Dionixo |
|
| L'utilizzo di un antivirus rappresenta sicuramente un primo passo decisivo per rafforzare la sicurezza di un sistema informatico ma in alcuni casi può non essere del tutto sufficiente. Per questo motivo diventa opportuno affiancare ad un prodotto di questo tipo altri strumenti complementari.
Dal momento che stiamo parlando di codice nocivo è bene sottolineare che in un sistema operativo Windows tre sono le componenti a più alto rischio che occorre tenere sotto controllo: il file system, il registro di configurazione ed i processi.
Per quanto riguarda il primo aspetto la misura precauzionale più efficiente consiste nel creare ad intervalli regolari una lista di directory e di file da confrontare con elenchi generati precedentemente e memorizzati su supporti removibili conservati in luoghi sicuri.
A tal proposito nei sistemi Windows NT/2000 è assolutamente necessario usare strumenti in grado di individuare la presenza nei file dei flussi di dati alternativi (ADS o Alternate Data Streaming)
Il file system NTFS presenta infatti una interessante funzionalità che permette di aggiungere ad un file esistente degli ulteriori flussi, cioè dei dati di qualsiasi genere, senza per questo modificare gli attributi ed il contenuto originario del file stesso: per esempio se ad un file di testo viene aggiunto, sotto forma di ADS, un eseguibile contenente un cavallo di troia il file di testo continuerà ad essere visualizzato correttamente ma, per converso, il cavallo di troia potrà essere eseguito dall'interno dello stesso file rimanendo completamente nascosto a meno che non vengano utilizzati per l'appunto strumenti specifici.
Un altro rimedio che aiuta nella identificazione di attività sospette aventi per oggetto il file system può inoltre consistere nell'abilitazione delle attività di auditing (Windows NT/2000) e/o nell'utilizzo di altre applicazioni dirette a garantire l'integrità dei file.
L'adozione di questi accorgimenti vale per tutti i sistemi, compresi quelli Windows 2000, anche se questi ultimi mettono a disposizione un nuova funzionalità chiamata WFP (Windows File Protection) che dovrebbe garantire un certo livello di protezione dei file di sistema da possibili operazioni di modifica e manomissione ma che ha evidenziato in alcune ipotesi dei comportamenti anomali.
Anche il registro di configurazione di Windows necessita di un controllo continuo poiché esso rappresenta purtroppo uno dei punti deboli più critici sotto il profilo della sicurezza.
Nel caso specifico l'attività di monitoraggio deve riguardare soprattutto una serie di chiavi e cioè
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun, HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce, HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx,
utilizzate per memorizzare informazioni relative ad applicazioni che devono essere avviate in modo automatico durante il boot del sistema (per gli stessi motivi occorre anche verificare periodicamente il contenuto della cartella Esecuzione Automatica nonché i file win.ini e system.ini).
Infine un altra misura cautelare è data dal monitoraggio dei processi attivi che dovrebbe essere compiuto possibilmente con strumenti in grado di identificare per ogni processo anche l'eventuale porta TCP/UDP utilizzata.
|
| | |
