Ed intanto OpenSuse sembra avere problemi negli aggiornamenti e deve rifarsi il gruppo di modder...

Chiudo con la questione "l'unico Hips buono è l'OS Linux". Io trovo che in internet ci siamo molti ultras sostenitori di MAC (un po' offensivo forse, ma sono soprannominati i MACHead)... linux è uguale. Una serie di individui che osannano la loro squadra di calcio anche se perde, o che per nascondere le sconfitte della propria squadra si mettono a far notare le falle degli avversari.

Io ho lavorato sia con Windows che con linux.
L'uno su normali desktop, l'altro su un 24 core Intel 128 Gb ram (server di calcolo).
Ma non sono mai arrivato al punto di sentirmi preso dalla voglia di convertire tutti a Windows od a Linux.
Questo escludendo ovviamente tutta la questione politico-economica che sta dietro alle due filosofie di rilascio di questi due OS.

La cosa principale è la questione che sta dietro alle due filosofie. Il resto è tutto opinabile.

nuova versione di hitman ma la traduzione italiana rivista e corretta ancora non c'è :doh: è rimasto tutto uguale a prima
perdonami, ma è legale tradurre hitman?
Ci sono softhouse che apprezzano questo lavoro gratuito che aumenta la possibilità di diffusione...altre che si arrabbiano.
Stesso dicasi per i game prima dell'era Multi3-5-7 (anche se mi sembra che l'italiano sia passato dal Multi3 al multi 5 ed a volte 7 :doh: ).... c'erano softhouse che offrivano anche strumenti per faclitare l'estrazione dei testi e la traduzione, altre invece che consideravano illegale farlo.

ovvio che sì, ho fatto notare le stonature al programmatore e propietario (son 2 fratelli olandesi) che mi ha chiesto di correggere la traduzione dandomi il file, altrimenti mica mi ci sarei messo per i cavoli miei a farla, inoltre se per altri software le lingue sono file separati, nel caso di hitman sono dentro all'exe quindi se non ci mettono le mani loro noi non possiamo fare nulla

edit

Salve a tutti!
Mi infilo anche io in questa discussione perchè vorrei farvi un paio di domande...
Ho appena formattato il mio Pc dopo 5 anni di lavoro intenso! :D
Ora che è come nuovo vorrei aumentare la protezione e, dopo aver installato il mio antivirus free preferito (Avira), volevo mettermi un software hips serio, essendo che non amo molto i sandbox... Ho pensato di installare Defensewall e Comodo Firewall per una protezione totale.
C'è possibilità che Defensewall vada in conflitto con l'opzione Defense+ di Comodo? Va bene DW come software hips o mi consigliate altro? :help:
Grazie in anticipo per le risposte :)

Salve a tutti!
Mi infilo anche io in questa discussione perchè vorrei farvi un paio di domande...
Ho appena formattato il mio Pc dopo 5 anni di lavoro intenso! :D
Ora che è come nuovo vorrei aumentare la protezione e, dopo aver installato il mio antivirus free preferito (Avira), volevo mettermi un software hips serio, essendo che non amo molto i sandbox... Ho pensato di installare Defensewall e Comodo Firewall per una protezione totale.
C'è possibilità che Defensewall vada in conflitto con l'opzione Defense+ di Comodo? Va bene DW come software hips o mi consigliate altro? :help:
Grazie in anticipo per le risposte :)
Credo di poter dire che mettere DW e Comodo FW con il suo modulo def+ attivi assieme significa avere un doppio HIPS sulla macchina, quindi io se fossi in te metterei solo DW la versione comprensiva di firewall e sei a posto così...però aspetta un parere più esperto del titolare del 3D, che saluto ;)

...però aspetta un parere più esperto del titolare del 3D, che saluto ;)
non c'è bisogno di dovermi chiamare in causa visto che hai espresso un parere corretto:
o uno o l'altro (a patto ovviamente che il suo OS sia a 32bit visto che nel caso opposto il problema non si pone nemmeno)...

Ne approfitto per salutare anch'io voi...

PS al Mod:

sospendimi con moderazione visto che ho approfittato della pausa forzata per cambiare SSD e, dato che i soldi non me li regalano...:fiufiu:

Si, perchè se x ogni sospensione mi metto a cambiare qualche pezzo al PC, capisci bene che poi mi hai sulla coscienza...:p

Credo di poter dire che mettere DW e Comodo FW con il suo modulo def+ attivi assieme significa avere un doppio HIPS sulla macchina, quindi io se fossi in te metterei solo DW la versione comprensiva di firewall e sei a posto così...però aspetta un parere più esperto del titolare del 3D, che saluto ;)

non c'è bisogno di dovermi chiamare in causa visto che hai espresso un parere corretto:
o uno o l'altro (a patto ovviamente che il suo OS sia a 32bit visto che nel caso opposto il problema non si pone nemmeno)...

Ne approfitto per salutare anch'io voi...

Grazie mille per le risposte...
Infatti ero indeciso proprio perchè non sapevo quale software poteva essere più completo e preciso. Mi sembra che DW sia molto interessante...
Comunque ho un OS 64 Bit. Ci possono essere problemi con DW?
Dato che non ho visto una versione per 64...

Grazie mille per le risposte...
Infatti ero indeciso proprio perchè non sapevo quale software poteva essere più completo e preciso. Mi sembra che DW sia molto interessante...
Comunque ho un OS 64 Bit. Ci possono essere problemi con DW?
Dato che non ho visto una versione per 64...

Al momento DW non supporta sistemi operativi @64 bit.
Se intendi installare Comodo e hai bisogno di una guida e/o pareri c'è un apposito 3D dedicato.

Al momento DW non supporta sistemi operativi @64 bit.

Ah... Allora rimarrò con il Comodo D+
:cry: :cry:

Grazie mille per il vostro aiuto...
Seguirò la discussione per vedere se ci saranno nuove notizie ;)

PS al Mod:

sospendimi con moderazione visto che ho approfittato della pausa forzata per cambiare SSD e, dato che i soldi non me li regalano...:fiufiu:

Si, perchè se x ogni sospensione mi metto a cambiare qualche pezzo al PC, capisci bene che poi mi hai sulla coscienza...:p

Secondo me ci sono anche alcuni utenti del forum (non senior member) che in realtà sono dei moderatori :D...io ad esempio prima di postare devo andarci con i piedi di piombo :p

Fine OT

volevo segnalare che nella nuova beta di returnil 2012
e' stato migliorata la funzione della virtual mode e chiamata sandbox,è stato migliorato l'antieseguibile che riesce ad individuare e bloccare l'avvio di file sconosciuti al sistema come da figura

http://img213.imageshack.us/img213/8904/sandboxsetting.th.jpg (http://imageshack.us/photo/my-images/213/sandboxsetting.jpg/)http://img411.imageshack.us/img411/4779/delection.th.jpg (http://imageshack.us/photo/my-images/411/delection.jpg/)http://img844.imageshack.us/img844/791/delection2.th.jpg (http://imageshack.us/photo/my-images/844/delection2.jpg/)

anche se nella versione beta c'e' ancora un bug grave,che ho prontamente riferito al team:
infatti se si avvia un file sconosciuto da un altro punto del sistema protetto,
da chiave usb o da disco dati il file non viene bloccato.:muro:

anche se nella versione beta c'e' ancora un bug grave,che ho prontamente riferito al team:
infatti se si avvia un file sconosciuto da un altro punto del sistema protetto,
da chiave usb o da disco dati il file non viene bloccato.:muro:

supporto eccellente:hanno risposto in maniera rapidissima

Returnil Support: This is a known issue that will be fixed in the next beta build scheduled for August.:sofico:

Returnil è senza ombra di dubbio un bel programma :p, ma credo che con il problemino che ho avuto ultimamente avrebbe potuto fare ben poco :(

Returnil è senza ombra di dubbio un bel programma :p, ma credo che con il problemino che ho avuto ultimamente avrebbe potuto fare ben poco :(

adesso hanno implementato una doppia protezione, quella virtuale oppure quella sapshots cioe' tramite istantaneee,in pratica se hai problemi con virus o altro puoi ripristinare tramite un istantanea creata in automatico

Ho capito, ma quello che volevo dire io non riguardava virus, spyware, rootkit o altro...es. quando su Facebook o qualunque forum o servizio internet trovi qualcuno che sa il fatto suo e riesce a rubare le identità sui vari profili qui la situazione diventa peggio che avere malware installati sul sistema, e in questi casi qualsiasi software di protezione diventa inutile (se dai un'occhiata a i miei post precedenti avrai un'idea a cosa mi riferisco :))

Ho capito, ma quello che volevo dire io non riguardava virus, spyware, rootkit o altro...es. quando su Facebook o qualunque forum o servizio internet trovi qualcuno che sa il fatto suo e riesce a rubare le identità sui vari profili qui la situazione diventa peggio che avere malware installati sul sistema, e in questi casi qualsiasi software di protezione diventa inutile (se dai un'occhiata a i miei post precedenti avrai un'idea a cosa mi riferisco :))

Come fa una persona a rubarti l'acco di Face o di un qualsiasi altro servizio se non sfrutta un malware (o simili) o è un tuo conoscente?
Gli attacchi brute force non li possono fare su una pagina di login tipo Face...

Come fa una persona a rubarti l'acco di Face o di un qualsiasi altro servizio se non sfrutta un malware (o simili) o è un tuo conoscente? od è sulla tua stessa rete wifi e tu accedi tramite http, oppure utilizza tecniche di hacking engineering (es: sa che ti iscrivi su un suo forum sul suo server, si guarda l'email e la password...e se ha fortuna corrispondono :doh: ).
Credo sia difficile che un hacker sappia entrare e decriptare i server di account-password di facebook e google...e se lo facesse, se ne vanterebbe in internet ^_^''

Però non si puoi mai dire, qualche giorno fa son usciti se non erro 400 mila account yahoo per un bug in yahoo voice.
:fagiano:

Ciononostante, informazioni più precise sull'IP con cui si connette la macchina non ci sono, quindi violare account di servizi come facebook non fornisce necessariamente informazioni per hackerare il computer (umm a meno che non si utilizzino gli strumenti da admin di alcuni forum che per bannare usano l'ip finder...ed in quel caso l'IP si vede, ma cambia ad ogni riconnessione del bannato a vita)

:help: non bannatemi a vita per questa risposta :help:

od è sulla tua stessa rete wifi e tu accedi tramite http, oppure utilizza tecniche di hacking engineering (es: sa che ti iscrivi su un suo forum sul suo server, si guarda l'email e la password...e se ha fortuna corrispondono :doh: ).
Credo sia difficile che un hacker sappia entrare e decriptare i server di account-password di facebook e google...e se lo facesse, se ne vanterebbe in internet ^_^''

Però non si puoi mai dire, qualche giorno fa son usciti se non erro 400 mila account yahoo per un bug in yahoo voice.
:fagiano:

Ciononostante, informazioni più precise sull'IP con cui si connette la macchina non ci sono, quindi violare account di servizi come facebook non fornisce necessariamente informazioni per hackerare il computer (umm a meno che non si utilizzino gli strumenti da admin di alcuni forum che per bannare usano l'ip finder...ed in quel caso l'IP si vede, ma cambia ad ogni riconnessione del bannato a vita)

:help: non bannatemi a vita per questa risposta :help:

Non avevo pensato a quelle possibilità ;)
Sicuramente qualcuno che punta a infrangere la tua privacy non va ad "attaccare" un sito come FB o simili... Non credo che sia così "semplice" come per yahoo, ma potrei anche sbagliarmi!
E comunque parlava soltanto di rubare il profilo. Cosa fattibile, come mi hai fatto notare anche tu, senza dover per forza penetrare nel computer o nel server del servizzio utilizzato... Anche se comunque, a mio parere, è più facile che sia un azione mirata.

A partire dalla versione 12.6, AMD ha "ridisegnato" i propri driver per essere compatibili con la mitigazione ASLR ALWAYS ON a livello di sistema.

Fondamentalmente, quindi, anche coloro che hanno sul PC una VGA AMD possono cominciare ad usufruire della piena potenzialità di EMET...






Ma proviamo a fornire un pò di spiegazioni in linguaggio molto spicciolo sperando che servano ad evitare fraintendimenti.

EMET (strumento che annovera una serie di tecnologie volte a mitigare il rischio di exploit che possono coinvolgere in particolare software di terze parti) opera su 2 livelli, uno rappresentato dal sistema nel suo complesso, l'altro dai singoli processi (ad es., Firefox ma non IE, Acrobat Reader ma non pincopallino,...).

A seconda dunque del livello considerato (stiamo parlando di sistema o delle singole applicazioni?) variano le protezioni che il tool mette a disposizione:
un buon n° di queste, infatti, sono esclusive dei singoli processi (ad es., EAF) mentre altre (DEP, ASLR, SEHOP) sono comuni ad entrambi i livelli.

Focalizziamoci quindi solo su queste ultime, le "protezioni a livello di sistema" che sono quelle da trattare con più delicatezza visto che i suoi effetti si propagano sull'intero sistema.

E' infatti l'opzione DEP sempre attivo a livello di sistema che può interferire con un installer impedendone l'avvio, ecc...

E quindi, arriviamo a noi:

se fino a ieri coloro che possedevano una VGA ATI non potevano sfruttare la mitigazione di sistema "ASLR ALWAYS ON" pena l'impossibilità di effettuare il login,
http://i47.tinypic.com/2e1dikj.jpg

a partire dai driver 12.6 AMD ha cambiato le cose rimuovendo gli ostacoli che precludevano la possibilità di operare la forzatura in oggetto.

Questo, dunque, è il nocciolo.

Ma attenzione!:
come si vede anche dall'immagine sopra & sebbene sia stato rimosso l'ostacolo, EMET non mostra di default quest'opzione a meno di non modificare manualmente un apposito settaggio nel registro (questo, peraltro, è vero anche nel caso in cui la VGA sia NVIDIA).

Settaggio che evito di proposito di indicare data la potenziale "delicatezza" ma che è facilmente accessibile a chi leggesse il manuale, ecc...

Vi posto la fonte da cui ho appreso la notizia visto che di solito non vado mai a verificare il changelog dei driver della VGA: fonte (http://www.cert.org/blogs/certcc/2012/06/amd_video_drivers_prevent_the.html) che trova peraltro conferma da AMD stessa

http://i50.tinypic.com/oqgbi9.jpg


Prima che me lo chiediate:
no, non mi sono preso la briga di forzare nulla e non so neppure se lo farò in futuro senza avere prima il conforto di qualche testimonianza...

per la cronaca:

Sandboxie, dai dai, dalla prossima versione sarà ASLR-compatibile...
[certo quante volte cambia atteggiamento tzuk, eh?
vedi pure il supporto per i riferimenti, ma dopo il discorso sul 64bit questa è la 2° volta che ritorna sui suoi passi]...

[certo quante volte cambia atteggiamento tzuk, eh?
vedi pure il supporto per i riferimenti, ma dopo il discorso sul 64bit questa è la 2° volta che ritorna sui suoi passi]...
Qualcuno diceva che solo gli stupidi non cambiano mai idea :D

la procedura descritta nell'articolo fa pari pari il lavoro di EMET per la parte relativa a SEHOP.

Non capisco cmq perchè ostinarsi a NON installare EMET quando questo tool:
a) è di facilissima gestione
b) offre un ventaglio di mitigazioni decisamente più vasto, oltretutto per-system & per-process


Visto che ci sono, una spiegazione dei termini opt-in/opt-out che possono rimanere ermetici.

Si parla anzitutto delle mitigazioni di sistema, quindi DEP, ASLR, SEHOP.

ALWAYS ON = va beh, dai, la traduzione è semplice.
In sostanza, si forza il sistema ad utilizzare una tecnologia indipendentemente dal fatto che il processo sia compilato in modo tale da sfruttarla.
Rischio (se non supporta la tecnologia di cui sopra)-> CRASH del processo.

OPT-IN = il sistema non abilita di default una data mitigazione a meno che il processo "non chieda" espressamente il contrario (= di avvalersene).

OPT-OUT= l'opposto del caso sopra, quindi
il sistema abilita di default una data funzionalità a livello di sistema (dunque, per tutti i processi)...a meno che il singolo processo non chieda espressamente di "lasciar perdere"...

;37837801']Non avrebbe alcun senso installare EMET senza averne compreso, prima, non solo la utilità ma come si comporta
Io sinceramente non capisco una mazza di quello che fa, ma è così semplice che credo il capire venga in secondo piano rispetto alla sicurezza aggiuntiva che dà.

So che è un discorso un pò insulso, ma imho l'eccellenza di questo programma sta appunto nella semplicità, si imposta e lo si dimentica.
L'unica cosa è il dep che su always on potrebbe creare impedire l'installazione o l'uso di alcune applicazioni e l'eaf che non mi faceva funzionare un paio di programmi sotto sandboxie.
Messi al riparo da questi possibili imprevisti è veramente alla portata di tutti

Secondo me EMET non richiede di essere capito...ma solo di essere settato, operazione alla portata di chiunque...

Se dovesse essere "capito" (da intendersi come: che significa la protezione X, Y,[...] e perchè è utile che X&Y siano attive contemporaneamente, [...]), è chiaro che nel mondo EMET lo utilizzerebbero in 100 persone.

Ma non è cosi':
settarlo è alla portata di chiunque (altresi' detto "del maiale"), e da capire c'è solo il fatto che è utile emetizzare i soliti 10/15 processi, quelli che si interfacciano con il Web e che sono solitamente oggetto di exploit:
dunque, i soliti browser, lettori PDF/Divx,...

Veramente poco da capire...

Io sinceramente non capisco una mazza di quello che fa, ma è così semplice che credo il capire venga in secondo piano rispetto alla sicurezza aggiuntiva che dà.

esatto:
la tecnologia che offre è PER TUTTI...e non solo per eraser e chi come lui è dentro la materia...:read:

;37838191']Preso nota del cazziatone :muro: ....
prendi la parte costruttiva del pensiero (= usa EMET) invece che dar peso eccessivo al modo in cui è espresso che, di proposito, è brusco/diretto/ironico ("accessibile anche al maiale",[...]).

certo che voi di Lucca siete tremendi :doh:
non so in verità se è una cosa comune (non credo) ma di sicuro io un pò lo sono (mi piace parlare il più possibile chiaro & non amo molto i compromessi).

E' raro cmq che manchi di rispetto agli altri, e questo secondo me in una valutazione complessiva ha un peso maggiore che non l'uso di qualche espressione + o - colorita...

Di nuovo,
saluti! :flower:

@ [Claudio]:

parlando seriamente, e per chiudere definitivamente il capitolo EMET, io credo fermamente al fatto che di questo tool non si debba avere paura.

Certo, nasconde complessità tali che ne relegano la precisa-comprensione a pochi eletti ma non è questo il punto:
il tool, infatti, si rivolge alla massa che è chiamata a cliccare giusto 2/3 bottoncini...

Questa, secondo me, è la parte essenziale.

In sostanza, e come diceva giustamente anche marcos86, si può anche "non capire una mazza di quello che fa" (= come funziona dietro le quinte).

Le uniche domande da porsi, infatti, sono queste:
mi può effettivamente servire per combattere gli exploit? [SI]
impatta sulle prestazioni? [Zero]
crea instabilità? [NO]
è incompatibile con alcuni programmi? [TALVOLTA, in particolare con determinati software (pochissimi)]



Il resto, francamente, può tenerselo pure eraser...:D

e se si volesse capirne il funzionamento?

e se si volesse capirne il funzionamento?
Si apre il manuale e si studia ;)

e se si volesse capirne il funzionamento?
:D
Si apre il manuale e si studia ;)
Right!
E' un buon punto di partenza anche se secondo me il manuale è sufficiente giusto per farsi un'idea di quello che è il ruolo del tool:
occorrono infatti ben altri strumenti per poter dire di padroneggiare tutto ciò che vi è sotteso...


Quindi:
a meno di non avere realmente una laurea in informatica,...:fiufiu:

per esempio, qui c'è un ottimo tentativo di spiegare l'EAF a dei profani (il tipo, peraltro, ne sottolinea proprio la difficoltà osservando giustamente che senza opportune basi il processo di spiegazione risulta ugualmente parecchio difficile):
1 (http://www.wilderssecurity.com/showpost.php?p=2086306&postcount=102),2 (http://www.wilderssecurity.com/showpost.php?p=2086401&postcount=109).

Dunque, di cosa volgiamo parlare se non giusto a grandi linee?? :)


E' curioso cmq che ad oggi eraser non si sia mai fatto sentire nè a proposito della diatriba "meglio muoversi sotto utente standard con UAC al massimo o se quest'impostazione è equivalente al muoversi come utente-admin-ridotto sempre con UAC al massimo" nè sul tool EMET come strumento indirizzato alla massa, indipendentemente quindi da come funzionino le tecnologie di mitigazione...

Ora si riprivatizza e si spera che trovi 5 minuti anche per noi...

EMET 3.5 Tech Preview leverages security mitigations from the BlueHat Prize

http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx

:)

E' curioso cmq che ad oggi eraser non si sia mai fatto sentire nè a proposito della diatriba "meglio muoversi sotto utente standard con UAC al massimo o se quest'impostazione è equivalente al muoversi come utente-admin-ridotto sempre con UAC al massimo" nè sul tool EMET come strumento indirizzato alla massa, indipendentemente quindi da come funzionino le tecnologie di mitigazione...

Ora si riprivatizza e si spera che trovi 5 minuti anche per noi...

Giusto per scongiurare eventuali pensieri funebri, sono vivo e vegeto :)

Perdonate la lunga assenza, ma con la partenza della mia nuova ditta sono stato veramente molto impegnato negli ultimi mesi :)

In giornata torno qui e rispondo alle domande :)

EMET 3.5 Tech Preview leverages security mitigations from the BlueHat Prize

http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx

:)
la strada intrapresa da Microsoft, IMO, è molto buona visto che si comincia a giocare in maniera decisamente più marcata sul ruolo della prevenzione (o ex-ante)...

La strada ex-post*, infatti, ha dimostrato tutte le sue debolezze in questi anni...

*per ex-post intendo "prima ti infetti, poi ti riaggiusto"...

...In giornata torno qui e rispondo alle domande :)
YA-HUUU!!! :D

EMET 3.5 Tech Preview leverages security mitigations from the BlueHat Prize

http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx

:)
la critica che ti muovo, cmq, è il NON aver accompagnato la notizia da neppure una nota veloce di commento a favore di chi dovesse avvicinarsi molto timidamente alla lingua inglese...

Per il resto, Grazie della news che reputo determinante :read: ...

Non me ne volere e NON sospendermi per l'atto di pubblica accusa anche perchè ogni volta che finisce cosi' "finisco per dar fondo ai risparmi staccandomi qualche nuovo componente"...:Prrr:

Giusto per scongiurare eventuali pensieri funebri, sono vivo e vegeto :)

Perdonate la lunga assenza, ma con la partenza della mia nuova ditta sono stato veramente molto impegnato negli ultimi mesi :)

In giornata torno qui e rispondo alle domande :)

per quanto riguarda la protezione con utente admin e uac al massimo livello,credo che la tua posizione non sia cambiata rispetto a qui


http://www.hwupgrade.it/forum/showpost.php?p=35587351&postcount=3150

e del fatto che c'e' bisogno della complicità dell'utente per essere bypassata

Te lo confermo: con l'UAC al massimo, se l'utente non si lascia ingannare, il malware non può ottenere i privilegi necessari per funzionare.

(Comunque, giusto per dovere di cronaca, esistono anche quei malware che ti chiedono ripetutamente i privilegi di amministratore, in un ciclo infinito fino a quando l'utente non da il consenso :) )

ps nella tua spiegazione fai riferimento al fatto che esistono anche quei malware che ti chiedono ripetutamente i privilegi di amministratore, in un ciclo infinito fino a quando l'utente non da il consenso

non vedo riferimenti ad una eventualità diversa nel concetto,che un malware possa far ciò senza la complicità dell'utente

la critica che ti muovo, cmq, è il NON aver accompagnato la notizia da neppure una nota veloce di commento a favore di chi dovesse avvicinarsi molto timidamente alla lingua inglese...

Per il resto, Grazie della news che reputo determinante :read: ...

Non me ne volere e NON sospendermi per l'atto di pubblica accusa anche perchè ogni volta che finisce cosi' "finisco per dar fondo ai risparmi staccandomi qualche nuovo componente"...:Prrr:


Iimmagino succeda anche a te di avere i secondi contati :)

Provata la techPreview sul portatile (di produzione) e fila liscia come l'olio (7 64bit SP1). :)

Le applicazioni emetizzate, elencate nell'immagine sotto, non incontrano infatti il minimo problema...

http://i50.tinypic.com/2hykio1.jpg

Cavoli ma se lancio l'installer mi dice che è presente un'altra versione e non me la fa installare.
Devo disinstallare, reinstallare e riconfigurare tutto??:eek:

almeno le note andrebbero lette, xò...:muro:

Disinstallare la vecchia versione, (reboot), reinstallare. :)
I settaggi relativi alla vecchia versione rimangono, dunque bisogna abilitare a mano *solo* le nuove mitigazioni (ROP)..

Ciao!

almeno le note andrebbero lette, xò...:muro:


Ciao!

Hai ragione purtroppo ho i secondi contati e ho proceduto come d'abitudine: sovrainstallando.

Lo farò perchè adesso ho appunto i secondi contati :(
Ciao Enne....è sempre un piacere leggerti ;)

figurati, so che non te la sei presa per l'emoticon della "craniata", ciao :)

Provata la techPreview sul portatile (di produzione) e fila liscia come l'olio (7 64bit SP1). :)

Le applicazioni emetizzate, elencate nell'immagine sotto, non incontrano infatti il minimo problema...


Confermo le buone impressioni del saggio nV 25 ;) , con 7 32bit Sp1 .

per chi non ha capito bene cosa sia il rop...Marco lo spiega in questo modo


Marco Giuliani, direttore della società di sicurezza italiana ITSEC, spiega che "grazie a tecnologie per la prevenzione di exploit, quali ASLR e DEP, gli attacchi causati dallo sfruttamento di vulnerabilità nei software è diventato sempre più difficile, ma non impossibile". Si tratta di un aspetto essenziale da rammentare dal momento che "spesso si confonde l'utilizzo di tali tecnologie con la panacea di tutti i mali. Se è vero che è indispensabile l'impiego contemporaneo di DEP e ASLR - il DEP senza l'ausilio di ASLR diventa sostanzialmente inutile - bisogna altresì ricordare come anche lo stesso ASLR sia aggirabile tramite l'ausilio di attacchi basati su tecniche di Return Oriented Programming (ROP)".

Giuliani spiega come gli attacchi basati su tecniche di ROP non siano affatto nuovi: "sono meno conosciuti con questo nome perché sono la macrofamiglia, molto più generica, di una specifica tipologia di attacco ben più nota: gli attacchi ret2libc, o return-to-libc. Le aggressioni sono divenute sempre più sofisticate e gli attacchi ROP vengono oggi sfruttati in quanto capaci di orientare il flusso di esecuzione del codice originale a proprio piacimento".

Microsoft ha dichiarato che la tecnologia proposta da Frantic ha richiesto circa tre mesi di lavoro per poter essere implementata.
Non è dato sapere l'importo in denaro che il colosso di Redmond corrisponderà al ricercatore: il primo premio nell'ambito del concorso BlueHat Prize è infatti pari a 200.000 dollari.

ps Frantic e' l'ispiratore della nuova funzionalità

Confermo le buone impressioni del saggio nV 25 ...
addirittura!
Va a finire che passo per il vecchio canuto che dispensa consigli ai nipotini...:Prrr:

lo posto qui a mo di promemoria, dunque senza il minimo commento anche se in verità c'è poco da commentare:


VirusTotal adds behaviour analysis (http://www.h-online.com/security/news/item/VirusTotal-online-scanner-adds-behaviour-analysis-1651766.html)

Blog Virustotal (http://blog.virustotal.com/2012/07/virustotal-behavioural-information.html)

addirittura!
Va a finire che passo per il vecchio canuto che dispensa consigli ai nipotini...:Prrr:

Vecchio canuto ? Tu sei, sicuramente, un toscanaccio giovane ed aitante...
Ho frequentato l'Elba da quando ero bimbo e conosco un po' gli eredi degli etruschi.

Ciao
Scusate se lo chiedo qui, ma non saprei dove chiedere senza creare un nuovo tread (e scusate se magari è una banalità :rolleyes: e per la mia ignoranza)
Mi capita che i vari firewall che provo mi avvertono che "system" sta tentando di avviare una connessione (generalmente OUT). Ma non esiste un system.exe associato alla richiesta e mi pare che a fare la richiesta sia l'intera cartella system.
Sono abituato che a chiedere di connettersi siano i vari programmi, per i quali posso creare delle regole.
Con questo "system" non so che fare... (visto che lo volevo far passare per EMET)

Ciao

Per farla corta, se sei ragionevolmente sicuro di avere il PC pulito e oltretutto dietro router, autorizzerei tranquillamente le connessioni di cui sopra...

Altrimenti ti dirigi ad es sul T.U. di Comodo o di un altro Firewall e vedi come sono state settate.

Personalmente non la farei troppo lunga su quest'aspetto...:)

Ringraziamoli. :)

bluehat 1.0 (http://blogs.technet.com/b/ecostrat/archive/2012/07/26/the-bluehat-prize-v1-0-and-the-winners-are.aspx)

"I often say that some of the best defenders come from the “offense” side of the security equation. I believe that you truly have to understand how to break into systems in order to devise effective plans for how to defend those systems."
(Solitamente vado dicendo che alcuni dei più talentuosi "jedi" provengono dal "lato oscuro" :D dell'equazione-sicurezza.
E' necessario conoscere come introdursi in un sistema informatico per tracciare meccanismi di difesa efficaci-- stralibera traduzione)

Come non condividere?

intanto segnalo 2 cose relative a DefenseWall:
- entro fine agosto dovrebbe esserci una minor release 3.19 con qualche piccolo bug risolto

- Ilya dovrebbe finalmente tirar fuori una versione 4 per sistemi a 64bit, le sue parole su wilders sono:
I really hope I'll be able to migrate DefenseWall to x64, but, this case, the program itself will has 4.xx version's numbers
Magari esce quando ci saranno sistemi a 256 bit:D però è già qualcosa

Fonte:
http://www.wilderssecurity.com/showthread.php?t=329117

...segnalo 2 cose...
guarda, neanche a farlo apposta ti pensavo:
HitmanPro, da stamani, è aggiornabile via update automatici...ma dei miglioramenti lato lingua neppure l'ombra...:rolleyes:

ehh boh. io li mandai, ho anche scritto su wilders se aveva problemi nel file, ma non mi ha risposto.
Amen, io il mio l'ho fatto, mi mandò pure per ringraziamento una licenza di hitman di un anno (non richiesta e gentilmente offertami e che uso sul netbook) quindi resta un mistero, magari si incasinava la grafica anche se in genere ero più breve della traduzione attuale, era un file txt praticamente quindi non penso di averlo incasinato, pazienza

Provata la techPreview sul portatile (di produzione) e fila liscia come l'olio (7 64bit SP1). :)



A me no: se attivo la nuova protezione ROP per le appliacazioni emetizzate che sono anche quelle che si avviano forzatamente sotto sandboxie ( ho la versione a pagamento), vedi firefox, chrome, skype ecc ( questo poi non si avvia neanche e crasha subito), a parte che mi sembra di vederle leggermente rallentate, quando chiudo l'applicazione , sandboxie non fà più la pulizia autometica dell'area virtuale ma devo farla io manualmente ogni volta.
Togliendo ROP tutto torna normale. :(

A me no: se attivo la nuova protezione ROP per le appliacazioni emetizzate che sono anche quelle che si avviano forzatamente sotto sandboxie ( ho la versione a pagamento), vedi firefox, chrome, skype ecc ( questo poi non si avvia neanche e crasha subito), a parte che mi sembra di vederle leggermente rallentate, quando chiudo l'applicazione , sandboxie non fà più la pulizia autometica dell'area virtuale ma devo farla io manualmente ogni volta.
Togliendo ROP tutto torna normale. :(

strano, ma da segnalare subito a tzuk...

PS: fai degli screenshot?

Quali faccio esattamente? tipo uno di emet con firefox con attivo rop e una del rombo nella try che rimane pieno di pallini rossi ? dimmi

mah, + ne fai e meglio è e si guarda di capire dov'è il problema (PS: qui posta le miniature!)...

Stanno per arrivare a casa la mie due piccole pesti, se riesco le posto sibito, se no stasera al massimo domani mattina.
Ciao see you later

http://img440.imageshack.us/img440/1245/emetw.png (http://img440.imageshack.us/img440/1245/emetw.png Uploaded with ImageShack.us)

http://img35.imageshack.us/img35/3853/sbxie1.png (http://img35.imageshack.us/img35/3853/sbxie1.png Uploaded with ImageShack.us)

http://img641.imageshack.us/img641/4544/sbxie2.png (http://img641.imageshack.us/img641/4544/sbxie2.png Uploaded with ImageShack.us)

http://img266.imageshack.us/img266/2466/sbxie3.png (http://img266.imageshack.us/img266/2466/sbxie3.png Uploaded with ImageShack.us)

Scusami ma ho dovuto fare tutto molto di fretta spero siano ok
Ciao

Al di là del fatto che ho capito perfettamente il problema, per tentare di isolarlo proverei:
1) a disabilitare temporaneamente CIS (la causa, infatti, potrebbe essere una sua interferenza)...
2) provare con Chrome
3) andare giù giù mitigazione ROP per mitigazione fino a trovare quella che crea problemi (sempre che sia solo una e non tutte)...
Capisco che sia una menata ma, allo stato, non rilevo altra possibilità di indagine...

Quando mostri inoltre che il Sandbox non viene svuotato automaticamente, sarebbe necessario passare da una visione "per file/cartelle" a quella "per processi" (da visualizza, vedi anche http://www.sandboxie.com/index.php?ProgramsView.
In questo modo, infatti, è possibile cogliere al volo che la chiusura del processo sandboxato non determina l'eliminazione delle tracce presenti nel contenitore virtuale...

proverò, intanto

Firefox con protezione rop aperto
http://img844.imageshack.us/img844/897/firefoxaperto.png (http://img844.imageshack.us/img844/897/firefoxaperto.png Uploaded with ImageShack.us)


Chiudo firefox
http://img52.imageshack.us/img52/1387/firefoxchiuso.png (http://img52.imageshack.us/img52/1387/firefoxchiuso.png Uploaded with ImageShack.us)

Scusami Enne se faccio le cose a pezzi ma devo farlo se no rischio il divorzio.
1 ho disabilitato CIS non cambia niente
2 ho disbailitato avast ( al momento sto con questo) non cambia niente
3 ho disabilitato le protezioni ROP una alla volta il problema si risolve solo disattivandole tutte
4 ho provato con Chrome stesso discorso
5 a più tardi

Scusami Enne se faccio le cose a pezzi ma devo farlo se no rischio il divorzio.
1 ho disabilitato CIS non cambia niente
2 ho disbailitato avast ( al momento sto con questo) non cambia niente
3 ho disabilitato le protezioni ROP una alla volta il problema si risolve solo disattivandole tutte
4 ho provato con Chrome stesso discorso
5 a più tardi
(a volte non basta disabilitare i soft se c'è un problema di incompatibilità)
se vuoi realmente scoprire il colpevole...come in un film giallo

ti consiglio:fatti un immagine del sistema con un soft qualsiasi,se hai win 7 come vedo in firma,c'e' la funzione integrata

a questo punto disinstalla tutti i soft di sicurezza incluso emet


poi nell'ordine installi prima emet per vedere se il problema persiste e poi ad uno ad uno gli altri soft...

cosi capirai realmente chi è il colpevole;)


se qualcosa va storto ripristini l'immagine e buonanotte:asd:

Arny il problema ce l'ho solo se attivo la nuova protezione ROP di emet.
Disattivando quella tutto fila liscio come l'olio.

tieni per ora disabilitate le opzioni incriminate e cosi' salvi almeno il matrimonio...:D

Per il resto, vediamo se nel frattempo qualcun altro conferma il problema su W.S...

Arny il problema ce l'ho solo se attivo la nuova protezione ROP di emet.
Disattivando quella tutto fila liscio come l'olio.

ho fatto delle prove e il problema e' comodo...ma comunque basta cliccare nella finestra sandbox su firefox chiudi il programma,e la sandbox cancella i file residui...
in attesa di sviluppi puoi fare cosi';)

http://img198.imageshack.us/img198/634/immaginelo.th.png (http://imageshack.us/photo/my-images/198/immaginelo.png/)

ho fatto delle prove e il problema e' comodo...ma comunque basta cliccare nella finestra sandbox su firefox chiudi il programma,e la sandbox cancella i file residui...
in attesa di sviluppi puoi fare cosi';)


Mi piacerbbe sapere che prove hai fatto e come sei arrivato alla conclusione che il problema è Comodo: io ho disattivato tutti i moduli e poi ho arrestato tutti i processi e non è cambiato nulla.
Si lo so che si puo chiudere manualmente anche con il tasto destro sull'icona nella tray-chiudi tutti i programmi, ma mi scoccia farlo manualmente se lo ha sempre fatto in modo automatico lo deve fare anche adesso XD...indi in attesa di ulteriori sviluppi no ROP.
Ciao.

Mi piacerbbe sapere che prove hai fatto e come sei arrivato alla conclusione che il problema è Comodo: io ho disattivato tutti i moduli e poi ho arrestato tutti i processi e non è cambiato nulla.
Si lo so che si puo chiudere manualmente anche con il tasto destro sull'icona nella tray-chiudi tutti i programmi, ma mi scoccia farlo manualmente se lo ha sempre fatto in modo automatico lo deve fare anche adesso XD...indi in attesa di ulteriori sviluppi no ROP.
Ciao.

le prove che ti avevo consigliato prima

ho installato emet
e funzionava tutto ok,
ho installato avast ed era tutto ok,
ho installato comodo e mi si e' verificato lo stesso problema che hai tu...
se leggi bene cio che ti ho scritto qui,non basta disabilitare comodo per essere sicuri di eventuali incompatibiltà,saluti;)

(a volte non basta disabilitare i soft se c'è un problema di incompatibilità)
se vuoi realmente scoprire il colpevole...come in un film giallo

ti consiglio:fatti un immagine del sistema con un soft qualsiasi,se hai win 7 come vedo in firma,c'e' la funzione integrata

a questo punto disinstalla tutti i soft di sicurezza incluso emet


poi nell'ordine installi prima emet per vedere se il problema persiste e poi ad uno ad uno gli altri soft...

cosi capirai realmente chi è il colpevole;)


se qualcosa va storto ripristini l'immagine e buonanotte:asd:

Arny hai ragione , il colpevole è Comodo
Non ho fatto tutta la procedura che hai detto tu, ma ho preso per buono che il colpevole fosse lui.
Quindi l'ho disinstallato, ho attivato la protezione ROP, ho aperto e chiuso firefox e chrome e l'area virtuale si chiude e si pulisce da sola ....maledizione :muro: :muro:
Vaglielo spiegare adesso il problema ai signori di Comodo sul loro forum in inglese ( che non è il mio forte) e ammesso che ascoltino....
Forse è tempo di cambiare firewall ? boh non lo so magari quando arriverà DW 64bit.
Intanto grazie arny e enne per la pazienza e scusatemi ma non pensavo fosse proprio necessario RIMUOVERE TOTALMENTE il software "incompatibile" .

Arny hai ragione , il colpevole è Comodo
Non ho fatto tutta la procedura che hai detto tu, ma ho preso per buono che il colpevole fosse lui.
Quindi l'ho disinstallato, ho attivato la protezione ROP, ho aperto e chiuso firefox e chrome e l'area virtuale si chiude e si pulisce da sola ....maledizione :muro: :muro:
Vaglielo spiegare adesso il problema ai signori di Comodo sul loro forum in inglese ( che non è il mio forte) e ammesso che ascoltino....
Forse è tempo di cambiare firewall ? boh non lo so magari quando arriverà DW 64bit.
Intanto grazie arny e enne per la pazienza e scusatemi ma non pensavo fosse proprio necessario RIMUOVERE TOTALMENTE il software "incompatibile" .

Per comprendere l'errore che ti restituisce Sandboxie è il seguente?

SBIE2313

Arny hai ragione , il colpevole è Comodo

Vaglielo spiegare adesso il problema ai signori di Comodo sul loro forum in inglese ( che non è il mio forte) e ammesso che ascoltino....
Forse è tempo di cambiare firewall ? boh non lo so magari quando arriverà DW 64bit.


tutto vero....
anche se fosse in italiano...quelli fanno orecchie da mercante...
ma a mio avviso contro gli zero day rimane sempre una delle piu' valide protezioni,settato con il controllo su eseguibili su blocca i file sconosciuti(aggirabile solo da file malevoli con firma digitale falsa)

Per comprendere l'errore che ti restituisce Sandboxie è il seguente?

SBIE2313
No mod, sandboxie non mi restituisce nessun errore, quando chiudo un appliacazione sandboxata ( firefox, chrome, ecc) non si chiude e non si pulisce più automaticamente l'area virtuale, cosa che invece avviene se non attivo la mitigazione ROP .
In pratica l'area e i processi sandboxati rimangono aperti all'infinito finchè non li chiudo manualmente, ma ciò non deve succedere perchè nelle impostazioni c'è la pulizia automatica e la mia copia di sandboxie è quella registrata con licenza ( adesso non ricordo cosa succede nella free).
Le precedenti versioni di EMET con la configurazione che ho in firma non mi hanno mai dato problemi.

Per comprendere l'errore che ti restituisce Sandboxie è il seguente?

SBIE2313

nessun errore...in fase di chiusura e cancellazione dei file residui,la sandbox non riesce a chiudere firefox,però si riesce a chiuderlo in modo manuale

ho fatto delle prove e il problema e' comodo...ma comunque basta cliccare nella finestra sandbox su firefox chiudi il programma,e la sandbox cancella i file residui...
in attesa di sviluppi puoi fare cosi';)

http://img198.imageshack.us/img198/634/immaginelo.th.png (http://imageshack.us/photo/my-images/198/immaginelo.png/)

ok, ho fatto presente in inglese maccheronico quello che è emerso dalle verifiche. :)

No mod, sandboxie non mi restituisce nessun errore, quando chiudo un appliacazione sandboxata ( firefox, chrome, ecc) non si chiude e non si pulisce più automaticamente l'area virtuale, cosa che invece avviene se non attivo la mitigazione ROP .
In pratica l'area e i processi sandboxati rimangono aperti all'infinito finchè non li chiudo manualmente, ma ciò non deve succedere perchè nelle impostazioni c'è la pulizia automatica e la mia copia di sandboxie è quella registrata con licenza ( adesso non ricordo cosa succede nella free).
Le precedenti versioni di EMET con la configurazione che ho in firma non mi hanno mai dato problemi.

Tasto dx del mouse sull'icona di Sandboxie [DefaultBox] e clicca su Elimina contenuto, dimmi se ti stampa l'errore sopra indicato.

Tasto dx del mouse sull'icona di Sandboxie [DefaultBox] e clicca su Elimina contenuto, dimmi se ti stampa l'errore sopra indicato.
NO
Esce questa finestra
http://img405.imageshack.us/img405/7003/sbxie.png (http://img405.imageshack.us/img405/7003/sbxie.png Uploaded with ImageShack.us)

E cliccando su elimina contenuto si chiude ed elimina il contenuto e non mi stampa nessun messaggio di errore.

ok, ho fatto presente in inglese maccheronico quello che è emerso dalle verifiche. :)
Ma a chi, a quelli di Comodo ?????:eek: :eek:
Com ho fatto la prova sul mio pc e su quello di mia moglie ( che se lo sa lei.....) il suo è un win7 home premium 64 bit... risultato idem.

Ma a chi, a quelli di Comodo ?????:eek: :eek:
hai :hic: ?

Con quelli non ci perdo neppure 5 minuti...

Non si sa mai magari hai stretto per caso amicizia con un membro dello staff :D :D :D
Allora è Tzuk .....indovinato?

no, direttamente il thread dedicato a EMET su WS:
http://www.wilderssecurity.com/showpost.php?p=2094616&postcount=160

PS: il 1° che ride sul mio inglese scritto subirà pesanti sanzioni...:Perfido:
:D

@ pcpassion:

parlando seriamente, e alla luce di quella che è anche la tua firma, considererei seriamente di rimuovere CIS dalla tua configurazione:
questo consiglio, peraltro, prescinde dal problema che si è manifestato in questi giorni con la TechPreview di EMET...

Eventualmente lo riprenderai dalla v6 se proprio non puoi farne a meno.

Valuta seriamente la creazione di un ulteriore account (limitato) ad uso esclusivo di terzi, posto che tu abbia il problema di far usare la tua macchina ad altri.

Per il resto:
EMET, Sandboxie, Account limitato + UAC al massimo?

Dovresti avere una sfiga pazzesca per imbatterti in qualcosa capace di bypassare le tue difese se usi giudizio in quello che scarichi (ma potresti permetterti anche di osare qualcosina, guarda...)

Grazie del consiglio enne, effettivamente hai ragione.
Ma a Comodo ci sono affezzionato ( al software ovviamente), ci ho messo tempo per capirlo e configurarlo, mesi di sbattimento...ne ho provati altri, ma non mi hanno mai convinto, e poi toglierlo così di punto in bianco per sta cosa mi girano.
Magari la 6 sarà peggiore e lo toglierò magari invece sarà migliore vedremo; io starei tranquillo e sereno in attesa che magari qualche genietto di turno tiri fuori dal cappello magico la soluzione.
Ti saluto ;)

Bypassing EMET 3.5's ROP Mitigation

http://www.youtube.com/watch?v=zzEDbQrV-gI

A grande sorpresa, io uso comodo su ben 2pc! :)







Ovviamente per la sua licenza anche in ambito aziendale :)

Bypassing EMET 3.5's ROP Mitigation

http://www.youtube.com/watch?v=zzEDbQrV-gI

In realtà, come si può vedere da questo post (http://www.wilderssecurity.com/showpost.php?p=2098278&postcount=4), chi ha sviluppato l'exploit fa leva proprio sul meccanismo che la stessa MS dichiarava come "percorribile" per aggirare le protezioni ROP implementate nella TechPreview,

"Known limitations:
...as long as one of the critical functions is called then ROP checks will take place.
It is possible for the attacker to circumvent this
1) by not calling any of the hooked functions (for example directly calling into NTDLL and not kernel32)
or
2) just circumventing the hook".

Il tizio, infatti, sfrutta proprio la "chiamata diretta" (caso 1),
"the attack circumvents this protection by calling the system function directly, thereby bypassing the protective wrapper".

La sostanza cmq non cambia:
il bypass esiste, lo sanno... e speriamo dunque che riescano a migliorare sempre di più il tool in futuro :sperem:





**************


La lezione che emerge, cmq (anche se in verità non c'era bisogno di dover aspettare questo exploit per arrivare alle mie conclusioni), è che EMET non fa miracoli pur essendo molto :read: utile.

Pertanto, affiancarlo ad un buon HIPS (o Sandbox) è cosa buona e giusta.

AMEN.

:D

Concordo dal momento che, anch'io, faccio uso di Emet e Sandboxie.

In realtà, come si può vedere da questo post (http://www.wilderssecurity.com/showpost.php?p=2098278&postcount=4), chi ha sviluppato l'exploit fa leva proprio sul meccanismo che la stessa MS dichiarava come "percorribile" per aggirare le protezioni ROP implementate nella TechPreview [...]
il tizio, preso atto della gaffe, corregge il tiro sfruttando quella che sembrerebbe essere una scorretta implementazione delle difese anti-ROP poste dalla TechPreview,

http://i47.tinypic.com/281dj04.jpg


Fonte (https://repret.wordpress.com/2012/08/08/bypassing-emet-3-5s-rop-mitigations/)




Ora:
pur essendo totalmente profano della materia e confidando esclusivamente su qualche vaga idea formata nel corso del tempo scartabellando per puro diletto tra qualche risorsa on-line, trovo incredibile che figure come quelle impiegate nello sviluppo di questo tool commettano leggerezze di tale portata.
La "dimenticanza" di cui sopra, infatti, denoterebbe una scarsa conoscenza di quella che è l'architettura di un OS dato il ruolo cruciale rivestito da determinati elementi tra cui, appunto, il "famoso" Kernelbase.dll...

Dunque, l'unica giustificazione che troverei per non tagliargli lo stipendio sarebbe l'esistenza di un problema tecnico che ne ha impedito l'implementazione.
L'ignoranza, infatti, a questi livelli (e con i loro salari) non dovrebbe essere neppure contemplata...

IMO.

avevo mandato una mail al supporto EMET...e mi hanno risposto!! :D (un certo Elias Bachaalany)

Ne ho approfittato per segnalargli il "nuovo" exploit facendogli presente peraltro anche le mie personalissime opinioni in merito alla loro "ignoranza" (certo, visto l'inglese maccheronico, sono uscito "soft" ma insomma, quantomeno vedono che la gente vorrebbe qualche briciola di professionalità in più)...

(un certo Elias Bachaalany)


:sofico:

Ho indagato 20 secondi ed è risultato essere proprio il tipo che ha scritto la pagina sulla TechPreview, link (http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx).

Se qualcuno mi da una mano con l'inglese si potrebbe fare uno scambio di missive molto "costruttive"...:ciapet:

...e ho deciso di spenderlo verificando l'identità del tizio cui ho fatto riferimento poc'anzi.

E' autore di numerosi articoli (es., link (http://www.codeproject.com/script/Articles/MemberArticles.aspx?amid=139861)), ha contribuito attivamente al progetto IDA Pro (http://www.hex-rays.com/products/ida/index.shtml) (disassembler/debugger), ecc...

Tutto questo per dire che si entra in Microsoft....e si dimentica tutto?


Pareri?

Pareri?

Il solito casinaro :Prrr: :Prrr:

chi ha pareri più costruttivi? :fiufiu: (e sistema il profilo che mandi fuori forma il thread!!!)...



:flower:

chi ha pareri più costruttivi? :fiufiu: (e sistema il profilo che mandi fuori forma il thread!!!)...



:flower:

che c'ha il mio profilo? :fagiano:

che c'ha il mio profilo? :fagiano:

sembra che in giro ci sia una nuova bestia Gauss...

http://24o.it/links/?uri=http://www.securelist.com/en/downloads/vlpdfs/kaspersky-lab-gauss.pdf&from=Gauss+e+una+nuova+generazioni+di+virus%2C+ecco+come+cambia+il+ruolo+di+chi+li+combatte

che ne pensi? stiamo tranquilli?

cosi' se la legge anche eraser:

Thank you Massimiliano,

Indeed kernelbase.dll is not covered. It falls in the same category as not covering ntdll!* such as NtAllocateVirtualMemory() and similar functions.

System calls are not covered.

Had we enough time to implement and test those in less than two month we would have done it.

Next release should address those issues.

If you have other thoughts please do not hesitate to contact us.

Thanks again,
Elias

in tutto sto EMET, segnalo che NoVirusThanks ha reso pubblico e disponibile la versione free di ExeRadar direttamente sul sito (funziona anche per sistemi a 64bit, cosa importante)
L'ho installata sul netbook e funziona bene, le cose che mancano rispetto alla Pro a pagamento non sono fondamentali.
http://www.novirusthanks.org/product/exe-radar-pro/
Ram usata nella media (20-30 mega) ma soprattutto pochissimi accessi I/O al disco che è la cosa che più mi interessa. In un eccesso di positivismo gli ho dato fiducia al punto di disabilitare UAC, tanto ExeRadar è in tutto e per tutto un hips basico (controllo exe e dll) con il classico sistema whitelist/blocklist
Per ora tutto ok sul Lenovo con
Roboscan IS (Fw attivato)
ExeRadar Free
Hitman Pro
null'altro installato

Riguardo EXE Radar Pro, segnalo questo video su youtube: http://www.youtube.com/watch?v=5KXbnIhhODc

Apparso in un thread su kernelmode.info: http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1816

indipendentemente dai (gravi) problemi mostrati chiaramente nel post precedente, temo che i ragazzi della NoVirusTxs "hanno voglia di be' ova" prima di arrivare a standard qualitativi importanti...

IMO, eh...

Il problema è che il messaggio (lanciato peraltro + volte anche in questa sede in relazione alla riorganizzazione della superficie di difesa) non passa nel senso che non ha ascolti neppure là dove venisse aperto un thread ufficiale a caratteri cubitali (sto pensando ad es. a che presa ho io quotidianamente nel mio piccolo con i miei amici: nessuna?/ovo?/ciccia?), fatto stà che guardando questa sezione ma non solo, ecco, personalmente vedo un grande delirio...

Perchè io credo fermamente al fatto che si potrebbe anche trovare una configurazione che sia congeniale all'utenza che si ha di fronte, ma se questa in 1° luogo non è almeno un pò sensibile al problema...

Rimedi?
(La mia storia personale fatta da n frequentazioni anche su HW dimostrano che sono) I N E S I S T E N T I...

Allo stesso tempo, ritengo che diverse soluzioni debbano essere semplicemente BANNATE.


Va bè, direte voi:
tutto questo discorso per dire cosa?

Risposta:
esternare qualche pensiero, dunque:
post fine a se stesso...

è probabile che il pensiero esposto poc'anzi trovi la scintilla in un episodio che mi è capitato oggi dove una signorina (giuro) casualmente [:D] mi racconta di aver beccato l'ormai classico virus "Polizia Postale".

"Ti assicuro che non visito siti anomali, :blah:* [...], fatto sta che mi sono sentita mancare quando ho visto il PC bloccato con su scritto Polizia ecc, ecc..."

*in realtà, sembra che le sia stato detto dal grande esperto di turno che "un hacker le è entrato nel PC e le ha messo un virus":
personalmente mi auguro solo che la persona in questione non avesse avuto voglia di entrare nel merito sapendo che sarebbe stato tutto tempo perso, perchè sennò sarebbe anche roba da briai...

ecco:
questa è la massa che usa i PC (per andare su facebook, per "cinguettare", [...]).


E il risultato della tecnologia-per-tutti è anche questo...


Ho scritto 3 post ma, vi giuro, m'importa una ricca **** (specifico: di tutta questa situazione che ho descritto), eh:
è tanto per scrivere qualcosa.

Ciao

fermatelo :eek:

gli indici di ascolto calano....magari chi e' piu' sensibile a questo tipo di configurazione è ancora in ferie:D

sono rimasto sbalordito di come e' stato semplice bypassare exe radar,
eppure sono alcuni mesi che sono attivi nel rendere il loro prodotto competitivo:muro:

fermatelo :eek:

:asd:

ho finito, tranquillo. :)


E quando hai tempo, ricorda che ci sono domande in sospeso...

ho finito, tranquillo. :)


E quando hai tempo, ricorda che ci sono domande in sospeso...

Scherzavo :D

Sì, me le ricordo :D sto allenando il mio team, così faccio rispondere loro direttamente :D

sul come sia stato facile bypassare EXE Radar:

io una mezz'idea l'avrei, ma è possibile che si rilevi essere una boiata.

Se (come credo) EXE Radar non protegge i processi che sono in whitelist da tentativi di apertura & successiva scrittura (vedi ad es. le specifiche di MD in 1° pagina dove figurano queste protezioni [invia messaggi, controlla un processo ecc]), ecco:
mi devono dire come riescono ad impedire (semplici) exploit con una pagina web abilmente manipolata allo scopo.

IE (o qualsiasi altro browser) è infatti in lista bianca e può fare quello che vuole.

Se la pagina web e costruita per "controllare il browser" e EXE Radar non controlla in tempo reale "la salute" del processo contro tentativi di alterarlo, il gioco è fatto.

CREDO...

di sicuro so che per bypassare DefenseWall, Sandboxie e pochi altri è molto più difficile perchè il processo-vittima-dell'-exploit (in questo caso, il browser) è ISOLATO e al 99% il processo malizioso nato dall'exploit è castrato essendo anch'esso isolato...

sul come sia stato facile bypassare EXE Radar:

io una mezz'idea l'avrei, ma è possibile che si rilevi essere una boiata.

Se (come credo) EXE Radar non protegge i processi che sono in whitelist da tentativi di apertura & successiva scrittura (vedi ad es. le specifiche di MD in 1° pagina dove figurano queste protezioni [invia messaggi, controlla un processo ecc]), ecco:
mi devono dire come riescono ad impedire (semplici) exploit con una pagina web abilmente manipolata allo scopo.

IE (o qualsiasi altro browser) è infatti in lista bianca e può fare quello che vuole.

Se la pagina web e costruita per "controllare il browser" e EXE Radar non controlla in tempo reale "la salute" del processo contro tentativi di alterarlo, il gioco è fatto.

CREDO...
puo' darsi che hai ragione,infatti lo stesso virus eseguito a mano non partiva...
però allo stesso tempo non voglio pensare che siano cosi' sprovveduti...
@Romagnolo ...meglio l'uac:sofico:

Secondo me hanno troppi progetti aperti, molti francamente anche inutili.

Di conseguenza, rischiano di disperdere energie perdendo di vista il vero focus (= ciò che porta realmente dineri).

E EXE Radar potrebbe davvero essere la giusta leva "per campare"...

Certo, l'attuale incarnazione ha bisogno di un deciso "giro di vite" per essere realmente competitivo.

E' dimostrato, infatti, che supervisionare la mera esecuzione è troppo poco (anche se garantisce risultati di gran lunga superiori a Norton, ad es :p ).

Insomma:
devo dirglielo io come irrobustire il programma??, io che nella vita (chessò) potrei vendere frutta e verdura?


Come italiano, cmq, gli auguro sicuramente buon lavoro e mi farebbe sinceramente piacere sapere che un prodotto di casa fa sentire la sua voce nel contesto internazionale.

:sperem:

mi sa che quel problemone l'hanno risolto, ed era come diceva il buon ENNE, quindi per ora sopravvive e lo testo

[29-08-2012] v2.6.6.0
+ Fixed refreshing of processes in x86 version when "Processes" tab is opened
+ Fixed IE problem that allowed it to start a process if "Auto-Allow System Processes" was checked

UAC non serve a nulla se non a rompere le scatole, se gli avessero fatto un bel "ricorda questa scelta" ne avrebbero fatto un hips decente, invece hanno solo l'ottica del non permettere all'utente cose che può solo fare l'amministratore. Sinceramente avere uac che mi avvisa quando apro ccleaner (più volte al giorno) è un nonsenso e lo dice uno che ha tanti avvisi di Comodo ma almeno quelli non si ripetono più per programmi conosciuti e sicuri

. Sinceramente avere uac che mi avvisa quando apro ccleaner (più volte al giorno) è un nonsenso e lo dice uno che ha tanti avvisi di Comodo ma almeno quelli non si ripetono più per programmi conosciuti e sicuri

infatti per questo l'uac in alcuni casi e' piu' sicuro di comodo...
il virus con firma digitale falsa riusciva a bypassare comodo mentre l'uac no....

ehh però mi prendi un caso limite, a parte i virus creati da governi contro altri governi e che usano questa tecnica della firma digitale per bypassare le restrizioni e un paio di virus con lo stesso meccanismo ma con vittima altrettanto mirata, non si trovano in giro cose simili e comunque ne io ne il 99,99 periodico % degli utenti mai incontrerà una cosa simile.
In quel caso visto che a crearlo sono una elite di tecnici sicuramente non gli hanno fatto bypassare UAC per non insospettire l'utente bersaglio, avessero voluto quello lo avrebbero bypassato in un nanosecondo

Mi preoccupa invece il fatto che anche emsisoft si sia affiliata con BitDefender abbandonando Ikarus, al crescere degli utenti crescono i virus mirati per quel prodotto

Sì, me le ricordo :D sto allenando il mio team, così faccio rispondere loro direttamente :D

di piuttosto che siete comprensibilmente incasinati per via del lavoro, "che sei più credibile"...:Perfido:

Il tuo gruppo, infatti, stando almeno a quanto si legge sul sito, è formato da laureati in IT, dunque sarebbe quantomeno curioso avessero necessità di formazione per rispondere su questo thread...:Perfido:

:ciapet:

Forse non ci vuoi far umiliare? :fiufiu: :stordita:

ieri ho provato a fornire una spiegazione a proposito del bypass di ERP ma temo di aver detto un cumulo di sciocchezze.

Sono infatti troppo vaghe e annacquate le mie conoscenze per permettermi il lusso di lanciarmi in spiegazioni più grandi di me.

E' possibile invece che EMET tornasse realmente utile anche in questo caso per contrastare il fenomeno del remote-execution coinvolto nell'exploit mostrato nel video.

Ho tolto emet dalla mia configurazione di sicurezza.
Lo so che enne mi bastonerà ma mi sono rotto i maroni che quando un software si aggiorna a nuova versione deve entrare in conflitto con gli altri software di sicurezza.
Comodo firewall, sandboxie e emet hanno convissuto per parecchi mesi sui miei pc senza mai darmi nessun problema , poi ad un tratto arriva rop e qualcosa non va ( pare sia colpa di comodo vedi post più indietro); poi arriva la nuova versione di sandboxie e FF15 e quest'ultimo mi crascha spesso con una bella notifia di emet :mbe:
Non ho voglia di star li a verificare il perchè e il percome, mi sono rotto i cocomeri e basta.
Emet tolto problemi spariti.punto.

W la franchezza! :p

Ho tolto emet dalla mia configurazione di sicurezza.
Lo so che enne mi bastonerà ma mi sono rotto i maroni che quando un software si aggiorna a nuova versione deve entrare in conflitto con gli altri software di sicurezza.
Comodo firewall, sandboxie e emet hanno convissuto per parecchi mesi sui miei pc senza mai darmi nessun problema , poi ad un tratto arriva rop e qualcosa non va ( pare sia colpa di comodo vedi post più indietro); poi arriva la nuova versione di sandboxie e FF15 e quest'ultimo mi crascha spesso con una bella notifia di emet :mbe:
Non ho voglia di star li a verificare il perchè e il percome, mi sono rotto i cocomeri e basta.
Emet tolto problemi spariti.punto.

disabilitavi solo il rop...
non c'e' solo il bianco o il nero a volte ci si deve accontentare delle sfumature

disabilitavi solo il rop...
non c'e' solo il bianco o il nero a volte ci si deve accontentare delle sfumature
Rop era già disattivato.....erano le altre mitigazioni a rompere, indi eliminato.
Diventerò un minimalista se vado avanti di questo passo :D

mi sa che quel problemone l'hanno risolto, ed era come diceva il buon ENNE, quindi per ora sopravvive e lo testo

[29-08-2012] v2.6.6.0
+ Fixed refreshing of processes in x86 version when "Processes" tab is opened
+ Fixed IE problem that allowed it to start a process if "Auto-Allow System Processes" was checked

Sembrerebbe che non sia stato sistemato ancora

POST (http://www.kernelmode.info/forum/viewtopic.php?p=15423#p15423)VIDEO (http://www.youtube.com/watch?v=8_frYKeTllA)

dalla home page di un noto quotidiano,
Quando il virus informatico diventa un affare di Stato (http://www.repubblica.it/tecnologia/2012/08/31/news/virus_stato-41592726/).

Notare i riferimenti al software Da Vinci prodotto da una società di Milano, HackingTeam (http://www.hackingteam.it/).

ottimo articolo direttamente dai collaboratori di cancellino sulle tecnologie di isolamento implementate nei browser:
Sandbox, un efficace approccio dei browser alla sicurezza del web (http://www.itsec.it/2012/09/04/sandbox-un-efficace-approccio-dei-browser-alla-sicurezza-del-web/).

:)

ottimo articolo direttamente dai collaboratori di cancellino sulle tecnologie di isolamento implementate nei browser:
Sandbox, un efficace approccio dei browser alla sicurezza del web (http://www.itsec.it/2012/09/04/sandbox-un-efficace-approccio-dei-browser-alla-sicurezza-del-web/).

:)

Grazie per i commenti lasciati :)

PS: Ti hanno risposto :D

PS: Ti hanno risposto :D

Implementati a partire da Windows Vista, i livelli di integrità permettono di assegnare diritti diversi a processi appartenenti allo stresso user account. A differenza di Windows XP in cui i diritti di accesso a una risorsa erano di default uguali per ogni processo creato dallo stesso utente ed erano stabiliti soltanto dalle ACL (Access List), da Windows Vista in poi grazie all’introduzione dei livelli di integrità è stato possibile effettuare una suddivisione più raffinata. In ordine crescente di limitazioni, abbiamo livello integrità Sistema, Alto, Medio, Basso e Non attendibile. Se non diversamente specificato le applicazione utente del sistema sono create con livello Medio. Vale la regola generale secondo la quale un oggetto con un dato livello di integrità non può mai accedere ad un oggetto con un livello di integrità superiore. Si noti che i livelli di integrità non vengono utilizzati solo a livello di processi ma anche a livello di scambio di messaggi tra elementi grafici (UIPI).
:asd: :gluglu:

il Bootkit (innocuo) della ITSec di eraser che consente di superare il limite dei 4Gb di RAM nei sistemi Windows @ 32bit, LINK (http://www.itsec.it/2012/08/06/x86-4gb-memory-limit-from-a-technical-perspective/#!prettyPhoto).

L'articolo, dopo aver messo in luce quelle che sono le motivazioni ufficiali portate da MS per giustificare l'impossibilità di disporre di un quantitativo di RAM superiore ai 4Gb su quest'architettura, coglie un altro aspetto tecnico che è alla base di questo limite.
In sostanza, siamo di fronte ad una "furbata" di MS tesa a spingere il mercato verso la nuova architettura @ 64bit...:p

Se non ho mal interpretato l'articolo nella parte relativa alle motivazioni ufficiali, infatti, i driver di periferica che sarebbero incompatibili con un ammontare di memoria superiore ai 4Gb si riferiscono fondamentalmente a device obsoleti lasciando dunque in campo la sola motivazione-subdola come vero motivo di impossibilità ad usare un quantitativo di memoria maggiore su questi sistemi...

ripropongo questo passaggio al fine di enfatizzare meglio EMET:
...io credo fermamente al fatto che di questo tool non si debba avere paura.

Certo, nasconde complessità tali che ne relegano la precisa-comprensione a pochi eletti ma non è questo il punto:
il tool, infatti, si rivolge alla massa che è chiamata a cliccare giusto 2/3 bottoncini...

In sostanza ... si può anche "non capire una mazza di quello che fa" (= come funziona dietro le quinte).

Le uniche domande da porsi, infatti, sono queste:
mi può effettivamente servire per combattere gli exploit? [SI]
impatta sulle prestazioni? [Zero]
crea instabilità? [NO]
è incompatibile con alcuni programmi? [TALVOLTA anche se raramente)].
e invito chi ha dubbi (pratici) a porre liberamente domande. :)

ripropongo questo passaggio al fine di enfatizzarlo meglio....

A tal fine, non sarebbe opportuno specificare che si tratta di 'emet'?
Ho dovuto googlare per trovare il 'soggetto.' :)

Per un momento, infatti, ho creduto parlassi del 'solito' :D DW, soprattutto al passaggio:
"In sostanza ... si può anche "non capire una mazza di quello che fa" (= come funziona dietro le quinte)".

:D :D :D

ottima osservazione.

Per la cronaca, ho uppato la discussione perchè su un altro forum ho trovato un ns/lettore che si poneva alcune domande su questo tool e citava indirettamente questo thread.


Al di là del fatto che il suggerimento che ha avuto è ottimo (= leggere la guida su Megalab), resta fermo il fatto che sono disponibile a "mettermi in gioco" per rispondere (nei limiti del possibile) alle varie domande relative in particolare all'oggetto del thread, ma non solo (leggi, EMET).

Dove eventualmente non si arriva noi, arriverà eraser o qualcuno del suo staff che invito a loggarsi. :)

5 minuti al giorno del loro tempo e, come ritorno, una GRANDE possibilità di crescita per noi.

Grazie. :)

"non capire una mazza di quello che fa"
:D :D :D
emm si chiama "noob security tecnology prevention" :D

Al di là del fatto che il suggerimento che ha avuto è ottimo (= leggere la guida su Megalab), resta fermo il fatto che sono disponibile a "mettermi in gioco" per rispondere (nei limiti del possibile) alle varie domande relative in particolare all'oggetto del thread, ma non solo (leggi, EMET).

Dove eventualmente non si arriva noi, arriverà eraser o qualcuno del suo staff che invito a loggarsi. :)

5 minuti al giorno del loro tempo e, come ritorno, una GRANDE possibilità di crescita per noi.

Grazie. :)

Apprezzabilissima la tua disponibilità ;)
e di coloro che, come da te auspicato, vorranno partecipare alla discussione anche per i soli 5 minuti :sperem:
sicuramente ci sarà la possibilità di ampliare le proprie conoscenze informatiche :)
Grazie.


emm si chiama "noob security tecnology prevention" :D
:asd:

:asd: :gluglu:

secondo me a questo punto mi viene da dire che non lo sa neanche eraser visto che ad oggi non ha speso ancora una sillaba in proposito :Perfido: (e non tirare fuori problemi di tempo perchè non ci crederesti neanche te tanto sarebbe bugiarda la scusa :nonsifa: :asd: ), ma la parte del pensiero che hai estrapolato dall'articolo di eraser non spiega il famoso dubbio.

La regola generale secondo la quale un oggetto con un dato livello di integrità non può mai accedere ad un oggetto con un livello di integrità superiore, infatti, è meravigliosa :D (seriamente: è fondamentale in un architettura di tipo moderna...) ma non spiega cmq le parole di Russinovich che ripropongo:
Elevated AAM processes are especially susceptible to compromise because they run in the same user account as the AAM user’s standard-rights processes and share the user’s profile. Many applications read settings and load extensions registered in a user’s profile, offering opportunities for malware to elevate.
Processes elevated from a standard user account run in a different account from those with standard user rights, so the Windows security model defines a wall around the elevated process that prevents the non-elevated processes from writing code into those that are elevated.

Inutile insistere su un aspetto (vero) ma che non spiega il nostro dilemma.

Intero passaggio: cliccami! (http://www.hwupgrade.it/forum/showpost.php?p=37691639&postcount=4897)

ah:
RRR1, ho scritto tutto grande in onore delle tue diotrie, contento? :Prrr:

altra cosa, e poi ci rivedremo domani perchè vado a "sfondarmi" ad un matrimonio :asd: :
questo thread lo leggono sempre i soliti (anche fossero 100, il messaggio rimane sempre confinato entro queste mura..), dunque:
inutile starsi a accapigliare più di tanto visto che "noi", anche girassimo in Account con privilegi pieni, avremmo il 99% di probabilità in meno di infettarsi rispetto a chi non è mai entrato in questo thread.

E non lo dico tanto in virtù di chissà quali programmi usiamo, o accorgimenti vari...ma piuttosto perchè abbiamo maturato una certa sensibilità al problema. :)

Abbiamo dismesso l'anello al naso da un bel pò, ecco...

Quindi:
a Marchi', per me puoi anche lasciare inevasa la domanda...

:)

secondo me a questo punto mi viene da dire che non lo sa neanche eraser

Credo che questa e' la classica tecnica,provocatoria...per aspettarti una risposta in prima persona

ma credo che lui già ti abbia risposto ...

il fatto che


La regola generale secondo la quale un oggetto con un dato livello di integrità non può mai accedere ad un oggetto con un livello di integrità superiore, infatti, è meravigliosa :D (seriamente: è fondamentale in un architettura di tipo moderna...) ma non spiega cmq le parole di Russinovich che ripropongo:
[B][COLOR="Blue"]Elevated AAM processes are especially susceptible to compromise because they run in the same user account as the AAM user’s standard-rights processes and share the user’s profile. Many applications read settings and load extensions registered in a user’s profile, offering

logicamente mi rende soddisfatto,e mi fa sentire sicuro con livello massimo uac,quanto un admin ridotto.

infatti la tua teoria

vedi, è proprio diverso:

il popup relativo alla richiesta di maggiori privilegi non lo produce il malware (vedi l'es. materiale che ho portato qui (http://www.hwupgrade.it/forum/showpost.php?p=37693155&postcount=4920)) bensi' un qualsiasi processo che, legittimamente e chissà dopo quanto tempo (10 secondi? 7 ore? tra 3 sessioni?), ha bisogno di > privilegi.

Il malware, rimasto silente fino ad allora, "sfrutta questo momento" per lanciarsi nuovamente ma con privilegi elevati e sei del gatto...


Peraltro, anche il post che hai portato di eraser non c'azzecca nulla in questo contesto visto che lui, allora, parlava di altre cose...

Chiaro? :ciapet:

credo che sia stata smontata dal team... proprio nel post sopra

ma guarda:
leggi il post sopra e vivi felice...;)


Vuoi cmq che ti attesti pubblicamente che hai ragione?
Va bene, hai ragione te.

Contento?

Ora si può anche passare oltre...:)

Vuoi cmq che ti attesti pubblicamente che hai ragione?
Va bene, hai ragione te.



Avrei fatto lo stesso anche io, se fosse stato il contrario...

Contento?*




hai imparato una cosa in piu'....nella vita c'e' sempre da imparare...;)

Ora si può anche passare oltre...:)
già sono oltre:ubriachi: saluti

secondo me a questo punto mi viene da dire che non lo sa neanche eraser visto che ad oggi non ha speso ancora una sillaba in proposito :Perfido: (e non tirare fuori problemi di tempo perchè non ci crederesti neanche te tanto sarebbe bugiarda la scusa :nonsifa: :asd: )

A parte che se avessi la minima idea di quello che stiamo facendo in ufficio, capiresti benissimo perché non ho tutto questo tempo libero a disposizione ;)

Ma a parte questo, non capisco dove sta il dubbio: hai citato tu direttamente Russinovich :fagiano: È scritto chiaramente in quelle parole :stordita: Cosa devo spiegare esattamente? :stordita:

A parte che se avessi la minima idea di quello che stiamo facendo in ufficio, capiresti benissimo perché non ho tutto questo tempo libero a disposizione ;)

Ma a parte questo, non capisco dove sta il dubbio: hai citato tu direttamente Russinovich :fagiano: È scritto chiaramente in quelle parole :stordita: Cosa devo spiegare esattamente? :stordita:

L'oggetto del contendere

http://www.hwupgrade.it/forum/showpost.php?p=37694350&postcount=4948

http://www.hwupgrade.it/forum/showpost.php?p=37694357&postcount=4949

con la speranza di mettere la parola fine a questa diatriba, grazie.

Ok, vediamo di chiudere questa parentesi, almeno evitiamo ulteriori diatribe sull'argomento.

Utilizzare un account Admin under AAM e utilizzare un account limitato fornisce le stesse garanzie di sicurezza?


Da un punto di vista prettamente teorico, sì, nel senso che privilegi e permessi forniti all'account di Protected Administrator sono del tutto equivalenti a quelli di un account limitato.

Dove sta l'inghippo?

L'inghippo sta nel come è strutturato lo UAC. L'account Administrator, al momento della sua creazione, viene fornito di due token, uno riguardante l'Elevated Administrator, e uno classico di Protected Administrator.

Lo UAC permette di utilizzare nelle funzionalità di tutti i giorni l'account Administrator come Protected Administrator, che ha tutti i permessi e privilegi di amministratore rimossi dal proprio token. Nel momento in cui, tuttavia, è necessario effettuare una modifica del sistema tale da richiedere i diritti amministrativi, la finestra UAC appare e - previo click sul pulsante di OK - l'account viene switchato al token originale dell'admin, quindi Elevated Administrator.

Ma l'utente è sempre lo stesso, è una sorta di Dr.Jekyll e Mr.Hyde. Questo è molto importante da capire, poiché l'utente (sia esso un amministratore o meno) può comunque sempre avere accesso alle configurazioni del proprio profilo utente. Può registrare estensioni di shell, ad esempio, le quali partiranno solo nella sessione utente relativa a quello specifico utente. Può associare l'esecuzioni di alcuni programmi automaticamente con l'apertura di altri. Ovviamente tutto confinato nella stessa sessione utente.

Questo non avviene, ovviamente, in un account limitato.

Nella sessione dell'account limitato tutto viene eseguito dall'utente proprietario della sessione dell'account utente stesso, chiamiamolo Test2 ad esempio. Nel momento in cui si vuole eseguire un processo con diritti amministrativi, bisogna per forza di cose passare per l'utente che è amministratore. Quindi si chiede all'utente amministratore Test (nome scelto come esempio) di eseguire il processo FILE.EXE per l'utente Test2, e si inserisce la password dell'utente Test.

L'utente Test non è affetto dalle modifiche del profilo utente di Test2, ovviamente, perché si tratta di un altro account utente.

Un eventuale malware può, nella sessione utente Admin under AAM, modificare il profilo utente e mettersi in attesa che l'admin faccia qualche operazione con privilegi elevati per accodarsi a tale operazione. Evento che non può accadere in un account limitato, perché l'eventuale elevazione di privilegi è effettuata da un account utente separato e diverso dall'utente limitato.

Vi linko un video esplicativo che ho fatto questa mattina, per farvi capire meglio il concetto: VIDEO (http://www.itsec.it/download/UAC.mp4)

semplice:
saresti da sposare :read: *....


Sei IL valore aggiunto, grazie. :flower:








PS:
posso dire a questo punto che avevo interpretato bene io il fenomeno??


















*se tu fossi donna o io fossi gay,...:Prrr:

semplice:
saresti da sposare :read: *....

Sei IL valore aggiunto, grazie. :flower:


PS:
posso dire a questo punto che avevo interpretato bene io il fenomeno??


*se tu fossi donna o io fossi gay,...:Prrr:

Chiaro intento provocatorio, 3GG di pausa.

Ok, vediamo di chiudere questa parentesi, almeno evitiamo ulteriori diatribe sull'argomento.

Utilizzare un account Admin under AAM e utilizzare un account limitato fornisce le stesse garanzie di sicurezza?


Da un punto di vista prettamente teorico, sì, nel senso che privilegi e permessi forniti all'account di Protected Administrator sono del tutto equivalenti a quelli di un account limitato.

Dove sta l'inghippo?


Vi linko un video esplicativo che ho fatto questa mattina, per farvi capire meglio il concetto: VIDEO (http://www.itsec.it/download/UAC.mp4)


Grazie per averci dedicato il tuo tempo...
in tutto il web non esiste una spiegazione piu' dettagliata.
come promesso cambio la mia configurazione .;)

ps davvero bravi quelli del tuo team sono un fiume di risorse.

per chi ha una piattaforma recente,uefi ,si puo' fare un po' di cultura qui

http://www.itsec.it/2012/09/18/uefi-technology-say-hello-to-the-windows-8-bootkit/

Grazie per averci dedicato il tuo tempo...
in tutto il web non esiste una spiegazione piu' dettagliata.
come promesso cambio la mia configurazione .;)

ps davvero bravi quelli del tuo team sono un fiume di risorse.

per chi ha una piattaforma recente,uefi si puo' fare un po' di cultura qui

http://www.itsec.it/2012/09/18/uefi-technology-say-hello-to-the-windows-8-bootkit/

Grazie mille :) Scriverò un blog post per rendere il tutto ancora più chiaro ed accessibile a tutti, come schema riassuntivo.

E grazie mille ancora per i complimenti al team, tutti vi ringraziano per l'attenzione che ci date ;)

rieccomi :ciapet: ...

rieccomi :ciapet: ...
Bisogna vedere ancora per quanto :Prrr:

sempre in relazione al discorso utente standard o amministratore ridotto/"pieno", ho trovato su Codeproject un programmino che non fa altro che verificare "chi è" l'utente interrogando un'apposita API (GetTokenInformation()).
(In realtà il programma nasce per tutto un altro motivo [vedi anche la sua descrizione (http://www.codeproject.com/Articles/16796/Riding-the-Vista-UAC-elevator-up-and-down)] ma a me questo interessava poco) :stordita: ....

Parlando in termini molto spiccioli, se la sessione di lavoro attiva è quella di un utente standard, restituisce il valore TokenElevationTypeDefault - NON ELEVATED (il solito risultato si produce peraltro anche nel caso in cui l'UAC sia disattivato)

http://i45.tinypic.com/2vtxu88.jpg

Nel caso invece di una sessione di lavoro attiva in cui l'utente loggato è amministratore ridotto, l'esecuzione del programmino restituisce il valore TokenElevationTypeLimited - NON ELEVATED.

http://i46.tinypic.com/2m51jcp.jpg

Se invece sempre dalla sessione precedente lo facciamo partire "come amministratore" cliccando ad es. col pulsante dx del mouse sull'eseguibile, avrò come risultato la 3° e ultima voce,
TokenElevationTypeFull ELEVATED.



Quello che ho illustrato poc'anzi è solo uno sfizio anche perchè Windows mette ovviamente già a disposizione strumenti atti a verificare "chi siamo".
Es:
start-> cliccare sull'iconcina in alto a destra del menù,....


PS: il file dovrebbe essere alla fine di questo post...

-------------------------------
come non detto, ecco il file:
http://www.2shared.com/file/5oCQZGxm/VistaElevator.html (cliccare su download)

ho cambiato firma e, per inciso, segnalo che m'ha rotto le palle anche questo thread.

E' ora di cambiare abitudini per un pò...

ho cambiato firma e, per inciso, segnalo che m'ha rotto le palle anche questo thread.

E' ora di cambiare abitudini per un pò...

Ellapeppa, e che succede mai? :fagiano:

è proprio qui il punto:
non succede mai nulla.


E semmai non tanto per la staticità dei prodotti quanto piuttosto per la staticità della gente.

Peraltro, mi sono rotto di leggere sempre le solite minchiate **di questa sezione di forum** quindi lascio a te immaginare com'è la miscela...

progetto sicuramente interessante in tema di prevenzione da exploit da parte di un ramo a se stante di dipendenti di Panda di cui uno molto noto su Wilderssecurity, P(edro)Bust(amante):
Exploit Shield (http://download.cnet.com/8301-2007_4-57521983-12/exploitshield-appears-to-live-up-to-its-name/?part=rss&subj=software&tag=title&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+cnet%2FxWjr+%28Software%29&utm_content=My+Yahoo).

"for now everything we've thrown at it has been blocked...
3 different IE 0-days, 3 different Java 0-days, Blackhole Exploit Kit 2.0, Phoenix, Incognito, Sakura, PDF exploits, VLC exploits, Windows Media Player exploits, etc".

Video (http://youtu.be/RAHXzfySgYg)

PBust, nell'articolo su C|Net, dichiara anche che
"currently known exploit methods against Microsoft's EMET and 32-bit based ASLR, such as ROP and anti-anti-ROP exploits, are blocked by ExploitShield".


Le alternative fanno sempre bene (per accelerare lo sviluppo di chi eventualmente rimane dietro, in questo caso sembrerebbe essere EMET), dunque ben venga!



Dimenticavo:
fonte---> solito (http://www.wilderssecurity.com/showthread.php?t=333127)...

progetto sicuramente interessante in tema di prevenzione da exploit da parte di un ramo a se stante di dipendenti di Panda di cui uno molto noto su Wilderssecurity, P(edro)Bust(amante):
Exploit Shield (http://download.cnet.com/8301-2007_4-57521983-12/exploitshield-appears-to-live-up-to-its-name/?part=rss&subj=software&tag=title&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+cnet%2FxWjr+%28Software%29&utm_content=My+Yahoo).

"for now everything we've thrown at it has been blocked...
3 different IE 0-days, 3 different Java 0-days, Blackhole Exploit Kit 2.0, Phoenix, Incognito, Sakura, PDF exploits, VLC exploits, Windows Media Player exploits, etc".

Video (http://youtu.be/RAHXzfySgYg)

PBust, nell'articolo su C|Net, dichiara anche che
"currently known exploit methods against Microsoft's EMET and 32-bit based ASLR, such as ROP and anti-anti-ROP exploits, are blocked by ExploitShield".


Le alternative fanno sempre bene (per accelerare lo sviluppo di chi eventualmente rimane dietro, in questo caso sembrerebbe essere EMET), dunque ben venga!



Dimenticavo:
fonte---> solito (http://www.wilderssecurity.com/showthread.php?t=333127)...


Per forza che sono compatibili con EMET, non hanno niente a che vedere tra di loro.

Magari mi sbaglio, ma questo ExploitShield mi ricorda molto da vicino un identico progetto che avevo sviluppato io stesso 3 anni fa per la mia ex-società (poi abbandonato)

certo potresti anche spendere 2 parole in più, eh....:rolleyes:

Che vuol dire che "non hanno niente a che vedere tra di loro"?

Insomma, da gente del tuo calibro pretendo qualcosa di più quando muovi osservazioni...:fiufiu:
:D

certo potresti anche spendere 2 parole in più, eh....:rolleyes:

Che vuol dire che "non hanno niente a che vedere tra di loro"?

Insomma, da gente del tuo calibro pretendo qualcosa di più quando muovi osservazioni...:fiufiu:
:D

mi pare giusto :D

Il punto è che, almeno ad una prima occhiata, utilizza una tecnica "valida" ma obsoleta e, sopratutto, facilmente bypassabile (almeno in teoria).

Che poi abbia un alto grado di successo, sì, è vero, ma è vero perché chi scrive gli exploit evidentemente non è furbo abbastanza da ottimizzare un briciolo i propri codici.

Sono mie personali opinioni, devo vederlo un po più in profondità, tuttavia non perderò occasione di buttarci un occhio approfondito nei prossimi giorni.

attenderò fiducioso le news dal maestro :)

progetto sicuramente interessante in tema di prevenzione da exploit da parte di un ramo a se stante di dipendenti di Panda di cui uno molto noto su Wilderssecurity, P(edro)Bust(amante):
Exploit Shield (http://download.cnet.com/8301-2007_4-57521983-12/exploitshield-appears-to-live-up-to-its-name/?part=rss&subj=software&tag=title&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+cnet%2FxWjr+%28Software%29&utm_content=My+Yahoo).

"for now everything we've thrown at it has been blocked...
3 different IE 0-days, 3 different Java 0-days, Blackhole Exploit Kit 2.0, Phoenix, Incognito, Sakura, PDF exploits, VLC exploits, Windows Media Player exploits, etc".

Video (http://youtu.be/RAHXzfySgYg)

PBust, nell'articolo su C|Net, dichiara anche che
"currently known exploit methods against Microsoft's EMET and 32-bit based ASLR, such as ROP and anti-anti-ROP exploits, are blocked by ExploitShield".


Le alternative fanno sempre bene (per accelerare lo sviluppo di chi eventualmente rimane dietro, in questo caso sembrerebbe essere EMET), dunque ben venga!



Dimenticavo:
fonte---> solito (http://www.wilderssecurity.com/showthread.php?t=333127)...

Vorrei segnalare che, così come riportato nelle condizioni d'uso di ExploitShield, e cioè:

5.- DATA COLLECTION TECHNOLOGY.- ZVL informs the licensee that the program or product uses data collection technology to collect technical information (including suspicious files and website addresses) to improve the program or product, to adapt it to user preferences and to prevent the unlicensed or illegal use of the program or product. The licensee accepts that ZVL may use such information in order to provide the functionalities offered by the program or product. The licensee acknowledges and accepts that ZVL may provide updates or additions to the program or product which may be automatically downloaded onto the licensee's computer. etc

il programma, appena installato (e aggiungo, senza che stessi usando solo uno dei programmi 'da proteggere'), tenta di connettersi alla 'casa madre'. Non so quali dati tenti di trasmettere, forse il 'clientID' univoco del mio pc, visto che ne crea uno diverso per ogni macchina su cui è installato.... :rolleyes:

E' davvero necessario raccogliere tali informazioni al solo fine di 'improve the program or product to adapt it to user preferences'...? :asd:

certo potresti anche spendere 2 parole in più, eh....:rolleyes:

Che vuol dire che "non hanno niente a che vedere tra di loro"?

Insomma, da gente del tuo calibro pretendo qualcosa di più quando muovi osservazioni...:fiufiu:
:D

Non vorrei essere precipitoso ma, come immaginavo, l'ho bypassato :D

a me, se possibile, piacerebbe che tu spendessi qualche parola su quelli che sono, secondo te, i punti di forza/debolezza delle 2 soluzioni.

Perchè queste informazioni, tanto, gira e rigira non saranno mai reperibili on-line.

Sappiamo che EMET è bypassabile, lo è (o lo sarà) anche ExploitShield (ma non vedo in verità come potrebbe non essere il contrario dato che "chi attacca" dispone, al pari di un qualsiasi altro utente, di quella stessa tecnologia e può mettersi tranquillamente li' a cercare il modo migliore per "aggredirla"), ma non è questo il punto.

Nel mio caso, infatti, trovo più interessante soffermarmi su quello che dicevo prima:
esistono punti di contatto tra le 2 tecnologie, c'e n'è una che sulla carta risulta più complessa da aggirare,...?

Infine, ma non ultimo:
quando giustamente dici che "chi scrive gli exploit evidentemente non è furbo abbastanza da ottimizzare un briciolo i propri codici", beh, come biasimarli dato lo stato generale delle cose?

Molti sviluppatori, infatti, sembrerebbero non essere neppure a conoscenza dell'esistenza di meccanismi di sicurezza quali ASLR/DEP (vedi il caso dei driver per le VGA AMD compilate a regola d'arte solo dalla fine dell'estate)...

Quindi:
a che pro ricompilare codice quando anche fosse scritto (quasi) coi piedi realizza tranquillamente il proprio scopo?

Anche su wilders qualcuno si è accorto della raccolta di dati da parte della software-house di ExploitShield :asd:

qui (http://www.wilderssecurity.com/showpost.php?p=2124041&postcount=137) e qui (http://www.wilderssecurity.com/showpost.php?p=2123656&postcount=79)


La risposta dello sviluppatore al quesito del primo link:
"We are thinking about adding that to a PRO and/or Corporate version, but not the free version. That's the price you pay for getting free software.

PS: we only send data related to exploits, not about ANYTHING else." :rolleyes:

:p

grazie per aver gettato luce su un aspetto che non avevo preso minimamente in considerazione.

Inutile dire che sto monitorando gli sviluppi ma, allo stesso tempo, confesso di essere ancora molto confuso.

Se non ho capito male, ES spezza un meccanismo che è alla base del funzionamento del sistema operativo stesso, questo:
Windows allows user-mode applications to call a subset of its kernel API functions—the Native API—by means of [...].
(Detto in altro modo :D , Windows system call interface permits user-space applications to invoke functionality in the kernel).

Chiaramente, spezza il giochino solo per le applicazioni poste sotto la sua tutela che non avranno più modo di "chiamare" determinate funzionalità messe a disposizione dall'OS castrandone di fatto la libertà di movimento...:stordita:

eraser?

Come approccio non sembra assolutamente male...

eraser?

Come approccio non sembra assolutamente male...

Posso evitare di commentare? Spiegata così sembra il lavoro dei politici, di trasformare in oro qualcos'altro :D

dimenticavo:

i ragionamenti sopra sono esclusivamente congetture essendo partito da un unico indizio :stordita:, questo (http://www.wilderssecurity.com/showpost.php?p=2124162&postcount=141).

Posso evitare di commentare? Spiegata così sembra il lavoro dei politici, di trasformare in oro qualcos'altro :D

:nera:

:incazzed:

no, è? :stordita:

Okay test convinced me, I dropped EMET in favour of Z

la cosa peggiore che potesse fare :fagiano:

vedi?, parco di parole ma esauriente. (PS: ma sei timido? :Prrr: )

Continuo a monitorare la storia.

PS 2:
mi fai almeno sapere se l'indizio e la mia conseguente congettura ha un fondamento o se invece siamo di fronte a pura fantasia? :stordita:

vedi?, parco di parole ma esauriente. (PS: ma sei timido? :Prrr: )

Continuo a monitorare la storia.

PS 2:
mi fai almeno sapere se l'indizio e la mia conseguente congettura ha un fondamento o se invece siamo di fronte a pura fantasia? :stordita:

Sto preparando un bel post per il team di sviluppo di ES :)

Allora, su KM.info è stato postato pochi giorni fà un nuovo meccanismo per avere ragione degli AV:
CLICCAMI (http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1878)

Questa è la risposta di DWall (versione in essere senza che sia necessario dover modificare alcunchè :read: )
"DW do control AppCompatFlags registry key for modifications, so, I see no problems here at all" (Ilya Rabinovich contattato da me privatamente)

Quindi, se il messaggio ancora una volta non fosse chiaro:
DefenseWall (e pochi altri programmi) UBER ALLES

******
The list of av which was tested with my PoC:
Kis 2012,2013
Eset NOD32
DrWeb
Avast
McAfee
Avira
BitDefender (only 32bit)
NortonInternetSecurity
Fsecure
Panda
Outpost
ZoneAlarm

And that's all vulnerable to this method of course...:read:

Eh ho capito....però il tuo amico Ilya dovrebbe capire che oggi i S.O. sono sfornati quasi esclusivamente su piattaforme @64bit, indi per cui o si adegua a questa realtà commerciale o avrà poche persone che cacceranno il grano in futuro.
Io è un pò che aspetto di vederlo in azione sul mio pc...
Ciao enne buona giornata :D

buona giornata anche a te! :)

Con Ilya, cmq, proprio amici non direi visto che non abbiamo mai giocato a palline insieme...:asd:
Diciamo che esiste un rapporto "epistolare", questo si. :)

Per il resto, :boh:

Ti lancio una provocazione :ops:
Se Ilya sviluppasse la versione 64 bit, aumenterebbero le sue entrate e tu avresti più lavoro nel tuo 3D.........e non sarebbe più tutto tempo perso :fiufiu: :fuck:

Appunto, se...ma onestamente non ci credo più...

Avrà altri progetti, tipo spalare la neve d'inverno (è a S.Pietroburgo...), fare la guida turistica...:asd:

Finchè gli dura, cmq...

diciamo che questo post mi serve come promemoria dato che ho intenzione di ritornarci su con calma anche se, allo stato, mi sembra già sufficientemente chiaro.
Windows 7 Boot Process (http://www.bandwidthco.com/whitepapers/datarecovery/vanalysis/boot/The%20Windows%207%20Boot%20Process.pdf).

Lo posto perchè ho trovato uno splendido disegnino (:D) di un tizio probabilmente coreano a proposito di un nuovo programmino "simil-Shadow Defender",
DiskShot (http://www.wilderssecurity.com/showthread.php?t=333366).

Il grafichino del tizio,
link (http://www.wilderssecurity.com/attachment.php?attachmentid=234902&d=1349286456).

Mi servirà...:)

...Spiegata così sembra il lavoro dei politici, di trasformare in oro qualcos'altro :D
capita ora...:(

D'altro canto, hai mai visto uscire sangue dalle rape? :fagiano:
I miei limiti sono manifesti...:stordita:

Facci sapere, eh...:Perfido:

capita ora...:(

D'altro canto, hai mai visto uscire sangue dalle rape? :fagiano:
I miei limiti sono manifesti...:stordita:

Facci sapere, eh...:Perfido:

E mica era nei tuoi confronti l'affermazione mia :D Era riferita alla fonte :D

sarà, ma non mi sono mica offeso visto che i miei limiti li conosco bene non avendo mai studiato una sola ora di informatica in vita mia :D, dunque tranquillo...:)

Semplicemente, visto che uso & amo il PC, mi sforzo di capire per quanto mi è possibile il mezzo che ho di fronte e gli strumenti che sono messi a disposizione per rendere più piacevole/utile l'esperienza.

Pace :mano:

Diskshot alias lo ShadowDefender dei koreani, lo avevo addocchiato, sembra promettente ma fino a quando sta solo in koreano non serve a molto.
Devo poi capire se consente il TRIM (per ora solo SD lo ha) per consentire agli ssd di lavorare in piena sintonia con il sistema operativo windows

chiaro, anche volendo finchè non propongono la localizzazione quantomeno in inglese è logico che più che seguirne gli sviluppi non si può...:fagiano:

안녕하세요 :D

PS: per tradurre, copiare i ghirigori sopra in Google translator da coreano @ ita...

C'ho preso gusto :p :

나는 많은 세부 사항을 잊어했기 때문에 나는 다시 TDL 루트킷 X64의 작동 메커니즘을 공부했습니다.
마르코 Prevx시 블로그에 게시 된 훌륭한 기사에 다시 한번 감사드립니다.

(coreano :ciapet:, fantastica la traduzione)...


:sofico:

piccola domanda: ma se la distribuzione dei malware-virus non è identica per continenti (specie quelli che si distinguono per differnti alfabeti) è veramente sicuro installare un antivirus koreano, vietnamita (es: BKav che è anche in inglese o K10 cinese eng), cinese, russo, arabo, ecc... i cui database sono preddisposti per rilevare le principali minacce di altri continenti?
:mbe:


الله أكبر

bella domanda.

Io personalmente non uso AV dunque non sono propriamente il più indicato per suggerire qualcosa.

A pelle, cmq, direi che se proprio uno vuole usare un antivirus, esistono valide soluzioni occidentali, e cosi' sulla carta è risolto anche il dilemma che proponi...:fagiano:

Inutile cmq aggiungere a te che MAI mi affiderei al solo AV quale sia il continente in cui è sviluppato....

Se asserissi il contrario, perderebbe completamente di significato questo thread e tutto il sudore che ho letteralmente profuso in questi lunghi (e tutto sommato, piacevoli) anni...:)

PS: lasciamo la religione ad altre sedi, dai...:p

Здравствуйте еще раз для тех, кто следит за обсуждение. :D (russo)

Inutile cmq aggiungere a te che MAI mi affiderei al solo AV quale sia il continente in cui è sviluppato....

Ovviamente non mi affido al solo antivirus, ma anche HIPS, script e zeroday attack sono esclusivi delle aree di interesse. Presupposto che i sistemi operativi sono più o meno gli stessi in tutto il mondo (iran escluso...visto che si chiudono sempre più) già dai social network iniziano a esserci forti differenze con i continenti. Figuriamoci per programmi utilizzati o pagine web/script.
Internet è libero, ma fortemente diviso dagli alfabeti diversi. Gli hack-crack seguono le stesse aree linguisticamente omogenee.


PS: lasciamo la religione ad altre sedi, dai...:p

Здравствуйте еще раз для тех, кто следит за обсуждение. :D (russo)
hehehe
ನಾನು ಹೇಳಲು ಮಾತನಾಡಲು ಆ ಅರಬ್ಬರು ಕೇವಲ 90%: ದೋಹ್:

मुझे कुछ भी समझ में नहीं आ रहा था, आप इसे किसी अन्य भाषा में दोहरा सकते हैं? :stordita:

मुझे कुछ भी समझ में नहीं आ रहा था, आप इसे किसी अन्य भाषा में दोहरा सकते हैं? :stordita: :D hai Kannada la lingua :Prrr:
era: hehehe, il 90% delle volte gli arabi dicono quella formula a fine di un discorso (PS: lasciamo la religione ad altre sedi, dai.). Tutto qui, non mi veniva in mente nient'altro da dire in alfabeto arabo.

説明のために、今私が知ることが私の人生に意味を与えてくれてありがとう :sofico:

:D ehh lascio le lingue da parte che se no qua non si finisce.

Ringrazio ENNE per il suo PM qui che faccio prima e in merito alle localizzazioni dei vari software come chiesto da TheQ concordo che è sempre un rishio e andrebbe anche valutato nei vari test, cosa che non fanno.
Per esempio http://www.anti-malware-test.com/ è un sito assolutamente non affidabile in termini assoluti, mentre lo è se fossimo russi, nei loro test usano campioni di quel mercato che non sempre corrispondono ai rischi a livello mondiale e non a caso primeggiano sempre prodotti russi (chi lo avrebbe mai detto) quali sono Kaspy e drweb, che se il primo è a livello top a prescindere sul secondo ho forti dubbi.
Comunque se TheQ vuole tagliare la testa al toro prova il buon Roboscan che ho in firma il quale ha il DB Bitdefender europeo + il loro proprio Korea, così copri 2 continenti:Prrr:

... in merito alle localizzazioni dei vari software come chiesto da TheQ concordo che è sempre un rishio e andrebbe anche valutato nei vari test, cosa che non fanno.

Più che altro alcuni test come Av-Comparatives, ricordo di aver guardato la lista dei software infetti usati per i test (c'era il vecchissimo far cry 1 :eek: ) non sempre corrispondono ad una adeguata distribuzione dei virus in tutte le aree od alle attuali tecniche di infezione. In pochi anni si è passati da crack e trainer di game infetti a setup simulati con infezioni da Rootkit e MBR.


...non a caso primeggiano sempre prodotti russi (chi lo avrebbe mai detto) quali sono Kaspy e drweb, che se il primo è a livello top a prescindere sul secondo ho forti dubbi.

Comunque mi risulta che oggi la maggior parte dei veicoli di infezione (programmi e game cracckati o peggio dal setup emulato) derivino dalla matrioska Russia :stordita:
Anche perchè la lotta al p2p in occidente (america-europa) sposta chi carica roba per filesharing sui server russi.


Comunque se TheQ vuole tagliare la testa al toro prova il buon Roboscan che ho in firma il quale ha il DB Bitdefender europeo + il loro proprio Korea, così copri 2 continenti:Prrr:
Cribioooo roboscan mi funziona male ed usa parecchio il disco fisso per non appesantire la ram.
Comunque magari Coranti è meglio :Prrr:

eraser e i suoi ragazzi, che miti!

ITSec, infatti, sembra lavorare per noi consentendoci di gettare luce su aspetti meno reclamizzati ma che rivestono il più delle volte un'importanza cruciale in fase di scelta di un prodotto o, quantomeno, favoriscono la circolazione di informazioni di qualità che consentono al lettore attento di formarsi un'idea più ampia del background...

http://www.itsec.it/2012/10/08/common-preventive-and-reactive-approaches-to-mitigate-exploit-attacks/

+ VIDEO (http://www.youtube.com/watch?v=9Vug05NZBZ8&feature=player_embedded)...

e mitico Marco:read:

;38260499'] ora, qualcuno (nV, Marco, Romagnolo o chi altro) è in grado di spiegare per quale ragione Microsoft produce un toolkit di sicurezza come EMET e non lo implementa, di default, nel pacco Windows?.
Microsoft prima di diffonderlo ufficialmente deve metterci qualche bug per gli upgrade....

Microsoft prima di diffonderlo ufficialmente deve metterci qualche bug per gli upgrade....

:asd:

;38260499']
A parte la pietra tombale posta su ExploitShield
personalmente non mi trovo d'accordo con questa interpretazione.
Eraser, infatti, fa vedere (oltre al fatto che ES sia bypassabile) che ES & EMET utilizzano 2 approcci diversi, uno preventivo (EMET, che si propone infatti di impedire sul nascere lo shellcode exploit), l'altro reattivo (ES che non limita l'esecuzione dello shellcode ma cerca di contenerne gli effetti "filtrando" determinate API).

Qui però, dall'analisi di Marco, casca l'asino:
permettere cioè l'esecuzione, ci dice, è più rischioso che tentare di castrarla sul nascere (in questo senso, dunque, l'approccio preventivo è preferibile).

Allo stesso tempo, xò, dato l'attuale contenuto tecnologico degli Exploit, riconosce che ES fa il suo lavoro dunque non lo boccia.

Cioè:
quello che richiedo personalmente da una società di sicurezza indipendente è anche il gettare luce su determinati elementi altrimenti nascosti da superficiali dichiarazioni di marketing.

L'utente, poi, liberamente sceglierà cosa utilizzare...


nel suo articolo Marco fa riferimento...ad EMET; ora, qualcuno...è in grado di spiegare per quale ragione Microsoft produce un toolkit di sicurezza come EMET e non lo implementa, di default, nel pacco Windows?.
io credo che il motivo sia legato al fatto che la piattaforma deve essere pensata di default per consentire il corretto funzionamento di qualsiasi applicazione esterna, e EMET questo talvolta non lo rende possibile (si pensi in particolare a Skype & il discorso dell'EAF)...

Molti programmi poi sono compilati a cacchio di cane dunque figurarsi se possono fare forzature con l'ASLR (o anche il semplice DEP che su alcuni installer crea rogne)...

IMO

@ nV25
IMHO (http://it.wikipedia.org/wiki/IMHO)
Ciao enne ;)

@ nV25
IMHO (http://it.wikipedia.org/wiki/IMHO)
Ciao enne ;)

certo, se vuole partecipare sarà poi eraser a dire se ho speculato o se c'è del vero nella mia lettura..

Intendevo solo dire che hai risparmiato sulla parola IMHO, che si può in via abbreviata anche scrivere IMO, come ti ho linkato :Prrr:

*

*

Adesso che arrivo, che fai, cancelli? :D

chiedevo di spiegare un passaggio (the attacker can actually get around the hook by writing its own API stub and then jump to the original APIs right after the placed hook, che poi è il nocciolo di tutta la questione...), ma mi sono reso conto che in definitiva ti costringerei a entrare in dettagli che hanno poco senso se alla base non vi è una precisa formazione (e io ne sono totalmente digiuno).

A me interessa il ragionamento a grandi linee e, presuntuosamente, credo di poter dire di averlo colto. :)

chiedevo di spiegare un passaggio (the attacker can actually get around the hook by writing its own API stub and then jump to the original APIs right after the placed hook, che poi è il nocciolo di tutta la questione...), ma mi sono reso conto che in definitiva ti costringerei a entrare in dettagli che hanno poco senso se alla base non vi è una precisa formazione (e io ne sono totalmente digiuno).

A me interessa il ragionamento a grandi linee e, presuntuosamente, credo di poter dire di averlo colto. :)

Il discorso è molto semplice:

stiamo lavorando allo stesso livello, e fin qui ci siamo.

Mettiamo che io debba superare la dogana, c'è una stazione di frontiera sulla strada principale per andare in Svizzera. Io non ci voglio passare, mi guardo intorno e vedo che c'è una stradina secondaria, non controllata dalla dogana, che mi porta sempre sulla strada principale verso la Svizzera, solo che la imbocco un paio di km più avanti.

Prendo sempre la stessa strada principale, solo che la imbocco 2km più avanti invece di prenderla direttamente da dove inizia.

Il concetto è lo stesso fondamentalmente :)

Diciamo che la funzione CREATEPROCESS sia composta così, in ordine di istruzioni assembly:

PARTE 1
PARTE 2

Come fa la difesa ad ottenere il controllo di quella funzione? Sovrascrive la PARTE1 con la PARTE_DIFESA, e copia la PARTE1 da qualche altra parte.

PARTE_DIFESA ==> PARTE1
PARTE2

Chiunque chiamerà la funzione CREATEPROCESS, dovrà passare per la PARTE_DIFESA.

Ma un attaccante può dire: ma scusa, a me chi me lo fa fare di passare per la PARTE_DIFESA? Io mi scrivo la mia PARTE3, la scrivo identica alla PARTE1, e poi la PARTE3 la faccio saltare direttamente alla PARTE2

PARTE3
|
| PARTE_DIFESA ===> PARTE1
| |
| |
V V
PARTE2

Così è più chiaro? :)

cosi' la capirebbe anche il :oink: ....:sofico:

Ho sempre pensato in cuor mio che chi ha veramente il dono della "marcia in più", ha anche il dono di riuscire a tradurre in maniera comprensibile concetti altrimenti ostici.
Te, evidentemente, appartieni a questa rara categoria...;)

cosi' la capirebbe anche il :oink: ....:sofico:

Ho sempre pensato in cuor mio che chi ha veramente il dono della "marcia in più", ha anche il dono di riuscire a tradurre in maniera comprensibile concetti altrimenti ostici.
Te, evidentemente, appartieni a questa rara categoria...;)

Grazie :)

Mi devi una fiorentina :D

E sono stato pure a Lucca a Giugno, due giorni con la mia ragazza :D (mi sa che te l'avevo detto :fagiano:)

sie, anche la bistecca!!!, e tanto un costa nulla :ciapet:

(Ma non lo sai che siamo famosi per offrire da bere [a volontà :read:]... alla fontana? :Prrr:
Al più, si può fa giusto un giro di Lupini (http://www.mr-loto.it/lupini.html) che, con l'acqua, vanno come culo & camicia...:D)

sie, anche la bistecca!!!, e tanto un costa nulla :ciapet:

(Ma non lo sai che siamo famosi per offrire da bere [a volontà :read:]... alla fontana? :Prrr:
Al più, si può fa giusto un giro di Lupini (http://www.mr-loto.it/lupini.html) che, con l'acqua, vanno come culo & camicia...:D)

"L'ultimo vestito ce lo fanno senza tasche" :ciapet:

per concludere almeno temporaneamente il capitolo ES, pbust fa presente nel blog di ITSec di essere al corrente dei limiti della sua soluzione contando di superarli in un futuro prossimo specie con la versione a pagamento...
Viene sottolineato inoltre sempre da pbust, in linea peraltro con l'analisi di eraser, che ES + EMET possono essere abbinati proprio perchè, come evidenziato anche nell'articolo, "vivono" su basi diverse.

Certo, l'attuale beta è troppo acerba per pensare anche volendo di poter praticare da subito questa politica (vuoi perchè richiede come condizione necessaria l'account ammnistratore, vuoi perchè...).

Personalmente, cmq, lo terrò d'occhio.






@eraser:
:asd:

Novità su NoVirusThanks EXE radar? Qualcuno lo usa?

Sul sito di NovirusThanks non trovo più il trial della versione pro di exe radar pro :muro: Cioè se io volessi provarla che devo fare? :confused:

Sul sito di NovirusThanks non trovo più il trial della versione pro di exe radar pro :muro: Cioè se io volessi provarla che devo fare? :confused:

http://downloads.novirusthanks.org/files/EXERadar_Pro_x86_x64_v2.7_02102012.exe

http://downloads.novirusthanks.org/files/EXERadar_Pro_x86_x64_v2.7_02102012.exe
Grazie.
(ma quel link è una sezione "privata"?)

Altra cosa: quando esce una nuova versione, sia essa free o pro, occorre disinstallare la precedente ed installare la nuova, oppure quest'ultima è installabile sopra la vecchia?

Grazie.
(ma quel link è una sezione "privata"?)

Altra cosa: quando esce una nuova versione, sia essa free o pro, occorre disinstallare la precedente ed installare la nuova, oppure quest'ultima è installabile sopra la vecchia?

gli aggiornamenti mi arrivano per email...inquanto ho un seriale registrato.
per aggiornare bisogna disinstallare la precedente riavviare ed installare la nuova versione

How to Install/Update ?

1) Close EXE Radar with Trayicon -> Exit
2) Make sure the process EXERadar.exe is not running
3) Uninstall the old version completely
4) Install the new version

gli aggiornamenti mi arrivano per email...inquanto ho un seriale registrato.
per aggiornare bisogna disinstallare la precedente riavviare ed installare la nuova versione

How to Install/Update ?

1) Close EXE Radar with Trayicon -> Exit
2) Make sure the process EXERadar.exe is not running
3) Uninstall the old version completely
4) Install the new version
Capisco. A quanto pare hai avuto modo di testare il prodotto. Che ne pensi a tal proposito? Vale la pena usare tale software?

Capisco. A quanto pare hai avuto modo di testare il prodotto. Che ne pensi a tal proposito? Vale la pena usare tale software?

sul mio sistema non ha fatto bella figura...sia come prestazione sia come pesantezza...e' da maturare

poi alla luce di questo
Sembrerebbe che non sia stato sistemato ancora

POST (http://www.kernelmode.info/forum/viewtopic.php?p=15423#p15423)VIDEO (http://www.youtube.com/watch?v=8_frYKeTllA)

Riguardo EXE Radar Pro, segnalo questo video su youtube: http://www.youtube.com/watch?v=5KXbnIhhODc

Apparso in un thread su kernelmode.info: http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1816

l'ho messo in panchina....preferisco comodo;)

Allora meglio aspettare, poi magari più in là ti chiederò il link della versione aggiornata ;)

sicuramente bistrattato anche da questo thread AppGuard che è sicuramente programmino che merita attenzioni diverse rispetto a quelle che si è ritagliato finora...:stordita:
Batta un colpo chi volesse dire la sua...

Avevo visto su wilders che molti lo usavano, però io compro solo software lifetime :ciapet:

pur consapevole di essere OT, confido in un pò di clemenza da parte dei mod dato che mi piacerebbe sapere quanti, di coloro che fruiscono di questo thread, stanno strizzando (o hanno già strizzato) l'occhio al nuovo bebè di casa MS. (sarebbe carino peraltro se le eventuali risposte fossero corredate da un qualcosa che travalichi il semplice "io SI, io NO" :p).

Da parte mia, infatti, confesso di tenerlo seriamente in considerazione specie in virtù del discorso del prezzo a cui viene proposta la possibilità di effettuare l'aggiornamento.
Il velocissimo contatto che ho avuto con quest'OS, inoltre, mi ha permesso di apprezzarne la reattività, straordinaria anche solo in rapporto a 7.

Ma...

Alla fine, infatti, mi sembra molto "giocattolone" e, specie alla luce del mio uso, ho già visto che finirei per parare sempre sul desktop-tradizionale dato che presumo che Metro-UI, nel mio caso, avrà un'utilità prossima allo 0...


Vabè, integrate, dai :)


Nel frattempo, una lettura molto scorrevole circa le innovazioni architetturali lato-sicurezza di 8,
Under the hood of Windows 8 (http://arstechnica.com/information-technology/2012/10/better-on-the-inside-under-the-hood-of-windows-8/).

Inutile aggiungere, inoltre, che anche là dove optassi per uno switch, con il mio attuale hardware rinuncerei a tutto il discorso del Secure Boot (http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx) causa limitazioni hardware (nello specifico, sicuramente firmware della MB pur avendo una scheda madre UEFI-compliant)...:muro: :stordita:

*integrazione/errata corrige

il riferimento a Metro-UI non è tanto riferito ad un discorso squisitamente estetico, "di interfaccia" o come appare dato che potrebbe risultare anche gradevole...

Metro-UI come collettore di strumenti, ecco...che allo stato mi sembrano un cumulo di inutilità (per quello che è il mio uso e la timida presa visione che ho avuto fin'ora del prodotto)...e cmq, non vedo straordinarietà (se non un discorso di mera sicurezza [AppContainer]) rispetto a quanto possibile anche su 7...

probabilmente prenderò la licenza, a 30€, ma non la utilizzerò (almeno nel breve periodo).

mi sembra di giocare con i lego, senza contare che probabilmente ci vorrà un semestre buono prima che escano i driver compatibili con tutte le periferiche (almeno touchpad, stampanti, driver che sul mio note permettono il risparmio energetico portando l'autonomia a svariate h ecc..)

insomma, attenderei un pò di stabilità..
un pò mi attizza, sarà l'effetto novità, ma so che dopo 1 mese tornerò a windows 7 :O

-----------
edit: ah tu volevi un commento sulla sicurezza?? :D :ciapet:

...lego che a me, quantomeno nella loro versione technic (http://technic.lego.com/en-us/Default.aspx), hanno sempre fatto impazzire anche da grande tant'è vero che ogni natale, euri permettendo, cerco sempre di regalarmene uno :asd: :fagiano:...

Questo cmq per dire che ho capito perfettamente la tua impostazione...:p

Si, al 99% approfitterò anch'io dell'offerta anche se, allo stato, sono molto confuso.

Nessuno dei miei "programmi" è attualmente compatibile (e io, senza, mi sento onestamente un pò nudo)...e dubito peraltro che il porting risulti indolore (ho letto ad es. distrattamente qualcosa sul forum ufficiale di Sbxie e certe dichiarazioni mi hanno lasciato molto perplesso, vedremo)...

Quindi, allo stato (fino quantomeno alla fine di Novembre) lo vedo sicuramente prematuro...

ah tu volevi un commento sulla sicurezza??
ma, non solo o non necessariamente :)

sulla "sicurezza":
mi intrigano onestamente le innovazioni di 8 (AppContainer, ForceASLR, il discorso di win32k.sys "isolato", vedi l'articolo postato poc'anzi, ecc...) ma, allo stesso tempo, so di rinunciare a priori ad un elemento cardine di quest'architettura (SecureBoot per i motivi visti poc'anzi).

Quindi alla fine installerei (installeremmo) sempre un OS in qualche maniera castrato...

Boh, alla fine mi sa che l'unico ragionamento ruoterà intorno ai 29,90 euri e festa finita....

Ma anche qui, eliminare 7 (che va da Dio) o percorrere la strada del dualboot? (che, per inciso, non ho mai praticato)


Attendo anche altri pensieri di qualsiasi natura.


Sarebbe carino avere anche il punto di vista di eraser anche se non necessariamente legato all'aspetto sicurezza quanto proprio di impressioni generali, tanto per ragionare.

Grazie

Nessuno dei miei "programmi" è attualmente compatibile (e io, senza, mi sento onestamente un pò nudo)...e dubito peraltro che il porting risulti indolore (ho letto ad es. distrattamente qualcosa sul forum ufficiale di Sbxie e certe dichiarazioni mi hanno lasciato molto perplesso, vedremo)...
Non ho 8 quindi non posso verificare di persona, ma
http://www.sandboxie.com/index.php?Windows8

appunto, su 64 bit allo stato funzionerà molto castrato (rispetto ad es a quanto è reso possibile oggi a parità di architettura su 7, ma questo può essere anche comprensibile) e in futuro chissà (si parla infatti di "hopefully", "might")...

Ma ripeto:
il problema dell'incertezza se passare a 8 non è squisitamente legato al fatto che Sbxie offra oggi una protezione ridotta sul 64bit, o che non esista DefenseWall (che non girava neppure su 7 a 64bit) o chessò io.

Questo infatti è solo un ulteriore motivo d'amarezza.

Il dibattere, invece, mi piacerebbe vertesse su "8 si o no" e, possibilmente, sui perchè.

Come dicevo, infatti, da un lato mi stuzzicano diverse innovazioni architetturali lato-sicurezza, allo stesso tempo ad una fetta di queste ci rinuncio (ripeto, il SecureBoot che per me è un'innovazione importante ma richiede hardware estremamente nuovo), il sistema è obiettivamente elastico e reattivo...ma di contraltare sembra di giocare a lego (come dice qualcuno) o appare "giocattolone" come dico io...

Insomma, come la vedete? (della sicurezza, in questo momento mi importa 0 per cui liberi di esternare quello che vi pare).

andiamo, Chill-Out (a cui, in questo caso, imploro di passare sopra l'OT invitandolo invece a contribuire con un pensiero) e tutti gli altri:
fatemi sentire la vostra voce, qualche intervento sarebbe sufficiente a farmi un'idea su come la vedete!

:)

dato che sono qui al PC, un articolo che fa capire il SecureBoot "materiale" (= cosa deve fare l'omino qualunque per impostarlo su una scheda madre abilitata):
come impostarlo su una MB Asus della linea Z77 (http://derek858.blogspot.co.uk/2012/08/how-to-configure-windows-8server-2012.html)


Ma come dicevo, non è questo il punto di tutto quest'OT.

Di nuovo, :)

A prescindere dal lato "security" dove per inciso vale anche per me lo stesso discorso fatto da nV 25 relativamente al secure boot (incompatibilità della mia macchina), Windows 8 non è adatto ai miei usi. Ancora oggi tendo ad utilizzare il mio sistema w7 in modo tradizionale con le belle iconcine sul desktop e la barra stile windows xp. A tutto ciò aggiungiamo che il mio monitor non supporta il touch e la risposta vien da sè :)
Detto ciò, quei 30-40€ anche se irrisori sarebbero "gettati" nel mio caso quindi preferisco tenermeli ben consapevole che ormai gli OS hanno preso la via di quei particolari DE (vedi anche linux con gnome3)

Ecco come la penso io: (perdonatemi il copia-incolla da un altro famoso sito..:stordita: )

"Possibilità senza fine
Potrebbe non essere così lontano il giorno in cui avremo un dispositivo touchscreen portatile ottimizzato per un certo formato, ma che potremo poi inserire in una dock di qualsiasi configurazione monitor/tastiera/mouse e far girare la versione PC completa di Windows. Inserite nell'equazione una scheda video esterna e la modularità di questa piattaforma diventa qualcosa che potevamo solo sognarci anni fa."

Io ancora lo utilizzo quasi esclusivamente come desktop, bisogna solo farci un attimo l'occhio. Ma sia a livello di sicurezza che a livello di struttura del sistema, Windows 8 merita decisamente.

Io ci sono passato sul fisso, sto aspettando di passarci anche sul portatile ma devo aspettare che BootCamp renda Windows 8 compatibile :)

:flower: e resto aperto a qualsiasi altro contributo.



@ Draven94:
che vuol dire il "DE" nella tua frase per chi non è* della generazione facebook-boy? :fagiano:

*per scelta e non certo per anzianità dato che ho ritengo di avere ancora diverse cartucce da sparare :D

Fosse per me lo metterei subito, penso che un pò a tutti noi che frequentiamo il forum piaccia giocare con un nuovo sistema, scoprirne i trucchetti, insomma usarlo in modo fine a sè stesso (e non solo come mero strumento per avviare altri programmi).

Però il mio portatile è avviato verso la fase terminale (siamo a 7 anni acceso praticamente tutti i giorni 24/7, del resto l'ho comprato come desktop replacement), ho intenzione di comprarne uno nuovo a inizio dell'anno prossimo, e mi sembra dunque un pò inutile andare a comprarsi l'aggiornamento quando poi a breve dovrò buttarne la licenza.

Aspetto di vedere qualche buona offerta e poi mi compro il pc. Sono molto tentato anche dai nuovi windows phone, forse farò il doppio salto, sperando calino un pò i prezzi.

ps: sulle condizioni del portatile
ho i tasti WIN, M, virgola e 9 che si sollevano, perchè il gatto, trovando caldo a stare vicino alla ventola del pc, ha cominciato a giocare coi tasti, staccandomeli con le unghie e rompendo l'aggancio...

i gatti sanno dove dorme il polpo :read: ...

:D

:flower: e resto aperto a qualsiasi altro contributo.



@ Draven94:
che vuol dire il "DE" nella tua frase per chi non è* della generazione facebook-boy? :fagiano:

*per scelta e non certo per anzianità dato che ho ritengo di avere ancora diverse cartucce da sparare :D
DE è la sigla di Desktop Environment. Ora su vari versanti (windows, linux, forse anche mac) c'è la tendenza a creare un ambiente desktop più orientato verso il touchscreen e per avere il classico ambiente di lavoro occorrono più passaggi. Ovviamente il discorso esula tutte le altre novità e/o migliorie apportate dai nuovi sistemi (nuovi file system, ecc ecc). Detto questo non escludo che possa "venirmi la scimmia" di W8 :)

Fosse per me lo metterei subito, penso che un pò a tutti noi che frequentiamo il forum piaccia giocare con un nuovo sistema, scoprirne i trucchetti, insomma usarlo in modo fine a sè stesso (e non solo come mero strumento per avviare altri programmi).

Però il mio portatile è avviato verso la fase terminale (siamo a 7 anni acceso praticamente tutti i giorni 24/7, del resto l'ho comprato come desktop replacement), ho intenzione di comprarne uno nuovo a inizio dell'anno prossimo, e mi sembra dunque un pò inutile andare a comprarsi l'aggiornamento quando poi a breve dovrò buttarne la licenza.

Aspetto di vedere qualche buona offerta e poi mi compro il pc. Sono molto tentato anche dai nuovi windows phone, forse farò il doppio salto, sperando calino un pò i prezzi.

ps: sulle condizioni del portatile
ho i tasti WIN, M, virgola e 9 che si sollevano, perchè il gatto, trovando caldo a stare vicino alla ventola del pc, ha cominciato a giocare coi tasti, staccandomeli con le unghie e rompendo l'aggancio...
Temo che su tale versante ci sia da aspettare un pò di tempo: è un sistema che per ora viene installato solo su devices top level

Io ancora lo utilizzo quasi esclusivamente come desktop, bisogna solo farci un attimo l'occhio. Ma sia a livello di sicurezza che a livello di struttura del sistema, Windows 8 merita decisamente.



ne sono convinto...
ho seguito lo sviluppo passo passo dalla prima beta...
e la penso come te
al di la della metro che per desktop e' un giocattolino colorato...i miglioramenti sono sotto al cofano

Non ho 8 quindi non posso verificare di persona, ma
http://www.sandboxie.com/index.php?Windows8
ps sandboxie anche se un pò castrato è compatibile,comodo 6 è compatibile...

Io ho 8 sul fisso da un anno, seguendo le varie beta ma sono rimasto ad una versione Release Preview perchè ha le trasparenze mentre 8 finale onestamente mi ricorda i sistemi operativi anni 80, uno in particolare della xerox che fu il capostipide di tutti i sistemi a finestre, insomma mi sembra di essere tornato a quando ero bambino.
Però 8 ha delle novità buone, come è giusto che sia essendo un 7 evoluto e tra queste sicuramente un buon defrag, nuove api audio che rendono il suono anche delle integrate gradevole, le implementazioni di sicurezza di cui avete parlato e anche una velocità un poco maggiore.
In sintesi boccio la grafica ma son gusti, ma quello che boccio alla grande è l'ergonomia che è pari a zero, per spegnere il pc si deve passare in 4 finestre differenti, una roba assurda per non parlare del dover usare scorciatoie da tastiera che valle a spiegare a un 60enne.
Per fortuna con il programma Classic Shell (ma ve ne sono altri simili sebbene più esosi di risorse) si riesce a rendere 8 come 7 sul piano grafico e di ergonomia e quindi grazie a software di terze parti si riesce a dare un voto 7 ad un sistema operativo che sarebbe da 4 di suo su un desktop, mentre sarebbe da 8 su un tablet, perchè la verità è che lo hanno fatto per tablet o schermi touch, mica per personal computer o notebook.
La stessa M$ ha detto che la sua mission del 2013 sarà portare Seven sul 70% dei pc aziendali, non ha caso non ha parlato di 8 che non credo sarà mai usato su pc di questo tipo.


Io comunque quando mi scadrà a gennaio la versione attuale non so cosa farò, dipende come mi sveglio quel giorno:D

PS: per quello che intendo, ovvero che desktop e piastrelle sono 2 mondi differenti anche dentro a 8 riporto alcuni commenti di utenti che tentano (invano) di avere gli avvisi di antivirus e firewall su metro ui e non su desktop, e dire che sarebbero programmi compatibili con 8:
Having already upgraded to Windows 8 Pro, I'm wondering if anyone has tested a 3rd party firewall that throws alerts on both the Start screen or inside of a Windows app? If so, which one(s)?

I have installed the latest version of Outpost Pro and Comodo stable and neither of them do....which is, at best, an irritation, at worst, completely unusable for me. In order to answer the alerts, I have to exit out of the app I'm in, or the Start menu, all the way to the desktop, to answer the alert...pretty stupid.

I tried the KIS 2013 Beta (Now final) on Windows 8 it didn't display anything either. Windows 8 doesn't want you to have things on top of your apps they're full screen monstrosities

Ok che col tempo i programmi si aggiusteranno ma per ora sono 2 mondi distinti il touch e il desk

grazie di nuovo per i contributi.

L'idea di passare a 8 mi frullava già da un pò per la testa specie per l'offerta una volta tanto allettante...e cosi' aprirò anch'io la stagione dei :ncomment: sperando che la novità più eclatante [MetroUI altresi' detta Lego] si rilevi alla fine di una qualche utilità anche per me che, in definitiva, appartengo alla "vecchia guardia" :stordita:...
(per non parlare poi del fatto che non mi frulla neppure dall'anticamera del cervello l'idea di spendere 1 solo Cent in un nuovo monitor abilitato al touch)

. . .
In sintesi boccio la grafica ma son gusti, ma quello che boccio alla grande è l'ergonomia che è pari a zero, per spegnere il pc si deve passare in 4 finestre differenti, una roba assurda per non parlare del dover usare scorciatoie da tastiera che valle a spiegare a un 60enne. . .

5 modi per spegnere windows 8 (http://www.7tutorials.com/5-ways-shut-down-or-restart-windows-8-computer-or-device) (cliccami tutto)

per la versione che ho io che è un paio di passi indietro rispetto alla definitiva non c'erano tutte queste raffinatezze ma solo
10 modi alternativi http://www.thewindowsclub.com/shutdown-restart-windows-8
Io ho creato i 2 shortcut per spegnere e riavviare e li ho poi messi nello schifido menù Metro UI, poi per fortuna vari software di terze parti resero possibile bypassare metro e quindi ho risolto definitivamente proprio un giorno prima di formattarlo dalla disperazione. Senza bypassare la metro è onestamente un obrobrio di sistema, per chi come quasi tutti viene da un precedente pc; magari per un bimbo di 5 anni i lego come li chiama ENNE o le piastrelle come le chiamo io sono ideali ma per chi ha un precedente background su windows, 8 fa venir voglia di sbattere il pc nel muro

Tornando in topic informo chi ha un 32bit e usa DefenseWall che è uscito un piccolo aggiornamento versione 3.20
http://gladiator-antivirus.com/forum/index.php?showtopic=125232

sono probabilmente casi limite (nel senso di meccanismi utilizzati evidentemente poco o nulla dai malware in circolazione), cmq:
KIS 2013 vulnerabile a ben 5! sistemi di "uccisione":

To summarise - four vulnerabilities in 2013 version self-defense which are results in product shutdown/deactivation:

- Job object method
- ShimEngine based attack
- PageFile based attack
- ReparsePoint based attack

+

Add dll in AppInit_DLLs

Una vulnerabilità, poi, è incredibile:

Standard path to kaspersky looks like this:
\\??\\C:\%PROGRAMFILES%\\Kaspersky Lab\\Kaspersky Anti-Virus 2013\\avp.exe
And here security flaw,green color it's protected directory,red it is not a protected.

Cioè:
la parte in colore verde è protetta, mentre la sua "radice" (in rosso), no...:mbe:

Programmatori-fantascienza, IMO


Fonte: KMinfo

sono probabilmente casi limite (nel senso di meccanismi utilizzati evidentemente poco o nulla dai malware in circolazione), cmq:
KIS 2013 vulnerabile a ben 5! sistemi di "uccisione":

To summarise - four vulnerabilities in 2013 version self-defense which are results in product shutdown/deactivation:

- Job object method
- ShimEngine based attack
- PageFile based attack
- ReparsePoint based attack

+

Add dll in AppInit_DLLs

Una vulnerabilità, poi, è incredibile:

Standard path to kaspersky looks like this:
\\??\\C:\%PROGRAMFILES%\\Kaspersky Lab\\Kaspersky Anti-Virus 2013\\avp.exe
And here security flaw,green color it's protected directory,red it is not a protected.

Cioè:
la parte in colore verde è protetta, mentre la sua "radice" (in rosso), no...:mbe:

Programmatori-fantascienza, IMO


Fonte: KMinfo

:asd:

:asd:

la vulnerabilità "dei colori", in effetti, è indice del fatto che qualcuno si tira + pippe del dovuto, IMO...

Ma come può passare inosservata un'inosservanza di questa natura in una software house da 100-naia di milioni di euri dove, oltretutto, chi mette mano al codice è (a regola) non di primissimo pelo? :mbe:

Sinceramente, muà...:rolleyes:

anzi, ora capisco perchè la Ferrari arranca...:cry:

dico male? :mbe:


Da dei professionisti, infatti, non mi aspetto la perfezione perchè le variabili in gioco sono evidentemente enormi (dunque l'errore umano è sempre possibile, una condizione limite si può sempre presentare,...), siamo d'accordo.

Ma neppure che arrivi il ragazzotto di turno (pur preparato) e in 3 balletti faccia emergere lacune cosi' evidenti, sbaglio?

Perchè qui, a lavorare su questi codici, immagino ci siano persone preparatissime che, a regola, dovrebbero verificare anche il lavoro non raffidandosi solo ai beta tester che, il più delle volte, sono persone qualunque come me.

Francamente sono basito di fronte a tali leggerezze che, anzi, non ammetto.

In questo caso coinvolto è KIS ma state tranquilli che lo stesso giochino vale per CIS, ecc..

Ma perchè Tzuk e Ilya, tanto per fare 2 esempi, sviluppano codice che è aggredibile raramente?
Solo perchè sono software "poco utilizzati"?

Se è per quello, i "nuovi" metodi volti ad uccidere i programmi di cui sopra e testati sui software + comuni potrebbero bucare anche i programmi degli sviluppatori citati poc'anzi, e invece no!

PERCHE'??

eraser, visto che sei un tecnico, il tuo punto di vista??
A me sembra assurdo...



E gli altri, come la vedono?

...Se è per quello, i "nuovi" metodi volti ad uccidere i programmi di cui sopra [...] potrebbero bucare anche i programmi degli sviluppatori citati poc'anzi, e invece no!

PERCHE'??
ad es,

- ShimEngine based attack

..e la risposta di DefenseWall, ad es,
CLICCAMI (http://www.hwupgrade.it/forum/showpost.php?p=38232866&postcount=4193)

Una vulnerabilità, poi, è incredibile:

Standard path to kaspersky looks like this:
\\??\\C:\%PROGRAMFILES%\\Kaspersky Lab\\Kaspersky Anti-Virus 2013\\avp.exe


And here security flaw,green color it's protected directory,red it is not a protected.

Cioè:
la parte in colore verde è protetta, mentre la sua "radice" (in rosso), no...:mbe:

questa, poi, è incredibile tant'è assurda:
pensate forse che simili errori (di concetto) siano compiuti da DWall, sempre per fare un es.?

Ma via*....:rolleyes:

* in napoletano, facimm o piacere...

eraser, visto che sei un tecnico, il tuo punto di vista??
A me sembra assurdo...


Oramai sono sempre meno un tecnico e sempre più un brutto burocratico :D

Detto questo:

Sì, sembra assurda come cosa, hai ragione. Il discorso è che il concetto alle spalle di DefenseWall è abbastanza "basilare" come concetto: o bianco, o nero. O cataloghi una applicazione come trusted, oppure come untrusted. Ragionando così, ovviamente, lo sviluppo di un'applicazione e della sua sicurezza diventa molto più semplice a livello concettuale.

Differentemente è lo sviluppo di un software che fa un'analisi in "tempo reale", che deve tenere conto di molteplici situazioni, logiche e problematiche che un'applicazione come DW non si pone neanche.

Non è una giustificazione, alcune di quelle falle sono effettivamente comiche, ma non mi sento di condannarli a priori perché la complessità che c'è dietro un software come Kaspersky - che mette insieme a lavorare decine di teste - non la raggiunge DefenseWall - dietro il cui software c'è esclusivamente una testa.

Il lavoro di team è molto più complesso e articolato, come è ovvio che sia. Ed è più semplice che vengano fuori problematiche varie

Che bolgia colorata e festosa che c'è stata oggi nella città dall'arborato cerchio per via dei Comics, un autentico delirio :asd:...

La maschera decisamente più bellina :smack: e che scatenava i desideri più impuri :oink: :D era sicuramente una splendida fanciulla conciata da Barbie...ma proprio dentro la scatola della Mattel, eh! :D

Che storie, gente...:asd:


Detto questo, grazie del contributo Marco. :)

0 novità...anche se, devo dire, ho un pò allentato la presa...

0 novità...anche se, devo dire, ho un pò allentato la presa...

Ti stai arrugginendo insomma :Prrr:

0 novità...anche se, devo dire, ho un pò allentato la presa...

forse hai capito che si può vivere anche senza:read:

a chi mi fa osservare che mi sto arrugginendo, rispondo dicendo che il patrimonio di nozioni (pur da bar..) che ho accumulato in questi anni non lo disperdo certo rilassandomi qualche mese...:Perfido:

chi invece mi fa notare che si può vivere anche senza (probabilmente si riferisce a DW?), rispondo con un certo (anche se a malincuore).

di sicuro, una qualche forma di protezione proattiva deve essere presente sulla mia macchina...:)

andiamo, Chill-Out (a cui, in questo caso, imploro di passare sopra l'OT invitandolo invece a contribuire con un pensiero) e tutti gli altri:
fatemi sentire la vostra voce, qualche intervento sarebbe sufficiente a farmi un'idea su come la vedete!

:)



Windows 8 Security and ARM >>> PDF http://bit.ly/RADLNL ;)

+ tardi si prova a leggere.

Nel frattempo, 2 impressioni da neo utilizzatore di 8.

10 minuti (forse qualcosa di più) per capire come spengere/riavviare il PC. :D :asd:

Inoltre, ma non ultimo, se fino a ieri riuscivo a rendere "operativa" una piattaforma Microsoft nel giro di 30 minuti (il tempo più che altro necessario per operare qualche settaggio più profondo ed effettuare gli update di rito), adesso la mia operatività (in termini di produttività, "di cosa proprio riesco materialmente a fare col PC") è ai livelli della Namibia (con tutto il rispetto per quel paese Africano).

Insomma:
la piattaforma è stabilissima (come 7, del resto), estremamente reattiva (+ di 7) ma, attualmente, stò trovando più di un problema di adattamento....:(

Queste, in poche parole, le prime impressioni...