Molto spesso, quando si cita l'argomento della "sicurezza in rete Internet" ci si riferisce principalmente alle problematiche dei virus (il plurale esatto sarebbe virii, ma per maggiore comprensione userò nel documento il termine al singolare) e delle intrusioni nei sistemi informatici da parte dei temutissimi hacker. I media, sia quelli della "vecchia era" come la carta stampata e i telegiornali, sia quelli della "nuova era" come i portali d'informazione sul web, da sempre circoscrivono l'argomento della sicurezza in rete a queste due problematiche principalmente per due motivi: il primo è quello relativo al fatto che la diffusione di virus e le gesta degli hacker colpiscono maggiormente l'immaginario collettivo; essere riusciti a sconfiggere un virus con un banalissimo programma antivirus sembra riportarci ad antiche ed eroiche gesta di cavalieri che sconfiggono i draghi alle porte di un villaggio minacciato!

Con la massiccia diffusione di Internet in Italia abbiamo assistito, soprattutto da parte dei giornali e dei telegiornali, ad una vera e propria "caccia alle streghe" a virus ed hacker, trascurando magari il fatto che se cerchiamo, nel nostro ambito d'amicizie o di lavoro, di crearci una piccola statistica personalizzata chiedendo se qualcuno di loro negli ultimi 12 mesi ha avuto il pc infettato da un virus o "bucato" da un hacker, probabilmente ci risponderanno di sì una o due persone su dieci, le stesse magari che quando parcheggiano al centro l'automobile la lasciano aperta e con il finestrino abbassato.

Il secondo motivo, per cui i media si limitano ad "informarci" esclusivamente su questi due pericoli, è semplicemente la loro ignoranza. Ignoranza nel senso stretto e nel senso lato della parola: non sono a conoscenza di altri motivi per cui l'utente si dovrebbe preoccupare e soprattutto ogni media "ricicla" la notizia pubblicata da un altro media, cambiando magari solo il titolo dell'articolo.

E questo ci porta all'argomento di questa discussione, lo spyware; uno dei tanti (non l'unico!) problemi legati alla sicurezza del nostro pc in rete.

In quest'ultimo periodo, alcune discussioni sul newsgroup italiano it.comp.sicurezza.windows mi hanno messo molta curiosità su un fenomeno abbastanza recente (1 anno circa) che è quello dello spyware. Io curo in maniera "maniacale" il mio sistema e scoprire che alcuni (alcuni??? MOLTI!!!) software modificano il mio sistema a loro piacimento e fanno compiere al mio pc processi (task) che non posso controllare direttamente m'infastidisce.

Probabilmente sapete già tutti che cosa s'intende per "spyware", se non lo sapete andiamo subito al punto: avete presente il proliferare in quest'ultimo periodo di programmi freeware o shareware con la visualizzazione dei banner ciclici?
Alcuni esempi? Get-right, Eudora, Cute-ftp, Go-zilla, Flash-get ecc.
Ebbene, questi software installano in maniera "trasparente" delle vere e proprie "applicazioni client", cioè dei programmi che, durante il vostro collegamento in internet, trasmettono ad un apposito server delle precise informazioni. Informazioni che riguardano il vostro sistema, le vostre preferenze di navigazione e altro ancora.
Queste applicazioni, installate di nascosto, prendono il nome di spyware. Per adesso tralasciamo il fatto che quando entrano in funzione (cioè quando si collegano al server per fare l'upload/download delle informazioni) aprono una porta di comunicazione di Windows (di solito una caso sopra la 1500), porta che un possibile hacker potrebbe pingare (cioè interrogare per vedere se aperta) e utilizzare a suo piacimento, ricollegandoci quindi alle problematiche "principali" sull'infezione da virus e sull'intrusione di hacker. Quindi tralasciamo quest'aspetto, che fa si parte di un discorso più ampio della sicurezza ma che in questa discussione ci porterebbe troppo lontano dal nostro obiettivo. Potrebbe essere tema per una futura discussione.
Rimaniamo al più semplice "cosa fanno", "come lo fanno" e "perchè lo fanno".
Conviene partire dall'ultimo quesito, e scoprire (non ci voleva molto!)
che lo spyware serve ad alcune società che si occupano di "rivendere" la
visibilità dei banner per tracciare dei profili statistici sul consumo e sulle nostre preferenze in generale; quindi nessun allarmismo, non fanno niente di più (o
quasi) di quello che facevano (e fanno) già i famosi cookies. Il problema vero sta
nel "come" lo fanno.
La società che ha innescato tutto il casino è stata la "Aureate media" (che credo adesso abbia cambiato il nome in "Radiate"), e poi logicamente se ne sono aggiunte diverse appresso. Avete presente Get-right versione "banner"? Ecco quei banner non sono più gestiti con il vecchio sistema di "link url" al sito che promuove i banner, no, c'e'
un client, sotto forma di diverse DLL (una decina) che noi installiamo (a nostra insaputa) insieme a Getright, e che trasferisce al server di Aureate le solite informazioni che interessano a queste società, cioè cosa clickiamo, quanto ci stiamo, ecc ... più alcune informazioni che non dovrebbero, come il numero di telefono, la user-id e anche la password di collegamento al vostro provider.
I cookies, come sappiamo, se ci si spoglia di certe paranoie non sono dannosi per il sistema, né lo rallentano, non ne utilizzano le risorse hardware e software, insomma sono abbastanza trasparenti al sistema operativo (S.O.).
Lo spyware no.
Lo spyware installa DLL (librerie di sistema), che devono essere caricate dal sistema. Ora, voi considerate che quel povero Windows già s'impalla per conto suo con le DLL che sono state create per farlo funzionare, immaginate voi di costringerlo a caricarne delle altre che magari proprio non gli vanno giù!
E lui, per ripicca .... ci pianta il browser!  (meditate gente, meditate!)
Lo spyware non installa solo DLL ed EXE, ma modifica anche stringhe del registro di sistema.
Potrebbe bastare? Nooooo!
Lo spyware sovrascrive alcune DLL di SISTEMA di Windows!!!! In particolare
una DLL di Windows Media Player. (ebbene si, la Aureate vuole sapere anche
quali MP3 pirata ascoltate!)

Ecco di seguito alcuni files installati da diversi spyware:

adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

advert.dll :
crea una finestra nascosta ogni volta che apriamo il browser (e siamo
connessi naturalmente!) e invia quattro pagine di informazioni  al server Aureate,
utilizzando la porta 1749. Le info comprendono: il vostro nome, IP e DNS, la
lista di TUTTO il software che risulta installato dal registro di sistema, e poi info su quali banner avete clickato, quali files avete scaricato o visualizzato (zip, immagini, video, ecc), il numero di telefono del provider che avete chiamato, la user id e la password (se salvata).
In più si crea una bella cartella nascosta nella directory (cartella) di Windows creando una cache dei banner visualizzati e altre informazioni.

amcis.dll:
modifica le seguenti chiavi del registro di configurazione:
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
HKEY_PERFORMANCE_DATA
HKEY_USERS
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER
HKEY_CLASSES_ROOT
 in più carica una DLL della lista sopra riportata e la "scarica" dalla memoria
non appena chiudete il browser.
Carini no?

amstream.dll:
invia informazioni sulle nostre preferenze "multimediali" (video, audio ecc.).
Il bello è che questa DLL è una dll di sistema di Windows, che viene installata da Windows Media Player. La versione Microsoft si occupa della gestione "in streaming" dei pacchetti audio e video ed è assolutamente innocua. Si lo so, innocua come può esserlo una DLL di Windows
Lo spyware invece sovrascrive la versione originale Microsoft e questa fa sì le stesse funzioni di quella Microsoft (altrimenti Media Player non potrebbe funzionare correttamente) e in più ne aggiunge di sue (vedi sopra).

amcompat.tlb:
Questa DLL serve "giustamente" a creare una connessione di download per eventuali update dello spyware che avete già nel sistema.
Ahhhh si , l'hanno pensata davvero bene!


Ora, tutto questo scambio di informazioni a due vie (in upload e in download) occupa la nostra preziosissima banda di collegamento, cioè in sintesi la velocità con cui noi riusciamo a navigare ed a compiere tutte le nostre operazioni in rete.

Passiamo alla pratica. Esistono due software che permettono di fare uno scan del sistema e di rilevare lo spyware installato nel vostro PC. Io ho l'abitudine di "vivisezionare" tutto il software che installo, ebbene tenete presente che "solo" nel mio pc c'erano circa 14
files di spyware. I due software dovrebbero essere usati insieme perchè quello che non riesce a rilevare l'uno lo rileva l'altro.

ecco i link per i download:

http://www.lavasoft.de/
(qui trovate ad-aware 4.45)

http://grc.com/optout.htm  

(qui trovate optout)

questi software sono freeware .... senza banner

Qui invece trovate la lista aggiornata dei software che "nascondono" al loro
interno lo spyware (sono più di 700 e tutti molto famosi!)

http://www.infoforce.qc.ca/spyware/

Sempre allo stesso indirizzo trovate anche numerose informazioni (in inglese) sullo
spyware.
Per il resto se volete approfondire fate pure una ricerca su altavista con chiave "spyware" e troverete da leggere e documentarvi per giorni.

CONSIGLI

Scaricate i due software e usateli pure tranquillamente, giusto per vedere
quanto spyware avete nel vostro sistema, se ne avete.
Se però non vi sentite sicuri, non siete abbastanza smaliziati, non fate rimuovere NIENTE a quei programmi, questo perchè molti di quei files sono necessari ai programmi che li installano per un corretto funzionamento.
Quindi se non siete sicuri guardate e BASTA. NON TOCCATE NIENTE!
Io ho rimosso tutti i files spyware e il sistema funziona perfettamente.

Se decidete di rimuovere alcuni files spyware è possibile che dobbiate re-installare Windows Media Player. Poco male, così avrete anche la scusa per installarvi l'ultima
versione. Dopo che avrete installato Windows Media Player fate una copia di backup della DLL amstream.dll, magari chiamatela "amstream.dll.ms", cosicchè nel caso possiate ripristinarla senza re-installare WMP.

Altro consiglio.

Esiste un firewall freeware veramente ben fatto, si chiama ZoneAlarm
http://www.zonelabs.com/

Un Firewall è un programma che vi permette di monitorare il traffico di dati della vostra connessione e nel caso di bloccarne il flusso in download.

Se volete provarlo scaricatelo pure, è facilissimo da configurare e permetterà soltanto alle applicazioni da voi desiderate di scambiare pacchetti di dati sulla rete, in upload e download. Bloccando tutte le altre ovviamente, e facendovi dormire sonni tranquilli.