PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 [15] 16 17 18 19

Kohai
22-09-2011, 17:24
Io utilizzo questo programmino: extract now (http://www.extractnow.com/).
Semplice, veloce, leggero, in italiano :D

Spero di non aver detto una caz... ehm, cavolata :fagiano:

Slash82
22-09-2011, 19:07
non per andare OT, ma quindi sconsigliate l'uso di winrar? Pare non lo usi nessuno...
Ci sono altri software migliori dal punto di vista sicurezza/ prestazioni? Per XP.

nV 25
22-09-2011, 19:13
mah, io lo uso...e sto ancora aspettando il 1° malware capace di fregarmi...:ciapet:

nV 25
22-09-2011, 19:22
il messaggio, in sostanza, è questo:

non tendiamo alla paranoia altrimenti finisce il bello dell'uso di questo mezzo.

Certo, sono da evitare come la peste programmi sistematicamente colpiti da malware (Java, Acrobat Reader e pochi altri) ma, una volta fatta questa semplice operazione, utilizzando il sale (della zucca) + gli accorgimenti di questo thread (HIPS/Sandbox + Account limitato [e UAC al Max negli OS che supportano questa tecnologia]), ecco:
si deve essere veramente sfigati per imbattersi in un qualcosa capace di fare danni importanti...


Insomma, si deve cercare di vivere il PC con un attimo di serenità altrimenti finsce veramente il divertimento...:)

Draven94
22-09-2011, 20:06
mah, io lo uso...e sto ancora aspettando il 1° malware capace di fregarmi...:ciapet:
Anch'io uso winrar :D
il messaggio, in sostanza, è questo:

non tendiamo alla paranoia altrimenti finisce il bello dell'uso di questo mezzo.

Certo, sono da evitare come la peste programmi sistematicamente colpiti da malware (Java, Acrobat Reader e pochi altri) ma, una volta fatta questa semplice operazione, utilizzando il sale (della zucca) + gli accorgimenti di questo thread (HIPS/Sandbox + Account limitato [e UAC al Max negli OS che supportano questa tecnologia]), ecco:
si deve essere veramente sfigati per imbattersi in un qualcosa capace di fare danni importanti...


Insomma, si deve cercare di vivere il PC con un attimo di serenità altrimenti finsce veramente il divertimento...:)
Condivido in toto, tra l'altro mi è capitato di leggere le configurazioni di sicurezza di alcuni utenti e più che di sicurezza in alcuni casi si potrebbe parlare di configurazione di "paranoia" :p

Romagnolo1973
22-09-2011, 21:14
Nel frattempo ho disinstallato dal mio pc (XP) il sw di gestione files zip che era in precedenza installato, cioè 7-zip, ed ho optato per PeaZip portable.
Ho chiudi chiuso una ipotetica porta aperta nella shell.

Oltretutto non solo lo sviluppo di 7-zip è fermo alla data del 18/11/2010,mentre il file di PeaZip è al 19/09/2011 ma è anche possibile constatare dallo storico di SECUNIA che mentre 7-zip ha incamerato nel tempo 5 avvisi di insicurezza di cui l'ultimo nel 2010, la condizione di PeaZip è notevolmente migliore,1 solo avviso in data 2009.

Così per curiosità ho anche EMETizzato il file exe di PeaZip e da qualche brevissimo ma incompleto test non sembrano esserci problemi.

@ Romagnolo ed altri colleghi nel caso......

E' possibile fare un test se il tuo Bandizip (nessuna info su SECUNIA) ha il supporto per ASLR ?

concordo che non ci si può fare troppe "pippe" e che quando la paura è maggiore del piacere e ci si mette ad usare programmi in modo scomodo (la shell serve altroché) allora meglio andare a vivere in una grotta senza elettricità e così si è sicuri:D
Comunque visto che il buon pescatore chiedeva ho fatto il test spero bene, non la vedo come "shell extension" ma col nome" shell menu" ma credo dipenda dalla traduzione italiana, comunque Bandizip è protetto ASLR e anche la shell relativa. Immagine sotto
Va da sé che poichè come tutti i programmini per aprire file 7zip o comprimere in 7zip si appoggiano a Pavlov quindi nel momento in cui si zippa o scompatta un 7zip si è fuori da ASLR poichè 7zip non lo supporta, comunque se la vulnerabilità non sta nel aprire 7zip.exe (che è all'interno di Bandizip come di peazip e di altri) ma nella shell allora dormo sonni tranquilli :D sto protetto, per quello che mi può importare (in 7zip o altri mi sembra più un esercizio di stile sta vulnerabilità che altro)

http://img405.imageshack.us/img405/5177/immaginepeb.th.jpg (http://imageshack.us/photo/my-images/405/immaginepeb.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

sampei.nihira
22-09-2011, 22:13
***

Romagnolo1973
22-09-2011, 22:26
Io nel frattempo ho provveduto a testare con seven, PeaZip e come avevo supposto inizialmente non ha il supporto ASLR.

Grazie del tuo test.

*******************************

In merito alle pippe mentali occorre essere realisti.
Credo che la conoscenza che deriva anche solo dallo sviscerare un argomento sia per tutti almeno interessante.;)
Poi ognuno nel proprio pc fà comunque ciò che vuole......:)

non era rivolto a te ehh, non mi permetterei mai.
E' che c'è gente che si riempie di programmi pure doppioni, non usa programmi comodi solo perchè un amico gli ha detto che ha problemi, poi magari lascia aperto un portone perchè usa IE. Va bene usare un zip portable però ha delle indubbie mancanze e quella di dover sempre aprirlo per trascinarci dentro un archivio è sicuramente una scomodità, a mio avviso i costi\benefici della soluzione sono per il vivere tranquillo e tenersi il bel menù contestuale e via. Poi se uno apre un file zippato a stagione allora è un altro discorso.
Comunque si risolve, se piazzano Bandizip così lo usiamo in 10 al mondo e siamo tutti contenti:D

sampei.nihira
22-09-2011, 22:38
***

nV 25
23-09-2011, 12:26
In merito alle pippe mentali occorre essere realisti.
Credo che la conoscenza che deriva anche solo dallo sviscerare un argomento sia per tutti almeno interessante.;)

vero...

A fini di studio/ottimizzazione (irrobustimento?) del sistema, tutto è ben accetto.

sampei.nihira
23-09-2011, 17:05
***

sampei.nihira
23-09-2011, 20:45
***

sampei.nihira
24-09-2011, 15:07
***

nV 25
24-09-2011, 15:35
*

ho sbagliato, sorry

Kohai
24-09-2011, 16:12
Scusa l'ignoranza Sampei, come mai vorresti emetizzare Hitman Pro?

sampei.nihira
24-09-2011, 16:25
***

Kohai
24-09-2011, 17:49
L'ho già fatto !!! :D
Per il "motivo precauzionale" che è evidenziato nel post 3532.


Essendo un software di sicurezza mi sembrava strano....
Grazie per la risposta :)
Buon fine settimana a tutti.

nV 25
24-09-2011, 18:34
*

ho sbagliato, sorry

In realtà non c'era nessun errore nel mio commento precedente e, dunque, lo ripropongo.

Per quanto rigurda HP, *se* P.E. non è avviato elevato è normale che non veda le caratteristiche DEP/ASLR collegate ad un processo che gira con un IL >, in questo caso proprio il nostro HP...

Prova a lanciare come admin anche P.E. e controlla gli effetti...

sampei.nihira
24-09-2011, 19:20
***

Chill-Out
25-09-2011, 15:51
Bypassing all anti-virus in the world (Good Bye Detection , Hello Infection) http://www.abysssec.com/blog/2011/09/bypassing-all-anti-virus-in-the-world-good-bye-detection-hello-infection/ Download Demo http://abysssec.com/files/VampCrypt.rar

rizzotti91
25-09-2011, 16:37
Dovrei utilizzare un software con (in teoria) due rilevazioni di falsi positivi, sia da parte di avira che da parte di ad-aware... con che software posso monitorare le modifiche che avvengono a file di sistema o chiavi di registro o altro, in seguito all'apertura di tale software? Grazie mille.

nV 25
25-09-2011, 18:02
Bypassing all anti-virus in the world (Good Bye Detection , Hello Infection) http://www.abysssec.com/blog/2011/09/bypassing-all-anti-virus-in-the-world-good-bye-detection-hello-infection/ Download Demo http://abysssec.com/files/VampCrypt.rar
Possiede giusto caratteristiche Anti-sandbox (da intendersi come: vengo eseguito all'interno di uno strumento come Sandboxie? SI, allora non inizializzare il processo...NO, allora prosegui con il processo di infezione...) ma, per il resto, non rilevo nulla di particolare:
DefenseWall, ad es., che a regola non è contemplato nel trucchetto Anti-Sandbox, sarà sicuramente in grado di intercettare (e castrare) qualsiasi effetto di questo malware.



Dovrei utilizzare un software con (in teoria) due rilevazioni di falsi positivi, sia da parte di avira che da parte di ad-aware... con che software posso monitorare le modifiche che avvengono a file di sistema o chiavi di registro o altro, in seguito all'apertura di tale software? Grazie mille.

O, come sono solito dire, "fai decantare il file" per qualche giorno al fine di vedere se Avira cambia il proprio verdetto, oppure lo dai in pasto a strumenti dedicati come C.I.M.A. (http://camas.comodo.com/), Anubis (http://anubis.iseclab.org/)...

Altrimenti devi saper usare (bene) un HIPS classico, meglio cmq facendo la prova in un ambiente protetto (Virtual Machine)....
L'usare bene, ovviamente, è da intendersi in particolare come "saper leggere" (o interpretare) gli avvisi...

nV 25
25-09-2011, 18:20
Edit

Superiore! :asd:

Chill-Out
25-09-2011, 19:13
Possiede giusto caratteristiche Anti-sandbox (da intendersi come: vengo eseguito all'interno di uno strumento come Sandboxie? SI, allora non inizializzare il processo...NO, allora prosegui con il processo di infezione...) ma, per il resto, non rilevo nulla di particolare:
DefenseWall, ad es., che a regola non è contemplato nel trucchetto Anti-Sandbox, sarà sicuramente in grado di intercettare (e castrare) qualsiasi effetto di questo malware.


Ok, ma l'oggetto sono gli AV :)

arnyreny
25-09-2011, 19:14
Ok, ma l'oggetto sono gli AV :)

allora qui sei Ot:D ;) :sofico:

Chill-Out
25-09-2011, 19:17
allora qui sei Ot:D ;) :sofico:

In questo caso l'apparenza inganna :)

rizzotti91
25-09-2011, 21:53
Possiede giusto caratteristiche Anti-sandbox (da intendersi come: vengo eseguito all'interno di uno strumento come Sandboxie? SI, allora non inizializzare il processo...NO, allora prosegui con il processo di infezione...) ma, per il resto, non rilevo nulla di particolare:
DefenseWall, ad es., che a regola non è contemplato nel trucchetto Anti-Sandbox, sarà sicuramente in grado di intercettare (e castrare) qualsiasi effetto di questo malware.





O, come sono solito dire, "fai decantare il file" per qualche giorno al fine di vedere se Avira cambia il proprio verdetto, oppure lo dai in pasto a strumenti dedicati come C.I.M.A. (http://camas.comodo.com/), Anubis (http://anubis.iseclab.org/)...

Altrimenti devi saper usare (bene) un HIPS classico, meglio cmq facendo la prova in un ambiente protetto (Virtual Machine)....
L'usare bene, ovviamente, è da intendersi in particolare come "saper leggere" (o interpretare) gli avvisi...

Grazie per la risposta... in pratica questo software è costituito da due parti, da una dll e da un exe... ho fatto la scansione online su comodo riguardo l'exe e mi dice: Threads Created
PId Process Name TId Start Start Mem Win32 Start Win32 Start Mem
0x344 svchost.exe 0x170 0x7c810856 MEM_IMAGE 0x7c910760 MEM_IMAGE

Chill-Out
25-09-2011, 23:11
Defeating x64: Modern Trends of Kernel-Mode Rootkits - Presentation Transcript by Aleksandr Matrosov Senior Malware Researcher at ESET

http://www.slideshare.net/matrosov/defeating-x64-modern-trends-of-kernelmode-rootkits

buona visione :)

arnyreny
26-09-2011, 19:54
da quando ho messo emet ho avuto continue schermate blu...quindi l'ho disinstallato...forse c'e' qualche incompatibilita' con cis...probabilmente:muro:

Biffo_The_Cat
26-09-2011, 22:42
da quando ho messo emet ho avuto continue schermate blu...quindi l'ho disinstallato...forse c'e' qualche incompatibilita' con cis...probabilmente:muro:

Hai una scheda video ATI/AMD? In questo caso lo SEHOP va messo in Application Opt In, se lo lasci su Always On hai BSOD per problemi con i driver della scheda video.

Saluti

arnyreny
26-09-2011, 22:44
Hai una scheda video ATI/AMD? In questo caso lo SEHOP va messo in Application Opt In, se lo lasci su Always On hai BSOD per problemi con i driver della scheda video.

Saluti

no la scheda e' nvidia...m230 del notebook..
ricordo di aver usato in passato emet sullo stesso note...pero' avevo solo antivir,mentre adesso uso cis :boh:

Biffo_The_Cat
27-09-2011, 00:19
no la scheda e' nvidia...m230 del notebook..
ricordo di aver usato in passato emet sullo stesso note...pero' avevo solo antivir,mentre adesso uso cis :boh:

Anche io uso CIS su Windows 7 64 bit ed EMET non mi da alcun problema ... Se non sbaglio però stai usando una versione beta di CIS, magari dipende da quello. Prova comunque a impostare SEHOP in Opt In. Altrimenti c'è da aspettare qualcuno più esperto di me :)

Saluti

nV 25
27-09-2011, 08:54
più esperti di te in questo caso penso ci sia solo il supporto Comodo al quale va segnalato il problema dato che, come sembra di capire, i BSODs si verificano solo con l'ultima beta...:)

arnyreny
27-09-2011, 11:38
più esperti di te in questo caso penso ci sia solo il supporto Comodo al quale va segnalato il problema dato che, come sembra di capire, i BSODs si verificano solo con l'ultima beta...:)

pensandoci bene ....per non dire sempre e' colpa di uno o di quell'altro...
ultimamente ho messo returnil con antivirus ovviamente con av disattivo...
sto scrvendo due righe per la guida su returnil...
quindi la colpa potrebbe essere anche di returnil...
nel frattempo ho tolto emet per vedere se il problema si riverifica ...poi andro per esclusione...
nelregistro ilo messaggio di errore era CIMV2SELECT+*+FROM+__InstanceModificationEvent+WITHIN+60+WHERE+TargetInstance+ISA+%22Win32_Processor:boh:

sampei.nihira
30-09-2011, 17:04
***

riazzituoi
30-09-2011, 19:04
.

sampei.nihira
30-09-2011, 20:36
***

commi
30-09-2011, 21:53
Così per curiosità ho voluto provare a modificare il valore nel registro 1806 con XP:

http://www.pctunerup.com/up/results/_201109/th_20110930180524_1806.1.JPG (http://www.pctunerup.com/up/image.php?src=_201109/20110930180524_1806.1.JPG)

Il percorso della chiave la trovate nell'immagine.
E vedere se downloadando qualche files con i 2 browser che ho installato (cioè Chrome e Opera) si otteneva la mancata esecuzione.

Io non ho ottenuto alcunchè !! :rolleyes: :rolleyes:

Nei OS più recenti il percorso è leggermente diverso,ma io non posso provarlo fino alla prossima settimana.:rolleyes:

Se c'è qualche utente che ha tempo di fare una provettina.....;)

Se parlando di mancata esecuzione ti riferisci alla possibilità di disabilitare il download dei file, il valore del registro da modificare è 1803 e non 1806 ;)

sampei.nihira
30-09-2011, 22:06
***

commi
30-09-2011, 22:48
Non intendo la disabilitazione del download ma proprio l'avvio del file downloadato:

http://www.wilderssecurity.com/showthread.php?p=1852108&posted=1

Ok, come non detto ;)

arnyreny
01-10-2011, 12:19
released a new version of NoVirusThanks EXE Radar Pro v1.3.3.3

novita' sembra esserci un av integrato

Changelog:



[29-09-2011] v1.3.3.3

+ Added "View File Content..." for "Block Processes by File Content Using Regex"
+ Added "Behavioral" -> "Malware Signatures Scanner" (we maintain our own DBs
with regex, malware processes, signatures, etc)
+ Added "Behavioral" -> "Malwarehash.com API Service" -> Cloud-Based Process
Scanner that uses malwarehash.com service
+ Added "Remote PHP POST Notification on Process Execution"
+ Included an example PHP script for Remote PHP Notification
+ Updated Hook Module to v1.3.2.0
+ Minor fixes and optimizations

Draven94
01-10-2011, 14:58
released a new version of NoVirusThanks EXE Radar Pro v1.3.3.3

novita' sembra esserci un av integrato

Changelog:



[29-09-2011] v1.3.3.3

+ Added "View File Content..." for "Block Processes by File Content Using Regex"
+ Added "Behavioral" -> "Malware Signatures Scanner" (we maintain our own DBs
with regex, malware processes, signatures, etc)
+ Added "Behavioral" -> "Malwarehash.com API Service" -> Cloud-Based Process
Scanner that uses malwarehash.com service
+ Added "Remote PHP POST Notification on Process Execution"
+ Included an example PHP script for Remote PHP Notification
+ Updated Hook Module to v1.3.2.0
+ Minor fixes and optimizations
Interessante. La questione av integrato sarebbe da approfondire, sta di fatto che aspetto ancora la versione x64 :D

arnyreny
01-10-2011, 20:16
da quando ho messo emet ho avuto continue schermate blu...quindi l'ho disinstallato...forse c'e' qualche incompatibilita' con cis...probabilmente:muro:

per onore di cronica ...il problema della schermata blu non era riconducibile ad emet,ma ai nuovi driver nvidia:eek:

sampei.nihira
02-10-2011, 06:29
***

sampei.nihira
11-10-2011, 16:02
***

nV 25
11-10-2011, 16:46
hai pvt

Chill-Out
11-10-2011, 21:18
Steve Jobs ha dichiarato, prima di morire, che aver frequentato un corso di calligrafia è stata una cosa fondamentale per lo sviluppo del progetto futuro del Mac.

A me piacerebbe ritornare a Lucca Comics ci sono stato anni ed anni fà incontrando anche Bonelli che adesso non c'è più !! :( :(

ENNE tu ci saresti, se questo pescatore si farà vivo alla manifestazione, diciamo nella domenica 30 Ottobre ?

Mi piacerebbe offrirti un caffè,tè,panino,pizza.....:)
Una cosa sola però eh....io (se verrò) sono solo un umile pescatore.....

Problemi con i PVT ?

sampei.nihira
11-10-2011, 22:18
***

Draven94
14-10-2011, 13:31
Per chi fosse interessato, ho contattato il team che sviluppa il software in oggetto. Ho posto loro le seguenti questioni ottenendo una pronta e precisa risposta.

1. C'è una futura versione a 64 bit?
Risposta:
Not yet, we do not have an exact date for the release of the x64 version,
I can only say that it is our primary focus to release an x64 version,
soon it will be available

2. Nella versione attuale il software include un antivirus?
Risposta:
It includes now our own database with malware signatures so I would say it
includes an anti-malware module. More it includes also a Behavioral
blocker and Malwarehash.com API service, a good mix to fight new and
unknown malware processes.

Detto questo, ringrazio il team di NoVirusThanks per la disponibilità e le pronte risposte.

arnyreny
15-10-2011, 13:51
2. Nella versione attuale il software include un antivirus?
Risposta:



Changelog:

[12-10-2011] v1.3.4.0

+ Added "Automatically Update Database" (every 1 hour) for "Malware Signature
Scanner"
+ Added "Enable EXE Radar Remote PHP Notification"
+ Added button to check UID
+ Updated "Export/Import Settings"
+ Fixed save of remote PHP notification config
+ Updated "Reset settings to defaults"
+ Added "Enable Custom Scanners" -> Integrate any cmdline AV scanner (multiple
scanners allowed)
+ Add as many scanners as you want
+ Easy to configure INI file
+ Support Yara
+ Option to show commandline windows (for testing)
+ Option to test scanners with a custom file (ex: eicar.com)
+ Added new "Rules" structure (more customizable from users)
+ Added "Enable "Allow ALL" Mode (Allow Any Process)"
+ Optimized Malwarehash.com API query system
+ Now "Rules" are checked before "Custom Modes"
+ Fixed "Password Protect Stealth Mode"
+ Fixed "Delete File" in "Events" TAB (disabled if no items)
+ Minor fixes

sampei.nihira
17-10-2011, 06:53
***

nV 25
17-10-2011, 13:08
Solo 1 battuta rapidissima a proposito dell'ASLR.

Capitolo "come fare a verificare se l'ASLR è attivo o meno":
è possibile verificare lo stato ON/OFF "al volo" semplicemente spostandosi sulla linguettina view-> select columns->process image spuntando dunque la casellina corrispondente.

Ecco come è impostato ad es. sul mio PC per avere appunto una visione immediata,

http://img17.imageshack.us/img17/2117/immagine3ok.th.jpg (http://imageshack.us/photo/my-images/17/immagine3ok.jpg/)

Il tuo sistema, infatti, pur corretto, è meno immediato e impone di andare sul processo->aprire il piano inferiore (questo, volendo, non è cmq un grande disturbo...) ma, più che altro, determina una "visione sporcata" da tutte le dll [...] caricate dal processo stesso.
La tua strada, dunque, è più utile se si indaga "un altro livello", quello "più profondo"...


Sul resto dei ragionamenti legati in particolare all'ASLR, ho i minuti contati e non posso entrare nel merito...


Con questo reply, diciamo cosi', ho tirato giusto un abbocco a favore di una lettura più semplice...:D

sampei.nihira
18-10-2011, 14:50
***

marcos86
18-10-2011, 15:07
Avrei una curiosità,per coloro che lo hanno installato,come stà combinato SUMATRA ?
ASLR supportato

sampei.nihira
18-10-2011, 15:17
***

nV 25
18-10-2011, 16:46
posto che l'assenza dell'ASLR è indice esclusivamente della scarsa cura dei programmatori verso i problemi legati alla sicurezza, non vedo cmq il motivo di tirare giù una lista dei software che supportano questa tecnologia a meno che non siano eventualmente software di sicurezza o programmi solitamente oggetto di attacchi.

Sapere ad es. che StylePix (che peraltro uso anch'io :D ) ha abilitato/disabilitato l'ASLR, che tipo di vantaggio ne ricavo?
Sicuramente, il PC risulta più coperto...ma (e qui arrivo alla domanda di cui sopra a proposito del "vantaggio") se StyleXP non è mai vittima di exploit perchè è installato sullo 0,[..] dei PC??

Paradossalmente, dunque, non esistendo exploit che lo colpiscano, potrebbe tranquillamente caricare anche le DLL che gli sono necessarie ad indirizzi definiti...:stordita: (credo)


Ecco perchè la forzatura dell'ASLR per-process viene consigliata per i programmi che solitamente costituiscono un vettore di infezione...

I nomi da proteggere, dunque, gira e rigira sono sempre gli stessi...



Detto questo, cmq, non è che bocci a prescindere l'idea di una lista di software che supportano nativamente l'ASLR per cui, oh, se la volete tirare giù, è sempre una conoscenza in più...

sampei.nihira
18-10-2011, 17:46
***

gyonny
21-10-2011, 07:39
Salve, ho letto queste interessanti discussioni riguardo l'ASLR, per me è un argomento nuovo :fagiano:...sto cambiando configurazione di sicurezza e in base ai vostri posts sto optando per utilizzare EMET, user account standard (OS 7 x64), Sandboxie. In realtà questa configurazione la sto già provando su una macchina virtuale (sapete com'è, prima di fare dei cambiamenti voglio essere sicuro e almeno capirci qualcosa...). Vengo al punto della domanda volevo chiedervi se usando una configurazione user account standard + EMET + Sandboxie sia necessario usare un antivirus e se eventualemnte potrebbero esserci conflitti con esso, scusate la domanda stupida. Grazie

Eress
21-10-2011, 08:05
volevo chiedervi se usando una configurazione user account standard + EMET + Sandboxie sia necessario usare un antivirus
No :D

arnyreny
21-10-2011, 08:55
Salve, ho letto queste interessanti discussioni riguardo l'ASLR, per me è un argomento nuovo :fagiano:...sto cambiando configurazione di sicurezza e in base ai vostri posts sto optando per utilizzare EMET, user account standard (OS 7 x64), Sandboxie. In realtà questa configurazione la sto già provando su una macchina virtuale (sapete com'è, prima di fare dei cambiamenti voglio essere sicuro e almeno capirci qualcosa...). Vengo al punto della domanda volevo chiedervi se usando una configurazione user account standard + EMET + Sandboxie sia necessario usare un antivirus e se eventualemnte potrebbero esserci conflitti con esso, scusate la domanda stupida. Grazie

sono sempre dell'idea che se hai un pc di nuova generazione...avere un av non pregiudica molto la velocità del sistema...
detto questo se proprio non ti va di avere un controllo in realtime...tutti gli accorgimenti per la sicurezza rafforzano la difesa...ma almeno un hips oppure sandbox e un sistema moderno a 64 bit con uac al massimo fanno stare piu' tranquilli...
ripeto sempre questa frase: la sicurezza non e' un valore assoluto,ma relativo alla nostra macchina e alle nostre esigenze...;)

gyonny
21-10-2011, 09:14
No :D

sono sempre dell'idea che se hai un pc di nuova generazione...avere un av non pregiudica molto la velocità del sistema...
detto questo se proprio non ti va di avere un controllo in realtime...tutti gli accorgimenti per la sicurezza rafforzano la difesa...ma almeno un hips oppure sandbox e un sistema moderno a 64 bit con uac al massimo fanno stare piu' tranquilli...
ripeto sempre questa frase: la sicurezza non e' un valore assoluto,ma relativo alla nostra macchina e alle nostre esigenze...;)

Ho capito...:) Ho visto che tra alcuni utenti di questa sezione che usano EMET + user account standard e accorgimenti vari (o altre configurazioni), non fanno uso di nessun antivirus in real-time e la loro sicurezza dopotutto non sembra affatto compromessa, ma c'è anche però da dire che la loro preparazione è superiore alla media :p, per questo motivo credo che per un utente medio come me sia più prudente affiancare un antivirus anche se si usa un user account standard + EMET + Sandboxie e accorgimenti vari.

A proposito di HIPS c'è stato un periodo in cui facevo uso di Malware Defender, ma allora avevo un OS a 32 bit e quindi compatibile, non usavo nessun antivirus in real-time perchè MD da solo mi garantiva un'eccellente sicurezza, poi l'ho abbandonato perchè ho aggiornato a 7 x64 quindi non più compatibile.

nV 25
21-10-2011, 10:42
alla domanda "se è necessario un AV con una configurazione formata da [..]" come quella posta poc'anzi, personalmente non mi sentirei di rispondere con un NO! secco (alla Eress :p ) ma con un DIPENDE!, tant'è vero che proprio in fondo al post n°1 di questo stesso thread mi sono permesso di fare una riflessione (forse solo scolastica?) dal titolo "il paradosso Sandboxie e la rivalutazione degli strumenti a lista nera"...


Può realmente essere opportuno dargli una lettura...


Come fatto osservare cmq anche da altri, si va troppo sul piano soggettivo e non è detto che esista una risposta univoca...

gyonny
21-10-2011, 11:10
Grazie per il chiarimento :), ho letto quel paragrafo in prima pagina e infatti ho avuto conferma su ciò che ho specificato nel post precedente, in sintesi per l'utente medio come me dopotutto è sempre più prudente l'uso di un antivirus.

Attualmete sto provando questa configurazione senza nessun antivirus in real-time...c'è da dire però che il sistema così configurato va che è una scheggia :p

marcos86
21-10-2011, 11:17
Io uso emet e sandboxie, ma ho pure l'antivirus.
Perchè, a parte il "paradosso sandboxie", cmq mica tutto è sandboxato.
Il pericolo "amici con chiavetta usb" è sempre in agguato. (ho fatto la rima)
Voglio dire, siccome sono pigro, a volte (tutte) mi secca avviare esplora risorse in sandbox, o cmq una volta si può dimenticare, e quindi un av mi dà quella sensazione "vai tranquillo che ci sono io a proteggerti".

Inoltre io magari la sandbox ce l'ho, ma un altro no. Quindi se voglio passargli dei file cmq direi che sarebbe bene fossero controllati.
Volendo potrebbe essere un altro paradosso, ovvero che chi usa sandboxie nel passare i file via chiavetta usb a qualcun altro rischia di infettarlo
(se sto dicendo cavolate fermatemi)

nV 25
21-10-2011, 11:21
@gyonny

Considera che alcune parti del post cui rimandavo poc'anzi potrebbero essere opinabili visto che sono fondamentalmente frutto di riflessioni personali...

Allo stesso tempo, cmq, ritengo tutt'oggi che centrino correttamente il problema (resto ovviamente aperto ad appunti e quant'altro)...

nV 25
21-10-2011, 11:24
Io uso emet e sandboxie, ma ho pure l'antivirus.
Perchè, a parte il "paradosso sandboxie", cmq mica tutto è sandboxato.
Il pericolo "amici con chiavetta usb" è sempre in agguato. (ho fatto la rima)
Voglio dire, siccome sono pigro, a volte (tutte) mi secca avviare esplora risorse in sandbox, o cmq una volta si può dimenticare, e quindi un av mi dà quella sensazione "vai tranquillo che ci sono io a proteggerti".

Inoltre io magari la sandbox ce l'ho, ma un altro no. Quindi se voglio passargli dei file cmq direi che sarebbe bene fossero controllati.
Volendo potrebbe essere un altro paradosso, ovvero che chi usa sandboxie nel passare i file via chiavetta usb a qualcun altro rischia di infettarlo
(se sto dicendo cavolate fermatemi)

infatti, ci possono essere 1000 ragioni anche personali (maggior senso di sicurezza, ...) che possono spingere verso una politica in luogo di un'altra...

nV 25
21-10-2011, 11:28
...Volendo potrebbe essere un altro paradosso, ovvero che chi usa sandboxie nel passare i file via chiavetta usb a qualcun altro rischia di infettarlo

Sandboxie, giustamente, non essendo un AV ma contenendo (si spera :D ) gli effetti di un'esecuzione "untrusted" non assicura ovviamente che il file nella sandbox (untrusted) che si passa sia "pulito" (se è per quello, la certezza matematica non la da neppure l'AV, ma insomma :stordita:)...

Per cui se trasferisci su USB un file sandboxato certamente questo può risultare infetto...

marcos86
21-10-2011, 11:32
Sandboxie, giustamente, non essendo un AV ma contenendo (si spera :D ) gli effetti di un'esecuzione "untrusted" non assicura ovviamente che il file nella sandbox (untrusted) che si passa sia "pulito" (se è per quello, la certezza matematica non la da neppure l'AV, ma insomma :stordita:)...

Per cui se trasferisci su USB un file sandboxato certamente questo può risultare infetto...

E così dopo aver infettato il pc dell'amico gli si può pure rinfacciare "hai visto che avevo ragione io quando ti ho detto di installare sandboxie" :D

nV 25
21-10-2011, 11:40
...ma se l'amico ha un OS @ 32bit + DefenseWall (ma su quest'ultimo punto sono particolarmente scettico :D) ecco che può caricare sul suo PC i file che gli passi senza il minimo timore (si spera, anche qui :D)...:ciapet:

gyonny
21-10-2011, 11:46
Io uso emet e sandboxie, ma ho pure l'antivirus...


E fai bene, io non l'ho disinstallato l'antivirus l'ho solo disattivato momentaneamente per prova. Il beneficio che ho visto è stato un sistema più reattivo ovviamente (le cartelle e i programmi mi aprono più velocemente), ma non di certo un beneficio per la sicurezza.
Sono ancora indeciso se utilizzare antivirus o meno con la configurazione citata poco fa (al limite, male che vada nel più sfortunato dei casi ci sono sempre le immagini di sistema che in pochi minuti fanno miracoli :D)

arnyreny
21-10-2011, 12:33
E fai bene, io non l'ho disinstallato l'antivirus l'ho solo disattivato momentaneamente per prova. Il beneficio che ho visto è stato un sistema più reattivo ovviamente (le cartelle e i programmi mi aprono più velocemente), ma non di certo un beneficio per la sicurezza.
Sono ancora indeciso se utilizzare antivirus o meno con la configurazione citata poco fa (al limite, male che vada nel più sfortunato dei casi ci sono sempre le immagini di sistema che in pochi minuti fanno miracoli :D)

se non usi carte online...quelle una volta svuotate non si possono ripristinare:sofico:

battute a parte...anche quelli della novirusthanks hanno integrato un av nel loro antieseguibile una ragione ci sara':D
quella e' la soluzione di bloccare i malware che riescono a bypassare il programma...partendo che nessun soft e' infallibile...sui 64 bit,e forse sui 32:fiufiu:

gyonny
21-10-2011, 13:02
Certo, non metto assolutamente in dubbio.
Dopotutto Windows non è Linux quindi l'uso di un antivirus da sempre una sicurezza in più :)

caturen
21-10-2011, 15:43
Certo, non metto assolutamente in dubbio.
Dopotutto Windows non è Linux quindi l'uso di un antivirus da sempre una sicurezza in più :)

Infatti, meglio usare linux :Prrr: :ciapet: :winner:

nV 25
21-10-2011, 17:08
Infatti, meglio usare linux :Prrr: :ciapet: :winner:

al di là del fatto che su Linux non ci girano i giochini che dico io (talvolta, infatti, qualche FPS con le °° me lo sparo :fiufiu:... ), a me la politica dello struzzo non piace:
sarà perchè mette la testa sotto terra o, più che altro, perchè lascia le :ciapet: fuori?? :D :D

caturen
21-10-2011, 19:21
al di là del fatto che su Linux non ci girano i giochini che dico io (talvolta, infatti, qualche FPS con le °° me lo sparo :fiufiu:... ), a me la politica dello struzzo non piace:
sarà perchè mette la testa sotto terra o, più che altro, perchè lascia le :ciapet: fuori?? :D :D
Io dei giochini non so proprio che farmene e per quanto riguarda lo struzzo :ciapet:

sampei.nihira
21-10-2011, 21:48
***

Romagnolo1973
21-10-2011, 23:04
infatti caro pescatore nel 3d CIS ho messo come consigliata l'impostazione dell'antiexecution di CIS su blocca, qualcuno ha detto che è troppo "rompi" ma già di suo questa piccola manovra taglia le gambe al 99,99% dei virus, non servirebbe nulla di più che un controllo dell'exe bloccato via VT o la certezza della fonte (tipo chromium dev che essendo aggiornato varie volte al giorno è di sua natura non riconosciuto ma basta scaricarlo da google per stare sicuri)
Poi nei prossimi giorni chi critica il metodo lo "terrorizzo" con GPCode e ringrazio ENNE dell'imput, finito i test di uso della contromisura poi informo gli utenti

PS: poi io uso comunque un AV leggero come avast e magari mi si allungherà il boot di 15 secondi ma non noto rallentamenti o grandi differenze nel averlo o no ed è un pc di 6 anni fa, quindi preferisco avere anche un altra difesa nel caso avvenga l'imponderabile, o anche solo se presto il pc ad amici in visita, in quel caso abbasso le difese di CIS per loro e almeno avast sorveglia in quel periodo

arnyreny
22-10-2011, 08:38
infatti caro pescatore nel 3d CIS ho messo come consigliata l'impostazione dell'antiexecution di CIS su blocca, qualcuno ha detto che è troppo "rompi" ma già di suo questa piccola manovra taglia le gambe al 99,99% dei virus, non servirebbe nulla di più che un controllo dell'exe bloccato via VT o la certezza della fonte (tipo chromium dev che essendo aggiornato varie volte al giorno è di sua natura non riconosciuto ma basta scaricarlo da google per stare sicuri)
Poi nei prossimi giorni chi critica il metodo lo "terrorizzo" con GPCode e ringrazio ENNE dell'imput, finito i test di uso della contromisura poi informo gli utenti

PS: poi io uso comunque un AV leggero come avast e magari mi si allungherà il boot di 15 secondi ma non noto rallentamenti o grandi differenze nel averlo o no ed è un pc di 6 anni fa, quindi preferisco avere anche un altra difesa nel caso avvenga l'imponderabile, o anche solo se presto il pc ad amici in visita, in quel caso abbasso le difese di CIS per loro e almeno avast sorveglia in quel periodo
daccordissimo su tutto
tranne che su avast...
come spiegato tempo da cloutz ...se un soft bypassa il blocco exe quelli di comodo fanno prima a mettere una pezza tramite definizione...
quindi per chi ha cis meglio l'av di comodo che con la nuova versione e' molto migliorato;)

cloutz
22-10-2011, 08:54
daccordissimo su tutto
tranne che su avast...
come spiegato tempo da cloutz ...se un soft bypassa il blocco exe quelli di comodo fanno prima a mettere una pezza tramite definizione...
quindi per chi ha cis meglio l'av di comodo che con la nova versione e' molto migliorato;)

bè oddio:
di sicuro fanno prima a mettere una pezza tramite definizioni che a sistemare il problema vero;
se fanno prima a mettere una definizione rispetto ad altri antivirus non mi è dato saperlo :D

Saluto a tutti!

gyonny
22-10-2011, 10:08
In questi ultimi post in base alle opinioni degli utenti ho capito che anche se un sistema Windows è ben hardenizzato (OS x64, user account standard, EMET, UAC in high level, HIPS, etc...) è consigliabile dopotutto l'uso di un antivirus in real-time per garantire quella sicurezza in più, utilie ad es. se nel più sfigato dei casi l'attaccante riesca a trovare una falla o un buco sulla sicurezza del sistema o dei softwares che accedono ad internet (browser, client mail, client p2p, etc..).
Sono daccordo ma a questo punto con la nuova configurazione di sicurezza (basata sui consigli di utenti come Sampei e nv25...) che ho impostato attualmente non mi interessa più che un antivirus sia "al top della gamma" o il primo in classica, mi interessa solo che sia il più leggero possibile, io ho optato per MSE che credo sia abbastanza leggero, poi se c'è nè un'altro che consuma ancora meno risorse mi piacerebbe esserne informato :) grazie

E poi come si dice "prevenire è meglio che curare", quindi un antivirus aiuta anche la prevenzione

EDIT

A proposito di EMET, possono andare bene queste impostazioni?

http://www.pctunerup.com/up/results/_201110/th_20111022124019_EMET.jpg (http://www.pctunerup.com/up/image.php?src=_201110/20111022124019_EMET.jpg)

Ho aggiunto un bel po di softwares alla lista, l'unico problemino riscontrato è stato con una impostazione precedentemente impostata: Data Execution Prevention (DEP) - Always ON perchè non riuscivo ad aggiornare il software Java. Ora invece ho messo Data Execution Prevention (DEP) - Opt Out (la spunta gialla) e non ho avuto problemi.

nV 25
22-10-2011, 11:42
Quali sarebbero i files che si scambiano trà pc e pc tali da giustificare l'uso in un OS moderno ben hardenizzato di un antivirus in real time ?[/SIZE]
Beh, dai, un AV obiettivamente sarebbe opportuno per chiunque (quindi per me, ma anche per cancellino e gente come lui):
se questo strumento è in grado di riconoscere il malware a priori, ha "prevenuto" in 1° battuta e non c'è più bisogno di dover sfidare la sorte chiamando in causa altre forme di prevenzione.

Che poi io (ad es.) NON usi un AV in real time è solo una scelta personale perchè ritengo di essere ragionevolmente sicuro su come mi muovo sulla rete ma anche su come gestisco i software di prevenzione cosi' come da firma...

Se uno si ricorda cmq come Stuxnet si diffondeva *ANCHE* via USB, ecco che non è vero l'unico caso che porti dell' exe mascherato.
Ah già vero quelli con estensione exe mascherati.

"The .lnk files contain an exploit that will automatically execute ~WTR4141.tmp when simply viewing the folder.
~WTR4141.tmp then loads ~WTR4132.tmp [...]

http://img843.imageshack.us/img843/1038/immagine1ul.jpg (http://imageshack.us/photo/my-images/843/immagine1ul.jpg/)
Fonte (http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf)

Qui! (http://www.wilderssecurity.com/showthread.php?t=297649&highlight=stuxnet), inoltre, il Magico Aigle nelle sue prove comparate Stuxnet VS HIPS...

Ora, è chiaro che neppure gli AV riconoscevano la presenza dello stesso nelle chiavine, per cui si ritorna li' col conto.
Un AV, cmq, resta una sicurezza in più, c'è poco da fare, e chi non lo installa lo fa (credo) esclusivamente per scelta personale.


Ma occorre considerare:

1) Se chi te li passa non se n'è accorto lui stesso....

2) Anche tali file possono sfuggire in rilevamento all'antivirus in real time installato.

3) Ammettiamo che sfuggono anche alla configurazione on demand ed ad eventuali controlli on line perchè un controllino lo vogliamo fare sui files che ci passano altri oppure no ?
E se accade anche ciò siamo proprio dei "Paperino" cioè nella sfiga più nera.... :D


Si spera sempre nella buona fede, in caso contrario so chi devo pestare...:D
vero, era l'es. di Stuxnet "scoperto" solo a giochi fatti...
:D

nV 25
22-10-2011, 12:39
A proposito di EMET, possono andare bene queste impostazioni?

http://www.pctunerup.com/up/results/_201110/th_20111022124019_EMET.jpg (http://www.pctunerup.com/up/image.php?src=_201110/20111022124019_EMET.jpg)

Ho aggiunto un bel po di softwares alla lista, l'unico problemino riscontrato è stato con una impostazione precedentemente impostata: Data Execution Prevention (DEP) - Always ON perchè non riuscivo ad aggiornare il software Java. Ora invece ho messo Data Execution Prevention (DEP) - Opt Out (la spunta gialla) e non ho avuto problemi.

ma si che può andare bene...

Ancora meglio cmq se tu (come tutti) ti liberassi una volta per tutte di Java (e di tutti i programmi che ne fanno uso?)...

gyonny
22-10-2011, 15:30
Grazie :)

sampei.nihira
22-10-2011, 15:41
***

marcos86
22-10-2011, 16:13
Anche lo UAC max ci dà una mano.
Vedi, io invece non lo sopporto, è più forte di me...
Giuro, ci ho messo tutta la buona volontà, ma non ce la faccio :D

gyonny
22-10-2011, 17:51
Effettivamente non è gradevole...
Io ora che uso un user account standard ho dovuto per forza impostare una password sull'account admin per poter eseguire direttamente operazioni amministrative tramite account standard quindi ogni volta che eseguo operazioni amministative tramite l'account standard devo digitare per forza la password.
E' fastidioso ma dopotutto le operazioni amministrative non vengono effettuate frequentemente :), e poi direi che è decisamente a vantaggio della sicurezza :p

http://www.pctunerup.com/up/results/_201110/20111022183909_UAC.jpg

nV 25
22-10-2011, 18:48
Io devo essere sincero in merito al discorso di Enne che leggo sempre con piacere perchè ha la capacità di insinuare in me dubbi che prima magari non avevo

se è per quello io sono pieno di dubbi...

La materia è cosi' complessa che persone come noi che non hanno una preparazione specifica si trovano necessariamente spiazzati.

....E la buona volontà da sola...


Fortuna c'è un pò di pratica e *tanto* buon senso...

sampei.nihira
23-10-2011, 05:50
***

gyonny
23-10-2011, 08:00
SUA*+ SRP + UAC-max sono bypassabili ?

Certamente,presi singolarmente, si....

Tutto è possibile, ma non è poi così facile dai, specialmente se in un sistema ben hardenizzato è presente anche un antivirus in real-time.
In questo caso bisognerebbe avere la sfortuna più nera di andarci a cercare più che un attaccante direi "un mostro" :p

NB: non ho ancora capito cos'è SRP :stordita:

...Quindi ad esempio una suite sarebbe da evitare come la peste dal mio punto di vista.
Oppure un antivirus come Avast che ha mille funzioni.....

Io personalmente sono contro le suite ma non tanto perchè non mi fido ma per il discorso che si puo ottenere lo stesso risultato (e forse anche meglio) hardenizzando bene il sistema e i browsers + un antivirus free leggero in real-time, e si guadagna in leggerezza ovvero reattività del sistema.
Ma c'è anche da considerare che esistono le suite valide come KIS, CIS, DefenseWall di cui ne ho sentito parlare molto bene da nv25...

...quindi,dobbiamo anche installare, un antivirus in modalità real time, secondo me si dovebbe ricercarlo in quel prodotto che coniuga una maggiore performance (dati AV-C) con le "minime diramazioni" nel sistema possibili...

Certo, a questo punto in un sistema ben hardenizzato serve solo un antivirus che abbia le "minime diramazioni" nel sistema possibili ovvero che sia il più leggero possibile se ho capito bene il concetto. Io ad esempio ho optato per MSE che è molto leggero (ritarda di pochi secondi l'avvio del sistema), ma anche Panda Cloud e Avira free sono molto leggeri.

cloutz
23-10-2011, 09:21
entro nel discorso in ritardo, quindi scusatemi se qualcosa è stato già detto..

onestamente pur essendoci una proporzionalità diretta tra #software installati e #bugs, mi preoccuperei più che altro della gestione della loro interazione:stordita: .
io, forse per un mio limite, non riesco a pensare di avere un computer non organizzato o dove ci siano più di 2software di sicurezza installati in realtime perchè mi urta.. ma altresì non mi sento di dire che chi usa una configurazione diversa sia meno protetto rispetto a me che uso una configurazione minimale, è solo questione di ordine mentale.

per questo sotto windows, che ahimè sono tornato ad usare per l'utilizzo di software specifici (e perchè ho acquistato il notebook nuovo, devo trovare il tempo di sistemarmi linux:D :D ), uso un account standard, uac al massimo e un antivirus leggero (MSE).
per un uso standard e consapevole credo che questo, di per sè, sia in grado di abbassare di molto il livello di rischio rispetto ad un qualunque OS Microsoft connesso alla rete.

però ripeto, non mi sento di dire nulla a chi preferisce usare antivirus, antimalware, firewall, hips, software cloud, antimitigazione, ecc.. semplicemente gli auguro che tutto funzioni al "livello giusto" e spero sappia moderare, come un direttore d'orchestra, le voci che talvolta tendono in maniera naturale a intervenire una sopra l'altra.
Questo punto basterebbe, secondo me, ad optare per una minimalità anche nel modo di ragionare: pochi sbatti :D


Buona domenica!!

nV 25
23-10-2011, 09:42
@ cloutz:
seeee, abbi il coraggio di dire la verità, e cioè che hai comprato il Notebook nuovo per poter giocare "a palla" Battlefield 3*...:D



@ sampei:
ma è possibile che sei l'unico utente qui su HW che "mi sforma" il thread?

http://img803.imageshack.us/img803/3614/immagine1tsp.th.jpg (http://imageshack.us/photo/my-images/803/immagine1tsp.jpg/)

Vogliamo provvedere prima che ti metta nella ignore-list? :D










* :sbav:

sampei.nihira
23-10-2011, 10:28
***

gyonny
23-10-2011, 11:43
...semplicemente gli auguro che tutto funzioni al "livello giusto" e spero sappia moderare, come un direttore d'orchestra, le voci che talvolta tendono in maniera naturale a intervenire una sopra l'altra.
Questo punto basterebbe, secondo me, ad optare per una minimalità anche nel modo di ragionare: pochi sbatti :D


Buona domenica!!

Sono anche io di questa filosofia, la "minimalità", una configurazione minimale ma buona ed efficace che garantisca un buon livello di protezione ed un impatto minimo sulla risorse di sistema, che ci faccia sentire in qualche modo sicuri e ci permette di utilizzare il PC con una certa serenità sia la soluzione migliore.

L'uso di troppi software di protezione in real-time secondo me puo creare un effetto opposto (e addirittura diminuire la protezione), infatti come giustamente hai detto:

...le voci che talvolta tendono in maniera naturale a intervenire una sopra l'altra....

EDIT

A proposito di softwares di protezione che operano contemporaneamente in real-time secondo me EMET ed MSE convivono bene insieme, non si intralciano l'uno con l'altro (o almeno credo), ma qui è come se ci fosse un solo software in real-time ovvero MSE, perchè EMET più che un software di protezione lo considero come un hardening del sistema e dei softwares (anche se opera in real-time)...e poi sono tutti e due di casa Microsoft.

Snake156
23-10-2011, 17:26
ultimamente sento sempre più parlare di questo emet, ma ancora non ho capito a cosa serve.
qualcuno può darmi delle info in merito?
grazie mille

arnyreny
23-10-2011, 18:21
ultimamente sento sempre più parlare di questo emet, ma ancora non ho capito a cosa serve.
qualcuno può darmi delle info in merito?
grazie mille

qui e' spiegato benino

http://support.microsoft.com/kb/2458544/it

cloutz
23-10-2011, 18:52
@ cloutz:
seeee, abbi il coraggio di dire la verità, e cioè che hai comprato il Notebook nuovo per poter giocare "a palla" Battlefield 3*...:D





* :sbav:

ovvio, cosa compro a fare un 13.3" ultra-sottile/leggero con una batteria a lunghissima durata se non per giocarci :D

Qualche aspetto di MSE:

AV-C (agosto 11)

MSE (92.1 %) vs AVIRA (99.5 %) / Panda Cloud (99.3 %)

La superficie di attacco di MSE al post n° 53:

http://www.wilderssecurity.com/showthread.php?t=306932&page=3

Non mi sembra di carpire giudizi positivi !!

Anche se quanto suddetto riveste dal mio punto di vista un aspetto secondario per il discorso che avevo affrontato.




si a me non interessano molto le percentuali, mi interessa che l'antivirus sia decente, tanto non gli verrà assegnato tutto questo gran compito:
lavoro come se non l'avessi, quindi tutto quello che fa, e che rileva, è un di più :)
avere ulteriori aspettative su questo tipo di software, secondo me, significa avere fiducia mal riposta

detto ciò, preferisco puntare sul più leggero e -probabilmente- più integrato nel sistema :)

Saluti

Chill-Out
23-10-2011, 20:25
Qualche aspetto di MSE:

AV-C (agosto 11)

MSE (92.1 %) vs AVIRA (99.5 %) / Panda Cloud (99.3 %)

La superficie di attacco di MSE al post n° 53:

http://www.wilderssecurity.com/showthread.php?t=306932&page=3

Non mi sembra di carpire giudizi positivi !!

Anche se quanto suddetto riveste dal mio punto di vista un aspetto secondario per il discorso che avevo affrontato.

****************************************
Gentilmente una richiesta.

Le mie esigenze specie di tempo libero mal si conciliano con quelle di mia figlia (ed il suo pc :cry: ) e quindi i miei test sulla SRP (http://www.mechbgon.com/srp/) (lo metto ancora una volta all'attenzione così Gyonny si legge cosa significa) via controllo parentale sono al punto di partenza !!!

C'è qualche utente che sia ovviamente interessato e potrebbe verificare al mio posto se il tutto sia gestibile in semplicità ?

Grazie.:)

@ ENNE

:D :D

Fatto anche perchè la disinstallazione che ho operato recentemente sul mio pc ha compreso molti sw trà i quali anche quello di messaggistica immediata.

Approfitto di una correzione ortografica per limitare la mia maleducazione/distrazione e rispondere:

"buona domenica" a Cloutz.



Brevissima considerazione, tra l'altro già fatta alcuni mesi fa, EMET è a disposizione di tutti, anche di coloro che le vulnerabilità le sfruttano per scopi meno nobili.

sampei.nihira
24-10-2011, 09:12
***

cloutz
24-10-2011, 09:35
quindi di default, se il programma non è in whitelist (o nella lista dei consentiti), viene bloccato.
Poi, se ci si trova in questo caso, permette di consentirlo, si immette la pass da admin, e si vede il popup che tu mostri più in basso.

Giusto?
In tal caso è molto comodo che permetta di consentirlo, creando quindi delle eccezioni ad-hoc!



Scusate se chiedo conferme su c
ose che possono essere ovvie ma sono dal cellulare, non vedo tutto proprio molto chiaro (immagini comprese), cerco di sfruttare i tempi morti in treno :)

sampei.nihira
24-10-2011, 09:45
***

WarDuck
24-10-2011, 10:49
Sul discorso USB occorre fare un chiarimento essenziale secondo me.

Con Windows 7 è stato disattivato l'autorun

Non solo, MS ha rilasciato patch al riguardo anche per XP e Vista.

Il problema della diffusione di malware attraverso le USB era dovuto principalmente a questo fattore, perché tipicamente parliamo di files nascosti che vengono avviati attraverso il file autorun.inf, dall'utente ignaro che può essere portato ad eseguire qualcosa di non desiderato.

Ad esempio, vi ricorderete certo di Confiker:

http://www.microsoft.com/global/security/publishingimages/pc-security/Autoplay.jpg

Detto ciò è chiaro che queste configurazioni che noi postiamo sono frutto della nostra esperienza.

Per quanto mi riguarda l'utente medio ha bisogno di una configurazione di mezzo, che non sia troppo invasiva (qualcuno ha detto Comodo? Nome tutt'altro che azzeccato :asd: ) ma che non sia troppo lasca (nessun AV realtime).

Io per quanto mi riguarda resto dell'opinione che l'utente è responsabile al 90% della sicurezza dei suoi dati e del suo pc, e nel restante 10% non è affatto necessario avere N layer di protezione con N > 1.

Il principale strumento di sicurezza rimane l'informazione e l'educazione degli utenti.

nV 25
24-10-2011, 11:28
[...] Il principale strumento di sicurezza rimane l'informazione e l'educazione degli utenti.

hai detto micio micio bau bau...:asd:

Impossibile, visto che siamo troppi ad usare questo mezzo...


Cmq quoto tutto e non solo la parte che ho evidenziato poc'anzi...

nV 25
24-10-2011, 11:31
ovvio, cosa compro a fare un 13.3" ultra-sottile/leggero con una batteria a lunghissima durata se non per giocarci :D

a noi cmq puoi dirlo con franchezza, non siamo il tuo papà* che ha sicuramente dovuto bersi una scusa qualsiasi per giustificare la spesa...:sofico:







* lucchese, stà per "babbo"...
Perchè si, a Lucca abbiamo avuto la sorella di Napoleone e quindi da qui il "francesismo"...:p

gyonny
24-10-2011, 11:32
...Per quanto mi riguarda l'utente medio ha bisogno di una configurazione di mezzo, che non sia troppo invasiva (qualcuno ha detto Comodo? Nome tutt'altro che azzeccato :asd: ) ma che non sia troppo lasca (nessun AV realtime)...

Sul discorso che l'utente medio abbia bisogno di una configurazione non troppo invasiva ma nemmeno troppo lasca (senza AV in real-time) sono pienamente d'accordo anch'io, infatti ho riattivato MSE, è più prudente direi :p

Ma non sono del tutto d'accordo per quanto riguarda Comodo, dopotutto è un bel programmino e poi se ben configurato come da guida aumenta davvero la sicurezza. E poi con un po di impegno è anche adatto per l'utente medio dai, io l'ho usato per un bel periodo di tempo e dopotutto non è neccessario essere dei geni per utilizzarlo. Per alcuni potrà risultare invasivo all'inizio ma dopo che si prende confidenza con la suite risulta facile.
Ora non lo uso più perchè punto sull'essenzialità e la leggerezza.

arnyreny
24-10-2011, 11:34
il lavoro del pescatore e' essenziale per chi ha un hardware non molto recente...

giorni fa un mio amico mi ha fatto sistemare un suo notebook con 256 mb di ram...dopo che gli ho messo tutti i programmi...ho provato uno ad uno tutti gli av...il risultato che con qualsiasi av il pc era inutilizzabile...
quindi l'unica strada per tenere window era
account limitato
emet
norton dns
blocco autorun
hitmanpro

ma son sicuro che mi chiamerà tante volte...infatti pur essendo una valida alternativa comunque non lascia molta libertà all'utente:fiufiu:

@WarDuck

su un sistema moderno non si notano rallentamenti con la nova versione di comodo

gyonny
24-10-2011, 11:41
In che senso non lascia libertà all'utente?
Non mi sembra poi così impegnativa come configurazione :p

arnyreny
24-10-2011, 11:48
In che senso non lascia libertà all'utente?
Non mi sembra poi così impegnativa come configurazione :p

non conosci il mio amico:asd:

...non e' un utente medio

gyonny
24-10-2011, 12:01
non conosci il mio amico:asd:

...non e' un utente medio

:D

sampei.nihira
24-10-2011, 12:08
***

nV 25
24-10-2011, 12:11
paradossalmente, invece, conosco anche utenti decisamente sopra la media (a partire da 2 ingegneri informatici con cui ho uno stretto legame...) che vivono il fenomeno con la serenità dell'ebete (e lo sanno perchè più volte abbiamo affrontato il discorso):

in sostanza, non può fregargliene di meno (vuoi perchè dicono di non avere segreti industriali da difendere, vuoi perchè :blah: :blah: )...

E' chiaro che sanno in partenza di NON contare su di me quando devono risolbere le loro magagne, mi sembra chiaro...


Questo per dirvi che SI!, il fenomeno è decisamente percepito in maniera diversa da un utente all'altro...

arnyreny
25-10-2011, 13:23
NoVirusThanks EXE Radar Pro v1.3.4.1.

Changelog:

[25-10-2011] v1.3.4.1

+ Added "Disable Idle Prompt Options"
+ Added text on Alert Dialog to show which Antivirus scanner detected the file
(Custom Scanners)
+ Added text on Alert Dialog when engines of Behavioral TAB detected the file
+ Added "Manually Update Database" on Malware Signature Scanner
+ Added Database version on Malware Signature Scanner
+ Added "Auto enable protection if disabled for more than X minutes"
+ Added "Auto Allow Processes if Password is Correct" in "Password" TAB
+ Added custom message for Password Protected executables (Enter Password
dialog)
+ Added custom caption for Password Protected executables (Enter Password
dialog)
+ Added Check for Updates when Application starts
+ Fixed "Remove" button for Password Protected executables
+ Fixed Events for Password Protected Executables

Draven94
25-10-2011, 14:38
NoVirusThanks EXE Radar Pro v1.3.4.1.

Changelog:

[25-10-2011] v1.3.4.1

+ Added "Disable Idle Prompt Options"
+ Added text on Alert Dialog to show which Antivirus scanner detected the file
(Custom Scanners)
+ Added text on Alert Dialog when engines of Behavioral TAB detected the file
+ Added "Manually Update Database" on Malware Signature Scanner
+ Added Database version on Malware Signature Scanner
+ Added "Auto enable protection if disabled for more than X minutes"
+ Added "Auto Allow Processes if Password is Correct" in "Password" TAB
+ Added custom message for Password Protected executables (Enter Password
dialog)
+ Added custom caption for Password Protected executables (Enter Password
dialog)
+ Added Check for Updates when Application starts
+ Fixed "Remove" button for Password Protected executables
+ Fixed Events for Password Protected Executables
Grazie. Noto con piacere che lo sviluppo e gli aggiornamenti del soft sono molto frequenti :stordita:

Slash82
25-10-2011, 15:02
Sul discorso che l'utente medio abbia bisogno di una configurazione non troppo invasiva ma nemmeno troppo lasca (senza AV in real-time) sono pienamente d'accordo anch'io, infatti ho riattivato MSE, è più prudente direi :p

Ma non sono del tutto d'accordo per quanto riguarda Comodo, dopotutto è un bel programmino e poi se ben configurato come da guida aumenta davvero la sicurezza. E poi con un po di impegno è anche adatto per l'utente medio dai, io l'ho usato per un bel periodo di tempo e dopotutto non è neccessario essere dei geni per utilizzarlo. Per alcuni potrà risultare invasivo all'inizio ma dopo che si prende confidenza con la suite risulta facile.
Ora non lo uso più perchè punto sull'essenzialità e la leggerezza.

perchè dici così? Io ho comodo e le richieste sono davvero limitate dato che il firewall ha una whitelist molto aggiornata...
Se parlavi di online armor hai ragione, ma comodo davvero no.. Certo se imposti comodo in modalità paranoica avrai molte richieste, ma se lo imposti su sicuro le richieste sono davvero poche

arnyreny
25-10-2011, 18:29
Grazie. Noto con piacere che lo sviluppo e gli aggiornamenti del soft sono molto frequenti :stordita:

attendiamo il benedetto 64 bit:muro:

Draven94
25-10-2011, 19:32
attendiamo il benedetto 64 bit:muro:
Già, comunque è nelle loro priorità...

sampei.nihira
25-10-2011, 21:40
***

Biffo_The_Cat
25-10-2011, 23:22
Probabilmente non è quello che vuoi sapere, visto che uso Win 7 home 64bit.
Comunque, ho dovuto disabilitare (temporaneamente) il DEP per installare l'ultimo aggiornamento java (questo è un problema noto, se non ricordo male) e per installare NWN2.
Visto che si tratta di installer sarebbe stato inutile inserirli nella lista delle applicazioni escludendo il DEP. Con altri programmi nessun problema al momento


Saluti

Draven94
26-10-2011, 01:23
@sampei:
riscontravo problemi con UltraISO e occorreva impostare il DEP su OptOut per farlo funzionare, come spiegato qui (http://derek858.blogspot.com/2011/01/free-microsoft-security-tool-emet-for.html)

gyonny
26-10-2011, 14:24
perchè dici così? Io ho comodo e le richieste sono davvero limitate dato che il firewall ha una whitelist molto aggiornata...
Se parlavi di online armor hai ragione, ma comodo davvero no.. Certo se imposti comodo in modalità paranoica avrai molte richieste, ma se lo imposti su sicuro le richieste sono davvero poche

Sono daccordo, quello che hai detto è giusto, impostando Comodo in modalità "sicuro" le richieste sono poche e dopotutto risulta semplificato (sopratutto per merito, come hai specificato, della whitelist molto aggiornata che ne semplifica l'uso sia del firewall che del D+)...
quello che volevo dire è che nonostante questa semplicità d'uso (impostandolo su sicuro) per alcuni utenti risulta lo stesso invasivo :(

Sapete tutti che il DEP su XP a default è impostato a Opt In ...

Quello che posso dirti è solo che il DEP impostato su "always-on" mi ha dato problemi (infatti me lo avevi sconsigliato anche tu), ma mi ha dato anche qualche problemino impostato su "Opt-In"...non mi ha dato invece problemi impostato su "Opt-Out".

Se devo essere sincero l'unico problema riscontrato fino ad ora con le impostazioni "Always-On" e "Opt-IN" è stato con Java, con altri software invece non ho ancora avuto occasione di provare.

Con l'impostazione "Opt-In", come ho detto prima ho avuto qualche problemino con Java, infatti con questa impostazione potevo aggiornarlo solo tramite account administrator e non tramite account standard (nemmeno impostando la password admin)
Nessun problema invece con l'impostazione "Opt-Out" :p

sampei.nihira
26-10-2011, 14:35
***

sampei.nihira
26-10-2011, 14:37
***

gyonny
26-10-2011, 15:15
@sampei:
riscontravo problemi con UltraISO e occorreva impostare il DEP su OptOut per farlo funzionare, come spiegato qui (http://derek858.blogspot.com/2011/01/free-microsoft-security-tool-emet-for.html)

Confermo, anche io uso UltraIso e gli unici modi per farlo funzionare sono impostare Dep Opt-Out oppure impostare "always-On" o "Opt-In" ma qui occore però deselezionare Dep per UltraIso nella lista software

Opt-in è l'impostazione a default non è possibile che riscontri nessun problema.
Anche perchè riguarda solo i files di sistema.;)

Ma intanto io con questa impostazione ho riscontrato problemi con l'aggiornamento Java e come ho detto prima con "ultraIso" :(

sampei.nihira
26-10-2011, 17:57
***

nV 25
26-10-2011, 18:32
sarebbe probabilmente più utile condensare questi pensieri relativi ad EMET in un thread dedicato al fine di dare > visibilità sia allo strumento che, nei limiti del possibile, alle tecnologie di mitigazione in esso incorporate...

Vai, sampei! :)

sampei.nihira
26-10-2011, 20:45
***

Snake156
27-10-2011, 09:55
Ed infatti ti posso assicurare che con l'attuale configurazione di sicurezza il nuovo pc di mia figlia "vola"....

Ma anche il mio portatile spesso messo a confronto con pc dall'hardware ed OS più recenti ha una reattività che non lo fà sfigurare per niente.:D


sarebbe probabilmente più utile condensare questi pensieri relativi ad EMET in un thread dedicato al fine di dare > visibilità sia allo strumento che, nei limiti del possibile, alle tecnologie di mitigazione in esso incorporate...

Vai, sampei! :)

pienamente d'accordo.

ne approfitto per chiedere, sotto xp, è prevista una config particolare?

sampei.nihira
27-10-2011, 14:08
***

marcos86
27-10-2011, 14:40
L'utente deve essere ancora più accorto rispetto ai OS moderni nel diminuire i sw installati al minor numero possibile per diminuire la superficie di attacco.
Concordo pienamente. Infatti ora che ho formattato il pc ho installato solo il necessario. Sarà da vedere come gestire l'istinto di installare tutto quello che "luccica" :D

Volevo però chiederti: la scelta della versione portable di un sw rispetto al classico installer, concorre a ridurre la superficie d'attacco o non cambia niente?

A parte i chiari vantaggi di configurazione (se qualcosa non funziona si cancella e ripristina tutto in un attimo), se ci fosse anche una convenienza "protettiva" sarebbe un motivo in più per optare una simile scelta.
Credo la risposta sia si, ma è un'ipotesi e volevo una conferma/smentita

sampei.nihira
27-10-2011, 15:03
***

gyonny
28-10-2011, 12:56
A proposito di user account standard + EMET devo dire che dopo aver provato questa configurazione di sicurezza, come ben saprete voi che la usate pure, è davvero ottima e garantisce un buon livello di protezione del sistema ma dopotutto è anche vero che ogni configurazione ha i suoi pro e i suoi contro.

I contro di questa configurazione non sono per la sicurezza (ci mancherebbe altro) ma per la funzionalità (o l'usabilità), infatti ho notato che alcuni software che ho sempre usato ora non mi funzionano più, sono softwares che riguardano l'editing video e vi dico anche quali sono (per chi fosse interessato...ma credo ci sarà anche qualche altro software che abbia problemi a funzionare con questa configurazione):
DVD Shrink e AnyDVD che (almeno con me) non ne hanno voluto proprio saperne di funzionare su un user accont standard in Windows 7 x64, l'atro è (come è già stato specificato in qualche post addietro) UltraIso che ha avuto problemi con EMET, che poi ho risolto togliendo la spunta (DEP) su UltraIso nella lista software.
Invece per quanto riguarda DVD Shrink e AnyDVD ho dovuto per forza fare a meno di loro e trovarmi un'altra alternativa simile con le stesse caratteristiche ma che funzioni su account standard, ho installato DVDFab al loro posto e ho risolto questa mancanza, infatti funziona anche su account standard.
E siccome non voglio rinunciare a questa configurazione di sicurezza :p quindi preferisco piuttosto fare a meno di quei software che ho sempre usato e quindi trovarmi altre alternative valide ma che funzionino con questa configurazione di sicurezza (come infatti ho già fatto).

Ora che ci penso bene l'utente arnyreny aveva ragione quando ha specificato in un post addietro che questa configurazione pur essendo ottima e leggera non lascia però molta libertà all'utente (sopratutto per il principiante, non tanto per l'utente medio) ;)

arnyreny
28-10-2011, 13:10
Ora che ci penso bene l'utente arnyreny aveva ragione quando ha specificato in un post addietro che questa configurazione pur essendo ottima e leggera non lascia però molta libertà all'utente (sopratutto per il principiante, non tanto per l'utente medio) ;)

se ci aggiungiamo il controllo genitori col blocco delle applicazioni non inserite nella white list,sfido anche defencewall...

il prezzo da pagare e' la castrazione dei programmi sconosciuti;)
quindi poca usabilità

sampei.nihira
28-10-2011, 17:42
***

arnyreny
28-10-2011, 18:26
Però c'è una controindicazione, non si può usare con Chrome per gli aspetti intrinsechi di Google update.
Se non lo provavo non lo potevo scoprire.....;)

basta dargli ogni volta l'autorizazzione...un po rompi p... ma questo e' il prezzo da pagare;)

sampei.nihira
28-10-2011, 18:34
***

sampei.nihira
28-10-2011, 18:35
***

arnyreny
28-10-2011, 19:26
Tutte le volte, e la lista con google update si allunga fino all'inverosimile visto che non ho reperito la possibilità di cancellare i vecchi processi.
C'è questa possibilità ?....... Magari sono stato frettoloso !!!

devi entrare dall'account administrator...vai sul controllo programmi deselezioni i vari google update dai ok ,quando rientri nella lista quelli deselezionati precedentemente saranno spariti;)

sampei.nihira
28-10-2011, 20:42
***

arnyreny
28-10-2011, 20:51
Grazie,vedi che avevo ragione, sono stato frettoloso !!
E per forza ho il fiato sul collo quando uso quel pc.....:muro: :muro:

Ma rimane il problema iniziale mia figlia non tollera il ripetersi della richiesta,quindi....

Comunque per me resta un ottimo hardenig ad impatto zero,certamente da consigliare.;)

sembra strano che non ci sia un opzione che neghi senza richiesta...e poi quando il papà riprenderà il pc sistemerà la lista...
studio e ti faccio sapere;)

sampei.nihira
28-10-2011, 21:01
***

arnyreny
28-10-2011, 21:14
Anche altri si sono chiesti quello che ci domandiamo noi 2:

http://www.wilderssecurity.com/showthread.php?t=309190

ma non sembra un topic che ha creato molto entusiasmo.

*************************************
Guarda l'IL dei vari processi di Chrome......


stavo leggendo...

per liberare da tante richieste l'utente standard che nel tuo caso sarebbe tua figlia e nel mio i miei cari amici ...basta disattivare l'uac dal account administrator...
quindi quando si passerò dalla parte dell'utente standard o limitato,non gli verranno chieste tante cose ma saranno direttamente limitate,e il controllo genitori o SRP via controllo parentale, bloccherà direttamente la richiesta con un piccolo avviso,senza nessuna scelta.

gyonny
29-10-2011, 07:40
Avrei da farvi una domanda riguardo il controllo genitori che non uso perchè dopotutto preferisco anche avere almeno un minimo di libertà sull'uso del PC :):

So che la whitelist (ovvero quei programmi in lista bianca quindi consentiti) viene creata specificatamente dall'utente scegliendo quali programmi consentire e quali no, ma vorrei sapere se esiste anche una "whitelist generale" ovvero creata dal sistema nel caso non si selezioni la protezione programmi. Oppure la whitelist è solo quella creata specificatamente dall'utente (o genitore che sia)? Grazie

arnyreny
29-10-2011, 09:17
Avrei da farvi una domanda riguardo il controllo genitori che non uso perchè dopotutto preferisco anche avere almeno un minimo di libertà sull'uso del PC :):

So che la whitelist (ovvero quei programmi in lista bianca quindi consentiti) viene creata specificatamente dall'utente scegliendo quali programmi consentire e quali no, ma vorrei sapere se esiste anche una "whitelist generale" ovvero creata dal sistema nel caso non si selezioni la protezione programmi. Oppure la whitelist è solo quella creata specificatamente dall'utente (o genitore che sia)? Grazie

viene creata dal sistema,ma puoi personalizzarla a tuo piacimento;)

in poche parole appena attivi il controllo applicazione il sistema fa una scansione veloce dei programmi installati,e ti mette alla scelta quali acconsentire,quindi la prima lista viene creata con i programmi installati sul pc,poi subentra l'utente nel scegliere tutti o alcuni o aggiungerne altri ,tipo i portable non presenti nella lista

cloutz
29-10-2011, 09:28
pienamente d'accordo.

ne approfitto per chiedere, sotto xp, è prevista una config particolare?

Con XP,per le conclusioni sparse, è vero, per tutto questo topic, secondo me, diventa indispensabile usare EMET.
L'utente deve essere ancora più accorto rispetto ai OS moderni nel diminuire i sw installati al minor numero possibile per diminuire la superficie di attacco.
Io recentemente ho operato proprio questa catarsi.
Ad esempio ho disinstallato un sw che usavo per aprire un file semplicemente modificando il file in PDF.
Oppure recentemente ho disinstallato diversi codec multimediali preferendo VLC cioè un sw unico ed ovviamente inserendolo in lista EMET.
Ed ovvio inserire più sw possibili nella lista.

Se non soggetto ad incompatibilità (che occorre verificare singolarmente) sarebbe meglio settare il DEP system ad AlwaysOn

sarò "vecchia scuola", ma se si vuole fare hardening su XP bisogna per forza passare da qua: http://www.hwupgrade.it/forum/showthread.php?t=1517343
ho usato, e ho fatto usare, per molto tempo questi script (quelli manuali: adminCMD, adminShell), le SRP, e lo script che aggiunge il "tipo di utenza" nelle finestre di windows.. semplicemente meraviglioso (ho perfino un pò di nostalgia)!

secondo me questi sono passi indispensabili per chi voglia fare hardening su un OS come xp.
poi, ovvio, ci si può aggiungere EMET, si può avere l'accortezza di usare pochi software e meno esposti ecc...:)

Saluti

Slash82
29-10-2011, 10:51
scusate l'ignoranza, ma è necessario avere tutte queste precauzioni? Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus). Non ho mai beccato un virus. Qua vedo che ci sono utenti che hanno configurazioni "paranoia" :asd:
A cosa servono tutte queste precauzioni? Sono necessarie o molti lo fanno solo per passione?

gyonny
29-10-2011, 11:27
viene creata dal sistema,ma puoi personalizzarla a tuo piacimento;)

in poche parole appena attivi il controllo applicazione il sistema fa una scansione veloce ...

Ho capito, grazie ;)

scusate l'ignoranza, ma è necessario avere tutte queste precauzioni? Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus). Non ho mai beccato un virus. Qua vedo che ci sono utenti che hanno configurazioni "paranoia" :asd:
A cosa servono tutte queste precauzioni? Sono necessarie o molti lo fanno solo per passione?

Io non la vedo come configurazione paranoica anzi la vedo come un modo per sfruttare le difese del sistema senza ricorrere a softwares di protezione esterni, quindi migliore integrazione con il sistema e buona efficenza.
Infatti se guardi la mia attuale configurazione in firma che ho creato con i consigli di questa sezione, non ci sono softwares di protezione esterni in real-time ma solo hardening di sistema (es. user account standard, EMET, protezione esecuzione programmi, UAC in high level, etc...) e solo software della stessa casa Microsoft ad operare in real-time (MSE, Windows firewall), quindi migliore integrazione con il sistema, efficenza, velocità e leggerezza perchè dopotutto c'è solo MSE e Windows firewall in real-time, nessun software esterno ad operare in real-time :p

cloutz
29-10-2011, 11:31
scusate l'ignoranza, ma è necessario avere tutte queste precauzioni? Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus). Non ho mai beccato un virus. Qua vedo che ci sono utenti che hanno configurazioni "paranoia" :asd:


C'è chi preferisce avere 10software di sicurezza installati, c'è chi preferisce averne 4(come te), c'è chi preferisce fare hardening e averne il meno possibile per varie motivazioni (ridurre lo spreco di risorse, non infognare il pc con programmi inutili -hijackthis non lo sento nominare da almeno 2 anni, mi fa piacere che qualcuno lo usi ancora-, rendere la vita facile all'utente finale senza che sappia minimamente cosa siano 10 popup in fila o che debba gestire moduli hips, firewall, antimalware, antivirus ecc.. :D ).

Sicuramente c'è il gusto della sperimentazione, più che altro serve per trovare strumenti alternativi di sicurezza -talvolta più efficaci di molte soluzioni- semplicemente usando il cervello.

es.: far resuscitare un Intel Centrino con 512MB di ram e rendere fluida la navigazione, lo streaming, e la gestione della posta. Lì comodo neanche ci provo ad installarlo..:stordita:


A cosa servono tutte queste precauzioni? Sono necessarie o molti lo fanno solo per passione?
Nulla è necessario :ciapet:

nV 25
29-10-2011, 11:42
scusate l'ignoranza, ma è necessario avere tutte queste precauzioni? Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus). Non ho mai beccato un virus. Qua vedo che ci sono utenti che hanno configurazioni "paranoia" :asd:
A cosa servono tutte queste precauzioni? Sono necessarie o molti lo fanno solo per passione?

Beh, molte delle cose emerse in questi ultimi post (es, IL) sono incorporate nei nuovi OS...

Forzare un programma a partire con IL basso, invece, rientra sicuramente più tra la "passione" anche se quest'alterazione ha importanti risvolti di sicurezza...
In questo senso, dunque, direi che questa pratica è *facoltativa*.

Tutte le menate sull'ASLR, invece, sono facilmente aggirabili con la semplice installazione del tool della Microsoft stessa, l'ormai famoso EMET che, su 7 almeno, non crea il minimo problema.

Nel caso di uso di EMET, sono pochissimi i programmi che non potranno essere utilizzati pertanto o uno se ne fa una ragione dirottandosi su alternative o ciccia.

E' un tool estremamente utile che, in quanto tale, dovrebbe essere installato di default quanto meno sulle macchine di recente installazione (IMO).

A prescindere dalle tecnologie su cui fa leva per arrivare all'obiettivo (e che sono obiettivamente di difficile comprensione per utenti come noi data la profondità cui si spingono), direi che in questo caso questa soluzione non rientra tra le pippe mentali :D (o paranoia) ma ha riflessi importanti nel contributo ad innalzare il livello (medio?) di sicurezza della macchina.

INDISPENSABILE.


E' chiaro che sampei, con i suoi post, vorrebbe andare un pochino più in là cercando di capire meglio finezze e quant'altro, ma temo che se non interviene eraser o il suo amico (che cancellino peraltro aveva promesso di far iscrivere :incazzed: :D ) molte finezze resteranno lettera morta...

gyonny
29-10-2011, 11:43
...10 popup in fila o che debba gestire moduli hips...

Come ad esempio Malware Defender :p

nV 25
29-10-2011, 11:49
Nulla è necessario :ciapet:
è più probabile che tu sia te nella ragione che non io, chissà...:)

cloutz
29-10-2011, 11:57
Come ad esempio Malware Defender :p

esatto, gran bello strumento ma adesso uscirei pazzo ad usarlo :p

è più probabile che tu sia te nella ragione che non io, chissà...:)
si può vivere la quotidianità al computer, con serenità e con una certa sicurezza, senza sapere cosa siano gli integrity levels o a cosa serva la randomizzazione degli indirizzi.. intendevo questo :)

nV 25
29-10-2011, 12:16
si può vivere la quotidianità al computer, con serenità e con una certa sicurezza, senza sapere cosa siano gli integrity levels o a cosa serva la randomizzazione degli indirizzi.. intendevo questo :)
e ci credo :D ...

Fosse una condicio sine qua non, avrei navigato dall'XBOX anch'io...:D


@ sampei:
esistono cmq tecniche capaci di bypassare bellamente EMET e le sue difese (a patto credo di partire da una sessione amministrativa):
rientrano nella categoria "Return Oriented Programming (ROP)" (vai di google)...

Info fine a se stessa visto che anche in questo caso una persona senza una formazione specifica non ci può capire una mazza se non giusto averne un'idea a grandi linee (molto grandi, queste linee :D )...:fagiano:

eraser
29-10-2011, 12:22
@ sampei:
esistono cmq tecniche capaci di bypassare bellamente EMET e le sue difese (a patto credo di partire da una sessione amministrativa)

I diritti amministrativi non c'entrano nulla con il bypassare EMET. EMET è soltanto una utility che setta ad hoc le configurazioni del sistema operativo riguardanti DEP, ASLR e SEH, al fine di mitigare l'attacco da eventuali exploit.

Gli attacchi ROP sono una generalizzazione dei vecchi attacchi Ret2libc, e sì, possono in teoria riuscire a bypassare le difese di EMET - anche se spesso c'è bisogno di qualche aiuto dall'interno, ovvero di qualche "software" compiacente (vedi la Java Virtual Machine, autentico vettore di infezioni).

In caso un exploit riesca ad essere eseguito, bypassando quindi il layer di protezione fornito dal sistema operativo e configurato da EMET, allora lì danno al sistema è direttamente proporzionale ai privilegi forniti al software che si sta "exploitando"

nV 25
29-10-2011, 12:28
ottimo come sempre e chiarissimo!





PS: guarda 1 pò stavolta se estendi al tuo collaboratore l'invito a farci visita:
te, infatti, non ci basti più! :sofico:

eraser
29-10-2011, 12:37
PS: guarda 1 pò stavolta se estendi al tuo collaboratore l'invito a farci visita:
te, infatti, non ci basti più! :sofico:

allora me ne vado e tolgo la sottoscrizione a questo thread :Prrr: :ciapet:

nV 25
29-10-2011, 12:54
allora me ne vado e tolgo la sottoscrizione a questo thread :Prrr: :ciapet:

ciaooo!!! *




*scherzo, altrimenti qui mi bannano!
Ma fosse per me :ciapet: ....

Slash82
29-10-2011, 13:18
bhe quindi io con windows xp sp3 e le protezioni che ho citato sopra ( Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus) ) posso stare tranquillo, giusto?

eraser
29-10-2011, 13:24
ciaooo!!! *




*scherzo, altrimenti qui mi bannano!
Ma fosse per me :ciapet: ....

:banned:

gyonny
29-10-2011, 14:00
bhe quindi io con windows xp sp3 e le protezioni che ho citato sopra ( Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus) ) posso stare tranquillo, giusto?

Ma si che va bene dai, dopotutto XP è un sistema che va protetto per bene perchè di suo è meno sicuro rispetto a Windows 7 e Vista, quindi secondo me va bene questa configurazione, e poi c'è Comodo che possiede un'ottimo modulo HIPS (D+) :)

sampei.nihira
30-10-2011, 05:14
***

Nicodemo Timoteo Taddeo
30-10-2011, 09:09
cd Desktop (invio) attenzione le maiuscole sono importanti




No, i sistemi operativi Microsoft sono da sempre *non* case sensitive, per cui nel prompt dei comandi, ma anche in powershell, Desktop o desktop fa lo stesso.


Saluti.

sampei.nihira
30-10-2011, 11:42
***

Biffo_The_Cat
30-10-2011, 15:38
@sampei.nihira

Stai usando Win7? Allora, se non lo hai già fatto, prova ad avviare il prompt dei comandi come amministratore.

Saluti

sampei.nihira
30-10-2011, 17:11
***

nV 25
30-10-2011, 17:19
se c'è qualcuno che si prende la briga di qui, se c'è qualcuno che si prende la briga di là:
spedisci tua figlia sul PC vecchio (tanto al 99% andrà su Facebook a chattare con gli amici) e ti impossessi del PC "bono" almeno per il tempo che ti è necessario per gettare luce sugli aspetti che ti interessano.

A che serve avere i pantaloni, sennò? :D

Fai vedere chi è il capo, sampei, aio!! :p

sampei.nihira
30-10-2011, 17:22
***

nV 25
30-10-2011, 17:26
è arrivato il momento, allora, di usare qualche programmino di bruteforce!


Aio, sampè, ma che ti arrendi cosi'?? :D


PS: grave errore cmq quello di averle permesso di avere la possibilità di gestire un account amministrativo....

sampei.nihira
30-10-2011, 17:37
***

nV 25
30-10-2011, 17:49
Non è in una logica di intromissione nei fatti di altri che ho detto le cose di prima (è bello anzi che tu nutra una profonda fiducia nei confronti di tua figlia):
il senso dei miei discorsi era molto più materiale, sul chi dovrebbe avere il controllo di fatto della macchina.

Potevi essere dunque l'admin del PC e rispettare al contempo la privacy della bimba...

Era questo il senso. :)

Biffo_The_Cat
30-10-2011, 18:24
Ho provato sia la versione portatile sia quella installata.
La versione portatile è eseguita con IL normale medio e si modifica a basso senza problemi
La versione installata è eseguita con IL normale alto e si modifica a medio e basso senza problemi.
Forse prima mi sono spiegato male: non chiedevo se avevi eseguito il cmd da un account amministrativo, ma usando l'"esegui come amministratore" (click destro col mouse, ecc). Se non si fa così ho visto che in effetti non funziona.

Saluti

WindowsFan
30-10-2011, 19:20
Buongiorno. :)

Vedo che ci sono stati commenti in mia assenza,io invece mi sono "limitato" a studiare un metodo non incruento,anche per voi, per fare i test.
L'argomento ovviamente abbassare l'IL di Sumatra pdf.

Scaricate la versione portable di Sumatra nel Desktop.
Poi da accessori cliccate sul prompt dei comandi.
Occorre per prima cosa raggiungere la directory dove abbiamo posizionato per comodità visto che è direttamente raggiungibile, il sw portable cioè Desktop per fare ciò occorre dare il comando:

cd Desktop (invio) attenzione le maiuscole sono importanti

fatto questo (cd per coloro che non lo sapessero significa "cambio directory") il seguente comando sotto:

icacls sumatraPDF.exe /setintegritylevel L (invio)

Tutto quì il sw è già ad un IL basso e lo potete vedere nell'immagine sotto dove ho anche aperto un documento pdf:

http://img408.imageshack.us/img408/2833/sumatratsp.th.jpg (http://imageshack.us/photo/my-images/408/sumatratsp.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

La modifica permane se riavviamo il pc.

Per riportare tutto alle condizioni iniziali occorre seguire i passaggi sopra ma invece della lettera maiuscola L (che stà per low) inserire M.

Buon test e buona domenica. ;) ;)

p.s. Non riesco a modificare l'IL nella versione installata qualche "anima pia" mi potrebbe aiutare a comprendere il motivo ?
Sicuramente la "sveltezza" cui devo testare tutto ciò,:cry: c'entra qualcosa in merito.......


utile!

sampei.nihira
30-10-2011, 20:59
***

sampei.nihira
30-10-2011, 21:01
***

eraser
30-10-2011, 21:50
è arrivato il momento, allora, di usare qualche programmino di bruteforce!

Aio, sampè, ma che ti arrendi cosi'?? :D


Naaaa, si fa molto, molto prima :Prrr: Non c'è bisogno di brute forcing :p

sampei.nihira
31-10-2011, 05:00
***

gyonny
31-10-2011, 12:08
... icacls sumatraPDF.exe /setintegritylevel L (invio)...



Avrei da farti una domanda a proposito di Integrity Level (IL):

Siccome con user account standard ho notato che alcuni programmi non mi funzionano più correttamente o addirittura alcuni, specie quelli più rari, non mi funzionano proprio, quindi se io uso questo comando DOS da te citato per abbassare l'IL di questi programmi incriminati ci sarebbe qualche probabilità che mi funzionino correttamente anche su account standard?

NB: questa configurazione di sicurezza che mi hai consigliato è buona (anzi ottima) ma sto notando che devo rinunciare ad alcuni programmi che ho sempre usato, ma non è un problema grave perchè dopotutto ho trovato altre alternative funzionanti con questa configurazione :p (ma non sempre si trovano le alternative :( - quindi non sto più parlando di sicurezza ma di usabilità, che è anche da tenere in considerazione)

NB:
Ho notato nella sezione delle configurazioni di sicurezza che nel PC tua figlia anche lei ha abbassato l'IL di alcuni softwares per farli funzionare...credo che dovrò fare lo stesso pure io, ma qui il discorso sta cominciando a farsi un po complicato per me :stordita:

sampei.nihira
31-10-2011, 12:50
***

gyonny
31-10-2011, 14:28
...p.s. Io ho abbassato l'IL di alcuni sw nel pc di mia figlia, ma non per farli funzionare,solo per la maggiore sicurezza che ne deriverebbe.

Quindi se ho capito bene abbassare l'IL di alcuni software comporta una maggiore sicurezza per gli stessi, giusto?

Di default l'IL è impostato su M (medium)?

EDIT

Avrei un'altra domanda da farti:
Tu usi programmi di pulizia disco (es. Ccleaner, Glary Utilities...)? Siccome è da molto che non uso più programmi di pulizia sarei curioso di sapere se i suddetti sotfware funzionano anche con tutti questi hardening di sistema che sono stati citati fino ad ora :)

sampei.nihira
31-10-2011, 15:27
***

sampei.nihira
31-10-2011, 15:44
***

nV 25
31-10-2011, 17:22
Intervengo per dire solo una cosa:
l'architettura di un OS come 7, in particolare il suo modello di sicurezza, è argomento molto complesso che, come tale, non si presta ad una facile comprensione da parte di utenti del nostro livello.

Non è per scortesia, dunque, se non viene data risposta a certe domande, ma (credo) sia solo frutto del fatto che determinate questioni sono obiettivamente difficili.

Chi, poi, si trova a dare una lettura distratta del thread, può essere erroneamente portato a ritenere che, a dispetto di tutti gli sforzi operati da Microsoft per rendere un OS realmente fruibile dalla stragrande maggioranza delle persone, sia in realtà uno strumento ancora troppo d'elite (e in parte è cosi' :D ).


La realtà, invece, è cosa leggermente diversa:
si può usare un PC in modo proficuo anche senza conoscere determinati dettagli...

Gli ILs, le ACLs, la storiella dei 2 token che l'OS crea in automatico in fase di login e compagnia bella sono tutte pippe che devono essere conosciute a menadito solo da eraser e soci pena la loro incapacità di sviluppare software ecc..

A noi comuni mortali sono rimesse solo questioni di carattere più materiale, come abilitare l'UAC, capire perchè sarebbe meglio settarlo su un livello alto o basso, ecc...


Ciò non toglie che uno possa legittimamente domandare di fare chiarezza su certi elementi, per carità...

What is the Windows Integrity Mechanism? (http://msdn.microsoft.com/en-us/library/bb625957.aspx)


Vivere consapevoli di quello che si fà sulla rete è necessario e rappresenta indiscutibilmente il 1° sistema di prevenzione ma,francamente, il resto lo lascerei ad eraser e a chi fa studi mirati...

enigmista63
31-10-2011, 17:44
Ciao a tutti ho un quesito da sottoporre all'attenzione di chi ha gia' provato varie configurazione e non solo le suite,ho installato la versione di prova di EMSISOFT antimalware,ma sono molto indeciso su quale firewall affiancare,i miei dubbi sono su ONLINE ARMOR PREMIUM, OUTPOSTPRO in italiano scaricabile da future time oppure DEFENSE WALL,lascio i commenti a chi ha gia' collaudato questi software ,grazie.

nV 25
31-10-2011, 18:10
[...] ma,francamente, il resto lo lascerei ad eraser e a chi fa studi mirati...

ad es., EMET della Microsoft che qui, peraltro, sembrerebbe servire solo come randommizzatore degli spazi di memoria delle dll (EMET visto dunque esclusivamente "in chiave ASLR")...
Ebbene, come sappiamo si articola in realtà su un paniere (o ventaglio) di tecnologie decisamente più ampio che a chi (dei fissati :D ) non piacerebbe conoscere?

Ora, non so se è chiaro quanto "fini" (o delicate) siano le tematiche coinvolte da queste protezioni...

Roba che taglia fuori necessariamente un utenza come la nostra...

Quindi:
visto che (nel caso di EMET poi calza a pennello) questo tool comporta notevoli benefici, ci vuol tanto ad installarlo (specialmente su 7) senza porsi troppe domande??? :D

La probabilità infatti che renda in qualche maniera il sistema instabile è infinitesima e, allo stesso tempo, sono pochi i programmi che richiedono un "alleggerimento delle protezioni" perchè possano continuare a funzionare.

Ecco, questo in definitiva dovrebbe essere ciò che più conta sapere per noi...:fagiano: :p

arnyreny
31-10-2011, 18:40
Credo che l'argomento lo conoscano tutti.
L'ho già sviluppato.
Ma il problema più fastidioso si verifica con il Google Update.
Cioè una continua richiesta di pop-up a video non basta acconsentire ad uno.

Ho fatto una serie di congetture teoriche prima di risolvere il problema questa mattina.

Come ?

Verificando queste congetture una per una.

Quella fondamentale è che se aprite:

accessori -> utilità di sistema -> Utilità di pianificazione

E poi cliccate su libreria utilità di pianificazione si vede che il google update ha già inserito 2 nomi.

Quindi evidenziare ogni pianificazione e poi click destro proprietà e quindi mettete il segno di spunta in:

esegui con privilegi più elevati

OK, fine tutto quì. :D

Io ho inserito il GoogleUpdate anche in lista EMET.

Occorre eseguire tutto ciò da privilegi amministrativi.

Buon test.:)

Ciao pescatore
avevo già provato questo tipo di soluzione,
ma il risultato poi nel mio caso e' stato questo
http://img856.imageshack.us/img856/927/catturard.th.jpg (http://imageshack.us/photo/my-images/856/catturard.jpg/)

:muro:

Kohai
31-10-2011, 19:01
Ciao a tutti ho un quesito da sottoporre all'attenzione di chi ha gia' provato varie configurazione e non solo le suite,ho installato la versione di prova di EMSISOFT antimalware,ma sono molto indeciso su quale firewall affiancare,i miei dubbi sono su ONLINE ARMOR PREMIUM, OUTPOSTPRO in italiano scaricabile da future time oppure DEFENSE WALL,lascio i commenti a chi ha gia' collaudato questi software ,grazie.

Ti ho rimandato in questo topic per questa specifica domanda:

ho letto molti commenti positivi su DEFENSEWALL,quello che non mi e' chiaro e' se defensewall e' oppure no un firewall a tutti gli effetti

Percio' che ora stai chiedendo, il threrad adeguato e' questo qui -> http://www.hwupgrade.it/forum/showthread.php?t=2011681

oppure questo -> http://www.hwupgrade.it/forum/showthread.php?t=1559488

Saluti ;)

sampei.nihira
31-10-2011, 19:16
***

sampei.nihira
01-11-2011, 06:33
***

Slash82
01-11-2011, 09:57
volevo chiedervi una cosa...
siccome dovrei cambiare pc e passare a windows 7 su questo so conviene avere un firewall? Quello microsoft basta? Quale potrebbe essere una configurazione di sicurezza buona? Oltre all'antivirus ovviamente :asd:

Chill-Out
01-11-2011, 12:42
Ciao a tutti ho un quesito da sottoporre all'attenzione di chi ha gia' provato varie configurazione e non solo le suite,ho installato la versione di prova di EMSISOFT antimalware,ma sono molto indeciso su quale firewall affiancare,i miei dubbi sono su ONLINE ARMOR PREMIUM, OUTPOSTPRO in italiano scaricabile da future time oppure DEFENSE WALL,lascio i commenti a chi ha gia' collaudato questi software ,grazie.

Dedica 5 minuti del tuo tempo alla lettura di ***ATTENZIONE : THREAD IMPORTANTI*** (http://www.hwupgrade.it/forum/showthread.php?t=1631035)

Chill-Out
01-11-2011, 12:44
bhe quindi io con windows xp sp3 e le protezioni che ho citato sopra ( Io uso solo avast e comodo in realtime, malwarebytes e hijackthis per gli spyware. Opendns come dns e firefox 7 ( con ablock plus) ) posso stare tranquillo, giusto?


volevo chiedervi una cosa...
siccome dovrei cambiare pc e passare a windows 7 su questo so conviene avere un firewall? Quello microsoft basta? Quale potrebbe essere una configurazione di sicurezza buona? Oltre all'antivirus ovviamente :asd:

Dedica 5 minuti del tuo tempo alla lettura di ***ATTENZIONE : THREAD IMPORTANTI*** (http://www.hwupgrade.it/forum/showthread.php?t=1631035)

Snake156
01-11-2011, 13:35
da quel che ho capito anche java ma settato in emet?
ma come?

io attualmente ho dep always on...ed avendo xp è l'unica opzione abilitata.

gyonny
01-11-2011, 19:56
Si.
Alcuni si altri no.
Non lo sò basta provare,ma è una prova inutile perchè non serve abbassare l'IL in CCleaner ma il un lettore pdf si...
E questo è un forum non una chat....credo.;)
Ciao.:)



Grazie per la delucidazione, ho già provato come mi hai suggerito, e ho visto che i software di pulizia disco non mi funzionano con la configurazione di user account standard + EMET ;)

PS: lo so che non è una chat, volevo solo chiedere dei chiarimenti ad alcuni dubbi che avevo. Ciao

nV 25
02-11-2011, 17:11
Da Symantec il meccanismo di impianto del nuovo Rootkit del momento, Duqu:

Cliccami! (http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit)

Parte tutto da un file .doc (Microsoft Word, per intendersi) con un bella vulnerabilità 0-day che fa scattare l'exploit ecc (è tutto chiaramente descritto nell'immagine reperibile nel link precedente, è sufficiente seguire le frecce per capire l'ordine in cui si producono gli eventi)...

E' banale ricavare che

EMET giocherebbe quasi sicuramente un ruolo determinante per castrare l'exploit ma, più che altro,
è quasi certo che un HIPS produrrebbe il suo bravo pop-up (ad exploit in atto...) sul permesso a caricare o meno la componente kernel mode del malware stesso (fase 4 nel diagramma)


Dalla fase 5 a seguire, quello che succede (iniezione nel processo services.exe...) non è più interessante dato che Duqu opererà già al livello dell'HIPS o quello che è...

nV 25
02-11-2011, 17:26
.

Snake156
03-11-2011, 17:26
Da Symantec il meccanismo di impianto del nuovo Rootkit del momento, Duqu:

Cliccami! (http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit)

Parte tutto da un file .doc (Microsoft Word, per intendersi) con un bella vulnerabilità 0-day che fa scattare l'exploit ecc (è tutto chiaramente descritto nell'immagine reperibile nel link precedente, è sufficiente seguire le frecce per capire l'ordine in cui si producono gli eventi)...

E' banale ricavare che

EMET giocherebbe quasi sicuramente un ruolo determinante per castrare l'exploit ma, più che altro,
è quasi certo che un HIPS produrrebbe il suo bravo pop-up (ad exploit in atto...) sul permesso a caricare o meno la componente kernel mode del malware stesso (fase 4 nel diagramma)


Dalla fase 5 a seguire, quello che succede (iniezione nel processo services.exe...) non è più interessante dato che Duqu opererà già al livello dell'HIPS o quello che è...

ma sbaglio o l'italia non è presente tra i paesi che riportano infezioni da duqu?
comunque, come difendersi?

arnyreny
03-11-2011, 18:27
ma sbaglio o l'italia non è presente tra i paesi che riportano infezioni da duqu?
comunque, come difendersi?

....anche stuxnet non ci ha interessato...ma ne abbiamo ampiamente parlato.
in italia 0 infezioni http://it.wikipedia.org/wiki/Stuxnet

come difendersi: non aprire file sospetti uac al massimo o un buon hips sistema aggiornato buon antivirus e gran buon senso e' la ricetta che va bene per qualsiasi malware;)

gyonny
06-11-2011, 14:27
Da quel che ho capito duqu si propaga tramite i documenti Microsoft Word quindi sui file con estensione .doc.
Da tempo non uso più Microsoft Office per scelta personale, preferisco Libre Office (ex OpenOffice) per la sua leggerezza (anche se è meno veloce rispetto a Microsoft Office nell'apertura dei documenti - ma di certo è più sicuro) i documenti di testo hanno un'altra estensione .odt (OpenDocument) e quindi credo che sia più sicuro per questo tipo di attacco.

marcoesse
06-11-2011, 15:02
Microsoft Word quindi sui file con estensione .doc.
Da tempo non uso più Microsoft Office per scelta personale, preferisco Libre Office (ex OpenOffice) per la sua leggerezza (anche se è meno veloce rispetto a Microsoft Office nell'apertura dei documenti - ma di certo è più sicuro) i documenti di testo hanno un'altra estensione .odt (OpenDocument) e quindi credo che sia più sicuro per questo tipo di attacco.
sembra che Word .doc non c'entri nulla
è colpa di Win
http://retetre.rtsi.ch/index.php?option=com_content&task=view&id=3948&Itemid=62

ma l'infezione ha avuto successo perché DuQu ha sfruttato una vulnerabilità sconosciuta del kernel di Windows XP, Windows Vista e Windows 7, ossia del nucleo fondamentale del sistema operativo di Microsoft: un difetto nella gestione dei font TrueType. Basta insomma inviare a un utente un file contenente un font appositamente confezionato per poter "installare programmi; visualizzare, modificare o cancellare dati; oppure creare nuovi account con permessi pieni".
p.s poi se per lavoro mandassi in giro dei file .odt (a quelli che per lavoro li devo mandare) sicuro che non li aprirebbe nessuno:)
per cui potrei fare anche meno di lavoraci sopra :)
inoltre con office 2010 i file provenienti da internet (mail in questo caso) a default sono bloccati
http://img851.imageshack.us/img851/428/screen00225.jpg (http://imageshack.us/photo/my-images/851/screen00225.jpg/)

sampei.nihira
09-11-2011, 17:33
*

arnyreny
09-11-2011, 19:48
NoVirusThanks EXE Radar Pro v1.3.5.0
Changelog:

[09-11-2011]

+ Added "Popup Window" TAB in Settings
+ Show a popup window (bottom-right) when a process is blocked
+ Select timer (in seconds) for the popup window
+ Moved check of "Commandline" Rules at begin
+ Added "RegSvr32" TAB to manage DLLs loaded by regsvr32.exe
+ Added right-click on CmdLine field (Alert Dialog) to allow/block DLL
(RegSvr32)
+ Save commandline parameter in Events TAB
+ Added "Copy to Clipboard" -> "Cmdline" for Events TAB
+ Updated "Reset settings to default"
+ Updated "Import/Export Settings"
+ Fixed & optimized loading of Rules
+ Fixed save/load of setting for Malware Signature Scanner -> Block Process
+ Added option to send data of only blocked processes to Remote PHP Notification

nV 25
10-11-2011, 12:57
A favore in particolare di sampei molto attento alle tematiche legate all'hardenizzazione dell'OS:
un altro ottimo post di Kees1958 che spiega con estrema chiarezza diverse cosettine...

UTILE.

Kees1958 sul "Deny Elevation ecc" (http://www.wilderssecurity.com/showpost.php?p=1970516&postcount=62)...

Hola

sampei.nihira
10-11-2011, 15:16
*

nV 25
10-11-2011, 16:58
.

sampei.nihira
11-11-2011, 19:41
*

sampei.nihira
11-11-2011, 21:31
*

sampei.nihira
12-11-2011, 14:33
*

riazzituoi
12-11-2011, 17:44
.

sampei.nihira
13-11-2011, 16:27
*

gyonny
14-11-2011, 07:29
Usando la configurazione di sicurezza da voi consigliata nei post precedenti:
"user account standard - uac in high level - EMET - SRP via controllo parentale - Sandboxie per il browser - AV in real time"
che è quella che attualmente uso con grande soddisfazione, secondo me non è strettamente necessario usare il trucco 1806 perchè il livello di sicurezza è già abbastanza alto.
Dico che il livello di sicurezza è abbastanza alto perchè da ignorante in materia credo che un eventuale malware per infettare il sistema durante l'uso del browser (che è il principale vettore di infezioni) deve prima bypassare 5 livelli di sicurezza che sono: 1) l'antivirus 2) EMET 3) Sandboxie 4) SRP via controllo parentale 5) l'UAC per ottenere diritti amministrativi quindi l'infezione.
Non dico che così si raggiunge l'invulnerabilità totale perchè non esiste, ma deve essere davvero un malware molto sofisticato per bypassare tutti questi livelli di sicurezza quindi più che un attacante dovrebbe essere un "mostro" :p

sampei.nihira
14-11-2011, 09:37
*

gyonny
14-11-2011, 09:59
...Ci siamo nell'insieme ?

Si ci siamo nell'insieme :p, anzi devo ringraziare te e gli utenti di questa sezione per i preziosi consigli sulla sicurezza che siete in grado di dare e che io ho adottato con piacere e soddisfazione...
continuerò a seguire con interesse le discussioni di questa sezione. Grazie

sampei.nihira
14-11-2011, 11:16
*

nV 25
14-11-2011, 12:39
Se possibile, cmq, gradirei che questo thread si riappropriasse di quello che è il suo oggetto...

sampei.nihira
14-11-2011, 13:38
*

sampei.nihira
14-11-2011, 13:40
*

nV 25
14-11-2011, 13:57
.

sampei.nihira
14-11-2011, 14:22
*

nV 25
14-11-2011, 15:35
.

gyonny
16-11-2011, 14:26
Salve, scusate, previo consenso vorrei inserire una piccola parentesi, la SRP via controllo parentale è un HIPS (o almeno sembra che abbia caratteristiche simili).
Gli HIPS ci avvisano per modifiche che non rientrano nelle regole da noi impostate, la SRP via controllo parentale ci avvisa anche per modifiche che non rientrano nelle regole da noi impostate (in questo caso i programmi consentiti dal controllo genitori (admin) su account standard), anche se non ha proprio caratteristiche di "HIPS puro" tipo ad esempio Malware Defender comunque sembrerebbe che abbia in qualche modo caratteristiche similari HIPS, quindi non credo di essere poi così tanto fuori tema (dato che in questa sezione si parla di HIPS).

Volevo anche dire che ho voluto testare personalmente l'efficacia di questa configurazione (vedi firma), anche se mi sono messo a rischio perchè ho testato sul sistema reale...:

ho cercato di proprosito in rete la peggiore feccia del WEB...giunto al dunque ho notato che di colpo la CPU mi è schizzata al 100% e la ram al 97% (non ho postato uno screenshot perchè le risorse di sistema erano esaurite e non so nemmeno di che specie di malware si trattasse), Firefox sotto Sandboxie si era bloccato, in poche parole il malware non riusciva ad accedere al sistema, non è nemmeno intervenuto l'AV (forse perchè il malware non era ancora uscito dal recinto sandboxato), infine mi è bastato eliminare il contenuto dell'area virtuale di Sandboxie e tutto è ritornato di colpo alla normalità (CPU 0,2% - RAM 25%), ma credo che bastava anche un semplice riavvio del sistema per risolvere questo momentaneo inconveniente.

Per concludere, per me la prova è stata superata :O poichè il pericoloso malware è rimasto isolato e non è riuscito ne ad accedere al sistema e nemmeno ad ottenere diritti amministrativi quindi l'infezione.

SRP via controllo parentale = HIPS
http://www.pctunerup.com/up/results/_201111/20111116154924_SRP.jpg

nV 25
19-11-2011, 17:12
Prendendo in prestito il titolo di un famosissimo libro di Erich Maria Remarque, "Niente di nuovo sul fronte occidentale", segnalo un test che, appunto, non mostra nulla di nuovo:
link (http://malwareresearchgroup.com/2011/11/17/single-product-flash-test-defensewall-hips-november-2011/) *.


* ok, sappiamo già che gli autori sono faziosi [:asd:] perchè tempo fa' ebbero da ridire con Comodo ecc, dunque chi dovesse sollevare delle critiche all'attendibilità del test porti cortesemente motivazioni nuove oltre al trito...



Per il resto, non mi sembra ci sia nulla di eclatante da dover segnalare...

nV 25
22-11-2011, 19:45
...molto fine a se stessa anche se preferisco fornirla ugualmente...


Che il progetto "DW @ 64bit" sia ancora in uno stato parecchio "nebuloso" mi sembra ormai palese.

La notizia, dunque, è la seguente (anche se, in verità, era già trapelato qualcosa su Wilders per bocca dello stesso sviluppatore di DW):
poichè i costi di sviluppo devono essere notevoli (la butto li': almeno 10.000 € ?), per finanziare la migrazione su piattaforma X64 Ilya è riuscito ad avere una commessa da un importante gruppo bancario russo al quale fornirà (credo) una versione (modificata?) di DW per la protezione di alcuni sistemi informatici.

Con quel denaro, oltre a campare (probabilmente anche benino visto che si parla di Russia dove il costo medio della vita è decisamente diverso dal nostro...) finanzierà anche i costi collegati alla migrazione di cui sopra.

La versione a 32bit, invece, subirà solo modifiche marginali* visto che è ormai nella sua fase di piena maturità.

*oltre, ovviamente, a quelle [rare] pezze al Sandbox che dovessero rendersi necessarie a causa di nuovi escamotage, ecc...

Fine della rassegna stampa.




--------------EDIT ore 21.00--------------
E' logico che questa notizia, oltre a trovare conferma (come dicevo poc'anzi) in un recente post di Ilya stesso su Wilders, trova conforto anche in una mail che ho ricevuto una 20-ina di minuti fà su (ovviamente) mio input...

nV 25
23-11-2011, 12:51
Molte le novità previste nella nuova beta di HitmanPro 3.6:
erikloman (http://www.wilderssecurity.com/showpost.php?p=1976618&postcount=3626) in proposito...

In particolare, trovo molto piacevole (e utile) questa funzione:
Added chevrons to highlight items in the result list that are running [PID] or start by [Run], [Service] or [Driver]
che trova la sua "manifestazione" nelle voci "PID 2884/RUN" a fianco delle voci "calc.exe/jwt6[...]" dell'immagine a sfondo rosso che sintetizza l'esito della scansione...

:D

nV 25
24-11-2011, 14:11
Molte le novità previste nella nuova beta di HitmanPro 3.6:
erikloman (http://www.wilderssecurity.com/showpost.php?p=1976618&postcount=3626) in proposito...

In particolare, trovo molto piacevole (e utile) questa funzione:
Added chevrons to highlight items in the result list that are running [PID] or start by [Run], [Service] or [Driver]
che trova la sua "manifestazione" nelle voci "PID 2884/RUN" a fianco delle voci "calc.exe/jwt6[...]" dell'immagine a sfondo rosso che sintetizza l'esito della scansione...

:D

uscita in versione pubblica data la grande richiesta:
HitmanPro 3.6 **BETA** (http://www.wilderssecurity.com/showpost.php?p=1977438&postcount=3644)

(PS: si raccomandano di NON usarla in un ambiente di produzione!)


Per finire, mi chiedo come faccia ad accendersi il PC dell'utente Tarnak (vedi la sua tray bar),
link (http://www.wilderssecurity.com/showpost.php?p=1977461&postcount=3646) :asd:

Posso dire che è un mito? :lamer:

arnyreny
24-11-2011, 15:58
Per finire, mi chiedo come faccia ad accendersi il PC dell'utente Tarnak (vedi la sua tray bar),
link (http://www.wilderssecurity.com/showpost.php?p=1977461&postcount=3646) :asd:

Posso dire che è un mito? :lamer:

vedo che non si fida molto di dw:D

nV 25
24-11-2011, 17:43
vedo che non si fida molto di dw:D
Per forza, uno cosi' è solo un °° che riuscirebbe ad infettare una macchina spenta...

gyonny
25-11-2011, 07:30
Sto pensando di disattivare la SRP via controllo parentale e attivare un'altro ottimo modulo HIPS di sistema AppLocker in Windows 7 (http://www.ilsoftware.it/articoli.asp?ID=5611) disponibile solo sulle versioni Ultimate e Enterprise.
Io possiedo la versione Ultimate quindi mi basta attivare il servizio Identità applicazione.
Applocker sembra migliore e più completo rispetto alla SRP via controllo parentale. Esiste anche un'opzione avanzata che permette anche il controllo sulle DLL, cosà che io non farò perchè è un'opzione adatta per advanced users.

gyonny
27-11-2011, 15:05
Ho attivato e configurato Applocker, davvero un'ottimo modulo HIPS di sistema, peccato però che sia disponibile solo per le versioni Ultimate ed Enterprise di Windows 7.
E' altamente personalizzabile e si puo scegliere su quale utente applicare delle regole e quali dei 4 moduli proposti configurare, i moduli sono 4: 1) regole eseguibili,2) regole di Windows installer, 3) regole script, 4) regole DLL.
Ho configurato tutti i moduli all'infuori quello del controllo DLL.
Per semplificare la configurazione di ogni modulo o scelto di generare automaticamente delle regole e di creare delle regole predefinite per l'account limitato (standard), in questo modo vengono solo consentiti file di sistema digitalmente firmati Microsoft e i file della cartella C:\Programmi sull'account limitato, per il resto qualsiasi eseguibile o script non potrà essere eseguito senza previo consenso dell'amministratore e comparirà questa finestra d'avviso:

http://www.pctunerup.com/up/results/_201111/20111127154601_Applocker.jpg

quindi per l'installazione di qualsiasi programma sull'account limitato si dovrà obbligatoriamente cliccare col destro e scegliere "esegui come amministratore" e inserire la relativa password richiesta.
Con questa configurazione, dopo che l'eventuale programma è stato installato si potrà utilizzare tranquillamente perchè i file della cartella C:\Programmi sono consentiti dai criteri di gruppo come ho prima specificato...
le personalizzazioni sono tante, si possono anche configurare i singoli programmi o scripts per fare in modo che siano consentiti o meno.
All'inizio credevo fosse fastidioso e che mi bloccasse tutto bombardandomi di popups, ma non è così, anzi lo trovo meno fastidioso rispetto alla SRP via controllo parentale.

nV 25
28-11-2011, 11:05
AppLocker è, in effetti, una soluzione molto simile a quello che è l'oggetto del thread.

Come hai fatto notare, non è xò una soluzione implementata in tutte le versioni di 7 (ad es., io che ho la 7 Home Premium anche volendo sono tagliato fuori :stordita: )...

In rete, cmq, si trovano diverse risorse aventi proprio questo oggetto:
vediamo (giusto per conoscenza) se riesco a rintracciartene qualcuna.

Al di là di questo, non ti aspettare altri miei reply in proposito dato che, come dicevo poc'anzi, non ho modo di toccare con mano questa soluzione...

Ciao! :)

-------------EDIT 12.43--------------

Video sulla configurazione/utilizzazione di AppLocker (http://technet.microsoft.com/en-us/windows/dd320283.aspx) direttamente da Microsoft [ben fatto anche se in inglese]

Quello che mi sembra di aver capito sia il "limite" derivante dall'aggiunta di regole per le DLL, link (http://www.wilderssecurity.com/showpost.php?p=1505148&postcount=52).

Interessanti come sempre, inoltre, quasi tutti gli altri link che si ricavando utilizzando la funzione "cerca" in Wilders,
risultati della ricerca per la voce "AppLocker" (http://www.wilderssecurity.com/search.php?searchid=4380236&pp=25)

Esitono poi vari metodi per aggirare Applocker ma questo, sinceramente, credo sia tutto un altro capitolo...:)

gyonny
29-11-2011, 09:02
Grazie per le informazioni utili ;)

TheQ.
29-11-2011, 10:03
cosa ne pensate di Snort (http://www.snort.org/)?

gyonny
29-11-2011, 12:11
Non lo conosco, questo mi è nuovo...sarebbe da provare.
Comunque per il discorso che sia un software open source già di per se mi fa una certa simpatia :p

TheQ.
29-11-2011, 12:16
E' uno dei grandi vecchi open source assieme a firefox, pidgin, ecc... Wormux docet :D (il game open source che ha per personaggi varie mascotte di software open source che vengono usati da un decennio).

Snort viene definito come IDS / IPS, ovvero inserito in una rete di pc (ma ovrebbe funzionare anche in un singolo pc) sta fra firewall e reuter andando a valutare con delle regole, quello che è il comportamento degli utenti nella rete (anche utenti da internet), grazie al tracciamento di pacchetti scambiati con la rete internet (in effetti richiede l'installazione di winpcap).
Da questo punto di vista credo sia un software di concezione "nuova".
:mbe:

nV 25
30-11-2011, 11:46
Come da titolo, 2 pensieri.


Il 1°, sull' "importanza di guardarsi da Java" in una logica di prevenzione contro attacchi:
Gli hacker lanciano milioni di exploit che attaccano Java (http://www.wilderssecurity.com/showthread.php?t=313125)

Non credo che sia necessario dover aggiungere altro se non che (credo) se ne fosse già parlato (se pur timidamente) anche su questo thread (con tanto di conferma da parte di eraser, sempre se la memoria non mi inganna)...


Il 2°, decisamente più interessante per il "nostro" thread :D , attiene ai "nuovi trucchi implementati in taluni malware per evadere le analisi dinamiche":
Stalling code (http://www.wilderssecurity.com/showthread.php?t=313143)

One recent form of evasion against dynamic analysis systems is stalling code. Stalling code is typically executed before any malicious behavior. The attacker’s aim is to delay the execution of the malicious activity long enough so that an automated dynamic analysis system fails to extract the interesting malicious behavior.

[OT mode on] Geniali questi tipi, nulla da dire...se non che mi piacerebbe incontrarli in un vicolo cieco dove IO sono in compagnia di una bella mazza da baseball...:D [OT mode off]

In sostanza, per aggirare servizi di analisi dinamica come Anubis (http://anubis.iseclab.org/) ecc, il codice di questi malware ha delle routine (eraser, si dice cosi'?) "disegnate" per ritardare l'esecuzione delle parti "nocive" evadendo (aggirando), di conseguenza, quello che sarebbe stato il verdetto finale generato da questi servizi che, evidentemente, "colgono" la dinamica dell'eseguibile in un lasso di tempo predefinito (ed, evidentemente, corto? tipo 3/5 minuti dall'istante iniziale in cui il file viene fatto girare nell'ambiente virtuale di analisi?..)

Nella sua semplicità, dunque, geniale...



Ora:
che tipo di impatto può avere questa notizia per un thread come questo dove si parla di HIPS, Sandbox ecc?

Se questo codice finalizzato a mettere "in stallo" gli effetti dell'eseguibile è manipolato ad arte per "capire" se gira ANCHE sotto Sandboxie, l'utente è stimolato a "liberare" il file dalle restrizioni del sandbox dato che l'esecuzione sandboxata NON produce effetti apparenti & l'analisi dinamica che il tizio ha condotto su uno dei servizi gratuiti di cui sopra sembra confortare proprio quest'ipotesi (senti casino, inverosimile :D )...

In sostanza, questi "codici" cambiano un pò le carte in tavola a discapito, ovvio, nostro...
(E qui, se mi è permesso, trovo di nuovo attuale l'osservazione di cui al post n°1 dal titolo [:D] "il paradosso Sandboxie e la rivalutazione degli strumenti a lista nera")

gyonny
01-12-2011, 11:27
Quindi per gli utenti che usano Java direi che l'uso di un buon software HIPS migliora la protezione verso questo tipo di attacchi, avvisandoci preventivamente su eventuali modifiche che non corrispondono alle regole impostate.

Io che ora uso AppLocker ho impostato anche un controllo oltre che sui browsers e flash player anche su Java, in questo modo verrà sempre controllato l'hash dei file protetti e quindi eventuali modifiche sospette verranno bloccate, eccetto che non mi vado a beccare qualche malware che riesca a bypassare anche AppLocker.

TheQ.
01-12-2011, 13:26
Come da titolo, 2 pensieri.
..

E la soluzione è sandbox nella sandbox... Detto anche matrioska o gioco delle scatole cinesi :Prrr:

Scherzi a parte, Altiris svs (http://www.programmifree.com/recensioni/freeware/svs.htm) non viene più sviluppato?

gyonny
01-12-2011, 15:05
E la soluzione è sandbox nella sandbox... Detto anche matrioska o gioco delle scatole cinesi :Prrr:...

Dopotutto credo non ci sia molto di sbagliato su questa battuta...il discorso delle scatole cinesi è una soluzione efficace quanto bizzarra.
Per fare un esempio io ho utilizzato Sandboxie all'interno di VirtualBox, qui la sicurezza è indiscutibile ma per quanto riguarda la reattività diciamo che c'è abbastanza da aspettare :D

nV 25
01-12-2011, 17:08
più che "e la soluzione è sandbox nella sandbox... detto anche matrioska [...]", il mio messaggio era

P I A L L A R E...:fiufiu:


...visto che, almeno in ambito domestico, credo si possa vivere serenamente lo stesso anche senza Java...:)



E c'è quindi un pensiero in meno già alla base...

TheQ.
01-12-2011, 19:49
C'è sempre l'alternativa per migliorare la protezione http://www.hwupgrade.it/forum/images_hwu/smilies/59.gif

http://img14.imageshack.us/img14/2562/2279813.jpg (http://imageshack.us/photo/my-images/14/2279813.jpg/)

Comunque, inizio veramente a perdermi nei soft/sistemi di sicurezza.
Se qualcuno mi chiedesse: ma meglio un dual boot con doppia partizione, Linux per internet e Windows senza internet sull'altra, rispetto ad un sistema sandboxie in virtualbox che gli rispondo?

NB: Scherzi a parte, Altiris svs non viene più sviluppato?

nV 25
01-12-2011, 20:17
Altiris di fatto non lo conosco...


La 2° soluzione, personalmente, la reputo molto poco flessibile per l'uso quotidiano (oltre a tagliare necessariamente fuori una grossa fetta di utenza visto che, obiettivamente, è troppo pesante per un PC medio che se va bene vive attorno ad un dual core e 1/2 GB di ram)...

La 1° soluzione è sicuramente più praticabile, allora...




In realtà, questo thread ventila diversi nomi di soluzioni che potrebbero fare proprio al caso nostro, senza ricorrere peraltro nè alla VM nè al dual boot...

Ma evidentemente si ama complicarsi la vita...:D

TheQ.
01-12-2011, 22:24
beh con Vmware o virtualbox tutto quello che viene fatto di malevolo nella simulazione di sistema operativo, passa attraverso la simulazione di rete fra il Sitema operativo base (con antivirus e firewall) e il sistema operativo simulato.
Quindi in teoria utilizzare sandboxie + AV/FW è come utilizzare sandboxie - SO Virtuale + Av/FW, con un differente aggravio della pesantezza di quanto deve girare.

Alla fine, dopo una decina d'anni ti resta il pc vecchio su cui fare esperimenti tenendolo staccato dalla rete o viceversa :D il pc nuovo per giocare staccato dalla rete, il pc vecchio connesso con AV-FW senza installare software sconosciuto.

Kohai
04-12-2011, 14:04
Io java non ce l'ho installato...
Se qualche programma/pagina web ha bisogno di poggiarsi a tale linguaggio di programmazione, ne cerco altri ;) :D

nV 25
04-12-2011, 15:41
Io java non ce l'ho installato...
Se qualche programma/pagina web ha bisogno di poggiarsi a tale linguaggio di programmazione, ne cerco altri ;) :D
+ 1

cloutz
05-12-2011, 06:40
purtroppo talvolta la JVM è un'esigenza, ce l'ho su tutti i pc e devo averla (programmare in java senza java ancora non mi riesce) :(
potrei programmare in virtualBox, ma mi pare troppo

ovviamente chi ne può fare a meno è bene che lo faccia :fagiano:

nV 25
05-12-2011, 11:23
purtroppo talvolta la JVM è un'esigenza, ce l'ho su tutti i pc e devo averla (programmare in java senza java ancora non mi riesce) :(
potrei programmare in virtualBox, ma mi pare troppo

ovviamente chi ne può fare a meno è bene che lo faccia :fagiano:
chiaro, tolti gli sfigati (che a questo punto mi sembra di capire siano 2, un mio amico che ha fatto una tesi di laurea proprio su Java...e il buon cloutz), gli altri che non hanno particolari esigenze possono bellamente fare a meno della JVM...:D







PS: è evidente che il passaggio di cui sopra è tutta una forzatura dato che sono ben > le figure che, giocoforza, hanno necessità di utilizzare questa tecnologia...

Infine, credo sia evidente che "la tecnologia da sola" non sia sufficiente a compromettere un sistema...se chi è di fronte alla tastiera fa "pressione consapevole sui tasti", caso ad es. di cloutz...e un pò meno del mio amico di cui sopra :D che saluto con affetto se mi legge...:ciapet:

nV 25
08-12-2011, 17:31
[sospiro mode on]*
un bel video su OA 5 free (@ default) VS una particolare variante del Rootkit ZeroAccess, direttamente ad opera di Fabian Wosar della Emsisoft:
Link (http://tmp.emsisoft.com/fw/videos/ZeroAccessTest.rar)

Il contesto nel quale il video è stato postato è quello relativo alla presunta incapacità di CIS 5 (sotto certe condizioni...) di prevenire l'infezione in questione [Link (http://www.wilderssecurity.com/showthread.php?t=313494)]...
E' chiaro che la curiosità ha spinto altri utenti a chiedere come si comportava con il solito malware il programma tizio e caio, da qui OA...
[sospiro mode off]



* il sospiro è legato al fatto che si vede un bel test condotto proprio come ho sempre cercato di fare anch'io a suo tempo (metodologia, ecc).
Fabian, inoltre, risulta piacevole nel momento in cui "canzona" il proprio programma (qualcuno ritiene che debba essere migliorata la fase di 1° installazione? [dopo il 1° Reboot...]), atteggiamento sicuramente che indica apertura all'ascolto (e, di conseguenza, al miglioramento)...

Altra pasta rispetto ad altri...

cloutz
09-12-2011, 19:30
[

* il sospiro è legato al fatto che si vede un bel test condotto proprio come ho sempre cercato di fare anch'io a suo tempo (metodologia, ecc).
Fabian, inoltre, risulta piacevole nel momento in cui "canzona" il proprio programma ([SIZE="1"]qualcuno ritiene che debba essere migliorata la fase di 1° installazione? [dopo il 1° Reboot...]), atteggiamento sicuramente che indica apertura all'ascolto (e, di conseguenza, al miglioramento)...

Altra pasta rispetto ad altri...

:cincin:

Da parte mia ho sempre provato a incentivare l'uso di OA5, ovvero gestione Emsisoft, in quanto avevo notato tanti bei segnali (soprattutto di apertura, ricorderai forse la nostra corrispondenza di quel periodo :ciapet: ).
Purtroppo l'utenza a suo tempo non mi ha "considerato" di striscio :D, ma i segnali che avrebbero dovuto trasmettere fiducia non erano così chiari, lo ammetto.

Altre cose, sebbene migliorate rispetto alle precedenti versioni, tutt'oggi non me lo fanno piacere per nulla

Buona serata!

arnyreny
09-12-2011, 19:38
:cincin:

Da parte mia ho sempre provato a incentivare l'uso di OA5, ovvero gestione Emsisoft, in quanto avevo notato tanti bei segnali (soprattutto di apertura, ricorderai forse la nostra corrispondenza di quel periodo :ciapet: ).
Purtroppo l'utenza a suo tempo non mi ha "considerato" di striscio :D, ma i segnali che avrebbero dovuto trasmettere fiducia non erano così chiari, lo ammetto.

Altre cose, sebbene migliorate rispetto alle precedenti versioni, tutt'oggi non me lo fanno piacere per nulla

Buona serata!

io invece gli sto dando un altra possibilità...
vedremo;)

TheQ.
09-12-2011, 19:39
Altiris di fatto non lo conosco...

Non capisco, sembra essere diventato un software di virtualizzazione server collegati direttamente con la Norton. Sta di fatto che la versione vecchia gratuita, ancora liberamente distribuita in archivi di software free non si installa anche inserendo un codice licenza, come se fosse impedita :mbe:

nV 25
14-12-2011, 15:28
voodooshield (http://voodooshield.com/), altro software che stà per affacciarsi nell'universo dei programmi antimalware privi di scanner in tempo reale*...

Leitmotiv del progetto (americano), da quello che è dato sapere scartabellando nell'apposita discussione (http://www.wilderssecurity.com/showthread.php?t=313706), è la semplicità e il video caricato dagli sviluppatori è sicuramente esplicativo in tal senso:
LINK (http://www.youtube.com/watch?feature=player_embedded&v=rmk5bKN0CtA)


Sarà compatibile anche su OS X64?
Sarà realmente "effettivo" come da propositi dei suoi sviluppatori?

Vedremo tra qualche giorno quando renderanno liberamente disponibile la beta a favore dell'intera comunità...










* il copyright sull'espressione utilizzata mi è dovuto visto che ho coniato espressamente un nuovo modo per definire un HIPS :yeah: , in questo caso un anti-eseguibile

nV 25
24-12-2011, 13:19
Sarà anche OT, ma mi piacerebbe avere un'idea di come si presenta il desktop degli utenti che seguono questo thread.

Il mio (che cambia cmq pochissimo nel corso del tempo...),

http://img37.imageshack.us/img37/741/immagine1tr.th.jpg (http://imageshack.us/photo/my-images/37/immagine1tr.jpg/)

[Se doveste inserirlo, mi raccomando di incollare una *miniatura*! Buon Natale :flower: ]

cloutz
24-12-2011, 13:58
http://img18.imageshack.us/img18/5195/immagineaut.th.png (http://imageshack.us/photo/my-images/18/immagineaut.png/)


Dato che scrivo poco, ne approfitto per gli auguri di Natale :)