La sicurezza del proprio pc è attualmente una delle problematiche fondamentali per chiunque possieda o usi un computer, dal momento che le insidie e le minacce informatiche diventano di giorno in giorno sempre più sofisticate e diversificate. In pochissimi anni siamo passati per tutta una serie di fasi progressive: all'inizio era sufficiente dotarsi di un antivirus, magari senza curarne neanche troppo la frequenza dell'aggiornamento, poi abbiamo scoperto l'esistenza dei firewall, che da un sussidio protettivo in più sono rapidamente diventati un requisito di sicurezza assolutamente indispensabile.

In seguito sono arrivati gli spyware, che inizialmente si limitavano si fa per dire ! a rilevare e trasmettere le nostre preferenze nella navigazione in internet ma si sono anch'essi velocemente evoluti in strumenti che possono controllare il nostro pc in maniera molto più radicale e pericolosa. Ora, da meno di un anno per il pubblico meno attento - ma in realtà da un tempo maggiore - sono comparsi i rootkit, ancora non molto noti, ma che rappresentano l'insidia di gran lunga più pericolosa per i sistemi informatici.

Gli aggressori informatici inoltre tendono ormai a combinare fra loro più tattiche e tecnologie per raggiungere il loro obiettivo i.e. diffondere trojan o backdoor che veicolano rootkit o, viceversa, installare rootkit che contengono anche backdoor e quindi le nostre difese devono essere altrettanto complesse e moltiplicate.

Contemporaneamente, e in reazione allo sviluppo e alla diffusione esponenziale delle minacce informatiche e alla loro progressiva differenziazione, sono sorti strumenti e software di sicurezza altrettanto nuovi diversificati, fino ai più recenti come gli HIPS sistemi di prevenzione delle intrusioni. Uno dei migliori attualmente disponibili è certamente System Safety Monitor, che potete trovare nell'Area Download del Sito, ma che, come altri software della stessa specie, è ancora poco conosciuto e ancor meno utilizzato, perché il suo uso e la sua configurazione appaiono estremamente complicati e intimoriscono la maggior parte degli utenti.

Al contrario questo sistema di sicurezza pur essendo molto sofisticato e in corso di continuo sviluppo e arricchimento, può essere adoperato anche da utenti non particolarmente esperti o informati sulle problematiche della sicurezza, garantendo un ottimo livello di protezione del nostro sistema anche se non ne sfruttiamo tutte le sue molteplici caratteristiche e potenzialità. Questa guida si propone appunto di descrivere come System Safety Monitor possa essere configurato e utilizzato in maniera assolutamente semplice e in breve tempo, senza bisogno di particolari conoscenze informatiche, ma solo con un po' di attenzione e pratica. Il risultato sarà un notevole innalzamento del livello di sicurezza del vostro pc.

SYSTEM SAFETY MONITOR

Questo software è uno dei migliori HIPS attualmente disponibili. Un HIPS, come indica il nome, è un software di prevenzione delle intrusioni esterne nel proprio sistema, vale a dire un programma che rileva e controlla tutti i servizi, i processi e le applicazioni in attività nel nostro pc, consentendole, vietandole, o permettendole entro i limiti definiti da noi. Controllare infatti in un software come questo non implica solamente rilevare i processi e le applicazioni in uso, come fanno altri tipi di programmi con finalità esclusivamente informative, tipo Process Explorer o What's Running: controllare in questo caso significa letteralmente assumere 'se noi glielo consentiamo ovviamente' il controllo completo delle attività in funzione in ogni momento nel nostro sistema, mantenendo una supervisione e controllandone l'avvio e tutte le attività in corso in modo che non possano compiere niente che noi non intendiamo consentire e di cui non siamo preventivamente informati.

E' evidente che un sistema di protezione di questo tipo svolge una duplice ed essenziale funzione per la sicurezza del nostro pc. Da un lato infatti costituisce una seconda linea di difesa, dietro quelle primarie rappresentate, per i rispettivi ambiti, da antivirus, firewall e, se attivo in real time, antitrojan: un malware sfuggito ad una di queste difese nel momento in cui penetra nel nostro pc verrebbe comunque rilevato come una nuova attività e, come abbiamo detto, bloccato completamente finché noi non diamo una disposizione di autorizzazione o divieto a System Safety.

D'altro lato per sua natura questo tipo di programmi è dedicato a rilevare nuove specie di minacce e codici maligni non tradizionali, di natura diversa di tipi di malware comunemente conosciuti e affrontati dai normali software di protezione, proprio perché un HIPS non funziona sul fondamenti di un database di malware noti, o sullo studio del comportamento simile a quello di codici già conosciuti (scansione euristica ) o di codici apparentemente pericolosi ( difesa proattiva ): System Safety semplicemente mantiene il controllo su tutte le attività e su tutti i cambiamenti in azione nel nostro sistema, e, se non hanno già una regola che li autorizzi, impedisce loro di attivarsi e lavorare in maniera autonoma e indipendente dalla nostra volontà e dal nostro controllo.

Da questo punto di vista un HIPS si comporta in maniera in qualche modo analoga a quella di un firewall, anche se ad un livello e con funzioni molto diverse. E l'analogia è rafforzata dal fatto che con System Safety, ad esempio, è possibile configurare regole estremamente ristrette, e quindi molto sicure per il nostro sistema, anche su processi e servizi noti e teoricamente già sicuri, perfino sui servizi delle stesso Windows, autorizzandoli solo per determinate operazioni e entro determinati limiti.

Naturalmente giungere a questo livello di configurazione presuppone una conoscenza, in parte teorica e in parte ottenuta con la pratica, molto approfondita del sistema operativo e delle sue interazioni con le varie applicazioni e programmi, e non è nelle finalità di questa guida, ma è comunque importante conoscere questa possibilità, che aumenta ulteriormente il grado di protezione di un pc.

System Safety Monitor semplificando svolge il suo compito sostanzialmente in due maniere: jn primo luogo analizza i servizi e le applicazioni presenti inizialmente nel nostro pc e le autorizza ( a meno che noi, in qualunque momento desideriamo farlo, non le vietiamo o non introduciamo delle regole più ristrette ), in secondo luogo monitora ogni nuova attività si avvii nel nostro sistema, che si tratti di un processo o un'applicazione completamente nuovo o esterno, oppure di una nuova azione o funzione di un processo precedentemente autorizzato. In questa seconda funzione System Safety ci avvisa specificando quali azioni intende svolgere l'applicazione, su quali altri processi e in quale maniera e lo blocca fin quando noi non impartiamo disposizioni.

In questa guida, dopo aver spiegato cos'è System Safety Monitor, e perché utilizzare un software di questo tipo rafforza notevolmente la sicurezza del nostro pc, intendiamo solo descriverne la struttura e il funzionamento generali, in modo da eliminare la naturale diffidenza che può nascere dall'incontro con un programma con aspetti e potenzialità così sofisticate, e invogliare a provarlo e adottarlo. System Safety infatti pur disponendo di funzioni molto specializzate che con un'apposita configurazione possono realizzare un livello di protezione anche molto più rigoroso, con un controllo completo del sistema - può essere adoperato anche in una maniera non così completa, ma che conserva comunque le sue caratteristiche di controllo e protezione assoluta del nostro sistema

Prima di tutto però un consiglio per l'installazione: si tratta di una regola che non riguarda SSM in particolare, ma che sarebbe indicato applicare sempre quando si installa un nuovo software di sicurezza: una volta scaricato il file di installazione del programma e disconnessi da internet, prima di lanciarlo disattivate antivirus e firewall fino a installazione completata. Oggi che i programmi di protezione diventano sempre più sofisticati e multifunzione tendono a controllare parti sempre più profonde del sistema operativo e del pc nel suo complesso, per cui quando si installa un nuovo software di questo tipo è meglio disabilitare gli altri già presenti, per evitare interferenze nel processo di disinstallazione. Dopo ovviamente ricordatevi di riattivarli !

L'ideale sarebbe installare SSM fra i primissimi programmi dopo l'installazione ex-novo del sistema operativo, in modo da creare eventualmente le regole relative ad ogni applicazione man mano che l'installate nel vostro pc, ma supponiamo che installiate SSM a computer già attivo, ma fornito di programmi che conoscete perfettamente e di cui siete assolutamente sicuri tanto da non sentire, almeno in un primo momento, l'esigenza di creare per loro delle apposite regole di SSM.

In ogni caso - a costo di sembrare un po' ossessivi - ma stiamo parlando di come ottenere un grado di protezione quanto più elevato e fidato possibile prima dell'installazione io farei una scansione approfondita con antivirus e un buon antitrojan, tanto per verificare che le nostre applicazioni siano pulite, e magari anche con un programma antirootkit ( vedi la nostra Sezione Sicurezza nel Forum ), anche se al momento attuale questi sistemi si trovano ancora in una fase iniziale di sviluppo.

Cominciamo dunque l'installazione di SSM: appena terminato il necessario reboot del sistema , vi compariranno in rapida successione una serie di finestre di avviso come questa:



non preoccupatevi: riguardano i servizi essenziali di Windows e gli eventuali programmi ( di solito l'antivirus e il firewall quantomeno ) che vengono caricati allo startup del vostro pc.
System Safety Monitor li rileva mano mano che si caricano e, proprio per la sua funzione essenziale di controllo completo del sistema, vi chiede come comportarsi nei loro confronti. SSM avverte che un determinato servizio o applicazione, definito processo 'genitore', vuole lanciarne un altro, definito processo 'figlio', e ci presenta quattro possibilità di risposta, simili a quelle proposte dai firewall: permetterlo per questa volta, bloccarlo per questa volta, permetterlo o bloccarlo creare una regola permanente che rimarrà anche per il futuro ( finchè non decideremo di modificarla ). In più c'è anche l'opzione di consentire ad ogni possibile processo genitore futuro di lanciare il processo figlio in questione.

Certe applicazioni però possono interessare regioni critiche del nostro sistema, operando ad un livello basso e quindi molto più delicato: si può trattare di processi assolutamente legittimi, oppure di processi altamente maligni, che proprio perché agirebbero ad un livello basso del sistema possono consentire intrusioni o operazioni particolarmente maligne ( è il caso di certi trojan, o di rootkit ): in questi casi SSM apre una seconda finestra di avviso, come questa:



Presentandoci le relative opzioni di azione. Nella nostra ipotesi di installazione comunque il sistema è completamente pulito, e contiene solo servizi e processi di Windows ed eventuali applicazioni fidate ( l'antivirus ). Quindi come criterio generale in attesa di ulteriori approfondimenti delle regole che verranno eventualmente con la pratica e lo studio possiamo concedere l'autorizzazione a tutti quei 'pochi' processi iniziali che si avviano e vengono rilevati da SSM. Se nel nostro sistema sono già installati programmi e applicazioni della cui sicurezza siamo assolutamente certi seguiremo lo stesso metodo lanciandoli successivamente. Per questa seconda operazione però possiamo anche utilizzare la comoda opzione Learning Mode che compare nella Finestra di Dialogo CONTROLLO DEL PROCESSO che descriviamo nel prossimo capoverso. In quella finestra in basso a sx compare appunto la casellina con la scritta'Modo di Autoapprendimento': mettendo il segno di spunto lo abilitiamo, e sarà sufficiente lanciare progressivamente i programmi sicuri di cui sopra perché la funzione crei automaticamente per ognuna di esse regole permanenti di autorizzazioni che riguardano anche i processi genitore , figlio e i servizi connessi.

Nota Bene: è essenziale, finita questa fase iniziale della configurazione di SSM, che disabilitiamo la funzione Learning Mode di autoapprendimento: lasciarla abilitata significa autorizzare automaticamente anche futuri programmi e applicazioni non così ben conosciuti o magari anche programmi che si stanno autoeseguendo, e quindi annullare di fatto gran parte dell'efficacia protettiva di System Safety.

A questo punto possiamo lanciare il programma, e comparirà la schermata con la prima Finestra di Dialogo PROCESS MONITOR



PROCESS MONITOR o CONTROLLO DEL PROCESSO mostra appunto tutti i processi attualmente in attività nel nostro sistema, ma noi la tralasciamo un momento e ci spostiamo sull'ultima Finestra di Dialogo:

OPZIONI



In cui troviamo appunto diverse opzioni, alcune delle quali fondamentali. In primo luogo se lo desideriamo possiamo cambiare la lingua dalla sottosezione 'Generale ', dove troviamo fra le altre un'opzione molto importante: quella che consente di caricare e iniziare automaticamente System Safety all'avvio del sistema, e che naturalmente raccomandiamo di selezionare.

Le varie sottosezioni riguardano parecchie funzioni per regolare i rapporti di log, l'aggiornamento, l'interfaccia ne ricordiamo tre più significative: nella sottosezione 'Sicurezza' la possibilità di proteggere l'interfaccia 'e quindi il controllo' di SSM con una password; nella sezione 'Applicazioni' i comandi per alcune funzioni fondamentali dell'interfaccia e per il comportamento di SSM se l'interfaccia è disconnessa e il programma lavora in background; nella sezione 'Antivirus' la possibilità di integrare SSM con il proprio antivirus, in modo da poterlo usare per controllare un'applicazione avviata o che sta per avviarsi direttamente dalla finestra di dialogo 'Attività delle Applicazioni' di System Safety Monitor.

Ora possiamo tornare alla finestra precedente - ormai abbiamo selezionato la lingua italiana -, la prima del programma:

CONTROLLO DEL PROCESSO: qui compaiono le applicazioni attive, per le quali quindi SSM ha già in qualche maniera ricevuto da noi un'autorizzazione. Ma noi da questa finestra abbiamo molte ulteriori opzioni di controllo, tutte lanciabili selezionando un'applicazione e utilizzando il tasto dx del mouse. Vediamo le possibilità principali:

- Abilitare tutte le applicazioni in una sola volta in maniera permanente con l'opzione 'Autorizza tutte'
- Avviare o terminare un processo con le opzioni 'Avvia nuova' e 'Termina'
- Creare o modificare una regola per un'applicazione con l'opzione 'Modifica la regola', che consente anche di bloccare l'applicazione. Se decidiamo di creare o modificare una regola, si aprirà la seconda Finestra di Dialogo : REGOLE, e la sotto finestra Applicazioni:



REGOLE consente di creare o modificare le regole di tutti i nostri processi, che sono suddivisi in quattro categorie: Applicazioni, Librerie, Driver e Registro. Per prima cosa dobbiamo attivare le regole già esistenti, lo facciamo cliccando sulla scritta in alto a dx 'Abilita/Disabilita tutte le regole', che con il sottomenù a tendina permette di selezionare l'abilitazione anche per le singole categorie.

La prima categoria, Applicazioni, quella in cui siamo giunto da PROCESS MONITOR, è quella che presenta le regole più complesse, logicamente, visto che driver, librerie e registri sono componenti interni di Windows, che vanno protetti, ma che hanno comunque delle regole proprie di funzionamento che non possono essere modificate, mentre le applicazioni o sono di origine esterna al sistema ( software installati, spesso di terze parti ) o comunque comunicano e interagiscono all'esterno, e oltre a presentare una molteplicità di funzioni e situazioni sono anche direttamente a rischio di sicurezza.
Anche in questo caso in questa sede daremo solo una spiegazione essenziale delle diverse opzioni. Ogni applicazione è soggetta quattro specie fondamentali di regole:

- Autorizzazione generale ad eseguirsi
- Divieto generale di eseguirsi
- Autorizzazione avanzata che regola il rapporto di genitore o figlio di quell'applicazione, cioè rispetto a quali altri processi essa può essere genitore o figlio Per ogni applicazione e per entrambe le opzioni ( essere processo genitore di o figlio di ) è possibile scegliere fra le possibilità : permetti - nega - chiedi all'utente, vedi figura:



- Autorizzazioni Speciali, la parte più delicata e sofisticata del programma, che compaiono nella parte inferiore della finestra:



e che si suddividono a loro volta in quattro categorie: Logging, Controllo del Sistema, Codice/DLL Iniection e Controllo della Creazione del Processo.

Logging è in realtà molto semplice: predispone l'eventuale comparsa dell'avviso dell'inizio, della chiusura, del blocco o dell'attività interprocesso di ogni applicazione, ma il tutto può comunque essere configurato anche dalla Finestra di Dialogo OPZIONI, sezione Logging.

Controllo del Sistema, come potete vedere selezionando l'opzione, controlla alcune aree del sistema fondamentali anche sotto l'aspetto della sicurezza: in particolar modo controlla tre funzioni essenziali come l'accesso a basso livello al disco, l'accesso alla memoria fisica e l'accesso a basso livello alla tastiera. Se è facile intuire i danni che processi maligni potrebbero apportare a queste funzioni e alle altre tre controllate da questa sezione, lo è molto meno conoscere a priori quali servizi e processi di Windows e quali applicazioni installate da noi necessitano di averne l'accesso.

Nel dubbio o nella mancanza di informazioni sicure, meglio lasciare inizialmente nelle caselle il punto interrogativo, decidendo poi caso per caso se SSM ci darà degli avvisi. La maggior parte dei servizi sono comunque già regolati dalla lettura iniziale dopo l'installazione del programma, e nel caso di richieste di accesso da parte di qualche applicazione sarà bene controllare attentamente, magari anche con una ricerca online, se la richiesta da parte di quell'applicazione o processo è motivata o no.

Codice/DLL Iniection : controlla tre aree importantissime sia per il funzionamento che per la sicurezza del sistema: le global hooks, il controllo remoto del codice e la modifica remota dei dati. Si tratta di tre funzioni API - le API, Application Programming Interface, sono le funzioni essenziali del sistema che permettono il dialogo fra il sistema operativo ed i programmi in esso installati fondamentali per molti normali e legittimi processi di Windows, ma che nella loro attività possono dialogare con l'esterno o interfacciarsi a programmi esterni: per questa ragione si tratta di funzioni molto delicate ed esposte a rischio di sicurezza, non per niente infatti i rootkit agiscono molto spesso sfruttando e/o falsificando le API di un sistema. Anche in questo caso vale quello che abbiamo detto a proposito della funzione di SSM Controllo di Sistema: non possiamo bloccarle a priori, ma nemmeno autorizzarle tranquillamente, quindi in mancanza di informazioni specifiche su quali applicazioni le usino e in rapporto a quali altre, occorrerà lasciare il punto interrogativo che consentirà a SSM di mantenerne il controllo e interrogarci in caso di attivazione improvvisa di una di esse; tanto anche loro per la maggior parte sono comunque già state preconfigurate per la normale attività del sistema da SSM nella lettura iniziale dopo l'installazione del programma.

Controllo della Creazione del Processo: questa funzione consente invece di controllare in maniera più specifica i singoli processi, e presenta cinque opzioni:

Conserva questo processo in memoria: selezionandola per un determinato processo, SSM provvederà a riavviarla se è stata terminata oppure se non è iniziata. Una funzione del genere può essere utile per avere una garanzia di controllo sull'avvio e sulla regolarità dell'attività di quelle applicazioni essenziali che desideriamo siano sempre in funzione, e che per svariati motivi potrebbero occasionalmente interrompersi o non avviarsi allo start up, come l'antivirus o il firewall.

Consenti a questo processo di eseguire un programma non classificato: questa funzione permette ad un'applicazione ( ricordiamoci che tutte le funzioni e le opzioni possono essere selezionate e attivate solo singolarmente, una per una ) di avviare un programma noto direttamente, senza bloccarlo per domandarci la creazione di una regola, mentre dopo il suo avvio ogni successiva modificazione nell'attività del programma verrà invece normalmente monitorata da SSM. La funzione può avere una sua utilità nel caso di programmi che abbiano continuamente bisogno di essere lanciati da una certa applicazione, ma nel suo complesso l'uso è un po' rischioso se non si è proceduto a regolare in maniera completa i rapporti di genitore figlio dell'applicazione interessata, quindi è più opportuno non avvalersene.

Blocca per disconnessione dell'interfaccia utente: come accennavamo all'inizio, è possibile disconnette l'interfaccia utente ( GUI ) di SSM, con un comando eseguibile dall'icona del programma presente nella barra delle applicazioni ( si tratta del comando da dx del mouse: 'Disconnetti interfaccia utente', non confondetelo con 'Esci' che chiude completamente il programma ! ). La possibilità è utile quando il pc è utilizzato da più utenti e, per diverse ragioni non si desidera che essi possano visionare o modificare le regole già configurate. Nel caso la si volesse usare, occorre però aprire prima la Finestra di Dialogo OPZIONI e selezionare la sezione Applicazioni, dove troviamo le opzioni che regolano appunto la GUI:



Come vedete nella figura, ci sono varie possibilità, compresa una che i creatori del software definiscono ironicamente 'paranoica': sta a voi scegliere, comunque selezionare le due opzioni 'Blocca la creazione del processo e 'Applica la regola di blocco per le applicazioni già avviate' appare la più adeguata se non abbiamo particolari preoccupazioni di sicurezza e protezione di System Safety nei confronti di altri utilizzatori del nostro pc.

Non verificare il checksum: il checksum è un codice di controllo che memorizza il codice di ogni file secondo uno di questi due algoritmi, MD5 o SHA526: verificarlo consente a SSM di monitorare eventuali cambiamenti del codice del file e di avvisarci. Opportuno lasciarlo lavorare !

Controlla i parametri dei comandi di linea: la funzione consente di creare o modificare i parametri dei comandi di linea: un'opzione specialistica che offre ulteriori possibilità di controllo appunto dei comandi, e che necessiterebbe di un approfondimento a parte.

La terza Finestra di Dialogo è:

MODULI



Questa sezione di SSM si suddivide appunto in cinque Moduli che riguardano il File INI, il Menù di Avvio, i Servizi, la Finestra dei Filtri e il Layered Service Provider. Tutti i moduli vanno abilitati al controllo singolarmente, mettendo il segno di spunto nella relativa casellina in alto a destra della finestra, e svolgono le due operazioni fondamentali del controllo del funzionamento dei processi indicati e della segnalazione se si verificano tentativi 'legittimi o meno' di cambiamento nella configurazione originaria autorizzata di default. Il File INI e il Menù di Avvio rappresentano ovviamente funzioni fondamentali del sistema, ma sono anche un importante bersaglio potenziale da parte di aggressori e di codici maligni, lo stesso vale naturalmente per i Servizi monitorati in questa sezione e per il Layered Service Provider, il Servizio Provider di Livello: si tratta di un driver di sistema connesso ai servizi di rete di Windows, e quindi accede ai dati in entrata o in uscita dal computer durante le connessioni ad internet o ad altri pc in rete locale, e può anche, nel suo uso normale, modificare questi dati.

Esistono però LSP che non sono servizi di Windows, ma programmi maligni che tentano di penetrare nel sistema o controllarlo sfruttando proprio l'analogia di funzionamento con i Servizi Provider di Livello legittimi, e con questa funzione SSM svolge appunto il compito fondamentale di monitorare gli LSP legittimi, controllare che non siano arbitrariamente modificati e che altri non autorizzati tentino di accedere al sistema.

La Finestra dei Filtri infine mostra le finestre aperte in ogni momento nel sistema e consente di nasconderle, farle riapparire, disattivarle o addirittura terminare il processo corrispondente. E' inoltre possibile crearsi una black list di finestre relative a processi di cui non si desidera l'attivazione, digitando con estrema attenzione perché è case sensitive il loro nome nella colonna Filtri di questa sezione: questa funzione non è una funzione di blocking preventiva del processo e della finestra, ma si limita a terminare automaticamente entrambi qualora si attivino.

Nella prima colonna a sx della sezione c'è anche l'opzione 'Mostra avvisi moduli', che consente di decidere quali avvisi riguardanti modificazioni dei Moduli che abbiamo decritto desideriamo ci vengano comunicati da SSM. Se non desideriamo vedere nessun avviso inerente questa Sezione è sufficiente aprire la Finestra di Dialogo OPZIONI e la sezione da cui possiamo scegliere, e attivare o disattivare, tutti i tipi di eventi che desideriamo vedere riportati negli avvisi di SSM.

OPZIONI



Abbiamo già parlato in parte di questa Finestra di Dialogo che consente di configurare diverse funzioni che riguardano il funzionamento generale di SSM ( avvio automatico allo start up, connessione dell'interfaccia .. ), della sicurezza ( protezione del programma con password ), la configurazione dell'interfaccia, la selezione dei rapporti sugli eventi, l'update. Questa sezione è assolutamente semplice e immediata nell'uso, ma vi raccomandiamo di esplorarla completamente per scoprire tutte le ulteriori opzioni e selezionare quelle che vi interessano.

L'ultima Finestra di Dialogo, INFORMAZIONI, contiene come in tutti i software le informazioni fondamentali sul programma: produttore, versione del prodotto e novità rispetto le precedenti, link al supporto tecnico, licenza.. ..

Una cosa importante sul funzionamento di SSM: non spaventatevi per l'eventuale moltitudine di avvisi/allarmi che potreste ricevere inizialmente; si tratta, come abbiamo ripetuto più volte, di un software che consente di controllare tutto il sistema, e per questo motivo ha la possibilità di avvisarvi di qualunque modifica di un processo e di tutti i fatti nuovi che si attivano nel vostro pc.
Ma questo non significa che voi dobbiate ricevere e controllare tutti gli avvisi, e soprattutto non significa che tutti gli avvisi vi presentino situazioni di rischio gravissimo per il vostro sistema, davanti alle quali dovete per forza essere tecnicamente preparati e prendere decisioni immediate: se fosse così, SSM sarebbe un programma che anziché creare sicurezza e tranquillità produrrebbe un panico continuo !

La maggior parte degli avvisi, se non avete il desiderio del controllo assoluto in tempo reale di tutte le attività del vostro sistema, possono essere disabilitati, anche perché alcune categorie di avvisi vi segnalano semplicemente che le cose  un servizio, un'applicazione stanno andando come devono andare. E' sufficiente settare la funzione di Logging di cui abbiamo parlato prima secondo le vostre esigenze e la vostra volontà, e se avete configurato SSM anche solo in maniera generale, come abbiamo cercato di spiegarvi in questa guida, godrete già di un ottimo livello di sicurezza. A patto, naturalmente, di controllare gli avvisi sugli eventi fondamentali.

Rootkit: Terminiamo la descrizione essenziale di System Safety con un tema fra i più importanti e discussi nel campo della sicurezza informatica, i rootkit. Sappiamo che si tratta della minaccia informatica più temibile e insidiosa, anche perché rappresenta un campo di malware innovativo e con uno sviluppo vertiginoso, soprattutto dal punto di vista della creazione di nuove forme, un campo in cui gli aggressori e i loro strumenti sembrano attualmente sempre un passo avanti rispetto agli esperti di sicurezza che ricercano nuove difese: da questa punto di vista effettivamente non esistono ancora una soluzione o un software che assicurino la protezione assoluta contro i rootkit.

SSM rappresenta però già un primo sistema di difesa nei loro confronti, soprattutto, contro gli user rootkit. Questi lavorano soprattutto intercettando e falsificando e modificando le API, le interfacce di programmazione e utilizzo delle applicazioni di cui abbiamo parlato prima: SSM monitora e analizza le API di sistema ad un livello molto basso del kernel, e quindi può intercettare e bloccare gli user rootkit e anche parte dei kernel rootkit che cercassero di intercettarle, difendendo i questo modo sia se stesso che l'intero sistema.

Infatti abbiamo visto che l'opzione Autorizzazioni speciali controlla molte aree e attività critiche del sistema, come le regole di global hooks, l'accesso alla memoria fisica, l'accesso a basso livello al disco, il controllo e la modifica dei dati questo rende difficile la penetrazione e l'installazione di un rootkit, e comunque anche se ciò avvenisse, System Safety lo rileverebbe attraverso il suo costante controllo delle API. Gli sviluppatori del programma inoltre contano nel prossimo futuro di perfezionare la protezione antirootkit di SSM in modo che possa proteggere completamente anche il File System e il Registro.


Fonte : Pianeta Pc