| Tre paladini per la sicurezza del sistema. | ||||
|
||||
| Tre paladini per la sicurezza del sistema: ProcessScanner, Kaspersky Anti-Virus S.O.S. e Panda Anti-Rootkit. ________________________________________ Questa settimana vogliamo presentarvi un tris di software gratuiti per la sicurezza del personal computer. Il primo programma si chiama ProcessScanner e si occupa di esaminare le applicazioni in esecuzione confrontando le informazioni reperite con quelle memorizzate nel database online mantenuto dalla software house produttrice (UniBlue). Dopo aver installato il programma, cliccando sul pulsante Start process scan, verrà avviata la procedura di scansione del sistema, alla ricerca di applicazioni in esecuzione dannose oppure potenzialmente nocive. Il responso dell'analisi viene visualizzato attraverso il browser web: gli eventuali componenti dannosi vengono chiaramente evidenziati. Kaspersky Anti-virus S.O.S. ("Second Opinion Solution") è una soluzione che fa derivare dal suo nome dal fatto che può essere installata su sistemi che facciano già uso di altre soluzioni antivirus sviluppate da terze parti. Se, come abbiamo spesso ricordato nelle pagine de IlSoftware.it, non è mai una scelta saggia installare più di un software antivirus sul medesimo sistema (problemi di incompatibilità, falsi positivi,...), il programma gratuito distribuito da Kaspersky si propone come un'eccezione alla regola. Il produttore russo, infatti, spiega che S.O.S. è stato sviluppato con lo specifico obiettivo di ridurre al minimo eventuali problemi di incompatibilità con i software di terze parti. Al termine dell'installazione, l'utente può scegliere con quale periodicità desidera vengano scaricati ed applicati gli aggiornamenti. Cliccando sul pulsante Update now, è possibile avviare immediatamente la procedura di aggiornamento. Il pulsante Settings consente di specificare un eventuale proxy server da utilizzare, l'account utente di Windows con il quale si desidera effettuare l'update, i server Kaspersky da impiegare. Per impostazione predefinita, S.O.S. è configurato in modo tale da effettuare la scansione degli elementi che vengono eseguiti all'avvio del sistema operativo immediatamente all'ingresso in Windows (casella At program startup spuntata). In fase di configurazione del programma, l'utente può decidere, poi, se programmare una scansione periodica delle aree critiche del sistema (Scan critical areas) o un'analisi completa dell'intero sistema (Full computer scan). L'ultima finestra visualizzata a corollario dell'installazione di Kaspersky Anti-virus S.O.S. permette di impostare eventualmente anche una password in modo da inibire modifiche non autorizzate alla configurazione del programma che dovessero essere apportate da parte di altri utenti dello stesso personal computer. Al termine della fase d'installazione, verrà richiesto il riavvio del sistema in uso. Da questo momento, S.O.S. risulterà in esecuzione sul personal computer e si farà carico di monitorare le attività collegabili all'azione di malware. Per accedere alla finestra principale del programma, è sufficiente cliccare sull'icona visualizzata nell'area della traybar di Windows, generalmente in basso a destra. Cliccando su Settings, l'utente ha la possibilità di regolare in profondità il comportamento dell'antivirus, personalizzando anche il livello di protezione da applicare per le varie aree del sistema operativo. A complemento delle due soluzioni, è possibile affiancare anche l'ottimo Panda Anti-Rootkit. Nascondere il più possibile” è l'imperativo di chi oggi sviluppa malware a fini di lucro. Se, come abbiamo già avuto modo di spiegare nelle pagine de IlSoftware.it, sono profondamente cambiate la filosofia alla base della creazione di applicazioni nocive e le loro modalità di distribuzione, di pari passo hanno iniziato ad essere impiegate tecniche nuove che rendono ancor più complicata la fase di riconoscimento ed eliminazione del malware. L'uso di rootkit è divenuto sempre più gettonato: un dato, questo, su cui concordano tutti i principali produttori di soluzioni per la sicurezza. Gli analisti hanno previsto, per il prossimo futuro, un pesante incremento nella diffusione dei cosiddetti “kernel rootkit” la cui caratteristica principale consiste nel modificare porzioni degli aspetti chiave del sistema operativo con lo scopo di nascondere all'utente ed ai software antivirus/antimalware l'avvio di attività maligne. Sebbene la versione per sistemi a 64 bit di Windows Vista integri la tecnologia PatchGuard, meccanismo in grado di proteggere il kernel del sistema operativo, sono in molti a sostenere che la maggior parte degli utenti sarà comunque sempre a rischio di attacchi da parte di “kernel rootkit” nel corso dei prossimi mesi. Con l'intento di nascondersi in modo sempre più efficace, gli autori di “kernel rootkit” hanno iniziato a condividere documentazione e codici di esempio, spesso resi pubblici. Le tradizionali soluzioni per la sicurezza offrono purtroppo una protezione piuttosto debole nei confronti dei “kernel rootkit”. Gli autori di malware abbracciano l'uso dei rootkit per nascondere in modo più efficace le proprie “creature”: l'intento è quello di nascondere il malware sviluppato all'interno di un altro contenitore “ostile”, capace di creare una sorta di barriera difficilmente penetrabile dalle classiche soluzioni antivirus. Uno dei casi emblematici è rappresentato dalla diffusione del rootkit battezzato LinkOptimizer e conosciuto anche con l'appellativo di “Grozomon”. Il malware impazzò in Italia a partire dal mese di Aprile 2006 ed usò un ventaglio incredibile di modalità per assicurarsi massima diffusione. Seguendo la nuova tendenza, però, integrava un algoritmo in grado di determinare le specifiche della macchina oggetto della possibile infezione ed, in particolare, di rilevare la presenza di strumenti per il monitoraggio dell'attività del sistema o tool di debugging. LinkOptimizer controllava anche se fosse in esecuzione all'interno di una macchina virtuale. In tutte queste situazioni il malware semplicemente non effettuava alcunché non visualizzando messaggi né insospettendo l'utente. Molte varianti, inoltre, apparvero appositamente concepite per il mercato italiano insediandosi solo sui sistemi “nostrani” (la discriminante era l'utilizzo di un IP appartenente ad un provider Internet del nostro Paese). Probabilmente primo tra tutti i rootkit, LinkOptimizer creò una lunga schiera di “siti web civetta” contenenti parole italiane molto ricercate, collegò tra loro i vari siti web e mise in atto tecniche per apparire tra i primi risultati proposti dai motori di ricerca. Questi siti web maligni ospitavano del codice studiato per sfruttare alcune vulnerabilità di sicurezza del browser. Visitandoli, ad esempio, con una versione di Internet Explorer non opportunamente aggiornata con le varie patch di sicurezza rilasciate da Microsoft, l'utente poteva ritrovarsi con il sistema infettato e, generalmente, senza accorgersene nell'immediato. Secondo quanto affermato da Panda Security, ben poche suite antimalware offrirebbero meccanismi efficaci per il rilevamento di rootkit. La maggior parte delle soluzioni software si limiterebbero, ad esempio, ad un'indagine effettuata a basso livello incrociando le chiamate a funzioni API ma non integrerebbero meccanismi avanzati per il rilevamento e la disattivazione dei rootkit già comparsi in molteplici tool freeware (http://www.antirootkit.com/software/index.htm). Da parte sua, Panda Security ha integrato gli algoritmi di rilevamento di tutti i rootkit conosciuti e sconosciuti (funzionalità euristiche) nel proprio programma freeware Panda Anti-Rootkit. Non sono solo i laboratori antivirus ad avere problemi nella gestione dei rootkit ma anche le stesse strutture aziendali che sempre più spesso si trovano a misurarsi con componenti impiegati anche per lo spionaggio industriale, proprio per la loro natura di camuffarsi e di riuscire a passare inosservati per periodi medio-lunghi. Per avviare Panda Anti-Rootkit è sufficiente fare doppio clic sul file eseguibile PAVARK.EXE ed accettare le condizioni di licenza d'uso. Se la casella Automatic updates verrà lasciata attivata, Panda Anti-Rootkit provvederà eventualmente a scaricare dal sito ufficiale la versione più aggiornata del prodotto. Attivando una scansione approfondita (In depth scan), il sistema sarà riavviato in modo da effettuare una scansione immediatamente prima che possano essere eseguiti eventuali componenti dannosi. Nel caso in cui uno o più rootkit dovessero essere rilevati, Panda Anti-Rootkit ne visualizzerà l'elenco completo (The following rootkits have been detected) e ne permetterà la rimozione. Per completare la pulizia del sistema sarà necessario riavviare Windows. - ProcessScanner può essere prelevato facendo riferimento a questo link:http://download.uniblue.com/ub/plib/tools/new/processscanner.exe (circa 900 KB). - Kaspersky Anti-Virus S.O.S. è scaricabile a questo link: http://usa.kaspersky.com/products_services/kav6.0.3.837_sosen.exe (circa 23 MB). - Panda Anti-Rootkit è prelevabile cliccando qui (circa 300 KB). |
||||
| «Ritorna | ^Top | |||
