Sembra che il 7 aprile il virus abbia nuovamente cambiato strada, evolvendosi per l’ennesima volta.

Ivan Macalintal e il suo team segnalano la comparsa di un nuovo file sospetto di 119,296 bytes nella cartella temporanea di windows (%windir%\temp).
Secondo i dati raccolti sembrerebbe che il virus abbia scaricato quest’ultimo aggiornamento grazie alla sua capacità di ricevere nuovi payload via peer-to-peer da altri host infetti sulla rete.

Altro dettaglio curioso è che successivamente avrebbe tentato di scaricare un secondo file criptato (print.exe) da un host (goodnewsdigital-com) appartenente alla botnet di Waledac, una “vecchia” conoscenza della famiglia dei Trojan, il cui obiettivo è quello di sottrarre dati sensibili agli utenti.

Oltre a Waledac, sui sistemi ancora sotto il controllo del Conficker si sono attivate installazioni di applicazioni scareware come “Spyware Protect 2009” (della stessa famiglia dei più famosi Antivirus 2008 e Antivirus 2009), il quale non è altro che un virus che si maschera da antivirus far credere all’utente che il proprio computer sia infetto, questo per spingerlo poi ad acquistare la fantomatica versione completa del programma, che pulirà completamente il pc dalle minacce.

Ed ecco che piano piano la motivazione di queste persone comincia a diventare fin troppo chiara: il denaro.

Le caratteristiche di quest’ultima variante, riconosciuta come Win32\Conficker.E o WORM_DOWNAD.E da TrendMicro, le trovate descritte in questa analisi del Microsoft Malware Protection Center: http://blogs.technet.com/mmpc/archive/2009/04/09/win32-conficker-variants-update.aspx

Indice:

-{ Info sulla Minaccia
–{ Evitarlo
—{ Riconoscerlo
—-{ Rilevarlo
—–{ Rimuoverlo

In questi giorni nell’azienda per cui lavoro si è verificato un focolaio piuttosto proliferante del Virus Conficker, prevalentemente nelle forme B e B++.

Mentre risanavamo i pc del domino distribuendo il famoso tool MRT (Malicious Software Removal Tool) di Microsoft, ci siamo accorti che nel contempo stava accadendo qualcos’altro: nonostante i nostri sforzi stava proliferando una nuova, particolare versione del virus, molto più fastidiosa dei suoi fratelli ed apparentemente ancora sconosciuta su internet.

Non abbiamo potuto fare a meno di notare la differenza, visto che le canoniche procedure di pulizia (via MRT o FixDownadup) non si dimostravano più sufficienti: sui pc infetti infatti non era più possibile installare alcuni tipi di software (es. Unlocker, filemon, TcpView) nè tantomeno eseguire i software di pulizia già citati, i quali svanivano nel nulla un’attimo dopo essere stati richiamati.

Dopo esserci messi direttamente in contatto con McAfee, con la quale abbiamo collaborato fornendo una lunga serie di report (comprensivi anche di campioni autentici per l’analisi), la casa ci ha comunicato di essere gli scopritori di una nuova variante del virus Conficker!

Attualmente l’ultimo DAT disponibile sul sito di McAfee dovrebbe implementare il rilevamento di quest’ultima variante, come descritto in questa pagina (aggiornata ieri, 10 marzo: poche ore fa).

Come si Presenta il Worm

Considerando la questione da profano, questa variante non differisce molto dalle precedenti, nel senso che nella modalità di infezione mantiene fondamentalmente la sua classica configurazione:

prima fra tutte è la caratteristica di creare una copia di se stesso con l’attributo di file nascosto in c:\%windir%\system32\%nome_random%.dll .

Tale file ha permessi Everyone di sola esecuzione e in quest’ultima veste presenta una dimensione ricorrente di 86,016 bytes (contro i 165,600 della precedente B).

La libreria (come al solito) viene caricata da un servizio di sistema e sfrutta quindi il processo svchost.exe per nascondere la propria presenza.

Nella chiave netsvcs sotto HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost viene infatti iniettata una voce maligna che può assumere anche connotati di grande somiglianza con quelle default di Windows.

Come mi è capitato, potreste anche trovarvi di fronte ad una entry netsvcs fasulla TrkTime, facile da confondere con quella invece autentica TrkWks (Distributed Link Tracking Client service).

Come Riconoscerlo

Come ho già detto, questa variante si presenta in system32 con un file .dll avente una dimensione ricorrente di 86,016 bytes.

Altre dimensioni note sono: 103,936 bytes | 164,160 bytes | 157,479 bytes | 84,992 bytes (gen.D)

Questa caratteristica ci consente di verificarne velocemente la presenza grazie al comando dos

c:\> Dir /A:H c:\windows\system32\*.dll

l’attributo /A:H estrae solo i file invisibili contenuti nella cartella ed un pc pulito dovrebbe restituire il messaggio “File not found”.

Consiglio anche di tentare l’enumerazione dei file “marchiati” di sistema, in questo modo:

c:\> Dir /A:S c:\windows\system32\*.dll

Perchè il comando dos? perchè Conficker impedisce la visualizzazione avanzata dei file invisibili e di sistema.

Il file può avere anche determinati permessi di accesso come i soli SYNCHRONIZATION e FILE_EXECUTE per il gruppo Everyone. Per verificare usate il comando:

c:\> cacls c:\%windir%\system32\%nome_lib%.dll

Il conficker inoltre disabilita alcuni dei seguenti servizi:

• Aggiornamenti Automatici (wuauserv)
• Server
• Trasferimento intelligente in background (BITS)
• Centro Sicurezza PC (wscsvc)
• Servizio di Segnalazione Errori (ERSvc)

Con la apposita snap-in di windows potete controllare velocemente lo stato di questi ultimi: Start -> Esegui -> services.msc

Aggiornamento:

Da uno dei ragazzi del conficker working group, Joe Stewart, arriva anche un sito web (eye chart) che si propone di aiutare gli utenti meno esperti ad identificare questo virus sui propri pc:

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Ed ecco un secondo strumento per la verifica online scritto da Leder e Werner, basato sull’idea di Joe Stewart:

http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Come Rimuoverlo

Dal momento che non ci sarà possibile installare buona parte delle applicazioni di sicurezza (come quelle fornite da sysinternals), collegarci ai siti microsoft e a quelli delle varie case antivirus, ma nemmeno eseguire i vari tool di rimozione, dobbiamo ricorrere ad una piccola ma potentissima utility freeware chiamata “File & Folder Unlocker” disponibile a questo indirizzo. L’esecuzione di quest’ultima infatti non viene fortunatamente intercettata dal virus (e in qualsiasi caso basterebbe rinominare l’eseguibile “pippo.exe” in quanto il worm blocca i processi il cui nome contiene determinate parole).

Come suggerisce il nome, File & Folder Unlocker permette di ricercare tra i file in uso dai processi di sistema e di rilasciarli al volo. Nel nostro caso andremo a ricercare nell’apposito box il nome del file ostile trovato in System32, cliccando poi sulla corrispondenza restituitaci con il tasto destro e quindi su “Unlock Object”.

A questo punto, avendo rilasciato la libreria che intercettava tutte le nostre chiamate, saremo in grado finalmente di eseguire il uno dei tool elencati più avanti.

Aggiornamento:

Se rilasciare la libreria con F&F Unlocker non fosse sufficiente a far partire il software di pulizia, consiglio di cambiare innanzitutto i permessi del file in questo modo:

c:\> echo Y | cacls c:\%windir%\system32\%nome_lib%.dll /c /p Everyone:F

c:\> attrib -s -h -r c:\%windir%\system32\%nome_lib%.dll

Dopodichè cancellate il file, riavviate il sistema e utilizzate uno dei tool sotto elencati per la pulizia completa e la scansione delle le unità locali in quanto il virus si “copia” in cartelle come le temporanee e quelle di sistema (System Volume Information).

In aggiunta (come descritto più infondo) consiglio sempre l’utilizzo dei software, benchè in via di sviluppo, predisposti e condivisi da Ledner e Werner dell’Honeynet Project alla luce delle loro ultime scoperte.

Removal Tool Rilasciati Recentemente

• BitDefender: http://www.bdtools.net/
• Kaspersky: http://www.kaspersky.com/technews?id=203038750
• Enigma Software: http://www.enigmasoftware.com/support/conficker-removal/
• F-Secure: http://www.f-secure.com/weblog/archives/00001588.html
• Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
• Mcafee: http://service.mcafee.com/faqdocument.aspx?id=TS100621
• TrendMicro: http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip (necessita dei pattern aggiornati Ssapiptn.Da5 e lpt$vpn.XXX)
• Sophos: http://www.sophos.com/kb/54457.html
• Leder e Werner dell’università di Bonn: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Dopo la pulizia ricordatevi di eseguire comunque una scansione completa con il vostro software antivirus, ma in particolare controllate che nelle cartelle C:\System Volume Information\ (invisibile e di sistema), %TEMP%, c:\%programfiles%\Internet Explorer\, c:\%programfiles%\Movie Maker\ non ci siano più tracce del virus.

Come Proteggersi dalla diffusione

Dal momento che il virus si sta ultimamente diffondendo grazie alla sua caratteristica di infettare qualsiasi dispositivo esterno collegato al PC (chiavette usb, HD esterni, lettori Mp3 ecc..), la prima cosa sensata da fare è disabilitare la funzionalità di windows di interpretare i file Autorun.inf

Per farlo è sufficiente creare un file con estensione .REG contenente queste righe ed eseguirlo accettando le modifiche:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

Oltre a questo è senz’altro importante:

- evitare l’utilizzo di password banali per l’utente amministrativo locale: leggete qui.

- evitare l’utilizzo di cartelle condivise con accessi Everyone in scrittura

- installare la patch di sicurezza disponibile nel Security Bulletin MS08-067

Informazioni e Approfondimenti sulla Minaccia

• Analisi approfondita di SRI International: http://mtc.sri.com/Conficker/
• Altra analisi da SRI,  dedicata a quest’ultima variante: http://mtc.sri.com/Conficker/addendumC/index.html
• Istruzioni per il rilevamento: http://www.cert.at/static/conficker/TR_Conficker_Detection.pdf
• Come si propaga: https://forums2.symantec.com/t5/Malicious-Code/Downadup-Locking-Itself-Out/ba-p/389837
• Tiny Honeypot: http://www.sans.org/reading_room/whitepapers/detection/enhancing_ids_using_tiny_honeypot_1665?show=1665.php&cat=detection
• Ripristino della modalità provvisoria sui pc infettati: http://blog.didierstevens.com/2007/02/19/restoring-safe-mode-with-a-reg-file/
• Rimozione Manuale e deployment su reti Microsoft (vedi: conficker_email_template): http://blogs.msdn.com/nickmac/archive/2009/01/14/malicious-software-removal-tool-removes-win32-conficker-b.aspx
• Il conficker si prepara per il primo di Aprile: http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx
• F.A.Q. di F-Secure: http://www.f-secure.com/weblog/archives/00001636.html

Rilevamento delle Infezioni

Bisogna ringraziare Tillman Werner e Felix Leder, due ricercatori facenti parte dell’Honeynet Project, se adesso è possibile rilevare questo fastidioso worm con estrema facilità anche nelle grandi reti.

Ciò che hanno scoperto questi ragazzi non è altro che una piccola firma che il virus lascia sulle risposte a determinate chiamate RPC. Hanno trovato quella che possiamo definire l’impronta digitale del virus, caratteristica che rende ora estremamente semplici le procedure di rilevamento: è possibile infatti scovare le minacce presenti nella nostra rete in maniera del tutto anonima (nessuna autenticazione richiesta durante la verifica, ed è possibile farlo in qualsiasi rete o dominio), remota e sopratutto molto rapida.

Trovate comunque il rapporto dettagliato delle loro ricerche a questo indirizzo.

Come si fa a rilevarlo?

Vi rimando a fonti molto più autorevoli, dove troverete informazioni dettagliate rigorosamente in inglese:

Rilevazione con il tool Nmap, che incorpora nell’ultima versione le firme del virus pubblicate dal progetto Honeynet:

• http://nmap.org/nsedoc/scripts/smb-check-vulns.html
• http://www.net-security.org/secworld.php?id=7252
• http://www.net-security.org/software.php?id=1
• http://www.skullsecurity.org/blog/?p=209

Di seguito invece trovate il link all’articolo redatto dai due ricercatori sul sito dell’università di bonn. Qui sono disponibili non solo tool e script per il rilevamento, ma anche una serie di utility per la totale disinfezione (per esempio della memoria) degli host infettati dalle innumerevoli varianti del worm:

http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Aggiornamento:

E’ stata recentemente scoperta una tecnica che sfrutta il meccanismo p2p proprietario del virus al fine di rilevare gli host infetti dalle varianti C in su, in quanto quest’ultima è stata la prima ad incorporare tale meccanismo di aggiornamento. Lo script per Nmap è già integrato nell’ultima versione.

• http://www.skullsecurity.org/blog/?p=230 (New)

Oggi spiegherò come identificare malware o applicazioni non gradite con questo semplice ma potente strumento.

Ecco come monitorare le connessioni TCP usando netstat, ed ottenere un log dettagliato dei processi che accedono ad internet a nostra insaputa:

Prima di iniziare la fase di monitoraggio è bene chiudere tutti i programmi che si collegano ad internet come il browser, i programmi di chat, i client peer 2 peer etc.. visto che vogliamo ottenere un file di log il più “pulito” possibile.
Accertatevi che sul computer non vi siano più connessioni attive, e lasciando il pc collegato ad interntet avviate il prompt dei comandi e digitate:

netstat -bn [intervallo] >connections.log

l’output delle statistiche sarà salvato in un file connections.log:
di tutte le connessioni TCP saranno loggati gli ip, le porte (-n) e il nome dei processi che hanno inizializzato le connessioni (-b). L’intervallo, specificato in secondi, è la frequenza con cui il comando viene richiamato in loop.

netstat -bn 10 >connections.log

Questo è potenzialmente un loop infinito, ma potete interromperlo in ogni momento premendo CTRL+C.
L’ideale sarebbe lasciarlo in ascolto per qualche ora, oppure durante la notte.

Ed ecco l’output, qui vedete una connessione ad msn messenger:

Active Connections
TCP 192.168.1.1:1031 207.46.108.86:1863 ESTABLISHED 288
[msnmsgr.exe]

[...]

Potreste anche automatizzare il termine del monitoraggio usando AT per interrompere il processo all’orario preferito:

C:\>time
The current time is: 00.00.00,00
Enter the new time:
C:\>at 06:00 cmd /c "taskkill /F /IM cmd.exe"
C:\>netstat -bn 10 >connections.log


PHPIDS Intrusion Detection System

PHPIDS è un Sistema di Intrusion Detection di facile installazione che vi permette di proteggere tutte le vostre applicazioni web, siti e script php senza influire sulla velocità di esecuzione degli stessi.

PHPIDS è gratis ed è giunto ora alla versione 0.5.3.

Come funziona

Lo script, che va incluso nelle pagine da mettere in sicurezza (oppure preposto in tutte le richieste http tramite un settaggio del php.ini che vedremo tra poco), analizza le richieste senza filtrare o “strippare” l’input, semplicemente riconosce il codice maligno reagendo esattamente come volete voi, anche in base alla gravità dell’attacco; per esempio potete istruire l’IDS per terminare il caricamento della pagina dopo aver loggato ip e input del potenziale intruso.

PHPIDS è in grado di riconoscere tentativi di attacco XSS, SQL Injection, header injection, directory traversal, RFE/LFI, DoS e LDAP. Può inoltre rilevare le richieste ostili che sono state offuscate, come la codifica del codice iniettato nel charset UTF-7 o nelle entità Unicode, decimale ed esadecimale.

Esempio di codifica UTF-7:

+ADw-script+AD4-alert(’Hacked!’)+ADsAPA-/script+AD4-

che decodificato diventa:

<script>alert(’Hacked!’);</script>

L’analisi degli input è basata su una serie di regole di filtraggio raccolte in un unico file XML in costante sviluppo; questo ci agevola molto nel mantenere aggiornate le definizioni degli attacchi.
Ad ogni regola è assegnato anche un “impatto” in forma numerica, che determina la gravità del tipo di attacco che si sta subendo: in base all’impatto è quindi possibile definire e personalizzare i comportamenti di phpids nel neutralizzare il tentativo di intrusione .
Per tenere traccia degli attacchi rilevati sono disponibili funzioni di logging su file di testo, DataBase o tramite l’invio di mail e possiamo implementare queste funzioni anche contemporaneamente.

If ($result->getImpact() >= 40) /* Impatto */
{
require_once ‘IDS/Log/File.php’;
require_once ‘IDS/Log/Email.php’;
require_once ‘IDS/Log/Composite.php’;
$compositeLog = new IDS_Log_Composite();
$compositeLog->addLogger(IDS_Log_File::getInstance($init),
IDS_Log_Email::getInstance($init)); /*Loggo su file e mail*/
/* Interrompo il caricamento */
die(’<h1>Il tuo attacco è stato Loggato!</h1>’);
}

Installazione ed utilizzo

Per l’installazione e la configurazione segnalo un ottimo tutorial che trovate su Howtoforge, oltre alle FAQ ufficiali dell’IDS.

Il mio consiglio, per una soluzione più elegante e sopratutto immediata, è quello di scrivere il codice da includere nelle pagine in un file separato phpids.php e di valorizzare il parametro auto_prepend_file del php.ini con la /path/assoluta/del/file/phpids.php, come descritto nella guida di howtoforge.
Altrimenti possiamo sempre usare le funzioni include e require del php.

Se preferite la prima soluzione, ma possedete un dominio in hosting condiviso come Aruba, dovrete avere determinate accortezze facendo l’override dell’ini del gestore nella vostra root.
Infatti se non replicate tutti i parametri necessari, questi assumeranno i valori default di apache, sicuramente meno ottimizzati.
Se non siete sicuri su come procedere, potete usare (su Aruba) uno dei due file di configurazione scaricabili da questo post di Capn3m0 aggiungendo in coda questa riga (modificata a dovere):

auto_prepend_file = /path/assoluta/del/file/phpids.php

Se non conoscete la path assoluta caricate nel browser una pagina contenente il codice <? phpinfo(); ?> e controllate a fianco della voce DOCUMENT_ROOT il rispettivo valore.

Risorse & Supporto

• Documentazione
• FAQ
• Forum di Supporto
• Demo del Layer
• File default_filter.xml aggiornato ( da sovrascrivere in /phpids_folder/lib/IDS/ )
• File Converter.php aggiornato ( da sovrascrivere in /phpids_folder/lib/IDS/ )

Ecco una panoramica degli argomenti trattati nel tutorial:

• Configurare il sistema per l’aumento della velocità di risposta delle applicazioni.
• Adeguamento e ottimizzazione dell’hardware.
• Velocizzare i tempi di caricamento del sistema operativo.
• Migliorare le prestazioni rendendo il proprio computer più “sicuro”.
• Lezioni sul monitoraggio delle performance.

La guida è disponibile solo in lingua inglese, ma è comunque molto comprensibile e ricca di immagini ed esempi.

Scarica: Windows Vista® Performance and Tuning Tutorial

Fonte |- Scattered Notes

Lo scenario tipico è quello in cui, quando digitiamo una chiave di ricerca su google e seguiamo uno dei risultati ci troviamo di fronte ad una richiesta di registrazione, necessaria per accedere al contenuto desiderato. Il che a volte è molto fastidioso.

Come avrete capito Googlebot, il famoso spider (o Crawler) che in ogni momento setaccia il web a caccia di contenuti da indicizzare, ha le porte aperte un po più degli altri. Il motivo lo ho già detto: in quanto spider analizza e indicizza le pagine, indicizzazione significa popolarità, popolarità significa incremento della visibilità e volendo maggiori guadagni per il webmaster, magari se nelle proprie pagine mostra un po di pubblicità.
Ecco perchè ognuno di noi avrebbe interesse a far leggere i propri contenuti al googlebot di turno, pure se normalmente non sarebbero accessibili ad utenti non registrati, ed è proprio questo quello che accade, per un semplice discorso di visibilità.

Come si fa?

Basta modificare lo User-agent del nostro browser, una stringa di testo (header) inviata ai vari server durante le richieste http e usata per identificare il client (browser) utilizzato per la navigazione.
Banalmente, se avete firefox, la stringa che inviate è questa:
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
Anche Googlebot manda un header quando bussa alle porte di una pagina web, ed è questo:
User-Agent: Googlebot/2.1 (+http://www.googlebot.com/bot.html)

Se volete provare vi consiglio di usare Firefox, installando un leggerissimo Add-On che modifica a piacimento gli header HTTP: Modify-Headers.
Installatelo e aggiungete la stringa di googlebot come nell’immagine, attivate la modifica e buona navigazione.
Il mio consiglio è quello di attivare l’header solamente quando si fanno ricerche, in quanto certi domini tendono a dare in pasto ai bot versioni Lo-Fi delle pagine.

CHKDSK è uno strumento sviluppato per il controllo e il ripristino dell’integrità del file system, può essere usato anche per riconoscere bad sectors e fare in modo che questi vengano ignorati dal sistema; infine è la prima risorsa built-in a disposizione del sistemista quando windows non si avvia.
Quello che di solito si ignora è che CHKDSK non è stato pensato per eseguire il controllo sull’integrità dei dati.
Cito da una Knowledge Base Microsoft che approfondisce il funzionamento dell’utility:

Note also that NTFS does not guarantee the integrity of user data after an instance of disk corruption, even if you immediately run a full CHKDSK operation. There might be files that CHKDSK cannot recover, and files that CHKDSK does recover might still be internally corrupted. It remains vitally important that you protect mission-critical data by performing periodic backups or by using some other robust method of data recovery.

Se volete ridurre al minimo la possibilità di perdere i vostri dati il consiglio è di fare un’immagine del disco prima di tentare il recovery con checkdisk, dal momento che oltre a farvi perdere (molto) tempo e danneggiare ulteriormente l’hard disk potrebbe rendere difficile il lavoro persino ad uno specialista.

Disabilitare l’esecuzione di Chkdsk

Per evitare quindi l’esecuzione non desiderata del comando (windows tende a schedularlo al primo reboot in caso di errori), perlomeno finchè i dati che ci interessano non sono in salvo, si può ricorrere ad un piccolo trucco:
da un prompt del DOS, che se il sistema non si avvia possiamo utilizzare anche in modalità provvisoria, digitiamo
Chkntfs /x C:
dove al posto di <C:> inseriremo la lettera di unità del disco danneggiato.

Con questo convertitore web-based potete estrarre ‘al volo’ la traccia audio di qualsiasi video di Youtube o flv nel web.

Fate l’upload o inserite l’URL del file flv, avviate la conversione e scaricatene la traccia audio in formato mp3.

Per convertire i filmati di Youtube è sufficiente copiare l’indirizzo della pagina di visualizzazione (es. http://www.youtube.com/watch?v=UdYRzH10L2M ).

Se volete convertire filmati da altri siti di video-hosting potete usare questo famoso plugin di firefox per ottenere l’flv: Fast Video Download.

Quelli di TPB hanno fatto parlare di sè in lungo e in largo grazie anche al loro spirito ribelle e di protesta contro le politiche di ‘country lock’ imposte da certe nazioni che -parere assolutamente personale- hanno semplicemente alimentato la curiosità della gente nei confronti di questi canali, perchè in effetti sono risorse che hanno realmente qualcosa di interessante e facilitano fra l’altro la divulgazione di una grande quantità di materiale libero, come le distribuzioni linux per esempio.

OpenDNS si fa strada nel momento giusto con un servizio DNS di grande qualità, competitivo perchè fondato sulla gratuità, la collaborazione e l’indipendenza dai providers, soggetti purtroppo all’influenza dei governi.

Oltre a rendervi immuni agli effetti del coutry lock, è sicuramente un servizio superiore e vantaggioso rispetto a quello fornito dai comuni ISP, visto che l’offerta vanta oltre all’affidabilità, numerosi servizi aggiuntivi personalizzabili studiati per le aziende, le scuole, ma anche per le comuni reti casalinghe. Personalmente sarei anche disposto a pagare se non fosse già totalmente gratuito.
Per avere accesso a tali servizi è richiesta solamente una registrazione al sito: gratuita, immediata ed aperta a tutti; mentre per usufruire del solo servizio di Domain Name System basterà indicare nelle proprietà della connessione gli indirizzi DNS 208.67.222.222 e 208.67.220.220, senza alcuna iscrizione.

Motivi per cui usare openDNS

Come ho già detto, usando questi DNS ‘liberi’ potete aggirare le censure proprio perchè il servizio è svincolato da ogni interesse che vada a scapito della massima soddisfazione dell’utente.
Ma cominciamo parlando di sicurezza e di Content Filtering: quello buono.
Il grande vantaggio di questa soluzione è dato dalla protezione dal phishing e dalle frodi ai danni dei navigatori, ma potete scegliere fra 6 differenti livelli di filtraggio per la vostra rete aziendale o casalinga.
Preciso che le categorie e i blocchi sono gestiti direttamente dalla community degli utilizzatori del servizio (solo qualche milione) tramite sondaggi e votazioni su domini e indirizzi la cui natura è ancora incerta. Se un’indirizzo è sfuggito al content filtering, oltre a segnalarlo potrete immediatamente bloccarlo all’interno della vostra rete.

ecco le 6 possibilità:

• high (blocca i siti nelle categorie: phishing, video sharing, divertimento, social network, pornografia e warez-illegali)
• moderate (blocca le categorie: phishing, pornografia, warez-illegali)
• low (protegge contro il phishing e blocca la pornografia)
• minimal (protegge contro il phishing) *Modalità Consigliata
• none (nessun blocco, nessuna protezione)
• custom (è possibile selezionare le categorie che si desidera bloccare)

Con OpenDNS la navigazione è più veloce perchè sui server sono riservate grandi quantità di memoria per il caching degli indirizzi: non dovendo interrogare altri server DNS per ogni richiesta ricevuta, si riducono di gran lunga i tempi di risposta. In più le richieste vengono sempre reindirizzate al server fisicamente più vicino a voi.

Altra ‘feature’ interessante è la Typo Correction, caratteristica che, quando sbagliate a digitare un URL nel vostro browser (ad esempio scrivendo http://wikipedia.ogr), riconosce e corregge l’errore di ortografia rimandandovi al dominio corretto.

Se siete utilizzatori di servizi come TinyUrl, sappiate che qui è possibile utilizzare la medesima soluzione, chiamata Shortcut: infatti nel vostro pannello di controllo (o dashboard) sarete in grado di impostare brevi parole come scorciatoie per indirizzi più complessi e difficili da memorizzare (es. “mail” –> http://mail.google.com/mail).

Per i gestori di piccole o medie reti, una bella agevolazione consiste nel servizio di Statistiche, che aiuta ad analizzare la mole di richieste prodotte dall’utenza mediante grafici o tabelle esplicative con la possibilità di esportare tutti i dati raccolti in formato csv (campi separati da virgola) o in versione stampabile. I dati collezionati sono i seguenti:

1. Total DNS requests
2. Total Unique Domains
3. Total Unique IPs (useful for larger networks)
4. Domains requested
5. Blocked domains requested
6. Request Types (A, MX, PTR)

Potete consultare le definizioni per distinguere la natura delle richieste inoltrate dai vostri utenti durante le analisi. In più in qualsiasi momento potrete resettare tutti i dati e ricominciare da capo.

Alla pagina http://system.opendns.com (o http://208.67.219.60/ in caso abbiate problemi di risoluzione) è sempre disponibile una pagina di monitoraggio dei server, dicui 5 sono residenti in america ed uno a Londra. La pagina comprende lo stato attuale dei server, quello degli ultimi 30 giorni, qualche statistica sulle tendenze e la quantità di richieste DNS risolte al giorno: molto impressionante al momento, sia nei numeri che nella totale assenza di report negativi.

Come mai tutto questo? cosa ci guadagnano?

openDNS guadagna offrendo una pagina di errore contenente pubblicità pertinente ogni volta che si digita nel browser un indirizzo non valido. Quando si offre molto e il servizio è valido e affidabile si riesce anche a guadagnare con così poco, per la felicità di tutti.

Per l’utilizzo del servizio, vi rimando alle istruzioni sulla pagina ufficiale. Potete anche configurare il vostro router in modo che distribuisca automaticamente il servizio OpenDNS tramite DHCP.

Aggiornamento

Nelle ultime ore The Pirate Bay è stato dissequestrato :-)

The file cannot be deleted: it is being used by another person or program

e magari sul sistema è installato McAfee Viruscan Enterprise 8.0i con la patch 16 (o 15 + HotFix 311933), non sapete dove sbattere la testa e i vostri utenti vorrebbero nel frattempo appendervi a un palo, potrebbe interessarvi questa Knowledge Base che descrive il problema riscontrato sulla medesima versione ed offre sia un workaround che una patch risolutiva, un fix della hotfix.

Dopo l’installazione della patch, riavviate il server e il problema dovrebbe essere risolto.

Se per qualsiasi ragione non potete aggiornare momentaneamente il vostro Viruscan, Mcafee consiglia di disabilitare l’Opportunistic File Locking, che permette al primo client di bloccare un file per averne accesso esclusivo su di una risorsa, questo per evitare perdite di dati in caso lo stesso venga richiesto in modifica da altri client concorrenti.

L’Opportunistic File Locking è abilitato di default sulle seguenti versioni di windows:

• Microsoft Windows Server 2003, Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
• Microsoft Windows Server 2003, Web Edition
• Microsoft Windows Server 2003, 64-Bit Datacenter Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Windows XP Professional
• Microsoft Windows XP Tablet PC Edition
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows 2000 Datacenter Server
• Microsoft Windows Small Business Server 2003 Premium Edition
• Microsoft Windows Small Business Server 2003 Standard Edition
• Windows Server 2008 Datacenter without Hyper-V
• Windows Server 2008 Enterprise without Hyper-V
• Windows Server 2008 for Itanium-Based Systems
• Windows Server 2008 Standard without Hyper-V
• Windows Server 2008 Datacenter
• Windows Server 2008 Enterprise
• Windows Server 2008 Standard
• Windows Web Server 2008