PREMESSA:
Se avete Linux o Mac il 98% di queste cose non vi interessano
Se invece usate la merda microsoft...
- Nota: chiaramente ci vogliono un 15 anni di esperienza, una laurea ( non in ingegneria) :asd) - una ventina di buoni libri ed un centinaio di riviste specializzate per avere una "vaga" idea di cosa si sta parlando, avrete quindi venia se non sacrificherò la chiarezza sull'altare della precisione.
Cos'è un virus?
E' un normalissimo programma eseguibile, fisicamente un file, che può replicarsi e/o danneggiare il contenuto degli hard-disk.
Essendo un programma eseguibile (rarissimi gli script, per quanto riguarda i macro-virus ne parlerò dopo) sono specifici di un certo sistema operativo (o meglio piattaforma): quelli per Windows non funzionano su Linux o su Mac, e viceversa.
La cosa è importante perchè è ovvio che il 90% dei virus ha come target Microcozz.
Come ci si infetta? come ci si difende
Le modalità sono varie, quelle più comuni sono
1) allegato di posta elettronica che viene "aperto" consapevolmente dall'utente, che pensa si tratti di un documento non infetto. Spesso il programma ha dei nomi "strani" con estensioni multiple che rendono non immediato capire (per i niubbi) che si tratta di un virus
1) Usando un client "serio" (non microsoft) si può vedere facilmente il nome del file. Chiaramente file con estensioni multiple ed eseguibili sono da evitare.
Esempio: supersuoneria.MP3 .pif
ha una doppia estensione, NON è un file MP3, bisogna far riferimento all'ULTIMA estensione, in questo caso "PIF", che è un file eseguibile (se non si adottano policy restringenti).
L'utente con la sua "testa" può facilmente riconoscere gli allegati sospetti.
2) allegato di posta elettronica che viene "aperto" automaticamente da un client (es. outlook express, outlook etc) senza che l'operatore ne sia messo a conoscenza o possa impedirlo. Ciò avviene, tipicamente, per errori di progettazione del software che è troppo permissivo e/o contiene errori di programmazione che, abilmente sfruttati, consentono l'esecuzione di codice arbitrario
2) Usare un client NON microsoft, ad es. Thunderbird, IncrediMail, Eudora (vecchie versioni). Per quelli realmente puri e duri possono usare Eudora 2.1 o addirittura mutt o elm (client di testo) che sono sicuri al 101% riguardo a questo tipo di problemi, ma sono decisamente meno comodi di quelli più avanzati (ma meno sicuri)
3) analogamente ai primi due punti, ma navigando su internet. In pratica visitando dei siti maliziosi i virus vengono "spacciati" per programmi utili (o suonerie, o sfondi etc) che l'utente consapevolmente avvia
3) Capire il semplice assioma "non esistono pasti gratis": inutile "beccare" pensando di fare chissà quali affari su internet.
Sono tutte (o quasi) truffe e/o chiavate paurose.
Mai scaricare suonerie, MP3, screensaver o quant'altro, se non siete esperti; per i niubbi in seguito mostrerò le VM per i coraggiosi.
4) sfruttando bug dei programmi di navigazione (browser, internet explorer ad es) o addirittura del sistema operativo (es. vulnerabilità nel ridisegno di certi tipi di immagini) l'utente si infetta senza far nulla di particolare
4) NON usare programmi microzz. Andare tranquillamente su browser tipo Firefox, Opera. Il secondo è più simile ad internet explorer, ed ha un ottimo supporto per questo forum.
Il secondo ha parecchi estensioni carine, che se ho tempo spiegherò.
L'importante è mai microsoft. Ottimi anche altri tipi di browser più esoterici (che tralscio) e quelli testuali (tipo Lynx), ma sono per "uomini veri".
5) scaricando file da internet (tipicamente crack, warez etc) che contengono al loro interno dei virus che l'utente consapevolmente avvia, pensando che si tratti di programmi utili o quant'altro
5) Qui il rischio è concreto. Consigliatissimo per i niubbi usare VM ed antivirus seri a scansione delle firme, con eventualmente sottoposizione ai sistemi online gratuiti (ed immediati) di scansione.
In pratica certi siti (adesso non ho tempo, poi li elencherò) consentono di inviare dei file sospetti (tipo CRACK.EXE) per verificare se siano infetti o meno.
Anche qui la VM è un toccasana per niubbi.
6) -molto meno diffusi oggi, ma ancora presente- avviare il PC con un dischetto infetto nel lettore floppy ed avendo impostato l'avvio da dischetto nel BIOS. Questi tipi di virus "anziani" sono normalmente molto pericolosi perchè tendono a manipolare "brutalmente" il contenuto di aree sensibili dell'HD (MBR e boot sector principalmente). Questo può causare perdita di dati, talvolta difficili da recuperare per quelli... non me :asd)
6) MAI attivare il boot da floppy nel BIOS dei PC: è una opzione che va messa a mano e/o impostata al BBS.
7) Direttamente sfruttando debolezze nello stack TCP/IP. In pratica appena ci si connette ad Internet il PC viene sottoposto a scansioni automatiche delle "porte" (prima o poi spiegherò cosa sono): trovandone alcune aperte (o equivalentemente chiuse ma con errori nella loro programmazione) è possibile "iniettare" da remoto dei virus all'interno del computer, prendendone spesso il controllo completo.
In pratica uno si collega ad internet, non fa nulla (non naviga etc) e puff viene infettato, spesso nel giro di pochi minuti.
Usare un firewall hardware o software; in seguito i dettagli
Prossime aggiunte
Cos'è un antivirus e come funziona?
Cos'è un malware-spyware-cavallo di troia?
Come funziona un anti-spyware?
Cos'è un firewall, a cosa serve e come funziona
Le comunicazioni tra computer su rete Internet IPV4 avvengono
mediante la terna protocollo:IP
orta.
Il "protocollo" è lo standard usato per comunicare, in pratica "la lingua" che viene adottata.
I due più diffusi (per le cose che ci interessano) sono TCP ed UDP.
La differenza tra i due si può sintetizzare con "il primo ha certezza di consegna", il secondo no.
In estrema sintesi: quando si vuole trasferire un certo flusso di dati (pensiamo ad un file MP3, o una pagina HTML o quello che si vuole) viene aperto un "canale" virtuale (a commutazione di pacchetto) tra i due computer, chiamiamoli A e B.
Entrambi dispongono di un loro indirizzo IP, che altro non è che un numero compreso tra 0 e circa 4 miliardi In realtà alcune classi di indirizzi sono riservati, altri hanno usi specifici e non sono routabili etc...se qualcuno vuole più dettagli lo scriva
Questo "numerino", che usualmente viene scritto in formato decimale (su base ottale) separato da ., ad es. 62.149.128.2, possiamo immaginare sia analogo al "numero di telefono" di un computer.
Quando il computer A si connette ad Internet (adesso non ci interessa vedere come) avrà un "suo" indirizzo IP, supponiamo 1.2.3.4; analogamente il computer B ne avrà uno suo, supponiamo 3.4.5.6 (ne può avere quanti ne vuole, sono "roba" software, ma qui ci vorrebbe la FAQ advanced e non posso scriverla, sennò il VC ne diventa proprietario ed io finisco a fare il lavavetri :rotolo) )
Orbene supponiamo che il computer A voglia prelevare un file dal computer B, cosa fa?
Fa l'equivalente informatico di una "telefonata" al computer B, o meglio al suo indirizzo IP 3.4.5.6, con un certo protocollo (es. TCP) su una certa porta, es. 80.
Ecco che arriviamo alla porta: dal momento che un computer ha UN indirizzo IP (in realtà... no... ma fa l'istess...) il computer B come fa a sapere se il computer A vuole prelevare un file o ,magari, iniziare una telefonata skype?
Lo sa perchè ha una serie di "porte" (che altrno non sono che numerini tra 0 e 65.000 circa) che rappresentano "gli interni" (paragonando alle telefonate).
Così il computer A chiamerà 3.4.5.6:80, nel nostro esempio il nr. telefonico 3.4.5.6 INTERNO 80.
Se facesse un altro tipo di collegamento, ad es un controllo "Desktop remoto", si chiamerebbe l'"interno" 3389, perchè "si sa già" che a quell'interno/porta risponde (se esiste) il relativo servizi.
Nota: spesso si sa anche quale sia il protocollo ("lingua") da usare, ovvero se chiami la porta 80 e vuoi prelevare una pagina HTML devi usare il protocollo TCP, ma nulla vieta di scriversi un programma "ad hoc" che usi altri protocolli "strani" (skype, emule) "incapsulati" all'interno di altri protocolli. Chiudo qui...
---
Dopo questo "pistolottone" cosa minchia fa un firewall? in realtà fa 10.00 altre cose...
Monitorizza le porte sia TCP che UDP, in pratica è una specie di "centralinista" che permette, o nega, l'accesso dall'esterno verso l'interno e viceversa.
Come abbiamo visto se "qualcosa" (un firewall) "boccia" tutte le richieste su una certa porta, o anche su TUTTE le porte, allora il nostro computer sarà "blindato": non è possibile iniziare un colloquio dall'ESTERNO verso l'INTERNO (ovvero il nostro computer).
In questo caso il flusso INTERNO->ESTERNO viene preservato: dal computer posso navigare e scaricare quello che voglio, perchè i colloqui (le "telefonate") le posso fare IO verso l'esterno.
Chi mi "chiama" dall'esterno avrà sempre il tono di occupato, o addirittura nessuna risposta.
---
Una regola firewall più restrittiva può anche essere posta INTERNO->ESTERNO: questo è il caso tipico di uso aziendale, in cui si vuole impedire l'utilizzo di alcuni programmi.
Se volessi, da esempio, consentire SOLO e SOLAMENTE l'uso della posta elettronica, impedendo la navigazione, dovrei mettere un firewall che blocchi TUTTE le connessioni verso l'esterno diverse da due "magiche" (25 e 110) usate per la posta.
Vabbè qui il discorso andrebbe approfondito ma non ho voglia.
---
Il riassunto è (banalizzando molto): un firewall serve (in ambito casalingo, quindi nell'ipotesi in cui NON voglia bloccare o limitare il flusso interno->esterno) per bloccare tutte le richieste di connessione che arrivano dall'esterno.
Questo serve per evitare che la merda microsoft (ma anche certi bug linux e mac) facciano sì che dall'esterno sia possibile sfruttare degli errori per prendere il controllo del computer.
Esempio: connetto il mio computer con Windows XP (non service pack 2) con un modem analogico ad Internet, acquisendo un indirizzo IP pubblico (sempre del tipo 213.123.123.123).
Dall'esterno mi arrivano tante "telefonate" che cercano le varie porte (=interni) aperti sul mio computer.
Quando ne viene trovata una (o più) si prova a fare una connessione di rete, in pratica come se i due PC fossere realmente in rete locale.
Se il mio PC ha password deboli, o magari nessuna password amministratore, oppure ha altri 10.000 bug, da remoto è possibile prendere il controllo al 100% della merda microcozz, senza che io mi accorga di nulla.
---
Scenario con firewall: tutti i tentativi di mettere in comunicazione esterno con interno vengono scartati->non vengo infettato
Quali sono gli antivirus, antispyware e firewall consigliati
Quando sono utili o inutili gli antitutto
Macro virus
Tipi di collegamenti ad internet ed apparati da usare
A richiesta...
Esistono 4 tipi di collegamenti Internet "attuali" (per uso casalingo): dial up (analogico o digitale ISDN), ADSL, UMTS, Fastweb
Dial-up. Sono connessioni che si effettuano su "normali" linee telefoniche, attraverso modem (analogici) o TA (terminal-adapter, "similmodem" per linee ISDN).
Sono in tutto e per tutto analoghe a telefonate (normalmente urbane) effettuate verso numeri tipo 0541-xxxxx oppure "speciali" di livello nazionale.
Normalmente si utilizzano (le analogiche) qualora non esista ADSL (tipicamente zone remote) oppure in viaggio (coi notebook, che tipicamente hanno già il modem integrato) o quando si voglio fare lavori... delicati...
Le connessioni ISDN possono essere a singolo o doppio canale, nel primo caso si paga una telefonata, nel secondo due (si raddoppia la banda disponibile).
Il vantaggio è la velocità (notevolmente maggiore, 64k bidirezionale o 128k per il doppio canale), la velocità di collegamento, la stabilità (cade assai raramente la linea). Lo svantaggio è la necessità di avere una borchia ISDN (->costo abbonamento telecom doppio).
Informaticamente sono molto simili, ovvero appartengono alla categoria PPP, in pratica (per farla breve) richiedono autenticazione con nome utente e password attraverso un banale protocollo domanda-e-risposta.
Per gli effetti della sicurezza sono assai rischiosi in quanto
- non hanno alcun filtro esterno->interno. Ovvero il firewall è assolutamente indispensabile, soprattutto con windows
- sono soggetti ai c.d.dialer, che sono programmi (simil virus, malware etc) che cambiano il numero telefonico di collegamento, mettendone uno che finisce in un servizio tipo "144" a tariffazione elevatissima.
Per i firewall vedere le relative voci, per i dialer la cosa da fare è verificare sempre le connessioni esistenti (comando RASPHONE), verificare sempre che i numeri di telefono siano "giusti", verificare che non si "moltiplichino" (aumentino di numero ingiustificatamente), verificare che il nr. non sia fatto da **** (al 100% un dialer)
---
Connessioni ADSL.
Sono quelle più usate oggi, e si differenziano principalmente per essere "a traffico/tempo" oppure "flat".
GLi apparati che si utilizzano sono 2: modem ADSL e router ADSL.
I modem sono USB e/o ethernet (con presa di rete LAN), i router nel 99,9% sono ethernet (con presa LAN).
I modem sono abbastanza simili a quelli analogici, per l'utilizzo, ovvero richiedono nome utente e password e, soprattutto, un firewall efficace in quanto non hanno servizi di protezione.
Sono immuni ai dialer.
---
I router ADSL sono normalmente dispositivi "combo", ovvero router (che non dico cosa siano) CON un modem ADSL in un singolo box (e spesso anche uno switchino).
Sono "computerini" che si collegano essi ad Internet, mentre il PC (o I PC al plurale) fanno capo al router stesso.
Notevolissimi i vantaggi:
- non richiedono firewall in quanto tutti gli accessi dall'esterno sono bloccati per default
- non richiedono configurazione sul PC (nome utente e password): è possibile metterli tutti "dentro" il router
- funzionano anche con Linux e Mac senza necessità di configurazioni strane
- costano poco
- possono collegarsi anche (normalmente) 4 PC senza alcuna spesa ulteriore
- esistono in versione con access point WI-FI (quando avrò tempo...)
Il "vero" svantaggio è che tendono a connettersi SEMPRE ad internet, quindi sono INADATTI per connessioni a tempo o a traffico: se uno si dimentica il router acceso c'è il rischio che gli arrivi una bolletta elevatissima.
Dispongono infatti di timer di autosconnessione, ma spesso non funzionano.
Quindi il router, in sintesi, è altamente consigliabile per le connessioni flat, altamente consigliabile con quelle a traffico SE E SOLO SE si ha l'accortezza di SPEGNERLO fisicamente quando si finisce la connessione
----
UMTS
----
Fastweb
Come usare P2P, Skype etc
WiFi: apparati, uso in pratica e sicurezza
Asso di briscola per niubbi: le VM
Asso di briscola per tutti: le immagini
Come si partiziona un disco e perchè
Come si installa e come si configura una merda microsoft, e perchè
Dal "pubblico"
Esistono un certo numero di porte cosiddette "well known", ovvero "storicamente" standard per TUTTI i servizi.
Qui c'è la lista http://www.iana.org/assignments/port-numbers
Le principali sono
7 ECHO (ping)
20,21 FTP
22 SSH
23 TELNET
25 SMTP (invio email)
80 HTTP
101 POP3 (ricezione email)
137,138,139 NetBIOS (merda microsoft per reti)
443 HTTPS (http sicuro)
Si tratta delle porte tra 0 o 1024.
Quelle tra 1024 e 49.000 (circa) sono "libere", tipicamente utilizzate per certi servizi specifici dai vari produttori.
1214 Kazaa
1433,1434 MSSQL
1863,6891,6901 etc MSN
3128 Proxy (es. squid)
4662 Emule (TCP)
4672 Emule (UDP)
5500 VNC (java)
8080 HTTP alternativo (tipicamente per proxy)
Oltre (fino a 65.000) sono "dinamiche".
In pratica l'associazione servizio-porta è standard per alcuni tipi, "spesso" per altri, libera per altri ancora.
Esempio pratico: l'invio della posta elettronica attraverso un server SMTP avviene mediante la porta 25, che è standard per tutti.
Nulla mi vieta, però, di installare un server "mio" che risponda ad una porta diversa, supponiamo 250.
In tal caso nelle impostazioni del server in uscita (nei clienti di posta elettronica) dovrò mettere, oltre all'indirizzo del server "mio", anche la porta 250.
N.B: è possibile indicare le porte direttamente nel browser, ad es. si può scrivere http://stud.unifi.it:8080 per forzare la connessione sulla porta 8080, che non è quella di default.
In altre parole provate a mettere nel browser
http://stud.unifi.it:8080
e
http://stud.unifi.it
e vedrete che se uno non "sa" quale sia la porta "speciale" la navigazione normale è inibita.
Se avete Linux o Mac il 98% di queste cose non vi interessano
Se invece usate la merda microsoft...
- Nota: chiaramente ci vogliono un 15 anni di esperienza, una laurea ( non in ingegneria) :asd) - una ventina di buoni libri ed un centinaio di riviste specializzate per avere una "vaga" idea di cosa si sta parlando, avrete quindi venia se non sacrificherò la chiarezza sull'altare della precisione.
Cos'è un virus?
E' un normalissimo programma eseguibile, fisicamente un file, che può replicarsi e/o danneggiare il contenuto degli hard-disk.
Essendo un programma eseguibile (rarissimi gli script, per quanto riguarda i macro-virus ne parlerò dopo) sono specifici di un certo sistema operativo (o meglio piattaforma): quelli per Windows non funzionano su Linux o su Mac, e viceversa.
La cosa è importante perchè è ovvio che il 90% dei virus ha come target Microcozz.
Come ci si infetta? come ci si difende
Le modalità sono varie, quelle più comuni sono
1) allegato di posta elettronica che viene "aperto" consapevolmente dall'utente, che pensa si tratti di un documento non infetto. Spesso il programma ha dei nomi "strani" con estensioni multiple che rendono non immediato capire (per i niubbi) che si tratta di un virus
1) Usando un client "serio" (non microsoft) si può vedere facilmente il nome del file. Chiaramente file con estensioni multiple ed eseguibili sono da evitare.
Esempio: supersuoneria.MP3 .pif
ha una doppia estensione, NON è un file MP3, bisogna far riferimento all'ULTIMA estensione, in questo caso "PIF", che è un file eseguibile (se non si adottano policy restringenti).
L'utente con la sua "testa" può facilmente riconoscere gli allegati sospetti.
2) allegato di posta elettronica che viene "aperto" automaticamente da un client (es. outlook express, outlook etc) senza che l'operatore ne sia messo a conoscenza o possa impedirlo. Ciò avviene, tipicamente, per errori di progettazione del software che è troppo permissivo e/o contiene errori di programmazione che, abilmente sfruttati, consentono l'esecuzione di codice arbitrario
2) Usare un client NON microsoft, ad es. Thunderbird, IncrediMail, Eudora (vecchie versioni). Per quelli realmente puri e duri possono usare Eudora 2.1 o addirittura mutt o elm (client di testo) che sono sicuri al 101% riguardo a questo tipo di problemi, ma sono decisamente meno comodi di quelli più avanzati (ma meno sicuri)
3) analogamente ai primi due punti, ma navigando su internet. In pratica visitando dei siti maliziosi i virus vengono "spacciati" per programmi utili (o suonerie, o sfondi etc) che l'utente consapevolmente avvia
3) Capire il semplice assioma "non esistono pasti gratis": inutile "beccare" pensando di fare chissà quali affari su internet.
Sono tutte (o quasi) truffe e/o chiavate paurose.
Mai scaricare suonerie, MP3, screensaver o quant'altro, se non siete esperti; per i niubbi in seguito mostrerò le VM per i coraggiosi.
4) sfruttando bug dei programmi di navigazione (browser, internet explorer ad es) o addirittura del sistema operativo (es. vulnerabilità nel ridisegno di certi tipi di immagini) l'utente si infetta senza far nulla di particolare
4) NON usare programmi microzz. Andare tranquillamente su browser tipo Firefox, Opera. Il secondo è più simile ad internet explorer, ed ha un ottimo supporto per questo forum.
Il secondo ha parecchi estensioni carine, che se ho tempo spiegherò.
L'importante è mai microsoft. Ottimi anche altri tipi di browser più esoterici (che tralscio) e quelli testuali (tipo Lynx), ma sono per "uomini veri".
5) scaricando file da internet (tipicamente crack, warez etc) che contengono al loro interno dei virus che l'utente consapevolmente avvia, pensando che si tratti di programmi utili o quant'altro
5) Qui il rischio è concreto. Consigliatissimo per i niubbi usare VM ed antivirus seri a scansione delle firme, con eventualmente sottoposizione ai sistemi online gratuiti (ed immediati) di scansione.
In pratica certi siti (adesso non ho tempo, poi li elencherò) consentono di inviare dei file sospetti (tipo CRACK.EXE) per verificare se siano infetti o meno.
Anche qui la VM è un toccasana per niubbi.
6) -molto meno diffusi oggi, ma ancora presente- avviare il PC con un dischetto infetto nel lettore floppy ed avendo impostato l'avvio da dischetto nel BIOS. Questi tipi di virus "anziani" sono normalmente molto pericolosi perchè tendono a manipolare "brutalmente" il contenuto di aree sensibili dell'HD (MBR e boot sector principalmente). Questo può causare perdita di dati, talvolta difficili da recuperare per quelli... non me :asd)
6) MAI attivare il boot da floppy nel BIOS dei PC: è una opzione che va messa a mano e/o impostata al BBS.
7) Direttamente sfruttando debolezze nello stack TCP/IP. In pratica appena ci si connette ad Internet il PC viene sottoposto a scansioni automatiche delle "porte" (prima o poi spiegherò cosa sono): trovandone alcune aperte (o equivalentemente chiuse ma con errori nella loro programmazione) è possibile "iniettare" da remoto dei virus all'interno del computer, prendendone spesso il controllo completo.
In pratica uno si collega ad internet, non fa nulla (non naviga etc) e puff viene infettato, spesso nel giro di pochi minuti.
Usare un firewall hardware o software; in seguito i dettagli
Prossime aggiunte
Cos'è un antivirus e come funziona?
Cos'è un malware-spyware-cavallo di troia?
Come funziona un anti-spyware?
Cos'è un firewall, a cosa serve e come funziona
Le comunicazioni tra computer su rete Internet IPV4 avvengono
mediante la terna protocollo:IP
orta.Il "protocollo" è lo standard usato per comunicare, in pratica "la lingua" che viene adottata.
I due più diffusi (per le cose che ci interessano) sono TCP ed UDP.
La differenza tra i due si può sintetizzare con "il primo ha certezza di consegna", il secondo no.
In estrema sintesi: quando si vuole trasferire un certo flusso di dati (pensiamo ad un file MP3, o una pagina HTML o quello che si vuole) viene aperto un "canale" virtuale (a commutazione di pacchetto) tra i due computer, chiamiamoli A e B.
Entrambi dispongono di un loro indirizzo IP, che altro non è che un numero compreso tra 0 e circa 4 miliardi In realtà alcune classi di indirizzi sono riservati, altri hanno usi specifici e non sono routabili etc...se qualcuno vuole più dettagli lo scriva
Questo "numerino", che usualmente viene scritto in formato decimale (su base ottale) separato da ., ad es. 62.149.128.2, possiamo immaginare sia analogo al "numero di telefono" di un computer.
Quando il computer A si connette ad Internet (adesso non ci interessa vedere come) avrà un "suo" indirizzo IP, supponiamo 1.2.3.4; analogamente il computer B ne avrà uno suo, supponiamo 3.4.5.6 (ne può avere quanti ne vuole, sono "roba" software, ma qui ci vorrebbe la FAQ advanced e non posso scriverla, sennò il VC ne diventa proprietario ed io finisco a fare il lavavetri :rotolo) )
Orbene supponiamo che il computer A voglia prelevare un file dal computer B, cosa fa?
Fa l'equivalente informatico di una "telefonata" al computer B, o meglio al suo indirizzo IP 3.4.5.6, con un certo protocollo (es. TCP) su una certa porta, es. 80.
Ecco che arriviamo alla porta: dal momento che un computer ha UN indirizzo IP (in realtà... no... ma fa l'istess...) il computer B come fa a sapere se il computer A vuole prelevare un file o ,magari, iniziare una telefonata skype?
Lo sa perchè ha una serie di "porte" (che altrno non sono che numerini tra 0 e 65.000 circa) che rappresentano "gli interni" (paragonando alle telefonate).
Così il computer A chiamerà 3.4.5.6:80, nel nostro esempio il nr. telefonico 3.4.5.6 INTERNO 80.
Se facesse un altro tipo di collegamento, ad es un controllo "Desktop remoto", si chiamerebbe l'"interno" 3389, perchè "si sa già" che a quell'interno/porta risponde (se esiste) il relativo servizi.
Nota: spesso si sa anche quale sia il protocollo ("lingua") da usare, ovvero se chiami la porta 80 e vuoi prelevare una pagina HTML devi usare il protocollo TCP, ma nulla vieta di scriversi un programma "ad hoc" che usi altri protocolli "strani" (skype, emule) "incapsulati" all'interno di altri protocolli. Chiudo qui...
---
Dopo questo "pistolottone" cosa minchia fa un firewall? in realtà fa 10.00 altre cose...
Monitorizza le porte sia TCP che UDP, in pratica è una specie di "centralinista" che permette, o nega, l'accesso dall'esterno verso l'interno e viceversa.
Come abbiamo visto se "qualcosa" (un firewall) "boccia" tutte le richieste su una certa porta, o anche su TUTTE le porte, allora il nostro computer sarà "blindato": non è possibile iniziare un colloquio dall'ESTERNO verso l'INTERNO (ovvero il nostro computer).
In questo caso il flusso INTERNO->ESTERNO viene preservato: dal computer posso navigare e scaricare quello che voglio, perchè i colloqui (le "telefonate") le posso fare IO verso l'esterno.
Chi mi "chiama" dall'esterno avrà sempre il tono di occupato, o addirittura nessuna risposta.
---
Una regola firewall più restrittiva può anche essere posta INTERNO->ESTERNO: questo è il caso tipico di uso aziendale, in cui si vuole impedire l'utilizzo di alcuni programmi.
Se volessi, da esempio, consentire SOLO e SOLAMENTE l'uso della posta elettronica, impedendo la navigazione, dovrei mettere un firewall che blocchi TUTTE le connessioni verso l'esterno diverse da due "magiche" (25 e 110) usate per la posta.
Vabbè qui il discorso andrebbe approfondito ma non ho voglia.
---
Il riassunto è (banalizzando molto): un firewall serve (in ambito casalingo, quindi nell'ipotesi in cui NON voglia bloccare o limitare il flusso interno->esterno) per bloccare tutte le richieste di connessione che arrivano dall'esterno.
Questo serve per evitare che la merda microsoft (ma anche certi bug linux e mac) facciano sì che dall'esterno sia possibile sfruttare degli errori per prendere il controllo del computer.
Esempio: connetto il mio computer con Windows XP (non service pack 2) con un modem analogico ad Internet, acquisendo un indirizzo IP pubblico (sempre del tipo 213.123.123.123).
Dall'esterno mi arrivano tante "telefonate" che cercano le varie porte (=interni) aperti sul mio computer.
Quando ne viene trovata una (o più) si prova a fare una connessione di rete, in pratica come se i due PC fossere realmente in rete locale.
Se il mio PC ha password deboli, o magari nessuna password amministratore, oppure ha altri 10.000 bug, da remoto è possibile prendere il controllo al 100% della merda microcozz, senza che io mi accorga di nulla.
---
Scenario con firewall: tutti i tentativi di mettere in comunicazione esterno con interno vengono scartati->non vengo infettato
Quali sono gli antivirus, antispyware e firewall consigliati
Quando sono utili o inutili gli antitutto
Macro virus
Tipi di collegamenti ad internet ed apparati da usare
A richiesta...
Esistono 4 tipi di collegamenti Internet "attuali" (per uso casalingo): dial up (analogico o digitale ISDN), ADSL, UMTS, Fastweb
Dial-up. Sono connessioni che si effettuano su "normali" linee telefoniche, attraverso modem (analogici) o TA (terminal-adapter, "similmodem" per linee ISDN).
Sono in tutto e per tutto analoghe a telefonate (normalmente urbane) effettuate verso numeri tipo 0541-xxxxx oppure "speciali" di livello nazionale.
Normalmente si utilizzano (le analogiche) qualora non esista ADSL (tipicamente zone remote) oppure in viaggio (coi notebook, che tipicamente hanno già il modem integrato) o quando si voglio fare lavori... delicati...
Le connessioni ISDN possono essere a singolo o doppio canale, nel primo caso si paga una telefonata, nel secondo due (si raddoppia la banda disponibile).
Il vantaggio è la velocità (notevolmente maggiore, 64k bidirezionale o 128k per il doppio canale), la velocità di collegamento, la stabilità (cade assai raramente la linea). Lo svantaggio è la necessità di avere una borchia ISDN (->costo abbonamento telecom doppio).
Informaticamente sono molto simili, ovvero appartengono alla categoria PPP, in pratica (per farla breve) richiedono autenticazione con nome utente e password attraverso un banale protocollo domanda-e-risposta.
Per gli effetti della sicurezza sono assai rischiosi in quanto
- non hanno alcun filtro esterno->interno. Ovvero il firewall è assolutamente indispensabile, soprattutto con windows
- sono soggetti ai c.d.dialer, che sono programmi (simil virus, malware etc) che cambiano il numero telefonico di collegamento, mettendone uno che finisce in un servizio tipo "144" a tariffazione elevatissima.
Per i firewall vedere le relative voci, per i dialer la cosa da fare è verificare sempre le connessioni esistenti (comando RASPHONE), verificare sempre che i numeri di telefono siano "giusti", verificare che non si "moltiplichino" (aumentino di numero ingiustificatamente), verificare che il nr. non sia fatto da **** (al 100% un dialer)
---
Connessioni ADSL.
Sono quelle più usate oggi, e si differenziano principalmente per essere "a traffico/tempo" oppure "flat".
GLi apparati che si utilizzano sono 2: modem ADSL e router ADSL.
I modem sono USB e/o ethernet (con presa di rete LAN), i router nel 99,9% sono ethernet (con presa LAN).
I modem sono abbastanza simili a quelli analogici, per l'utilizzo, ovvero richiedono nome utente e password e, soprattutto, un firewall efficace in quanto non hanno servizi di protezione.
Sono immuni ai dialer.
---
I router ADSL sono normalmente dispositivi "combo", ovvero router (che non dico cosa siano) CON un modem ADSL in un singolo box (e spesso anche uno switchino).
Sono "computerini" che si collegano essi ad Internet, mentre il PC (o I PC al plurale) fanno capo al router stesso.
Notevolissimi i vantaggi:
- non richiedono firewall in quanto tutti gli accessi dall'esterno sono bloccati per default
- non richiedono configurazione sul PC (nome utente e password): è possibile metterli tutti "dentro" il router
- funzionano anche con Linux e Mac senza necessità di configurazioni strane
- costano poco
- possono collegarsi anche (normalmente) 4 PC senza alcuna spesa ulteriore
- esistono in versione con access point WI-FI (quando avrò tempo...)
Il "vero" svantaggio è che tendono a connettersi SEMPRE ad internet, quindi sono INADATTI per connessioni a tempo o a traffico: se uno si dimentica il router acceso c'è il rischio che gli arrivi una bolletta elevatissima.
Dispongono infatti di timer di autosconnessione, ma spesso non funzionano.
Quindi il router, in sintesi, è altamente consigliabile per le connessioni flat, altamente consigliabile con quelle a traffico SE E SOLO SE si ha l'accortezza di SPEGNERLO fisicamente quando si finisce la connessione
----
UMTS
----
Fastweb
Come usare P2P, Skype etc
WiFi: apparati, uso in pratica e sicurezza
Asso di briscola per niubbi: le VM
Asso di briscola per tutti: le immagini
Come si partiziona un disco e perchè
Come si installa e come si configura una merda microsoft, e perchè
Dal "pubblico"
Le porte sono associate ai servizi.
Esistono un certo numero di porte cosiddette "well known", ovvero "storicamente" standard per TUTTI i servizi.
Qui c'è la lista http://www.iana.org/assignments/port-numbers
Le principali sono
7 ECHO (ping)
20,21 FTP
22 SSH
23 TELNET
25 SMTP (invio email)
80 HTTP
101 POP3 (ricezione email)
137,138,139 NetBIOS (merda microsoft per reti)
443 HTTPS (http sicuro)
Si tratta delle porte tra 0 o 1024.
Quelle tra 1024 e 49.000 (circa) sono "libere", tipicamente utilizzate per certi servizi specifici dai vari produttori.
1214 Kazaa
1433,1434 MSSQL
1863,6891,6901 etc MSN
3128 Proxy (es. squid)
4662 Emule (TCP)
4672 Emule (UDP)
5500 VNC (java)
8080 HTTP alternativo (tipicamente per proxy)
Oltre (fino a 65.000) sono "dinamiche".
In pratica l'associazione servizio-porta è standard per alcuni tipi, "spesso" per altri, libera per altri ancora.
Esempio pratico: l'invio della posta elettronica attraverso un server SMTP avviene mediante la porta 25, che è standard per tutti.
Nulla mi vieta, però, di installare un server "mio" che risponda ad una porta diversa, supponiamo 250.
In tal caso nelle impostazioni del server in uscita (nei clienti di posta elettronica) dovrò mettere, oltre all'indirizzo del server "mio", anche la porta 250.
N.B: è possibile indicare le porte direttamente nel browser, ad es. si può scrivere http://stud.unifi.it:8080 per forzare la connessione sulla porta 8080, che non è quella di default.
In altre parole provate a mettere nel browser
http://stud.unifi.it:8080
e
http://stud.unifi.it
e vedrete che se uno non "sa" quale sia la porta "speciale" la navigazione normale è inibita.
