In sintesi: rimozione in 5 minuti

Suggerimenti veloci e sintetici per una rimozione veloce dei principali malware e per la messa in sicurezza del Pc

Questa sezione breve è stata pensata per coloro che non hanno il tempo di leggere l'intero approfondimento relativo a spyware e malware e che comunque vogliono una semplice guida che in pochi passi li guidi all'individuazione e all'eliminazione del problema.

Se notate che il vostro PC assume comportamenti strani assicuratevi di procedere come segue, se qualcosa non dovesse funzionare si rimanda alla guida approfondita per la risoluzione del problema, gli utenti meno esperti dovrebbero comunque leggere l'intera guida.

Scaricate PrevX, installatelo e una volta eseguita tutta la procedura vi farà riavviare il computer per effettuare un primo controllo veloce del sistema. Una volta terminato questo controllo aggiornate le definizioni ed effettuate un altro controllo, questa volta completo.
Scaricate e installate Ewido, SpyBot e AdAware. Dopo averne aggiornato le definizioni effettuate una scansione con tutti e tre i programmi, preferibilmente in modalità provvisoria (premete F8 all'avvio del sistema) ed eliminate tutto quello che viene rilevato come nocivo.
Riavviate il PC.
Scaricate e installate Spyware Blaster, in questo modo il vostro sistema sarà immunizzato da futuri attacchi da parte di spyware malware.
Munitevi di un buon antivirus e un buon firewall. Potete utilizzare come antivirus Avast! gratuito e in italiano nella sua versione Home. Come firewall potete impiegare l'eccellente Outpost, anch'esso nella sua versione Free.
Cambiate il browser: IE è spesso obiettivo di aggressioni condotte con spyware e malware e si consiglia (sebbene la versione 7 abbia notevolmente migliorato la sicurezza) l'utilizzo di un browser alternativo, come ad esempio FireFox della Mozilla Corporation.
Aggiornate e mantenete costantemente aggiornato il vostro sistema operativo, è il modo migliore per prevenire attacchi da parte di software illecito/maligno.
Impostate un punto di ripristino: seguite il percorso Start / Accessori / Utilità di Sistema scegliete Ripristino configurazione di sistema. Dalla schermata che apparirà scegliete di creare un nuovo punto di ripristino, in modo che nel momento in cui si presenteranno dei problemi sarete sempre in grado di ritornare alla configurazione attuale.

Alla fine di questo procedimento dovreste aver ridotto sensibilmente ogni possibile rischio di infezione futuro. Attraverso i programmi sopraindicati dovrebbe essere stata eliminata la maggior parte dei problemi del sistema operativo, se non la totalità dei malware. È consigliabile effettuare le scansioni e il procedimento di immunizzazione/aggiornamento delle firme antivirus e delle definizioni antimalware almeno una volta alla settimana.

Rimane assodato il fatto che la miglior difesa conto i malware resta pur sempre l'accortezza dell'utente: evitate di aprire siti dal contenuto ambiguo, evitate di cliccare su link illeciti o dei quali non conoscete a priori l'affidabilità, meglio rimanere con una curiosità non appagata che con un PC infettato da Malware.

Introduzione

In questa prima parte analizzeremo le diverse tipologie di malware e ne indagheremo i comportamenti. Ogni malware assume un comportamento differente e ha gradi di pericolosità differenti. Nell'introduzione analizzeremo anche i comportamenti di base da assumere ancor prima di avviare la disinfezione del Pc, comportamenti che andrebbero acquisiti e applicati in ogni contesto di sicurezza. Vedremo anche quali sono le operazioni preliminari da svolgere prima della disinfezione e dell'immunizzazione del PC.

Chi sono i malware.

La definizione di malware è piuttosto estesa e comprende un qualsiasi software creato con il solo scopo di creare danni più o meno gravi all'interno del computer nel quale viene eseguito o installato. Il termine è di origine inglese e deriva dalla contrazione di due parole: malicious e software, quindi assume il significato letterale di "programma malvagio"; in italiano è anche detto codice maligno.

Molti utenti possiedono un computer infestato senza nemmeno esserne a conoscenza, molto confondono il termine malware con quelli generico di virus, che in realtà indica un malware più dannoso degli altri e ad alta pericolosità per i Pc che ne sono infettati.

Dal punto di vista legale molte legislazioni di stati USA (prime in questo campo California e West Virginia) considerano il malware come "software contaminanti" e prevedono delle sanzioni anche se - a livello pratico - ben poco è possibile fare per punire chi crea o chi diffonde questo materiale.

A livello internazionale la regolamentazione in merito è estremamente variabile a seconda delle nazioni ed è continuamente in evoluzione. Se da una parte - in generale - i virus, i worm e i trojan sono illegali in quasi ogni parte del mondo non si può dire che lo stesso valga per altre categorie di software dannoso. Per fare un esempio i dialer sono, di per sé, assolutamente legali, è l'uso che ne viene fatto che potrebbe scadere nella dimensione illegale. L'ambiguità legislativa è anche aumentata per il semplice fatto che non sempre è possibile distinguere quale sia un software realmente dannoso e quale sia, al contrario, un software che si limita a svolgere attività fastidiose.

Esiste un enorme mercato attorno a questo software che non starò ad approfondire per questioni di esigenze e di scelta, basti però pensare che in particolare trojan e worms vengono utilizzati per inviare un'enorme quantità di materiale pubblicitario non richiesto (il famoso fenomeno dello Spam), questo materiale viene "tarato" e personalizzato molto spesso sulle esigenze dell'utente o sulle sue informazioni personali ottenute attraverso software maligno. Nello specifico molto spesso si cerca di ottenere il numero di carte di credito, o dati personali che potrebbero essere rimasti salvati nella cache del browser, o ancora indirizzi e-mail memorizzati sul Pc che vengono venduti agli spammer.

La tutela spetta in ultima istanza all'utente, che deve conoscere il software maligno per poterlo combattere e per poter difendere i propri dati personali, i propri interessi, nonché la propria privacy.

Una classificazione

Come accennato nella sezione precedente, sotto al termine malware viene raggruppata una grossa quantità di software e materiale che ha come solo scopo quello di provocare danni nel Pc infestato.

Vediamone una breve introduzione generica:

Virus: sono brevi parti di codice, o frammenti di esso che si diffondono copiandosi all'interno di altri programmi o in alcune sezioni particolari del disco fisso, in modo che essi vengano eseguiti ogni qual volta il file infetto venga lanciato o semplicemente eseguito. La loro trasmissione avviene tra differenti Pc, ogni qual volta un file infetto venga spostato su un'altra macchina. È una tipologia di malware estremamente dannosa, esistono virus che molto spesso costringono l'utente all'eliminazione totale dei dati presenti sul disco.
Worm: al contrario dei virus essi non necessitano dell'apertura del file infettato per diffondersi essi modificano il sistema operativo del PC ospite in modo da essere eseguiti automaticamente e tentare di replicarsi e diffondersi usando come canale privilegiato quello di internet. Per indurre gli utenti ad eseguirli usano tecniche di Social Engineering, o sfruttano alcuni difetti (i cosiddetti Bug) di alcuni programmi o di alcuni sistemi operativi non aggiornati o sprovvisti delle adeguate patch.
Trojan Horse: software che oltre ad avere delle funzionalità "lecite" e non illegali, utilissime per fare in modo che vengano impiegati o avviati dall'utente, contengono anche istruzioni dannose che vengono eseguite in maniera automatica e all'insaputa dell'utente. Non possiedono funzioni di auto-replicazione.
Backdoor: il termine significa letteralmente "porta sul retro". Sono software che consentono un accesso illegittimo e non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento a trojan o worms.
Spyware: sono i software ai quali è prevalentemente indicata questa guida, vengono utilizzati per trasmettere informazioni sul sistema al destinatario interessato. Le informazioni possono spaziare dalle attitudini di navigazione dell'utente a password o chiavi crittografiche memorizzate sui Pc. Lo spyware registra informazioni presenti sul PC infettato e le invia a terze parti.
Dialer: questi programmi si occupano di dirottare la connessione ad internet tramite la normale linea telefonica, quindi attraverso i classici modem da 33/56k. Sono malware che hanno lo scopo di redirigere la connessione predefinita verso un numero a tariffazione speciale allo scopo di trarne illecito beneficio a spese delle utenze.
Hijackers: come suggerisce il nome si occupano di dirottare la connessione verso pagine web indesiderate. Molto spesso si tratta di pagine ad alto contenuto illecito, pubblicitario o pornografico.
Adaware: molti applicazioni non lecite installano sul pc contenuti pubblicitari non desiderati che appaiono generalmente all'avvio del browser o sul desktop sotto forma di finestre pop-up.
Rootkit: in genere sono composti da driver o copie modificate di normali programmi inseriti nel sistema. Non sono dannosi in sé ma hanno la funzione di nascondere sia all'utente che a programmi tipo antivirus la presenza di particolar file o impostazioni del sistema. Possono essere utilizzati per nascondere o mascherare altro software dannoso.
Rabbit: sono programmi che esauriscono le risorse del sistema moltiplicandosi ad altissima velocità, possono occupare grandi quantità di memoria sia RAM che fissa in tempi relativamente molto brevi.

Per approfondire il comportamento e per avere maggiori informazioni relative ad ogni singolo malware si consiglia l'ottima sezione Informatica di Wikipedia.

La miglior difesa: il cervello

Il miglior modo per tutelarsi e per prevenire è quello di conoscere il software dannoso e proteggersi per tempo prima che avvenga l'infestazione della macchina, il modo migliore per farlo è quello di prestare più attenzione ad alcuni parametri che se lasciati impostati di default proteggono in maniera insufficiente la privacy (e.g. le impostazioni di IE). Di seguito riporto una serie di rapidi consigli per rendere il Pc più sicuro agli attacchi indesiderati.

1. Regolare le impostazioni di Internet Explorer.

Internet Explorer giunto recentemente alla sua settima versione è il browser più utilizzato in ambito web, ma anche quello che presenta maggiori problematiche. Se regoliamo le impostazioni di protezione internet ad un livello elevato abbiamo maggiore sicurezza, ma anche una maggiore difficoltà di navigazione in determinati siti web.

2. Non accettare download da fonti sconosciute.

Non accettate, mai per nessun motivo, file la cui fonte non sia comprovata e soprattutto evitate di impostare il vostro browser in maniera che effettui il download automatico dei file. Ogni sito web che genera cookie ha l'obbligo di dichiarare il motivo per il quale questi cookie vengono creati, se ciò non avviene, diffidate:

Installate solo software da siti web di fiducia e la cui licenza è ben chiara, in caso contrario verificate.
Leggete le clausole i caratteri piccoli dei siti di dubbia affidabilità.
Prestate attenzione a ciò che viene spacciato per "gratuito".

3. Prestate attenzione a qualunque comportamento "strano"del vostro Pc.

All'avvio del browser appare una pagina che voi non avete selezionato? Una pagina imprevista (il più delle volte un rindirizzamento ad un sito porno)? Notate un aumento di finestre che si aprono e includono pubblicità in siti che prima non ne avevano? Notate un aumento consistente dei pop-up? Il computer sembra rallentato? Sembrano esserci comportamenti strani o la memoria sembra essere diventata insufficiente anche per avviare le applicazioni più leggere? Se avete risposto sì ad una sola di queste domande dovreste prendere in considerazione l'opzione di essere stati infettati.

4. Munitevi di strumenti per la rimozione specificatamente mirati.

Nella seconda parte affronteremo il problema: attraverso l'utilizzo di software mirati possiamo eliminare celermente ogni tipologia di malware.

5. Utilizzate un account utente

Windows XP - ma non solo - dà la possibilità di creare differenti profili a seconda dell'utente che accede ad una stessa postazione. Cercate di utilizzare per le comuni operazioni che non richiedano importanti privilegi un account utente, ovvero un account sprovvisto dei privilegi amministrativi, in modo che i danni, in caso di infezione e infestazione vengano limitati e circoscritti.

6. Evitate i siti "ambigui"

Evitate in ogni modo di entrare in siti poco attendibili, sono il maggior veicolo di diffusione dei malware, nonché un eccellente ricettacolo di virus.

7. Aggiornate.

Effettuate l'aggiornamento del vostro sistema operativo molto spesso (almeno una volta alla settimana), lo stesso valga per le definizioni dell'antivirus e di tutti gli altri programmi per la sicurezza della vostra macchina.

Operazioni preliminari

Prima ancora dell'utilizzo dei software appropriati è opportuno procedere manualmente ad alcune semplicissime operazioni preliminari in modo da consentire un'accurata pulizia del sistema.

Riavviate per prima cosa il PC in "Modalità provvisoria": per farlo in genere è sufficiente premere il tasto F8 più volte all'avvio della macchina, per intenderci subito dopo le schermate del BIOS. La suddetta modalità avvia solo le applicazioni ed i driver fondamentali per il corretto funzionamento del sistema, in questo modo sarà più facile per l'utente agire sulle applicazioni e sul sistema in generale.

Chiudete ogni applicazione, compresi Internet Explorer e Outlook. Andate nel pannello di controllo, o cliccate con il tasto destro sull'icona di Internet Explorer. Andate in Opzioni Internet e selezionate la scheda Generale: eliminate adesso tutti i file temporanei di Internet, la Cronologia e i Cookies, scegliete anche la voce Elimina tutto il contenuto anche non in linea.

Impostate poi il browser in questo modo: da Opzioni Internet / Impostazioniimpostate la cache in modo che la dimensione massima dei Temporary Internet Files sia massimo 50/60 MByte.

Andate poi in Opzioni Internet / Contenuto / Completamento automatico: cancellate sia i moduli che le password.

Per la pulizia del Pc potete anche ricorrere ad uno dei tanti software gratuiti che le case produttrici mettono a disposizione, un esempio perfetto per il nostro caso è CCleaner, disponibile freeware e con un modulo per la lingua italiana.

Si tratta di un programma semplice da utilizzare che non richiede grosse competenze in materia, eseguite una scansione e controllate quali siano i file che potete eliminare e che occupano spazio inutile, controllate gli applet, i controlli ActiveX e tutto quanto possa risultare sospetto: se avete dei dubbi potete cliccare con il tasto destro e scegliere "proprietà" per verificare la tipologia e la provenienza del file in oggetto.

Eliminate i file temporanei: per il funzionamento delle sue applicazioni windows crea dei file definiti - appunto - temporanei, questi file occupano spazio nella memoria del sistema senza però essere utili, o meglio: dato che ogni applicazione alla sua apertura ri-genera il file temp di cui a bisogno, quelli che risultano vecchi e obsoleti possono essere eliminati senza particolari preoccupazioni. I file temp hanno estensioni del genere: *.tmp, *.temp cercateli con la funzione trova di Windows ed eliminateli. Svuotate il cestino

Controllate ciò che è stato installato sulla macchina: aprite il pannello di controllo di Windows, andate nella sezione Aggiungi o Rimuovi programmi / Installazione applicazioni e controllate tutte le applicazioni dalla lista che comparirà: rimuovete qualunque programma di entità malevola o di dubbia origine, in generale diffidate di tutto ciò che non riconoscete di aver volontariamente installato.

Modificate le impostazioni di visualizzazione delle cartelle: dal menuStrumenti in Risorse del Computer scegliete Opzioni Cartella e selezionate la casella Visualizza cartelle e file nascosti e levate la spunta da Nascondi i file protetti di sistema (consigliato). In questo modo il sistema mostrerà anche i file nascosti, compresi i malware che si nascondono per impedire la loro riconoscibilità.

Installate un browser alternativo: Molto spesso alcuni malware inibiscono completamente le funzioni di Internet Explorer rendendo impossibile l'accesso ad Internet. È bene per questo avere sempre a disposizione browser alternativi che rappresentano un modo intelligente di aggirare il problema in attesa della risoluzione che spiegheremo nei prossimi capitoli. Internet Explorer è parte integrante del sistema operativo ed è necessario per ottenere gli aggiornamenti del sistema operativo in uso, non è quindi disinstallabile. È però possibile ricorrere a browser alternativi sviluppati da case produttrici non Microsoft:Opera e Mozilla Firefox sono due ottime alternative al browser di casa Windows.

Scansione online e locale

Un ottimo punto di partenza è quello di verificare la presenza di software nocivi senza installare nulla sul proprio Pc, aiutandosi con gli strumenti messi a disposizione dalla rete, vediamo ora un elenco di siti che offrono la possibilità di controllare e "scansionare" il Pc a titolo completamente gratuito. È bene però precisare che qualora venissero individuati dei problemi, ma anche se non fosse identificato nulla, sarebbe opportuno procedere comunque con le scansioni in locale ad opera dei programmi ad hoc.

Prima di utilizzare I servizi sotto indicati potrebbe risultare necessario ripristinare la connessione internet irreparabilmente compromessa da alcuni tra I più fastidio malware, se il vostro PC ha problemi di connessione e non riesce ad accedere ad Internet. Dopo aver verificato che non si tratti di un problema del vostro ISP - provvedete con la seguente applicazione: LSPFix. In Windows XP Service Pack 2 è anche possibile utilizzare WinsockXPfix.

Elenchiamo qui di seguito alcuni dei servizi che possono aiutare in questa indagine nel proprio sistema operativo, per ragioni di spazio e comodità riportiamo solo alcuni dei più efficaci e dei più utilizzati.

Do you have parasites?
Il link sopraindicato indirizza a siti nei quali il Pc viene controllato tramite script, le definizioni di tali siti, potrebbero - comunque - non essere sufficientemente aggiornate e quindi non fornire di per sé un reale termine di valutazione del livello di infezioni del proprio sistema operativo.

Strumento di rimozione Malware da eseguire direttamente online
Il tool non viene installato sul computer e non appare quindi nell'elenco delle applicazioni del Pannello di Controllo, occupa invece una cartella temporanea che viene eliminata al riavvio del sistema. Viene aggiornato ogni secondo martedì del mese in base alle segnalazioni ricevute dagli utenti che lo eseguono e registrate in background dal programma. Il report del programma per chi fosse interessato si trova in una directory come questa: %windir%\Debug\Mrt.log.

Windows Live full service can
È un nuovo - e ancora in versione beta - servizio pensato per la scansione online e creato per tutelare la sicurezza e la pulizia dei Pc delle utenze Microsoft Windows. Appositamente studiato dalla Microsoft per le scansioni approfondite dei sistemi operativi che montano Windows. È senza dubbio uno strumento utile, ancora in versione beta, quindi non ancora del tutto completo.

Scansione con House Call
HouseCall è uno strumento innovativo per la scansione e la pulizia dei virus e per verificare altri problemi di sicurezza del sistema. HouseCall è basato sulla Tecnologia Java che permette di supportare tutte le piattaforme.

Avast! Virus Cleaner
Si tratta di un ottimo strumento di rimozione. Avast! è uno dei più diffusi software AntiVirus, e anche uno dei più efficaci, oltre ad essere anche gratuito nella versione personale (home), questo strumento rappresenta una risorsa indispensabile per tutti coloro che intendono effettuare un'analisi online approfondita.

Un panorama dei software utili

In questa breve tabella ho riportato alcune indicazioni ed informazioni relative ai software più utili nell'ambito della sicurezza informatica e contro i fastidiosi spyware. Nella tabella trovate anche le informazioni riguardanti la tipologia del programma e dove reperirlo.

I software sono veramente moltissimi, qui , per ragioni di comodità riportiamo solo quelli considerati più validi.

	SpyBot - S & D Spybot Search & Destroy è un programma per rilevare ed eliminare spyware e adaware installati o presenti nel nostro Pc. Include la rimozione di determinati e specifici programmi che inviano i nostri dati via internet per tracciare profili statistici o rubare dati personali, include l'individuazione di programmi che catturano ciò che scriviamo sulla tastiera del Pc (keylogger). Include inoltre opzioni che permettono di eliminare le nostre tracce di navigazione come la cronologia di ciò che visitiamo piuttosto che le pagine temporanee, i cookies e molto altro. L'interfaccia del software è semplice ed intuitiva e permette di selezionare diverse lingue. Per maggiori informazioni visitate la sezione della guida dedicata al programma.
	Anti-Keylogger 2.4 Anti-Keylogger offre una protezione completa contro tutti quei programmi che si occupano di monitorare ciò che digitiamo sulla nostra tastiera e di inviare queste informazioni a terze parti. Questo programma non possiede una lista di Keyloggers predefinita ma usa dei criteri molto interessanti poter stabilire se un programma stia o meno effettuando una scansione delle informazioni che vengono digitate. Include opzioni di esclusione e offre tre livelli di scansione che possono essere personalizzati.
	Spy Sweeper Spy Sweeper rileva e rimuove in maniera completamente sicura Spyware, trojan, adaware, keyloggers e tool di monitoraggio (Gator, Xupiter, Backorifice). Le definizioni sono costantemente aggiornate. Inoltre offre, nel momento in cui vengono rilevati dei programmi delle utili indicazioni su come proteggere il proprio Pc dagli intrusi. Viene offerta l'opzioni di disabilitare lo spyware, di metterlo in quarantena o direttamente di eliminarlo. È possibile escludere determinati programmi dalla scansione, bloccare la pagina iniziale del proprio browser, programmare delle scansioni automatiche, e molto altro.
	SpywareBlaster 3.1 SpywareBlaster, al contrario dei programmi sopraccitati non esegue una scansione all'interno del pc per verificare quali siano i file infetti, previene l'installazione di malware sul pc. Contiene una lista di controlli ActiveX riconosciuti come spyware e aggiornabile via internet. Consente anche di fare un backup di alcune impostazioni che potrebbero venire modificate da spyware e malware.
	Ad-Aware SE personal ed. AdAware è un tool per la rimozione di spyware e tutto quel materiale che può compromettere la sicurezza delle nostre informazioni personali e del nostro Pc. Include anche moduli per la rimozione della cache o di file temporanei non più utili al funzionamento del sistema. Comprende la scansione completa della memoria del registro di configurazione, delle unità fisse, rimovibili e ottiche. La versione di base è gratuita.
	SpywareGuard 2.2 SpywareGuard ha la particolarità molto interessante di monitorare il nostro sistema in tempo reale offrendo una soluzione per prevenire l'installazione di spyware sul nostro PC.
	PestPatrol 4.3.08 PestPatrol è un tool per la protezione della nostra privacy che esegue una scansione del sistema, rileva ed elimina le minacce come Spyware, Adware, Trojan, etc. È in grado di rivelare spyware che utilizzano una connessione telefonica dal nostro PC e programmi che catturano quello che viene digitato sulla nostra tastiera. Il programma dispone dell'aggiornamento automatico e tra i suoi punti di forza possiamo elencare la semplicità di configurazione e utilizzo. I software più utili e diffusi

Usati congiuntamente, sia Spybot S&D sia AdAware, danno un livello di sicurezza più che accettabile, non sono in grado da soli di eliminare e rilevare l'intera totalità delle minacce ma ne individuano senza dubbio una parte cospicua. È una buona regola eseguire entrambi i programmi solo dopo aver avviato il sistema in modalità provvisoria, e solamente dopo aver aggiornato le firme e le definizioni contro i malware, attraverso l'apposito modulo per l'update.

In particolare è appezzabile il lavoro che eseguono a livello del registro di configurazione di Windows, procedendo all'individuazione e all'eliminazione di chiavi in maniera molto precisa ed evitando così agli utenti meno esperti di dover agire manualmente nel luogo più delicato del sistema operativo rischiando conseguenze disastrose.

Se incontrate problemi nell'avviare SpyBot, Adaware, WDefender o uno qualunque dei programmi sotto riportati (e.g. appena li lanciate si chiudono immediatamente rendendo impossibile le operazioni di scansione), potrebbe essere un chiaro segno di presenza di una variante di CoolWWWSearch, fastidiosissimo programma presente in moltissime versioni che intercetta software e siti antispy, impedendo che essi possano svolgere il loro lavoro e impedendo la scansione e la rimozione di malware dal sistema operativo.

Nel caso in cui si presenti questa eventualità è necessario eseguireCoolWWWSearch.SmartKiller (v1/v2) MiniRemoval. Eseguite una scansione con il programma in oggetto per poter permettere ai software antimalware di svolgere il loro lavoro correttamente

Spybot Search & Destroy

Spybot è uno dei software anti-malware più diffusi e funzionali, scarichiamolo dalla sezione download del sito ufficiale. Installiamolo cliccando due volte sull'icona del programma e seguite l'installer, e la procedura guidata, qualora stiate utilizzando un proxy Spybot vi da la possibilità di regolare la sua connessione ad internet di conseguenza, viceversa ignorate il tutto.

Aprite il programma e procedete con l'avviare la prima scansione.

Il menu a sinistra serve a guidarvi all'interno di tutte le funzionalità del programma, una volta completata la scansione otterrete un elenco di elementi, che devono essere correttamente interpretati: le scritte in rosso indicano una chiara minaccia di tipo malware o spyware. Le scritte in verde invece indicano le "tracce d'uso", ogni qual volta viene aperto un file, un sito o viene avviata un'applicazione, Windows tiene traccia di questo utilizzo in appositi file definiti file log, tuttavia, molto frequentemente questi file risultano essere obsoleti e occupano spazi - seppure esigui - inutili.

Figura 1: L'interfaccia di SpyBot

Di prioritaria importanza è - come per ogni software antimalware - l'aggiornamento delle definizioni: facciamolo attraverso l'apposito tasto denominato Cerca aggiornamenti, presente nella home del programma. Importante è anche consentire al programma il libero accesso alla rete internet, nel caso possediate un firewall, in caso contrario verrebbe vanificato l'aggiornamento.

Appena effettuata la connessione al server ufficiale si presenterà una lista di aggiornamenti disponibili: le firme - ovviamente - sono obbligatorie per la scansione, di secondaria importanza sono file quali la guida in italiano, o l'help; consigliabile comunque scaricare tutto quello che si ritenga possa essere utile viste anche le dimensioni esigue che i file occupano su disco. Effettuata questa procedura è necessario sediari al nocciolo della questione: la scansione.

Premiamo il tasto Avvia la scansione, Check the problems nel caso disponiate della versione inglese del programma. Con il procedere della stessa sarà possibile vedere una lista di elementi considerati potenzialmente dannosi che prenderà forma. Alla fine della scansione sarà possibile eliminare in sicurezza ogni singolo file rilevato da Spybot, se si vogliono ottenere informazioni aggiuntive riguardanti i file dannosi rilevati nel proprio sistema, è sufficiente ciccare sull'elenco del file per leggere nel menù a sinistra la definizione del file e le caratteristiche oltre al grado di pericolosità.

Per eliminare i file spuntare quelli che si intendono cancellare dal sistema e selezionare il tasto Fix the problems, in italiano Correggi i problemi selezionati.

Spybot è in grado di rilevare: AdAware, Hijackers, Keyloggers, Worms, Trojan, Dialer, Spyware e BHO (sono gli assistenti del browser che non rappresentano una minaccia sino a quando non vengono infettati o manomessi.) Le voci segnalate in rosso sono da considerare a tutti gli effetti minacce che devono essere eliminate e problemi che devono essere sistemati. Tuttavia l'utente potrebbe rendersi conto che alcuni di quei file non debbono essere eliminati od decidere deliberatamente di non volerli eliminare: è possibile selezionare solo i file che si intendono sistemare attraverso le spunte laterali, per gli altri file esiste anche l'opziono per ignorarli alla successiva scansione in maniera che non si ripropongano ogni volta. Lo stesso discorso è applicabile alle voci in verde, considerate non dannose.

Ad-Aware SE personal Edition

Ad-Aware risulta leggermente differente da Spybot, ma la sua interfaccia ha tra i suoi punti forti l'assoluta semplicità di utilizzo che guiderà anche l'utente meno esperto verso un corretto utilizzo del programma. Scaricate - al solito - il file di installazione dal sito ufficiale

Procediamo con l'installazione del programma, come al solito non dovrebbe richiedere grosse competenze tecniche, anche in questo caso l'interfaccia del programma risulta essere abbastanza semplice e comprensibile anche da parte delle utenze meno esperte.

Di prioritaria importanza è l'aggiornamento del database definizioni in modo che il software sia in grado di rilevare le minacce più recenti e pericolose, esiste una stringa specifica nella schermata principale che avvisa l'utente qualora le definizioni siano obsolete. È comunque buona pratica controllare gli aggiornamenti cliccando sulla scritta Controlla Aggiornamenti.

Il programma risulta abbastanza intuitivo a livello di interfaccia grafica. Una volta aggiornate le definizioni utilizzare i pulsanti presenti nella zona sinistra del programma e cliccare su Analizza, si presenterà un menù attraverso il quale sarà possibile selezionare:

Scansione completa
Scansione veloce
Scansione personalizzata
Scansione del volume in cerca di ADS

Le categorie sono abbastanza intuitive. Si consiglia sempre e comunque - a meno di ovvie mancanze di tempo - di effettuare una scansione completa e approfondita che, se da una parte impiegherà più tempo di quella "smart" dall'altro offrirà maggiori possibilità di individuare i problemi presenti nel sistema.

L'opzione per la scansione personalizzata presenta al suo fianco un link per sistemare e regolare le opzioni, in modo da impostare il programma per fare in modo che individui ed effettui la ricerca solo su ciò che ci interessa. Cliccandovi su si aprirà un menù aggiuntivo (in una nuova finestra) che permetterà di selezionare le differenti opzioni. Questa scelta è riservata alle utenze che conosco il programma in maniera approfondita e che abbiano una maggiore esperienza.

Ad-Aware offre la possibilità di effettuare una scansione alla ricerca degli ADS (Alternate Data Streams): I recenti Hijackers sfruttano questi flussi dati per insediarsi all'interno dei file passando completamente inosservati. La scansione relativa agli ADS è disponibile solo per il file system NTFS.

Alla fine della scansione Ad-Aware rileverà anche una seria di oggetti definiti MRU (Most Recently Used) una lista di oggetti obsoleti, una sorta di file temporanei che possono essere cancellati per guadagnare piccole quantità di spazio sul disco fisso.

Gli oggetti segnalati in rosso nella lista di elementi pericolosi sono malware e pertanto devono essere rimossi. Per qualunque dubbio è possibile cliccare con il tasto destro sull'elemento e visualizzarne un descrizione contenete il livello di pericolosità e alcune informazioni relative al file in questione.

Ad-Aware non rimuove in maniera totale gli elementi, ma ne crea una copia di sicurezza che sposta nella sezione quarantena, dove essi non possano nuocere, una volta che ci si è assicurati che I file spostati in quarantena non rappresentano parti fondamentali del sistema si può provvedere con l'eliminazione degli stessi.

Le versioni Plus e Pro di Ad-Aware includono uno strumento utilissimo chiamato Ad-Watch che permette di controllare in tempo reale le minacce presenti nel sistema.

Altri programmi e risorse alternative

Esiste un'altra serie di programmi per la scansione e l'individuazione dei problemi del vostro Pc.

Sysclean

Create una nuova cartella chiamata Sysclean (il percorso potrebbe essere: C:\Programmi\Sysclean o anche sul desktop). Scaricate il programma Trend Micro SysClean e posizionate il file nella cartella appena creata. Scaricate poi l'ultimo "pattern file" dal sito Trend Micro.

Estraetene il contenuto nella medesima cartella. Leggete le istruzioni del filereadme.txt. Chiudete poi tutte le applicazioni, antivirus compreso e lanciate SysClean. Per ottenere un risultato ottimale è consigliabile evitare di aprire o eseguire altri programmi mentre il programma è in esecuzione.

Sysclean termina tutte le istanze dei vari malware residenti in memoria, rimuove anche chiavi e valori dal Registro di Configurazione del sistema create dai malware, rimuove files creati nelle cartelle di sistema e infine rimuove - dopo la scansione - tutte le copie del malware che risiedono nei dischi locali.

Ewido security suite

Ewido è un eccellente programma per la rimozione e l'individuazione dei malware. È compatibile solo con Windows 2000 e XP. Il setup scaricabile dalsito ufficiale. Al termine dell'installazione verrà avviata una versione di testing che permetterà di sfruttare al massimo tutte le funzioni della versione "plus" per 14 giorni. Al termine dei quali le estensioni della versione plus verranno disattivate e il programma si trasformerà nella versione freeware, utilizzabile per un tempo illimitato. Un periodo di valutazione di 14 gg. è più che sufficiente per la scansione e la rimozione della maggior parte dei problemi presenti sul PC. È disponibile anche un modulo per la lingua italiana.

Windows Defender

Windows Defender è un programma gratuito che segue la scia di Ad-Aware e Spybot per quello che concerne l'individuazione e l'eliminazione di software maligno presente in memoria. Non si tratta di una risorsa eccezionale, il più delle volte non sarà utile installarla se si possiedono già i programmi di cui abbiamo fatto menzione poco sopra. Riportiamo comunque alcune informazioni di base per completezza.

È un prodotto di casa Microsoft quindi è possibile scaricarlo dal sito ufficiale. L'interfaccia si presenta in modo abbastanza intuitivo, quindi non dovrebbe rappresentare un problema anche per le utenze meno esperte.

CWShredder

Nella - remota, ma non troppo - possibilità che i programmi citati non abbiano sortito alcun effetto è opportuna utilizzare altri software per la rimozione di problemi. Nella prossima sezione tratteremo anche dei problemi relativi a tipologie differenti di malware (e.g. Hijackers, Rootkit, Dialer, etc.)

CwShredder è un programma specifico pensato per la rimozione di un parassita ostico, diffuso e molto difficile da eliminare: si tratta del "CoolWebSearch (CWS)" presente in migliaia di varianti.

Originalmente infettava solo i computer che utilizzavano Internet Explorer, ma le più recenti versioni estendono la loro pericolosità anche ai prodotti della Mozilla. Per rimuovere tale malware è necessario ricorrere all'utilizzo dell'apposito programma disponibile all'indirizzohttp://www.intermute.com/products/cwshredder.html

Riavviate in modalità provvisoria e compattate il file *.zip che avete appena scaricato. Chiudete poi ogni programma, compreso l'antivirus per evitare che i due software entrino in conflitto tra loro. Eseguite a questo punto il file CwShredder.exe e cliccate su Fix e non su Scan. A questo punto il malware dovrebbe venire istantaneamente rimosso dal vostro sistema operativo.

La rimozione manuale

La rimozione manuale è considerata come l'ultima spiaggia alla quale approdare nel caso in cui le altre soluzioni non abbiano sortito l'effetto desiderato. I programmi che abbiamo segnalato nel corso di questa seconda parte in genere dovrebbero eliminare la totalità di malware presente all'interno del sistema.

La rimozione manuale va ad agire sul registro di sistema quindi è estremamente rischiosa se non ci si muove correttamente, per questo è consigliata solo alle utenze più esperte. Agendo in maniera non corretta sul registro è possibile compromettere l'intero sistema operativo impedendone il corretto funzionamento. Si tratta di un sistema estremamente rischioso che può comportare la perdita di dati e impostazioni.

Alcuni file potrebbero risultare non cancellabili manualmente in quanto al momento impiegati in altro modo da Windows, celebre in questo caso il messaggio di Windows Impossibile eliminare 'xxx': il file è già in uso da un altro utente o programma. Chiudere il programma che sta utilizzando il file, quindi riprovare". In casi come questi è possibile usare Unlocker, il programma permette di sbloccare i file per renderne possibile la cancellazione.

I passi per una rimozione manuale sono i seguenti:

Entrate nella modalità provvisoria, nella modalità nella quale è più facile operare: premete F8 all'avvio del sistema, come abbiamo visto all'inizio del tutorial.
Cercate di individuare quale sia il file *.exe che dà inizio all'infezione dei file del sistema operativo.
Aprite il registro di sistema di Windows, per farlo procedete così: Start /Esegui digitate Regedit e premete invio. Una volta aperto il registro (si sottolinea sempre l'importanza di farne una copia di sicurezza che non verrà modificata) eliminate tutte le voci relative al potenziale file pericoloso, per esempio se il file in questione si chiama virus.exe cercate stringhe simili a "virus.exe". Esiste tutta una serie di stringhe che devono essere controllate perché soggette a modifiche da parte dei virus:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
4. Spesso tracce dei virus rimangono nei file "wini.ini" e "system.ini" dovreste controllare se sono presenti tracce aprendo i file suddetti e controllandoli con molta attenzione attraverso l'utility msconfig avviabile digitandone il nome dalla citata finestra Esegui.
In genere viene influenzato anche l'avvio delle applicazioni al boot del sistema operativo, ovvero il virus/malware si riattiva e ri-genera ogni volta al riavvio, questo perché potrebbe essere legato alla directory\Start\Menu\Programs\Startup
Cercate altre possibili tracce del Virus all'interno delle cartelle di sistema. Manualmente.

Si tratta di sei punti che servono da linea di massima per una rimozione manuale dei virus e dei malware presenti all'interno di un sistema operativo, al 90% dei casi non dovrete fare ricorso a questa procedura, i moderni programmi di sicurezza rilevano e proteggono adeguatamente i PC, l'importante è che siano correttamente configurati e sempre aggiornati con le ultime definizioni rilasciate dalle case produttrici.

Altre problematiche

Hijackers

In questa sezione affronteremo i problemi relativi a software che non sono classificabili come semplici spyware, ma che rappresentano una minaccia abbastanza consistente per la sicurezza della propria sicurezza e della propria privacy in ambito informatico.

Vedremo come risolvere i problemi relativi agli Hijackers, strumenti che dirottano la connessione web verso siti illecite contenenti materiale pornografico o pubblicitario. Analizzeremo i Rootkit e vedremo come tutelarci da queste minacce. Ed infine apriremo una piccola parentesi sui dialer, che sebbene al giorno d'oggi siano una minaccia relativa, grazie alla diffusione di connessione a banda larga che li rendono praticamente inutilizzabili, possono comunque rappresentare un serio pericolo per chi si connette alla rete tramite modem e linea tradizionale.

Come anticipato gli Hijackers dirottano la connessione sostituendo alla pagina predefinita del browser una scelta da loro, ovviamente la pagina scelta non è casuale e spesso contiene materiale illecito nonché parecchi spyware e worm. Un Hijackers (lett. "dirottatore") è un "buon" punto di partenza per infettare il proprio Pc in maniera estesa.

HijackThis è un programma creato da Merijin Bellkom molto potente ed efficace per la scansione di tutti i file che potrebbero rappresentare una minaccia per il sistema.

In realtà il programma esamina certe aree chiave del registro di sistema e crea una lista del contenuto. Queste aree scansionate sono ricche di chiavi che possono o meno essere state contaminate da software maligno. Spetta all'utente decidere se e quali eliminare dal registro di configurazione. Molte delle chiavi elencate dal programma non sono maligne, ma servono per il corretto funzionamento del sistema, è quindi opportuno rivolgersi ad utenze esperte - tramite newsgroup e forum - per capire quali siano le chiavi da eliminare e i problemi da sistemare. Qualunque azione sbagliata, come l'eliminazione di una chiave particolare potrebbe compromettere il corretto funzionamento di alcune parti del sistema, è quindi opportuno procedere con cautela ed attenzione.

Il primo passo è quello di scaricare il programma all'indirizzowww.spywareinfo.com/~merijn/downloads.html

Al primo avvio HijackThis si presenta come una semplice finestra: sarà sufficiente cliccare su Scan perché venga effettuata una prima scansione del sistema e vengano individuate le chiavi del registro. Se avete precedentemente utilizzato Spybot Search and Destroy o AdAware e avete sistemato dei problemi con essi, riavviate il Pc.

Assicuratevi anche di aver estratto il programma e di non farlo partire all'interno dell'archivio. A questo punto aprite HijackThis e usate il tasto Scanper individuare una lista di elementi presenti sulla vostra macchina.

Al termine del processo di scansione il bottone Scan cambierà il suo aspetto inSave Log attraverso il quale potete creare un file denominato - appunto -hijackthis.log. Si aprirà una finestra di dialogo che vi permetterà di salvare il file dove desiderate. Aprite successivamente il file log con il notepad di Windows e copiatene il contenuto formulando richiesta di aiuto in forum, come quello diHTML.it o di Alground, o newsgroup, in modo da ottenere risposta da gente qualificata. Questi spazi di discussione offrono la possibilità di "postare" il proprio log in attesa che venga analizzato da qualche esperto in campo di sicurezza informatica.

Portate sempre pazienza e non riempite i forum con richieste di aiuto, in genere i forum sopraccitati sono molto frequentati e non passerà molto tempo prima che qualcuno vi risponda.

Esistono anche altri strumenti, più pratici per la valutazione del proprio Log, potete per esempio imparare ad analizzare il file log da soli, imparando il significato di ogni singola sigla.

Di natura ancora più semplice e pratica sono i siti che permettono l'analisi automatica dei Log di HijackThis tramite semplici form. È tuttavia opportuno sottolineare che affidarsi solo ad un controllo automatico, può - a volte - riservare alcune sorprese. Il consiglio è sempre quello di effettuare analisi incrociate, confrontando magari il parere di un esperto con quanto affermato dal pannello di analisi automatica.

Una volta che abbiamo ricevuto un responso per quanto riguarda la nostra analisi, possiamo procede con l'eliminazione dei problemi, selezionate le chiavi di registro elencate o classificate come maligne e premete il tasto "Fix checked". Cliccate infine sulla finestra di dialogo che si aprirà per dare conferma dell'azione ed eliminare gli elementi selezionati precedentemente.

Nell'utilizzo di HijackThis si raccomanda sempre e comunque una particolare cautela: lo strumento è destinato alle utenze più esperte ed è quindi indispensabile leggere con attenzione i tutorial che abbiamo riportato.

Figura 2: HijackThis

I Rootkit

Ci sono moltissimi trojan e backdoor che sfruttano i rootkit per sfuggire alle scansioni dei software antimalware. Il compito di un rootkit è quello di occultare determinate informazioni, determinati oggetti (quali che siano) all'utente.

Per poter occultare in maniera perfetta gli oggetti, le connessioni, i file o le informazioni i rootkit agiscono ad un livello molto profondo del sistema operativo stesso, andando ad installarsi come parte integrante di esso. Di cui la difficoltà nell'eliminazione.

La lotta ai Rootkit rappresenta un duro ostacolo per le utenze meno pratiche, ma al giorno d'oggi alcuni software gratuiti possono venire in aiuto dell'utenza media: RootkitRevealer e Blacklight sono due esempi che hanno comunque dei limiti. Analizziamoli entrambi e vediamo come utilizzarli al meglio per la protezione del nostro Pc.

RootkitRevealer della Sysinternals è stato scritto da Mark Russinovich, lo scopritore del famigerato Rootkit utilizzato dalla Sony. L'utilizzo di tale programma non dovrebbe rappresentare un problema, non necessita nemmeno dell'installazione, e può essere lanciato anche da supporti removibili. Si occupa di scansionare il filesystem di tutte le unità presenti nel sistema alla ricerca dei file e chiavi nascoste, si occupa anche dell'analisi degli Alternate Data Streams

Blacklight Rootkit Eliminator è prodotto e distribuito da F-Secure in maniera totalmente gratuita sino al 1 Ottobre 2007, ma non è detto che la data non venga prorogata. Nemmeno questo software necessita di installazione, tuttavia non verrà effettuata l'analisi degli ADS. Blacklight da' la possibilità di rinominare eventuali file mascherati in modo da inibire il funzionamento del processo al successivo riavvio del sistema.

Uno dei pochi modi veramente efficaci per la rimozione dei Rootkit sembra però essere quello messo a punto da casa Microsoft attraverso il suo Strider Ghostbuster project. Purtroppo non è ancora ben chiaro se il progetto rimarrà un esperimento interno alla casa di Redmond oppure vedrà la luce come prezioso tool messo a disposizione di tutte le utenze. Non c'è possibilità alcuna di testarlo, al momento.

Strider Ghostbuster basa il suo funzionamento su una analisi offline del sistema, poiché abbiamo visto come nessuna funzione possa essere intercettata con massima accuratezza e precisione. Esegue una prima scansione del disco del sistema in esecuzione utilizzando le medesime API dei programmi che abbiamo prima citato. Si riavvia il sistema attraverso un CD sicuramente non infetto in grado di leggere autonomamente i filesystem. Eseguendo nuovamente una scansione e memorizzandone i risultati. A questo livello i rootkit non operano, infine le differenze tra i due risultati vengono confrontate e segnalate come potenziali minacce.

Si tratta senza dubbio di un progetto interessante che speriamo si evolva nella direzione che tutti auspichiamo

I Dialer

Un dialer è un programma di qualche kilobyte che crea una connessione ad Internet ad una rete di calcolatori o ad un altro computer senza il consenso dell'utente, agisce tramite la comune linea telefonica tradizionale o attraverso un collegamento ISDN. È quindi un sistema obsoleto al giorno d'oggi vista la diffusione delle linee (x)DSL e delle tecnologie in Wi-Fi o in fibra ottica. Non rappresenta più una minaccia così pericolosa come era qualche anno fa, ma per ragioni di completezza abbiamo deciso di trattare comunque l'argomento.

In inglese to dial è un verbo che si traduce come comporre, e "comporre" è effettivamente quello che un dialer fa. Si occupa, dopo essere stati installato di sostituire i parametri della connessione predefinita con numeri ad elevata tariffazione (899, 144, 163,164, 166).

Sino a qualche anno fa le pagine della cronaca informatica erano piene di persone che si ritrovavano con bollette telefoniche che si aggravavano anche attorno a migliaia di euro, senza capirne il motivo.

È opportuno specificare che non tutti i dialer sono illegittimi: alcuni sistemi operativi contengono un sistema in grado di permettere connessioni attraverso il Point-toPoint-Protocol (PPP), spesso poi i Provider internet si occupano personalmente dell'installazione (attraverso supporti Cd) di semplificare il processo di configurazione del dialer che andrà ad occuparsi della gestione della connessione della macchina ad Internet.

L'Italia detiene tristemente il primato mondiale per diffusione e denunce relative alle truffe tramite dialer.

Gran parte dei dialer sono legati ad attività di tipo pornografico o commerciali (si vedano a tal proposito i servizi che offrono suonerie per cellulari), l'utente alla ricerca di quel determinato materiale clicca e accetta i certificati di autenticità facendo in modo che il software venga installato sul Pc. Da quel momento la connessione è dirottata su un numero a tariffazione elevata.

Esiste - tuttavia - una sequela di dialer maligni che si installano sfruttando bug dei programmi di posta elettronica o dei comuni browser, altri disabilitano l'altoparlante del modem per impedire che l'utente si accorga che sta per essere digitato un nuovo numero. I gestori di telefonia fissa prevedono la possibilità di bloccare "alla sorgente" le numerazioni ad alta tariffazione. Il che è senza dubbio una buona prevenzione.

Ma come riconosciamo - a tutti gli effetti - un dialer?

Una finestra di download si apre spontaneamente durante la navigazione.
Nel sito non ci sono accenni evidenti relativamente al costo del servizio.
Il download in genere inizia anche se se si seleziona "annulla".
Il dialer si imposta automaticamente come connessione predefinita.
I costi della connessione non vengono mostrati.
La disinstallazione risulta difficile.

Fortunatamente - e come al solito - programmi ad hoc ci vengono in aiuto: un esempio è l'ottimo a Squared antidialer, prodotto dalla Emsi Software una nota società che si occupa di sicurezza informatica a differenti livelli. Il programma risulta utile anche alle utenze che non usano una linea tradizionale o ISDN e che quindi sono immuni ai dialer, infatti, esso si occupa di rilevare e rimuovere comunque i dialer o i residui di essi presenti nel sistema operativo. L'interfaccia è molto intuitiva e rappresenta uno dei punti di forza di questo programma che dispone anche di un modulo di aggiornamento per mantenere sempre attiva la protezione contro i nuovi dialer che vengono rilasciati costantemente.

Scaricate - come sempre - il programma dal sito ufficiale. Appena lo avrete installato avvierà una scansione del sistema alla ricerca di possibili dialer e successivamente inizierà le attività di controllo per le connessioni di accesso remoto che hanno la possibilità di effettuare un accesso alla rete.

È possibile e verosimile che il programma individui e riconosca come dialer anche le connessioni che non rappresentano effettivamente una minaccia e che sono quelle ufficiali di Windows. È questo il caso del file chiamatorasphone.exe un file per la connessione in remoto integrato nel sistema operativo Microsoft. Sarà sufficiente in questo caso spuntare la voce Always Allow (permetti sempre) in modo che alle successive scansioni non venga rivelato come minaccia per la sicurezza del Pc.

Il programma rimane sempre attivo in background per verificare e controllare che la connessione predefinita non cambi e rimanga sempre quella impostata dall'utente.

La prospettiva rassicurante, in tutto questo è che, comunque, browser come Internet Explorer 7 e Firefox 2.0 offrono un controllo maggiore sugli ActiveX e una protezione decisamente elevata contro questo fenomeno, ma si sa: la sicurezza non è mai troppa.

Le finestre Pop-up

In questa sezione affronteremo i problemi relativi a quello che non concerne i Malware, ma che rappresenta comunque un elemento di disturbo sia per la sicurezza che per la privacy delle utenze connesse ad Internet. I pop-up, fastidiose finestre pubblicitarie; lo SPAM, invasione della casella di posta elettronica di elementi non desiderati e il Phishing: probabilmente il più rischioso di questi "elementi".

Le finestre pop-up non rappresentano una vera e propria minaccia ma sono comunque un elemento di disturbo per la navigazione in internet.

Con questo termine si intendono le fastidiose finestre di pubblicità che si aprono a sorpresa durante la navigazione web, spesso i siti che contengono materiale commerciale o pornografico ne sono pieni, rappresentano un modo abbastanza efficace per guadagnare attraverso la pubblicità. D'altro canto penso che tutti siano d'accordo nel condannarne l'abuso come elemento di disturbo e fastidio. Possiamo tutelarci bloccandole una volta che li vediamo, questo è possibile farlo attraverso estensioni dei più recenti browser, toolbar o firewall correttamente impostati.

Per la creazione di pop-up viene generalmente impiegato il linguaggio JavaScript.

Pur non rappresentando una minaccia sappiamo quanto possano essere fastidiosi e - fortunatamente - la prevenzione è abbastanza semplice.Live.com, Google e Yahoo offrono tollbar che oltre ad integrare funzioni peculiari dei tre browser (vedi il PageRank di Google, o la ricerca in ambito web) possiedono anche un efficace protezione contro le pop-up:

Una volta installate queste tollbar andranno ad integrarsi perfettamente nel vostro browser e appariranno sotto alla barra di navigazione come un secondo menù con funzioni aggiuntive. È opportuno precisare che alcuni dei più recenti browser (e.g IE con SP2 e FireFox) includono già di default una produzione contro le pop-up, ma una protezione integrata e ad hoc come quella fornita dalle toolbar riportate e senza dubbio un utilissimo strumento di integrazione, specie se si visitano spesso siti ricchi di contenuti pubblicitari e pop-up.

Esistono anche programmi creati appositamente per contrastare l'effetto delle pop-up, tuttavia la semplice azione congiunta di browser aggiornati e di toolbar rappresenta di per sé una protezione più che adeguata. Online esistono listedei principali programmi.

I principali sono SuperAdBlocker in grado di bloccare i banner e le pop-up, integra anche una protezione in tempo reale contro Ad-Aware e Spyware, e HiJackers, include anche la possibilità di attivare gli aggiornamenti automatici per garantire una protezione sempre costante e continuativa nel tempo.

Un altro ottimo programma è Privoxy che offre la possibilità - come suggerisce il nome, del resto - di utilizzare un web proxy per l'accesso e il controllo delle funzioni relative ad Internet ed è utilizzabile sia da utenze singole che da network.

Si tratta comunque di programmi che hanno poco a vedere con le comuni utenze e sono destinati ad un utilizzo più orientato verso le dinamiche aziendali/professionali che non verso quelle residenziali/private, per le quali - lo ripetiamo - il semplice utilizzo di toolbar rappresenta di per se un ottimo strumento di difesa e di protezione.

Tra le altre cose il firewall Outpost disponibile sia in versione PRO che free, offre una discreta protezione contro banner pubblicitari (Ads in generale) e pop-up.

Lo Spam

Con questo termine - oramai tristemente noto nell'ambito dell'informatica - si intende designare il fenomeno di invio non richiesto di mail contenenti al 90% materiale pubblicitario, il cui oggetto va dal materiale pornografico o illegale a veri e propri tentativi di truffa.

Uno spammer, ovvero colui che fa dello spamming, invia centinaia, migliaia di mail identiche - o con qualche piccolissima personalizzazione - a indirizzi differenti. In genere questi indirizzi vengono raccolti in maniera automatica da programmi appositamente studiati per la funzione dalla rete - in maniera particolare - da Usenet. Per definizione, lo abbiamo visto, lo SPAM è materiale non richiesto, oltre ad essere un comportamento condannato dalla maggior parte degli ISP e ritenuto fastidiosissimo da parte delle utenze.

In genere gli spammer registrano con dati anagrafici falsi - in genere rubati - un abbonamento ad un ISP in modo da avere a disposizione una connessione "sicura" attraverso la quale intraprendere la loro azione. Dall'ordinamento giuridico italiano l'invio di materiale pubblicitario non richiesto via mail è soggetto a sanzioni.

Il termine SPAM è solo il più diffuso, ma in gergo informatico si parla anche - meno spesso - di UCE (Unsolicited commercial email) e UBE (Unsolicited bulk email), sono termini di livello più tecnico usati per definire la medesima cosa, anche se nella definizione di questi due termini vengono considerate anche le catene di Sant'Antonio.

Adesso che sappiamo di che tipo di fenomeno si tratti analizziamo in maniera precisa quali siano le difese più opportune contro questo fenomeno.

Il mercato dei software antispam e dei servizi dedicati alla protezione è ricchissimo, esistono due approcci basilari, definiti bloccaggio e filtraggio, nel primo caso si tratta di bloccare i mittenti riconosciuti come spammer o potenzialmente tali, consiste anche nel rifiutare le richieste e le informazioni provenienti da server riconosciuti come appartenenti a spammer o simili. La seconda tecnica - definita appunto filtraggio - si occupa, in maniera automatica, di scansionare i messaggi ricevuti e "capire" se si tratti o meno di SPAM.

Va da sé che nessuna tecnica di filtraggio, bloccaggio o protezione sia efficace al 100%, una minima parte di junk-mail (posta spazzatura) riesce sempre e comunque a filtrare e a raggiungere il destinatario.

Una tecnica specifica di bloccaggio comprende le DNSBL (DNS-based blackholelist), nella quale un server pubblica liste di indirizzi IP, in modo che il server di posta possa facilmente essere impostato perché vengano rifiutate le informazioni provenienti da questi determinati indirizzi riconosciuti come sospetti. Le controindicazioni di questo servizio è che le e-mail che sono a tutti gli effetti lecite possano essere filtrate. Il caso più celebre è quello di FASTWEB: la rete FW si sviluppa con IP condiviso, ogni utente viene cioè visto all'esterno della rete, in Internet, con un IP condiviso (NAT), nel caso in cui un'utenza con il nostro stesso IP di NAT si comportasse in maniera poco consona, noi rischieremmo di avere dei problemi. Fortunatamente la cosa non è così diffusa come può sembrare e - in genere - è sufficiente una mail all'abuse desk per risolvere la questione.

Ma per le utenze residenziali, quali sono le difese più adeguate contro il fenomeno dello SPAM? Innanzi tutto è opportuno evitare di dare la propria mail in giro a qualunque servizio ne faccia richiesta: per ovviare ai problemi è consigliabile aprire un indirizzo alternativo che verrà utilizzato per la maggior parte delle funzioni online (si veda registrazione a portali, forum, chatline e simili), la propria mail personale dovrebbe essere fornita solo a gente affidabile e a conoscenti molto stretti.

Ogni qual volta si riceva una mail di SPAM è assolutamente sconsigliato rispondere, in questo modo non si farà che confermare allo spammer che l'indirizzo al quale sta inviando il materiale è valido e funzionante.

Se utilizzate Usenet e consultate spesso i NG, esiste una tecnica - molto diffusa, ma non eccezionalmente efficace - che consiste nel mascherare il proprio indirizzo email (in gergo si parla di adress munginng) in sostanza, qualora il proprio indirizzo fosse per es.: marco.rossi@mail.it si potrà mascherare in questa maniera marco.nospam.rossi@mail.it oppure marco.rossi*NOSPAM*@mail,it o ancora marco.rossi(at)mail.it.

Si tratta di una protezione molto leggera comunque. Esiste un ottimo software sviluppato per la protezione contro il fenomeno dello SPAM, si tratta diSpamAssasin nel sito ufficiale è presente una ricca documentazione che è in grado di guidare anche le utenze meno esperte attraverso la corretta configurazione del software in questione.

L'utilizzo del programma permette di filtrare congiuntamente a quanto viene offerto dai provider e dai fornitori di account mail (ottimo in tal senso il sistema di filtri messo a punto dalla GMail, che filtra ogni giorno almeno il 95% delle mail provenienti da tutto il mondo.) la quasi totalità dello SPAM che arriva ai nostri account.

Il Phishing

In ambito informatico con questo termine si intende indicare un'attività truffaldina che sfrutta tecniche di ingegneria sociale atta ad ottenere informazioni personali strettamente riservate con la finalità ultima del furto di identità. Celebri - tristemente in questo senso - sono i casi di furto di numeri e codici di carte di credito, il fenomeno viene generalmente attuato attraverso false mail inviate con intestazioni che possono ricalcare quelle delle propria banca, quella del sito delle poste o comunque di servizi ritenuti "affidabili".

Generalmente l'utente è invitato a inviare via mail - dal messaggio contenuto nella falsa e-mail - codice, indicazioni e dettagli personali, i più "sprovveduti" o semplicemente i meno esperti cadono facilmente nella trappola alimentando la truffa.

A livello ancora maggiore vengono creati siti web del tutto simili a quelli ufficiali ma fasulli creati con il solo scopo di carpire informazioni e dati riservati all'utente. Fondamentalmente all'interno della falsa mail viene riportato un rindirizzamento al falso sito che si occupa dell'acquisizione delle informazioni.

L'attività è - ovviamente - illegale in Italia, così come nella maggior parte dei paesi del mondo, la stessa Polizia Di Stato italiana se ne è occupata. In Italia c'è poi il Portale Anti-Phishing che è molto attivo a livello informativo.

L'utente deve come sempre - e come più volte riportato in questa guida - usare il cervello per difendersi, adesso più che mai, non sono molti i programmi che possano tutelare da una simile minaccia, che d'altro canto risulta abbastanza semplice da individuare se si fa riferimento ad alcuni parametri e si tengono in considerazione alcuni punti:

Non fornite mai informazioni personali via posta elettronica, soprattutto se queste vi vengono esplicitamente richieste da siti o da persone delle quali non conoscete l'identità
Domandatevi sempre perché dovrebbe avvenire una tale richiesta, che senso ha per la vostra banca chiedervi di confermare il codice della vostra carta di credito via mail o via internet?
Visitate sempre i siti web digitando l'indirizzo nella barra degli indirizzi
Non aprite redirect dalle mail, controllate sempre il sito che state navigando
In caso di richiesta di informazioni personali verificate che il sito abbia una crittografia
Esaminate regolarmente i rendiconti bancari e delle carte di credito per verificare eventuali stranezze o incongruenze
Denunciate alle autorità competenti ogni attività che possa risultarvi sospetta.

Per quanto riguarda la protezione via mail, qualora esse vengano scaricate in locale e lette con Microsoft Outlook o Outlook Express esiste un software creato ad hoc per l'individuazione della mail sospette, si tratta di Delphish.

Si tratta di un'utile programma che si occupa però solo della scansione delle mail in locale, non offre una protezione contro i siti sospetti, per un'accurata protezione serve comunque - in primissimo luogo - l'accortezza dell'utente.

Conclusioni

in questa guida abbiamo analizzato come porre rimedio ad alcune delle minacce più diffuse in ambito Internet. Abbiamo visto come tutelarsi sia usando piccoli accorgimenti e modifiche del sistema operativo sia come proteggerci e immunizzarci attraverso l'utilizzo di determinato software specifico.

Per citare una famosa massima molto diffusa in nell'ambito della rete "Il 90% dei problemi di un pc si trova tra la tastiera e la sedia.." aggiungo io "è li che si trova anche il 90% delle soluzioni". L'utente in genere è la prima causa di infezione di un Pc specie se ne viene fatto un utilizzo poco attento e poco consapevole, spero che attraverso questa semplice guida risulti chiaro che la prima difesa deve partire dall'utente, da una maggiore consapevolezza nell'uso del pc e da una maggiore dimestichezza con l'utilizzo di quei programmi che proteggono privacy, una maggiore accortezza comporta di per sé una maggiore sicurezza.