Ciao a tutti,

più di una volta mi è capitato di "prendere" dei virus/malware/backdoor accedendo a dei siti che aprivano degli applet java (sul mio pc vedevo la console java che si apriva...) e per fortuna tutte le volte l'antivirus ha fatto il suo dovere.

Però mi chiedevo: è possibile gestire gli applet in modo manuale senza disabilitare del tutto il plugin sul browser? In poche parole, c'è qualche opzione che consente all'utente di accettare o meno l'esecuzione dell'applet?....

Oppure qualche altra soluzione?

Grazie.

firefox--> no script addon

e un vero firewall software (intendo non quello di windows) perchè questo integra controlli per monitorare i processi e le interazioni tra loro e verso file quindi un eventuale virus java verrebbe bloccato quando tenta modifiche al sistema.
se usi il firewall di windows non hai nessuno di questi controlli :O

Mi chiedevo la stessa indentica cosa e mi piacerebbe poter approfondire meglio. Ci sono siti che aprono in JRE programmi che scaricano ed eseguono .exe con virus, spesso anche rootkit e non capisco come facciano. Nel mio caso è successo diverse volte (l'altro giorno persino su di un famoso sito di risorse actionscript3). Ho antivirus, antimalware, UAC attivo, sicurezza browser IE9 a default, ho cercato di disattivare l'esecuzione automatica in ogni luogo che ho potuto, anche nei parametri Java. Vorrei tanto capire chi da le autorizzazioni a JRE di eseguire questi exe e soprattutto capire come inibirle.
Disattivare JRE non è una soluzione, ne tanto meno usare un browser piuttosto che un altro, ho bisogno di poter usare IE9, con tutte le sue pecche.

Grazie a tutti.

Poco fa ho scoperto che un indirizzo IP che distribuisce malware (domanda risolta in questo forum) mi voleva far aggiornare Java, ovviamente ho annullato l'operazione, ma anche in questo caso si era aperta la console Java...

che Java abbia problemi di sicurezza?

e un vero firewall software (intendo non quello di windows) perchè questo integra controlli per monitorare i processi e le interazioni tra loro e verso file quindi un eventuale virus java verrebbe bloccato quando tenta modifiche al sistema.
se usi il firewall di windows non hai nessuno di questi controlli :O

Il firewall per definizione nasce con tutt'altro scopo e non per fare da balia all'utente.

Sarebbe meglio evitare di confondere firewall con un (eventuale) modulo HIPS che è tutt'altra cosa e di certo non rientra nella definizione di firewall.

Detto ciò mi sfugge la definizione tra "vero firewall software" e "falso firewall software".

Il firewall di Windows è più che sufficiente, volendo si può configurare anche per bloccare il traffico in uscita, inoltre mi risulta che ci siano interfaccie di terze parti per controllare il tutto in maniera dinamica.


PS: java, come tutti i programmi, ha falle di sicurezza.

L'importante è tenere il software aggiornato, e soprattutto i plugin del browser disattivati qual'ora non ce ne fosse bisogno.

Personalmente ho trovato molto rara la necessità di tenere attivo il plugin Java in firefox, motivo per il quale l'ho rimosso.

no non credo proprio sia sufficente visto che l'iptables andrebbe bene in un contesto di firewall a dividere wlan da lan ma non è all'altezza all'interno di un pc perchè non pone nessun controllo per controllare gli exe appartenenti alle regole autorizzate.
in parole semplici il firewall non sente il cambio degli exe o se un processo comanda un determinato processo.
un hips può essere anche un programma a parte come può essere un modulo in essere ad un firewall software, così può anche accorpare controlli comportamentali, cio non toglie che rimane un firewall software ed è più efficente del firewall di windows e quello del router.

la definizione di falso firewall la lascio a te visto che non mi appartiene ;)

Vi ringrazio per le risposte, e sono d'accordo con voi che sia sempre buona pratica utilizzare tutti gli strumenti per proteggersi, che siano veri e propri firewall di rete oppure software a livello applicativo, però mi piacerebbe in questa discussione arrivare ad una comprensione maggiore di cosa viene messo in atto durante l'infezione piuttosto che raggiungere in qualche modo il risultato di non farsi infettare.
E' chiaro che un'applicazione terza che si occupi di monitorare cosa succede per prevenire problemi sia una filosofia corretta, ma per quale motivo, con tutte le rotture di scatole che comportano le varie protezioni messe in atto da OS, che non ti lascia nemmeno eseguire un'applicazione di sistema se non sei admin e i browser che non ti lasciano tra poco nemmeno visitare le pagine disattivando qua e là javascript, activex, disattivano il download di .exe, certificati in tutti i sensi... basta visitare un sito infetto da questi meccanismi e viene tutto tranquillamente bypassato in un microsecondo? Basta cliccare su di un link e senza che nemmeno te ne accorgi sei infetto, nonostante antivirus e varie protezioni, perchè java scarica ed esegue senza domande .exe in locale, senza bisogno di interazioni dell'utente. In genere viene richiesta se la fonte è sicura e se vado su di un sito sicuro lo chiede, mentre in questi casi no.
Vorrei capire se è una falla di JRE, ma mi sembra strano perchè è tutto aggiornato e questi virus sono anni che li vedo entrare così, possibile non ci sia una patch ancora?

non credo si possa imputare la questione ad un baco di java (o per lo meno non sempre) perchè in realtà non è un suo baco. quando entri su una di queste pagine congeniate per infettare i visitatori (che siano siti autorevoli ma defacciati o che siano siti maligni ma visitati per errore, all'atto pratico poco cambia) il codice javascript presente ed eseguito dal browser da l'ordine di interpellare un programma ben preciso per eseguire una serie di comandi. il programma può essere flashplayer, acrobat reader, realplayer, quicktime, java,...
questi software di cornice spesso viene lasciato per dimenticanza a versioni vecchie ed obsolete quindi vengono sfruttati di fatto bachi inerenti a questi programmi per scaricare ed eseguire autonomamente codice arbitrario con il quale fare la scalata dei privilegi e dare corso all'infezione.

il meccanismo comunque è un po' complesso ma stringendo stringendo e semplificando possiamo dire che in sostanza è questo.
ovviamente se questi software di cornice fossero sempre aggiornatissimi i rischi diminuirebbero in modo esponenziale anche senza un firewall attivo perchè il meccanismo non avrebbe un vettore di infezione su cui agganciarsi :)

no non credo proprio sia sufficente visto che l'iptables andrebbe bene in un contesto di firewall a dividere wlan da lan ma non è all'altezza all'interno di un pc perchè non pone nessun controllo per controllare gli exe appartenenti alle regole autorizzate.
in parole semplici il firewall non sente il cambio degli exe o se un processo comanda un determinato processo.
un hips può essere anche un programma a parte come può essere un modulo in essere ad un firewall software, così può anche accorpare controlli comportamentali, cio non toglie che rimane un firewall software ed è più efficente del firewall di windows e quello del router.

la definizione di falso firewall la lascio a te visto che non mi appartiene ;)

Il firewall nasce per impedire accessi autorizzati tramite la rete, tutto quello che è stato aggiunto dopo non rientra strettamente nella definizione di firewall, il fatto che ti diano moduli insieme al firewall non fa di loro "il firewall".

Tra l'altro il firewall di Windows, al contrario di iptables, supporta la possibilità di specificare direttamente tra le impostazioni quale eseguibile bloccare e quale no.

Questo chiaramente pone delle problematiche, ad esempio cosa succede se l'eseguibile viene cambiato con uno maligno? Si può pensare di usare un digest sul file, ma in caso di aggiornamenti?

Quello che servirebbe realmente è un framework per integrare il tutto con gli sviluppatori, c'è un aggiornamento ufficiale di un programma lecito? La regola viene aggiornata.

Sull'efficienza degli HIPS (specie se parliamo di ciò che mi offrono collegato alle prestazioni) dissento totalmente.

E' vero che bisogna agire a livello comportamentale, ma bisogna decidere il livello di paranoia, e questo è soggettivo.

La verità è che bisogna prevenire, e prevenire significa cambiare la testa dell'utente e non affidarsi completamente a dei software che prima o poi verranno bucati.

E' proprio sul comportamento e la buona amministrazione che sto cercando di puntare il mio discorso. Ma per raggiungere questo devo sentirmi padrone di cosa il browser consente o non consente.
Ogni volta sono stato infettato da una Applet Java che scaricava ed eseguiva un exe. Voglio evitarlo e non posso credere che non esista una policy che dica che gli exe non li deve scaricare.

Inoltre ho già disabilitato su IE in Sicurezza -> Internet -> Livello personalizzato -> Esecuzione Script delle applet Java, ma JRE continua ad eseguirsi automaticamente senza chiedere consensi.

Come faccio a visitare una pagina come questa (E' solo un esempio di applet) e a non far partire la JRE? Vorrei mi chiedesse di essere eseguita come fanno gli ActiveX.

http://mainline.brynmawr.edu/Courses/cs110/spring2002/Applets/PieChart/PieChart.html

Grazie

Il firewall nasce per impedire accessi autorizzati tramite la rete, tutto quello che è stato aggiunto dopo non rientra strettamente nella definizione di firewall, il fatto che ti diano moduli insieme al firewall non fa di loro "il firewall".

Tra l'altro il firewall di Windows, al contrario di iptables, supporta la possibilità di specificare direttamente tra le impostazioni quale eseguibile bloccare e quale no.

Questo chiaramente pone delle problematiche, ad esempio cosa succede se l'eseguibile viene cambiato con uno maligno? Si può pensare di usare un digest sul file, ma in caso di aggiornamenti?

Quello che servirebbe realmente è un framework per integrare il tutto con gli sviluppatori, c'è un aggiornamento ufficiale di un programma lecito? La regola viene aggiornata.

Sull'efficienza degli HIPS (specie se parliamo di ciò che mi offrono collegato alle prestazioni) dissento totalmente.

E' vero che bisogna agire a livello comportamentale, ma bisogna decidere il livello di paranoia, e questo è soggettivo.

La verità è che bisogna prevenire, e prevenire significa cambiare la testa dell'utente e non affidarsi completamente a dei software che prima o poi verranno bucati.

passano gli anni, le minacce si evolvono e di conseguenza anche i firewall per stare al passo con i tempi. in un mondo dove non ci sono più confini ben definiti tra le categorie di minacce virali gli antivirus non si limitano a fare l'antivirus e i firewall non si limitano a fare il firewall.
comunque sei OT