Fonte: Wilders Security Forum
http://www.wilderssecurity.com/showthread.php?t=180969

Ma và? Come mai me lo aspettavo?:D

Cosa?

interessante questo test

Fonte: Wilders Security Forum
http://www.wilderssecurity.com/showthread.php?t=180969

postalo nel thread degli HIPS,vediamo la reazione di Nv :D

postalo nel thread degli HIPS,vediamo la reazione di Nv :D

esatto, non lo volevo fare io per dovere di cronaca a Chill-Out, insomma diamo a Chill-Out quel che è di Chill-Out :D



@Chill-Out: c'è la possibilità che tu diventa un grande giornalista in futuro! :D

esatto, non lo volevo fare io per dovere di cronaca a Chill-Out, insomma diamo a Chill-Out quel che è di Chill-Out :D



p.s.: c'è la possibilità che tu diventa un grande giornalista in futuro! :D

Fatto, postato nel thread degli HIPS. Ho già provveduto ad inviare il curriculum alla Corona's :D

Fonte: Wilders Security Forum
http://www.wilderssecurity.com/showthread.php?t=180969

Grazie Chill!;)
Ottima segnalazione:)

Fatto, postato nel thread degli HIPS. Ho già provveduto ad inviare il curriculum alla Corona's :D

quello fa giornalismo spazzatura, mentre quello che ci indichi te è roba seria! ;)

quello fa giornalismo spazzatura, mentre quello che ci indichi te è roba seria! ;)

Ovviamente scherzavo, facevo solo un pò di auto ironia, a lui invidio solo una cosa è non sono i soldi :D comunque ritornado al test che voglio valutare con attenzione, sono rimasto sorpreso dai risultati di SSM.

Ovviamente scherzavo, facevo solo un pò di auto ironia, a lui invidio solo una cosa è non sono i soldi :D

si lo avevo capito ;)

comunque ritornado al test che voglio valutare con attenzione, sono rimasto sorpreso dai risultati di SSM.
io sinceramente gli ho dato uno sguardo veloce, non ho ancora approfondito e aspetto commenti di NV nell'altro tread.

è un test da prendere con la dovuto cautela

Remember that this comparative is only meant to test programs on these unhookers, which is a very special, singular, and uncommon kind of malwares - though all these samples (except Bifrost server) are coming from real infections, meaning that such malware are spreading for real.
Thus, this comparative is NOT meant to reveal general efficiency of the various programs tested, in any way.

PS:Molti programmi sono configurati di default, queste configurazioni sono ideali per utenti poco esperti ma, proteggono abbastanza bene, un utente esperto, lo configurerebbe in altra maniera e quei tests verebbero passati senza problemi

Si ma si tratta comunque di test che possono mettere alla prova le tecniche di protezione degli HIPS. ;) Poco importa se sono ancora "rari", dato che tali vulnerabilità stanno diventando il mezzo preferito dei virus "normali". :mc:

Regards

Si ma si tratta comunque di test che possono mettere alla prova le tecniche di protezione degli HIPS. ;) Poco importa se sono ancora "rari", dato che tali vulnerabilità stanno diventando il mezzo preferito dei virus "normali". :mc:

Regards

esatto, i zero day

iscritto...:p

@ Chill-Out:
come detto anche nell'altro thread, ottima segnalazione.



Che poi (e qui risp a Lucas) anche nicM abbia messo le mani avanti con la dichiarazione che hai riportato, era anche inevitabile visto che ha testato gli hips contro un set di soli 7 samples che però, aimè, sono MOLTO significativi.

Insomma:
è si vero che sono tanti i parametri che scendono in campo per la scelta di un HIPS cosi' che un SOLO test non può essere indicatore ASSOLUTO per emettere un giudizio oggettivo, ma è anche vero che a questi test hanno risposto SIA la casa di OA2, sia eraser per conto della PrevX, segno del fatto che si dà importanza anche a questo test....

vulnerabilità?:D quel test parla di altro:)
le configurazioni sono di default molti di quei hips configurati come si deve non fallivano ciao

vulnerabilità?:D quel test parla di altro:)
le configurazioni sono di default molti di quei hips configurati come si deve non fallivano ciao

ho i miei dubbi...

liberi cmq di usare l'hips che si preferisce, ci mancherebbe.
Tanto, contro una marea di cose, danno le paghe a qualsiasi KIS 7, Nod e compagnia...

ho i miei dubbi...
tieniteli:D ssm con quei sample configurato come l'ho configurato io non ha fallito:D per gli altri non so

mi fai vedere allora degli screen di http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/Trojan-Small-emw-Test.htm ?

E perchè non segnali la cosa su wilders?

Txs


PS:
Perchè, anzi, non metti a disposizione della comunità le tue configurazioni?
Credo sarebbero in diversi a ringraziarti...

Sono solo semplici screenshot...

tieniteli:D ssm con quei sample configurato come l'ho configurato io non ha fallito:D per gli altri non so

Ha ragione nV 25 secondo me. ;) Per quanto tu vada a ottimizzare le impostazioni, potrai solo creare regole specifiche o "automatizzare" il comportamento dell'HIPS di fronte a determinati interventi, ma non c'è modo di migliorare le sue doti di rilevazione, indipendentemente dal setup che scegli per il programma. ;)

Regards

Ha ragione nV 25 secondo me. ;) Per quanto tu vada a ottimizzare le impostazioni, potrai solo creare regole specifiche o "automatizzare" il comportamento dell'HIPS di fronte a determinati interventi, ma non c'è modo di migliorare le sue doti di rilevazione, indipendentemente dal setup che scegli per il programma. ;)

Regards

per forza:
se un opzione NON ESITE in un programma (es: il debug control a livello di sistema...), che fai, lo "simuli"?

Cmq aspetto almeno degli screen sulla configurazione di SSM (magari nel suo Thread Ufficiale..) cosi' almeno ne giova tutta la comunità, invece di fare provocazioni gratuite e inutili...

Grazie ancora

Ne approfitto per chiedere di chiarire un dubbio se possibile: un SSDT restorer, sarebbe in grado di danneggiare anche KIS?

Regards

PS: quando leggo certe sparate a 0 assolutamente ingiustificate, e non sostenute da alcuna prova o dimostrazione (valida o meno che sia), divento nero come l'omino dell'avatar di nV 25. :incazzed:

:sofico:

Cosa dovrei segnalare? è normale che impostato diversamente il test avrebbe risultati diversi, per gli screen mi chiedi troppo dovrei rimontare tutto:) quando ho + tempo casomai domani li posto.

Per quanto tu vada a ottimizzare le impostazioni, potrai solo creare regole specifiche
Hai detto poco:D

per forza:
invece di fare provocazioni gratuite e inutili...


Quali provocazioni? io te lo ridico non sono un fanboys come lo sei tu

Cosa dovrei segnalare? è normale che impostato diversamente il test avrebbe risultati diversi, per gli screen mi chiedi troppo dovrei rimontare tutto:) quando ho + tempo casomai domani li posto.


Hai detto poco:D

Si...grazie. :D Creare le regole sarà anche bello, ma come le crei per un comportamento che l'HIPS non rileva? :confused:

Regards

Stai delirando caromio, gli screen gli faccio quando meglio credo e li posto sempre se io voglio

Fino ad allora, quantomeno, eviti di fare certe uscite nei confronti di nV 25, un utente che ha sempre dato un grande contributo a questa sezione. ;)
O almeno prima di farle, porti delle prove. ;)

Regards

Quali provocazioni? io te lo ridico non sono un fanboys come lo sei tu

nV, ti hanno dato ancora del fanboy...è ora di rimettere la dicitura in sign, come accadde tempo fa per Kaspersky. :sofico: :ciapet:

:rolleyes: :doh:

Regards

Quali provocazioni? io te lo ridico non sono un fanboys come lo sei tu
bolli tutto come fanboy....


Troppo semplice.;)

Cmq, saranno i lettori del thread a trarre le loro conclusioni sulla serietà di certi commenti....;)

Pistolino ma tu da sei uscito? non sai nemmeno cosa effettivamente è stato testato li e mi vieni a criticare, lasciamo perdere, hai fatto una guida su ssm è ti senti come nv il re degli hips? io non ho attaccato nessuno fino ad adesso, fate lo stesso

Pistolino ma tu da sei uscito? non sai nemmeno cosa effettivamente è stato testato li e mi vieni a criticare, lasciamo perdere, hai fatto una guida su ssm è ti senti come nv il re degli hips? io non ho attaccato nessuno fino ad adesso, fate lo stesso

Mi sento come lo schiavo della sezione. :) Di certo non come te che vieni a fare affermazioni sensazionalistiche senza motivo.

Regards

PS: il flame parte e si chiude qui, per quanto mi riguarda. ;) L'idea che ti sei fatto su di me va benissimo, finchè te la tieni per te. :)

@ pistolino:

risp te per me, grazie...:)

Chi legge il post, ma può leggersi anche il TU degli hips, sà quale linea ho sempre seguito (tranne Lucas, ovviamente...)

Che continui pure a bollare semplicisticamente le persone come fà lui:
se è contento e se, + che altro, NON sà addurre fatti....;)

bolli tutto come fanboy....


Troppo semplice.;)

Cmq, saranno i lettori del thread a trarre le loro conclusioni sulla serietà di certi commenti....;)
Bhe ti stai allargando un pò troppo, pensi che non avrei postato delle immagini? non serve che me lo chiedi tu, l'ho fatto già altre volte, ricordi unreal?

... è ti senti come nv il re degli hips?....


si commenta da solo...


Per il bene di HwUpgrade, perdi la password, guarda...




PS:
qui la chiudo anche se, al solito, il provocatore credo di non essere stato io.

Sentiti pure libero di dire, criticarmi, denigrarmi come ti pare.

Mi sento come lo schiavo della sezione. :) Di certo non come te che vieni a fare affermazioni sensazionalistiche senza motivo.

Regards

PS: il flame parte e si chiude qui, per quanto mi riguarda. ;) L'idea che ti sei fatto su di me va benissimo, finchè te la tieni per te. :)
No guarda che io ho dato solo la mia opinione e siete voi che vi siete accaniti, non ho attaccato nessuno, sicuramente non volevo offenderti e ti chiedo scusa ma sono rimasto deluso dal vostro comportamento dato che non ho attaccato nessuno ciao

Nv il re degli hips non è come offesa anzi, io sicuramente non ho attaccato nessuno

Bhe ti stai allargando un pò troppo, pensi che non avrei postato delle immagini? non serve che me lo chiedi tu, l'ho fatto già altre volte, ricordi unreal?

Mai quanto te che attacchi l'aspetto personale degli utenti, in un thread che parla di sicurezza informatica...non credi? :)
Non so comunque di cosa tu stia parlando. :mbe:

Regards

Mai quanto te che attacchi l'aspetto personale degli utenti, in un thread che parla di sicurezza informatica...non credi? :)
Non so comunque di cosa tu stia parlando. :mbe:

Regards

Non parlavo con te, poi qualcuni ha citato vulnerabilità, 0-day che poco centrano con il test, non è un attacco personale solo che mi hanno dato fastidio le vostre parole, ciao

PS:Quei sample li, li avevo testati tempo fà con ssm settato in un certo modo e sicuramente il risultato non è uguale a quello, poi ognuno e libero di crederci o no

Non parlavo con te, poi qualcuni ha citato vulnerabilità, 0-day che poco centrano con il test, non è un attacco personale solo che mi hanno dato fastidio le vostre parole, ciao

E a me il tuo atteggiamento. :) Usiamo il buon senso d'ora in poi, almeno sul forum. ;)

Regards

PS: discussione andata completamente in v*cca...direi di continuare con discussioni serie nel thread degli HIPS. :)

scusa altro non posso fare o dirti e scusa anche a nv anche se avvolte propio non se lo merita:D , ciao

Ho visto le immagini alcune sembrano non riscontrare, per esempio ssm blocca l'aggiunta del servizio poof e il caricamento del driver, poi alcuni segnalano degli azioni mentre altri no sempre sullo stesso sample.

http://img508.imageshack.us/img508/7530/testoa9.png

http://img517.imageshack.us/img517/2833/test1xl1.png

RkUnooker non segnala niente di strano, di fatto il rookit sembra inattivo sul pc:confused: :confused: :confused:

Anzitutto:
sicuro che si stia parlando del solito malware?

E' possibile infatti che il tuo sia solo una variante, magari meno virulenta, del rootkit citato....

Nei tuoi screen si vede effettivamente "all'opera" il famoso poof che, se non erro, dovrebbe servire a nascondere l'altro servizio kprof, ma...


Se mi limito ai test di nicM relativi a quegli Hips che *supererebbero* (?) il test, vedo che l'accesso alla memoria fisica (che qui dov'è?..) è sempre preceduto dal debug a livello di sistema, che SSM non ha a livello di funzionalità...

Prosecurity (Full):
http://img405.imageshack.us/img405/5749/11411286xk6.jpg

Online Armor 2 (Free..)
http://img517.imageshack.us/img517/3434/83919216as2.jpg

Il comportamento del Rootkit Agent.EZ è cmq sia spiegato benissimo qui:
http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/rootkit-agent-ez_test.htm

In sostanza:

da quelli che sono gli screen (che, per la cronaca, erano stati anticipati anche su Wilders per un singolo sample, http://www.wilderssecurity.com/showthread.php?t=174012 ), SSM, come Process Guard del resto, fallisce in TUTTI i malwares che debuggano:
nè il 1° nè il 2°, infatti, implementano questa protezione...

C'è poco da fare...

C'è poco da fare...

Se non affidarsi all'execution control. :sofico: :fagiano: :ciapet:

Regards

Lo stesso sviluppatore di SSM, e non io, confermano che qualcosa da fare c'è visto che ha inserito nella TODO list un qualche problema a proposito di questi samples...



http://www.syssafety.com/forum/viewtopic.php?t=943



Mi auguro di non esser tacciato anche stavolta di fanboy, visto che c'è una dichiarazione di vitk...

Cmq sia, io almeno sono qui per capire e per imparare, anche da te, perchè no...
Non sono certo nessuno, io...

il sample è quello mi sono basato sul nome del malware, poi quasi tutte le varianti hanno quella caratteristica, adesso il problema è un altro, probabilmente ssm veniva bypassato ma non completamente dato che il rookit non era attivo sul mio pc, perchè dare come giudizio "failed" se ssm ha bloccato forse non completamente ma di fatto reso inattivo il rootkit? quindi concludendo, se il rookit ha bisogno di un driver per funzionare ma tale azione viene intercettata e bloccata vuol dire, almeno per me che non è stato completamente bypassato dato che potrà inviare email di spam(esempio) ma non rendersi nascosto ecc ecc, dire che ha fallito completamente è sbagliato, almeno per me.

Cmq sia, io almeno sono qui per capire e per imparare, anche da te, perchè no...
Non sono certo nessuno, io...
Nemmeno io sono nessuno:D

...un SSDT restorer, sarebbe in grado di danneggiare anche KIS?


direi...
mica discrimina a seconda del tipo di HIPS che uno utilizza, nè?:p

Il loro obiettivo è, come descritto anche da nicM nel preambolo, quello di "ripristinare" sostanzialmente il Pc a prima che venisse installato un qualsiasi software di difesa (quindi, eventuali hook di firewall, AV, hips stessi...) cosi' da avere "carta bianca" per le successive azioni maligne...

Ci gioco le balls (alias, °°.. :D ), che il PDM in diverse occasioni sarebbe forato come un groviera....;)

Pensavo che il PDM non si basasse sul patching della SSDT, e che quindi fosse immune almeno da quel punto di vista...ecco qui che salta fuori la mia ignoranza. :)

Comunque, facendo il solito ragionamento: posso riternermi abbastanza sicuro del fatto che utilizzando sapientemente l'execution control di SSM (avviando quindi solo i processi che conosco), nessun SSDT restorer possa avviarsi di nascosto sul sistema? :confused:
Parlo ovviamente di una eventuale situazione "reale", e non di casi teorici. :D

Regards

puoi stare stra-super sicuro, allora. ;)


PS:
ad "agganciare" (hookare..), sono ormai praticamente tutti i software di sicurezza.

Come spiega anche nicM subito all'inizio della sua review,
"These hooks... are what allows them to...intercept changes they are designed to protect from".

In sostanza, è come se tu andassi a distruggerne il cuore....
Se però, come dimostra DSA, gli hook sono usati sapientemente, un qualcosa di protezione rimane cmq, anche se, come è ovvio capire, non è più propriamente come prima dell'infiltrazione del malware...


PSS:
la cosa clamorosa, secondo me, è che nel forum di Kav tutto passi inosservato:
è vero che grnic e company abbiano questi samples e che il loro AV li riconosca attraverso le "firme" (il vecchio trucchino...), xò...

Che alla Kaspersky (ma non solo...) siano IGNORANTI (nel senso positivo del termine = NON SAPERE..) o POCO SENSIBILI AL PROBLEMA, è ormai dimostrato, vedi qui:
http://www.hwupgrade.it/forum/showpost.php?p=17808915&postcount=960

dal thread http://forum.kaspersky.com/index.php?showtopic=38907

Increbibile, amiSci!!!

Da leggere gli ultimi post, spassosi...

E pensare che chi stà sotto ProSecurity, DefenseWall e company, sono società di UNA persona sola!
No, dico:
1 persona, contro le decine della Kav...!!!!

Incredibile, amiSci....!!!!!

Una persona che CONOSCE PIU' di un intero TEEM e che, più che altro, sa implementare le sue consocenze in un software MEGLIO di un intero team...!!!!

E pensare che chi stà sotto ProSecurity, DefenseWall e company, sono società di UNA persona sola!
No, dico:
1 persona, contro le decine della Kav...!!!!

Incredibile, amiSci....!!!!!

Una persona che CONOSCE PIU' di un intero TEEM e che, più che altro, sa implementare le sue consocenze in un software MEGLIO di un intero team...!!!!

Forse perchè una società come kaspersky ha altre priorità a cui far fronte, i programmatori costano e difficilmente una società si può permettere di pagare un programmatore per ogni ramo, meglio pagare uno che sa gestire bene 3 diverse cose che uno che sa tutto su una cosa e niente su altre:)

Ciao

Forse perchè una società come kaspersky ha altre priorità a cui far fronte, i programmatori costano e difficilmente una società si può permettere di pagare un programmatore per ogni ramo, meglio pagare uno che sa gestire bene 3 diverse cose che uno che sa tutto su una cosa e niente su altre:)

Ciao

Ti dò ragione.
Ciò non toglie xò che sia SCANDALOSO....

PS: conoscevate questa barzelletta?
http://www.hwupgrade.it/forum/showthread.php?p=18077522#post18077522

SSM 2.40 beta 619


http://img126.imageshack.us/img126/5427/ssmzu9.jpg

"We have just posted the new beta which is actually a hot update mostly addressing the results of Nicolas' tests. SSM now blocks the main mechanism used by most of the malware tested and generates much more meaningful alerts even if the malware executable was allowed to run once..."

http://www.syssafety.com/forum/viewtopic.php?t=985




@ Lucas:
c'era qualcosa che non andava, vedi? ;)

"SSM now blocks..." :read:

Meglio cosi', cmq...


PS:
ripeti il test e ci fai 2 screen?

purtroppo non è cambiato niente solo qualche avviso in + relativo al servizio aggiunto e niente +, comunque ci sono propio problemi con la versione, infatti sembrava attivo ssm ma non dava + avvisi, lo chiuso e riaperto e mi diceva che il driver di ssm non c'era:D , reinstallato tutto ma sempre lo stesso problema penso che si sia corotto dopo l'esecuzione del/i rootkits:D :D

Anzitutto:
sicuro che si stia parlando del solito malware?

E' possibile infatti che il tuo sia solo una variante, magari meno virulenta, del rootkit citato....

Nei tuoi screen si vede effettivamente "all'opera" il famoso poof che, se non erro, dovrebbe servire a nascondere l'altro servizio kprof, ma...


Se mi limito ai test di nicM relativi a quegli Hips che *supererebbero* (?) il test, vedo che l'accesso alla memoria fisica (che qui dov'è?..) è sempre preceduto dal debug a livello di sistema, che SSM non ha a livello di funzionalità...

Prosecurity (Full):
http://img405.imageshack.us/img405/5749/11411286xk6.jpg

Online Armor 2 (Free..)
http://img517.imageshack.us/img517/3434/83919216as2.jpg

Il comportamento del Rootkit Agent.EZ è cmq sia spiegato benissimo qui:
http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/rootkit-agent-ez_test.htm

una domanda (sperando di non andare troppo OT) : ma secondo te, è più affidabile SSM free (che uso attualmente) oppure Online Armor free (sul sito non l'ho trovato ma suppongo che sia quello che resta dopo il periodo di trial...)?? O fra i due è meglio invece un terzo (mi viene da pensare ad AppDefend)??

Ma và? Come mai me lo aspettavo?:D

strano, eh? :D

Ottimo PrevX, devo dire. :asd:

Continuate pure a far girare tutto come admin :D
Finche' non troncate drasticamente le possibilita' di danno alla radice (configurazione di base del sistema operativo stesso), hai voglia a perdere tempo, denaro, e prestazioni con 2000 antivirus, 1000 hips, 20000 antispyware etc :D


è si vero che sono tanti i parametri che scendono in campo per la scelta di un HIPS cosi' che un SOLO test non può essere indicatore ASSOLUTO per emettere un giudizio oggettivo, ma è anche vero che a questi test hanno risposto SIA la casa di OA2, sia eraser per conto della PrevX, segno del fatto che si dà importanza anche a questo test....

Un solo test puo' dire nulla ma puo' dire anche molto: se un software mi protegge (vabbeh'.. cerco di rimanere nello spirito del 3d :D) da malware particolari, mentre un altro fallisce in tal contesto, perche' dovrei scegliere il secondo? Naturalmente avrei piu' fiducia nel primo.

vulnerabilità?:D quel test parla di altro:)
le configurazioni sono di default molti di quei hips configurati come si deve non fallivano ciao

Questi software non sono molto diversi dagli Antivirus nella loro funzione di tappabuchi. :D
Oggi si scopre un buco? Lo si tappa appena possibile, ma intanto da quel buco di roba ne e' passata :D
Ahime' secondo me e' completamente errato tutto l'approccio delle software house al problema malware. E Microsoft in testa, che con le sue "politiche" alimenta un mercato che imho, in altre condizioni, sarebbe inutile.
Credo ci si debba concentrare su come rendere un sistema sicuro nelle sue fondamenta, dove per "sicuro" intendo un sistema che gia' per come e' progettato prima, configurato poi, limiti drasticamente le possibilita' di qualunque azione maligna e dei danni qualora un'azione maligna venga comunque eseguita. Altro che questa "caccia al ladro", dove i produttori di antivirus & co. devono inseguire "il ladro" con risultati imho spesso pietosi.
A che serve avere l'ultimo Antivirus, qualche spyware ed un paio di hips se non appena esce un nuovo ingegnoso malware ti attacchi al tram?
Mah. E poi mi fanno ridere quelli che postano orgogliosi cose del tipo "ho 2 antivirus, 3 hips, 5 antispyware, ecc ecc, sono sicuro" :D


mi fai vedere allora degli screen di http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/Trojan-Small-emw-Test.htm ?

E perchè non segnali la cosa su wilders?

Txs


PS:
Perchè, anzi, non metti a disposizione della comunità le tue configurazioni?
Credo sarebbero in diversi a ringraziarti...

Sono solo semplici screenshot...


owned :asd:

questa img e' troppo bella :D

http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/Bourre-pif/2007-07-03_234232.png

[...] dove per "sicuro" intendo un sistema che gia' per come e' progettato prima, configurato poi, limiti drasticamente le possibilita' di qualunque azione maligna e dei danni qualora un'azione maligna venga comunque eseguita.
mi è piaciuta questa frase che hai detto, perchè nessun sistema, nei software, ha una sicurezza assoluta. ho imparato a mie spese che l'informatica, purtroppo non è una scienza esatta. vedrai che troveranno anche il sistema di bucare" il tuo tipo di approccio alla sicurezza anche se le possibilità sono molto minori.

ma secondo te, è più affidabile SSM free (che uso attualmente) oppure Online Armor free...?? O fra i due è meglio invece un terzo (...AppDefend)??

Anzitutto, le mie scuse:
ho messo poc'anzi degli screen di OA2 indicando come freeware la v.testata..
In realtà, ad essere messa alla frusta credo fosse la versione commerciale in quanto nella free non rinvengo le "caratteristiche" adatte per superare i test di nicM...:muro: (es? NO Kernel Mode Security/Termination Protection/Tamper Protection...)
http://www.tallemu.com/comparisons.html

E' possibile cmq che mi sbagli visto che non ho mai provato questo software...:stordita:

Per fare una sorta di punto della situazione sullo stato (in termini di efficacia...) degli HIPS di tipo Behaviour Blocker GRATUITI (quelli cioè che stressano l'utente con i pop-up...), credo ne venga fuori una classifica di questo tipo:

1) DSA (grazie al sapiente uso di kernel-mode hooks/user-mode hooks che consentono al programma di mantenere un certo grado di controllo sulla macchina anche là dove un malware dovesse "resettare" gli hooks kernel mode...)
2) ProSecurity, SSM
3) AppDefend (sulla carta era un'ottimo progetto ma oggi il suo sviluppo "arranca"...)
4) Process Guard

Altrimenti, esistono soluzioni diverse espressamente costruite per NON disturbare l'utente, i Sandbox.
E qui, però, mi viene in mente un solo nome "attendibile",
GesWall... :(

Sandboxie, infatti, pare avere ancora qualche "lacunina"....

E' probabile, peraltro, che l'effettività di GesWall sia > di quella di DSA, il 1° classificato della mia personalissima lista stilata poco sopra....


Un solo test puo' dire nulla ma puo' dire anche molto: se un software mi protegge... da malware particolari mentre un altro fallisce in tal contesto, perche' dovrei scegliere il secondo? Naturalmente avrei piu' fiducia nel primo.
ma va? :D

Ma siccome sono notoriamente fanboy, non ho voluto "calcare troppo la mano"...:stordita: :D

se un software mi protegge (vabbeh'.. cerco di rimanere nello spirito del 3d :D)
carina...:p

PS: prova PS full o DefenseWall poi se ne riparla... :fiufiu: :p


Questi software non sono molto diversi dagli Antivirus nella loro funzione di tappabuchi. :D
Oggi si scopre un buco? Lo si tappa appena possibile, ma intanto da quel buco di roba ne e' passata :D

in linea di principio è vero.
Solo giocando d'anticipo, infatti, riesci a tappare falle prima che siano realmente sfruttate.

Da qui, il nocciolo della questione:
mi rimetto nelle mani di veri professionisti o no?

Perchè se la risposta è del 2° tipo, è inevitabile battere altre strade, per es, quelle che proponi te (PS: attento cmq perchè ci sono brecce anche in un sistema che viaggia con diritti limitati...)

Sempre per dovere di correttezza, è giusto ricordare una cosa:
il sistema delle firme (o dell'euristica...) viaggia su binari differenti da quella che è la filosofia comportamentale.

E qui mi quoto:
in un HIPS, "più che concentrarsi sul codice di un programma...ci si concentra sull'individuazione di generici comportamenti pericolosi che, da un punto di vista teorico, sono in numero FINITO...
Di conseguenza, focalizzando l'attenzione solo sui CANALI attraverso i quali un virus potrebbe annidarsi nella macchina, si innalza drammaticamente la probabilità della loro identificazione...".

Per carità:
si parla sempre da un punto di vista "teorico", il che non chiude del tutto le porte alla tua interpretazione del fenomeno...

Ma è per questo, allora, che un supporto e uno sviluppo serio e costante dovrebbe servire a risolvere i problemi delle brecce cui facevi cenno....


Siamo qui per parlare, cmq...:)

capisco...quindi, tenuto conto che DSA non funziona con gli account limitati, mi sa che posso tenermi SSM free, visto che è secondo ex-aequo con prosecurity free...bhe, meglio di niente...mi sa cmq che dovrò decidermi ad usare geswall...solo che ho sentito dire che a qualcuno ha fatto crashare il sistema...

mi è piaciuta questa frase che hai detto, perchè nessun sistema, nei software, ha una sicurezza assoluta. ho imparato a mie spese che l'informatica, purtroppo non è una scienza esatta. vedrai che troveranno anche il sistema di bucare" il tuo tipo di approccio alla sicurezza anche se le possibilità sono molto minori.

non capito se concordi o prendi distanza dalle mie parole :D
le mie parole sottendono appunto che un sistema non e' mai sicuro 100%, e che invece di giocare ad inseguire i malware e i loro autori, sarebbe piu' produttivo prevenire il maggior numero possibile di attacchi, e limitare per quanto possibile i danni di un eventuale attacco riuscito.
Della serie: "prevenire e' meglio che curare".
Sta di fatto che con una configurazione come quella che ribadisco continuamente, la stragrande, e ripeto stragrande maggioranza di problemi dovuti a malware ecc verrebbe fermata sul nascere dell'attacco, dell'infezione, ecc ecc. Si riducono drasticamente le possibilita' di problemi di questo tipo.
Ma niente garantisce al 100% la sicurezza di un sistema, almeno fino a quanto e' connesso alla rete elettrica :D



Anzitutto, le mie scuse:
ho messo poc'anzi degli screen di OA2 indicando come freeware la v.testata..
In realtà, ad essere messa alla frusta credo fosse la versione commerciale in quanto nella free non rinvengo le "caratteristiche" adatte per superare i test di nicM...:muro: (es? NO Kernel Mode Security/Termination Protection/Tamper Protection...)
http://www.tallemu.com/comparisons.html

E' possibile cmq che mi sbagli visto che non ho mai provato questo software...:stordita:

Per fare una sorta di punto della situazione sullo stato (in termini di efficacia...) degli HIPS di tipo Behaviour Blocker GRATUITI (quelli cioè che stressano l'utente con i pop-up...), credo ne venga fuori una classifica di questo tipo:

1) DSA (grazie al sapiente uso di kernel-mode hooks/user-mode hooks che consentono al programma di mantenere un certo grado di controllo sulla macchina anche là dove un malware dovesse "resettare" gli hooks kernel mode...)
2) ProSecurity, SSM
3) AppDefend (sulla carta era un'ottimo progetto ma oggi il suo sviluppo "arranca"...)
4) Process Guard

Altrimenti, esistono soluzioni diverse espressamente costruite per NON disturbare l'utente, i Sandbox.
E qui, però, mi viene in mente un solo nome "attendibile",
GesWall... :(

GesWall e' l'unico che mi piace davvero per come e' studiato. Davvero ben fatto.

Sandboxie, infatti, pare avere ancora qualche "lacunina"....

Giusto qualche :D


ma va? :D

Ma siccome sono notoriamente fanboy, non ho voluto "calcare troppo la mano"...:stordita: :D

ah dunque ogni volta che parlano di fanboy qui si riferiscono a te? :D



carina...:p

PS: prova PS full o DefenseWall poi se ne riparla... :fiufiu: :p

mah :D



in linea di principio è vero.
Solo giocando d'anticipo, infatti, riesci a tappare falle prima che siano realmente sfruttate.

Da qui, il nocciolo della questione:
mi rimetto nelle mani di veri professionisti o no?

Perchè se la risposta è del 2° tipo, è inevitabile battere altre strade, per es, quelle che proponi te (PS: attento cmq perchè ci sono brecce anche in un sistema che viaggia con diritti limitati...)

Ribadendo che nessun sistema e' 100% perfettamente sicuro, con un sistema di quel tipo ce ne vuole per prendere il controllo della macchina. Azz se ce ne vuole. Con un sistema "normale", invece, hai voglia a mettere antivirus, hips, ecc ecc. Puoi affermare il contrario?

il sistema delle firme (o dell'euristica...)

ehm?

viaggia su binari differenti da quella che è la filosofia comportamentale.

E qui mi quoto:
in un HIPS, "più che concentrarsi sul codice di un programma...ci si concentra sull'individuazione di generici comportamenti pericolosi che, da un punto di vista teorico, sono in numero FINITO...
Di conseguenza, focalizzando l'attenzione solo sui CANALI attraverso i quali un virus potrebbe annidarsi nella macchina, si innalza drammaticamente la probabilità della loro identificazione...".

Per carità:
si parla sempre da un punto di vista "teorico", il che non chiude del tutto le porte alla tua interpretazione del fenomeno...

Ma è per questo, allora, che un supporto e uno sviluppo serio e costante dovrebbe servire a risolvere i problemi delle brecce cui facevi cenno....


Siamo qui per parlare, cmq...:)

d'accordo sulla filosofia seguita dagli hips.
Ma torniamo a ricordare una nuova volta che gli hips non fanno altro che "tentare di rimediare" alle buche di un sistema consegnato in configurazione normale.
Vista in questo modo, in un contesto come quello della configurazione che suggerisco, la loro utilita'/bisogno va rivista, e di parecchio. Concordi? :)

capisco...quindi, tenuto conto che DSA non funziona con gli account limitati, mi sa che posso tenermi SSM free, visto che è secondo ex-aequo con prosecurity free...bhe, meglio di niente...mi sa cmq che dovrò decidermi ad usare geswall...solo che ho sentito dire che a qualcuno ha fatto crashare il sistema...


Sei d'accordo con me che un software di sicurezza, di qualunque tipo, per funzionare richieda che l'utente sia amministratore, e' semplicemente ridicolo? :D

capisco...quindi, tenuto conto che DSA non funziona con gli account limitati, mi sa che posso tenermi SSM free, visto che è secondo ex-aequo con prosecurity free...bhe, meglio di niente...mi sa cmq che dovrò decidermi ad usare geswall...solo che ho sentito dire che a qualcuno ha fatto crashare il sistema...

tieni cmq presente che la classifica che ho stilato è figlia solo di sensazioni, magari incrociandoci anche qualche dato che a suon di leggere ho ricavato in rete, ma non ha nulla di ufficiale e come tale va presa.



PS:
certo, se si valutano altre strade come quelle tracciate da Sisupoika http://www.hwupgrade.it/forum/showthread.php?t=1517343 , sono il 1° a dire che non si appesantisce di un grammo il sistema, si riesce a stare più che ragionevolmente sicuri e non si spende 1 cent..
Altrimenti, se si opta per la strada "classica", acquistare 1 programma invece di utilizzare versioni "castrate", specie alla luce anche di quello che costano, non la vedo un'idea cosi' malvagia, anzi, sarebbe assolutamente consigliabile...



Su GesWall e i crash:
bisognerebbe provare.

Come al solito, c'è chi è estremamente entusiasta, chi ha avuto problemi....

:)

PS:
se è per quello, anche con ProSecurity in molti in passato, specie quando non era ancora maturissimo, hanno avuto problemi:
per fortuna xò, nè io, nè molti altri, ne hanno avuti...
Culo?:wtf:

ah dunque ogni volta che parlano di fanboy qui si riferiscono a te? :D

bè, scorri il thread dall'inizio, no?:D


mah :D
adduci, adduci....:p

Ribadendo che nessun sistema e' 100% perfettamente sicuro, con un sistema di quel tipo ce ne vuole per prendere il controllo della macchina. Azz se ce ne vuole. Con un sistema "normale", invece, hai voglia a mettere antivirus, hips, ecc ecc. Puoi affermare il contrario?

Nessun sistema è sicuro al 100%.
D'accordissimo.

A questo valore soglia, xò, ci si può avvicinare....

Io, cmq, relativizzerei il concetto al tempo.
Voglio dire, e con 2 parole:
fino a 6/12 mesi fà, quando cioè il suo sviluppo era ancora attivo, con Process Guard rootkit non ne prendevi.
Punto.
User mode, kernel mode, ZERO. NADA. CICCIA.

I rootkit concepiti fino ad allora se ne stavano silenti o ripassavano dal via.:D
Addirittura, il famigerato Rustock.b implementato se non erro anche in una variante di gromozon, veniva (viene) riconosciuto PROATTIVAMENTE da PG da circa 2 anni, da quando cioè usci' la v.3, quando invece Kaspersky, Symantec e company dovevano affannarsi (ANNI DOPO!!!) a isolare il virus per tirar fuori le "firme".....




Poi, cosa è successo?
La DiamondCS è "svanita", puff.
E, da 12 mesi a questa parte, le tecniche di infiltrazione si sono evidentemente aggiornate (vedi i test di nicM)....



Continuando l'es., visto che ProSecurity NON HA rilasciato alcun aggiornamento specifico per coprire le falle oggetto di questo thread, significa che il suo sviluppatore, quando ha pensato il suo software, era al corrente che certi comportamente sarebbero potuti diventare pericolosi in un futuro più o meno prossimo, e ne ha implementato la protezione nel suo programma....
Ma diverso tempo fà!! (ecco la lungimiranza o il giocare d'anticipo...)

Il processo, è logico, deve continuare, altrimenti arriverà anche per PS la sua caporetto!





Sull'inutilità di un HIPS in un ambiente quale quello che descrivi nella tua guida, poi, è possibilissimo per quanto cmq restino aperte brecce anche in quel caso:
su tutti, vedi http://www.pcalsicuro.com/main/2007/01/account-limitato-ce-bisogno-dellantivirus/ :read:

eraser, cmq, mi parlava anche di altri "canali"...
Se solo si decidesse a postare....:p

PS:
di sicuro cmq la "tua" soluzione è molto sicura e (probabilmente..) elegante:
scusami, ma l'ho seguita il giusto.
Aspetto cmq il video perchè voglio imparare ancora qualcosina..

Ciao!

Sull'inutilità di un HIPS in un ambiente quale quello che descrivi nella tua guida, poi, è possibilissimo per quanto cmq restino aperte brecce anche in quel caso:
su tutti, vedi http://www.pcalsicuro.com/main/2007/01/account-limitato-ce-bisogno-dellantivirus/ :read:

Rimanendo d'accordo sul fatto che le brecce, come tu le chiami, ci sono sempre e comunque, ti faccio notare che quell'ottimo articolo tiene conto del solo account limitato, che gia' di per se' riduce drasticamente possibili problemi.
Ma NON tiene conto delle restrizioni sul software di cui parlo nella configurazione da me suggerita in quel thread.
L'account limitato da solo e' ottimo ma non basta, poiche' un malware potrebbe ancora scrivere ecc nelle cartelle in cui l'utente normale puo' scrivere, e far li' cio' che gli pare. Vietando, per i soli utenti limitati, la scrittura nelle cartelle di sistema e in quelle in cui risiedono i dati che si vogliano proteggere, l'utente potra' sempre accedere ai suoi documenti mentre un malware non potra' scrivere ne' nelle risorse di sistema, ne' compromettere documenti importanti. Questo, in linea di principio, ovviamente. Abbiamo gia' convenuto sul fatto che il sistema per aggirare una protezione, qualunque essa sia, c'e' sempre e comunque perche' il sistema perfetto non esiste.
L'account limitato, insieme con delel opportune restrizioni, sono l'unica strada effettiva, imho.



eraser, cmq, mi parlava anche di altri "canali"...
Se solo si decidesse a postare....:p

Di che canali, e in merito a cosa? Scusa, non ho afferrato :)

Di che canali, e in merito a cosa? Scusa, non ho afferrato :)
Per canali intendo "tecniche o modi" per bypassare qualcosa, in questo caso, l'account limitato...


E' inutile, cmq, che dica io SE e QUALI siano le strade visto che onestamente NON conosco cosi' bene la materia...
In questo senso, infatti, chiedevo l'opinione di qualcuno che fosse molto più pratico di me e eraser, aimè, potrebbe essere realmento questo qualcuno...:p

Per canali intendo "tecniche o modi" per bypassare qualcosa, in questo caso, l'account limitato...


E' inutile, cmq, che dica io SE e QUALI siano le strade visto che onestamente NON conosco cosi' bene la materia...
In questo senso, infatti, chiedevo l'opinione di qualcuno che fosse molto più pratico di me e eraser, aimè, potrebbe essere realmento questo qualcuno...:p


Adesso capisco cosa intendevi.
I sistemi come gia' detto ci sono sempre, anche ovviamente in caso di configurazione lock down.
Ma le parole "lock down" non avrebbero alcun senso se l'utente usasse il pc, per le normali operazioni, come account limitato, e attivasse le restrizioni sul software che l'utente puo' eseguire, e poi si mettesse ad utilizzare il pc senza la minima cautela, eseguendo come Administrator tutto cio' che gli capita tra le mani e che vuole installare, provare, ecc ecc.
Se un utente
- ha una configurazione in lock down, dove l'utente usa quasi per tutto un account limitato ma allo stesso tempo la regola e' quella del "default deny" e non del contrario, e l'eccezione e' rappresentata dal whitelisting
- l'utente esegue come Administrator soltanto software acquistato o comunque proveniente da fonte sicura (come dovrebbero fare tutti; quanti utenti non fanno altro che scaricare roba da mattina a sera, illegalmente, da fonti non attendibili, e si mettono ad installare di tutto?)
- l'utente avvia eventuali software provenienti da fonte non sicura ecc in una sandbox o virtualizzazione ecc, per verificarne prima il comportamento, e poi installare normalmente sul sistema una volta assicurato che quel software e' o almeno appare "sicuro" (persino la sandbox di Norman o quella di sunbelt possono aiutare a dare una rapida occhiata al comportamento di un software, anche se anche questi sistemi di virtualizzazione e analisi possono essere purtroppo aggiratil; ma qui stiamo parlando di un cane che si morde la coda, no? :D)

Allora i rischi sono davvero, davvero limitati.

Come spunto, ti linko questo scritto di Russinovich - uno dei "soliti" - che parla appunto di una tecnica per bypassare le restrizioni sul sistema e avviare un'applicazione da percorso non consentito, con un semplice account limitato.
Lui sottolinea il fatto che sia possibile bypassare le restrizioni, ma sottolinea anche che cio' e' possibile soltanto in determinate condizioni nelle quali le restrizioni non sono applicate come dovrebbero.
Lui inoltre stressa sul discorso di whitelisting a cui facevo cenno.

http://blogs.technet.com/markrussinovich/archive/2005/12/12/circumventing-group-policy-as-a-limited-user.aspx

EQSecure 2.4 (Free..) & SSM 2.4.0.619 ritestati da nicM:

http://membres.lycos.fr/nicmtests/Unhookers/update.htm

:)



PS: al post n°48 ho commesso un errore di ortografia imperdonabile::muro:
chi lo dovesse trovare per primo, vince 1 bambola gonfiabile!:ciapet:

Serio:
lo lascio a testimonianza della mia ignoranza anche se, onestamente, credo sia imputabile solo alla "disattenzione" e alla furia di scrivere...:stordita:

EQSecure 2.4 (Free..) & SSM 2.4.0.619 ritestati da nicM:

http://membres.lycos.fr/nicmtests/Unhookers/update.htm

:)
si ma solo su un sample l'altro che aveva fallito non l'ha testato, forse avrà avuto anche lui problemi:D e non l'ha voluto scrivere:D

PS: al post n°48 ho commesso un errore di ortografia imperdonabile::muro:
chi lo dovesse trovare per primo, vince 1 bambola gonfiabile!:ciapet:

Serio:
lo lascio a testimonianza della mia ignoranza anche se, onestamente, credo sia imputabile solo alla "disattenzione" e alla furia di scrivere...:stordita:


bè?
non gioca nessuno? :sofico:



PS:
se il problema del non giocare fosse il "non sapere con cosa gonfiarla", TRANQUILLI, ve la spedisco previa passata di compressore....:asd: :asd:

bè?
non gioca nessuno? :sofico:



PS:
se il problema del non giocare fosse il "non sapere con cosa gonfiarla", TRANQUILLI, ve la spedisco previa passata di compressore....:asd: :asd:

ehm. il post #48 e' mio :fagiano:

bè?
non gioca nessuno? :sofico:



PS:
se il problema del non giocare fosse il "non sapere con cosa gonfiarla", TRANQUILLI, ve la spedisco previa passata di compressore....:asd: :asd:

ti riferisci a teem (team)?

HAI VINTO!! :yeah:


Vuoi la passata di compressore o te la gonfi da solo?:D


EDIT x Sisupoika:
come è tuo il post??:mbe:

Qui da me figura come mio....:p

Cmq sia, sei arrivato 2°....:ciapet:

ti riferisci a teem (team)?

:sbonk:

Vuoi la passata di compressore o te la gonfi da solo?:D


Forse gradisce che gliela metti UNDER PRESSURE...che so...1250 psi possono andar bene. ;) :sofico: Così gli viene bella grossa. :D
A meno che voglia una "bambola" reale (leggasi bella pupa/topa/fig@). :ciapet:

Regards