Se Il Firewall è Bucato...

[ZipGenius]

Ieri ho vissuto un'esperienza alquanto paradossale con ZoneAlarm, un firewall che ho sempre ritenuto sempre affidabile anche in versione gratuita e limitata.

Ero connesso ad internet per cercare un esempio di codice Delphi da adattare e inserire in ZipGenius e come al solito ho inizato la ricerca su Google, quindi su Google Gruppi; non trovando niente decido quindi di avventurarmi nel sottobosco del P2P, ove non tutto quel che si condivide è illegale.

Avvio eMule+ 1.0 e digito le chiavi di ricerca a me necessarie: tutto procede tranquillamente, la connessione è veloce, la ricerca pure, ZoneAlarm (ZA) sta monitorando tutti i dati in ingresso e in uscita dal mio PC.

All'improvviso i dischi si fermano e sul monitor appare il classico messaggio "STOP" con il fondo blu, tipico dei crash di sistema ma oggigiorno divenuto una vera e propria rarità.

"Forse ho esagerato con il timing della RAM" è stato il primo pensiero, perciò torno al BIOS e ripristino le impostazioni automatiche relative al controller della memoria.

Riavvio Windows e ricomincio la ricerca via eMule+.

Dopo dieci minuti si ripresenta la stessa situazione: dischi inchiodati e messaggio STOP sullo schermo. Forse per la prima volta da quando uso un PC leggo attentamente il messaggio e apprendo che fa riferimento al driver vsdatant.sys. Il fatto mi incuriosisce e dopo il riavvio, la ricerca di informazioni su Google è obbligatoria.

Il risultato è devastante come lo scoppio di una gomma a 150 all'ora in autostrada: basta leggere il report in inglese sul sito Secunia.

Colpevole di quei crash era niente di meno che il driver TrueVector, ossia quell'elemento di ZA che si avvia con Windows e tiene sotto controllo la connessione. In poche parole: il cuore del firewall.

Ebbene un utente remoto potrebbe inviare due comandi e ottenere due effetti:

1) guadagnare il completo controllo del PC

2) causare il crash del PC con ZA installato: esattamente ciò che mi è accaduto.

La cosa più sconcertante è che la falla è nota sin dalla versione 3.1 di ZA, che il report di Secunia è datato agosto 2003 e che ZoneLabs ha dichiarato (all'epoca) che tutte le versioni attuali di ZA dovrebbero esserne esenti. Beh, io ho scaricato ZA 14 giorni fà dopo l'upgrade del mio PC...

E sebbene Secunia giudichi questo problema come poco critico, a me non va proprio giù l'idea di perdere il lavoro perché il firewall, anziché proteggermi mi manda in vacanza il sistema.

Obbligatoria la scelta di un nuovo firewall.

La prima scelta cade su Kerio Personal firewall 4 (KPF), da molti considerato un buon prodotto, grazie anche alle innumerevoli caratteristiche che farebbero impallidire ZA.

Lo installo e subito dopo il riavvio noto qualcosa che non va: il sistema sembra rallentato. Caspita! Un Athlon XP 2500+ Barton!

Spulcio fra le varie opzioni e scopro che KPF può anche controllare il comportamento delle applicazioni in esecuzione o in fase di lancio nel sistema controllato: la disabilito, tanto già Avast 4.1 fa il suo ottimo lavoro.

Riprendo la mia ricerca su eMule e tutto procede regolarmente, senza nessun blocco del sistema.

Finita la ricerca, comincio a rivedere un po' di codice di ZipGenius nel menù contestuale, il quale è gestito da una DLL che deve essere integrata nel sistema; quando viene usata, questa rimane caricata in memoria e dopo non può più essere modificata perché il sistema ne impedisce l'accesso, a meno che non si termini il processo explorer.exe dal Task Manager.

Avvio il task manager e - sorpresa - mi appare solo la sua icona accanto all'orologio.

Avvio Internet Explorer per verificarne il comportamento e anch'esso rimane ibernato (non appare la finestra); solo Firefox si salva, nonostante anche il pannello di controllo ADSL sia anch'esso irraggiungibile.

Una specie di reazione a catena senza un'origine ben precisa.

Alla fine ci si è messo anche Avast, il quale ha cominciato a lanciare avvisi di virus trovato nel file svchost.exe, che in realtà è uno dei file di sistema preposto alla gestione dei servizi di Windows.

Il file suddetto non può essere cancellato, nè rinominato, nè spostato, quindi programmo Avast per l'esecuzione di una scansione completa al riavvio della macchina, così può operare anche sui files che in Windows sarebbero normalmente bloccati, ma al riavvio Avast non trova alcun virus e tantomeno riconosce svchost.exe come file infetto.

Uhm... comincio a sospettare che KPF abbia antipatia verso Avast e/o viceversa.

Nulla da fare: bisogna cercare ancora un altro firewall.

Questa volta decido di scaricare Outpost 1.0 di Agnitum, anch'esso giudicato come una validissima alternativa.

Lo installo e finalmente il sistema sembra funzionare bene e senza conflitti con l'antivirus (almeno per ora).

Morale della favola

Scoprire che ci si è sempre fidati di un firewall potenzialmente pericoloso è roba da lasciare sbigottiti e può portare alla sfiducia verso quel prodotto; tuttavia ciò non significa che ZA si sia rivelato un pessimo firewall, anzi per tutti questi anni mi ha sempre protetto bene.

Quando scegliete un firewall non fidatevi solo di ciò che vi dicono gli amici o i sedicenti esperti: provate ogni firewall personalmente perché può darsi che uno vi potrebbe causare dei problemi (più o meno grossi), mentre un altro potrebbe offrirvi una buona protezione.

[ancer]

quoto completamente quanto hai descritto

ma per esperienza mi è capitato diversi comportamenti dei programmi rispetto a diverse configurazioni

sarebbe interessante riproporre ZA con eMule in un pc diverso con una diversa configurazione per vedere il risultato

[ZipGenius]

ti spiego subito....

La colpa non è intrinsecamente di eMule+: il comando che manda in crash il sistema via ZA può benissimo essere inviato da qualsiasi programma, anche lo stesso browser: basta che la connessione sia monitorata e che il driver (per far ciò) apra un canale di comunicazione.

L'apertura di un canale di comunicazione per un driver di periferica virtuale è un'operazione comunissima e al tempo stesso pericolosissima se non si prendono le opportune precauzioni. Un driver del genere infatti lavora al livello del kernel (Ring0) e può fare qualsiasi cosa, persino mandare in crash il sistema.

Con ogni probabilità sulla rete di eMule c'è qualcuno che si diverte a spedire il comando a casaccio.

[eagleman]

Io per un po' ho usato Zone Alarm e il risultato è stato il crash del pc a causa di hacker e virus, poi sono passato a Tiny Personal Firewall, ma per me era ingestibile. Alla fine sono passato a Sygate e sono finiti i problemi.

Comunque sapere che uno dei più famosi e affidabili firewall in circolazione come ZoneAlarm altro non è che un colabrodo, non è che faccia proprio piacere.... <_<

[ZipGenius]

Io per un po' ho usato Zone Alarm e il risultato è stato il crash del pc a causa di hacker e virus

Anche tu hai ottenuto il crash nel driver vsdatant.sys ?

[dany]

quindi,in poche parole il file che ti ha mandato in crash il sistema faceva parte di za?

[The Lenny]

ineffetti lo ZA Ha qualche pecca...forse troppe! aggiungiamo che è il firewall più diffuso in assoluto, quindi vale lo stesso discorso degli antifurti x auto...Circa l'Agnitum, concordo nel dire che è un ottimo prodotto, ma, se non ricordo male, richiede una certa pratica nei settaggi iniziali, specie x le autorizzazioni peranenti. Io mi trovo abbastanza bene col Guardian pro, ma neanche di questo mi fido completamente. Circa le colpe di Emule...prova a farti un giro sul Mirc....

[ZipGenius]

quindi,in poche parole il file che ti ha mandato in crash il sistema faceva parte di za?

Sì, purtroppo sì e ancora non ho capito se il problema è stato rimosso o meno.

Di ZA mi piace il feeling dato all'utente: è molto intuitivo.

Avevo installato Outpost 1.0 ma l'ho sostituito con l'ultima versione di Kerio PF poiché Outpost ultimamente impediva all'antivirus l'aggiornamento automatico delle definizioni dei virus (e questa cosa non è affatto buona).

[ZipGenius]

Confermo: sto usando Kerio Personal Firewall 4.0.14 in italiano versione LITE (sono scaduti i 30 giorni di prova della versione FULL) e al momento tutto funziona bene.

[ancer]

Confermo: sto usando Kerio Personal Firewall 4.0.14 in italiano versione LITE (sono scaduti i 30 giorni di prova della versione FULL) e al momento tutto funziona bene.

:mah1:

[ZipGenius]

Ci risiamo?

Oggi ho scaricato ZoneAlarm 5 Free e finché sono stato sul Web è andato tutto bene. Appena dieci minuti dopo il lancio di Shareaza (per scaricare la versione free di Linspire, ossia l'ex-Lindows), tutto si è impallato: il PC non risponde più al 90% dei comandi e sono costretto a resettare fisicamente la macchina.

Che ZoneAlarm abbia ancora un buco?

[Devil]

Hai scaricato l'ultima versione di ZoneAlarm® è cioe la versione 50.590.015???

Se si lo vuoi un consiglio???Passa a Sygate Personal Firewall

[ZipGenius]

Grazie per il consiglio

Ho installato Sygate Personal Firewall e lo trovo già ben fatto: pochi avvisi, configurazione pressoché automatica.

E soprattutto: 0 incasinamenti.

[robyx]

alla fine sono stato costretto anche io ad installare un firewall, temevo il peggio :-)

Ho installato il zone alarm 5.5.594.00 e , anche usando il p2p con winmx devo dire che al momento non ho problemi.

[dany]

Scusate ma nel sito di sygate come si fa a scaricarlo?

[Danix]

http://smb.sygate.com/buy/download_buy.htm Modificato June 13, 2004 da Danix

[dany]

Grazie Danix

[dany]

Ma non è gratis o sbaglio?

[Danix]

l'ultimo della pagina!

[dany]

Perdona la mia incomprensione!

[dany]

Bastonami,fucilami impiccacami fai quello che vuoi ma.............................accanto non c'e scritto nulla!

[Danix]

vai nel link che ti ho segnalato, cioè qui , scorri tutta la pagina e clicchi su "free download"...

[dany]

Ave Danix!!!!! :giu:

[Devil]

Grazie per il consiglio

Ho installato Sygate Personal Firewall e lo trovo già ben fatto: pochi avvisi, configurazione pressoché automatica.

E soprattutto: 0 incasinamenti.

Bene! :up1:

Hai fatto un ottima scelta.

[Devil]

dany vai qui:

http://smb.sygate.com/products/spf_standard.htm