Installazione e configurazione di Online Armor 3: firewall e HIPS integrati

Online Armor 3 è un software firewall che combina funzionalità HIPS. Se di “personal firewall” abbiamo ormai abbondantemente parlato su IlSoftware.it (ved., ad esempio, questa pagina), il concetto di HIPS potrebbe essere meno familiare ad alcuni lettori.
HIPS è l’acronimo di Host Intrusion Prevention System, una sigla con cui vengono accomunate molteplici soluzioni in grado di monitorare il sistema e/o la rete alla ricerca di attività sospette. In tali situazioni un HIPS è capace di reagire bloccando le comunicazioni potenzialmente pericolose od, ancor prima, prevenendole. Un software HIPS si fa carico di sorvegliare tutto quanto avviene sul sistema in uso consentendo solamente operazioni che risultino legittime o comunque che siano state precedentemente autorizzate. Se il firewall, in senso stretto, agisce quindi intervenendo sulle comunicazioni di rete, un HIPS opera ad un livello ancor più basso interfacciandosi con il sistema operativo, esaminando il comportamento dei servizi, dei processi e delle applicazioni in esecuzione.

La semplicità che contraddistingue Online Armor 3 consente anche agli utenti meno smaliziati di avvicinarsi al mondo degli HIPS comprendendone più agevolmente il funzionamento e gli obiettivi.
Tra le novità della terza versione di Online Armor vi è l’introduzione di una nuova interfaccia grafica, un livello di protezione ulteriormente migliorato, il supporto per Windows Vista 32 bit e la traduzione del pacchetto in italiano, un aspetto, questo, che dovrebbe contribuire a favorire una più rapida diffusione del prodotto anche nel nostro Paese.

La nuova interfaccia utente si mostra pratica e sostituisce finalmente quella, pessima, che caratterizzava la precedente versione di Online Armor.

Tra le migliorie introdotte in Online Armor 3 citiamo anche la possibilità di aggiornare semplicemente il pacchetto con la modalità “upgrade” senza essere costretti a dover riavviare più volte il personal computer.

Come Comodo 3 (ved. questo articolo), Online Armor 3 non è certamente uno strumento adatto a tutte le tipologie di utenza. Il suo utilizzo presuppone comunque la conoscenza di alcuni aspetti tecnici che non tutti gli utenti, soprattutto chi si è da poco avvicinato al problema sicurezza, possono conoscere. Purtuttavia, con il rilascio della nuova versione del software riteniamo siano stati compiuti notevoli passi in avanti. Il modulo HIPS di Online Armor è secondo noi di più semplice utilizzo rispetto al Defense+ che contraddistingue Comodo, tuttavia può comunque risultare ostico ad alcuni utenti. In tal caso, pur poggiando sulla protezione offerta dal modulo firewall, Online Armor offre la possibilità di disattivare le funzionalità HIPS.

Se usato bene, come qualsiasi altro HIPS, Online Armor 3 può arrivare a sostituire i classici software antivirus ed antimalware in generale; un’opportunità, questa, che sconsigliamo di mettere in pratica da parte dei meno esperti.

Il “personal firewall” protegge le connessioni di rete agendo in modo “bidirezionale”, sia in entrata che in uscita, e previene anche l’installazione di malware e keylogger. Il software integra anche funzionalità antiphishing (solo nella versione a pagamento) e valide armi contro altre minacce. Oltre al modulo HIPS, poi, Online Armor 3 si occupa inoltre di mantenere aggiornata una “whitelist” ed una “blacklist” di programmi ed elementi inseriti frequentemente tra le applicazioni in “esecuzione automatica”, in modo da aiutare l’utente a far la scelta giusta. Il database online, battezzato OASIS (Online Armor Software Intelligence System; ved. questa pagina web), fornisce inoltre numerose informazioni su tutti i file che vengono eseguiti dagli utenti quali la posizione sul disco fisso e le operazioni effettuate. Unitamente ad ogni scheda viene indicata la percentuale di utenti che hanno bloccato un determinato file e quella relativa alle persone che lo hanno consentito. Tali dati si rivelano spesso interessanti e particolarmente utili perché aiutano l’utente meno esperto nella scelta delle operazioni da compiere e quindi nel decidere se un’azione debba essere consentita oppure tempestivamente bloccata.

Installazione

La procedura di installazione di Online Armor 3 non presenta difficoltà: basta cliccare qualche volta sul pulsante Avanti. Una volta concluso il setup, Online Armor richiederà se si intenda eseguire la procedura passo-passo (“wizard”) che provvederà ad analizzare il contenuto del disco fisso alla ricerca dei programmi installati. Si tratta di un primo esame che Online Armor 3 può compiere per individuare applicazioni fidate e quelle potenzialmente nocive, eventualmente presenti sul sistema in uso.
L’utente esperto che è certo di non aver nulla di sospetto in esecuzione sul personal computer può spuntare la casella Fidarti di tutto sul tuo computer e premere il pulsante Avanti. Diversamente, per avviare la procedura di scansione passo-passo, va scelta l’opzione Eseguire il wizard.

Selezionando la prima opzione (scelta predefinita) quindi cliccando sul pulsante Avanti in basso, Online Armor 3 avvierà una serie di controlli sul sistema: dalla verifica della versione del software in uso, alla ricerca di elementi pericolosi, dal controllo degli elementi presenti in esecuzione automatica, all’esame dei plug-in di Internet Explorer, dalla scansione dei file di sistema di Windows alla comparazione con i giudizi memorizzati sui server di Online Armor.

Cliccando il pulsante Avanti, si passerà alle successive fasi di configurazione del prodotto.

Nel caso in cui tutti controlli operati da Online Armor 3 non dovessero essere completamente superati (indicazione oacat.exe Componente accessoria che si occupa, ad esempio, degli aggiornamenti in background.
– oahlp.exe Componente che si occupa di far comparire le finestre popup
– oasrv.exe Il cuore vero e proprio del firewall
– oaui.exe Gestisce l’interfaccia di Online Armor

Le icone che Online Armor aggiunge nella “traybar” di Windows sono due: la prima, raffigurante uno scudetto, consente di accedere alla configurazione del software vero e proprio mentre la seconda visualizza graficamente il traffico in entrata ed in uscita, similmente a quanto fa ad esempio ZoneAlarm. Con un doppio clic sulla seconda icona, si può accedere alla finestra che fornisce informazioni sullo stato del modulo firewall.

Cliccando con il tasto destro del mouse sull’icona raffigurante lo scudetto si può accedere ad un menù contenente numerose opzioni. Con un doppio clic, invece, si accede alla finestra principale di Online Armor.

Cliccando sull’icona Generale, si otterranno informazioni sulla versione del software in uso e sui moduli attivi. Nella modalità free, Online Armor 3 consente l’uso del modulo HIPS (Protezione programmi) e del “personal firewall”.
Le caselle Protezione mail e Protezione web non risulteranno gestibili nella versione free del prodotto (ved. questa scheda comparativa sul sito ufficiale).

Conosciamo più da vicino il funzionamento del modulo HIPS. Quando un programma si avvia, Online Armor per prima cosa proverà a decidere automaticamente quale sia la migliore azione da compiere basandosi sulle informazioni raccolte nell’archivio OASIS ovvero controllando se riconosce il programma come fidato, non fidato o sconosciuto. Questa protezione si occupa anche di controllare i comportamenti dei programmi rilevando quelli potenzialmente pericolosi o sospetti.
Cliccando su Programmi, è possibile accedere alla lista delle applicazioni rilevate sul sistema in uso da parte di Online Armor. L’elenco è suddiviso in più colonne (la legenda dei colori è consultabile cliccando sulla scheda Opzioni in alto):

– Stato: mostra se il programma è consentito o bloccato.
– Nome programma: visualizza il nome del file memorizzato sul disco fisso.
– Nome: mostra il nome assegnato al programma
– Primo rilevamento: indica la data in cui Online Armor ha rilevato il programma la prima volta.
– Livello di affidabilità: spiega se il programma è ritenuto fidato, non fidato o sconosciuto.
– Livello di sicurezza: mostra se il programma viene eseguito in “Modalità protetta”. La modalità protetta permette di eseguire un programma con gli stessi diritti di un account “guest” così da evitare l’utilizzo di privilegi utente elevati da parte di malware che dovessero sfruttare vulnerabilità insite nell’applicazione usata.

Online Armor evidenzia ciascun programma in lista con un diverso colore: l’azzurro indica un programma che opera in modalità protetta, il verde un software fidato, il rosso un programma non fidato, il salmone un programma sconosciuto ed il grigio un’applicazione non più presente sul sistema in uso.

I pulsanti mostrati in calce alla finestra permettono, una volta selezionato un programma dalla lista, di permetterne l’esecuzione in modalità prodetta, di ritenerlo sempre fidato, di eliminarlo dall’elenco, di consentirlo, bloccarlo e di chidere all’utente l’azione da compiere (pulsante Chiedi) mediante la visualizzazione di una finestra pop-up.

Disattivando la casella Nascondi affidabili, si ha modo di controllare tutti i programmi che Online Armor ha riconosciuto ed ha consentito automaticamente oppure quelli approvati in modo manuale da parte dell’utente. Spuntando la casella Solo eliminati, verranno enumerati solamente i software non più presenti sul personal computer.

Cliccando con il tasto destro del mouse su un qualunque file in lista, Online Armor mostrerà un menù contenente alcune opzioni aggiuntive.

Il comando Mostra le informazioni del file permette di ricavare diverse informazioni relative all’identità dell’elemento selezionato, inclusi il persorso del file sul disco fisso, il nome del programma, la versione dello stesso, la società sviluppatrice, la data di creazione, la descrizione e le informazioni sul copyright. Va comunque tenuto presente come alcuni programmi omettano tuttavia alcune informazioni evitando di inserirle nel file. Il pulsante Altro… consente di collegarsi con la pagina web sul sito di Tall Emu che attinge al database online della software house. In tal modo si possono ottenere ulteriori informazioni sull’identità di ogni file.

I comandi Apri ed Apri in modalità protetta consentono entrambi di avviare il software selezionato. Il secondo, tuttavia, permette di eseguirlo in modalità protetta.

Le Opzioni avanzate consentono di regolare in profondità i comportamenti che il programma può eseguire. Anche da questa finestra, in primo luogo, si ha modo di impostare l’esecuzione del file in modalità protetta.
Selezionando l’opzione Installer, il file scelto dall’elenco verrà trattato da Online Armor 3 come una procedura d’installazione di un programma. Dal momento che gli “installer” effettuano molte azioni (spesso vengono aggiunte o modificate voci nel registro di Windows, aggiunti file all’interno di cartelle di sistema, applicati interventi sulla configurazione di Windows), ciò potrebbe provocare la visualizzazione di molti avvisi d’allerta di Online Armor. Spuntando l’opzione Installer le finestre pop-up diminuiranno in numero o la loro comparsa verrà completamente evitata.

I permessi che possono essere accordati oppure negati a ciascun file sono diversi:
– avvio di altre applicazioni: alcuni eseguibili richiamano a loro volta altri file. Agendo su questa impostazione si può fare in modo che l’applicazione selezionata possa o meno eseguire altri programmi.
– impostazione di hooks globali: un hook globale è una porzione di codice di programmazione utilizzata con lo scopo di ottenere dati specifici da un’applicazione. Gli hooks possono essere usati per monitorare le combinazioni di tasti premuti, le informazioni inserite e così via.
– accesso alla memoria fisica: dà modo di decidere se si vuole che Online Armor consenta al programma di avere accesso diretto agli altri programmi conservati nella memoria. Quest’operazione viene generalmente posta in essere per ottenere informazioni addizionali riguardo un programma ma consente ai malware di infettare altri software secondo un approccio differente dalle classiche modalità di attacco.
– codice remoto: permette di decidere se si vuole che Online Armor consenta al programma di controllare altri programmi in esecuzione sul personal computer.
– modifica remota dei dati: per stabilire se Online Armor debba consentire al programma selezionato di modificare i dati, trattenuto nella memoria virtuale da un altro programma.
– sospensione del processo/thread: per dare o meno l’autorizzazione al programma correntemente selezionato di sospendere un’altra applicazione in memoria od uno dei suoi “thread”. L’obiettivo è quello di fare in modo che il programma in esame possa o meno operare senza essere effettivamente terminato.
– creazione di eseguibili: consente di decidere se si vuole che Online Armor permetta al programma di creare eseguibili sul disco fisso.
– usa API DNS: per consentire o negare al programma selezionato di effettuare interrogazioni DNS utilizzando il servizio client di Windows.
– Direct Disk Access: per decidere se si vuole che Online Armor consenta al programma di accedere al disco fisso direttamente, bypassando i normali metodi di creazione, modifica od eliminazione dei file. Software come i deframmentatori e i tool di recupero dati sono esempi di software legittimi che potrebbero necessitare del “Direct Disk Access”.
– Spegnimento del sistema: permette di stabilire se il programma abbia l’autorizzazione di spegnere il personal computer.

Nel riquadro Protezione sono raccolte alcune funzionalità che offrono un ulteriore livello di difesa. Ad esempio, spuntando le apposite caselle, si può fare in modo che il programma venga automaticamente riavviato da Online Armor nel caso in cui dovesse essere chiuso, ad esempio in seguito ad un crash oppure impedirne la chiusura o la sospensione del funzionamento. Le ultime due caselle, se attivate, proteggono il programma selezionato da modifiche operate da altre applicazioni o la modifica dei dati in memoria.

Le alre sezioni quali Esecuzioni automatiche ed Estensioni di IE operano in modo assolutamente similare.

L’area denominata Host consente di verificare ed eventualmente modificare la configurazione del file HOSTS di Windows. Tale file permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: ciò ricorda da vicino il funzionamento del server DNS del provider Internet. Ogni volta che si digita un indirizzo nella barra degli URL del browser, il sistema verifica – prima di tutto – se vi sia un’associazione corrispondente all’interno del file HOSTS. Solo quando questa non viene trovata si passa all’interrogazione del server DNS del provider. La modifica del file HOSTS è abbastanza diffusa tra i malware. Su un sistema infetto, potrebbe quindi capitare che digitando l’URL del motore di ricerca preferito, di un famoso portale e così via, si venga “proiettati” verso siti web che non si sono assolutamente richiesti o, peggio ancora, che mettono in atto attacchi phishing. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che si sta utilizzando. In Windows NT/2000/XP/2003 è in genere salvato nella cartella SYSTEM32DRIVERSETC.

Il firewall

Online Armor 3 integra un moderno ed efficace modulo firewall (per saperne di più sui “personal firewall”, vi suggeriamo di fare riferimento a questa pagina e a questi articoli).

Una delle più interessanti peculiarità che contraddistinguono il firewall integrato in Online Armor 3 è l’abilità nel riconoscere e configurare le applicazioni benigne che debbono essere autorizzate a scambiare dati in Internet. Si tratta di una caratteristica, questa, di importanza cruciale, soprattutto per gli utenti meno esperti. Accedendo alla finestra Firewall ci si accorge subito di come Online Armor 3 abbia riconosciuto software conosciuti come, ad esempio, i componenti di sistema di Windows, browser web e client di posta elettronica.

Cliccando sulla scheda Regole oppure cliccando con il tasto destro del mouse e selezionando Vai alle regole, è possibile notare come il firewall di Online Armor abbia autonomamente predisposto delle precise e del tutto pertinenti regole di comunicazione.

Il firewall di Online Armor 3 crea nuove regole nel momento in cui ve ne sia l’effettiva necessità. Come si vede, nel caso di Internet Explorer, Online Armor permette per il momento il traffico in uscita sulla porta 80 (http); il software aggiungerà – in modo del tutto trasparente (essendo Internet Explorer un’applicazione conosciuta) -, ad esempio, anche la porta 443 (https) non appena l’utente intenterà una connessione sicura sul web.

Nell’elenco, in verde sono evidenziati i programmi a cui sono consentite comunicazioni; in rosso, viceversa, le applicazioni bloccate.

Le regole possono essere liberamente personalizzate (pulsante Modifica regola) agendo su porte, protocolli ed indirizzi. Si tratta, questa, di una possibilità particolarmente interessante perché dà modo di configurare regole anche molto “strette”: anziché permettere ad un software di colloquiare su tutti i protocolli e su tutte le porte, è sempre preferibile infatti “imbrigliarne” il funzionamento permettendo solo il traffico riconosciuto come del tutto legittimo.

Gli utenti più smaliziati che volessero avere pieno controllo sul comportamento del firewall e, soprattutto, configurare manualmente – di volta in volta – delle regole il più “strette” possibile anche per le applicazioni benigne e quindi, in generale, fidate, possono disattivare la casella Consenti automaticamente ai programmi ritenuti sicuri di accedere ad Internet, contenuta nella sezione Opzioni, già vista in precedenza.

Molto utile anche la funzionalità di esportazione delle regole firewall (tasto destro del mouse, Esporta) che permette di creare una copia di backup delle impostazioni per poi riutilizzare su un altro sistema o ripristinarle in seguito (ad esempio, dopo la reinstallazione del software o la formattazione del disco).

Le regole firewall possono essere create rispondendo alle domande poste dai vari pop-up oppure aggiungendole manualmente dalla sezione Firewall, scheda Regole, pulsante Nuova regola.

Come regola generale, è sempre bene selezionare la modalità protetta per tutti i software benigni che si utilizzano comunemente (i browser web, i client di posta, le suite per l’ufficio, i programmi di ritocco fotografico e così via) in modo da ridurre i rischi di infezione (sezione Programmi).

Online Armor 3, in definitiva, può essere considerato un’ottima scelta. L’utente meno esperto potrebbe trovarsi un tantino “spaesato” al momento della comparsa degli avvisi mostrati dal modulo HIPS. Nel caso dell’utente neofita, il modulo HIPS potrebbe essere disattivato a patto però di abbinare il firewall di Online Armor ad un buon software antivirus/antimalware.
Il modulo HIPS, comunque, si rivela molto più semplice da configurare ed utilizzare rispetto alla versioni precedenti del prodotto e, soprattutto, rispetto ad altri software disponibili in Rete.
Pur avendo esteso il supporto a Windows Vista, Online Armor 3 non è compatibile con la versione x64 del sistema operativo Microsoft.

La versione freeware di Online Armor 3 non integra una procedura di aggiornamento automatico ma soltanto manuale: gli update del software vanno quindi installati da parte dell’utente.

Pro
– Leggero
– Semplice da usare
– Molto configurabile sebbene la versione a pagamento integri numerose funzionalità in più
– Ideale per prendere confidenza con il funzionamento di un HIPS
– Interfaccia completamente tradotta in italiano
– Utilizzo della modalità protetta
– Firewall bidirezionale

Contro
– Mancato supporto per i sistemi x64
– Prodotto inadatto agli utenti con scarse competenze informatiche
– Finestra pop-up per la creazione di regole firewall ulteriormente migliorabile