aggiungo:
in diversi momenti mi sembra di essere diventato di colpo un deficiente...:fagiano:

aggiungo:
in diversi momenti mi sembra di essere diventato di colpo un deficiente...:fagiano:

Diventato? :stordita: Di colpo? :stordita:

Scherzo :D

Sì, il primo impatto è quello :) Ma basta veramente un giorno e mezzo per poter apprezzare tutto ciò che c'è di meglio in Windows 8 :)

:p

Sto proseguendo con l'affinamento, vediamo...:fiufiu:

Piacere cmq mi piace un sacco, trovo semplicemente più difficoltoso muovermi come prima. :stordita:

chi mi spiega perchè, su 8 64bit, in
KHLM\...\Session Manager\KnownDlls
ci sono 3 voci (_Wow64, _Wow64cpu, _Wow64win) che puntano alle rispettive .dll che dovrebbero essere ubicate nella cartella syswow64 sebbene queste, in realtà, non esistano?? :mbe: (o almeno io non le vedo)...

chi mi spiega perchè, su 8 64bit, in
KHLM\...\Session Manager\KnownDlls
ci sono 3 voci (_Wow64, _Wow64cpu, _Wow64win) che puntano alle rispettive .dll che dovrebbero essere ubicate nella cartella syswow64 sebbene queste, in realtà, non esistano?? :mbe: (o almeno io non le vedo)...

sono in system32

http://img9.imageshack.us/img9/9809/catturabm.jpg (http://imageshack.us/photo/my-images/9/catturabm.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

prova però ad aprire il registro spostandoti su
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls

e dimmi se non hai presenti quelle voci che indicavo ma con il _ davanti...

prova però ad aprire il registro spostandoti su
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls

e dimmi se non hai presenti quelle voci che indicavo ma con il _ davanti...

si e il loro valore sono le dell,

scorri piu' giù e c'e' espressamente scritto che sono ubicate in system32

chi mi spiega perchè, su 8 64bit, in
KHLM\...\Session Manager\KnownDlls
ci sono 3 voci (_Wow64, _Wow64cpu, _Wow64win) che puntano alle rispettive .dll che dovrebbero essere ubicate nella cartella syswow64 sebbene queste, in realtà, non esistano?? :mbe: (o almeno io non le vedo)...

in realtà, quando ho detto non esistono non volevo dire in senso assoluto (= non sono presenti fisicamente sull'HD) bensi' all'interno di quella che dovrebbe essere la sua locazione naturale, o syswow64...

Ecco, syswow64 (a casa mia) non contiene quei file (contenuti invece in system32 come ci ha segnalato arnyreny) e HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls mostra il simbolo underscore davanti a quelle "Dll conosciute".
Stà a significare che in realtà quelle dll sono fisicamente presenti da un'altra parte?

Analizzando il sistema con Autoruns, infatti, questo mostra chiaramente che quelle voci sono collegate a "file not found"... (proprio per il discorso di prima, il tratto _ ?)

eraser?

Windows 8 Security and ARM >>> PDF http://bit.ly/RADLNL ;)

non proprio alla portata della massa:stordita:

non proprio alla portata della massa:stordita:
...ma si vedono chiaramente anche senza essere tecnici gli aspetti richiamati qualche post fà,

una lettura molto scorrevole sulle innovazioni architetturali lato-sicurezza di 8,
Under the hood of Windows 8 (http://arstechnica.com/information-technology/2012/10/better-on-the-inside-under-the-hood-of-windows-8/)

Molto a grandi linee, tra le "Process Mitigation Policies" dovrebbe essere stata contemplata una nuova API (PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY) impostabile ad ogni avvio del processo, compare un nuovo flag (?) /HIGHENTROPYVA che, immagino, è utilizzabile in fase di compilazione di un eseguibile da parte degli sviluppatori, sono state estese e rafforzate le mitigazioni di sistema (o Legacy Mitigations) come diceva anche l'articolo (in particolare, ■ Stack Randomization ■ Heap Termination per cui a partire da Windows 8 sono state previste anche apposite API?) nonchè l'isolamento del comparto Win32k.sys (■ Win32k System Call Disable = Does not allow calling system calls in Table... ), ecc...

Se non erro, 8 fa propria di default una tecnica che ha visto la luce con EMET (Bottom-up ASLR), migliora PatchGuard (è sotto la voce "More Kernel Hardening"), ecc perchè si va davvero sul difficile.

Pur da profano, emerge cmq un grande sforzo teso a migliorare/sviluppare quello che di buono era stato gettato con Vista (e affinato in 7) quindi, un grande lavoro di prevenzione.

Interessante la chiusura del pezzo:
Non rappresenta la fine degli Exploit @ Windows sebbene la maggior parte dei bug segnalati (ad es) nel 2010/2011 sono ormai inutilizzabili.

Fa presente come ci siano ancora spazi per attacchi, ma qui il dito viene puntato in particolare sugli sviluppatori (colpevoli), ( ■ Developers continue to still fail at enabling ASLR on their DLLs. Will they remember to set Forced ASLR on their processes?)

ecc...

eraser, apprezzi com'è trattata la "sicurezza-da-strada"? :Prrr:

Ti sembro un buon politico nell'affrontare certe tematiche evidentemente ben più grandi di me? :sofico:


Per concludere la divagazione, un altro bel pezzo con tante belle tabelline,
Exploit Mitigation improvement in Windows 8 (http://media.blackhat.com/bh-us-12/Briefings/M_Miller/BH_US_12_Miller_Exploit_Mitigation_Slides.pdf) (autore: Matt Miller MSEC)

Per concludere la divagazione, un altro bel pezzo con tante belle tabelline,
Exploit Mitigation improvement in Windows 8 (http://media.blackhat.com/bh-us-12/Briefings/M_Miller/BH_US_12_Miller_Exploit_Mitigation_Slides.pdf) (autore: Matt Miller MSEC)
in particolare, di questo lavoro spiego esclusivamente l'immagine sotto che è decisamente più alla mia portata :D ,


http://s7.postimage.org/6xm2duw7b/Immagine_1.jpg (http://postimage.org/image/6xm2duw7b/)

I cattivi, come fossero veri e propri titolari di un'attività imprenditoriale, hanno un obiettivo:
il lucro.

Al contempo, l'obiettivo principale della loro azione è tesa (ma va?) alla massimizzazione del ROI (http://it.wikipedia.org/wiki/Return_on_investment).
In sostanza, il loro lavoro deve essere efficiente cosi' da massimizzare il ritorno che deriva dalle energie profuse.

E qui, dunque, parte l'immaginina.

Si vedono dunque i 2 obiettivi contrapposti, da un lato quello dei cattivi che vogliono massimizzare il loro ritorno (ROI) e identificato con la freccia rossa rivolta verso l'alto (in particolare, prestare attenzione alla sua dimensione), dall'altro MS che vuole minimizzarglielo (freccia verde rivolta dalla parte opposta, soffermarsi anche qui alla dimensione).

Già a colpo d'occhio si vede che nello sviluppo della formula il colore rosso è quasi assente, segno che MS ha reso decisamente più sconveniente registrare livelli di ROI come quelli registrabili evidentemente con i vecchi OS.

Credo non ci sia altro da dire (la formulina infatti è banale) e conferma proprio il buono che si diceva poc'anzi.

non proprio alla portata della massa:stordita:

Da quando ti piacciono le cose facili? :)

eraser, 8 mi impone a mandarti un pvt al quale mi auguro che i tuoi impegni consentano di trovare lo spazio per una risposta.

Perdonami, ma se la montagna non va da Maometto...:fiufiu:

Grazie...e passo a scriverti. :)

Da quando ti piacciono le cose facili? :)
mi fai venire in mente l'adagio

http://i46.tinypic.com/20zsizb.jpg
PONZI, PONZI, PON-PON-PON....
PONZI, PONZI, PON-PON-PON,...
:D

eraser, 8 mi impone...
non mi ha neppure considerato di striscio :asd: ma dovrei aver risolto, vedi bug? (http://www.hwupgrade.it/forum/showthread.php?t=2518934) :fiufiu:

Ciao!

che dici, Chill:
questo thread è sufficientemente delirato?? :mbe:

:sofico:

Lato positivo:
almeno ci siamo fatti 2 risate..

che dici, Chill:
questo thread è sufficientemente delirato?? :mbe:

:sofico:

Lato positivo:
almeno ci siamo fatti 2 risate..
visto che ogni volta che vieni sospeso ti compri un pezzo nuovo per il tuo pc....
mi sa che ti stai cercando nuova sospensione ....perchè hai voglia dii comprare un monitor nuovo nuovo Touchscreen per 8 :asd:

naa, anche perchè ad un'occhiata disattenta sembra lo voglia provocare ma il mio, in realtà, è solo un gioco e non ho nessun interesse nè a realizzare quello che dicevo poc'anzi nè secondi fini, credetemi.

E' che la vita è già tanto complessa e, se riesco, cerco sempre di prenderla col sorriso (NON facile).

E' la mia natura, ma lungi da me l'idea di provocare giusto per provocare.

Poi, per carità, se mi si vuole sospendere per "libertinismo"...:D

D'altro canto, questo thread non credo sia letto da molti ed ha assunto un pò il ruolo di collettore di cazzate, ecc...
Poi, se si riesce a gettare anche le basi per qualcosa di + sostanzioso...

Poi, se si riesce a gettare anche le basi per qualcosa di + sostanzioso...
ad es:
se altri dessero la loro interpretazione sull'articolo indicatoci da Chill-Out relativo alle nuove mitigazioni contemplate da 8, sarei ben lieto di leggere...
ma nessuno si fa vivo (e non penso solo a Marco in quanto unico [o quasi] depositario del dono di parlare "con-giudizio")...

Dunque, 2 cazzate stemperano.

IMO :)

mi fai venire in mente l'adagio

http://i46.tinypic.com/20zsizb.jpg
PONZI, PONZI, PON-PON-PON....
PONZI, PONZI, PON-PON-PON,...
:D


non mi ha neppure considerato di striscio :asd: ma dovrei aver risolto, vedi bug? (http://www.hwupgrade.it/forum/showthread.php?t=2518934) :fiufiu:

Ciao!

che dici, Chill:
questo thread è sufficientemente delirato?? :mbe:

:sofico:

Lato positivo:
almeno ci siamo fatti 2 risate..

visto che ogni volta che vieni sospeso ti compri un pezzo nuovo per il tuo pc....
mi sa che ti stai cercando nuova sospensione ....perchè hai voglia dii comprare un monitor nuovo nuovo Touchscreen per 8 :asd:

No, non mi piace "vincere facile".

non mi ha neppure considerato di striscio :asd: ma dovrei aver risolto, vedi bug? (http://www.hwupgrade.it/forum/showthread.php?t=2518934) :fiufiu:

Ciao!

Scusate, non è che non vi degni, è che gli impegni e le cose da fare mi escono pure dagli occhi :stordita:

Vi seguo sempre comunque, appena ho un attimo di tempo libero rispondo :)

Se volete, è possibile provare la beta eng del nuovo antirootkit della Malwarebytes
http://www.malwarebytes.org/products/mbar/

Giusto a titolo di cronaca, ho provato a contattare il supporto EMET per avere un'idea su quando è possibile attendersi una versione compatibile per 8 ma, allo stato, mi sembra di parlare con eraser:
non uno straccio di risposta (o, in altri termini, caGato 0)...:D

ieri sono riuscito nell'impresa di farmi rubare l'account di google....
meno male che hanno bloccato l'accesso in quanto volevano connettersi dalla California .
Confesso che è stata una mia negligenza,ho usato un programma non molto fidato....in passato l'ho avevo usato nella sandbox senza aver nessun problema,ieri per mia negligenza l'ho usato senza restrizione...e mi ha fregato
morale della favola ho dovuto cambiare tutte le chiavi di casa :D
questa mia testimonianza rafforza la validità dell'ottimo sandbox...
non abbassate la guardia ...buona domenica:)

ieri sono riuscito nell'impresa di farmi rubare l'account di google....
meno male che hanno bloccato l'accesso in quanto volevano connettersi dalla California .
Confesso che è stata una mia negligenza,ho usato un programma non molto fidato....in passato l'ho avevo usato nella sandbox senza aver nessun problema,ieri per mia negligenza l'ho usato senza restrizione...e mi ha fregato
morale della favola ho dovuto cambiare tutte le chiavi di casa :D
questa mia testimonianza rafforza la validità dell'ottimo sandbox...
non abbassate la guardia ...buona domenica:)

[OT]

io uso un meccanismo di "scatole cinesi", non so quanto funzioni in termini di sicurezza ma a me piace, e alla fine è anche parecchio comodo.

a. un account hotmail che do a chiunque, qualunque registrazione/servizio, dove accetto spam
b. un account google che uso per forum ecc, cose che leggermente mi interessano
c. un account google dedicato per i social network
d. un account università (per fortuna hanno fatto un accordo e usiamo gmail)
e. un account google serio, che uso per colloqui e roba che mi interessa. Da qui tramite la funzione Gmail Impostazioni > Account e importazione, scarico tutta la posta e, impostando un alias, scrivo direttamente email come se fossi a, b, c, o d.
Poi, usando le etichette, gestire più account è davvero comodissimo.

Praticamente l'account E diventa il mio principale (indirizzo impostato per il recupero psw) e, su tutti i miei dispositivi android, mi basta impostare questo per ritrovarmi la posta di tutti gli account, spostando il carico dal terminale ai server google (sono loro che sincronizzeranno 5 account e, se c'è qualcosa, me la mandano.. io tengo attiva una connessione sola).
Ciascun account viene esposto il minimo possibile, e sempre per l'area che gli compete (tranne hotmail :D).. e se si compromette, si compromette solo lui e un'area ristretta.

Il problema più grosso è se fallisce gmail

--edit:
ok, scritto così sembra un'organizzazione da malati, ma è comodo! :D

Non è inusuale utilizzare più email, anche + di 10 a seconda dello scopo. Anche perchè per scoprire la vita di una persona significa individuare 10 password diverse o dover sfruttare i rari bug dei portali su più portali.

Un altro accorgimento di sicurezza è non lasciare le email nella posta elettronica con IMAP, bensì scaricarle... in questo modo se qualcuno viola l'account non leggono le email precedenti. + sicuro, ma occupa spazio sul disco fisso.

ieri sono riuscito nell'impresa di farmi rubare l'account di google....

Avevi attivato il two-factor authentication? :)

approfittiamo del fatto che eraser c'è (ora, almeno :Prrr: ) per domandargli se sa nulla a riguardo di EMET per 8:
più che per un discorso di mitigazioni di sistema, infatti (8 ha fatto tesoro di molte "debolezze" che hanno colpito gli OS precedenti..), mi interessava "proteggere proattivamente" diversi programmi di 3-parti...:stordita:

Avevi attivato il two-factor authentication? :)
l'ho attivato successivamente...ma e' un pò scomodo ,se cancelli i temporanei bisogna rimettere anche il codice che arriva tramite il cellulare...ma va bene cosi'

ps questo programma non risulta essere un trojan con nessun antivirus su virus total,solo malwarebytes lo riconosce tale
mi dispiace deluderti il browser era protetto da webroort...:cry:
[OT]

io uso un meccanismo di "scatole cinesi", non so quanto funzioni in termini di sicurezza ma a me piace, e alla fine è anche parecchio comodo.

a. un account hotmail che do a chiunque, qualunque registrazione/servizio, dove accetto spam
b. un account google che uso per forum ecc, cose che leggermente mi interessano
c. un account google dedicato per i social network
d. un account università (per fortuna hanno fatto un accordo e usiamo gmail)
e. un account google serio, che uso per colloqui e roba che mi interessa. Da qui tramite la funzione Gmail Impostazioni > Account e importazione, scarico tutta la posta e, impostando un alias, scrivo direttamente email come se fossi a, b, c, o d.
Poi, usando le etichette, gestire più account è davvero comodissimo.

Praticamente l'account E diventa il mio principale (indirizzo impostato per il recupero psw) e, su tutti i miei dispositivi android, mi basta impostare questo per ritrovarmi la posta di tutti gli account, spostando il carico dal terminale ai server google (sono loro che sincronizzeranno 5 account e, se c'è qualcosa, me la mandano.. io tengo attiva una connessione sola).
Ciascun account viene esposto il minimo possibile, e sempre per l'area che gli compete (tranne hotmail :D).. e se si compromette, si compromette solo lui e un'area ristretta.

Il problema più grosso è se fallisce gmail

--edit:
ok, scritto così sembra un'organizzazione da malati, ma è comodo! :D

si faccio anch'io quasi come te solo che il programma ha rubato le credenziali dal browser che era autenticato con account google,che di solito uso per youtube e per i blog:eek:

[OT]

io uso un meccanismo di "scatole cinesi", non so quanto funzioni in termini di sicurezza ma a me piace, e alla fine è anche parecchio comodo.

a. un account hotmail che do a chiunque, qualunque registrazione/servizio, dove accetto spam
b. un account google che uso per forum ecc, cose che leggermente mi interessano
c. un account google dedicato per i social network
d. un account università (per fortuna hanno fatto un accordo e usiamo gmail)
e. un account google serio, che uso per colloqui e roba che mi interessa. Da qui tramite la funzione Gmail Impostazioni > Account e importazione, scarico tutta la posta e, impostando un alias, scrivo direttamente email come se fossi a, b, c, o d.
Poi, usando le etichette, gestire più account è davvero comodissimo.
Non si può fare la stessa cosa con un solo account hotmail/outllok?
Basta creare degli alias e registrarsi con quelli ;)

Dico con hotmail (ora outlook) perchè con google gli alias si possono usare ma imho fanno pena in quanto mentre con outlook si possono creare veri e propri indirizzi diversi con gmail sarà sempre username+qualcosa@gmail.com, e quindi si risale facilmente all'indirizzo originario

Non si può fare la stessa cosa con un solo account hotmail/outllok?
Basta creare degli alias e registrarsi con quelli ;)

Dico con hotmail (ora outlook) perchè con google gli alias si possono usare ma imho fanno pena in quanto mentre con outlook si possono creare veri e propri indirizzi diversi con gmail sarà sempre username+qualcosa@gmail.com, e quindi si risale facilmente all'indirizzo originario

sai che non ho capito?

io dall'account E seleziono nel campo Da: l'account B, ad esempio, e l'email sarà mandata da B.
Tu dici che si può risalire ad E?

edit:
si si può, anzi, osservando il messaggio originale è palese

Giusto a titolo di cronaca, ho provato a contattare il supporto EMET per avere un'idea su quando è possibile attendersi una versione compatibile per 8 ma, allo stato, mi sembra di parlare con eraser...:D
mi ha risposto prima Elias Bachaalany (http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx) del nostro marchino....:sofico:

In sostanza, cmq, non viene indicato nessun time-frame [:(] visto che la risposta aveva un tenore di questo tipo, "il supporto a 8 è in programma a partire dalla prossima versione"...:stordita:

Grazie al fagiolo, Elias :boxe: ...

chiesti ulteriori lumi visto che la 1° risposta mi stava un pò stretta...:fiufiu:

ha impatto 0 visto che le persone che frequentano questo thread utilizzano solo versioni a 64bit del sistema operativo, però faccio notare che il thread relativo alle tecniche di aggiramento dei meccanismi di Self-Protection degli AV su KMinfo ha subito un nuovo impulso in termini di contributi e, più che altro (visto che sarebbe il motivo che mi ha spinto a scrivere :stordita: ), viene citato DefenseWall...come modello :read:


Il che, presumo, non sta a significare che non si presti ad essere bypassato se dovesse esistere una precisa volontà in tal senso, bensi' che non soffre di tutte le problematiche emerse prepotentemente nel corso del thread e che colpiscono "i competitors".

Il bianco/nero, dunque, paga...:)

Se come me capite il 10% di quello che viene scritto ma vi interessa ugualmente avere un'idea più puntuale,
http://www.kernelmode.info/forum/viewtopic.php?f=15&t=1485


Quello che è "schoccante", cmq, è vedere che molte soluzioni soffrono di problemi atavici, incredibile. :mbe:

ho usato un programma non molto fidato....

Che programma e'?

Che programma e'?

questo:read:

http://www.hwupgrade.it/forum/showthread.php?t=2407288

...Quello che è "schoccante", cmq, è vedere che molte soluzioni soffrono di problemi atavici, incredibile. :mbe:
ad es, e cosi' si ridà un pò di linfa al thread :stordita:, guardate questo passaggio su CIS:
in sostanza, l'intervento di rinn parte ironizzando su quello che è il concetto di "difesa proattiva" lato-driver delle soluzioni discusse (per fortuna marginalmente) in questo thread.
Vi ricordate -dice- dell'articolo di Matousec sulle "piaghe" che colpivano i driver degli HIPS spalancando porte a BSOD & a situazioni di privilege escalation? (se l'attacco fosse stato ovviemente costruito per aggredire un dato programma) (SI, vittima allora era anche DWall).
Molti BSOD bug, nel frattempo, sono stati risolti...e se, a distanza di anni, riguardiamo i report di Matousec, si vede che CIS è di nuovo al top.
Dunque, il driver di D+ è realmente ben costruito come sembrerebbe emergere nuovamente dalla tavola (di Matousec)?
"Nope, the cmdguard.sys is still vulnerable for attacks from user mode, so this result is 100% joke".

Passa dunque a dimostrare come il cuore di D+ (cmdguard.sys) soffra ancora dell'incapacità di trattare adeguatamente determinati dati inviati da user-mode .

"This time it happens inside NtOpenProcess handler, but I'm sure the same type of vulnerability exists with other comodo hooks (basically all that are operating with user mode pointers)".

Il suo test (exploit), aggiunge, non fa leva su nessuna condizione-limite ecc...bensi' "it is doing just a few system calls from user mode".

Il finale è che termina CIS da user-mode (oltretutto senza aver bisogno di privilegi particolari).

Complimenti...per trascinarsi difetti atavici invece di sbattersi le °° come (pochi) altri programmatori al fine di lenire nei limiti del possibile queste debolezze.

Complimenti, in particolare, perchè a lavorare su questi codici sono diverse risorse-umane.

Capisco cmq quanto disse eraser la settimana scorsa, ma la situazione E' GRAVE e, al contempo, bistrattata (+ GRAVE).

dimenticavo:
chiaramente fronte-EMET 0, "nada", "ciccia"...

Cioè, nemmeno un'indicazione vaga su quando 8 potrà contare su questo tool.

Fine anno, 2013 (Maya permettendo), ...?

Muà, io il modo di essere vago l'avrei trovato ma almeno uno straccio di risposta l'avrei fornita.


PAX

dimenticavo:
chiaramente fronte-EMET 0, "nada", "ciccia"...

Cioè, nemmeno un'indicazione vaga su quando 8 potrà contare su questo tool.

Fine anno, 2013 (Maya permettendo), ...?
notizie STRA-NEGATIVE dagli USA :cry: :

Next release will be 3.5. It is planned around mid next year. :cry: :help:



Per quella data è probabile che sia già uscita anche la versione 2 di ExploitShield....:stordita:

E' ovvio, dunque, che chi è su 8 non può attendere i comodi Microsoft se vuole percorrere una strada "proattiva"...

(il problema è che il mio inglese scritto non mi ha permesso la libertà di cui avrei avuto bisogno, fatto stà che) nella mail di risposta mi sono permesso di far presente quelle che sono le mie perplessità.

Se a livello di sistema infatti le ottimizzazioni di 8 ricadono inevitabilmente anche sui processi di 3-parti, questi ultimi restano sempre troppo scoperti verso il rischio exploit-mirati che poi, gira e rigira, sono proprio i canali più gettonati.

Dunque il concetto che ho portato avanti è
"meglio un uovo oggi che una gallina domani".

In sostanza, meglio poter disporre di una qualsivoglia versione se pur castrata (io ad es. mi muoverei cosi') che non dover aspettare le calende greche.

Vediamo...

il monologo sarebbe finito :fagiano: :
nessuno che si senta di dire la sua anche se, confesso, sarei ugualmente felice di leggere anche altro purchè in qualche maniera legato all'oggetto del thread?


Altrimenti, detto tra noi, si può anche chiudere.

che ti posso dire, caro nV...a me non vanno a genio nè i mitigatori nè tantomeno i sandbox...nel mio cuore e nella mia mente c'è soltanto spazio per gli HIPS classici ed in particolare il Comodo D+ (ASSOLUTAMENTE SENZA sandbox), che qualche riga più su hai ridicolizzato.

Ricordo con affetto anche il mio primo amore, EQS. :O

PS. un poco hai rotto di ripetere sempre "altrimenti si può chiudere....nessuno scrive mai niente....ecc...ecc...".

E' un thread molto molto tecnico, non alla portata dei più. E' invece ricco di notizie per gli interessati e c'è un ottima prima pagina (complimenti).

Ti seguo da quando io te e Pistolino (!) eravamo utenti di KIS....ti ricordi? Relax e godiamoci questo bel thread. ;)

PS. un poco hai rotto di ripetere sempre "altrimenti si può chiudere....nessuno scrive mai niente....ecc...ecc...".
hai ragione e me ne rendo perfettamente conto anch'io.
Se xò vi mettete nei miei panni, capirete che mi vengono anche 2 °° belle grosse a dover parlare sempre da solo senza mai leggere un commento da parte di altri (anche perchè non credo di essere depositario di nessuna verità).

E' un thread molto molto tecnico, non alla portata dei più. E' invece ricco di notizie per gli interessati
secondo me, invece, il thread è esclusivamente divulgativo dato che tenta di trasmettere concetti in un linguaggio sufficientemente comprensibile con tutti i limiti & gli errori del caso dato che chi fa questo sforzo lo fa in buona fede e, più che altro, consapevole di non avere una formazione adeguata (d'altro canto, reputai a suo tempo più utile correre questo rischio che non lasciare certi argomenti esclusivamente nelle mani di pochi).

Ti seguo da quando io te e Pistolino (!) eravamo utenti di KIS....ti ricordi? Relax e godiamoci questo bel thread. ;)
I know, i know...

Hai ragione,
relax nv

E' ovvio, dunque, che chi è su 8 non può attendere i comodi Microsoft se vuole percorrere una strada "proattiva"...

mi è stato fatto presente che la v3.5 TechPreview funziona anche su 8 ad eccezione di IE 10 che non è supportato.
Indagherò...

Inoltre, forse perchè incalzati dalle mie osservazioni di semplice buon senso :read: (o x levarmi dalle °°? :fagiano: ) ,mi è stato detto che "guarderanno se rilasciare quantomeno una TP 2 prima della metà del 2013".

Vedremo anche qui.

Se xò vi mettete nei miei panni, capirete che mi vengono anche 2 °° belle grosse a dover parlare sempre da solo senza mai leggere un commento da parte di altri.

Io vorrei pure scrivere....ma sono bloccato sul Defense+ da anni. :cry:
Nessuna novità in tal senso. Se non l' UAC...ma allora penso sia pacifico affermare che D+ è meglio!

Che dovrei fare? Sono su W8 64.

mi è stato fatto presente che la v3.5 TechPreview funziona anche su 8 ad eccezione di IE 10 che non è supportato.
Indagherò...


ricordo che funzionava sulla Release Preview,sulla definitiva non ho più provato

Confermo che la v3.5 TP gira perfettamente su 8.

nota:
ho dovuto necessariamente attivare .Net Framework 3.5, vedi link (http://msdn.microsoft.com/it-it/library/hh506443.aspx)

Confermo che la v3.5 TP gira perfettamente su 8.

anche qua dicono che va bene
https://insanitybit.wordpress.com/2012/11/22/windows-8-with-emet-is-surprisingly-stable/

avevo scritto una cosa sulla inutilità di smartscreen ma penso che avendo IE10 disabilitato in realtà non funzioni proprio a sistema, che è anche meglio

grazie, Romagnolo :)


Con tutti i suoi limiti, da qualche giorno a questa parte è ritornato prepotentemente anche a casa mia tra i software must-have!

SmartScreen?

Siamo seri, giù...:D

domanda:
ma siamo sicuri sicuri che AppLocker sia funzionante su 8 Pro a dispetto di quello che sembrerebbe emergere controllando i criteri locali di gruppo dove fa bella mostra di se? :mbe:

Se non erro, infatti, da + parti ho letto che è si implementato...ma non è utilizzabile.
Info?

grazie, Romagnolo :)

SmartScreen?

Siamo seri, giù...:D

Infatti non serve a nulla visto che allerta su qualsiasi cosa pure firmato da mamma microzozz in persona :Prrr:
Io avrò sicuramente seccato qualche servizio che gli serve a connettersi ai loro server (dicono che eliminare servizi è roba da xp ma io continuo a farlo e bene che vado) e quindi non va in rete, diciamo che lo uso come rivelatore di firme digitali visto che il nome dell'azienda compare e se scarico qualcosa da un sito e mi vedo firma differente o sconosciuta prima di cliccarci sopra faccio un paio di controlli, in questo senso mi è utile ma sbandierarlo come nuova arma contro le infezioni come ha fatto mamma M$ è davvero marketing puro

buona notizia:
a regola domani esce la versione 0.8 di ExploitShield...:D

buona notizia:
a regola domani esce la versione 0.8 di ExploitShield...:D

deve essere nato prematuro,
ExploitShiled 0.8 *BETA* (http://www.wilderssecurity.com/showpost.php?p=2150564&postcount=353) OUT today...:fagiano:

In this release of ExploitShield we have focused our efforts in improving the core engine as well as some basic usability improvements:
- Improved detection of memory exploits
- Improved detection of Java exploits
- Improved prevention of false positives
- Ability to run as a non-administrator user
- Fixes for various bugs and crashes

A breve una presa visione...

A breve una presa visione...
...ma ci vuole tempo, dunque mi sono limitato giusto ad un'esperienza molto frettolosa.

Ambiente di test:
VirtualBox, 8 PRO 64bit, user= amministratore ridotto.

Al di là dell'errore restituito proprio all'inizio del processo di installazione (mancanza di una .dll), il setup va a buon fine e il programma appare stabile.
Non ho notato inoltre particolari appesantimenti indotti da ES specie lanciando i processi che finiscono sotto il suo monitoraggio (IE10/chrome).

Come per EMET, anche ES vive attorno a 2 .dll iniettate rispettivamente nei processi a 32 & 64bit.

Ho riscontrato cmq un problema in fase di unloading della .dll @ 64bit quando il programma viene terminato dalla sua GUI se il processo che era stato precedentemente "iniettato" (= monitorato) era proprio @ 64bit.
Per verificarlo, è suff. lanciare IE10 che vive di 1 processo "padre" appunto a 64bit e di tanti "figli" @ 32....

Stoppare la protezione di ES con IE10 attivo, inoltre, comporta la chiusura inattesa di IE stesso, segno che evidentemente come si diceva prima il processo di unloading della .dll soffre di qualche imperfezione.

A che pro cmq stoppare la protezione lasciando il threat gateway aperto?
Onestamente 0 se non per test...

A conferma del fatto che la mia scelta personale di non installare ancora Sbxie su 8 non era cosi' campata in aria, viene in soccorso un post di Tzuk di ieri dove dice sostanzialmente che:
su 32bit, averlo installato su 8,7, XP,... non cambia nulla a livello di protezione.
su 64bit, invece, a parità di protezione sperimentale disattivata, la protezione è inferiore rispetto a 7.

"64-bit Sandboxie on Windows 8 is limited even when compared to 64-bit Sandboxie on Windows 7 with Experimental Protection off."

Su 8, infatti, ricordo che non è abilitabile la protezione sperimentale.

per la felicità di ENNE che qui aveva posto la questione, quelli di HitmanPro pare abbiano messo nella nuova versione (che ha un modulo per eliminare i ramsomware da chiavetta usb) finalmente la mia traduzione italiana o comunque una meglio della precedente. Son passate 2 stagioni quindi non mi posso ricordare se è quella che feci avere a loro o meno, boh ai posteri l'ardua sentenza

emet comincia a crearmi qualche fastidio...
più che altro noto che a volte avviando ie o firefox mi appare la notifica di "eaf mitigation", nonostante abbia disabilitato l'eaf...
Credo sia il sistema di risoluzione errori che probabilmente a volte si avvia sfruttando il browser, ma non ne ho la certezza

Io invece su un pc l'ho rimesso attivando tutte le protezioni : ho cambiato firewall e problemi di incompatibilità =zero.

per la felicità di ENNE....
Son passate 2 stagioni quindi non mi posso ricordare se è quella che feci avere a loro o meno...
spero non sia la tua traduzione perchè si continuerebbe a fare una figura meschina tanto sono contorte le frasi...:D

Diciamo che la traduzione è "by eraser", tutti d'accordo? :ciapet:

In relazione al discorso degli sforzi di MS tesi ad irrobustire la struttura di fondo di 8 e della parallela "colpevolezza" di molte software house (vedi anche le ultime righe di questo post, CLICCAMI (http://www.hwupgrade.it/forum/showpost.php?p=38429667&postcount=4287)), in rete è possibile rintracciare "atti di accusa" che confermano proprio quanto sostenuto ad es. da Alex Ionescu,
Common Windows apps still without DEP and ASLR (http://0xdabbad00.com/2012/12/05/finding-slop-common-windows-apps-still-without-dep-and-aslr/) (fonte (http://www.wilderssecurity.com/showthread.php?t=337370)).

Se in un sistema non tutti remano nella stessa direzione...

La cosa CLAMOROSA, cmq, è che per gli sviluppatori basterebbe *NIENTE* per sanare (quello che nel 2012 è semplicemente) l'insostenibile, e invece se ne fregano altamente.

Mi verrebbe da pensare che forse la politica migliore sarebbe quella di boicottarne i programmi, perchè se di una persona ne tocchi il portafogli allora...

...per esempio (e qui è ASUS coinvolta sul mio portatile),

http://s8.postimage.org/7nxno3icx/Immagine_1.jpg (http://postimage.org/image/7nxno3icx/)

PE fa vedere che quegli eseguibili non usano l'ASLR (nella scheda del processo)...anche perchè l'eseguibile NON E' compilato con l'apposito Flag (siamo nel 2012)!!


ASUS, non sbuzzagrilli :read: ...


E quest'esempio, se vogliamo, non significa nulla perchè chi fa exploit non li fa certo esclusivi per portatili della ASUS.
Il problema, invece, è di magnitudo distruttiva per quei programmi che sono presenti sui PC del 90% della gente...

dimenticavo:

vedere con un semplice drag and drop se una cartella, un file,... ha elementi compilati alla c@..o di cane,

http://icebuddha.com/slopfinder.htm

Funge :)

VirtualBox ultima versione (rischio reale per l'utente che lo ha sul PC quasi 0): 13 elementi senza supporto DEP/ASLR

LibreOffice ultima versione (rischio reale per l'utente che lo ha sul PC importante): n° incalcolabile di elementi privi delle caratteristiche in oggetto

Winamp: semplicemente da cestinare sotto questo profilo...

Quicktime ultima versione (rischio reale per l'utente che lo ha sul PC importante): BRAVA Apple!!

***EDIT***
ti pareva avessi parlato troppo presto sulla bravura Apple?
AppleSoftwareUpdate *DA CESTINARE*
*********

WinRar: da basket anche questo...

ecc...

Il quadro parla da solo pertanto l'unica integrazione è che molti andrebbero presi a bastonate


*****EDIT*****

Visto che questa sezione è di sicurezza :asd: , perchè non provate a vedere come si comportano i vostri bravi programmi di protezione in real-time? (intendo i vari Comodi, Norton [ROTLF/MUAH-AH-AH], ecc)...

*****EDIT*****

Visto che questa sezione è di sicurezza :asd: , perchè non provate a vedere come si comportano i vostri bravi programmi di protezione in real-time? (intendo i vari Comodi, Norton [ROTLF/MUAH-AH-AH], ecc)...

Avastui: DEP(permanent) e ASLR enabled
AvastSrv: ASLR enabled

Ma è solo un antivirus

Avastui: DEP(permanent) e ASLR enabled
AvastSrv: ASLR enabled

e basta?

Non ha dll & altri moduli?
Il servizio di verifica, infatti, consente di esaminare intere cartelle semplicemente via drag & drop...

Ciao

e basta?

Non ha dll & altri moduli?
Il servizio di verifica, infatti, consente di esaminare intere cartelle semplicemente via drag & drop...

Ciao

ho sbattuto dentro tutta la directory di installazione di avast, risulta DEP e ASLR abilitato per tutto tranne che per:

file con estensione .sys
/Avast/aswRegSvr.exe
/Avast/aswRegSvr64.exe
/Avast/aswRunDll.exe

:boh:

...
La cosa CLAMOROSA, cmq, è che per gli sviluppatori basterebbe *NIENTE* per sanare (quello che nel 2012 è semplicemente) l'insostenibile...

ah, già:
tra qualche giorno finisce il mondo :stordita: ... dunque c'hanno ragione anche loro:
chi glielo fa fare di perdere anche solo 10 secondi di tempo quando in fondo del PC non resterà neppure il ricordo? :D

ho sbattuto dentro tutta la directory di installazione di avast, risulta DEP e ASLR abilitato per tutto tranne che per:

file con estensione .sys
/Avast/aswRegSvr.exe
/Avast/aswRegSvr64.exe
/Avast/aswRunDll.exe

:boh:

ah, ecco...

Cmq ho aperto la "discussione ufficiale" sperando nel contributo anche di altri cosi' da avere una panoramica più precisa dello scandalo.

TEST: verifichiamo il supporto alle tecnologie DEP e ASLR (http://www.hwupgrade.it/forum/showthread.php?t=2529390)

ho un problema con emet 3.5 su windows 8,configurando la protezione completa a internet explorer,

http://imageshack.us/a/img685/7338/cattura2gb.th.jpg (http://imageshack.us/photo/my-images/685/cattura2gb.jpg/)



sembra che non venga applicata
http://imageshack.us/a/img688/6899/catturaka.th.jpg (http://imageshack.us/photo/my-images/688/catturaka.jpg/)

problema noto, link (http://www.hwupgrade.it/forum/showpost.php?p=38594503&postcount=4321)

problema noto, link (http://www.hwupgrade.it/forum/showpost.php?p=38594503&postcount=4321)

ok grazie

forse perchè non è cento per cento certificato windows 8....

devo trovare una soluzionealtrimenti i miei bimbi mi mandano il pc ko in poche ore,a loro piace internet explorer

http://imageshack.us/a/img703/4053/cattura3al.th.jpg (http://imageshack.us/photo/my-images/703/cattura3al.jpg/):read:

ho controllato sulla pagina di MS e, coinvolti, sono di nuovo i soliti nomi:
Oracle Java, Sun Java, Adobe Acrobat, Adobe Reader
+
2 vulnerabilità lato-MS che sono state STRA-patchate (una è del 2006 mentre l'altra del 2010).

Ergo, fin tanto che eviti di installare i software di cui sopra (prevenzione), puoi usare anche IE10 fuori dalla protezione di EMET.

Questo però è ormai pacifico per i lettori di questo thread,
ciao

ho controllato sulla pagina di MS e, coinvolti, sono di nuovo i soliti nomi:
Oracle Java, Sun Java, Adobe Acrobat, Adobe Reader
+
2 vulnerabilità lato-MS che sono state STRA-patchate (una è del 2006 mentre l'altra del 2010).

Ergo, fin tanto che eviti di installare i software di cui sopra (prevenzione), puoi usare anche IE10 fuori dalla protezione di EMET.


Questo però è ormai pacifico per i lettori di questo thread,
ciao

sembra un falso positivo
su virus total 0 su 33...
era un banner di un sito di giochi per bimbi online

sul mio pc niente java

se (almeno noi) seguiamo scrupolosamente la semplice legge che vuole che ci si guardi COME LA PESTE dai software sopra citati, allora si può stare STRA-ragionevolmente tranquilli anche senza EMET specie poi se siamo con 8.

Gente con le °°:
Sandboxie vulnerability exploitation (http://www.kernelmode.info/forum/viewtopic.php?f=13&t=2244).

"After some research in sandboxie driver i found in them vulnerability [...] which get to us ability disable driver signing (admin->ring0) by overwriting bool value g_CiEnabled".


(se si vuole proprio strafare,l'idea di quello che è "g_CiEnabled" è ricavabile dalla lettura delle prime battute di questo post, link (http://j00ru.vexillium.org/?p=377))

"After some research in sandboxie driver i found in them vulnerability [...] which get to us ability disable driver signing (admin->ring0) by overwriting bool value g_CiEnabled".
ok, tzuk informato:
ora state a vedere in quanto tempo viene risolto il problema (anche fosse 1 mese, sarà sempre un tempo che altre software house si sognano)...

Giusto per commentare in 2 parole la notizia della vulnerabilità (senza entrare cmq nel merito dato che non ci capisco nulla), ritengo che "la lettura" debba essere di questo tipo:
sfruttando una vulnerabilità di un programma, si riesce ad acquisire privilegi (nel senso di spazi di manovra) altrimenti irraggiungibili con quella tecnica qualora non fosse stato presente quel canale.
In altri termini, un programma aumenta inevitabilmente la superficie di rischio....


Da qui l'importanza che almeno questi software siano disegnati nel miglior modo possibile...e che chi è chiamato a porre pezze, lo faccia quantomeno nel minor tempo possibile...

Dato che per motivi di timidezza :D il nostro Giuliani non estende il mio invito ad iscriversi ai suoi collaboratori, mi sono armato di penna e calamaio e ho provveduto di persona. :Perfido:
Aall86, ad es., è una risorsa troppo preziosa per non pensare di coinvolgerlo.

Vediamo se eraser trova degna compagnia...:sperem:

Dato che per motivi di timidezza :D il nostro Giuliani non estende il mio invito ad iscriversi ai suoi collaboratori, mi sono armato di penna e calamaio e ho provveduto di persona. :Perfido:
Aall86, ad es., è una risorsa troppo preziosa per non pensare di coinvolgerlo.

Vediamo se eraser trova degna compagnia...:sperem:

Ma se non rispondiamo ci sarà un motivo? Forse è perché siamo pieni di lavoro? Non mi sembra di aver mai mancato quando c'erano domande importanti a cui rispondere, ti ho anche risposto via e-mail che purtroppo siamo pieni di lavoro ma che a breve, appena possibile, trovavo modo di intervenire. A questo punto scrivi una raccomandata AR direttamente a tutto il team in ufficio, che è già pieno di cose da fare, così magari vediamo se qualcuno risponde.

Esco da questo thread

ellapeppa, Marco:
reazione scomposta per quanto tu abbia ragione su tutta la linea.


Sono sicuro di rileggerti appena passata la rabbia e smaltito il lavoro, ciao

ora state a vedere in quanto tempo viene risolto il problema...
3.76 (http://www.sandboxie.com/phpbb/viewtopic.php?t=14269)

3 giorni...;)

ok, se qualcuno mi legge e avesse installato EMET 3.5 TP su 8, faccia *ATTENZIONE* perchè, da quelle che sono le mie prove, sembra che "rompa l'ASLR" se settato al massimo nella parte relativa alle protezioni di sistema.

Come ho già detto da un'altra parte, non pretendo di essere portatore di nessuna verità assoluta ma mi sono limitato a riportare un fatto che ho notato sul mio PC.

E' logico che domattina mando immediatamente una mail al supporto poi vi farò sapere.

nuovo aggiornamento:
disinstallato completamente EMET perchè rompe l'ALSR indipendentemente dal settaggio scelto a livello di sistema.

Secondo me, la 3.5 TP *NON* è compatibile con 8 X64 e non solo quindi per il discorso del mancato supporto a IE10.

Questo dicono le mie prove...

Nuovo aggiornamento:
EMET mi ha sputtanato il PC, l'ASLR è "andato"...

Indagherò per quelle che sono le mie possibilità, ma certo che giramento di °°...:mad:

---------
Stiamo boni che forse ho risolto :sperem: :
sono senza parole e molto incazzato :mad:

Nuovo aggiornamento:
EMET mi ha sputtanato il PC, l'ASLR è "andato"...

Indagherò per quelle che sono le mie possibilità, ma certo che giramento di °°...:mad:

---------
Stiamo boni che forse ho risolto :sperem: :
sono senza parole e molto incazzato :mad:
per forza: continui ad aprire finestre ed ora lucidi pure piastrelle :stordita:

per forza: continui ad aprire finestre ed ora lucidi pure piastrelle :stordita:

:D


Parlando seriamente, mi auguro che il problema sia confinato al mio PC perchè non possono dirti una cosa per poi appurare per puro caso che in realtà le cose sono di natura ben diversa.

La mia esperienza (parecchio infelice) mi porta a dire che chi ha installato la 3.5 su 8 dovrebbe spendere 15 minuti di tempo per verificare se le dll sono realmente rilocate, perchè apparentemente tutto sembra perfetto.

E per farlo, è necessario mettersi li' pazientemente con PE e digitare (ad es.) nella ricerca "Advapi32.dll, gdi32.dll,..." per poi appuntarsi l'indirizzo di memoria (una cosa del tipo 0x7...), riavviare e solita storia.
Se c'è riallocazione, cambia per ogni dll il numerino che segue 0x7...

Insomma, 'na grande rottura de coiotes e una immensa rabbia. :mad:

Ripeto, spero per voi che il problema fosse il mio PC ma, facendomi un esame di coscienza, non vedo in che modo possa aver determinato "la morte dell'ASLR".

Mua...:mad:

"I am still working on Win8 compatibility.

I may be wrong but I think the system wide mitigations are in a different registry key now that could be the reason.

I will make sure we address this issue.

Thanks for the find."


Elias ecc ecc...

Io sono cmq ancora incazzato come una iena...

A titolo informativo comunico che è uscita una nuova versione di NoVirusThanks EXE Radar (v.2.7.1)

Ciao a tutti!
Volevo segnalare che al momento EMET NON è compatibile con Windows 8 a causa delle nuove features di sicurezza quali il Force ASLR, la nuova logica di creazione dei valori base randomizzati e altro...

Quindi consiglio di NON installarlo in Windows 8.

Regards e buon natale!
Andrea

Andrea, che regalo di Natale la tua iscrizione! :flower:


Ora non resta che la tua intercessione con eraser per superare la situazione di stallo che si è creata a causa del mio modo di fare...



PS: non sparire... :p

Volevo segnalare che al momento EMET NON è compatibile con Windows 8 a causa delle nuove features di sicurezza quali il Force ASLR, la nuova logica di creazione dei valori base randomizzati e altro...
volevo tornare a mettere il dito nella piaga rimarcando un problema che, in definitiva, è legato alla scarsa capacità di comunicazione.

Ora, visto che quando si contatta il supporto a rispondere sono signor ingegneri e non i rumeni di turno del n° verde, vi pare normale che queste figure forniscano informazioni errate ad un utente che li contatta espressamente per avere appunto informazioni relative al loro programma? :mbe:

Cioè, non lo potevano immaginare che a causa delle ottimizzazioni che hanno coinvolto 8 (force ASLR,...) probabilmente il loro tool non sarebbe stato compatibile per ragioni tecniche?
...e rispondere, al più, che "bisognerebbe provarlo sul campo" piuttosto che rispondere frettolosamente "SI, è compatibile fatto salvo il discorso di IE10".

Questo è un problema di comunicazione e forse anche qualcosa in più...

Se in Russia si continua evidentemente ad essere assopiti per via del freddo e ci si sente sempre rispondere col solito ritornello (cliccami (http://www.wilderssecurity.com/showthread.php?t=339346)), in Israele le cose girano evidentemente in maniera diversa nonostante l'eccezionale ondata di maltempo che li ha colpiti in questi ultimi giorni,
Sandboxie v4 BETA (http://www.hwupgrade.it/forum/showpost.php?p=38845257&postcount=1257)


- pippe e + fatti....

Sandboxie v4 BETA


- pippe e + fatti....

l'interfaccia grafica è identica....scopriamo il resto;)

Dicono che più indizi facciano la prova...e poichè qualche indizio in tal senso è possibile ricavarlo in rete, sono quasi certo del fatto che la necessità di ricorrere ad un nuovo "disegno" di Sandboxie sia da imputare al nuovo regime cui è sottoposto win32k.sys in 8.

Questo, secondo me, è l'elemento cui si riferiva Tzuk nel discorso di "accompagnamento" alla versione 4,
"8 X64 ha portato con se una versione aggiornata di PatchGuard che limita il modo in cui la v3 di Sbxie interagisce con il sistema"...
(fonte (http://www.hwupgrade.it/forum/showpost.php?p=38845257&postcount=1257))

confesso inoltre di essermi imbattuto nel 4° mistero di Vojager (http://www.hwupgrade.it/forum/showthread.php?t=2526897)...ma se ne è andato cosi' come è venuto, silenziosamente...

Muà....

trallallero/
trallallà,
guarda un pò/
chi passa di quà.

....


Firuli'/
firulà/
è passato questo quà....:ciapet:

Cliccami (http://www.youtube.com/watch?v=CmSu2ENJL8A)! :read:


*****vale 1000 Sandboxie, assolutamente da vedere***
||
\\//

C L I C C A M I A S S O L U T A M E N T E!!! (http://www.youtube.com/watch?v=paq-WLVvlTQ) :asd:

Sbxie 3.76 vs 4.01 sotto il profilo delle caratteristiche ricavabili dalla scheda "Security" di PE:

http://s9.postimage.org/wtq294zuj/Sv3_p_figlio.jpg (http://postimage.org/image/wtq294zuj/)


http://s7.postimage.org/c9nfuimfr/S4_p_figlio.jpg (http://postimage.org/image/c9nfuimfr/)

Chi coglie le differenze?

http://s7.postimage.org/c9nfuimfr/S4_p_figlio.jpg (http://postimage.org/image/c9nfuimfr/)


"Sandboxie reduces the permissions of the program to nothing, so the program has to go through Sandboxie to access resources or else the resource access is guaranteed to fail.
If Sandboxie thinks the access is ok, it will do the access on behalf of the program with the original permissions of the program."

"you can still say it's a gatekeeper.
It used to be about closing the gate on the program, now it's about opening it for the program."
Tzuk 10/1/2013, 12/1/2013

premesso che chi scrive è un amatore (so che ormai lo sapete benissimo ma questa premessa è necessaria nel caso in cui un terzo dovesse gettare lo sguardo a questo thread per la prima volta) e che dunque le mie esternazioni devono essere necessariamente prese con le molle visto che a conforto dei miei pensieri porto solo osservazioni che ricavo dalla "lettura" di una serie di strumenti ma nessuna competenza specifica, sono giunto ad una conclusione che la mia ignoranza mi porta a sintetizzare con il vecchio adagio "CLAMOROSO AL CIBALI".


Vi ricordate del mio sfogo su EMET 3.5 TP che asserivo "avesse rotto" l'ASLR? (tra una sessione e l'altra, infatti, non registravo la rilocazione degli spazi di memoria - advapi32, ad es., era una delle dll "critiche" su cui si era concentrata la mia attenzione)...

Si è poi appurato che EMET non era compatibile con 8, vedi anche la dichiarazione di AaLl86 (link (http://www.hwupgrade.it/forum/showpost.php?p=38751960&postcount=4368)) e le risposte del supporto, cliccami (http://www.hwupgrade.it/forum/showpost.php?p=38726400&postcount=4366).

E fin qui, la storia (vi risparmio gli improperi che volarono e che per la cronaca si conclusero con una nuova reinstallazione del sistema operativo dato che sentivo starmi "stretta" l'installazione "impasticciata" da cui provenivo [fissazione, si!]).


Ebbene, a questo punto qualcuno potrebbe domandarsi:
con la nuova installazione, nV è finalmente riuscito a ritrovare la pace?

Ni...

Perchè fino a stamattina, qualche dubbio nV lo aveva ancora.

ProcessExplorer, infatti, continuava a mostrare per la solita dll (prendiamo come esempio advapi32) il solito spazio di memoria pur tra una sessione di lavoro e l'altra.

Uh?

Ma l'ASLR non dovrebbe intervenire proprio per evitare questa situazione cosi' come è sempre stato ad es. su 7?

Ebbene, per farla corta (pe' falla breveee/Oste portace da beve!!), responsabile non era EMET (per quanto non compatibile con 8) bensi' la nuova funzionalità "AVVIO RAPIDO" di cui è dotato 8.

Disabilitando quella voce, come per magia ecco che PE mostra correttamente la rilocazione dello spazio di memoria delle dll tra una sessione e l'altra.

Riassumendo:

avvio rapido attivo (default)

Se si spenge e riaccende il PC, interviene appunto la nuova tecnologia di 8 e non si ha rilocazione.
Se invece si riavvia il sistema, non interviene il fast boot e si ha rilocazione.

Morale:
è incredibile e non ci capisco più nulla...

"Fast Startup (aka: hybrid boot or hybrid Shutdown) is a new feature in Windows 8 to help your PC start up faster after shutting down.
When turned on, Windows 8 does this by using a hybrid shutdown (a partial hibernate) method that saves only the kernal session and device drivers (system information) to the hibernate (hiberfil.sys) file on disk ...

Il nocciolo, dunque, è il salvataggio della "sessione kernel" che sembrerebbe neutralizzare l'ASLR.





Si contatta di conseguenza eraser e AaLl86 sperando abbiano lumi da dare.

Aggiungo che ho disabilitato il fast boot per "riappropriarmi" dell'ASLR e che, in termini di tempi, fondamentalmente non cambia nulla rispetto a prima forse a causa del mio HD di tipo SSD che rende davvero inesistenti i tempi di attesa.

nV 25,
Leggendo velocemente ( per questioni di tempo ) se hai disabilitato il fast boot il problema sembra essersi risolto, giusto/sbagliato? :stordita:
In alternativa puoi sempre riavviare/spegnere il pc tramite cmd e shutdown, che dovrebbe bypassare tutti quei comandi che danno fastidio a ASLR

un altro minuscolo contributo.

Alla luce di quanto visto sopra, dove stà dunque la mia incredulità?

8 di default contempla una tecnologia che neutralizza...i benefici di altre tecnologie :mbe: .

E' talmente incredibile che continuo a non volerci credere, ed è di conseguenza ovvio che che la colpa sia di ProcessExplorer che in realtà non supporta 8 al 100%.

Fatto stà che adesso, col fast-startup disabilitato, le dll sono mappate sempre ad indirizzi diversi (prendendo advapi32.dll tra una sessione e l'altra, ho 0x7f893..,0x7f991..,0x7f9cb...,0x7fd18..).

nV 25,
Leggendo velocemente ( per questioni di tempo ) se hai disabilitato il fast boot il problema sembra essersi risolto, giusto/sbagliato? :stordita:
In alternativa puoi sempre riavviare/spegnere il pc tramite cmd e shutdown, che dovrebbe bypassare tutti quei comandi che danno fastidio a ASLR

è risolto, x:
ma non dovrebbe essere cosi'!

Cosi' com'è a default, infatti, il PC è a PECORINA sotto il profilo della sicurezza...

a questo punto porto a termine la congettura, tanto di congetture si parla fin tanto che non interviene qualcun'altro a segnalare gli errori o (temo) a confortare le mie parole.

Soffermiamoci su questo blog:
Windows 8: Fast Boot (http://blogs.msdn.com/b/olivnie/archive/2012/12/14/windows-8-fast-boot.aspx)

Viene indicata passo per passo quella che è la sequenza di azioni che compie l'OS nella fase di spegnimento.
In particolare, nella vecchia procedura è presente un passaggio che secondo me spiega il fenomeno:
punto 6), Windows closes the system session (also known as “Session 0”).

Come dice anche il tizio, infatti, il nuovo meccanismo di spegnimento ibrido di 8 consiste essenzialmente nel log-off di tutti gli utenti per poi "ibernare".

Ibernare = congelare lo stato del kernel, dunque nel ns/caso anche la mappatura degli spazi di memoria riservati alle dll...e addio rilocazione...





A questo punto la riflessione è semplice:
possibile che un semplice nV abbia colto una cosa del genere passata invece inosservata a chi di professione fa questo?

Impossibile, dunque da qualche parte deve nascondersi un arcano.

Attendiamo...:)

se qualcuno nel frattempo se la sente di dire le sue sensazioni, prego:
non sono certo qui a fare l'esame a nessuno (anche perchè c'è poco da esaminare)...


Diciamo sarebbe piacevole uno scambio di vedute poi, se eraser e altri vogliono mettere qualità & chiarezza, ben venga.

Come congetturo io, infatti, potete congetturare anche voi....

Da ignorante e premesso che non uso win8, chi ha win8 e usa "avvio rapido" si trova rispetto all'aslr, nel passaggio tra una sessione e l'altra, nella stessa condizione di chi lasciasse costantemente acceso il pc?
Ciò comporta una riduzione della sicurezza?

Ciao

hai riassunto perfettamente.

Se si ha la funzionalità avvio-veloce attivata (ed è attiva di default) e il PC si SPENGE (togliendogli proprio corrente tramite l'opzione arresta)/riaccende, elementi come advapi32.dll e n altri risultano sempre mappati al solito indirizzo (0x7xxxx, con xxxx che è sempre uguale!!!).

AaLl86 ci dice che in 8 è cambiata "la logica di creazione dei valori base randomizzati" ecc:
di fatto, xò, PE non coglie nulla di tutto ciò visto che "legge" i soliti valori tra sessioni differenti.


Questo fin tanto che non si rimuove il fast-start-up che apparentemente sembra far rientrare il fenomeno.



:help:

Un chiarimento.
Facciamo il caso che si avvii il pc con avvio_veloce disabilitato e che l'elemento "A" venga mappato all'indirizzo "1"; a questo punto si abilita avvio_veloce e si riavvia: l'elemento "A" è sempre mappato all'indirizzo "1" e ciò si ripete costantemente tutte le volte che si riavvia con avvio_veloce abilitato?
Poniamo che a questo punto si disabiliti avvio_veloce, si riavvii e che l'elemento "A" venga mappato all'indirizzo "2". Ri-abilitando avvio_veloce, l'elemento "A" verrà sempre mappato all'indirizzo "2"?

Ciao

Ciao!
Mi sa che stai facendo un po' di confusione: per "Avvio rapido" (a parte che questo nome non l'ho mai sentito) intendi l'hybrid boot oppure hybrid Shutdown? Se si è ovvio che l'indirizzo di una DLL non cambia.
Infatti per Hybrid boot si intende un meccanismo per mandare in Sospensione ibrida il PC, non per eseguire il classico shutdown completo.

Nel caso di sospensione ibrida, tutte le pagine di memoria che appartengono al kernel vengono salvate così come sono su disco fisso (come la classica sospensione) e vengono poi successivamente ripristinate (il file è il solito "hiberfil.sys"). In questo modo ASLR non ha modo di (re)inizializzarsi e calcolare il seed iniziale. Ma a parte questo, anche se ne avesse modo, molti moduli del kernel risulterebbero già attivi e caricati, quindi sarebbe un ASLR applicato un po' a metà solo sui moduli utente. La differenza tra sospensione ibrida e sospensione classica sta solo nel fatto che nella classica viene salvato su disco anche il contenuto di tutte le pagine utente e quindi successivamente ripristinata l'intera sessione di lavoro, mentre ciò non avviene in quella ibrida...

Per eseguire uno shutdown completo con Hybrid boot attivo devi eseguire il comando: "shutdown /s /full / t 0". In questo modo ti posso assicurare che tutto il kernel verrebbe ricaricato da zero da disco e ASLR rinizializzato.

Puoi trovare una analisi tecnica abbastanza esauriente (anche se non copre assolutamente i dettagli della sua implementazione, ma questo credo sarà materiale per il prossimo "Windows Internals") sul blog ufficiale di MS: http://blogs.msdn.com/b/b8/archive/2011/09/08/delivering-fast-boot-times-in-windows-8.aspx

Regards,
Andrea

ps. So che il mio italiano fa veramente pena, ... è per questo che preferisco scrivere in inglese... Ahahah XD :)

scusa la confusione, ma per avvio rapido intendo questo:

http://s7.postimage.org/oyjrbjlzb/Immagine_1.jpg (http://postimage.org/image/oyjrbjlzb/)

(è chiamato cmq cosi' in 8 localizzato in italiano)...

Ad es., fonte: cliccami (http://www.eightforums.com/tutorials/6320-fast-startup-turn-off-windows-8-a.html)



Poichè il ragionamento che fai è logico (peraltro stai rispondendo proprio in merito all'oggetto cui mi riferivo), a me sembra che la scelta di sacrificare parte della "sicurezza" per questo discorso dell'avvio più rapido sia una gran cazzata o, quantomeno, bisognerebbe metterne al corrente gli utenti lasciando a loro la scelta da percorrere....


Detto questo, GRAZIE!! :flower:



Mi dispiace solo constatare che eraser si sia offeso al punto da non considerare nè il mio privato ne i miei ripetuti inviti a passar oltre l'attrito che si è prodotto...
Peccato perchè non volevo generare tutto questo casino..:boh:

interessante anche se dal contenuto molto ermetico (diciamo che lo posto come se il thread fosse un grande post-it),

Reversing Windows8:
Interesting Features of Kernel Security (http://hitcon.org/2012/download/0720A5_360.MJ0011_Reversing%20Windows8-Interesting%20Features%20of%20Kernel%20Security.pdf)

di MJ0011, la ricordate? (si, è una donna)..

Si riesuma questo thread cosi' almeno qui me le dico...e qui me le rispondo.


Siamo infatti ad un livello di mediocrità tale che mi viene voglia di autobannarmi pur di non leggere più quello che mi tocca leggere specie in altre sezioni di forum.

Ma che hanno aperto i cancelli su HW? :mbe:

...dunque, visto che dicevo che qui me le potevo dire, mi ricordo che è uscita da qualche giorno la versione 4.01.03 di Sbxie.

Mi metto anche il link alla versione @ 64bit tante volte dimenticassi da dove scaricarlo :asd: ,
http://www.sandboxie.com/SandboxieInstall64-401-03.exe

Ragazzi, confesso che è meraviglioso parlare a voce alta in un luogo "nascosto" specie quando ci si rende conto che parlare a platee più ampie ma formate prevalentemente da mediocri è inutile oltrechè rischioso.

Almeno una cosa l'ho imparata, dai...

Nel frattempo, studio se devo ricordarmi altro visto che ho riuppato la discussione.

Giusto! :fagiano:

Devo ricordarmi di aggiornare il PC (+ o - alle 19 di stasera, MS Security Bulletin Summary for March 2013 (http://technet.microsoft.com/en-us/security/bulletin/ms13-mar)) e comunico a chi dovesse leggere che mi fù detto dal supporto EMET che a regola prima della metà di Aprile pensavano di tirar fuori una nuova beta col pieno supporto ad 8.

Alla faccia delle tempistiche, cmq...:rolleyes:

E' anche vero che se la prendono comoda anche sul versante ExploitShield, xò cavolo...

Carino! :flower:

Sempre su EMET, ho trovato una cosina che mi è piaciuta parecchio e alla quale non avevo mai pensato.

I settaggi per-applicazioni, infatti, EMET li "stocca" nel registro di sistema.
Quindi, utilizzando anche uno strumento come Process Monitor è possibile vedere come vengono applicate le rispettive restrizioni (per processo):

http://i45.tinypic.com/s1nqtl.jpg

Cortesia di un bravo utente del forum ufficiale su EMET.

Io leggo sempre quello che posti/postate qui in questo thread... :D

Purtroppo uso SOLO hips puri vecchia maniera (NO sandbox), e quindi sono fermo al D+ del CIS (ovviamente senza sandbox) da anni ormai.
Non mi sembra ci siano hips puri superiori, giusto?

bravo done, meglio pochi ma buoni che tanti e mediocri (e vi assicuro che lo dico non già perchè mi ritenga chissà come, bensi' perchè gli altri [una marea] sono realmente gentucola).


Chiarito questo, d'obbligo, si, temo che allo stato su 64bit di "hips puro" vi sia solo CIS < 6.0.
Su 32 bit, andrei invece senza ombra di dubbio su MD...

altra cosa e per chiarire la parte che ho scritto tra parentesi:
non è tanto per un discorso (legittimo) di ignorare una cosa che mi porta ad affermare quello che ho detto, ma è il modo saccente, arrogante e presuntuoso con cui si rapportano coloro che non sanno veramente un °||° che mi fa sbroccare visto che parlano comunque per-sentenze.

Vale per la vita in generale, sia chiaro, e infatti mi fa pena allo stesso modo.

Ma che hanno aperto i cancelli su HW? :mbe:Siiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii ed infatti sono tornata :sofico:

Carino! :flower:

Sempre su EMET, ho trovato una cosina che mi è piaciuta parecchio e alla quale non avevo mai pensato.

I settaggi per-applicazioni, infatti, EMET li "stocca" nel registro di sistema.
Quindi, utilizzando anche uno strumento come Process Monitor è possibile vedere come vengono applicate le rispettive restrizioni (per processo):

http://i45.tinypic.com/s1nqtl.jpg

Cortesia di un bravo utente del forum ufficiale su EMET.
Non ho capito niente, te lo immaginavi, lo so :asd:
Esiste un modo semplice per spiegare la cosa? Molto semplice .... :stordita:

Siiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii ed infatti sono tornata :sofico:
i cancelli cui pensavo... erano diversi, Roby :flower:


Non ho capito niente [...]
Esiste un modo semplice per spiegare la cosa? Molto semplice .... :stordita:
si, forse un modo esiste anche se rimando tutto a domani.

Unico input che mi sento di dare stasera:
EMET è un programma trasparente e le mie elucubrazioni, fondamentalmente, non hanno utilità nell'uso quotidiano.

Tradotto:
anche là dove risultassero incomprensibili, non è necessario capire perchè, a meno di bug, le restrizioni funzionano a prescindere dal fatto che un utente sappia gettare un occhio + o - attento alle meccaniche che stanno "dietro le quinte".

Quindi, si può tranquillamente passare oltre e "ridurre" i miei post... a "meri post-it" :asd:

Ciaoooo

si, forse un modo esiste anche se rimando tutto a domani.

c'ho riflettuto un pò e credo sia meglio evitare principalmente per 2 motivi:
1) sarebbe fine a se stesso dato che, come ho detto, nel quotidiano non è assolutamente necessario dover conoscere alcuni dettagli
2) non sono eraser e, come capirai, la materia è alquanto tecnica sebbene un'idea la potrei dare anch'io.

Sono sicuro che tu non ti offenda anzi, se hai qualsiasi cosa da chiedere, fallo senza timore...e speriamo che sappia rispondere.


Ciao

No, no, non mi offendo, ci mancherebbe pure :asd:

Tutto quello che so me lo avete spiegato voi su questo forum!
E' solo che sono curiosa :D

http://ompldr.org/taHNkbw (http://ompldr.org/vaHNkbw/emet2.PNG)

Non capisco come mai alcune volte quando avvio chrome in sandboxie non si apre e mi esce una bella notifica di EMET, allora chiudo l'area virtuale, lo rilancio e finalmente si apre :what:

Prova in emet a disabilitare l'eaf per il browser, di solito è questo che crea problemi (anche coi pdf a volte)

lettura davvero interessante (quantomeno la parte discorsiva) sul tema "Sandbox":
The Sandbox Roulette (http://blogbromium.files.wordpress.com/2013/03/blackhat-2013-sandbox-roulette_wp.pdf), Blackhat 2013 (pdf (http://blogbromium.files.wordpress.com/2013/03/wojtczuk-kashyap-bheu13_slides.pdf)).

Notizia:
cliccami (http://blogs.bromium.com/2013/03/15/blackhat-eu13-are-you-playing-sandbox-roulette/), fonte: solito Wilderssecurity...

lettura davvero interessante (quantomeno la parte discorsiva) sul tema "Sandbox":
The Sandbox Roulette (http://blogbromium.files.wordpress.com/2013/03/blackhat-2013-sandbox-roulette_wp.pdf), Blackhat 2013 (pdf (http://blogbromium.files.wordpress.com/2013/03/wojtczuk-kashyap-bheu13_slides.pdf)).

Notizia:
cliccami (http://blogs.bromium.com/2013/03/15/blackhat-eu13-are-you-playing-sandbox-roulette/), fonte: solito Wilderssecurity...
ok, ho tentato di leggere con attenzione il materiale e un'idea me la sono fatta.

Guardo di tirare giù una sintesi comprensibile.

PS: non pensate che faccia qualcosa di straordinario perchè fondamentalmente vado a fondere quello che ho assimilato negli ultimi anni con la parte discorsiva dell'articolo che è alla portata di tutti a patto ovviamente di conoscere un pò d'inglese.

Qual è il vantaggio di usare un BB insieme ad un HIPS?
Nell'ultima suite di Comodo sono integrati, ma io non capisco che senso ha ....
Se uso l'HIPS non mi serve il BB o forse mi sfugge qualcosa ?! :eh:

Qual è il vantaggio di usare un BB insieme ad un HIPS?
Nell'ultima suite di Comodo sono integrati, ma io non capisco che senso ha ....
Se uso l'HIPS non mi serve il BB o forse mi sfugge qualcosa ?! :eh:

ti sfugge che il loro bb è basato sull'hips,cioè in base al livello di restrizione che li dai alzano o abbassano il livello dell'hips....tipo un pilota automatico

se sei un utente esperto non hai bisogno del pilota automatico,decidi tu e sei più sicuro

A parte Comodo e la filosofia della sua nuova suite, che proprio non condivido :asd:, io non capisco che senso ha usare questi due tipi di software insieme :stordita:

Chi vuole provare in anteprima ExploitShield Browser Edition 0.9 (http://www.wilderssecurity.com/showthread.php?t=344265) mandi un privato all'autore del thread.

Io ho pronta la VM con 8 per qualche ora di test non appena mi fornirà le istruzioni.

Ciao :)

Stavolta ES 0.9 va liscia come l'olio (mi sono concentrato infatti esclusivamente su un discorso di usabilità).

Le "innovazioni":
"Since version 0.8 we have been working really hard into expanding ExploitShield's detection and blocking capabilities of advanced vulnerability exploits.
We have integrated its hooking mechanism lower into the Operating System to prevent potential bypasses and have added quite a few new exploit detection techniques such as memory checks in order to detect and block exploits at an earlier stage."

Consiglio davvero a chi fosse interessato di contattarlo per farsi dare il link per una presa-visone specie se ha una VM sottomano.

A parte Comodo e la filosofia della sua nuova suite, che proprio non condivido :asd:, io non capisco che senso ha usare questi due tipi di software insieme :stordita:

Non condividi la nuova filosofia perchè non sei niubba.
CIS 6 per i niubbi è molto più semplice.
Per noi invece c'è da smanettare 10 minuti per riportare tutto come nelle precedenti versioni.

trovo quest'esperienza molto interessante:
TDL4 Rootkit and Imaging Apps (http://www.wilderssecurity.com/showthread.php?t=344358)

In poche parole, Aigle ha infettato di proposito il proprio sistema (VM o reale non è importante) con 2 virus della famiglia TDL 4, uno che infetta semplicemente il MBR, l'altro il VBR.

Entrambi creano un File System (FS) apposito come "luogo" nel quale "stoccare" parte dei componenti che gli sono necessari per permettergli di caricarsi ad ogni reboot.

Ebbene, neppure la formattazione ha la capacità di eliminare il FS infetto.
Idem per i tool di immagine utilizzati (macrium reflect free/paragon free).

E' ovvio che in entrambi i casi (ricorrere ad un'immagine/formattare) restano solo residui del Bootkit dunque nessun pericolo.

Quello su cui lui focalizza l'attenzione, cmq, è il fatto che restino "tracce" dell'infezione se pur disattivata.


Messaggio:
occhi agli HD che comprate sui mercatini :D

lettura davvero interessante (quantomeno la parte discorsiva) sul tema "Sandbox":
The Sandbox Roulette (http://blogbromium.files.wordpress.com/2013/03/blackhat-2013-sandbox-roulette_wp.pdf), Blackhat 2013 (pdf (http://blogbromium.files.wordpress.com/2013/03/wojtczuk-kashyap-bheu13_slides.pdf)).

Notizia:
cliccami (http://blogs.bromium.com/2013/03/15/blackhat-eu13-are-you-playing-sandbox-roulette/), fonte: solito Wilderssecurity...

ok, ho tentato di leggere con attenzione il materiale e un'idea me la sono fatta.

Guardo di tirare giù una sintesi comprensibile.


in poche parole (ma davvero in poche parole), il concetto è semplice:
uno strumento di prevenzione proattiva (in questo caso un Sandbox anche se il concetto non cambierebbe nell'ipotesi in cui si considerasse un HIPS tradizionale) è robusto...cosi' quanto è robusto il Kernel del sistema su cui è installato.

Anche ipotizzando infatti che lo strumento di prevenzione considerato sia ben programmato, di fronte ad una vulnerabilità del kernel (in particolare i bug che consentono di acquisire maggiori privilegi rispetto a quelli che gli sarebbero altrimenti riconosciuti) il Sandbox può fare ben poco per contenere ciò che ha programmato chi lancia l'attacco.


Più che il Sandbox, pertanto, conta quanto è robusto il Kernel di un OS.

per riallacciarmi al concetto sopra (un Sandbox è robusto...a patto che sia robusto il kernel del sistema operativo su cui è installato), voglio provare (fondamentalmente) a tradurre quello che è scritto nell'articolo cosi' da tentare di offrire una visione il più aderente possibile a quello che è scritto nel pezzo.

Anzitutto una premessa:
uno dei 2 tizi che ha firmato l'articolo è considerato semplicemente "avanti", rafal wojtczuk (http://www.blackhat.com/usa/speakers/Rafal-Wojtczuk.html) :ave:

Dopo averci dunque descritto in 2 battute cosa è un Sandbox (un ambiente pensato per far girare codice insicuro in un modo tale che il codice incapsulato non danneggi il resto del sistema), analizza quella che è la debolezza di fondo di uno strumento di questo tipo.

Il kernel di Windows - dice il nostro amico - presenta un ampia superficie di attacco per figure di altissimo profilo, e un exploit mirato sul kernel può bypassare tranquillamente le restrizioni poste dal Sandbox.
Questo tipo di attacco è da considerare a tutti gli effetti un rischio concreto o, quantomeno, al pari degli altri rischi.

E rafforza il concetto del rischio reale proveniente da questo vettore di attacco:
se da un lato queste soluzioni di difesa sono oggettivamente ben costruite (= non soffrono di clamorosi bug), gli attacchi al kernel sono molto frequenti sebbene richiedano menti altamente qualificate per essere sviluppati.

Di fronte a queste minacce, dunque, coloro che si avvalgono di un Sandbox sono sempre di fronte ad una sorta di Roulette (in poche parole: andrà a finire bene??)..

E il problema qual'è, allora, visto che si parla di Sandbox?

Fondamentalmente queste soluzioni vivono attorno ad un driver che ha il compito di alterare il comportamento che sarebbe altrimenti riconosciuto dal sistema a quell'applicazione.
Il problema, dunque, risiede nel fatto che, a meno di non chiudere l'accesso a qualsiasi risorsa rendendo dunque impossibile l'esecuzione del codice incapsulato nel Sandbox, resteranno sempre canali (kernel interface) accessibili per l'esecuzione remota (= indotta) di codice che gira in modalità kernel.

Di fatto, quindi, il PC è a pecorina. :read: perchè a questo punto, tanto il Sandbox che il codice nocivo lavorano al solito livello e lo strumento di difesa non può più contare su alcuno strumento teso a proteggerlo.

Fine.


Resta l'esempio che a breve integro.

Ok, l'esempio che porta:

ms12-042 (CVE-2012-0217) (http://technet.microsoft.com/it-it/security/bulletin/ms12-042)
che poi ha scoperto lui :asd: (per dire, io posso scoprire giusto l'acqua calda :stordita: :D )...

HIPS testato:
Sandboxie su Windows 7 SP1 x64

Ci dice quindi che l'exploit "viaggia che è una bellezza" ("The exploit worked flawlessly, providing the ability to run arbitrary code in kernel mode") ma al contempo ci consola facendoci presente che l'exploit ha bisogno di un "surplus" per essere realmente utile su un sistema protetto da Sandboxie ("A slight twist is that the usual kernel shellcode that just steals the SYSTEM access token is not particularly useful to the attacker. Although the attacker gains SYSTEM rights in his user mode process, the process is still confined by Sandboxie (and an attempt to kill a nonsandboxed process from this SYSTEM shell fails). The attacker needs to perform some extra work while in kernel mode").

E fa vedere quindi cosa poter fare...


Insomma, credo tutto parli da solo anche se il vostro amato :D nV confessa che confiderà sempre su soluzioni di questo tipo per proteggere meglio la propria postazione.

Semplicemente, lo farà sapendo che in circostanze (rare) gioca un pò alla Roulette.


Di nuovo :)

dimenticavo giusto per dovere di cronaca:

l'altrettanto "amato" :asd: EP_X0FF su kernelmode.info fa presente senza tanti giri di parole quanto ama queste soluzioni e i loro sviluppatori.

In pratica, fosse per lui tutti a lavorare.. :D


Ma vabbè, si sa che il tipo è estremo, altro che nV :ciapet:

dimenticavo:

è logico che oggi non è più possibile sfruttare quel canale (CVE-2012-0217) per acquisire maggiori privilegi dato che è stata rilasciata a suo tempo la patch (ms12-042, appunto).

E' il concetto cmq che resta valido...


Di nuovo,
l' "amato" :ciapet: nV :Prrr: da Lucca :D

ah, dimenticavo 3:
sarebbe gradito un qualsiasi commento in proposito (anche se non avete capito nulla):
al più, si prova a ripetere con altre parole.


'namo, che i monologhi non li amo... :fiufiu:


Aspetto paziente,

il vs amato nv :D

Sei stato chiaro.
In sostanza sandboxie sui 64 bit non è infallibile, ma le probabilità di infettarsi sono comunque le stesse che si hanno di fare 6 al superenalotto?
Ma secondo te se a sandboxie abbino un buon HIPS ( intendo quello di comodo) l'exploit ha + o - probabilità di sferrare il suo attacco?:mbe:

come la vedo io?

Il fatto che attaccato sia Sandboxie & i suoi fratelli non c'entra nulla perchè:
- vale per qualsiasi strumento di prevenzione sia esso Sandbox o HIPS
- non c'entra nulla nè l'essere @ 64bit o a 32.

Quello che vuol dire è che di fronte a gente con gli stra-°° che tirano giù un exploit di quella natura, la vera difesa non è ciò che uno utilizza per proteggere il sistema ma l'architettura del sistema stesso (kernel).

Più questo è robusto (e 8 ad es è mooolto migliore di 7 e dei suoi fratelli), più è robusto (effettivo) lo strumento di prevenzione.

In altre parole, se l'exploit è del tipo visto sopra (non rivolto cioè ad una specifica applicazione o user-mode exploit..), non esistono difese se non il kernel stesso (che però come abbiamo visto è bucabile)...

come la vedo io?

Il fatto che attaccato sia Sandboxie & i suoi fratelli non c'entra nulla perchè:
- vale per qualsiasi strumento di prevenzione sia esso Sandbox o HIPS
- non c'entra nulla nè l'essere @ 64bit o a 32.

Quello che vuol dire è che di fronte a gente con gli stra-°° che tirano giù un exploit di quella natura, la vera difesa non è ciò che uno utilizza per proteggere il sistema ma l'architettura del sistema stesso (kernel).

Più questo è robusto (e 8 ad es è mooolto migliore di 7 e dei suoi fratelli), più è robusto (effettivo) lo strumento di prevenzione.

In altre parole, se l'exploit è del tipo visto sopra (non rivolto cioè ad una specifica applicazione o user-mode exploit..), non esistono difese se non il kernel stesso (che però come abbiamo visto è bucabile)...

Ok grazie, chiarissimo.

come la vedo io?

Il fatto che attaccato sia Sandboxie & i suoi fratelli non c'entra nulla perchè:
- vale per qualsiasi strumento di prevenzione sia esso Sandbox o HIPS
- non c'entra nulla nè l'essere @ 64bit o a 32.

Quello che vuol dire è che di fronte a gente con gli stra-°° che tirano giù un exploit di quella natura, la vera difesa non è ciò che uno utilizza per proteggere il sistema ma l'architettura del sistema stesso (kernel).

Più questo è robusto (e 8 ad es è mooolto migliore di 7 e dei suoi fratelli), più è robusto (effettivo) lo strumento di prevenzione.

In altre parole, se l'exploit è del tipo visto sopra (non rivolto cioè ad una specifica applicazione o user-mode exploit..), non esistono difese se non il kernel stesso (che però come abbiamo visto è bucabile)...

In altre parole ancora, il 100% di protezione NON ESISTE. :)

esatto.

Il tizio, peraltro, trova vulnerabilità in qualsiasi Kernel (Linux, MS,..) dunque contro una reale volontà di attacco che viene da queste menti c'è veramente poco da fare.


La realtà, però, dice che statisticamente è improbabile imbattersi in queste MACRO-vulnerabilità, ergo secondo me un'utenza domestica ha di che beneficiare (ma alla grande, anche) dall'uso di questi strumenti (quantomeno quelli rispondenti ai nomi più volte trattati da me nel corso del thread) per combattere i rischi "più probabili".


Il resto è "dottrina" fino ad un certo punto...

Ho capito pure io :asd:

PS: Comodo mi sta andando sulle °° con questa storia dell'user-friendly ... DefenseWall non è freeware, vero?

Ho capito pure io :asd:

PS: Comodo mi sta andando sulle °° con questa storia dell'user-friendly ... DefenseWall non è freeware, vero?

mi dispiace deluderti ma sui 64 bit comodo settato bene rimane ancora la soluzione migliore

ps defence wall non è free e non è per i 64 bit

C'è troppa roba in quella suite per i miei gusti :asd:

Spero sarà possibile installare solo Firewall e HIPS, altrimenti dovrò spostarmi su un HIPS puro e la cosa mi spaventa un po' :stordita:

Spero sarà possibile installare solo Firewall e HIPS, altrimenti dovrò spostarmi su un HIPS puro e la cosa mi spaventa un po' :stordita:

Ovviamente si, quando mai non si è potuto?

mi dispiace deluderti ma sui 64 bit comodo settato bene rimane ancora la soluzione migliore

by far.

Ovviamente si, quando mai non si è potuto?
Non si sa mai, done .... questi so' strani .... avevano un ottimo programma e lo stanno rendendo mediocre ....

Scusate, la smetto che vado troppo OT :D

Non si sa mai, done .... questi so' strani .... avevano un ottimo programma e lo stanno rendendo mediocre ....

Scusate, la smetto che vado troppo OT :D

Ammazza..se CIS è mediocre (come ti dice anche arny è il TOP su 64 bit) gli altri cosa sono? :stordita:

E non sei affatto OT, CIS è (anche) un HIPS.

Non si sa mai, done .... questi so' strani .... avevano un ottimo programma e lo stanno rendendo mediocre ....

Scusate, la smetto che vado troppo OT :D

http://www.matousec.com/projects/proactive-security-challenge-64/results.php

Anzi, voglio andare io volutamente io un attimo OT per poter esprimere un pensiero!!! Visto che è sul tema "Sicurezza" lo posto comunque qui...

Per carità, non voglio minimamente mettere in discussione le competenze tecniche degli utenti Wilders (sono evidentemente preparatissimi).....ma l'aria di Fanboysmo che si respira là dentro è un qualcosa di tangibile, al limite del fastidioso. :D

In particolare è talmente evidente l'odio per Avira e Comodo...da rasentare quasi il ridicolo... :rolleyes:

L'unica ragione che mi viene in mente è quanto possa aver alla maggior parte dei loro "smanettoni" bruciato il deretano per il fatto che quest'accoppiata è stata PER QUASI UN LUSTRO (!) AL TOP ASSOLUTO DEI PRODOTTI DI SICUREZZA FREEWARE... :asd:

Roby_P prova anche Online Armor :)

Non so come sia oggi, ma so com'è oggi CIS, quindi ritengo più che sensato provare altro

Anzi, voglio andare io volutamente io un attimo OT per poter esprimere un pensiero!!! Visto che è sul tema "Sicurezza" lo posto comunque qui...

Per carità, non voglio minimamente mettere in discussione le competenze tecniche degli utenti Wilders (sono evidentemente preparatissimi).....ma l'aria di Fanboysmo che si respira là dentro è un qualcosa di tangibile, al limite del fastidioso. :D

In particolare è talmente evidente l'odio per Avira e Comodo...da rasentare quasi il ridicolo... :rolleyes:

L'unica ragione che mi viene in mente è quanto possa aver alla maggior parte dei loro "smanettoni" bruciato il deretano per il fatto che quest'accoppiata è stata PER QUASI UN LUSTRO (!) AL TOP ASSOLUTO DEI PRODOTTI DI SICUREZZA FREEWARE... :asd:

Wilders è un bacino di idee, magari assurde e da fanboy, ma mai sterili...
contiamo quante riflessioni di questa discussione (forse la più interessante, meno superficiale e meno qualunquista della sezione, ndr) sono partite da Wilders? :D :D

Wilders è un bacino di idee, magari assurde e da fanboy, ma mai sterili...
contiamo quante riflessioni di questa discussione (forse la più interessante, meno superficiale e meno qualunquista della sezione, ndr) sono partite da Wilders? :D :D

Moltissime, e infatti avevo specificato la formidabile preparazione tecnica dei loro power-user.

Ciò non toglie che verso Avira e Comodo non riescano ad essere obiettivi, e questo non può non inficiare l'intero giudizio.

Utilissimi si, perfetti assolutamente NO. ;)

per riallacciarmi al concetto sopra [...], voglio provare (fondamentalmente) a tradurre quello che è scritto nell'articolo cosi' da tentare di offrire una visione il più aderente possibile a quello che è scritto nel pezzo.
non so se qualcuno peraltro ha notato che ho trascurato di proposito la parte dell'articolo relativo a quello che il tizio chiama "Sandbox type 2: Master/Slave sandbox" che sarebbe sicuramente interessante da leggere perchè affronta il concetto di Sandbox implementato in strumenti come Chrome/Adobe Reader (di cui, confesso, non so praticamente nulla).

Ma al di là di questo (spero anzi qualcuno si prenda la briga di spendere 2 parole in proposito cosi' da avere un'integrazione ai limiti del thread che non si è spinto mai oltre il concetto di "Sandbox type 1" alla Sbxie/DWall), volevo porre l'attenzione su un elemento:
nella parte in cui parla della principale debolezza (di fondo) degli strumenti di tipo 2 (vedi sopra), fa riferimento a quello che è uno degli elementi più aggrediti del kernel di Windows, cioè il sottosistema grafico implementato nel driver win32k.sys.

Ebbene, in 8 le cose sono cambiate (vedi velocemente anche qui (http://www.hwupgrade.it/forum/showpost.php?p=38429667&postcount=4287)) secondo la logica di rendere più oneroso anche in termini intellettuali portare a termine exploit sul kernel.

[...] Per carità, non voglio minimamente mettere in discussione le competenze tecniche degli utenti Wilders....ma l'aria di Fanboysmo che si respira là dentro è un qualcosa di tangibile, al limite del fastidioso. :D
guarda, è probabile che sia vero ma cose clamorose si vedono anche su HW senza dover scomodare piazze estere che, in confronto, sono luoghi di culto tanto sono pacati...:D

Io, x es e per rimanere sul capitolo fanboismo, passo come detrattore Windows a tutti i costi e, ultimamente, come sbandieratore del motto "8 über alles".

Ebbene, sai perchè?
Non già perchè io sia nel giusto e gli altri nel torto bensi' perchè vengono portate spessissimo a sostegno delle loro idee cose semplicemente prive di buon senso.
E quando fai notare che in una risposta c'è il niente in termini di contenuti, allora ecco affibbiata la maschera del fanboy (e relative sospensioni perchè spesso mi si chiude anche la vena)...

per es:
ok, a me personalmente 8 piace.

E questa possibilità l'ho avuta approfittando della promozione a 30€ cui era proposto....

E qui i maliziosi già dicono:
perchè, quanto volevi spendere se 8 non ne vale di più di quella cifra?

A parte il fatto che non è vero, se mi faccio i conti in tasca e non avessi approfittato della promozione, semplicemente non mi sarei potuto permettere di cacciare 200€ per il nuovo sistema operativo e mi sarei tenuto stretto quello che avevo (7).

Ora:
se questo è innegabile, vi garantisco che col cambio macchina avrei messo in programma anche l'acquisto del nuovo sistema operativo.

Si, anche solo per un discorso di ottimizzazioni sulla sicurezza dato che io sono fissato su questo capitolo.

Dunque?

8 non valeva più di 30€...o io non potevo permettermi di spendere oggi 200€?

7, allora, era meglio di 8??

No!

8 è meglio di 7...e io ero semplicemente a farmi i conti in tasca.


Fazioso, ti dicono...

guarda, è probabile che sia vero ma cose clamorose si vedono anche su HW senza dover scomodare piazze estere che, in confronto, sono luoghi di culto tanto sono pacati...:D

Sarà...

http://www.matousec.com/projects/proactive-security-challenge-64/results.php
Grazie arny ^^
Scusa arny, ma per me è un po' dura leggere quel papiro in inglese :P
Hai idea di dove si parli di fosse impostato Comodo e che moduli fossero attivi? Così mi leggo solo quello ...

Ammazza..se CIS è mediocre (come ti dice anche arny è il TOP su 64 bit) gli altri cosa sono? :stordita:
Mi riferivo alle impostazioni di default ....
Per me non è logico che si debbano disabilitare moduli per ottenere un prodotto efficiente :(
Roby_P prova anche Online Armor :)
Grazie cloutz!
Quanto tempo! Come stai? :)

@nV
Ti ricordi quando mi hai aiutato a configurare il D+ aggiungendo/modificando le regole per system ed explorer?
Sappi che funziona alla grande :sofico:
In caso di intrusione non desiderata escono un sacco di pop up, sufficienti a far capire anche ad un nabbo che sta succedendo qualcosa di "non buono" :asd:

fa piacere vedere un certo impulso, segno che c'è anche il bisogno di parlare d'altro...;)

Salve ragazzi, avrei da farvi una domandina: ma un buon modulo HIPS riesce a proteggere e avvisare in caso di presenza di Rootkit invisibili?

Vi dico questo perchè ultimamente credo di esser stato infettato dal mbr rootikit (o da qualche sua variante sconosciuta...poi non saprei) > LINK (http://www.hwupgrade.it/forum/showpost.php?p=39258852&postcount=3531).

Per abbreviare il discorso dico che questo malware resisteva anche alle formattazioni (stavo quasi per cestinare il disco rigido), resisteva alle scansioni con HitmanPro (che non mi rilevava un bel nulla) e additittura mi oscurava sia ProcessExplorer che Malwarebytes...insomma alla fine avevo risolto utilizzando una live CD di Linux (PartedMagic) cancellando prima il mbr e poi con una formattazione a basso livello :eek:.

Premetto anche che Windows 7 x 64 era completamente aggiornato con le ultime patch di sicurezza, i programmi tutti aggiornati compreso Roboscan che usa le firme di BitDefender, e l'UAC impostato in high level.

Se devo dire la mia forse uno dei pochi moduli HIPS in grado di segnalare questa minaccia è l'ottimo Malware Defender (?), ma il mio SO è 64 bit quindi per quel poco che ne so mi sembra che questo HIPS sia compatibile solo con sistemi x86.

Dimenticavo di dire che in quei precisi istanti avevo anche difficoltà ad accedere in modalità provvisoria, e dopo aver smanettato ed esser riuscito ad accedere in modalità provvisoria Windows mi segnalava degli errori su una schermata nera che si visualizzava prima dell'avvio di tale modalità...

ok, si fa per capire perchè tanto ormai hai risolto.

7 x64 + UAC max ==> ti sei infettato comunque, giusto? (perchè quello che hai descritto è sicuramente sintomatico di infezione).

E già questo è molto raro proprio perchè a regola l'UAC max(ed) dovrebbe evitare un'impropria elevazione dei privilegi (da un IL solitamente medio (o basso...) che è quello del processo infetto, infatti, il processo del malware dovrebbe passare ad un IL quantomeno alto che dovrebbe essergli inibito proprio dall'UAC).

L'OS, peraltro, era aggiornato.

3 ipotesi:
1) hai (avevi) java o qualcosa del genere e (cazzarola) hai beccato qualche vulnerabilità di questo modulo che in qualche maniera ha scalato i privilegi altrimenti riconosciuti bypassando l'UAC (chiaramente questo vettore - java ad es - non era ancora patchato contro quell'attacco)
2) hai beccato realmente un kernel mode exploit che ti ha veicolato il malware indipendentemente dall'uso dell'UAC al massimo o - e del SUA...
3) sei stato indotto in qualche maniera a dare l'OK al consent prompt dell'UAC *credendo* che il processo che ti aveva fatto la richiesta di > privilegi fosse un processo benigno (ce ne sono 1000 di virus cosi')...


Insomma, la rete è un organismo difficile...

1) hai (avevi) java o qualcosa del genere e (cazzarola) hai beccato qualche vulnerabilità di questo modulo che in qualche maniera ha scalato i privilegi altrimenti riconosciuti bypassando l'UAC (chiaramente questo vettore - java ad es - non era ancora patchato contro quell'attacco)

Si avevo Java (aggiornato), ma Java mi serve e quindi lo devo tenere per forza.

2) hai beccato realmente un kernel mode exploit che ti ha veicolato il malware indipendentemente dall'uso dell'UAC al massimo o - e del SUA...

E' possibile...

3) sei stato indotto in qualche maniera a dare l'OK al consent prompt dell'UAC *credendo* che il processo che ti aveva fatto la richiesta di > privilegi fosse un processo benigno (ce ne sono 1000 di virus cosi')...

Non ho dato nessun OK e non ho visto nessuna richiesta di conferma UAC...
premetto che non ne capisco nulla di virus/malware (e varianti varie), exploit, etc., comunque non sono scemo al punto di dare l'OK su richieste UAC sconosciute o di roba che non conosco :D :p.

Di sicuro sarà stato qualche malware che infetta il mbr e quindi resistente anche alle formattazioni, insomma difficile da eliminare perchè infetta sia i primi settori del disco rigido e sia gli utlimi settori:

"Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.
Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk..."

Fonte > LINK ( http://www.hwupgrade.it/forum/showpost.php?p=21854177&postcount=1)

a parte il fatto che il punto 3 l'ho spiegato male, per tutelarsi contro i MBR Rootkit (o Bootkit) c'è sempre il metodo dello struzzo (per chi ne ha ovviamente la possibilità),
http://www.hwupgrade.it/forum/showthread.php?t=2540134



E finchè dura... :read:

:D

PS:
ora leggo il tuo reply

Si avevo Java (aggiornato), ma Java mi serve e quindi lo devo tenere per forza.

avere java aggiornato...significa cmq avere il PC gira e rigira sempre a pecorella perchè, essendo sistematicamente attaccato,...

premetto che non ne capisco nulla [...] comunque non sono scemo al punto...
ne sono certo

"Una volta che il dropper viene eseguito ...
grazie per le spiegazioni :Prrr: ma il vero problema resta (secondo me):
dove e come è entrato su un PC a 64 bit, aggiornato e con l'UAC max(ed)?


Java al 99,..........%


E' fine a se stesso saperlo, eh...

In un certo senso mi ritengo fortunato perchè ho risolto con una formattazione a basso livello... (credevo addirittura di essermi beccato quel malware che infetta il bios)

Dico questo perchè facendo ricerche su questo forum ho visto gente che dopo infezioni non ha risolto memmeno con l'acquisto di un nuovo disco rigido perchè hanno avuto la sfortuna di beccarsi quel malware che infetta il bios.

Questo è davvero eccessivo :eek:

Salve ragazzi, avrei da farvi una domandina: ma un buon modulo HIPS riesce a proteggere e avvisare in caso di presenza di Rootkit invisibili?

Vi dico questo perchè ultimamente credo di esser stato infettato dal mbr rootikit (o da qualche sua variante sconosciuta...poi non saprei) > LINK (http://www.hwupgrade.it/forum/showpost.php?p=39258852&postcount=3531).

Per abbreviare il discorso dico che questo malware resisteva anche alle formattazioni (stavo quasi per cestinare il disco rigido), resisteva alle scansioni con HitmanPro (che non mi rilevava un bel nulla) e additittura mi oscurava sia ProcessExplorer che Malwarebytes...insomma alla fine avevo risolto utilizzando una live CD di Linux (PartedMagic) cancellando prima il mbr e poi con una formattazione a basso livello :eek:.

Premetto anche che Windows 7 x 64 era completamente aggiornato con le ultime patch di sicurezza, i programmi tutti aggiornati compreso Roboscan che usa le firme di BitDefender, e l'UAC impostato in high level.

Se devo dire la mia forse uno dei pochi moduli HIPS in grado di segnalare questa minaccia è l'ottimo Malware Defender (?), ma il mio SO è 64 bit quindi per quel poco che ne so mi sembra che questo HIPS sia compatibile solo con sistemi x86.

Dimenticavo di dire che in quei precisi istanti avevo anche difficoltà ad accedere in modalità provvisoria, e dopo aver smanettato ed esser riuscito ad accedere in modalità provvisoria Windows mi segnalava degli errori su una schermata nera che si visualizzava prima dell'avvio di tale modalità...

Perdonami se ti faccio 2 domande:
Hai detto che hai provato a fare un ripristino di immagine ma non è andato a buon fine; che software utilizzi per il backup-ripristino ? Che tu sappia fa anche una copia dell'MBR ?La copia del'immagine che hai utilizzato per il restore dov'era nell'HD del pc o HD esterno?
Grazie

Si avevo Java (aggiornato), ma Java mi serve e quindi lo devo tenere per forza.










Java al 99,..........%


E' fine a se stesso saperlo, eh...

Improbabile, se così fosse saremmo di fronte ad uno 0Day, purtroppo gyonny non ha allegato nessun log che mostri il MBR infetto.

sistema corrotto, allora?

sistema corrotto, allora?

Non ho elementi per poter affermare questo o quello :boh:

lasciamo perdere (era un OT)...

Sano cross-posting (1) nella speranza che qualcuno possa aiutarmi a capire.


Ma se l'elemento win32k.sys, con 8, ha subito un profondo redesign (2, 3,..) al fine di chiudere le ataviche vulnerabilità del sottosistema grafico in oggetto (si!, il 90% delle falle kernel mode che colpivano gli OS MS erano in qualche maniera riconducibili a quest'elemento), perchè (gira e rigira) nelle patch che a cadenza mensile vengono rilasciate continua ad essere coinvolto quest'elemento? :mbe:

Esempio basato sugli aggiornamenti di ieri (privilege elevation):
KB2829996 [MS13-036] (https://technet.microsoft.com/it-it/security/bulletin/ms13-036), vulnerabilità legata alla race condition in win32k - CVE ecc



?



1 TU 8... (http://www.hwupgrade.it/forum/showpost.php?p=39319295&postcount=3809)

2 Reversing Windows8 (http://hitcon.org/2012/download/0720A5_360.MJ0011_Reversing%20Windows8-Interesting%20Features%20of%20Kernel%20Security.pdf) -- in particolare, paragrafo Disallow win32k system call

3 Windows 8 Security and ARM (http://www.alex-ionescu.com/breakpoint2012.pdf)

è probabile un mio ban da questo forum:
ne approfitto per salutare e ringraziare tutti coloro che mi hanno letto e, perchè no, anche voluto bene :)


Grazie di cuore a tutti e speriamo che sia riuscito nel compito di fare formazione (amatoriale).

Questa sarebbe la mia eredità più importante e un piccolo motivo d'orgoglio.


Di nuovo

dai i tuoi post ho letto la prima volta la parola hips ..
mi hai fatto conoscere defensewall...
anche se alla fine sono rimasto sempre una capra
hai tutta la mia stima e ammirazione per quello che hai saputo e
saprai ancora "diffondere"
(anche se ti manca, lo capisco, un confronto all'altezza...) ...:mano:

ciao

forse ho ancora dei Santi in paradiso che mi proteggono (i richiami sono stati cmq più d'uno e di questo ne sono consapevole), dunque mi trovo (allo stato :D ) ancora qui:

GRAZIE


Anche fosse 1 sola persona che ha imparato qualcosa (con tutti i limiti di chi si è arrogato il titolo di "professore" cosa che peraltro non sono), è motivo d'orgoglio perchè ho sempre creduto non già nell'infallibilità degli strumenti reclamizzati bensi' nell'importanza di farne conoscere l'idea di fondo.


E il tuo post mi testimonia chiaramente che ho vinto :flower:


Il mio futuro su HW?
Morto un papa se ne fa un altro...



Confronto all'altezza?
Su questo thread, fondamentalmente tutti quelli che ho avuto.

Ezio (sezione OS) mi ha dato evidentemente l'ultima possibilità (credo in cuor mio anche perchè ha capito perfettamente quanto siano puerili & illogiche certe argomentazioni contro cui, per l'ennesima volta, mi sono scagliato).

Lo ringrazio pubblicamente qui e lo rassicuro circa la mia condotta futura (anche perchè, parliamoci chiaro, il dialogo tra sordi è impossibile se non si conosce quantomeno la lingua dei segni).

E a me certi soggetti hanno proprio scassato e non li ritengo più degni neppure dell'ascolto.

pertanto, se sono qui, rinnovo la mia domanda.

Tema:
8 & la relazione con il sottosistema grafico win32k


Ma se l'elemento win32k.sys, con 8, ha subito un profondo redesign [...] al fine di chiudere le ataviche vulnerabilità del sottosistema grafico in oggetto [...], perchè (gira e rigira) nelle patch che a cadenza mensile vengono rilasciate continua ad essere coinvolto quest'elemento? :mbe:

...perchè l'isolamento non è ancora perfetto (è utopico realizzare quel risultato?),...?

Ciao a tutti!
Colgo l'occasione di questi 10 minuti di pausa da lavoro per chiarire la questione Win32k.
È si vero che in Windows 8 ci sono delle protezioni per prevenire gli attacchi basati su bug del Win32k (che tra l'altro ne è ancora pieno, vedi qui (http://j00ru.vexillium.org/?p=1393) o qui (http://j00ru.vexillium.org/?p=1479) ad esempio, grande team Vexillium!!), ma queste NON sono e NON potranno mai essere attivate di default!

Infatti attivare la "System call" mitigation (come la chiama MS) per tutte le applicazioni sarebbe da suicidio, in quanto esse non potrebbero più in alcun modo chiamare nessuna API grafica; risultato: NULLA di visibile sul monitor.
Prendiamo una qualsiasi applicazione come esempio. Al momento della sua esecuzione, la mitigation è disabilitata sul main thread di essa, e non è abilitabile in quanto il thread principale è già un GUI thread. La mitigation è invece abilitabile SOLO ed esclusivamente sui suoi thread accessori (oppure sui system thread dei servizi, e di Windows, vedi quelli dell'SCM)...

Ecco da qui la necessità di Security patches per Win32k...

Posterò a breve sul blog delucidazioni più approfondite...
Regards,
Andrea Allievi (AaLl86)

Ciao, vi ho sempre seguito in modalità "silente", trovando il thread sempre interessante.
Volevo solo segnalarvi il rilascio di una nuova versione di EMET come riportato qui:
http://blogs.technet.com/b/gerardo_digiacomo/archive/2013/04/18/rilasciato-emet-4-beta.aspx?goback=%2Egde_60173_member_233688088

allora sentiti pure libero di switchare alla modalità attiva perchè qui di professori ce ne sono solo 2, uno (eraser) che non ci caGa neppure più :D anche se in verità so che prima o poi lo rivedremo :) , l'altro sempre dello staff di Marco (aall86) che interviene solo su mie pressioni (mail) :sofico: .

Quindi, possiamo anche dire le peggiori porcherie :oink: senza che nessuno ci riprenda...

:D

ho visto dopo che avevi già commentato l'articolo del blog in questione.
Dovevo scrivere anche io "funziono" invece che "versione" ...:D

Sulla beta di EMET, invece, ti bacchetto :asd: perchè, da buon fissato & nella speranza di dargli maggior visibilità, avevo provato ad aprire un thread "alla sezione videogiochi" :stordita: ,

ASPETTANDO... (link (http://www.hwupgrade.it/forum/subscription.php?folderid=all))

Ma puoi morire visto che interessa si e no a 3 persone...:sofico:

chiedo venia, :cry: , seguendovi in maniera non continua avevo dimenticato l'altra discussione.
Sembrava infatti strano che non avessi ancora notato la lieta novella :)

Mi sono imbattuto in questo programma "CrystalAEP"
http://www.crystalaep.com/
Se qualcuno lo ha provato può condividere le sue considerazioni

C.V.D., i sistemi MS (Vista+) sono nuovamente vulnerabili (Elevazione di Privilegi) a causa del solito canale, l'ormai famoso win32k.sys.

Gira e rigira, infatti, tutti gli sforzi compiuti con 8 su quest'elemento per attenuarne la superficie di rischio si stanno dimostrando (di fatto) insufficienti...

Google researcher discloses zero-day exploit for Windows (http://www.h-online.com/security/news/item/Google-researcher-discloses-zero-day-exploit-for-Windows-1876170.html)

full disclosur (http://www.exploit-db.com/exploits/25611/)

2 cose prima di chiudere:

le "teste" sotto questi exploit sono + o - i soliti che, evidentemente, devono avere °° di massa spropositata :stordita: .

E' evidente infine che contro questi exploit nessuna protezione è possibile, dunque fosse realmente ITW l'unica speranza sarebbe quella di non imbattercisi...:fagiano:

visto che tanto ad eccezione di poche figure tra tutti non è che ce ne intendiamo tantissimo di questi problemi, posto una primizia che invece anche i più (io, ad es...) potranno apprezzare,

Le ragazze del Computex 2013 -Taipei (http://www.extrahardware.com/article/computex-2013-babes-have-rest-and-enjoy-exotic-beauty)


:sofico:

...e in effetti, guardando meglio le foto, sono decisamente più interessanti di una vulnerabilità o dell'ultimo tablet di qualsivoglia produttore,

:sbav:

:D

certo, con quelle piume tra i capelli sono proprio meravigliose :Prrr:

Bè, insomma enne... Se esco di casa ne vedo almeno un migliaio di gran lunga più belle...

Ho capito che lo sforzo psicologico dell'attesa può provocare cali di zuccheri, ma non esageriamo :D
:gluglu:

Bè, insomma enne... Se esco di casa ne vedo almeno un migliaio di gran lunga più belle...

ok, se te n'avanza una cosi' (http://extrahardware.cnews.cz/galerie/pictures/clanky/ehw/2013/06cerven/computex-2013-babes/gigabyte_24.jpg) almeno ora sai chi contattare...:p

Windows XP 21 Times More Likely to be Exploited Than Windows 8 (http://www.wilderssecurity.com/showthread.php?t=348614)
..mentre per 7 si parla di 6x (Chris Hallum, MS senior product manager).


Biased?

Boh, liberi di formarvi la vostra idea e di esternarla se vi fa piacere...


Personalmente trovo cmq forzata la lettura di Mrkvonich (http://www.wilderssecurity.com/showpost.php?p=2239977&postcount=11)...

Nv25, guarda un pò:

http://www.microsoft.com/education/en-us/teachers/guides/Pages/Mathematics-guide.aspx

normalissimo sito M$, appena entro con Chrome crasha il plugin di Silverlight. EMET lo intercetta come una DEP Mitigation e abbatte il processo relativo.

Nv25, guarda un pò:

http://www.microsoft.com/education/en-us/teachers/guides/Pages/Mathematics-guide.aspx

normalissimo sito M$, appena entro con Chrome crasha il plugin di Silverlight. EMET lo intercetta come una DEP Mitigation e abbatte il processo relativo.

ti ringrazio per la fiducia ma non sono nello staff che ha sviluppato il tool :stordita: ....

Su 7 x64 + solite condizioni (browser,...) non registro anomalie anche se, di per se, questa differenza di "sensibilità" credo voglia dire poco...

Se qualcuno ha avuto modo di leggere questa (http://www.wilderssecurity.com/showthread.php?t=344631) discussione (in particolare, le ultime pagine...), ebbene, vi dico la mia (pensiero peraltro già espresso con forza anche su HW e appena accennato sul thread linkato per evitare di imbarcamenarsi troppo con l'inglese):

se EMET fa leva su tecnologie proprie del sistema operativo (è il caso delle mitigazioni a livello di sistema), è evidente che il suo uso non genererà instabilità.

Quello che fa il tool in questa fase, infatti, è semplicemente permettere di "governare" a piacere queste tecnologie incidendo cosi' sulle loro impostazioni di default (che ricordo sono del tipo opt-in).

L'intero castello messo dunque in piedi su WS (= EMET crea instabilità) è pertanto falso.


Al più (ma anche questo lo abbiamo detto minimo cento volte...) può prodursi instabilità del processo emetizzato che "non digerisce" le mitigazioni per-processo offerte dal tool (e che costituiscono davvero un qualcosa in più rispetto a quello che altrimenti il sistema operativo potrebbe offrire, si pensi ad es alle tecnologie anti-ROP,..).

Quindi, se le novità del tool rispetto a quello che il sistema operativo porta con sè sono per-processo, allo stesso modo i rischi saranno per-processo e non a livello di sistema...:stordita:


Ora (e qui la finezza :stordita: ):
nessuno mette in dubbio che dall'installazione della v4 quei tizi registrino instabilità.

Come si spiega, allora, alla luce dei discorsi fatti poc'anzi?

Semplice:
è evidente (perchè quello poi è il caso) che esistono situazioni di conflitto tra EMET e gli altri programmi di sicurezza installati (che spesso e volentieri poi sono boiate)...

E (aimè) sono proprio questi programmi che dovrebbero essere appositamente aggiustati per consentire la convivenza (attenzione: con quelle tecnologie e non con il tool in se per se!) e non il viceversa.

Capisco sia duro da accettare ma cosi' è...


Ora:
mi ci vedete a scrivere il concetto sopra in inglese? :stordita:

Ma vi anticipo io....:ciapet:

ok:
nessuno che condivida o contesti il pensiero?

Mod?
Non mi dire infatti che partecipi solo x dire che la vXY è stata bypassata :stordita: ...

Altro 1-0 per EMET che nella vita reale (e non quella dei PoC che rimangono cmq certamente importanti perchè forniscono un'idea su quelle che sono le nuove evoluzioni degli attacchi) conta eccome:

cliccami (http://blogs.technet.com/b/srd/archive/2013/07/10/running-in-the-wild-not-for-so-long.aspx)


EMET 4.0 was able to stop this exploit variant before the patch with the following mitigations:

HeapSpray (also effective for EMET 3.0)
Multiple ROP mitigations: StackPivot, CallerCheck, MemProt when “DeepHooks” is enabled

Dunque, nessuna esecuzione di codice (arbitrario) da remoto (indotto cioè dalla pagina web adattata allo scopo) e PC integro.


EMET che cmq non è un antivirus, pertanto può (si spera) solo contro attacchi (molto sofisticati, peraltro) tesi a sfruttare una debolezza in un software (bug) per trarre un vantaggio (in questo caso, un'esecuzione arbitraria di codice nocivo).


La differenza (dagli Antivirus) è evidente.

Per concludere, in questo caso la "legge dei gelati" che vuole che "tiù sia megl che uan" è vera.

Ora:
mi ci vedete a scrivere il concetto sopra in inglese? :stordita:

Ma vi anticipo io....:ciapet:

mi sono fatto coraggio se pur timidamente...e infatti mi è mancata "la forza linguistica" per esprimere meglio il mio pensiero.

Speriamo la intendano anche se sono molto scettico :stordita: ...

per quello che vale dato che la sezione mi sembra defunta, quello che hanno "scoperto" i 2 genietti italiani del momento è l'autostrada aperta dai videogiochi come canale per controllare un PC.

Al di là del metodo che è sicuramente fuori dalla mia portata, quello che era evidente anche senza lo studio dei due è il fatto che "più aumenta la diffusione di un prodotto, più aumenta l'interesse a vedere se in quello strumento esistono falle", e questo è proprio quello che è successo.


Altrimenti mi si dica l'interesse dei due a spendere tempo per cercare un "evasione" da un prodotto utilizzato da 100 persone...:stordita:


Evidentemente intorno ai videogiochi ruotano interessi e numeri impressionanti, da qui (immagino) l'idea di andare più a fondo...



E auguri alla sezione che sembra averne un grande bisogno.

E auguri alla sezione che sembra averne un grande bisogno.

Personalmente con BD Free e CIS6 ho trovato la pace dei sensi. Su W8 64. :cool:

Ciao nV 25,

volevo solo dire che, poiché mi appresto a realizzare una macchina virtuale per provare un paio di cose, riproverò anche il tuo amico di post EMET, programma che provai non so quanto tempo fa, sempre dietro tuoi post letti, ma parliamo di non meno di un anno fa.

Non sono assolutamente esperto, né al tuo livello di conoscenza in materia, però dopo tanti post spesi per questo programma da parte tua, mi sono deciso a provarlo e capire come funziona, nonostante per ora (per molto tempo ancora) vada al di là delle mie conoscenze.

Per ora ho CIS6 + Roboscan, più i soliti tool ed accortezze sui plugin et similia. Su base Win8 64bit.

:)

Leggerti è stato un piacere perchè è il (timido) segno che qualcuno ancora esiste su questa sezione.

Per il resto:
fatti vivo ed esterna pure i tuoi dubbi. :)

Ecco appunto la cazzata di cui avrei fatto volentieri a meno di sentire:

(ci) comunica infatti lo sviluppatore di MalwareByte Anti-Exploit che l'obiettivo del loro programma è far si che questo diventi un rimpiazzo a tutti gli effetti di EMET,
"The objective is to not need EMET as MBAE will be much more in-depth, including anti-exploit techniques at many more layers of an exploit attack than what EMET includes."


Impossibile.

Con tutto il rispetto infatti per gli ex-Panda che hanno tirato su questa realtà, la MS ha schierate menti raffinate dietro lo sviluppo del tool e completa il proprio portafoglio di mitigazioni ottimizzando studi di terzi (è proprio il caso delle mitigazioni ROP, EMET 3.5 Tech Preview leverages security mitigations from the BlueHat (http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-security-mitigations-from-the-bluehat-prize.aspx)).


Insomma, qui si caca fuori dal vaso...

ok, forse ho capito e a tal proposito può essere interessante l'osservazione di Kees, cliccami (http://www.wilderssecurity.com/showpost.php?p=2266950&postcount=46)...altrimenti proprio si svariona...

PBust, di fatto, mi da dell'utente con conoscenze tecniche :yeah: :

per lui, infatti, EMET è un tool che si presta maggiormente a quest'utenza mentre MBAM lo può usare anche un suino :D ,
"EMET is great but there is a very large userbase without technical knowledge where configuring EMET correctly might be an impossibility for them.
Also for convenience and usability MBAE is much easier to use."


In effetti, MBAM non richiede interventi dell'utente, dunque sotto questo profilo è sicuramente favorito nel confronto.

E' anche vero xò che inserire 2 percorsi in EMET non è che richieda formazioni specifiche, eh...


Cmq, se qualcuno utilizza il tool MS a questo punto è autorizzato ad allargarsi con gli amici vantando le proprie "competenze tecniche" :sofico: ...





PS:
chi usa un software come Comodo, allora, è da considerarsi Einstein? :mbe:

:D

(ci) comunica infatti lo sviluppatore di MalwareByte Anti-Exploit che l'obiettivo del loro programma è far si che questo diventi un rimpiazzo a tutti gli effetti di EMET

:p

Utilizzano due approcci totalmente differenti, e il concetto stesso è totalmente differente. Potranno integrarsi, ma mai MBAE sostituirà EMET

e, a tal fine, è utile dare nuovamente visibilità ad un tuo precedente lavoro,
Common preventive and reactive approaches to mitigate exploit attacks (http://www.saferbytes.it/2012/10/08/common-preventive-and-reactive-approaches-to-mitigate-exploit-attacks/).


Io, invece, mi limito ad osservare il problema sotto un profilo squisitamente di "forze in campo"

http://i42.tinypic.com/14lkq38.jpg
(e tra questi, infatti, figurano soggetti ben noti)...

Il minestrone, infine, si completa di un ulteriore ingrediente (studi di terzi) aggiunto per completare, come dicevo, il paniere...

Cioè:
quello che si ricava seguendo timidamente il mondo del "subverting" (e in questo senso ci faccio confluire anche la galassia exploit) è la grande dinamicità di chi attacca (strano, no? anche perchè, detto tra noi, è probabilmente più semplice distruggere che non costruire).

Di conseguenza, vedo solo nell'unione di più forze in campo (= intelligenze) l'unico strumento per contrastarlo...

Quindi:
novità architetturali che gli OS devono per forza di cose portare con se (8, ad es, e da quello che mi sembra di capire in misura ancora maggiore 8.1) più ulteriori sforzi (EMET a 360° come dicevo prima, ossia "aiuto" che proviene anche da punti di vista nuovi).

IMO

...

per parlare d'altro, a che punto è l'AppContainer launcher?

Ciao
volevo chiedervi: attualmente in internet scaricabile gratis esiste un programma antispyware o antivirus che pulisca il registro di sistema efficacemente senza avere casini dopo la pulitura dello stesso???
Vorrei avere alcuni consigli su software di quel genere scaricabili da internet
Premetto che ho un sistema operativo windows 7
Grazie della risposta.

Ciao
volevo chiedervi: attualmente in internet scaricabile gratis esiste un programma antispyware o antivirus che pulisca il registro di sistema efficacemente senza avere casini dopo la pulitura dello stesso???
Vorrei avere alcuni consigli su software di quel genere scaricabili da internet
Premetto che ho un sistema operativo windows 7
Grazie della risposta.

***ATTENZIONE : THREAD IMPORTANTI*** (http://www.hwupgrade.it/forum/showthread.php?t=1559053)

nello specifico http://www.hwupgrade.it/forum/showthread.php?t=2011681

evita di postare dappertutto http://www.hwupgrade.it/forum/showpost.php?p=39846887&postcount=2281

Windows 8 Secure Boot: arriva il malware di basso livello (http://www.tomshw.it/cont/news/windows-8-secure-boot-arriva-il-malware-di-basso-livello/48509/1.html)

Notare che il nostro* AaLl86 è citato nel lavoro presentato al Black Hat da questi 3 ricercatori...






* nel senso che, come eraser, ci ha fregiato del suo contributo...

semplice:

al momento sono "semplici" PoC e non ITW.

In 2° luogo, non credo che rilasciare un apposito aggiornamento del firmware sia cosa impossibile...

non ho voglia sinceramente di finire per fare i soliti monologhi ma, perdonami:
dove sarebbe il problema se "i ricercatori [...] hanno scelto una strada più facile e sfruttato una falla in un altro software" invece che, appunto, nell'OS che sfrutta in modo nativo quella tecnologia?

Anche a logica, se c'è un canale aperto da una parte a che pro sbattersi tanto per cercare altre strade se non come ulteriore esercizio?

vi propongo questa riflessione facile-facile che mi frulla per la testa già da un pò.

Alla luce dell'accelerazione impressa da MS in relazione al rilascio di un nuovo sistema operativo ogni 3x2 (8, infatti, fuori ufficialmente da meno di un anno e 8.1 alle porte), percepisco (ma forse mi sbaglio) una certa fatica a star dietro ai nuovi kernel da parte delle piccole/piccolissime software house di soluzioni intimamente connesse appunto con il cuore del sistema operativo:
voi come la pensate?


Se guardo infatti la storia recente di Sandboxie, simbolo appunto di una casa che vive attorno ai sacrifici di un'unica persona, colgo una certa lentezza nel rendere il prodotto il più possibile compatibile con 8.

Non vorrei dunque che quest'accelerazione suonasse un pò come una campana a morto per chi vive attorno a quelle condizioni di partenza (= poche forze)...

Cavolate?

Eraser?

;39942835']...MS corre dietro a Apple e continua a produrre mer.da (il fallimento di Win 8 [...] non lo certifico io, lo ha certificato Ballmer in persona con le sue dimissioni).

fallimento di 8, produrre m**,...:
posso evitare di risponderti visto che battagliare su questo capitolo mi è già costato qualcosa come 1 mese di sospensione nell'ultimo semestre? :D

[divagazione=ON]

Secondo me oggi tenersi aggiornati e tenere aggiornato un software (bene) ha un costo elevato, quasi quanto produrlo da zero..

Posso testimoniare la mia personale esperienza/difficoltà, avendo lavorato a un progetto abbastanza impegnativo (circa 15 risorse allocate fulltime, di cui 4-5 persone davvero smart):

(intro) 1 mese di formazione-sviluppo light
4 mesi di sviluppo
2 mesi di test ufficiali
1 di sviluppo (ricicli)
1 di test
1 sviluppo (ricicli)
1 test
test globali
rilascio

Calcoliamo 1 anno, per un lavoro fatto bene?

Ecco, devi chiuderti in un bunker e non avere a che fare col mondo esterno per 1 anno...

Altrimenti passi il 70% del tempo a combattere con l'incompatibilità saltata fuori dall'aggiornamento del framework, della jdk, dell'application server,
della libreria più idiota del progetto, dell'IDE, del sistema operativo (tuo e dei colleghi) ecc... e ovviamente anche le società con cui lavori hanno questi problemi, quello che viene fuori è un gran casino costante :D

Quindi IMHO è più che comprensibile che piccoli sviluppatori solitari sentano maggiormente il peso di questo spasmodico aggiornamento (peso che grava su tutti, sia chiaro), che inevitabilmente impedisce di riservare il giusto tempo da dedicare alle cose che lo richiedono... perchè hai costi e scadenze, da rispettare :stordita:

A ognuno la sua strategia, ma alla fine è sempre l'anello più debole della catena il primo a saltare...

anch'io oggi installando la rtm di 8.1 facevo un po' di riflessioni di come è cambiato il mondo della sicurezza informatica in generale,se torniamo 5 o 6 anni indietro c'erano almeno alcune persone che stavano dietro agli hips,adesso gli hips si contano sulle punte delle dita,molti utenti hanno adottato nuovi mezzi di difesa parecchi con un buon livello di maturità riescono a sopperire anche all'av,diciamo che il mondo cambia e insieme al mondo cambia anche il nostro modo di guardare le cose,e questo fa si che parecchi soft per sopravvivere devono cambiare a loro volta modo di lavorare.

ben tornato ENNE
io penso che nel mondo windows si ripeta quanto avvenuto in ambito negozi, i piccoli alimentari muoiono e si va presso l'iper a prendere tutto perchè il tempo è poco e lì parcheggi facile e in un ora di tempo vai pure dal barbiere dentro al centro commerciale. I one man software pian piano spariscono e la loro unica possibilità è che l'idea sia buona e qualcuno dei grossi li incorpori pagando qualche milionata. M$ stessa cerca di sopravvivere è un po' il Titanic che ha incontrato l'iceberg ed ora sta affondando e quando sei messo così non puoi sbagliare una mossa e devi pure fare in fretta, insomma la posizione è delicata e vicina al collasso, basta vedere i pc venduti rispetto ai tablet e si vede che stiamo per cambiare scenario e nel nuovo Microsoft conta quanto linux sui pc. Non investirei in azioni di Redmond insomma e Balmer va in pensione perchè ha una vagonata di azioni ed è meglio venderle ora che dopo:D

grazie per i commenti.


In relazione al discorso 8.1/EMET 4, mi è stato comunicato dal supporto che non risultano grandi problemi di compatibilità.

Al momento, infatti, (immagino tra le altre cose) sono al lavoro su un problema di comunicazione tra IE11 e il meccanismo di reporting di EMET.
("EMET.dll non riesce a comunicare con EMET Agent dato che IE11 di default utilizza AppContainer che non permette interazioni con l’esterno del processo come per Modern IE").


Insomma, EMET 4 è compatibile con 8.1 dal day one..:)

Ari-altro 1-0 per EMET che chiude in anticipo una falla in IE castrando la conseguente esecuzione di codice arbitrario:

Microsoft Security Advisory (2887505) (https://technet.microsoft.com/en-us/security/advisory/2887505) del 17/9/2013

CVE-2013-3893 (http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx?Redirected=true) (con l'analisi dell'exploit)

"EMET 4.0 can be used to help protect against the exploit we analyzed that attempts to exploit this vulnerability [...]"

è evidente, e cosi' almeno si copre quanto non detto nel post precedente, che al momento MS non ha rilasciato patch specifiche ma solo il fix-it.

Chi non pratica quindi la strada più nota indicata poc'anzi o non fa uso di EMET, è logicamente esposto anche se, in verità, non ho la minima idea di quanto possa essere diffuso il rischio trattato dall'articolo.


Per non saper leggere nè scrivere, cmq, e anche là dove non si dovesse usare IE come browser, rinnovo il mio invito ad installare in pianta stabile EMET sulle nostre macchine.

E' un buon consiglio

aspetterei a fare MS per morta, non penso proprio che sia destinata a decadere così tanto.. Anzi, dopotutto credo che capitalizzi più di apple e google, e piano piano con i cellulari si farà valere..

Android sinceramente su pc lo vedo un po' in difficoltà, non credo che il comune mortale acquisterebbe un pc android.


That said. Io sinceramente non uso pi HIPS e simili perchè non ho tempo per farlo come hobby come un tempo, e ora in un anno di windows8 ho preso una volta uno schifo perchè ce l'ho messo io, non per altro. -per sbaglio nell'installare un programma ho lasciato la spunta per installare uno scamware (insomma quei programmi che ti mettono 15 toolbar e ti aprono pubblicità).

Alla fine gli HIPS sono superinvadenti, e se non si fanno certe cose non so bene cosa farmene. Certo, se mi viene voglia di andare sul deepweb qualcosa ce lo metto, ma per un utilizzo normale del pc trovo più comodo mettere un normale antivirus non invasivo, sandboxare il browser e "hitmanproizzare" tutti i programmi che scarico.
Se si ha un po' di usta, il 99,99999% dei virus non li si prendono a prescindere..

Se avessi più tempo mi piacerebbe avere una corazzata, ma ora come ora non mi va..

Bella guida su EMET 4 visto che ENNE la sua l'ha chiusa la posto qua
http://www.dedoimedo.com/computers/windows-emet-v4.html

EMET è complesso dietro le quinte ma per l'utente, sinceramente, non dovrebbe presentare problemi di sorta dato che alla fine è più ostico (ma di lunghezze, anche...) l'uso di un programma come Paint...

:)


C'è solo da capire cosa proteggere (i soliti vettori...), poi fine, eh..

EMET è complesso dietro le quinte...

per esempio, per utenti comuni come noi sapere che la tecnologia Mandatory ASLR (tecnologia peraltro valida per-processo) servi' per risolvere uno 0day che colpiva Adobe Reader nel lontano [...] a noi fondamentalmente che cambia?

O meglio, per noi cambia (= è importante) sapere che EMET lavora, poi come pace...(tanto non ci si capisce nulla) :D

Ma anche chiedersi cos'è il Mandatory ASLR, fondamentalmente a che pro? :stordita:


EMET è facile da settare ed è invisibile, e questo ci deve bastare e incentivare a farne uso.






*********
Sul cosa è il Mandatory ASLR e come EMET castrò quell'exploit di cui parlavo,
Using EMET to Safeguard Against Zero Days (http://technet.microsoft.com/en-us/security/gg524265.aspx)

Questo, invece, era l'articolo di eraser New Adobe 0day exploit in the wild (http://www.prevx.com/blog/156/New-Adobe-day-exploit-in-the-wild.html)

Per dare la massima visibilità ad EMET, ho aperto questa discussione nella sezione di Win8:
EMET - Protezione anti-exploit avanzata per le applicazioni (http://www.hwupgrade.it/forum/showthread.php?p=39985086#post39985086)


Non è una guida (non ne sono capace) bensi' un'infarinatura su quello che è il tool (che ormai noi conosciamo sufficientemente :stordita: ) più una semplice FAQ che spero risponda a diverse domande.


Non siate timidi nel caso vogliate aggiungere qualsiasi cosa.

Ciao

Ciao NV 25! Ma che fine ha fatto quel tuo originale avatar (oggi in data 18/10/2013)? Ho come l'impressione di vedere un profilo "spento e stanco" :mbe:...

Comunque, per restare in tema di HIPS dico che secondo me questi software sarebbero in qualche modo da rivalutare, specialmente al giorni d'oggi che le minacce per la sicurezza sono più presenti rispetto al passato!...e quindi dopo io aver trascurato per molto tempo la sicurezza del computer (dedicandomi ad altro...) ho deciso di ritornare nuovamente ad utilizzare in qualche modo gli HIPS, ma non gli HIPS puri tipo quelli del passato come ad esempio il dimenticato (e glorioso) Malware Defender e compagnia bella, ma quegli HIPS che si trovano integrati sulle "Suite Firewall" tipo Comodo, OnLineArmor, PrivateFirewall, etc..

Secondo te questi HIPS integrati sulle suite di sicurezza precedentemente descritte possono andare?
Capisco anche che la sicurezza "non è mai troppa" ma secondo me questi HIPS integrati sulle suite di cui parlavo prima, sapendoli usare, possono ancora tutt'oggi contribuire a migliorare notevolmente la protezione del computer, specialmente se abbinati a software di "virtualizzazione browser" tipo Sandboxie :p

Ciao NV 25! Ma che fine ha fatto quel tuo originale avatar (oggi in data 18/10/2013)? Ho come l'impressione di vedere un profilo "spento e stanco" :mbe:...
non hai tutti i torti, e cmq al momento ho rinunciato all'avatar perchè ritenevo desse un segnale di aggressività.
Adesso per lo meno sono sicuramente più anonimo...

Comunque, per restare in tema di HIPS [...] ho deciso di ritornare nuovamente ad utilizzare in qualche modo gli HIPS [...] che si trovano integrati sulle "Suite Firewall" tipo Comodo, OnLineArmor, PrivateFirewall, etc..

Secondo te questi HIPS integrati sulle suite di sicurezza precedentemente descritte possono andare?

Sono tutti il frutto del lavoro di software house importanti, pena non faranno sicuramente.

Non so onestamente xò se sia meglio tizio o caio,
ciao

...Sono tutti il frutto del lavoro di software house importanti, pena non faranno sicuramente...

Grazie per aver risposto, questo detto da te mi basta :)

* Non ho mai considerato il tuo profilo (o Avatar) come aggressivo e ostico...e se devo dirti le mie impressioni ho sempre considerato il tuo profilo come serio, rigoroso e molto ben preparato in materia, che non è poco ;)*

Guarda, rispondo io.
Comodo,come FW e HIPS, è nettamente meglio degli altri 2.
Peccato che l'AV faccia schifo, ma tant'è. :D

Guarda, rispondo io.
Comodo,come FW e HIPS, è nettamente meglio degli altri 2.
Peccato che l'AV faccia schifo, ma tant'è. :D

DAvvero?
Comodo meglio di OA e PF?
Chiedo perchè vorrei mettere su un hips+fw ma sono indeciso...
Come pesantezza?

DAvvero?
Comodo meglio di OA e PF?
Chiedo perchè vorrei mettere su un hips+fw ma sono indeciso...
Come pesantezza?

E' in testa ai test specifici da anni.

Concordo! Io usavo l'HIPS integrato nella suite Comodo (allora detta CIS) già 3 anni e mezzo fa (circa) e ricordo che con questo software, se ben configurato, non passava davvero nulla! E ricordo anche che uno dei pochi HIPS in grado di tener testa a Comodo era MalwareDefender, che poi fu abbandonato per il discorso del passaggio a sistemi operativi 64bit con cui non era compatibile...

Dopo essermi informato qua e la ho infatti notato che Comodo è ancora un HIPS molto valido, e forse attualmente il migliore su sistemi X64.

Io sono un sostenitore degli HIPS e sarebbe cosa giusta rivalutare questi ottimi software di sicurezza.

Mi dispiace anche che tutt'ora alcuni ottimi software tipo DefenceWall fungano solo su sistemi a 32 bit...:(

Per concludere: secondo il mio punto di vista la protezione che garantisce un buon HIPS è superiore rispetto a quella del classico AV che si basa su definizioni virali preconfezionate; l'HIPS puo tradire solo in quei casi in cui l'utente dia involantariamente il consenso a quei processi maligni che magari non conosce... (ma questo è un rischio conosciuto)

Ciao NV 25! Ma che fine ha fatto quel tuo originale avatar (oggi in data 18/10/2013)? Ho come l'impressione di vedere un profilo "spento e stanco" :mbe:...

FIXED! :O

Sono ritornato più CATTIVO :read: di prima, fate ammodino :fiufiu:


:D

-------------------

Sandboxie passa di mano (http://www.hwupgrade.it/forum/showpost.php?p=40437893&postcount=1368)...

FIXED! :O

Sono ritornato più CATTIVO :read: di prima, fate ammodino :fiufiu:


:D

-------------------

Sandboxie passa di mano (http://www.hwupgrade.it/forum/showpost.php?p=40437893&postcount=1368)...

ora ti riconosco:sofico:

ora ti riconosco:sofico:

grazie :p ...

Buona serata a tutti, ciao!

oh, ben tornato...
Ti do subito un lavoretto da fare :D
Un articolo che Sampei ha postato altrove
http://www.welivesecurity.com/2013/12/13/exploit-protection-for-microsoft-windows/

Un tuo commento a caldo...grazie :O

Un tuo commento a caldo...grazie :O

direi che siamo di fronte ad un articolo molto discorsivo che non offre importanti spunti di crescita ma consolida invece esclusivamente concetti noti.

Ad es, gli attacchi al cuore del sistema si combattono esclusivamente con le patch mentre quelle portate su vulnerabilità dei programmi si può cercare di arginarle con soluzioni + o - specifiche.

Il commento, allora, è che quest'articolo sarei stato capace di scriverlo anch'io senza scomodare il capo analisti ESET divisione russa...







Alla luce di ciò, vi sembra che sia tornato GROSSO ammodo? :Prrr:

@nV25
Ti va di scrivere nella tua guida due parole sui software di bachup e ripristino del sistema oparativo?
Diciamo che non sono propriamente dei software di prevenzione, quindi questo non è il treD specifico, ma se consideriamo il fatto che spesso sono la soluzione ideale per risolvere situazioni di pc infetti magari difficilmente recuperabili,evitando il pesante e oneroso format, forse , potremmo considerarli degli strumenti validi da inserire nella propria configurazione di sicurezza.
Imho.

L'unico errore che rilevo nel ragionamento di cui sopra e che fa pertanto stonare un discorso altrimenti lineare è quello in cui mi si chiama in causa...

:nonsifa:

@nV25
Ti va di scrivere nella tua guida due parole sui software di bachup e ripristino del sistema oparativo?
Diciamo che non sono propriamente dei software di prevenzione, quindi questo non è il treD specifico, ma se consideriamo il fatto che spesso sono la soluzione ideale per risolvere situazioni di pc infetti magari difficilmente recuperabili,evitando il pesante e oneroso format, forse , potremmo considerarli degli strumenti validi da inserire nella propria configurazione di sicurezza.
Imho.
c'è già quello che chiedi. nella sezione adatta.

Un saluto a tutti e un augurio per un anno ancora migliore (il mio, ad es., è stato di *, quindi a regola ho tutto da guadagnare)...