A cosa serve *davvero* un antivirus?
Cioe', quali sono al giorno d'oggi i veicoli di contagio?
Uso windows molto poco quindi non sono molto aggiornato sui virus che circolano e l'ultima infezione che ricordo era dovuta a un qualche bug del netbios in concomitanza con errore di configurazione del router per cui avevo impostato il mio PC come DMZ.
Ma ora considerando un utente cosciente, uno i virus come se li prende? Possibile che nessuno possa stare senza antivirus?
Re: A cosa serve *davvero* un antivirus?
La cosa è un po' lunga e complessa, mi riprometto di rispondere domani come ho dieci minuti. In ogni caso la domanda è molto vicina ad un "no" in senso assoluto.
Re: A cosa serve *davvero* un antivirus?
Ok grazie
Re: A cosa serve *davvero* un antivirus?
Provo ad anticipare sticky
Dunque, windows è di per sè un buon sistema operativo, tuttavia rappresenta circa il 90% delle installazioni a livello mondiale... questo significa che tutti i bug di windows (bug presenti anche in altri sistemi) attirano tutti i vari "cattivi" al mondo
Questo significa una miriade di nuovi virus e attacchi ogni gg... Per quanto tu possa stare attento, hai il rischio potenziale di un infezione anche solo restando connesso in rete... (molto remoto ma c'è). Se a questo aggiungi pagine web infette che sfruttano exploit che infettano il sistema automaticamente senza necessariamente mostrare nulla all'utente, hai un quadro della situazione un pò tragico.
Tieni presente che tu potresti aprire un sito legittimo che però è stato infettato da terze parti rimanendo infettato a tua volta. Potresti prendere un'infezione da una chiavetta infetta. Mail infette, P2P, sono mezzi ancora usati per veicolare le infezioni... Diciamo che sotto windows si è troppo sotto attacco per poter stare senza antivirus. Sotto linux, macOS puoi permettertelo perchè sono molto meno "ricercati" dai cattivi e quindi sei relativamente tranquillo di non prendere infezioni.
Infine ultima cosa tieni presente due dettagli che la gente non considera per esempio parlando di linux vs windows:
1) in linux l'utente medio è più competente e quindi abbocca meno ai tranelli della rete
2) in linux l'utente di solito non è root e quindi anche in caso di infezione, il virus può fare pochi danni
Ho provato a dare al volo un quadro della situazione... integrate pure a piacere
Re: A cosa serve *davvero* un antivirus?
Per quanto riguarda il "solo stando connesso in rete" sto dietro un NAT quindi l'accesso dall'esterno al mio PC non e' possibile. Mi dai comunque qualche info precisa su questo tipo di infezione?Originariamente Scritto da blue_tech
Questo significa una miriade di nuovi virus e attacchi ogni gg... Per quanto tu possa stare attento, hai il rischio potenziale di un infezione anche solo restando connesso in rete... (molto remoto ma c'è). Se a questo aggiungi pagine web infette che sfruttano exploit che infettano il sistema automaticamente senza necessariamente mostrare nulla all'utente, hai un quadro della situazione un pò tragico.
Tieni presente che tu potresti aprire un sito legittimo che però è stato infettato da terze parti rimanendo infettato a tua volta. Potresti prendere un'infezione da una chiavetta infetta. Mail infette, P2P, sono mezzi ancora usati per veicolare le infezioni... Diciamo che sotto windows si è troppo sotto attacco per poter stare senza antivirus. Sotto linux, macOS puoi permettertelo perchè sono molto meno "ricercati" dai cattivi e quindi sei relativamente tranquillo di non prendere infezioni.
Per il resto l'unico mezzo plausibile mi sembra la chiavetta (grazie ovviamente all'enorme idiozia che e' l'autorun), ma per il resto? Come si infetta un sistema dal solo browser? O dalla mail? P2P se ti scharichi qualunque cosa e la esegui vabbe'
Re: A cosa serve *davvero* un antivirus?
Chiaramente stavo chiedendo qualche dettaglio tecnico, non un'idea generale e vaga
Per infettare un sistema e' necessario fargli eseguire del codice, il che puo' essere fatto tramite l'utente che esegue roba (ma qui entra in gioco il discorso "utente consapevole") oppure tramite qualche exploit tipo dati invalidi che generano overflow con conseguente esecuzione di codice non previsto, e robe del genere. Non sono un esperto di sicurezza, ma immagino che gli sviluppatori di browser abbiano preso tutte le accortezze per confinare l'esecuzione di contenuti esterni (parsing di markup, codice javascript) in una sorta di sandbox per evitare overflow e simili. Ci sono exploit di questo genere che riguardano i browser?
Per la mail la cosa mi sembra ancora piu' difficile (posto che uno non clicca su awesome_kitten_pics.exe in allegato), specialmente se si usa esclusivamente un servizio di webmail
Re: A cosa serve *davvero* un antivirus?
In realtà la stragrande maggioranza delle infezioni ha come vettori i siti internet. Una delle situazioni tipo è questa: sito web/piattaforma CMS buggata ( xss, sql injection, ecc... ), sito web compromesso e malware installato in una pagina/dominio che era leggittimo fino a un secondo fa. Lato client il browser esegue un codice javascript, flash, un pdf e lì la frittata è fatta. Questo perché oltre agli eventuali bug del browser, ci sono da considerare tutti i flaw dei plugin esterni, su tutti flash e java che è il vettore in assoluto più utilizzato per installare software malevolo ( spesso per costruire botnet allo scopo di spam ).Chiaramente stavo chiedendo qualche dettaglio tecnico, non un'idea generale e vaga
Per infettare un sistema e' necessario fargli eseguire del codice, il che puo' essere fatto tramite l'utente che esegue roba (ma qui entra in gioco il discorso "utente consapevole") oppure tramite qualche exploit tipo dati invalidi che generano overflow con conseguente esecuzione di codice non previsto, e robe del genere. Non sono un esperto di sicurezza, ma immagino che gli sviluppatori di browser abbiano preso tutte le accortezze per confinare l'esecuzione di contenuti esterni (parsing di markup, codice javascript) in una sorta di sandbox per evitare overflow e simili. Ci sono exploit di questo genere che riguardano i browser?
Per la mail la cosa mi sembra ancora piu' difficile (posto che uno non clicca su awesome_kitten_pics.exe in allegato), specialmente se si usa esclusivamente un servizio di webmail
Questo è un elenco dei principali exploit usati dagli exploit pack in questi primi mesi del 2012
Come vedi, la stragrande maggioranza è legata a javascript e PDF, entrambi vettori embedded nei browser.
Overflow, race condition e similari sono cose del passato, ora chi scrive malware è molto ma molto più astuto. Packer a parte, oramai esistono routine che riescono a capire se si sta cercando di fare debugging di un codice, se questo sta girando in una virtual machine/sandbox e via discorrendo allo scopo di rallentare qualsiasi tipo di analisi.
Il giro di soldi che c'è dietro è enorme, gli exploit pack arrivano a costare anche centinaia di dollari, per non parlare del flusso di denaro dietro la vendita al mercato nero di carte di credito, dati personali, botnet per campagne di spam...
Se vuoi ulteriori dettagli tecnici chiedi pure, in caso ti passo anche diverse fonti che trattano questi argomenti.
Re: A cosa serve *davvero* un antivirus?
se sei un buon utente a niente
in ogni caso è più utile a mio avviso un buon cd ricco e aggiornato con removal tool e altri software di emergenza
in modo che se capitasse l'irreparabile può comodamente aggirare il problema senza programmi invasivi ciucciamemoria
spara dati personali
Re: A cosa serve *davvero* un antivirus?
Per non parlare del giro di affari legato alla vendita di antivirusIn realtà la stragrande maggioranza delle infezioni ha come vettori i siti internet. Una delle situazioni tipo è questa: sito web/piattaforma CMS buggata ( xss, sql injection, ecc... ), sito web compromesso e malware installato in una pagina/dominio che era leggittimo fino a un secondo fa. Lato client il browser esegue un codice javascript, flash, un pdf e lì la frittata è fatta. Questo perché oltre agli eventuali bug del browser, ci sono da considerare tutti i flaw dei plugin esterni, su tutti flash e java che è il vettore in assoluto più utilizzato per installare software malevolo ( spesso per costruire botnet allo scopo di spam ).
Questo è un elenco dei principali exploit usati dagli exploit pack in questi primi mesi del 2012
Come vedi, la stragrande maggioranza è legata a javascript e PDF, entrambi vettori embedded nei browser.
Overflow, race condition e similari sono cose del passato, ora chi scrive malware è molto ma molto più astuto. Packer a parte, oramai esistono routine che riescono a capire se si sta cercando di fare debugging di un codice, se questo sta girando in una virtual machine/sandbox e via discorrendo allo scopo di rallentare qualsiasi tipo di analisi.
Il giro di soldi che c'è dietro è enorme, gli exploit pack arrivano a costare anche centinaia di dollari, per non parlare del flusso di denaro dietro la vendita al mercato nero di carte di credito, dati personali, botnet per campagne di spam...
Se hai link riguardo questi tipi di exploit web based li leggo volentieri, grazie
Re: A cosa serve *davvero* un antivirus?
In realta' per quello che installo su windows (un browser e i videogiochi) faccio prima a reinstallarese sei un buon utente a niente
in ogni caso è più utile a mio avviso un buon cd ricco e aggiornato con removal tool e altri software di emergenza
in modo che se capitasse l'irreparabile può comodamente aggirare il problema senza programmi invasivi ciucciamemoria
spara dati personali
Per il sistema linux faccio backup costanti via rsync dei dati e backup delle partizioni intere con clonezilla (li' piu' per sicurezza da failure hardware che problemi di virus, ovviamente)
Re: A cosa serve *davvero* un antivirus?
Diciamo che credo poco alle teorie complottiste per cui i "virus" vengono messi in giro dai produttori di av...Per non parlare del giro di affari legato alla vendita di antivirus
Se hai link riguardo questi tipi di exploit web based li leggo volentieri, grazie
Per ciò che riguarda gli exploit basta googlare il codice CVE per avere i dettagli tecnici, quando resi pubblici. Per ciò che riguarda, invece, news e analisi più tecniche di malware ci sono alcuni blog da tenere d'occhio, quelli di F-Secure , Mcafee ed Eset.
Infine, per news e studi molto ben fatti nel mondo della sicurezza in senso lato ( soprattutto black market ed est europeo ), il re è Brian Krebs.
Re: A cosa serve *davvero* un antivirus?
Non volevo avallare le teorie complottiste, pero' oggettivamente il giro d'affari degli antivirus non e' certo poca cosaDiciamo che credo poco alle teorie complottiste per cui i "virus" vengono messi in giro dai produttori di av...
Non e' tanto la pericolosita' dei virus in se', quanto l'ormai universale convinzione per cui un antivirus sia un componente irrinunciabile, garantendo cosi' un mercato in cui la richiesta non tende certo a calare. Che i virus siano creati dalle societa' di AV e' un'ipotesi che rientra sicuramente nel campo del complottismo paranoico (piu' che altro perche' - oltre che illegale - non sono certo che sarebbe economicamente conveniente), pero' se esistesse il pulsante magico "fai scomparire tutti i virus ora e per sempre" dubito che le SH che producono antivirus lo premerebbero
Re: A cosa serve *davvero* un antivirus?
non è una universale convinzione, è un universale buon senso
è come le cinture di sicurezza... puoi anche non metterle ma è caldamente consigliato farlo...
considera poi che per gli utenti domestici ci sono prodotti gratuiti e che un'azienda invece mette quelli a pagamento perchè non può permettersi di avere blocchi dell'infrastruttura perchè devono fare un ripristino di dati un giorno si e l'altro pure...
fermorestando che le piccole aziende potrebbero anche non spendere soldi perchè fino a 10 pc MicrosoftSecurityEssential è gratis anche per le aziende
In sostanza c'è un mercato dietro le aziende di AV, è vero, ma non è l'utente che compra il norton antivirus a fare la loro fortuna, ma sono le aziende che acquistano pacchetti di licenze enterprise per tutti i loro pc, che devono proteggere adeguatamente i loro server, ecc... ecc...
Giusto ieri ho aggiornato una licenza di NortonInternetSecurity 2012 3PC per 24 euro/1anno... non è con quelli che Symantec tira avanti
Re: A cosa serve *davvero* un antivirus?
E' un po' quello che chiedevo con questo thread. L'ultima infezione che mi sono preso e' quella che citavo e saran passati almeno 10 anni, e non ho mai usato un antivirus. Da cui mi viene il dubbio che non sia cosi' necessario, soprattutto considerato che altri tipi di problemi (es. hardware) si presentano piu' spesso.non è una universale convinzione, è un universale buon senso
è come le cinture di sicurezza... puoi anche non metterle ma è caldamente consigliato farlo...
Io mica ho detto che il mercato AV e' solo quello degli utenti privatiIn sostanza c'è un mercato dietro le aziende di AV, è vero, ma non è l'utente che compra il norton antivirus a fare la loro fortuna, ma sono le aziende che acquistano pacchetti di licenze enterprise per tutti i loro pc, che devono proteggere adeguatamente i loro server, ecc... ecc...
Giusto ieri ho aggiornato una licenza di NortonInternetSecurity 2012 3PC per 24 euro/1anno... non è con quelli che Symantec tira avanti
Re: A cosa serve *davvero* un antivirus?
Era per farti capire che la tua soluzione "mi faccio i backup e nel caso formatto e rimetto su tutto" è applicabile giusto agli utenti privati, nemmeno a tutti e cmq solo a chi è capace di farlo e tenendo presente che essendo privato può cmq mettere un AV free senza spendere un centesimo, senza alimentare il mercato degli AV e riducendo il rischio di dover fare il formattoneIo mica ho detto che il mercato AV e' solo quello degli utenti privati
Le aziende che coi pc ci lavorano, non possono permettersi di dire "toh, è entrato un virus che ha infettato i nostri server e le nostre 45 macchine client... fermiamo tutto un paio di gg e ripristiniamo il backup sperando non succeda più"
E per quanto riguarda la tua frase:
Ti consiglio di leggere questo articolino di cui riporto il passo saliente:Per quanto riguarda il "solo stando connesso in rete" sto dietro un NAT quindi l'accesso dall'esterno al mio PC non e' possibile.
"Il NAT e’ quindi utile, soprattutto se integrato nella topologia di rete nel modo corretto, ma *non e’ una security feature.*"
Re: A cosa serve *davvero* un antivirus?
Non ho capito come si lega al discorso sul mercato, comunque c'e' un sacco di roba free che non mi installo. Mi installo un software se mi serve, non e' che visto che tanto e' free mi riempio il pc di roba. Un AV sara' anche free nel senso che non si paga in valuta corrente, ma un impatto sulle prestazioni ce l'ha.Era per farti capire che la tua soluzione "mi faccio i backup e nel caso formatto e rimetto su tutto" è applicabile giusto agli utenti privati, nemmeno a tutti e cmq solo a chi è capace di farlo e tenendo presente che essendo privato può cmq mettere un AV free senza spendere un centesimo, senza alimentare il mercato degli AV e riducendo il rischio di dover fare il formattone
Il che conferma che il mercato degli AV genera un notevole giro di soldi.Le aziende che coi pc ci lavorano, non possono permettersi di dire "toh, è entrato un virus che ha infettato i nostri server e le nostre 45 macchine client... fermiamo tutto un paio di gg e ripristiniamo il backup sperando non succeda più"
Ok pero' mica mi hai spiegato come funziona il contagio "stando solo collegati alla rete".E per quanto riguarda la tua frase:
Ti consiglio di leggere questo articolino di cui riporto il passo saliente:
"Il NAT e’ quindi utile, soprattutto se integrato nella topologia di rete nel modo corretto, ma *non e’ una security feature.*"
Re: A cosa serve *davvero* un antivirus?
Ho come l'impressione di venir trollato... Ma tu sei un mod e attendo sticky, magari sono io che non capisco qual è il problema
Re: A cosa serve *davvero* un antivirus?
Boh la mia domanda mi sembrava piuttosto precisa: se c'e' qualche exploit noto che permette un'infezione "passiva" che e' possibile subire solo stando connessi, mi piacerebbe conoscerlo, magari basta configurare il firewall.
Il fatto di essere mod (peraltro di tutt'altra sezione) non dovrebbe significare trolling
Re: A cosa serve *davvero* un antivirus?
no, intendevo dire che, proprio perchè sei mod, potevo essere io a fraintendere perchè dubito che un mod si metta a trollareBoh la mia domanda mi sembrava piuttosto precisa: se c'e' qualche exploit noto che permette un'infezione "passiva" che e' possibile subire solo stando connessi, mi piacerebbe conoscerlo, magari basta configurare il firewall.
Il fatto di essere mod (peraltro di tutt'altra sezione) non dovrebbe significare trolling
cmq nell'articolo che ho messo se non sbaglio c'è tanto di esempio pratico con codice ecc... su come può essere eseguito un attacco in rete ad un pc dietro NAT...
se tu prendi una botnet e cominci ad attaccare a caso prima o poi arriverai anche a qualche pc (visto l'esempio anche dietro NAT) e se questi hanno dei servizi con dei bug possono essere infettati o cmq compromessi
Non riesco a dirlo più semplicemente di così
Re: A cosa serve *davvero* un antivirus?
Frasi sparse visto che è una settimana difficile in ufficio e ho poca lucidità...
@Kemper
Come tu stesso hai detto, usi poco Windows ed è questo il motivo per cui non prendi virus da dieci anni. Non è una base solida su cui costruire il concetto per cui "un antivirus non serve a molto dato che in 10 anni non sono mai stato infettato". Tra l'altro, mi sfugge come tu possa sapere di essere stato infettato se non usi antivirus da anni, visto che robe come i rootkit sono praticamente invisibili anche conoscendo a memoria ogni leggittimo processo che gira su Windows.
Comunque il rapporto virus/antivirus è molto più complesso di quello che pensi: non esiste un pulsante "uccidi tutti i virus" perché sarebbe impossibile da mettere in atto. I mutamenti e la diffusione di questi software sono talmente veloci che nemmeno i produttori riescono a stargli dietro e soprattutto l'ambito e lo scopo di tali pezzi di codice è mutato radicalmente rispetto a 10 anni fa. Scordati worm che brasano gli hard disk o che fanno sentire dagli speaker la musichetta di "The invisibile man" dei Queen.
1) furto dei dati
2) creazione di botnet a fini di spam
3) diffusione di scareware ( a pagamento )
Tutti questi hanno un solo obiettivo, fare soldi. Per cui il legame virus/antivirus di fatto non esiste più, la gente crea malware per farci dei soldi ed è un mercato parallelo a quello dei produttori di AV. Stiamo parlando di decine di milioni di varianti in un anno, è una lotta impari ed è il motivo per cui chi ha le spalle grosse ( Microsoft, ad esempio ) ha deciso di spostare l'attenzione verso gli elementi correlati, come le botnet.
Chiudo il discorso qui, perché se parto poi non finisco più e rischio di andare OT parlando di DDOS, APT e via discorrendo.
Infine, per rispondere alla tua domanda, al momento non esiste un exploit ( nemmeno 0-day ) che permetta di infettare da remoto un computer come successe con il Sasser o il Conficker. Ciò non significa che non possa uscire nel prossimo futuro, ma statisticamente è molto più facile infettarsi visitando un sito web o aprendo un PDF e qui il NAT non ti può salvare davvero.
Re: A cosa serve *davvero* un antivirus?
Son state dette moltissime cose, ma vorrei aggiungerne solo un'altra: un ottimo mezzo per diffondere i virus sono anche le pennette USB (tramite l'autorun); non so se vi è mai capitato, ma io -ogni sacro santa volta che vado al centro commerciale per stampare qualche foto- mi ritrovo puntualmente un malware nella pennetta (che l'AV -ovviamente- mi blocca).
Re: A cosa serve *davvero* un antivirus?
Hai ragione, in effetti pensavo ai virus che manifestano - direttamente o indirettamente - la propria presenza, sono rimasto troppo ai virus anni 90
Ringrazio tutti per le risposte e i link
Re: A cosa serve *davvero* un antivirus?
Ma anche le versioni di windows piu' recenti eseguono l'autorun senza chiedere conferma?
Re: A cosa serve *davvero* un antivirus?
Ti faccio un esempio abbastanza significativo: nel 2009 utilizzavo Kaspersky AV Suite ( pagato ) e un giorno mi rendo conto che la connessione è terribilmente rallentata. Guardo tra i processi ed è tutto assolutamente OK, nessun processo anomalo. Apro TCPView e vedo che il processo di sistema "svchost.exe" sta contattando SMTP server in asia ed est europa, presumo per mandare spam. Chiaramente mi trovo di fronte a un caso di rootkit che si è agganciato a un processo leggittimo. Morale della favola, dopo aver utilizzato tutti gli strumenti che avevo a disposizione, almeno 3 tipi differenti di antirootkit e dopo due settimane a fare prove e report con il supporto Kaspersky ho dovuto formattare. L'alternativa sarebbe stato reinstallare sopra XP ma ne approfittai per mettere la RC1 di 7.Hai ragione, in effetti pensavo ai virus che manifestano - direttamente o indirettamente - la propria presenza, sono rimasto troppo ai virus anni 90
Ringrazio tutti per le risposte e i link
Come vedi, la situazione è molto cambiata rispetto a qualche anno fa.
Re: A cosa serve *davvero* un antivirus?
Non mi pare...
Tieni conto che molti ancora usano XP...
(Soprattutto, negli ambienti lavorativi)
Permessi di Scrittura
Rispondi Citando
