Validità leak-test - perplessità

[kkt77]

Gentili utenti,

provo ad aprire questa discussione, per avere i vostri pareri.
Non lavoro nel campo, non sono un esperto, ma sono un utente che cerca di non prendere per "oro colato" tutto ciò che gli si dice.
Mi spiego meglio.
Ormai da qualche settimana frequento i thread in cui ci si scambia pareri su quale sia l'antivurs e/o il firewall migliori.
Tutto è nato perché avevo la possibilità di usare, gratuitamente, una suite di una marca non proprio sconosciuta, ma volevo sapere qualcosa in più sulla sua validità, considerando anche che, sulle riviste, a volte premiano prodotti che altrove sono reietti.
Ebbene, come antivirus, a parte Nod32 e Kaspersky, c'è molta disomogeneità di pareri, ma ci sono i test di av-comparatives, che dovrebbero essere la Bibbia del campo... e quelli dovrebbero contare più di un parere.
Ci sono i test pure per i firewall.... ma c'è chi ne constesta l'efficacia, almeno per le suite, che era ciò che cercavo io.
Ebbene, volevo sapere un vostro parere al riguardo.

In particolare, vi cito cosa dicono alcuni produttori per difendere sì i loro prodotti non performanti, ma secondo me alcuni non dicono cose insentate (i pareri completi qui:
http://www.matousec.com/projects/win...ts-results.php )

McAfee, Inc. - the vendor of McAfee Internet Security Suite
In pratica McAfee afferma che il firewall della sua suite non può essere testato con l'antivirus disattivato, perché il tutto è un "uno".
Se è vero che il test "sfonda" il firewall, secondo loro l'eseguibile che sfonderebbe il firewall sarebbe bloccato dal antivirus.

Sunbelt Software - the vendor of Sunbelt Kerio Personal Firewall

"However, we have some reservations about personal firewall "leak testing" in general. While we appreciate and support the unique value of independent security testing, we are admittedly skeptical as to just how meaningful these leak tests really are, especially as they reflect real-world environments.

The key assumption of "leak testing" -- namely, that it is somehow useful to measure the outbound protection provided by personal firewalls in cases where malware has already executed on the test box -- strikes us as a questionable basis on which to build a security assessment. Today's malware is so malicious and cleverly designed that it is often safest to regard PCs as so thoroughly compromised that nothing on the box can be trusted once the malware executes. In short, "leak testing" starts after the game is already lost, as the malware has already gotten past the inbound firewall protection.

Moreover, "leak testing" is predicated on the further assumption that personal firewalls should warn users about outbound connections even when the involved code components are not demonstrably malicious or suspicious (as is the case with the simulator programs used for "leak testing"). In fact, this kind of program design risks pop-up fatigue in users, effectively lowering the overall security of the system -- the reason developers are increasingly shunning this design for security applications. "
E' interessante quando dicono che il controllo del flusso in uscita è il "fare una battaglia quando il gioco è già perso, perché l'infezione già iniziata".

Insomma... ma allora quanto è corretto assumere questi test come Bibbia per l'acquisto/scelta di una suite?
Grazie a tutti
p.s. francamente, mi sto facendo l'opinione che, possedendo un livello base di sicurezza, questo basti e se poi dovesse succedere qualcosa, questo succederebbe comunque, perché sono pur sempre i "pirati" a condurre il gioco, chi fa' sicurezza insegue solo.
Per ora proseguo con l'F-Secure 2008, da 36 euro all'anno (per 3 pc), ma ne son poco convinto.

per quanto riguarda i leak test c è come giustamente facevi notare qualche perplessità sulla loro reale attendibilità come riportato qui
http://lafabbricadibyte.wordpress.co...l-primo-posto/

[leolas]

bè, logico che non rispecchino il firewall al 100%.. forse ne "mostrano" solo un 50% o meno, ma noi comuni mortali faremo fatica a saperlo...

in ogni caso, hanno detto che cambieranno le prove per il prossimo test, dato che Online Armor e Agnitum hanno raggiunto il 100%.....

[W.S.]

Quote:

Originariamente inviato da kkt77

Insomma... ma allora quanto è corretto assumere questi test come Bibbia per l'acquisto/scelta di una suite?
Grazie a tutti
p.s. francamente, mi sto facendo l'opinione che, possedendo un livello base di sicurezza, questo basti e se poi dovesse succedere qualcosa, questo succederebbe comunque, perché sono pur sempre i "pirati" a condurre il gioco, chi fa' sicurezza insegue solo.
Per ora proseguo con l'F-Secure 2008, da 36 euro all'anno (per 3 pc), ma ne son poco convinto.

Ciao kkt77.
I tuoi dubbi sono fondatissimi. I test che vengono fatti per confrontare o valutare i sistemi di sicurezza sono solo indicativi e vanno presi come "indicatori" non come bibbie. Il problema è che quando si parla di sicurezza informatica si può dire tutto e il contrario di tutto perché in fondo nessuno può dimostrare chi ha ragione e chi torto. Inoltre, per vari motivi, siamo abituati a software bacati e a software che ci proteggono dai software bacati ma che introducono a loro volta alcuni problemi (addirittura potenziali bug).

Non posso quindi che darti ragione l'unico consiglio è passare ad una soluzione free in modo da non spendere soldi e rimanere comunque protetti più o meno nello stesso modo.
Soprattutto, nel "livello base di sicurezza" andrebbe introdotta la consapevolezza dell'utente che spesso aiuta molto più della migliore suite.

[kkt77]

Oh.. è piacevole ogni tanto averci azzeccato (è raro...ma qualche volta capita :-) ).
Per una volta... il non avere certezze non è sintomo di ignoranza.
Certo, la protezione migliore è la prudenza o meglio, l'accortezza, come in tutti i campi.
Un saluto a tutti e...buon anno.

[kkt77]

Beh, i test degli antivirus non mi sono informato molto, ma a quanto ne so possono essere considerati molto attendibili, perché gli mettono in pasto tutti i virus et simili e si vede quanti ne individuano.
Quindi, un antivirus che ne individua pochi.... non ha molte attenuanti.
Sembrerebbe, ma devo ancora leggere il link fornito da ShoShen, che il discorso per i firewall sia più complesso ed incerto, in tal senso più sottoponibile a critica.

[Bugs Bunny]

Mc afee ha totalmente torto. Non possono nascondersi dietro un dito. Un firewall
deve bloccare TUTTI i tentativi di comunicazione con l'esterno,non solo quelli che l'antivirus non riconosce

[kkt77]

Faccio una domanda da profano.
Il malware si è insediato nel pc (dunque,per dirla come la dicono quelli del Kerio Personal Firewall e del mcAfee, il "danno è già fatto") e cerca di connettersi con l'esterno.
Può spacciarsi di essere una qualsiasi funzione di sistema e chiedere all'utente l'autorizzazione a comunicare?
Chiaro, che se questa applicazione si chiamasse ticaccioidatidellacartadicredito.exe forse desterebbe sospetti, ma quanti sono i nomi dei processi di sistema che esistono nel nostro taskmanager? Di sicuro non pochi...

[xcdegasp]

Quote:

Originariamente inviato da kkt77

Faccio una domanda da profano.
Il malware si è insediato nel pc (dunque,per dirla come la dicono quelli del Kerio Personal Firewall e del mcAfee, il "danno è già fatto") e cerca di connettersi con l'esterno.
Può spacciarsi di essere una qualsiasi funzione di sistema e chiedere all'utente l'autorizzazione a comunicare?
Chiaro, che se questa applicazione si chiamasse ticaccioidatidellacartadicredito.exe forse desterebbe sospetti, ma quanti sono i nomi dei processi di sistema che esistono nel nostro taskmanager? Di sicuro non pochi...

per iniziare dico da subito che l'argomento che hai solevato e le domande che porgi mi piacciono molto questo dimostra che hai la voglia e l'obbiettivo di capire e apprendere.. se può apparire cosa scontata a certi occhi è sicuramente cosa aprezzabile vero altri punti di vista

io vedo i leaktest come applicazioni geniali, non dicerto affidabili al 100%, ma geniali nel senso che tendono a riprudurre una situazione reale che può verificarsi in qualsiasi momento nello stesso tempo situazione critica perchè cerca di evidenziare determinati punti deboli... non tutti! l'obbiettivo non è sminuire il firewall in questione ma evidenziargli dove abbassa la guardia..
di tutti quanti i test sono rilasciati i sorgenti e questo secondo me è un altro punto a favore nel senso che tendono anche a dar alle aziende coinvolte materiale il più completo possibile.

tutto questo dal punto di vista di un programmatore quindi dal punto di vista di chi si pone la domanda: "come faccio a verificare quanto sia affidabile un firewall software?" o "posso stare sicuro che funziona il firewall con questo setting?"
gli attacchi esterni qualsiasi software li blocca perchè sono quelli interni il problema. basti pensare al malware Gromozon ( Blog italiano specializzato ) per rendersi conto di cosa attende un firewall...

dal punto di vista di utente-consumatore non mi porgo di certo le domande di come testarlo ma di cosa reputare affidabile come risultato e come dati..
in questo tema è dominante il compromesso ossia quanto si è disposti a sottostare a un programma, quindi il firewall deve essere il più vicino possibile alle esigenze dell'utente.
un esempio è mio padre, non sa' nulla di informatica quindi è proprio un esempio calzante inquanto classico "utente-bambino":
il programma per essergli simpatico non deve fare domande o il meno possibile (max 3 al giorno), non deve pretendere ovvaimente conoscenze sul tema trattato, non deve bloccare la normale navigazione, deve dare subito il consiglio di cosa fare senza troppo dilungarsi in particolari.

questo è il firewall-software perfetto perchè evidenziewrebbe, se esistesse e pienamente funzionate e con livello di protezione abbondante, un ottima intelligenza artificiale al punto da fidarsi e delegargli le decisioni senza entrarne in merito.

per questo dico e parlo di compromesso, un compromesso tra qualità/grafica/piacevolezza/altro e la nostra idea/obbiettivo/sogno/voglia/indispensabilità che deve possedere e consegnare nelle nostre mani.

i leaktest e malware hanno cmq smosso le acque semi stagnanti perchè ora i firewall interano un hips per monitorare la situazione interna al pc come appunto feci un esempio calzante qui:
http://www.hwupgrade.it/forum/showpo...57&postcount=2

comunque io sono curioso di vedere e provare cosa produrranno per testare nuovamente i firewall

[gabryflash]

Quote:

Originariamente inviato da Bugs Bunny

Mc afee ha totalmente torto. Non possono nascondersi dietro un dito. Un firewall
deve bloccare TUTTI i tentativi di comunicazione con l'esterno,non solo quelli che l'antivirus non riconosce

quoto..anche se sempre più spesso gli hackers usano l'autorizzazione di programmmi ritenuti sicuri per accedere all'esterno..viaggiando si può dire sopra il programma stesso...purtroppo ora come ora non credo esista un firewall capace di distinguere tra programma da noi siglato come sicuro e che quindi ha pieno accesso ad internet e uno identico ma che viene sfruttato per inviare dati all'esterno..

[xcdegasp]

Quote:

Originariamente inviato da gabryflash

quoto..anche se sempre più spesso gli hackers usano l'autorizzazione di programmmi ritenuti sicuri per accedere all'esterno..viaggiando si può dire sopra il programma stesso...purtroppo ora come ora non credo esista un firewall capace di distinguere tra programma da noi siglato come sicuro e che quindi ha pieno accesso ad internet e uno identico ma che viene sfruttato per inviare dati all'esterno..

bhè qualsiasi programma di analisi comportamentale cips/hips individua e segnala questi eventi poi è l'utente che deve prendere una decisione (hips) o all'utente viene detto cosa sta succedendo e in base a un database centrale e gli eventi che stavano accadendo il programma lo marchia come maligno (cips) e lo invia al suo centro d'analisi per farlo analizzare.

è da 2 anni che le aziende di firewall hanno compreso che la strada ormai è integrare unm programma hips per appunto "controllare i maggiordomi" (rifacendomi all'esempio che avevo linkato nel mio precedente essaggio) e appunto chi non possiede questo modulo già oggi non riesce a porre un vero muro difensivo

[gabryflash]

Quote:

Originariamente inviato da xcdegasp

bhè qualsiasi programma di analisi comportamentale cips/hips individua e segnala questi eventi poi è l'utente che deve prendere una decisione (hips) o all'utente viene detto cosa sta succedendo e in base a un database centrale e gli eventi che stavano accadendo il programma lo marchia come maligno (cips) e lo invia al suo centro d'analisi per farlo analizzare.

è da 2 anni che le aziende di firewall hanno compreso che la strada ormai è integrare unm programma hips per appunto "controllare i maggiordomi" (rifacendomi all'esempio che avevo linkato nel mio precedente essaggio) e appunto chi non possiede questo modulo già oggi non riesce a porre un vero muro difensivo

me ne suggerisci qualcuno di veramente valido da provare? ps: se in italiano è meglio..l