CISCO D.A.I. Module – Sopravvivere al Layer 2

Ciao a tutti cari lettori, immagino che ormai vi stavate chiedendo che fine avevo fatto e come mai non scrivevo più nulla sul mio blog; ma tra lavoro, corsi di aggiornamento e master  il tempo per bloggare e condividere in rete un pò delle proprie esperienze risulta veramente poco ormai.

Oggi però ho deciso di trovare il tempo (ad un’orario pazzo tra l’altro) per parlare del CISCO D.A.I. Module.

Dieci giorni fa mi è capitato, durante una consulenza per un’azienda della mia zona (eseguita nel dopo lavoro), di controllare come mai ultimamente ci fosse la loro rete lenta, e talmente tanto sovvracaricata da rendere lunghissima qualsiasi comunicazione host to host all’interno della LAN. Fortunatamente la mia fida amica sonda IDS, configurata su una VDI predisposta temporaneamente come segugio sul server aziendale, ha rilevato un eccesso di traffico arp e molti tentativi di arp poisoning da parte di alcuni indirizzi IP che dovrebbero solitamente essere liberi .

Controllando i log, mi sono accorto che gli IP sorgenti cambiavano senza un rigor di logica preciso e senza essere registrati nel database DHCP del server aziendale; segno quindi che qualcuno configurava a random la NIC del proprio PC in static mode e lanciava questi tentativi di avvelenamento ARP.

A questo punto per professionalità( visto che mi pagano per risolvere i problemi) e buon senso civico ho deciso di risolvere la situazione definitivamente; anche se ho deciso di risolverla a modo mio, in quanto ora questa era diventata una sfida personale tra me e lo script kiddie che stava giocando con ettercap. Poi ovviamente ho notificato al responsabile di piano questa bravata affinchè prendesse provvedimenti disciplinari verso costui.

A questo punto entra in gioco come una manna dal cielo il CISCO D.A.I. Module; ovvero il CISCO DYNAMIC ARP INSPECTION MODULE.

Questo modulo, implementato e disponibile nel firmware di molti switch CISCO Catalyst, permette di ispezionare il traffico ARP di determinate VLAN e di verificare che le arp request siano conformi. Faccio un’esempio….se sulla porta 1 l’indirizzo di MAC 00-50-56-C0-00-01 corrisponde all’IP 172.16.10.134, e tale host invia o riceve 200 arp request  D.A.I. entra in  funzione loggando poi l’accaduto.

Voi adesso vi starete chiedendo…. VERY GOOD !!! Ma come si implementa questa cosa? Che scrivevo questo post a fare sennò? Nella rete di questa azienda c’era un server DHCP dedicato, che distribuiva quindi gli indirizzamenti e le configurazioni di networking generali(DNS, WPAD, GW ecc ecc) rendendo così la cosa ancora più semplice e meno macchinosa del previsto.

Mi sono collegato sullo switch via telnet, e entrato nella console ho cominciato la mia missione come da policies seguenti:

switch-p01(config)# configure terminal

switch-p01(config)# ip dhcp snooping

switch-p01(config)# ip dhcp snooping vlan 1-32 (se volete potete modificare il range di VLAN in base alla vostra rete)

switch-p01(config)# ip dhcp snooping information option

switch-p01(config)# interface 12

switch-p01(config)# ip dhcp snooping trust

switch-p01(config)# exit

switch-p01(config)# ip dhcp snooping verify mac-address

switch-p01(config)# ip arp inspection vlan 1-32 (se volete potete modificare il range di VLAN in base alla vostra rete)

switch-p01(config)# ip arp inspection limit 15

switch-p01(config)# errdisable recovery cause arp-inspection interval 300

switch-p01(config)# ip arp inspection validate dst-mac src-mac ip

switch-p01(config)# end

switch-p01(config)# copy running-config startup-config

Cosa succede ora al nostro caro script kiddie che si stava divertendo con ettercap? Ecco qua un piccolo log della console dello switch salvato proprio per voi durante il suo tentativo massiccio che rallentava tutto.

switch-p01# Oct 20 16:42:51.873: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 252 milliseconds on Fa0/3.
switch-p01# Oct 20 16:42:51.873: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa0/3, putting Fa0/3 in err-disable state
switch-p01# Oct 20 16:42:52.877: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down
switch-p01# Oct 20 16:42:53.881: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down

Avendo tentato di Poisonare tutta la LAN con ettercap, per protezione la sua interfaccia è stata messa in stato di shutdown per 300 secondi; cioè per cinque minuti esatti. Sono stato cattivo vero? Lo so, però mi sembrava un tempo utile per farlo desistere dal ritentare ancora con questi giochetti

Molti di voi si staranno chiedendo….” Cosa succede se invece di poisonare tutta la LAN lo script kiddie ha già un elenco di host da poisonare oppure imposta un rate limit inferiore a quello massimo che hai impostato sopra??? ” Domanda corretta e lecita da parte vostra. Come avrete già intuito dalle righe di configurazione precedentemente descritte non ho di certo sottovalutato lo script kiddie, cercando di tener conto di tutte le varie modalità alternative con cui egli poteva eseguire l’attacco. Questo consapevole che il nostro amico ci avrebbe riprovato ancora, magari tentando di bypassare tale protezione o policy. Per sua sfortuna però, secondo le righe di sintassi che ho inserito prima, viene fatto pure un check-up sul MAC e l’indirizzo IP di sorgente/destinazione(la ciliegina sulla torta) sia a livello di ARP che di DHCP entries passanti sulle VLAN untrusted. In questo modo viene pure costruito un database in base agli indirizzi IP richiesti & poi rilasciati dal server DHCP della LAN. Insomma il suo attacco non ha più successo.

Infatti ecco a voi cosa succede sulla console dello switch a conferma di quanto detto

switch-p01# Oct 20 16:47:44.087: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Res) on Fa0/3, vlan 1.([000c.85a3.e080/192.168.69.11/000c.2957.6b39/192.168.69.112/16:47:44 UTC Tue Oct 20 2009])
switch-p01# Oct 20 16:47:44.087: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Res) on Fa0/3, vlan 1.([000c.85a3.e080/192.168.69.11/0016.cb97.3e33/192.168.69.31/16:47:44 UTC Tue Oct 20 2009])
switch-p01# Oct 20 16:47:45.087: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Res) on Fa0/3, vlan 1.([000c.85a3.e080/192.168.69.11/000c.2957.6b39/192.168.69.31/16:47.44 UTC Tue Oct 20 2009])

Insomma come avrete visto dal secondo log, anche se le arp request fasulle sono in uscita lo switch le rileva e droppa tali pacchetti “manipolati” facendo passare solo le arp request/response valide originate dal client aziendale e non da ettercap.

Bene…. Anche questa volta abbiamo risolto il problema rendendo pure inoffensivo lo script kiddie e i suoi giochetti ARP. Spero che tale tutorial scritto in modo narrativo informale vi abbia soddisfatto, o comunque abbia incuriosito i colleghi in merito a tali features contro questi tipi di attacchi MITM che spesso sono un grattacapo per tanti network admin. Nel caso abbiate domande o dubbi io sono qui a disposizione; tempo permettendo.

Ciauz e alla prossima

Adobe, grave la falla di Acrobat

Roma – La scorsa settimana Adobe ha avvisato i suoi utenti della presenza, in tutte le versioni ancora supportate di Adobe Reader e Adobe Acrobat, di una seria vulnerabilità già sfruttata dai creatori di malware.

L’azienda ha comunicato in questo post che rilascerà una patch domani, 13 ottobre. Nel frattempo, Adobe raccomanda agli utenti di disattivare il supporto JavaScript nei propri browser: gli exploit attualmente in circolazione utilizzano il noto linguaggio di scripting per trarre vantaggio dal bug di Reader e Acrobat. Adobe ha però ammesso che i cracker potrebbero sviluppare exploit che non si basano su JavaScript: per tale ragione viene suggerito di tenere il proprio antivirus costantemente aggiornato.

Stando all’advisory di Adobe, gli utenti di Windows Vista con la funzione di sicurezza DEP (Data Execution Prevention) attivata dovrebbero dormire sonni tranquilli.

Trend Micro ha battezzato il primo exploit per la nuova vulnerabilità di Reader e Acrobat Troj_Pidief.Uo, spiegando che questo arriva in un file PDF contenente due malware: lo script Js_Agent.Dt, capace di scaricare e installare nel sistema altri malware, e Bkdr_Protux.Bd, che crea una backdoor e tenta di connettersi ad uno specifico indirizzo IP.

Confermando quanto detto da Adobe, Troj_Pidief.Uo può infettare tutte le versioni ancora supportate di Windows tranne Vista e Windows Server 2008. Nel succitato post di Trend Micro vengono forniti altri dettagli sul codice maligno e su come questo funziona.

Agli utenti di Adobe Reader e Adobe Acrobat non resta che attendere domani, quando l’azienda ha promesso il rilascio di versioni aggiornate delle sue due applicazioni per Windows, Mac OS X e Unix. Vale la pena ricordare come domani sarà lo stesso giorno in cui Microsoft ha programmato il rilascio di un numero record di patch.

In occasione della recente conferenza Adobe MAX 2009, la mamma del formato PDF ha ammesso che negli ultimi tempi gli attacchi diretti verso Reader, Acrobat e Flash Player sono aumentati considerevolmente: l’azienda ha tuttavia rassicurato il pubblico affermando che “un eccellente team di esperti di sicurezza sta lavorando sul problema, inoltre abbiamo un team di pronto intervento capace di attivarsi immediatamente non appena sorge una difficoltà”.

FONTE : PUNTO – INFORMATICO.IT

Microsoft, una valanga di patch per il prossimo mese

Tredici bollettini di sicurezza, di cui otto critici e cinque importanti, che risolvono complessivamente 34 vulnerabilità. Sarà questo il “bilancio di guerra” degli aggiornamenti di sicurezza di Microsoft previsti per martedì prossimo.

I software interessati dalle prossime patch di sicurezza comprendono Windows, Internet Explorer, Office, Silverlight, Forefront, Developer Tools e SQL Server. In molti casi, dopo l’applicazione dei fix occorrerà riavviare il sistema operativo.

Tra le vulnerabilità che verranno corrette dai prossimi bollettini vi saranno quella relativa al protocollo di rete SMB2, di cui proprio di recente è emerso un nuovo exploit, e quella relativa al servizio FTP di Internet Information Services (IIS), che Microsoft non aveva fatto in tempo a sistemare lo scorso mese. Entrambe le falle sono zero-day, in altre parole sono già state sfruttate in certi attacchi.

La falla che interessa l’implementazione di SMB2 è stata divulgata circa un mese fa e, secondo Microsoft, è contenuta in Windows Vista, Server 2008 e le versioni di Windows 7 precedenti alla RTM. Sono immuni al problema Windows Server 2008 R2, XP e 2000. Anticipando il rilascio della patch ufficiale, tre settimane fa Microsoft ha fornito una soluzione temporanea Fix it che disattiva il supporto a SMB2 in Windows.

FONTE:  PUNTO-INFORMATICO.IT

Fuga di Password da Hotmail

Roma – “Durante lo scorso fine settimana Microsoft ha appreso che migliaia di credenziali d’accesso relative agli utenti di Windows Live Hotmail sono state rivelate su un sito terzo a causa di un probabile attacco di phishing”. Così un recente post sul blog ufficiale di Windows Live che ha immediatamente suggerito ai suoi iscritti di aggiornare al più presto i dati personali di account, cambiando in particolare la password. “Abbiamo determinato – ha continuato il post – che non si tratta di una fuga di dati interna”.

A contattare per primo il Microsoft Security Response Center era stato Neowin, accortosi di corpose liste di account presenti nel forum di Pastebin, utilizzato in genere da sviluppatori per condividere snippet di codice. Più nel dettaglio, era stato un utente anonimo a mettere in condivisione oltre 10mila credenziali d’accesso, in particolare di account @hotmail.com, @msn.com e @live.com.

La fuga incontrollata dei dati, relativi nella specie a nomi utente che iniziano per A e per B, era stata confermata in seguito da BBC News che aveva contattato Graham Cluley, consulente di Sophos, azienda nel settore sicurezza. Cluley aveva specificato come le liste pubblicate potessero far parte di gruppi più vasti di account ormai compromessi, suggerendo di modificare le proprie password anche perché il 40 per cento delle persone utilizza sempre la stessa parola per ogni sito a cui si registra.

Redmond ha quindi confermato l’intera vicenda, nonostante le liste incriminate siano ormai sparite dal forum. Si è trattato di phishing e Microsoft ha dichiarato sul blog il suo impegno a restituire il controllo delle credenziali d’accesso ai suoi utenti: “Stiamo adottando tutte le misure per bloccare l’accesso a tutti gli account che sono stati rivelati, per aiutare quegli utenti a recuperare le loro credenziali”.

Fonte: PUNTO-INFORMATICO

Un bug in Windows coinvolge Internet Explorer, Safari e Chrome

Sono passate nove settimane è stata pubblicata la dimostrazione di come sfruttare un bug in CrptoApi – una libreria usata da Internet Explorer, Chrome e Safari per la gestione dei certificati Ssl – e ancora non c’è in vista una patch.

“Ci sono migliaia di prodotti che girano sotto Windows che, proprio in questo momento, sono ancora vulnerabili a questo attacco Ssl” ha spiegato Moxie Malinkspike, uno degli hacker che hanno scovato la vulnerabilità e messo pubblicamente in guardia Microsoft durante la Black Hat Security Conference.

In pratica il bug può essere usato per far credere al browser che si sta usando un certificato Ssl per accedere al legittimo sito cui è collegato, mentre in realtà ci si connette a un sito fraudolento.

Per ora Microsoft ha fatto soltanto sapere che sta “investigando su una possibile vulnerabilità” e che “prenderà le misure necessarie per proteggere i clienti” quando avrà concluso.

Finché Microsoft non avrà rilasciato una patch è consigliabile usare un browser alternativo come Firefox: il team di Mozilla ha risolto la vulnerabilità già pochi giorni dopo la sua rivelazione.

Da sottolineare che i browser Opera e Lynx non sono soggetti a tale bug in quanto non utilizzano Crypto-Api per i certificati SSL; mentre Mozilla ha fixato l’anomalia subito.

Fonte: ZeusNews

Mozilla forgia uno scudo antiXSS

Talvolta l’uso di un firewall e di un buon antivirus non è sufficiente a proteggere i PC dalle minacce che provengono da Internet, soprattutto quando queste minacce prendono di mira le debolezze presenti sui siti web: in questi casi le protezioni più efficaci sono quelle offerte dal browser.

È per tale ragione che Mozilla sta lavorando all’implementazione, in Firefox, della specifica Content Security Policy (CSP), un framework studiato per proteggere i siti – e di conseguenza anche gli utenti finali – dai famigerati attacchi Cross-Site Scripting (XSS). Stilata lo scorso anno, la specifica CSP è appena entrata a far parte di alcune build preliminari di Firefox, e la sua efficacia può essere messa alla prova con i test pubblicati in questa pagina. CSP consente a webmaster e web designer di definire delle policy che stabiliscano in che modo un sito esterno può interagire con una certa pagina web: ad esempio, gli amministratori di un sito possono restringere il tipo di script eseguiti sulle loro pagine e le fonti da cui questi provengono; nel caso più drastico, possono anche scegliere di disattivare del tutto l’esecuzione di codice JavaScript. Tali accorgimenti, secondo Mozilla, possono contribuire a ridurre in modo determinante il numero di attacchi XSS e Cross Site Request Forgery (CSRF) con cui i cracker tentano ogni giorno di sottrarre informazioni sensibili agli utenti o inoculare malware nei loro PC. Brandon Sterne, security program manager di Mozilla, ha spiegato in questo post che il suo team ha trascorso gli ultimi mesi a tradurre la specifica CSP in codice.

Tale codice è ora stato integrato in alcune versioni sperimentali di Firefox 3.7, così che sviluppatori, esperti di sicurezza e amministratori di server possano cominciare a testarlo e fornire il proprio feedback. Sterne avverte però che questa prima implementazione di CSP è ancora incompleta, e manca ad esempio del supporto agli HTTP redirect. “Siamo entusiasti di aver ricevuto così tanti feedback positivi dagli altri vendor di browser, dagli amministratori di siti web e dai ricercatori di sicurezza, e siamo davvero orgogliosi del design scaturito da questo confronto”, ha commentato Sterne. L’esperto di sicurezza di Mozilla non ha fornito alcuna stima sui tempi necessari a completare l’implementazione di CSP. L’ipotesi più plausibile è che tale tecnologia entrerà a far parte delle versioni pubbliche di Firefox entro il rilascio della futura release 4.0, il cui debutto è previsto tra circa un anno.

Fonte: PUNTO-INFORMATICO

MultiLayered Network Security

Voglio annunciarvi che è uscito il secondo whitepaper del progetto NetSecurity & Security Systems. In questo nuovo paper si parlerà dell’approccio logico / teorico alle tecniche di Multilayered Network Security; per il resto non voglio anticiparvi niente e preferisco che scoprite tutti i dettagli leggendo attentamente il PDF.

Il paper è scaricabile dall’apposita sezione apposita del blog che trovate qui

Finora coloro che l’hanno letto hanno dato un feedback positivo; spero che anche tutti voi visitatori siate dello stesso parere o che possiate aiutarmi a migliorare la qualità del suddetto argomento eventualmente.Ovviamente ogni consiglio, dubbio e domanda sono leciti e ben accetti. Sono qui a vostra disposizione come sempre

Colgo l’occasione per augurarvi un buon week end

Ciauz

Windows TCP/IP Stack Hardening

Mi sembra doveroso ribadire, dopo aver spesso dato risposta in giro sui vari forum, che un metodo per proteggere il proprio pc sia proprio l’irrobustimento del sistema stesso e quindi anche delle varie aree che lo caratterizzano e che sono esposte a pericoli e bugs
Proprio in quest’ottica ci viene in aiuto l’hardening, ovvero l’insieme di tutte quelle procedure di irrobustimento di un sistema operativo,  che comprende anche l’hardening dello stack TCP/IP  che spesso viene lasciato configurato di default esponendo comunque la nostra macchina a pericoli e insidie.

Lo stack TCP/IP è il responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP). Se necessario, questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.

Sostanzialmente tutte le applicazioni che fanno uso di Internet e tutte le applicazioni tradizionali che si riferiscono a LAN utilizzano IP, benché teoricamente siano possibili altre soluzioni.
Il protocollo IP è per impostazione predefinita privo di protezione. Tuttavia con l’uso e la configurazione di vari parametri nel registro di Windows è possibile aumentare il livello di protezione della rete da attacchi di tipo Denial of Service, inclusi attacchi SYS, ICMP e SNMP. Le chiavi del Registro di sistema possono essere configurate per:

- Attivare la protezione dagli attacchi di tipo SYN quando viene rilevato un attacco
- Impostare valori limite utilizzati per determinare ciò che costituisce un attacco.

Alcune chiavi e valori cui si fa riferimento in questa procedura potrebbero non essere disponibili per impostazione predefinita, in questi casi è necessario creare chiavi, valori e dati valore.

Gli interventi che ci apprestiamo a compiere potrebbero essere, se non eseguiti nel modo corretto, dannosi, per cui è importantissimo, prima di compiere qualunque azione sul registro, premunirsi di farne una copia completa.

Iniziamo : Entriamo in regedit e posizioniamoci alla seguente chiave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters

Valore: EnableDeadGWDetect – Valore consigliato: 0 [Valori validi: 0 (disabilitato), 1 (abilitato)]

1 : se si imposta EnableDeadGWDetect su 1, il protocollo TCP può rilevare i gateway inattivi. Quando il rilevamento dei gateway inattivi è abilitato, TCP può chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup possono essere definiti nella sezione Avanzate della finestra di dialogo di configurazione del protocollo TCP/IP tramite lo strumento Rete nel Pannello di controllo.

0 : è consigliabile impostare il valore di EnableDeadGWDetect su 0, in caso contrario un eventuale attacco potrebbe obbligare il server a cambiare gateway imponendogli di passare a un gateway indesiderato.

Valore: SynAttackProtect – Valore consigliato: 1 [Valori validi: 0 - 2]
Questo valore del Registro di sistema fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura, le risposte di connessione scadono più rapidamente durante un attacco SYN (un tipo di attacco “Denial of Service”).

I seguenti parametri possono essere utilizzati con questo valore del Registro di sistema:
- 0 (valore predefinito): nessuna protezione dagli attacchi SYN
- 1: impostare SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN.

Questo parametro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Se si imposta SynAttackProtect su 1, il timeout delle risposte di connessione è più veloce qualora il sistema rilevi un attacco SYN in corso. Per determinare se è in corso un attacco, Windows utilizza i valori seguenti:
- TcpMaxPortsExhausted
- TCPMaxHalfOpen
- TCPMaxHalfOpenRetried

Nome valore: TcpMaxPortsExhausted – Valore consigliato: 0 [Valori validi: 0 - 65535]
specifica il limite di richieste di connessione TCP che deve essere superato prima di attivare la protezione dagli attacchi SYN.

Nome valore: TcpMaxHalfOpen – Valore consigliato: 64 [Valori validi: 100 - 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxHalfOpenRetried – Valore consigliato: 400 [Valori validi: 80 - 65535]
quando SynAttackProtect è attivato, questo valore specifica il limite di connessioni TCP nello stato SYN_RCVD per cui è stata inviata almeno una ritrasmissione. Al superamento del valore SynAttackProtect viene attivata la protezione dagli attacchi di tipo SYN.

Nome valore: TcpMaxConnectResponseRetransmissions – Valore consigliato: 2 [Valori validi: 0 - 255]
controlla il numero di ritrasmissioni di un SYN-ACK prima di annullare il tentativo di risposta a una richiesta SYN.

Nome valore: TcpMaxDataRetransmissions – Valore consigliato: 3 [Valori validi: 0 - 65535]
specifica il numero di volte in cui TCP ritrasmetterà un singolo segmento di dati (non di connessione) prima di annullare la connessione

Nome valore: EnablePMTUDiscovery – Valore consigliato: 1 [Valori validi: 0, 1]
se questo valore è impostato su 1 (valore predefinito), il protocollo TCP deve individuare l’unità massima di trasmissione o il pacchetto con la dimensione maggiore nel percorso di un host remoto. Un pirata informatico può forzare la frammentazione del pacchetto e quindi sovraccaricare lo stack. Specificando il valore 0, verrà imposta la MTU di 576 byte per le connessioni da host non inclusi nella subnet locale.

Nome valore: KeepAliveTime – Valore consigliato: 300000 [Valori validi: 80 - 4294967295]
specifica la frequenza con cui il protocollo TCP tenta di verificare se una connessione inattiva è ancora intatta inviando un pacchetto keep-alive

Nome valore: NoNameReleaseOnDemand – Valore consigliato: 1 [Valori validi: 0, 1]
specifica che il computer non deve rivelare il nome NetBIOS quando riceve una richiesta di rilascio dei nomi.

Nome Valore: DisableIPSourceRouting – Valore consigliato: 1 [Valori validi: 0, 1, 2]
disattiva l’origine routing IP, che consente a un mittente di determinare la route che un datagramma deve seguire attraverso la rete.

Nome Valore: EnableFragmentChecking – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
impedisce allo stack IP di accettare pacchetti frammentati

Nome Valore: EnableMulticastForwarding – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
il servizio di routing si basa su questo parametro per determinare se i pacchetti multicst IP debbano essere inoltrati o meno. Questo parametro viene creato dal servizio Routing e accesso remoto.

Nome Valore: IPEnableRouter – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
l’impostazione di questo parametro su 1 (true) consente al sistema di inoltrare i pacchetti IP alle reti a cui è connesso.

Nome Valore: EnableAddrMaskReply – Valore consigliato: 0 [Intervallo valido: 0 (false), 1 (true)]
questo parametro stabilisce se il computer deve rispondere a una richiesta di maschera indirizzo ICMP.

Ora rechiamoci alla chiave:

HKLM\System\CurrentControlSet\Services\AFD\Parameters

Nome Valore: EnableICMPRedirect – Valore consigliato: 0 [Valori validi: 0, 1]
se si modifica questo valore su 0, viene impedita la creazione di route host dispendiose in seguito alla ricezione di un pacchetto di reindirizzamento ICMP.

Nome Valore: EnableDynamicBacklog – Valore consigliato: 1 [Valori validi: 0 (disabilitato), 1 (abilitato)]
specifica che la funzionalità AFD.SYS dovrà gestire un numero elevato di connessioni SYN_RCVD in modo efficace.

Nome valore: MinimumDynamicBacklog – Valore consigliato: 0 [Valori validi: 0 - 4294967295]
specifica il numero minimo di connessioni disponibili consentito per un endpoint in ascolto. Se il numero di connessioni disponibili risulta inferiore a questo valore, viene inserito un thread nella coda per creare altre connessioni disponibili.

Nome valore: MaximumDynamicBacklog – Valore consigliato: 20 [Valori validi: 0 - 4294967295]
specifica il numero totale delle connessioni disponibili e di quelle in stato SYN_RCVD.

Nome valore: DynamicBacklogGrowthDelta – Valore consigliato: 0 [Valori validi: 0 - 4294967295]
quando sono necessarie altre connessioni, specifica il numero di connessioni disponibili che devono essere create.

Articolo formatted by:  PIANETAPC.IT

LE SCANSIONI ONLINE

Molto spesso sentiamo parlare di virus, trojan, dialer, spyware e quant’altro; e quindi dopo aver creato un’apposita raccolta di programmi per ripulire il proprio PC, che potete scaricare da RBT – 4.
voglio donare ai più pigroni i link alle migliori scansioni online che permettono la rimozione della maggior parte del nocivo attivo sul proprio PC.

Le scansioni online che vi segnalo qui sotto le ho messe in ordine gerarchico per semplicità. per richiesta di configurazione e sopratutto per capacità di rilevamento e la capacità di rimuovere il contenuto trovato.

SCANSIONI A 360 GRADI

PANDA – TOTAL SCAN : Sicuramente la migliore scansione online per semplicità, accuratezza e capacità di rilevamento. Attenzione perchè rimuove tutto a parte gli spyware che dovrete preoccuparvi di rimuovere da soli manualmente dopo aver letto il report finale.

PANDA NANO SCAN : Sicuramente gemella della precedente, solo che scarica un pattern minore di definizioni e quindi effettua una pulizia meno accurata ma più veloce per quanto riguarda sistemi non compromessi. Le opzioni sono indetiche a quella descritta sopra.

ROOTKIT

PANDA ACTIVE SHIELD SCAN : Sicuramente lo stesso motore della TotalScan che rileva tutto, o quasi; ma che tuttavia non rimuove moltissimo. Semplice ed accurata lascia però scapito all’utente finale di andare a rimuovere il contenuto attivo residente nel sistema. Ottima per chi fosse alla ricerca di Rootkit e basta, perchè purtroppo come già detto rileva moltissimo però lascia all’utente il compito di rimuovere ciò che viene rilevato.
TREND-MICRO ROOTKIT BUSTER : Ottima. Da provare per rimuovere rootkit maligni usati da componenti attivi. Tiene testa molto bene al motore ActiveShield Panda appena descritto.

ANTIVIRUS

BITDEFENDER SCAN ONLINE : Sicuramente una delle migliori perchè ha un’alta capacità di rilevamento, riesce ad aprire anche i punti di ripritsino e sopratutto permette l’interazione con l’utente finale nel caso la prima operazione preliminare non vada a buon fine. Contro virus, e trojan è una delle migliori se non la migliore perchè permette la configurazione della scansione online e sopratutto perchè riesce ad isolare tutto ciò che rileva di infetto.
TREND-MICRO HOUSE CALL : Sicuramente rappresenta un’ottima spiaggia con i suoi pattern fornitissimi e molto ricchi di definizioni e firme virali. Permette anche il test della sicurezza del proprio Sistema andando a testare noti exploit o bug segnalati cronologicamente da Microsoft. Anche questo scan permette l’interazione con l’utente finale e soprattutto si occupa egregiamente con trojan e worm peccando però su malware e spyware. Da provare sicuramente anche se è pesante visto che usa un proprio kernel di scansione in Java.

ANTI – MALWARE & SPYWARE

A – SQUARED SCANNER : Ottima. Il nuovo kernel di scansione lanciato da A-Squared la mette in condizione di essere invidaita da tutti gli altri concorrenti. Da maggio 2007 A-Squared si piazza al primo ed assoluto posto della classifica come anti-malware e anti-spyware. Ha una capacità di rilevamento ottima, rimuove tutto ciò che trova e soprattutto non richiede nessuna configurazione. L’unica pecca è la lentezza scansione, che però non si fa rimpiangere vista l’accurattezzae i risultati che ottiene.
EWIDO SCAN ONLINE : Sicuramente uno degli ottimo anti-spyware in commercio come software. Come scansione online non risparmia mai delle sorprese e fa ad hoc il suo dovere, anche se ha molto da invidiare al kernel A-Squared che resta per il momento superiore in tutti i sensi tranne che in velocità.
EWIDO MICRO : Idem a il precedente della lista, solo che questo link vi porta al download del piccolo eseguibile che scarica le definizioni nella cartella Temp di Windows ed esegue la scansione online in maniera stand-alone dopo aver scaricato tutte le definizioni che potremmo rimuovere con un semplice programmino come ATF-Cleaner(vedi Clean-Suite nell’apposita sezione Security Toolz) o CCleaner.

SCANSIONI SINGOLI FILES SOSPETTI

CLAMWIN : Ottima scansione che si appoggia sul motore free e ben fornito di ClamWin che è molto conosciuto a livello sistemistico e in ambito Open-Source. Contiene grandissime definizioni e quindi permette di trovare tantissime informazioni sui virus, o su singoli files sospetti segnalati da altri prodotti antivirus. Ottima per capire come veramente ragione e si comporta quel determinato files sospetto.
VIRUS TOTAL : Altro ottimo motore che permette l’analisi dei files sospetti e di ricavarne il più grande numero di informazioni. Da provare!
NORMAN-SANDBOX LIVE : Ottimo motore che conta su un livello euristico più elevato e su meno definizioni rispetto ai due precedenti appena descritti. Insomma….Da provare se otteniamo scarne informazioni dalle due precedenti singole scansioni.

Ricordo che però queste scansioni online andrebbero fatte dopo aver fatto le operazioni preliminari, che descriverò in un prossimo articolo , e dopo aver usato i tools che ho messo nella Clean-Suite citata all’inizio di questo post.

Ciauz Ciauz

GUIDA ALLA RIMOZIONE DEL VIRUS MY-PHOTO ALBUM LIVE MESSENGER

In questo tutorial voglio indicarvi la procedura corretta per rimuovere il virus/malware MY PHOTO che dal 10 Giugno 2007 sta imperversando in MSN diffondendosi tramite Windows Live Messenger. Questo virus vi viene inviato dai vostri contatti conosciuti, e vi invita ad accettare un file .zip chiamato My_Photo.zip oppure my_photoAlbum.zip che una volta scaricato va a modificare il registro di configurazione di windows e ad installare quattro moduli DLL(Librerie dinamiche di Windows tradotto in italiano per chi non lo sapesse!!). Viste alcune segnalazioni e richieste di aiuto ora vi indico come rimuovere questo stupidssimo malware che scoccia e basta la vita dei poveri MSN users…..

Prima di illustrarvi come rimuoverlo voglio mostrarvi i risultati delle scansioni antivirus contro questo malware, che purtroppo imperversa ancora distanza di mesi grazie ad una sotto-valutazione da parte delle stesse software house che producono gli antivirus e gli anti-malware.

Come ben potete notare dalla foto il malware viene rilevato da pochissimi antivirus; pertanto se volete optare per un antivirus free e buono restate su Antivir Personal Edition, che anche se è free si conferma ancora in ottime posizioni alla pari con gli antivirus a pagamento.

Tornando a noi, per rimuovere il malware Andate su Start e poi se Esegui e digitate regedit e date Invio.
A questo punto siete dentro all’editor del registro di configurazione del vostro Windows. Ora nel menu a sinistra scorrete l’albero gerarchico e cercate le chiavi che vi indichiamo di seguito…

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad]rdshost = {829053f7-6ED6-4557-95D4-628CF4C5946D}

[HKEY_CLASSES_ROOT\CLSID\{C0FCE446-B97E-460A-8D0B-6A73BADFD0A9}\InProcServer32 @= rdfhost.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]rdshost = {c0fce446-b97e-460a-8d0b-6a73badfd0a9}

Quando le avete trovate rimuovetele definitivamente. Ora siamo già a buon punto perchè abbiamo inbitio il caricamento all’avvio del malware e quindi ci resta solo da rimuovere i file maligni creati in fase di installazione dallo stesso…..

Andate su Risorse del Computer(per semplificarvi la vita ) e nella cartella Windows fate un cerca inserendo come termini di ricerca questi files:

Photo album.zip
rdfhost.dll rdihost.dll rdshost.dll

Selezionateli e rimuoveteli.

Scaricate il fix direttamente da link sottostante:

DOWNLOAD TOOL

Spero di esservi stato di aiuto, ma soprattutto di essere stato chiaro ed esaustivo anche stavolta…..

P:S> Questo malware resta tuttavia un’applicazione nociva un pò datata ma che non è stata inserita nei database da parte di tutte le case produttrici di antivirus. In poche parole consiglio a chi ha Avast(pessimo antivirus FreeEdition), o a chi avesse McAFee o Norton di disinstallarli e installare antivirus a pagamento evoluti come Kaspersky, BitDefender o Nod32, oppure di optare per l’ottima soluzione free edition Antivir 7; che aggiornato è pure veloce e molto preciso nelle scansioni e nei rilevamenti. In ogni caso chi avesse quest’ultimi antivirus non è soggetto all’infezione anche se riceve il malware perchè viene rilevato se è aggiornato a dopo il primo Aprile 2007…..Quindi rifiutate prodotti come Norton, Avast e McAfee perchè siete esposti e a 360 non solo a questo stupido malware!!!!

P:P:S> Questa guida la pubblicai ancora un anno fa ma spero sia ancora valida nel caso qualche visitatore sia ancora infetto o abbia ancora problemi con questo vecchio virus.