Prevenire è meglio che curare :) Software HIPS

[cloutz]

Quote:

Originariamente inviato da nV 25

spiega l'ilarità, demonio che non sei altro...

nulla di che, hai confuso DW con Sandboxie

Quote:

Con DefenseWall, semplicemente un software spettacolare! che, [..](contrariamente invece a ciò che avviene ad es con Sandboxie)...

l'ho notato solo perchè l'hai proprio sottolineato in rosso!

[nV 25]

mi ero espresso in modo articolato invece che come mangio?
Non sarebbe la 1° volta...

[crips]

Quote:

Originariamente inviato da nV 25

ciao, crips.

DW dovrebbe convivere tranquillamente con Prevx e KAV2011:
la sicurezza matematica, cmq, l'avresti solamente contattando il supporto all'indirizzo support@softsphere.com o verificando di persona (i 30gg di prova servono anche a quello)...

Personalmente, cmq, seguirei un approccio minimalista affiancando a DW il solo Prevx o uno scanner on demand...
Se hai infatti dato un'occhiata veloce al post n°1, avrai sicuramente osservato che gli scanner, quando affiancati ad una soluzione come questa, servono solo a rimuovere i residui (come chiavi di registro/file/cartelle) creati da processi untrusted (= il potenziale virus..).
La particolarità, dunque, è che questi residui sono presenti effettivamente sul sistema ma in stato *DISARMATO*:
in sostanza, non costituiscono pericolo per la macchina anche se materialmente presenti.


Allo scanner in real time, dunque, può essere rimesso semplicemente il compito di avvertire in tempo reale se ci si trova di fronte ad un oggetto già identificato come infetto (che senso ha eseguirlo se già in partenza sappiamo che è nocivo?)...

Nell'ipotesi invece non infrequente in cui lo scanner rilevi la pericolosità di certi oggetti solo in un 2° momento, nessun problema visto che cmq sono già stati "contenuti di default" dal Sandbox...
Ecco allora che lo scanner fa semplicemente in automatico quello che un utente esperto potrebbe fare manualmente e da solo semplicemente agendo sulla scheda di RollBack...


Sulle reti interne?
al 99% difficoltà di configurazione pari a 0 se non già automatizzato tutto il meccanismo...
Anche qui, Ilya sarà ben lieto di risponderti & AIUTARTI PERSONALMENTE, fidati...

Ciao, allora posso fare del "pesante" KAV??? (la licenza mi scade tra 250 gg. ma davvero mi delude in termini di pesantezza, era meglio addirittura Il NAV 2011 che ho provato per 3 mesi)
Togliere l'antivirus lo farei di botto non fosse altro che il pc in questione lo utilizza anche mio figlio che non è molto esperto in sicurezza (credo più che altro sia disinteressato all'argomento) e per questo mi piace molto Prevx.

Dimenticavo.... tolgo pure Zemana Antilogger?

PS come sempre nV sei molto preciso ed esaudiente. Credo che farò un tentativo con DW e se riscontro problemi o dubbi contatterò te o il supporto, grazie.

[nV 25]

Se su un sistema è installato DefenseWall (e Sandboxie, anche se quest'ultimo richiede più cautela nel momento in cui si deve decidere "cosa salvare" sul sistema reale...), NON E' NECESSARIO NIENTE se non uno scanner in real time (per evitare di eseguire file che già in partenza sappiamo essere nocivi...) o uno scanner on demand/tradizionale che rimuova eventuali residui lasciati dietro di se da un'installazione (o processo) untrusted a patto che non si sia sufficientemente esperti da utilizzare da soli la RollBack list.



Ancora una volta, dunque:
utilizzo DW/Sbxie?

SI--> (fondamentalmente) non è necessario nient'altro

NO--> è tutto un altro paio di maniche anche se NON metterei MAI troppe soluzioni di difesa contemporaneamente..


Nel tuo caso, dunque, Prevx, Hitman Pro (on demand) e DefenseWall...e hai uno strato di difesa realmente difficile da aggirare...

[nV 25]

DefenseWall ha fallito?

"Nel mio test (eseguito oggi) DefenseWall ha fallito totalmente, se qualcuno vuole effettuare il test vi lascio i campioni, peraltro non recenti."

http://www.megalab.it/forum/topic71269.html

[nV 25]

Se qualcuno di Megalab vede questa discussione, mi scuso per scrivere qui ma ho smarrito user/password da quando ho cambiato Pc e non riesco più a riloggarmi per poter rispondere o altro...

Da quello che vedo cmq sul report di threatexpert, il malware in questione fondamentalmente non fa nulla di eclatante:
crea delle chiavi nel registro per potersi avviare al reboot successivo (in particolare,
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Security.exe = "%CommonAppData%\maldonado\Security.exe" ) e apre delle connessioni verso l'esterno sulla porta 80:
in sostanza, è impossibile che DW fallisca un test cosi' banale quando ha resistito ad urti decisamente più "importanti"...


La 1° cosa che mi chiedo, dunque, è:
quali sarebbero i sintomi che farebbero pensare di essere stati bypassati? (il malware si riavvia, ad es., al reboot successivo?)


Leggerò gli sviluppi domani,
notte!

[nV 25]

A meno che non sia stata abilitata la modalità "EXPERT MODE" (che, infatti, è riservata esclusivamente ad un'utenza super avanzata con tutti i rischi del caso ben evidenziati peraltro anche sulla guida in linea...), al 99% so già come va a finire..

Scommettiamo che chi ha fatto la prova in oggetto dirà che "Malwarebyte" (o chi per lui..) ha rilevato la chiave HKEY_CURRENT_USER\Software\maldonado & il file 950253.exe nel percorso %CommonAppData%\[ecc]?



Domani mi leverò lo sfizio di leggere il proseguo della storia...

[cloutz]

ho testato quel malware, pienamente contenuto (alla fine, come detto da te, non fa niente di che)

Impostazioni di default, tutti gli avvisi disabilitati:

Codice:

DefenseWall log file

04.15.2011  00:08:57, module System, Attempt of connect to the UDP port 138 (Network)

04.15.2011  00:08:07, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, Attempt to set value Common AppData within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (Registry)

04.15.2011  00:08:07, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, Internet connections are blocked (Network)

04.15.2011  00:08:07, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, Attempt to set value Security.exe within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ (Registry)

04.15.2011  00:08:06, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, 1:Process is running untrusted now (Process)

proprio per evitare ovvietà ho chiesto, su megalab, la metodologia di test

Saluti

[nV 25]

Sinceramente, non avevo dubbi...



Guardando la metodologia di test postata su Megalab, il nocciolo è sicuramente nel punto 5,
"Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce"


Ora, col discorso che ho effettuato il passaggio ai 64bit, è da 5 mesi che non ho + sotto mano DW per potermi ricordare a memoria le impostazioni...

Dò un'occhiata quindi alla guida in linea e vi farò risapere...

[nV 25]

osservazioni al volo:

"Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce"

- La cartella è "prelevata" da un'unità USB?
Se si, è attiva la voce "lancia automaticamente come untrusted le applicazioni che si trovano su supporto removibile"?

- La cartella è "prelevata" da un CD/DVD?
Se si, è attiva la voce "considera Untrusted i CD/DVD"??

- La cartella è "prelevata" da una cartella condivisa?
Se si, è attiva la voce "considera le cartelle condivise come Untrused"?


In sostanza, sono attive la 2°, 3° e ultima voce di questo "specchietto"?





Il semplice "drag and drop" (copia/incolla) di una cartella infetta da una locazione ad un altra, come mi sembra di capire che sia stato fatto in questo caso prelevandola al 99% da una partizione diversa da quella di sistema, *NON* dice al motore di DefenseWall che ALLORA quella cartella deve essere trattata come Untrusted...a meno che non la si "bolli" espressamente come tale...

Io ci gioco i miei 2 °° che è andata cosi', e questo perchè non si conosce il programma e si pretende di saperlo testare alla cieca...

[cloutz]

aspetto che mi giri i sample..
intanto, ottime le modifiche alle icone per file/cartelle untrusted



Uploaded with ImageShack.us

[nV 25]

io, o rimonto XP su VM (e sempre che non lo abbia cestinato...), o non ho più un OS @ 32bit con cui poter "giocare"....


PS: mi fai vedere altri screen delle "novità"?

[nV 25]

Quote:

Originariamente inviato da cloutz

aspetto che mi giri i sample...[/url]

c'è poco da aspettare...

Anche senza avere DW (e il sample) sotto mano, è come dico io

E' sufficiente perlatro controllare manualmente le "proprietà" della cartella tramite context menù per vedere che la cartella è TRUSTED!, o guardare nella scheda di RollBack dove NON FIGURERA' (+ nelle untrusted list, dove mancherà anche li')...



CASO CHIUSO.




DW è moooooooooooolto migliore di come lo si vuole spacciare per ignoranza

[nV 25]

Signori, diano retta a me:


CHI VUOLE UN SISTEMA @ 32 BIT REALMENTE PROTETTO, USI DefenseWall o Sandboxie*...

[Giusto per scrupolo, con UAC attivo e al massimo se si è sotto Vista/7...]



*che, al contrario di DefenseWall, richiede xò più accortezza nel momento in cui si deve decidere cosa togliere dal sandbox

[cloutz]

non so quale sono le ultime aggiunte a DW, comunque a occhio le cose principali che ho notato sono:

qualche voce nuova nelle popup notification


icone modificate per Untrusted Files/Folders


poi, onestamente, è da qualche mese che non usando tutti i giorni OS a 32bit l'ho accantonato, quindi di sicuro ci sarà qualcos'altro che non ho notato

per il resto.. ho chiesto apposta le metodologie di test: per attribuire significatività al test, la metodologia è fondamentale (premesse sbagliate portano a formulare ipotesi errate, con risultati fallati, soprattutto se si vuole testare qualcosa senza conoscerne il meccanismo).
comunque, un giretto al sample -giusto per dimostrare l'errore-, ormai non glielo toglie nessuno..

[nV 25]

Senza offesa, ma non ho tempo da perdere con chi pensa di fare da tester credibile senza essersi preso neppure la briga di leggere 2 secondi il manuale...


O, quantomeno, di "simulare" un uso normale del PC (es., utilizzando un browser per scaricare un malware cosi' da simulare uno scenario di drive by download, o utilizzando una penna USB "casualmente" infetta...):
nel caso in esame, al 99% si prende una cartella che non è su CD/USB nè su una locazione condivisa, si copia il contenuto (sicuramente) sul Desktop...e mi dovrebbero spiegare per quale magica alchimia il motore di DefenseWall dovrebbe arrivare da solo a capire che la nuova cartella creata deve essere trattata come Untrusted...


Non ci siamo...


E poi, con Sandboxie sarebbe diverso?? (a meno di non forzare ovviamente l'esecuzione del contenuto a partire sandboxato, cosa peraltro che è possibile fare anche con DefenseWall)...


Semplicemente, ci vorrebbe un pò più di umiltà lasciando fare da tester a chi ha qualche capacità in più...


Fine

[nV 25]

Quote:

Originariamente inviato da cloutz

non so quale sono le ultime aggiunte a DW, comunque a occhio le cose principali che ho notato sono:

qualche voce nuova nelle popup notification


icone modificate per Untrusted Files/Folders

Le voci nuove sono rispettivamente la 1° e l'ultima nella scheda "popup notifications options"...

Più, ovviamente, le "icone modificate" alla GesWall (2° screen)...



PS:
togliendo il segno di spunta a tutte le voci eccetto la 1° e l'ultima in questa scheda,



si ottiene la tanto agognata AUTOMAZIONE.

Infatti,

disabilitando la 2° voce --> non si viene disturbati se un processo isolato accede ad una risorsa protetta

disabilitando la 3° voce --> i processi partono SEMPRE ISOLATI anche se si dovessero trovare nell'area tradizionalmente preposta al download, es il desktop, a patto che non siano digitalmente firmati nel qual caso scatta la white list

disabilitando la 4° voce --> si bloccano automaticamente i tentativi di reboot operati da processi isolati

disabilitando la 5°/6° voce --> si bloccano automaticamente i tentativi di connessione verso l'esterno operati da processi isolati


Le voci "novità", invece, conviene tenerle attive e informeranno rispettivamente l'utente nel caso in cui
- un'installazione untrusted (in sostanza, un processo isolato..) tenti di scrivere nella cartella "programmi" (ultima voce)
- venga lanciato un processo secondario da uno degli elementi presenti nella untrusted list...

[pcpassion]

Scusami NV 25 avrei una domada:
Uso da tempo Comodo Firewall con il suo modulo hips ( il miglior firewall secondo me), avast antivirus( moduli sandbox e comportamento disattivati) e Sandboxie 3.xx
Avvio il browser e il client email sempre in sandboxie con limitazione dei diritti ed eliminazione automatica del contenuto alla chiusura.
Windows 7 64bit.
Possono convivere sandboxie e il modulo hips di Comodo? ( ovviamente le applicazioni avviate in sandboxie NON sono anche nella sandbox di comodo)
Grazie.

[Kohai]

Quote:

Originariamente inviato da pcpassion

Scusami NV 25 avrei una domada:
Uso da tempo Comodo Firewall con il suo modulo hips ( il miglior firewall secondo me), avast antivirus( moduli sandbox e comportamento disattivati) e Sandboxie 3.xx
Avvio il browser e il client email sempre in sandboxie con limitazione dei diritti ed eliminazione automatica del contenuto alla chiusura.
Windows 7 64bit.
Possono convivere sandboxie e il modulo hips di Comodo? ( ovviamente le applicazioni avviate in sandboxie NON sono anche nella sandbox di comodo)
Grazie.

Forse intendevi la sand di comodo con sandboxie.
L'hips e la sandbox sono 2 cose differenti.

[eraser]

Se posso permettermi, intervenendo sul discorso Megalab/DefenseWall, penso che dovreste abbassare un po i toni. Mi sembra che vi siate lasciati prendere un po troppo la mano e, pur avendo ragione, poi si passa dalla parte del torto.

Mio personalissimo parere, sia chiaro