Accedi per seguire   
Seguaci 0
mantra

Che Può Succedere Senza Un Firewall Attivo?

58 messaggi in questa discussione

GRAZIE CMQ con os aggiornato e av non sarebbe successo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao comunque sempre meglio avere un antivirus aggiornato(per l'antivirus opterei per quelli a pagamento)un firewall anche free va bene dato che sono buoni e come ha detto kuma 2/3 io aggiungerei anche 5/6 antispy :dia: :dia: :dia: non guastano dato che non vanno in conflitto tra loro ed in ultimo ma non meno importante aggiornare sempre il sistema operativo!!quello detto da lorenz succedeva anche con un firewall(secondo me)dato che il blaster sfrutta/sfruttava una vulnerabilita adesso pachata che colpiva/colpisce la porta 80 con gli attacchi denial of service(DOS)e mandando in tilt il sistema con conseguente riavvio :):P:P:wub::P;):(

Modificato da lucass

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Lucass, sono andato a riguardarmi qualche info riguardo al Blaster, questo pezzo di storia dell'informatica ( :P ), praticamente, la vulnerabilità è riferita alla porta 135 (DCOM RPC), e per proteggere il PC da questo worm è sufficiente un firewall (situazione vissuta sulla mia pelle in una circostanza particolare troppo lunga da riferire... :P ), poi in effetti, se si è colpiti da questo worm, si diventa uno "zombie" in quanto poi lo scopo è quello di lanciare un DDOS dalle macchine infette verso il sito di Windowsupdate. Maggiori info qui

Edit: riguardo ai programmi da installare, avete dimenticato il più importante, Brain 1.0... :wub: praticamente, usare il cervello e un po' di attenzione è la miglior cura contro virus et similia. :P:)

Modificato da Lorenz

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

e vabbene ma non puoi essere generico dato che tu hai fatto riferimento al blaster e non la variante del blaster ;):(;)

Blaster is a worm that affects Windows 2003/XP/2000/NT computers only. Blaster exploits the Buffer Overrun in RPC Interface vulnerability to spread to as many computers as possible.

Blaster launches denial of service (DoS) attacks against the windowsupdate.com website. Whenever the system date is between the days 15 and 31 of every month, or every day during the months September through December of every year, Blaster sends a 40 byte packet every 20 milliseconds, using the TCP port 80.

Blaster spreads by attacking IP addresses generated at random and exploits the vulnerability mentioned above to download a copy of itself to the compromised computer. In order to do this, Blaster incorporates its own TFTP (Trivial File Transfer Protocol) server.

If you have a Windows 2003/XP/2000/NT computer, it is highly recommendable to download the security patch from the Microsoft website. Click here to access the web page for downloading the patch.

Visible Symptoms

Some clear indications that Blaster has reached the computer are the following:

The network traffic increases on the TCP 135 and 4444 and UDP 69 ports.

(Il traffico di rete aumenta sul TCP 135 e 4444 e sull'UDP 69)

The attacked computer blocks and restarts, due to programming errors in the code of the worm.

:):P:P:wub::P

Modificato da lucass

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Edit: riguardo ai programmi da installare, avete dimenticato il più importante, Brain 1.0...  praticamente, usare il cervello e un po' di attenzione è la miglior cura contro virus et similia

scusa è una battuta o esiste un programma brain 1.0?

io gli av ne ho provati tanti

nod32 e avast mi sembrano i migliori

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Penso che era una battuta :P per avast miglior antivirus penso di aver letto male,per nod32 :up1: :up1: :up1: io lo reputo uno se non il migliore insieme a kaspersky se l'hai comprato hai fatto un ottima scelta naturalmente da abbinare ad un firewall free mio consiglio sygate(inglese)e kerio(italiano)e pure outpost(inglese)e gia che ci siamo lo strafamoso zona allarm(inglese) :):P:P:wub:

Modificato da lucass

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Salve,

Brevemente :

1) Il S.O. aggiornato : beh...è avvio che gli aggiornamenti, molto spesso, sono post datati rispetto alla minaccia, il che significa che , comunque, esiste una finestra temporale in cui il PC è "virtualmente" (ma anche "fisicamente") attaccabile...proprio perchè ancora la patch non c'è...

2) Il problema dei Buffer underround (Blaster & Similaris) : sono delle vulnerabilità molto "subdole", in quanto pochissimi (in percentuale) sanno, per esempio, che cosa è l' RPC (Remote Procedure Call o Chiamata a Procedura Remota, se preferite, in Italiano...) e , soprattutto , chi e come lo utilizza....nella fattispecie DCOM (Didtributed Component Object Model o Modello a Componenti Distribuiti).....

Questa "non conoscenza" fa si che la diffusione di tali virus (worm o come cavolo vi pare)sia in primis rapidissima e "in secondis" molto "letale" ..... infatti , la patch arrivò dopo qualche giorno (e non dopo qualche ora...)....

In tal senso, in Firewall che avrebbe "semplicemente" reso "stealth" (nascosta) la porta 135 avrebbe brillantemente risolto la "partita"....

A volte , per esmepio, neppure le stesse patch che rilascia la Microsoft sono applicabili in ambito aziendale...nella fattispecie la prima release della patch fornita da MS, "cozzava" con la versione 7.2 di Oracle e quindi era un bel problema......

Tutto questo per dire che cosa : non fidatevi solo delle patch rilasciate alla bisogna da MS...cercate di avere un ruolo "Attivo" e non "Passivo"....difendersi bene significa far perdere molto più tempo al tuo avversario che , molto probabilmente, cercherà un'altra preda......

E' il "famoso" discorso del "Leone e della Gazzella".....

Ciao !!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

complimenti per la spiegazione :wub: ma la porta è l'80 che fa andare in crash il pc dato che riceve gli attacchi denial of service(DOS)Con l'invio spropositato dei pacchetti sulle porte 135 ecc ecc aumenta solo il traffico con il conseguenti problema mettere in stealth(invisibile)significa non rendere visibile quella porta ma non significa che è chiusa quella porta puo essere benissimo aperta tutti i firewall mettono le porte in stealth anche se quelle sono aperte la porta in tal caso va propio chiusa ma se blocchi l'80(World Wide Web HTTP) molto probabilmente internet non funziona,anche se ci sono altre porte che svolgono le medesime funzioni 81, 82, 443, 8080, 8090 :):P:P

Modificato da lucass

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

La porta 80 se viene chiusa in ingresso non pregiudica il corretto funzionamento di Internet, puoi continuare a navigare correttamente. Il problema è che Blaster invia pacchetti alla porta 80 del sito di WindowsUpdate, il destinatario dell'attacco DDOS, in cui il PC vittima del virus agisce da zombie. Per quel che ne so io e che ho letto in giro, l'infezione avviene tramite la porta 135, se non chiusa tramite firewall e col sistema non patchato e con AV aggiornato, la porta 80 penso si riferisca al sito di WindowsUpdate che riceve le richieste su quella porta, non tanto al punto d'ingresso del worm sul PC. Altre informazioni interessanti su Blaster sono qui. :)

@ Mantra: sì, era una battuta, magari il programma Brain esiste davvero, ma la mia era una battuta! :P :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

si ok è giusto come dite voi!! :wub::P;) mi continui a dire il blaster ed io ti continua chiedere ma quale variante?e tutte usano modi e porte diverse per infettare!!ciao ciao :):P:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Salve,

Vedo che occorre fare un po' di chiarezza....

Lasciando perdere i discorsi sulla porta 80....le aziende , di sicuro , NON utilizzano la 80 ma la 8080 , che è la porta "mapping" del PROXY...ma questo è un'altro discorso....

Il Sovraccarico sulla porta 135 , che è quella utilizzata dal RPC, fa sì che il portatore dell 'attacco, abbia , poi, il controllo della macchina....aprendo la famosa shell....poi, una volta aperta la shell, tutte le 65536 porte , se non protette, sono a rischio....

Questo perchè, i sistemi operativi su tecnologia Win NT , per poter caricare ed eseguire le proprie DLL , utilizzano , guarda caso, DCOM a livello più alto e RPC a livello più basso (come nastro trasportatore)

Se non credi a questa cosa , te ne potrai rendere conto facilmente utilizzando la prossima versione del TqM (la release 2) che fa uso proprio di DCOM e RPC per prendere il controllo di un PC in LAN ed eseguirci le operazioni proprio come se l'applicazione fosse installata in locale (ma così NON è...)

Quello che stai dicendo TE, ovvero l' utilizzo dlela porta 80, è una conseguenza dell' aver portato l'attacco a livello di porta 135....quindi, bloccando opportunamente la 135, eviti anche il resto......

Il fatto di rendere Stealth una porta NON significa che questa sia "sicura"...significa semplicemente che tale porta, dall' esterno, NON risulterà "visibile" a programmini di tipo Port-Scan ... I Firewall migliori, poi, utilizzano la tecnologia SPF (Stateful Packet Filtering), ovvero sono in grado di "leggere" e capire tutti i layer del protocollo TCP/IP (7) e di sapere se un pacchetto è arrivato a fronte di una richiesta e di chi...se non c'è corrispondenza, il pacchetto viene scartato...questo, lo "pseudo Firewall" di Windows XP, ancora non lo fa....ed è per questo che è ancora molto vulnerabile....

Se ancora qualcosa non ti è chiaro, saono a disposizione per ulteirori chiarimenti/approfondimenti.....

Ciao !!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusa quali chiarimenti?io ho capito tutto anche senza che tu me lo spiegassi ma evidentemente stavamo/stiamo dicendo cose diverse ma non fa niente!!!ciao ciao

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Salve,

Scusa quali chiarimenti?io ho capito tutto anche senza che tu me lo spiegassi ma evidentemente stavamo/stiamo dicendo cose diverse ma non fa niente!!!ciao ciao

Sì...stiamo dicendo cose MOLTO diverse....

La porta 80 viene utilizzata DOPO l'attacco alla 135....questo, che potrà sembrare un dettaglio, in realtà non lo è .... ma fa niente.... :)

Ciao !!

P.S. : in un Forum non si spiega a tizio o a caio...si cerca di fare informazione , in modo corretto, per TUTTI ... almeno io la vedo così... :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao veramente senza fraintenderci,io volevo solo dire che ci sono diverse varianti di questo worm(blaster)ed ognuno utilizza porte diverse per infettare ecc ecc questo volevo dire!!quindi è una cosa troppo generica parlare del blaster come una cosa uguale per tutti quando non è cosi!!!comunque grazie della bella chiacchierata e scambio di reciproche opinioni :):P:P:wub::P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Salve,

Allora, il Firewall di Windows XP, a mio avviso (ma anche all'avviso di molti...anche degli stessi "soffici") non può essere catalogato neppure come un vero e proprio Firewall....mancandogli molte delle funzionalità vere e proprie di un Firewall ... per esempio non è in grado di tenere traccia dei pacchetti in Ingresso / Uscita per sapere esattamente se un determinato pacchetto è stato spedito a fronte di una richiesta specifica......

Quindi, occorre dotarsi di un Firewall sviluppato da terzi (almeno finchè non verrà distribuito il SP3 per XP, dove, si narra, il Firewall sarà notevolmente potenziato...)

Meglio ancora se i soldi si spendono per dotarsi di un Firewall Hardware, forse più difficile da configurare, ma sicuramente più efficace.

78005[/snapback]

Pienamente d'accordo....

Provare per credere! :P

Tests :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Direi che sono attendibili...

comunque la soluzione migliore è provare di persona, fare quei tests non costa niente...

io con Look'n'Stop non passo solo il PCAudit2

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ho provato a fare qualcuno di questi test, in effetti qualcosa sembra sfuggire a sygate...

solo una cosa non mi convince tanto: l'assunto di base dei test è che se il firewall non blocca un programmino del genere allora anche un trojan può farcela, ma siamo sicuri che è davvero così??? :)

ah, ma look'n'stop è a pagamento?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sono appunto piccole applicazioni che simulano la presenza di virus e quant'altro, in modo da poter testare l'efficacia del proprio firewall!

Look'n'Stop è a pagamento, ma puoi provarlo per 30 giorni :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se posso espriremere la mia opinione.... secondo me Sygate è ottimo, e i test come già saprete non sono molto veritieri, io Pasculli mi fiderei di Sygate che è di gran lunga migliore a molti firewall a pagamento, comunque se ti può rassicurare, Sygate è usato dalla suite di Panda! Il migliore antivirus dopo Kaspersky! Ciao :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ognuno la pensa come vuole, e inoltre non lo sapevamo che i tests non sono veritieri.

La cosa migliore è controllare di persona quanto può essere affidabile un antivirus o un firewall. E' importante anche il rapporto che esiste tra la pesantezza e le prestazioni.

Ad esempio Panda è un macigno al pari di Norton, e non credo che sia meglio di F-Prot che occupa 3 MB di memoria.

Questi tests sono veritieri?

Se non ricordo male Sygate chiude tutte le porte, MA NON LE NASCONDE TUTTE!

Idem per Kaspersky Antihacker 1.7, che addirittura manda in crash il sistema al rilevamento di un attacco!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@lucass perchè credi che avast non sia un ottimo av?

io ho usato per 3 anni nod32 , e ti posso dire che a parte i test , che non servono niente perchè calcolano virus 16bit o così vecchi che non esistono più

se ti leggi i test di vb , non nel sito ma in profondità vedrai che un tasso altissimo

@Lorenz cmq Brain 1.0 esiste veramente :):P:P:wub:

@Danix lo hai comprato look and stop ?

in italiano ???

attenzione ! a non passare un seriale finto o fatto con keygen

l&s sembra accettarlo poi...

Modificato da mantra

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao avast è un ottimo antivirus adesso va bene? :andy: sono opinioni personali stai tranquillo che li leggo quei test ma sono solo letture e basta,sui virus che usano nei test non mi paiono vecchi anzi mi paiono abbastanza recenti!!!ciao ciao

http://www.wildlist.org/WildList/RTWL.htm

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma che date retta a look and stop? Questi fanno i test solo per dire che i loro programmi vanno bene anche se non fanno niente!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0