Sistemi di rilevazione intrusioni su PC

[pulse36]

Buongiorno a tutti.

Chiedo cortesemente aiuto a proposito di una situazione che mi sta inquietando da un po' di tempo.

Da svariato tempo, ho la sensazione che persone con le quali ho a che fare tutti i giorni, dotate di grande capacità tecnica informatica, abbiano trovato il modo di accedere al mio PC personale via rete. Tale sospetto è motivato da mezze frasi e sottointesi che mi lasciano intendere che qualcuno si stia divertendo in maniera non proprio ortodossa, anzi direi un tantino illegale.

Adotto i normali sistemi di protezione, ovvero adotto password complesse, non utilizzo l'utente root ma un utenza con privilegi normali, ho firewall e antivirus. ma sono perfettamente conscio del fatto che i bachi di sicurezza di Windows permettano di vanificare tutto.

Il mio PC non contiene dati sensibili, il suo uso é esclusivamente per svago, quindi non ci sono rischi veri. Ma ciò non toglie che, per principio, la cosa mi dia grande fastidio...

A questo scopo sto cercando dei sistemi di tracciatura, programmi da installare sul PC che siano in qualche modo di identificare le intrusioni e possibilmente identificare l'intrusore.

Sareste cortesemente in grado di segnalarmi sistemi efficaci per questo scopo ?

[MatCap83]

Ciao, software appositi per la rilevazione di intrusioni lato desktop non ne conosco , ma posso darti molti consigli. Facciamo il punto della situazione step by step. Prima pensiamo a rendere sicuro il sistema operativo:

1- che versione di Win hai? Antivirus? Aggiornali costantemente.

2- è abilitata la connessione da remoto? In tal caso provvedi a disabilitarla seguendo queste istruzioni http://www.francescopetrungaro.com/i...dows&Itemid=60

3- installa un software anti-rootkit, dai un'occhiata a questo link qui: http://sicurezza.html.it/articoli/le...co-i-migliori/

4- tieni tutti i dati sensibili su almeno un supporto esterno rimovibile (hd esterno, dvd, ...) e rimuovilo quando non è necessario.

Adesso pensiamo alla parte rete:

5- usi il pc da casa o da lavoro? Se usi il pc da casa o da una rete tua occupati di mettere in sicurezza la tua rete (router/access point) con password robuste e protocolli adeguati. Usa WPA2 nel caso di rete wireless e non WPA o WEP.

6- se usi Firefox installa questo plugin: http://www.risorsegeek.net/addon-per...ate-e-cifrate/

e in generale usa sempre protocolli cifrati per collegarti sul web. Ad esempio anziché collegarti con http://www.google.it vai su https://www.google.it. In questo modo i dati vengono cifrati, e appaiono indecifrabili ad un eventuale "guardone".

7- alternativamente al punto precedente installa un software per l'anonimato come Tor, che cifra automaticamente tutto il traffico inviato. Tor è gratuito e ottimo, e lo puoi trovare qui: https://www.torproject.org/download/download

Non è tutto quello che si può fare, ma è una buona parte, e rende la vita difficile ai malintenzionati! a loro!

ciao

[pulse36]

anzitutto: grazie per la risposta.

La versione di Win che uso é Vista, ma uso anche un buon Linux Ubuntu 10.04, montato con Wubi. La remote connection è disattivata. Il PC è mio personale, lo uso da casa, ho il wireless con protezione WPA2, password non banale, e filtro Mac address attivato.

Per quanto riguarda gli accorgimenti che mi hai suggerito (grazie) li proverò quanto prima. Fra l'altro TOR c'e' anche per Linux se non erro, quindi...

[MatCap83]

Originariamente inviato da pulse36

anzitutto: grazie per la risposta.

La versione di Win che uso é Vista, ma uso anche un buon Linux Ubuntu 10.04, montato con Wubi. La remote connection è disattivata. Il PC è mio personale, lo uso da casa, ho il wireless con protezione WPA2, password non banale, e filtro Mac address attivato.

Per quanto riguarda gli accorgimenti che mi hai suggerito (grazie) li proverò quanto prima. Fra l'altro TOR c'e' anche per Linux se non erro, quindi...

Esatto, Tor c'è anche per Linux e puoi usare o il bundle preconfezionato (basta avviare il browser che trovi nel pacchetto) oppure installi solamente Tor ma poi devi smanettare un pochino e configurare i vari applicativi. Infatti puoi usare Tor non solo con il browser ma anche con molti programmi che usano http/https come ad esempio programmi di chat (skype no).

Dato che ti colleghi dalla rete wireless di casa tua, è molto probabile che qualcuno sniffi la rete e sia riuscito ad entrare. L'alternativa è che sia stato installato software a tua insaputa sul tuo pc, come un cavallo di troia o un altro tipo di malware, e che queste persone entrano in questo modo. Se è stata bucata la tua rete, chi l'ha fatto può osservare TUTTO il traffico non cifrato in transito da e verso il web (siti visitati, dati scaricati, ...). E' probabile che questo qualcuno sia poi riuscito anche ad avere accesso al tuo pc, ma è più difficile secondo me. In ogni caso la soluzione è: proteggi la tua rete e cifra i dati inviati e sarà impossibile avere intrusioni indesiderate (a meno che non sia un genio della nasa). Quindi, usa WPA2 e cambia per sfatare ogni dubbio la password. Usa questo sito per testare la robustezza della password:

http://www.passwordmeter.com/

Con WPA2 e password veramente robusta (ad esempio ?1isdaIRDR1? dove le lettere sono le iniziali di un noto film da 11 oscar, trucco per ricordare password complesse) non ci sono modi di entrare dall'esterno ! E ovviamente stai attento a non installare software prestato da vicini troppo curiosi...

ciao

[pulse36]

Si, la codifica del segnale è con WPA2, e la password è tutto fuorchè banale. in più ho inserito anche il filtro Mac address, credo che da quel punto di vista dovrei essere ragionevolmente al sicuro.

Il problema secondo me viene dall'esterno. Non ne sono sicuro, ma credo che se un malintenzionato riesce ad ottenere un IP address, con questo poi qualcosa ci possa fare. Da quello che ho capito, le minacce possibili sono : Rootkit, Keylogger, Trojan, Bruteforce attack, falle di sicurezza di Window$. Correggimi se dimentico qualcosa.

Mi piacerebbe davvero riuscire a rendere sicuro il sistema, ma ancora di piu' mi piacerebbe essere in grado di beccare gli eventuali intrusi.

E ancora di piu', mi piacerebbe scoprire che sono tutte paranoie mie...

[MatCap83]

Originariamente inviato da pulse36

[...] Il problema secondo me viene dall'esterno. Non ne sono sicuro, ma credo che se un malintenzionato riesce ad ottenere un IP address, con questo poi qualcosa ci possa fare. Da quello che ho capito, le minacce possibili sono : Rootkit, Keylogger, Trojan, Bruteforce attack, falle di sicurezza di Window$. Correggimi se dimentico qualcosa.
[...]

Hai un abbonamento ADSL e con IP dinamico? Lasci il router sempre acceso 24h su 24? Poi ti rispondo con le mie opinioni...

[pulse36]

Si, è un'ADSL con IP dinamico. Quanto al router wireless tendo a spegnerlo quando non serve.

[MatCap83]

Originariamente inviato da pulse36

Si, è un'ADSL con IP dinamico. Quanto al router wireless tendo a spegnerlo quando non serve.

Ok... A questo punto oserei dire che è molto ma molto molto molto difficile che il problema venga dall'esterno! Se avessi un indirizzo statico o restassi collegato 24h su 24 senza disconnessioni di alcun tipo (non escludo che il provider effettui un cambio dell'ip a intervalli regolari), l'attaccante potrebbe tentare di apprenderlo e poi sferrare l'attacco, altrimenti è veramente arduo... L'IP ti viene assegnato ogni volta che ti colleghi, e viene assegnato al tuo router wireless dal provider. Non so se sai come funziona l'indirizzamento IP e tutto quello che ruota attorno. Ad esempio il provider potrebbe assegnarti un IP nel range 98.126.0.0 - 98.126.255.255, ho fatto il whois di un IP preso a caso . L'attaccante dovrebbe:

1- conoscere il tuo provider (facile)
2- conoscere l'indirizzamento usato dal provider, e quindi il/i possibile/i range (abbastanza facile)
3- trovare il tuo IP nel/nei range (molto difficile e richiede tempo), o meglio l'indirizzo IP associato al tuo router
4- conoscendo il tuo IP, scansionare il tuo router, trovare le vulnerabilità e usarle (mediamente difficile)
5- fare ponte usando il router e accedere così al tuo pc (difficile)
6- prendere possesso del tuo pc installandovi software malevolo, come trojan, backdoor, rootkit, ... (difficile)

Considera che se aggiorni antivirus, firewall, sistema operativo, sei sicuro di non avere software malevolo sul tuo pc (fai magari qualche scansione online, ce ne sono molte di gratuite). Oltre a questo, ogni volta che ti disconnetti e poi riconnetti l'attaccante dovrebbe ricercare il tuo indirizzo IP... Anche ad essere bravi nel mestiere serve molto tempo. Passare ore e ore ogni volta solo per divertirsi a vedere il pc del vicino?!?

[R16]

Ciao a tutti.
Volevo solo segnalare, che se sono riusciti ad entrare una volta nel pc, e per caso hanno installato un Keylogger, poi, viene tutto più facile.
E, (purtroppo) ci sono Keylogger che non sempre vengono rilevati dai vari software tradizionali di difesa.

[pulse36]

Anche ad essere bravi nel mestiere serve molto tempo. Passare ore e ore ogni volta solo per divertirsi a vedere il pc del vicino?!?

Si... in effetti, a pensarci bene, chi si ritrovasse a fare una cosa del genere sarebbe una persona con dei seri problemi... come dire... il mio è un normale PC che non contiene niente di significativo, le solite cavolate. Non è il mainframe della CIA...

Pero' mi fa piacere sapere di avere configurato il sistema in maniera ragionevolmente sicura. Sicuri al 100% non si è mai, ma tant'e'...

Peccato non si possano rilevare le intrusioni se non server-side, ma credo anche di avere capito il perche'.