Stampa Articolo

Aperiodico gratuito di informatica

Guida ai messaggi di un HIPS

a cura di M. Adriani

18/01/2010 - articolo

Sicurezza - Analizziamo questa categoria di software per la sicurezza attraverso il suo principale punto debole: l'elevato numero di avvisi mostrati.

Oggi per utilizzare un computer, specialmente se basato su Windows e connesso ad Internet, è indispensabile installare e tenere aggiornato un nutrito numero di applicazioni come antivirus, firewall, antispyware ecc... o utilizzare, spesso con un pesante impatto sulle prestazioni, una suite di sicurezza.

Non tutti sanno però che esiste una categoria di software potenzialmente in grado di proteggerci da tutti (o quasi) i software maligni senza l'ausilio di altri applicativi. Stiamo parlando degli HIPS.

Un HIPS (Host-based Intrusion Prevention System, Sistema di prevenzione delle intrusioni basato sull'Host) è un software che si occupa di monitorare le azioni effettuate dai programmi in esecuzione sul computer e informare l'utente quando viene rilevato qualche comportamento potenzialmente pericoloso, permettendogli di consentire o bloccare l'operazione.

I migliori software di questo tipo monitorano tutti gli accessi dei programmi a file, registro di sistema, altri processi ecc...

Purtroppo un HIPS non è in grado di distinguere tra l'attività sospetta effettuata da un malware e quella condotta da un software "lecito". Inoltre, poiché la operazioni potenzialmente pericolose sono numerose, il numero di avvisi che si ricevono da un HIPS è generalmente molto più elevato di quello di un antivirus "tradizionale", quindi anche il numero di "falsi positivi" è maggiore.

Sebbene alcuni software HIPS abbiano integrato nel tempo delle funzionalità (basate sull'analisi euristica del file incriminato per determinarne la pericolosità, sulla consultazione di un database di applicazioni sicure/nocive o sulla verifica della presenza di una firma digitale valida) volta a ridurre il numero di avvisi e falsi positivi, la strada da fare è ancora molta e accade abbastanza spesso che, eseguendo un'applicazione su un computer dotato di HIPS, vengano sottoposte numerose richieste di conferma, sovente piuttosto criptiche per l'utente medio.

Nelle prossime pagine vedremo quali sono i comportamenti monitorati dalla maggior parte degli HIPS e daremo qualche consiglio su come rispondere ai relativi avvisi. Per semplicità di trattazione ho diviso gli avvisi (e quindi i relativi comportamenti) in due categorie:

Comportamenti solitamente pericolosi: Questa categoria include un piccolo numero di comportamenti sospetti che si verificano abbastanza raramente;
Altri comportamenti: Questa categoria include gli avvisi visualizzati più di frequente e più difficilmente interpretabili.

La guida è stata redatta prendendo come punto di riferimento il comportamento e gli avvisi mostrati da Kaspersky Internet Security 2010 e ZoneAlarm Antivirus 2010, che monitorano un numero piuttosto elevato di comportamenti sospetti, quindi ben rappresentano la categoria.

Prima di cominciare vorrei fare una piccola nota relativa alla diffusione dei software HIPS: sebbene gli HIPS "puri" siano piuttosto pochi e la loro diffusione sia modesta, funzionalità analoghe sono integrate (sotto vari nomi: ad es. Difesa Proattiva, Defense+, OSFirewall, Controllo Programmi) in molti software antivirus e firewall. L'articolo si rivolge principalmente agli utilizzatori di quest'ultima categoria di software, in quanto notevolmente più diffusa della prima.

Tenete inoltre presente che i consigli forniti di seguito sono indicazioni di massima e non applicabili a tutte le situazioni.

Se non siete sicuri su come rispondere ad un particolare avviso ricordate che la scelta migliore è sempre bloccare l'operazione (che poi potete sempre autorizzare in un secondo tempo) e poi verificare se il programma in questione è effettivamente nocivo utilizzando un motore di ricerca o chiedendo il parere di un forum.

Infatti negando un'operazione, nella peggiore delle ipotesi, si può avere un qualche malfunzionamento del computer; consentendo si rischia di aprire la porta a possibili intrusioni e problemi ben più gravi.

In questa pagina vedremo gli avvisi più pericolosi, di solito distinguibili in base a colori diversi. Questa categoria comprende un numero abbastanza ridotto di comportamenti.

Modifica di impostazioni o file vitali del sistema operativo

Questi avvisi sono relativi alla modifica di impostazioni (solitamente memorizzate nel registro di sistema) e file che sono necessari per il corretto avvio e/o funzionamento del sistema operativo.

Tra questi figurano tutti i principali file di sistema come boot.ini, ntoskrnl.exe, shell32.dll ecc... e le chiavi di registro relative all'elenco dei file di sistema da caricare all'avvio (winlogon.exe, userinit.exe, explorer.exe ecc...)

Difficilmente un software lecito necessita di modificare queste impostazioni e ancor più raramente i file. Ciò accade solitamente durante l'aggiornamento del sistema operativo e l'installazione di software che si integrano pesantemente con il sistema (software di sicurezza, driver di periferiche ecc...).

Invece spesso i malware, specie quelli con un certo livello di sofisticatezza, sono causa di questi avvisi, in quanto necessitano di integrarsi in profondità col sistema, solitamente per nascondere la loro presenza (rootkit) e/o garantirsi il massimo controllo sul computer in uso.

Livello di rischio potenziale: Molto Alto

Consiglio: Bloccare sempre queste operazioni tranne nei casi visti sopra.

Modifica delle impostazioni del software HIPS stesso

Questa categoria di avvisi comprende quelli relativi alla modifica di impostazioni e file propri del software HIPS, che potrebbero causare la disattivazione, più o meno completa, della protezione offerta. è bene notare che non tutti gli HIPS visualizzano questi avvisi o li visualizzano solo come informazioni, impedendo questi comportamenti automaticamente (self-protection o auto-difesa).

Avvisi di questo tipo sono piuttosto rari, in quanto solitamente solo l'HIPS stesso necessita di modificare i propri file/impostazioni, quindi prendete la visualizzazione di un avviso di questo tipo come potenziale sintomo di presenza di malware in esecuzione nel sistema che stia cercando di disattivare il sistema di protezione. Per ottenere assistenza la sezione Sicurezza del MegaForum è a vostra disposizione.

Livello di rischio potenziale: Molto Alto

Consiglio: Bloccare sempre queste operazioni tranne nel caso in cui si stia aggiornando il software HIPS.

Caricamento/modifica/scaricamento/connessione di driver/servizi

Prima di affrontare questa categoria di avvisi è necessaria una piccola spiegazione su driver e servizi.

I driver sono, semplificando al massimo, dei software che hanno pieno accesso a tutte le risorse del computer, sia hardware che software, e che vengono eseguiti ad ogni avvio del sistema. I driver hanno accesso al livello più basso del sistema operativo, poiché si integrano con il kernel.

I servizi sono invece programmi che vengono eseguiti ad ogni avvio del sistema ed hanno solitamente un livello di accesso al sistema paragonabile a quello dell'utente SYSTEM. Operano tuttavia ad un livello più alto di quello utilizzato dai driver.

N.B. Tratteremo insieme queste due categorie in quanto all'interno di Windows la loro gestione è simile e molti HIPS non fanno differenza nei loro avvisi.

Appare evidente che se un malware riesce ad installare un driver o un servizio sarà molto più difficile rimuoverlo, in quanto ha un livello di privilegio molto elevato. Per questo motivo molti software HIPS monitorano installazione/modifica/rimozione di driver e servizi.

Avvisi di questo tipo sono generalmente poco frequenti, ma a differenza di quanto visto precedentemente, non sono sempre legati alla presenza di malware. Infatti un certo numero di software necessita di installare e utilizzare attivamente driver e servizi.

Tra questi troviamo programmi di sicurezza, di backup, di deframmentazione, di masterizzazione, di virtualizzazione ecc... Inoltre l'installazione di una qualsiasi nuova periferica hardware prevede il caricamento da parte di Windows di un driver per gestirla adeguatamente.

Numerosi malware installano driver e servizi per nascondere la loro presenza, ottenere massimo controllo sul computer ecc...

Livello di rischio potenziale: Molto Alto

Consiglio: In questo caso dare un suggerimento di massima è piuttosto difficile. Consiglio di regolarsi sulla base di ciò che si sta facendo (se state installando un software/hardware di quelli visti sopra permettete l'operazione) e del nome/società/firma digitale del software che richiede di eseguire l'operazione sospetta (se è noto permettete, altrimenti bloccate per verificare successivamente su un motore di ricerca l'attendibilità del programma in questione). Tenete inoltre presente che una volta caricato un driver un malware ha pieno accesso al computer e la sua rimozione diviene molto più complicata.

Accesso diretto alla memoria di massa

Questa categoria di avvisi include quelli relativi l'accesso diretto alla memoria di massa (hard disk e unità ottiche). Infatti in Windows ogni programma regolare dovrebbe accedere al disco solo tramite il sistema di gestione dei file messo a disposizione dal filesystem, mentre l'accesso diretto dovrebbe riservato ai driver.

È però possibile per un software "normale" accedere direttamente al disco (per esempio è quello che fanno molti programmi di deframmentazione del disco rigido e alcuni sistemi antipirateria per videogiochi) tramite apposite funzioni messe a disposizione dalle API del sistema operativo.

Accedendo direttamente alla memoria un qualunque software può superare tutti i sistemi di protezione messi in atto dal filesystem e anche essere causa di problemi di stabilità, se non programmato correttamente.

Questi avvisi non sono molto frequenti, ma non implicano direttamente la presenza di software nocivo nel sistema, in quanto un discreto numero di software comuni possono causarne la visualizzazione.

Livello di rischio potenziale: Alto

Consiglio: Anche in questo caso il consiglio è bloccare sempre l'accesso agli hard disk tranne nel caso in cui si stiano utilizzando software di deframmentazione o backup, mentre permettere nel caso in cui l'accesso sia ad una unità ottica (un eventuale malware non può comunque modificarne il contenuto).

In questa pagina vedremo tutti gli altri avvisi che generalmente sono meno pericolosi, ma anche più insidiosi e di difficile interpretazione. Questa categoria comprende un numero abbastanza nutrito di comportamenti.

Modifica delle impostazioni di avvio automatico

Questi avvisi riguardano la modifica delle impostazioni (memorizzate in alcune chiavi del registro di sistema e nella cartella Esecuzione Automatica) che indicano quali software vengono caricati all'avvio del sistema operativo.

Purtroppo sono numerosissimi sia i software "leciti" che i malware che si impostano per essere eseguiti automaticamente all'avvio del sistema. Nella maggior parte dei casi fortunatamente i software che si inseriscono in avvio automatico vengono eseguiti dal sistema con gli stessi privilegi dell'utente che effettua l'accesso; quindi rinnovo ancora una volta l'invito a non utilizzare account con privilegi amministrativi, in modo da porre una, seppur parziale, barriera di protezione contro questo tipo di attacchi.

Livello di rischio potenziale: Alto

Consiglio: Bloccare sempre se non si è (più che) certi dell'attendibilità del software e se non state effettuando delle installazioni di un qualche programma.

Modifica delle impostazioni del browser

Questi avvisi riguardano la modifica di varie impostazioni del browser (solitamente è monitorato solo Internet Explorer) come pagina iniziale, motori di ricerca, plug-in ecc...

Questi avvisi sono mediamente frequenti e solitamente più legati all'azione di malware che di software lecito. Possono essere visualizzati se si stanno modificando le impostazioni del browser o installando qualche plug-in.

Livello di rischio potenziale: Medio

Consiglio: Bloccare sempre tranne nei casi visti sopra.

Modifica dello sfondo/screensaver

Questo tipo di avvisi riguardano la modifica dello sfondo del desktop o dello screensaver.

Ci sono alcuni malware che causano questo problema, di solito rogue software che impostano degli sfondi allarmanti, mentre pochissimi software leciti ne sono causa.

Il motivo per cui la modifica di queste impostazioni, che potrebbe sembrare innocua, è monitorata sta nel fatto che è possibile impostare una pagina web con codice eseguibile come sfondo e che gli screensaver sono programmi eseguibili a tutti gli effetti.

Livello di rischio potenziale: Medio

Consiglio: Bloccare sempre tranne nel caso in cui si stia modificando lo sfondo/screensaver.

Modifica delle impostazioni di rete

La visualizzazione di questi avvisi è dovuta, nella maggior parte dei casi, al tentativo di modifica del file hosts di Windows.

La modifica di queste impostazioni può causare comportamenti "strani" nel funzionamento di alcuni o tutti i tipi di rete, come reindirizzamenti verso siti non voluti, malfunzionamenti dei sistemi di aggiornamento di alcune applicazioni (solitamente di sicurezza o di Windows) ecc...

Sono piuttosto numerosi i malware, mentre sono relativamente pochi i software leciti, che causano questi avvisi.

Livello di rischio potenziale: Medio

Consiglio: Bloccare sempre tranne nel caso in cui si stiano modificando le impostazioni di rete.

Comunicazioni interprocessi

Questa categoria di avvisi riguarda il monitoraggio delle comunicazioni tra due processi.

Infatti in un sistema multi-tasking come Windows è fondamentale che ogni applicazione possa comunicare con le altre per scambiare dati, impartire comandi ecc...

In Windows sono presenti diversi metodi che consentono alle applicazioni di comunicare tra loro: invio di messaggi, DDE (Dynamic Data Exchange), OLE (Object Linking and Embedding), iniezione di codice ecc...

Purtroppo è possibile utilizzare queste tecniche anche per far eseguire ad altri processi, noti per essere attendibili, operazioni non lecite o che richiedono privilegi elevati.

Anche in questo caso sono molto frequenti i software, sia leciti che non, che sono causa di questi avvisi.

Livello di rischio potenziale: Alto

Consiglio: In questo caso il consiglio è di non permettere se non si è sicuri dell'identità del software in oggetto. Considerate però che negare operazioni di questo tipo a software leciti può causare malfunzionamenti anche piuttosto gravi.

Avvio/terminazione processi/thread

Questa categoria include gli avvisi relativi l'avvio e la chiusura di un processo da parte di altri processi.

Queste operazioni sono piuttosto pericolose se applicate a processi di sistema critici, in quanto possono essere causa di problemi di stabilità.

Abbastanza frequentemente sia software leciti che malware sono causa di questi avvisi.

Livello di rischio potenziale: Alto

Consiglio: In questo caso il consiglio è di bloccare se non si è sicuri dell'attendibilità del software in oggetto. Considerate però che negare operazioni di questo tipo a software leciti può causare malfunzionamenti anche piuttosto gravi.

Installazione di hook

In questa categoria troviamo gli avvisi relativi l'installazione di hook a livello utente.

Installare un hook consiste, semplificando al massimo, nella modifica di una o più funzioni del sistema operativo, in modo che quando vengono chiamate siano eseguiti anche dei comandi aggiuntivi, oltre a quelli standard.

Per esempio un malware potrebbe modificare la funzione del sistema operativo che fornisce l'elenco dei file presenti in una cartella in modo da rimuovere da tale elenco i propri file e rendersi "invisibile".

Questi avvisi sono abbastanza frequenti, ma sono legati solitamente all'esecuzione di software lecito; in particolare molti videogiochi, virtual machine e programmi di emulazione di periferiche installano degli hook, causando questi avvisi.

Infatti generalmente i creatori di malware preferiscono hook a livello kernel, in quanto più difficili da individuare e maggiormente efficaci. L'installazione di questo tipo di hook solitamente non viene rilevata direttamente dagli HIPS, in quanto per eseguire queste operazioni è necessario caricare un driver, attraverso il quale viene poi installato l'hook.

Livello di rischio potenziale: Alto

Consiglio: Anche questo caso suggerisco di bloccare se non si è sicuri dell'identità del software in oggetto. Inoltre negando operazioni di questo tipo a software lecito generalmente non si creano particolari problemi.

Modifica delle impostazioni del registro di sistema

Questi avvisi riguardano l'accesso ad alcune sezioni del registro di sistema. Ad esempio quelle relative alla configurazione di hardware/software e alla gestione delle estensioni dei file.

Generalmente questi avvisi sono visualizzati durante l'installazione di molti software leciti di uso comune, come Office, Adobe Reader ecc... In questi casi è consigliabile addirittura sospendere la protezione dell'HIPS per evitare di essere sommersi dagli avvisi.

Fortunatamente non sono molti i malware causa di questi avvisi.

Livello di rischio potenziale: Alto

Consiglio: In questo caso il suggerimento è di permettere se si sta installando qualche programma noto e di negare se gli avvisi appaiono senza alcun motivo particolare. Tenete presente che, se negate queste operazioni durante l'installazione di un software lecito, è probabile che questo presenti dei problemi, anche gravi, nel funzionamento.

Altri tipi di avvisi

Ovviamente non abbiamo analizzato tutti gli avvisi visualizzabili da un HIPS, ma comunque abbiamo visto i più comuni.

Per quelli che non abbiamo trattato il consiglio è, come sempre, di farsi guidare dal buon senso e, se non si è sicuri sul come decidere, rivolgersi al MegaForum indicando software HIPS in uso, avviso visualizzato e programma che lo ha causato. In poche ore dovreste ricevere una risposta.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .