Antivirus e storie su Vista

[nuovoUtente86]

Leggo da piu parti testualmente:"Il kernel di Vista nn puo essere patchato e ciò crea problemi all' antivirus"....
ma che vuol di che il kernel non puo essere patchato?

Quote:

Originariamente inviato da nuovoUtente86

Leggo da piu parti testualmente:"Il kernel di Vista nn puo essere patchato e ciò crea problemi all' antivirus"....
ma che vuol di che il kernel non puo essere patchato?

Che molti software antivirus non riescono ad accedere con le loro funzioni all'interno del kernel di vista in quanto ben chiuso.

Molti antivirus (vabbè il 99 % ) si intrufolano pesantemente all'interno..installando e qualche volta sovrascrivendosi a codici del kernel.

Ora come ora è praticamente superfluo pure l'uso di un av....quando con SP1 MS sarà costretta dalle leggi a modificare sia la fuonzione cerca che ad aprire le api...saranno dolori... in quanto diverrà mira prediletta di hacker, cracker e compagnia bella.

Attualmente è davvero quasi una cassaforte....dopo NIN so

[nuovoUtente86]

e come mai farnno questa operazione..se regredisce la sicurezza.?allora conviene non installare il SP1?

Quote:

Originariamente inviato da nuovoUtente86

e come mai farnno questa operazione..se regredisce la sicurezza.?allora conviene non installare il SP1?

perchè sia google che le case di AV si sono ribellate (queste ultime è da Dicembre che mugugnano)....sulla convenienza o no di installare sp1...ancora è presto

[nuovoUtente86]

hai dei link dove poter leggere qualcosa a riguardo del kernel e di questa storia?

[innominato5090]

Quote:

Originariamente inviato da nuovoUtente86

e come mai farnno questa operazione..se regredisce la sicurezza.?allora conviene non installare il SP1?

antitrust

[pistolino]

Quote:

Originariamente inviato da Ferdy78

Ora come ora è praticamente superfluo pure l'uso di un av....quando con SP1 MS sarà costretta dalle leggi a modificare sia la fuonzione cerca che ad aprire le api...saranno dolori... in quanto diverrà mira prediletta di hacker, cracker e compagnia bella.

Attualmente è davvero quasi una cassaforte....dopo NIN so

Seeeeee...come no.

http://www.hwupgrade.it/forum/showpo...5&postcount=12

E non aggiungo altro.
Basti sapere che questo Patchguard non impensierisce affatto i virus/rootkit/altri malware, mentre complica la vita ai produttori antivirus che non vogliono aggirare il Patch guard su richiesta di Microsoft. Quindi senza gli antivirus a livello kernel come in XP, Vista è meno sicuro del predecessore.

Regards

[pistolino]

Quote:

Originariamente inviato da nuovoUtente86

hai dei link dove poter leggere qualcosa a riguardo del kernel e di questa storia?

Oltre ai link alle notizie che ho postato poco sopra, invito chi fosse interessato a leggere anche il ragionamento che avevo fatto tempo fa, confermato peraltro da nV 25 che, per chi non lo sapesse, è, a mio parere (e non solo... ) uno degli utenti più esperti della sezione "Antivirus e sicurezza".

Ecco i link:

Link al mio pensiero su PatchGuard (parte 1)

Link al mio pensiero su PatchGuard (parte 2)

Link alla risposta di nV 25

Regards

Quote:

Originariamente inviato da pistolino

Oltre ai link alle notizie che ho postato poco sopra, invito chi fosse interessato a leggere anche il ragionamento che avevo fatto tempo fa, confermato peraltro da nV 25 che, per chi non lo sapesse, è, a mio parere (e non solo... ) uno degli utenti più esperti della sezione "Antivirus e sicurezza".

Ecco i link:

Link al mio pensiero su PatchGuard (parte 1)

Link al mio pensiero su PatchGuard (parte 2)

Link alla risposta di nV 25

Regards

[hexaae]

Che strano però... io tutta questa sicurezza in XP grazie ai software av che patchavano il kernel non l'ho mai vista, anzi XP si infettava facilmente e a meraviglia (basta vedere il numero di virus usciti per questo OS e la frequenza con cui uscivano)
Che non farebbero e direbbero per vendere il loro software i produttori di av...!
Secondo me è sempre bene prendere con le molle le loro notizie. Sai com'è, finirebbero tutti disoccupati se un giorno uscisse un OS veramente blindato 100%...
La gestione dei processi e servizi con bassi privilegi introdotta in Vista è già una bella botta a moltissimi virus, altro che av super-avanzati, IMHO...
Non sono cmq un esperto di av per Windows io...

[hexaae]

Quote:

Originariamente inviato da Ferdy78

Che molti software antivirus non riescono ad accedere con le loro funzioni all'interno del kernel di vista in quanto ben chiuso.

Molti antivirus (vabbè il 99 % ) si intrufolano pesantemente all'interno..installando e qualche volta sovrascrivendosi a codici del kernel.

Chissà perché mi viene da pensare ai classici problemi del passato coi prodotti Norton...

Quote:

Originariamente inviato da Ferdy78

Ora come ora è praticamente superfluo pure l'uso di un av....quando con SP1 MS sarà costretta dalle leggi a modificare sia la fuonzione cerca che ad aprire le api...saranno dolori... in quanto diverrà mira prediletta di hacker, cracker e compagnia bella.

Attualmente è davvero quasi una cassaforte....dopo NIN so

Col piffero infatti che mi fido a installare la Google search bar nel desktop piuttosto che quella integrata di MS che garantisce almeno un po' di sicurezza in più dato che ha al suo interno anche un'intera sezione di sviluppo concentrata sulla sicurezza (e in cui investe milioni di dollari) a differenza di Google... Senza contare la tutto sommato efficiente frequenza di update garantita da Windows Update. Insomma su Vista è meglio lasciar mettere le mani a MS, IMHO, in ambiti così rischiosi...

[hexaae]

Quote:

Originariamente inviato da pistolino

Oltre ai link alle notizie che ho postato poco sopra, invito chi fosse interessato a leggere anche il ragionamento che avevo fatto tempo fa, confermato peraltro da nV 25 che, per chi non lo sapesse, è, a mio parere (e non solo... ) uno degli utenti più esperti della sezione "Antivirus e sicurezza".

Ecco i link:

Link al mio pensiero su PatchGuard (parte 1)

Link al mio pensiero su PatchGuard (parte 2)

Link alla risposta di nV 25

Regards

I link li ho letti, ma parlano di un problema precedente alla release finale di Vista, nel lontano Ottobre 2006. Problema per altro non dimostrato dato che chiunque è in grado di dire "posso fare questo e quest'altro" ma non dando documentazione (come risulta da quegli articoli in cui si parla solo di "dichiarazioni" e "vaghe") che prove ci sono? Si aggiunge inoltre nell'articolo che MS se ne sarebbe occupata e infatti a tutt'oggi non ne ho più sentito parlare...

Inoltre se non ho capito male il problema riscontrato su Vista e non su XP di cui parlavi riguardava l'esecuzione già avventua di codice malware in locale (e a questo punto se già te lo sei beccato e l'hai eseguito mi interessa poco se non riesce a comunicare all'esterno aggirando il fw grazie alle protezioni inserite dall'av nel kernel...la sicurezza della tua macchina è già compromessa a priori. Ho capito male?).

Io resto sempre molto scettico sull'utilità degli av (intendo da non sopravvalutare, non che siano inutili!) e sulle ditte che li producono e dicono di trovare sempre nuove falle...

[pistolino]

Quote:

Originariamente inviato da hexaae

Che strano però... io tutta questa sicurezza in XP grazie ai software av che patchavano il kernel non l'ho mai vista, anzi XP si infettava facilmente e a meraviglia (basta vedere il numero di virus usciti per questo OS e la frequenza con cui uscivano)
Che non farebbero e direbbero per vendere il loro software i produttori di av...!
Secondo me è sempre bene prendere con le molle le loro notizie. Sai com'è, finirebbero tutti disoccupati se un giorno uscisse un OS veramente blindato 100%...
La gestione dei processi e servizi con bassi privilegi introdotta in Vista è già una bella botta a moltissimi virus, altro che av super-avanzati, IMHO...
Non sono cmq un esperto di av per Windows io...

Liberissimo di utilizzare Vista, anche senza antivirus.
Su XP, nei primi anni dalla sua uscita, c'erano moltissimi virus per il semplice fatto che la gente andava su Internet senza nemmeno abilitare il firewall di rete che già XP originale possedeva (meno potente del più recente Windows Firewall, ma che avrebbe potuto evitare epidemie come Blaster, Sasser etc...).
Un OS blindato non esisterà mai, garantito. Quindi se il discorso è quello, le case antivirus hanno ben poco di cui preoccuparsi. Per quanto riguarda la protezione offerta da Vista, non è rose e fiori come viene fatto credere da molti...molti test di sicurezza falliscono, con la differenza che, mentre su XP possono essere "sanati" da appositi programmi che monitorano le API interfacciandosi con il kernel, su Vista ciò non è possibile.

Una letturina al proposito la trovi qui:

http://www.firewallleaktester.com/ar...leaktests.html

Regards

[pistolino]

Quote:

Originariamente inviato da hexaae

I link li ho letti, ma parlano di un problema precedente alla release finale di Vista, nel lontano Ottobre 2006. Problema per altro non dimostrato dato che chiunque è in grado di dire "posso fare questo e quest'altro" ma non dando documentazione (come risulta da quegli articoli in cui si parla solo di "dichiarazioni" e "vaghe") che prove ci sono? Si aggiunge inoltre nell'articolo che MS se ne sarebbe occupata e infatti a tutt'oggi non ne ho più sentito parlare...

Ancora prima del rilascio di Vista alle aziende, un gruppo di hacker aveva trovato il modo per:

1) Eludere Patchguard
2) Aggirare le richieste di UAC, utilizzando uno script che dessero il consenso al posto dell'utente.

Non ne hai più sentito parlare, semplicemente perchè MS non ha mai rilasciato, che io sappia, su Windows Update una patch per Patchguard o per UAC. Anzi, sembrerebbe intenzionata ad "allentare" Pacthguard con il Service Pack 1. E per fortuna, aggiungerei...almeno con l'accesso al kernel, potremo lasciar difendere il sistema ai programmi che veramente ne sono in grado, e non a un PatchGuard che è già stato aggirato.

Quote:

Originariamente inviato da hexaae

Inoltre se non ho capito male il problema riscontrato su Vista e non su XP di cui parlavi riguardava l'esecuzione già avventua di codice malware in locale (e a questo punto se già te lo sei beccato e l'hai eseguito mi interessa poco se non riesce a comunicare all'esterno aggirando il fw grazie alle protezioni inserite dall'av nel kernel...la sicurezza della tua macchina è già compromessa a priori. Ho capito male?).

Io resto sempre molto scettico sull'utilità degli av (intendo da non sopravvalutare, non che siano inutili!) e sulle ditte che li producono e dicono di trovare sempre nuove falle...

Consiglio una lettura del primo post di questo thread, che ti permetterà di capire le possibilità offerte da un sistema di protezione che operi a livello kernel.

http://www.hwupgrade.it/forum/showthread.php?t=1064733

Regards

[hexaae]

...È l'approccio in sè che critico io: da un lato quello del super-av interfacciato al kernel per avere controllo sulle API e implementare nuovi layer di sicurezza, con rischi di problemi e incompatibilità tra l'altro; dall'altro quello di un OS che leva privilegi (se non puoi manco salvare un file o aprire il registry, non può fare nulla il virus!) e assicura pertanto una certa sicurezza, con in più un av tradizionale che non si interfacci al kernel in modo invasivo.
Per usare una metafora è come un castello medievale in cui, nel primo caso lasci il portone aperto ma metti all'interno un poderso esercito di guardie ben addestrate, e nel secondo caso invece crei una bella trincea con fossato, ponte levatoio e portone in bronzo sprangato.
Io sono più per il secondo metodo. Anni e anni di Unix dimostrano che è la via migliore che lasciare l'OS più aperto e attaccabile da ogni parte come era stato in passato su sistemi Windows. Certo, in questo caso ti affidi in tutto e per tutto a mamma MS (matrigna MS ?) e alle sue cure per il kernel ma recentemente mi sembra che stia facendo bene in questo senso. Vedi i pochissimi buchi individuati fino ad ora in Vista (solo 10, fixati tutti quelli "critical" e "medium")...
Eppoi il fatto stesso che Kaspersky, McAfee e Symantec storcano il naso quando si parla di Vista è di per sè buon sintomo di sicurezza dell'OS

[pistolino]

Quote:

Originariamente inviato da hexaae

...È l'approccio in sè che critico io: da un lato quello del super-av interfacciato al kernel per avere controllo sulle API e implementare nuovi layer di sicurezza, con rischi di problemi e incompatibilità tra l'altro; dall'altro quello di un OS che leva privilegi (se non puoi manco salvare un file o aprire il registry, non può fare nulla il virus) e assicura pertanto una certa sicurezza, con in più un av tradizionale che non si interfacci al kernel.
Io sono più per il secondo metodo. Anni e anni di Unix dimostrano che è la via migliore che lasciare l'OS più aperto e attaccabile da ogni parte come era stato in passato su sistemi Windows. Certo, in questo caso ti affidi in tutto e per tutto a mamma MS (matrigna MS ?) e alle sue cure per il kernel ma recentemente mi sembra che stia facendo bene in questo senso. Vedi i pochissimi buchi individuati fino ad ora in Vista (solo 10, fixati tutti quelli "critical" e "medium")...
Eppoi il fatto stesso che Kaspersky, McAfee e Symantec storcano il naso quando si parla di Vista è di per sè buon sintomo di sicurezza dell'OS

Forse il concetto non è chiaro. Se il kernel di Vista fosse davvero protetto contro virus, rootkit e altri malwares in genere, allora si potrebbe benissimo evitare di utilizzare prodotti che controllino l'utilizzo delle API. Ma purtroppo il kernel di Vista è accessibilissimo ai virus, mentre crea solo problemi ai programmi progettati per offrire protezione a basso livello.
Il risultato è che Vista, al momento, è di gran lunga meno sicuro di un XP adeguatamente protetto da firewall, antivirus e HIPS.

Tutto qui.

Regards

[hexaae]

Quote:

Originariamente inviato da pistolino

Forse il concetto non è chiaro. Se il kernel di Vista fosse davvero protetto contro virus, rootkit e altri malwares in genere, allora si potrebbe benissimo evitare di utilizzare prodotti che controllino l'utilizzo delle API. Ma purtroppo il kernel di Vista è accessibilissimo ai virus, mentre crea solo problemi ai programmi progettati per offrire protezione a basso livello.
Il risultato è che Vista, al momento, è di gran lunga meno sicuro di un XP adeguatamente protetto da firewall, antivirus e HIPS.

Tutto qui.

Regards

Un sistema sicuro al 100% non esisterà mai, infatti è importante anche il supporto per update e la velocità degli stessi, quando si parla di sicurezza...
Ma COME fanno ad entrare nel sistema quei virus, a farsi ESEGUIRE e quindi infettare il sistema se non possono farlo per via dei nuovi sistemi di sicurezza implementati in Vista? Su XP non c'era nulla di tutto ciò e un malware in generale poteva fare il buono e cattivo tempo per cui posso capire quel genre di ragionamento e di approccio. Su Vista non funziona semplicemente perché non riesce ad essere eseguito di nascosto, non può scrivere in directory chiave di sistema e non può modificare il registry. Come fa scusa ad infettare? È questo il nuovo approccio. Secondo me è meglio un sistema blindato in questo senso (e mi sembra che i dati statistici lo confermino).
La frase "Il risultato è che Vista, al momento, è di gran lunga meno sicuro di un XP adeguatamente protetto da firewall, antivirus e HIPS." l'avevo sentita infatti ripetere da quelli di Kaspersky e non va presa molto sul serio IMHO (ho detto prima perché) o di certo non come oro colato... di nuovo, le statistiche lo dimostrano: Vista è di fatto più sicuro di XP e questo già è sufficiente...

[pistolino]

Quote:

Originariamente inviato da hexaae

Un sistema sicuro al 100% non esisterà mai, infatti è importante anche il supporto per update e la velocità degli stessi, quando si parla di sicurezza...
Ma COME fanno ad entrare nel sistema quei virus, a farsi ESEGUIRE e quindi infettare il sistema se non possono farlo per via dei nuovi sistemi di sicurezza implementati in Vista? Su XP non c'era nulla di tutto ciò e un malware in generale poteva fare il buono e cattivo tempo per cui posso capire quel genre di ragionamento e di approccio. Su Vista non funziona semplicemente perché non riesce ad essere eseguito di nascosto, non può scrivere in directory
chiave di sistema e non può modificare il registry. Come fa scusa ad infettare? È questo il nuovo approccio. Secondo me è meglio un sistema blindato in questo senso (e mi sembra che i dati statistici lo confermino).

Il fatto è che tali meccanismi possono essere già aggirati dai virus. Il problema è proprio qui. Teoricamente sono una buona cosa, ma nella pratica falliscono.

Ti invito nuovamente a dare un'occhiata qui: http://www.firewallleaktester.com/ar...leaktests.html

Quote:

Originariamente inviato da hexaae

La frase "Il risultato è che Vista, al momento, è di gran lunga meno sicuro di un XP adeguatamente protetto da firewall, antivirus e HIPS." l'avevo sentita infatti ripetere da quelli di Kaspersky e non va presa molto sul serio IMHO o quanto meno non come oro colato... di nuovo, le statistiche lo dimostrano: Vista è di fatto più sicuro di XP e questo già è sufficiente...

Sinceramente non sapevo che tale frase fosse stata detta da Kaspersky. L'ho semplicemente scritta sul momento, basandomi sulla mia esperienza personale e sulle statistiche relative ai test condotti su Vista.
Rimango pertanto della mia idea.

Regards

[hexaae]

Quote:

Originariamente inviato da pistolino

Il fatto è che tali meccanismi possono essere già aggirati dai virus. Il problema è proprio qui. Teoricamente sono una buona cosa, ma nella pratica falliscono.

Ci sono esempi documentati?

Quote:

Originariamente inviato da pistolino

Ti invito nuovamente a dare un'occhiata qui: http://www.firewallleaktester.com/ar...leaktests.html

Ok, me lo leggo con calma...
Ho anche trovato questo interessante articolo: http://www.hwupgrade.it/articoli/sic...zza_index.html ...ora me lo leggo bene

Quote:

Originariamente inviato da pistolino

Sinceramente non sapevo che tale frase fosse stata detta da Kaspersky. L'ho semplicemente scritta sul momento, basandomi sulla mia esperienza personale e sulle statistiche relative ai test condotti su Vista.
Rimango pertanto della mia idea.
Regards

Naturale! Anche la mia è solo un'opinione...

[hexaae]

Dunque,
ho seguito quel link e ho anche eseguito alcuni di quei leak-test che in effetti su una config base (ovvero di default, a cui non si è messo mano) funzionano... ma il punto è che tutti quelli che vanno sono test in outbound, ovvero tu li lanci in locale (e sottolineo questo fatto) e si collegano all'esterno. Beh, non c'è nulla di strano dal momento che Vista ha il firewall di default impostato in modo da consentire collegamenti in outbound senza regole! Alcuni di quei test più critici falliscono nella creazione di file in locale (come mi attendevo, date le nuove protezione di Vista) quindi sono inutili. Inoltre volendo si può benissimo impostare il fw di Vista in modo da bloccare le connessioni outbound non consentite esplicitamente, bastano pochi click del mouse. A questo punto nemmeno la maggior parte di quei leak-test che prima funzionavano, andranno più. Qualcuno di quei test, come il Thermite ancora funzioneranno (e in effetti il fw di Vista è migliorabile...) ma...

La morale è molto semplice: se accedi ad una macchina in locale e le fai eseguire del codice (= lanci un programma), beh, stai sicuro che non esiste Vista o Linux o Solaris che tengano dal momento che puoi fargli fare teoricamente tutto quello che vuoi. Dipende tutto dall'abilità di chi ha creato il malware e dalla sua conoscenza dell'OS. Non esiste protezione alcuna (anzi! È già saltata!). È un falso problema di sicurezza perciò! Il problema vero è bloccare i virus e il malware in entrata (email, WWW, eventuali scambi di file infetti con conoscenti, e accessi in-bound indesiderati tramite porte etc.) cosa che Vista con un antivirus "classico" fa benissimo. Insomma nessun allarmismo io direi...
Non mi fido affatto a lasciare "sostituire" da un av parti del kernel nella speranza di un'AI che intercetti simili comportamenti virali... Io resto di questa opinione