Domande su spyware,trojan e firewall [era:due domande sceme]

[pallabianca]

Maleditemi, ma perdonatemi: sono di un'ignoranza totale, sto imparando.

1) che differenza c'è tra spyware e trojan?

2) se io ho un firewall, è vero che non mi impedisce di infettarmi ma impedisce agli accidenti di andare in rete a portare quindi fuori le info?

[Habanero]

1]
spyware
trojan

2] Il firewall crea una barriera tra te e la rete e maschera i servizi che sarebbero normalmente visibili all'esterno. Ad esempio le porte usate per la condivisione tra computer di file e cartelle. L'utente può configurare il firewall e decidere cosa fare entrare e cosa no. In questo modo ci si protegge da spiacevoli intrusioni.
I personal firewall, programmi che si installano su ogni PC, consentono anche di controllare cosa esce. In questo caso, ogni volta che un programma cerca di collegarsi ad internet, il firewall ti chiederà se vuoi permettere o meno l'azione.

Per il futuro scegli titoli più significativi.

[pallabianca]

Originariamente inviato da Habanero
1]
spyware
trojan

2] Il firewall crea una barriera tra te e la rete e maschera i servizi che sarebbero normalmente visibili all'esterno. Ad esempio le porte usate per la condivisione tra computer di file e cartelle. L'utente può configurare il firewall e decidere cosa fare entrare e cosa no. In questo modo ci si protegge da spiacevoli intrusioni.
I personal firewall, programmi che si installano su ogni PC, consentono anche di controllare cosa esce. In questo caso, ogni volta che un programma cerca di collegarsi ad internet, il firewall ti chiederà se vuoi permettere o meno l'azione.

Per il futuro scegli titoli più significativi.

Su wilkipedia (e google) avevo cercato prima di postare, ma non ho capito ancora la differenza, per cui ho pensato di chiedere qui.
Il trojan esegue istruzioni, ok, ma queste a volte comportano l'andare in rete, giusto? Lo stesso lo spyware.
Quindi, in parole umane, un firewall usato correttamente (io ho Sygate, impostato su 'ask' per tutto tranne i browser, ICQ e altre due robe logiche), neutralizza trojan e spyware? Li hai, ma non possono fare niente di male e di nascosto, cioè?
E' questo che non ho capito, e mi rendo conto che è una domanda scema per voi esperti: pensavo di essere coperta di insulti, per quello ho messo quel titolo.

[Habanero]

Per carità, non avere paura di fare domande semplici!

Dunque, il trojan deve il suo nome principalmente alle modalità di infezione più che a che cosa effettivamente fa il codice. Un trojan si installa sul sistema sotto mentite spoglie. Tu lo installi perchè pensi che il programma faccia una determinata cosa invece quello ne fa un'altra (oppure fa quello che pensi ma parallelamente ne fa anche un'altra) che tu sicuramente non approveresti. Stop. Poi, spesso ed erroneamente, i trojan vengono considerati programmi che consentono un accesso dall'esterno che permette il controllo del sistema da remoto. In realtà la definizione esatta di trojan e quella che ti ho dato sopra e si riferisce unicamente alle modalità di installazione. Il codice del trojan puo' contenere di tutto. Pensa al cavallo di troia accettato come dono ma che in realtà si rivelò nascondere al suo interno una cosa ben diversa e pericolosa...

Uno spyware è un programma dannoso che registra le tue abitudini nell'uso del PC (siti visitati, uso di un determinato programma, etc...) e comunica queste informazioni all'esterno. Qui ci ri riferisce all'attività vera e propria svolta dal programma.

In linea di massima un programma firewall può bloccare anche i tentativi di comunicare a tua insaputa verso la rete. Si parla in questo caso di protezione in uscita o outbound. Considera comunque che esistono numerose tecniche per bypassare queste protezioni e che i personal firewall sono molto più deboli nella protezione in uscita rispetto a aquella in ingresso. Nonostante questo puoi stare ragionevolmente tranquillo.
La prima regola rimane comunque la prudenza e la diffidenza nei confronti di ciò che si scarica e installa. Secondo, mantenere sempre i programmi e il sistema aggiornati per evitare che contengano vulnerabilità. E' sottointeso l'uso di un antivirus aggiornato.

[pallabianca]

Grazie

Una domanda sola ancora: una volta ho formattato e dopo reinstallazione del SO (quindi senza le patches scaricate con W update), appena in rete mi sono beccata il sasser, senza fare NIENTE (da allora ho il firewall ).

La domanda è: trojan e spyware sono sempre e solo su file eseguibili (quindi devo fare qualcosa io) o mi possono arrivare tra capo e collo senza che io me ne accorga e faccia niente come è successo con il sasser?
Difficilmente installo cose strane scaricate, ma ho paura di essermi beccata un coso da un CD fatto e masterizzato in casa, contenente un exe (proiettore di flash).
E' possibile? Se un PC è infetto, è possibile che nel fare un exe con flash ci si vada a mettere dentro un malware?

Il coso ce l'ho, già beccato con una sacansione online, adesso pero' vorrei sapere come l'ho preso, capisci?
E' da qui che vengono tutti i miei tentativi di capire.

[Habanero]

Installare tutte le patch di sicurezza è una regola molto importante, anche se si usa un firewall. I pericoli dovuti alle vulnerailità possono venire anche dall'interno non solo dall'esterno.

Nella maggior parte dei casi è necessaria una azione dell'utente per attivare un codice dannoso. Come capisci bene il trojan da questo punto di vista è subdolo.

Nel caso dei worm Sasser e Blaster la cosa è stata ben peggiore. Questi worm sfruttavano una vulnerabilità presente in alcuni servizi di windows che si affacciano sulla rete. Si è scoperto che, inviando dalla rete dei pacchetti intenzionalmente mal formati alle macchine vulnerabili, era possibile forzare l'esecuzione di codice arbitrario indipendentemente dalle azioni dell'utente. L'impatto è stato devastante perchè bastava collegarsi ad internet per rimanere infettati. Chi aveva il sistema vulnerabile, ma aveva installato un firewall, è stato immune perchè i servizi incriminati non erano raggiungibili.

Per quanto riguarda l'exe di flash infettato è tutto possibile. Scoprire da dove è arrivato è più difficile. L'importante è sincerarsi di ripulire bene il PC. Poi, come ti ho detto, le regole base sono:
-programmi e sistema aggiornato con le patch,
-firewall
-antivirus aggiornato.
Ogni tanto non guasta qualche altra scansione periodica con programmi antimalware come Ewido, AdAware e Spybot.

[pallabianca]

Sono ancora qui

Ho fatto una scansione con Panda Active scan, non mi ha trovato neanche un virus, ma mi ha trovato ben 19 spyware (vedi allegato).
Sono tutti cookies

Sono in cache di Mozilla (non li elimino mai, per pigrizia) e pero' ce ne sono anche qui:

C:\Documents and Settings\io\Cookies


Qui non ce ne sono: C:\Documents and Settings\io\Impostazioni locali\Temporary Internet Files
(avevo appena tolto i cookies da ie, quindi è logico)


Prima domanda: che differenza c'è tra i primi e i soliti cookies? Cosa sono quelli non in cache?

seconda: li elimino? Voglio dire, li butto io a mano o corro qualche rischio?
Con 9 dollari me lo fa lui online per 6 mesi, che sarebbe anche equo, ma non se è solo per eliminare dei cookies!

e terza: quindi gli unici files 'infetti' che ho sono i normali cookies?
Perchè li considera spyware (compresi quelli che mi scarica in cache html.it)? Lo so che potenzialmente sono spie, ma insomma, sono comodi per moltissimi aspetti, e non credo siano pericolosi in modo subdolo.

[pallabianca]

Aggiornmamento:

Ho eliminato i cookies da Mozilla e ho rifatto la scansione.

Adesso me ne ha trovato 14 (quelli in cache erano 5 infatti) tutti in C:\Documents and Settings\io\Cookies

Ci sono andata e ho trovato 28 cookies, compreso uno che si chiama io@<a href="http://www.pandasoftware...are</a>[1].txt che cioè mi hanno messo loro.

non 14, quindi non li legge tutti come spyware. Perchè certi sì e certi no?

In pratica, avendo 0 virus e solo dei cookies, li elimino a mano (quelli che ci sono nel loro report) e sono a posto?

Il fatto che non mi segnali nessun virus vuol dire che va tutto bene no? I trojan (li odio, ne sono terrorizzata, non so se si è capito)?

[Habanero]

I cookies non sono pericolosi e non c'è da preoccuparsi più di tanto...

Alcuni li identifica come spyware e vengono denominati tracking cookies (cookies traccianti). Questi sono spesso usati dai banner per tenere traccia di quali siti visiti e personalizzare le proposte pubblicitarie. Questi cookie contengono un ID univoco per ogni utente e quindi sono in grado di riconoscerti durante la navigazione. Ben inteso che vieni riconosciuta come puro numero ID, riconoscono che sei la stessa persona già incontrata in precedenza ma non possono conoscere le tue generalità (nome cognome etc..).

Questo atteggiamento di tracciamento da molti viene considerato fastidioso (a mio parere non certo pericoloso) e perciò i vari programmi antimalware li rimuovo. Non si tratta comunque di una infezione.

[pallabianca]

Appunto, sapevo cosa sono e come funzionano, per quello sono rimasta interdetta che me li riconoscesse come virus: io quando accedo al forum risulto già loggata per via di un cookie, e così via.

Comunque ho buttato via tutti i cookies che non piacevano a lui dalla cartella C:\Documents and Settings\io\Cookies (quelli non in cache dei browser, intendo dire, che non ho ancora capito cosa stanno a fare in quella directory).

Quindi non ho niente alla fine, se tutti gli spyware che ha trovato erano cookies, giusto?


Grazie ancora