Discussione Domanda dubbio su attività insolite.

[Deleted member 288979]

salve a tutti.
dopo aver letto molte discussioni interessanti vi scrivo perché ho qualche dubbio e alcune curiosità.
volevo verificare la situazione malware del mio pc seguendo l'eccellente guida di @JunkCoder (che ringrazio).
ho installato tutti i software consigliati e sembra tutto pulito. ho notato però, che zemana (consigliato anni fa nella guida), è stato ultimamente compromesso da un nuovo malware. malwarebytes, penso per precauzione, ha segnalato come malware e messo tutto in quarantena. non penso che tutti questi file zemana siano automaticamente infetti (dato che non ho riscontrato sintomi) ma per sicurezza ho messo in quarantena e disinstallato zemana. voi che dite?

un'ultima curiosità. ho installato Kaspersky (forse sbagliando). il giorno dopo l'installazione di quest'ultimo, al riavvio, non riuscivo ad accedere al mio utente windows "non è possibile accedere al tuo account". pensate sia dovuto ad un conflitto tra Kaspersky e malwarebytes? ho riavviato in provvisoria e fortunatamente ho risolto. dopo qualche giorno, per curiosità, ho fatto anche una scansione con FRST e mi ha avvisato di alcuni tasks di microsoft edge "falsi", (ovvero, a quanto ho capito, non creati da Microsoft) creati proprio dopo l'avvio fallito. inoltre, dopo questo avvio, edge era effettivamente vuoto, come se fosse stato ripristinato. è strano, intanto il pc sembra pulito (scansione fatta con FRST, Kaspersky, malwarebytes, eset ecc) e non mi pare di aver scaricato altro a parte Kaspersky e malwarebytes negli ultimi mesi. ho trovato alcune voci nel registro eventi con il codice 16983. ma questo penso sia normale, credo.
vi ringrazio tutti anticipatamente sperando di non aver infranto nessuna regola del forum

 

[JunkCoder]

Zemana antilogger non ha mai contenuto malware: è stata trovata una vulnerabilità nel suo driver che se sfruttata da un malware installato sul PC può ottenere i privilegi kernel e terminare tutti gli anti-virus installati oltre che acquisire invisibilità e persistenza. Probabilmente per questo motivo è stato bloccato da malwarebytes.

Per i problemi di avvio sconsiglio di tenere installati più anti-virus contemporaneamente, come hai potuto vedere c'è la possibilità che vadano in conflitto.

 

[Deleted member 288979]

intanto grazie mille per la risposta, chiarissimo! come pensavo per precauzione.

per quanto riguarda l'avvio, effettivamente, penso sia stato Kaspersky anche se quei tasks edge sono stati segnalati da FRST perché a quanto pare non creati da windows (strano). non pensavo comunque che potessero creare disagi così gravi.

ne approfitto per porre, da ignorante, alcuni quesiti dato che mi sto avvicinando alla sicurezza informatica per evitare brutte sorprese in futuro.
in primis: che consigli mi date per realizzare una rete sicura? esiste una guida nel forum? a quanto ne so le reti wifi, attraverso il modem, possono essere facilmente attaccate. di conseguenza, è più sicuro utilizzare la rete dati? non ho grosse necessità, semplicemente vorrei navigare in sicurezza.
e infine, in caso di attacchi seri (ancora, fortunatamente, mai successo) so che un'installazione pulita di windows dovrebbe risolvere. leggevo però di alcuni malware bloccati su MBR. cosa fare in questi casi? a parte questo penso che sia abbastanza raro, se non impossibile, che possano infettare BIOS o altre componenti hardware, credo.

 

[JunkCoder]

ne approfitto per porre, da ignorante, alcuni quesiti dato che mi sto avvicinando alla sicurezza informatica per evitare brutte sorprese in futuro.
in primis: che consigli mi date per realizzare una rete sicura? esiste una guida nel forum? a quanto ne so le reti wifi, attraverso il modem, possono essere facilmente attaccate. di conseguenza, è più sicuro utilizzare la rete dati? non ho grosse necessità, semplicemente vorrei navigare in sicurezza.

Ci sono moltissime cose da considerare per la sicurezza di una rete locale: è sicura tanto quanto il dispositivo connesso più insicuro (se un computer viene infettato o se il router ha una vulnerabilità, l'attacker sarà già dentro la rete), è cablata o wireless, viene monitorato il traffico di rete oppure no (tramite software SIEM, XDR...) eccetera. La mia filosofia è: dai per scontato che la rete sia già compromessa, disabilita i servizi che non usi (es. SMB) e richiedi autenticazione sicura per gli altri (es. SSH con chiave), in questo modo anche avendo accesso alla rete sarà difficile compromettere gli host che ne fanno parte.

e infine, in caso di attacchi seri (ancora, fortunatamente, mai successo) so che un'installazione pulita di windows dovrebbe risolvere. leggevo però di alcuni malware bloccati su MBR. cosa fare in questi casi? a parte questo penso che sia abbastanza raro, se non impossibile, che possano infettare BIOS o altre componenti hardware, credo.

Al giorno d'oggi i computer usano UEFI con Secure Boot, quelle tecniche non funzionano più. Adesso per riuscirci serve un bootkit UEFI e ci sono solo due modi per farlo: rubando la firma digitale di un vendor hardware per firmare un aggiornamento malevolo oppure trovare una falla nel codice attuale di UEFI. Entrambi i modi sono difficilissimi e i pochi casi che ci sono stati sono più unici che rari, quindi direi di non preoccuparti di questo.

 

[DjCanigia]

Come già detto da @JunkCoder tenere più software antivirus non è mai una buona scelta, la probabilità di conflitto c'è sempre.
Malware Bytes è utile per fare le scansioni invece per una protezione generale kaspersky è migliore. Mi è capitato ancora di farli girare insieme per qualche minuto e sinceramente non ho mai avuto problemi, ma non so a lungo termine se possono portare a conflitti.

 

[Deleted member 288979]

è vero, di solito utilizzo solo malwarebytes ma volevo provare anche Kaspersky. effettivamente l'accesso negato all'avvio è successo il giorno dopo aver installato Kaspersky. sapevo di conflitti ma non pensavo ad un accesso negato all'utente e al browser Edge "ripristinato". forse le tasks segnalate da FRST sono partite da Kaspersky (dato che ho usato anche entrambe le corrispettive estensioni).

Messaggio unito automaticamente: 18 Settembre 2023

grazie mille per i chiarimenti @JunkCoder.
ho controllato i servizi SMB e risultano già disattivati. ma vedo un SMB diretto attivo, devo lasciarlo?
per quanto riguarda l'autenticazione sicura dovrei studiarla meglio, anche perché sto per passare a Mac e forse la procedura è differente.

ergo, dopo aver preso queste precauzioni, nel caso dovessero compromettere la rete e non si è esperti nel contrastare un attacco. una soluzione drastica ma alla portata di tutti sarebbe quella formattare il modem, o meglio, cambiare linea?

 

[ToPLayer]

Ma diciamo che formatti ti levi il dubbio al 100% di malware etc. Certo, Malwarebytes + la Kaspersky già gratuito per 1 mese, risolvi quasi tutto, sono quelli un po' meglio..

Ma su Windows è abbastanza semplice, fare attenzione a ciò che si scarica, o meglio almeno la fonte, io mi trovo meglio senza anti virus.

 

[hackynonpointer]

Ma su Windows è abbastanza semplice, fare attenzione a ciò che si scarica, o meglio almeno la fonte, io mi trovo meglio senza anti virus.

ma in auto è abbastanza semplice, fare attenzione alla velocità, o meglio almeno alla zona, io mi trovo meglio senza cintura.

Poi l'auto nell'altra corsia sbanda e io mi trovo sbalzato dal finestrino a 20 metri dall'auto morto.

l'auto che sbanda è il malware, la cintura l'antivirus; se avessi avuto la cintura non sarei morto.

 

[ToPLayer]

Sai che non è proprio azzeccato il paragone, ti spiego.. Un anti virus esterno da quello di Windows, ha accesso a tutto il tuo computer, io non mi fido a prescindere di NESSUN anti virus. Poi se voi avete problemi di questo genere, e dovete risolvere con qualche scansione fate bene è un discorso diverso... ma io personalmente...NON mi fido di NESSUN anti virus. Perchè chi programma quelle cose è facile a registrare anomalie etc.

cosa pensi che tutto quello che brilla è oro?

Io da più di 20 anni , non uso anti virus, perchè nessuno controlla il mio computer apparte me. È una cosa molto banale, restare sicuri sul proprio computer, basta solamente fare attenzione a ciò che si scarica...

E poi se c'è l'altra auto come dici tu... ci sono i firewall, non esiste che bocciano il tuo paragone sinceramente non mi dice niente di concreto, o meglio esistono precuazioni in grado di distruggere queste cose.. in modo stabile e automatico.

Poi, se hai problemi con malware ed è obbligatorio e fondamentale è un altro discorso... ma il tuo paragone non mi dice niente di corrisposto, credimi, vivi molto meglio senza AV, soprattutto in determinate circostanze .

Poi su Linux, ti dimentichi anche dell'esistenza dei virus.

 

[hackynonpointer]

Linux è un mondo a parte, già per il semplice fatto che è open source, ma anche li viene consigliato l'uso di un AV come ClamAV.

poi piuttosto di non fidarti degli AV ti consiglio di non fidarti di Windows

 

[JunkCoder]

I malware esistono anche per linux e mac, se ne vedono pochi per diversi motivi: ci sono meno utenti che li usano, per gli ambienti server spesso basta caricare una webshell o creare un nuovo utente ssh e mancando l'ecosistema di AV e di telemetria come su Windows molte delle infezioni da infostealer non vengono mai scoperte, succede dopo anni o a danno fatto.

Non mi fido neanch'io degli AV per quanto riguarda l'aspetto privacy ma Windows di base non è tanto meglio, invia già dati a sufficienza tra telemetria, smartscreen e il cloud di defender.

Però vedi... a volte stare attenti a quello che si scarica non basta. Per un privato con nulla di valore è un'eventualità remota (immaginando che fa puntualmente gli aggiornamenti, gli exploit 0 o 1day non crescono su gli alberi) ma già per un PC in rete aziendale può valere la pena installare un anti virus o meglio un EDR per via di possibili attacchi lateral movement tramite domain controller.

Pensare che un desktop firewall sia sufficiente è un'illusione perché al malware basta iniettarsi in un processo a cui è consentito uscire su internet e usare lo stesso protocollo/porta.

 

[ToPLayer]

Non mi fido neanch'io degli AV per quanto riguarda l'aspetto privacy ma Windows di base non è tanto meglio, invia già dati a sufficienza tra telemetria, smartscreen e il cloud di defender.

Esattamente, su windows se vogliono sanno tutto di tutti a prescindere della precauzione, per carità sistema operativo vincente, e funziona con qualsiasi applicazioni / game, però per il discorso sicurezza secondo me è molto più sicuro Linux.

Poi, io utilizzo vpn + firewall + tor e a volte modifico anche il proxy giusto per.. anche se non cambia niente, poi per le connessioni, io per scaramaniza cambio l'ip ogni 20 minuti... comunque ovviamente anche i plugin di privacy e la modifica di almeno 10 parametri su about:config di firefox aiuta sicuramente a stare tranquillo.


Comunque, intendevo una formattazione del PC, re-installi da zero Windows e sei sicuro al 100% che nel sistema non è più presente niente, pulito al 100%.

Anche se consiglio almeno un dualboot con Linux, per maggiore privacy e sicurezza.


Comunque, su WIndows, magari avete ragione, devi prendere più precauzioni e stare attento, ma su linux che è costantemente aggiornato, comunque io personalmente, non ho mai avuto problemi da più di 20 anni.

 

[Deleted member 288979]

discussione molto interessante. procederò con un'installazione pulita di windows come consigliato per eliminare anche qualche file spazzatura o residui di Kaspersky.
Devo dire che Windows non mi trasmette sicurezza e con i suoi bug mi ha creato non pochi problemi lavorando. Vorrei passare a Mac, che, a quanto ho capito, la situazione malware è un po' meno grave. vorrei comunque installare malwarebytes ma vedremo.

nel frattempo volevo realizzare una rete più sicura, ma non avendo chissà quali basi sulla sicurezza informatica seguirò i vostri consigli anche se devo ancora capire come fare l'autenticazione sicura (SHH).
@ToPLayer che plugin privacy utilizzi? intendi le estensioni per il browser?

dato che abbiamo aperto l'argomento Linux, per curiosità, ho trovato pochi strumenti per controllare android. a parte qualche av come i soliti malwarebytes e Kaspersky. esistono strumenti più potenti ed efficaci?
chiedo perché qualche giorno fa, utilizzando lo smartphone come hotspot per il pc, malwarebytes durante la navigazione mi ha segnalato alcuni siti come dannosi in una pagina di ricerca Google (senza accedervi). 2/3 siti segnalati in un'unica pagina, la ricerca riguardava informazioni su alcuni processi Windows, nulla di che. pensavo fosse infetto il telefono, DNS poisoning e dirottamento ma effettivamente, nella mia ignoranza, non penso sia possibile con la rete LTE e l'hotspot, credo. pensavo il PC, ma sembra pulito e non ho più ricevuto altri avvisi. su PC ho impostato un DNS sicuro, su telefono DNS automatico come predefinito. probabilmente casualità ma ne approfitto per informarmi sui limiti reali delle minacce

 

[--- Ra ---]

Ma su Windows è abbastanza semplice, fare attenzione a ciò che si scarica, o meglio almeno la fonte, io mi trovo meglio senza anti virus.

Non basta soltanto quello. Il sistema, per esempio, deve essere costantemente aggiornato, altrimenti gli attaccanti potrebbero sfruttare vecchie vulnerabilità Windows come BSOD, oppure versioni di Samba non aggiornate.

Ti faccio un esempio del perché l'AV risulta importante. Facciamo finta che tu scarichi sempre i tuoi file da fonti ufficiali. Un giorno, però, qualcuno molto in gamba buca i server dove sono hostati tutti i file dell'azienda e li sostituisce con dei file malevoli. Magari modifica pure i checksum sul sito ufficiale in modo da fare corrispondere questi ultimi ai file malevoli caricati online. In questo modo, anche facendo un controllo sull'integrità del file, risulterebbe tutto apparentemente a posto. Ora, tu che non usi AV, vai a scaricare il file sul tuo PC e lo installi: sei ufficialmente fottuto, il tuo sistema è compromesso. Un antivirus, in questo caso, avrebbe potuto costituire una protezione in più e magari ti avrebbe salvato. Su Windows non è vero che sei senza antivirus, è già presente Defender di default, per questo puoi stare relativamente più tranquillo, ma non bisogna cullarsi troppo su questa cosa e ricordare, soprattutto in ambito aziendale, che la situazione non è così semplicistica come "basta stare attento a quello che scarico".

Poi su Linux, ti dimentichi anche dell'esistenza dei virus

Linux è meno soggetto ad attacchi, come diceva anche il mitico Junk, perché è meno utilizzato, ma non è una fortezza impenetrabile. Ti invito a leggere questo link:

USN-6250-1: Linux kernel vulnerabilities | Ubuntu security notices | Ubuntu

Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

ubuntu.com

Queste sono solo alcune delle vulnerabilità trovate su Linux (Ubuntu) nel 2023 ed io sono un fan del pinguino, sia chiaro! Inoltre, è un falso mito che Linux non contragga malware, questa è una lista dei più famosi, sono più di 30:

Linuxvirus - Community Help Wiki

Poi, io utilizzo vpn + firewall + tor

Niente di più sbagliato. Su questo forum, se cerchi nelle discussioni inerenti l'anonimato, ne abbiamo parlato spesso. Utilizzare VPN + Tor può far saltare la tua copertura: se utilizzi una VPN che conserva i log (e lo fanno tutte!) viene meno il tuo anonimato. Utilizzare solamente Tor è una scelta migliore.

poi per le connessioni, io per scaramaniza cambio l'ip ogni 20 minuti...

Mi sembra un po' eccessivo e paranoico, sei ricercato dai servizi segreti? Ti stanno tracciando? Non credo, quindi è inutile attuare un meccanismo del genere per il cambio dell'IP: non ti dà alcun beneficio in termini di "sicurezza".

 

[Deleted member 288979]

@CrazyMonk molto interessante. MacOS, invece, a livello di minacce e sicurezza, è messo meglio di Linux? è comunque consigliato installare un malwarebytes o simili?
Ho notato, ad esempio, che su MacOS, malwarebytes, sembra più "castrato".

 

[--- Ra ---]

@CrazyMonk molto interessante. MacOS, invece, a livello di minacce e sicurezza, è messo meglio di Linux? è comunque consigliato installare un malwarebytes o simili?
Ho notato, ad esempio, che su MacOS, malwarebytes, sembra più "castrato".

Guardando le ultime statistiche di Kaspersky, che è una fonte autorevole nel settore della ricerca sulle minacce informatiche, troviamo i seguenti risultati datati al 2022 (ti linko anche il report https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2022_en_final.pdf):

Come puoi vedere, nel 2022, sono state scoperte 22 vulnerabilità Windows ed una per Linux, mentre per quanto riguarda macOS non sono state trovate vulnerabilità critiche sfruttate dai cybercriminali. Questo accade perché il numero di vulnerabilità annuali scoperte su macOS sta attraversando una forte fase di decrescita. C'è stato sostanzialmente un boom dei malware scoperti in casa Apple nel 2017, ma negli ultimi 6 anni la situazione è migliorata notevolmente.

macOS è un sistema operativo quasi blindato e dico quasi perché, come detto già altre volte, non esiste niente immune al 100%. Il dato interessante è che macOS continua a rivelarsi il sistema operativo meno attaccato, nonostante il suo livello di diffusione abbia superato quello di Linux, secondo le statistiche di Statcounter:

In ogni caso, secondo la mia modesta opinione, è sempre una buona pratica utilizzare un antivirus efficace su qualsiasi sistema operativo, a prescindere dalla qualità della sicurezza intrinseca nel SO stesso.

 

[JunkCoder]

Come puoi vedere, nel 2022, sono state scoperte 22 vulnerabilità Windows ed una per Linux, mentre per quanto riguarda macOS non sono state trovate vulnerabilità critiche sfruttate dai cybercriminali.

Non mi risulta, giusto per fare qualche esempio (tutte RCE): CVE-2022-22630, CVE-2023-41064, CVE-2023-41990, CVE-2023-41993...
Senza contare che è sempre possibile installare app malevole tramite social engineering (al contrario di iOS) che già con i privilegi utente possono fare molte cose. Di per se il sistema per difendersi si affida a Gatekeeper che non fa altro che controllare la validità della firma digitale dei programmi: mentre questo può scoraggiare lamer e ostacolare infezioni note su larga scala (tramite revoca del certificato di firma), non fa nulla contro i malware con firma digitale ancora valida.

 

[--- Ra ---]

Non mi risulta, giusto per fare qualche esempio (tutte RCE): CVE-2022-22630, CVE-2023-41064, CVE-2023-41990, CVE-2023-41993...
Senza contare che è sempre possibile installare app malevole tramite social engineering (al contrario di iOS) che già con i privilegi utente possono fare molte cose. Di per se il sistema per difendersi si affida a Gatekeeper che non fa altro che controllare la validità della firma digitale dei programmi: mentre questo può scoraggiare lamer e ostacolare infezioni note su larga scala (tramite revoca del certificato di firma), non fa nulla contro i malware con firma digitale ancora valida.

Grazie del report Junk.
È vera questa cosa del social engineering, ma comunque dovresti convincere l'utente a scaricare l'applicazione malevola e questa dovrebbe avere anche una firma digitale valida per superare il controllo di Gatekeeper: abbastanza complicato, soprattutto perché, come dici tu, la stragrande maggioranza degli attacchi sono compiuti da lamer e su larga scala, dunque l'utente medio che usa macOS è protetto da questo tipo di minacce, a meno che non sei un soggetto importante e vale la pena spendere tempo.

 

[Deleted member 288979]

chiarissimo! effettivamente, secondo alcune statistiche, ho notato che da quando hanno abbandonato Intel la situazione è migliorata ulteriormente.
questo mi tranquillizza dato che vorrei passare a Mac. di sicuro installerò malwarebytes perché non si sa mai, ma devo dire che, effettivamente, anche su iPadOS non ho avuto nessun problema a differenza di Windows, che, vulnerabilità di sicurezza a parte, mi sta dando molti problemi di stabilità e bug.

Messaggio unito automaticamente: 22 Settembre 2023

a questo punto volevo porre un ultimo quesito abbastanza banale e forse O.T. eventualmente aprirò un'altra discussione.
una rete wifi viene compromessa solamente sfruttando le vulnerabilità del modem? e in casi estremi, sostituendo il modem e pulendo i dispositivi teoricamente il malware o malintenzionato dovrebbe sparire. corretto? oppure esistono altri metodi d'attacco e altre componenti vulnerabili? perdonate la mia ignoranza e banalità delle domande.

 

[--- Ra ---]

Apri un'altra discussione perché siamo già andati tutti quanti moltooo off-topic

 

[Deleted member 288979]

va benissimo, grazie mille ancora

 

[ToPLayer]

Non basta soltanto quello. Il sistema, per esempio, deve essere costantemente aggiornato, altrimenti gli attaccanti potrebbero sfruttare vecchie vulnerabilità Windows come BSOD, oppure versioni di Samba non aggiornate.

Ti faccio un esempio del perché l'AV risulta importante. Facciamo finta che tu scarichi sempre i tuoi file da fonti ufficiali. Un giorno, però, qualcuno molto in gamba buca i server dove sono hostati tutti i file dell'azienda e li sostituisce con dei file malevoli. Magari modifica pure i checksum sul sito ufficiale in modo da fare corrispondere questi ultimi ai file malevoli caricati online. In questo modo, anche facendo un controllo sull'integrità del file, risulterebbe tutto apparentemente a posto. Ora, tu che non usi AV, vai a scaricare il file sul tuo PC e lo installi: sei ufficialmente fottuto, il tuo sistema è compromesso. Un antivirus, in questo caso, avrebbe potuto costituire una protezione in più e magari ti avrebbe salvato. Su Windows non è vero che sei senza antivirus, è già presente Defender di default, per questo puoi stare relativamente più tranquillo, ma non bisogna cullarsi troppo su questa cosa e ricordare, soprattutto in ambito aziendale, che la situazione non è così semplicistica come "basta stare attento a quello che scarico".


Linux è meno soggetto ad attacchi, come diceva anche il mitico Junk, perché è meno utilizzato, ma non è una fortezza impenetrabile. Ti invito a leggere questo link:

USN-6250-1: Linux kernel vulnerabilities | Ubuntu security notices | Ubuntu

Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

ubuntu.com

Queste sono solo alcune delle vulnerabilità trovate su Linux (Ubuntu) nel 2023 ed io sono un fan del pinguino, sia chiaro! Inoltre, è un falso mito che Linux non contragga malware, questa è una lista dei più famosi, sono più di 30:

Linuxvirus - Community Help Wiki

Niente di più sbagliato. Su questo forum, se cerchi nelle discussioni inerenti l'anonimato, ne abbiamo parlato spesso. Utilizzare VPN + Tor può far saltare la tua copertura: se utilizzi una VPN che conserva i log (e lo fanno tutte!) viene meno il tuo anonimato. Utilizzare solamente Tor è una scelta migliore.


Mi sembra un po' eccessivo e paranoico, sei ricercato dai servizi segreti? Ti stanno tracciando? Non credo, quindi è inutile attuare un meccanismo del genere per il cambio dell'IP: non ti dà alcun beneficio in termini di "sicurezza".

Si, comunque è giusto quello che dici, anche perchè ho fatto questo discorso in passato almeno 4 volte, ed è obbligatorio utilizzare una vpn affidabile e con una politica che rispetti l'utente, senza registrare log identificativi.

Ma non basta... solo avere una vpn affidabile, un buon firewall anche su linux è molto importante, per negare connessioni in entrata principalmente... e anche avere più nodi ip non è un male... se fai le cose fatte bene.

E oltre a tutto, comunque anche una linea intestata a terzi può di certo aiutare maggiormente ad avere più privacy, ovviamente utilizzata sempre con chiavette esterne di altre marche.