HIPS o Sistema Virtuale ?

[sampei.nihira]

Un sondaggio sulle protezioni evolute.
Ditemi voi se è improprio abbinare questi 2 sistemi evoluti di protezione.
Secondo me no.

Direi che è un sondaggio oltre la media perchè ritengo (ma posso sbagliare) che l'utente medio italiano non usi nessuno dei sistemi inseriti nel titolo.
In definitiva è l'utente che decreta il successo di un prodotto.
Vediamo chi sarà il vincitore.

Non inserisco volutamente altre voci.
Chi vota deve decidere (si presuppone dopo aver provato ma al limite non è condizione esclusiva) o l'uno o l'altro.

[nV 25]

Confesso di non aver capito una emerita...

Abbinare?
Che vorresti sapere più precisamente?

La VM, personalmente, la trovo la figata più figata di tutte:
riproduzione di un sistema reale in un ambiente isolato, quindi massima flessibilità a fronte di 0 rischi per l'ambiente ospitante...

E' un ambiente del quale ti importa una straricchissima cippa di quello che ci può avvenire dentro, ecc, specie poi se prendi degli snapshot (istantanee) da ripristinare all'occorrenza....

Siccome in VM provo per divertimento alcune cosette, ci stiocco all'occorrenza i software che più mi interessano realizzando pertanto il connubio VM+HIPS che citavi...

Cioè:
non capisco assolutamente nè dove vorresti arrivare nè dove sia il problema...

Bò:
resto in attesa di tue ulteriori delucidazioni per tarare eventualmente meglio la risposta....
Ovvio che ancora non ho votato...

EDIT:
mica ti starai chiedendo se queste 2 soluzioni possano considerarsi "concorrenti", e quindi, o VM o HIPS?
Non vedo infatti nessun tipo di competizione tra queste 2 soluzioni che rispondono a bisogni completamente diversi...

O forse ti stai chiedendo cosa sia più "sicuro" tra queste 2?

[murack83pa]

nn ho mai provato un Hips puro, ma se nel concetto di sistema virtuale è inglobato l'uso di programma di virtualizazzione come sandboxie (quindi nn solo di macchina virtuale), ritengo questa soluzione la meno rompiballe rispetto all'Hips e che offra una ottima protezione di sicurezza (dipende, come in tutto, come lo si utilizza), sopratutto se accompagnata dall'uso di account limitato

fermo restando le due diverse funzioni e finalità, che se sei un tipo smanettone e un po paranoico, puoi utilizzare in accoppiata....

ma riguardo la possibilità di abbinare le due soluzioni, dipende da come, imho, si usa sandboxie,come ho accennato sopra, ovvero:

se x la navigazione web, p2p e programmi di messaggistica si usa sandoboxie

se nell'installazione di nuovi programmi e applicativi vari, si usa prima sandboxie per testarli e verificarne la bonta

se, in estrema sintesi, si fa un uso continuo e quasi paranoico di sandboxie, credo, per quanto me ne possa intendere, nn essendo un tecnico, inutile o quanto meno nn strettamente necessario un software Hips... a meno che poi tu voglia avere sempre sottocontrollo tutto, anche solo per una sensazione di maggiore protezione e sicurezza

in ultima analisi, ritengo l'uso di programmi come sandboxie anche solo per la navigazione web e il p2p, un qualkosa di piu facile per l'utenza media* rispetto ad un software Hips, e che offre un alto grado di protezione

*dove per utenza media nn si intende, imho, chi nn sa nemmeno cosa sia un antispyware o nn sappia disattivare il ripristino configurazione sistema.....

poi nn c'è dubbio che c sono persone che nn si intendono una cippa, ma nn sono cosi tanto convinto che il livello di conoscenza dell'informatica sia cosi basso come leggo in giro....forse mi sbaglio..

[nV 25]

EDIT:

Sistema virtuale = virtualizzatore puro o Virtual Machine come invece avevo capito io?



Grazie a murack83pa per l'illuminazione....






EDIT SUPER-FINALISSIMISSIMO:
Sampei, scusa ma sono fuori:
al 99% per Sistema Virtuale intendevi una cosa come quella resa possibile da Sandboxie...
Bè, in questo caso, resto sintonizzato per leggermi le risposte che vorranno fornirti altri utenti...
Il caso, cmq mi sembra fosse stato già dibattuto anche su wilders tempo fà...

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

Confesso di non aver capito una emerita...

Abbinare?
Che vorresti sapere più precisamente?

La VM, personalmente, la trovo la figata più figata di tutte:
riproduzione di un sistema reale in un ambiente isolato, quindi massima flessibilità a fronte di 0 rischi per l'ambiente ospitante...

E' un ambiente del quale ti importa una straricchissima cippa di quello che ci può avvenire dentro, ecc, specie poi se prendi degli snapshot (istantanee) da ripristinare all'occorrenza....

Siccome in VM provo per divertimento alcune cosette, ci stiocco all'occorrenza i software che più mi interessano realizzando pertanto il connubio VM+HIPS che citavi...

Cioè:
non capisco assolutamente nè dove vorresti arrivare nè dove sia il problema...

Bò:
resto in attesa di tue ulteriori delucidazioni per tarare eventualmente meglio la risposta....
Ovvio che ancora non ho votato...

Enne ho voluto mettere un sondaggio diciamo "esclusivista".
Capisco e concordo con te che ci siano utenti che possono abbinare contemporaneamente i due software.
Ognuno ha le sue peculiarità.
Ma entrambi si prestano con caratteristiche differenti ad un ottima protezione del sistema in fase di navigazione.

Considerando tutto ciò, un utente dovrebbe votare nel sondaggio il sistema preferito (o l'uno o l'altro non ci sono altre possibilità e mezze misure ).

p.s Lo sò che per te è una forzatura ma........vediamo dove arriviamo !!

p.s. 1 eh eh eh......Ma che "fuori" oggi è venerdì ed anche io sono un pò "terrazzato"

[murack83pa]

Quote:

Originariamente inviato da nV 25

EDIT:

Sistema virtuale = virtualizzatore puro o Virtual Machine come invece avevo capito io?



Grazie a murack83pa per l'illuminazione....

io pure inizialmente avevo inteso come VM, ma credo che, ai fini del sondaggio, nn si possano escludere software di virtualizzazione, specialmente se il fine è capire se, secondo gli utenti del forum, si possono accoppiare le due soluzioni e quale delle due sia piu sicuro...

fare riferimento solo alla Virtual Machine.....sminuisce e diminuisce* il campo di applizione del sondaggio...imho....

*scusate la rindondanza

ps: ciao Nv, riprendo quanto detto da te in un tuo vecchio, purtroppo morto, thread e che condivido

Quote:

Le soluzioni HIPS Behaviour Blocker puri (di fatto, quelli trattati più approfonditamente nel corso del thread...) *NON* si rivolgono ad un utenza di massa bensi' ai soli utenti che vogliano tenere sotto controllo ciò che avviene in seno alla propria macchina...
Per l'utenza "di massa", invece, sono espressamente disegnati altri software che poggiano le loro architetture sui concetti di SandBox e forme di Virtualizzazione...

[nV 25]

Ma per sistema virtuale intendi Sandboxie (o equivalenti) o proprio una Virtual Machine?

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

Ma per sistema virtuale intendi Sandboxie (o equivalenti) o proprio una Virtual Machine?

Sandboxie e simili.

[pistolino]

La mia preferenza va agli HIPS.
Devo ringraziare nV 25, che mi ha fatto avvicinare al mondo HIPS in modo "graduale", convincendomi (o meglio mi sono autoconvinto leggendo le sue opinioni ) a utilizzare il "mitico" KIS 6. Questo è stato il mio primo approccio ai behavior-blocker. Poi sono passato per ProcessGuard, SSM, di cui ho pubblicato sul forum una sottospecie di guida che ora giace in qualche byte sperduto del database delle discussioni.
Dopo è stata la volta di EQSecure, ottimo prodotto il cui sviluppo tuttavia è lento, come lo è, del resto, quello di molti software HIPS che, di fatto, sono dei progetti complessi gestiti da un solo sviluppatore.
Tutto ciò rallenta molto lo sviluppo e la risoluzione dei bug.

Defense+ di Comodo è già un progetto più attivo, perché vive sulle spalle di una fondazione solida, ma ho dovuto rinunciare a utilizzarlo per evitare accavallamenti e problemi con KIS, prodotto che ritengo assolutamente imprescindibile.
Ma finalmente è giunto KIS9, di cui ho installato la versione (quasi finale) TR e che offre un nuovo firewall con modulo HIPS completo integrato basato su una sorta di database delle applicazioni fidate. Tale scelta riduce il numero di notifiche e rende il prodotto più semplice da utilizzare. Ma la cosa bella è che settando i vari gruppi su "Ask for action", il nuovo HIPS by Kaspersky diventa, nei fatti, un HIPS tradizionale, consentendo un controllo completo delle attività di sistema (eseguibili, registro e file). Il tutto risulta poi integrato nella suite e si appoggia a un supporto decisamente stabile e affidabile. Sembrerebbe quindi risolto il "problema" di tutti gli HIPS da me provati finora, ossia la scarsa disponibilità di supporto e la lentezza nello sviluppo e nel rilascio dei fix.

Scusatemi per questo poema ma:

1) Il tema del sondaggio mi ha interessato molto e non ho potuto esimermi dall'intervenire in modo ampio e articolato.
2) Mi ha fatto molto piacere rivedere sul forum un intervento del sommo nV 25 dal quale, peraltro, gradirei qualche riscontro al mio intervento.

Regards

[sampei.nihira]

Quote:

Originariamente inviato da murack83pa

io pure inizialmente avevo inteso come VM, ma credo che, ai fini del sondaggio, nn si possano escludere software di virtualizzazione, specialmente se il fine è capire se, secondo gli utenti del forum, si possono accoppiare le due soluzioni e quale delle due sia piu sicuro...

fare riferimento solo alla Virtual Machine.....sminuisce e diminuisce* il campo di applizione del sondaggio...imho....

*scusate la rindondanza

ps: ciao Nv, riprendo quanto detto da te in un tuo vecchio, purtroppo morto, thread e che condivido

Bravo Murack83 hai espresso bene ciò che avevo in mente......ehm e volevo scrivere !!!
Evidentemente spesso non riesco ad essere facilmente comprensibile.
Mi dispiace molto e mi scuso !!

[Nicodemo Timoteo Taddeo]

Una volta che si è chiarito cosa si intende per sistema virtuale ho espresso il mio voto per quest'ultimo.

In tutta franchezza non credo molto agli HIPS non per eventuali carenze tecniche, ma per l'approccio richiesto all'utente. Penso che dopo qualche giorno di interesse ed in un certo senso entusiamo, l'utente che il computer lo usa solo per la normale attività e non per guardarlo lavorare e sentirsi tanto bravo da capire tutto quello che fa, finisce inevitabilmente per non prestare molta attenzione o perlomeno la giusta attenzione richiesta dalle finestre di allert dell'HIPS. Alla fine andrà di "allow" automatico e buonanotte HIPS

Succede con me che mi ritengo di cultura informatica ben sopra alla media, mi figuro l'utente che ne ha molto meno andare a leggere con attenzione il messaggio di allerta, valutare qual'è l'azione che viene segnalata, stabilire se è lecita o meno e finalmente dare o negare il consenso. Dopo un po' ci si rompe le scatole tranquilli

Meglio, molto meglio una eventuale sandboxie o metodo di virtualizzazione più o meno affine, che richiede meno attenzione e quindi alla fine garantisce, IMHO, più protezione nel tempo non solo i primi giorni.


Saluti.

[nV 25]

Se il confronto tra le 2 soluzioni è puramente legato alla semplicità d'uso (iterazione col software, amenità varie), la partita non inizia neppure essendo vinta 3-0 a tavolino con buona pace per lo sfidante, l'HIPS puro:
su questo credo nessuno posso obiettare nulla dato che il 1° approccio o simili (es il "pure policy-based" alla Defensewall) è disegnato per "incontrare" ANCHE un ebete....

Se il discorso si tenta invece di spostarlo sul piano dell'efficacia, si entra nell'alveo del aleatorio dato che non credo nessuno abbia mai pubblicato una comparativa seria tra i 2 approcci...

Per quello che può contare, ho visto cmq "fallire" più volte Sandboxie rispetto agli HIPS puri (wilders docet...):
si parla per carità di pochissime esperienze che poi hanno trovato il "Fix" in qualche release successiva, ma cmq...


EDIT:
legato alla semplicità d'uso, quoto Nicodemo Timoteo Taddeo che ha centrato perfettamente il problema, + e + volte imputato a questo filone di software...
Saluto poi cordialmente murack83pa e mando un abbraccio virtuale a pistolino...
Ciao!

[murack83pa]

Quote:

Originariamente inviato da nV 25

Per quello che può contare, ho visto cmq "fallire" più volte Sandboxie rispetto agli HIPS puri (wilders docet...):
si parla per carità di pochissime esperienze che poi hanno trovato il "Fix" in qualche release successiva, ma cmq...

ti riferisci quindi a bug poi fixati dalla software house oppure a malware che sono riuscito a rompere "il recinto" ?

e al proposito, e scusate l'ot, quali possono essere le tipologie di malware che, almeno ipoteticamente, se nn avete esperienze dirette, sono riuscite a travalicare sandboxie, escluso eventuali bug del programma stesso?

ad esempio...il temuto mbr rootkit...puo riuscire a penetrare nel sistema e travalicare il sandboxie?

scusate ancora per l'ot

[nV 25]

chiaro che mi riferisco alla 2° ipotesi...

A regola, cmq, tutto fixato:
io non ho esperienze dirette con questo filone di programmi e quello che riporto è rintracciabile + o - facilmente su wilders...

Questo mio discorso, poi, lascia il tempo che trova visto che non vuol essere certo denigratorio dell'effettività di queste soluzioni che anche secondo me sono abbondantemente preferibili per una larga fetta di utenza...

[juninho85]

un sistema virtualizzato al 100%(dunque HD primari e secondari)è come una baldracca con completino in kevlar,se pure c'hai la libido a limite e impossibile passare il valico
ai fini di test però trovo utile utilizzarli assieme,anche per aver modo di avvicinarsi al mondo degli HIPS senza far dann specialmente se si è di primo pelo in questo campo

[sampei.nihira]

Il mio voto va al S.V.
Anche io per semplicità ma anche e soprattutto per l'impatto sul sistema.


p.s. Ad onor di cronaca devo ammettere che nonostante il voto,non sono solito usare SV.
L'ho installato nel portatile (Returnil) solo per la "continua epidemia" di siti internet infetti.
Il SV quindi rimane relegato solo per eventuali ricerche con google in siti ignoti
che sotto windows sono più uniche che rare.
Ma sempre possibili,quindi meglio prevenire !!

Anche io ho letto di qualche bypass in SV.
Anche se Secunia mette in evidenza zero bugs sia nelle versioni nuove che vecchie
sia di Sandboxie e Returnil per citare i più diffusi.

Sarebbe interessante un test serio.

[marmotta88]

Ho votato hips. Ho giusto installato oggi Onlinearmor in ita.

Ero molto dubbioso sull' installazione di un simile software ( ho avuto una brutta esperienza tempo fa con Zone Alarm pro.
Invece questo software mi sta piacendo parecchio, perché è molto discreto e leggero.

Sono ufficialmente ritornato alla paranoid mode.

[riazzituoi]

.

[murack83pa]

Quote:

Originariamente inviato da riazzituoi

Tutti i software sono affetti da bug che possono comprometterne la sicurezza, quindi anche i "virtualizzatari" non sono esclusi.
Comunque di sistemi in grado di bypassare la virtualizzazione credo che non ce ne siano in circolazione, se non sottoforma di proof of concept.
Però bisogna anche distingure i vari progrmmi e quindi il metodo utilizzato per virtualizzare, infatti esistono diverse classi di software per la virtualizzazione, che vanno dalle classiche Virtual Machine ai virtualizzatori Shadow, dagli Instant System Recovery ai sandbox che si basano su precise policy, e ciascuna di queste categorie può anche intrecciarsi con le altre.
Quindi se li andiamo ad analizzare dal punto di vista della sicurezza, anche se superficialmente possono sembrare tutti uguali, in realtà non lo sono (in questo caso non mi riferisco ai bug).

Recentemente un hacker cinese (MJ0011) ha mostrato un suo proof of concept in grado di bypassare hips, av, e virtualizzatori, però non ha rilasciato molti dettagli (e sinceramente la cosa puzza un pò di bufala)

PS
Con Returnil comunque per adesso puoi stare tranquillo, perchè dal punto di vista della sicurezza si è dimostrato rocksolid, infatti è in grado di proteggere anche dagli accessi al disco a basso livello

ciao riazzituoi

ho un paio di domande:

il "sistema di virtualizzazione" di Returnil è lo stesso usato da Sandboxie? i due software sono simili oppure proteggono in modo diverso? e si possono usare entrambi contemporaneamente?

e tra i due, quali ritieni piu sicuro?

nn so se è OT, eventualmente me ne scuso

[riazzituoi]

.