COSA SONO

I dialer sono piccoli eseguibili (solitamente di poche decine di KB) che creano una connessione ad un numero internazionale, mettendo fior di € sulla vostra bolletta. Solitamente si trovano in siti vari, come quelli per scaricare wallpaper, suonerie o siti per adulti. Attenzione che per scaricare uno di questi famigerati dialer non è necessario andare per forza in uno di questi siti, perchè se avete il PC infetto da malware (uno spyware ad esempio) potrebbe scaricarlo nel vostro computer senza che facciate nulla di particolare. “Fortunatamente” sono pericolosi solo per OS Windows, tutti gli altri possono dormire sonni tranquilli.

Bisogna premettere che i dialer sono pericolosi solo per connessioni analogiche e ISDN, ne sono quindi immuni le linee ADSL (perchè un modem di questo tipo non compone numeri di telefono), bisogna però fare attenzione: se non si usano, è meglio scollegare modem analogici o ISDN. Questo perchè se cablati sono potenzialmente a rischio.

COME EVITARLI 

Per evitare i dialer ci sono diversi accorgimenti:

• Usare un browser sicuro (Opera ad esempio) in quanto con IE e gli activeX attivati siete molto a rischio. Badate che molti siti bastardi, senza che voi facciate nulla, mentre scaricate il contenuto della pagina vi mostra un “Avviso di protezione“

• che autoinstalla e autoesegue il dialer a un numero con tariffazione internazionale. Il tutto senza dare nell’occhio dell’utente meno esperto. Ecco perchè è importante affidarsi a un browser alternativo. Vi faccio notare che solo 10 minuti di connessione al dialer dell’esempio vi costerebbe oltre 30 euro.

• Installate un software antidialer che blocchi le connessioni NON richieste. Ad esempio Digisoft AntiDialer fà tutto questo. Voi preimpostate il numero del vostro provider e lui permetterà connessioni solo ad esso, bloccando ogni tentativo con numeri NON autorizzati e avvisandovi con una finestra.

  In alternativa ci sono anche StopDialers e Dialer Control. Tutti e 3 i software sono gratuiti.
  Un altro accorgimento è quello di mettere il file rasphone.pbk in sola lettura. In questo modo non potrà essere modificato. Si trova in C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk (nei sistemi NT). Ma non vedetela come la soluzione definitiva, perchè non si sà mai che troviate un dialer più evoluto di altri e vi cambi gli attributi del file in questione.

• Bloccate tramite Telecom tutte le numerazioni come 144, 166, 709, 899, 0088x e 0068x.

SE DOVETE PORVI RIMEDIO

Se invece il dialer ve lo siete già preso, potrete procedere alla rimozione con programmi come:

Spybot Search and Destroy

AVG Antispyware ( che dispone fra l’altro di un modulo realtime, bloccando istantaneamente i dialers)

Ad-Aware 2007

COSA FARE SE IL DIALER SI É GIÀ CONNESSO

La legge in Italia dice che:

• Sono vietati i dialer pornografici
• Il gestore del sito con il dialer deve OBBLIGATORIAMENTE indicare il prezzo della connessione nei banner pubblicitari

I dialer porno (visto che sono vietati) dovete denunciarli alla Polizia di Stato via mail.

É possibile denunciare il gestore del dialer per pubblicità ingannevole all’Autorità Garante della Concorrenza e del Mercato. Non dovete mandare e-mail, ma mandare una lettera firmata con allegato un’immagine copia della schermata del dialer. Quà trovate lo schema.

CONCLUSIONI

 I dialer, come avete visto, sono delle brutte bestie ma bastano però diversi accorgimenti per evitare salatissime bollette. Se siete potenzialmente a rischio fate sempre attenzione.

LA CANCELLAZIONE SICURA 

 Se avete la necessità di vendere o regalare il vostro PC o anche solo il disco rigido, è importante che i vostri dati precedenti siano eliminati dallo stesso (non solo per questioni di privacy) in maniera da non essere recuperabili.

Molti sono convinti che basta formattare per togliere ogni traccia dei file precedenti, ma non è così, perchè basta un buon tool di recupero (OnTrack Easy Recovery Pro ad esempio ) per riprendere gran parte dei dati precedentemente formattati.

FORMATTAZIONE A BASSO LIVELLO

 Un metodo molto più sicuro è usare software che utilizzano particolare tecniche di cancellazione. Già una formattazione a basso livello, che scrive tutti 0 nel disco, permette una discreta sicurezza.

 HDD Low Level Format Tools 

Active@ Kill Disk (Free version)

METODOLOGIE

Ci sono anche metodi più mirati, con diversi standard:

• Americano DoD 5220.22-M (E) – Esegue 3 passate in 4 fasi:

Cancellazione con caratteri casuali

Cancellazione con caratteri complementari

Erase nuovamente con caratteri casuali

Verifica

• Americano – DoD 5220.22-M (ECE) – Evoluzione del metodo sopra proposto. Esegue le prime 3 passate con il metodo DoD 5220.22-M (E), poi con caratteri casuali e infine nuovamente con DoD 5220.22-M (E).

• Tedesco (VSITR) – Esegue 7 passate con caratteri casuali (i primi 6 con 0×00 e 0xFF alternati e il settimo con con 0xAA).

• Russo (OST P50739-95) – Scrive 0×00 nel disco rigido oppure usa valori casuali.

• Canadese (RCMP TSSIT OPS-II) – Una volta rilevate tutte zone con dati le sovrascrive con 1, poi con 0, infine con numeri o caratteri speciali.

• B. Scheneier – Esegue 7 passate di cui: 2 numeriche e 5 usando una sequenza crittografica casuale.

• P. Gutmann – Con ben 35 passate è probabilmente il metodo più sicuro fra quelli proposti.La durata di queste operazioni dipende molto dalla dimensione del disco rigido, dalla sua velocità e dal metodo di cancellazione usato. Si viaggia comunque a cavallo di svariate ore.Alcuni programmi che utilizzano i metodi più noti:
• DBAN

• Ontrack Data Eraser

• Blancco Data Cleaner Chiaramente non si distruggono solo i dati di interi dischi con questi metodi, ma anche solo determinati file o directory. Programmi come Eraser per Windows o fwipe e BCWipe per sistemi Unix permettono tutto questo.

 RECUPERO HARDWARE 

 Ma questi metodi non escludono categoricamente che sia possibile un eventuale recupero hardware: Ci sono centri specializzati (In Italia ce ne sono diversi) che smontano fisicamente il disco rigido e mettendo i dischi interni in una camera bianca, con particolari condizioni ambientali e apparecchiature costosissime, POTREBBERO recuperare diversi dati (a fronte però di una spesa non indifferente).

 L’UNICO METODO DAVVERO INFALLIBILE

 L’unica soluzione davvero efficace al 100%, se si vogliono eliminare dati molto sensibili e non permetterne in nessun modo il recupero, è quella della TOTALE distruzione dell’hard disk.
O andate per il vecchio ed economico metodo (prendendolo a martellate e dandogli successivamente fuoco) oppure usate un degausser: Un degausser smagnetizza completamente, e in maniera non recuperabile, un HD portandolo a oltre 700° c. Unico neo il prezzo, superiore a 2000 euro. Certuni dicono che sia valido anche il microonde, ma ve lo sconsiglio perche rovinate il microonde stesso e generate fumi tossici.

 CONCLUSIONI

 Come vedete i metodi sono diversi, variabili a seconda dell’importanza e dalla segretezza dei dati che volete celare a possibili occhi indiscreti. Per un utente domestico, a mio avviso, basta e avanza un metodo fra quelli standard sopra proposti, e se proprio si vuole il massimo usate il metodo Gutmann.

Un firewall è un filtro che controlla le connessioni in entrata (dall’esterno verso il client) e in uscita (dal client verso l’esterno) e blocca tentativi di intrusione vari.

Ne esistono di 3 tipi:

• Livello Network (di cui 4 sottogruppi):

Simple Router Firewall

É un router che funge da firewall: Utilizzando una lista di permessi il router analizza il pacchetto e se corrisponde ai criteri di protezione lo lascia passare.

Bastion Host Firewall

Il bastion host è un computer massiciamente protetto, molto spesso con un file system read-only, con i servizi ridotti al minimo indispensabile, utilizza un process checker, integrity file system checker, nessun account utente, salvataggio e controllo continuo dei log, c’è in esecuzione un proxy attraverso il quale passa tutto il traffico di rete, e funge con lo stesso principio del router firewall. In poche parole è improntato alla massima sicurezza possibile.

Screened Host Firewall

Questo tipo di firewall è l’unione di 2 dispositivi: Un firewall Proxy o un bastian host ed un screening router. Quindi l’unica macchina visibile dall’esterno è il bastian host oppurtunamente schermato dal router firewall.

Double Screened Firewall

É l’architettura più sicura. Il bastion host è schermato in entrambe le direzioni: sia verso la rete intranet, sia verso l’esterno da una coppia di routers firewall quindi nessun collegamento è mai diretto tra l’esterno e l’intranet.

• Livello Applicazione

É chiamato server Proxy. Questi tipi di server comunicano con la rete esterna per conto degli host della rete interna, detto diversamente i Proxy controllano il traffico tra due reti. L’indirizzo che un server esterno riceve è infatti quello del Proxy e questo rappresenta anche un metodo di protezione delle informazioni della rete interna. Con questo tipo di firewall abbiamo cosi una netta distinzione tra rete interna e esterna, infatti ogni pacchetto viene ricevuto processato e inoltrato dal Proxy sia verso l’interno che verso l’esterno, non c’è quindi un collegamento fisico tra le due reti.

• Ibrido

É l’unione dei 2 tipi di firewall sopra elencati.

Poi vi sono naturalmente i personal firewall ovvero firewall software, i più usati dagli utenti domestici. Interagisce in tempo reale ponendo domande (se ad esempio un programma può accedere ad internet, mostrando se il checksum del file è cambiato, etc) all’utente.

Ed è proprio colpa dell’utente se moltissime volte azioni poco ‘furbe’ vanificano totalmente l’uso del personal firewall, come ad esempio permettere ad un’applicazione sconosciuta l’accesso alla rete (come un malware), oppure al contrario negando l’accesso a programmi indispensabili. Bisogna quindi studiare con attenzione l’utilizzo del firewall, specialmente quelli ostici come Look’n'Stop, Jetico Firewall per citarne due.

Windows XP ha integrato al suo interno un firewall, piuttosto scadente, che purtroppo controlla SOLO le connessioni in entrata. Quindi un malware che cerca di connettersi con l’esterno ci riuscirebbe nel più completo anonimato, per questo è importante affidarsi a firewall alternativi. Fortunatamente Vista, oltre a svariati miglioramenti (come l’introduzione di UAC), ha un firewall bidirezionale.

I migliori per Windows a mio avviso sono:
Comodo Firewall Pro
Jetico Firewall v.2
Agnitum Outpost Pro
Online Armor Personal Firewall

Il più ostico da usare e apprendere fra questi è Jetico (Shareware), ma un minimo di studio dietro uno di loro ricompenserà ampiamente la vostra sicurezza. Outpost (Shareware) è uno dei più usati ed efficaci (i Leaktest parlano chiaro), Comodo e Online Armor, oltre che entrambi gratuiti, sono a mio avviso i migliori. Se invece volete un unico programma con una protezione a 360° vi consiglio Kaspersky Internet Security (KIS).

Linux utilizza invece IPTables, un firewall molto potente e avanzato che permette molta elasticità. Abbinandogli un personal firewall come Firestarter avrete una GUI intuitiva e un controllo realtime del traffico di rete.

Un personal firewall è l’ideale abbinato ad un firewall hardware. Anche quello ‘basico’ di un router va bene, ma il massimo si ottiene appunto con una macchina dedicata (basta un vecchio PC con almeno 2 schede di rete). Con sistemi Linux o BSD si può montare un firewall on fly garantendo una maggiore sicurezza. Eccone alcuni esempi:

• Coyote Linux
• IPCop
• Monowall
• Smoothwall

Come già detto, la soluzione migliore è quella del firewall hardware su una macchina dedicata, ma per un home user basta un buon personal firewall (BEN settato e usato con criterio) e magari in aggiunta un router con firewall hardware (molti integrano IDS (Intrusion Detection System), SPI (Stateful Packet Inspection), etc.). Se avete un vecchio muletto (anche un Pentium I va bene) e vi và di smanettare, potrete farvi un firewall ad hoc con le distro elencate poco sopra. Buon divertimento.

 COSA SONO 

I rootkit sono i nemici più infimi, i più difficili da rilevare e contrastare rispetto a tutte le altre categorie di malware, e vengono chiamati in gergo Ghostware.

Sono programmi che riescono a rendersi totalmente invisibili a livello utente, quindi anche a programmi di rilevazione vari ( antivirus, antispyware, etc ), permettendo quindi di celare alla perfezione qualsiasi tipo di malware (virus, trojan, etc) anche se questo è nelle firme del database del vostro antivirus.

Solo recentemente alcuni software come Rootkitrevealer (di Mark Russinovich) e altri riescono a rilevarne certuni, ma non possono rilevarli tutti in quanto scansionano il sistema e mostrano eventuali discrepanze nel filesystem come *potenziali* rootkit solo a livello utente.

I rootkit non sono pericolosi solo per sistemi Windows, ma anche per molti Unix like (Linux, BSD, Mac OS X), è infatti su questi sistemi che sono nati i primissimi rootkit, oltre 10 anni or sono, usati dagli hacker per nascondere le proprie intrusioni.

TIPOLOGIE

Possiamo categorizzare i rootkit in varie classi:

Per durata vitale :

• Rootkits Persistenti
  Assimilabile ad un programma malevolo che si attiva ad ogni riavvio del Sistema Operativo.

• Memory-Based Rootkit
  Non hanno codice memorizzato in modo persistente (ovvero nell’HD), perciò non sopravvivono al Reboot.

Per modo di esecuzione :

• Rootkit livello utente
  Nascondono la loro presenza intercettando le API del Sistema Operativo, mediante Hooks che ritornano informazioni false. La presenza dei files è nascosta a tutti i meccanismi di esplorazione, compreso l’Explorer di Windows, inoltre anche le chiavi di registro che interessano il Rootkit possono essere camuffate o nascoste. Nel caso di RootKit persistenti, lo stesso programma che compone il rootkit può essere contenuto nel registro di Windows.

• Rootkit livello kernel
  Sono molto più complessi e sofisticati, possono intercettare e mistificare con falsi dati tutte le chiamate effettuate a basso livello dal’OS.

I rootkit, essendo a tutti gli effetti software di occultamento, permettono di celare file, chiavi di registro, processi in memoria e socket in ascolto. La loro pericolosità è relativa all’uso che se ne fa, e purtroppo con un uso efferato diventano armi in grado di mettere KO un intero sistema, potendo infatti nascondere virus, trojan, spyware e quanto di peggio c’è nella rete.

Tutto ha inizio da una segnalazione nel blog di Mark Russinovich, dove dimostra che Sony BGM inseriva all’interno dei suoi CD un rootkit; basta inserire e ascoltare un CD e si è automaticamente infettati. Il sistema è stato infatti usato da Sony per tutelare i suoi interessi, ovvero impedire la copia dei CD, senza però che questo fosse minimamente segnalato all’utente e ovviamente senza il suo consenso. Da quì in poi iniziò la tempesta. Quà trovate tutta la cronologia presa dal sito boingboing.net sulla vicenda Sony. E dire che bastava avere l’autorun dei CD (premendo anche SHIFT) disabilitato per non incorrere in questi problemi.

COME EVITARLI

Ci sono 3 metodi piuttosto efficaci per prevenire rootkit (e non solo questi).

Account Limitato – Usare il PC con account limitato non è certamente la cura, però previene molti malware tra cui molti rootkit.

HIPS – (Host Intrusion Prevention System) Analizza in tempo reale quello che un’applicazione esegue all’interno del sistema e lo notifica all’utente. Chiaramente, un pò come avviene per i firewall, bisogna avere una certa accortezza nel permettere o negare certe regole, altrimenti non sapendo bene cosa si fà si rende vano l’utilizzo di questa tipologia di software.

Sandbox – Esegue le applicazioni (browser o qualsiasi applicazione) in un’area protetta in modo che alla fine dell’utilizzo il sistema non salva gli eventuali cambiamenti e tracce. Questo garantisce privacy e sicurezza ( anche eventuali virus eseguiti in modalità sandboxed sono innocui, perchè restano appunto all’interno dell’area protetta senza toccare il sistema). Usatela per eseguire applicazioni sconosciute e di dubbia provenienza.

COME ELIMINARLI 

Vi elenco alcuni programmi per l’eliminazione di rootkit :

• Sophos Anti-Rootkit

• F-Secure Blacklight

• Sysinternals Rootkit Revealer – Molto efficace, dallo stesso scopritore del rootkit Sony.

• Strider Ghostbuster – Progetto di MS, che se avrà un seguito sarà senz’altro il più efficace. Esegue in primis una scansione del sistema usando le API di alto livello come i programmi sopra elencati e ne salva i risultati. Successivamente si riavvia il sistema con un CD di boot che legge offline il filesystem, salvandone il risultato. Si confrontano i risultati della scansione online e offline ed eventuali discrepanze vengono segnalate come potenziale rootkit.

LINKS

http://www.antirootkit.com/

Blue Pill 

http://www.rootkit.com/

Linux Kernel Rootkits

Una delle pessime abitudini dell’utente Windows medio, è quella di accedere sempre e comunque al sistema come Amministratore. Tutto questo causa non pochi problemi a certi utenti, che hanno la mania di cliccare maldestramente a destra e a manca.

L’ideale sarebbe avere un account limitato per navigare/scaricare e quello di admin per il resto, ma purtroppo molti software non si installano in modalità limited user (anche andando su ‘esegui come..’), ecco perchè molti scelgono (erroneamente) di loggarsi unicamente come admin.

Ho pensato quindi questa guida per quelli che non vogliono staccarsi dalle “cattive” abitudini ma che vogliono navigare un pò più sicuri.

Ricordo però che un account limitato permette una sicurezza nettamente maggiore, visto che non ha i permessi per accedere alle cartelle di sistema, tenendo fuori molto malware (anche certi tipi di rootikit).

Windows XP Professional – 2003 Server

Per permettere a determinate applicazioni (browser, IM, e-mail client, etc) di essere eseguiti da admin come se fossero in limited account fate così:

Aprite il registro di sistema (Start – Esegui.. e digitate regedit) andate alla sezione

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\

Aggiungete un valore DWORD chiamato ‘Levels’ (senza apici) con un valore esadecimale (HEX) di 20000 (Tasto dx, Nuovo – Valore DWORD).

Ora tornate nuovamente su Start – Esegui.. e scrivete secpol.msc e si aprirà ‘Impostazioni protezione locale‘ .

Andate ora su ‘Criteri restrizione software‘ e cliccate col tasto destro su ‘Regole aggiuntive‘ e ‘Nuova regola percorso‘ e scegliete l’eseguibile del programma che volete limitare, e impostate infine ‘Livello di protezione‘ su utente principiante.

Alla fine dovrà essere all’incirca così:

Windows XP Home – 2000

Per gli utenti XP Home c’è DropMyRights creato da Michael Howard, dipendente Microsoft.

Installatelo in ‘c:\windows‘. Per eseguire un programma (nell’esempio Opera) come se avessimo un account limitato digitare:

%windir%\DropMyRights.exe “c:\programmi\opera\opera.exe” n

Il parametro ‘N‘ permette di eseguire il programma come utente normale (quindi limitato). Gli altri parametri permettono esecuzioni ancora più restrittive, ma le sconsiglio per l’uso normale.

N = run as normal user (default)

C = run as constrained user.

U = run as an untrusted user.

Potete creare un collegamento per avviare velocemente l’applicazione desiderata. Basta cliccare col tasto destro sul desktop, scegliere Nuovo – Collegamento e immettere il percorso come descritto poco sopra.

Gli utenti di Internet Explorer 6 e 7 possono aggiungere una toolbar, PrivBar, per mostrare con quale previlegi utente viene eseguito IE.

Estraete dall’archivio i file DLL e REG. Registrate la DLL tramite Start – Esegui e digitate

regsrv32 percorso\PrivBar.dll

Quindi ad esempio, se lo piazzate in c:\ sarà regsrv32 c:\PrivBar.dll

Applicate infine il file di registro (.reg).

Come vedete applicare questi settaggi è semplice, e porta notevoli vantaggi per la sicurezza. Meglio pensarci prima.

COSA SONO 

Gli alternate data streams (ADS) sono, come dice il nome, flussi di dati alternativi ed è una particolarità del filesystem NTFS (New Technology File System).

PERCHÉ SONO STATI CREATI 

Gli ADS sono stati creati per rendere compatibile Windows con server Apple con filesystem HFS (Hierarchical File System), infatti questo filesystem utilizza anch’esso una struttura dati simile ad un ADS (i metadati).

COME FUNZIONANO 

NTFS memorizza i nomi dei file, directory, data di creazione/modifica e il contenuto dei file nella MFT (Master File Table). La particolarità, che forse non tutti sanno, è che ogni file può avere più di un flusso di dati (ovvero il contenuto).

Faccio un esempio per chiarire: Mettiamo di avere un file testo.txt di 4KB creato il 22/2/2002, io posso inserirvi come flusso dati alternativo un qualsiasi altro file, ad esempio file.pdf di 400KB creato oggi stesso.

Il file PDF inserito sarà completamente invisibile all’utente, perchè guardando nelle proprietà del file nulla lascerà trasparire la sua presenza, ne nelle dimensioni (risulterà infatti sempre di 4KB non 404KB!), ne in nessun altro attributo (tranne la data di modifica).

Come vedete, possono essere un pericolo per la sicurezza dell’utente. Questa tecnica è stata già usata da diversi malware, perchè appunto, invisibili a livello utente e potendo contenere qualsiasi file possono essere effettivamente pericolosi. Persino un antivirus come Kaspersky usa gli ADS: Infatti ad ogni file scansionato gli aggiunge un ADS, in modo da riconoscerlo nelle successive scansioni e saltarlo, velocizzando così le scansioni successive.

CREIAMO IL NOSTRO ADS

Ma vediamo come possiamo aggiungere ADS ai nostri file:

Per nascondere un file di testo dentro un altro basterà digitare:

echo filenascosto > file.txt:nascosto.txt 

Ho creato un ADS in un file di testo (file.txt), con scritto filenascosto chiamandolo nascosto.txt

Chiaramente risulterà solo file.txt e come contenuto risulterà vuoto. Per visualizzare il contenuto di nascosto.txt digiteremo

notepad file.txt:nascosto.txt 

Per inserire un eseguibile dentro un qualsiasi file già esistente, digiteremo:

type c:\windows\notepad.exe > file.txt:dialer.exe 

Abbiamo inserito notepad.exe dentro file.txt chiamandolo però dialer.exe

Per eseguire l’eseguibile nascosto:

start c:\windows\file.txt:dialer.exe

Eseguiremo così dialer.exe (che in questo caso avvierà Notepad).

COME RILEVARLI 

Gli unici modi per rilevare un ADS si può, o copiarlo in una partizione FAT32 (perchè non li usa e avvisa dell’esistenza) oppure usando programmi appositi come:

LADS – Questo programma elenca tutti gli alternate data streams di una partizione NTFS
STREAMS – Cerca e rimuove ADS
ADS Spy – Un piccolo tool per elencare, visualizzare o cancellare ADS
LNS – LNS è un tool per cercare streams NTFS
CrucialADS – É anch’esso un tool per cercare ADS
NTFS ext – Creato da Microsoft, permette di aggiungere nelle proprietà del file o cartella una scheda per visualizzare eventuali ADS.
X-Ways Forensics – X-Ways Forensics è un programma avanzato con funzionalità forensiche

Editando il file HOSTS è possibile rifiutare connessioni a siti potenzialmente pericolosi.

Configurandolo a dovere non si potrà più accedere ai siti inseriti, come una sorta di black list.

In tal modo si potranno eviteranno siti fraudolenti, siti porno oppure altri che utilizzano dialer e virus.

HOSTS è un file senza estensione che si trova in:
Windows XP -> C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2000 -> C:\WINNT\SYSTEM32\DRIVERS\ETC
Windows 9x -> C:\WINDOWS
UNIX -> /etc/hosts (o /etc )

Serve per ottenere un indirizzo IP da un nome dominio, se non l’ottiene, il sistema operativo interroga il DNS per averlo.

Di default in Windows si presenta così:

# Copyright (c) 1993-1999 Microsoft Corp.## Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.

#
# hosts This file describes a number of hostname-to-address
# mappings for the TCP/IP subsystem. It is mostly
# used at boot time, when no name servers are running.
# On small systems, this file can be used instead of a
# “named” name server.
# Syntax:
#
# IP-Address Full-Qualified-Hostname Short-Hostname
#127.0.0.1 localhost# special IPv6 addresses
::1 localhost ipv6-localhost ipv6-loopback

127.0.0.1 ad.doubleclick.net

E bloccherà tutto da quel dominio. Purtroppo viene usato anche da svariati malware, che lo usano per bloccare l’accesso a siti importanti (ad esempio siti dove scaricare removal tools, aggiornamenti antivirus,etc.).

Esistono dei file HOSTS già pronti e modificati (da sovrascrivere all’originale) con migliaia di siti in lista.

Questo è il migliore (oltre che regolarmente aggiornato) :

http://www.mvps.org/winhelp2002/hosts.zip

Nei sistemi NT, un file HOSTS sopra i 135KB (quindi il vostro, se modificato, probabilmente sforerà questa soglia) potrebbe essere causa di rallentamenti. Una soluzione è quella di avviare manualmente, o disabilitare del tutto, il servizio “Client DNS”.

Andate su Start – Esegui… e digitate services.msc, fate un doppio click sul servizio in questione, e impostate il tipo di avvio da Automatico in quello desiderato. I sistemi 9x non soffrono di questi rallentamenti.

Se disabilitate il servizio, potete riabilitarlo e farlo partire alla bisogna creando un file batch ad hoc (se non l’avete gia fatto vi rimando alla mia guida sui file batch)

sc config DNSCache start= enabled
sc start DNSCache

Questo batch riabilita il servizio e lo riavvia.

sc config DNSCache start= disabled
sc stop DNSCache 

Quest’altro invece lo disabilita e ferma istantaneamente.

Una volta installato l’HOSTS modificato, impostarlo in sola lettura (come consigliato in svariate guide) è inutile perchè certi malware hanno delle routine che permettono di cambiare gli attributi dei file.

Una soluzione possibile è tenere sempre una copia pulita del file in una directory a nostro piacimento, magari rinominato, e aggiungere queste righe al file AUTOEXEC.BAT presente in C:\ (In XP invece AUTOEXEC.NT presente in C:\windows\system32) che di default è nascosto e in sola lettura:

copy c:\nome_hosts_camuffato c:\windows\temp
ren c:\windows\temp\nome_hosts_camuffato hosts
copy c:\windows\temp\hosts c:\windows\system32\drivers\etc
del /f c:\windows\temp\hosts

É facile capire cosa abbiamo fatto:

Copio il file hosts di backup rinominato (che nell’esempio ho messo in C:) nella cartella temp, rinomino il file nomehostscamuffato in hosts e lo copio nella cartella ove si trova l’originale, sovrascrivendolo. Cancello infine il file hosts in temp in quanto non ci serve più.

Alcuni programmi per la gestione del file HOSTS:

Hoster

HostsMan

Spywareblaster

Hosts file renamer

HostsXpert

Siete stanchi dello spam?

Vi capisco.. non siete i soli.

Ma una soluzione semplice e gratuita fra le tante c’è, si chiama Gmail, l’e-mail di Google.

• Offre oltre 6284MB di spazio (dico oltre perchè non è un numero preciso, visto che la quantità sale continuamente), dove potrete archiviare tutte le vostre e-mail senza avere mai la necessità di cancellarne una.
• Possiede un avanzato e DAVVERO efficace filtro antispam , che non necessita di essere autoistruito. Tutto lo spam andrà automaticamente nella cartella spam senza nessun errore da parte di Gmail. Dico questo perchè utilizzo il servizio da oltre 3 anni, e mai una volta che per errore una mail buona sia finita fra lo spam. Ogni 2/3000 mail capita che una mail di spam passi indenne il filtro… no problem, basta selezionarla e cliccare su “Segnala come spam” per non rivederla mai più. Non dovrete più usare trucchetti come vostramail at pincopalla.com. Inoltre tutte le mail nella cartella spam si cancellano con due semplici click.
• Per non perdervi fra le migliaia di messaggi che accumulerete nel tempo, c’è un comodo motore di ricerca.
• Potrete classificare le vostre mail in categorie.
• Potrete naturalmente configurare il vostro client e-mail per scaricare la posta localmente sul vs PC, ma la vera goduria è usarla via browser per usufruire di tutte le feature.
• In Gmail è stata inclusa la possibiltà di chattare con altri utenti senza dover usare client di chat esterni, basta che l’utente possieda un indirizzo di posta elettronica e il gioco è fatto.
• Sicura anche contro la diffusione di virus, viene infatti eseguito su ogni allegato una scansione antivirus direttamente sul server. E per ulteriore sicurezza è impossibile allegare o ricevere file eseguibili alle mail (Bisogna comprimerli per inviarli).Altra cosa utilissima è di poterla usare come disco remoto.
  

  Potete usare Gmail Drive Shell Extension per visualizzare lo spazio libero del vs account Gmail come disco in Risorse del computer. Supporta il drag’n'drop .

  

  RoamDrive è simile a Gmail Drive Shell Extension ma ha un’interfaccia grafica più piacevole ed è multiaccount (Gmail, MSN e Hotmail). Supporta il drag’n'drop.

  

  Se avete Mozilla Firefox c’è l’estensione Gmail Space 

Provatela.. non ve ne pentirete.

Piccolo disclaimer: Non mi ritengo responsabile dell’uso improprio della guida quà proposta.. quindi ragazzi usate la testa. 

Quante volte vi sarà capitato di dimenticare la password magari quella appena cambiata il giorno prima.. bhè, capita.. specialmente con chi ha a che fare con diverse password.

PASSWORD BIOS E BOOT 

Conosco diversi metodi per superare l’ostacolo..

1) La via più semplice è quella di aprire il case e spostare il jumper del reset CMOS.
Se non siete abili a smanettare con l’hardware (anche se queste sono comunque operazioni semplici) guardate attentamente il libretto di istruzioni della scheda madre per vedere l’esatta ubicazione del jumper.
L’unico neo di questo metodo sarà quello di reimpostare i settings nel BIOS.

2) Altro metodo, simile all’altro, è quello di rimuovere la batteria tampone (si vede anche bene nella foto sopra) e aspettare qualche minuto, oppure (previa il disinserimento della spina) appena disinserita la batteria con l’aiuto di un piccolo cacciavite ponticellate i 2 poli (+ e -) per qualche secondo.
Come nel primo metodo, anche quà dovrete reimpostare i settaggi del BIOS.

3) Cominciamo con i metodi NON invasivi.

Esistono le cosiddette MASTER password, ovvero password universali che accedono in ogni modo al sistema con qualsiasi password impostata (in pratica sono come delle backdoors).
Non sto a postarvi tutte le MP possibili ma mi limiterò a segnarvi i link più interessanti con molte password.

http://www.xs4all.nl/~matrix/mpwlist.html
http://www.biosflash.com/bios-passwoerter.htm
http://www.phenoelit.de/dpl/dpl.html

4) Altro metodo è quello di usare programmi esterni.
L’unico neo di questo metodo è che bisogna essere già nel sistema operativo (DOS, Win, Unix) (Conta solo per la password del BIOS)
Anche quà lavoro pulito e molteplici possibilità di azione.

CmosPwd permette di backuppare, ripristinare, cancellare e killare il CMOS. oppure c’è anche il vecchio (1989) !BIOS ormai in disuso.

LiLo e Grub

Se avete in dualboot un OS Unix-like probabilmente avrete uno dei 2 bootmanager.
Se avete dimenticato la password esiste soluzione:
La password di LiLo e Grub sono scritte in chiaro (non sempre però) in /etc/lilo.conf (oppure /etc/grub.conf).
Basterà quindi un bootCD come BartPE che tramite un plugins che supporti la lettura di FS Linux o Unix (EXT2/3,ReiserFS,UFS,etc.) andremo a vedere la password in questione. Nel caso fosse criptata basterà cancellarla per azzerarla.
I percorsi potrebbero cambiare nel caso di qualche distro.
Altri LiveCD che potrebbero giungere in aiuto sono ERDcommander di Winternals o la distro Knoppix.
Da DOS o Windows si può anche usare LILO Password Recovery Tools.
Metodo classico è quello di bootare col CD della vs distro e al prompt digitare linux rescue , loggarsi come root e scrivere # chmod /mnt/sysImage e infine editare lilo.conf cancellando la riga della passwd e salvando.

Sistemi Operativi

Linux:

1) Resettare la password di root è piuttosto semplice: al prompt di LiLo digitare linux single dove linux è l’etichetta assegnata all’OS. Ora Linux partirà con i previlegi di root e a tal punto basta assegnare una nuova password con # passwd root

2) Un altro metodo è quello di riavviare con il Cd della vostra distro inserita e digitare linux rescue. Caricherà ora Linux in INIT1 che mostrerà la sua shell, montare la partizione di root (es. mount -t ext4 /dev/hda4 /mnt/cdrom ), ci sarà una schermata di avviso e scegliete se accedere alla partizione in sola lettura o anche in scrittura.
Ora si ha il completo accesso alla partizione
Ora con un editor come “vi” aprite il file che contiene le password (ovvero /etc/shadow )
e cambiate la linea root da così :

monkeyisland:$2a$05$gUJJAFz/b9FsVBQ5DQMx7e9KW625ib/4hkPrQ0Zgo9tSv.6Y6YdMW:13466:0:99999:7:-1::

a così:

monkeyisland::13466:0:99999:7:-1::

infine salvare e riavviare.
Ora potrete accedere come root con blank password e per reimpostarne un’altra usate il solito

#passwd root

Con le dovute differenze questi metodi sono applicabili anche ad altri Unix come BSD e Solaris.

Windows 9X:

Gli OS Microsoft della famiglia 9x (95-98-ME) sono tutti monoutente con un sistema delle password a dir poco ridicolo.
In fatti l’ignaro utente che metterà una password per l’accesso all’OS se la vedrà bypassata persino dal proprio nonnetto ignorante in informatica. Sì, perchè basta premere Annulla e si avrà comunque accesso nel sistema.

L’unica alternativa per aver un login stile NT (e certamente più sicuro) è LockDown (con password criptata a 128 bit).

Sconsiglio anche la protezione con password dello screensaver perchè è facilmente aggirabile:
Basta andare nel registro di sistema alla sezione HKEY_CURRENT_USER/ControlPanel/Desktop/ScreenSaveUsePassword e impostare il valore da 1 a 0 e la passwd dello screensaver non verrà più richiesta.

Altro programma per aumentare un pò la scarsa sicurezza di questa famiglia di OS è Protect Folder che permette di proteggere determinate cartelle con password e anche di criptarle.

Windows NT:

Per gli OS della famiglia NT (NT4, 2000, XP, 2003, Vista), finalmente multiutente, vi sono diversi metodi per recuperare i previlegi perduti.
I più semplici sono quelli di usare i sopracitati bootCD come BartPE (per citarne uno) con uno dei numerosi plugins appositi che permettono il reset della password.

ERD Commander di Winternals permette di cambiare la password di admin con una a proprio piacimento senza conoscere la vecchia password.

Se invece è importante per voi recuperare proprio la vecchia passwd bisogna recuperare i file SAM e system in C:\Windows\system32\config , e bisogna farlo offline perchè sono in uso dall’OS e quindi non copiabili, ne terminabili.
Allora prendendo uno qualsiasi dei bootCD di prima esplorare la partizione fino ai file in questione e copiarli o su un supporto o su un’altra partizione.
Bene, ora che abbiamo i fatidici 2 file che contengono tutte le password degli utenti (criptate ovviamente) ci vuole un software per riuscire a decriptare e decifrare le password : SAMinside serve proprio al nostro scopo con tentativi di vario tipo, dal dizionario al brute force e svariati altri, fino a ottenere la password.
Chiaro che più la password sarà lunga, complicata e variegata (maiuscole, minuscole, numeri, caratteri speciali) più tempo richiederà la decifrazione (addirittura mesi) quindi non è detto che sia facile, ne la via più percorribile.