PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 7 8 9 10 11 [12] 13 14 15 16 17 18 19

nV 25
28-08-2010, 09:17
Non ti seguo..........:what:

poichè nel mio atto d'accusa parlavo di "nostra" (..nostra atavica ignoranza..), era chiaro che l'eco di cui parlavo era arrivato ovunque fuorchè...a lambire il mare nostrum, l'ITALIA :read: , che infatti fino a ieri si caratterizzava per non riportare da nessuna parte questa notizia...


Sinceramente credevo che il messaggio fosse sufficientemente chiaro...

Chill-Out
28-08-2010, 09:33
poichè nel mio atto d'accusa parlavo di "nostra" (..nostra atavica ignoranza..), era chiaro che l'eco di cui parlavo era arrivato ovunque fuorchè...a lambire il mare nostrum, l'ITALIA :read: , che infatti fino a ieri si caratterizzava per non riportare da nessuna parte questa notizia...

:boh:


Sinceramente credevo che il messaggio fosse sufficientemente chiaro...

adesso lo è :)

comunque per proseguire, se non li hai già letti

http://www.symantec.com/connect/blogs/tidserv-64-bit-goes-hiding

http://www.symantec.com/connect/blogs/tidserv-s-boot-methods

nV 25
28-08-2010, 09:41
:)

nV 25
28-08-2010, 09:47
Su tutti, cmq, segnalo allora questo thread che è semplicemente "l'anima" di tutti gli sviluppi relativi a questo Rootkit (sia in versione x86 che x64),

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=19


ATTENZIONE cmq perchè sono presenti n sample ITW (se pur protetti da password e scaricabili solo da utenti registrati)...

nV 25
28-08-2010, 20:32
un signor articolo di eraser sempre sul TDL3 x64:
http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html :read:

arnyreny
28-08-2010, 23:41
un signor articolo di eraser sempre sul TDL3 x64:
http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html :read:

la cosa meno triste e' che ....
il malware non riesce nel suo intento con account limitati e con controllo utente attivato:D

nV 25
29-08-2010, 17:13
Anche se solleverà polemiche, desidero fare una semplice considerazione dalla quale scaturisce una altrettanto banale conclusione che è questa:
mi dispiace andare contro corrente, ma su 32bit installerei mal volentieri CIS*...

Perchè?
(in realta i motivi sono n, ma su tutti citerei questo: )

Con il rilascio dell'attuale beta della v5, Comodo ha letteralmente ABBANDONATO lo sviluppo della v.4:
tutti i fix, infatti, sono confinati esclusivamente all'engine della v5 lasciando di conseguenza scoperti molti vettori di infezione in quello che è il loro prodotto "a regime" (vedi infatti qui! (http://www.hwupgrade.it/forum/showpost.php?p=32812255&postcount=2741))...

Onestamente in un atteggiamento come questo non rilevo nulla di professionale, anzi, rende sinceramente ridicolo qualsiasi altro tentativo di incensarsi da parte dello staff di Comodo.


L'essere una soluzione gratuita, dunque, sarebbe nel mio caso una scusa troppo labile perchè arrivi a barattare sicurezza per il loro prodotto...



PS:
come vedete anche dal link, questo è datato 11/8 e egemen rassicurava di "non preoccuparsi", che era un "semplice bug in una particolare beta della v5" (omettendo di proposito che in realtà il problema era stato segnalato già con la v4 e che vari utenti avevano riproposto il tutto per vedere se fosse stato risolto con l'uscita della v5)...

PS 2:
invito chi dovesse raccogliere la provocazione ad addurre sostanza visto che per ragioni di praticità ho omesso di scrivere numerosi altri elementi in favore della tesi di cui sopra,
GRAZIE.













*su 64bit, invece, c'è allo stato una tale penuria di alternative che potrebbe anche farmi propendere per installarlo là dove dovessi mettere su 7 @ 64bit...

Blue Spirit
29-08-2010, 18:56
Anche se solleverà polemiche, desidero fare una semplice considerazione dalla quale scaturisce una altrettanto banale conclusione che è questa:
mi dispiace andare contro corrente, ma su 32bit installerei mal volentieri CIS*...

Perchè?
(in realta i motivi sono n, ma su tutti citerei questo: )

Con il rilascio dell'attuale beta della v5, Comodo ha letteralmente ABBANDONATO lo sviluppo della v.4:
tutti i fix, infatti, sono confinati esclusivamente all'engine della v5 lasciando di conseguenza scoperti molti vettori di infezione in quello che è il loro prodotto "a regime" (vedi infatti qui! (http://www.hwupgrade.it/forum/showpost.php?p=32812255&postcount=2741))...

Onestamente in un atteggiamento come questo non rilevo nulla di professionale, anzi, rende sinceramente ridicolo qualsiasi altro tentativo di incensarsi da parte dello staff di Comodo.


L'essere una soluzione gratuita, dunque, sarebbe nel mio caso una scusa troppo labile perchè arrivi a barattare sicurezza per il loro prodotto...



PS:
come vedete anche dal link, questo è datato 11/8 e egemen rassicurava di "non preoccuparsi", che era un "semplice bug in una particolare beta della v5" (omettendo di proposito che in realtà il problema era stato segnalato già con la v4 e che vari utenti avevano riproposto il tutto per vedere se fosse stato risolto con l'uscita della v5)...

PS 2:
invito chi dovesse raccogliere la provocazione ad addurre sostanza visto che per ragioni di praticità ho omesso di scrivere numerosi altri elementi in favore della tesi di cui sopra,
GRAZIE.













*su 64bit, invece, c'è allo stato una tale penuria di alternative che potrebbe anche farmi propendere per installarlo là dove dovessi mettere su 7 @ 64bit...


In effetti è una cosa abbastanza grave per un prodotto che si vanta di essere praticamente sempre al primo posto nelle classifiche più affidabili. Resto sempre più convinto che LUA+SRP siano un must. Il problema è per chi ha le versioni "home" cioè la grande maggioranza dell'utenza consumer...a questo punto per il prossimo notebook dovrò cercarne uno con win7 pro:doh:

Chill-Out
29-08-2010, 21:18
http://blogs.technet.com/b/mmpc/archive/2010/08/27/alureon-evolves-to-64-bit.aspx :)

Blue Spirit
30-08-2010, 12:42
una domanda da niuBBBBo...:D

ma usando CIS in modalità proactive security, ho bisogno di tenere installato anche un antikeylogger? chiedo questo perchè fino a poco tempo fa usavo keyscrambler per firefox, ma da quando ho attivato le SRP a livello di sistema non funziona più...o meglio funziona solo da account amministrativo, ma non dal mio solito LUA (e dire che il programma, e la relativa estensione xpi usata da firefox, si trovano nella cartella Programmi, quindi non dovrebbero esserci problemi nemmeno da LUA dato che le SRP consentono di avviare i programmi contenuti in quella cartella...):stordita:

nV 25
30-08-2010, 13:34
A proposito della falla discussa anche da eraser in questo articolo della scorsa settimana (link! (https://www.pcalsicuro.com/main/2010/08/un-nuovo-0day-per-windows/#more-422)), vi riporto le nuove "fatiche" di ssj100 che si è preso la briga di verificare diverse [:asd:] soluzioni di difesa contro l'apposito PoC che sfrutta proprio la vulnerabilità in oggetto.

http://ssj100.fullsubject.com/security-f7/dll-exploit-testing-t257.htm#2012

Quello che emerge è che i Sandbox (intesi come Sbxie, DW, GW) sono capaci di contenere l'exploit.

Allo stesso tempo, il solito risultato è possibile registrarlo anche per tutti gli altri programmi che implementino una forma di controllo sulla prima esecuzione a patto che...si neghi appunto la prima esecuzione stessa altrimenti, nelle loro configurazioni di default, non sono ovviamente in grado di contenerne gli effetti...

(i risultati negativi fatti registrare da soluzioni come il "vecchio" PG, o MD, ecc.., devono dunque essere letti proprio in quest'ottica, e cioè "pur autorizzando la 1° esecuzione [in questo caso del PoC], come si comportano con il proseguo dell'exploit"?
Sono in grado di contenerlo?
Se l'obiettivo di ssj è infatti quello di osservare ciò che discende dalla 1° esecuzione, non capisco allora perchè si ostini a riportare i risultati registrabili da una policy di tipo SRP o da un software come Faraonic AE che intervengono appunto solo all'inizio del processo...

Ma questo, eventualmente, glielo farà notare qualcun altro (ahaha, come è solito scrivere lui ogni 3x2 anche in circostanze dove la risata non c'incastra una mazza)..:rolleyes:



L'altro test di oggi è invece quello eseguito da maymoons con il Leak Test aggiornato della software house SpyShelter:
Test! (http://www.wilderssecurity.com/showpost.php?p=1739385&postcount=1)





@ Blue Spirit:
No, direi che con CIS "alone" :D puoi stare ragionevolmente sicuro anche senza un Antikeylogger dedicato...

Blue Spirit
30-08-2010, 18:03
@ Blue Spirit:
No, direi che con CIS "alone" :D puoi stare ragionevolmente sicuro anche senza un Antikeylogger dedicato...

lo spero vivamente, anche perchè monitorare tutti i caricamenti delle .dll è da folli (ci ho provato per due giorni e passavo più tempo a leggere finestre di avviso che a lavorare :doh: ) e applicare il metodo descritto nel forum di comodo per rendere CIS un "anti-executable" è così lungo e intricato che al confronto la procedura per modificare la risoluzione di plymouth durante il boot di ubuntu mi sembra quasi un giochetto :D

cloutz
30-08-2010, 23:06
Quello che emerge è che i Sandbox (intesi come Sbxie, DW, GW) sono capaci di contenere l'exploit.

Allo stesso tempo, il solito risultato è possibile registrarlo anche per tutti gli altri programmi che implementino una forma di controllo sulla prima esecuzione a patto che...si neghi appunto la prima esecuzione stessa altrimenti, nelle loro configurazioni di default, non sono ovviamente in grado di contenerne gli effetti...

Quei dati, come da te detto, indicano solo che i sandbox riescono a contenere l'infezione, ma non aggiunge nulla di che per quanto riguarda gli hips..
di altro interesse sarebbe avere ulteriori informazioni su come rispondono i programmi dopo l'avvio, oppure testare MD, per esempio, con la configurazione consigliata sulle dll e interfacce che dovrebbe dare ben altro esito (non come nel test condotto @default).

questo giusto per vedere se si può riuscire ad arginare l'infezione, ovvero testare se il programma riesce a lavorare a quella profondità, anche se con regole fatte a mano, garantendo una certa stabilità.. rimanendo ben convinti (per lo meno io:D ) che nella realtà dei fatti come diavolo fai a capire quale dll è normale che sia caricata dal tal programma e quale no :stordita::lamer:

Chill-Out
31-08-2010, 21:21
http://hitmanpro.wordpress.com/2010/08/30/hitman-pro-removes-64-bit-tdl3-rootkit/ :)

Romagnolo1973
31-08-2010, 22:09
Anche se solleverà polemiche, desidero fare una semplice considerazione dalla quale scaturisce una altrettanto banale conclusione che è questa:
mi dispiace andare contro corrente, ma su 32bit installerei mal volentieri CIS*...

Perchè?
(in realta i motivi sono n, ma su tutti citerei questo: )

Con il rilascio dell'attuale beta della v5, Comodo ha letteralmente ABBANDONATO lo sviluppo della v.4:
tutti i fix, infatti, sono confinati esclusivamente all'engine della v5 lasciando di conseguenza scoperti molti vettori di infezione in quello che è il loro prodotto "a regime" (vedi infatti qui! (http://www.hwupgrade.it/forum/showpost.php?p=32812255&postcount=2741))...

Onestamente in un atteggiamento come questo non rilevo nulla di professionale, anzi, rende sinceramente ridicolo qualsiasi altro tentativo di incensarsi da parte dello staff di Comodo.


L'essere una soluzione gratuita, dunque, sarebbe nel mio caso una scusa troppo labile perchè arrivi a barattare sicurezza per il loro prodotto...



PS:
come vedete anche dal link, questo è datato 11/8 e egemen rassicurava di "non preoccuparsi", che era un "semplice bug in una particolare beta della v5" (omettendo di proposito che in realtà il problema era stato segnalato già con la v4 e che vari utenti avevano riproposto il tutto per vedere se fosse stato risolto con l'uscita della v5)...

PS 2:
invito chi dovesse raccogliere la provocazione ad addurre sostanza visto che per ragioni di praticità ho omesso di scrivere numerosi altri elementi in favore della tesi di cui sopra,
GRAZIE.













*su 64bit, invece, c'è allo stato una tale penuria di alternative che potrebbe anche farmi propendere per installarlo là dove dovessi mettere su 7 @ 64bit...

ehh infatti la cosa è sconcertante ma penso che su CIS 4 non avesse soluzione se non dopo una notevole variazione al programma.
Credo che l'accelerazione che ha subito la beta di CIS 5 (tra max 2 giorni dovrebbe uscire, salvo problemi ultim'ora, una RC praticamente Final o addirittura la versione definitiva) che vedeva il prodotto inizialmente previsto nel primo semestre 2011 sia proprio dovuto a questo fatto o comunque ne sia uno dei vari fattori

Non ho comunque spinto gli utenti verso le beta perchè come tu ben sai le loro beta sono alpha in genere e non volevo che la cura per questo problema fosse peggio del male, poi in realtà lo sviluppo di CIS 5 si è finalmente dimostrato fatto bene e non con i piedi come loro abitudini
Speriamo bene vahhh

nV 25
01-09-2010, 10:54
ehh infatti la cosa è sconcertante ma penso che su CIS 4 non avesse soluzione se non dopo una notevole variazione al programma.

Credo che l'accelerazione che ha subito la beta di CIS 5 [...] sia proprio dovuto a questo fatto o comunque ne sia uno dei vari fattori.
La lettura che proponi mi era onestamente sfuggita e potrei trovarla anche plausibile visto che siamo nel campo delle congetture...

Personalmente, cmq, resto più orientato verso una spiegazione più critica sul modo di lavorare di questa software house...

Non ho comunque spinto gli utenti verso le beta perchè [...]
credo infatti che il tuo approccio sia stato quello più onesto...


PS: Aspetto con impazienza qualche altro tuo post sulla v5 finale,
ciao :)

Romagnolo1973
01-09-2010, 12:31
La lettura che proponi mi era onestamente sfuggita e potrei trovarla anche plausibile visto che siamo nel campo delle congetture...

Personalmente, cmq, resto più orientato verso una spiegazione più critica sul modo di lavorare di questa software house...


credo infatti che il tuo approccio sia stato quello più onesto...


PS: Aspetto con impazienza qualche altro tuo post sulla v5 finale,
ciao :)

il problema a cui CIS 4 è esposto è direi fresco, ha meno di un mese e con CIS 5 in uscita tra poche ore sarà risolto, direi non ottimale come tempistica ma nemmeno scandalosa, se pensiamo alle vulnerabilità di IE che restano tali anni behh direi comunque che Comodo lavora molto meglio di M$

Non ho che un solo pc e anche vecchiotto e una VM me lo inginocchia, ragione per cui posso fare poche e modeste prove sul campo basandomi su Returnil, TrueCrypt che mi protegge i dat sensbili e poco altro, mettermi in casa coscientemente un TDL non è cosa per il mio pc, ma qualche prova basica l'ho fatta

CIS 5 è un avanzamento ulteriore della loro filosofia per rendere il pc sicuro con pochi avvisi, sono infatti ulteriormente calati a default, un bene per i neofiti, un male per chi è più esperto
Ovvio che grazie a dio finchè resiste il paranoid mode e l'esclusione delle altre opzioni (firme digitali, regole per applic conosciute...) si può sempre avere un HIPS vecchio stile molto solido e abbastanza chiaro e adatto ad utenti esperti
Ovvio MD è molto più granulare, DW sicuramente più a prova di errore, ma tutto sommato è un ottimo HIPS se lo si sposta dal default verso una configurazione più sicura
La SB che chiamarla così è improprio, meglio dire "quasi BB" soprattutto se la si imposta per bloccare i programmi sconosciuti (su cis5 finalmente si può intervenire e decidere quale azione far fare alla SB) è sicuramente cresciuta, su CIS 4 avevo molti problemi che ora non ho, settata per bloccare è davvero una sorta di BB, direi utile in certi frangenti
l'AV è modesto non tanto nelle rilevazioni che avendo alle spalle il D+ possono essere anche non da top, ma nella mancanza di alcune opzioni basiche che ancora non si vedono, non è molto configurabile

La cosa che però mi preoccupa è la mancanza di questo controllo,
https://forums.comodo.com/beta-corner-cis/how-cis-hips-is-going-to-protect-against-this-t60858.0.html
è sparito il controllo del caricamento DLL e sappiamo bene che ora M$ ci ha messo una pezza sul bug ma tutti gli altri produttori di programmi ancora no, insomma a mio avviso questa mancanza è davvero molto grave

In sintesi un buon prodotto che se ben settato è una garanzia ma che è ben lungi da essere perfetto (come tutti comunque)

nV 25
05-09-2010, 17:30
è fresca di minuti la nuova release 3.07 di DefenseWall, http://www.softsphere.com/

Ricordo che grazie al lavoro di cloutz è disponibile anche in lingua italiana:

Versione comprensiva di Firewall (http://www.softsphere.com/cgi-bin/redirect.pl?Name=DEFENSEWALL_PF_ITALIAN)

Versione solo Sandbox (http://www.softsphere.com/cgi-bin/redirect.pl?Name=DEFENSEWALL_HIPS_ITALIAN)

Buon download :asd:

arnyreny
09-09-2010, 10:43
c'e' un modo di far convivere defence wall 2.56 e microsoft essential security?

ho escluso entrambi programmi dalle protezioni dell'uno e dell'altro,ma se non disattivo uno dei 2 il pc non si collega ad internet:O

nV 25
09-09-2010, 17:44
La 2.56 è stata rimpiazzata più di 8 mesi fà dalla versione 3:
visto che non è un programma che vive sul controllo della 1° esecuzione (non si preoccupa cioè di mettere temporaneamente in pausa un processo se questo risulta essere "nuovo"..), ne discende come sia estremamente importante sotto un profilo di sicurezza pura disporre della versione più aggiornata.

Questo discorso, invece, è presente solo marginalmente in un programma alla MD o simili che, vivendo attorno al concetto del filtraggio della prima esecuzione, offrono cmq all'utente una possibilità, impedire l'esecuzione di un file...
In questo senso, dunque, soffrono meno del fenomeno dell'obsolescenza perchè anche là dove dovesse essere sfruttato un nuovo canale per installare (ad es) un driver, l'utente avrebbe cmq una possibilità...

Il ragionamento sopra porta pertanto ad un'unica conclusione:
non so onestamente se vi siano problemi di coesistenza tra MSE & DW 2.56 ma anche là dove il problema fosse superabile, tenere sul Pc la 2.56 equivale ad esporre a rischio la macchina contro (almeno) quelli che sono eventuali nuovi canali di infezione utilizzati nei malware degli ultimi mesi...

La 2.56, in sostanza, è una versione OBBLIGATORIAMENTE da cestinare...:read:

nV 25
09-09-2010, 18:01
ok, sopra ho parlato di sicurezza pura come dell'aspetto principale per cui NON utilizzerei MAI una versione cosi' vecchia per un programma di questo tipo...
Ho rintracciato invece una discussione che sposta il discorso della preferibilità di una versione aggiornata rispetto ad una più datata sull'aspetto della COMPATIBILITA' (altro elemento cmq importante da valutare):
come si vede [link! (http://gladiator-antivirus.com/forum/index.php?showtopic=105866&hl=microsoft+security+essential)], il problema della compatibilità tra MSE & DW è stato superato in giugno ma, ovviamente, a beneficiarne è stata solo la versione 3..

Il concetto cmq è talmente lineare che non avrebbe meritato neppure di essere discusso..

arnyreny
09-09-2010, 18:57
La 2.56 è stata rimpiazzata più di 8 mesi fà dalla versione 3:
visto che non è un programma che vive sul controllo della 1° esecuzione (non si preoccupa cioè di mettere temporaneamente in pausa un processo se questo risulta essere "nuovo"..), ne discende come sia estremamente importante sotto un profilo di sicurezza pura disporre della versione più aggiornata.

Questo discorso, invece, è presente solo marginalmente in un programma alla MD o simili che, vivendo attorno al concetto del filtraggio della prima esecuzione, offrono cmq all'utente una possibilità, impedire l'esecuzione di un file...
In questo senso, dunque, soffrono meno del fenomeno dell'obsolescenza perchè anche là dove dovesse essere sfruttato un nuovo canale per installare (ad es) un driver, l'utente avrebbe cmq una possibilità...
ecco questa era la risposta grazie:)
Il ragionamento sopra porta pertanto ad un'unica conclusione:
non so onestamente se vi siano problemi di coesistenza tra MSE & DW 2.56 ma anche là dove il problema fosse superabile, tenere sul Pc la 2.56 equivale ad esporre a rischio la macchina contro (almeno) quelli che sono eventuali nuovi canali di infezione utilizzati nei malware degli ultimi mesi...

La 2.56, in sostanza, è una versione OBBLIGATORIAMENTE da cestinare...:read:
non avevo chiesto quanto e' sicura la 2.56
ok, sopra ho parlato di sicurezza pura come dell'aspetto principale per cui NON utilizzerei MAI una versione cosi' vecchia per un programma di questo tipo...
Ho rintracciato invece una discussione che sposta il discorso della preferibilità di una versione aggiornata rispetto ad una più datata sull'aspetto della COMPATIBILITA' (altro elemento cmq importante da valutare):
come si vede [link! (http://gladiator-antivirus.com/forum/index.php?showtopic=105866&hl=microsoft+security+essential)], il problema della compatibilità tra MSE & DW è stato superato in giugno ma, ovviamente, a beneficiarne è stata solo la versione 3..



ecco questa e' la risposta giusta;)
grazie

nV 25
09-09-2010, 19:02
non avevo chiesto quanto e' sicura la 2.56
vero, mi piaceva cmq spiegare i motivi in un'ottica più a 360°...

lemuel
11-10-2010, 04:56
Su Programmi tipo Sandboxie (ad esempio, versioni dalla 3.442 in poi, a 32 ed a 64 bit)) bisognerebbe effettuare dei test più approfonditi.
L'ambiente di lavoro sicuro cui si fa riferimento, come lo si deve intendere?
Se un file dannoso si colloca nella cartella Drive:\Sandbox\User\Defaultbox\Drive\Download, ad esempio, esso può far danni al Sistema Operativo se si autoavvia, o se viene avviato per prova?
(Vedi anche, solo per avere un'idea, http://www.hwupgrade.it/forum/showthread.php?p=32682548)
Cioè non viene spiegato bene in cosa consiste questo ambiente di lavoro sicuro, come ad esempio un'area virtuale "sandboxata".
Significa che se avvio una applicazione e prima seleziono "Avvia nell'area virtuale", allora il sistema è protetto?
O significa che se avvio una applicazione direttamente dall'interno della Defaultbox di Sandboxie, la protezione è ancora assicurata?
Ovvero, il materiale scaricato entro la Defaultbox (ad esempio i download richiesti dall'utente in navigazione) possono mettere a rischio la sicurezza, così come eventuale malware penetrato abusivamente in Defaultbox?
Ad esempio ho provato che lanciando un collegamento del tipo seguente:
%windir%\system32\shutdown.exe /s /f /t 0
tramite relativa icona dall'interno di Defaultbox, Drive:\Sandbox\Utente\Defaultbox\Drive\Downloads, il sistema si spegne immediatamente.
Questo semplice collegamento di pochi bit potrebbe anche essere modificato in un comando per formattare una partizione o per cancellare file di sistema.
Cosa accadrebbe se un comando del genere in un file di collegamento potesse agire dentro la Defaulbox di Sandboxie? Ad esempio scaricatosi durante una navigazione, anche con browser "sandboxato", prima della cancellazione dell'area virtuale? Sandboxie impedirebbe l'azione? E come? Qualcuno ha effettivamente provato a fare verifiche pratiche?

Quindi, in che cosa consiste esattamente questo ambiente di lavoro sicuro?
E come si fa a pubblicizzare un software , in generale, nei forum, specie sulla sicurezza, senza citare i test e gli opportuni controlli di un ente autorevole sul materiale presentato? Sono sufficienti le rassicurazioni di chi lo ha creato? Oppure i riferimenti del sistema di comunicazione informatica, basati spesso sul pedissequo copia-incolla degli articoli e notizie relativi, tra i vari bloggers?
Insomma, si può andare avanti nel campo della sicurezza informatica ancora con la prassi del "sentito dire"?

sampei.nihira
11-10-2010, 05:56
Su Programmi tipo Sandboxie (ad esempio, versioni dalla 3.442 in poi, a 32 ed a 64 bit)) bisognerebbe effettuare dei test più approfonditi.
L'ambiente di lavoro sicuro cui si fa riferimento, come lo si deve intendere?
Se un file dannoso si colloca nella cartella Drive:\Sandbox\User\Defaultbox\Drive\Download, ad esempio, esso può far danni al Sistema Operativo se si autoavvia, o se viene avviato per prova?
(Vedi anche, solo per avere un'idea, http://www.hwupgrade.it/forum/showthread.php?p=32682548)
Cioè non viene spiegato bene in cosa consiste questo ambiente di lavoro sicuro, come ad esempio un'area virtuale "sandboxata".
Significa che se avvio una applicazione e prima seleziono "Avvia nell'area virtuale", allora il sistema è protetto?
O significa che se avvio una applicazione direttamente dall'interno della Defaultbox di Sandboxie, la protezione è ancora assicurata?
Ovvero, il materiale scaricato entro la Defaultbox (ad esempio i download richiesti dall'utente in navigazione) possono mettere a rischio la sicurezza, così come eventuale malware penetrato abusivamente in Defaultbox?
Ad esempio ho provato che lanciando un collegamento del tipo seguente:
%windir%\system32\shutdown.exe /s /f /t 0
tramite relativa icona dall'interno di Defaultbox, Drive:\Sandbox\Utente\Defaultbox\Drive\Downloads, il sistema si spegne immediatamente.
Questo semplice collegamento di pochi bit potrebbe anche essere modificato in un comando per formattare una partizione o per cancellare file di sistema.
Cosa accadrebbe se un comando del genere in un file di collegamento potesse agire dentro la Defaulbox di Sandboxie? Ad esempio scaricatosi durante una navigazione, anche con browser "sandboxato", prima della cancellazione dell'area virtuale? Sandboxie impedirebbe l'azione? E come? Qualcuno ha effettivamente provato a fare verifiche pratiche?

Quindi, in che cosa consiste esattamente questo ambiente di lavoro sicuro?
E come si fa a pubblicizzare un software , in generale, nei forum, specie sulla sicurezza, senza citare i test e gli opportuni controlli di un ente autorevole sul materiale presentato? Sono sufficienti le rassicurazioni di chi lo ha creato? Oppure i riferimenti del sistema di comunicazione informatica, basati spesso sul pedissequo copia-incolla degli articoli e notizie relativi, tra i vari bloggers?
Insomma, si può andare avanti nel campo della sicurezza informatica ancora con la prassi del "sentito dire"?

Ciao, intanto una serie di cose:

a) C'è un 3D apposito per Sandboxie.

b) Viene consigliato nel 3D di cui sopra di cambiare il percorso a default in un altra partizione non di sistema.

c) Quì nessuno pubblicizza sw tipo Sandboxie che si pubblicizzano da soli perchè, grazie a Dio, non mancano autorevoli test in merito (vedi ad esempio l'ultimo test dove Sandboxie risultava immune al problema della vulnerabilità DLL) se non ricordo male messo in luce proprio da nV25 a suo tempo,se un'utente non è in grado di cercarseli da solo può chiedere aiuto sempre nel 3D apposito ed aspettare che qualcuno gli risponda perchè ovviamente non è un obbligo,senza fare polemica.

Io solitamente non rispondo a topic impostati in questo modo ma oggi sono più buono del solito......

Buona giornata.

nV 25
13-10-2010, 18:00
Uscito DefenseWall 3.08:
http://www.softsphere.com/news/

Windows 2000/XP/2003/Vista/7 32bit

nV 25
14-10-2010, 18:06
Se qualcuno a scappatempo ne avesse voglia (è sufficiente cmq anche una scappatella frettolosa visto che non c'è infatti fondamentalmente nulla da imparare se non osservare in una tabella se, a fianco di un prodotto, compare un semplice SI/NO..), segnalo che l'organizzazione Malware Research Group conduce da qualche tempo a questa parte dei test giornalieri dove verificano la "resistenza" di diferse famiglie di virus VS varie soluzioni di difesa.

E' inutile aggiungere che le uniche soluzioni capaci di contenere il 100% dei sample testati sono fondamentalmente quelle appartenenti a 2 famiglie, i Sandbox (DefenseWall, ad es..) e gli HIPS + o - puri quando usati (credo..) come strumenti per autorizzare o meno la 1° esecuzione di un processo*.

Qualche es:
wemon (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-variant-of-wemon-trojan/)
ldpinch (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-variant-of-ldpinch-trojan-2/)
netins (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-variant-of-netins-trojan/)
zeus (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-vatiant-of-zeus-trojan/)
qqfish-pws-trojan/ (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-variant-of-qqfish-pws-trojan/)
spyeyes (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-variant-of-spyeyes-trojan-2/)
killav (http://malwareresearchgroup.com/2010/10/detection-of-the-latest-variant-of-killav-trojan/)
trojan-banker (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-trojan-banker-2/)

ecc...



* in sostanza, quando sono usati come strumenti di blacklisting, es:
il processo xyz vuole partire: va bene? SI/NO

Un HIPS puro, infatti, pur controllando solitamente il ventaglio di azioni più pericolose utilizzate per exploitare un sistema, non può (per ragioni di usabilità..) vantare il solito set di restrizioni di un Sandbox che isola solamente determinati processi, ovverosia quelli più "esposti" o da cui passa il rischio per una macchina.

Ne discende che, con un HIPS puro, autorizzare l'esecuzione di un nuovo processo determina un grado di rischio lievemente superiore rispetto ad un Sandbox visto che qualche canale per aggredire la macchina potrebbe essere "estraneo" al ventaglio di azioni monitorate...

nV 25
14-10-2010, 18:21
tdl3-rootkit (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-tdl3-rootkit-2/)
koobface-worm (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-koobface-worm/)
ardamax-trojan (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-ardamax-trojan/)
tdss-dropper (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-tdss-dropper-2/)
dybalom-pws-trojan (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-dybalom-pws-trojan/)
kykymber-pws-trojan (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-kykymber-pws-trojan/)
vobfus-worm (http://malwareresearchgroup.com/2010/09/detection-of-the-latest-variant-of-vobfus-worm/)

....


E' chiaro che il 100% in assoluto non esiste visto che domani (ad es..) può essere trovato un nuovo sistema per scardinare una macchina, ma insomma, rispetto al SOLO AV che è (fondamentalmente) un terno al lotto ogni volta che si fa analizzare un sample "fresco"...:)

nV 25
14-10-2010, 18:44
Prima di salutare, vi segnalo inoltre che il sito Anti-Malware.ru ha in programma l'uscita della v2 (o reloaded... :D) di una cosa di questo tipo,
http://www.wilderssecurity.com/showthread.php?t=241141&highlight=hips+test

I partecipanti:

1. PC Tools Internet Security 2011
2. Jetico Personal Firewall 2.0.2.8.2327
3. Online Armor ++ Firewall 4.5
4. Kaspersky Internet Security 2011
5. Outpost Security Suite Pro 2010 (7.0)
6. Comodo Internet Security 5.0
7. Safe`n`Sec Deluxe
8. Online Solutions Security Suite 1.5
9. DefenseWall Personal Firewall
10. Norton Internet Security 2011
11. Trend Micro Titanium Internet Security 2011
12. ZoneAlarm Internet Security Suite
13. Avira Premium Security Suite 10
14. Mcafee Internet Security 2011
15. Panda Internet Security 2011
16. Spyware Terminator
17. GeSWall

:sperem:

nV 25
15-10-2010, 21:03
fermo restando che fa piacere vedere tutto l'interesse che ruota attorno ai miei interventi :D, approfitto di questa giornata avara di notizie per segnalare un tool che ha carpito il mio interesse per quanto estraneo all'oggetto del thread:
Automatic Virus Eradication & Removal Tool (http://www.wilderssecurity.com/showthread.php?t=283590).


Domani a regola scatta la prova...:fiufiu:


Home page:
http://img232.imageshack.us/img232/4401/immagine1mm.jpg (http://img232.imageshack.us/i/immagine1mm.jpg/)
http://www.avertsoftware.com/




***********

Ho letto inoltre su wilders che è uscita la nuova versione di Gmer (finalmente) compatibile con 7,

http://img99.imageshack.us/img99/2487/immagine1sm.jpg (http://img99.imageshack.us/i/immagine1sm.jpg/)


Resta da verificarne la stabilità (su 7...) ma, anche per quello, se ne riparlerà domani....:p

Pεrveяsivo
16-10-2010, 08:17
...........

Ho letto inoltre su wilders che è uscita la nuova versione di Gmer (finalmente) compatibile con 7,

http://img99.imageshack.us/img99/2487/immagine1sm.jpg (http://img99.imageshack.us/i/immagine1sm.jpg/)


Resta da verificarne la stabilità (su 7...) ma, anche per quello, se ne riparlerà domani....:p

A me non lo fa nemmeno partire....

P.S. Ho Seven x64....

arnyreny
16-10-2010, 09:48
A me non lo fa nemmeno partire....

P.S. Ho Seven x64....

gmer non gira su i 64 bit...
infatti i rootkit che riescono ad infettare i 64 bit si contano sulle dita;)

Romagnolo1973
16-10-2010, 10:33
fermo restando che fa piacere vedere tutto l'interesse che ruota attorno ai miei interventi :D, approfitto di questa giornata avara di notizie per segnalare un tool che ha carpito il mio interesse per quanto estraneo all'oggetto del thread:
Automatic Virus Eradication & Removal Tool (http://www.wilderssecurity.com/showthread.php?t=283590).


Domani a regola scatta la prova...:fiufiu:


Home page:
http://img232.imageshack.us/img232/4401/immagine1mm.jpg (http://img232.imageshack.us/i/immagine1mm.jpg/)
http://www.avertsoftware.com/




***********

Ho letto inoltre su wilders che è uscita la nuova versione di Gmer (finalmente) compatibile con 7,

http://img99.imageshack.us/img99/2487/immagine1sm.jpg (http://img99.imageshack.us/i/immagine1sm.jpg/)


Resta da verificarne la stabilità (su 7...) ma, anche per quello, se ne riparlerà domani....:p

ah io non vedo l'ora che fai il test, c'è bisogno di aria nuova nel panorama stantio degli Antimalware
Tante volte nuovi prodotti si sono poi rilevati delle "chiaviche", vediamo questo come è, a prima vista, ci ho dato solo un'occhiata di 30 secondi, mi ricorda HitManPro come modalità d'uso con vari scanner a disposizione per il controllo

nV 25
16-10-2010, 16:14
grazie, gente!

Era da un pò che non si vedevano su questo thread 3 interventi consecutivi ad opera di utenti diversi dal sottoscritto...:flower:

Questo thread, infatti, è ormai assimilabile ad una sorta di Blog nel quale, se ho voglia, scrivo qualcosa...:asd:

arnyreny
16-10-2010, 16:36
grazie, gente!

Era da un pò che non si vedevano su questo thread 3 interventi consecutivi ad opera di utenti diversi dal sottoscritto...:flower:

Questo thread, infatti, è ormai assimilabile ad una sorta di Blog nel quale, se ho voglia, scrivo qualcosa...:asd:

se controlli le visite ...ti accorgi che ti seguiamo anche se non interveniamo;)

cloutz
16-10-2010, 18:14
grazie, gente!

Era da un pò che non si vedevano su questo thread 3 interventi consecutivi ad opera di utenti diversi dal sottoscritto...:flower:

Questo thread, infatti, è ormai assimilabile ad una sorta di Blog nel quale, se ho voglia, scrivo qualcosa...:asd:

TACI, che hai anche una posizione esclusiva nel mio speed dial :read: :O

http://img411.imageshack.us/img411/2364/prevb.th.png (http://img411.imageshack.us/i/prevb.png/)

Uploaded with ImageShack.us (http://imageshack.us)


:D :D

sampei.nihira
17-10-2010, 09:04
fermo restando che fa piacere vedere tutto l'interesse che ruota attorno ai miei interventi :D, approfitto di questa giornata avara di notizie per segnalare un tool che ha carpito il mio interesse per quanto estraneo all'oggetto del thread:
Automatic Virus Eradication & Removal Tool (http://www.wilderssecurity.com/showthread.php?t=283590).


Domani a regola scatta la prova...:fiufiu:


Home page:
http://img232.imageshack.us/img232/4401/immagine1mm.jpg (http://img232.imageshack.us/i/immagine1mm.jpg/)
http://www.avertsoftware.com/




***********

Ho letto inoltre su wilders che è uscita la nuova versione di Gmer (finalmente) compatibile con 7,

http://img99.imageshack.us/img99/2487/immagine1sm.jpg (http://img99.imageshack.us/i/immagine1sm.jpg/)


Resta da verificarne la stabilità (su 7...) ma, anche per quello, se ne riparlerà domani....:p

La frase sottolineata per dire che "ormai (anche io) ci abbiamo fatto il callo" chissà se anche in altre regioni d'Italia si usa questo modo di dire :mbe: ,e non in senso di lettura questo è palese, nel senso di coinvolgimento.

Ieri era il mio compleanno :D :D .......come si è concluso il test con AVERT (hai notato che occorre avere installato NET F. ) ?

Romagnolo1973
17-10-2010, 10:49
La frase sottolineata per dire che "ormai (anche io) ci abbiamo fatto il callo" chissà se anche in altre regioni d'Italia si usa questo modo di dire :mbe: ,e non in senso di lettura questo è palese, nel senso di coinvolgimento.

Ieri era il mio compleanno :D :D .......come si è concluso il test con AVERT (hai notato che occorre avere installato NET F. ) ?

beh ormai NetFramework è imprescindibile, senza quello non vanno la metà dei programmi

nV 25
17-10-2010, 14:26
ora non esageriamo con tutti questi commenti altrimenti si rischia di fare concorrenza a thread più blasonati...:D

@ sampei:
il test è rimasto nella "TODO" list assieme a molte altre cose...:(


Ciao a tutti

nV 25
31-10-2010, 18:04
Aggiorno il "blog" [:asd:] con quest'informazione (che cmq riconosco da solo essere realmente fine a se stessa...):

ho confrontato il mio policy-based Sandbox con 2 virus condivisi giusto oggi da EP_X0FF sulla "sua" board, l'ultimo sample "fresh fresh" :D del TDL3 ("Drops itself as usual through spooler and then uses NtQueueApcThread based injection (ernel32.dll) + NtResumeThread splicing [...]") e un trojan infostealer,
( Ambler, "Drops dll named podzce.dll, configuration files to specially created folder inside %AppData% named Bitrix Security [...] Set itself to autorun through HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components as service [...]").


L'esito, ovviamente :read: :D, lo ometto.

Qui un velocissimo estratto del tutto (log, nuovi elementi nella untrusted list e nella scheda di rollback, ecc..)

http://img816.imageshack.us/img816/403/tdl31.th.jpg (http://img816.imageshack.us/i/tdl31.jpg/) http://img708.imageshack.us/img708/8185/tdl32.th.jpg (http://img708.imageshack.us/i/tdl32.jpg/)


*******


http://img59.imageshack.us/img59/6294/eptrojan4.th.jpg (http://img59.imageshack.us/i/eptrojan4.jpg/) http://img829.imageshack.us/img829/6451/eptrojan5.th.jpg (http://img829.imageshack.us/i/eptrojan5.jpg/)

http://img183.imageshack.us/img183/1291/epx0ff.th.jpg (http://img183.imageshack.us/i/epx0ff.jpg/) http://img529.imageshack.us/img529/3612/eptrojan1.th.jpg (http://img529.imageshack.us/i/eptrojan1.jpg/) http://img185.imageshack.us/img185/1941/eptrojan2.th.jpg (http://img185.imageshack.us/i/eptrojan2.jpg/) http://img202.imageshack.us/img202/7058/eptrojan3.th.jpg (http://img202.imageshack.us/i/eptrojan3.jpg/)
ecc...

Chill-Out
31-10-2010, 19:45
Aggiorno il "blog" [:asd:] con quest'informazione (che cmq riconosco da solo essere realmente fine a se stessa...):

:sbonk:

done75
31-10-2010, 23:14
i "blog" sono comunque una parte importantissima del sapere... ;)

sampei.nihira
01-11-2010, 10:19
Aggiorno il "blog" [:asd:] con quest'informazione (che cmq riconosco da solo essere realmente fine a se stessa...):

ho confrontato il mio policy-based Sandbox con 2 virus condivisi giusto oggi da EP_X0FF sulla "sua" board, l'ultimo sample "fresh fresh" :D del TDL3 ("Drops itself as usual through spooler and then uses NtQueueApcThread based injection (ernel32.dll) + NtResumeThread splicing [...]") e un trojan infostealer,
( Ambler, "Drops dll named podzce.dll, configuration files to specially created folder inside %AppData% named Bitrix Security [...] Set itself to autorun through HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components as service [...]").


L'esito, ovviamente :read: :D, lo ometto.

Qui un velocissimo estratto del tutto (log, nuovi elementi nella untrusted list e nella scheda di rollback, ecc..)

http://img816.imageshack.us/img816/403/tdl31.th.jpg (http://img816.imageshack.us/i/tdl31.jpg/) http://img708.imageshack.us/img708/8185/tdl32.th.jpg (http://img708.imageshack.us/i/tdl32.jpg/)


*******


http://img59.imageshack.us/img59/6294/eptrojan4.th.jpg (http://img59.imageshack.us/i/eptrojan4.jpg/) http://img829.imageshack.us/img829/6451/eptrojan5.th.jpg (http://img829.imageshack.us/i/eptrojan5.jpg/)

http://img183.imageshack.us/img183/1291/epx0ff.th.jpg (http://img183.imageshack.us/i/epx0ff.jpg/) http://img529.imageshack.us/img529/3612/eptrojan1.th.jpg (http://img529.imageshack.us/i/eptrojan1.jpg/) http://img185.imageshack.us/img185/1941/eptrojan2.th.jpg (http://img185.imageshack.us/i/eptrojan2.jpg/) http://img202.imageshack.us/img202/7058/eptrojan3.th.jpg (http://img202.imageshack.us/i/eptrojan3.jpg/)
ecc...

EP_X0FF da bravo russo usa Opera.....:D :D
Una curiosità che nick usi su KMI ?

Buona giornata.

nV 25
01-11-2010, 13:09
Una curiosità che nick usi su KMI ?
per un utente come me sarebbe presuntuoso anche solo pensare di potervi postare qualcosa...

Conoscere il mio nick, di conseguenza (no nV, cmq...), è assolutamente irrilevante. :)

nV 25
02-11-2010, 18:14
Prima di salutare, vi segnalo inoltre che il sito Anti-Malware.ru ha in programma l'uscita della v2 (o reloaded... :D) di una cosa di questo tipo,
http://www.wilderssecurity.com/showthread.php?t=241141&highlight=hips+test


Finalmente qualcosa di nuovo:
HIPS vs alcuni canali di infiltrazione nel kernel (http://translate.google.it/translate?u=antimalware.ru&sl=ru&tl=en&hl=&ie=UTF-8) :read:

[NB: le tavole sono state corrette l'11/11/2010 in accordo con i nuovi risultati del test visto che la stesura iniziale era viziata da errori su Online Armor!]

Le "tecniche" (meccanismi) utilizzati:
http://img24.imageshack.us/img24/5498/30501119.jpg

I programmi testati:
http://img29.imageshack.us/img29/652/26479707.jpg

L'esito...:D
http://img16.imageshack.us/img16/5228/immagine1oz.jpg

(La spiegazione dell'simbolo "*",
http://img152.imageshack.us/img152/7392/immagine2ii.th.jpg (http://img152.imageshack.us/i/immagine2ii.jpg/))


L'intervento richiesto all'utente per raggiungere il risultato evidenziato nella scheda "esito",
http://img813.imageshack.us/img813/1474/31836030.jpg


Uno dei commenti al test (in questo caso ho preso quello dello sviluppatore di Defensewall,
http://img84.imageshack.us/img84/7879/58187697.jpg)


Buona lettura ai pochi interessati. :p

nV 25
02-11-2010, 18:25
PS:
Per un'analisi più ampia conviene anche riportare il "vecchio" test,

http://img534.imageshack.us/img534/5885/3bisg.jpg

nV 25
02-11-2010, 21:02
Micro aggiornamento:

seguendo la discussione che via via si stà sviluppando sul forum di antimalware.ru (ovviamente mediante il ricorso alla traduzione offerta da Google Russo->Inglese..), si apprendono 2 cose, la 1° obiettivamente anomala anche per loro, e cioè l'incongruenza dei risultati ottenuti da Online Armor rispetto al vecchio test dove, in linea di massima, erano utilizzate le stesse tecniche (Raw Disk, System Debug Control, Physical memory,..), la 2° più faziosa e divertente, le "bestemmie" :D di Ilya Rabinovich legate al fatto che il suo software è stato classificato al pari del KIS, ecc, nella fascia "little" quanto a n° di popup prodotti :asd:...


L'anomalia di OA,
http://img688.imageshack.us/img688/540/immagine2mpd.jpg

...e i "moccoli" di Ilya,
http://img232.imageshack.us/img232/1897/immagine4t.jpg

nV 25
03-11-2010, 20:46
il test pubblicato ieri da antimalware.ru è stato temporaneamente ritirato a causa di un errore relativo a OA e verrà ripubblicato il 10 con le opportune correzioni...

"Friends, I have to admit not a good thing.

First time in our history we have to recall an article that has already been published. sad.gif

The fact that there were serious doubts about the validity of the results for some products (eg, Online Armor). During the test, clerical errors were made, and that distorted the results.

Anything can happen in life. We acknowledge our mistakes and make the incident the most serious conclusions. I beg to treat with understanding what has happened.

************************

Republication of the test results is scheduled for next Wednesday (November 10)"

sampei.nihira
03-11-2010, 20:58
il test pubblicato ieri da antimalware.ru è stato temporaneamente ritirato a causa di un errore relativo a OA e verrà ripubblicato il 10 con le opportune correzioni...

"Friends, I have to admit not a good thing.

First time in our history we have to recall an article that has already been published. sad.gif

The fact that there were serious doubts about the validity of the results for some products (eg, Online Armor). During the test, clerical errors were made, and that distorted the results.

Anything can happen in life. We acknowledge our mistakes and make the incident the most serious conclusions. I beg to treat with understanding what has happened.

************************

Republication of the test results is scheduled for next Wednesday (November 10)"

Mi chiedo anche se correggeranno,sotto pressione di Ilya,il "little".

nV 25
04-11-2010, 18:02
quello che chiede Ilya (quantificare meglio il concetto di "little"..) non la vedo onestamente una richiesta fuori dall'ordinario.

Anzi, per lui che propone il proprio software come (in linea di principio) un software utilizzabile da chiunque senza che questo "compromesso" si traduca in una perdita di efficacia è un aspetto determinante, vedremo se lo accontentano solo perchè russo e il test effettuato da suoi connazionali...


In verità, Antimalware.ru dovrebbe essere una piazza abbastanza indipendente che non ha cmq risparmiato critiche ai propri prodotti (quelli domestici..) se questi si meritavano appunti...





Per il resto, vista la scarsa visibilità del thread, non rimuovo gli screen del test anche se viziati:
chi segue il thread, infatti, sa cosa è successo e quindi NON prenderà per buoni i risultati pubblicati per OA..

nV 25
12-11-2010, 18:46
Quello che segue è un post (onestamente) inutile che ha come unico scopo quello di reclamizzare un pelino di più DefenseWall:
infatti, non viene portato nulla di nuovo (valore dunque del contenuto = 0..) se non "simulare" una scena di vita quotidiana..

(A grandi linee,) DefenseWall classifica automaticamente come insicuri i più noti vettori di infezione (es, browser, programmi di P2P, ecc...) facendoli girare di conseguenza in modalità "isolata" dal resto delle risorse di sistema.
Tramite browser sandboxato, dunque, l'utente scarica incautamente un file (in questo caso, l'installer di NoVirusThanks Antirootkit) e lo esegue.

L'installazione (isolata...) va a buon fine in accordo con quelle che sono le restizioni del Sandbox:
l'installer, infatti, è libero di comportarsi liberamente all'interno del sistema (creare file, cartelle...) fin tanto che non viola determinati criteri che sarebbero automaticamente scartati.

Ecco dunque che la cartella creata dall'installer compare nella partizione primaria,
http://img689.imageshack.us/img689/4671/13405399.th.jpg (http://img689.imageshack.us/i/13405399.jpg/)

i collegamenti sul desktop e in pannello applicazioni risultano visibili tranquillamente, ecc..
http://img132.imageshack.us/img132/2885/76652903.th.jpg (http://img132.imageshack.us/i/76652903.jpg/)


Tutto, cmq, è sintetizzato (=tenuto sotto controllo in modo trasparente!) da DefenseWall nella sua apposita scheda "lista di processi/applicazioni isolate" (untrusted applications list),

http://img718.imageshack.us/img718/2990/87146170.jpg

e nella scheda di Rollback,

http://img703.imageshack.us/img703/5057/18713720.jpg

L'esecuzione dunque del frutto dell'installazione (ad es via collegamento sul desktop...) avviene isolata (in questo caso ho un errore! data la particolarità del programma che richiede l'accesso a risorse protette di sistema per poter partire),
http://img690.imageshack.us/img690/7876/48638396.th.jpg (http://img690.imageshack.us/i/48638396.jpg/)

L'eseguibile, infatti, vuole usare (aprire..) un file di sistema (win32k.sys) contestualmente alla creazione di un suo servizio per "leggere informazioni da basso livello",
http://img839.imageshack.us/img839/9464/59019259.th.jpg (http://img839.imageshack.us/i/59019259.jpg/)

http://img201.imageshack.us/img201/3082/45081443.jpg

Con 2 click, infine (Rollback list-->Rollback o delete), si può ripristinare lo stato del sistema antecedente l'installazione untrusted..

Fine.

cloutz
12-11-2010, 19:22
[..]

Fine.
domanda cretina quanto sintetica: manca ancora tanto ai 64bit? :fagiano:
Giusto per capire se come Xiaolin è dell'opinione not in near future, o è realmente in cantiere..

mi scuso se non si ricollega al tuo post, ma mi interessava saperlo e il più informato che conosco in materia sei te :p

nV 25
13-11-2010, 15:29
"Non ho mai detto di non pensare al 64bit ma solo di farlo quando avrò trovato un modo per bypassare la tecnologia PatchGuard che mi permetta di offrire una protezione analoga a quella resa possibile sui 32bit" (traduzione libera di questo pensiero, link (http://www.wilderssecurity.com/showpost.php?p=1778971&postcount=37)).

Viene inoltre indicato molto genericamente "il prossimo anno" come periodo papabile:
gli sforzi, allo stato, si concentrano sempre sulla versione @ 32bit ormai sempre più prossima allo stadio "closed to perfect" :read: :D ("there are still some things need to be improved, but not much")...

cloutz
13-11-2010, 23:53
"Non ho mai detto di non pensare al 64bit ma solo di farlo quando avrò trovato un modo per bypassare la tecnologia PatchGuard che mi permetta di offrire una protezione analoga a quella resa possibile sui 32bit" (traduzione libera di questo pensiero, link (http://www.wilderssecurity.com/showpost.php?p=1778971&postcount=37)).

Viene inoltre indicato molto genericamente "il prossimo anno" come periodo papabile:
gli sforzi, allo stato, si concentrano sempre sulla versione @ 32bit ormai sempre più prossima allo stadio "closed to perfect" :read: :D ("there are still some things need to be improved, but not much")...

di fatto il KPP è raggirabile, questione di redesign, ma è fattibile.. la mia osservazione ora riguarda gli aggiornamenti
infatti ogni tanto aggiornano il KPP, il che vuol dire che il problema di bypassarlo potrebbe ripresentarsi ciclicamente (e il redesign sarebbe costante, per software di questo tipo o HIPS puri è una batosta) :(
e Microsoft non se lo sogna nemmeno di consentire eccezioni al PatchGuard..

boh :rolleyes:

cloutz
14-11-2010, 08:17
ah, visti quei test.. sto provando Spyware Terminator (lo usavo tipo 4 anni fa:D)
sto ancora cercando una configurazione "stabile" senza sbattimenti per il nuovo portatile, vediamo se è pienamente compatibile con i 64bit..

[EDIT]
non ne vale proprio la pena di usare ST, con Antivir su Windows 7 cn UAC e Windows Firewall in modalità avanzata ottengo:
di default:180/330
con ST: 190/330

:mbe:

Sto pensando sempre più di rimanere con questa config di default, persino CIS5 non mi ha soddisfatto molto :rolleyes:

nV 25
14-11-2010, 11:27
Caro cloutz, al di là di quello che segnalano su questa sezione in thread ben più blasonati :asd: (es, 1 (http://www.hwupgrade.it/forum/showthread.php?t=1576431) e, per certi versi, 2 (http://www.hwupgrade.it/forum/showthread.php?t=2011681&page=105)..), su 64bit c'è allo stato realmente poca scelta...:muro:

"Capisci a me" :D :
per rimanere sull'oggettivamente più valido rispetto alle boiate in circolazione, se CIS non ti soddisfa, resta da considerare OA/KIS...
Personalmente cmq "sento" anche in Spyshelter (premium!, la sola versione compatibile con i 64bit) un prodotto valido per quanto ancora poco conosciuto.
L'impressione infatti che ebbi quando gli segnalai al supporto alcuni bug fù quella di grande professionalità e interesse a sistemare in tempi rapidissimi i problemi qualora il report si fosse dimostrato corretto (riproducibile) anche nel loro lab...

Sandboxie è l'altro nome da prendere in seria considerazione (semplicemente: un nome, una garanzia anche se con i limiti descritti in questo documento, NotesAbout64BitEdition (http://www.sandboxie.com/index.php?NotesAbout64BitEdition), che riassumo velocemente in questi passaggi:
"The 64-bit edition of Sandboxie provides a reduced level of protection compared to the 32-bit edition of Sandboxie...
even with this disadvantage, the 64-bit edition of Sandboxie is still an adequate front line of defense against most types of malicious software..
in order to compensate for this disadvantage, the 64-bit edition of Sandboxie enables the Drop Rights setting by default..").

Nell'attesa, peraltro, che si decidano a tirare fuori la v3 di GesWall che metterà sicuramente fretta anche a Ilya...

cloutz
14-11-2010, 11:53
"Capisci a me" :D :
per rimanere sull'oggettivamente più valido rispetto alle boiate in circolazione, se CIS non ti soddisfa, resta da considerare OA/KIS...
Personalmente cmq "sento" anche in Spyshelter (premium!, la sola versione compatibile con i 64bit) un prodotto valido per quanto ancora poco conosciuto.


Quello che io sto cercando è la base della mia configurazione*.. quindi non andrò mai a basare la mia configurazione, per come sono io, su spyshelter/prevx ecc..
Inoltre:


CIS non ha convinto perchè la prima esecuzione viene di default disattivata (sfruttando la sandbox).. e cmq, pur volendo farne a meno:D , il tasto "esegui fuori dalla sandbox" nel popup a s/comparsa a me non funziona (figo eh??:stordita:)

OA non mi ha mai convinto, neanche sui 32bit


Sembrerà assurdo, ma finchè non viene rilesciato DW 64bit o resto così (che alla fin della fiera male non è, per l'uso che ne faccio) o provo KIS..


*dato che mi sto strippando anche per la palestra:D , passami sta similitudine: un pò come avviene quando fai pesi, c'è l'esercizio base su cui devi spingere e poi ci sono altri esercizi, complementari, per sfinire il muscolo. Ma tutto è subordinato all'esercizio base che scegli

nV 25
02-12-2010, 18:51
ok, visto che oggi era giornata di giochi, mi sono confrontato con questo! (http://www.threatexpert.com/report.aspx?md5=95c95e9f987a59f2a78856e85dc0c387) sample.

Direi dunque di passare direttamente alle immagini saltando il "chi la spunti"...:p

Scheda relativa alle modifiche sul file system/registro:
http://img146.imageshack.us/img146/9629/malwared.jpg

Elementi untrusted...
http://img199.imageshack.us/img199/5166/malwarea1.jpg

...e scheda di log
http://img51.imageshack.us/img51/4065/malwarea2log.jpg

17:20:39, module C:\Windows\System32\rundll32.exe, Attempt to create new key HKLM\SYSTEM\Setup\SetupapiLogStatus\ (Registry)

17:20:39, module C:\Windows\System32\rundll32.exe, Attempt to create service (Service)

17:20:39, module C:\Windows\System32\rundll32.exe, Attempt to create new key HKLM\SYSTEM\Setup\SetupapiLogStatus\ (Registry)

17:20:37, module C:\Users\test\Desktop\malware\malware.exe, Attempt to rename file to C:\Windows\System32\drivers\hcalway.sys (File )

17:20:36, module C:\Users\test\Desktop\malware\malware.exe, Attempt to create new file C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\»®´ÊËÑË÷.lnk (File )

17:20:33, module C:\Users\test\Desktop\malware\malware.exe, Attempt to set value MoveSearch within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (Registry)

Controllando il report linkato ad inizio pagina su ThreatExpert, si vede che DW "coglie" ovviamente tutto lo sviluppo del malware (vedi la prima immagine raggruppata per "rami" per le chiavi di registro o per cartelle per il file system, es %ProgramFiles%\HuaCi...)

http://img80.imageshack.us/img80/4375/malwarea3huaci.th.jpg (http://img80.imageshack.us/i/malwarea3huaci.jpg/)

Se l'analisi di ThreatExpert ci mette sul chi va là per la presenza di "3 funzioni agganciate", un controllo attento con strumenti dedicati sulle funzioni incriminate indica l'assenza di qualsiasi anomalia,

http://img222.imageshack.us/img222/6586/malwarehookedfunctions.th.jpg (http://img222.imageshack.us/i/malwarehookedfunctions.jpg/)

http://img89.imageshack.us/img89/665/malwarea1hooka.jpg

http://img686.imageshack.us/img686/8631/malwarea1hookb.jpg



*************************EDIT**********

Ok, modifico direttamente questo post senza stare a riportare su la discussione con un nuovo post.

Le immagini che seguono sono relative a 2 sample (u1.exe, dg.exe) abbastanza recenti del TDL 3 x64 compatibile che, su OS @ 32bit, sfruttano la stessa tecnica di impianto da me ormai verificata in lungo e in largo anche su queste stesse pagine (quindi, non si registrerà nessun reboot forzato tipico invece dell'OS @64bit).

Partirei stavolta dalla scheda di log,
http://img97.imageshack.us/img97/7743/tdl3a.jpg

17:13:29, module C:\Users\test\AppData\Local\Temp\1110.tmp, Internet connections are blocked (Network)

17:13:28, module C:\Users\test\AppData\Local\Temp\1110.tmp, Attempt to set value SavedLegacySettings within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\ (Registry)

17:13:28, module C:\Users\test\AppData\Local\Temp\1110.tmp, Attempt to set value ProxyEnable within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ (Registry)

17:13:26, module C:\Users\test\AppData\Local\Temp\1110.tmp, 8:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

17:13:26, module C:\Users\test\Desktop\dg\dg.exe, Attempt to send forbidden IOCTL code 4D014 to \Device\Harddisk0\DR0 (File )

17:13:26, module C:\Users\test\Desktop\dg\dg.exe, Attempt to add new printer provider (Spooler)

---------------------------
---------------------------

17:12:00, module C:\Users\test\Desktop\u1\u1.exe, Attempt to add new printer provider (Spooler)

17:12:00, module C:\Users\test\Desktop\u1\u1.exe, Attempt to add new printer provider (Spooler)


...per terminare con le alterazioni al FS/Registro "intrappolate" nella scheda di RollBack,
http://img502.imageshack.us/img502/6482/tdl3a1.jpg

cloutz
07-12-2010, 19:30
12/07/10

The update fixes number of issues with Internet Explorer, Firefox and Chrome browsers and integrates extended license for GeSWall Freeware.

64-bit version GeSWall is on the way and will be released for beta-testing soon. If you would like to participate in the beta-testing please send a message to our technical support.

Link | http://www.gentlesecurity.com/blog/index.php/2010/12/07/geswall-2-9-1-is-available-for-download

dai dai dai :sofico:

caturen
09-12-2010, 14:55
Qualcuno ha esperienza con questo software? Anche perchè c'è questa promozione di 1 anno:
http://www.megalab.it/6747/bufferzone-pro-gratis-per-1-anno
e si potrebbe approfittare :sbav:

cloutz
09-12-2010, 16:12
Qualcuno ha esperienza con questo software? Anche perchè c'è questa promozione di 1 anno:
http://www.megalab.it/6747/bufferzone-pro-gratis-per-1-anno
e si potrebbe approfittare :sbav:

ho letto della promozione, ma sinceramente non l'ho mai provato :D
qua l'unico che può saperne qualcosa è nV as usual :O

Draven94
09-12-2010, 20:55
Qualcuno ha esperienza con questo software? Anche perchè c'è questa promozione di 1 anno:
http://www.megalab.it/6747/bufferzone-pro-gratis-per-1-anno
e si potrebbe approfittare :sbav:

La grafica mi ricorda molto da vicino la sandbox del KIS (2010)
Comunque a titolo informativo dico che il software in questione è per sistemi x32

nV 25
12-12-2010, 18:19
Altri 2 giochini..

Una vecchia variante di GpCode, a regola la versione .ak descritta qui (http://www.securelist.com/en/descriptions/old313444) anche se non ho provveduto a farne preventivamente una scansione online per accertarmene...:D:muro:

Come si vede dall'immagine sotto, i file (aventi certe estensioni...) vengono regolarmente criptati...

http://img210.imageshack.us/img210/1814/gpcode1.jpg

Debitamente protetti, cmq, le versioni originali degli stessi restano regolarmente intatte (in chiaro),

http://img151.imageshack.us/img151/68/gpcode3.jpg

I "cloni", poi, potranno essere regolarmente rimossi dal sistema,

http://img34.imageshack.us/img34/8265/gpcode4.th.jpg (http://img34.imageshack.us/i/gpcode4.jpg/)




Capitolo TrojanDropper:Win32/Mariofev.I segnalato da EP_X0FF.

Dinamicamente descritto qui! (http://www.threatexpert.com/report.aspx?md5=f3941750b3bc83d5682f9f32b55658dd), è perfettamente contenuto dal Sandbox...

Interessante, come evidenziato anche da EP stesso, il suo tentativo di alterare una dll di sistema (ole32.dll) per consentirgli di autoavviarsi al reboot successivo..
"ole32.dll entry point overwritten to jump in malicious code at dll load [..]
loads itself at reboot through infestation of system dll - ole32.dll, in case of Vista takes ownership over protected system file to patch it."

http://img692.imageshack.us/img692/2866/56088821.jpg


Sotto, invece, un breve estratto catturato dal log,

17:58:38, module C:\Windows\System32\wbem\WMIC.exe, Internet connections are blocked (Network)

17:58:38, module C:\Windows\System32\wbem\WMIC.exe, Attempt to use BITS service for data manipulation (Process)

17:58:38, module C:\Windows\System32\wbem\WMIC.exe, 8:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

17:58:36, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set value SavedLegacySettings within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\ (Registry)

17:58:36, module C:\Users\test\Desktop\Malware\i.exe, Attempt to create new file C:\Windows\System32\drivers\atmapi.sys (File )

17:58:37, module C:\Users\test\Desktop\Malware\i.exe, Internet connections are blocked (Network)

17:58:35, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set value ProxyEnable within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ (Registry)

17:58:29, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set value fDenyTSConnections within the key HKLM\SYSTEM\ControlSet001\Control\Terminal Server\ (Registry)

17:58:28, module C:\Users\test\Desktop\Malware\i.exe, Attempt to open secured file C:\Windows\System32\config\Internet.default (File )

17:58:28, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set value MID within the key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\ (Registry)

17:58:29, module C:\Users\test\Desktop\Malware\i.exe, Attempt to open process C:\Windows\System32\csrss.exe (Process)

[...TAGLIATI numerosi tentativi di APERTURA degli altri processi in esecuzione...]


17:58:29, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set value sCrash within the key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\ (Registry)

17:58:29, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set value CrashFile within the key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\ (Registry)

17:58:29, module C:\Users\test\Desktop\Malware\i.exe, 8:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

17:58:26, module C:\Users\test\Desktop\Malware\i.exe, Attempt to open secured file C:\Windows\System32\ntoskrnl.exe (File )

17:57:08, module C:\Users\test\Desktop\Malware\i.exe, Attempt to overwrite file (overwrite_if) C:\Windows\System32\ole32.dll (File )

17:57:03, module C:\Users\test\Desktop\Malware\i.exe, Attempt to open handle in process C:\Users\test\Desktop\Malware\i.exe, source=\Device\HarddiskVolume2\Windows\System32\winlogon.exe, handle name=ALPC Port, options=2 (Process)

[ un breve estratto degli altri handle che il malware ha tentato di aprire dal processo winlogon:

handle name=Semaphore, options=2
handle name=\Device\KsecDD, options=2
handle name=Mutant, options=2
handle name=\Sessions\1\BaseNamedObjects\ThemesStartEvent, options=2
handle name=Semaphore, options=2
handle name=\RPC Control\WMsgKRpc084791, options=2
....]

17:57:04, module C:\Users\test\Desktop\Malware\i.exe, Attempt to set new security descriptor for C:\Windows\System32\ole32.dll (File )

[..TAGLIATI numerosi tentativi di APERTURA del file di sistema ntoskrnl.exe..]

17:57:04, module C:\Users\test\Desktop\Malware\i.exe, Attempt to open secured file C:\Windows\System32\ntoskrnl.exe (File )

cloutz
12-12-2010, 19:27
per il gpcode ho verificato la stessa identica cosa con geswall (c'era da aspettarselo).. peccato che però non ha la funzione di rollback :muro: :muro:

cloutz
19-12-2010, 20:44
Integrity levels and DLL injection (http://blog.didierstevens.com/2010/09/07/integrity-levels-and-dll-injection/)

interessante quest'articolo sugli integrity levels (non ne sapevo nulla), al di là del contesto DLL se ben applicati credo possano risultare utili.. anche se si tratta per ora di hardening bello e buono :D

crips
20-12-2010, 07:58
Per un limitato periodo, chi ne fosse interessato, DefenseWall proposto con un forte sconto:

https://www.plimus.com/jsp/buynow.jsp?contractId=1651658&referrer=softpedia&templateId=183151&couponCode=DEFENSEWALL_SOFTPEDIA_2010

Chill-Out
20-12-2010, 09:16
http://subsetlines.wordpress.com/vergleichstests/sandboxen/

nV 25
22-12-2010, 18:38
altri 2 giochini sul tema Dll injection (e, dunque, NO veri malware)..

Per entrambi i test, ho preso un processo a caso (notepad, PID:1840) e ho tentato di iniettarvi una dll (a caso, nell'es che segue è stata utilizzata una dll di CCleaner)

1° simulatore: dll inject

http://img824.imageshack.us/img824/774/immagine3og.th.jpg (http://img824.imageshack.us/i/immagine3og.jpg/)

2° simulatore: Dll control

http://img801.imageshack.us/img801/2473/immagine4o.th.jpg (http://img801.imageshack.us/i/immagine4o.jpg/)

(qui, di proposito, oltre al log di DefenseWall e all'esito restituito dal simulatore, ho messo anche la scheda "View DLL" di processexplorer che mostra ovviamente l'assenza della dll che ho tentato di "forzare"...

Sotto, invece, il solito test condotto tentando di attribuire al simulatore un ulteriore privilegio [SeDebug Privilege] per riuscire nel suo escamotage,
http://img577.imageshack.us/img577/7485/immagine4b.th.jpg (http://img577.imageshack.us/i/immagine4b.jpg/)
)

Qui, invece, la "rimbalzata" complessiva forzando il loader a iniettarsi in tutti i processi aperti,

http://img59.imageshack.us/img59/2315/immagine5jq.th.jpg (http://img59.imageshack.us/i/immagine5jq.jpg/)

(per questo test, risparmio il log di DW che mostra una sequenza di "open process attempts" sui diversi processi in memoria).



Detto questo, vado a cena con la "morte nel cuore" (esagerato mode on :D ) pensando a "come farò se in un futuro prossimo dovessi passare al 64bit" dove, francamente, non esiste nessuna valida soluzione di difesa proattiva se non giusto Sandboxie...:muro:

crips
22-12-2010, 18:57
Detto questo, vado a cena con la "morte nel cuore" (esagerato mode on :D ) pensando a "come farò se in un futuro prossimo dovessi passare al 64bit" dove, francamente, non esiste nessuna valida soluzione di difesa proattiva se non giusto Sandboxie...:muro:

..scusa... neppure Prevx serve a qualcosa? :cry: :rolleyes:

nV 25
22-12-2010, 19:33
PrevX 3, per quanto valido, è un prodotto atipico che per me non rientra (se non marginalmente..) nella sfera di "prodotti di sicurezza proattiva" cui io mi sono sempre riferito in questo thread...

Ciao :)

nV 25
22-12-2010, 20:11
L'ultima simulazione di stasera potrebbe essere quella volta a verificare la presenza di eventuali "interferenze" indotte da processi isolati (untrusted) nei confronti di processi "sicuri" (di sistema/non di sistema esclusi di conseguenza da qualsiasi costrizione imposta dal Sandbox, ad es. l'ormai famoso processo notepad):
in soccorso potrebbe venire per l'appunto questo! (http://processhacker.sourceforge.net/) tool simile al più blasonato Process Explorer della Sysinternals (ora Microsoft).

Condizione di test:
castrare la creazione del servizio (via SCM..) cosi' da forzare il processo a funzionare "nel solo spazio user mode"...
http://img707.imageshack.us/i/immagine1se.jpg/

esito:

http://img607.imageshack.us/img607/2118/immagine3v.th.jpg (http://img607.imageshack.us/i/immagine3v.jpg/)

(in virtù della forzatura evidenziata nelle "condizioni di test", i meccanismi TP3/TT3/TT4 non funzionano e infatti sono contrassegnati dalla dicitura "non disponibile")

cloutz
23-12-2010, 12:35
sto provando abbastanza spesso GW in virtual machine con diversi malware (quasi ogni giorno con tutti i link di MalwareDomainList), per cercare di conoscerlo meglio in attesa di una versione x64.
Considerazioni, quasi a scopo di diario personale:

- Una tra le cose che non avevo notato era l'opzione start scan per trovare gli Untrusted Files ed eliminarli :D

- Non mi è ancora chiarissima la differenza tra i 3 livelli di protezione, ma è più immediato passare all'Auto-Isolation
(Isolate Known Application genera troppi popup, Isolate Jailed App mi sembra un livello un pò scarno)

- 7zip da menu contestuale non conserva lo stato Untrusted, mentre facendo doppio click e poi Estrai, allora si
(pare essere un bug noto, sistemarlo no eh?) :fagiano:

- Voglio capire bene quali risorse (percorsi, anche partizioni) vengono protette dall'accesso di file Untrusted.. per far questo devo sfogliare il ruleset, cosa che non mi stimola molto :O

per il resto :cincin:

edit:
to-read http://www.wilderssecurity.com/showthread.php?t=180489
7zip non è un bug, ma una limitazione insita nell'implementazione di GW

cloutz
04-01-2011, 10:05
Tra parentesi, come già scritto su Wilders, lo scarso supporto di GW alle varie applicazioni da isolare mi ha fatto bestemmiare non poco:muro:

A partire da msn, thunderbird, applicazioni arcinote.. Il wizard per l'applicazione mi crea quelle solite 3 regolette (sarà stato programmato per fare solo quei 3 test di autolearning), che servono a gran poco.
Nello specifico solo per far lavorare thunderbird a regime ci ho messo 10min a creare regole, controllare log e fare test.. mi è passata la voglia quando ho scoperto che dovevo far così per la metà delle applicazioni che avevo installato, in quanto senza regole specifiche :mbe:

DW for the win a sto giro!

--------
ps: Buon Anno:cincin: :D

cocoz1
16-01-2011, 14:50
scusate la domanda ma il controllo hips sui malware 0 days ormai non è integrata negli antivirus come per esempio avira? se si setta per bene si è protetti ha la spunta proprio su questo o stiam parlando di cose diverse....

K1CK
18-01-2011, 20:18
Che io sappia la versione free di avira ha solo una euristica avanzata, quella commerciale potrebbe avere anche qualche funzionalità hips ma si è molto aldilà dall'essere protetti dagli attacchi 0 days.
Per chi smanetta con cracks, keygens e patchs o visita siti poco raccomandabili con solo avira ci fai ben poco.
Allo stato attuale con un buon behavior blockers con funzionalità hips si dovrebbe stare tranquilli. Sui 64 bit ci sono grossi problemi anche a proteggersi dalle dll injections.
Gli antivirus sono morti da molti anni ormai, qualcuno ancora cerca di farci i soldi. :D

cloutz
19-01-2011, 09:04
scusate la domanda ma il controllo hips sui malware 0 days ormai non è integrata negli antivirus come per esempio avira? se si setta per bene si è protetti ha la spunta proprio su questo o stiam parlando di cose diverse....

Come già detto gli hips integrati negli av non c'entrano niente con gli hips puri, anzi..
Questione diversa è per le suite (di fatto kaspersky, comodo, outpost, online armor integrano moduli hips degni di questo nome.. chi più chi meno ovvio, ma son opinioni)

Saluti

nV 25
05-02-2011, 15:54
Ridiamo l'uppino mensile a questo thread, giù...:p


Allora:
dopo le 1000 magagne del Sandbox di CIS 5 quando settato con la restrizione di default (es: 1 (http://forums.comodo.com/bug-reports-cis/two-more-bypasses-for-partially-limited-sandbox-t68628.0.html), 2 (http://forums.comodo.com/bug-reports-cis/another-bypass-for-the-sandbox-t68576.0.html), per non parlare poi di come veniva gestito il Rootkit TDL 3 ecc...), è ora la volta di Sandboxie:
sotto certe condizioni, infatti, uno dei PoC sviluppati da wj32 per bypassare CIS è in grado di arrivare allo scopo anche con il programma di Tzuk, "this PoC seems to be able to add an user account despite it being run in sandboxie. Closing the application and deleting the SB contents doesn't delete the account."

Fonte:
1 (http://www.sandboxie.com/phpbb/viewtopic.php?t=9812), 2 (http://ssj100.fullsubject.com/t370-sandboxie-bypassed).

Le "condizioni" cui facevo riferimento poc'anzi sarebbero queste:

1. Windows 7 32/64bit, Vista.
2. Administrator account.
3. Sandboxie Drop Rights disabled.


PS: sarei stato curioso di vedere testato anche DW ma, ormai, per me il 32bit è acqua passata... :(

nV 25
05-02-2011, 16:05
Dimenticavo:

sembra che lunedi arrivi la release finale di AppGuard 3! :D

done75
05-02-2011, 18:02
... dopo le 1000 magagne del Sandbox di CIS 5 quando settato con la restrizione di default (es: 1 (http://forums.comodo.com/bug-reports-cis/two-more-bypasses-for-partially-limited-sandbox-t68628.0.html), 2 (http://forums.comodo.com/bug-reports-cis/another-bypass-for-the-sandbox-t68576.0.html), per non parlare poi di come veniva gestito il Rootkit TDL 3 ecc...), è ora la volta di Sandboxie:
sotto certe condizioni, infatti, uno dei PoC sviluppati da wj32 per bypassare CIS è in grado di arrivare allo scopo anche con il programma di Tzuk, "this PoC seems to be able to add an user account despite it being run in sandboxie. Closing the application and deleting the SB contents doesn't delete the account. ...

Il caro vecchio D+ di CIS5 con il sandbox disattivato come se la caverebbe di fronte alla minaccia? c'è qualcuno che ha provato?

cloutz
05-02-2011, 18:48
Dimenticavo:

sembra che lunedi arrivi la release finale di AppGuard 3! :D

sai che non ho ancora inquadrato AppGuard?:D
in che categoria lo metteresti?

Hola

Chill-Out
05-02-2011, 20:27
Le "condizioni" cui facevo riferimento poc'anzi sarebbero queste:

1. Windows 7 32/64bit, Vista.
2. Administrator account.
3. Sandboxie Drop Rights disabled.

In una condizione "normale" è quasi impossibile trovare un terreno così fertile.


PS: sarei stato curioso di vedere testato anche DW ma, ormai, per me il 32bit è acqua passata... :(

http://www.sandboxie.com/phpbb/viewtopic.php?p=63470#63470

nV 25
05-02-2011, 21:00
Grazie, mod:
DefenseWall, secondo me, era davvero un gran bel gioiellino,
semplicemente "poco capito" per via della sua filosofia di fondo (sostanzialmente policy based) che, evidentemente, è risultata meno digeribile rispetto all'idea di un'area isolata (psicologia?)...


AppGuard, cmq, direi che è un Anti Executable con alcune feature interessanti (installing mode,..).

Lo conosco troppo poco ma mi prometto di testarlo a breve...

Ciao ciao :)

sampei.nihira
06-02-2011, 08:46
Ciao Enne, una curiosità anche per gli altri lettori,che sw hai "interessato" con EMET ?
Interessante se qualcuno non l'ha letto l'articolo sotto:

http://www.rationallyparanoid.com/articles/emet-testing.html

nV 25
06-02-2011, 09:13
un pò come era per DefenseWall, "interessati" da EMET ho tutti i processi (non di sistema) solitamente oggetto di exploit, dunque:

i browser (nel mio caso, ie+firefox), VLC, WMP, Foxit Reader, Winamp,...

cloutz
06-02-2011, 11:26
un pò come per era per DefenseWall, "interessati" da EMET ho tutti i processi (non di sistema) solitamente oggetto di exploit, dunque:

i browser (nel mio caso, ie+firefox), VLC, WMP, Foxit Reader, Winamp,...

per SB free invece reputi un rischio il pentolone generale dove girano i programmi protetti?
o, nel complesso, ha un ruolo marginale?

Saluti

nV 25
06-02-2011, 13:11
non ho capito la domanda...:(



Quello che volevo dire, cmq, è che psicologicamente l'idea di una zona totalmente virtuale in cui confinare determinate modifiche è percepita come soluzione più efficace rispetto a quanto offerto da modelli di difesa alternativi (es, DefenseWall/GesWall)...




Andando a vedere meglio, peraltro, anche il concetto di totalmente virtuale menzionato poc'anzi è scorretto visto che la zona isolata è cmq pur sempre collocata in una qualche porzione dell'HD...

cloutz
06-02-2011, 13:19
non ho capito la domanda...:(



[..]

in SB free c'è un'unica sandbox dove girano tutti i programmi sandboxati, non si possono creare più sandbox da avviare simultaneamente;
non c'è possibilità di creare sandbox specifiche, con specifici settaggi, per ciascun programma (funzione presente nella versione a pagamento, che permetterebbe di isolare ciascun programma).

Come giudichi questa limitazione?:D

nV 25
06-02-2011, 13:21
onestamente?

bo


Di sicuro, in conseguenza del discorso che hai fatto poc'anzi, vedo più delicato il rapporto Sandboxie Free/Keylogger...

Spero di risultare chiaro

nV 25
06-02-2011, 13:26
PS:
ora che non ho più la possibilità di utilizzare DW, vi comunico che con la release 3.10 attesa (credo) a giorni, Ilya ha implementato un sacco di miei suggerimenti! :muro:

:D



Es: essere informati per ogni nuovo processo untrusted diverso da quelli untrusted di default, e cosi' via...

cloutz
06-02-2011, 13:40
PS:
ora che non ho più la possibilità di utilizzare DW, vi comunico che con la release 3.10 attesa (credo) a giorni, Ilya ha implementato un sacco di miei suggerimenti! :muro:

:D



Es: essere informati per ogni nuovo processo untrusted diverso da quelli untrusted di default, e cosi' via...

ho tradotto le modifiche qualche giorno fa, sembrava molto soddisfatto della nuova versione!

cmq boh, non mi va molto a genio che i programmi "insicuri" nella sandbox possano scambiarsi messaggi e agire liberamente tra di loro (e sfruttare potenzialmente ciascuno le vulnerabilità dell'altro, i permessi di accesso al sistema reale dell'altro, anche se non so quanto questo sia realistico).
Poi chiaro, sempre meglio di niente [parola chiave per i 64bit]..

nV 25
11-02-2011, 17:46
Dimenticavo: [...]

dunque, oggi è la volta della release finale di AppGuard 3:

http://www.blueridgenetworks.com/products/appguard.php

Discussione ufficiale su Wilders Security [in Inglese...] (http://www.wilderssecurity.com/showthread.php?t=276677)

http://www.freeimagehosting.net/uploads/7c92bc59a8.jpg (http://www.freeimagehosting.net/)

http://img9.imageshack.us/img9/6287/immagine1ri.th.jpg (http://img9.imageshack.us/i/immagine1ri.jpg/)


Ora si aspetta che "maturi" qualche giorno ( = mi leggerò eventuali report di bug su wilders..) e poi molto probabilmente finirà sul mio Pc...

:D

cloutz
11-02-2011, 18:42
dunque, oggi è la volta della release finale di AppGuard 3:

[..]

Ora si aspetta che "maturi" qualche giorno ( = mi leggerò eventuali report di bug su wilders..) e poi molto probabilmente finirà sul mio Pc...

:D

tra l'altro, non chiedermi perchè, ma mi hanno scritto informandomi della nuova uscita e dandomi una licenza (forse ho fatto il beta-tester per loro, abbandonando per incompatibilità col sistema.. non ricordo bene)

son sempre belle queste notizie :D LOL

nV 25
11-02-2011, 18:53
si, infatti:
i beta tester sono stati ricompensati nel modo che hai descritto poc'anzi...




PS: non è mica che la vendi? :ciapet:

cloutz
11-02-2011, 19:14
si, infatti:
i beta tester sono stati ricompensati nel modo che hai descritto poc'anzi...




PS: non è mica che la vendi? :ciapet:

dovrei venderla a te? :Prrr: :ciapet:

scherzi a parte mi allettava l'idea di provarlo, data la scarsità di programmi sui 64bit (e dato che ho eliminato anche SandboxIE, preferisco windows senza rotture di balle)..

cmq di venderla non se ne parla: se vuoi NON te la vendo ma te la regalo, un pò per quanto detto sopra un pò perchè tanto avevo segnato l'email come spam prima di leggere il tuo post :D
Se vuoi, è tua..

Famme sapè, io vado a cena

nV 25
11-02-2011, 19:35
dai, cloutz:
scherzavo...


E poi, io sono della politica per cui vale fare un sacrificio a favore di chi se lo merita (che, in particolare in questo campo, raramente coincide con i grandi gruppi di interesse)...:read:

nV 25
11-02-2011, 19:41
PS: semmai non sono Silvio sotto mentite spoglie ma una persona che, come tante altre, si alza tutte le mattine per andare a lavoro, un lavoro che poi oltretutto lo gratifica anche "il giusto" (ma questo è un altro discorso)...

nV 25
18-02-2011, 18:28
scusate se abuso di questo thread per dare 2 notizie slegate dall'oggetto della discussione..

La prima, simpatica, è che ho appreso oggi che uno degli utenti più prolifici di post su WildersSecurity, Bellgamin, ha compiuto 80 (!) anni da poco :eek::
siamo di fronte, insomma, ad un nonnino delle Hawaii che ama sperimentare e condividere le proprie esperienze informatiche con un entusiasmo (e tutto sommato, competenza...) degno di tanti giovani...

Un mito,
http://www.wilderssecurity.com/showthread.php?t=287816

:)


La 2°, invece, che mi ha lasciato francamente basito, è la prematura scomparsa di un "papà", Franklin..

http://www.wilderssecurity.com/showthread.php?t=293132


Lo ho letto tante volte in innumerevoli discussioni apprezzandone sinceramente la viva intelligenza e il suo spirito di sperimentazione...:(

cloutz
18-02-2011, 19:34
scusate se abuso di questo thread per dare 2 notizie slegate dall'oggetto della discussione..

La prima, simpatica, è che ho appreso oggi che uno degli utenti più prolifici di post su WildersSecurity, Bellgamin, ha compiuto 80 (!) anni da poco :eek::
siamo di fronte, insomma, ad un nonnino delle Hawaii che ama sperimentare e condividere le proprie esperienze informatiche con un entusiasmo (e tutto sommato, competenza...) degno di tanti giovani...

Un mito,
http://www.wilderssecurity.com/showthread.php?t=287816

:)



prima del tuo 80esimo ci dobbiamo incontrare eh nV, promesso :D !
manca tanto?? :ciapet:

per Franklin, ovviamente, condoglianze.. grande sensibilità anche della figlia ad informare la comunità di wilders: per quanto sia tutto virtuale alla fine ci sono sempre persone dietro lo schermo.

Un abbraccio

nV 25
18-02-2011, 19:52
...
manca tanto?? :ciapet:

qualche luna...:tie: :D

Ciao, cloutz :Prrr:

sampei.nihira
19-02-2011, 16:22
scusate se abuso di questo thread per dare 2 notizie slegate dall'oggetto della discussione..

La prima, simpatica, è che ho appreso oggi che uno degli utenti più prolifici di post su WildersSecurity, Bellgamin, ha compiuto 80 (!) anni da poco :eek::
siamo di fronte, insomma, ad un nonnino delle Hawaii che ama sperimentare e condividere le proprie esperienze informatiche con un entusiasmo (e tutto sommato, competenza...) degno di tanti giovani...

Un mito,
http://www.wilderssecurity.com/showthread.php?t=287816

:)


La 2°, invece, che mi ha lasciato francamente basito, è la prematura scomparsa di un "papà", Franklin..

http://www.wilderssecurity.com/showthread.php?t=293132


Lo ho letto tante volte in innumerevoli discussioni apprezzandone sinceramente la viva intelligenza e il suo spirito di sperimentazione...:(

A Bellgamin gli auguri, a Fraklin, notizia che rammarica molto, le più sentite condoglianze.
Grazie Enne di aver dato visibilità alla cosa.

Devo ammettere che qualche volta anche questo pescatore si è chiesto se i propri cari avrebbero informato le comunità virtuali dove scrive di fatti improvvisi si spera molto in là nel tempo.

Molto sensibile Deanne che ha avuto tale pensiero.
Se per il padre il tempo speso in rete era importante e gli dava soddisfazione,il suo gesto è stato come un doveroso omaggio.

nV 25
20-02-2011, 08:43
@ cloutz: hai un pvt

caturen
01-03-2011, 15:24
Una ottima occasione per usufruire di questo programma per lo più sconosciuto in italia:

http://www.trustware.com/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=69&cntnt01detailtemplate=press_detail&cntnt01returnid=56
Penso si possa rapportare a programmi come defensewall e geswall ed ha la stessa "facilità" di uso dei suddetti programmi di sicurezza (solo per 32 bit però)

nV 25
01-03-2011, 17:23
(L'imminente v3.10 di) DefenseWall, invece, strizza sempre di più l'occhio a favore della chiarezza:
l'interpretazione di quelli che sono gli elementi untrusted, possibile ad oggi solo attraverso un'analisi della scheda di Rollback o via context menù (metodo estremamente scomodo..), può essere aggirata con il semplice "colpo d'occhio":
explorer, infatti, mostrerà un'icona particolare per identificare ogni elemento avente questa caratteristica (un pò come avviene per GesWall)...


Vedi anche questo link! (http://gladiator-antivirus.com/forum/index.php?showtopic=115640)per un'idea di quelle che sono le icone allo studio...




PS: si, davvero un GRAN bel prodotto...:cry:

sampei.nihira
03-03-2011, 16:38
Mi rivolgo a nV25 oppure Romagnolo1973 o altri che usano EMET 2.

Avrei bisogno di una info in merito ai lettori pdf.
Con Foxit/Adobe nessun problema, ho verificato io stesso.

C'è qualcuno che ha notato eventuali problemi con PDF-XChange Viewer emettizzato lanciato sotto Sandboxie con i vari browser (ovviamente anch'essi emettizzati) ?

Il motivo è che sono passato da poco a questo lettore pdf ed ho letto quì (http://www.wilderssecurity.com/showpost.php?p=1829250&postcount=125) e quì (http://www.wilderssecurity.com/showpost.php?p=1829366&postcount=128) qualche problema con Firefox.
Ma ovviamente non avendo Firefox installato,mi chiedevo se con Chrome ed Opera ci sono problemi ?

Grazie.:)

nV 25
03-03-2011, 17:44
Spiacente, sampei, ma uso solo Foxit Reader e non saprei come aiutarti...:(

sampei.nihira
04-03-2011, 15:19
Non fà niente grazie lo stesso.;)
Vedrò di appurarlo (prima o poi ma necessito di un'aggiornamento) io stesso.

Anzi a tal proposito mi chiedo se non sia utile l'apertura di un 3D dedicato (anche se sarà frequentato meno di questo) su EMET.

Almeno per riportare problemi o meno sulle applicazioni da emettizzare che sono veramente diverse e variegate.

nV 25
04-03-2011, 18:27
L'apertura di una discussione dedicata ad EMET è probabilmente necessaria quanto meno per far prendere coscienza al pubblico della sua esistenza:
ne ho infatti solo 2 ma sono pronto a scommetterli entrambi sul fatto che (se va bene) solo l'1% dei frequentatori di questa sezione è a conoscenza dell'esistenza di questo tool (gratuito..) "di hardening"...


Sul discorso delle applicazioni da "emetizzare", non vedo sinceramente dove sia il problema:
un pò ci si arriva a logica, un pò viene in soccorso il sito del quale anche te avevi fornito il link tempo fà, EMET v2 (http://www.rationallyparanoid.com/articles/microsoft-emet-2.html)...

Le linee guida per capire cosa emetizzare, infatti, sono riassunte in questo passaggio:

Below are some suggestions for Windows desktops:
* Any/all web browsers installed on your computer (Internet Explorer, Firefox, Chrome, Opera)
* Entire MS Office suite (Access, Excel, Outlook, PowerPoint, Word)
* Sun (now Oracle) Java
* Any media player (Windows Media Player, VLC, iTunes, RealPlayer, QuickTime, Winamp)
* Any software that waits and listens for a network connection
* Any Adobe product that you see frequently listed within Adobe's Security bulletins and advisories.

And so on.

E' chiaro che l'articolo termina con un "and so on" (= e cosi' via...) visto che chi lo ha scritto non poteva certo mettersi li' a indicare 1x1 le singole applicazioni che potrebbero beneficiare dell'hardening però, come dicevo poc'anzi, ci si può arrivare in via estensiva...

Sul discorso delle eventuali incompatibilità registrate, invece, potrebbe essere un'altro paio di maniche (Skype, ad es, è indicato come un software che non ama troppo Emet)...



-----EDIT-----

eliminato il PS che avrebbe potuto prestarsi ad una scorretta interpretazione..

Ciao

sampei.nihira
04-03-2011, 20:24
L'apertura di una discussione dedicata ad EMET è probabilmente necessaria quanto meno per far prendere coscienza al pubblico della sua esistenza:
ne ho infatti solo 2 ma sono pronto a scommetterli entrambi sul fatto che (se va bene) solo l'1% dei frequentatori di questa sezione è a conoscenza dell'esistenza di questo tool (gratuito..) "di hardening"...


Sul discorso delle applicazioni da "emetizzare", non vedo sinceramente dove sia il problema:
un pò ci si arriva a logica, un pò viene in soccorso il sito del quale anche te avevi fornito il link tempo fà, EMET v2 (http://www.rationallyparanoid.com/articles/microsoft-emet-2.html)...

Le linee guida per capire cosa emetizzare, infatti, sono riassunte in questo passaggio:

Below are some suggestions for Windows desktops:
* Any/all web browsers installed on your computer (Internet Explorer, Firefox, Chrome, Opera)
* Entire MS Office suite (Access, Excel, Outlook, PowerPoint, Word)
* Sun (now Oracle) Java
* Any media player (Windows Media Player, VLC, iTunes, RealPlayer, QuickTime, Winamp)
* Any software that waits and listens for a network connection
* Any Adobe product that you see frequently listed within Adobe's Security bulletins and advisories.

And so on.

E' chiaro che l'articolo termina con un "and so on" (= e cosi' via...) visto che chi lo ha scritto non poteva certo mettersi li' a indicare 1x1 le singole applicazioni che potrebbero beneficiare dell'hardening però, come dicevo poc'anzi, ci si può arrivare in via estensiva...

Sul discorso delle eventuali incompatibilità registrate, invece, potrebbe essere un'altro paio di maniche (Skype, ad es, è indicato come un software che non ama troppo Emet)...



-----EDIT-----

eliminato il PS che avrebbe potuto prestarsi ad una scorretta interpretazione..

Ciao

Si,esatto,io intendevo proprio quelle,per quello avevo scritto di ".....problemi o meno....".
Oltre a Skype,cui se non vado errato (perchè non lo uso quindi non mi sono soffermato più di tanto) qualche utente ha verificato che basta disabilitare una spunta (non ricordo quale citava)..... mi ricordo di aver letto anche di Returnil e MBAM.

Oltretutto tiro ad indovinare sarebbero da accertare eventuali incompatibilità con i sw che usano un modulo sandbox.
Faccio un esempio,così tanto per far capire meglio.
Se con Sandboxie tutto fila liscio non è detto che con Avast 6 o un altro sw suigeneris si verifichi a priori la stessa cosa.

Romagnolo1973
05-03-2011, 10:01
Si,esatto,io intendevo proprio quelle,per quello avevo scritto di ".....problemi o meno....".
Oltre a Skype,cui se non vado errato (perchè non lo uso quindi non mi sono soffermato più di tanto) qualche utente ha verificato che basta disabilitare una spunta (non ricordo quale citava)..... mi ricordo di aver letto anche di Returnil e MBAM.

Oltretutto tiro ad indovinare sarebbero da accertare eventuali incompatibilità con i sw che usano un modulo sandbox.
Faccio un esempio,così tanto per far capire meglio.
Se con Sandboxie tutto fila liscio non è detto che con Avast 6 o un altro sw suigeneris si verifichi a priori la stessa cosa.

gli unici problemi li ha in sede di aggiornamento dei programmi che protegge, java mi ha dato molti problemi, mi ero dimenticato che era stato EMETizzato, inoltre Emet secondo me anche una volta disinstallato continua a lasciare i programmi protetti, così a naso visto i problemi che ho avuto con java, ed EMET lo avevo tolto ma senza prima togliere le protezioni che forniva.
Io avevo emetizzato (sul grande avendo almeno 5 software di protezione non lo uso, sull'eeepc di scarse prestazioni invece era d'obbligo, ma sono tornato su linux che è meglio) flash, java, opera, pdf exchange senza alcun problema andava benissimo interfaciandosi con Opera, non Avast che ha già la sua autoprotezione e quindi mi sembrava abbastanza, ma è da dire che sul piccolino avevo veramente poche cose, a parte come detto quei problemi, in sede di uso quotidiano tutto ok

Romagnolo1973
05-03-2011, 11:36
mai provato qualcuno questo?
http://www.skyrecon.com/en/StormShield-Personal-Edition

tra i pochi free a funzionare anche a 64bit (solo Seven)

Jaguar64bit
05-03-2011, 13:58
mai provato qualcuno questo?
http://www.skyrecon.com/en/StormShield-Personal-Edition

tra i pochi free a funzionare anche a 64bit (solo Seven)



software interessante perchè free e compatibile win7 x64 ( hai letto della collaborazione con Avira ? ) , importante il fatto che abbia un modulo di protezione del registro , cosa che ritengo basilare per la sicurezza.


Ps: solo da non esperto di questi programmi , vi chiedo.. questo non è un HIPS vero ? è un programma che monitora le attività in alcune aree del s.o non è fatto per segnalare ogni attività come un HIPS o sbaglio ?

arnyreny
05-03-2011, 14:44
mai provato qualcuno questo?
http://www.skyrecon.com/en/StormShield-Personal-Edition

tra i pochi free a funzionare anche a 64bit (solo Seven)

software interessante perchè free e compatibile win7 x64 ( hai letto della collaborazione con Avira ? ) , importante il fatto che abbia un modulo di protezione del registro , cosa che ritengo basilare per la sicurezza.


Ps: solo da non esperto di questi programmi , vi chiedo.. questo non è un HIPS vero ? è un programma che monitora le attività in alcune aree del s.o non è fatto per segnalare ogni attività come un HIPS o sbaglio ?

l'ho provato un pochettino a mio modesto parere è poca cosa:(

nV 25
05-03-2011, 16:06
[...] Ps: solo da non esperto di questi programmi...

vivila pure serenamente, Jaguar:
qui i fuori-quota sono solo 2, eraser (semplicemente una spanna sopra tutti...) e riazzituoi che, da un pò di tempo, ha "parcellizzato" i suoi interventi...

Jaguar64bit
05-03-2011, 23:04
vivila pure serenamente, Jaguar:
qui i fuori-quota sono solo 2, eraser (semplicemente una spanna sopra tutti...) e riazzituoi che, da un pò di tempo, ha "parcellizzato" i suoi interventi...


ciao nV 25 , tu per dedizione all'argomento sicurezza e in particolare sugli HIPS meriteresti una medaglia d'onore.
verissimo..eraser è un "fuori parametro" , essendo un programmatore di software per la sicurezza , anche io lo stimo molto.


Ps: qui l'unica schiappa sull'argomento sono io , dunque vi prego non fate i modesti.:D




l'ho provato un pochettino a mio modesto parere è poca cosa:(


peccato , un programma del genere mi sarebbe tornato utile , vedremo se in futuro migliorerà.

nV 25
06-03-2011, 10:30
Ok, ho cercato di leggere il più attentamente possibile il thread su wilders dove si parla di EMET, L I N K (http://www.wilderssecurity.com/showthread.php?t=289086).

Considerazioni (molto personali):
da un concetto relativamente semplice (lo scopo principale di questo tool è infatti quello di tentare di contenere il rischio derivante da un exploit che colpisca una delle applicazioni poste sotto la sua tutela castrando il ventaglio di tecniche più frequentemente adottate dagli hacker), si finisce (al solito...) per complicarsi la vita "paranoizzando" il tutto.

Ecco dunque che, se in alcune review si consiglia di "emetizzare" le applicazioni che risultino "in ascolto", si finisce per vedere configurazioni che prevedono (addirittura!) l'emetizzazione dell'intera cartella system32 e, di contraltare, il Pc che al reboot successivo non parte nemmeno costringendo a dover avviare la macchina in modalità provvisoria...


Insomma, EMET merita sicuramente di essere approfondito e indagato...a patto che si rimanga sull' "umano"...:)

sampei.nihira
06-03-2011, 11:26
Vero hai ragione nV25 non bisogna diventare eccessivamente paranoici !! ;)

Visto che ancora non ha postato nessuno un' immagine ecco le mie applicazioni emetizzate:

http://www.pctunerup.com/up/results/_201103/th_20110306122007_EMET.JPG (http://www.pctunerup.com/up/image.php?src=_201103/20110306122007_EMET.JPG)

Noterete che java non è presente nella lista,perchè con Opera in navigazione non consueta adotto disabilitare i javascript mentre con Chrome è l'impostazione predefinita.
Per il flash uso l'attivazione dei plugin su richiesta (quindi un flashblock),con Chrome l'estensione medesima.

Naturalmente la lista, è in continua lavorazione,visto che stò riducendo notevolmente i sw installati nel mio pc......

Unico sw presente nella lista ma non testato in modo sufficiente,perchè lo uso quasi mai,per non dire mai è amsn.

Noterete che il mio OS è XP perchè manca, se non vado errato, una colonna di spunte.

cloutz
06-03-2011, 12:40
News:
Ho contattato matousec per fargli presente come la loro super-classifica valga zero sui 64 bit.
Mi aspettavo semi-insulti, invece mi hanno detto che in realtà è vero, e che entro quest'anno provvederanno a creare una nuova suite di test per rendere veritiero il giudizio sui prodotti testati.

Per il resto, in questi giorni sto testando SpyShelter sui 64bit.. a breve le opinioni :D

cloutz
07-03-2011, 14:43
provato SpyShelter, traduzione pietosa fatta da google translate.. il programma è piccolino (4 schede in croce), mi son offerto di sistemarla e mi han regalato 2 licenze
[mezzora netta di lavoro, ma tanto non me ne faccio nulla e tra poco capirete il perchè..]

cmq allestita VM @ 64bit:
- SS impostato con AskUser per qualunque cosa, per evitare i loro modi di whitelisting-signed application che potrebbero far passare malware.
per iniziare lo provo contro dei malware generici (rogue, sinowal), e la situazione è tragica, pur bloccando quei 2 avvisi che escono tutto viene installato e la macchina evidentemente infettata!! :help:
per sfizio ripristino e provo contro trojan, tdss > senza nessun avviso la VM si riavvia, addio.
sui 64bit è da usare solo come anti-X-logging.
sui 32bit, forse..

-provo D+ contro gli stessi malware, ed in confronto è oro!
In realtà stanno facendo un pò di casini con le opzioni More-Options ecc, perchè oltre a ridurre le opzioni riduce anche il numero e il tipo di avvisi importanti. Provate e rimarrete sbalorditi..
Quindi secondo me ParanoidMode + Popup completi vecchio stile, e si ragiona..

Ho usato malware generici per non mettere subito troppo in difficoltà SS, ma sinceramente non passa neanche il test d'ingresso.. il tdss in effetti, potevo risparmiaglielo.

Ho avuto uno scambio di email tra ieri sera e oggi con il supporto, abbastanza veloci e tutto, un pò presuntuosi sulla loro strategia di protezione.. tant'è che alla fine si vede (sui 64 bit s'intende, sui 32bit non metto becco) :stordita:

Holaa :D

nV 25
11-03-2011, 13:34
DefenseWall 3.10 beta (http://gladiator-antivirus.com/forum/index.php?showtopic=116116) :cry: :muro:


PS: consiglio caldamente a coloro che fossero ancora sul 32bit di procedere senza indugio alla rimozione del proprio parco di difesa a favore di questa soluzione che sarà anche a pagamento ma che offre al contempo un grado di sicurezza & una semplicità d'uso semplicemente disarmante...

caturen
15-03-2011, 17:51
DefenseWall 3.10 beta (http://gladiator-antivirus.com/forum/index.php?showtopic=116116) :cry: :muro:


PS: consiglio caldamente a coloro che fossero ancora sul 32bit di procedere senza indugio alla rimozione del proprio parco di difesa a favore di questa soluzione che sarà anche a pagamento ma che offre al contempo un grado di sicurezza & una semplicità d'uso semplicemente disarmante...

Forse c'è speranza anche per il 64 bit:
Ilya Rabinovich
Developer
DefenseWall Personal Firewall 64 bit version is in the plans. But first I have to implement things I promised some of my users before- to make a remote control console.

nV 25
15-03-2011, 18:03
ottimo, caturen!

Personalmente ne ero già al corrente (e con me, il buon cloutz..) grazie ad una serie di email intercorse non molti gg fà con Ilya:
ciò non toglie che vedere la notizia resa pubblica rende oltremodo credibile l'interesse a non abbandonare questa piattaforma che, molto probabilmente, diventerà predominante in futuro...


PS: la prox volta inserire i link alle notizie, txs.. :)
http://www.wilderssecurity.com/showthread.php?p=1842070#post1842070

Kohai
15-03-2011, 21:59
Vero hai ragione nV25 non bisogna diventare eccessivamente paranoici !! ;)

Visto che ancora non ha postato nessuno un' immagine ecco le mie applicazioni emetizzate:

http://www.pctunerup.com/up/results/_201103/th_20110306122007_EMET.JPG (http://www.pctunerup.com/up/image.php?src=_201103/20110306122007_EMET.JPG)

Noterete che java non è presente nella lista,perchè con Opera in navigazione non consueta adotto disabilitare i javascript mentre con Chrome è l'impostazione predefinita.
Per il flash uso l'attivazione dei plugin su richiesta (quindi un flashblock),con Chrome l'estensione medesima.

Naturalmente la lista, è in continua lavorazione,visto che stò riducendo notevolmente i sw installati nel mio pc......

Unico sw presente nella lista ma non testato in modo sufficiente,perchè lo uso quasi mai,per non dire mai è amsn.

Noterete che il mio OS è XP perchè manca, se non vado errato, una colonna di spunte.

Scusami sampei, una domanda da niubbo: ma non e' per caso inutile emetizzare emule e/o torrent?
Il perche' lo spiego subito: essi son programmi che servono per lo scambio di file ed in genere per scaricare, quindi, pericoloso sarebbe il file scaricato ma non il software utilizzato.

Cioe', per fare un esempio, il browser si interpone fra l'utilizzatore finale ed internet, e si potrebbe utilizzare un suo bug per poter "entrare" nel computer, cioe' fungerebbe da veicolatore.
Con i p2p invece sono gli stessi utenti a scambiarsi file, il software utilizzato (emule o torrent o altri) fa solo da tramite, cioe' mette in comunicazione gli utenti e basta, non ci "mette del suo".

O mi sbaglio? :stordita:

sampei.nihira
16-03-2011, 13:04
Scusami sampei, una domanda da niubbo: ma non e' per caso inutile emetizzare emule e/o torrent?
Il perche' lo spiego subito: essi son programmi che servono per lo scambio di file ed in genere per scaricare, quindi, pericoloso sarebbe il file scaricato ma non il software utilizzato.

Cioe', per fare un esempio, il browser si interpone fra l'utilizzatore finale ed internet, e si potrebbe utilizzare un suo bug per poter "entrare" nel computer, cioe' fungerebbe da veicolatore.
Con i p2p invece sono gli stessi utenti a scambiarsi file, il software utilizzato (emule o torrent o altri) fa solo da tramite, cioe' mette in comunicazione gli utenti e basta, non ci "mette del suo".

O mi sbaglio? :stordita:

Al contrario visto che sono sw che si connettono in rete ma sopratutto sono molto diffusi ed usati da tutti, una eventuale vulnerabilità sfruttabile da remoto potrebbe essere veramente problematica.
Ti faccio un esempio te la ricordi la vulnerabilità DLL che aveva preso di mira diversi sw tempo fà ?
Ebbene anche utorrent ne era afflitto:

http://secunia.com/advisories/41051/

Con EMET sicuramente sarebbe stato meno esposto.;)

Kohai
16-03-2011, 16:00
Al contrario visto che sono sw che si connettono in rete ma sopratutto sono molto diffusi ed usati da tutti, una eventuale vulnerabilità sfruttabile da remoto potrebbe essere veramente problematica.
Ti faccio un esempio te la ricordi la vulnerabilità DLL che aveva preso di mira diversi sw tempo fà ?
Ebbene anche utorrent ne era afflitto:

http://secunia.com/advisories/41051/

Con EMET sicuramente sarebbe stato meno esposto.;)

Allora sbagliavo io a pensarla in quel modo :(
Grazie per la risposta Sampei :)

nV 25
13-04-2011, 11:38
Riporto su questa discussione per dare visibilità ad una buona notizia:
le versioni x64 di 7 & Vista, con il rilascio dell'ultima tornata di patch di ieri, hanno risolto il problema del Rootkit TDL 4...

Microsoft Security Advisory (2506014) (http://www.microsoft.com/technet/security/advisory/2506014.mspx)

Microsoft is announcing the availability of an update to winload.exe to address an issue in driver signing enforcement. [...] this update addresses a method by which unsigned drivers could be loaded by winload.exe. This technique is often utilized by malware to stay resident on a system after the initial infection.

What causes this issue to occur?
During the boot process, winload.exe determines the signed state of system binaries. Certain inadequacies in this process allow unsigned binaries to be loaded. When this occurs, Windows is unable to guarantee the integrity of certain core operating system components.

What is the Windows OS Loader (winload.exe)?
The Windows OS Loader (winload.exe) loads the Windows Kernel and its dependencies as well as the boot-start drivers. [...] This application is part of the operating system and loads a specific version of Windows.[...]

What is driver signing?
Driver signing associates a digital signature with a driver package. Windows device installation uses digital signatures to verify the integrity of driver packages and to verify the identity of the vendor (software publisher) who provides the driver packages. In addition, the kernel-mode code signing policy for x64-based editions of Windows Vista and later versions of Windows specifies that a kernel-mode driver must be signed for the driver to load

Why is this update only available for x64-based systems?
Driver signing is not a requirement of 32-bit editions of the listed Windows operating system versions.



In questa nota infezione, dunque, imputato non era tanto il meccanismo "PatchGuard" che, infatti, non subiva alcun bypass, quanto piuttosto il sistema preposto al caricamento dell'OS...

http://img847.imageshack.us/img847/9559/immagine1t.th.jpg (http://img847.imageshack.us/i/immagine1t.jpg/) http://img405.imageshack.us/img405/1213/immagine2tq.th.jpg (http://img405.imageshack.us/i/immagine2tq.jpg/)

nV 25
13-04-2011, 16:14
Visto che ormai la discussione è salita, ne approfitterei per esternare ancora una volta uno spassionato consiglio:

per 30€ (+ 12€ circa per ogni rinnovo annuale...), che aspetta la gente che ha un OS @ 32bit a comprarsi una licenza di DefenseWall?

Con Sandboxie, semplicemente un software spettacolare! che, oltretutto, NON richiede neppure l'intervento dell'utenza per essere configurato al massimo (contrariamente invece a ciò che avviene ad es con Sandboxie)...

Questo, ad es, è l'ultimo report di MRG:
http://img820.imageshack.us/img820/3079/immagine2fz.th.jpg (http://img820.imageshack.us/i/immagine2fz.jpg/)

0 infezioni attive, T U T T O prevenuto! (vedi anche MRG Flash test (http://malwareresearchgroup.com/))...



:rolleyes:

crips
14-04-2011, 07:57
Visto che ormai la discussione è salita, ne approfitterei per esternare ancora una volta uno spassionato consiglio:

per 30€ (+ 12€ circa per ogni rinnovo annuale...), che aspetta la gente che ha un OS @ 32bit a comprarsi una licenza di DefenseWall?

Con Sandboxie, semplicemente un software spettacolare! che, oltretutto, NON richiede neppure l'intervento dell'utenza per essere configurato al massimo (contrariamente invece a ciò che avviene ad es con Sandboxie)...

Questo, ad es, è l'ultimo report di MRG:
http://img820.imageshack.us/img820/3079/immagine2fz.th.jpg (http://img820.imageshack.us/i/immagine2fz.jpg/)

0 infezioni attive, T U T T O prevenuto! (vedi anche MRG Flash test (http://malwareresearchgroup.com/))...



:rolleyes:

Ciao nV, in effetti mi attrae non poco l'idea di installare DW sul mio XP!
Mi chiedevo: convive con Prevx e KAV2011? inoltre lo potrei sostituire a PC tools FW?
Sono facilmente gestibili evenutali reti interne, anche via WI-FI? Lo chiedo perchè uso un programma TVersity (conosci?) per passare i film dal pc fisso al portatile che collego alla TV.

Ti ringrazio.
Ciao
:)

cloutz
14-04-2011, 08:06
Con Sandboxie, semplicemente un software spettacolare! che, oltretutto, NON richiede neppure l'intervento dell'utenza per essere configurato al massimo(contrariamente invece a ciò che avviene ad es con Sandboxie)...


:ahahah:


:D :D :D

nV 25
14-04-2011, 09:32
Ciao nV, in effetti mi attrae non poco l'idea di installare DW sul mio XP!
Mi chiedevo: convive con Prevx e KAV2011? inoltre lo potrei sostituire a PC tools FW?
Sono facilmente gestibili evenutali reti interne, anche via WI-FI? Lo chiedo perchè uso un programma TVersity (conosci?) per passare i film dal pc fisso al portatile che collego alla TV.

Ti ringrazio.
Ciao
:)
ciao, crips. :)

DW dovrebbe convivere tranquillamente con Prevx e KAV2011:
la sicurezza matematica, cmq, l'avresti solamente contattando il supporto all'indirizzo support@softsphere.com o verificando di persona (i 30gg di prova servono anche a quello)...

Personalmente, cmq, seguirei un approccio minimalista affiancando a DW il solo Prevx o uno scanner on demand...
Se hai infatti dato un'occhiata veloce al post n°1, avrai sicuramente osservato che gli scanner, quando affiancati ad una soluzione come questa, servono solo a rimuovere i residui (come chiavi di registro/file/cartelle) creati da processi untrusted (= il potenziale virus..).
La particolarità, dunque, è che questi residui sono presenti effettivamente sul sistema ma in stato *DISARMATO*:
in sostanza, non costituiscono pericolo per la macchina anche se materialmente presenti.


Allo scanner in real time, dunque, può essere rimesso semplicemente il compito di avvertire in tempo reale se ci si trova di fronte ad un oggetto già identificato come infetto (che senso ha eseguirlo se già in partenza sappiamo che è nocivo?)...

Nell'ipotesi invece non infrequente in cui lo scanner rilevi la pericolosità di certi oggetti solo in un 2° momento, nessun problema visto che cmq sono già stati "contenuti di default" dal Sandbox...
Ecco allora che lo scanner fa semplicemente in automatico quello che un utente esperto potrebbe fare manualmente e da solo semplicemente agendo sulla scheda di RollBack...


Sulle reti interne?
al 99% difficoltà di configurazione pari a 0 se non già automatizzato tutto il meccanismo...
Anche qui, Ilya sarà ben lieto di risponderti & AIUTARTI PERSONALMENTE, fidati...

nV 25
14-04-2011, 09:35
:ahahah:


:D :D :D

spiega l'ilarità, demonio che non sei altro...:ciapet:

cloutz
14-04-2011, 09:41
spiega l'ilarità, demonio che non sei altro...:ciapet:

nulla di che, hai confuso DW con Sandboxie :D

Con DefenseWall, semplicemente un software spettacolare! che, [..](contrariamente invece a ciò che avviene ad es con Sandboxie)...

l'ho notato solo perchè l'hai proprio sottolineato in rosso! :D

nV 25
14-04-2011, 09:47
mi ero espresso in modo articolato invece che come mangio?
Non sarebbe la 1° volta...:asd:

crips
14-04-2011, 10:17
ciao, crips. :)

DW dovrebbe convivere tranquillamente con Prevx e KAV2011:
la sicurezza matematica, cmq, l'avresti solamente contattando il supporto all'indirizzo support@softsphere.com o verificando di persona (i 30gg di prova servono anche a quello)...

Personalmente, cmq, seguirei un approccio minimalista affiancando a DW il solo Prevx o uno scanner on demand...
Se hai infatti dato un'occhiata veloce al post n°1, avrai sicuramente osservato che gli scanner, quando affiancati ad una soluzione come questa, servono solo a rimuovere i residui (come chiavi di registro/file/cartelle) creati da processi untrusted (= il potenziale virus..).
La particolarità, dunque, è che questi residui sono presenti effettivamente sul sistema ma in stato *DISARMATO*:
in sostanza, non costituiscono pericolo per la macchina anche se materialmente presenti.


Allo scanner in real time, dunque, può essere rimesso semplicemente il compito di avvertire in tempo reale se ci si trova di fronte ad un oggetto già identificato come infetto (che senso ha eseguirlo se già in partenza sappiamo che è nocivo?)...

Nell'ipotesi invece non infrequente in cui lo scanner rilevi la pericolosità di certi oggetti solo in un 2° momento, nessun problema visto che cmq sono già stati "contenuti di default" dal Sandbox...
Ecco allora che lo scanner fa semplicemente in automatico quello che un utente esperto potrebbe fare manualmente e da solo semplicemente agendo sulla scheda di RollBack...


Sulle reti interne?
al 99% difficoltà di configurazione pari a 0 se non già automatizzato tutto il meccanismo...
Anche qui, Ilya sarà ben lieto di risponderti & AIUTARTI PERSONALMENTE, fidati...

Ciao, allora posso fare del "pesante" KAV??? (la licenza mi scade tra 250 gg. ma davvero mi delude in termini di pesantezza, era meglio addirittura Il NAV 2011 che ho provato per 3 mesi)
Togliere l'antivirus lo farei di botto non fosse altro che il pc in questione lo utilizza anche mio figlio che non è molto esperto in sicurezza (credo più che altro sia disinteressato all'argomento) e per questo mi piace molto Prevx.

Dimenticavo.... tolgo pure Zemana Antilogger?

PS come sempre nV sei molto preciso ed esaudiente. Credo che farò un tentativo con DW e se riscontro problemi o dubbi contatterò te o il supporto, grazie.

nV 25
14-04-2011, 11:52
Se su un sistema è installato DefenseWall (e Sandboxie, anche se quest'ultimo richiede più cautela nel momento in cui si deve decidere "cosa salvare" sul sistema reale...), NON E' NECESSARIO NIENTE se non uno scanner in real time (per evitare di eseguire file che già in partenza sappiamo essere nocivi...) o uno scanner on demand/tradizionale che rimuova eventuali residui lasciati dietro di se da un'installazione (o processo) untrusted a patto che non si sia sufficientemente esperti da utilizzare da soli la RollBack list.



Ancora una volta, dunque:
utilizzo DW/Sbxie?

SI--> (fondamentalmente) non è necessario nient'altro

NO--> è tutto un altro paio di maniche anche se NON metterei MAI troppe soluzioni di difesa contemporaneamente..


Nel tuo caso, dunque, Prevx, Hitman Pro (on demand) e DefenseWall...e hai uno strato di difesa realmente difficile da aggirare...

nV 25
14-04-2011, 22:40
DefenseWall ha fallito?

"Nel mio test (eseguito oggi) DefenseWall ha fallito totalmente, se qualcuno vuole effettuare il test vi lascio i campioni, peraltro non recenti."

http://www.megalab.it/forum/topic71269.html

nV 25
14-04-2011, 23:03
Se qualcuno di Megalab vede questa discussione, mi scuso per scrivere qui ma ho smarrito user/password da quando ho cambiato Pc e non riesco più a riloggarmi per poter rispondere o altro...

Da quello che vedo cmq sul report di threatexpert (http://threatexpert.com/report.aspx?md5=68070aad1d2c0f66f9d305ca3d3aff24), il malware in questione fondamentalmente non fa nulla di eclatante:
crea delle chiavi nel registro per potersi avviare al reboot successivo (in particolare,
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Security.exe = "%CommonAppData%\maldonado\Security.exe" ) e apre delle connessioni verso l'esterno sulla porta 80:
in sostanza, è impossibile che DW fallisca un test cosi' banale quando ha resistito ad urti decisamente più "importanti"...


La 1° cosa che mi chiedo, dunque, è:
quali sarebbero i sintomi che farebbero pensare di essere stati bypassati? (il malware si riavvia, ad es., al reboot successivo?)


Leggerò gli sviluppi domani,
notte! :)

nV 25
14-04-2011, 23:16
A meno che non sia stata abilitata la modalità "EXPERT MODE" (che, infatti, è riservata esclusivamente ad un'utenza super avanzata con tutti i rischi del caso ben evidenziati peraltro anche sulla guida in linea...), al 99% so già come va a finire..

Scommettiamo che chi ha fatto la prova in oggetto dirà che "Malwarebyte" (o chi per lui..) ha rilevato la chiave HKEY_CURRENT_USER\Software\maldonado & il file 950253.exe nel percorso %CommonAppData%\[ecc]?



Domani mi leverò lo sfizio di leggere il proseguo della storia...

cloutz
14-04-2011, 23:36
ho testato quel malware, pienamente contenuto (alla fine, come detto da te, non fa niente di che)

Impostazioni di default, tutti gli avvisi disabilitati:
DefenseWall log file

04.15.2011 00:08:57, module System, Attempt of connect to the UDP port 138 (Network)

04.15.2011 00:08:07, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, Attempt to set value Common AppData within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\ (Registry)

04.15.2011 00:08:07, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, Internet connections are blocked (Network)

04.15.2011 00:08:07, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, Attempt to set value Security.exe within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ (Registry)

04.15.2011 00:08:06, module C:\Documents and Settings\vm\Desktop\dw bypass\driver64.exe, 1:Process is running untrusted now (Process)


proprio per evitare ovvietà ho chiesto, su megalab, la metodologia di test :p

Saluti

nV 25
15-04-2011, 10:35
Sinceramente, non avevo dubbi...



Guardando la metodologia di test postata su Megalab, il nocciolo è sicuramente nel punto 5,
"Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce"


Ora, col discorso che ho effettuato il passaggio ai 64bit, è da 5 mesi che non ho + sotto mano DW per potermi ricordare a memoria le impostazioni...

Dò un'occhiata quindi alla guida in linea e vi farò risapere...

nV 25
15-04-2011, 10:57
osservazioni al volo:

"Trasferisco tramite drag & drop la cartella in questione contenente 26 minacce"

- La cartella è "prelevata" da un'unità USB?
Se si, è attiva la voce "lancia automaticamente come untrusted le applicazioni che si trovano su supporto removibile"?

- La cartella è "prelevata" da un CD/DVD?
Se si, è attiva la voce "considera Untrusted i CD/DVD"??

- La cartella è "prelevata" da una cartella condivisa?
Se si, è attiva la voce "considera le cartelle condivise come Untrused"?


In sostanza, sono attive la 2°, 3° e ultima voce di questo "specchietto"?

http://img24.imageshack.us/img24/9533/immagine3sl.th.jpg (http://img24.imageshack.us/i/immagine3sl.jpg/)



Il semplice "drag and drop" (copia/incolla) di una cartella infetta da una locazione ad un altra, come mi sembra di capire che sia stato fatto in questo caso prelevandola al 99% da una partizione diversa da quella di sistema, *NON* dice al motore di DefenseWall che ALLORA quella cartella deve essere trattata come Untrusted...a meno che non la si "bolli" espressamente come tale...

Io ci gioco i miei 2 °° che è andata cosi', e questo perchè non si conosce il programma e si pretende di saperlo testare alla cieca...

cloutz
15-04-2011, 10:59
aspetto che mi giri i sample..
intanto, ottime le modifiche alle icone per file/cartelle untrusted :sbav:

http://img25.imageshack.us/img25/1060/70250945.th.png (http://img25.imageshack.us/i/70250945.png/)

Uploaded with ImageShack.us (http://imageshack.us)

nV 25
15-04-2011, 11:02
io, o rimonto XP su VM (e sempre che non lo abbia cestinato...), o non ho più un OS @ 32bit con cui poter "giocare"....:muro: :cry:


PS: mi fai vedere altri screen delle "novità"?

nV 25
15-04-2011, 11:09
aspetto che mi giri i sample...[/URL]


c'è poco da aspettare...

Anche senza avere DW (e il sample) sotto mano, è come dico io

E' sufficiente perlatro controllare manualmente le "proprietà" della cartella tramite context menù per vedere che la cartella è TRUSTED!, o guardare nella scheda di RollBack dove NON FIGURERA' (+ nelle untrusted list, dove mancherà anche li')...



CASO CHIUSO.




DW è moooooooooooolto migliore di come lo si vuole spacciare per ignoranza

nV 25
15-04-2011, 11:19
Signori, diano retta a me:


CHI VUOLE UN SISTEMA @ 32 BIT REALMENTE PROTETTO, USI DefenseWall o Sandboxie*...

[Giusto per scrupolo, con UAC attivo e al massimo se si è sotto Vista/7...]



*che, al contrario di DefenseWall, richiede xò più accortezza nel momento in cui si deve decidere cosa togliere dal sandbox

cloutz
15-04-2011, 11:41
non so quale sono le ultime aggiunte a DW, comunque a occhio le cose principali che ho notato sono:

qualche voce nuova nelle popup notification
http://img59.imageshack.us/img59/9054/immagineyem.th.png (http://img59.imageshack.us/i/immagineyem.png/)

icone modificate per Untrusted Files/Folders
http://img714.imageshack.us/img714/9831/immagine2may.th.png (http://img714.imageshack.us/i/immagine2may.png/)

poi, onestamente, è da qualche mese che non usando tutti i giorni OS a 32bit l'ho accantonato, quindi di sicuro ci sarà qualcos'altro che non ho notato :D

per il resto.. ho chiesto apposta le metodologie di test: per attribuire significatività al test, la metodologia è fondamentale (premesse sbagliate portano a formulare ipotesi errate, con risultati fallati, soprattutto se si vuole testare qualcosa senza conoscerne il meccanismo).
comunque, un giretto al sample -giusto per dimostrare l'errore-, ormai non glielo toglie nessuno.. :ciapet:

nV 25
15-04-2011, 12:43
Senza offesa, ma non ho tempo da perdere con chi pensa di fare da tester credibile senza essersi preso neppure la briga di leggere 2 secondi il manuale...


O, quantomeno, di "simulare" un uso normale del PC (es., utilizzando un browser per scaricare un malware cosi' da simulare uno scenario di drive by download, o utilizzando una penna USB "casualmente" infetta...):
nel caso in esame, al 99% si prende una cartella che non è su CD/USB nè su una locazione condivisa, si copia il contenuto (sicuramente) sul Desktop...e mi dovrebbero spiegare per quale magica alchimia il motore di DefenseWall dovrebbe arrivare da solo a capire che la nuova cartella creata deve essere trattata come Untrusted...


Non ci siamo...


E poi, con Sandboxie sarebbe diverso?? (a meno di non forzare ovviamente l'esecuzione del contenuto a partire sandboxato, cosa peraltro che è possibile fare anche con DefenseWall)...


Semplicemente, ci vorrebbe un pò più di umiltà lasciando fare da tester a chi ha qualche capacità in più...


Fine

nV 25
15-04-2011, 13:06
non so quale sono le ultime aggiunte a DW, comunque a occhio le cose principali che ho notato sono:

qualche voce nuova nelle popup notification
http://img59.imageshack.us/img59/9054/immagineyem.th.png (http://img59.imageshack.us/i/immagineyem.png/)

icone modificate per Untrusted Files/Folders
http://img714.imageshack.us/img714/9831/immagine2may.th.png (http://img714.imageshack.us/i/immagine2may.png/)



Le voci nuove sono rispettivamente la 1° e l'ultima nella scheda "popup notifications options"...

Più, ovviamente, le "icone modificate" alla GesWall (2° screen)...



PS:
togliendo il segno di spunta a tutte le voci eccetto la 1° e l'ultima in questa scheda,

http://img807.imageshack.us/img807/541/immagine1y.th.jpg (http://img807.imageshack.us/i/immagine1y.jpg/)

si ottiene la tanto agognata AUTOMAZIONE.

Infatti,

disabilitando la 2° voce --> non si viene disturbati se un processo isolato accede ad una risorsa protetta

disabilitando la 3° voce --> i processi partono SEMPRE ISOLATI anche se si dovessero trovare nell'area tradizionalmente preposta al download, es il desktop, a patto che non siano digitalmente firmati nel qual caso scatta la white list

disabilitando la 4° voce --> si bloccano automaticamente i tentativi di reboot operati da processi isolati

disabilitando la 5°/6° voce --> si bloccano automaticamente i tentativi di connessione verso l'esterno operati da processi isolati


Le voci "novità", invece, conviene tenerle attive e informeranno rispettivamente l'utente nel caso in cui
- un'installazione untrusted (in sostanza, un processo isolato..) tenti di scrivere nella cartella "programmi" (ultima voce)
- venga lanciato un processo secondario da uno degli elementi presenti nella untrusted list...

pcpassion
15-04-2011, 20:58
Scusami NV 25 avrei una domada:
Uso da tempo Comodo Firewall con il suo modulo hips ( il miglior firewall secondo me), avast antivirus( moduli sandbox e comportamento disattivati) e Sandboxie 3.xx
Avvio il browser e il client email sempre in sandboxie con limitazione dei diritti ed eliminazione automatica del contenuto alla chiusura.
Windows 7 64bit.
Possono convivere sandboxie e il modulo hips di Comodo? ( ovviamente le applicazioni avviate in sandboxie NON sono anche nella sandbox di comodo)
Grazie.

Kohai
15-04-2011, 21:20
Scusami NV 25 avrei una domada:
Uso da tempo Comodo Firewall con il suo modulo hips ( il miglior firewall secondo me), avast antivirus( moduli sandbox e comportamento disattivati) e Sandboxie 3.xx
Avvio il browser e il client email sempre in sandboxie con limitazione dei diritti ed eliminazione automatica del contenuto alla chiusura.
Windows 7 64bit.
Possono convivere sandboxie e il modulo hips di Comodo? ( ovviamente le applicazioni avviate in sandboxie NON sono anche nella sandbox di comodo)
Grazie.

Forse intendevi la sand di comodo con sandboxie.
L'hips e la sandbox sono 2 cose differenti.

eraser
16-04-2011, 00:34
Se posso permettermi, intervenendo sul discorso Megalab/DefenseWall, penso che dovreste abbassare un po i toni. Mi sembra che vi siate lasciati prendere un po troppo la mano e, pur avendo ragione, poi si passa dalla parte del torto.

Mio personalissimo parere, sia chiaro

pcpassion
16-04-2011, 08:36
Forse intendevi la sand di comodo con sandboxie.
L'hips e la sandbox sono 2 cose differenti.
"è preferibile installare 1 solo HIPS per macchina:
una "catena di hook" sulla solita API, infatti, può mettere potenzialmente in discussione l'intero modello di difesa generando instabilità (BSOD) o interferenze tra una soluzione e l'altra...


Due, fondamentalmente, sono i modelli di riferimento cui è possibile ricondurre l'intero panorama di queste soluzioni:

1) gli HIPS "puri"
2)i Sandbox"
Questa premessa viene fatta all'inizio da nv 25
Ora da utente non avanzato, con la configurazione che ho detto sopra, domando se il firewall di comodo che ha un modulo sandbox e un modulo def+ possa convivere con sandboxie oppure uno dei 2 moduli ( def+ o sandbox) fa a pugni con sandboxie e va disattivato.
Come ho già premesso le applicazioni che vanno in rete ( browser ecc) vengono avviate solo con sandboxie ( perchè ha più opzioni mentre la funzione sandboxa sempre di comodo ha qualche problemino ( bug?)).
Grazie.

nV 25
16-04-2011, 08:47
Se posso permettermi, intervenendo sul discorso Megalab/DefenseWall, penso che dovreste abbassare un po i toni. Mi sembra che vi siate lasciati prendere un po troppo la mano e, pur avendo ragione, poi si passa dalla parte del torto.

è sicuramente innegabile che ho usato un atteggiamento esageratamente aggressivo contro un utente che, in definitiva, era in buona fede e, di questo, mi sono scusato sia pubblicamente che in pvt...


Allo stesso modo, non è ammissibile che la passi franca una disinformazione di quella portata solo perchè chi testa non ha chiaro come funziona il programma sotto esame...

Non lo merita il progetto DefenseWall nè il suo sviluppatore...

nV 25
16-04-2011, 08:54
@ pcpassion:

quello che scrivo io, cmq, non è vangelo ma fondamentalmente una sintesi di concetti che ho assorbito nel corso del tempo.

Il tema HIPS/Sandbox, infatti, è cosi' delicato e strettamente connesso al sistema "Windows Internals" che sfugge (aimè) da una comprensione totale per chi, come me, altro non è che un amatore...


Vedo cmq di dare risposta ai tuoi quesiti...

cloutz
16-04-2011, 08:54
aspettando una risposta di nV ti dico il mio parere :) :

onestamente interpreto quella frase non come "dovete trovare i software che non lavorano sulla medesima API, perchè non vi daranno problemi", ma come un'esortazione a "non mettere troppi attori in scena", perchè i ruoli si potrebbero confondere e, spesso, potrebbero cozzare tra di loro andando ad agire sulle medesime funzioni (API).

quindi non sapendo adesso a memoria con esattezza quali hook vengano stabiliti da Comodo e quali da Sandboxie, non so dirti a priori se faranno a cazzotti o meno -ma potrebbero esserci altri motivi per cui non andranno d'accordo-

io, personalmente, tenderei a utilizzare meno cose possibili e sfruttare tutte le potenzialità di un software (Sandboxie o Defense+) abbinato ad un antivirus :)

Saluti

edit:
hai risposto insieme a me :P

Chill-Out
16-04-2011, 09:06
Allo stesso modo, non è ammissibile che la passi franca una disinformazione di quella portata solo perchè chi testa non ha chiaro come funziona il programma sotto esame...

Non lo merita il progetto DefenseWall nè il suo sviluppatore...

Ma sempre in buona fede, suvvia :)

nV 25
16-04-2011, 09:08
In sostanza, quello che chiedi è la coesistenza di Sandboxie con Comodo...

Posto che condivido perfettamente il discorso fatto poc'anzi da Cloutz (è quello, infatti, il significato da attribuire all'evitare una catena di hook sulla solita API...), posso dirti che qualcuno, anche in tempi non troppo remoti, ha lamentato difficoltà di coesistenza tra i 2 programmi...

Spero tu non me ne voglia ma non ricordo la portata di questo "conflitto" che potrebbe tranquillamente essere stato superato o se si produceva solo in determinate circostanze...


Se cmq disattivi il Sandbox di Comodo cosi' da sfruttare esclusivamente gli altri moduli (= l'HIPS, il FW, l'AV), sulla carta direi che non dovresti registrare grossi problemi...

pcpassion
16-04-2011, 09:47
Grazie nv 25 e grazie cloutz
Non ho riscontrato per ora problemi di incompatibilità tra sandboxie e la sandbox di Comodo che entra in funzione e rompe le scatole soprattutto quando installo una nuova applicazione, tuttavia per evitare possibili conflitti ora l'ho disattivata(sandbox di Comodo), così come avevo subito disattivato per lo stesso motivo, come già specificato nel mio primo post, modulo sandbox e protezione comportamento di avast...
Piccola digressione, considerata la mia esperienza e gli ultimi test di AV-comparative non ho più dubbi sull'antivirus.
Ciao grazie.

eraser
16-04-2011, 10:00
è sicuramente innegabile che ho usato un atteggiamento esageratamente aggressivo contro un utente che, in definitiva, era in buona fede e, di questo, mi sono scusato sia pubblicamente che in pvt...


Allo stesso modo, non è ammissibile che la passi franca una disinformazione di quella portata solo perchè chi testa non ha chiaro come funziona il programma sotto esame...

Non lo merita il progetto DefenseWall nè il suo sviluppatore...

Premetto che mi sono permesso di esprimere un mio personalissimo parere visto che so quanto valete e visto che so quanto vale questo thread,e ci tengo (e tengo a voi) particolarmente.

Detto questo, sono totalmente d'accordo che il test sia stato sbagliato, però bisogna calibrare anche l'eventuale risposta. Quello che mi è sembrato di vedere è stato un'alzata di scudi nei confronti di DefenseWall quasi pari a quella che fanno coloro che difendono Linux contro Windows e viceversa, scadendo in provocazioni e atteggiamenti che rischiano di danneggiare la stessa risposta utile per chiarire il concetto.

È stata fatta un'affermazione sbagliata? Semplicemente si risponde, si chiedono spiegazioni e si dà il proprio parere. Non credo ci sia bisogno di fare ulteriori illazioni varie. Come dice Chill-Out, era in buona fede suvvia, non era pagato dalla concorrenza

nV 25
16-04-2011, 11:14
Marco, nessuna levata di scudi solo perchè ho sentito "aggredito" un nome:
DefenseWall, infatti, è soggetto, come qualsiasi altro software, a bug e bypass (anche se, per fortuna, rarissimi e direi prontamente fixati)...

Potenzialmente, dunque, non ci sarebbe motivo di scandalo se tra qualche gg un programmatore particolarmente scaltro trovasse un nuovo canale per veicolare l'infezione nel sistema bypassando DW, Sbxie o altro...

L'aggressione, pertanto, non era un GRIDO contro l'IMPOSSIBILITA' che quest'eventualità si produca..


Direi, piuttosto, (e qui inizia un gioco di parole che spero mi perdonerete..) che siccome l'80% della gente "esperta" non sa in realtà una mazza sulle logiche di funzionamento di certe soluzioni, e siccome queste piccole software house non possono difendersi da sole (vuoi perchè non conoscono ovviamente l'italiano, vuoi perchè non conoscono Hw nè Megalab ecc..), trovo necessario dover intervenire a difesa di una logica piuttosto che del nome in se per se...

Non vi è dubbio, cmq, che c'è modo e modo...


Quello che voglio dire, poi, è che anche uno sputtanamento in buona fede per una realtà piccola come quella sottostante DW e molte altre, INCIDE E NON POCO sulle vendite e, parallelamente, sulla sua capacità di sopravvivenza...


Sandboxie ha meno bisogno di essere difeso?
Semplicemente perchè si comporta in maniera più trasparente rispetto all'utente col discorso del Sandbox implementato in quella maniera che può essere assimilato ad uno sciaquone...
(Ma anche quest'approccio, se si va a ben vedere, ha le sue debolezze)...

eraser
16-04-2011, 11:25
Non vi è dubbio, cmq, che c'è modo e modo...


Ti sei risposto da solo


Io ci gioco i miei 2 °° che è andata cosi', e questo perchè non si conosce il programma e si pretende di saperlo testare alla cieca...


DW è moooooooooooolto migliore di come lo si vuole spacciare per ignoranza


Senza offesa, ma non ho tempo da perdere con chi pensa di fare da tester credibile senza essersi preso neppure la briga di leggere 2 secondi il manuale...

Semplicemente, ci vorrebbe un pò più di umiltà lasciando fare da tester a chi ha qualche capacità in più...

Fine

@ hashcat:
http://www.hwupgrade.it/forum/showthread.php?p=34945312#post34945312

dal post 2898 in poi, grazie...

Mi dispiace essere stato crudo ma, se si vuol fare i tester "credibili", è necessario quanto meno informarsi prima



(permettimi la presunzione, ma) le cose che ho scritto su HW le hai lette??

Umiltà, gente...

Sono queste cose che mi è dispiaciuto leggere, per tutto il resto hai perfettamente ragione. Il test era errato.

Ma comunque stop, non diamo troppo peso a tutto l'accaduto. L'importante è che vi siete chiariti, anche per spiegare meglio il funzionamento di DefenseWall :)

Buona giornata a tutti! :)

Ciao,

Marco

Kohai
16-04-2011, 12:51
"è preferibile installare 1 solo HIPS per macchina:
una "catena di hook" sulla solita API, infatti, può mettere potenzialmente in discussione l'intero modello di difesa generando instabilità (BSOD) o interferenze tra una soluzione e l'altra...


Due, fondamentalmente, sono i modelli di riferimento cui è possibile ricondurre l'intero panorama di queste soluzioni:

1) gli HIPS "puri"
2)i Sandbox"
Questa premessa viene fatta all'inizio da nv 25
Ora da utente non avanzato, con la configurazione che ho detto sopra, domando se il firewall di comodo che ha un modulo sandbox e un modulo def+ possa convivere con sandboxie oppure uno dei 2 moduli ( def+ o sandbox) fa a pugni con sandboxie e va disattivato.
Come ho già premesso le applicazioni che vanno in rete ( browser ecc) vengono avviate solo con sandboxie ( perchè ha più opzioni mentre la funzione sandboxa sempre di comodo ha qualche problemino ( bug?)).
Grazie.

Ti hanno gia' risposto perfettamente sia cloutz che nv25, ma ricollegandomi al mio post precedente, dato che il target della tua richiesta nel successivo post e' declinato dall'hips alla sand, era riferito alla tua specifica domanda ovvero
Possono convivere sandboxie e il modulo hips di Comodo?

naturalmente anche io eviterei la sand di comodo preferendo quella di sandboxie, come pure (ad esempio) ho disattivato il controllo web di online armor poiche' reputo migliore quello effettuato da avast.

Saluti.

nV 25
18-04-2011, 13:30
Come da titolo, ho bisogno di confrontarmi con altri utenti che si trovano con un OS x64 e abbiano EMET installato per poter verificare alcune cose che non riesco a capire da solo.

La mia perplessità è legata all'ALSR, "sistema di mitigazione" preposto a randomizzare gli indirizzi di memoria in cui vengono caricate le DLL per far si che la DLL oggetto dell'attacco "non si trovi più mappata nella locazione nella quale l'expolit pensava di trovarla" *...

Prendiamo dunque VideoLan (VLC.exe):
EMET è regolarmente in uso (vedi la 1° voce in alto sotto "name")...ma TUTTE le librerie di VLC (es: libaccess_bd_plugin.dll, [...], libvlc.dll, libvlccore.dll, [..]) NON risultano essere mappate ad indirizzi randomizzati! (infatti, per ogni DLL, base address = image base address)

http://img26.imageshack.us/img26/788/immagine2qc.jpg (http://img26.imageshack.us/i/immagine2qc.jpg/)


Come riferimento alla mia richiesta, potete dare un'occhiata anche qui:
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx

Grazie a chi ha la bontà di rispondermi...



PS:
per riprodurre l'ambiente di test, è necessario:
7 @ 64 bit
UAC attivo & al massimo del settaggio (a regola, cmq, ininfluente ai fini di questa verifica)...
Utilizzare un account limitato (SUA) e, da questo, procedere alla verifica con Process Explorer...















* libera rielaborazione di quello che dovrebbe essere il concetto di ASLR...

nV 25
18-04-2011, 13:35
PS 2:
avrei necessità di un programmino freeware che mi consenta sia di scattare foto che di procedere in modo semplice all'editing dell'immagine...
Attualmente utilizzo PicPick ma stò riscontrando serie difficoltà in fase di editing (mai registrate, peraltro, con le versioni più datate)...:muro:

In 2° luogo, avrei bisogno che mi venisse indicato un servizio per l'upload delle immagini alternativo ad imageshack (non riesco più a postare infatti tramite il servizio citato poc'anzi immagini più grandi di un francobollo!! :muro: )


:)

sampei.nihira
18-04-2011, 14:23
PS 2:
avrei necessità di un programmino freeware che mi consenta sia di scattare foto che di procedere in modo semplice all'editing dell'immagine...
Attualmente utilizzo PicPick ma stò riscontrando serie difficoltà in fase di editing (mai registrate, peraltro, con le versioni più datate)...:muro:

In 2° luogo, avrei bisogno che mi venisse indicato un servizio per l'upload delle immagini alternativo ad imageshack (non riesco più a postare infatti tramite il servizio citato poc'anzi immagini più grandi di un francobollo!! :muro: )


:)

Ciao Enne io uso XP quindi non ti posso aiutare per ciò che hai chiesto prima,ma per le immagini uso principalmente quello sotto,in rari casi anche quello sotto ancora:

http://www.pctunerup.com/up/

http://www.imagebanana.com/


p.s.

Potresti provare GIMP che io uso sotto Linux ma per scattare istantanee del desktop (se ho capito bene cosa ti necessita) uso le funzioni integrate nei sistemi quindi dovresti verificare.....

cloutz
18-04-2011, 16:33
PS 2:
avrei necessità di un programmino freeware che mi consenta sia di scattare foto che di procedere in modo semplice all'editing dell'immagine...
Attualmente utilizzo PicPick ma stò riscontrando serie difficoltà in fase di editing (mai registrate, peraltro, con le versioni più datate)...:muro:

In 2° luogo, avrei bisogno che mi venisse indicato un servizio per l'upload delle immagini alternativo ad imageshack (non riesco più a postare infatti tramite il servizio citato poc'anzi immagini più grandi di un francobollo!! :muro: )


:)

io uso solo tasto Stamp e Paint (e non uso EMET) :D

News:
Oggi un'email dal supporto GentleSecurity -Geswall- mi informa che stanno lavorando alla nuova versione di Geswall x64 e che sarà distribuito attraverso un pacchetto -freeware-.



Saluti

nV 25
18-04-2011, 17:55
[...]


[...]
buona la news su GW, e grazie ovviamente per le risposte...

Come da titolo, ho bisogno di [...]
mi resta eraser che è sicuramente in grado di dare una risposta anche senza dover riprodurre l'ambiente di test...:sperem:

arnyreny
18-04-2011, 18:24
PS 2:
avrei necessità di un programmino freeware che mi consenta sia di scattare foto che di procedere in modo semplice all'editing dell'immagine...


:)

questo e' il migliore ...e' free
http://www.italiasw.com/news/ashampoo-snap-3-cattura-schermo-gratis.html

nV 25
18-04-2011, 18:35
bravo cloutz:
http://securityblog.altervista.org/blog/proviamo-la-sandbox-di-comodo/ :read:

Kohai
18-04-2011, 19:06
PS 2:

In 2° luogo, avrei bisogno che mi venisse indicato un servizio per l'upload delle immagini alternativo ad imageshack (non riesco più a postare infatti tramite il servizio citato poc'anzi immagini più grandi di un francobollo!! :muro: )


:)

Scusa la domanda, ma hai provato a cambiare impostazioni dove dice "ridimensionamento immagine"? :stordita:

nV 25
18-04-2011, 19:30
Scusa la domanda, ma hai provato a cambiare impostazioni dove dice "ridimensionamento immagine"? :stordita:

trovata la soluzione! :muro:

Alla voce "Link per condividere la tua immagine", è sufficiente scegliere "Codice forum"...:doh:

arnyreny
18-04-2011, 19:56
bravo cloutz:
http://securityblog.altervista.org/blog/proviamo-la-sandbox-di-comodo/ :read:


per onore di cronaca il test è stato effettuato con un livello basso della sandbox,
ci sono altri 3 livelli oltre quello...

cloutz
18-04-2011, 22:22
Ho buttato giù 2 righe di uno script batch, cancella file e sottocartelle della cartella VirtualRoot creata dalla sandbox di Comodo.

Di default è contemplato il percorso C:\VirtualRoot, chi NON avesse tale cartella nel drive C:\ basta che controlli il percorso in cui si trova. Per fare ciò:
- Disabilitare l'opzione "Nascondi i file protetti di sistema"
- Abilitare l'opzione "Visualizza cartelle, file e unità nascosti"
- Cercare, e trovare, la cartella

Una volta individuato il percorso della vostra cartella, estraete il file e modificate la seconda riga di codice -basta un qualunque editor di testo- in:
set cartella = VOSTRO_PERCORSO_CARTELLA
lasciando tutto il resto invariato.

Salvate e avete fatto.
Per assicurarvi che funzioni prima di avviarlo chiudete tutti i programmi aperti e, ovviamente, eseguitelo fuori dalla sandbox.

L'ho provato sia sui 32bit che sui 64bit, e non ha dato nessun problema.
Non mi assumo responsabilità per malfunzionamenti e/o possibili problemi derivati! :read: :D


Speriamo che si muovano e pensino alle cose importanti piuttosto che pensare al Valkyrie :rolleyes:

Hola

arnyreny
18-04-2011, 22:46
Ho buttato giù 2 righe di uno script batch, cancella file e sottocartelle della cartella VirtualRoot creata dalla sandbox di Comodo.

Di default è contemplato il percorso C:\VirtualRoot, chi NON avesse tale cartella nel drive C:\ basta che controlli il percorso in cui si trova. Per fare ciò:
- Disabilitare l'opzione "Nascondi i file protetti di sistema"
- Abilitare l'opzione "Visualizza cartelle, file e unità nascosti"
- Cercare, e trovare, la cartella

Una volta individuato il percorso della vostra cartella, estraete il file e modificate la seconda riga di codice -basta un qualunque editor di testo- in:
set cartella = VOSTRO_PERCORSO_CARTELLA
lasciando tutto il resto invariato.

Salvate e avete fatto.
Per assicurarvi che funzioni prima di avviarlo chiudete tutti i programmi aperti e, ovviamente, eseguitelo fuori dalla sandbox.

L'ho provato sia sui 32bit che sui 64bit, e non ha dato nessun problema.
Non mi assumo responsabilità per malfunzionamenti e/o possibili problemi derivati! :read: :D


Speriamo che si muovano e pensino alle cose importanti piuttosto che pensare al Valkyrie :rolleyes:

Hola
già in fase di beta ,avevo chiesto piu' volte un bottoncino per far ciò,ma non mi hanno ascoltato:cry:

nV 25
19-04-2011, 18:16
[...]
eraser, Chill-Out, riazzituoi, xcd[..], o altri su 64bit che possano quantomeno verificare se risulta effettivamente la "coincidenza"? :stordita:

sampei.nihira
19-04-2011, 21:22
Come da titolo, ho bisogno di confrontarmi con altri utenti che si trovano con un OS x64 e abbiano EMET installato per poter verificare alcune cose che non riesco a capire da solo.

La mia perplessità è legata all'ALSR, "sistema di mitigazione" preposto a randomizzare gli indirizzi di memoria in cui vengono caricate le DLL per far si che la DLL oggetto dell'attacco "non si trovi più mappata nella locazione nella quale l'expolit pensava di trovarla" *...

Prendiamo dunque VideoLan (VLC.exe):
EMET è regolarmente in uso (vedi la 1° voce in alto sotto "name")...ma TUTTE le librerie di VLC (es: libaccess_bd_plugin.dll, [...], libvlc.dll, libvlccore.dll, [..]) NON risultano essere mappate ad indirizzi randomizzati! (infatti, per ogni DLL, base address = image base address)

http://img26.imageshack.us/img26/788/immagine2qc.jpg (http://img26.imageshack.us/i/immagine2qc.jpg/)


Come riferimento alla mia richiesta, potete dare un'occhiata anche qui:
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx

Grazie a chi ha la bontà di rispondermi...



PS:
per riprodurre l'ambiente di test, è necessario:
7 @ 64 bit
UAC attivo & al massimo del settaggio (a regola, cmq, ininfluente ai fini di questa verifica)...
Utilizzare un account limitato (SUA) e, da questo, procedere alla verifica con Process Explorer...















* libera rielaborazione di quello che dovrebbe essere il concetto di ASLR...

Enne,prova a togliere la spunta all'ALSR e vedere, per il sw che hai preso ad esempio, da PE, su quali locazioni "standard" si posizionano tutte le dll.
Poi abiliti nuovamente la spunta e verifichi se locazioni siano cambiate......

eraser
20-04-2011, 00:59
eraser, Chill-Out, riazzituoi, xcd[..], o altri su 64bit che possano quantomeno verificare se risulta effettivamente la "coincidenza"? :stordita:

Prova a riavviare il sistema e quasi sicuramente troverai le dll caricate ad un indirizzo differente. Questo perché l'ASLR di Windows Vista/7 lavora in maniera differente, facendo distinzioni tra Processo, Libreria, Stack e Heap. Ogni volta che viene eseguito un processo, cambierà l'indirizzo in memoria dell'immagine eseguibile del processo, dello stack e dell'heap. Ma NON delle librerie, il quale indirizzo cambierà solo al successivo riavvio del sistema.

Esempio:

esegui VLC e guarda il base address, sarà ad esempio 0x120000. Guarda l'indirizzo della libreria kernel32.dll, sarà ad esempio 0x767B0000. Chiudi il processo e rieseguilo. vlc.exe sarà ad un altro indirizzo, ad esempio 0x1A0000, mentre kernel32.dll sarà sempre allo stesso indirizzo. Questo perché Windows preferisce cambiare indirizzo in memoria delle librerie ad ogni avvio di sistema e non ad ogni processo, poiché facendo in questo modo è più facile condividere in memoria le stesse librerie invece di far caricare ad ogni processo sempre le stesse dll.

Ad ogni avvio di sistema viene calcolato un delta, un valore che viene utilizzato per modificare l'indirizzo in memoria delle dll. Invece per ogni processo che viene creato viene calcolato uno specifico delta che verrà utilizzato per randomizzare il base address dell'immagine dell'eseguibile.

Spero di essere stato chiaro, a quest'ora della notte è molto probabile che possa essere stato un po confusionario nello spiegarmi :fagiano:

nV 25
20-04-2011, 12:52
Prova a riavviare il sistema e quasi sicuramente troverai le dll caricate ad un indirizzo differente. Questo perché l'ASLR di Windows Vista/7 lavora in maniera differente, facendo distinzioni tra Processo, Libreria, Stack e Heap. Ogni volta che viene eseguito un processo, cambierà l'indirizzo in memoria dell'immagine eseguibile del processo, dello stack e dell'heap. Ma NON delle librerie, il quale indirizzo cambierà solo al successivo riavvio del sistema.

Esempio: [...]



ho verificato e, al solito, hai ragione...:cry: (l'emoticon del pianto, semmai, è di "liberazione" visto che mi hai finalmente permesso di capire l'arcano)...

Eraser, un MUST...ino :)


GRAZIE DI TUTTO

eraser
20-04-2011, 13:51
ho verificato e, al solito, hai ragione...:cry: (l'emoticon del pianto, semmai, è di "liberazione" visto che mi hai finalmente permesso di capire l'arcano)...

Eraser, un MUST...ino :)


GRAZIE DI TUTTO

Capirai :D Per così poco :) Lieto di essere stato d'aiuto a capire questo concetto :)

nV 25
27-04-2011, 13:53
ok.

Grazie ad Aigle (persona peraltro di rara disponibilità nonchè eccellente tester amatoriale...), è nato un thread su Wilders dove sono messi a confronto diverse soluzioni contro il trojan Gpcode che, ricordo, ha come fine quello di criptare alcune tipologie di file.

A regola, il Gpcode testato è la versione ak con cui anch'io mi sono volontariamente confrontato ai tempi di DefenseWall, link! (http://www.hwupgrade.it/forum/showpost.php?p=33907246&postcount=2826).
(per la descrizione tecnica del sample in questione, vedi anche Trojan-Ransom.Win32.Gpcode.ak (http://www.securelist.com/en/descriptions/old313444)).

Aigle VS Gpcode (http://www.wilderssecurity.com/showthread.php?t=298048)

Da quello che attualmente è dato vedere, dunque, la situazione è la seguente:


Comodo AutoSandbox (policy modificata da partially limited @ Untrusted) --> praticamente fallisce (su 141 estensioni di file colpite da questa variante, es: 7z, ace, doc, [...], moltissime risultano criptate e irrecuperabili)
GesWall --> ok
OA 4 --> ok
AppGuard 3 --> ok
DefenseWall --> ok (testato da me, vedi anche il link all'inizio di questo post)



Sandboxie --> (mi sento di poter dire) ok al 99,999% per quanto ancora nessuno si sia preso la briga di testarlo...


Ho visto poi che è stato aperto sempre ad opera di Aigle un ticket a proposito del famigerato Stuxnet (http://www.wilderssecurity.com/showthread.php?t=297649) ma questo, eventualmente, sarà oggetto di un altro post...






----------------------------EDIT------------------------------

Comodo AutoSandbox bypassed [...] (http://forums.comodo.com/news-announcements-feedback-cis/comodo-defence-plus-bypassed-by-malware-t72039.0.html) -- Forum Comodo

cloutz
28-04-2011, 09:06
----------------------------EDIT------------------------------

Comodo AutoSandbox bypassed [...] (http://forums.comodo.com/news-announcements-feedback-cis/comodo-defence-plus-bypassed-by-malware-t72039.0.html) -- Forum Comodo

WOW, aigle ha ottenuto il risultato che io, ahimè, non sono riuscito ad ottenere (già solo per questo è il mio idolo :D )

Al solito ci sono stati spostamenti-unioni-ordinamenti strani di thread, la discussione è stata tolta dalla sezione di CIS e inserita in una sezione di studio dei malware :mbe: (è lì da sei mesi, ormai lasciarla lì no?).
Risultato: il link da te postato non esiste più.

Ad oggi il link corretto della discussione è questo (https://forums.comodo.com/leak-testingattacksvulnerability-research/weakness-of-the-gpcode-t65960.0.html)
In realtà i post nuovi, con interventi di egemen e Melih sono a partire da questo (https://forums.comodo.com/leak-testingattacksvulnerability-research/weakness-of-the-gpcode-t65960.0.html;msg512492#msg512492) post.

La discussione, bene o male portata alla luce da me e da altri più volte, si può riassumere in queste parole -estrapolate (https://forums.comodo.com/leak-testingattacksvulnerability-research/weakness-of-the-gpcode-t65960.0.html;msg512678#msg512678)- di egemen:
Then how does COMODO protect against this BY DEFAULT. By default, antivirus detection is enough to detect gpcode and any of its variants. Lets not make false comments by saying CIS does not protect its users against gpcode. CIS DOES prevent against the REAL threat wih its antivirus right now.
Poi cmq, leggendo tutto il suo discorso, si potrebbero fare non poche obbiezioni.
Ma a me è anche passata la voglia di parlare, preferisco farmi gli affari miei, tanto è così che funziona..

Saluti!

arnyreny
28-04-2011, 10:24
ormai si sa che il ltallone di achille di cis e' la sandbox,ma ci si ostina a testarla sempre....

perchè non si testa solo l'hips di cis....
sono convinto che avrebbe avuto gli stessi risultati degli altri:mbe:

done75
28-04-2011, 10:26
...io ancora non ho capito de sto Gpcode bypassa il D+ SENZA quella cacata di Sandbox attiva... :stordita:

cloutz
28-04-2011, 10:45
ormai si sa che il ltallone di achille di cis e' la sandbox,ma ci si ostina a testarla sempre....

perchè non si testa solo l'hips di cis....
sono convinto che avrebbe avuto gli stessi risultati degli altri:mbe:

...io ancora non ho capito de sto Gpcode bypassa il D+ SENZA quella cacata di Sandbox attiva... :stordita:

Il gpcode bypassa sia D+ che sandbox di comodo, ed è quello che dico in lungo e in largo da diverso tempo.
Onestamente mi sconcerta il fatto che, a quanto vedo, tutte le discussioni avute in merito sono valse ZERO al quoto, parole al vento.

Good :muro:

done75
28-04-2011, 11:10
Il gpcode bypassa sia D+ che sandbox di comodo, ed è quello che dico in lungo e in largo da diverso tempo.
Onestamente mi sconcerta il fatto che, a quanto vedo, tutte le discussioni avute in merito sono valse ZERO al quoto, parole al vento.

Good :muro:

No,no...ho chiesto per un'ulteriore conferma...mi ricordavo del tuo test.ma all'epoca avevo anche il modulo AV attivo e quindi il problema mi toccava relativamente.

In questo caso chiedevo lumi SIA sul test di aigle (con relativi settaggi di CIS "Comodo Defence Plus - default settings but tightened the autosandbox to Untrsuted instead of partially limited.") CHE alla risposta di egemen che tu hai linkato più su nella quale afferma che cmq con 2-3 mosse di 'hardening' il problema non sussiste. ;)

Quindi caro cloutz le tue non sono state parole al vento e non sono valse zero al quoto. ;)
Detto questo a me piacciono gli HIPS "puri" e invece non amo OA....quindi continuerò ad usare CIS.

cloutz
28-04-2011, 11:45
egemen parla di 2 soluzioni:

1- usare il D+.
Impostare delle estensioni che non devono essere modificate (stessa cosa che ho consigliato qua (http://www.hwupgrade.it/forum/showthread.php?p=34715996#post34715996), solo che anzichè inserire 140 regole, una per ogni estensione, lì basta inserirne 3.. dettagli)
poi si tratterebbe sempre di una cosa molto temporanea, non si può pretendere che tutti gli utenti facciano queste modifiche a mano.

2- avviare il browser sempre sandboxato [ammesso e concesso che il malware si scarichi dal browser].
In questo modo il gpcode avviato da browser sandboxato secondo lui non può fare danni.
Onestamente non ho mai fatto questa prova, ma credo non funzioni: il gpcode, fino al livello di Untrusted, è in grado di infettare la macchina, e i browser nella sandbox non girano oltre Partially Limited o giù di lì (quindi non vedo come il gpcode sotto Partially Limited possa essere innocuo)


Capisci che mi aspettavo un
"bè, sono arrivati a scoprire l'acqua calda"
:D

-----------------------

Al di là di tutto:
Trovo molto più logica la risposta, consapevole, di Melih piuttosto che la difesa per parte presa (obiettabile anche in altre parti) di egemen imho..

arnyreny
28-04-2011, 12:32
egemen parla di 2 soluzioni:

1- usare il D+.
Impostare delle estensioni che non devono essere modificate (stessa cosa che ho consigliato qua (http://www.hwupgrade.it/forum/showthread.php?p=34715996#post34715996), solo che anzichè inserire 140 regole, una per ogni estensione, lì basta inserirne 3.. dettagli)
poi si tratterebbe sempre di una cosa molto temporanea, non si può pretendere che tutti gli utenti facciano queste modifiche a mano.

2- avviare il browser sempre sandboxato [ammesso e concesso che il malware si scarichi dal browser].
In questo modo il gpcode avviato da browser sandboxato secondo lui non può fare danni.
Onestamente non ho mai fatto questa prova, ma credo non funzioni: il gpcode, fino al livello di Untrusted, è in grado di infettare la macchina, e i browser nella sandbox non girano oltre Partially Limited o giù di lì (quindi non vedo come il gpcode sotto Partially Limited possa essere innocuo)


Capisci che mi aspettavo un
"bè, sono arrivati a scoprire l'acqua calda"
:D

-----------------------

Al di là di tutto:
Trovo molto più logica la risposta, consapevole, di Melih piuttosto che la difesa per parte presa (obiettabile anche in altre parti) di egemen imho..

con sandbox su block....non dovrebbe partire l'eseguibile oppure si comporta come stuxnet che sfrutta componenti del sistema operativo per auto eseguirsi?
:cry:

done75
28-04-2011, 12:33
Preciso che cmq do ragione alle critiche rivolte IN QUESTO CASO a Comodo.
I Bug dovrebbero essere tutti fixati,e il più in fretta possibile. :)

Detto questo volevo sapere soltanto se col SOLO D+ c'era un fix temporaneo eseguibile dall'utente (e quindi grazie per avermi quotato la tua pratica soluzione in 3 righe,che mi ero perso ed ho subito adottato ;) ).

In fondo,non me ne voglia nessuno,questo Thread porta il titolo "Prevenire è meglio che curare :) Software HIPS" ....i quali HIPS si dividono nelle famose 2 categorie...non mi pare che il Thread riguardi SOLTANTO la categoria Sandbox. Mi pare che anche la categoria HIPS puri rientri nel caso,giusto? ;)

PS. ..preciso questo in quanto sono un 'fanboy' degli HIPS puri :D ...se volevo vita facile avrei comprato il computer da utonti,il Macintosh... :D

cloutz
28-04-2011, 13:21
con sandbox su block....non dovrebbe partire l'eseguibile oppure si comporta come stuxnet che sfrutta componenti del sistema operativo per auto eseguirsi?
:cry:

Con sandbox su block al 99% non parte, ma un uso del genere della sandbox non è molto utile (senza contare il fatto che Comodo, anche qui, sia vulnerabile: pare abbia seri problemi con la propria whitelist, dato che considera sicuri non pochi malware LINK (http://forums.comodo.com/av-false-positivenegative-detection-reporting/report-trusted-and-whitelisted-malwares-here-dont-attach-live-malware-t67172.0.html))

E, al di là di quello, Stuxnet non è ancora bloccato da Comodo -nè dal D+ nè dalla sandbox - :(

Romagnolo1973
28-04-2011, 13:48
Con sandbox su block al 99% non parte, ma un uso del genere della sandbox non è molto utile (senza contare il fatto che Comodo, anche qui, sia vulnerabile: pare abbia seri problemi con la propria whitelist, dato che considera sicuri non pochi malware LINK (http://forums.comodo.com/av-false-positivenegative-detection-reporting/report-trusted-and-whitelisted-malwares-here-dont-attach-live-malware-t67172.0.html))

E, al di là di quello, Stuxnet non è ancora bloccato da Comodo -nè dal D+ nè dalla sandbox - :(

almeno quelli del First Response di cui al link della whitelist rispondono prontamente, a differenza di egemen e soci che invece si arrampicano sugli specchi e questo dopo 4 mesi senza fare nulla per risolvere le questioni
Secondo me in sti giorni il tronfio Melih ha urlato un po':D
Se poi ci mettiamo che AV-Comparatives non ha pubblicato (o non ha avuto il permesso ? non lo sapremo mai) i risultati di test su CIS e un motivo ci sarà ....
Boh sti qua a volte mi sembrano i gemelli di M$ che se ne frega degli utenti e fixa i problemi quando gli gira
Prodotto valido e che uso con soddisfazione (sperando di non incappare un Stuxnet e soci) ma se avessero più customer care sarebbe sicuramente un super prodotto

cloutz
28-04-2011, 16:55
almeno quelli del First Response di cui al link della whitelist rispondono prontamente, a differenza di egemen e soci che invece si arrampicano sugli specchi e questo dopo 4 mesi senza fare nulla per risolvere le questioni
Secondo me in sti giorni il tronfio Melih ha urlato un po':D
Se poi ci mettiamo che AV-Comparatives non ha pubblicato (o non ha avuto il permesso ? non lo sapremo mai) i risultati di test su CIS e un motivo ci sarà ....
Boh sti qua a volte mi sembrano i gemelli di M$ che se ne frega degli utenti e fixa i problemi quando gli gira
Prodotto valido e che uso con soddisfazione (sperando di non incappare un Stuxnet e soci) ma se avessero più customer care sarebbe sicuramente un super prodotto

Mah non credere.. secondo me anche se migliorassero il servizio non avrebbero molti utenti in più: sono poche le persone che hanno la briga di andare sul forum ufficiale, registrarsi, consultare il forum in lingua straniera, andare a spulciare tra le discussioni spostate e avere una propria idea (perchè dovrebbe credere a un pazzo che sostiene un bypass? quando egemen&co di default ti dicono che hai torto, senza neanche prendersi la briga di provare.. salvo poi dopo 3 pag di discussione dirti che è vero, ma non è un problema grave):mbe:

Onestamente qualche bypass è accettabile, per carità, ma qui di problemi (neanche troppo nuovi) ce ne sono a volontà: momenti così, per Comodo, non ne ricordo :fagiano:

arnyreny
28-04-2011, 17:18
Con sandbox su block al 99% non parte, ma un uso del genere della sandbox non è molto utile (senza contare il fatto che Comodo, anche qui, sia vulnerabile: pare abbia seri problemi con la propria whitelist, dato che considera sicuri non pochi malware LINK (http://forums.comodo.com/av-false-positivenegative-detection-reporting/report-trusted-and-whitelisted-malwares-here-dont-attach-live-malware-t67172.0.html))

E, al di là di quello, Stuxnet non è ancora bloccato da Comodo -nè dal D+ nè dalla sandbox - :(

per stuxnet mi sembra che il problema sia stato risolto da microsoft con gli ultimi aggiornamenti....

come detto da te comodo non ha mai avuto momenti simili.....
il problema e' che piu' diventa user friendly ....piu' diventa vulnerabile...

Romagnolo1973
28-04-2011, 18:01
il mio Customer Care è da intendersi in letterale attenzione verso l'utente , che latita e qui sia NV, arny, io cloutz ci siamo incappati tutti
Ovvio che rendere facile per la massa un prodotto non facile come un FW con Hips abbastanza granulare è difficile come stare su una filo in equilibrio. La strada intrapresa è capibile per avere più utenti ma a questo inevitabile esporsi a più problemi deve fare da contraltare una veloce reazione.
Nel caso la sola veloce reazione è stata quella di spostare il 3d in posti più nascosti:D
Dire poi che è un falso problema visto che l'AV lo trova è un assurdo pochè non tutti usano CAV e comunque quando il virus cambia per tot settimane si è scoperti dipendendo dalle firme e questo egemen lo deve sapere, è il suo lavoro, ma fa lo gnorri.
Per ora aspettiamo gli eventi ma non sono ottimista

cloutz
28-04-2011, 18:38
consiglierei di affiancare Comodo Time Machine all'uso di CIS, è quello che ho fatto sulle macchine in cui ho installato CIS.

Grazie all'integrazione tra i 2 a volte si potrebbe riuscire a creare un'istantanea quando si avvia qualcosa di realmente sospetto.
In ogni caso, qualora non fosse possibile, CTM è raggiungibile in fase di boot per un ripristino critico in caso di infezione avvenuta..

Non è la soluzione migliore e non è attenuante per ogni bypass di CIS, ma garantisce notevole sicurezza in più, al di là dell'uso di CIS o meno..

p.s.: tra l'altro pare lo vogliano discontinuare :cry:

Romagnolo1973
28-04-2011, 18:43
consiglierei di affiancare Comodo Time Machine all'uso di CIS, è quello che ho fatto sulle macchine in cui ho installato CIS.

Grazie all'integrazione tra i 2 a volte si potrebbe riuscire a creare un'istantanea quando si avvia qualcosa di realmente sospetto.
In ogni caso, qualora non fosse possibile, CTM è raggiungibile in fase di boot per un ripristino critico in caso di infezione avvenuta..

Non è la soluzione migliore e non è attenuante per ogni bypass di CIS, ma garantisce notevole sicurezza in più, al di là dell'uso di CIS o meno..

p.s.: tra l'altro pare lo vogliano discontinuare :cry:

bahh a me ctm causò l'unico formattone della mia ventennale carriera oltre che rallentare di minuti il boot
Io sto meglio su macrum reflect e cd d ripristino relativo se proprio sto nelle pesche

cloutz
28-04-2011, 18:54
bahh a me ctm causò l'unico formattone della mia ventennale carriera oltre che rallentare di minuti il boot
Io sto meglio su macrum reflect e cd d ripristino relativo se proprio sto nelle pesche

giusto per gufare (:D ) speriamo non inizi a darmene adesso :sperem:

buona serata! :p

nV 25
28-04-2011, 19:35
Vi prego di scusarmi ma al momento ho davvero poco tempo per tirare giù un qualcosa di più dettagliato...


Visto che ormai siamo entrati in uno spirito dove i test la fanno da padrone, sarei curioso di sapere come si comportano certi prodotti con minacce quali quelle della famiglia Winlock/ScreenLocker che si propongono, in sostanza, di bloccare l'uso del PC fin tanto che non venga pagato un riscatto (o ransom e, dunque, legati in qulche maniera a quello che è stato l'oggetto della discussione in quest'ultimo giorno)...
specie alla luce di quello che ho visto, il mio sentore è che diverse soluzioni siano inesorabilmente destinate a fallire]...

Già tempo fà ho avuto modo di provare DW vs questa famiglia di malware, vedi anche DW VS 3 sample Winlock/ScreenLocker (http://www.hwupgrade.it/forum/showpost.php?p=32869142&postcount=2756)
[In fondo a questa pagina, invece, è possibile rinvenire il comportamento di un HIPS puro contro il sample delle "donnine nude", link! (http://www.hwupgrade.it/forum/showpost.php?p=32821816&postcount=2750)].

Tutti i sample sono stati scaricati da Kernelmode.info, a regola da questo link! (http://www.kernelmode.info/forum/viewtopic.php?f=16&t=194):
in particolare, i nomi dei sample (come desumibile peraltro dai log di DW), sono rispettivamente bldjad.exe, xxx_video_1043.avi.exe (per lo "schermo nero") & vip_porno_78006.avi.exe ("donnine nude" :D )...

ATTENZIONE cmq perchè per i test E' OBBLIGATORIA una VM!!

cloutz
28-04-2011, 20:52
Vi prego di scusarmi ma al momento ho davvero poco tempo per tirare giù un qualcosa di più dettagliato...


Visto che ormai siamo entrati in uno spirito dove i test la fanno da padrone, sarei curioso di sapere come si comportano certi prodotti con minacce quali quelle della famiglia Winlock/ScreenLocker che si propongono, in sostanza, di bloccare l'uso del PC fin tanto che non venga pagato un riscatto (o ransom e, dunque, legati in qulche maniera a quello che è stato l'oggetto della discussione in quest'ultimo giorno)...
specie alla luce di quello che ho visto, il mio sentore è che diverse soluzioni siano inesorabilmente destinate a fallire]...

Già tempo fà ho avuto modo di provare DW vs questa famiglia di malware, vedi anche DW VS 3 sample Winlock/ScreenLocker (http://www.hwupgrade.it/forum/showpost.php?p=32869142&postcount=2756)
[In fondo a questa pagina, invece, è possibile rinvenire il comportamento di un HIPS puro contro il sample delle "donnine nude", link! (http://www.hwupgrade.it/forum/showpost.php?p=32821816&postcount=2750)].

Tutti i sample sono stati scaricati da Kernelmode.info, a regola da questo link! (http://www.kernelmode.info/forum/viewtopic.php?f=16&t=194):
in particolare, i nomi dei sample (come desumibile peraltro dai log di DW), sono rispettivamente bldjad.exe, xxx_video_1043.avi.exe (per lo "schermo nero") & vip_porno_78006.avi.exe ("donnine nude" :D )...

ATTENZIONE cmq perchè per i test E' OBBLIGATORIA una VM!!

Ho provato CIS: quando avvio i sample non posso più aprire finestre nè fare altro.
Forzando un riavvio della VM, cmq, poi non vi sono malware attivi e il sistema è gestibile (sia con la sandbox che senza)..

proverò meglio più avanti, stasera ero di fretta..

Holaa

nV 25
29-04-2011, 18:40
@ sampei:
perchè (pur involontariamente) stuzzichi animi già surriscaldati dalle note vicende? :p

In fondo, solo una tua svista spiega l'infelice "attribuzione di meriti" dato che "il soggetto" non si è mai arrogato presuntuosamente alcunchè...:)

Come puoi vedere anche dall'immagine sotto, infatti, il rimando alla discussione originale è abbondantemente palese...

http://img856.imageshack.us/img856/2366/immagine2tv.jpg (http://img856.imageshack.us/i/immagine2tv.jpg/)


Non credo peraltro che nessuno dei frequentatori assidui della nostra piazzetta abbia interesse a cercare di postare qualcosa di nuovo (anche in thread diversi da questo...) col fine ultimo di volersi fregiare di chissà quale merito...:)


Lo spirito, infatti, è quello del semplice trasferimento di informazioni "in amicizia" in un contesto che è, peraltro, amatoriale...:)

Ciao, sampei

cloutz
29-04-2011, 19:23
Al di là di questi screzi di cui non mi piace affatto il clima..:fagiano:


Rettifico alcune cose circa la sandbox di comodo, nei test fatti ieri ho notato azioni non chiarissime, mi serve del tempo per comprenderle a fondo, fare chiarezza e fare altri test -capire se si tratta di comportamenti anomali (outliers), se sono dovuti/influenzati da altri fattori, se ho cannato io ecc -.

Faccio preventivamente mezzo passo indietro (dico mezzo proprio perchè le rettifiche non cambierebbero il risultato del discorso, ma qualcosa che non torna c'è):
d'altronde un pò di sana autocritica, anche se le critiche non si fanno attendere, è doverosa per confrontarsi seppur in "amicizia" :stordita:

Saluti

arnyreny
29-04-2011, 20:08
@ sampei:
perchè (pur involontariamente) stuzzichi animi già surriscaldati dalle note vicende? :p

In fondo, solo una tua svista spiega l'infelice "attribuzione di meriti" dato che "il soggetto" non si è mai arrogato presuntuosamente alcunchè...:)

Come puoi vedere anche dall'immagine sotto, infatti, il rimando alla discussione originale è abbondantemente palese...

http://img856.imageshack.us/img856/2366/immagine2tv.jpg (http://img856.imageshack.us/i/immagine2tv.jpg/)


Non credo peraltro che nessuno dei frequentatori assidui della nostra piazzetta abbia interesse a cercare di postare qualcosa di nuovo (anche in thread diversi da questo...) col fine ultimo di volersi fregiare di chissà quale merito...:)


Lo spirito, infatti, è quello del semplice trasferimento di informazioni "in amicizia" in un contesto che è, peraltro, amatoriale...:)

Ciao, sampei

Al di là di questi screzi di cui non mi piace affatto il clima..:fagiano:


Rettifico alcune cose circa la sandbox di comodo, nei test fatti ieri ho notato azioni non chiarissime, mi serve del tempo per comprenderle a fondo, fare chiarezza e fare altri test -capire se si tratta di comportamenti anomali (outliers), se sono dovuti/influenzati da altri fattori, se ho cannato io ecc -.

Faccio preventivamente mezzo passo indietro (dico mezzo proprio perchè le rettifiche non cambierebbero il risultato del discorso, ma qualcosa che non torna c'è):
d'altronde un pò di sana autocritica, anche se le critiche non si fanno attendere, è doverosa per confrontarsi seppur in "amicizia" :stordita:

Saluti

mi sfugge il post di sampei....

appena ho cinque minuti...faccio anche io una modestissima prova e vi faccio sapere...;)

nV 25
29-04-2011, 20:18
(era forse necessario mettere il link al post oggetto della mia osservazione, cmq sia) lo spirito che ha portato Sampei a fare quell'affermazione (non su questa board!) era da amico visto che ha letto una certa cosa come un'appropriazione indebita di meriti...:)


Sono sicuro che Sampei non si sarà sentito affatto offeso dalle mie parole di critica-apparente ...


Ciao.

PS:
visto che ci siamo, metto il link per un approfondimento sul discorso WinLock/ScreenLocker & Sandboxie (http://www.sandboxie.com/phpbb/viewtopic.php?t=9695&highlight=malware) a me, in verità, già noto...:(
Come si ricava facilmente dal link fornito da Tzuk stesso, allo stato Sbxie (@ default!) costringe a resettare la macchina anche se, ovvio, contiene l'infezione...

nV 25
30-04-2011, 11:54
Ho provato a capirci qualcosa ma, onestamente, si va al di là dalla mia portata... :(

La sostanza sottesa a questo sfogo, cmq, è estremamente semplice:
sono stati sufficienti circa 10 giorni di tempo perchè gli autori del rootkit TDL4 riuscissero a trovare un nuovo modo per aggirare nuovamente la tecnologia PatchGuard implementata nei sistemi a 64bit vanificando, di conseguenza, tutti gli sforzi compiuti da Microsoft con l'ultima patch kb2506014 (http://www.hwupgrade.it/forum/showpost.php?p=34928756&postcount=7)...

E' essenziale cmq rimarcare ancora una volta come, anche in questo caso, la "vulnerabilità"* non risieda tanto in PatchGuard stesso quanto piuttosto nei meccanismi "preposti ad attivarla"* anche se, di fatto, la sostanza non cambia visto che i sistemi x64 sono ritornati VULNERABILI...


* le virgolette, stavolta, sono messe di proposito per consentire ad eraser di non sorridere di fronte alle libertà poetiche :D che mi sono permesso di usare per spiegare elementi altrimenti incomprensibili...

USForce su KM.info:
"Yes, they actually improved it

1) Bypassed Microsoft patch (STATUS_INVALID_IMAGE_HASH error overwritten) to be able again to infect x64 OS
2) Bypasssed Microsoft patch to kdcom.dll (now TDL4 checks kdcom resource directory size on the x64 version of it, whether it is == 0x110 || 0xFA)
2) Slightly modified disk miniport hook"

sampei.nihira
30-04-2011, 14:28
@ sampei:
perchè (pur involontariamente) stuzzichi animi già surriscaldati dalle note vicende? :p

In fondo, solo una tua svista spiega l'infelice "attribuzione di meriti" dato che "il soggetto" non si è mai arrogato presuntuosamente alcunchè...:)

Come puoi vedere anche dall'immagine sotto, infatti, il rimando alla discussione originale è abbondantemente palese...

http://img856.imageshack.us/img856/2366/immagine2tv.jpg (http://img856.imageshack.us/i/immagine2tv.jpg/)


Non credo peraltro che nessuno dei frequentatori assidui della nostra piazzetta abbia interesse a cercare di postare qualcosa di nuovo (anche in thread diversi da questo...) col fine ultimo di volersi fregiare di chissà quale merito...:)


Lo spirito, infatti, è quello del semplice trasferimento di informazioni "in amicizia" in un contesto che è, peraltro, amatoriale...:)

Ciao, sampei

Anche se a me l'intento poteva apparire nobile, il fine, ha causato disagio e ciò per i miei principi è intollerabile.

Questa mattina ho sfoderato il wakizashi ed appoggiato la lama all'ultima falange dei mignolo sinistro a monito dell'antico codice.
Che però mal si concilia con i miei doveri moderni.
Ma un prezzo deve essere pagato.
Credo che il taglio, alla dimensione minima con la macchinetta che ha reso possibile ciò,dei miei capelli siano un "cambio" ragionevole.
A cui seguirà un periodo, quantificato in giorni significativo, che mi possa far ricordare anche in futuro tale episodio,di autosospensione volontaria dallo scrivere,di meditazione e riflessione.

Le mie umili scuse per il disagio creato.

(inchino)

La decisione presa e gli eventi inarrestabili,saluti.

nV 25
30-04-2011, 17:07
Anche se a me l'intento poteva apparire nobile, [...]
non a caso, nel post successivo avevo scritto
lo spirito che ha portato Sampei a fare quell'affermazione era da amico visto che ha letto una certa cosa come un'appropriazione indebita di meriti...:)

.............


Questa mattina ho sfoderato il wakizashi ed appoggiato la lama all'ultima falange dei mignolo sinistro a monito dell'antico codice
:asd:

A cui seguirà un periodo, quantificato in giorni significativo, [...],di autosospensione volontaria
esagerato! :p

Ciao pescatore :)

eraser
02-05-2011, 01:11
Ho provato a capirci qualcosa ma, onestamente, si va al di là dalla mia portata... :(

La sostanza sottesa a questo sfogo, cmq, è estremamente semplice:
sono stati sufficienti circa 10 giorni di tempo perchè gli autori del rootkit TDL4 riuscissero a trovare un nuovo modo per aggirare nuovamente la tecnologia PatchGuard implementata nei sistemi a 64bit vanificando, di conseguenza, tutti gli sforzi compiuti da Microsoft con l'ultima patch kb2506014 (http://www.hwupgrade.it/forum/showpost.php?p=34928756&postcount=7)...

E' essenziale cmq rimarcare ancora una volta come, anche in questo caso, la "vulnerabilità"* non risieda tanto in PatchGuard stesso quanto piuttosto nei meccanismi "preposti ad attivarla"* anche se, di fatto, la sostanza non cambia visto che i sistemi x64 sono ritornati VULNERABILI...


* le virgolette, stavolta, sono messe di proposito per consentire ad eraser di non sorridere di fronte alle libertà poetiche :D che mi sono permesso di usare per spiegare elementi altrimenti incomprensibili...

USForce su KM.info:
"Yes, they actually improved it

1) Bypassed Microsoft patch (STATUS_INVALID_IMAGE_HASH error overwritten) to be able again to infect x64 OS
2) Bypasssed Microsoft patch to kdcom.dll (now TDL4 checks kdcom resource directory size on the x64 version of it, whether it is == 0x110 || 0xFA)
2) Slightly modified disk miniport hook"

http://www.prevx.com/blog/172/TDL-rootkit-is-coming-back-stronger-than-before.html

Giusto per specificare, non aggirano PatchGuard. PatchGuard non dà proprio nessun tipo di problema, perché si limita a monitorare l'integrità del kernel e relative strutture, ma TDL3/4 non tocca quei specifici settori bensì modifica i driver di accesso ai dischi. Aggirano invece il driver signing, cioè lo stretto controllo sulla validità delle firme digitali utilizzato per prevenire il caricamento di driver non firmati

nV 25
02-05-2011, 11:08
http://www.prevx.com/blog/172/TDL-rootkit-is-coming-back-stronger-than-before.html

Giusto per specificare, non aggirano PatchGuard. PatchGuard non dà proprio nessun tipo di problema, perché si limita a monitorare l'integrità del kernel e relative strutture, ma TDL3/4 non tocca quei specifici settori bensì modifica i driver di accesso ai dischi. Aggirano invece il driver signing, cioè lo stretto controllo sulla validità delle firme digitali utilizzato per prevenire il caricamento di driver non firmati

precisazione d'obbligo...;)


PS:
in giornata riceverai un mio pvt:
spero tu abbia la possibilità di ritagliarti 5 minuti di tempo per aiutarmi a gettare luce su un problema (scorrelato dal TDL...) che, altrimenti, mi risulta nebuloso.

Grazie in anticipo :)

-----------EDIT-----------
ho proseguito con lo studio e, probabilmente, sono riuscito a venire a capo della faccenda:
adesso resta solo da vedere se il concetto è stato realmente digerito, in caso contrario ti privatizzo come anticipato...

Chill-Out
02-05-2011, 16:50
La versione Beta di Hitman Pro dovrebbe rimuovere anche l'ultima variante del TDL4

http://hitmanpro.wordpress.com/2011/05/02/tdl4-bootkit-reinstates-64-bit-infection-capability/

eraser
02-05-2011, 18:25
La versione Beta di Hitman Pro dovrebbe rimuovere anche l'ultima variante del TDL4

http://hitmanpro.wordpress.com/2011/05/02/tdl4-bootkit-reinstates-64-bit-infection-capability/

Confermo

Dal canto mio, mi è bastata cambiare una linea di codice del mio tool per renderlo di nuovo compatibile. E non è un modo di dire, veramente UNA linea di codice :D

Romagnolo1973
04-05-2011, 22:40
Aggiornamento di CIS
dicono vagamente ciò:
FIXED! HIPS doesn't block some actions that can be used by malware
FIXED! HIPS doesn't block modifications to the protected files under certain conditions

forse hanno posto rimedio alle cose di cui parlavamo pochi giorni fa?

nV 25
05-05-2011, 11:04
[...] forse hanno posto rimedio alle cose di cui parlavamo pochi giorni fa?

E' in effetti troppo vago, dalla descrizione che hanno fornito, capire quali siano queste "azioni" visto che il riferimento è a un qualcosa di indeterminato (per noi, ovvio :p )...

Se cmq sei interessato a provare, o nell'attesa che Aigle o chi per lui cerchi di gettare luce su cosa siano queste "some actions", mandami pure un pvt che cerco di rintracciarti i sample...

Ciao :)

Romagnolo1973
05-05-2011, 11:36
E' in effetti troppo vago, dalla descrizione che hanno fornito, capire quali siano queste "azioni" visto che il riferimento è a un qualcosa di indeterminato (per noi, ovvio :p )...

Se cmq sei interessato a provare, o nell'attesa che Aigle o chi per lui cerchi di gettare luce su cosa siano queste "some actions", mandami pure un pvt che cerco di rintracciarti i sample...

Ciao :)

grazie ENNE ma ho un solo pc winzozz (il mio eeepc che potevo sacrificare alla patria è tornato a linux) e vecchio come è non supporta la virtualizzazione, quindi non faccio sperimentazioni. Aspetto Aigle :D

arnyreny
05-05-2011, 14:01
E' in effetti troppo vago, dalla descrizione che hanno fornito, capire quali siano queste "azioni" visto che il riferimento è a un qualcosa di indeterminato (per noi, ovvio :p )...

Se cmq sei interessato a provare, o nell'attesa che Aigle o chi per lui cerchi di gettare luce su cosa siano queste "some actions", mandami pure un pvt che cerco di rintracciarti i sample...

Ciao :)

proverei stuxnet...:sofico:

cloutz
05-05-2011, 15:09
proverei stuxnet...:sofico:

uno a caso! :D

nV 25
05-05-2011, 16:38
tra queste "some" actions, sembrerebbe non essere ricompreso il GpCode...

Un post (non confermato) sul forum di D+, infatti, recita cosi':
alla domanda se questi fix coinvolgevano proprio il discorso del ransom in questione, un utente (che poi, per quello che può voler dire, è anche membro del Malware Research Group) ha risposto (seccamente) di no...

Alla luce cmq delle motivazioni fornite alcuni gg fà dai grandi capi della Comodo, non mi sorprenderebbe...

nV 25
05-05-2011, 17:00
tra queste "some" actions, sembrerebbe non essere ricompreso il GpCode...

Un post (non confermato) sul forum di D+, infatti, recita cosi':
alla domanda se questi fix coinvolgevano proprio il discorso del ransom in questione, un utente (che poi, per quello che può voler dire, è anche membro del Malware Research Group) ha risposto (seccamente) di no...

Alla luce cmq delle motivazioni fornite alcuni gg fà dai grandi capi della Comodo, non mi sorprenderebbe...

e ti pareva che su Megalab non fossero arrivati a conclusioni opposte? :D

http://www.megalab.it/forum/topic71647.html


Cloutz, se hai la possibilità di verificare...:fiufiu:

arnyreny
05-05-2011, 19:43
e ti pareva che su Megalab non fossero arrivati a conclusioni opposte? :D

http://www.megalab.it/forum/topic71647.html


Cloutz, se hai la possibilità di verificare...:fiufiu:

ho letto che è in cantiere la versione 6...speriamo bene :sofico:

cloutz
05-05-2011, 20:53
e ti pareva che su Megalab non fossero arrivati a conclusioni opposte? :D

http://www.megalab.it/forum/topic71647.html


Cloutz, se hai la possibilità di verificare...:fiufiu:

il tempo oggi ce l'avrei anche, quello che mi manca è la voglia...
mi son rifugiato in linux da qualche giorno, sto seguendo molto il forum di ubuntu e quest'ultima versione mi ha fornito "le giuste motivazioni", inoltre è molto più facile e migliorata rispetto alle versioni che avevo provato in passato :eek:

vedremo se si tratterà di una parentesi, fatto stà che a parità di prestazioni per come uso io il computer (web, mail, cazzeggio, programmazione) linux offre la stessa comodità, fornendo però N spunti/stimoli in più :read:

:)

Romagnolo1973
05-05-2011, 21:18
il tempo oggi ce l'avrei anche, quello che mi manca è la voglia...
mi son rifugiato in linux da qualche giorno, sto seguendo molto il forum di ubuntu e quest'ultima versione mi ha fornito "le giuste motivazioni", inoltre è molto più facile e migliorata rispetto alle versioni che avevo provato in passato :eek:

vedremo se si tratterà di una parentesi, fatto stà che a parità di prestazioni per come uso io il computer (web, mail, cazzeggio, programmazione) linux offre la stessa comodità, fornendo però N spunti/stimoli in più :read:

:)

ti fornisco io uno spunto linux, tanto qua siamo nel blog di ENNE:D quindi si può anche divagare
Togli quella sporcizia dal nome Ubuntu e prova Mint Debian che è una Debian Testing in rolling , così una volta fatte le ottimizzazioni sei sistemato, i software si aggiorneranno poi per sempre, su Ubuntu hai da rifare tutto ogni 6 mesi che è una discreta palla

cloutz
05-05-2011, 21:36
ti fornisco io uno spunto linux, tanto qua siamo nel blog di ENNE:D quindi si può anche divagare
Togli quella sporcizia dal nome Ubuntu e prova Mint Debian che è una Debian Testing in rolling , così una volta fatte le ottimizzazioni sei sistemato, i software si aggiorneranno poi per sempre, su Ubuntu hai da rifare tutto ogni 6 mesi che è una discreta palla

naa, me gusta proprio questa versione di ubuntu (in realtà anche la maverick mi piaceva), prima della 10.10 ubuntu non mi diceva niente di che..

ubuntu si sta facilitando parecchio, sta diventando una distro molto competitiva per catturare gli utenti con cose grafiche gradevolissime, facilità quasi pari a windows (la shell, ormai, volendo si può anche non usare), pur mantenendo sempre un altissimo grado di personalizzazione per chi volesse aprire il cofano e ottimizzarsi l'impossibile :D
poi una delle più usate, e sappiamo i vantaggi che ciò comporta..

per iniziare va più che bene (magari un giorno mi sbatterò a mettere sul muletto ArchLinux, di cui adoro la filosofia KISS=keep it simple, stupid!) :D

anyway, sto aspettando un HIPS su Ubuntu (anche una cosa fasulla, basta che mi fa apparire qualche popup ogni tanto)! :O

Chill-Out
06-05-2011, 08:16
ti fornisco io uno spunto linux, tanto qua siamo nel blog di ENNE:D quindi si può anche divagare
Togli quella sporcizia dal nome Ubuntu e prova Mint Debian che è una Debian Testing in rolling , così una volta fatte le ottimizzazioni sei sistemato, i software si aggiorneranno poi per sempre, su Ubuntu hai da rifare tutto ogni 6 mesi che è una discreta palla

:ot: :asd:

eraser
06-05-2011, 10:19
il tempo oggi ce l'avrei anche, quello che mi manca è la voglia...
mi son rifugiato in linux da qualche giorno, sto seguendo molto il forum di ubuntu e quest'ultima versione mi ha fornito "le giuste motivazioni", inoltre è molto più facile e migliorata rispetto alle versioni che avevo provato in passato :eek:

vedremo se si tratterà di una parentesi, fatto stà che a parità di prestazioni per come uso io il computer (web, mail, cazzeggio, programmazione) linux offre la stessa comodità, fornendo però N spunti/stimoli in più :read:

:)



http://img718.imageshack.us/img718/175/linuxly.th.jpg (http://www.youtube.com/watch?v=Qclye-v6r-s)

nV 25
06-05-2011, 10:45
http://img718.imageshack.us/img718/175/linuxly.th.jpg (http://www.youtube.com/watch?v=Qclye-v6r-s)
eraser ha sempre l'asso nella manica...:D

eraser
06-05-2011, 12:09
eraser ha sempre l'asso nella manica...:D

ma non glielo dire agli utenti di Linux, ti diranno "it's not a bug, it's a feature" :D

cloutz
06-05-2011, 12:11
http://img718.imageshack.us/img718/175/linuxly.th.jpg (http://www.youtube.com/watch?v=Qclye-v6r-s)

that's cool! :ave: :D

mi stavo chiedendo l'altro giorno (quando era venuta fuori la storia "video di bin laden"- javascript) come si comportasse linux con eventuali infezioni user mode. Non conoscendo tale mondo, ad intuito ho pensato che potesse muoversi liberamente nella /home dell'utente, quindi mal che vada si crea un nuovo utente..

con questo ragionamento mi sono subito tranquillizzato, senza aver pensato però ai keylogger :stordita:

2 domande:
1. nel tuo video si sfrutta questa condizione (che non ci sia controllo tra un utente e la propria home)?
2. se tu avessi digitato la psw di root, sarebbe stata catturata?

Grazie :)

eraser
06-05-2011, 14:16
2 domande:
1. nel tuo video si sfrutta questa condizione (che non ci sia controllo tra un utente e la propria home)?
2. se tu avessi digitato la psw di root, sarebbe stata catturata?


La 2 è una domanda molto interessante che devo verificare effettivamente :D Ributto su una distribuzione Ubuntu e verifico :)

Per quanto riguarda la 1, si ha tutto l'accesso che ha l'utente stesso, avendo gli stessi privilegi e diritti

cloutz
06-05-2011, 14:42
grazie in anticipo per la disponibilità :)

onestamente non credo riesca a leggere anche la psw di root (ma non lo escludo)..
anyway, si può dedurre che su ubuntu la riduzione dei privilegi ha gli stessi pregi/difetti/limiti di qualunque altro OS (non c'è niente di magico, quindi, in questi sistemi :D )


ps: siamo stra-OT, ma credo ci sia poca poca roba in merito nel web (=merita!)

Chill-Out
06-05-2011, 15:42
grazie in anticipo per la disponibilità :)

onestamente non credo riesca a leggere anche la psw di root (ma non lo escludo)..
anyway, si può dedurre che su ubuntu la riduzione dei privilegi ha gli stessi pregi/difetti/limiti di qualunque altro OS (non c'è niente di magico, quindi, in questi sistemi :D )


ps: siamo stra-OT, ma credo ci sia poca poca roba in merito nel web (=merita!)

Sotto questo profilo non siamo OT, a patto che non si scateni la bufera :)

eraser
06-05-2011, 16:09
onestamente non credo riesca a leggere anche la psw di root (ma non lo escludo)..


brutte notizie invece ;) Ora sto per uscire, ma appena torno carico il video ;)

nV 25
06-05-2011, 18:14
chiedo venia ai Mod. di sezione, ma questo thread è mio [:read: ]...e me lo modero io! :ciapet:

Rilevate dunque numerose circostanze di OT, commino [:yeah:] 1 boccia di Guttalax a capoccia (da bersi in unica soluzione)...


PS:
Sampei, se ci leggi, hai "scontato" a sufficienza la tua punizione...:)

nV 25
06-05-2011, 18:27
e ti pareva che su Megalab non fossero arrivati a conclusioni opposte? :D

http://www.megalab.it/forum/topic71647.html


su Megalab :asd:, evidentemente, usano una versione tarocca :rotfl: di D+ visto che altri illustri nomi sono andati nella stessa direzione di chi asseriva che il ransom GpCode continuava a bypassare la comoponente proattiva del CIS,

"this is one of the malwares that does slip through the cracks of the sandbox though", by EricJH


Mi chiedo, peraltro, quali altre famiglie di malware bypassino D+ visto che EricJH ha usato (impropriamente?) la locuzione "one of"...

done75
06-05-2011, 22:13
e ti pareva che su Megalab non fossero arrivati a conclusioni opposte? :D

http://www.megalab.it/forum/topic71647.html


Cloutz, se hai la possibilità di verificare...:fiufiu:

Non c'è niente da verificare.
Alle 04:09:37 PM di ieri tale morphiusz del Comodo Official Forum mi ha confermato nel thread che tutti voi\noi state tenendo sott'occhio che il "problema gpcode" non è stato fixato...
E' evidente quindi che l'altro tale,farbix89,sbaglia.

eraser
07-05-2011, 03:31
Ubuntu Linux / Windows 7 against keylogger (Part 1) (http://www.youtube.com/watch?v=Y1fZAZTwyPQ)

Ubuntu Linux / Windows 7 against keylogger (Part 2) (http://www.youtube.com/watch?v=MP7YxKeRsYE)

eraser
07-05-2011, 03:32
doppio post, scusate

Chill-Out
07-05-2011, 08:06
chiedo venia ai Mod. di sezione, ma questo thread è mio [:read: ]...e me lo modero io! :ciapet:

Rilevate dunque numerose circostanze di OT, commino [:yeah:] 1 boccia di Guttalax a capoccia (da bersi in unica soluzione)...


PS:
Sampei, se ci leggi, hai "scontato" a sufficienza la tua punizione...:)

Dai il buon esempio, comincia tu :sofico:

cloutz
07-05-2011, 10:53
Ubuntu Linux / Windows 7 against keylogger (Part 1) (http://www.youtube.com/watch?v=Y1fZAZTwyPQ)

Ubuntu Linux / Windows 7 against keylogger (Part 2) (http://www.youtube.com/watch?v=MP7YxKeRsYE)

grazie! :)

nV 25
07-05-2011, 11:18
Ubuntu Linux / Windows 7 against keylogger (Part 1) (http://www.youtube.com/watch?v=Y1fZAZTwyPQ)

Ubuntu Linux / Windows 7 against keylogger (Part 2) (http://www.youtube.com/watch?v=MP7YxKeRsYE)
più che grazie, direi spettacolare! :read:

In particolare il video su Win7 mi ha permesso di affinare diverse cose che sono state per l'appunto oggetto dei miei "studi" proprio in questi giorni...

:mano:

nV 25
07-05-2011, 11:19
Non c'è niente da verificare.
Alle 04:09:37 PM di ieri tale morphiusz del Comodo Official Forum mi ha confermato nel thread che tutti voi\noi state tenendo sott'occhio che il "problema gpcode" non è stato fixato...
E' evidente quindi che l'altro tale,farbix89,sbaglia.

guarda, data la fonte davo per scontato l'errore...:D

eraser
07-05-2011, 11:22
.

eraser
07-05-2011, 11:23
grazie! :)

più che grazie, direi spettacolare! :read:

In particolare il video su Win7 mi ha permesso di affinare diverse cose che sono state per l'appunto oggetto dei miei "studi" proprio in questi giorni...

:mano:

Grazie :) Spero vi possa essere stato d'aiuto / di gradimento.

nV, che hai studiato in questi giorni? :D

eraser
07-05-2011, 11:23
Scusate per il doppio post, ma non vedo i miei messaggi :D

nV 25
07-05-2011, 11:55
Scusate per il doppio post, ma non vedo i miei messaggi :D
a parte che sei evidentemente rimbambito :p,

nV, che hai studiato in questi giorni? :D
fondamentalmente, sono partito da quest'articolo [Link! (http://technet.microsoft.com/en-us/magazine/2007.06.uac.aspx)] che tocca, per l'appunto, tutto il discorso del "nuovo" meccanismo di sicurezza implementato negli ultimi OS Microsoft (e, quindi, proprio gli ILs e l'UIPI oggetto di un tuo chiaro riferimento nel video su Windows 7)...

L'uso massiccio degli strumenti di sicurezza integrati nell'OS conseguente al mio passaggio alla piattaforma x64, infatti, richiedeva necessariamente il pagamento di questo scotto...:p

eraser
07-05-2011, 11:59
a parte che sei evidentemente rimbambito :p,


Non posso concordare di più :D


fondamentalmente, sono partito da quest'articolo [Link! (http://technet.microsoft.com/en-us/magazine/2007.06.uac.aspx)] che tocca, per l'appunto, tutto il discorso del "nuovo" meccanismo di sicurezza implementato negli ultimi OS Microsoft (e, quindi, proprio gli ILs e l'UIPI oggetto di un tuo chiaro riferimento nel video su Windows 7)...

L'uso massiccio degli strumenti di sicurezza integrati nell'OS conseguente al mio passaggio alla piattaforma x64, infatti, richiedeva necessariamente il pagamento di questo scotto...:p

Ottimo lavoro :) La versione a 64 bit di Windows Vista/7 è veramente ottima a livello di sicurezza ;) Spesso si chiacchiera per luoghi comuni, senza sapere in realtà di come effettivamente funzioni Windows e le sue misure di sicurezza

eraser
07-05-2011, 18:16
:asd: già mi sono preso un voto negativo su youtube per il video su Ubuntu :D Appena si tocca Linux diventi un eretico :p

nV 25
07-05-2011, 18:44
:asd: già mi sono preso un voto negativo su youtube per il video su Ubuntu :D Appena si tocca Linux diventi un eretico :p
oltre che profondo conoscitore della tua vasta materia, non pensavi mica di far concorrenza anche a Fellini? :p

Guardando bene il movie, infatti, si vede benissimo che la "fotografia" è parecchio spartana:
in questo senso, il voto negativo ci stà tutto (vuoi mettere, invece, uno sfondo con delle rondini che volteggiano ad indicare la primavera alle porte? :ciapet: )...

:fuck:

cloutz
07-05-2011, 18:46
:asd: già mi sono preso un voto negativo su youtube per il video su Ubuntu :D Appena si tocca Linux diventi un eretico :p

lascia stare, in una discussione sui keylogger su ubuntu ho postato il tuo video in maniera pacifica: pensavo di fare cosa gradita per creare una discussione profittevole, invece oltre a verificarsi la tua previsione (ci mancava poco per il it's not a bug, it's a feature) son stato quasi preso per un allocco che non sa quello che dice, uno che vuole spargere il panico.


non pensavo di trovare tanta ostilità :( , ma a sto punto in totale serenità ho portato a casa cmq qualcosa :D :

1. non è il modo in cui dici le cose che spesso non va bene, ma usa sempre tu per primo un tono corretto;
2. non essendo il tono a non andare bene, molto spesso è proprio la gente che certe cose non vuole saperle!
3. dato che non vuole saperle, risparmia fiato e fegato, per quanto possano essere buone le tue intenzioni fatti gli affari tuoi e non dirgliele.


dopo tutto, son lezioni di vita! :D

nV 25
07-05-2011, 18:54
[...]

1. non è il modo in cui dici le cose che spesso non va bene, ma usa sempre tu per primo un tono corretto;
2. non essendo il tono a non andare bene, molto spesso è proprio la gente che certe cose non vuole saperle!
3. dato che non vuole saperle, risparmia fiato e fegato, per quanto possano essere buone le tue intenzioni fatti gli affari tuoi e non dirgliele.


o cloutz, mi fai stiantà...:p


In effetti, cmq, c'è anche un detto che spiega perfettamente il punto n°3:
è il detto che ha come oggetto il mi nonno e perchè è campato fino a 100 anni...:D

eraser
07-05-2011, 19:15
lascia stare, in una discussione sui keylogger su ubuntu ho postato il tuo video in maniera pacifica: pensavo di fare cosa gradita per creare una discussione profittevole, invece oltre a verificarsi la tua previsione (ci mancava poco per il it's not a bug, it's a feature) son stato quasi preso per un allocco che non sa quello che dice, uno che vuole spargere il panico.


non pensavo di trovare tanta ostilità :( , ma a sto punto in totale serenità ho portato a casa cmq qualcosa :D :

1. non è il modo in cui dici le cose che spesso non va bene, ma usa sempre tu per primo un tono corretto;
2. non essendo il tono a non andare bene, molto spesso è proprio la gente che certe cose non vuole saperle!
3. dato che non vuole saperle, risparmia fiato e fegato, per quanto possano essere buone le tue intenzioni fatti gli affari tuoi e non dirgliele.


dopo tutto, son lezioni di vita! :D

Hai perfettamente ragione :p

PS: Mi forwardi il link dove l'hai postato in pvt? :D Sono curioso :D

Edit: link trovato :D Era facile aspettarsi tale reazione :asd:

eraser
07-05-2011, 19:24
In altre parole, se in Windows era possibile tale cosa, Windows è pieno di falle. Se succede in Ubuntu, allora era prevedibile ed è normale che sia così - e comunque è inutile parlarne perché tanto non esistono tali malware :)

Il prossimo passo è che lo UIPI è una tecnologia inutile ;)

cloutz
07-05-2011, 19:52
purtroppo non ho mai seguito bene il mondo linux, mi sarei aspettato un pensiero un tantino più aperto, almeno per onestà intellettuale, ma vabbè..

cmq si, il fatto che su windows ci sia un certo "panico" per i virus e le vulnerabilità, aiuta a sviluppare una visione critica nell'utente che, alla fine, è un minimo più consapevole ed è pronto ad accettare di buon grado (:D ) che la sua protezione possa esser fallata, senza mostrare alcuna resistenza per partito preso.




al di là di tutto resta che sta versione di ubuntu, sarà super-facilitata e con features ad-hoc per catturare newbies, ma a me piace (alla faccia di tutti i nerd all'ascolto)! :ciapet:

Romagnolo1973
07-05-2011, 20:07
lascia stare, in una discussione sui keylogger su ubuntu ho postato il tuo video in maniera pacifica: pensavo di fare cosa gradita per creare una discussione profittevole, invece oltre a verificarsi la tua previsione (ci mancava poco per il it's not a bug, it's a feature) son stato quasi preso per un allocco che non sa quello che dice, uno che vuole spargere il panico.


non pensavo di trovare tanta ostilità :( , ma a sto punto in totale serenità ho portato a casa cmq qualcosa :D :

1. non è il modo in cui dici le cose che spesso non va bene, ma usa sempre tu per primo un tono corretto;
2. non essendo il tono a non andare bene, molto spesso è proprio la gente che certe cose non vuole saperle!
3. dato che non vuole saperle, risparmia fiato e fegato, per quanto possano essere buone le tue intenzioni fatti gli affari tuoi e non dirgliele.


dopo tutto, son lezioni di vita! :D
:D ma dove ti sei andato a mettere anche tu, nel nido delle vipere ehh
La salvezza di linux risiede nel fatto che rappresenti mondialmente meno del 1% dei S.O. in uso, quindi fare malware per tale piattaforma è poco remunerativo, inoltre il 99% del software lo si installa da repository e diciamo sono quindi programmi "sicuri", nel restante 1% che sfugge a questa politica di indicizzazione programmi ci sono addons per i browser e poco alto, e queste cose ne fanno il S.O. più sicuro, mica altro, Linux ha più bachi di quanto quelli che ti hanno risposto possano solo immaginare, la accuratezza poi di misure di prevenzione è pari a zero o quasi. Basta molto poco per infettare quei pc linux, come eraser ha ben dimostrato, molto più difficile è veicolare in qualche modo il virus in modo che gli utenti lo installino.
E comunque mettere in ginocchio 1% dei pc (meno perchè tantissimi poi hanno il dualboot) e ancor meno perchè molti comunque non hanno a pc dati di grande utilità, non è per fortuna una meta dei pirati informatici, solo quello è il vero motivo per cui i virus saranno stati 4 in 20 anni di Linux.
Se vuoi vedere un po' di avvisi a video mettiti GUFW e imposti per avere le notifiche a video, così ti vedi in tempo reale i vari IP a cui ti colleghi durante l'uso, penso che sia il solo stumento esistente su Linux ed è anche così basico che a confronto il FW di XP sembra un programma serio