Link alla notizia: http://www.hwfiles.it/news/compromessi-alcuni-server-di-produzione-di-adobe_43975.html

Nella giornata di ieri Adobe ha diffuso la notizia che alcuni pirati informatici sarebbero riusciti ad intrufolarsi in uno dei server di produzione e sarebbero stati in grado di firmare digitalmente alcuni software nocivi

Click sul link per visualizzare la notizia.

Ecco, magari io sono ipercritico ma...

Verisign, dal canto suo, ha dichiarato che rilascerà la Certificate Revocation List (CRL) aggiornata il prossimo 4 ottobre.


cioè, Verisign SUL SERIO intende aspettare UNA SETTIMANA prima di revocare certificati in possesso di un "big" come Adobe?
Hanno idea di quanti download di prodotti contraffatti potrebbero essere fatti in una settimana? Che concetto hanno questi di "certificazione" e "sicurezza"?
:muro:

Ecco, magari io sono ipercritico ma...


cioè, Verisign SUL SERIO intende aspettare UNA SETTIMANA prima di revocare certificati in possesso di un "big" come Adobe?
Hanno idea di quanti download di prodotti contraffatti potrebbero essere fatti in una settimana? Che concetto hanno questi di "certificazione" e "sicurezza"?
:muro:

in effetti è abbastanza scandalosa come tempistica, per non parlare della figuraccia

il discorso finalde degli antivirus è ridicolo..
cioè, l'uso dell'antivirus è esso stesso inutile ai fini della sicurezza, quindi
affidarsi ad esso è una soluzione molto lamer, comprensibile se espressa dall'ut0nto di turno, ridicola per l'appunto se espressa da adobe :asd:

il discorso finalde degli antivirus è ridicolo..
cioè, l'uso dell'antivirus è esso stesso inutile ai fini della sicurezza, quindi
affidarsi ad esso è una soluzione molto lamer, comprensibile se espressa dall'ut0nto di turno, ridicola per l'appunto se espressa da adobe :asd:

Riesci ad argomentare un po meglio questa tua affermazione risibile oppure è tutto qui il tuo pensiero e ti limiti semplicemente ad etichettare come ridicolo un pensiero che è invece decisamente importante?

Riesci ad argomentare un po meglio questa tua affermazione risibile oppure è tutto qui il tuo pensiero e ti limiti semplicemente ad etichettare come ridicolo un pensiero che è invece decisamente importante?

certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio ;)

certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio ;)
Scusa ma sei rimasto agli antivirus per DOS?
Un antivirus serio odierno analizza l'eseguibile alla ricerca dei pattern conosciuti di virus, nonché un'analisi euristica del suo comportamento.
Non si ferma certo a un certificato considerato affidabile.

Scusa ma sei rimasto agli antivirus per DOS?
Un antivirus serio odierno analizza l'eseguibile alla ricerca dei pattern conosciuti di virus, nonché un'analisi euristica del suo comportamento.
Non si ferma certo a un certificato considerato affidabile.

quindi un antivirus riconsce il mio server stealth ftp scritto in c++?
non credo proprio che scatti un alert, ma se vuoi facciamo la prova :D

certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio ;)


Credo che possa bastare come esempio? Quale esempio? Questo ti sembra un esempio?

Praticamente due parole dette da te senza uno straccio di prova o spiegazione tecnica sarebbe un esempio? :asd:

Continua a scrivere il server STEALTH ftp che è meglio va :asd:

quindi un antivirus riconsce il mio server stealth ftp scritto in c++?
non credo proprio che scatti un alert, ma se vuoi facciamo la prova :D
Un buon antivirus analizza il comportamento di qualunque eseguibile o servizio sulla macchina, e notifica azioni "strane" o li blocca.
Poi cosa cambia il linguaggio di programmazione ai fini del riconoscimento?
Potresti scriverlo anche in Visual Basic o in ASM...

ragazzi voi sopravvalutate gli antivirus.
non servono a na mazza, qualsiasi programma che si finge innocuo, di cui non si conosce la firma (xchè l'ho scritto io), agisce in maniera indiscriminata..

il mio server ftp, esempio banale ma molto calzante, aggira qualsiasi antivirus.

@Chukie: non ho capito cosa altro ti serve, un antivirus non riconosce un programma che agisce in modo banale come un server ftp, a meno che questo non sia gia stato inserito nel db delle firme, ed è questa la triste realtà; siete alla stregua della celerità di chi ha prodotto il vs. antivirus.
le misure "proattive" sono solo bei paroloni per prendervi in giro, non si spiega come mai TUTTI I MIEI CLIENTI hanno un antivirus e TUTTI I MIEI
CLIENTI sono infettati periodicamente...
vogliamo continuare? o magari volete un Proof of concept per denigrare il vs antivirus?

ragazzi voi sopravvalutate gli antivirus.
non servono a na mazza, qualsiasi programma che si finge innocuo, di cui non si conosce la firma (xchè l'ho scritto io), agisce in maniera indiscriminata..

Ancora non sai o fai finta di non sapere che i buoni antivirus odierni non si fermano all'analisi "sulla firma", ma eseguono anche un'analisi del suo comportamento, e per uno che dice di avere clienti è una cosa grave.

ragazzi voi sopravvalutate gli antivirus.
non servono a na mazza, qualsiasi programma che si finge innocuo, di cui non si conosce la firma (xchè l'ho scritto io), agisce in maniera indiscriminata..

il mio server ftp, esempio banale ma molto calzante, aggira qualsiasi antivirus.

@Chukie: non ho capito cosa altro ti serve, un antivirus non riconosce un programma che agisce in modo banale come un server ftp, a meno che questo non sia gia stato inserito nel db delle firme, ed è questa la triste realtà; siete alla stregua della celerità di chi ha prodotto il vs. antivirus.
le misure "proattive" sono solo bei paroloni per prendervi in giro, non si spiega come mai TUTTI I MIEI CLIENTI hanno un antivirus e TUTTI I MIEI
CLIENTI sono infettati periodicamente...
vogliamo continuare? o magari volete un Proof of concept per denigrare il vs antivirus?

Insisti. Cosa ha fatto il tuo server FTP per essere nocivo esattamente? Filezilla cosa fa di nocivo per essere identificato da un antivirus? Perché è un server FTP?

Ma sai di cosa parli?

E visto che continui a parlare, dimmi un po: come ti accorgi se un file è infetto senza antivirus? Superpoteri? Spiegaci i passaggi tecnici che fai per piacere, siamo tutti curiosi

Ancora non sai o fai finta di non sapere che i buoni antivirus odierni non si fermano all'analisi "sulla firma", ma eseguono anche un'analisi del suo comportamento, e per uno che dice di avere clienti è una cosa grave.

il comportamento? tutte chiacchiere, io apro qualsiasi porta con 2 righe di codice senza che l'av batta ciglio...
ma davvero ce credete? :asd:

Insisti. Cosa ha fatto il tuo server FTP per essere nocivo esattamente? Filezilla cosa fa di nocivo per essere identificato da un antivirus? Perché è un server FTP?

Ma sai di cosa parli?


Insisto si, un server ftp puro tu lo chiameresti "programma nocivo"?
io decisamente si, visto che mi consente di entrare nel pc remoto coi diritti del poveraccio munito di antivirus :sbonk:
io posso scriverti un .exe dropparlo sui server di adobe compromessi e te, installandoti una loro applicazione, ti ritroveresti un demone ftp bello pronto ed IGNORATO da qualsiasi AV.
proprio xchè nessun AV potrebbe riconoscere il mio demone come nocivo, avendolo scritto io e soprattutto non assumendo questo alcun comportamento "strano", semplicemente apre la porta 21 in listening su TCP..

ti pare poco?
se ti pare poco lascia stare non te ne intendi di sicurezza e quindi non ci arriveresti mai

E visto che continui a parlare, dimmi un po: come ti accorgi se un file è infetto senza antivirus? Superpoteri? Spiegaci i passaggi tecnici che fai per piacere, siamo tutti curiosi
e cosa c'entra questo adesso? :asd: parlavamo di adobe e della totale inefficacia dei suoi metodi (antivirus :doh: ) per arginare i danni nefasti..
io non ho questi problemi dal momento che i miei super poteri sono quelli di APT, ossia i poteri della super mucca! (traduzione per profani: uso debian) :D
e quando uso windows mi limito a giocare senza aprire browser, poichè nulla (neanche un antivirus) può impedire il drop in locale di porcate che sfruttano gli n-mila exploit su ajax-javascript-jdk che infestano i browser su win32..

Insisto si, un server ftp puro tu lo chiameresti "programma nocivo"?
io decisamente si, visto che mi consente di entrare nel pc remoto coi diritti del poveraccio munito di antivirus :sbonk:
io posso scriverti un .exe dropparlo sui server di adobe compromessi e te, installandoti una loro applicazione, ti ritroveresti un demone ftp bello pronto ed IGNORATO da qualsiasi AV.
proprio xchè nessun AV potrebbe riconoscere il mio demone come nocivo, avendolo scritto io e soprattutto non assumendo questo alcun comportamento "strano", semplicemente apre la porta 21 in listening su TCP..

ti pare poco?
se ti pare poco lascia stare non te ne intendi di sicurezza e quindi non ci arriveresti mai


Primo: non hai la minima idea di quale lavoro io faccia. Ma è inutile che te lo faccia notare se ti sei permesso di fare quest'affermazione nell'ultima frase, evidentemente ti senti un supereroe

Secondo: non hai ancora risposto alla domanda. Quindi Filezilla deve essere considerato un programma nocivo? Non hai la minima idea del significato della parola "contesto"

Terzo: sei così avanti nel mondo della sicurezza informatica che ti preoccupa un server FTP, quando oggi sono praticamente tutti dietro NAT. E invece neanche citi una connessione inversa :rolleyes:


e cosa c'entra questo adesso? :asd: parlavamo di adobe e della totale inefficacia dei suoi metodi (antivirus :doh: ) per arginare i danni nefasti..
io non ho questi problemi dal momento che i miei super poteri sono quelli di APT, ossia i poteri della super mucca! (traduzione per profani: uso debian) :D
e quando uso windows mi limito a giocare senza aprire browser, poichè nulla (neanche un antivirus) può impedire il drop in locale di porcate che sfruttano gli n-mila exploit su ajax-javascript-jdk che infestano i browser su win32..

Cosa c'entra? Stai sbandierando ai quattro venti che gli antivirus sono inutili e non sai rispondere alla domanda posta :asd:

parlavamo di adobe e della totale inefficacia dei suoi metodi (antivirus :doh: ) per arginare i danni nefasti

Ah, da quando Adobe fa gli antivirus? :asd:

io non ho questi problemi dal momento che i miei super poteri sono quelli di APT, ossia i poteri della super mucca!

Quindi ti fidi dei repository. Cosa succede se un repository viene compromesso? D'altronde come può essere compromesso un server di Adobe può essere compromesso un repository. Quindi che fai?

Bah :asd:

Primo: non hai la minima idea di quale lavoro io faccia. Ma è inutile che te lo faccia notare se ti sei permesso di fare quest'affermazione nell'ultima frase, evidentemente ti senti un supereroe

Secondo: non hai ancora risposto alla domanda. Quindi Filezilla deve essere considerato un programma nocivo? Non hai la minima idea del significato della parola "contesto"

Terzo: sei così avanti nel mondo della sicurezza informatica che ti preoccupa un server FTP, quando oggi sono praticamente tutti dietro NAT. E invece neanche citi una connessione inversa :rolleyes:



Cosa c'entra? Stai sbandierando ai quattro venti che gli antivirus sono inutili e non sai rispondere alla domanda posta :asd:

parlavamo di adobe e della totale inefficacia dei suoi metodi (antivirus :doh: ) per arginare i danni nefasti

Ah, da quando Adobe fa gli antivirus? :asd:

io non ho questi problemi dal momento che i miei super poteri sono quelli di APT, ossia i poteri della super mucca!

Quindi ti fidi dei repository. Cosa succede se un repository viene compromesso? D'altronde come può essere compromesso un server di Adobe può essere compromesso un repository. Quindi che fai?

Bah :asd:
allora non volevo sicuramente offenderti ci mancherebbe :mano:
secondo :D filezilla è un CLIENT ftp, non un server..
terzo: il server ftp nascosto, con o senza NAT, resta un programma nocivo

adobe se leggi la news ha adoperato/suggerito un antivirus per arginare il discorso firme contraffatte, ecco xchè mi sono agganciato al concetto di AV.
si mi fido molto dei repository, ma quelli ufficiali debian, prova a violarlo se ci riesci :asd: parliamo di debian STABLE eh, mica de windows 2000 server ;)

Ancora non sai o fai finta di non sapere che i buoni antivirus odierni non si fermano all'analisi "sulla firma", ma eseguono anche un'analisi del suo comportamento, e per uno che dice di avere clienti è una cosa grave.

vero ma non è onnipresente ovvero un antivirus rileva pattern (o firme che si vuole) sia di byte indicativi di uno specifico virus che pattern di comportamento anomalo (tentativi di mascheramento, accesso mbr ecc ecc ) ma non può in qualsiasi caso distinguere tra un programma nocivo o meno ovvero prendi l'esempio banale di teamviewer o un qualsiasi sw di controllo remoto, sono programmi che hanno danno un accesso praticamente completo ad una macchina remota e non sono bloccati da un antivirus, è il principio dei trojan ovvero programmi che hanno una funzione utile a cui è attaccato un altro comportamento indesiderato

giusto per correttezza di informazione

http://filezilla-project.org/download.php?type=server

vero ma non è onnipresente ovvero un antivirus rileva pattern (o firme che si vuole) sia di byte indicativi di uno specifico virus che pattern di comportamento anomalo (tentativi di mascheramento, accesso mbr ecc ecc ) ma non può in qualsiasi caso distinguere tra un programma nocivo o meno ovvero prendi l'esempio banale di teamviewer o un qualsiasi sw di controllo remoto, sono programmi che hanno danno un accesso praticamente completo ad una macchina remota e non sono bloccati da un antivirus, è il principio dei trojan ovvero programmi che hanno una funzione utile a cui è attaccato un altro comportamento indesiderato

sagge parole :O

giusto per correttezza di informazione

http://filezilla-project.org/download.php?type=server

ah beh allora si che può essere nocivo :D
basta prendere il sorgente (open) ed acchitarlo per farlo partire stealth

allora non volevo sicuramente offenderti ci mancherebbe :mano:
secondo :D filezilla è un CLIENT ftp, non un server..
terzo: il server ftp nascosto, con o senza NAT, resta un programma nocivo

adobe se leggi la news ha adoperato/suggerito un antivirus per arginare il discorso firme contraffatte, ecco xchè mi sono agganciato al concetto di AV.
si mi fido molto dei repository, ma quelli ufficiali debian, prova a violarlo se ci riesci :asd: parliamo di debian STABLE eh, mica de windows 2000 server ;)


1) :mano:
2) Io vedo un bel "Download FileZilla server" nella home page di FileZilla :D
3) Bisogna definire la parola nascosto. Proprio perché è nascosto può far scattare l'antivirus, che invece avrebbe più difficoltà nell'identificare la minaccia se il server FTP fosse totalmente visibile all'utente

4) Adobe non ha detto di utilizzare un antivirus per arginare il problema delle firme contraffatte

a) Innanzitutto è stata una società italiana di sicurezza a commentare l'accaduto e non Adobe
b) Il commento affermava semplicemente che, in generale, non bisogna fidarsi esclusivamente delle firme digitali ma utilizzare anche un software antivirus che fa un controllo approfondito dell'intero codice del programma, non si ferma alla sola firma digitale

5) 5 di 8 server di produzione di Ubuntu sono stati compromessi in passato (11 Agosto 2007), niente è sicuro al 100%, neanche i server di Debian. Tuttavia non capisco questa affermazione, e cioè: per quale motivo i server di Debian sono sicurissimi e quelli di Microsoft sono invece una sporcizia? Questa tua affermazione mi puzza di fanboy, il che renderebbe più chiara tutta questa discussione

6) Dato per assunto che i server di Debian non verranno mai compromessi, chi ti da la sicurezza che i pacchetti che vengono caricati lì non siano stati compromessi invece all'origine? Nei PC degli sviluppatori? Un antivirus avrebbe qualche chance di accorgersene, tu invece?

ma non può in qualsiasi caso distinguere tra un programma nocivo o meno ovvero prendi l'esempio banale di teamviewer o un qualsiasi sw di controllo remoto, sono programmi che hanno danno un accesso praticamente completo ad una macchina remota e non sono bloccati da un antivirus

Non sono bloccati da un antivirus perché tali società che producono software di controllo remoto sono in contatto con i produttori di antivirus, e chiedono di mettere i propri prodotti in una whitelist. Altrimenti verrebbero bloccati dall'analisi comportamentale.

È vero, un software antivirus non è la panacea contro tutti i mali, nessuno dice questo. Ma è altresì vero che aggiunge un livello di protezione che l'occhio umano altrimenti non riuscirebbe ad avere da solo

1) :mano:
2) Io vedo un bel "Download FileZilla server" nella home page di FileZilla :D
3) Bisogna definire la parola nascosto. Proprio perché è nascosto può far scattare l'antivirus, che invece avrebbe più difficoltà nell'identificare la minaccia se il server FTP fosse totalmente visibile all'utente

lol, nascosto vuol dire che parte in background senza icone popup ecc,
comportamento assolutamente normale per ogni AV, quindi inarrestabile :D

4) Adobe non ha detto di utilizzare un antivirus per arginare il problema delle firme contraffatte

a) Innanzitutto è stata una società italiana di sicurezza a commentare l'accaduto e non Adobe
b) Il commento affermava semplicemente che, in generale, non bisogna fidarsi esclusivamente delle firme digitali ma utilizzare anche un software antivirus che fa un controllo approfondito dell'intero codice del programma, non si ferma alla sola firma digitale

5) 5 di 8 server di produzione di Ubuntu sono stati compromessi in passato (11 Agosto 2007), niente è sicuro al 100%, neanche i server di Debian. Tuttavia non capisco questa affermazione, e cioè: per quale motivo i server di Debian sono sicurissimi e quelli di Microsoft sono invece una sporcizia? Questa tua affermazione mi puzza di fanboy, il che renderebbe più chiara tutta questa discussione
paragonare ubuntu (che ha come core debian SID) a debian Stable è, quanto meno, eretico :D
non sono fanboy di linux, se vedi nella firma uso tutti gli OS, sono un OS-dipendente, ho pure BSD pensa te :asd:

lol, nascosto vuol dire che parte in background senza icone popup ecc,
comportamento assolutamente normale per ogni AV, quindi inarrestabile :D


Quindi questa è la dimostrazione che un antivirus è inutile?


paragonare ubuntu (che ha come core debian SID) a debian Stable è, quanto meno, eretico :D

C'è sempre la domanda n.6 che purtroppo ho aggiunto in coda

Non sono bloccati da un antivirus perché tali società che producono software di controllo remoto sono in contatto con i produttori di antivirus, e chiedono di mettere i propri prodotti in una whitelist. Altrimenti verrebbero bloccati dall'analisi comportamentale.

È vero, un software antivirus non è la panacea contro tutti i mali, nessuno dice questo. Ma è altresì vero che aggiunge un livello di protezione che l'occhio umano altrimenti non riuscirebbe ad avere da solo

diciamo un "senso di protezione", come il bimbomk che si stringe il portatile al petto che si vede nelle confezioni di norton AV :asd:
perchè, effettivamente, un AV è aggirabile davvero in pochi movimenti, è evidente, se no come spiegheresti la folla di gente il cui pc è compromesso MALGRADO la presenza di un AV? :read:

diciamo un "senso di protezione", come il bimbomk che si stringe il portatile al petto che si vede nelle confezioni di norton AV :asd:
perchè, effettivamente, un AV è aggirabile davvero in pochi movimenti, è evidente, se no come spiegheresti la folla di gente il cui pc è compromesso MALGRADO la presenza di un AV? :read:

Forte disinformazione, come quella che si fa quando si continua ad affermare che un antivirus è inutile.

Quindi siccome mi posso vestire da persona onesta, senza dare nell'occhio, ingannando così le forze dell'ordine, questo significa che le forze dell'ordine sono inutili?

Gran bel sillogismo, non fa una piega :asd:

Quindi questa è la dimostrazione che un antivirus è inutile?

alla prova dei fatti, si.
molto fumo e poco arrosto

C'è sempre la domanda n.6 che purtroppo ho aggiunto in coda

lo so sono troppo veloce :D , mo me la leggo

6) Dato per assunto che i server di Debian non verranno mai compromessi, chi ti da la sicurezza che i pacchetti che vengono caricati lì non siano stati compromessi invece all'origine? Nei PC degli sviluppatori? Un antivirus avrebbe qualche chance di accorgersene, tu invece?

un AV non ha proprio chance invece, a meno che il lamer di turno non ha inserito virus tipo nimda iloveyou o porcate evidenti, ma un rm -rf vallo a fermare coll'antivirus :asd:

mentre con protezioni molto meno automatiche come l'hashing in md5 che deve essere uguale per ogni repo, il senso di sicurezza è molto più certo ;)

Non sono bloccati da un antivirus perché tali società che producono software di controllo remoto sono in contatto con i produttori di antivirus, e chiedono di mettere i propri prodotti in una whitelist. Altrimenti verrebbero bloccati dall'analisi comportamentale.

È vero, un software antivirus non è la panacea contro tutti i mali, nessuno dice questo. Ma è altresì vero che aggiunge un livello di protezione che l'occhio umano altrimenti non riuscirebbe ad avere da solo

no, mi dispiace ma non è come credi visto che l'antivirus non rileva neanche software creati da me e progettati per connettersi all'esterno con parecchie porte aperte

Un antivirus non è onnipotente riesce solo ad individuare quello per cui è stato programmato di rilevare ma un funzionamento lecito può essere utilizzato anche per scopi illeciti (l'ftp è un ottimo esempio in questo: per l'antivirus che tu stia usando filezilla oppure una Uber calcolatrice sberluccicante che mentre che la usi upload l'intera cartella documenti su un server (trojan) per lui è la stessa identica cosa

Non sono bloccati da un antivirus perché tali società che producono software di controllo remoto sono in contatto con i produttori di antivirus, e chiedono di mettere i propri prodotti in una whitelist. Altrimenti verrebbero bloccati dall'analisi comportamentale.

È vero, un software antivirus non è la panacea contro tutti i mali, nessuno dice questo. Ma è altresì vero che aggiunge un livello di protezione che l'occhio umano altrimenti non riuscirebbe ad avere da solo

A tal proposito, mi sono scordato di aggiungerlo prima, molte volte le società di antivirus si sono trovate a dover correre ai ripari e rimuovere dalle individuazioni questi software (tipo teamviewer), proprio perché veniva individuato dai propri software antivirus per il comportamento potenzialmente nocivo e invece non doveva essere individuato :)

Forte disinformazione, come quella che si fa quando si continua ad affermare che un antivirus è inutile.

Quindi siccome mi posso vestire da persona onesta, senza dare nell'occhio, ingannando così le forze dell'ordine, questo significa che le forze dell'ordine sono inutili?

Gran bel sillogismo, non fa una piega :asd:

hai letto l'esempio di fazz, molto calzante:
prendi teamviewer, ma anche l'rdp che è abilitato di default (basta triggerare una chiave del registro negli os client tipo vista/7)
questi sono buchi devastanti ignorati totalmente dall'av di turno.

è solo un modo come un altro per cui gli av si dimostrano sufficientemente inutili per come sono aggirabili.

l'esempio del mariuolo che scappa dal brigadiere a parte farmi ridere non lo vedo molto pertinente :asd:

no, mi dispiace ma non è come credi visto che l'antivirus non rileva neanche software creati da me e progettati per connettersi all'esterno con parecchie porte aperte

Un antivirus non è onnipotente riesce solo ad individuare quello per cui è stato programmato di rilevare ma un funzionamento lecito può essere utilizzato anche per scopi illeciti (l'ftp è un ottimo esempio in questo: per l'antivirus che tu stia usando filezilla oppure una Uber calcolatrice sberluccicante che mentre che la usi upload l'intera cartella documenti su un server (trojan) per lui è la stessa identica cosa

Non credi di star facendo disinformazione così? Sei tu che stai affermando che l'antivirus NON è onnipotente, ma chi ha affermato il contrario? Quindi la tua logica deduzione è che sono inutili?

Per quanto riguarda i tuoi software, magari cambia antivirus ;) Dipende da software a software e come sono progettati. E ti assicuro che è invece così per software quali TeamViewer

l'esempio del mariuolo che scappa dal brigadiere a parte farmi ridere non lo vedo molto pertinente :asd:

Per quale motivo? Spiega. No perché magari fai ridere anche me, visto che c'è un motivo per i quali i software antivirus sono identificati come "la polizia del web"

è solo un modo come un altro per cui gli av si dimostrano sufficientemente inutili per come sono aggirabili.


Ancora sto attendendo la tua spiegazione su come individui un file infetto da un virus, senza antivirus

mentre con protezioni molto meno automatiche come l'hashing in md5 che deve essere uguale per ogni repo, il senso di sicurezza è molto più certo ;)

Aridaje :asd: Se il problema è all'origine, hai voglia a fare l'hashing in md5 ;)

Ancora sto attendendo la tua spiegazione su come individui un file infetto da un virus, senza antivirus

beh dipende dal comportamento assunto dal virus di turno...
conoscendo a memoria il nome e numero di processi in ram, oltre che le porte aperte dei relativi demoni, IO sono l'antivirus del mio pc :D
non sarò infallibile al 100% ma DI SICURO un demone che mi apre la 21 in TCP IO LO BECCO SUBITO :asd:

beh dipende dal comportamento assunto dal virus di turno...
conoscendo a memoria il nome e numero di processi in ram, oltre che le porte aperte dei relativi demoni, IO sono l'antivirus del mio pc :D
non sarò infallibile al 100% ma DI SICURO un demone che mi apre la 21 in TCP IO LO BECCO SUBITO :asd:

ma come, non lo sai che non hanno bisogno di un processo a sé stante? Ma come, non lo sai che non hanno bisogno di mettersi in ascolto su nessuna porta per poter comunicare e ricevere comandi dall'esterno?

O mamma, e adesso il ps aux e il netstat come fanno ad aiutarti? ;) :asd:

Aridaje :asd: Se il problema è all'origine, hai voglia a fare l'hashing in md5 ;)

un .deb compromesso lo trovi su un repo, mentre negli altri 1000 non sono compromessi..
a meno che tu non stia insinuando che, lo sviluppatore abbia inserito del codice sorgente per fare danni, ma questa è una cosa che nè me nè alcun software potrebbe mai arginare...
o meglio, io umano se avessi pazienza e leggessi il sorgente, POTENZIALMENTE potrei accorgermene (un socket aperto sulla porta 21 sarebbe molto sospetto), un antivirus stanne certo mai :D

ma come, non lo sai che non hanno bisogno di un processo a sé stante? Ma come, non lo sai che non hanno bisogno di mettersi in ascolto su nessuna porta per poter comunicare e ricevere comandi dall'esterno?

O mamma, e adesso il ps aux e il netstat come fanno ad aiutarti? ;) :asd:

perchè un demone che parte ed ascolta comandi non può non aprire un socket... non so dove tu abbia letto st'ultima panzanata...
anche Xorg apre un socket , pure se lo fai partire con la -nolistening

o meglio, io umano se avessi pazienza e leggessi il sorgente, POTENZIALMENTE potrei accorgermene (un socket aperto sulla porta 21 sarebbe molto sospetto), un antivirus stanne certo mai :D

Ah si, sei in una botte di ferro :asd:

Io non insinuo, io te la do per certa come cosa, e non perché lo sviluppatore abbia cattive intenzioni. Semplicemente è successo più di una volta di PC infetti da una tipologia di virus che modificava il compiler prima che i sorgenti venissero ricompilati - a volte anche i sorgenti stessi, all'insaputa del programmatore stesso.

Lì l'antivirus se n'è accorto, le singole persone no ;)

Non credi di star facendo disinformazione così? Sei tu che stai affermando che l'antivirus NON è onnipotente, ma chi ha affermato il contrario? Quindi la tua logica deduzione è che sono inutili?

Per quanto riguarda i tuoi software, magari cambia antivirus ;) Dipende da software a software e come sono progettati

Io non faccio disinformazione, semmai è il contrario,visto che sei tu che affermi che un antivirus rileva qualsiasi comportamento illecito grazie alle uber-sfera-di-cristallo routine di rilevamento comportamentale

Io ho solo tentato di spiegarti come funziona un antivirus ovvero è un software progettato per individuare particolari sequenza di bit / azioni di un software che un esperto di sicurezza gli ha impostato ma, è qui viene il succo della questione, è un software, una macchina senza intelligenza che non può discernere se un azione lecita viene utilizzata illecitamente.


tralasciamo poi il mirror climbing sulle deduzioni illogiche messi li solo per tentare di stravolegere il senso del mio discorso mettendomi in bocca parole che mai ho detto, io non ho mai detto che un antivirus è inutile, ho detto che è utile in quanto protegge da una serie di minacce ma non si può usarlo come copertina di linus (aka: faccio quello che voglio tanto c'è l'antivirus mi protegge) perchè come ho (a quanto vedo inutilmente) tentato di spiegarti non c'è nessuna routine euristica che possa rilevare un trojan, cosa che ti ha tentato di spiegare pure lukeilbello, una volta che un programma viene eseguito e l'utente concede il grant, il programma può tranquillamente fare quello che vuole anche piallare un disco o una directory fondamentale visto che è un comportamento lecito

perchè un demone che parte ed ascolta comandi non può non aprire un socket... non so dove tu abbia letto st'ultima panzanata...
anche Xorg apre un socket , pure se lo fai partire con la -nolistening

ascolta comandi. Chi l'ha detto che deve ascoltare comandi per poterne ricevere? Ecco perché ti dico che non ci si può improvvisare esperti di qualcosa che non si conosce ;)

Non credi di star facendo disinformazione così? Sei tu che stai affermando che l'antivirus NON è onnipotente, ma chi ha affermato il contrario? Quindi la tua logica deduzione è che sono inutili?

no invece, ha totalmente ragione, la disinformazione la fate voi powa users che vi affidate agli AV :asd:

ascolta comandi. Chi l'ha detto che deve ascoltare comandi per poterne ricevere? Ecco perché ti dico che non ci si può improvvisare esperti di qualcosa che non si conosce ;)

:confused: adesso questa ce la spieghi, prendo i pop corn mentre prepari la lezione :asd:

ma come, non lo sai che non hanno bisogno di un processo a sé stante? Ma come, non lo sai che non hanno bisogno di mettersi in ascolto su nessuna porta per poter comunicare e ricevere comandi dall'esterno?

O mamma, e adesso il ps aux e il netstat come fanno ad aiutarti? ;) :asd:

infatti esistono i famosi programmi a piccioni viaggiatori dove piccioni ammaestrati entrano dalla finestra e digitano con il becco sulla tastiera :D :D :D


mi sa che hai bisogno di un grosso ripasso sul networking e sulla sicurezza in generale almeno non corri il rischio di dire queste inesattezze

Io non faccio disinformazione, semmai è il contrario,visto che sei tu che affermi che un antivirus rileva qualsiasi comportamento illecito grazie alle uber-sfera-di-cristallo routine di rilevamento comportamentale


Non ci provare neanche ;) Carta canta


È vero, un software antivirus non è la panacea contro tutti i mali, nessuno dice questo. Ma è altresì vero che aggiunge un livello di protezione che l'occhio umano altrimenti non riuscirebbe ad avere da solo


Siete voi che state giudicando l'inutilità di un software antivirus da uno specifico singolo comportamento


Io ho solo tentato di spiegarti come funziona un antivirus ovvero è un software progettato per individuare particolari sequenza di bit / azioni di un software che un esperto di sicurezza gli ha impostato ma, è qui viene il succo della questione, è un software, una macchina senza intelligenza che non può discernere se un azione lecita viene utilizzata illecitamente.


Ma non è vero questo! E Con il cloud si sta aprendo un nuovo mondo totalmente diverso, con un'intelligenza collettiva che sta cambiando radicalmente il modo di individuare i software nocivi!

Le reti neurali? L'euristica? L'analisi comportamentale? Sono messi lì a caso secondo te? Senza un briciolo di logica?

Quello che tu stai descrivendo è il modello antivirus degli anni '90


tralasciamo poi il mirror climbing sulle deduzioni illogiche messi li solo per tentare di stravolegere il senso del mio discorso mettendomi in bocca parole che mai ho detto, io non ho mai detto che un antivirus è inutile, ho detto che è utile in quanto protegge da una serie di minacce ma non si può usarlo come copertina di linus (aka: faccio quello che voglio tanto c'è l'antivirus mi protegge) perchè come ho (a quanto vedo inutilmente) tentato di spiegarti non c'è nessuna routine euristica che possa rilevare un trojan, cosa che ti ha tentato di spiegare pure lukeilbello, una volta che un programma viene eseguito e l'utente concede il grant, il programma può tranquillamente fare quello che vuole anche piallare un disco o una directory fondamentale visto che è un comportamento lecito

Un singolo comportamento può passare, più comportamenti nocivi contemporanei possono far scattare una euristica che è messa lì apposta!

Prima di definire un software antivirus una cosa basilare, stupida, che riconosce una serie di pattern, fateci un giro dentro o chiedete a chi ci lavora. Non avete la minima idea del lavoro che c'è dietro e della tecnologia all'avanguardia che utilizzano

infatti esistono i famosi programmi a piccioni viaggiatori dove piccioni ammaestrati entrano dalla finestra e digitano con il becco sulla tastiera :D :D :D


mi sa che hai bisogno di un grosso ripasso sul networking e sulla sicurezza in generale almeno non corri il rischio di dire queste inesattezze

Inesattezze? Senti, ma sai qualcosa di connessioni inverse? Sai qualcosa su come sia possibile bypassare firewall e qualsiasi altra cosa senza doversi mettersi in ascolto su nessuna porta?

Per piacere, se non le sai, almeno non fare dell'ironia inutile su un argomento che non conosci. Sei evidentemente rimasto alle tecnologie anni '90

infatti esistono i famosi programmi a piccioni viaggiatori dove piccioni ammaestrati entrano dalla finestra e digitano con il becco sulla tastiera :D :D :D


mi sa che hai bisogno di un grosso ripasso sul networking e sulla sicurezza in generale almeno non corri il rischio di dire queste inesattezzelooooool

Inesattezze? Senti, ma sai qualcosa di connessioni inverse? Sai qualcosa su come sia possibile bypassare firewall e qualsiasi altra cosa senza doversi mettersi in ascolto su nessuna porta?

Per piacere, se non le sai, almeno non fare dell'ironia inutile su un argomento che non conosci. Sei evidentemente rimasto alle tecnologie anni '90

ti giuro che mi si sta aprendo un mondo, le connessioni inverse? embè?
ma non puoi mica accettare una connessione per quanto inversa, senza avere una porta in ascolto!
ti prego io ho studiato sul libro di tanenbaum ma ora vado a fargli causa..
non mi ha mai parlato di ste cose fantascientifiche :asd:

ti giuro che mi si sta aprendo un mondo, le connessioni inverse? embè?
ma non puoi mica accettare una connessione per quanto inversa, senza avere una porta in ascolto!
ti prego io ho studiato sul libro di tanenbaum ma ora vado a fargli causa..
non mi ha mai parlato di ste cose fantascientifiche :asd:

Evidentemente sei rimasto al libro di Tanenbaum, senza evolverti un briciolo ;) Non è niente di fantascientifico, basta studiare le tecnologie attuali

Non ci provare neanche ;) Carta canta



Siete voi che state giudicando l'inutilità di un software antivirus da uno specifico singolo comportamento



Ma non è vero questo! E Con il cloud si sta aprendo un nuovo mondo totalmente diverso, con un'intelligenza collettiva che sta cambiando radicalmente il modo di individuare i software nocivi!

Le reti neurali? L'euristica? L'analisi comportamentale? Sono messi lì a caso secondo te? Senza un briciolo di logica?

Quello che tu stai descrivendo è il modello antivirus degli anni '90

no è il modello attualissimo invece..
le reti neurali mo che c'entrano? :confused:
ma che è la fiera delle sparate? :asd:
la chicca del cloud poi non l'ho capita :confused:

Evidentemente sei rimasto al libro di Tanenbaum, senza evolverti un briciolo ;) Non è niente di fantascientifico, basta studiare le tecnologie attuali

parlamente allora, dimostra le tue conoscenze, per ora stiamo a livello bar della spiaggia, non so se mi spiego...

parlamente allora, dimostra le tue conoscenze, per ora stiamo a livello bar della spiaggia, non so se mi spiego...

Ma il bar da spiaggia l'hai iniziato tu ;)

Hai presente quando i comandi stanno in un server remoto, aggiornati in tempo reale, ed è il trojan che se li va a prendere? Probabilmente no, ma sappi che è il modello attuale di come funzionano i trojan, proprio per bypassare l'utente che si va a guardare la lista dei socket aperti. Non c'è nulla in ascolto in ingresso.

Non è mica fantascienza, vallo a spiegare a Tanenbaum ;)

Non ci provare neanche ;) Carta canta



Siete voi che state giudicando l'inutilità di un software antivirus da uno specifico singolo comportamento



Ma non è vero questo! E Con il cloud si sta aprendo un nuovo mondo totalmente diverso, con un'intelligenza collettiva che sta cambiando radicalmente il modo di individuare i software nocivi!

Le reti neurali? L'euristica? L'analisi comportamentale? Sono messi lì a caso secondo te? Senza un briciolo di logica?

Quello che tu stai descrivendo è il modello antivirus degli anni '90



Un singolo comportamento può passare, più comportamenti nocivi contemporanei possono far scattare una euristica che è messa lì apposta!

Prima di definire un software antivirus una cosa basilare, stupida, che riconosce una serie di pattern, fateci un giro dentro o chiedete a chi ci lavora. Non avete la minima idea del lavoro che c'è dietro e della tecnologia all'avanguardia che utilizzano


ok è assodato, oltre ai corsi di networking ti serve anche un corso intensivo di soft computing

1) sai cosa sono le reti neurali? sai come funzionano? sai quali sono loro pregi, i loro difetti e i loro limiti? guarda che sono leggermente diverse dal processore meta-cognitivo di Battlestar galactica e da skynet di termitor eh?, non so perchè mai qualsiasi persona che senta parlare di reti neurali pensa che siano cose fantascientifiche che permettono di chissa che tipo di intelligenza artificiale che si vedono solo nei film.

e già che ci sei evita di tirare in ballo ga, ahp, fuzzy-logic ecc ecc che tanto non fanno quello che pensi

ps l'intelligenza collettiva la trovi tranquillamente su axn-sci fi alle 15.45 in una forma molto appagante alla vista mentre per il cloud penso che manco sai cosa significa visto come ne parli


va be rimani nelle tue personalissime opinioni e visto che non ho voglia di darti altro vetro da scalare, buona giornata

no è il modello attualissimo invece..
le reti neurali mo che c'entrano? :confused:
ma che è la fiera delle sparate? :asd:
la chicca del cloud poi non l'ho capita :confused:

La fiera delle sparate la stai facendo tu, non sapendo neanche di cosa si parla quando si dice di reti neurali applicate alle euristiche dei software antivirus.

http://www.f-prot.com/support/windows/fpwin_faq/17.html

Ecco dimostrato come non sapete un beato nulla sulle tecnologie alle spalle dei software antivirus ;)

ok è assodato, oltre ai corsi di networking ti serve anche un corso intensivo di soft computing


Ok, è assodato che non sai niente di tecnologie antivirus


1) sai cosa sono le reti neurali? sai come funzionano? sai quali sono loro pregi, i loro difetti e i loro limiti? guarda che sono leggermente diverse dal processore meta-cognitivo di Battlestar galactica e da skynet di termitor eh?, non so perchè mai qualsiasi persona che senta parlare di reti neurali pensa che siano cose fantascientifiche che permettono di chissa che tipo di intelligenza artificiale che si vedono solo nei film.


Decisamente sì, e rimando pure te al link postato sopra: http://www.f-prot.com/support/windows/fpwin_faq/17.html

Altra dimostrazione che non si di cosa stai parlando ;)

ps l'intelligenza collettiva la trovi tranquillamente su axn-sci fi alle 15.45 mentre per il cloud penso che manco sai cosa significa


Sono decisamente d'accordo su questo, non credo che tu sappia cosa significa cloud applicata alla sicurezza


va be rimani nelle tue personalissime opinioni e visto che non ho voglia di darti altro vetro da scalare abbandono la discussione

Eccolo, quando si postano i link e si citano le frasi, si scappa ;) Dimostrazione che non si sa di cosa si sta parlando ;)

La fiera delle sparate la stai facendo tu, non sapendo neanche di cosa si parla quando si dice di reti neurali applicate alle euristiche dei software antivirus.

http://www.f-prot.com/support/windows/fpwin_faq/17.html

Ecco dimostrato come non sapete un beato nulla sulle tecnologie alle spalle dei software antivirus ;)

ossignore ma che link hai messo, il download di F-Prot ?
questo thread comincia ad assumere contorni esilaranti :sbonk:

Ma il bar da spiaggia l'hai iniziato tu ;)

Hai presente quando i comandi stanno in un server remoto, aggiornati in tempo reale, ed è il trojan che se li va a prendere? Probabilmente no, ma sappi che è il modello attuale di come funzionano i trojan, proprio per bypassare l'utente che si va a guardare la lista dei socket aperti. Non c'è nulla in ascolto in ingresso.

Non è mica fantascienza, vallo a spiegare a Tanenbaum ;)

un trojan che è residente in ram sul pc infetto deve necessariamente stabilire un SOCKET col server remoto :sbonk:

non si scappa.. ma che studi hai fatto alle scuole medie? :asd:

E tanto per dimostrare che non avete la minima idea di cosa parlate:

Fast virus detection by using high speed time delay neural networks (http://dl.acm.org/citation.cfm?id=1561829)

Artificial Neural Network Selection for the Detection of Plant Viruses (http://www.idosi.org/wjas/wjas4(1)/20.pdf)

Symantec Adds IBM Neural Network Boot Detection Technology to Norton Antivirus (http://www.symantec.com/about/news/release/article.jsp?prid=19990804_02)

un trojan che è residente in ram sul pc infetto deve necessariamente stabilire un SOCKET col server remoto :sbonk:

non si scappa.. ma che studi hai fatto alle scuole medie? :asd:

E come lo distingui da una connessione del browser? E come lo distingui dalla gestione automatica degli update se la connessione viene stabilita da uno di questi processi?

Ci illumini?

E tanto per dimostrare che non avete la minima idea di cosa parlate:

Fast virus detection by using high speed time delay neural networks (http://dl.acm.org/citation.cfm?id=1561829)

Artificial Neural Network Selection for the Detection of Plant Viruses (http://www.idosi.org/wjas/wjas4(1)/20.pdf)

Symantec Adds IBM Neural Network Boot Detection Technology to Norton Antivirus (http://www.symantec.com/about/news/release/article.jsp?prid=19990804_02)

facciamo così, tu installati sti antivirus (uno solo però per volta, meglio specificarlo :asd: ) io ti invio il mio file ftp stealth e se il tuo av lo rileva hai ragione tu :D

ossignore ma che link hai messo, il download di F-Prot ?
questo thread comincia ad assumere contorni esilaranti :sbonk:

Ti sei sprecato almeno a cliccare sul link? O ti sei fermato al nome del dominio?

E come lo distingui da una connessione del browser? E come lo distingui dalla gestione automatica degli update se la connessione viene stabilita da uno di questi processi?

Ci illumini?

xchè non parte col PID del browser, molto semplicemente :D
comunque voglio che mi parli di queste tecnologie no-socket ready :sbonk:

xchè non parte col PID del browser, molto semplicemente :D
comunque voglio che mi parli di queste tecnologie no-socket ready :sbonk:

Perché non parte col PID del browser? Il codice è iniettato all'interno del processo del browser.

Ecco dimostrato nuovamente che non sai nulla dei malware e di come agiscono :asd:

Ti sei sprecato almeno a cliccare sul link? O ti sei fermato al nome del dominio?

chukie ti assicuro che stai facendo na figura devastante...
fermati finchè sei in tempo...

tra un pò sto thread verrà incorniciato alla stregua de alphawinux...
ti suggerisco di fermarti :D

Perché non parte col PID del browser? Il codice è iniettato all'interno del processo del browser.

Ecco dimostrato nuovamente che non sai nulla dei malware e di come agiscono :asd:

non esistono più ste modalità di infezione, nessun programma può invadere l'array dello stack di altri processi, col DEP abilitato farebbe scattare subito un'eccezione...
sei tu ad essere rimasto a win98 mio caro :D

chukie ti assicuro che stai facendo na figura devastante...
fermati finchè sei in tempo...

tra un pò sto thread verrà incorniciato alla stregua de alphawinux...
ti suggerisco di fermarti :D

Veramente chi ci sta facendo una figura bovina sei tu :asd: Io mi sto divertendo da matti :asd:

Due post relativi al link di F-Prot e ancora non hai saputo dire se c'hai cliccato e letto oppure se stai chiacchierando sul nulla :asd:

Continua a studiare che è meglio :asd:

non esistono più ste modalità di infezione, nessun programma può invadere l'array dello stack di altri processi, col DEP abilitato farebbe scattare subito un'eccezione...
sei tu ad essere rimasto a win98 mio caro :D

Ah ecco, non esistono piu, giusto. Scusa, ZeuS come funziona? SpyEye come funziona? Carberp come funziona?

Sono tutt'orecchi :asd: Il DEP non c'entra un cazzo se non lo sapessi :asd: Magari buttaci dentro pure l'ASLR e il SAFESEH tanto che ci sei, giusto per sparare un po di termini tecnici :asd:

Ora li prendo io i pop corn con questa affermazione :asd: Forza, via alla spiegazione :asd:

Continuo la lista di documenti:

How Bypass firewall with Process Injection (http://www.abysssec.com/blog/2009/01/03/how-bypass-firewall-with-process-injection/)

Giusto perché il moderatore della sezione si è permesso di dirmi che devo ripassare un po di networking ;)

E giusto perché queste tipologie di infezione non esistono più ;)

Ah ecco, non esistono piu, giusto. Scusa, ZeuS come funziona? SpyEye come funziona? Carberp come funziona?

Sono tutt'orecchi :asd: Il DEP non c'entra un cazzo se non lo sapessi :asd: Magari buttaci dentro pure l'ASLR e il SAFESEH tanto che ci sei, giusto per sparare un po di termini tecnici :asd:

Ora li prendo io i pop corn con questa affermazione :asd: Forza, via alla spiegazione :asd:

il dep abilitato in hardware non permette quello che tu dici
molto semplicemente è così.. qualsiasi processo che invade lo stack esterno a quanto consentitogli, provoca l'automatica chiusura del processo stesso. amen. dura lex sed lex :D

zeus ecc è roba questa si, degli anni 90, io stesso nel 2006 scrissi un poc che consentiva il drop di .exe su ie6, ma fungeva solo su pc senza dep in hardware (ci sta ancora il thread in Sicurezza, vai e fatti na cultura susu :D )

non è un male ignorare l'argomento, io non me ne intendo di motori, il brutto è fare sparate senza cognizione di causa..

ehhh beata l'ignoranza!

chukie ti assicuro che stai facendo na figura devastante...
fermati finchè sei in tempo...

tra un pò sto thread verrà incorniciato alla stregua de alphawinux...
ti suggerisco di fermarti :D

:mc:

il dep abilitato in hardware non permette quello che tu dici
molto semplicemente è così.. qualsiasi processo che invade lo stack esterno a quanto consentitogli, provoca l'automatica chiusura del processo stesso. amen. dura lex sed lex :D

zeus ecc è roba questa si, degli anni 90, io stesso nel 2006 scrissi un poc che consentiva il drop di .exe su ie6, ma fungeva solo su pc senza dep in hardware (ci sta ancora il thread in Sicurezza, vai e fatti na cultura susu :D )

non è un male ignorare l'argomento, io non me ne intendo di motori, il brutto è fare sparate senza cognizione di causa..

ehhh beata l'ignoranza!

Ah si, certo, beata ignoranza.

ZeuS è roba degli anni 90, vero?

Zeus: King of the Bots (http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf)
Anno: 2009

Clash of the Titans: ZeuS v SpyEye (http://www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393)
Anno: 2010

Chi è che non sa di cosa sta parlando? :asd:

:mc:

Occhio che finisci male :asd:

il dep abilitato in hardware non permette quello che tu dici
molto semplicemente è così.. qualsiasi processo che invade lo stack esterno a quanto consentitogli, provoca l'automatica chiusura del processo stesso. amen. dura lex sed lex :D


Molto probabilmente non sai che questo discorso è valido esclusivamente da attacchi da remoto, ed è comunque bypassabile da attacchi ROP ;) (Dove interviene tuttavia la tecnologia ASLR)

In attacchi da locale non ci sono problemi, ma questo Tanenbaum non te l'aveva detto :asd:

Alphawinux, lui sì che mi ricorda te :asd:

Molto probabilmente non sai che questo discorso è valido esclusivamente da attacchi da remoto, ed è comunque bypassabile da attacchi ROP ;) (Dove interviene tuttavia la tecnologia ASLR)

In attacchi da locale non ci sono problemi, ma questo Tanenbaum non te l'aveva detto :asd:

Alphawinux, lui sì che mi ricorda te :asd:

ma cosa stai dicendo :D
perchè secondo te eseguire un processo da remoto o da locale comporta differenza per l'OS? o per la cpu responsabile di attivare il DEP?
ma ti rendi conto che cosa stai sparando a casaccio? :sbonk:

sei fortunato che non sono tuo docente se no ti bacchettavo alla lavagna, e lascia stare tanenbaum che lui teneva testa a linus torvalds, figurati a un "esperto" in sicurezza neurale come a te :asd:

ma cosa stai dicendo :D
perchè secondo te eseguire un processo da remoto o da locale comporta differenza per l'OS? o per la cpu responsabile di attivare il DEP?
ma ti rendi conto che cosa stai sparando a casaccio? :sbonk:

sei fortunato che non sono tuo docente se no ti bacchettavo alla lavagna, e lascia stare tanenbaum che lui teneva testa a linus torvalds, figurati a un "esperto" in sicurezza neurale come a te :asd:

Non fa differenza all'OS, ma la fa all'attaccante. Ora sta a te capire cosa intendo :asd:

Fortuna che non sei tu mio allievo :asd: Avrei decisamente fallito :asd:

Ah si, certo, beata ignoranza.

ZeuS è roba degli anni 90, vero?

Zeus: King of the Bots (http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf)
Anno: 2009

Clash of the Titans: ZeuS v SpyEye (http://www.sans.org/reading_room/whitepapers/malicious/clash-titans-zeus-spyeye_33393)
Anno: 2010

Chi è che non sa di cosa sta parlando? :asd:
zeus è un flooder che agisce come bot, esattamente come il zeus del 96..
robetta lamerica insomma, non mi meraviglio peraltro che tu l'abbia citata :D

Non fa differenza all'OS, ma la fa all'attaccante. Ora sta a te capire cosa intendo :asd:

Fortuna che non sei tu mio allievo :asd: Avrei decisamente fallito :asd:

questa non l'ho capita :confused:

cmq a parte sto siparietto divertente, non date retta a chukie, gli antivirus non servono a na mazza se non a dare un mite (ma molto) senso di sicurezza per gli attacchi diciamo più blasonati.

per ogni dimostrazione a vs. servizio (compreso lamchuckie)

Dunque, riassumendo:

- Mi è stato detto che non so niente di reti neurali e che non c'entrano niente con i software antivirus
- Ho postato svariati link che dimostrano l'applicazione di tale concetto
- Sono scomparsi tutti, nessuno tocca più l'argomento

:asd:

- Mi è stato detto che non so niente di networking e che non c'è modo di ricevere comandi senza rimanere in ascolto su un socket
- Ho parlato di reverse connection
- Sono scomparsi tutti

:asd:

- Mi è stato detto che non è più possibile iniettare codice dentro altri processi e che ZeuS è roba anni 90
- Ho postato svariati link che spiegano le tecnologie
- Nessuno fa riferimento a tali link

Beh, che dire :asd:

Complimenti !fazz e LukeIlBello :asd: Proprio una gran bella figura :asd:

zeus è un flooder che agisce come bot, esattamente come il zeus del 96..
robetta lamerica insomma, non mi meraviglio peraltro che tu l'abbia citata :D

Ok, non hai aperto neanche uno dei link che ti ho dato :asd:

ZeuS del 96 lol :asd:

Ragazzi, fortuna che c'è tutto scritto a dimostrazione :asd: Se lo racconto non mi ci crederebbe nessuno :asd:

Ah scusate, finisco con un'altra manciata di link.

Ricordatevi che LukeIlBello ha definito ZeuS un flooder con funzioni di bot, come quello del '96 :asd:

https://www4.symantec.com/mktginfo/whitepaper/user_authentication/21195180_WP_GA_BankingTrojansImpactandDefendAgainstTrojanFraud_062611.pdf

http://labs.snort.org/papers/zeus.html

http://www.mcafee.com/us/resources/white-papers/wp-reality-of-stealth-crimeware.pdf

E tanto che ci sei, non leggere neanche questi :asd:

Dunque, riassumendo:

- Mi è stato detto che non so niente di reti neurali e che non c'entrano niente con i software antivirus
- Ho postato svariati link che dimostrano l'applicazione di tale concetto
- Sono scomparsi tutti, nessuno tocca più l'argomento

:asd:

- Mi è stato detto che non so niente di networking e che non c'è modo di ricevere comandi senza rimanere in ascolto su un socket
- Ho parlato di reverse connection
- Sono scomparsi tutti

:asd:

- Mi è stato detto che non è più possibile iniettare codice dentro altri processi e che ZeuS è roba anni 90
- Ho postato svariati link che spiegano le tecnologie
- Nessuno fa riferimento a tali link

Beh, che dire :asd:

Complimenti !fazz e LukeIlBello :asd: Proprio una gran bella figura :asd:

Vado che siamo in vena di trollare, comunque si non sai nulla di reti neurali, non distingui un pc dalle piante e continui a mettere in bocca parole che non ho detto, mai ho detto che le ann non vengono utilizzate negli av ho solo detto che non fanno quello che pensi tu ovvero permettere di discriminare un trovano da un programma malevolo

Ps la pausa pranzo chiama sai come è

Vado che siamo in vena di trollare, comunque si non sai nulla di reti neurali, non distingui un pc dalle piante e continui a mettere in bocca parole che non ho detto, mai ho detto che le ann non vengono utilizzate negli av ho solo detto che non fanno quello che pensi tu ovvero permettere di discriminare un trovano da un programma malevolo

Ps la pausa pranzo chiama sai come è

Io porto dimostrazioni, documenti tecnici e link, tu continui ad offendere


comunque si non sai nulla di reti neurali, non distingui un pc dalle piante


Complimenti, buon pranzo

E giusto per rispondere alle tue offese:


mai ho detto che le ann non vengono utilizzate negli av ho solo detto che non fanno quello che pensi tu ovvero permettere di discriminare un trovano da un programma malevolo



Several researchers have attempted to use neural networks to detect computer viruses. Neural networks are a sub-field of artificial intelligence, so the subject is very exciting.

[...]

In practice, IBM researchers have succesfully applied neuarl networks to heuristic detection of boot and win32 viruses.
[...]
IBM's neural network engine was released in the Symantec antivirus engine. The neural network engine produced so few false positives that it was used in the default scanning (it does not depend on any user-configurable options).


Cap.11, pagina 472 Libro "The art of computer virus research and defense". Autore: Peter Szor

Io porto dimostrazioni, documenti tecnici e link, tu continui ad offendere



Complimenti, buon pranzo

E giusto per rispondere alle tue offese:





Cap.11, pagina 472 Libro "The art of computer virus research and defense". Autore: Peter Szor

giusto per chiudere visto che ormai l'argomento sta degenerando ed è completamente off topic

a parte che quelle che tu chiami offese io la chiamo semplice constatazione dei fatti visto che di certo non sono io che ho postato il link ad un paper senza averlo letto (perchè se ti saresti preso la briga di leggere quello che hai cercato su internet non avresti postato questo)

Abstract: The aim of this work is the development of an intelligent system for the detection of plant
viruses, using biosensors and Artificial Neural Networks. The system is based on the Bioelectric
Recognition Assay (BERA) method for the detection of viruses, developed by our team. BERA sensors
detect the electric response of culture cells suspended in a gel matrix, as a result to their interaction with
virus’s cells, rendering thus feasible its identification. Currently this is achieved empirically by examining
the biosensor’s response data curve. In this paper, we used specialized Artificial Neural Networks that were
trained to recognize plant viruses according to biosensors’ responses. Moreover, in order to increase the
stability and the generalization capability of the classification model we applied a smoothing technique of
the data. In addition, we used an advanced energy function for the training of the ANN network to reduce
the complexity of the model.
Key words: Neural networks · intelligent systems · neural networks · biosensors · plant viruses


ovvero un articolo che parla di individuazione di virus biologici
non sai nulla di reti neurali, si capisce benissimo che non le hai mai usate ne le hai mai studiate altrimenti sapresti benissimo che le reti neurali non sono altri che funzioni matematiche, funzioni non lineari che tramite un approccio black box permetto di definire una correlazione tra un subset di dati in input con un insieme di dati di output sulla base di un subset di dati dati in pasto alla rete neurale durante la fase di training della stessa e il cui principale limite è dato dalla necessità di un campione esaustivo di dati che coprano l'intera casistica di eventi che possano accadere visto che una rete neurale divergerà sempre quando verrà posta di fronte ad una casistica non presente nella fase di training.

quindi tirando le somme si torna a quello che ti ho detto prima una rete neurale non può predire un comportamento sconosciuto e quindi non potrà mai e poi mai individuare un trojan sconosciuto (ti ricordo che mai io ho parlato di virus informatici, solo di trojan, penso che tu conosca la differenza ), non basta postare articoli scientifici a casaccio per ottenere la conoscenza di una una tecnologia


detto questo il discorso è completamente off topic se ti interessa continuare il discorso è possibile farlo ma non in questa sezione ma nelle sezioni apposite ma qui è vietato

giusto per chiudere visto che ormai l'argomento sta degenerando ed è completamente off topic

a parte che quelle che tu chiami offese io la chiamo semplice constatazione dei fatti visto che di certo non sono io che ho postato il link ad un paper senza averlo letto (perchè se ti saresti preso la briga di leggere quello che hai cercato su internet non avresti postato questo)


ovvero un articolo che parla di individuazione di virus biologici


Biological versus computer viruses (http://dl.acm.org/citation.cfm?id=70949)
Computer and biological viruses might eventually converge (http://www.net-security.org/malware_news.php?id=2041)
Functional similarities between computer worms and biological pathogens (http://www.elsevier.com/authored_subject_sections/P05/pdf/Li.pdf)

Comunque sì, è un paragone molto difficile da tenere.

:asd: è curioso come tu abbia sorvolato completamente sugli altri due documenti :asd:


quindi tirando le somme si torna a quello che ti ho detto prima una rete neurale non può predire un comportamento sconosciuto e quindi non potrà mai e poi mai individuare un trojan sconosciuto (ti ricordo che mai io ho parlato di virus informatici, solo di trojan, penso che tu conosca la differenza ), non basta postare articoli scientifici a casaccio per ottenere la conoscenza di una una tecnologia


Tirando le somme non hai capito una ceppa di come funzionano le attuali conoscenze nel settore sicurezza informatica.

Le reti neurali sono uno dei vari approcci, unito alle potenzialità delle tecnologie cloud e behavior profiling fanno molto di più di quello che tu anche solo lontanamente sogni combinandoli insieme.

Ma tu rimani nella disinformazione classica dell'antivirus = signature, questo non è un problema. Il problema è trasmettere informazioni false agli altri

Guarda caso tra le varie identificazioni di malware c'è pure:

HEUR:Trojan.Win32.Generic

HEUR = Heuristic
Trojan = Trojan
Win32 = piattaforma
Generic = GENERICO

Inoltre aggiungo:

PE Trojan Detection Based on the Assessment of Static File Features (http://www.antiy.net/media/slides/trojan-detection_slide.pdf)


- Static assessment model using neural algorithm: Use an intelligent algorithm to analyze and study known samples, extract signatures and assess unknown samples.

- Ultimate goal: recognize Trojan files

- Method: develop a categorization machine

- Accuracy rate of unknown file detection is 90% higher

- The alarm rate for unstudied Trojans is good


E questo chiude il problema euristica, che è un argomento a te totalmente sconosciuto. Era vietato anche parlare di scrivere un trojan con server FTP stealth, visto che si tratta semplicemente di commentare le news.

E qui concludo

Saluti

Ciao a tutti, è un po' che non postavo ma ho letto con piacere la vostra animata discussione che se non fosse per i toni, sarebbe anche molto interessante da approfondire :D


Permettimi fuzz però di farti una domanda. Quando tu dici:

quindi tirando le somme si torna a quello che ti ho detto prima una rete neurale non può predire un comportamento sconosciuto e quindi non potrà mai e poi mai individuare un trojan sconosciuto

non è un po' una contraddizione in termini di scopo di una rete neurale?

Ammetto che non si tratta del mio campo, ma comunque sono abbastanza curioso e qualcosa di intelligenza artificiale ho letto, vorrei quindi cercare di capire meglio.

Leggendo su wikipedia riguardo al funzionamento di una rete neurale, viene riportato il seguente paradigma di apprendimento:

"un apprendimento supervisionato (supervised learning), qualora si disponga di un insieme di dati per l'addestramento (o training set) comprendente esempi tipici d'ingressi con le relative uscite loro corrispondenti: in tal modo la rete può imparare ad inferire la relazione che li lega. Successivamente, la rete è addestrata mediante un opportuno algoritmo (tipicamente, la backpropagation che è appunto un algoritmo d'apprendimento supervisionato), il quale usa tali dati allo scopo di modificare i pesi ed altri parametri della rete stessa in modo tale da minimizzare l'errore di previsione relativo all'insieme d'addestramento. Se l'addestramento ha successo, la rete impara a riconoscere la relazione incognita che lega le variabili d'ingresso a quelle d'uscita, ed è quindi in grado di fare previsioni anche laddove l'uscita non è nota a priori; in altri termini, l'obiettivo finale dell'apprendimento supervisionato è la previsione del valore dell'uscita per ogni valore valido dell'ingresso, basandosi soltanto su un numero limitato di esempi di corrispondenza (vale a dire, coppie di valori input-output). Per fare ciò, la rete deve essere infine dotata di un'adeguata capacità di generalizzazione, con riferimento a casi ad essa ignoti. Ciò consente di risolvere problemi di regressione o classificazione."

che in parte ricalca quanto detto da te

le reti neurali non sono altri che funzioni matematiche, funzioni non lineari che tramite un approccio black box permetto di definire una correlazione tra un subset di dati in input con un insieme di dati di output sulla base di un subset di dati dati in pasto alla rete neurale durante la fase di training della stessa e il cui principale limite è dato dalla necessità di un campione esaustivo di dati che coprano l'intera casistica di eventi che possano accadere visto che una rete neurale divergerà sempre quando verrà posta di fronte ad una casistica non presente nella fase di training.



non ho ben capito dove stà secondo te il "limite" dell'applicazione di una rete neurale nel puro scopo di classificare, appunto, un eseguibile ad esempio come malware o meno.

Alla fine il campione esaustivo può essere fornito. Quanto alla casistica non presente nella fase di training, se ho ben inteso cosa tu intendessi per casistica, non è un caso che può presentarsi in quanto alla fine un eseguibile può rientrare in due e soltanto due casistiche: malware o non malware.
Ovviamente il tutto tenendo conto del margine di errore.

Che è tra l'altro un po' l'idea che viene fuori da questo recente paper:

http://www.ijser.org/researchpaper%5CWindows-API-based-Malware-Detection-and-Framework-Analysis.pdf


Alla fine io credo che il campo dell'IA possa trovare molti punti in comune con il campo della sicurezza e merita veramente molte attenzioni.

Posto anche queste slides della Kaspersky in cui viene spiegato come riuscire a classificare eseguibili estrapolando da essi un albero di dipendenza dei moduli:

http://www.kaspersky.com/downloads/pdf/masoud_narouei.pdf


Insomma, trovo un po' limitato ridurre un software antivirus a un semplice controllore di signature.

Ciao a tutti, è un po' che non postavo ma ho letto con piacere la vostra animata discussione che se non fosse per i toni, sarebbe anche molto interessante da approfondire :D


Permettimi fuzz però di farti una domanda. Quando tu dici:



non è un po' una contraddizione in termini di scopo di una rete neurale?

Ammetto che non si tratta del mio campo, ma comunque sono abbastanza curioso e qualcosa di intelligenza artificiale ho letto, vorrei quindi cercare di capire meglio.

Leggendo su wikipedia riguardo al funzionamento di una rete neurale, viene riportato il seguente paradigma di apprendimento:

"un apprendimento supervisionato (supervised learning), qualora si disponga di un insieme di dati per l'addestramento (o training set) comprendente esempi tipici d'ingressi con le relative uscite loro corrispondenti: in tal modo la rete può imparare ad inferire la relazione che li lega. Successivamente, la rete è addestrata mediante un opportuno algoritmo (tipicamente, la backpropagation che è appunto un algoritmo d'apprendimento supervisionato), il quale usa tali dati allo scopo di modificare i pesi ed altri parametri della rete stessa in modo tale da minimizzare l'errore di previsione relativo all'insieme d'addestramento. Se l'addestramento ha successo, la rete impara a riconoscere la relazione incognita che lega le variabili d'ingresso a quelle d'uscita, ed è quindi in grado di fare previsioni anche laddove l'uscita non è nota a priori; in altri termini, l'obiettivo finale dell'apprendimento supervisionato è la previsione del valore dell'uscita per ogni valore valido dell'ingresso, basandosi soltanto su un numero limitato di esempi di corrispondenza (vale a dire, coppie di valori input-output). Per fare ciò, la rete deve essere infine dotata di un'adeguata capacità di generalizzazione, con riferimento a casi ad essa ignoti. Ciò consente di risolvere problemi di regressione o classificazione."

che in parte ricalca quanto detto da te




non ho ben capito dove stà secondo te il "limite" dell'applicazione di una rete neurale nel puro scopo di classificare, appunto, un eseguibile ad esempio come malware o meno.

Alla fine il campione esaustivo può essere fornito. Quanto alla casistica non presente nella fase di training, se ho ben inteso cosa tu intendessi per casistica, non è un caso che può presentarsi in quanto alla fine un eseguibile può rientrare in due e soltanto due casistiche: malware o non malware.
Ovviamente il tutto tenendo conto del margine di errore.

Che è tra l'altro un po' l'idea che viene fuori da questo recente paper:

http://www.ijser.org/researchpaper%5CWindows-API-based-Malware-Detection-and-Framework-Analysis.pdf


Alla fine io credo che il campo dell'IA possa trovare molti punti in comune con il campo della sicurezza e merita veramente molte attenzioni.

Posto anche queste slides della Kaspersky in cui viene spiegato come riuscire a classificare eseguibili estrapolando da essi un albero di dipendenza dei moduli:

http://www.kaspersky.com/downloads/pdf/masoud_narouei.pdf


Insomma, trovo un po' limitato ridurre un software antivirus a un semplice controllore di signature.

il discorso è molto più semplice: puoi istruire un automa (come per es. una rete neurale) a individuare le migliori minaccie, ma un comando come rm -rf non è possibile nè predirlo, nè fermarlo (ammesso che il malware giri con i diritti dell'utente opportuno)..

è questo il succo del discorso: un antivirus è comunque un aggeggio automatico, e non può impedire ad alcun software di assumere i comportamenti più normali.. come per es. aprire un socket su una porta, o sbragarti la /home..

No, mi spiace, il discorso non è assolutamente così semplice.

Accostare la parola automa (che di per se' prevede dietro un comportamento deterministico) al concetto di rete neurale lo vedo un po' azzardato, soprattutto se si pensa a una rete neurale come a uno strumento in grado di evolvere il proprio comportamento nel tempo, da cui ne deriva un comportamento non deterministico dello stesso.

E sì, puoi anche darmi del pignolo :D


Un antivirus che utilizza euristiche e tecniche di rilevamento più complesse non può essere definito come un "aggeggio automatico". E' davvero troppo riduttivo e spero tu te ne renda conto.


Per quale motivo un antivirus non può predirre l'eventuale nocività di un eseguibile ad esempio?

Ti ho anche riportato link su delle analisi statiche che permettono di classificare eseguibili. Senza tener conto di eventuali funzionalità di emulazione che possono essere implementate.

Fermarlo? Perché no? Posso scrivere un programma che invochi anche ricorsivamente la DeleteFile su ogni singolo file del disco di un sistema operativo totalmente sprotetto. Cosa vieta ad un antivirus, ad esempio, di effettuare hooking su processi sospetti e bloccare l'esecuzione di api dannose?

Ho portato l'esempio di Windows perché è un sistema operativo che conosco meglio, ma l'esempio è solo per rendere l'idea.


Qui nessuno ha mai affermato che un antivirus possa essere la panacea di tutti i mali, ma da qui a definirlo inutile ce ne passa di acqua sotto i ponti.

La sicurezza di un sistema operativo è composta da tanti fattori, da funzionalità integrate (citavi il DEP), a firewall e anche da anti virus.

No, mi spiace, il discorso non è assolutamente così semplice.

Accostare la parola automa (che di per se' prevede dietro un comportamento deterministico) al concetto di rete neurale lo vedo un po' azzardato, soprattutto se si pensa a una rete neurale come a uno strumento in grado di evolvere il proprio comportamento nel tempo, da cui ne deriva un comportamento non deterministico dello stesso.

E sì, puoi anche darmi del pignolo :D


Un antivirus che utilizza euristiche e tecniche di rilevamento più complesse non può essere definito come un "aggeggio automatico". E' davvero troppo riduttivo e spero tu te ne renda conto.


Per quale motivo un antivirus non può predirre l'eventuale nocività di un eseguibile ad esempio?

Ti ho anche riportato link su delle analisi statiche che permettono di classificare eseguibili. Senza tener conto di eventuali funzionalità di emulazione che possono essere implementate.

Fermarlo? Perché no? Posso scrivere un programma che invochi anche ricorsivamente la DeleteFile su ogni singolo file del disco di un sistema operativo totalmente sprotetto. Cosa vieta ad un antivirus, ad esempio, di effettuare hooking su processi sospetti e bloccare l'esecuzione di api dannose?

Ho portato l'esempio di Windows perché è un sistema operativo che conosco meglio, ma l'esempio è solo per rendere l'idea.


Qui nessuno ha mai affermato che un antivirus possa essere la panacea di tutti i mali, ma da qui a definirlo inutile ce ne passa di acqua sotto i ponti.

La sicurezza di un sistema operativo è composta da tanti fattori, da funzionalità integrate (citavi il DEP), a firewall e anche da anti virus.

anche il portone di casa è inutile, se il ladro sa come aprirlo ;)