www.MegaLab.it

[Pulcepiccola]

Carissimi,

prendo spunto da un commento di Devicepenguin http://www.MegaLab.it/forum/topic79339.html#page-body,
per riflettere sulla seguente questione:
In quali casi è conveniente/opportuno, anzichè provare a eliminare il virus tramite i vari tool ( CD Live, Malwarebytes, etc) procedere nel modo suggerito da Devicepenguin cito le sue parole

ma i file compromessi (file di sistema modificati..eliminati..ecc) chi li aggiusta

..sempre l'antivirus?

Morale della favola: c'è malware e malware.

Per alcuni malware che una volta entrati nel sistema,preferisco sempre un restore image (sigaretta .. e ritorno operativo) o per i più ''gnurant '' il format .

Riepilogando secondo l'approccio di Devicepenguin sarebbe più opportuno, al momento dell'acquisto di un PC, ( e cioè quando il PC è "esente da Virus" cioè pulito) fare, adoperando vari tool - tipo Clonezilla -http://www.MegaLab.it/4645/clonezilla-dal-mondo-di-linux-arriva-il-clonatore-di-hard-disk una immagine di tutto l'hard disk in modo da poterla ripristinare all'occorrenza dopo una infezione? Ho capito bene? Che ne pensate?

Mi pare di capire che in molti casi il virus anche se debellato, comunque potrebbe aver "modificato" files importanti di sistema che potrebbero comunque rendere lo stesso instabile, insicuro?
Vorrei con voi approfondire la questione

mille

e buon fine settimana

Pp

[farbix89]

Esatto,è proprio così.

La via più semplice se si hanno delle immagini del sistema recenti è proprio formattare/ripristinare,almeno per le infezioni "più serie".

Non penserei mai di formattare un PC se il problema è un rogue o una toolbar di troppo

[sampei.nihira]

La convenienza è una ed una sola e cioè............ non prendere virus.

Se adotti questo "modus vivendi" non ti chiederai mai cosa conviene fare dopo.
Quindi nessuna scelta o quello o questo che solitamente genera ansia e attacchi di panico (che nessuno dichiara ma ci sono, oh, se ci sono ).

E quando malaguratamente prendi un malware la primissima cosa da fare dopo è quella di modificare la configurazione di sicurezza che ha fallito nel suo ruolo di prevenzione.

[Pulcepiccola]

Esatto,è proprio così.

La via più semplice se si hanno delle immagini del sistema recenti è proprio formattare/ripristinare,almeno per le infezioni "più serie".

Non penserei mai di formattare un PC se il problema è un rogue o una toolbar di troppo

Caro Farbix89,

ti ringrazio per il chiarimento

potresti, se ti è possibile, con un esempio pratico chiarire l'affermazione

almeno per le infezioni "più serie".

In buona sostanza come si fà, operativamente, a valutare una infezione se è grave (e quindi procedere a ripristinare il sistema operativo con una immagine del disco preventivamente creata).
mille



Pp

[Pulcepiccola]

Ciao Sampei,

concordo con te...

Riflettevo soltanto sulla questione che, nell'ottica della prevenzione, è auspicabile tenere a portata di mano una copia "pulita" del sistema operativo da tirar fuori nel caso in cui per disavventura si dovesse incappare in qualche minaccia.

Ma siccome penso che non tutte le minacce giustifichino un "restore immagine" mi chiedevo quale potesse essere un criterio guida per usare i tool di pulizia o il restore immagine.

Grazie a tutti e buon fine settimana



Pp

[farbix89]

Infezione grave ammetto che è un termine troppo empirico.

Dipende da troppi fattori.

Ma se dopo aver usato strumenti facili e semplici di pulizia e disinfezione noti che la cosa non va,prendi l'ultima immagine e ripristina.

Col ripristino perdi 2 ore,per cercare di capire cosa non va o che virus hai preso spesso ci perdi giorni interi...per arrivare alla conclusione che dovevi formattare da giorni (ed effettivamente formatti).

@sampei

Non puoi conoscere in anticipo le abilità di un singolo utente o la sua predisposizione a trattare le infezioni.

Un PC con Windows è relativamente SEMPRE infettabile,anche con la migliore configurazione.

Utilizzare una configurazione robusta e non avere backup dietro equivale ad avere un PC sempre a rischio,con tremendi risultati se arriva il giorno del giudizio(informatico).

Meglio un backup di tutto il disco di una configurazione più robusta (parere personale).

[hashcat]

@Pulepiccola A volte le infezioni "gravi" sono in grado di occultare così accuratamente la propria presenza in modo tale che l'utente non si accorga dell'avvenuta infezione.

Desidero precisare alcune cose:

• Se bisogna effettuare un backup, bisogna effettuarne uno settore per settore (non solo il backup, come molti software fanno, dei settori che contengono dati).
• Ci sono minacce che possono danneggiare l'hardware del computer o insediarsi in esso (Mebromi (ad esempio)). Un backup ed una configurazione di sicurezza generica (spesso) non proteggono da questa eventualità.
• In molte configurazioni di sicurezza "solide" (che includono misure preventive come il backup) non si tiene conto dell'integrità e confidenzialità dei dati presenti sul computer: questi possono essere alterati / dannegiati o "semplicemente" trafugati.
• Raramente si presta attenzione alla sicurezza fisica dei dispositivi portatili come notebook/netbook, cellulari e tablet (con questo si ritorna un po' al punto precedente).

Non mi stancherò mai di ripeterlo: una configurazione di sicurezza è debole come il suo più debole elemento. Questo significa che bisogna curare con eguale attenzione ogni aspetto della stessa, a tal proposito puoi utilizzare come base di riferimento i consigli forniti in QUESTO post.

P.S.: So di essere leggermente off-topic ma, visto che si discute anche di prevenzione, ho ritenuto importante chiarire alcune cose.

[devicepenguin]

Riepilogando secondo l'approccio di Devicepenguin sarebbe più opportuno, al momento dell'acquisto di un PC, ( e cioè quando il PC è "esente da Virus" cioè pulito) fare, adoperando vari tool - tipo Clonezilla -http://www.MegaLab.it/4645/clonezilla-dal-mondo-di-linux-arriva-il-clonatore-di-hard-disk una immagine di tutto l'hard disk in modo da poterla ripristinare all'occorrenza dopo una infezione? Ho capito bene? Che ne pensate?

Che già siamo a buon punto,ma direi che non basta. Le 'immagini' vanno fatte a cadenza regolare per ovvi motivi..

Un PC con Windows è relativamente SEMPRE infettabile,anche con la migliore configurazione.

[Pulcepiccola]

Carissimi,

vi ringrazio tutti per i preziosi consigli e vi auguro una buona Domenica



Pp

[Pulcepiccola]

Ah dimenticavo, scusate

@ Hashcat

riporto il tuo elenco

Software Security:

Impedire l'ibernazione e la sospensione del computer
Limitare l'utilizzo del DMA
Azzerare il contenuto della memoria ram della GPU allo spegnimento
Azzerare il contenuto della memoria ram (computer) allo spegnimento
Ridurre all'"osso" i servizi installati e attivi
Impedire tutte le tipologie di condivisione
Utilizzare un account utente con privilegi limitati
Proteggere l'accesso al BIOS con password
Proteggere con password l'avvio del computer
Prevenire la creazione / l'accesso di / con account Guest (se presenti rimuoverli)

http://www.MegaLab.it/forum/viewtopic.php?f=33&t=67971&start=960#p627119

in particolare mi hanno colpiti i seguenti punti:

Azzerare il contenuto della memoria ram della GPU allo spegnimento

e

Azzerare il contenuto della memoria ram (computer) allo spegnimento

A cosa serve Azzerare il contenuto della memoria ram della GPU allo spegnimento e Azzerare il contenuto della memoria ram (computer) allo spegnimento?
Allo spegnimento queste procedure non vengono fatte automaticamente dal sistema operativo?

Sono operazioni che l'utente deve fare manualmente? e se si, come bisogna procedere?

Impedire l'ibernazione e la sospensione del computer ( perché)

Limitare l'utilizzo del DMA ( cos'è?) e perché limitarne l'utilizzo?

Potresti,gentilmente, delucidarmi in merito?



ancora

e buona Domenica

Pp

[hashcat]

Come ho specificato precedentemente i suggerimenti indicati mirano a costruire una configurazione di sicurezza che tenga conto delle varie tipologie d'attacco e cerchi di ridurne / prevenirne i possibili danni.

Le due misure di sicurezza che hai riportato in rosso, servono per tutelare la sicurezza fisica (ed in particolare la confidenzialità dei dati presenti nel computer).

Gli attacchi di tipo Cold boot, permettono entro lassi di tempo più o meno limitati (dipende dalle componenti hardware del computer e dalla temperatura alla quale queste sono sottoposte), di recuperare, a seguito di uno spegnimento forzato, alcune informazioni presenti nella ram ed (eventualmente) nella VRAM della GPU (scheda video (videoRAM)).
Qualora si utilizzassero sistemi di cifratura completa del disco (come Truecrypt), l'utilizzo di questa tecnica comporta la possibilità di riuscire a recuperare le chiavi derivate, premettendo all'attaccante di decifrare l'intero contenuto del disco (malgrado non si ottenga la passphrase).

Maggiori informazioni:

http://en.wikipedia.org/wiki/Cold_boot_attack

(Guarda la sezione "Data in RAM")
http://en.wikipedia.org/wiki/Data_remanence

e (in particolare):

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-536.pdf

[Pulcepiccola]

Caro Hashcat,

ti ringrazio per le delucidazioni e ti auguro una buona Domenica



Pp

[hashcat]

Caro Hashcat,
ti ringrazio per le delucidazioni e ti auguro una buona Domenica

Replico l'augurio.

[sampei.nihira]

@ Farbix.
Vero è indispensabile avere un backup o un immagine disco io sono daccordissimo con te.
E sono anche daccordo con il fatto che Windows è un OS infettabile.

___________________________________________________________________________________________________

Non sono daccordo invece sul fatto che anche con la migliore configurazione di sicurezza, Windows, sia ugualmente infettabile.
perché in questo specifico caso occorrerebbe ammettere che l'efficacia della configurazione di sicurezza sia a livello di un placebo e così certamente non è.

Quindi con un'eccellente configurazione di sicurezza solo l'utente è al 100 % causa di infezioni nel proprio OS Windows.
E ciò è un dato di fatto.

[nix87]

Non vorrei uscire troppo OT con questo post, però ci tenevo a replicare ad alcune affermazioni:

Non mi stancherò mai di ripeterlo: una configurazione di sicurezza è debole come il suo più debole elemento

Secondo me dipende da come è strutturata la configurazione di sicurezza.
Immagina, con un paragone proprio del linguaggio elettrotecnico, che la configurazione di sicurezza sia rappresentata da un circuito:
se questo circuito è in serie, allora è valida la tua affermazione;
se questo circuito è in parallelo, allora una falla nella configurazione (ad es. una lampadina fulminata) non pregiudica il funzionamento del resto del circuito (anche se tale funzionamento risulterebbe un po' intaccato in quanto non tutte le lampadine sono accese).

Non sono daccordo invece sul fatto che anche con la migliore configurazione di sicurezza, Windows, sia ugualmente infettabile.
perché in questo specifico caso occorrerebbe ammettere che l'efficacia della configurazione di sicurezza sia a livello di un placebo e così certamente non è.

Quindi con un'eccellente configurazione di sicurezza solo l'utente è al 100 % causa di infezioni nel proprio OS Windows.
E ciò è un dato di fatto.

Anche qui mi permetto di dissentire.

Per quanto uno voglia costruire una configurazione di sicurezza robusta, se l'OS su cui essa si poggia (l'impalcatura su cui si fonda una casa) possiede una falla e tale falla è in grado di compromettere l'integrità dell'intera struttura, allora anche la configurazione di sicurezza (per quanto buona possa essere) va a farsi benedire...
Ritornando al paragone di prima: è come avere un circuito in serie (OS + configurazione di sicurezza).
Mettiamo pure che la configurazione di sicurezza sia virtualmente imperforabile; ma se l'OS si "fulmina" non passa più corrente nel circuito e tutto il sistema risulta compromesso

Spero di essermi spiegato

[farbix89]

bellissimo esempio quello dell'elettronica

[hashcat]

Secondo me dipende da come è strutturata la configurazione di sicurezza.
Immagina, con un paragone proprio del linguaggio elettrotecnico, che la configurazione di sicurezza sia rappresentata da un circuito:
se questo circuito è in serie, allora è valida la tua affermazione;
se questo circuito è in parallelo, allora una falla nella configurazione (ad es. una lampadina fulminata) non pregiudica il funzionamento del resto del circuito (anche se tale funzionamento risulterebbe un po' intaccato in quanto non tutte le lampadine sono accese).

Questo qualora i molteplici strati di protezione non introducano a loro volta potenziali vulnerabilità (purtroppo quasi sempre è così), inoltre, come giustamente hai specificato, bisogna tenere sempre conto del sistema operativo, anche quest'ultimo potrebbe essere "l'anello più fragile della configurazione" e non è vero che non si può fare niente per aumentarne di base (senza software aggiuntivo la sicurezza), un tentativo "goffo" in questa direzione è proprio il mio script (Services Disabler), utilizzando quello script (in passato disabilitavo i servizi ma senza utilizzare uno script automatico) e modificando alcune impostazioni del sistema operativo posso dire di avere prevenuto / mitigato in anticipo alcune famose minacce ed exploit.
Detto ciò spesso quando si costruisce una configurazione di sicurezza, non si tiene conto della sicurezza "fisica" dei dispositivi: un esempio concreto l'ho menzionato QUI.

Secondo me dipende da come è strutturata la configurazione di sicurezza.

Un esempio concreto su Windows?

[nix87]

bisogna tenere sempre conto del sistema operativo, anche quest'ultimo potrebbe essere "l'anello più fragile della configurazione" e non è vero che non si può fare niente per aumentarne di base (senza software aggiuntivo la sicurezza), un tentativo "goffo" in questa direzione è proprio il mio script (Services Disabler), utilizzando quello script (in passato disabilitavo i servizi ma senza utilizzare uno script automatico) e modificando alcune impostazioni del sistema operativo posso dire di avere prevenuto / mitigato in anticipo alcune famose minacce ed exploit.

Quoto in pieno

Però c'è da dire che le cose andrebbero molto meglio (ovvero si potrebbe intervenire proprio alla radice del problema) se l'OS fosse open source: potendo vedere con i tuoi occhi il bug nel codice, avresti l'opportunità di correggerlo ed eliminare la falla nella "struttura portante".
Con Windows (e con altri OS closed) ciò riesce solo parzialmente, potendo solo intervenire in un hardening del sistema, ovvero limitando e regolando opportunamente i privilegi, togliendo software e servizi inutilizzati (che introducono una maggiore superficie di attacco), ecc...

Un esempio concreto su Windows?

Ti faccio l'esempio più semplice ed immediato che mi viene ora in mente, per quanto riguarda una configurazione di sicurezza in "parallelo".

Mettiamo che ho installato su Windows un software antivirus ed un software di sandboxing.
Navigo con il browser sandboxato ed incappo in una pagina web infetta.
Sfortunatamente trattandosi di malware 0-day (magari 0-hour) il mio AV non lo rileva.
Tuttavia ho l'altro software, che mi sandboxa il broswer: quindi il malware riesce ad attivarsi all'interno della sandbox (infettando quindi una porzione limitata ed isolata del sistema), però mi basta chiudere il browser ed il problema svanisce.
Quindi la mia configurazione di sicurezza, pur non essendo riuscita a risolvere alla radice il problema (mancata rilevazione da parte dell'AV) ed avendo lasciato intaccare una parte limitata del sistema, è riuscita comunque a portare a termine il suo compito principale (ovvero impedire che l'intero sistema venisse irrimediabilmente infettato).

Per ciò che riguarda una configurazione di sicurezza in serie possiamo fare l'esempio banale in cui l'unica protezione è il solo antivirus installato su Windows (in questo caso la serie è AV + OS).
Se l'antivirus non mi becca la minaccia (quindi viene "fulminato"), tutto cessa di funzionare.
Se però l'OS è harden-izzato e grazie a ciò (nonostante la mancata rilevazione dell'AV) riesce a prevenire l'infezione, il sistema sopra descritto si trasforma in "parallelo".

[hashcat]

Ti faccio l'esempio più semplice ed immediato che mi viene ora in mente, per quanto riguarda una configurazione di sicurezza in "parallelo".

Mettiamo che ho installato su Windows un software antivirus ed un software di sandboxing.
Navigo con il browser sandboxato ed incappo in una pagina web infetta.
Sfortunatamente trattandosi di malware 0-day (magari 0-hour) il mio AV non lo rileva.
Tuttavia ho l'altro software, che mi sandboxa il broswer: quindi il malware riesce ad attivarsi all'interno della sandbox (infettando quindi una porzione limitata ed isolata del sistema), però mi basta chiudere il browser ed il problema svanisce.
Quindi la mia configurazione di sicurezza, pur non essendo riuscita a risolvere alla radice il problema (mancata rilevazione da parte dell'AV) ed avendo lasciato intaccare una parte limitata del sistema, è riuscita comunque a portare a termine il suo compito principale (ovvero impedire che l'intero sistema venisse irrimediabilmente infettato).

Per ciò che riguarda una configurazione di sicurezza in serie possiamo fare l'esempio banale in cui l'unica protezione è il solo antivirus installato su Windows (in questo caso la serie è AV + OS).
Se l'antivirus non mi becca la minaccia (quindi viene "fulminato"), tutto cessa di funzionare.
Se però l'OS è harden-izzato e grazie a ciò (nonostante la mancata rilevazione dell'AV) riesce a prevenire l'infezione, il sistema sopra descritto si trasforma in "parallelo".

Diciamo che il concetto di sicurezza come anelli di una stessa catena é utile per non minimizzare i rischi.
Per quanto riguarda l'esempio che hai fornito, ti ringrazio. Scrivo alcune mie osservazioni in proposito:
L'utente navigando con il Browser sandboxato incappa in una pagina web che sfrutta una vulnerabilità non nota dello stesso o dei plugin.
Questo baco consente il controllo remoto completo del computer (e se possibile l'elevazione dei privilegi), essendo sandboxato, le modifiche effettuate non intaccano il sistema reale, però la minaccia é comunque in grado di rubare informazioni riservate (documenti, foto & Co), agire da keylogger (registrando le operazioni della tastiera, effettuando screenshot, appunti & Co), queste informazioni (insieme ad altre che identificano il computer in maniera univoca) sono raccolte ed inviate ad un server in Russia.
Inoltre l'applicazione sandboxata (credo) sia comunque in grado leggere la RAM dei processi in esecuzione (anche quelli non sandboxati), ricavando informazioni interessanti quali password, lo stesso dicasi per il registro di sistema (rubando eventuali seriali di programmi legalmente registrati ed altro).
Le applicazioni sandboxate possono comunque accedere ad internet, e magari individuando delle macchine presenti in rete locale e vulnerabili, infettarle.

Queste sono solo alcune delle possibilità che mi sono sorte in mente leggendo il tuo esempio, molte di queste problematiche possono essere fronteggiate.
Queste osservazioni sostengono la tesi della sicurezza ad anelli, proprio perché su Windows si utilizzano spesso software closed source, lo stesso sistema operativo lo é, nessun é in grado di prevedere tutte le possibili minacce e vulnerabilità, in questa ottica la suddetta forma di pensiero aiuta a costruire una configurazione se non più solida, più "consapevole".

P.S.: Scrivere da Tapatalk é una faticata.

[sampei.nihira]

Vero.
Per minimizzare i rischi è opportuno impedire al sandbox l'accesso ad aree del sistema e cartelle ove siano riposti dati sensibili
Ed anche impostare l'area virtuale in una partizione non OS.

Esempio del mio non accesso alla cartella documenti.