Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Proteggersi dai malware con Crystal Anti-Exploit Protection

Crystal Anti-Exploit Protection è una soluzione efficace contro malware non noti che possono sfuggire al controllo degli antivirus.
Crystal Anti-Exploit Protection è una soluzione efficace contro malware non noti che possono sfuggire al controllo degli antivirus.
Link copiato negli appunti

Crystal Anti-Exploit Protection 2012 è uno strumento gratuito in grado di prevenire l'installazione "silente" di malware, spyware e altro software malevolo. L'attuale versione, scaricabile da qui, è la 1.0.0.3. Come è noto, gli antivirus proteggono l'utente da minacce note, già analizzate in laboratorio e di cui siano state rilasciate le relative firme. Ciò implica che essi sono sostanzialmente inutili nei confronti di minacce nuove, delle quali non si sia ancora proceduto ad un'analisi e, di conseguenza, non siano stati ancora rilasciati i relativi aggiornamenti. Il comportamento di Crystal AEP è invece completamente diverso. Crystal AEP, infatti, non utilizza le signatures, ma piuttosto cerca di intercettare il meccanismo utilizzato dal malware per auto-installarsi. Ciò implica, da un lato, che Crystal non necessita di continui aggiornamenti come i normali antivirus e antimalware e, dall'altro, che è in grado di individuare e bloccare anche minacce nuove.

Configurazione

Dopo aver proceduto all'installazione, Crystal AEP lancia automaticamente un tutorial (richiamabile anche successivamente) che spiega all'utente le varie fasi della configurazione e che consiglio vivamente di non saltare, in quanto la granularità del software consente di definire un livello di monitoring personalizzato anche a livello di singolo processo. Per gli utenti "pigri" la cosa più semplice è quella di abilitare, nella schermata principale.

Figura 1. La schermata principale di Crystal AEP
La schermata principale di Crystal AEP

la protezione di default attraverso il pulsante "Enable All", selezionando contestualmente almeno l'opzione "Enable Anti-Exploit". L'opzione "Enable Content Filtering" funziona solo con Internet Explorer, per cui ha senso abilitarla eventualmente solo in caso si utilizzi questo browser. Va detto che il livello di protezione di default è comunque impostato sul valore "High", per cui può andar bene per la maggior parte degli utenti.

Se si vuole procedere invece ad una configurazione personalizzata, sono disponibili due modalità, raggiungibili dal menu "Configuration": "Basic Options" ed "Expert Options". Nel primo caso Crystal conduce un'analisi automatizzata, elencando in una list-box ("Protected Programs") a sinistra i programmi già protetti per default e in un'altra list-box ("Running Programs") sulla destra, invece, i processi attualmente in esecuzione sulla macchina dell'utente, come visibile in fig. 2.

Figura 2. Finestra Basic Options
(clic per ingrandire)


Finestra Basic Options

Sono possibili varie opzioni, che vanno dall'impostazione automatica di un livello di protezione di default per tutti i programmi elencati (che comunque, come già detto, è impostato su "High"), alla possibilità di personalizzare, per ogni singolo software, il livello desiderato, cliccando sul radio button "Custom Level". È inoltre possibile aggiungere programmi alla lista di quelli già protetti (list-box a sinistra), sia selezionandoli dai processi già in esecuzione (list-box a destra) che aggiungendoli a mano, tramite pulsante "Browse" o - se si conosce il nome preciso del processo - tramite il pulsante "Add". Analogamente, è possibile rimuovere programmi dalla lista di quelli già protetti per default da Crystal AEP.

La modalità "Expert", invece, fornisce molte più possibilità. Per ognuno dei processi già protetti, elencati sulla sinistra, è possibile selezionare una miriade di "Protection Methods", semplicemente cliccando sul tasto "Edit Configuration". I metodi sono davvero tanti e divisi in una serie di tab "Monitor", ognuna delle quali raggruppa una serie di controlli e opzioni, come visibile in fig. 3.

Figura 3. Controlli di Monitoring
(clic per ingrandire)


Controlli di Monitoring

Ad esempio, cliccando sulla tab "Connection Monitor" è possibile abilitare o disabilitare una serie di filtri per le connessioni in ingresso e/o in uscita. Sempre all'interno della stessa scheda, cliccando sulla tab "Incoming Data Filters" compaiono i filtri che monitorano il traffico in entrata, di cui alcuni molto interessanti come "CheckCrossSiteScriptingPostBody" e "CheckCrossSiteScriptingUrlParams", che prevengono attacchi di tipo Cross Site Scripting (XSS).

Selezionando la tab "API Monitor[2]", invece, è possibile definire una Whitelist di processi che non vengono sottoposti a controllo in ogni caso. Si consiglia di usare con cautela questa opzione perchè non si può mai essere completamente sicuri nel tempo che uno dei processi ritenuti "trusted" non possa costituire invece un candidato per attacchi di tipo "hooking" tipici, ad esempio, dei rootkits. Nella tab "COM/ActiveX Monitor" invece è possibile definire delle White o Blacklist basate sul meccanismo del CLSID.

Figura 4. COM/ActiveX Monitor
(clic per ingrandire)


COM/ActiveX Monitor

Il CLSID è un codice di 128 bit, non molto famoso tra gli utenti, che viene utilizzato da Windows per riconoscere come gestire un file, mascherandone l'estensione. Ciò può comportare un alto rischio per la sicurezza, poiché un file può essere mascherato ad esempio da file immagine, mentre invece è un file eseguibile contenente codice malevolo. Il problema che sta alla base dei rischi alla sicurezza derivati dall'utilizzo dei codici CLSID è che Windows non li visualizza di default.

Infine, sempre per quanto riguarda le azioni di monitoring, dalla schermata principale è possibile selezionare dal menu "Monitoring" la voce "Alerts Browser", che apre una finestra in cui sono visibili tutti gli alert rilevati da Crystal AEP, come mostrato in fig. 5.

Figura 5. COM/ActiveX Monitor
(clic per ingrandire)


Finestra Alerts Browser

Per ogni alert sono indicati tutti i parametri necessari all'individuazione della relativa minaccia, come il timing, il nome del processo coinvolto, il livello di rischio e una descrizione sintetica della minaccia rilevata. A seconda del livello di rischio stimato, inoltre, ogni alert viene segnalato con una colorazione diversa che mette in evidenza, come è logico aspettarsi, gli alert con rischio maggiore. I risultati sono inoltre esportabili anche in un web report tramite l'apposito pulsante.

Conclusioni

Crystal AEP rappresenta un utile strumento per la protezione del proprio desktop contro malware, spyware e codice malevolo in genere. Possiede, come abbiamo visto, ampie possibilità di personalizzazione, che vanno utilizzate però con estrema cautela e da utenti esperti. Nel caso si voglia scegliere questa strada, bisogna stare molto attenti a trovare il giusto equilibrio tra azioni di monitoring e funzionalità del sistema: esasperando i controlli, infatti, c'è il rischio che Crystal AEP blocchi continuamente l'esecuzione dei processi e riempia di alert la finestra di alert browsing. La modalità automatica, invece, consente di garantire un elevato livello di protezione ed è consigliata soprattutto per l'utente medio. In ogni caso, è sempre possibile intervenire sulla configurazione per aggiungere o rimuovere programmi e processi da monitorare.


Ti consigliamo anche