Firewall e HIPS insieme: guida all'uso di Online Armor 5

Online Armor 5 è la nuova versione del firewall (che combina anche funzionalità HIPS) rilasciata nelle scorse settimane da Emsisoft. Nel mese di luglio 2010, la società austriaca ha infatti acquistato l’australiana Tall Emu insieme con tutto il suo portafoglio software che ricomprende, appunto, anche Online Armor, nelle versioni free ed a pagamento.

HIPS è l’acronimo di Host Intrusion Prevention System, una sigla con cui vengono accomunate molteplici soluzioni in grado di monitorare il sistema e/o la rete alla ricerca di attività sospette. In tali situazioni un HIPS è capace di reagire bloccando le comunicazioni potenzialmente pericolose od, ancor prima, prevenendole. Un software HIPS si fa carico di sorvegliare tutto quanto avviene sul sistema in uso consentendo solamente operazioni che risultino legittime o comunque che siano state precedentemente autorizzate. Se il classico firewall agisce quindi intervenendo sulle comunicazioni di rete (a livello di porte e protocolli), un HIPS opera ad un livello ancora più basso interfacciandosi con il sistema operativo, esaminando il comportamento dei servizi, dei processi e delle applicazioni in esecuzione.

Online Armor 5 porta con sé numerose novità: la più evidente è la nuova interfaccia utente che appare notevolmente mutata rispetto alle precedenti release del prodotto: l’obiettivo è quello di rendere più semplice l’individuazione delle varie caratteristiche dell’applicazione e di chiarire in modo più efficace il significato di ciascun messaggio d’allerta.

Alle varie applicazioni installate sul personal computer è adesso possibile associare un livello di “fiducia” molto più “granulare”: è possibile quindi definire in modo più puntuale di quale libertà d’accesso ai file, alle cartelle ed al registro di sistema esse possano godere.

Un nuovo modulo “guard” si occupa di verificare gli espedienti più comunemente utilizzati dagli autori di malware per indurre l’utente ad aprire file dannosi (ad esempio, l’assegnazione ad un file di una doppia estensione, l’impiego di caratteri Unicode – uso di caratteri che sembrano molto simili ad altri -). Online Armor riconosce anche quei file nocivi che hanno nomi uguali o molto simili a noti ed assolutamente legittimi elementi che compongono il sistema operativo (tali file dannosi sono in genere memorizzati all’interno di cartelle che non corrispondono a quelle ove sono conservati i file benigni correlati al funzionamento di Windows).

Emsisoft afferma che sono state apportate oltre 400 migliorie alla quinta versione di Online Armor, ancora una volta distribuita in tre differenti “edizioni”: Online Armor Free, completamente a costo zero, offre una protezione di base, Online Armor Premium (abbonamento annuale pari a 40 dollari) è capace di proteggere anche file e registro di Windows mentre Online Armor++ (60 dollari all’anno) porta con sé anche un antivirus ed un meccanismo antirootkit.

Dopo aver scaricato il file eseguibile e fatto doppio clic su di esso, opteremo per l’installazione della versione Free. A setup concluso, Online Armor Free mostrerà una finestra simile alla seguente:

La prima opzione (“Trust everything on this computer“) va lasciata selezionata solamente se si è del tutto sicuri che sul sistema in uso non siano presenti elementi dannosi. Diversamente, è bene optare per “Step-by-step wizard” e premere il pulsante Avanti, in basso a destra.

Come si vede (link “Restore settings“), Online Armor Free consente di ripristinare le impostazioni precedentemente definite e conservate in un file di backup. Si tratta, questa, di una possibilità particolarmente utile allorquando, ad esempio, si abbia operato una reinstallazione completa di Windows o si voglia impieghare le medesime regolazioni su un’altra macchina.

Selezionando la voce Step-by-step wizard, Online Armor Free avvierà una serie di controlli sul sistema: dalla verifica della versione del software in uso, alla ricerca di elementi pericolosi, dal controllo degli elementi presenti in esecuzione automatica, all’esame dei plug-in di Internet Explorer, dalla scansione dei file di sistema di Windows alla comparazione con i giudizi memorizzati sui server della società sviluppatrice del firewall/HIPS.

Cliccando il pulsante Avanti, si passerà poi alle successive fasi di configurazione del prodotto.

Nel caso in cui tutti controlli operati da Online Armor Free non dovessero essere completamente superati (indicazione Passato), il programma richiederà all’utente di compiere delle scelte aggiuntive. Tali regolazioni, proposte nelle finestre successive, consentiranno di ridurre drasticamente il numero delle finestre a comparsa che Online Armor Free potrebbe presentare durante il normale utilizzo del personal computer.

E’ bene quindi soffermarsi ad impostazione adeguatamente il programma prima, per evitare di essere costretti, poi, durante il normale impiego del sistema, a consentire od a negare, di volta in volta, determinate operazioni al riavvio od all’apertura di ogni programma.

In figura, è possibile notare ad esempio come nel nostro caso Online Armor Free non abbia potuto autonomamente stabilire l’identità di alcuni software presenti nel menù Start così come nel gruppo “Esecuzione automatica”:

Se non si desidera autorizzare subito l’attività dei vari software, al loro primo avvio, Online Armor Free mostrerà un messaggio d’allerta invitando l’utente a riflettere sulla possibilità di consentire o negare il funzionamento di ciascuna applicazione. Uguale comportamento sarà tenuto da Online Armor Free, per esempio, nel caso dei programmi sconosciuti avviati ad ogni ingresso in Windows (in “esecuzione automatica”).

La finestra successiva consente di regolare alcune impostazioni più strettamente legate al funzionamento di Online Armor Free. La casella “Send anonymous information (…), se attivata, esprime la volontà dell’utente di inviare dati in forma anonima circa l’utilizzo delle applicazioni via a via installate sul personal computer ad Emsisoft contribuendo alla crescita del software. L’opzione può essere ovviamente disabilitata senza che ciò impatti sul normale funzionamento di Online Armor Free.

Nella scheda Firewall si può evitare di operare interventi: di default, infatti, Online Armor Free concede ai programmi benigni e conosciuti la facoltà di accedere ad Internet e scambiare dati con i server remoti. Ogniqualvolta un programma cerca di trasmettere dati in Rete, però, viene esposta una finestra di notifica.

Per impostazione predefinita, il modulo firewall di Online Armor Free non crea un file di registro (o “log”) delle varie attività espletate: per richiederne la generazione, è sufficiente attivare la casella Abilita la creazione di log scegliendo le informazioni che debbono essere annotate (registrazione dei soli eventi permessi o bloccati oppure di qualunque attività).

La cartella Esclusioni consente di definire un elenco di cartelle il cui contenuto non deve mai essere sottoposte al controllo di Online Armor Free.
Le funzionalità Backup/ripristino e Scorciatoie risultano invece disattivate nella versione gratuita del programma.

Per proseguire, è necessario cliccare su Avanti, lasciare spuntata la casella Riavvia il computer e cliccare su Termina.

Modulo firewall e protezione durante la “navigazione”

A reboot completato Online Armor Free risulterà subito in esecuzione: si noterà la presenza della sua icona nella traybar di Windows. Tale icona mostra un piccolo libro e, contemporaneamente, sul desktop del sistema operativo viene visualizzato il messaggio “Online Armor è in modalità di autoapprendimento, allo scopo di assicurare un primo avvio senza problemi“.

Come spiega il messaggio, è bene astenersi dall’effettuare qualunque operazione ad attendere che venga mostrato il “fumetto”, in basso a destra, “Online Armor ha terminato il processo di apprendimento“.

Le icone che Online Armor aggiunge nella “traybar” di Windows sono due: la prima, raffigurante uno scudetto, consente di accedere alla configurazione del software vero e proprio mentre la seconda visualizza graficamente il traffico in entrata ed in uscita, similmente a quanto fa ad esempio ZoneAlarm. Con un doppio clic sulla seconda icona, si può accedere alla finestra che fornisce informazioni sullo stato del modulo firewall:

Nella barra del titolo della finestra, Online Armor Free indica l’indirizzo IP locale ossia quello assegnato al sistema in uso all’interno della LAN e l’IP – statico o dinamico – attribuito da parte del provider Internet (ad esempio al router ADSL che ha negoziato la connessione o ad un più semplice modem).
Nella parte superiore della finestra, Online Armor Free riporta, graficamente, il traffico in ingresso, quello in uscita ed il numero di connessioni stabilite. Al centro, invece, è posto l’elenco dei programmi o dei processi che hanno avviato uno o più scambi dati in Rete. Infine, in calce alla finestra, vengono via a via proposte ed aggiornate tutte le singole connessioni effettuate da ciascun programma presente sul sistema.

Con un doppio clic sull’icona a forma di scudetto, è possibile accedere alla finestra principale di Online Armor Free:

L’impostazione grafica di Online Armor Free 5.0 è stata profondamente rinnovata rispetto alle precedenti versioni dell’applicazione ed appare molto simile a quella degli altri software targati Emsisoft (ad esempio, Emsisoft Anti-Malware).

Cliccando sulla voce di menù Firewall, si può verificare l’elenco delle applicazioni alle quali è stato consentito “d’ufficio”, di poter accedere alla rete Internet. La scheda Porte consente di controllare su quali porte sono autorizzati a comunicare i vari programmi:

Il firewall di Online Armor Free crea automaticamente delle nuove regole nel momento in cui ve ne sia l’effettiva necessità. Le righe evidenziate in verde indicano comunicazioni che sono al momento permesse da parte di Online Armor mentre quelle riportate in rosso indicano le applicazioni correntemente bloccate.
Facendo doppio clic sulle varie voci in elenco, è possibile eventualmente personalizzare tutte le regole (possibilità appannaggio degli utenti più smaliziati) mettendo a punto, qualora lo si desiderasse, anche policy piuttosto severe: anziché permettere ad un software di colloquiare su tutti i protocolli e su tutte le porte, è possibile “imbrigliarne” il funzionamento permettendo solo il traffico riconosciuto come del tutto legittimo.

Gli utenti più esperti che volessero avere pieno controllo sul comportamento del firewall e, soprattutto, configurare manualmente – di volta in volta – delle regole il più “strette” possibile anche per le applicazioni benigne e quindi, in generale, fidate, possono disattivare la casella Consenti automaticamente ai programmi fidati di accedere ad Internet, contenuta nella sezione Opzioni, cliccando sulla scheda Firewall (già incontrata durante l’installazione di Online Armor Free).

Protezione durante la navigazione sul web

Oltre al modulo firewall, Online Armor Free integra il modulo “Web shield“, una funzionalità in grado di controllare che il sito web in corso di visita sia effettivamente quello che dichiara di essere. In altre parole, il software di Emsisoft è capace di rilevare se fosse in corso un attacco di tipo phishing inducendo l’utente a visitare un sito web, dal look grafico molto simile all’originale, che è stato invece allestito da parte di un truffatore.
Online Armor Free provvede a paragonare i risultati ottenuti dal server DNS in uso con quelli restituiti da un server fidato esponendo un messaggio d’allerta nel caso in cui dovessero esserci delle difformità sospette.

Cliccando sulla voce di menù Domains, inoltre, “Web shield” dà modo all’utente di bloccare singoli URL o, viceversa, di consentirne la visita senza alcun genere di limitazione.

Presentazione ed impostazione delle funzionalità HIPS

La sezione Programmi consente invece di accedere alle funzionalità HIPS di Online Armor Free. Quando viene eseguita un’applicazione, Online Armor Free proverà, innanzi tutto, a decidere automaticamente quale sia la migliore azione da compiere basandosi sulle informazioni raccolte nell’archivio OASIS ovvero controllando se il programma fosse già classificato come fidato, non fidato o sconosciuto.
A questo livello, Online Armor Free si occupa anche di controllare i comportamenti dei programmi rilevando quelli potenzialmente pericolosi o sospetti.
L’elenco mostrato nella sezione Programmi è suddiviso in più colonne (la legenda dei colori è consultabile cliccando sul link Legend in alto a destra):

– Stato: mostra se il programma è consentito, bloccato oppure se viene richiesta, di volta in volta, l’azione da compiere all’utente (“chiedi”).
– Nome programma: visualizza il nome del file memorizzato sul disco fisso.
– Nome: mostra il nome assegnato al programma
– First detected: indica la data in cui Online Armor Free ha rilevato il programma la prima volta.
– Trust level: spiega se il programma è ritenuto fidato, non fidato o sconosciuto.

Il pulsante Modalità protetta permette di eseguire una qualunque applicazione in lista con gli stessi diritti di un account “guest”. In questo modo, si farà in modo che eventuali malware non possano sfruttare una vulnerabilità insita nell’applicazione per causare danni all’intero sistema. Le applicazioni configurate per funzionare in modalità protetta vengono evidenziate con una riga di colore celeste.

I pulsanti mostrati in calce alla finestra permettono, una volta selezionato un programma dalla lista, di permetterne l’esecuzione in modalità protetta, di ritenerlo sempre fidato, di eliminarlo dall’elenco, di consentirlo, bloccarlo e di chiedere all’utente l’azione da compiere (pulsante “Chiedi“) mediante la visualizzazione di una finestra pop-up. Togliendo il segno di spunta dalla casella Hide trusted (ovvero, “nascondi fidati”), si può ottenere l’elenco completo delle applicazioni presenti sul sistema in uso. Con un doppio clic sui vari elementi, è invece possibile accedere alla finestra delle impostazioni avanzate che permettono di definire lo “spettro d’azione” concesso a ciascun software:

Selezionando l’opzione Installer, il file scelto dall’elenco verrà trattato da Online Armor come una procedura d’installazione di un programma. Dal momento che gli “installer” effettuano molte azioni (spesso vengono aggiunte o modificate voci nel registro di Windows, aggiunti file all’interno di cartelle di sistema, applicati interventi sulla configurazione di Windows), ciò potrebbe provocare la visualizzazione di molti avvisi d’allerta di Online Armor. Spuntando l’opzione Installer le finestre pop-up diminuiranno in numero o la loro comparsa verrà completamente evitata.

I permessi che possono essere accordati oppure negati a ciascun file sono diversi:
– avvio di altre applicazioni: alcuni eseguibili richiamano a loro volta altri file. Agendo su questa impostazione si può fare in modo che l’applicazione selezionata possa o meno eseguire altri programmi.
– impostazione di hooks globali: un hook globale è una porzione di codice di programmazione utilizzata con lo scopo di ottenere dati specifici da un’applicazione. Gli hooks possono essere usati per monitorare le combinazioni di tasti premuti, le informazioni inserite e così via.
– accesso alla memoria fisica: dà modo di decidere se si vuole che Online Armor consenta al programma di avere accesso diretto agli altri programmi conservati nella memoria. Quest’operazione viene generalmente posta in essere per ottenere informazioni addizionali riguardo un programma ma consente ai malware di infettare altri software secondo un approccio differente dalle classiche modalità di attacco.
– codice remoto: permette di decidere se si vuole che Online Armor consenta al programma di controllare altri programmi in esecuzione sul personal computer.
– modifica remota dei dati: per stabilire se Online Armor debba consentire al programma selezionato di modificare i dati, trattenuto nella memoria virtuale da un altro programma.
– sospensione di processi/thread: per dare o meno l’autorizzazione al programma correntemente selezionato di sospendere un’altra applicazione in memoria od uno dei suoi “thread”. L’obiettivo è quello di fare in modo che il programma in esame possa o meno operare senza essere effettivamente terminato.
– creazione di eseguibili: consente di decidere se si vuole che Online Armor permetta al programma di creare eseguibili sul disco fisso.
– usare API DNS: per consentire o negare al programma selezionato di effettuare interrogazioni DNS utilizzando il servizio client di Windows.
– elencare file: consente di stabilire se il programma sia autorizzato o meno a recuperare l’elenco dei file e delle cartelle presenti in una directory (un “file manager” è un programma che necessita di questa particolare autorizzazione per poter funzionare in modo corretto).
– Direct Disk Access: per decidere se si vuole che Online Armor consenta al programma di accedere al disco fisso direttamente, bypassando i normali metodi di creazione, modifica od eliminazione dei file. Software come i deframmentatori e i tool di recupero dati sono esempi di software legittimi che potrebbero necessitare del “Direct Disk Access”.
– Arresto del sistema: permette di stabilire se il programma abbia l’autorizzazione di spegnere il personal computer.

Nel riquadro Protezione sono raccolte alcune funzionalità che offrono un ulteriore livello di difesa. Ad esempio, spuntando le apposite caselle, si può fare in modo che il programma venga automaticamente riavviato da Online Armor nel caso in cui dovesse essere chiuso (i.e. in seguito ad un crash) oppure impedirne la chiusura o la sospensione del funzionamento. Le ultime due caselle, se attivate, proteggono il programma selezionato da modifiche operate da altre applicazioni o la modifica dei dati in memoria.

La sezione Esecuzioni automatiche consente di controllare le applicazioni eseguite all’avvio di Windows mentre Anti-keylogger e File host permettono, rispettivamente, di rilevare l’azione di eventuali keylogger (software che registrano i tasti premuti dall’utente) e di verificare ed eventualmente variare il contenuto del file HOSTS di Windows. Il file HOSTS permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: ciò ricorda da vicino il funzionamento del server DNS del provider Internet. Ogni volta che si digita un indirizzo nella barra degli URL del browser, il sistema verifica – prima di tutto – se vi sia un’associazione corrispondente all’interno del file HOSTS. Solo quando questa non viene trovata si passa all’interrogazione del server DNS del provider. La modifica del file HOSTS è abbastanza diffusa tra i malware: su un sistema infetto, potrebbe quindi capitare che digitando l’URL del motore di ricerca preferito, di un famoso portale e così via, si venga “proiettati” verso siti web che non si sono assolutamente richiesti o, peggio ancora, che mettono in atto attacchi phishing od ospitano ulteriori malware. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che si sta utilizzando. In Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista e Windows 7 è in genere presente nella cartella \windows\system32\drivers\etc.

Si ringrazia Leo Montagna per il supporto fornito nella stesura della precedente versione di questo articolo.