| Autore |
 Discussione  |
|
|
genes
Senior Member
Città: Torino
172 Messaggi |
Inserito il - 03/05/2003 : 12:30:19
|
Mi sono accorto di una opzione (consigliata)da parte di Norton Antivirus che in pratica consiste nella scansione delle E-mail con allegati ecc da me inviate.Vi e Mi chiedo,considerando tutta l'attezione che ci metto quando scarico dalla rete file o ricevo a mia volta e-mail con allegati ecc,ed è mia abitudine di norma prima di aprirli li scansiono x l'appunto con il Norton Antiv.
PERCHE' dovrei preoccuparmi di inviarle sicure se so che lo sono.Posso togliere il segno di spunta dall'opzione (scansione invio e-mail) secondo il Vostro Autorevole parere
Se cosi non fosse,fatemelo sapere
Ciao
genes
|
|
|
Syrio
Advanced Member
Città: Taranto
462 Messaggi |
Inserito il - 03/05/2003 : 12:43:25
|
Ciao.Io non sono uno di quelli che ti puo' dare un'autorevole consiglio,pero' se hai un computer abbastanza lento e questa operazione ti rallenta,oppure se hai un modem 56k/bit e questa operazione ti fa perdere preziosi secondi io ti consiglierei di levare questa opzione!Altrimenti lasciala.
Ciao
syrio
|
 |
|
|
genes
Senior Member
Città: Torino
172 Messaggi |
Inserito il - 03/05/2003 : 15:57:24
|
quote:
Ciao.Io non sono uno di quelli che ti puo' dare un'autorevole consiglio,pero' se hai un computer abbastanza lento e questa operazione ti rallenta,oppure se hai un modem 56k/bit e questa operazione ti fa perdere preziosi secondi io ti consiglierei di levare questa opzione!Altrimenti lasciala.
Ciao
syrio
Va bene,vedro che fare.
ciao e grazie
genes |
|
|
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
Inserito il - 03/05/2003 : 16:50:26
|
Se tu sei sicuro sicuro sicuro di essere sicuro (ehehehe scusa il gioco di parole) bhè "despunta"* la checkbox del norton
dipende da te ciao
*Despunta: Despuntare, deriva dall'omeghiano tipo internettizazzione hiihih per chi ne vuole sapere di più si compri Omeghiano/Italiano Italiano/Omeghiano della zanichelli
Ciao
=Omega=============
"Hands On"
[www].notrace.it
omega notrace.info
[www].mofcrew.org
=================== |
|
|
|
Trademark
Moderatore
651 Messaggi |
Inserito il - 03/05/2003 : 18:06:45
|
ciao,
2° me nn serve a nulla la scansione in uscita...se vuoi inviare un virus la disattivi...se nn lo vuoi inviare nn serve(xchè 6 già sicuro che il file nn sia infetto) e se un virus manda e-mail a tutti i contatti in rubrica...vuol dire che l'av nn lo ha riconosciuto in entrata quindi nn lo riconoscerà nemmeno in uscita...questa è la mia opinione liberissimi di smentirmi...
alla prossima -tm- |
|
|
|
genes
Senior Member
Città: Torino
172 Messaggi |
Inserito il - 06/05/2003 : 11:27:03
|
quote:
ciao,
2° me nn serve a nulla la scansione in uscita...se vuoi inviare un virus la disattivi...se nn lo vuoi inviare nn serve(xchè 6 già sicuro che il file nn sia infetto) e se un virus manda e-mail a tutti i contatti in rubrica...vuol dire che l'av nn lo ha riconosciuto in entrata quindi nn lo riconoscerà nemmeno in uscita...questa è la mia opinione liberissimi di smentirmi...
alla prossima -tm-
E esattamemte cio che pensavo,ora ne ho un ulteriore conferma.Anchio penso che non serva e quindi ho deciso di disattivare tale opzione.
Ciao alla prossima
genes |
|
|
|
Daitan3
Advanced Member
425 Messaggi |
Inserito il - 06/05/2003 : 14:43:19
|
Mi aggiungo al parere dei saggi. Eviti di rallentarti la posta in uscita. In sostanza, "despuntando" ( Omega's style )la situazione: io so che tu sai che lui sa,quindi sa & so sanno...
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 02/08/2003 : 00:59:47
|
Sconsiglio vivamente la disattivazione
della scansione e-mail in uscita.
Quasi tutti i trojans hanno la funzionalità
di notifica indirizzo IP con e-mail, appena
ci si connette ad internet.
Ma esistono sempre nuovi trojans, le cui
definizioni AV non sono state aggiornate dalle grandi SoftwareHouse. Alcuni di questi
stanno girando già da oltre un anno indisturbati.
Inoltre se il pc fosse infettato con 1 keylogger "originale"( e questo è ancora peggio ), una eventuale e-mail uscente "silenziosa" potrebbe contenere tutti i caratteri che
avete digitato, magari in un mese o più !
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 02/08/2003 : 00:59:56
|
Sconsiglio vivamente la disattivazione
della scansione e-mail in uscita.
Quasi tutti i trojans hanno la funzionalità
di notifica indirizzo IP con e-mail, appena
ci si connette ad internet.
Ma esistono sempre nuovi trojans, le cui
definizioni AV non sono state aggiornate dalle grandi SoftwareHouse. Alcuni di questi
stanno girando già da oltre un anno indisturbati.
Inoltre se il pc fosse infettato con 1 keylogger "originale"( e questo è ancora peggio ), una eventuale e-mail uscente "silenziosa" potrebbe contenere tutti i caratteri che
avete digitato, magari in un mese o più !
|
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 02/08/2003 : 11:11:27
|
Non vedo come l'antivirus possa bloccare questo. L'AV si limita semplicemente a bloccare gli allegati infetti, non entra nel merito del contenuto. Visto che il caracker non ha alcun interesse a che il trojan si rispedisca al mittente, questo non allegherà copia di sé né file infetti, ergo l'AV non dirà nulla.
A seconda del funzionamento del trojan il firewall potrebbe intervenire, segnalando un accesso alla rete da parte di un programma non autorizzato, ma, ripeto, dipende dal codice del trojan.
Il tutto AFAIK, naturalmente.
Ciao
Gimli |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 03/08/2003 : 13:57:26
|
Forse confondi un po' le cose.
Una volta che il programma trojan va in esecuzione sul pc bersaglio, non si propaga
poi per la rete autoallegandosi! Non è un
virus Worm.
In realtà ogni volta che il pc bersaglio si
connette ad internet il trojan manda una stringa di testo all'indirizzo e-mail stabilito dal lamer. Il messaggio contiene
l'indirizzo IP ( informazione importante se
ci si deve connettere ad un IP dinamico),data
ora, minuti e secondi in cui il pc si è collegato
è di solito qualche altra importante info in
più: sistema operativo, magari anche risorse
condivise e password memorizzate nella cache.
E' importante però che l'opzione di scansione
mail in uscita sia ON proprio perchè al momento in cui ci si connette ad internet,
ci si accorge che IL PC STA' SPEDENDO UN E-MAIL A NOSTRA INSAPUTA !!
Come ho detto se il trojan non è stato inserito nelle AV DEFINITIONS delle AV software houses, esso continuerà a girare sul
pc, però in questo modo ci si accorge che c'è qualcosa che non va, proprio perchè l'AV
si accorge che parte un'e-mail a insaputa dell'utente.
Ci si renderà conto che per la sicurezza questo è un grosso BUCO !
BUCO che diventa ancora più grosso se al posto di un trojan ci hanno installato un
KEYLOGGER ! Se anche questo è sconosciuto
agli AV allora usciranno dalla nostra casa
molte più informazioni di quelle di prima !
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 03/08/2003 : 14:07:11
|
Quanto a come bloccare tali e-mails, questo
è un altro discorso. In ogni caso anche il più aggiornato AV, ammettendo l'ipotesi di 1 trojan "completamente sconosciuto agli AV", ben poco può fare.
Si tratterebbe quindi di passare al contrattacco:
capire quale sia l'e-mail address di destinazione, individuare l'eseguibile in memoria, capire come vada in esecuzione
automaticamente, tentare magari di decompilarlo o editarlo ed infine riuscire
a cancellarlo o comunque ad impedire che
vada in esecuzione ! ( magari quest'ultima
è la cosa da fare con priorità e nemmeno
molto difficile, quando si viene a conoscenza che il pc ti manda in giro e-mails
a suo piacimento )
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 04/08/2003 : 10:38:33
|
quote:
Una volta che il programma trojan va in esecuzione sul pc bersaglio, non si propaga
poi per la rete autoallegandosi! Non è un
virus Worm.
Mi pareva di aver detto esattamente questo...
quote:
E' importante però che l'opzione di scansione
mail in uscita sia ON proprio perchè al momento in cui ci si connette ad internet,
ci si accorge che IL PC STA' SPEDENDO UN E-MAIL A NOSTRA INSAPUTA !!
Io penso che la funzionalità di scansione mail in uscita riguardi solo gli allegati, forse anche il codice inserito nelle mail in html, ma non credo proprio che controlli che programma sta spedendo la mail. A meno che non sia un combinato AV+FW, in questo caso il FW dobrebbe avvisarti di un tentativo di accesso non autorizzato alla rete.
Il tutto AFAIK, potrei provare a trojanizzarmi win XP e a vedere come si comporta il Norton 2002, tanto non lo uso mai in rete.
Ciao
Gimli |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 09/08/2003 : 01:05:44
|
Ricordo che sto sempre parlando di BACKDOORS non riconosciute
come tali dagli AV e con funzione di notifica collegamento
con e-mail ( ho fatto un paio di giorni di ricerca
in rete e ne ho trovate NON POCHE ! ).
( e pensare che i programmatori delle AV software houses sono pagati
profumatamente anche per "aggiornarsi" in rete ! ;-> )
Se è installato un firewall
le cose sono un po' diverse, ma la sostanza non cambia
di molto.
Eh sì, perchè
il collegamento al server SMTP per l'invio della e-mail
PUO' NON ESSERE SEGNALATO, trattandosi appunto solo di un
collegamento per spedizione mail ad un server di posta in uscita.
Se ammettiamo la presenza di un ottimo
firewall "domestico" disponibile sul mercato e soprattutto ammettendo che sia CONFIGURATO ADEGUATAMENTE ( sto parlando di Norton Security 2002,
ma anche 2003, McAfee Firewall )
l'unica cosa che può apparire è 1 messaggio con la segnalazione di 2
cose:
1. Un'applicazione si sta connettendo al server
"mail.serverposta[.com]" ( ad esempio ).
2. Il consiglio del firewall.
In questo particolare caso tutti questi ottimi firewall consigliano:
"LIVELLO DI MINACCIA: RISCHIO MEDIO"
"CONSENTI A QUEST'APPLICAZIONE DI ACCEDERE AD INTERNET"
o messaggi similari.
Se è un buon firewall allora ti segnala anche il nome
dell'applicazione ( quello "interno" ), la versione,
il Copyright,
la Società e se esistono al suo interno eventuali
firme digitali certificate che stabiliscono l'autenticità.
Sono tutte info molto interessanti, ma chi scrive il sorgente del trojan può inserirle senza alcun problema, inventandosi un po' di tutto.
Così a titolo di puro esempio può apparire un messaggio
di tentativo di accesso ad internet da parte del programma "MsimnSE.exe", chiamato "Outlook Express Special Edition (R)" Copyright "Microsoft (R) Windows (R)"
e società "Microsoft (R) Corp."
( ogni riferimento è puramente casuale e
a puro titolo di esempio teorico )
con il seguente consiglio:
"Livello di minaccia: RISCHIO MEDIO"
"CONSENTI A QUEST'APPLICAZIONE DI ACCEDERE AD INTERNET"
Dal momento che "Outlook Express" (R) è molto diffuso e solitamente lo si adopera non appena si entra
in rete per vedere la posta e siccome il nostro firewall ci ha consigliato di consentire alla suddetta applicazione di accedere ad internet, non è tanto banale e scontato che
l'utente vada poi a consentire tale collegamento ( pensando magari ad un UPGRADE del software ) e quindi
a permettere tale connessione ogni volta che si collega
ad internet ( dal momento che si fissa un'opzione chiamata "regola" ).
Ora può accadere che l'utente meno sprovveduto noti nelle info in dettaglio comunicate dal firewall, che il presunto
programma di posta si connette ad un server diverso
da quello usato, il che può insospettire.
Però tenendo presente che i server di posta italiani
più gettonati sono inferiori alla decina è ragionevole
pensare che per tutti i precedenti motivi, su una scala molto ampia di persone
( per la maggioranza non esperte in fatto di sicurezza )
i pc "bucati" sarebbero non pochi !
In ogni caso un firewall impedirebbe comunque l'effettiva comunicazione tra SERVER e CLIENT ( in linea teorica ), però
intanto il lamer scaricherebbe senza
sforzo ( attraverso E-MAIL AUTOMATICHE !) semplici messaggi di testo contenenti varie PREZIOSE informazioni sul pc target.
Come ho già detto l'IP number, porta, data ed ora del collegamento, nome del pc, SISTEMA OPERATIVO, risorse condivise e
password memorizzate sul pc ( RAS, Account e-mail,
password htt*, password risorse condivise, password amministratore, password
restrizioni internet, ecc. )
Queste info sono solo le più comuni nei trojans recenti !
In più possiamo mandare al lamer SENZA SAPERLO la registrazione di tutti i caratteri che abbiamo premuto
sulla tastiera nell'arco di qualche tempo !
Si può ben capire che in questo caso il lamer
può violare la nostra riservatezza ANCHE SENZA "ENTRARE" NEL NOSTRO PC ! E NON E' POCO
E' per questo che secondo me E' NECESSARIO SAPERE SE,
QUANDO E PERCHE' partono e-mail dal pc a nostra insaputa.
I keyloggers e i trojans con funzione di keylogging entrambi con
notifica e-mail e invio dati remoto sono di gran lunga
i più pericolosi in assoluto ( ancora più di qualche controllo
Active X o Cookie di troppo ).
Purtroppo i messaggi e le azioni più o meno automatiche dei firewall sono ancora spesso piuttosto AMBIGUI.
In bocca al lupo !
|
|
|
| |
Discussione |
|
Invio E-Mail
Forum Bloccato
