudenza di aprire il file HAPPY99.EXE
(virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99)
senza prima esaminarlo con un software antivirus aggiornato, niente panico:
esiste una procedura molto semplice per liberarsene.
Inoltre, ricordatevi di avvertire tutte le persone cui
avete mandato messaggi recentemente.
Ulteriori notizie le potete trovare sul sito Symantec
Ci sono vari programmi utili per l'eliminazione
di programmi che servono agli cracker per accedere al vostro computer, infatti
da internet non sono i virus i più pericolosi, ma sono i back orifice
(o le versione migliorate dei programmi come NETBUS o SUBSEVEN) i quali non
sono virus (quindi non rilevabili dagli antivirus) ma sono dei programmi che
consentono agli crackers di accedere alle vostre risorse (quindi i vostri hard
disk) ogni volta che vi collegate in internet. Quindi vi serve un software per
l'eliminazione dei virus e uno per l'eliminazione dei Back Door. Di antivirus
ne esistono una infinità, il migliore comunque dovrebbe essere il McAfee antivirus che potete scaricare da tutti gli FTP e PC-cillin (non sono gratuiti, ma sono shareware); un programma utile per
l'eleminazione di back orifice è
Back Orifice Eradicator (nome
file BOEradicate.exe, dimensione 0,2Mb, non necessita di installazione/disinstallazione
ed è FREEWARE, NON è utile per eliminare anche NETBUS e SUBSEVEN);
visitate il sito che lo ha creato per scaricare la versione
più aggiornata.
Usare il back orifice eradicator è facile:
avviare il programma e fare scansione della memoria.
nel campo file metti c:\windows\system\ .exe (ricordate lo spazio prima di .exe, si chiamano così in genere ma non sempre i back orifice), oppure altro nome di file sospetto.
se vi appare un messaggio del tipo "file scanned is the Back Orifice server please run autoremoval immediately" premete Autoremove e il cracker perderà ogni traccia di voi.
Download Back Orifice Eradicator
Se non lo trovate chiedetemelo a me (vedi pagina su come contattarmi) e ve lo fornirò gratuitamente via e-mail.
Esiste un altro programma gratuito (ma ce ne sono molti altri e sempre gratuiti) per rilevare Back Orifice Netbus ed altri trojan si chiama BOClean.
Altri programmi che rilevano Back orifice, Netbus e Master's Paradise sono Norton Antivirus 2002, McAfee ViruScan6, Panda Antivirus,Kasper Sky AntiVirus e Pc-Cillin (non gratuiti).
Difendersi dai rischi della posta elettronica:
Il consiglio mio è un doppio consiglio. Da un
lato la prudenza. Occorre sempre essere sicuri del file che si sta aprendo e
chi l'ha inviato. Inoltre un buon programma antivirus può essere d'aiuto.
Norton Antivirus
è uno dei prodotti migliori presenti oggi sul mercato. Questo software
mantiene uno stretto monitoraggio del tuo sistema. Ogni volta che apri un file,
sia esso eseguibile o semplicemente un documento a rischio (Word o Excel), Norton
Antivirus verifica che esso non contenga un codice dannoso. È importante
mantenere sempre aggiornato il proprio antivirus in modo che esso sia in grado
di sconfiggere anche i virus più nuovi ed elaborati. Altro buonissimo
antivirus per la posta elettronica e la protezione in internet è Viruscan
della Mc Afee,
con questo antivirus sarete fuori da molti, se non tutti, i pericoli di internet
(tranne che per i programmi per chattare come IRC, per questo c'è s7sniper
. Un sistema di potezione gratuito,
che controlla i messaggi di posta durante la loro ricezione è
VCatch3.7 è compatibile con i più famosi programmi di posta elettronica,
è in grado di controllare anche i file scaricati con i più famosi
browser e i file scambiati con programmi peer-to-pee .
Da scaricare assolutamente è f-prot.zip un ottimo antivirus,
gratuito ma solo per uso personale, che controlla l'intero sistema,Se
non lo trovate chiedetemelo a me (
vedi pagina su come contattarmi) e ve lo fornirò gratuitamente
via e-mail.
Per difendersi dai virus di rete ci vuole un antivirus
aggiornatissimo, Pc Clinic della Mc Afee
è in grado di rimuovere Virus Explorer direttamente in linea ma la registrazione
è valida solo per 30 giorni per ogni e-mail che registrate.
Vedi anche il sito di Speciale Virus Center
Elenco dei siti per gli antivirus:
AVP: | ftp://ftp.volftp.tin.it/pub2/avp/ |
Dr.Solomon's AVTK: | ftp://ftp.drsolomon.com/ |
F-Prot: | ftp://ftp.europe.datafellows.com/com/fprot/free/ |
ITAV: | ftp://ftp.systems.it/software/itav/ |
Norton Antivirus: | ftp://ftp.symantec.com/ |
Pc-Cillin: | ftp://ftp.trendmicro.com/ |
Scan McAfee: | ftp://ftp.mcafee.com/pub/antivirus/english/ |
Sweep: | ftp://ftp.sophos.com/ |
TBAV: | ftp://ftp.thunderbyte.com/pub/thunder/ |
Virit Lite: | ftp://idea.sec.dsi.unimi.it/pub/security/docs/tgsoft/ |
Virus Test Center presso l'Università di Amburgo - Computer Science Department | http://agn-www.informatik.uni-hamburg.de/vtc/eng.htm |
Vsum: | ftp://ftp.vsum.com/ |
Nonostante tutti e quattro questi metodi siano validi non si è mai fuori dal rischio di un attacco di crackers cattivi quindi state sempre allerta per qualunque problema che vi dà il computer, fate sempre copie dei vostri dati più importanti e non lasciateli in partizioni facilmente leggibili.Comunque la probabilità che un cracker venga a disturbarvi è bassa, quindi navigate in internet senza eccessive paure.
Vai alla pagina che tratta i rischi della posta elettronica
Torna alla pagina principale che tratta gli hackers
Vai alla pagina che spiega come chiudere alcune porte TCP UDP per Windows 2000 e XP
Aggiungi ai preferiti | | Imposta come Pagina Iniziale | | Stampa Pagina | |
Elenco collegamenti : |
||