qualcuno mi spiega come mai ci sono ancora worm in giro che attaccano windows (anche la services pack 2) nonostante c'è il firewall che filtra il traffico in uscita?
un worm per propagarsi deve per forza uscire in rete se no non ha modo di propagarsi... giusto? Si, allora perchè...
maggiori info... grazie!
Hai raggione forse troppo povero
allora: immagina di essere stato attaccato da un worm che sfrutta una vulnerabilità recente e il tuo computer non sia stato aggiornato a dovere.
il worm si copia si esegue e si crea una chiave nei reggistri (nel caso di windows), quest'ultimo per propagarsi usa vari modi,inviare mail ai tuoi contatti della rubrica e attaccare altri computer con la stessa vulnerabilità con il quale il tuo computer è stato attaccato.
ma... nella nuova versione di windows XP c'è un piuccolo firewall che filtra tutto il traffico in uscita, quindi se il worm si vuole propagare dovrà per forza stabilire una connessione (o con un server di posta,o fare scansioni per vedere se puo usare la shellcode che usa per propagarsi nei computer vulnerabili)
la mia domanda è: come è possibile che ci siano worm in grado di propagarsi anche con la nuova versione di win XP nonostante ci sia il firewall che filtra tutto il traffico in uscita, e avverte quando un programma si connette ad internet?
difficilmente un worm può essere fermato da un firewall, e poi considerando l'efficenza di quello di xp..
giustamente
cmq credo possa fermarlo in ogni caso non credi?
dato che è quella la sua funzione...
Svelato l'arcano: Windows firewall NON filtra il traffico in uscita ma solo quello in entrata.come è possibile che ci siano worm in grado di propagarsi anche con la nuova versione di win XP nonostante ci sia il firewall che filtra tutto il traffico in uscita
Il tutto è cmq relativo al tipo di vulnerabilità e da come i worm la utilizzano. E' ovvio che se apri un worm sotto forma di allegato e-mail il firewall può fare ben poco.
E' essenziale fare una netta differenza tra worms (che mi si passino i termini) 'attivi' e 'passivi'
Esempio di worms 'attivi': Sasser e Blaster exploitano la vulnerabilità mediante 'connessione diretta' da host a host.
Nel caso in cui tu fossi vulnerabile (aka, non patchato) ad entrambe o una delle due vulnerabilità il firewall (Win firewall compreso) ti garantirebbe protezione droppando (bloccando) automaticamente qualunque pacchetto destinato alle porte su cui vanno ad agire tali worms (nel dettaglio: 445 e 139 TCP). E' ovvio che avendo una protezione per il traffico in uscita eviti di essere 'portatore' ma avendo una protezione per il traffico in entrata si presuppone che tu non debba mai infettarti, perlomeno dai worms di tipo 'attivo'.
Esempio di worm passivi: per citarne uno tra i tanti: Netsky. In quel caso la propagazione avverrebbe mediante messaggi di posta recapitati a chiunque (infetti e non) e l'infezione sarebbe data dall'interazione dell'utente che apre manualmente e volontariamente l'allegato. Ovvio che in quel caso il firewall può fare ben poco dato che non si tratta più di una connessione 'diretta' tra i due host e il protocollo POP3/SMTP su cui viaggia il file infetto è tranquillamente ammesso nelle regole di firewalling di entrambi gli interlocutori.
Veramente direi che il firewall è probabilmente uno dei pochi componenti che garantisce una protezione attiva e costante, in particolar modo a tutti quegli utilizzatori soliti a non aggiornare il proprio os. Worms come sasser e blaster, giusto per citarli ancora, avrebbero avuto un impatto enormemente maggiore senza l'attuale diffusione dei personal firewall, quello di Windows compreso.difficilmente un worm può essere fermato da un firewall, e poi considerando l'efficenza di quello di xp..
Rilasciata Python FTP Server library 0.5.1
http://code.google.com/p/pyftpdlib/
We'll be those who'll make the italian folks know how difficult can be defecating in Southern California without having the crap flying all around the house.
I worm si distinguono fondamentalmente in intenet worms e mass-mailer worms. Tuttavia questa distinzione si rivela fittizia allorchè si ha a che fare con worm come Nimda, che sfruttano entrambe le caratteristiche. La vita di un worm in Internet è pressochè infinita, perchè dato il numero spropositato di macchine in gioco ci saranno sempre punti vulnerabili nn patchati che il worm potrà sfruttare per replicarsi. Il firewall di xp nn offre un'adeguata protezione outbound, come è già stato detto: ergo se si è infetti da un worm che apre una backdoor con l'esterno il firewall di xp nn noterà nulla di strano. Due sono i consigli che vi do:
1) installare un firewall completo (Sygate, Outpost, Zone Alarm, ecc)
2) patchare il sistema operativo
http://www.sarc.com/avcenter/venc/da...imda.a@mm.html
Permessi di invio
Rispondi quotando