The
Last Day in the Web
-----------------------------------------------------------------------------
Precauzioni per difendersi dagli hackers
Ci sono molti metodi per difendersi dagli hacker e sono raggruppabili in quattro categorie: metodi passivi, metodi attivi, metodi drastici (rozzi), programmi utili
Metodi passivi
I metodi passivi sono gratuiti infatti basta
configurare a dovere il browser. Se avete una rete le cose più importanti sono
tre, mettere i dati fondamentali su una partizione del disco non condivisa o
dentro dei floppy (magari floppy ottici o zipdisk), disattivare
"condivisione di file e stampanti" in proprietà della rete,
controllare tutte le informazioni che scambia la rete, non accedete a pagine
poco sicure (se lo fate salvate prima tutti i dati), installare solo i
programmi necessari per la connessione ad internet. Altra cosa da fare è
disabilitare l'esecuzione automatica degli script java, infatti anche se il
java per web non è stato dotato di mezzi per accedere alle vostre risorse ci
sono alcuni comandi che posso accede al disco e quindi anche danneggiarlo, per
fare questo da internet explorer basta mettere protezione personalizzata e
disattivare script, con netscape andare in preferences da edit, andare su
advanced e disabilitare enable java e disattivare cookies; in questo modo
sceglierete quale script eseguire e quale non eseguire. Potete fare delle
connessioni di breve durata, questo modo cambierete continuamente il vostro
indirizzo IP ad ogni connessione e vi nasconderete ogni volta momentaneamente
da un Hacker che vuole attaccarvi.
Come
evitare il nuking
Le soluzioni al problema del Nuking
sono diverse:
- si può aggiornare il TCP/IP utilizzando l'apposita patch ufficiale di Microsoft che può essere scaricata da Internet all'indirizzo: http://support.microsoft.com/download/support/mslfiles/Vtcpupd.exe. Scarica l'aggiornamento, fai doppio click sopra il file, e automaticamente avverrà l'aggiornamento del TCP/IP che ti protegge dal Nuking. (il Windows 98 è già aggiornato)
- Si può utilizzare uno dei molti programmi di monitoraggio delle porte di connessione del vostro Pc. Uno dei più famosi è NukeNabber 2.0, una piccola utility che ascolta le comunicazioni attraverso le principali porte di connessione (compresa la 139) ed intercetta potenziali pericoli come il Nuking. Questo non solo ti permetterà di evitare il nuking, ma di sapere che ti stanno attaccando. Attenzione però: programmi come questo non funzionano dopo l'aggiornamento della porta 139 con la patch ufficiale di Microsoft.
Metodi attivi
Il migliore è quello di utilizzare la connessione
via internet attraverso un proxy server e/o un firewall, questi due sono
applicativi particolari che servono a nascondere i vostri indirizzi, infatti
navigando con un proxy server non è il vostro computer che accede alle pagine
ma un altro computer per voi quindi se va in overflow (errore che blocca il computer
irreversibilmente) non si blocca il vostro computer ma il proxy server,
praticamente vi siete creati un muro di protezione, i proxy server sono sia
hardware che software (alcuni provider lo forniscono gratuitamente come TIN); il firewall è un dospositivo hardware e grazie a
questo si può filtrare il traffico da e verso internet. Per il proxy server vi
consiglio ISB100 The intenet sharing box è di tipo hardware ed è molto
efficente, mentre per il firewall consiglio Conseal sopratutto per chi
usa IRC e non vuole essere attaccato da nuke, smufe, Denial of service.
Esiste un sito dove è possibile
scaricare un programma di
firewall senza pagarlo andando in programmi per hackers e selezionando
protezione.
Metodi drastici (o rozzi)
I metodi migliori sono quelli fatti in casa, prima di tutto bisogna disattivare tutti quei programmi per internet che non utilizzate perchè anche se non attivi sono in listening (attesa di chiamata) quindi hanno porte aperte le quali possono in ogni momento essre catturate da qualche attacco da hacker, non basta, si possono disattivare o mettere delle restrizioni ai pacchetti di entrata e uscita dei dati (i pacchetti sono dati e son getiti da protocolli per il quale il browser si collega ad internet, sono come delle regole che deve seguire), bisogna però conoscere dettagliatamente i vari protocolli. Ecco l'elenco dei protocolli per la trasmissione dei dati via internet:
UDP (user datagram protocol): serve per
stabilire una connessione ma non controlla se il dato arriva a destinazione,
quindi è un protocollo inaffidabile e può essere attaccato da hacker di tipo
flood.
ICMP (internet control message protocol): è un
protoccollo necessario in quanto standard per instradare i pacchetti verso il
router controllandolo che non sia carico di lavoro quindi se è bloccato il
router.
TCP (trasmission control protocol): serve per
la trasmissione dei dati e si accerta che i dati sono arrivati a destinazione
ed in caso contrario (per esempio se cade la linea o un router va in
sovraccarico di lavoro) li ritrasmette. E' in questo protocollo che ci sono le
porte per i vari servizzi (una volta attivata una porta viene utilizzata sempre
quella quindi disattivare le altre porte non comporta errori):
1. PORTA 8080: è una porta necessaria per il collegamento ai siti internet, con questa il vostro computer contatta un server che contiene la pagina web attende la risposta del server e una volta che la richiesta è stata rilevata il server dialoga con il client (il vostro computer o il proxy server che utilizzate) per lo scambio di dati.
2. PORTA 23 - telnet: serve per fare connessioni remote, cioè operare su un computer in rete diverso dal vostro con la vostra tastiera e mouse, trasmette le password in chiaro e quindi sarebbe meglio disattivarlo se non strettamente necesario.
3. PORTA 513 e 514 - rsh e rcdm: servono per l'esecuzione di comandi per le connessioni remote tra due computer collegati in rete quindi meglio disattivare anche questo servizio.
4. PORTA 119 - nntp: serve per la trasmissione dei messaggi di news, se non lo disabilitate almeno filtrate i dati con un firewall.
5. PORTA 110 - pop3: serve per scaricare la posta eper l'invio di e-mail (trasmette password in chiaro).
6. PORTA 80 - http: è propia degli indirizzi interneted è molto esposta per il largo utilizzo di chi naviga in internet (praticamente ogni volta che vi collegate ad un sito utilizzate questa porta) quindi si consiglia la protezione con un firewall o di un proxy server.
7. PORTA 520 - rip: è il protocollo di routing che utilizza il server o router per collegarsi alla vostra rete dei computer e quindi mettere a disposizione di chiunque le vostre risorse, quindi è meglio impedire l'uscita di questi pacchetti con un firewall.
8. PORTA 53 - dns: trasforma gli indirizzi in formato alfanumerico in indirizzi ip (esempio http://qualche indirizzo.prova diventa 555.44.333.22.1) siccome utilizza protocolli UDP è meglio farlo passare attraverso un firewall.
9. PORTA 67 e 68 - bootp e tftp: servono sopratutto per riavviare i computer senza hardisk che utilizzano esclusivamente la rete, meglio eliminarlo se non avete un computer del genere.
10. PORTA 79 - finger: serve per recuperare da un server informazioni sugli utenti registrati in un server collegato ad una rete, quindi è meglio impedire l'uscita di questi dati dalla lan con un firewall.
Utilizzate il Notepad (blocco note fornito con il windows) ed aprite SERVICE nella directory c:\windows per windows95/98 c:\sistem32\drivers\... per windowsNT, fatto ciò aggiungete DISCARD per chiudere le porte che volete disattivare.
Le porte utilizzate dai principali backdoor sono:
|
Port |
Description |
|
TCP 21 |
FTP - File Transfer
Protocol |
|
TCP 23 |
Telnet |
|
TCP 25 |
SMTP - Simple Mail
Transfer Protocol |
|
TCP 80 |
HTTP - Hypertext
Transfer Protocol |
|
TCP 110 |
POP3 - Post Office
Protocol v3 |
|
TCP 139 |
NetBIOS |
|
TCP 30100 |
NetSphere - TCP
Communication |
|
TCP 30101 |
NetSphere - File
Transfers |
|
TCP 30102 |
NetSphere - Streaming
Transfers |
|
TCP 12345 |
NetBus - TCP Communication |
|
TCP 12346 |
NetBus - File
Transfers |
|
UDP 31337 |
Back Orifice - UDP
Communication |
|
TCP 6670 |
Deep Throat - Does
nothing. For scanners to detect. |
|
UDP 3150 |
Deep Throat - UDP
Communication |
|
UDP 2140 |
Deep Throat - UDP
Communication |
|
TCP 20034 |
NetBus Pro - TCP Communication |
Quando vi viene richiesto di inserire la password al riavvio di windows NON INSERITELA SUBITO ma premete ALT+TAB, in questo modo aprirete il Task manager del windows, controllate quali programmi sono in esecuzione, se ci sono dei programmi tipo PASSWORD THIEF, ACTMON, KEYLOGGER, o programmi che non dovrebbero essere attivi, scrivete una password qualunque oppure terminateli con TERMINA APPLICAZIONE selezionando prima il programma da terminare.
Nel caso volete controllare se siete attaccati da un
hacker attraverso un Back Orifice dovete semplicemente controllare nel
registro (file del windows dove risiedono le informazioni software e hardware
installate, aprendo il programma in dotazione con windows 95/98 chiamato REGEDIT
che sta nella directory di windows, per aprirlo andate su AVVIO o START
poi su ESEGUI e digitate REGEDIT) alla chiave \HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICES
o al posto di RUNSERVICES nel RUN qualunque file nella lista
deve essere eliminato (tranne quelli propri del windows) poichè è di natura
sospetta. Per togliere Back Orifice bisogna eliminare il collegamento al
programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra
specificato (scriversi su un foglietto il nome del programma che in genere è
" .exe", riavviare il sistema, cercare il file che in genere sta
dentro c:\windows\system ed eliminarlo
semplicemente (l'ultimo descritto è il modo più efficace che esiste).
Altro metodo per vedere se si è
controllati da un Back Orifice è quello di accedere alla Task bar (premendo ctrl+alt+canc)
se avete nella lista dei programmi attivi ahqtb (nome difficile anche per
alcuni hacker cambiare) avete Back Orifice, il programma Netbus e Netsphere
invece è invisibile anche dalla Task bar ma visibile in Regedit.
Per togliere Netbus versione
inferiore a 1.6 o Netsphere bisogna vedere con Regedit nell'indirizzo descritto
sopra (\HKEY_LOCAL_MACHINE\......\RUN), quale è il nome del file server
che l'hacher vi ha installato, fatto ciò eseguire nome_del_file_server
/remove dove nome_del_file_server è il nome del file che avete
individuato, a questo punto cancellate il programma server. Per eliminare
Netbus per versioni da 1.6 a superiore potete fare la stessa cosa descritta
sopra o scaricare il programma Netbus (se non lo trovate ve lo fornisco io, ma
dentro Astalavista lo trovate
sicuramente) ed eliminarlo direttamente con il programma client tramite le
opzioni. Altro modo per togliere netbus bisogna eliminare il collegamento al
programma sospetto eliminando la chiave del regitro regedit all'indirizzo sopra
specificato, scriversi su un foglietto il nome del programma che in genere è
"patch.exe", riavviare il sistema, cercare il file che in genere sta
dentro c:\windows\system ed eliminarlo
semplicemente tramite elimina di gestione delle risorse (o file manager),
oppure ad esempio se è patch.exe fate: PATCH.EXE /REMOVE (questo è il
modo più efficace e sicuro che esiste). Esiste anche un programma chiamato Netbast
che nel caso in cui qualcuno prova ad intromettersi nel vostro sistema tramite
netbus il programma manda in overlow il computer dell'hacker bloccandogli il
computer.Altro modo per eliminare NetSphere è collegandosi a se stessi
cioè 127.0.0.1 con il client del programma poi selezionare Target >
Server > Remove Server. Nel caso in cui sia un file server dotato di
password allora vai su Start o Avvio della barra delle applicazioni, poi vai su
esegui e insersci il nome del file server con relativo percorso, cioè se il
file è nssx.exe allora bisogna inserire dentro esegui la riga di comando c:\windows\system\nssx.exe
/visible poi dal menù del file server clicca su REMOVE. Per eliminare Master's
Paradise dovete vedere nel registro di sistema con Regedit alla chiave
riportata sopra (\HKEY_LOCAL_MACHINE\......\RUN) in genere viene
infettato SYSEDIT.EXE, è un programma fornito con Windows per editare i file di
sistema, se è infettato il vostro computer questo programma non edita più i
file, comunque potrebbe trovarsi anche sotto altri nomi di file, eliminare il
collegamento al programma dal registro e cancellare il programma server come
descritto per gli altri due Backdoor precedenti (Back Orifice e Netbus).
Per evitare di essere spiati con Netbios
invece dovete soltanto disattivare l'opzione netbios da CLIENT per reti
Microsoft che sta dentro Rete del Pannello di controllo e se
possibile disattivare Condivisione file e stampanti almeno quando ci si
connette ad internet.
Per gli altri exploit
(netbios è un exploit) non c'è nessun modo per evitare di essere penetrati,
aggiornamenti molto frequenti dei software possono risolvere alcuni bug, tenere
meno applicazioni possibili attive che utilizzano internet può servire a tenere
le porte e i programmi dotati di bug utili agli exploit chiuse, al massimo
aprire un programma alla volta, ma la penetrazione al sistema è solo questione
di tempo, fare delle connessioni brevi e utilizzare firewall o proxy server non
è utile anzi esistono vari bug sfruttati dagli exploit che usano proprio questi
sistemi di sicurezza.
Per determinare l'infezione da Remote
Explorer si posso fare due strade:
1. Eseguire l'applicazione Servizi che si trova in Pannello di Controllo, controllare se nella lista dei servizi c'è Remote Explorer.
2. Lanciare con Start Menu il programma TASKMGR.EXE e vedere se c'è IE403R.SYS o TASKMGR.SYS (non file exe, protrebbe però essere anche sotto altro nome a seconda della versione del virus di rete)
Se in uno di questi due casi risulta quanto detto siete infettati, Eliminare il file IE403R.SYS o TASKMGR.SYS non è utile a ripristinare il sistema. Se invece avete commesso l'imprudenza di aprire il file HAPPY99.EXE (virus di rete che si diffonde attraverso la posta elettronica chiamato HAPPY99) senza prima esaminarlo con un software antivirus aggiornato, niente panico: esiste una procedura molto semplice per liberarsene.
- Uscite da Windows ed entrate in Ms-Dos (o aprite una sessione Dos)
- Andate
nella directory System di Windows
- Eliminate
i file: ska.exe - ska.dll - wsock32.dll
- Rinominate il file wsock32.ska in wsock32.dll
Inoltre, ricordatevi di avvertire tutte le persone cui avete mandato messaggi recentemente. Ulteriori notizie le potete trovare sul sito Symantec
Programmi utili
Ci sono vari programmi utili per l'eleminazione di
programmi che servono agli hackers per accedere al vostro computer, infatti da
internet non sono i virus i più pericolosi, ma sono i back orifice (o la
versione migliorata del programma chiamata NETBUS)i quali non sono virus
(quindi non rilevabili dai antivirus) ma sono dei programmi che consentono agli
hackers ad accedere alle vostre risorse (quindi hardisk) ogni volta che vi
collegate in internet. Quindi vi serve un software per l'eleminazione dei virus
e uno per l'eleminazione dei back orifice. Di antivirus ne esistono una
infinità, il migliore comunque dovrebbe essere il McAfee Antivirus e PC-cillin98 (non sono
gratuiti, ma sono shareware), di programmi per l'eleminazione dei back orifice
non sono molti ma uno di questi è Back Orifice Eradicator (nome file BOEradicate.exe,
dimensione 0,2Mb, non necessita di installazione/disinstallazione ed è
FREEWARE, NON è utile per eliminare anche NETBUS); visitate il sito che lo ha
creato per scaricare la versione più aggiornata.
Usare il back orifice eradicator è
facile:
1. avviare il programma e fare scansione della memoria.
2. nel campo file metti c:\windows\system\ .exe (ricordate lo spazio prima di .exe, si chiamano così in genere ma non sempre i back orifice), oppure altro nome di file sospetto.
3. se vi appare un messaggio del tipo "file scanned is the Back Orifice server please run autoremeval immediately" premete Autoremove e l'hacker perderà ogni traccia di voi.
Download Back Orifice Eradicator
Se non lo trovate chiedetemelo a me ( o vai sul mio sito) e ve lo fornirò gratuitamente via e-mail.
Esiste un altro programma gratuito per rilevare Back Orifice e Master's Paradise si chiama BOClean.
Altri programmi che rilevano Back orifice, Netbus e Master's Paradise sono Norton Antiviru 5 e McAfee 4 e Pc-Cillin 98 (non gratuiti).
Difendersi
dai rischi della posta elettronica:
Il consiglio mio è un doppio consiglio. Da un lato la prudenza. Occorre sempre essere sicuri di che file si sta aprendo e chi l'ha inviato. Inoltre un buon programma antivirus può essere d'aiuto. Norton Antivirus (solo dalla versione 5) è uno dei prodotti migliori presenti oggi sul mercato. Questo software mantiene uno stretto monitoraggio del tuo sistema. Ogni volta che apri un file, sia esso eseguibile o semplicemente un documento a rischio (Word o Excel), Norton Antivirus verifica che esso non contenga un codice dannoso. E' importante mantenere sempre aggiornato il proprio antivirus in modo che esso sia in grado di sconfiggere anche i virus più nuovi ed elaborati. Altro buonissimo antivirus per la posta elettronica e la protezione in internet è Viruscan (dalla versione 4.02) della Mc Afee, con questo antivirus sarete fuori da molti, se non tutti, i pericoli di internet (tranne che per i programmi per chattare come IRC). Per difendersi da virus di rete ci vuole un antivirus aggiornatissimo, Pc clinic della Mc Afee è in grado di rimuovere Virus Explorer direttamente in linea ma la registrazione è valida solo per 30 giorni per ogni e-mail che registrate.
Vedi anche il sito di How nello speciale virus
Elenco dei siti per gli antivirus:
|
AVP: |
|
|
Dr.Solomon's AVTK: |
|
|
F-Prot: |
|
|
ITAV: |
|
|
Norton Antivirus: |
|
|
Pc-Cillin: |
|
|
Scan McAfee: |
|
|
Sweep: |
|
|
TBAV: |
|
|
Virit Lite: |
|
|
Virus Test Center presso l'Università di Amburgo - Computer Science Department |
|
|
Vsum: |
Nonostante tutti e quattro questi metodi siano validi non si è mai fuori dal rischio di un attacco di hackers cattivi quindi state sempre allerta per qualunque problema che vi dà il computer, fate sempre copie dei vostri dati più importanti e non lasciateli in partizioni facilmente leggibili.Comunque la probabilità che un hacker cattivo venga a disturbarvi è bassa, quindi navigate in internet senza eccessive paure.