martedì 27 ottobre 2009

Alcuni consigli per prevenire Gumblar / Martuz / Nine-Ball (ma comunque utilizzabili per prevenire altri tipi di attacchi)

Collegato al post relativo alla ripresa in rete dell'attivita' di malware del genere Gumblar, ecco un riassunto del post pubblicato in giugno, ma sempre attuale, da blog.igothacked.com
e che riassume una serie di consigli utili per prevenire attacchi da parte di malware del tipo Gumblar.
Quanto pubblicato nel post in realta' puo essere anche consigliato per prevenire altri tipi di attacco.
Anche se riferito ad un ambiente di lavoro aziendale, e' inoltre applicabile anche ad una utenza 'casalinga', (sezione del post “lato Client”)

.............................
Cosa si puo' fare per prevenire questo tipo di attacco?

Lato client:

Assicurarsi che il software antivirus sia aggiornato.
Anche se vi e' un tasso molto basso di rilevamento su questi exploit, e' sempre consigliabile avere un antivirus installato e assicurarsi che sia aggiornato regolarmente.
Assicurarsi di eseguire Windows Update.
Assicurarsi di aggiornare sia Flash e Acrobat: Gli exploit Gumblar (ma anche altri) utilizzano vulnerabilita' individuate in Flash e Acrobat ma gia eliminate da Adobe.
Disabilitare l'accesso Javascript per Adobe Reader: Puo' essere utile (specialmente nel caso di nuove vulnerabilita' non ancora risolte).

* Cliccare su "Modifica" dalla barra dei menu file, poi "Preferenze".
* Dalla finestra di dialogo Apri, selezionare l'opzione "JavaScript"
* Deselezionare "Enable JavaScript Acrobat".
* Fare clic su "OK".


Utilizzare un client FTP sicuro, se disponibile.
Uno dei metodi che i pirati informatici usano per recuperare le credenziali FTP di accesso, e' quello di scovare le password come normale testo quando ci si connette al server FTP.
Se si utilizza un client FTP sicuro, le password non saranno inviate in formato testo o in chiaro.
Eseguire un programma anti-malware per verificare la presenza di Gumblar. (o di altri virus)
Cambiare le password frequentemente.
Installare un firewall lato client

Lato server:

Installare un server FTP che consenta connessioni sicure.
Creare una whitelist di tutti gli indirizzi IP o intervalli che sono attualmente consentiti per l'accesso al server FTP. Mettere tutto il resto in blacklist per bloccarne l'accesso.
Utilizzare un qualche tipo di applicazione o di routine che controlli i files nuovi o modificati sul server e verificare se le modifiche sono autorizzate.
Controllare regolarmente i file di log FTP per attivita' non autorizzate su base giornaliera o settimanale e rivedere tutte le connessioni in entrata sul file di log FTP ( controllare l'indirizzo IP che ha stabilito una connessione per verificare che sia autorizzato).
Assicurarsi di eseguire regolarmente un qualche tipo di applicazione per rilevare Root Kit ecc....
Utilizzare siti come Unmaskparasites.com, Wepawet ecc.... per controllare la presenza attuale di malware sul sito.
...........................................................................................

Questo il link al testo originale in inglese.

Edgar

Nessun commento: