Il solo antivirus, per proteggere il vostro computer, ormai non basta più, esistono talmente tanti tipi di malware in giro per il Web che ci vuole una protezione a più strati, un buon firewall, meglio se munito di Hips, garantisce una difesa migliore.
Il primo compito del firewall è quello di controllare il traffico di rete, in entrata e in uscita, quando siate collegati a Internet, se è dotato di Hips verifica anche eventuali attività anomale dei programmi presenti nel computer, come la creazione di servizi inattesi, accessi ad Internet nei momenti sbagliati, o modifiche pericolose al sistema.
Per verificare se il nostro firewall ci protegge veramente, conosceremo oggi una serie di tool e di servizi online in grado di metterlo alla prova. Come "cavia" useremo Online Armor firewall che avevamo conosciuto in quest'articolo, i test sono però utilizzabili con qualsiasi firewall, meglio se dotato di Hips.
Online Armor firewall è stato lasciato in configurazione base, quella usata dalla maggior parte degli utenti, se si comincia a modificarla, si potrebbero ottenere dei risultati migliori, ma questo lo vedremo magari in un prossimo articolo. Per questa volta ci limiteremo a conoscere i vari test.
Porte chiuse o porte aperte?
Il primo test da eseguire è quello per verificare lo stato delle porte del vostro sistema, ogni applicativo comunica con l'esterno attraverso una porta, tra le principali ricordiamo la 21 per FTP, 25 e 110 per SMTP e POP3, 80 per il traffico Web, se le volete vedere tutte le trovate in questa pagina.
La cosa migliore è che le porte siano in condizione Stealth, salvo vostre esigenze particolari, cioè invisibili al mondo esterno.
Esistono alcuni siti che, tramite dei test, verificano lo stato delle porte, almeno di quelle più importanti, tra i più interessanti ricordo Grc.com, premete Proceed e Continua, una volta arrivati alla pagina dei test scegliete All Service Ports.
E attendere che le prime 1056 porte del sistema siano analizzate.
Un sito simile è PcFlank, però mi sembra sia stato abbandonato e anche i risultati del test non è che mi convincano del tutto.
Interessante anche il sito Pianosicurezza.net con i suoi numerosi test. Se qualcosa non vi convince, potete confrontare i test e i risultati proposti dai vari siti.
Comodo Leak Test
Il primo programma per verificare l'efficacia del vostro firewall è Comodo Leak Test, programma portable che simula una serie di azioni che potrebbero essere compiute da un qualsiasi malware.
Il programma non è aggiornatissimo, risale al 2008, ma svolge ancora bene il suo lavoro, estraete il contenuto dell'archivio in una cartella qualsiasi e avviate il test.
Se il firewall vi segnala che qualcosa di strano è in corso, voi potete bloccare l'avviso e proseguire con il test. Lo scopo del test, è proprio quello di bloccare gli avvisi, nel modo corretto, e far guadagnare punteggio al firewall.
Alla fine avrete il risultato, non è detto che tutti i test passino subito con esito positivo, bisognerà intervenire sulla configurazione del firewall per ottenere qualcosa di più.
Tanto per fare un confronto a sinistra vedete il test fatto con il firewall di Windows XP e a destra, abbiamo Online Armor installato su un Windows 7 a 64 Bit. Non prendiamocela più di tanto con il Firewall di XP, il suo unico compito è quello di un modesto controllo del traffico.
Security Software Testing Suite 64
Matousec.com è composto da un gruppo di ricercatori che si occupa di testare periodicamente tutti i principali software di sicurezza per verificarne la loro efficacia, uno degli strumenti usati è il Security Software Testing Suite 64.
Si tratta di una serie di tool, avviabili solo da linea di comando, distribuiti in maniera gratuita solo per gli utenti privati, sono pensati in maniera specifica per Windows 7 SP1 a 64 Bit e Internet Explorer 9, potrebbero essere compatibili con versioni più vecchie del sistema operativo ma non sono del tutto garantiti. Una vecchia versione di questi test, compatibile con Windows XP, è disponibile a questo indirizzo.
Prima di avviare questi test, create un'immagine di backup del vostro sistema con programmi appositi, come Clonezilla o Macrium Reflect, oppure virtualizzate il sistema con Toolwiz Time Freeze.
Alcuni di questi test apportano, o almeno tentano di farlo, modifiche alle impostazioni di sistema, quindi è opportuno che si possa ripristinare tutto com'era in poco tempo.
Oltre a verificare lo stato di sicurezza del vostro firewall, è un utile allenamento per imparare a capire i messaggi Hips.
Scaricate l'archivio da questo indirizzo, una volta estratto il contenuto del file ssts64.7z, troverete nella cartella Bin il file ssts64.confmodificatelo con un qualsiasi editor di testo, notepad va benissimo, e nell'ultima riga aggiungete I DO AGREE, in maiuscolo, il tutto deve diventare in questo modo agreement=I DO AGREE.
Copiate poi il file modificato nelle varie cartelle Level-01, Level-02 sino a Level-11.
Aprite un Prompt dei comandi (Start - Esegui - Cmd), se volete avviare più velocemente i vari tool, senza dover scrivere a mano i comandi, basta trascinare l'eseguibile dentro la schermata del Prompt dei comandi e premere Invio. Ci possono volere alcuni secondi prima che si avvii, comparirà un messaggio di Online Armor che vi chiede di poter avviare il tool, in alcuni casi potrebbe anche ripetersi più di una volta, quest'avviso va autorizzato, eventuali messaggi seguenti vanno valutati di volta in volta e, in genere, bloccati se necessario.
Se volete ripetere il test, non mettete il flag nella casella Ricorda la mia decisione, o Fidati di questo programma, in modo che non memorizzi la decisione che avete preso.
Alla fine dei singoli test avrete dei messaggi come quelli che vedete nella foto.
Alcuni test richiederanno un vostro intervento prima di poter proseguire, dovete leggere i suggerimenti che vi danno, qui vi dicono di bloccare l'apertura della pagina se il vostro firewall vi avvisa.
In questo caso rimane in attesa sino a quando non avvio Internet Explorer a 64 bit.
Contemporaneamente alle schermate del prompt dei comandi, si avranno le richieste di conferma, o meno, di Online Armor. In genere i messaggi di questo colore sono i più sospetti, e potenzialmente pericolosi, si tratta di programmi che vogliono avviare altri software, creare dei file, avere accessi diretti al disco fisso, tutte cose classificate come "strane" e insolite.
Non è detto che i messaggi pericolosi siano solo quelli del colore precedente, anche un programma sconosciuto che vuole controllare un altro processo può essere sospetto, oppure la modifica di un file sicuro potrebbe essere causata da un normale aggiornamento, ma anche da un malware che ha alterato il file.
I messaggi Hips vanno capiti e interpretati al momento, non si può fare una regola comune che valga sempre, ne tentare di spiegarli in modo troppo dettagliato.
Ammetto di non aver capito del tutto alcuni test (non ho neanche poi approfondito la cosa al massimo, a dire il vero), in alcuni casi vanno a cercare dei file, o delle chiavi di registro, che non esistono, a volte il test si è chiuso senza darmi un risultato chiaro come il Wallbreaker4.
Quelli più importanti, come le modifiche al registro, l'avvio di altri applicativi e i keylogger sono stati brillantemente superati da Online Armor che ne ha impedito l'esecuzione.
Per completezza d'informazione, segnalo anche questa pagina che contiene molte spiegazioni sui test effettuati e, in fondo alla stessa, anche i link per scaricare delle vecchie versioni di tool per eseguire altri test.
Attenzione perché molti di questi tool sono ritenuti pericolosi, e cancellati all'istante, da avast! antivirus, se decidete di scaricarli non meravigliatevi se il vostro antivirus vi impedisce di usarli. Non si tratta di veri virus, ma di strumenti che potrebbero essere usati da alcuni malware per compiere azioni indesiderate.
Prestate quindi attenzione se decidete di utilizzarli.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati