L’utility gratuita TCPView fornisce un elenco di porte e connessioni in uso in un dato istante e indica il processo responsabile dell’attività.
Monitorare le connessioni di rete del PC e le applicazioni che le eseguono può sembrare un tecnicismo per appassionati o hacker, ma in realtà rappresenta una operazione utile per consentire al legittimo utente di proteggersi da rischi di infezione del proprio sistema rilevando comportamenti sospetti.
Per esempio, quando il funzionamento del PC si fa stranamente lento oppure le prestazioni della rete decadono in modo insolito, è opportuno chiedersi quale sia la ragione e investigare sull’eventuale presenza di programmi con connessioni attive.
La questione della sicurezza del PC, infatti, non si risolve solamente attraverso l’uso dei classici antivirus e antispyware/antimalware, che agiscono per lo più dopo che la minaccia si è introdotta nel sistema.
E’ ovviamente preferibile prevenire l’infiltrazione, e a questo riguardo i firewall possono dare un importante aiuto. Tuttavia, non è pensabile lavorare con un accesso alla rete totalmente bloccato.
Il traffico web, l’accesso al server di posta elettronica, client di Instant Messaging, applicazioni VOIP e programmi di file sharing sono tutte applicazioni di uso comune che richiedono di poter accedere alla rete.
Di conseguenza, in tutti i casi reali, il firewall non può mai essere totalmente “chiuso”. E questo significa che esistono sempre delle porte attraverso le quali può avvenire l’infezione.
Inoltre, a infezione avvenuta (per esempio installando inavvertitamente uno spyware o adware nel corso dell’installazione di un altro programma che lo propone tra le righe), è altamente probabile che l’ospite indesiderato, per conseguire i suoi scopi (furto di dati personali, aggancio del PC a una bot-net, etc) cerchi a sua volta di instaurare una connessione uscente. Monitorare con precisione che cosa avviene alle porte di rete e quali applicazioni ne stanno facendo uso è quindi un ottimo modo per rendersi conto della situazione.
La utility gratuita TCPView, è uno strumento che fornisce un elenco di porte e connessioni in uso in un dato istante.
TCPView fornisce un aggiornamento continuo della situazione, con evidenziatura di quelle appena aperte o appena chiuse e l’indicazione del processo titolare e dell’indirizzo e porta della controparte esterna.
Molte connessioni sono dei “loopback”, ossia sono connessioni che si richiudono sullo stesso PC da cui originano, e sono innocue, ma quelle rivolte verso indirizzi esterni, se effettuate da processi sconosciuti, sono sospette.
TCPView consente allora di forzare facilmente la chiusura della connessione sospetta e del processo titolare, di cui è inoltre possibile conoscere il percorso esatto dell’eseguibile (utile quando il nome del processo non è autoesplicativo).
Una volta identificata una connessione sospetta, prima di chiuderla si potrebbe voler esaminare il tipo di dati che su essa transitano.
Questo è possibile con applicazioni dette “sniffer”, come l’ottimo freeware Wireshark che consentono appunto di catturare il traffico di rete che avviene fra due indirizzi e porte e di visualizzare i dati scambiati per verificare se dati sensibili stiano viaggiando verso siti pirata.
