Di ritorno da una vacanza stupenda, proprio non mi va' di lavorare....percio' mi sono messo a cazzeggiare un po' :fagiano: :D

Stavo leggendo alcune cosette a proposito di phishing, e mi hanno fatto ridere i commenti di alcune persone che si sentono "sicuri" con i loro software di sicurezza "a prova di click" :D (non che non ce ne siano in questo forum, a dire il vero :asd: )

Come dicevo, dunque, mi sono messo a cazzeggiare un po' e giocherellando di qua' e di la' ho fatto una semplice pagina di test. Me la provate coi vostri filtri? :D

Per questo test uso javascript - che ho offuscato un po' giusto per rendere l'atmosfera :fagiano: - percio' se usate firefox con l'estensione Noscript disabilitatela un attimo per questo test (piccola nota: forse - non sono ancora sicuro 100% - ho trovato come aggirare anche Noscript, anche se rimane un ottimo tool per evitare problemi nella maggioranza dei casi :)).

La pagina di test mostra un semplice link a Google.

Dimentichiamo per un attimo Noscript, che come vedrete rimane l'unica arma di difesa contro tecniche di phishing un po' piu' intelligenti del solito.

Se non erro:

1. Un utente accorto, prima di cliccare su un qualunque link, ovviamente controllerebbe nella status bar del browser se quel link davvero porta al sito mostrato/atteso. Giusto? :D

2. Un utente ancora piu' accorto, in caso di pagina sospetta ma apparentemente ok, controllerebbe col browser il codice del link in questione, per vedere se c'e' qualcosa di strano. Giusto? :D

Premesso cio', prima di cliccare sul link a Google nella pagina linkata sotto,

1. verificate che nella vostra status bar compaia il link a Google, quello atteso
2. provate a controllare nel sorgente e vedrete che il link e' un normalissimo, banale link a Google.

Tutto sembrera' normale, a parte che osserverete anche che nella pagina c'e' pero' del javascript, che si occupa del "giochetto". :D

Cliccate adesso su quel link: vi aspettereste di vedere la home di Google, giusto? Invece apparira' la index di questa sezione del nostro caro forum. :)

Provate con Firefox+Noscript: bloccato lo script, il link funzionera' normalmente portando a Google, e l'utente non notera' niente di strano.

Morale della favola: avere un filtro anti phishing e controllare i link non basta. :D

Vi sarei grato se faceste dei test coi vostri filtri anti phishing per vedere se qualcuno rileva un "comportamento sospetto" in questa pagina di test.

Trovate la pagina di test a questo link (http://www.stealthmeasures.com/PhishingTest.htm).

si, ho notato quanto da te scritto, anche con opera fa la stessa cosa

si, ho notato quanto da te scritto, anche con opera fa la stessa cosa

Grazie :D

Mi sono accorto che ho dimenticato di far notare una cosa: avete presente Gromozon e compagnia che usano iframe per sfruttare exploits e trasferire malware ecc ecc? Con alcune modifiche (che per ovvie ragioni non esplicito) si puo' usare questo sistemino per ottenere un effetto anche migliore, senza iframes. :fagiano:

Ho fatto il test e i risultati non sono rassicuranti.:eek:
Opera col filtro antipishing attivo non rileva nulla e se metto il mouse sul link sembra che vada a google. Idem con IE7 e per finire f-secure IS 2007 non mostra messaggi di allarme!

P.S. 6 proprio bravo!:D

Bella :) funzionano proprio bene sti filtri :)

Per questo test uso javascript - che ho offuscato un po' giusto per rendere l'atmosfera :fagiano: - percio'

un po'?!? Sto tentando di capire come funziona la pappardella prima della funzione Sisupoika(cnbdnm), son giusto al primo giro e mi sta venendo il mal di testa ;) Sicuramente uno non si mette a tentare di capire cosa fa prima di eseguirla, piuttosto rinuncia :D

Cmq bell'esempio! Non son molto pratico di filtri browser ma la "battaglia" contro ste giochetti la vedo nera se si vuole continuare ad usare ajax e tutto il resto...

Unico dubbio: com'è possibile che funzioni anche con no-script? Stavi parlando di tutt'altra cosa? No-script non impedisce qualsiasi javascript?

Bella :) funzionano proprio bene sti filtri :)



un po'?!? Sto tentando di capire come funziona la pappardella prima della funzione Sisupoika(cnbdnm), son giusto al primo giro e mi sta venendo il mal di testa ;) Sicuramente uno non si mette a tentare di capire cosa fa prima di eseguirla, piuttosto rinuncia :D

LOL :D

Cmq bell'esempio! Non son molto pratico di filtri browser ma la "battaglia" contro ste giochetti la vedo nera se si vuole continuare ad usare ajax e tutto il resto...

della serie...protezioni vere non esistono :D

Unico dubbio: com'è possibile che funzioni anche con no-script? Stavi parlando di tutt'altra cosa? No-script non impedisce qualsiasi javascript?

parlavo del fatto che forse ho trovato come aggirarlo in generale :)

A me, uno straccio di avviso, lo segnala:

http://img297.imageshack.us/img297/741/screenshot022wn6.jpg

se punto il mouse sul link sembra porti a www.google.co.uk ma, come anticipato da Sisu, si finisce dritti alla Sezione Antivirus e Sicurezza del Forum.
Andiamo bene:bsod:

LOL :D quando ho visto il link a http://doiop.com/44x3j9 m'è venuto un colpo, non lo conoscevo come servizio :D:D:D

parlavo del fatto che forse ho trovato come aggirarlo in generale :)

Se funziona, non mancare di riportarlo o quantomeno di riportare come evitare di cascarci :)

LOL :D quando ho visto il link a http://doiop.com/44x3j9 m'è venuto un colpo, non lo conoscevo come servizio :D:D:D

:sbonk:

cmq per offuscare a quel modo ci sono voluti +/- 5 minuti :D
Se ne faccio un'offuscamento vero, in un'oretta il mal di testa viene a me, ma nessuno poi riesce a fare reverse :D

un pezzo dovrebbe essere questo:D
window.onload=function(){document.links[0].onclick=function(){this.href="http://doiop.com/44x3j9"}}

Opera settato bene + antivir settato bene non vengono fregati !!
Ecco una pagina (del mio portatile) che dimostra come antivir blocca il tutto:

http://img130.imageshack.us/img130/9244/sisupoikamj2.jpg

avira segnala: heur/hexploit.html

un pezzo dovrebbe essere questo:D
window.onload=function(){document.links[0].onclick=function(){this.href="http://doiop.com/44x3j9"}}

esatto :D

Spero che questo semplice esempio renda l'idea.
Provate ad immaginare quanti siti sono facilmente (purtroppo) crackabili.
Un malintenzionato potrebbe manomettere direttamente i link in questo modo non facilmente rilevabile, senza usare iframes o altri trucchetti. :)

@sampei/pci: grazie ad entrambi per il feedback :D

Ottimo che Avira rileva qualcosa ma... avete fatto caso al fatto che comunque siete finiti sul sito da me scelto? :D


Cmq spero altri possano postare i risultati anche con altri software :D

veramente interessante la questione :D

ho vinto io:D

ho vinto io:D

well done mate but...bravino :D
ci hai messo troppo :asd:

@sampei/pci: grazie ad entrambi per il feedback :D

Ottimo che Avira rileva qualcosa ma... avete fatto caso al fatto che comunque siete finiti sul sito da me scelto? :D


Cmq spero altri possano postare i risultati anche con altri software :D

Si ma l'EXPLOIT eventuale sarebbe stato bloccato....
E l'utente con antivir avrebbe immediatamente chiuso la pagina.
Ne sanno qualcosa antirookit.com
Quindi nessun danno.....se non quello potenziale !!
C'è piuttosto da considerare se questo è o meno un esperimento.
E ci saranno gli estremi per "un continuo" che potrebbe diventare "pericoloso".
Spero di no.
Tu cosa ne dici ?

veramente ci ho messo 30 secondi, ho aggiunto
<script type="text/javascript"> all'inizio
modificato eval con document.write
e chiuso alla fine con </script>

Ciao

Altra possibile applicazione (appena testata :D) di questa semplice tecnica: pubblicita'.

Ho fatto un altro script che rimpiazza i parametri dei link di AdWords e l'id affiliato di un sito turistico... cosi' facendo si possono letteralmente "rubare" soldi a network di affiliazione... :fagiano: :stordita:

veramente ci ho messo 30 secondi, ho aggiunto
<script type="text/javascript"> all'inizio
modificato eval con document.write
e chiuso alla fine con </script>

Ciao

scusa, avrei dovuto dire al plurale ci avete messo troppo, in generale :D

scusa, avrei dovuto dire al plurale ci avete messo troppo, in generale :D
:D

Si ma l'EXPLOIT eventuale sarebbe stato bloccato....


E come fai a dirlo? Se uso un sistema simile, molto piu' elaborato (questo e' un semplice esempio), con un nuovo exploit...? :)

Firefox + noscript mi porta a http://www.google.co.uk/ ma con scritte in italiano
se metto il link in permetti temporaneamente script arrivo ad hwupgrade

:D

cmq anche WS aveva "decifrato" (termine grosso in questo semplice esempio) prima di te :O :D


Firefox + noscript mi porta a http://www.google.co.uk/ ma con scritte in italiano
se metto il link in permetti temporaneamente script arrivo ad hwupgrade

esatto :)

cmq anche WS aveva "decifrato" (termine grosso in questo semplice esempio) prima di te :O :D




esatto :)

ho trovato un modo per fregare il link:
anche senza noscript se scelgo(come faccio sempre) apri in una nuova scheda arrivo a google :)

Con Opera invece anche aprendo il link in una pagina nuova porta ad hwupgrade

C'è piuttosto da considerare se questo è o meno un esperimento.
E ci saranno gli estremi per "un continuo" che potrebbe diventare "pericoloso".
Spero di no.
Tu cosa ne dici ?

Eh? :confused:

Era solo un esempio di una cosa sottovalutata che invece non dovrebbe esserlo. Naturalmente gli sviluppi ci sono, ma per ovvie ragioni non e' che mi metto a scrivere tutto qui dentro, non si sa' mai che qualcuno ci si diverta o prenda spunto :)

E come fai a dirlo? Se uso un sistema simile, molto piu' elaborato (questo e' un semplice esempio), con un nuovo exploit...? :)

Ho fatto una prova solo con antivir.

Con il metodo che uso quando faccio "navigazione pericolosa" NON sarei finito nella tua pagina.

Credo che sai come,io naturalmente non lo voglio dire.

Me ne sarei accorto prima dell'inganno......;)

cmq anche WS aveva "decifrato" (termine grosso in questo semplice esempio) prima di te :O :D

se lo dici tu:D , per arrivare a quel link non serve di certo deoffuscare lo script:D

Ho fatto una prova solo con antivir.

Con il metodo che uso quando faccio "navigazione pericolosa" NON sarei finito nella tua pagina.

Credo che sai come,io naturalmente non lo voglio dire.

Me ne sarei accorto prima dell'inganno......;)

e che metodo usi? ti metti a controllare tutto a mano? :D
Scusa ma non ho capito che vuoi dire :)

se lo dici tu:D , per arrivare a quel link non serve di certo deoffuscare lo script:D

LOL te ne sei accorto :sbonk:

per evitare che un utente si accorga di quella piccola "cosa" ( :D ) cmq basta giocare col meta refresh :asd:

è normale che un utente esperto non ci caschi, poi lasciami dire che il metodo che hai usato per uffuscare il tutto fa venire dei sospetti anche a mia sorella che ha 10 anni:D

è normale che un utente esperto non ci caschi, poi lasciami dire che il metodo che hai usato per uffuscare il tutto fa venire dei sospetti anche a mia sorella che ha 10 anni:D

:sbonk:

era solo un esempio, sono sicuro sai cosa voglio dire :D

non so cosa intendi:D , comunque molti av sono in grado di deoffuscare gli script naturalmente le routine vengono aggiornate volta per volta, ciao

non so cosa intendi:D

Ok, allora prometto che non appena ho tempo facciamo una prova con un sistema piu' "proprio" per nascondere il js. :D

lo puoi nascondere nella pagina web ma no nelle cartelle di windows:D

e che metodo usi? ti metti a controllare tutto a mano? :D
Scusa ma non ho capito che vuoi dire :)

http://img122.imageshack.us/img122/1160/sis1ty3.jpg

Dai mi vuoi prendere per....:D :D :D
Vorrei dire che NON sarei arrivato comunque al TUO link. ;)

lo puoi nascondere nella pagina web ma no nelle cartelle di windows:D


vabbeh adesso chiedi troppo :D

anche se forse...chissa'...ADS somehow via web...uhm mi hai dato uno spunto di riflessione :sbonk:

:D

@sampei, grazie del chiarimento, non avevo capito a cosa ti riferivi :)


cmq, ragazzi, il punto e': quale percentuale di utenti aggirerebbe questo genere di cose senza conoscenza, con il classico norton ecc ecc? 95%? :D
E' questo il punto. Siete d'accordo su questo? :D

http://img122.imageshack.us/img122/1160/sis1ty3.jpg

Dai mi vuoi prendere per....:D :D :D
Vorrei dire che NON sarei arrivato comunque al TUO link. ;)

sampei, forse ti sfugge che quell'alert e' per la semplice redirezione dal link tinyurl-like a quello di hwupgrade, che ho usato giusto per gioco per usare una sorta di url non riconoscibile a prima vista nei link ecc ecc.
Ma se ti riscrivo lo script mettendo direttamente l'url del sito che voglio farti aprire (nell'esempio, il forum), quindi senza redirezione, mi spieghi dove si attacca il filtro anti-redirezione di opera ecc? al tram? :asd:


ps: lol

http://linkscanner.explabs.com/linkscanner/checksite.asp?NS=ChkOnly&SRC=apps.ExpLabs.com&CS=http://www.stealthmeasures.com/PhishingTest.htm

Sarà....:D
Vedremo !! :D :D

Tu prova.....ma a parte Opera che è un browser eccezionale (e colgo l'occasione per dire):

"Cari utenti usate come vi pare FF nei siti conosciuti,ma se volete fare navigazione avventata usate Opera"

dicevo a parte Opera, poi devi fregare me,antivir ecc ecc !! ;) ;)

Sarà....:D
Vedremo !! :D :D

Tu prova.....ma a parte Opera che è un browser eccezionale (e colgo l'occasione per dire):

"Cari utenti usate come vi pare FF nei siti conosciuti,ma se volete fare navigazione avventata usate Opera"

dicevo a parte Opera, poi devi fregare me,antivir ecc ecc !! ;) ;)

Che Opera sia il piu' sicuro (di base) e' fuori discussione. Su questo ti do' il cinque. :)
Sul resto, un po' meno :D

Con Opera passando sul link mi appare questo indirizzo http://doiop.com/44x3j9 e non quello di Google.:)

Con Opera passando sul link mi appare questo indirizzo http://doiop.com/44x3j9 e non quello di Google.:)

Questo accade dopo che hai gia' cliccato sul link aprendolo in un altro tab oppure se clicchi e, una volta aperta la pagina di destinazione, torni indietro col pulsante back del browser.
Ma hai gia' cliccato su quel link, e ti e' gia' stata caricata la pagina voluta. :)

Sarà....:D
Vedremo !! :D :D

Tu prova.....ma a parte Opera che è un browser eccezionale (e colgo l'occasione per dire):

"Cari utenti usate come vi pare FF nei siti conosciuti,ma se volete fare navigazione avventata usate Opera"

dicevo a parte Opera, poi devi fregare me,antivir ecc ecc !! ;) ;)

io con la suite di avira non ricevo nessuna segnalazione visitando questo sito con i javascript abilitati...
eppure ho impostato heuristica ai massimi livelli :muro:

è da questo pomeriggio che faccio prove su prove per capire cosa non funzioni....

io con la suite di avira non ricevo nessuna segnalazione visitando questo sito con i javascript abilitati...
eppure ho impostato heuristica ai massimi livelli :muro:

è da questo pomeriggio che faccio prove su prove per capire cosa non funzioni....

Strano che a te non dica niente se a sampei e pci invece rileva qualcosa :confused:

io con la suite di avira non ricevo nessuna segnalazione visitando questo sito con i javascript abilitati...
eppure ho impostato heuristica ai massimi livelli :muro:

è da questo pomeriggio che faccio prove su prove per capire cosa non funzioni....

Evidentemente il modulo GUARD.:mbe:
Prova a settare tutto seguendo il 3D ufficiale e nel caso disinstalla e reinstalla.

ho trovato un modo per fregare il link:
anche senza noscript se scelgo(come faccio sempre) apri in una nuova scheda arrivo a google :)

Con Opera invece anche aprendo il link in una pagina nuova porta ad hwupgrade
No, io con opera se apro in una nuova finestra arrivo a google.

A me con opera mi reindirizza su goole (ma ho i referer e il javascript disabilitati):D

P.s. come faccio ad inviare un virus (o presunto tale alla kaspersky?)

se hai tutto disabilitato ovvio :D

A me con opera mi reindirizza su goole (ma ho i referer e il javascript disabilitati):D

P.s. come faccio ad inviare un virus (o presunto tale alla kaspersky?)

anche io ho fatto i tests con i javascript abilitati, ovvio che senza non funziona il test.


P.s. come faccio ad inviare un virus (o presunto tale alla kaspersky?)
che c'entra con il topic?
al massimo dovrebbe essere un qualcosa da correggere nel cidice dei browsers.

comunque se ti interessa:

[email protected]

Infatti nn c'entra nulla :D cmq grazie per l'indirizzo:)

Il succo del discorso che volevo fare è: ma disabilito le protezioni e faccio il test ovvio che nn lo passa (nn passa nessun test se chiudo pure l'antivirus :D ) ma il problema si pone per chi nn è esperto (quindi nn la maggior parte di noi). Ma mi verrebbe da dire: e chi se ne frega?:D ne ho viste cose assurde fatte da persone nn esperte (gente che spegne il pc tirando il cavo, persone che impilano i cd-rom nel lettore, altri che si compravano pc della Standa a prezzi stratosferici, ecc.). Certo è che in caso di distrazione di chiunque...ma devono verificarsi tanti fattori contemporaneamente, cosa che vedo difficile (poi sarò smentito dai fatti :D )

Come gia' detto purtroppo la maggioranza degli utenti non e' esperta, e in questo caso mi verrebbe da aggiungere che sebbene il sistema descritto si basi si una cosa non complicata, esso e' presentato in una forma che ancora di piu' puo' ingannare l'utente comune a prima vista (il fatto della status bar, per esempio)

Opera 9.23:

Confermo se clickiamo con il tasto destro sul link e diciamo:

1) Apri in una nuova scheda

2) apri in una nuova finestra

Si raggiunge Google UK.

Quindi si frega il metodo di Sisu.
Il problema è che non è un sistema di navigazione solitamente usato....;) ;)

Java e javascript attivi !!

Ho testè fatto qualcosa di interessante.
Ho segnalato al "team bugs" di Opera questo 3D.....

Questo accade dopo che hai gia' cliccato sul link aprendolo in un altro tab oppure se clicchi e, una volta aperta la pagina di destinazione, torni indietro col pulsante back del browser.
Ma hai gia' cliccato su quel link, e ti e' gia' stata caricata la pagina voluta. :)

Aprendola in un altro tab mi ha aperto Google UK.
Cliccando direttamente il redirect invece funziona.

No, io con opera se apro in una nuova finestra arrivo a google.
ma hai disabilitato gli javascript,mmentre Firefox anche senza l'opzione noscript usando il metodo "apri in una nuova finestra" non viene fregato. :)
Quindi in questo caso Firefox è stato più sicuro di opera

ma hai disabilitato gli javascript,mmentre Firefox anche senza l'opzione noscript usando il metodo "apri in una nuova finestra" non viene fregato. :)
Quindi in questo caso Firefox è stato più sicuro di opera

No,no i Java sono abilitati....come ho scritto (sottointendendolo) nella mia conferma.

Evidentemente il modulo GUARD.:mbe:
Prova a settare tutto seguendo il 3D ufficiale e nel caso disinstalla e reinstalla.

è quello che ho fatto... era già impostato correttamente ma ho colto l'occasione per ricontrollare... :(
guard:
_ scan when reading e writing
_ all files
_ local drives
_ unpack runtime compressed files

action:
_ ho messo interactive per controllare istantaneamente ma solitamente è sempre su "automatic = repair or rename"
_ use event log
_ acoustic alert

excepition:
disco d:\ (è quello dove c'è l'immagine recovery per il c:\)
a-squared
prevx2

heuristic:
_ macrovisrus heuristic
_win32 file heuristic "high detection level"

report:
complete con limit size 10mb, write configuration in report file

scanner:
_ all files
_ scan boot sectors
_ search master boot sectors
_ scan memory
_ ignore offline files
_ rootkit search on search start
_ allow stopping the scanner, scanner priority "normal"


provo allora a reinstallare :muro: :cry:

No,no i Java sono abilitati....come ho scritto (sottointendendolo) nella mia conferma.

guarda sono stato il primo ad aver tentato la strada dell'"apri in una nuova finestra" e con opera 9.23 mi viene fuori il forum,mentre con firefox no.Opera è a default,firefox senza noscript.

rettifico,per sicurezza ho riprovato e stavolta anche opera ha funzionato.Chissà come mai oggi pomeriggio avevo ottenuto un risultato diverso.

guarda sono stato il primo ad aver tentato la strada dell'"apri in una nuova finestra" e con opera 9.23 mi viene fuori il forum,mentre con firefox no.Opera è a default,firefox senza noscript.

rettifico,per sicurezza ho riprovato e stavolta anche opera ha funzionato.Chissà come mai oggi pomeriggio avevo ottenuto un risultato diverso.

Sei sei stato il primo rimarrai il primo, chi dice il contrario.......

Sei sei stato il primo rimarrai il primo, chi dice il contrario.......


non intendevo quello,ma che non ero riuscito con opera

idem con patate....!non ha funzionato solo perchè navigo con la redirezione automatica di Opera disattivata:D (me l'ero dimenticato :p )
Però in navigazione "utontstandard" fregherebbe chiunque.....che tristezza :rolleyes:

sto uscendo pazzo..
ho disinstallato avira suite poi restartato installato nuovamente con setup scaricato nuovamente, restartato, aggiornato e nuovamente restartato dopo aver impostato tutto...
con il risultato che è riconparso il pop-up strano:

http://img514.imageshack.us/img514/3882/problema2an4.th.jpg (http://img514.imageshack.us/my.php?image=problema2an4.jpg)

ps: ho abilitato i javascript, clickato sul link di test e arrivato sul forum è comparso il pop-up...

:mbe:

nessuna segnalazione da avira e tutti gli altri... per linkscanner è segnale verde questo sito di test...
possibile che sia solo io ad essere perseguitato da styrani eventi? :muro:

sto uscendo pazzo..
ho disinstallato avira suite poi restartato installato nuovamente con setup scaricato nuovamente, restartato, aggiornato e nuovamente restartato dopo aver impostato tutto...
con il risultato che è riconparso il pop-up strano:

http://img514.imageshack.us/img514/3882/problema2an4.th.jpg (http://img514.imageshack.us/my.php?image=problema2an4.jpg)

ps: ho abilitato i javascript, clickato sul link di test e arrivato sul forum è comparso il pop-up...

:mbe:

nessuna segnalazione da avira e tutti gli altri... per linkscanner è segnale verde questo sito di test...
possibile che sia solo io ad essere perseguitato da styrani eventi? :muro:


forse hai bisogno di un esorcista :D scherzi a parte secondo me c'è qualche conflitto o qualcosa ti ha imputtanato il pc.....:rolleyes:

Formatta e reinstalla tutto:D

:cry: :cry: :cry: :cry:

se sarà un weekend piovoso mi cimenterò nuovamente con il ripristino del sistema operativo previa corruzione del sapiente sistemista per editare nuovamente il file host di un server altrimenti non mi funzionerà più CmSinergy :muro:

cmq sto pop-up è saltato fuori dopo quel sito che ho segnalato come pericoloso... :mbe:

forse ci siamo...
ho reinstallando tutto il parco software rivolto alla sicurezza a-squared-antimalware mi ha segnalato che Firefox aveva un comportamento da backdoor quindi l'ho messo in quarantena...
inoltre sono tornato ad avere solo 412Mb di ram occupati :D

In riferimento a questo thread leggo interventi del tipo "io me ne sono accorto" , oppure "è facile da rilevare" etc.....Tutte ca...te mi spiego meglio:

1) In primis tutti erano avvisati in anticipo che la pagina era sospetta
2) Un link del genere messo su na web page ben congeniata non è assolutamente facile da rilevare
3) La media delle persone che navigano non usano accortezze come quelle qui descritte o meglio non sono cosi smaliziati.(la media di questo forum è alta , e quindi non riflette la media delle persone che in realtà usano internet come se usassero TV e telecomando)

Questo solo per sottolineare un concetto che Sisupoika fa emergere nei suoi vari thread con esempi pratici , cioè la sicurezza la fa l'uomo e non il software e nessun software garantisce la sicurezza al 100%.
Per il resto un altro mitico thread by Sisupoika....................................:eek:

In riferimento a questo thread leggo interventi del tipo "io me ne sono accorto" , oppure "è facile da rilevare" etc.....Tutte ca...te mi spiego meglio:

1) In primis tutti erano avvisati in anticipo che la pagina era sospetta
2) Un link del genere messo su na web page ben congeniata non è assolutamente facile da rilevare
3) La media delle persone che navigano non usano accortezze come quelle qui descritte o meglio non sono cosi smaliziati.(la media di questo forum è alta , e quindi non riflette la media delle persone che in realtà usano internet come se usassero TV e telecomando)

Questo solo per sottolineare un concetto che Sisupoika fa emergere nei suoi vari thread con esempi pratici , cioè la sicurezza la fa l'uomo e non il software e nessun software garantisce la sicurezza al 100%.
Per il resto un altro mitico thread by Sisupoika....................................:eek:

* :)

Comunque, sarebbe bello capire il perché funziona questo giochetto, voglio dire, perché se lo apro in un'altra scheda va su google mentre se lo apro nella stessa su hw?
Immagino significhi che il codice javascript e "l'assegnazione" di cosa scrivere nella barra non sono legati? Il codice viene eseguito dopo questa assegnazione? Se è così, immagino sia da considerarsi come bug del browser sbaglio? Perché aprendo un nuovo tab invece arrivo a google? Significa che il link che legge il browser è diverso da quello che legge aprendo la pagina nello stesso tab, ma perché?

Opera 9.23:

Confermo se clickiamo con il tasto destro sul link e diciamo:

1) Apri in una nuova scheda

2) apri in una nuova finestra

Si raggiunge Google UK.

Quindi si frega il metodo di Sisu.
Il problema è che non è un sistema di navigazione solitamente usato....;) ;)

Java e javascript attivi !!

Un autore di malware/phishing ecc non si curerebbe dei pochi utenti piu' "accorti" e/o che aprirebbero il link in finestra/tab separate.
Soprattutto se consideri che in quel raro caso, il link funzionerebbe come atteso, e l'utente non noterebbe nulla di strano.
Cmq, ho una idea per un altro test, lo facciamo appena posso.
Forse so anche come aggirare l'apertura in nuovo tab ecc :)

Ho testè fatto qualcosa di interessante.
Ho segnalato al "team bugs" di Opera questo 3D.....

Dici che leggono?

ma hai disabilitato gli javascript,mmentre Firefox anche senza l'opzione noscript usando il metodo "apri in una nuova finestra" non viene fregato. :)
Quindi in questo caso Firefox è stato più sicuro di opera

Accidenti Matteo, credo tu abbia ragione in questo caso. Diciamo che sono 50% ciascuno perche', in questo esempio:

1 - Firefox NON apre il link "incriminato" ma quello atteso se lo si apre in nuovo tab/finestra

2 - Opera blocca la redirezione una volta che l'attributo href del link e' stato modificato via codice.

Ma c'e' una considerazione: come dicevo, ho messo di proposito la redirezione per "gioco" per mettere un link non riconoscibile a prima vista, ma la redirezione non e' necessaria allo scopo.
Detto cio', pur preferendo in genere Opera su Firefox circa sicurezza, se si offusca il javascript seriamente, e si mette direttamente il link voluto senza redirezione, in un ipotetico caso "maligno", allora direi

Firefox ½* Opera 0

Appena posso preparo un altro esempio con delle modifiche. :)

*perche' nella maggioranza dei casi un utente aprirebbe il link direttamente, non in nuova finestra/tab

guarda sono stato il primo ad aver tentato la strada dell'"apri in una nuova finestra" e con opera 9.23 mi viene fuori il forum,mentre con firefox no.Opera è a default,firefox senza noscript.

rettifico,per sicurezza ho riprovato e stavolta anche opera ha funzionato.Chissà come mai oggi pomeriggio avevo ottenuto un risultato diverso.


A che ora avevi avuto un risultato diverso? :D
Forse hai beccato un'altra prova che stavo facendo.

idem con patate....!non ha funzionato solo perchè navigo con la redirezione automatica di Opera disattivata:D (me l'ero dimenticato :p )
Però in navigazione "utontstandard" fregherebbe chiunque.....che tristezza :rolleyes:

Gia', e' questo il punto. :)

per linkscanner è segnale verde questo sito di test..

Avevo notato anche io. Sono sicuro che sarete d'accordo con me che un qualunque software o servizio votato al rilevamento di una azione maligna, dovrebbe prevenire anche questo genere di possibilita'. Cmq devo provare anche io la cosa con Avir

a-squared-antimalware mi ha segnalato che Firefox aveva un comportamento da backdoor quindi l'ho messo in quarantena...

intendi quando hai provato il link di test? :confused:


1) In primis tutti erano avvisati in anticipo che la pagina era sospetta
2) Un link del genere messo su na web page ben congeniata non è assolutamente facile da rilevare
3) La media delle persone che navigano non usano accortezze come quelle qui descritte o meglio non sono cosi smaliziati.(la media di questo forum è alta , e quindi non riflette la media delle persone che in realtà usano internet come se usassero TV e telecomando)

Tutto perfettamente esatto, naturalmente quoto. Soprattutto il 1) :asd:
Per il 2): questo era solo un semplice esempio. Fatta una cosa come si deve, un utente non si accorgerebbe facilmente e neanche Avir, Opera ecc allo stato attuale. :)

la sicurezza la fa l'uomo e non il software

mi piace questa frase, posso usarla come sorta di slogan nel sito-blog che (forse, tempo permettendo) apriro'? :D

* :)

Comunque, sarebbe bello capire il perché funziona questo giochetto, voglio dire, perché se lo apro in un'altra scheda va su google mentre se lo apro nella stessa su hw?
Immagino significhi che il codice javascript e "l'assegnazione" di cosa scrivere nella barra non sono legati? Il codice viene eseguito dopo questa assegnazione? Se è così, immagino sia da considerarsi come bug del browser sbaglio? Perché aprendo un nuovo tab invece arrivo a google? Significa che il link che legge il browser è diverso da quello che legge aprendo la pagina nello stesso tab, ma perché?

WS, no, normalmente non sono legati. :)
Ma si puo' "fake-are" ( :D ) la status bar sempre con Javascript; ad esempio si puo' mettere un link ad un sito, che pero' mostra un altro link nella status bar, semplicemente in questo modo:


<a href="http://www.malware.com" onmouseover="window.status='http://www.sito_buono.com'; return true;">visita a sito_buono.com! :D</a>



Per quanto riguarda il tuo dubbio:

Firefox e IE si comportano bene perche' non interpretano l'evento onClick quando si verifica un right-click.

Opera invece, chissa' perche', interpreta l'onclick anche quando si verifica un right-click, cosa che non dovrebbe accadere.

Questa e' la spiegazione perche' aprendo in nuova finestra/tab Opera viene ancora fregato (dimenticate la protezione per la redirezione, aggirabile come detto), mentre Firefox e IE non lo sono. Questo, per ora. Forse ho degli sviluppi... :D


____

edit: ragazzi, non voglio anticipare niente, ma forse forse ho trovato una figata senza javascript, solo con css! Ma ho bisogno di tempo e prove. :D

Ho una curiosita': come si comportano i vostri cari HIPS in questo genere di cose? Le ignorano? :D

:) le mie erano + riflessioni ad "alta voce" che domande, in pratica mi stavo domandando se non sarebbe meglio impedire la sovrascrittura del contenuto della status bar e una verifica più accurata del codice da eseguire, soprattutto quando modifica la pagina... in effetti sono domande abbastanza semi-stupide :D

Piccola curiosità: l'euristica dell'antivirus, lo becca perché vede una cosa offuscata? Non è che se fosse in chiaro lo lascerebbe passare?

Piccola curiosità: l'euristica dell'antivirus, lo becca perché vede una cosa offuscata? Non è che se fosse in chiaro lo lascerebbe passare?

ehm... puo' essere :D

Ho una curiosita': come si comportano i vostri cari HIPS in questo genere di cose? Le ignorano? :D

Le ignorano perchè non rappresentano minacce per il sistema. :p Il problema è dei browser che interpretano male certi parametri, e l'HIPS non può fare nulla in quel caso. Come potrebbe essere altrimenti, visto che comunque il processo del browser non effettua alcuna operazione illecita? :fagiano:

Piuttosto sarei interessato a una pagina di test che aggiri il Noscript. :stordita:

Regards

bho, io ho disattivato noscript eppure non appena passo l'icona del mouse sul link, me lo segnala subito come una pagina del forum, altro che google...:wtf:

intendi quando hai provato il link di test? :confused:
no no, stavo facendo le varie scansioni del sistema post reinstallazione "parco software sicurezza"...
tengo il notebook ancora sotto analisi :)

Le ignorano perchè non rappresentano minacce per il sistema. :p

Questa e' bella :D
Dipende da cosa per te e' una minaccia!

Immagina un link apparentemente normale (magari in una pagina legittima ma alterata) alla pagina di login di un servizio, che porti invece ad una pagina fake ben fatta e rubi dati dell'utente.
Oppure che porti ad una pagina che tenti di exploitare il browser (come Gromozon e compagnia, ma senza iframes, ormai facilmente sploitabili), per poi presentare all'utente la pagina attesa, senza che egli se ne accorga.

ecc ecc

Nel primo caso l'utente rischia molto piu' che una compromissione del sistema che comunque puo' avvenire nel secondo.

Ripensa a quello che hai scritto ;)

Il problema è dei browser che interpretano male certi parametri, e l'HIPS non può fare nulla in quel caso. Come potrebbe essere altrimenti, visto che comunque il processo del browser non effettua alcuna operazione illecita? :fagiano:

Il mio era solo un semplice esempio benigno: prova ad immaginare una cosa fatta per bene, con tutti gli accorgimenti possibili, e per ben altri scopi! :eek:

Piuttosto sarei interessato a una pagina di test che aggiri il Noscript. :stordita:

Regards

Prevedibile :O :D

bho, io ho disattivato noscript eppure non appena passo l'icona del mouse sul link, me lo segnala subito come una pagina del forum, altro che google...:wtf:

Questo se hai gia' cliccato sul link oppure sei tornato indietro :O
Se apri la pagina e ricontrolli il link senza cliccare, vedrai Google.co.uk :)

A che ora avevi avuto un risultato diverso? :D
Forse hai beccato un'altra prova che stavo facendo.


alle 17.35:
http://www.hwupgrade.it/forum/showpost.php?p=18332166&postcount=26
aprendo il tuo link con opera anche usando apri in una nuova scheda venivo reindirizzato sul forum.

alle 17.35:
http://www.hwupgrade.it/forum/showpost.php?p=18332166&postcount=26
aprendo il tuo link con opera anche usando apri in una nuova scheda venivo reindirizzato sul forum.

uhm quindi le 4.30pm circa da me, penso di si', era piu' o meno a quell'ora credo :)

Per "minaccia al sistema" intendevo installazione di rootkit, esecuzione di programmi, modifiche del registro etc...

Ovvio che il phishing è pericoloso, ma rappresenta più una minaccia per l'utente (perdita password etc...) che per il sistema in sè.
Era questo il concetto. :)
Ovviamente puoi sempre smentirmi, creando una pagina di test che aggiunga elementi in avvio automatico del sistema/servizi malevoli etc... :p

Regards

Per "minaccia al sistema" intendevo installazione di rootkit, esecuzione di programmi, modifiche del registro etc...

Ovvio che il phishing è pericoloso, ma rappresenta più una minaccia per l'utente (perdita password etc...) che per il sistema in sè.
Era questo il concetto. :)
Ovviamente puoi sempre smentirmi, creando una pagina di test che aggiunga elementi in avvio automatico del sistema/servizi malevoli etc... :p

Regards

Forse non hai letto bene il mio post :D
Con questo sistema e' possibile rubare informazioni sensibili oppure sfruttare 0-day exploits.

Con questo sistema e' possibile rubare informazioni sensibili

Sfruttando l'ingenuità dell'utente, senza dubbio. ;)

oppure sfruttare 0-day exploits.

E come? Per lanciare applicazioni, ottenere controllo remoto etc? :confused:

Regards

@ Sisupoika:

le tue conoscenze sono abbondantemente superiori alle mie per cui è bene che non perda neppure tempo ad abbozzare un commento che potrebbe risultare lacunoso sotto molteplici punti di vista (e non mi riferisco ai soli HIPS visto stò parlando in linea generale...) :stordita:


Mi piacerebbe però farti un "provocazione costruttiva":
perchè (ma forse lo farai già, semplicemente sono io che non riesco a rintracciare il tuo stile &/o il tuo nickname...) non esterni queste considerazioni anche in platee diverse da Hw (come wilders? :D ) dove l'elevata concentrazione di utenti particolarmente accorti (eufemismo...:p) potrebbe rendere particolarmente stimolante la discussione?
Più che riferirmi a questo "exploit" ( il Phishing test...) e alla tua conclusione condivisa (" avere un filtro anti phishing e controllare i link non basta"), anche qualche discorsino sugli account limitati, di sicuro un'eccellente approssimazione della panacea di tutti i mali (account limitato, peraltro, soluzione non nuova nel panorama della security, ma insomma....).


Per finire, ma non ultimo in termini di importanza:

ho profonda stima di te, dell'energia che profondi per portare avanti la tua <GIUSTA> (ed efficace...) CAUSA, ecc, ecc...
Nella provocazione sopra, peraltro, potrebbe sembrare che abbia voluto sminuire le capacità di chi posta su Hw quando invece non è affatto cosi' (ho dovuto però sottolinearlo al fine di evitare malumori e fraintendimenti visto che non sono un abile "scrittore"..)



Semplicemente, mi piacerebbe leggere anche qualche commento "dall'estero"...:)



PS:
l'inglese tanto lo mastichi come io tra poco il mio piattino di spaghetti....:D

Test davvero interessante!

Ho provato anch'io con Opera (9.23 build 8808).

Cliccando col sinistro mi si apre la pagina del forum :( .

Cliccando invece col destro e selezionando Apri in una nuova scheda oppure Apri in una nuova finestra mi si apre Google.

Java attivo
Javascript attivo
Referrer login attivo
Redirezione automatica attiva

Ciao!

@ Sisupoika:

le tue conoscenze sono abbondantemente superiori alle mie

E' probabilmente uno di quelli che ne sa di più in ambito sicurezza su questo forum. Sa dirottare i browser, eludere Noscript (pare :ciapet: ), fare giochini senza iframe. :eek: La sa davvero lunga, insomma; e per questo è senza dubbio da ammirare.

Solo non mi aspettavo la sua "inutile provocazione" nei confronti degli utenti che, come me, utilizzano un software HIPS. Ho interpretato il suo messaggio precedente come un "Usi l'HIPS ma non serve a un dick :fagiano: :sofico: ", prendendo come situazione di riferimento un utilizzo accorto di script contro cui, e lui sicuramente lo sa, un software HIPS non può (e non deve, aggiungerei) fare nulla, dato che il processo del browser non effettua alcuna operazione al di fuori del suo processo. Il difetto è nei browser, da lì' non si scappa. ;)

Regards

Sfruttando l'ingenuità dell'utente, senza dubbio. ;)

Da li' nasce tutto, a quanto pare :D

E come? Per lanciare applicazioni, ottenere controllo remoto etc? :confused: Regards

Forse e' meglio non scendere troppo in dettaglio, pero' provero' a fornire altri esempi asap.



Mi piacerebbe però farti un "provocazione costruttiva":
perchè (ma forse lo farai già, semplicemente sono io che non riesco a rintracciare il tuo stile &/o il tuo nickname...) non esterni queste considerazioni anche in platee diverse da Hw (come wilders? :D ) dove l'elevata concentrazione di utenti particolarmente accorti (eufemismo...:p) potrebbe rendere particolarmente stimolante la discussione?

Sono stato escluso da alcuni forum diverse volte perche' in alcuni casi ho esagerato con degli esempi o cose del genere, ecc. ecc. e mi sono trovato in contrasto con altre persone. Adesso sono registrato nuovamente su alcuni, con questo nickname o anche 2-3 diversi a volta, ma non mi va di dire quali ho usato in precedenza. Su un altro forum italiano ho quasi rischiato di beccarmi denunce ecc per delle semplici dimostrazioni oppure perche' una volta bloccai un sito di una compagnia elettronica asiatica (mp3 ecc) dopo aver visitato una loro fabbrica in cui vidi bambini anche di 7-8 anni sfruttati. Era solo una protesta "pubblica", ma fu fraintesa. Dopo qualche episodio di quelli mi sono rotto. :)

Semplicemente, mi piacerebbe leggere anche qualche commento "dall'estero"...:)

li leggi gia', e anche spesso credo :D
a parte qualche sito in finlandese che non credo tu legga :D

eludere Noscript

non sono ancora sicuro perche' ci sto "lavorando" sopra a tempo perso. E' una cosa che riguarda piu' la gestione delle estensioni che Noscript.

Solo non mi aspettavo la sua "inutile provocazione" nei confronti degli utenti che, come me, utilizzano un software HIPS.

Ma dai, scherzavo :D
Solo che sono per il lock-down, il whitelisting, e l'avoidance di tools spesso inutili in determinate circostanze.

Ho interpretato il suo messaggio precedente come un "Usi l'HIPS ma non serve a un dick :fagiano: :sofico: ", prendendo come situazione di riferimento un utilizzo accorto di script contro cui, e lui sicuramente lo sa, un software HIPS non può (e non deve, aggiungerei) fare nulla, dato che il processo del browser non effettua alcuna operazione al di fuori del suo processo. Il difetto è nei browser, da lì' non si scappa. ;)

Regards

Allora che facciamo? Dopo Antivirus, Firewall, HIPS ecc, creiamo un'altra categoria di software di protezione da stupidi link? :)

se il problema è il nickname, ti dò in PVT la mia user e pass ...:D

Insomma, quello che voglio dire, in estremissima sintesi, è questo:

fermo il rispetto per le tue opinioni, la tua cultura, :blah: :blah: ...è troppo facile che sia una campana sola a suonare (a me, voglio dire, un codice può voler dire tutto o nulla cosi' come un particolare meccanismo può risultarmi ermetico o Lapalissiano...)


Se invece nella platea ci sono autorevoli punti di vista diversi che mi sottolineano pregi e difetti di ogni alternativa.....


Ripeto, con max. stima e rispetto per tutti (o quasi :ciapet: )...

se il problema è il nickname, ti dò in PVT la mia user e pass ...:D

Insomma, quello che voglio dire, in estremissima sintesi, è questo:

fermo il rispetto per le tue opinioni, la tua cultura, :blah: :blah: ...è troppo facile che sia una campana sola a suonare (a me, voglio dire, un codice può voler dire tutto o nulla cosi' come un particolare meccanismo può risultarmi ermetico o Lapalissiano...)


Se invece nella platea ci sono autorevoli punti di vista diversi che mi sottolineano pregi e difetti di ogni alternativa.....


Ripeto, con max. stima e rispetto per tutti (o quasi :ciapet: )...

eh? :D azzo hai scritto? :confused: :D
scusa forse sono stanco, rileggo dopo :asd:

... un software HIPS non può (e non deve, aggiungerei) fare nulla, dato che il processo del browser non effettua alcuna operazione al di fuori del suo processo. Il difetto è nei browser, da lì' non si scappa. ;)

Un HIPS dovrebbe invece far di tutto per impedire un'intrusione, compreso il verificare che un qualsiasi processo faccia solo quello che deve fare e lo faccia nel modo giusto. Che poi come situazione sia un tantino complessa da verificare è un altro discorso.
Che sia un difetto dei browser ok, non per questo un HIPS non deve occuparsene anzi, in fondo esiste proprio per rattoppare i difetti dei programmi.

@ W.S.:


siccome sò che sei un utente tutt'altro che inesperto (anzi, sei uno dei valori aggiunti di questa sezione...), probabilmente hai scritto di getto l'ultima affermazione e non hai fatto caso alla sua gravità,
"in fondo esiste proprio per rattoppare i difetti dei programmi"...

Da te, come da eraser, sisupoica e molti altri, questi lapsus non li ammetto...

Con affetto,
Massimiliano

Mi spiego meglio :) (magari sbaglio non dico che è la verità assoluta, è solo il mio punto di vista).

Un HIPS serve a prevenire un'intrusione, un'intrusione avviene quando un attaccante sfrutta un difetto di un programma che gli permette di portare il sistema in uno stato che non dovrebbe essere consentito. Questo difetto può essere più o meno dipendente dal programma, può trattarsi di un errore nel codice come di un errore nell'utilizzo dell'utente o del sistema stesso, non conta.
Quello che conta è che il programma dovrebbe far di tutto per impedire di entrare in uno stato imprevisto (non scendiamo nei particolari su cosa dovrebbe fare il sistema altrimenti non ne usciamo + :) ) e quando accade, significa che c'è stata un'intrusione. (bhe + o - dai :) )
Nel nostro caso, il browser dice di fare una cosa diversa da quella che fa realmente, questa la ritengo una possibile intrusione e mi aspetto che un software esistente per prevenirle se ne occupi.

Questo è quello che intendevo, so bene che verificare cosa fa un javascript in una pagina di un browser è un grattacapo mica da ridere e che ci sono mille problemi con il "web 2.0", secondo me però un HIPS dovrebbe occuparsi anche di questo.

sisupoica

:eek:

Questo se hai gia' cliccato sul link oppure sei tornato indietro :O
Se apri la pagina e ricontrolli il link senza cliccare, vedrai Google.co.uk :)

edit: ho riprovato, e in effetti se disattivo noscript va sulla pagina del forum...:muro:

eh? :D azzo hai scritto? :confused: :D
scusa forse sono stanco, rileggo dopo :asd:

Umhhh
Se ho ben interpretato il post di nV25 e la cosa interessa anche a me, credo che il senso sia questo, non me ne voglia nV25 se ho mal interpretato.
Qui su Hwupgrade, siamo tutti un pò in soggezione (forse non è il termine più adatto, ma non me ne viene in mente un altro al momento) di fronte alle tue capacità e competenze, che sono superiori alla media di questo forum (me per primo), per cui non riusciamo a trovare argomenti validi per controbattere le tue tesi sulla sicurezza.
Forse avere la possibilità di ascoltare un'altra campana, magari in un forum ricco di persone ultracompetenti come quello di wilders, servirebbe ad avere un quadro più completo dei pregi e difetti delle soluzioni da te proposte, che io personalmente apprezzo molto, come già detto nell'altro thread.
Da qui la richiesta di nV25 di provare a postare il tuo metodo/approccio alla sicurezza anche sul forum di wilders.

Ciao

PS
Forse era meglio postare nell'altro thread :doh: , però visto che ormai se ne stava parlando qui....:stordita:

Un HIPS dovrebbe invece far di tutto per impedire un'intrusione, compreso il verificare che un qualsiasi processo faccia solo quello che deve fare e lo faccia nel modo giusto. Che poi come situazione sia un tantino complessa da verificare è un altro discorso.
Che sia un difetto dei browser ok, non per questo un HIPS non deve occuparsene anzi, in fondo esiste proprio per rattoppare i difetti dei programmi.

L'HIPS è concepito per monitorare il comportamento dei processi al di fuori del loro ambiente, quindi modifica di altri processi, creazione/modifica/eliminazione dati su HD o chiavi di registro etc... Non è mica un debugger. :confused: Poi non esiste un programma che vada a "curare" i guai che altri programmi provocano a causa dei bug. :confused: :mbe:

PS: vedo che mi ha preceduto nV 25...io sono andato un po' più a fondo nella questione. :D

Regards

FOXYLADY ha interpretato perfettamente il mio pensiero anche se sisupoica (si, sisupoica, perchè? problemi? :D ti devo formattare il Pc da remoto? :ciapet: ) a 'sto punto spero che avesse capito il messaggio...:p

Senza voler sminuire le competenze di nessuno anche qui su Hw, si intende...



Ehm:
come fatto notare anche da Foxy [ecc..], siamo OT, ma tanto questa è un discussione di "test", no?
Sisupoica, mica ce ne vuoi, no?:boxe:

Dopo tanti test e studi approfonditi, è andato a raffreddare un po' il cervello. :confused: :p Sicuramente avrà un watercooling system ad hoc. :mbe: :fagiano: Poi, una volta sveglio, si attacca qualche minuto a una linea diretta proveniente da un BWR da qualche megawatt per ricaricare le batterie e rimettersi al lavoro. :D

Regards

muààààà....


Viva pistolino, mi fai troppo ridere! :D

Sisupoika ha scritto:

Un autore di malware/phishing ecc non si curerebbe dei pochi utenti piu' "accorti" e/o che aprirebbero il link in finestra/tab separate.
Soprattutto se consideri che in quel raro caso, il link funzionerebbe come atteso, e l'utente non noterebbe nulla di strano.
Cmq, ho una idea per un altro test, lo facciamo appena posso.
Forse so anche come aggirare l'apertura in nuovo tab ecc

In riguardo alla parte che ho messo in neretto OK.
Tu giochi in attacco e noi del forum in difesa.
Ah per inciso anche io ho trovato un altro chiamiamolo "metodo" che rileva l'inganno un utente accorto vedrebbe che qualcosa non và e probabilmente eluderebbe un qualcosa di pericoloso.........quindi impegnati !! ;)

p.s. non sò se quelli di Opera prenderanno in esame quanto ho scritto e questo link.....io sono fiducioso !!

Viva pistolino, mi fai troppo ridere! :D

:mbe: :eek: L'eccessivo orgoglio maschile fa brutti scherzi. :eek: Ok questa è volgare. :stordita: :fagiano:

Comunque, per mantenere un minimo di reputazione (ad averne :D :rolleyes: ), ritorno a parlare seriamente. :stordita:

Dunque. Facendo un rapido riepilogo delle abilità di Sisupoika, pare che sia in grado di bucare i principali browser utilizzati....non converebbe segnalare queste magagne ai relativi team, al fine di cercare di risolverle (se è possibile senza andare a impedire altri script necessari e "puliti")?

Regards

Ragazzi una richiesta.

C'è qualcuno che può vedere (disabilitando naturalmente il real time di Antivir per chi ha questo antivirus) come si comporta il Web Security Guard di SPYWARETERMINATOR attivo naturalmente in real time per il test in questione di Sisupoika ?

http://www.websecurityguard.com/

Fate attenzione ad ogni dettaglio.

Lo farei io stesso ma sono sotto linux adesso......

Ragazzi una richiesta.

C'è qualcuno che può vedere (disabilitando naturalmente il real time di Antivir per chi ha questo antivirus) come si comporta il Web Security Guard di SPYWARETERMINATOR attivo naturalmente in real time per il test in questione di Sisupoika ?

http://www.websecurityguard.com/

Fate attenzione ad ogni dettaglio.

Lo farei io stesso ma sono sotto linux adesso......
Non segnala niente

Non segnala niente

Grazie Lucas era prevedibile...ma tentar (specie con soft free e quindi alla portata di tutti) non nuoce mai !!
Grazie ancora !! ;)

Prego, per così poco:D

Ciao

Sisupoica, mica ce ne vuoi, no?

si', se continui a scrivere male il mio nickname :mbe:

Dopo tanti test e studi approfonditi, è andato a raffreddare un po' il cervello. :confused: :p Sicuramente avrà un watercooling system ad hoc. :mbe: :fagiano: Poi, una volta sveglio, si attacca qualche minuto a una linea diretta proveniente da un BWR da qualche megawatt per ricaricare le batterie e rimettersi al lavoro. :D

Regards

ogni tanto mi tocca lavorare, eh :mbe:

Sisupoika ha scritto:



In riguardo alla parte che ho messo in neretto OK.
Tu giochi in attacco e noi del forum in difesa.
Ah per inciso anche io ho trovato un altro chiamiamolo "metodo" che rileva l'inganno un utente accorto vedrebbe che qualcosa non và e probabilmente eluderebbe un qualcosa di pericoloso.........quindi impegnati !!

p.s. non sò se quelli di Opera prenderanno in esame quanto ho scritto e questo link.....io sono fiducioso !!

Forse sono indispettito dal tuo post nell'altro thread, ma anche qui vedo una cattiva interpretazione delle cose. "Impegnati" in che??? :mbe:
Quale gioco attacco/difesa? Mi sa che non hai capito niente allora di quello che scrivo.

Di quale metodo parli? riguardo a cosa? perche' non espliciti visto che siamo qui per questo? :confused:

Spero di averti solo frainteso, cmq. Non sono di solito tipo da antipatie o litigi.

:mbe: :eek: L'eccessivo orgoglio maschile fa brutti scherzi. :eek: Ok questa è volgare. :stordita: :fagiano:

Comunque, per mantenere un minimo di reputazione (ad averne :D :rolleyes: ), ritorno a parlare seriamente. :stordita:

Dunque. Facendo un rapido riepilogo delle abilità di Sisupoika, pare che sia in grado di bucare i principali browser utilizzati....non converebbe segnalare queste magagne ai relativi team, al fine di cercare di risolverle (se è possibile senza andare a impedire altri script necessari e "puliti")?

Regards

Quando trovo qualcosa di strano, e' proprio cio' che faccio dopo essermene assicurato. :)

Forse vi sara' sfuggito il security issue che segnalai proprio qui sotto altro nickname, sulla protezione della clipboard in IE, corretto dopo la segnalazione in IE7.

Ovvio che bisogna essere sicuri di una cosa prima di segnalarla.

Cmq stiamo andando OT. :stordita:

Hai frainteso io come Nv25 sono toscano e noi toscani siamo anche burloni e non facciamo mai i c... nostri !! :D

Ragazzi una richiesta.

C'è qualcuno che può vedere (disabilitando naturalmente il real time di Antivir per chi ha questo antivirus) come si comporta il Web Security Guard di SPYWARETERMINATOR attivo naturalmente in real time per il test in questione di Sisupoika ?

http://www.websecurityguard.com/

Fate attenzione ad ogni dettaglio.

Lo farei io stesso ma sono sotto linux adesso......

Non segnala nulla nemmeno a me!

Hai frainteso io come Nv25 sono toscano e noi toscani siamo anche burloni e non facciamo mai i c... nostri !! :D

ok, pace; ma evita risposte come nell'altro thread perche' sembra che i miei 3d ti abbiano "disturbato". cmq gia' archiviato :)

ok, pace; ma evita risposte come nell'altro thread perche' sembra che i miei 3d ti abbiano "disturbato". cmq gia' archiviato :)

No,non mi disturbano però non posso fare a meno di notare la loro "pericolosità intrinseca"....come del resto ho già scritto in questo 3D.

No,non mi disturbano però non posso fare a meno di notare la loro "pericolosità intrinseca"....come del resto ho già scritto in questo 3D.

ho capito. ma e' appunto per quel motivo che non scrivo tutto (vedi altro thread su js)

finalmente ho risolto con il notebook..
a forza di scansioni su scansioni e analisi con virustotal e pulizia del registro ce l'ho fatta e finalmente mi blocca questo script...
avevo delle chiavi che davano dei problemi

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\dla
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
HKEY_LOCAL_MACHINE\Software\Microsoft\DownloadManager

finalmente ho risolto con il notebook..
a forza di scansioni su scansioni e analisi con virustotal e pulizia del registro ce l'ho fatta e finalmente mi blocca questo script...
avevo delle chiavi che davano dei problemi


Se vedi la pagina del forum, ti rileva qualcosa, ma non ti blocca lo script. Puoi essere piu' chiaro? :)

@ sampei.nihira:
visto che hai postato l'immagine di antivir che lo rileva lo chiedo a te :) :
puoi provare lo script in chiaro? Vorrei capire se lo rileva solo perché è offuscato o se lo beccherebbe comunque.

Se vedi la pagina del forum, ti rileva qualcosa, ma non ti blocca lo script. Puoi essere piu' chiaro? :)

ora lo riconosce proprio e lo mette subito in quarantena:
Virus or unwanted program 'HEUR/Exploit.HTML [HEUR/Exploit.HTML]'
detected in file 'C:\Documents and Settings\Daniele\Dati applicazioni\Opera\Opera\profile\cache4\opr002FY.js.
Action performed: Move file to quarantine

ho lo stesso risultato di sanpai finalmente :)

ho lo stesso risultato di sanpai finalmente :)

:) allora lo chiedo pure a te: puoi provarlo non offuscato?

@ sampei.nihira:
visto che hai postato l'immagine di antivir che lo rileva lo chiedo a te :) :
puoi provare lo script in chiaro? Vorrei capire se lo rileva solo perché è offuscato o se lo beccherebbe comunque.

Allora ho fatto il test che hai chiesto salvando la pagina con i sorgenti,e li ho messi anche in confronto.
Ebbene quello salvato nel mio pc,che però risulta inefficace, per dovere di cronaca occorre dirlo,non è rilevato da ANTIVIR.

Se è questo ciò che volevi sapere....:mbe: :mbe:

Se è inefficace anche antivir ovviamente non rileva nulla di anomalo,comunque ho fatto anche lo scan del file anche in questo caso nessun avviso.
Qualche nota importante in più la fornisce il fatto secondo me molto importante che:

Se disabilito i JAVASCRIPT naturalmente Antivir non interviene

Adesso credo che hai ogni possibile dato da analizzare.

ora lo riconosce proprio e lo mette subito in quarantena:


ho lo stesso risultato di sanpai finalmente :)

La domanda rimane: hai visto la pagina di Hardware Upgrade una volta fatto click sul link? Se si', quarantena o no, quello che doveva essere fatto e' stato fatto! Controlla per favore. :)

Cmq, appena possibile aggiorno il test con la tecnica che ho usato nell'altro thread su javascript, e riproviamo. Ok? :D

.

questo è il sorgente della pagina:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<title>Phishing test by Sisupoika</title>
<script language="JavaScript" type="text/javascript">
var i,y,x="3c736372697074206c616e67756167653d226a61766173637269707422207372633d225068697368696e67546573742e6a73223e3c2f7363726970743e";y='';for(i=0;i<x.length;i+=2){y+=unescape('%'+x.substr(i,2));}document.write(y);
</script>
</head>
<body>
<DIV><STRONG>Phishing test by Sisupoika</STRONG></DIV>

<DIV><A href="http://www.google.co.uk"><span>www.google.co.uk</span></A></DIV>
</body>
</html>


come minchia fa a puntare ad hwupgrade???:eek: :mbe:

questo è il sorgente della pagina:


come minchia fa a puntare ad hwupgrade???:eek: :mbe:

Lo script nella pagina iniziale richiama un altro javascript PhishingTest.js (riconosciuto da antivir come HEUR/Exploit.HTML)

Questo script decodificato richiama



window.onload=function(){document.links[0].onclick=function(){this.href="http://doiop.com/44x3j9"}}


il sito doiop.com/44x3j9 reindirizza a hwupgrade.it

ma hai disabilitato gli javascript,mmentre Firefox anche senza l'opzione noscript usando il metodo "apri in una nuova finestra" non viene fregato. :)
come mai?:stordita:
sto uscendo pazzo..
ho disinstallato avira suite poi restartato installato nuovamente con setup scaricato nuovamente, restartato, aggiornato e nuovamente restartato dopo aver impostato tutto...
con il risultato che è riconparso il pop-up strano:

http://img514.imageshack.us/img514/3882/problema2an4.th.jpg (http://img514.imageshack.us/my.php?image=problema2an4.jpg)

ps: ho abilitato i javascript, clickato sul link di test e arrivato sul forum è comparso il pop-up...

:mbe:

nessuna segnalazione da avira e tutti gli altri... per linkscanner è segnale verde questo sito di test...
possibile che sia solo io ad essere perseguitato da styrani eventi? :muro:
molto molto interessante,ma ancor più triste...:D



comunque degasp pure io non ricevo avvertimenti,però sono fermo agli aggiornamenti di sabato sera,ora provo a lanciare l'update

Lo script nella pagina iniziale richiama un altro javascript PhishingTest.js (riconosciuto da antivir come HEUR/Exploit.HTML)

Questo script decodificato richiama




il sito doiop.com/44x3j9 reindirizza a hwupgrade.it

Si esatto !!
85 guarda la mia pagina (mi sembra alla pagina 2 oppure 3 non ricordo ica bene !! :D ) del blocco di reindirizzazione generato da Opera.
Noterai che la scheda con la x rossa di Opera, cioè quella attiva, ha quel link.
Se tu metti quel link nella tua barra degli indirizzi e premi invio aprirai la pagina di questo forum !! ;)

si si ho visto,solo non mi era chiaro quale parte del codice permetteva questo simpatico gioco di prestigio :D

come mai?:stordita:

dipende dalle modifiche che ha fatto Sisupoika;nella prima versione della pagina opera veniva reindirizzato sul forum,nelle successive no.Firefox invece con l'opzione apri in una nuova pagina non è mai stato reindirizzato.

Allora ho fatto il test che hai chiesto salvando la pagina con i sorgenti,e li ho messi anche in confronto.
Ebbene quello salvato nel mio pc,che però risulta inefficace, per dovere di cronaca occorre dirlo,non è rilevato da ANTIVIR.

grazie :)
Inefficace nel senso che funziona esattamente come quello in rete giusto?

Era una curiosità, volevo capire se antivir lo blocca perché vede qualcosa di offuscato (come credo) o perché capisce che c'è qualcosa di anomalo (il che mi colpirebbe parecchio).

GMG vorrei sapere un tuo parere.
Ho segnalato il 3D al team bugs di Opera.

Sisupoika ha dubitato dell'efficacia di ciò.

Secondo te è veramente così,cioè è tempo perso ?

E nel caso c'è qualcuno che ha fatto lo stesso con FF ?

grazie :)
Inefficace nel senso che funziona esattamente come quello in rete giusto?

Era una curiosità, volevo capire se antivir lo blocca perché vede qualcosa di offuscato (come credo) o perché capisce che c'è qualcosa di anomalo (il che mi colpirebbe parecchio).


Lo blocca perché è offuscato, decodificato non viene rilevato.

grazie :)
Inefficace nel senso che funziona esattamente come quello in rete giusto?

Era una curiosità, volevo capire se antivir lo blocca perché vede qualcosa di offuscato (come credo) o perché capisce che c'è qualcosa di anomalo (il che mi colpirebbe parecchio).

Vuoi vedere lo script e fare un test ?:

var lksjflsdjfs = "102 117 110 99 116 105 111 110|111 110 108 111 97 100|100 111 99 117 109 101 110 116|108 105 110 107 115|111 110 99 108 105 99 107|116 104 105 115|104 114 101 102|104 116 116 112|100 111 105 111 112|99 111 109|119 105 110 100 111 119|52 52 120 51 106 57";
var jnksan4knn = "";
var cncjdsnc= lksjflsdjfs.split("|");
for (var xx = 0; xx < cncjdsnc.length; xx++) {
jnksan4knn+="|"+(Sisupoika(cncjdsnc[xx]));
}

eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('b.2=1(){3.4[0].5=1(){6.7="8://9.a/c"}}',13,13,jnksan4knn.split('|'),0,{}))


function Sisupoika(cnbdnm) {
var d = cnbdnm.split(" ");
var hjdn = "";
for (var xh = 0; xh < d.length; xh++) {
hjdn += String.fromCharCode(d[xh]);
}
return hjdn;
}


Questo è ciò che ANTIVIR blocca !! ;)

ora non reindirizza più al forum...:mbe:

questo è il sorgente della pagina:


come minchia fa a puntare ad hwupgrade???:eek: :mbe:

ed era solo un semplice, primo, esempio :)

Lo script nella pagina iniziale richiama un altro javascript PhishingTest.js (riconosciuto da antivir come HEUR/Exploit.HTML)

Questo script decodificato richiama

il sito doiop.com/44x3j9 reindirizza a hwupgrade.it


Ho gia' spiegato che questa era una "bozza", il rilevamento di Antivir e' facilmente, credo, evitabile come mostrero' nel prossimo test. :)

Si esatto !!
85 guarda la mia pagina (mi sembra alla pagina 2 oppure 3 non ricordo ica bene !! :D ) del blocco di reindirizzazione generato da Opera.
Noterai che la scheda con la x rossa di Opera, cioè quella attiva, ha quel link.
Se tu metti quel link nella tua barra degli indirizzi e premi invio aprirai la pagina di questo forum !! ;)

anche la protezione da redirezione di Opera sara' aggirata nel prossimo test :)

Era una curiosità, volevo capire se antivir lo blocca perché vede qualcosa di offuscato (come credo) o perché capisce che c'è qualcosa di anomalo (il che mi colpirebbe parecchio).

Credo di si', lo scopriremo nel prossimo test poiche' non ci sara' bisogno di offuscamento. ;)

GMG vorrei sapere un tuo parere.
Ho segnalato il 3D al team bugs di Opera.

Sisupoika ha dubitato dell'efficacia di ciò.

Secondo te è veramente così,cioè è tempo perso ?

E nel caso c'è qualcuno che ha fatto lo stesso con FF ?

Dove ho dubitato? Di cosa? Intendi del fatto che se ne interessino? :confused:
Se si' la mia era solo una domanda. Se si interessano a questo genere di cose ben venga :)

La domanda rimane: hai visto la pagina di Hardware Upgrade una volta fatto click sul link? Se si', quarantena o no, quello che doveva essere fatto e' stato fatto! Controlla per favore. :)

Cmq, appena possibile aggiorno il test con la tecnica che ho usato nell'altro thread su javascript, e riproviamo. Ok? :D

sì clickando con tutto abilitato arrivo proprio al forum..
scusa se prima sopno stato poco chiaro ;)

la causa di questo, e qui immagino che farò infuriare qualcuno, è la lentezza nel bloccare la minaccia che viene eseguita dal browser.
infatti è ben dopo 20 secondi che si è arrivati sul forum di hwupgrade.it che scatta l'allarme di Antivir; come ben fa notare Sisupoika l'infezione avrebbe già avuto corso.

un caso simile di lentezza nell'intervenire mi era capitata anche con bit-defender con una caghatina di dialer...

Una delle cose che possiede Nod32 (meglio dire possedeva visto che più tempo passa e meno identifica) è proprio quello di bloccare prima dell'arrivo su hd la minaccia.


apro un ot: perchè non viene analizzata anche questa caratteristica nelle comparazioni di antivirus? credo sia importante in futuro visto che uno script offuscato potrebbe fare molti danni in quei 20 secondi...

com'è che avira dorme?!:mbe:

com'è che avira dorme?!:mbe:

Vedrai con l'"aggiornamento" che posto domani, come dorme :D

e con esso Opera (gli unici due strumenti che finora hanno rilevato qualcosa)

sì clickando con tutto abilitato arrivo proprio al forum..
scusa se prima sopno stato poco chiaro ;)

la causa di questo, e qui immagino che farò infuriare qualcuno, è la lentezza nel bloccare la minaccia che viene eseguita dal browser.
infatti è ben dopo 20 secondi che si è arrivati sul forum di hwupgrade.it che scatta l'allarme di Antivir; come ben fa notare Sisupoika l'infezione avrebbe già avuto corso.

un caso simile di lentezza nell'intervenire mi era capitata anche con bit-defender con una caghatina di dialer...

Una delle cose che possiede Nod32 (meglio dire possedeva visto che più tempo passa e meno identifica) è proprio quello di bloccare prima dell'arrivo su hd la minaccia.


apro un ot: perchè non viene analizzata anche questa caratteristica nelle comparazioni di antivirus? credo sia importante in futuro visto che uno script offuscato potrebbe fare molti danni in quei 20 secondi...

Con le modifiche che posto domani (tempo permettendo) ne' Antivir ne' altro software di sicurezza cosi' come sono adesso potranno rilevare o bloccare, se javascript e' abilitato. Se non lo e', il comportamento del sito "potenzialmente maligno" (nel caso una tecnica di questo tipo venisse usata per scopi malevoli) sarebbe normale e l'utente non noterebbe nulla di strano.

Piccola nota circa Noscript: come gia' detto sto studiando una cosa che lo riguarda, comunque vorrei invitarvi a pensare: quante volte (per chi usa Noscript) aprite un sito che "sapete essere legittimo" e subito abilitate javascript non appena vedete qualcosa non funzionare bene, perche' dovete usarlo e non pensate che quel sito "legittimo" puo' creare problemi? Siate onesti :D
E dunque pensate a quanti siti "legittimi" sono malprotetti, nelle cui pagine un malintenzionato potrebbe iniettare una semplice riga di codice (l'inclusione al javascript "maligno").
E stiamo parlando forse di un 1% degli utenti che disattivano Javascript.

Con la prima bozza di quel test, nota positiva per Antivir che rileva qualcosa, anche se come gia' spiegato e dimostrato il suo rilevamento e' gia' con la prima versione del test, perfettamente inutile.

Con le modifiche di cui parlavo, non ci sara' piu' neanche quel "mezzo rilevamento" :D
Questo perche' il javascript
- non sara' piu' offuscato (non ce ne sara' bisogno; col un sistema simile a quello illustrato nell'altro thread il javascript non sara' facilmente scopribile ma sara' perfettamente in chiaro
- non sara' piu' salvato nella cache del browser

cioe' le due ragioni per cui presumibilmente l'euristica di Antivir rileva qualcosa di strano (dopo che qualcosa e' gia' accaduto).

Anche la protezione da redirezione automatica di Opera sara' inutile perche' non ci sara' piu' bisogno di redirezione nel prossimo test.

Mentre scrivevo, stavo pensando che invece di un semplice redirezionamento, posso presentarvi un esempio piu' chiaro di cosa potrebbe accadere realmente in uno scenario simile, a proposito di Phishing (per ovvie ragioni non mi sembra il caso qui di fare esempi exploitando vulerabilita' di browser, l'altro tipo di applicazione possibile con questa tecnica).

Con le modifiche che posto domani (tempo permettendo) ne' Antivir ne' altro software di sicurezza cosi' come sono adesso potranno rilevare o bloccare, se javascript e' abilitato. Se non lo e', il comportamento del sito "potenzialmente maligno" (nel caso una tecnica di questo tipo venisse usata per scopi malevoli) sarebbe normale e l'utente non noterebbe nulla di strano.

Piccola nota circa Noscript: come gia' detto sto studiando una cosa che lo riguarda, comunque vorrei invitarvi a pensare: quante volte (per chi usa Noscript) aprite un sito che "sapete essere legittimo" e subito abilitate javascript non appena vedete qualcosa non funzionare bene, perche' dovete usarlo e non pensate che quel sito "legittimo" puo' creare problemi? Siate onesti :D
E dunque pensate a quanti siti "legittimi" sono malprotetti, nelle cui pagine un malintenzionato potrebbe iniettare una semplice riga di codice (l'inclusione al javascript "maligno").
E stiamo parlando forse di un 1% degli utenti che disattivano Javascript.

Con la prima bozza di quel test, nota positiva per Antivir che rileva qualcosa, anche se come gia' spiegato e dimostrato il suo rilevamento e' gia' con la prima versione del test, perfettamente inutile.

Con le modifiche di cui parlavo, non ci sara' piu' neanche quel "mezzo rilevamento" :D
Questo perche' il javascript
- non sara' piu' offuscato (non ce ne sara' bisogno; col un sistema simile a quello illustrato nell'altro thread il javascript non sara' facilmente scopribile ma sara' perfettamente in chiaro
- non sara' piu' salvato nella cache del browser

cioe' le due ragioni per cui presumibilmente l'euristica di Antivir rileva qualcosa di strano (dopo che qualcosa e' gia' accaduto).

Anche la protezione da redirezione automatica di Opera sara' inutile perche' non ci sara' piu' bisogno di redirezione nel prossimo test.

Mentre scrivevo, stavo pensando che invece di un semplice redirezionamento, posso presentarvi un esempio piu' chiaro di cosa potrebbe accadere realmente in uno scenario simile, a proposito di Phishing (per ovvie ragioni non mi sembra il caso qui di fare esempi exploitando vulerabilita' di browser, l'altro tipo di applicazione possibile con questa tecnica).

in sostanza ci upperai un filmatino breve ma intenso? :D :p

in sostanza ci upperai un filmatino breve ma intenso? :D :p

mitä? :confused:

mitä? :confused:

in segno dell'exploit eseguito.. scherzavo :D

in segno dell'exploit eseguito.. scherzavo :D

ah :D

ah :D

un amico ha provvediuto a fare la prova usando linux e al passare il mouse il browser gli mostrava il link nascosto ossia il puntamente a questo forum...

mi domando quindi dove sia annidata la causa del problema e le domande che mi pongo sono:

1) perchè i javascript offuscati sono usati prevalentemente su pagine residenti su server windows?

2) perchè linux mostra il puntamento vero: essendo un linguaggio lato client è quindi una mera cattiva gestione di windows, ma perchè il connubio server e client per poter dar corso all'exploit ?

mi piacerebbe approfondire questi aspetti se ti va' di parlarne :) :flower:

un amico ha provvediuto a fare la prova usando linux e al passare il mouse il browser gli mostrava il link nascosto ossia il puntamente a questo forum...

mi domando quindi dove sia annidata la causa del problema e le domande che mi pongo sono:

1) perchè i javascript offuscati sono usati prevalentemente su pagine residenti su server windows?

2) perchè linux mostra il puntamento vero: essendo un linguaggio lato client è quindi una mera cattiva gestione di windows, ma perchè il connubio server e client per poter dar corso all'exploit ?

mi piacerebbe approfondire questi aspetti se ti va' di parlarne :) :flower:


Con le modifiche del prossimo test, anche questo comportamento su Linux sara' aggirato e il tuo amico non potra' vedere il link "vero". :)
Quando pubblico la prossima versione del test, spieghero' alcune cose sul funzionamento.

Sisupoika come fai a sapere che lo script bloccato da Antivir è localizzato nella cache del browser ?

Ahhhhh.....allora hai studiato !! :D :D :D

Allora l'intervento di ANTIVIR avviene in circa 4'' e non in 20'' come ho letto.
Ma soprattutto avviene anche se non viene premuto il link di GOOGLE.
Capito ?

Non credo che un utente dopo l'avviso dell'antivirus premerebbe il link !!

Attualmente l'apertura della pagina del forum diciamo di phishing non viene aperta in 4 modi per coloro che usano
come browser Opera 9.23:

1) redirezione
2) apertura in una nuova scheda
3) apertura in una nuova finestra
4) navigazione con impostati di default i parametri sopra detti.

E naturalmente disabilitare i javascript.

Fate una prova con questi due link

http://altagradazione.blogspot.com/2007/08/non-passate-sopra-al-link.html

Allora l'intervento di ANTIVIR avviene in circa 4'' e non in 20'' come ho letto.
Ma soprattutto avviene anche se non viene premuto il link di GOOGLE.
Capito ?

Non credo che un utente dopo l'avviso dell'antivirus premerebbe il link !!

a me non sembra proprio che Antivir lo rilevi a priori e che ne impedisca l'esecuzione ovvero che impedisca di arrivare nella home di questas ezione tramite redirezionamento..
anche il tuo screen dimostra che arrivi in ogni caso sul forum e solo successivamente si apre il pop-up che avverte..

io ho fatto il 15 volte e posso garantirti che da quando ho premuto sul link sono arrivato bello tranquillo nel forum e dopo un po' si è aperto il pop-up..
quindi lo ha bloccato dopo e quando era già stato eseguito altrimenti finivo su google :)

Fate una prova con questi due link

http://altagradazione.blogspot.com/2007/08/non-passate-sopra-al-link.html

con script disattivati da NoScript e passando il mouse (senza clickare) sul secondo link mi ha aperto automaticamente:
Url: "hxxp://urlic.com/4ab" (bloccato dal proxy aziendale)

idem il primo link:
"hxxp://urlic.com/4ab"


ecco il codice che lo esegue:
<a onmouseover="parent.location='http://urlic.com/4ab'" href="http://www.google.it/">www.google.it</a><br /><br />Nemmeno su questo<br /><br /><a onmouseout="parent.location='http://urlic.com/4ab'" href="http://www.google.it/">www.google.it</a></p>


però doveva rimanere bloccato da NoScript quindi è stato valicato...


Opera non esegue i due link come ci si attenderebbe :)

a me non sembra proprio che Antivir lo rilevi a priori e che ne impedisca l'esecuzione ovvero che impedisca di arrivare nella home di questas ezione tramite redirezionamento..
anche il tuo screen dimostra che arrivi in ogni caso sul forum e solo successivamente si apre il pop-up che avverte..

io ho fatto il 15 volte e posso garantirti che da quando ho premuto sul link sono arrivato bello tranquillo nel forum e dopo un po' si è aperto il pop-up..
quindi lo ha bloccato dopo e quando era già stato eseguito altrimenti finivo su google :)

xcdegasp non sò se hai letto bene ANTIVIR interviene PRIMA che io premo il link quando c'è ancora la pagina bianca e questo lo fà in circa 4''.

http://img413.imageshack.us/img413/1998/sisuobe0.jpg

Naturalmente l'immagine che ho messo inizialmente è per far vedere che se linki senza accortezze alla fine arrivi alla pagina deviata.......
Dopo ciò, solo un UTONTO premerebbe quel link !!

Stasse rifaccio la prova....

Sisupoika come fai a sapere che lo script bloccato da Antivir è localizzato nella cache del browser ?

Ahhhhh.....allora hai studiato !! :D :D :D

Studiato? :confused:
Era l'unica possibilita' che avevo lasciato "scoperta". Fin troppo ovvio. La prima versione del test era una bozza, adesso arrivano i fix :D

Allora l'intervento di ANTIVIR avviene in circa 4'' e non in 20'' come ho letto.
Ma soprattutto avviene anche se non viene premuto il link di GOOGLE.
Capito ?

Questo e' a causa (grazie all') dell'offuscamento. Aggirabile :D

Non credo che un utente dopo l'avviso dell'antivirus premerebbe il link !!

Sei sicuro che l'avviso compare prima di cliccare sul link? Non avevate detto che avveniva dopo?
Comunque questo avviso credo sia dovuto all'offuscamento. Vedremo se comparira' anche nel prossimo test :)

Attualmente l'apertura della pagina del forum diciamo di phishing non viene aperta in 4 modi per coloro che usano
come browser Opera 9.23:

1) redirezione
2) apertura in una nuova scheda
3) apertura in una nuova finestra
4) navigazione con impostati di default i parametri sopra detti.

E naturalmente disabilitare i javascript.

Tutto quanto sara' presumibilmente aggirato nel prossimo test :)

Fate una prova con questi due link

http://altagradazione.blogspot.com/2007/08/non-passate-sopra-al-link.html

onmouseover="parent.location='http://urlic.com/4ab'"

Il mouseover non verrebbe mai usato da un malintenzionato che cerchi di dirigere l'utente verso un sito inatteso.
Semplicemente perche' l'evento verrebbe scoperto immediatamente, in quanto non causato dall'utente.
Quindi, inutile.


a me non sembra proprio che Antivir lo rilevi a priori e che ne impedisca l'esecuzione ovvero che impedisca di arrivare nella home di questas ezione tramite redirezionamento..
anche il tuo screen dimostra che arrivi in ogni caso sul forum e solo successivamente si apre il pop-up che avverte..

io ho fatto il 15 volte e posso garantirti che da quando ho premuto sul link sono arrivato bello tranquillo nel forum e dopo un po' si è aperto il pop-up..
quindi lo ha bloccato dopo e quando era già stato eseguito altrimenti finivo su google :)

Esatto.

xcdegasp non sò se hai letto bene ANTIVIR interviene PRIMA che io premo il link quando c'è ancora la pagina bianca e questo lo fà in circa 4''.

http://img413.imageshack.us/img413/1998/sisuobe0.jpg

Naturalmente l'immagine che ho messo inizialmente è per far vedere che se linki senza accortezze alla fine arrivi alla pagina deviata.......
Dopo ciò, solo un UTONTO premerebbe quel link !!

Anche se fosse (non ho verificato), cio' avviene perche'

1) il javascript e' offuscato
2) e presente come file fisico nella cache del browser

altrimenti (come avverra' col prossimo test) l'antivirus non avra' modo di rilevare un bel niente.

Ho rifatto il test installando Opera 9.23, disattivato i javascript e la redirezione automatica.

Il risultato è che se clikko sul link vado direttamente alla pagina di Google uk!

Quindi va bene così...giusto?

Ciao!

No,no.....non è presente come files fisico. ;) ;)
Ho sempre eliminato i files anche dalla quarantena....

Rileggi,sono stati gli altri che hanno detto che l'intervento dell'antivirus avveniva dopo......io non l'ho mai detto anzi ho detto il contrario !! ;)

antivir lo rileva quando stai per aprirlo dato che viene copiato nella cache:)

antivir lo rileva quando stai per aprirlo dato che viene copiato nella cache:)

No Lucas a me lo rileva prima.
Ed infatti prima di fare questo test,cioè ieri, ho disimpostato il parametro di svuotamento della cache di Opera.
E fatto tanti test con quella pagina.
Forse ho ottenuto lo stesso effetto di un vaccino contro un virus ?
Cioè ho immunizzato il sistema a quello specifico script ?

Ho notato che i files dello script sono nominati sempre con un valore fisso cioè:

opr086OX.js

cambiano dopo le varie prove i valori della X.

A parte i settaggi specifici del browser l'unica cosa che mi viene in mente che io posso avere diverso da
voi altri è il partizionamento (FAT32) ma non sò se questo possa influenzare questo specifico test !!

OT @ Sampei:

per curiosita, oltra ad Antivir e Opera che credo abbiano capito tutti che li utilizzi, di quali altri software "di sicurezza" ti avvali? :)

PS: che bella la mia firma...:yeah:

OT @ Sampei:

per curiosita, oltra ad Antivir e Opera che credo abbiano capito tutti che li utilizzi, di quali altri software "di sicurezza" ti avvali? :)

PS: che bella la mia firma...:yeah:

Nulla di che, specie nel portatile che ho usato come test di questo test :D :D.........allora:

(Comodo,Antivir,Spywareterminator),Opera 9.23,DropMyRights.

p.s. Si vero bella la firmettina !!

xcdegasp non sò se hai letto bene ANTIVIR interviene PRIMA che io premo il link quando c'è ancora la pagina bianca e questo lo fà in circa 4''.

http://img413.imageshack.us/img413/1998/sisuobe0.jpg

Naturalmente l'immagine che ho messo inizialmente è per far vedere che se linki senza accortezze alla fine arrivi alla pagina deviata.......
Dopo ciò, solo un UTONTO premerebbe quel link !!

confermo.
(con i.e. l'avviso è ancor più rapido).

No Lucas a me lo rileva prima.

Si che antivir è un ottimo antivirus ma, penso che non possa prevedere le azioni prima che vengono compiute:D

Allora io faccio così.
Premo con il mouse il link del test di Sisupoika.
Si apre la pagina bianca in questione.
La freccetta del mouse non è sul link del falso google e poi interviene l'avviso di Antivir (basta attendere).

Se lo dice anche PCì sarà vero presumo ? ;)

Non c'è nessun altro che può verificarlo ?

Ho provato anche adesso e confermo anzi ci sono 2 novità:

a) L'avviso dell'antivirus è più rapido

b) Il files js è modificato nel nome rispetto a quello che ho inserito prima:

opr087W.js

Allora io faccio così.
Premo con il mouse il link del test di Sisupoika.
Si apre la pagina bianca in questione.
La freccetta del mouse non è sul link del falso google e poi interviene l'avviso di Antivir (basta attendere).

Se lo dice anche PCì sarà vero presumo ? ;)

Non c'è nessun altro che può verificarlo ?

Stiamo dicendo cose diverse ma alla fine sono quelle, ho capito male io, tu parli in relazione al sito io parlavo in relazione al file copiato nella cache comunque, antivir non mi risulta che abbia il modulo di scansione http altrimenti ricevevi un avviso immediato:)

Si giusto nessun modulo HTTP.

Ho rifatto il test installando Opera 9.23, disattivato i javascript e la redirezione automatica.

Il risultato è che se clikko sul link vado direttamente alla pagina di Google uk!

Quindi va bene così...giusto?

Ciao!

Se disattivi i javascript non arriverai mai alla pagina falsa ma solo a google.UK.
Se invece disattivi SOLO la redirezione automatica avrai possibilità di scelta perchè vedrai il reindirizzamento.

Ho rifatto il test installando Opera 9.23, disattivato i javascript e la redirezione automatica.

Il risultato è che se clikko sul link vado direttamente alla pagina di Google uk!

Quindi va bene così...giusto?

Ciao!

Si', ma tieni conto che perdi in flessibilita'. Firefox con Noscript ti consente di fare una whitelist dei soli siti per i quali vuoi abilitare js, quindi e' piu' comodo.


antivir lo rileva quando stai per aprirlo dato che viene copiato nella cache:)

E' cio' che mi aspetterei. Purtroppo stasera devo perdere un po' di tempo a rimettere su il mio nuovo home laptop, appena posso faccio qualche prova con alcuni Antivirus ecc.

No Lucas a me lo rileva prima.
Ed infatti prima di fare questo test,cioè ieri, ho disimpostato il parametro di svuotamento della cache di Opera.
E fatto tanti test con quella pagina.
Forse ho ottenuto lo stesso effetto di un vaccino contro un virus ?
Cioè ho immunizzato il sistema a quello specifico script ?

Ho notato che i files dello script sono nominati sempre con un valore fisso cioè:

opr086OX.js

cambiano dopo le varie prove i valori della X.

A parte i settaggi specifici del browser l'unica cosa che mi viene in mente che io posso avere diverso da
voi altri è il partizionamento (FAT32) ma non sò se questo possa influenzare questo specifico test !!

Non hai immunizzato un bel niente, temo :D
Credo che o interpreti male quanto accade, o c'e' una spiegazione ad un diverso comportamento nel tuo caso.
Fai una cosa, scaricati CamStudio o simili (o registra il video con la virtual machine), e posta un video cosi' possiamo apprezzare piu' chiaramente quando Antivir rileva qualcosa. Mentre registri il video, azzera la cache e mostra che Javascript e' abilitato, cosi' giusto per essere certi e interpretare cio' che accade. :)

Il file system non c'entra niente.

Nulla di che, specie nel portatile che ho usato come test di questo test :D :D.........allora:

(Comodo,Antivir,Spywareterminator),Opera 9.23,DropMyRights.

p.s. Si vero bella la firmettina !!

DropMyRights e' aggirabile, magari ne facciamo topic di un prossimo test :D
La soluzione migliore al momento e' un account limitato con i miei script. :stordita:

confermo.
(con i.e. l'avviso è ancor più rapido).

Mi viene un dubbio. Qualcuno di voi ha per caso segnalato questo thread ad Avira? Perche' se adesso si comporta in questo modo, diverso dalle prime pagine, allora mi chiedo se non abbiano aggiornato qualcosa :D

Si che antivir è un ottimo antivirus ma, penso che non possa prevedere le azioni prima che vengono compiute:D

:D

Allora io faccio così.
Premo con il mouse il link del test di Sisupoika.
Si apre la pagina bianca in questione.
La freccetta del mouse non è sul link del falso google e poi interviene l'avviso di Antivir (basta attendere).

Se lo dice anche PCì sarà vero presumo ? ;)

Non c'è nessun altro che può verificarlo ?

Ho provato anche adesso e confermo anzi ci sono 2 novità:

a) L'avviso dell'antivirus è più rapido

b) Il files js è modificato nel nome rispetto a quello che ho inserito prima:

opr087W.js

L'antivirus non guarda cosa viene caricato nel browser, l'unica spiegazione e' quindi che rileva qualcosa di sospetto (l'offuscamento) non appena il file Javascript viene salvato su disco, quindi all'apertura della pagina. Punto.
Nel prossimo test il Javascript non verra' salvato in cache, e sara' in chiaro. Quindi Avir non dovrebbe essere in grado di rilevare nulla di anomalo.

@ Sisupoika:

Lo conosci? suDown (http://sudown.sourceforge.net/)*
Ne ho sentito parlare qui da tlu: http://www.wilderssecurity.com/showthread.php?t=181375






*Acronimo di switch user down

@ Sisupoika:

Lo conosci? suDown (http://sudown.sourceforge.net/)*
Ne ho sentito parlare qui da tlu: http://www.wilderssecurity.com/showthread.php?t=181375






*Acronimo di switch user down


Si', ne ho gia' parlato (male) in un altro thread.
Un utente con su-down e' sempre un Administrator, anche se i processi girano con meno privilegi di un Administrator standard. Gia' per questo e' piu' vulnerabile, e piu' soggetto a poteziali scalate di privilegi.
Con la soluzione adottata nei miei script, invece, l'utente e' sempre e comunque limitato. I soli processi che girano con privilegi di Administrator sono quelli che l'utente vuole avviare. Se hai bene inteso, comprenderai come le due cose sono ben diverse :)

ho appena verificato la storia di Avira e sia io che sampei abbiamo ragione...
sì entrambi!

Con Firefox la segnalazione avviene solo dopo aver clickato sul link ed essere giunti al forum di hwupgrade.it

Con Opera la segnalazione avviene appena si arriva sulla pagina http://www.stealthmeasures.com/PhishingTest.htm


quindi oltre ad aver ragione entrambi (e si capisce la nostra incomprensione) si può notare la differenza di comportamento dell'antivirus...

domande:
è normale?

perchè?

dei prossimi link-fix non mi interessa molto perchè al momento vorrei capire cosa faccia comportare in maniera differente un antivirus.
sarebbe interessante il discorso anvche con altri antivirus, purtroppo l'altro che possiedo è nod32 e sappiamo tutti che ormai è allo sfascio. :cry: :cry: :cry:

Si', ne ho gia' parlato (male) in un altro thread.
Un utente con su-down e' sempre un Administrator, anche se i processi girano con meno privilegi di un Administrator standard. Gia' per questo e' piu' vulnerabile, e piu' soggetto a poteziali scalate di privilegi.
Con la soluzione adottata nei miei script, invece, l'utente e' sempre e comunque limitato. I soli processi che girano con privilegi di Administrator sono quelli che l'utente vuole avviare. Se hai bene inteso, comprenderai come le due cose sono ben diverse :)

mi fido della tua competenza e di conseguenza non mi è necessario andare più a fondo anche se a logica non fa una grinza...




PS:
credo che il pubblico (tra cui rientra anche il sottoscritto...), oltre che vedere tuoi test + o - raffinati/elaborati e in continuo divenire, siano interessati anche a delle "ricette"....
Che proponi oltre alle soluzioni ventilate negli altri thread (sempre che tu ritenga che ve ne siano..) per tentare di ridurre i molteplici rischi della rete?

Perchè non fai una sorta di pro e contro (il + possibile obiettiva..) di ogni "famiglia" di alternative?

Aggiungo:
il ragionamento sopra non cela assolutamente critiche al tuo pensiero o altro visto che non solo lo rispetto ma, per giunta, non avrei neppure mezzi solidi per controbattere alle tue affermazioni...
Mi considero a lezione, ecco....;)

ho appena verificato la storia di Avira e sia io che sampei abbiamo ragione...
sì entrambi!

Con Firefox la segnalazione avviene solo dopo aver clickato sul link ed essere giunti al forum di hwupgrade.it

Con Opera la segnalazione avviene appena si arriva sulla pagina http://www.stealthmeasures.com/PhishingTest.htm


quindi oltre ad aver ragione entrambi (e si capisce la nostra incomprensione) si può notare la differenza di comportamento dell'antivirus...

domande:
è normale?

perchè?

dei prossimi link-fix non mi interessa molto perchè al momento vorrei capire cosa faccia comportare in maniera differente un antivirus.
sarebbe interessante il discorso anvche con altri antivirus, purtroppo l'altro che possiedo è nod32 e sappiamo tutti che ormai è allo sfascio. :cry: :cry: :cry:

@xcdegasp

Grazie "amico mio" (spero posso) sei stato molto chiaro.
Anzi se devo essere sincero prendendo a paragone un comportamento biologico
devo concludere (sembra) che (Opera+Antivir) hanno un comportamento simbiotico nello sconfiggere e prevenire uno script che
potenzialmente potrebbe essere pericoloso.

@Sisupoika

La soluzione migliore per non usare i diritti amministrativi è usare LINUX.
Tutto funziona bene.
Con Windows......

@Sisupoika

La soluzione migliore per non usare i diritti amministrativi è usare LINUX.
Tutto funziona bene.
Con Windows......
poiche il 90 % della popolazione utilizza Windows (e io sono uno degli n utenti di questo universo....), mi interessa sapere come tutelarmi più che dire semplicisticamente "se passassi a..." (cosa che poi son sicuro sia vera relativamente...)

aggiungo:

credo peraltro di sapere abbastanza bene come difendermi ma resto cmq sempre aperto ad ogni input proveniente dall'esterno....

Se la sorgente di questo input è Sisupoika [;) ], tanto meglio visto che parla pure italiano e non devo starmi ad alambiccare il cervello a pensare prima in ITA per poi tradurre in ENG....

ho appena verificato la storia di Avira e sia io che sampei abbiamo ragione...
sì entrambi!

Con Firefox la segnalazione avviene solo dopo aver clickato sul link ed essere giunti al forum di hwupgrade.it

Con Opera la segnalazione avviene appena si arriva sulla pagina http://www.stealthmeasures.com/PhishingTest.htm


quindi oltre ad aver ragione entrambi (e si capisce la nostra incomprensione) si può notare la differenza di comportamento dell'antivirus...

domande:
è normale?

perchè?

dei prossimi link-fix non mi interessa molto perchè al momento vorrei capire cosa faccia comportare in maniera differente un antivirus.
sarebbe interessante il discorso anvche con altri antivirus, purtroppo l'altro che possiedo è nod32 e sappiamo tutti che ormai è allo sfascio. :cry: :cry: :cry:

Probabile che Opera salvi il Javascript su disco prima di interpretarlo, mentre Firefox dopo. Boh, e' da vedere


[SIZE="1"]credo che il pubblico (tra cui rientra anche il sottoscritto...), oltre che vedere tuoi test + o - raffinati/elaborati e in continuo divenire, siano interessati anche a delle "ricette"....

[I]cut

Work in progress :D
@xcdegasp

Grazie "amico mio" (spero posso) sei stato molto chiaro.
Anzi se devo essere sincero prendendo a paragone un comportamento biologico
devo concludere (sembra) che (Opera+Antivir) hanno un comportamento simbiotico nello sconfiggere e prevenire uno script che
potenzialmente potrebbe essere pericoloso.


Se e' come sembra si capisca, credo sia solo una fortunata circostanza, la coppia Opera+Antivir. Il primo forse salva Javascript nella cache prima di eseguirlo, il secondo appena il file e' salvato sul disco rileva qualcosa di sospetto in quel codice.
Ma sai cosa? Se con Opera avviene quanto ipotizzato, abbiamo appena scoperto una altra potenziale vulnerabilita' in Opera. Ma faro' delle prove asap, per capire se c'e' o meno. Quindi non dettaglio per ora cosa intendo, e' solo una lampadina accesa. :D

@Sisupoika

La soluzione migliore per non usare i diritti amministrativi è usare LINUX.
Tutto funziona bene.
Con Windows......

Sampei, nessun sistema e' perfetto.

aggiungo:

credo peraltro di sapere abbastanza bene come difendermi ma resto cmq sempre aperto ad ogni input proveniente dall'esterno....

Se la sorgente di questo input è Sisupoika [;) ], tanto meglio visto che parla pure italiano e non devo starmi ad alambiccare il cervello a pensare prima in ITA per poi tradurre in ENG....

I could easily switch to English or Finnish any time, should you wish me to do so :D

mä voisin kirjoittaa myös englanniksi tai suomeksi, jos sä haluat :D

ribadisco non è solo la coppia opera-avira.
anche i.e.7-avira non è da meno, anzi l'avviso dell'av. è ancor più rapido (quasi immediato).
provare per credere.

Il mouseover non verrebbe mai usato da un malintenzionato che cerchi di dirigere l'utente verso un sito inatteso.
Semplicemente perche' l'evento verrebbe scoperto immediatamente, in quanto non causato dall'utente.
Quindi, inutile.


Beh un malintenzionato potrebbe mandare verso un sito contenente exploit o verso un sito pubblicitario. Certo non per fare phishing. Se il link si trova su un sito fidato che però è stato violato come è successo ultimamente a molti siti e uno ha abilitato javascript....

In mezzo a decine di link uno passa sopra per caso e magari neanche si rende conto che è stato proprio il passaggio su quel link a scatenare tutto.

in effetti non ho capito cosa c'entra il phishing con questo trucchetto (capisco che il termine fa audience).

dirai.... si puo essere reindirizzati verso un sito truffaldino di una finta banca che richiede nome utente e password, bene allora è lì che scatterebbe l'eventuale test phishing per browser e protezioni antifrode varie.

e con un minimo di attenzione e informazione non si cadrebbe comunque nell'inghippo. (es. cosa banalissima, io sul sito della mia banca non andrei mai da un link preso a casaccio nella rete, ma solo da quello che ho nei preferiti.)

Il mouseover non verrebbe mai usato da un malintenzionato che cerchi di dirigere l'utente verso un sito inatteso.
Semplicemente perche' l'evento verrebbe scoperto immediatamente, in quanto non causato dall'utente.
Quindi, inutile.


Beh un malintenzionato potrebbe mandare verso un sito contenente exploit o verso un sito pubblicitario. Certo non per fare phishing. Se il link si trova su un sito fidato che però è stato violato come è successo ultimamente a molti siti e uno ha abilitato javascript....

In mezzo a decine di link uno passa sopra per caso e magari neanche si rende conto che è stato proprio il passaggio su quel link a scatenare tutto.

Se un utente clicca su un link, e al verificarsi di questo evento il link viene modificato e porta l'utente ad una fake page del tutto simile a quella attesa, l'evento e' stato scatenato da una azione dell'utente stesso.
In questo caso, il 99% degli utenti non si accorgerebbe di essere su una fake page. Un utente che appartenga a questo 99% immetterebbe i propri dati, ad esempio, di login nel sito in cui crede di trovarsi, e cosa accadrebbe? Accadrebbe che quella pagina fake potrebbe silentamente inviare quei dati di login altrove (iframe nascosto o meglio ancora con ajax/xmlhttp), per poi inviare quei dati (e l'utente) alla pagina attesa, senza redirezioni.
La pagina che l'utente vedra' dopo aver inviato i dati, sara' proprio quella attesa. In questo scenario, scoprire un attacco di questo tipo, e ritrovarsi protetti dalle suite di sicurezza, sara' molto piu' difficile.
Tutto cio' sara' inequivocabilmente mostrato nel prossimo test, che rappresentera' una vera e propria simulazione di questa nuova e ancora non protetta, tecnica di phishing.

Agendo sul mouseover, al contrario, l'evento NON verrebbe scatenato dall'utente, ma automaticamente. Questo e' il motivo per cui un "attacco" di questo tipo verrebbe scoperto in brevissimo tempo, magari nel giro di qualche click e tutta la rete ne sarebbe a conoscenza, piu' rapidamente di quanto accade adesso con le tecniche di phishing normali.

___

Sapete cosa? alcune riviste UK sono interessate ad un mio articolo che illustri questo sistema. Spero di trovare il tempo presto per scriverlo :)

in effetti non ho capito cosa c'entra il phishing con questo trucchetto (capisco che il termine fa audience).

dirai.... si puo essere reindirizzati verso un sito truffaldino di una finta banca che richiede nome utente e password, bene allora è lì che scatterebbe l'eventuale test phishing per browser e protezioni antifrode varie.

La tecnica descritta se ingegnata bene, e' difficile da scoprire.
E comunque, qualunque filtro con le tecniche attuali e' aggirabile.
Come? Basta che l'html della pagina fake sia vuoto inizialmente, con un javascript che aggiunge dinamicamente alla pagina tutti gli elementi (immagini, links, forms, ecc).
In questo modo, il filtro NON rileverebbe che la pagina sta simulando un'altra, analizzandone l'html.

e con un minimo di attenzione e informazione non si cadrebbe comunque nell'inghippo. (es. cosa banalissima, io sul sito della mia banca non andrei mai da un link preso a casaccio nella rete, ma solo da quello che ho nei preferiti.)

always do keep in mind the 99% rule mate

....(iframe nascosto o meglio ancora con ajax/xmlhttp)...


che è, la seconda divisione della famosa squadra olandese o una nuova linea di detersivi? :ciapet:


PS:
ma qualche bel plug-in by Sisupoika per FF no, eh?:fiufiu:

Io cmq resto in attesa delle "ricette"....

@ Sisupoika: C'è da dire che vi sono siti che contengono informazioni ben documentate del phishing.
Per curiosità ho dato un'occhiata a quello delle poste nelle regole mettono in evidenza di raggiungere il loro sito digitandolo nella barra degli indirizzi e non cliccandoci da mail o altri siti.
Quindi con una buona informazione il phishing non esisterebbe se non sulla carta.

ma qualche bel plug-in by Sisupoika per FF no, eh?:fiufiu:

planned :D

@ Sisupoika: C'è da dire che vi sono siti che contengono informazioni ben documentate del phishing.
Per curiosità ho dato un'occhiata a quello delle poste nelle regole mettono in evidenza di raggiungere il loro sito digitandolo nella barra degli indirizzi e non cliccandoci da mail o altri siti.
Quindi con una buona informazione il phishing non esisterebbe se non sulla carta.

Matteo,

sull'affermazione in bold, nessun dubbio.
MA se il link mostra nella status bar l'url vero delle poste, come nell'esempio, quanti utenti ci cascherebbero ancora?
Inoltre, una volta inviati i dati dalla pagina fake (a cui si giunge dal link alterato, e per il quale si puo' sempre giocare con l'ingegneria sociale) l'utente si vedrebbe comparire la pagina vera del login effettuato! (dopo che i dati sono stati catturati e spediti).
Questo gia' rende piu' difficile scoprire l'attacco.
L'unico passaggio ancora facilmente scopribile se si e' utenti con un minimo di esperienza, e' l'url visualizzato nel passaggio intermedio.
Tempo fa si parlava di alcune tecniche per ovviare anche a questo, visualizzando l'url originale nella barra degli indirizzi!
Adesso non so se si puo' ancora fare, non mi ci sono messo.

Per quanta informazione ci possa essere, ci sono sempre troppi utonti in rete.

Inoltre, non dimenticare un'altra applicazione possibile di questa tecnica
Dimentica per un attimo il phishing.
Se un malintezionato scopre un nuovo exploit in un browser, cliccando sul link alterato si potrebbe:

- lasciare l'href cosi' com'e'
- aggiungere dinamicamentela alla pagina contenente il link un iframe nascosto (NON presente nell'html della pagina, ma nel suo DOM dopo l'onload della stessa) che apra una pagina
- tale pagina sfrutta l'exploit appena scoperto per effettuare una operazione inattesa sul sistema
- essendo non modificato, il link porta alla pagina che l'utente si aspettava.

Questa applicazione, non trattandosi di phishing, potrebbe essere usata per qualunque sito, non solo banking ecc.

planned :D


vedi?
Le persone in definitiva vanno sapute "stuzzicare"...:D

vedi?
Le persone in definitiva vanno sapute "stuzzicare"...:D

Sara' che il mio italiano non e' al top ma...si puo' dire? :mbe:

in che senso, scusa? :mbe:

Mica ho detto T**a :oink: o gnappa? :D

in che senso, scusa? :mbe:

Mica ho detto T**a :oink: o gnappa? :D

:fagiano:

poiche il 90 % della popolazione utilizza Windows (e io sono uno degli n utenti di questo universo....), mi interessa sapere come tutelarmi più che dire semplicisticamente "se passassi a..." (cosa che poi son sicuro sia vera relativamente...)

Caro Enne la tua è un constatazione personale.
La mia è specifica.
Windows è un sistema che di default ha l'utente administrator,il parco soft mal si adatta all'utente limitato perchè chi li ha progettati giustamente non ha preso in esame ANCHE questa possibilità.
Ciò è un dato di fatto.

Sisupoika ha scritto:

Sampei, nessun sistema e' perfetto.

Si naturalmente questo è un dato di fatto.
Anche su Linux vengono a manifestarsi alcuni bugs (che spesso sono più dovuti al parco soft che altro).
Ma contrariamente a Microsoft guarda caso vengono risolti.....abbastanza celermente.
Invece Windows ha ancora diversi bugs non patchati (e non lo saranno mai).

La mancanza di virus e rootkit (vatti un pò a vedere la rootkit list di antirootkit.com del 2007 è ESCLUSIVA per WINDOWS !! :D ) e spyware sono un' altra caratteristica non indifferente.

Attualmente ritengo windows un sistema operativo sempre un pò più versatile rispetto a Linux.....ma credo che questo difetto sarà colmato nei prossimi 2 anni.

A quel punto Sampei.......

@ Sisupoika

Sisu,facciamo insieme una considerazione.

Almeno per quello che dici tu il prossimo test sarà completamente (lo vedremo :D ) "stealth" (che in inglese si può tradurre con FURTIVO) ad ogni sistema difensivo.
Naturalmente il test deve essere efficace MA inoffensivo (ad ogni livello).

Mi riesce difficile capire quello che ho scritto sopra in grassetto.

Se è efficace DEVE per forza essere "offensivo" visto che ELUDE antivirus,browser e quanto altro !!

Ci puoi spiegare e magari fornire qualche "garanzia" ?

Non per me naturalmente......se voglio lo faccio sotto linux....ma è una cosa che non farò (troppo semplice ovviare all'inconveniente) perchè così mi sono riproposto di fare in origine......per tutti gli altri utenti.

Grazie.

@ Sisupoika

Sisu,facciamo insieme una considerazione.

Almeno per quello che dici tu il prossimo test sarà completamente (lo vedremo :D ) "stealth" (che in inglese si può tradurre con FURTIVO) ad ogni sistema difensivo.
Naturalmente il test deve essere efficace MA inoffensivo (ad ogni livello).

Mi riesce difficile capire quello che ho scritto sopra in grassetto.

Ci puoi spiegare e magari fornire qualche "garanzia" ?

Non per me naturalmente......se voglio lo faccio sotto linux....ma è una cosa che non farò (troppo semplice ovviare all'inconveniente) perchè così mi sono riproposto di fare in origine......per tutti gli altri utenti.

Grazie.


Ovviamente, ti formatto l'hard drive :D
E meno male che avevo gia' chiarito in privato :D
Sono solo dei test, sperimentazioni, ecc ecc. Ogni volta descrivo esattamente cio' che accade, anche se per ovvie ragioni non sempre esplicito il come.
State tranquilli..

Ovviamente, ti formatto l'hard drive :D
E meno male che avevo gia' chiarito in privato :D
Sono solo dei test, sperimentazioni, ecc ecc. Ogni volta descrivo esattamente cio' che accade, anche se per ovvie ragioni non sempre esplicito il come.
State tranquilli..

:D :D

Tu sei sempre poco chiaro !!
(Scherzo) !!
Sarà natura,sarà la lingua......ad esempio da noi si dice "HARD-DISK" !!

Scherzi a parte quando prevedi che il test sarà on line ?

:D :D

Tu sei sempre poco chiaro !!
(Scherzo) !!
Sarà natura,sarà la lingua......ad esempio da noi si dice "HARD-DISK" !!

Scherzi a parte quando prevedi che il test sarà on line ?

Nei prossimi giorni, non ho ancora messo mano a tutte le modifiche di cui ho parlato :D
Purtroppo devo prima sistemare il laptop a casa :fagiano:

La mancanza di virus e rootkit (vatti un pò a vedere la rootkit list di antirootkit.com del 2007 è ESCLUSIVA per WINDOWS !! :D ) e spyware sono un' altra caratteristica non indifferente.


Ti ricordo che comunque i rootkit esistono anche su Linux e OS Unix like (BSD, Solaris) e che proprio su questi sistemi sono nati i rootkit.

Il discorso è sempre quello: Su un sistema Unix sei user mentre in Windows sei admin di default, ma con il metodo suggerito da Sisupoika (testato su NT 5 e 5.1 e da me ritenuto molto valido) molti rootkit non possono fare nulla al sistema.
Poi oltre quel motivo c'è la netta predominanza di macchine Windows (e anche per questo è maggiormente attaccato) e non ultimo "l'odio a pelle" che hanno i viruswriter verso MS.

Quindi riassumendo Windows:

Ha privilegi di admin@default
É nettamente il più diffuso
Per il motivo sopra esposto ha un numero di malware di dimensioni oceaniche
Non ultimo l'utente medio di Linux è decisamente più smaliziato di uno Windows


In queste condizioni qualsiasi OS è attaccabile ;)

Ti ricordo che comunque i rootkit esistono anche su Linux e OS Unix like (BSD, Solaris) e che proprio su questi sistemi sono nati i rootkit.

Il discorso è sempre quello: Su un sistema Unix sei user mentre in Windows sei admin di default, ma con il metodo suggerito da Sisupoika (testato su NT 5 e 5.1 e da me ritenuto molto valido) molti rootkit non possono fare nulla al sistema.
Poi oltre quel motivo c'è la netta predominanza di macchine Windows (e anche per questo è maggiormente attaccato) e non ultimo "l'odio a pelle" che hanno i viruswriter verso MS.

Quindi riassumendo Windows:

Ha privilegi di admin@default
É nettamente il più diffuso
Per il motivo sopra esposto ha un numero di malware di dimensioni oceaniche
Non ultimo l'utente medio di Linux è decisamente più smaliziato di uno Windows


In queste condizioni qualsiasi OS è attaccabile ;)

Si lo sò !!
Ho fatto proprio una, diciamo, indagine su ciò !!
Fai una ricerca risalendo gli anni fino al 1998 e vedi tu stesso quanti rootkit rilevi per sistemi Windows (perdi il conto) e quanti per sistemi LINUX.

http://www.antirootkit.com/rootkit-list.htm

Poi come sappiamo tutti ogni sistema è vulnerabile.....ma W. lo è vuoi per diffusione,vuoi per
1000 altri motivi più degli altri (purtroppo) !!

nn ho letto tutto che sn 10 pagine e causa lavoro ho davvero poco tempo, cmq...

.... sn andato sopra cn la freccia e mi scrive il link

http://www.stealthmeasures.com/PhishingTest.htm


clicco e mi porta a quella pagina dove c'è scritto pishing test by e sotto il link di google e poi si ferma li...

xò non so che significa, è buono così oppure no?



uso opera l'ultima vers disponibile e kis 7

nn ho letto tutto che sn 10 pagine e causa lavoro ho davvero poco tempo, cmq...

.... sn andato sopra cn la freccia e mi scrive il link

http://www.stealthmeasures.com/PhishingTest.htm


clicco e mi porta a quella pagina dove c'è scritto pishing test by e sotto il link di google e poi si ferma li...

xò non so che significa, è buono così oppure no?



uso opera l'ultima vers disponibile e kis 7

Devi cliccare sul link di "google" e vedere dove arrivi.;)

Ti ricordo che comunque i rootkit esistono anche su Linux e OS Unix like (BSD, Solaris) e che proprio su questi sistemi sono nati i rootkit.

Il discorso è sempre quello: Su un sistema Unix sei user mentre in Windows sei admin di default, ma con il metodo suggerito da Sisupoika (testato su NT 5 e 5.1 e da me ritenuto molto valido) molti rootkit non possono fare nulla al sistema.
Poi oltre quel motivo c'è la netta predominanza di macchine Windows (e anche per questo è maggiormente attaccato) e non ultimo "l'odio a pelle" che hanno i viruswriter verso MS.

Quindi riassumendo Windows:

Ha privilegi di admin@default
É nettamente il più diffuso
Per il motivo sopra esposto ha un numero di malware di dimensioni oceaniche
Non ultimo l'utente medio di Linux è decisamente più smaliziato di uno Windows


a me, invece, questo ragionamento sembra impeccabile per spiegare l'accanimento dei virus writer contro i S.O. Microsoft....;)

Devi cliccare sul link di "google" e vedere dove arrivi.;)

grazie x la risposta, arrivo su questo forum... mi sa che nn dovrebbe essere così :cry:

nn c'è un modo x aumentare la sicurezza?

OK mi avete convito ;) .....voi passerete a Vista (prima o poi) e sarete tutti contenti ed io passerò a Linux.
Io nemmeno morto installo Vista nei miei pc.:D

grazie x la risposta, arrivo su questo forum... mi sa che nn dovrebbe essere così :cry:

nn c'è un modo x aumentare la sicurezza?

In parte......fin tanto che S. non modifica il test.
Leggere ogni pagina di questo 3D e decidere di testa tua cosa fare...

.....voi passerete a Vista (prima o poi) ...

perchè, c'ho scritto giocondo in fronte? :mbe:


In futuro, poi, chissà:
certo che le probabilità aumentano,

http://img443.imageshack.us/img443/1160/11026262kn6.jpg :fiufiu:
.............;)

grazie x la risposta, arrivo su questo forum... mi sa che nn dovrebbe essere così :cry:

nn c'è un modo x aumentare la sicurezza?

sì e sarebbe di settare il browser per eseguire java e javascript solo se strettamente necessario quindi a default disabilitati... chiaro che è un sistema di sicurezza parziale.
li abiliterai se vorrai solo se veramente vuoi abilitarli e solo per il sito che stai visitando ;)

OK mi avete convito ;) .....voi passerete a Vista (prima o poi) e sarete tutti contenti ed io passerò a Linux.
Io nemmeno morto installo Vista nei miei pc.:D

io domenica installo linux sulla workstation e poi ci virtualizzerò sopra win2003server ...
il Vista lo lascio felicemente dove è :p

certo che sono proprio dei buchi sti pc :mc:

Ti ricordo che comunque i rootkit esistono anche su Linux e OS Unix like (BSD, Solaris) e che proprio su questi sistemi sono nati i rootkit.

Il discorso è sempre quello: Su un sistema Unix sei user mentre in Windows sei admin di default, ma con il metodo suggerito da Sisupoika (testato su NT 5 e 5.1 e da me ritenuto molto valido) molti rootkit non possono fare nulla al sistema.
Poi oltre quel motivo c'è la netta predominanza di macchine Windows (e anche per questo è maggiormente attaccato) e non ultimo "l'odio a pelle" che hanno i viruswriter verso MS.

Quindi riassumendo Windows:

Ha privilegi di admin@default
É nettamente il più diffuso
Per il motivo sopra esposto ha un numero di malware di dimensioni oceaniche
Non ultimo l'utente medio di Linux è decisamente più smaliziato di uno Windows


In queste condizioni qualsiasi OS è attaccabile ;)


Non posso che quotare senza battere ciglio :D

grazie x la risposta, arrivo su questo forum... mi sa che nn dovrebbe essere così :cry:

nn c'è un modo x aumentare la sicurezza?

Si', scaricare il mio filtro quando sara' pronto :D
Al momento il test cosi' com'e' fa rilevare qualcosa alla euristica di Antivir a causa del Javascript offuscato, che viene salvato nella cache del browser, e usando una redirezione puoi renderti conto che qualcosa di non atteso accade, usando Opera con il blocco delle redirezioni automatiche.
Ma quel test era in una prima "bozza". Le tre condizioni sopra citate saranno assenti nella "prossima versione" del test, per cui virtualmente non c'e' altra protezione possibile se non - al momento - disabilitare completamente Javascript. Questo per ora, perche' sto studiando una tecnica per ottenere effetti simili, senza Javascript.
Il rilevamento euristico di Antivir e la protezione da redirezione di Opera sono a mio avviso considerabili gia' nulle, dunque.
Quindi, con una tecnica come quella che mostrero' nel successivo test, non c'e' una protezione al momento.
Ma ho personalmente due progetti in corso, che una volta realizzati proteggeranno meglio da possibili attacchi da navigazione web, di qualunque altro software attuale.
Senza spararla grossa :D
L'unica cosa e' che per uno di essi sto pensando ad un vero e proprio servizio da offrire, quindi richiedera' tempo.
L'altro sara' un qualcosa di gratuito, scaricabile.
Comunque, leggi le altre pagine per maggiori informazioni.

Per chi usa Opera 9.23.

Se usate come impostazione predefinita togliere il segno di spunta ai javascript considerate che alcuni siti internet FUNZIONANO MALE o per niente.
Ad esempio in questo forum in fase di scrittura messaggio non potrete accedere alla formattazione del testo.

Si può ovviare localmente,cioè nei singoli siti internet a ciò ?

La risposta è SI

Basta cliccare con il destro del mouse quando siamo nel sito non funzionante e selezionare:

1) Modifica le preferenze di questo sito
2) SCRIPTING
3) inserire il segno di spunta su attiva javascript

Naturalmente è necessario rilanciare la pagina che non era funzionante.
Solo quel sito o pochi siti saranno con i javascript attivi.

E' naturalmente un sistema piuttosto macchinoso,ma c'è questa possibilità e quindi chi la vuole nel frattempo sfruttare !! ;)

Ho inviato a PhishTank il link del test di Sisupoika.
Volevo sentire come si dice in gergo "un'altra campana".
Il risultato (scontato) è:

Is not a Phish

https://www.phishtank.com/phish_detail.php?phish_id=310722

Credo sia importante ciò, lo metto all'attenzione.
In attesa del nuovo test, i miei saluti a Sisupoika.

Ho inviato a PhishTank il link del test di Sisupoika.
Volevo sentire come si dice in gergo "un'altra campana".
Il risultato (scontato) è:

Is not a Phish

https://www.phishtank.com/phish_detail.php?phish_id=310722

Credo sia importante ciò, lo metto all'attenzione.
In attesa del nuovo test, i miei saluti a Sisupoika.

Sampei, appunto il risultato era scontato :D
Nessuno di loro ha visto una simulazione di banking ecc, ovvio che non viene considerato phishing per cosi' com'e'.

Questo pomeriggio ho effettuato un altro test purtroppo (per me :D ) risultato negativo (ma anche questo era un risultato prevedibile):

http://linkscanner.explabs.com/linkscanner/checksite.asp

Ehi Sisu.....almeno a questo pescatore (solo per l'impegno) darai gratis il tuo "servizio futuro" ? :D ;) ;)

Questo pomeriggio ho effettuato un altro test purtroppo (per me :D ) risultato negativo (ma anche questo era un risultato prevedibile):

http://linkscanner.explabs.com/linkscanner/checksite.asp

Ehi Sisu.....almeno a questo pescatore (solo per l'impegno) darai gratis il tuo "servizio futuro" ? :D ;) ;)

Naturalmente, avro' bisogno di testers :D

Ho Inviato ad AVIRA LABS il file js ecco il link:

http://analysis.avira.com/samples/details.php?uniqueid=FFVkY55s5jYkATJrkVhEGJO8B2PAqbCS&incidentid=74383

Qualche commento per l'analisi di AVIRA LABS di cui sopra ?

Qualche commento per l'analisi di AVIRA LABS di cui sopra ?

'nsomma l'euristica l'ha rilevato e loro creano una signature... mi sembra normale no? Resta il fatto che è stato rilevato come virus solo per l'offuscamento, non perché maschera all'utente la vera destinazione del link (anche perché credo significherebbe generare una marea di falsi-positivi)

La signature è inserita nelle firme di oggi 6.39.01.60.

Sarebbe interessante sapere se quel file js è stato mandato ad altre softhouse ?
Non c'è proprio nessuno che ha fatto ciò di cui sopra ?

Sarei curioso di sapere come l'avrebbero considerato.....altre case antivirus.

Devo anche dire agli utenti che il files js ha impegnato non poco i tecnici Avira come mi hanno scritto
nell'e-mail di risposta.

Devo anche dire agli utenti che il files js ha impegnato non poco i tecnici Avira come mi hanno scritto
nell'e-mail di risposta.
Potresti riportare l'email di risposta? grazie, comunque penso che avira abbia creato la signature per quel tipo di javascript e non per altro, può darsi che domani un malware sfrutti lo stesso javascript, ciao

Potresti riportare l'email di risposta? grazie, comunque penso che avira abbia creato la signature per quel tipo di javascript e non per altro, può darsi che domani un malware sfrutti lo stesso javascript, ciao

Lucas, l'ho cestinata direttamente dal monitor di e-mail....spiacente !! :muro: :muro:

Qualche commento per l'analisi di AVIRA LABS di cui sopra ?

Che dubito della utilita', perche' l'unico effetto che quella signature potra' avere, sara' di riconoscere il tipo di offuscamento da me usato in questo test. :)

Come il prossimo test mostrera' (purtroppo sto avendo poco tempo e devo ancora finire di sistemare il mio nuovo laptop), con del codice in chiaro, non offuscato e che non venga salvato nella cache, quella signature non rilevera' nulla.
Cio' che possiamo fare e' segnalare loro il nuovo test dopo che abbiamo fatto noi qualche prova.

Come gia' detto da WS, c'e' un motivo se l'euristica di Avir rileva qualcosa di strano. Aggirata questa cosa, si ottiene comunque lo stesso effetto.

La signature è inserita nelle firme di oggi 6.39.01.60.

Quando l'hai mandato il file? Sarebbe interessante capire quanto hanno impiegato con un aggiornamento, dietro segnalazione di un customer :)

Sarebbe interessante sapere se quel file js è stato mandato ad altre softhouse ?

In questo caso non credo, perche' Avira sviluppa indipendentemente i suoi prodotti Antivirus, credo dunque di no per essere un passo avanti alla concorrenza.

Non c'è proprio nessuno che ha fatto ciò di cui sopra ?

Non ancora perche' appunto - come detto - era solo una bozza, un test con qualche idea in piu' e' ancora a venire, quindi mi sembrava prematuro discutere di queste "possibilita'" con i produttori di av ecc prima di capirne le potenzialita' e i rischi.
Non hai sbagliato comunque a segnalarlo, anche se era una bozza, perche' abbiamo avuto modo di vedere la loro reattivita' alle segnalazioni

Devo anche dire agli utenti che il files js ha impegnato non poco i tecnici Avira come mi hanno scritto
nell'e-mail di risposta.

LOL, Incolla la risposta :D
E col test a venire che fanno? Cambiano mestiere? :D

Lucas, l'ho cestinata direttamente dal monitor di e-mail....spiacente !! :muro: :muro:

porc...non riesci a recuperarla? Mi interessa sapere quanto ci hanno impiegato :D

Ho mandato il files ad analizzare la settimana passata....ma se devo ricordare precisamente il giorno.....:rolleyes: :rolleyes:
Naturalmente l'e-mail di risposta l'ho ricevuta oggi.

Dicevo se qualche utente di questo forum ha inviato ad altre case antivirus il files js......

la difficolta non sta nell'analizzare lo script ma nel decidere se aggiungerlo o no:D

la difficolta non sta nell'analizzare lo script ma nel decidere se aggiungerlo o no:D

Si infatti.;)

Ho mandato il files ad analizzare la settimana passata....ma se devo ricordare precisamente il giorno.....:rolleyes: :rolleyes:
Naturalmente l'e-mail di risposta l'ho ricevuta oggi.

Dicevo se qualche utente di questo forum ha inviato ad altre case antivirus il files js......

24 Aug 2007 20:53 +0200

clicca su -> Overview (http://analysis.avira.com/samples/details.php?uniqueid=FFVkY55s5jYkATJrkVhEGJO8B2PAqbCS) nella pagina che hai postato :D

Già che scemo c'è l'archivio e lo sapevo pure,spesso non pensiamo mica.........quindi l'invio è stato venerdì.
Grazie GmG !! :D :D

Otto arresti in Italia per Phishing,notizia riportata da PianetaPC.it:

http://www.pianetapc.it/view.php?id=968

Otto arresti in Italia per Phishing,notizia riportata da PianetaPC.it:

http://www.pianetapc.it/view.php?id=968

... ehi ma che fine ha fatto l'autore di questo thread :asd:

Otto arresti in Italia per Phishing,notizia riportata da PianetaPC.it:

http://www.pianetapc.it/view.php?id=968

ottimo :)

... ehi ma che fine ha fatto l'autore di questo thread :asd:

A preparare il prossimo test :D

Ho detto test :mbe: :stordita:

Ho "sentito" unA :D utente da CT.
Allarmatissima che il suo Antivir ha rilevato nel pc un virus "Phising Test" (ha fatto il tuo test Sisu ed io dopo l'invio ad Avira Labs non ho più provato).
Le ho spiegato "altrove" il tutto.

Complimenti Sisu hai creato......... un "MALWARE" !! :D :D :D

Ho "sentito" unA :D utente da CT.
Allarmatissima che il suo Antivir ha rilevato nel pc un virus "Phising Test" (ha fatto il tuo test Sisu ed io dopo l'invio ad Avira Labs non ho più provato).
Le ho spiegato "altrove" il tutto.

Complimenti Sisu hai creato......... un "MALWARE" !! :D :D :D

LOL, chi? dove? :D

Ho riportato su questo 3D in primis per fare una domanda:

"Ma dov'è finito SiSupoika con le sue promesse ?"

Ho anche preso spunto per fare il test in un sistema linux con installati sia Opera che Firefox.

Ebbene il risultato è sempre l'inganno dell'utente.
Il test è efficace anche nel sistema linux.

Piuttosto ho verificato che anche in Linux l'uso di Opera,almeno in pc piuttosto datati
(celeron 600 Mhz e 192 MB Ram) è molto più veloce di FF.
Naturalmente poi ci sono alcuni contro.
Ad esempio la mancata localizzazione in italiano di Opera.

Ma torniamo alla domanda iniziale,Sisu,che fine hai fatto ?:D

p.s. naturalmente questo messaggio è stato scritto con linux

Su linux-ubuntu Opera tira un po' di pare in merito alla configurazione,almeno il mio pc è visto in malo modo da opera..
per questo uso SwiftFox http://getswiftfox.com/

Piuttosto ho verificato che anche in Linux l'uso di Opera,almeno in pc piuttosto datati
(celeron 600 Mhz e 192 MB Ram) è molto più veloce di FF.
Naturalmente poi ci sono alcuni contro.
Ad esempio la mancata localizzazione in italiano di Opera.



Opera è in ita, scarica la versione international ;)

Opera è in ita, scarica la versione international ;)

A me non sembra !!

http://www.opera.com/download/index.dml?platform=linux

Comunque ho ovviato al problema scaricando ed installando il file di traduzione localizzato in ITA.

http://www.opera.com/download/languagefiles/

Anche se non è un'operazione semplicissima.....
Eliminati questi problemini (occorre anche in questo caso usare il terminale).....linux
potrebbe diffondersi rapidamente.

Ed adesso è tutta in ITA !! :D :D

Ho riportato su questo 3D in primis per fare una domanda:

"Ma dov'è finito SiSupoika con le sue promesse ?"

Ho anche preso spunto per fare il test in un sistema linux con installati sia Opera che Firefox.

Ebbene il risultato è sempre l'inganno dell'utente.
Il test è efficace anche nel sistema linux.

Piuttosto ho verificato che anche in Linux l'uso di Opera,almeno in pc piuttosto datati
(celeron 600 Mhz e 192 MB Ram) è molto più veloce di FF.
Naturalmente poi ci sono alcuni contro.
Ad esempio la mancata localizzazione in italiano di Opera.

Ma torniamo alla domanda iniziale,Sisu,che fine hai fatto ?:D

p.s. naturalmente questo messaggio è stato scritto con linux


Ciao Sampei,

ero stato sospeso 7 giorni grazie a quanto accaduto nell'altro thread. Il moderatore ha interpretato i miei commenti in pubblico come "polemica pubblica sull'operato di un moderatore".
La sospensione e' terminata due giorni fa, ma dopo quell'episodio sto leggendo questo forum di meno. :)

Comunque, tornando in topic, non ho dimenticato il test.
La "seconda versione", chiamiamola cosi', e' sul mio laptop, ma la metto online tra qualche giorno perche' ho acquistato altri servizi dal mio hoster e devo sistemare un po' di cose, lo faccio tra domani e il weekend se riesco.

A me non sembra !!

http://www.opera.com/download/index.dml?platform=linux

Comunque ho ovviato al problema scaricando ed installando il file di traduzione localizzato in ITA.

http://www.opera.com/download/languagefiles/

Anche se non è un'operazione semplicissima.....
Eliminati questi problemini (occorre anche in questo caso usare il terminale).....linux
potrebbe diffondersi rapidamente.

Ed adesso è tutta in ITA !! :D :D

non ho visto che usi la versione linux :doh:
comunque è la versione windows che è in ita :stordita:

@ Sisupoika: l'efficacia delle parole è soggetta al loro posizionamento ;)

@ Sisupoika: l'efficacia delle parole è soggetta al loro posizionamento ;)

Scusa, non ti seguo

Ciao Sampei,

ero stato sospeso 7 giorni grazie a quanto accaduto nell'altro thread. Il moderatore ha interpretato i miei commenti in pubblico come "polemica pubblica sull'operato di un moderatore".
La sospensione e' terminata due giorni fa, ma dopo quell'episodio sto leggendo questo forum di meno. :)

Comunque, tornando in topic, non ho dimenticato il test.
La "seconda versione", chiamiamola cosi', e' sul mio laptop, ma la metto online tra qualche giorno perche' ho acquistato altri servizi dal mio hoster e devo sistemare un po' di cose, lo faccio tra domani e il weekend se riesco.

Capito.
Fai con calma non c'è fretta.

non ho visto che usi la versione linux :doh:
comunque è la versione windows che è in ita :stordita:

No problem !! :D
Comunque uso anche la versione Windows......anzi se devo essere sincero
è un bel pò che io uso Opera.....:rolleyes:

p.s. La lingua ITA è ottima per la versione Linux ma rende incompatibile la funzione di aggiornamento del browser.
Francamente è anche abbastanza "noioso" installare il flash player.
Ripeto se risolveranno questi problemi nelle prossime versioni io diventerò un utente linux a tutti gli effetti,adesso sono per 3/4 utente Windows ed 1/4 Linux ma in esclusiva(con i miei 4 pc).;)

p.s. scusate l'O.T.

Scusa, non ti seguo

che se non avevo compreso correttamente il tuo discorso sicuramente la causa è da ricercare nella forma d'esposizione..
magari non era stata efficace per esprimere al meglio le tue intezioni.

questo dicevo nel precedente post, nulla di più e nulla di meno :)

Su linux-ubuntu Opera tira un po' di pare in merito alla configurazione,almeno il mio pc è visto in malo modo da opera..
per questo uso SwiftFox http://getswiftfox.com/

Non ho capito cosa intendevi Gasp......:muro: :muro:

Io uso Xubuntu e ti assicuro che Opera si apre ed usa molto velocemente.
Certo FF ha tutto pronto,ad esempio l'installazione flash player....ma preferisco avere anche come browser il "top" in fatto di sicurezza.

che se non avevo compreso correttamente il tuo discorso sicuramente la causa è da ricercare nella forma d'esposizione..
magari non era stata efficace per esprimere al meglio le tue intezioni.

questo dicevo nel precedente post, nulla di più e nulla di meno :)

A me sembra che io avessi detto chiaramente e abbastanza esplicitamente che avevo parlato pubblicamente non per fare polemica (l'avevo detto e ripetuto, e anche dalle parole da me usate non penso si avverta alcunche' di polemico - IMHO), ma perche' sperassi in un responso positivo con un miglioramento del funzionamento di questa sezione.
Quindi non so come altro avrei potuto parlarne, pubblicamente, evitando che tu fraintendessi le mie parole come accaduto.
Comunque discorso chiuso, come ti avevo gia' detto anche in privato se le mie parole hanno avuto un suono polemico nei tuoi confronti, in tua opinione, allora me ne dispiace e te ne chiedo nuovamente scusa, ma sappi che l'intenzione era ben altra.
Adesso ritorniamo IT :D

edit