Cerca nel blog

2009/10/23

ROBAM da matti

Proteggersi dai malviventi? Meglio usare una penna o un CD


Ha suscitato un certo clamore la proposta drastica di Brian Krebs, uno degli specialisti in sicurezza informatica del Washington Post. Di fronte alle numerose truffe ai danni di chi usa Internet per gestire il proprio conto bancario o postale, ha suggerito un rimedio drastico: "Non usate Windows quando accedete al vostro conto bancario via Internet".

La sua considerazione è molto semplice: il comune denominatore dei vari tipi di attacco informatico che ha visto subire da aziende e privati è l'uso di Windows. Per due ragioni fondamentali e interconnesse: Windows è il sistema operativo più diffuso, e quindi il più appetibile per i criminali che sparano nel mucchio sperando di colpire qualcuno a caso, e praticamente tutti i malware, ossia i programmi ostili che scavalcano le protezioni e infettano il computer, sono progettati per attaccare Windows.

Molti di questi malware sono così sofisticati da aggirare le normali misure di sicurezza, come gli antivirus e l'uso di token (generatori tascabili di password temporanee) o il controllo dell'indirizzo IP dal quale proviene la richiesta di transazione bancaria, usando un semplice espediente: il malware si insedia sul computer dell'utente e ne intercetta il traffico in tempo reale.

In questo modo l'utente non si accorge di nulla (almeno fino a quando non si accorge dei soldi che spariscono dal suo conto corrente). Quando si collega al proprio istituto finanziario e digita i codici di accesso, compreso quello temporaneo del token, tutti i dati vengono intercettati dal malware e ritrasmessi istantaneamente al malvivente che l'ha iniettato nel computer.

L'utente legittimo vede una schermata in cui lo si informa che è stato rifiutato l'accesso e quindi ritenta. Ma intanto il malfattore, utilizzando la connessione del PC infetto (quindi con un indirizzo IP approvato), sta operando sul conto corrente tramite i codici intercettati. Nel suo articolo, Krebs fa nomi e cognomi di aziende derubate di centinaia di migliaia di dollari con questa tecnica. Di solito il criminale informatico preleva pochi soldi tante volte, in modo da passare inosservato, ma nei casi più sofisticati all'utente viene mostrata una schermata bancaria fasulla che gli presenta un saldo fittizio del suo conto, che in realtà è stato prosciugato.

Un computer che usa un sistema operativo diverso da Windows (Mac o Linux) sarebbe immune da questi malware più diffusi e quindi ridurrebbe questo genere di rischio, ma non lo eliminerebbe. Occorrerebbe un sistema operativo non infettabile: uno che sia fisicamente protetto contro le alterazioni. In questo senso, lo stimato SANS Technology Institute ha recentemente pubblicato una ricerca intitolata Protecting Your Business from Online Banking Fraud (PDF qui), il cui consiglio numero uno è appunto di adottare un ROBAM (read-only bootable alternative media) come ambiente isolato per le transazioni finanziarie.

Un ROBAM è un sistema operativo separato e autonomo, memorizzato su una penna USB protetta contro la scrittura o su un CD. Quando si vuole effettuare una transazione finanziaria online, il computer viene avviato da questo supporto. In questo modo si è sicuri che il computer parta "pulito" ogni volta. Nessun virus o altro malware presente nel computer (a parte un keylogger fisico) potrebbe agire.

L'idea è semplice e non costosa: ci sono decine di "Live CD" del sistema operativo Linux (ne trovate un elenco qui), che è legalmente scaricabile e gratuito. Basta masterizzarlo o trasferirlo su una penna USB e riavviare il computer da lì. L'avvio è a volte più lento di quello normale, e bisogna abituarsi un momento all'ambiente nuovo, ma è il prezzo che si paga per una maggiore sicurezza.

Il vero problema è che molte banche non hanno ancora colto questi suggerimenti tecnici e quindi hanno siti che accettano soltanto utenti di Internet Explorer, obbligando quindi i correntisti a usare Windows. Ma tentar non nuoce, e potreste trovarvi con una sorpresa piacevole, visto che la resistenza ai browser alternativi a Internet Explorer ormai sta scemando.

54 commenti:

Luigi Rosa ha detto...

Non per fare battutre di demagogia spicciola da quotidiano italiano, ma negli ultimi 2 anni la parte meno affidabile della catena è stata la gestione finanziaria delle banche stesse, non il phishing. :)

mattia ha detto...

La mia banca usa una password mandata tramite il cellulare via sms per ogni transazione.
Dici sia più sicura?

AleRitty ha detto...

Sulla lentezza si può rimediare... Se le banche invece del token distribuissero chiavette usb con una versione apposita di linux quindi con solo un browser leggero e senza il resto dei pezzi di OS che ci sono solitamente nei livecd non ci sarebbe nemmeno questo problema!
Però ancora molti pc non fanno boot dalle porte usb...

Parme ha detto...

Ancora meglio si potrebbe usare un sistema tipo vmware così da non dovere neppure riavviare il pc

S* ha detto...

Senza andare a cercare cose fatte ad hoc, basta usare un iPhone, sul quale non è possibile installare eseguibili (neppure plug in Flash, per esempio).

dani1967 ha detto...

Io uso abitualmente wmvare per queste cose. Però occhio a usare immagini precostituite !! Se si vuole essere davvero sicuri l'immagine bisogna farsela per conto proprio ...

Marco ha detto...

Oltre ad utilizzare un "live CD" Linux è anche possibile utilizzare un "live CD" con una versione avviabile di Windows XP, in modo da eliminare le incompatibilità dei browser.

Le procedure per costruire questo cd si possono trovare su http://www.nu2.nu/pebuilder/ (Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD) oppure http://www.ubcd4win.com/ (Ultimate Boot CD for Windows)

Si può utilizzare anche una chiavetta USB, con l'accortezza di renderla fisicamente "read-only" altrimenti potrebbe essere infettata "facilmente" ;)

M. ha detto...

@mattia

Se poi questa pass la devi inserire nel browser siamo punto e a capo.. :P

Gik ha detto...

Comunque non è del tutto vero che IE si può usare solo con Windows.

Per ubuntu c'è un layer liberamente installabile come applicazione che si chiama Wine e che fa girare le applicazioni come se fossero su Win.

Io, per provarlo, ho installato IE7 e funziona alla grande, quindi linux rulez! :D

Robert ha detto...

Il sito della mia banca non fa discriminazione di browser.. però tra le note sulla sicurezza mi suggerivano di installare un antivirus tipo norton.
(su linux? :D )

Explobot ha detto...

X Parme
Usare VMWare (e simili) non è garanzia di sicurezza, il malaware sulla macchina host potrebbe essere stato fatto per modificare VMware stesso (per esempio installando un keylogger), possibilità remota, ma possibile.

Claudio ha detto...

premessa

ci sono parecchi sistemi che permettono di arginare, se non risolvere, il problema lato banca. l'invio di password o di un codice su un mezzo diverso da quello che si sta impiegando per accedere al sito, ad esempio, è un buon metodo per irrobustire di molto il processo (l'invio di un sms come nel caso della banca di Mattia - e della mia - è un'implementazione di quanto detto).

fatto questo basta:
- un controllo incrociato sull'ip e sulla coerenza delle operazioni che vengono fatte
- l'invio tramite un media diverso (sempre sms) di una notifica ad ogni operazione effettuata
per far svanire pressochè completamente il rischio. se difatti vedi che lo stesso utente si sta loggando da due ip diversi ovviamente assumi che ci sia una compromissione e blocchi l'utente. allo stesso modo se dallo stesso ip arrivano contestualmente richieste diverse (mentre spulcio il mio estratto conto non posso ovviamente fare un bonifico). ma al di là di questo se nel momento in cui c'è un accesso o viene effettuata un'operazione mi arriva anche un sms beh... c'è poco da fare per chi vuole fare la truffa tecnologica (ricordo che il bonifico non è istantaneo).

quindi le due condizioni perchè una truffa di questo tipo vada a buon fine sono:
- devo deliberatamente ignorare gli avvertimenti di esposizione ai rischi che windows DA' IN LUNGO E IN LARGO quando aggiornamenti, firewall o antivirus hanno un problema
- devo avere una banca che ha un sito di banking online veramente fatto col culo e devo insistere comunque ad usarlo

c'è anche un'altra condizione che si può accomunare alla prima, ovvero ignorare gli avvertimenti di windows quando si va ad installare un software non firmato digitalmente nonchè gli avvertimenti dello UAC (e qui posso capire che l'utente medio prema tasti a caso senza leggere per poi però come al solito lamentarsi)

fine premessa


io vorrei però capire la reale dimensione del problema. anzitutto vedo molta confusione, in quanto un conto sono i malware "classici", un conto sono gli interventi che richiedono che ci sia un operatore. in altri termini, un conto sono i virus che si diffondono autonomamente, un conto è se invece per farsi il bonifico sul mio conto il tipo deve collegarsi al mio computer e agire da questo.

dato che non penso che ci siano milioni di persone che fanno questo di mestiere, mi posso aspettare che le risorse della "mala" siano tutto sommato limitate; conseguentemente mi viene da pensare che i danni che possono portare siano altrettanto contenuti (non a caso si parla di centinaia di migliaia di dollari di truffe quando su una base installata di un miliardo di PC fanno ridere - potrebbero essere semplicemente 10 persone truffate di 10 mila dollari).

ma al di là di questo, siamo sicuri che davvero un altro sistema operativo sia più sicuro? dato che ci dev'essere una persona che sostanzialmente lavora per truffarti, questa può anche prendere di mira vittime specifiche, sulla base della dimensione stimata della loro tasca. mi metto nei panni dell'hacker. voglio passare un trojan a tizio e a caio. il primo usa windows e il secondo os x. io so che con l'ingegneria sociale posso fregare entrambi, MA che nel primo caso rischio che la scansione euristica dell'antivirus intercetti il mio trojan (anche perchè non è scritto ex-novo per l'occasione, ma è fatto partendo da qualche trojan famoso). nel secondo caso invece l'ingegneria sociale è sufficiente, anzi, il falso senso di sicurezza che ha l'utente mac mi spiana la strada.

quindi, dove andrà a finire il mio attacco?

Claudio ha detto...

[cavolo, ultimamente son sempre prolisso]

ora, con questo non voglio dire che os x sia più insicuro di windows, beninteso; voglio dire che un utente che dà retta a quelle tre cose di cui ti avverte windows difficilmente avrà mai problemi di questo tipo in vita sua. allo stesso modo, difficilmente un utente os x incontrerà qualcuno che si prende la briga di mandargli un'email fuffa per fargli installare un trojan.

in ogni caso ci sono diversi pc che nel bios hanno una distro linux estremamente leggera, che può essere avviata alternativamente al sistema operativo principale: questa può essere un'altra soluzione ancora. anche se personalmente sono per le cose pratiche, per cui quando mi arriva un pc con windows ci installo avira e lì finiscono tutte le preoccupazioni e le operazioni di manutenzione che mai farò al computer stesso.

gg ha detto...

E usare vmware con un SO blindato sarebbe sufficiente?In questo modo si userebbe un win sicuro, lento a causa di antivirus,anti keylogger,anti tutto, ma sicuro.

Axel DominatoR ^^^ HC ha detto...

Chi ha cattive intenzioni e' sempre un passo avanti, purtroppo. Se molti utenti iniziano ad usare sistemi operativi differenti per le loro operazioni bancarie, si potrebbe semplicemente pensare di creare un virus che risieda nel BIOS. Non ci sarebbe virtual machine o sistema che tenga e l'unica soluzione per eliminarlo sarebbe ri-flashare il BIOS stesso.
Cliccate QUI per un articolo.

Chaos ha detto...
Questo commento è stato eliminato dall'autore.
Chaos ha detto...

Il vero problema si trova sempre tra la sedia e il monitor

markogts ha detto...

Paolo ha detto:
i malware, ossia i programmi ostili che scavalcano le protezioni e infettano il computer

Claudio ha detto:
quando mi arriva un pc con windows ci installo avira e lì finiscono tutte le preoccupazioni

Se magari mi chiarite un po' la faccenda... Un antivirus basta o non basta?

Axel DominatoR ^^^ HC ha detto...

Gli antivirus migliori, aggiornati e con tutte le accortezze del caso non riescono comunque ad intercettare tutti i virus. Con windows ed un buon antivirus aggiornato sei sicuro piu' o meno all'80%, non di piu'.

Lejak ha detto...

Peccato però che i siti delle banche siano fatti uno schifo e se si accede con Firefox (O altri browser che non siano IE) ti danno sempre dei problemi.

Turz ha detto...

mattia:
La mia banca usa una password mandata tramite il cellulare via sms per ogni transazione.
Dici sia più sicura?


M.:
Se poi questa pass la devi inserire nel browser siamo punto e a capo.. :P

Se la password è un TAN "usa e getta", cioè se per ogni operazione te ne mandano una nuova, è più sicura perché non può essere riutilizzata.
È l'equivalente del foglio di 100 numeri TAN che ti mandano a casa, o del token che cambia ogni minuto.

Turz ha detto...

L'antivirus non basta. È solo un punto del Dodecalogo e non il più importante.

luca ha detto...

Tanto per non fare nomi, al conto business (quello per le aziende) di POSTE ITALIANE si può accedere solo con IE.

Pax ha detto...

La mia banca e' differente: ti manda il canguro a casa per avviare la transazione... Vuoi mettere la sicurezza del marsupio?

Pax ha detto...

A parte scherzi, per proteggersi bisogna conoscere come agisce il nemico! Consiglio, scaricati l'acchiappavirus da questo sito, e' fatto bene ed utile.

markogts ha detto...

@ Turz: ok, rinnovo la domanda: finora, seguendo il dodecalogo, ero tranquillo. Ma siccome nel dodecalogo non si parla di ROBAM, mi chiedo: è cambiato qualcosa? Sbaglio a fare home banking?

@ Claudio: l'articolo linkato da Paolo parla di centinaia di migliaia di dollari alla singola impresa.

@ tutti: ma se uso un read only rebootable media, come faccio con gli aggiornamenti? Non rischio di chiudere una porta per aprirne un'altra? O devo ogni volta fare un disco di boot nuovo comprensivo degli ultimi aggiornamenti? Oltre un certo livello di complicazione, faccio prima ad andare in banca :-P

angros ha detto...

http://www.damnsmalllinux.org/

In meno di 50 mega di download, una versione di linux completa di browser Firefox, e c' anche la macchina virtuale per eseguirla in Windows (funziona anche in windows molto vecchi, la uso pure in Windows ME). Basta scaricare e decomprimere lo zip, cliccando sul file .bat parte e funziona.

C' è anche una ISO (da 50 Mb) per chi preferisce masterizzarsi un live CD e fare il boot.

Chaos ha detto...

Beh, forse meglio di Damn Small Linux che sicuramente è leggero ma forse davvero un po' basico, allora proporrei:
PUPPY Linux, 90MB che potrete scaricare da http://www.puppylinux.com/.
Se poi lo volete mettere su una chiavetta USB allora potete usare UNETBOOTIN anche lui scaricabile da http://unetbootin.sourceforge.net/.

Unetbootin vi permetterà di provare a mettere su chiavetta anche distribuzioni più complete come UBUNTU o MANDRIVA

Walter ha detto...

Bhe, non per fare il guastafeste ... ma il CRACK di WINDOWS VISTA (quello che modifica i dati del certificato presenti nella EPROM del BIOS) insegna che ormai è possibile (teoricamente) realizzare VIRUS/TROJAN che si installino sulla EPROM del BIOS.

Allora addio ROBAM ...

Ciao

WaltZie

Claudio ha detto...

il dodecalogo di Paolo ha un piccolo limite: non è attuale. andava bene per quando è stato scritto. ad esempio il punto relativo alla posta in HTML ha del tenero da tanto è datato.

attualmente un windows xp sp3 o un windows vista:
1) il firewall l'ha attivo di default, ammesso che serva (serve se hai un modem; se hai un router - e non hai attivato un forward brutale di tutto quello che arriva - fa lui la prima linea)
2) gli aggiornamenti sono attivi di default

l'unica cosa che serve è UN BUON ANTIVIRUS. le statistiche alla buona di Axel lasciano il tempo che trovano: le statistiche vere, quelle che arrivano da test e analisi, dicono tutt'altro. ad es. su www.av-comparatives.org leggo che Avira rileva il 99.4% del malware, questo NON vuol dire che nel caso in cui ci si dovesse imbattere nel restante 0.6% (*) allora automaticamente si viene infettati in qualche modo trasparente all'utente come avveniva un tempo: serve che si verifichino una serie di concause.

CON UN WINDOWS AGGIORNATO difatti la "superficie esposta" a infezioni virali è veramente misera; un virus per entrare senza l'intervento dell'utente deve sfruttare per lo meno una falla GRAVE E NON TAPPATA del browser e quindi sfruttarne una ancor più grave e anche questa non tappata per poter installarsi senza richiedere l'intervento dell'utente. insomma, è poco verosimile. non è che non capita, per carità, così come capita che un meteorite finisca sulla tua casa: difficilmente lo vedrai in tutta la tua vita.

ribadisco che questo discorso vale per xp con l'ultimo service pack, vista e adesso windows 7, se si va indietro nel tempo ovviamente l'attenzione alla sicurezza era divera e i problemi pertanto maggiori.

parlavo delle concause che portano il malware ad entrare. sostanzialmente sono:
1) L'UTENTE CHE CLICCA A VACCA, certo, magari convinto da messaggi appositamente preparati per apparire autorevoli e convincenti
2) IL MALWARE CHE RICADE IN QUEL FATIDICO 0.4%

non so voi ma di persone che usano il computer ne conosco tante. di persone che hanno lo scudo di windows verde (firewall attivo, antivirus ok, aggiornamenti a posto) e hanno avuto problemi di malware pur avendo cliccato a vacca in giro NON NE CONOSCO NESSUNA. quelli che hanno problemi, 100 su 100, hanno "tralasciato" i messaggi di avvertimento che windows ha dato loro in tutte le salse.

in ogni caso, per la massima sicurezza basta stare attenti a dove si clicca.

facciamo un esempio. stai navigando e ti appare un messaggio di avvertimento in cui ti viene detto che il tuo computer è infetto. la domanda da porsi è: E' IL MIO ANTIVIRUS CHE ME LO DICE? ad esempio io ho installato Avira. è Avira che mi sta avvertendo o è una finestra a caso? toh, non è Avira. SE NON E' IL MIO ANTIVIRUS CHE MI DICE CHE HO UN VIRUS QUINDI ME LO STA DICENDO QUALCUN ALTRO, che non può saperlo perchè NON E' UN ANTIVIRUS e quindi deve morire. chiudo la finestra.

allo stesso modo se mi compare la richiesta di continuare ad eseguire un programma, SE QUEL PROGRAMMA NON L'HO LANCIATO IO E NON SO DI COSA SI TRATTA SEMPLICEMENTE GLI DICO DI NO.

e poi ripeto, anche se ci si sbaglia e si clicca di si, se l'antivirus è a posto è comunque molto difficile venir infettati.

(*): in quello 0.6% ci sono sicuramente, per lo meno in parte, virus appena sfornati. questi non rappresentano una minaccia particolare perchè essendo nuovi hanno una diffusione limitata, e ora che arriveranno al tuo computer il tuo antivirus avrà già le signature aggiornate da mesi se non anni.

poi è ovvio, se sei una banca o una multinazionale magari c'è qualcuno che si prende la briga di tirarti addosso il virus aggiornatissimo o addirittura malware scritto ad hoc per te; ma se sei l'utente medio non hai di che temere.

Andrea Dell'Ova ha detto...

@Claudio: complimenti davvero. Preciso, esaustivo e soprattutto "ragionevole", un pò come il "maestro" Paolo... :)
Concordo appieno con la tua analisi (ora però mi tocco, non vorrei che venissimo infettati oggi stesso!)

Axel DominatoR ^^^ HC ha detto...

@Claudio
Le mie non sono statistiche "alla buona". Sono un programmatore professionista. Specializzato in programmazione di basso livello, aggiungo.
Per diletto e per lavoro esamino virus, quindi posso parlare con una certa esperienza.

Ripeto: gli antivirus sono buoni al massimo per l'80% dei virus.

Anche un antivirus con scansione euristica avanzata non riesce ad identificare correttamente un virus poli/metamorfico dopo un paio di tramutazioni. Non potra' mai esistere un antivirus che acchiappa tutti i virus, perche' non e' possibile dare una definizione esatta di virus! Ci sarebbero troppi pericoli di falsi positivi.

Un sacco di virus che stanno girando ultimamente sfruttano le semplici pennette usb e riescono ad infettare anche macchine protette e aggiornate.

La colpa non e' degli antivirus, naturalmente. E' del sistema ( windows ) che consente queste idiozie.

Per essere sicuri ( non al 100% ) usate un altro sistema operativo.

Axel DominatoR ^^^ HC ha detto...

Ah, una precisazione ( pardon, sono stato poco chiaro io complice fretta ). Mi riferisco all'80% dei virus attualmente in circolazione, non all'80% dei virus creati dall'alba dei tempi.

Claudio ha detto...

axel, se vogliamo giocare a chi ce l'ha più lungo ti posso dire che in assembler puro ho fatto intro, demo, perfino un'applicazione intera per totem (compresa la parte che si occupava di pilotare la SVGA che ovviamente non era VESA compatibile); e naturalmente qualche virus giocattolo. insomma, sul basso livello è da quella 15ina di anni che posso dire di avere le idee abbastanza chiare.

ora che abbiamo giocato a chi ce l'ha più lungo però non vedo come il fatto di conoscere intimamente come funzionano i virus ci aiuti minimamente a stilare delle statistiche verosimili. il meccanico che smonta e rimonta le automobili a occhi chiusi non penso si sogni di ipotizzare statistiche circa gli incidenti sulle strade che capitano in europa ogni anno.

per questo serve chi magari di codice non ne capisce un cazzo ma analizza il comportamento macroscopico dei virus e ovviamente degli antivirus - e magari prima di fare una implicita critica alla metodologia o alla parzialità dei test io un giro approfondito sul sito in questione me lo farei

pertanto le tue statistiche continuano ad avere una valenza meramente personale, che si basano sulla tua esperienza diretta e pertanto rappresentano il campione non significativo per eccellenza

tant'è che la mia esperienza personale è esattamente opposta alla tua: di penne usb infette me ne sono arrivate parecchie... l'unica conseguenza è vedere la finestrella di Avira che mi avverte del pericolo.

al di là di questo, già che parliamo di basso livello, mi spieghi come fa un eseguibile senza firma digitale, lanciato dall'autorun, a bypassare per l'appunto i controlli sulla firma digitale ed eventualmente lo UAC?

Claudio ha detto...

comunque, tagliando corto, ho fatto qualche ricerca: la medaglia come virus perggiore del 2009 è il conflicker, e ho detto tutto

tuttavia, se mi vuoi segnalare qualche virus che per l'appunto bypassa tutte le protezioni dimmi pure

Andrea: grazie per i complimenti, mi gratto anch'io :D

theDRaKKaR ha detto...

a proposito di "resistenza" ai browser alternativi... Il Messaggero ha inaugurato il sistema di rilascio commenti agli articolo mediante nome utente e password, peccato che né la registrazione né il successivo inserimento dei commenti funzionino con Firefox 3... entrambe le operazioni funzionano però con IE8

ma vaff....

Axel DominatoR ^^^ HC ha detto...

Non portiamo troppo off topic la discussione. ( Colpa anche mia, me ne scuso )

Il punto del mio discorso e': Windows non e' sicuro ( e' un dato di fatto ).
Vista e' piu' sicuro di XP, che pero' ha ancora, il 71% del market share. Significa quasi 3/4 di computer al mondo.
Un ROBAM e' molto piu' sicuro di Vista, ma attenzione a non credere di essere sicuri al 100% anche con un ROBAM.

Se tutte le banche dovessero fornire una pennetta USB o un CD con un ROBAM ai loro clienti, entro un paio di mesi qualcuno fara' uscire fuori un virus che sfrutta qualche vulnerabilita' del BIOS o chissa' che altro.

Se ci sono soldi di mezzo, non bisogna abbassare mai la guardia. Credo che la cosa migliore sia sempre stare, ove possibile, "fuori dal coro", per avere meno possibilita' di diventare l'obiettivo di un attacco.

theDRaKKaR ha detto...

il CRACK di WINDOWS VISTA (quello che modifica i dati del certificato presenti nella EPROM del BIOS)

uh? questa mi giunge nuova... ched è?!

Claudio ha detto...

è un dato di fatto per te, tant'è che CVD non hai portato nemmeno un esempio di questo mistico pezzo di malware che riesce a bypassare le protezioni di un computer protetto

l'unica cosa sensata che potevi dire è: una parte degna di nota dei windows che ci sono in giro sono insicuri PERCHE' NON AGGIORNATI E/O PRIVI DI ANTIVIRUS, ovvero insicuri perchè l'utente ignora gli avvertimenti di windows stesso sul fatto che il sistema è esposto a rischi

e come mai un utente ignora gli avvertimenti? 90 su 100 è perchè la copia di windows che ha è pirata e preferisce "evitare" di scaricare aggiornamenti direttamente dai server microsoft.

allora il discorso cambia, in questo caso si, windows è insicuro, esattamente come lo sarebbe qualsiasi altro sistema operativo (imparato a mie spese con il primo web server; una red hat 6.0 che fu bucata e rootkittata).

se hai argomentazioni che portano acqua al tuo mulino tirale fuori però perchè inizio ad annoiarmi con i dati di fatto e con il credito che ti si deve dare in fiducia perchè ce l'hai lungo =)

Axel DominatoR ^^^ HC ha detto...

Mio ufficio. 50 computer, con Windows XP e Vista. Tutti con regolare licenza, antivirus e aggiornatissimi.
L'ultimo virus e' stato pulito circa tre giorni fa dalla rete. E' entrato con una pennetta usb e ha infettato almeno 45 di questi pc.

Un tizio deve portarmi un portatile con Vista proprio oggi. Regolare licenza, aggiornato e antivirus installato e aggiornato. Devo rimuovere un paio di virus.

Ho riparato circa 1000 pc in vita mia. Piu' del 90% avevano virus.

Amministro anche server unix e la percentuale di computer che hanno subito intrusioni e' decisamente piu' bassa rispetto ad un qualsiasi computer windows. Naturalmente questa e' una citazione un po' fuori luogo, perche' stiamo parlando di server, che vengono presi di mira per tutt'altra serie di motivi e da tutt'altra serie di persone.

Ora, puo' essere semplicemente una mia esperienza personale, con dati quindi soggettivi. Auguro quindi buona fortuna con le operazioni bancarie sul Windows, che a quanto pare e' diventato il sistema piu' sicuro al mondo.

Se pensi che non esistano virus per Vista, vai su VX Heaven.

P.S.
Non so cosa emerge da quello che scrivo; purtroppo e' difficile esprimere emozioni per via testuale. Mi sembra che tu stia prendendo questa questione un po' troppo sul personale.
Tutto e' partito da un mio semplice parere sulla questione e mi farebbe piacere continuare eventualmente la discussione con toni pacati e pacifici. Ho riportato le mie esperienze personali ma non mi sembra di averti assolutamente attaccato sul piano personale.

theDRaKKaR ha detto...

Mio ufficio. 50 computer, con Windows XP e Vista. Tutti con regolare licenza, antivirus e aggiornatissimi.
L'ultimo virus e' stato pulito circa tre giorni fa dalla rete. E' entrato con una pennetta usb e ha infettato almeno 45 di questi pc.


guarda che io punterei sull'analisi della criticità della tua rete..

una volta fatta ci vieni a dire se veramente questo virus ha bypassato la protezione perché non riconosciuto al controllo oppure perché il controllo era disabilitato ;-)

Un tizio deve portarmi un portatile con Vista proprio oggi. Regolare licenza, aggiornato e antivirus installato e aggiornato. Devo rimuovere un paio di virus.

questo dimostra solo che nessun antivirus è in grado di resistere ad un utente...


Amministro anche server unix e la percentuale di computer che hanno subito intrusioni e' decisamente piu' bassa rispetto ad un qualsiasi computer windows.


e allora? diverse piattaforme, diversa diffusione, diversa carica virale in giro etc. etc.

Ho riportato le mie esperienze personali

forse è questo il punto, servono fatti non aneddoti.. poi la tua affermazione che lavori su un antivirus ha acceso i trollometri... capiscici :)

Claudio ha detto...

Axel: permettimi, sul personale l'hai messo tu con il tuo tono "sono superesperto solo io, lascia fare, se ti dico che è così è così". tono che in effetti, dal mio punto di vista, è piuttosto indisponente.

theDRaKKaR ha detto bene: i toni si scaldano perchè continui a parlare senza esporre dei fatti o dei dati oggettivi.

adesso finalmente c'hai portato un caso reale. ma ancora non hai detto la cosa fondamentale:

il nome del virus. una sola cosa devi dire, questa.

Axel DominatoR ^^^ HC ha detto...

Per i computer dell'ufficio potrebbe essere stato una variante di Autorun non ancora ben conosciuta. Dico potrebbe perche' non e' stato riconosciuto dagli antivirus.
E' entrato probabilmente da una pennetta USB su un PC con XP e poi ha infettato gli altri via rete.

Il portatile con Vista aveva anch'esso qualcosa di non identificato ma sara' stato infettato via web, causa ignoranza da parte dell'utente.

Il problema e' questo principalmente. Ci sono sistemi operativi che non ti fanno fare troppe scemenze. Anche se clicchi in giro *non puoi* fare danni se non sai cosa stai facendo. Il windows puo' essere sicuro fintanto che tu stai attento ad ogni cosa che fai, ma non puoi pretendere che una persona che non e' esperta ( e magari non vuole esserlo, per mancanza di tempo ) si prenda la colpa di un danno per via di un sistema che non e' stato progettato per essere sicuro.

Terenzio il Troll ha detto...

Oh mamma, provo a dire la mia.
Da fan di Linux, devo purtroppo dire che Linux non ricade in nessuna delle due categorie citata da Axel (neppure Win, a dir la verita': mal comune 1/2 gaudio?)

Anche se nell'ultimo lustro e' stato fatto uno sforzo notevole sul fronte dell'usabilita', non mi pare proprio che su Linux "cliccando a caso" sia poco probabile fare danni.
Impestarsi il .profile e' un attimo, cancellarsi qualche file a caso di /init.d anche; io sono riuscito a modificare xorg.conf in modo da non riuscire piu' a tirar su X11 e non ho capito come ho fatto (benedetta la consolle e meno male che avevo una copia di backup del file).

Non mi pare nemmeno che gli Unix in generale siano sistemi operativi pensati con la sicurezza tra gli obiettivi di progetto: Unix e' nato quando i PC non esistevano ed ogni computer era un'isola.

Che la situazione, oggi come oggi, sia migliore su Unix che non su Win e' vero, ma credo che sia semplicemente una questione di fette di mercato e di relativamente recente diffusione di Linux: a quando i primi virus ed antivirus per il pinguino?

Per Claudio: condivido una buona parte di quanto hai scritto, ma sugli aggiornamenti automatici di Win avrei due critiche:
1) il piu' delle volte, Windows si fa i fatti suoi per una buona mezz'ora ogni volta che parte un update automatico: l'utente medio (ed io per primo) si stufa e clicca "ricordamelo dopo" pur di continuare a fare quello che stava facendo. Da questo punto di vista, Linux e' molto meno invasivo (programma fatto meglio?)
2) MS ha messo IE8 tra gli aggiornamenti di sicurezza urgenti. Ma ti pare? L'utente medio non ci fa caso e si trova IE8 installato senza capire come, ed una discreta fetta di siti che si comportano inmaniera diversa da come era abituato. Una cosa del genere tende a disamorare l'utente.

Chaos ha detto...

@Terenzio
Per non parlare di quelle realtà dove per motivi, del tutto esterni all'azienda, è richiesto avere ancora installato Explorer 6 per compatibilità e poi l'utente di punto in bianco torna la mattina e si ritrova con un bel IE8 installato di default.
Volendo continuare a parlare di cattive abitudini MS potremmo prendere anche ad esempio il nuovo addon per Firefox per l'integrazione con il framework .NET. Ce lo siamo trovato installato senza nemmeno la possibilità di disinstallarlo con tutti i potenziali problemi di sicurezza che questo porta con se. Sobh

Axel DominatoR ^^^ HC ha detto...

Terenzio: condivido, ma non parlavo di Linux :)

Mi riferivo a sistemi come Mac OS X, in cui e' un po' piu' difficile fare danni.
Io uso Gentoo e i danni si fanno eccome, anche se sei un "pro". Il problema di Windows e' che rende complicate le operazioni semplici.

Preferirei che esistesse un sistema operativo per l'utente medio che somigliasse piu' ad una console che non ad uno dei moderni sistemi operativi. Avvii e compaiono le ( poche e semplici ) cose che puoi fare. Inserisci un CD e appare l'iconcina in base a quello che c'e' dentro. Togliere la possibilita' di avviare eseguibili in maniera automatica gia' lo renderebbe molto sicuro.

Faccio un esempio da prendere con le pinze: una specie di iPhone formato desktop.

Claudio ha detto...

1) sarei curioso di sapere com'ha fatto ad infettare dei pc in rete se i vari xp / vista sono aggiornati come dici
2) sarei curioso di sapere quanto sono effettivamente aggiornate le macchine, sistema operativo e antivirus, e quale antivirus usate
3) l'"intrinseca insicurezza" di windows è uno spot vecchio e stanco. prima si diceva che il motivo era la mancanza di multiutenza. poi con XP il problema era che l'utente di default era admin. adesso se prendiamo in analisi un windows vecchio di 3 anni e non di 8, ovvero vista, il problema immagino sia che con lo UAC se clicchi vai avanti lo stesso.

mica come gli altri sistemi operativi che non ti lasciano andare avanti nemmeno se vuoi!

non so tu dove vivi ma le differenze tra os x, linux e windows sono che quest'ultimo vuole dei click mentre i primi due vogliono una password. e dato che già le polemiche sulla rottura di balle che rappresenta lo UAC sono state feroci, penso che già questo rappresenti il miglior compromesso. il sistema operativo d'altronde non deve essere di OSTACOLO a quello che vuoi fare, ma deve semplicemente avvertirti delle potenziali conseguenze. cose che windows fa.

in più, windows ha tante cose gioiose per la sicurezza che gli altri sistemi non sanno nemmeno cosa sono o ci sono arrivati con largo ritardo. UAC, ASLR, il supporto al flag NX, DEP, PatchGuard e mille altre feature più o meno importanti ne fanno un sistema intrinsecamente sicuro che diventa insicuro utilizzato dall'utente ignorante.

ovviamente non è la colpa dell'utente, non sto assolutamente dicendo quello; sto dicendo che se però se non se ne si può fare una colpa all'utente come diavolo si fa a pensare che il sistema operativo possa essere invulnerabile da qualsiasi minaccia quando il suo padrone gli dice di accoglierla in grembo?

un po' come lamentarsi che hai preso un virus dopo che l'antivirus l'ha rilevato, t'ha chiesto cosa fare e tu gli hai detto di andare avanti uguale.

in ogni caso tanto si è fatto, nel senso che oggi un utonto si deve impegnare forte nello scavallare tutti gli avvertimenti e i messaggi di allarme quando c'è un effettivo pericolo. windows ti avverte in lungo e in largo, l'antivirus strilla... e se poi vai avanti uguale ehhh beh, è il sistema insicuro :D

invece gli altri sistemi operativi se vieni promptato per la password da admin e l'utente la inserisce perchè altrettanto convinto dell'affidabilità di quello che sta eseguendo, eh no, non succede niente? certo ahahhaha misticamente il sistema operativo riconosce il male e killa il processo

altro aspetto

il modello di privilegi *nix è ampiamente sopravvalutato. è un modello che è importante nei sistemi multiutente ma nei sistemi desktop non offre nessun tipo di vantaggio. mi spiego. io faccio uno script in sh che lancia l'rm sulla root, con i parametri quiet e continua anche in caso di errori. cosa succede? che con uno script di 15 byte sego TUTTO, tranne sistema operativo e programmi.

cavolo, che culo. questo fantastico modello di permessi impedisce di cancellare ciò che posso reinstallare in 2 ore ma permette l'eliminazione totale di tutto ciò che ho prodotto in 2 anni (hard disk esterni montati compresi, tanto per dire).

sai qual è la verità? è che se ci fosse os x o linux al 90% di diffusione, così come sono avrebbero mille volte i problemi di sicurezza che ha windows. non a caso lo stesso windows sotto una certa diffusione è esente da problemi a sua volta. Vista ne è stato dimostrazione.

insomma, come al solito si fanno i paragoni senza parità di condizione. tu stai prendendo una punto e una polo e dici che la punto è meno robusta perchè si è rotta 3 volte, mentre la polo una sola. poi vai a vedere e alla prima hai fatto fare 300 mila km, e alla seconda 30 mila. eh beh.

ripeto, il baco del guest di os x è illuminante, e dopo una cosa così penso che si dovrebbe solamente stendere un velo pietoso sulle presunte qualità sul fronte sicurezza e robustezza. ditemi che os x è fantastico da usare e tutto quello che volete, ma lasciamo perdere l'aspetto tecnico.

Claudio ha detto...

Terenzio: condivido le tue osservazioni, la prima delle quali ha certamente ricadute anche nel capitolo "sicurezza" ma che comunque rientrano a mio avviso più nel discorso "usabilità" - ripeto, ciò non toglie che siano assolutamente condivisibili

Axel: ho capito che alla fine sei solo una delle tante vittime della potenza del marketing apple. tra un po' ci dirai che il baco guest è una feature; peraltro sicuramente innovativo perchè non s'è mai visto niente del genere su qualsiasi os mai esistito.

Axel DominatoR ^^^ HC ha detto...

Claudio: Errore. Non ho mai avuto un Mac, ne' un iPhone :)

Fosse per me tutti dovremmo usare BeOS.

Tra l'altro e' vero, avevo letto un test secondo cui lanciando i vari comandi ( rm / del / etc ) gli unix cancellavano un pelino piu' file di sistema del Windows. Alla fine erano entrambi inutilizzabili, ma gli unix erano piu' inutilizzabili :D

Terenzio il Troll ha detto...

"cavolo, che culo. questo fantastico modello di permessi impedisce di cancellare ciò che posso reinstallare in 2 ore ma permette l'eliminazione totale di tutto ciò che ho prodotto in 2 anni (hard disk esterni montati compresi, tanto per dire)."

Claudio, questa volta dissento (anche se poi potrebbe venrimi la dissenteria).

Hai ragionissima nel dire che il sistema dei permessi di Unix e' stato pensato per la segregazione degli utenti e non per un discorso di "sicurezza globale" (anche se quello della segregazione e' UNO - ma solo uno - dei principi che portano alla creazione di un sistema informatico sicuro).

Solo che, secondo me, il tuo esempio e' fuori luogo: stai dicendo che un utente con i privilegi di root puo' cancellarsi quasi tutto o che un utente normale puo' cancellare tutto cio' che gli appartiene.
Ok, e' vero.
Ma e' come dire che la porta blindata di casa non serve a niente, perche' se ad un ladro consegno la chiave riesce ad entrare ugialmente...

Come hai fatto giustamente notare, per fare "su root rm -r / 2> /dev/null" ti viene chiesta la password per conferma.

Certo, ci sono attacchi in cui un utente entra con i privilegi di "guest" e poi scala fino a "root", ma sono altrettanto complicati da portare su uno unix opportunamente "irrobustito" quanto il beccarsi un virus su di un Vista opportunamente "aggiornato, con antivirus, firewall, eccetera".

Ci deve essere un compromesso tra cio' che un utente puo' fare e le esigenze di sicurezza.
Se vuoi la sicurezza totale, allora ti serve veramente una consolle e non un calcolatore general purpose (come ha proposto Axel); se vuoi un calcolatore buono per tutto, allora devi necessariamente poterci fare tutto (incluse le porcate).

theDRaKKaR ha detto...

io sono riuscito a modificare xorg.conf in modo da non riuscire piu' a tirar su X11 e non ho capito come ho fatto (benedetta la consolle e meno male che avevo una copia di backup del file)

vedi che succede a copincollare le righe di comando trovate su internet ^____^

Max Senesi ha detto...

@Claudio
Sono d'accordo con te in quasi tutto. Windows patchato è fondamentale. Però spesso la scelta dell'Antivirus è importante. Ho visto gente che aveva istallato il Panda e si sentiva sicura. All'epoca usavo il Kaspersky e facendo una scansione con quest'ultimo sui computer dei "pandisti" ci ho trovato una gragnuola di virus, che magari non intercettavano password e rubavano soldi, ma comunque rallentavano, cancellavano e rompevano. Altri esempi potrei portare di antivirus scadenti; la cosa non è così banale.Aggiungiamo poi un bel firewall che è un accessorio fondamentale per la sicurezza e che in pochi sanno veramente usare. Poco lavoro è stato fatto per rendere i firewall intuitivi nella configurazione a mio avviso. Il firewall di windows è un colabrodo. Su più siti di confronto fra firewall ho visto che viene bucato da qualsiasi cosa. Preferisco non averlo: meglio sapere di non essere protetto che pensare di esserlo e invece essere traditi

Claudio ha detto...

Axel: l'avevo capito, difatti ho detto che sei vittima del MARKETING, dato che dai per assodato una serie di virtù che non hai mai testato con mano.

Terenzio: non mi sono spiegato bene... non parlavo di root. parlo proprio dell'utente non privilegiato. certo, non avrà accesso alle home degli altri utenti (ma in un pc desktop tipicamente di utente ce n'è uno), non avrà accesso ai file relativi al sistema operativo e ai programmi (ma quelli li reinstalli), ma per il resto... seghi tutto

ora, il problema non è l'utente medio che digita la stringa da shell (cosa che tra l'altro si riuscirebbe tranquillamente a fargli fare, con l'ingegneria sociale), il problema è che fare uno scriptino / un file binario che fa la stessa cosa è questione di 1 minuto... su os x poi con applescript ci metti la metà.

io continuo a reputare che se volessi arrecare un danno ad un altro utente troverei molto più agevole convincere un mac user ad eseguire l'allegato che gli invio ("tanto non esistono virus") di quanto non potrei fare con un utente windows, diffidente per natura e soprattutto con un antivirus con scanner euristico attivo che comunque mi darebbe non pochi grattacapi per evitare che il malware in questione venga pizzicato.

Max Senesi: sono d'accordo sull'importanza dell'antivirus, ho avuto la stessa negativa esperienza con Avast, tant'è che uso e consiglio Avira sulla base delle performance certificate da av-comparatives.org (prima cosa è uno dei migliori, poi è leggero e costa davvero poco). tieni però anche conto che l'importanza della scelta si sta abbassando sempre più, in quanto la qualità media si sta alzando di continuo.

insomma, solo 3 anni fa lo scenario era a mio avviso molto più preoccupante di quanto non lo sia adesso.

questo vale anche per il firewall di vista, ben diverso da quello di xp. oltre a questo tieni anche conto che l'importanza del firewall spesso è sopravvalutata. due considerazioni:
1) se hai un router (senza attivare forward del piffero) è lui esposto - non a caso tra modem e router imho è sempre preferibile il secondo, anche se non hai una LAN casalinga ma un solo PC
2) devi anche avere delle porte aperte per essere esposto. ok, questo è un tema più per smanettoni che per utente medio però se hai tutto chiuso e ciò che hai aperto lo lasci comunque passare del firewall puoi fare anche a meno

Ciro ha detto...

Ragazzi....se volete fare certe operazioni in tutta sicurezza,dovete prima BLINDARE I VOSTRI COMPUTER!

http://www.facebook.com/topic.php?uid=11171618175&topic=8091


Se poi pensate che basta un semplice antivirus per stare sicuri, ILLUDETEVI PURE!