HIPS: nuove tecnologie per la sicurezza

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...zza_index.html

Gli attuali software antivirus sono incapaci di bloccare immediatamente le minacce più nuove e le tecniche utilizzate risultano inefficaci contro la gran mole di nuove infezioni giornaliere. Analizziamo quali sono i rimedi offerti dai software di analisi comportamentale con Jacques Erasmus, direttore del centro ricerca malware di Prevx

Click sul link per visualizzare l'articolo.

[Darkangel666]

Non esiste la cura definitiva ad un male in continua evoluzione.

[2030]

Secondo me delle soluzioni valide ci sono già, basta avere il coraggio di sceglierle...

[serassone]

Quote:

Il futuro? Ci saranno sempre vulnerabilità, specialmente nei nuovi codici come Windows Vista. Il nuovo Network Stack per esempio promette divertimento per i più smanettoni. La scorsa settimana, al BlackHat Conference di Las Vegas, ho assistito ad una dimostrazione di Joanna Rutkowska che ha fatto vedere come un rootkit possa modificare il kernel di Vista in una manciata di secondi. Il futuro sarà sicuramente interessante.

I molti "enthusiast" che aggiorneranno immediatamente a Vista e gli ignari utenti che acquisteranno un pc l'anno prossimo non saranno molto contenti di essere oggetto di "divertimento" e di" interesse"...

[mauriziofa]

I molti "enthusiast" che aggiorneranno immediatamente a Vista e gli ignari utenti che acquisteranno un pc l'anno prossimo non saranno molto contenti di essere oggetto di "divertimento" e di" interesse"...


Bè mi sembra un commento superficiale da chi non ha provato a fondo tutte le versioni di Vista rilasciate. Innanzitutto chi produce antivirus non vede di buon occhio la protezione del kernel da manomissioni presente nella versione a 64bit di Vista e che non è invece presente nella versione a 32 bit ed in Xp perchè deve riscrivere buona parte del codice del programma.
E poi è meglio avere una nuova versione del sistema operativo con gli stessi problemi di xp, versione a 32bit di vista, ma con l'accesso limitato che continuare ad usare il vetusto e poco sicuro xp.
Quanto ai tentativi di rompere la protezioni degli accessi ai task linux è nato da sempre con la protezione dei file di sistema e con password superuser e utente ma non mi sembra che nessuno mai ha sviluppato prg in grado di rompere questa protezione non vedo perchè bisgona farlo per Vista.

[gsorrentino]

Quote:

Originariamente inviato da 2030

Secondo me delle soluzioni valide ci sono già, basta avere il coraggio di sceglierle...

Se per soluzioni valide intendiamo che attraverso Apache e PHP si riesce ad avere privilegio di root...Mi sembra di essere tornato hai primi problemi di Windows 2000 e IIS...

Non esiste SO sicuro se non un SO installato su di un PC chiuso a chiave in un armadio blindato senza collegamenti con l'esterno.

Leggendo le news sui bug, noto con piacere che da quando molte amministrazioni pubbliche europee sono passate a Linux, il numero di esploit per questo SO stanno crescendo in maniera esponenziale. Probabilmente perchè hanno raggiunto la massa critica per investire su di loro, e poi perchè avendo i sorgenti a disposizione è più facile trovare bug anche in applicazioni minori...

Non oso pensare cosa succederà appena aumenterà il numero di utenti home che usa la macchina linux come root (come succede ora per windows con Administrator), visto che molte distribuzioni (anche live) delle riviste si installano per default così...Vedremo...

Dimenticavo...Nei post spesso si parla degli Utonti che lanciano i programmi o cliccano su link internet senza pensare...Suggerisco di vedere a loro come una versione particolare di smanettoni, capaci, dopo che un amministratore di rete ha bloccato tutti i programmi di P2P e FTP e limitato gli accessi WEB, di farsi mandare gli MP3 via email da un amico al quale hanno inviato un sms con l'elenco dei brani cercati....

[mauriziofa]

Originariamente inviato da gsorrentino:
Non oso pensare cosa succederà appena aumenterà il numero di utenti home che usa la macchina linux come root (come succede ora per windows con Administrator), visto che molte distribuzioni (anche live) delle riviste si installano per default così...Vedremo...

Finalmente un commento come si deve. Grazie. E' proprio quello che penso io, all'orizzonte si profilano 2 versioni di Vista una a 32 bit che sarà simile ad xp senza protezione del kernel per far girare le applicaziondi odierne ma con accesso come utente standard, l'altra molto simile a Linux con le stesse cose della 32bit ma in più la protezione del kernel che costringerà a riscrivere buona parte delle applicazioni ma con massima sicurezza (ad oggi le maggiori schermate blu sono determinate da codice di terze parti non sicuro che sostituisce quello del kernel provocando errori). Quindi meglio tutto ciò fin da subito che un xp aggiornato ma senza sicurezza di oggi

[sirus]

Quote:

Windows Vista potrebbe avere molte novità dal punto di vista della sicurezza per gli utenti, ma ritengo che molti avranno problemi lavorando in un ambiente con privilegi limitati a priori dal sistema operativo; ci sono già delle modifiche per rimuovere queste limitazioni che potrebbero creare non pochi problemi.

E' un peccato perché gli ambienti di lavoro con privilegi limitati sono a prescindere più sicuri e non sono particolarmente scomodi, se poi sono anche i sistemi operativi più avanzati ad usarli ci sarà ben un motivo.

Tornando più IT, l'idea di raccogliere informazioni direttamente dagli utenti è ovviamente buona, il fatto che però il database sia centralizzato (perfetto) ma disponibile solo se si è connessi aumenta le "latenze" e soprattutto è limitante se non si ha una connessione "always on".
Purtroppo è impossibile pensare di avere un DB di 3TB per capire se una minaccia è virale o meno ma credo che uno dei problemi di queste soluzioni CIPS sia proprio questo.

[gsorrentino]

Quoto sirus...

[NoLimit]

Quando si parla di linux e si dice che il codice è sotto gli occhi di tutti e si possono scoprire bug...
è vero, ma è altrettanto vero che potenzialmente ci sono molto più possibilità di stanarlo, segnalarlo, isolarlo, correggerlo, distribuire le patch o aggregarle in una revisione nuova del kernel e distribuirla.
E inoltre generalmente tutto questo avviene con una reattività maggiore che su sistemi proprietari. Questa è la mia personalissima opinione però.
Inoltre avere un codice visibile non necessariamente espone un pc a rischi, perchè non tutti i bug possono essere sfruttati come exploit per accedere al sistema.
Inoltre è vero che linux può essere usato come root, però è anche vero che un programmatore non può programmare difendendosi da intrusori e da utilizzatori; anche chi utilizza va educato a usare correttamente una risorsa. Linux come il futuro vista consente un accesso di tipo user/superuser, che già di per se rappresenta una buona barriera di partenza per ciò che riguarda l'esecuzione di codice malevolo.

Parere personale ovviamente di quasi ignorante, ma ci tenevo a puntualizzare.

[sirus]

Quote:

Originariamente inviato da NoLimit

Quando si parla di linux e si dice che il codice è sotto gli occhi di tutti e si possono scoprire bug...
è vero, ma è altrettanto vero che potenzialmente ci sono molto più possibilità di stanarlo, segnalarlo, isolarlo, correggerlo, distribuire le patch o aggregarle in una revisione nuova del kernel e distribuirla.
E inoltre generalmente tutto questo avviene con una reattività maggiore che su sistemi proprietari. Questa è la mia personalissima opinione però.
Inoltre avere un codice visibile non necessariamente espone un pc a rischi, perchè non tutti i bug possono essere sfruttati come exploit per accedere al sistema.
Inoltre è vero che linux può essere usato come root, però è anche vero che un programmatore non può programmare difendendosi da intrusori e da utilizzatori; anche chi utilizza va educato a usare correttamente una risorsa. Linux come il futuro vista consente un accesso di tipo user/superuser, che già di per se rappresenta una buona barriera di partenza per ciò che riguarda l'esecuzione di codice malevolo.

Parere personale ovviamente di quasi ignorante, ma ci tenevo a puntualizzare.

Mah... il problema è spinoso.
In uno scenario come quello attuale in cui gli utenti dei sistemi open source sono generalmente capaci e piuttosto attenti nell'aggiornare regolamente il proprio software il codice disponibile alla comunità è un bene (se questa è ben attiva).
In un possibile scenario in cui gli utenti che fanno uso dei sistemi open source sono meno capaci, diciamo nella media degli utenti che fanno uso di Windows e che sono reticenti nell'aggiornare il proprio sistema, anche una comunità molto attiva nel rilascio delle patch per correggere i bug potrebbe riverlarsi poco utile di fronte ad utenti poco attenti, ed i bug potrebbero comunque essere sfruttati.

Per esempio conosco più di qualche utente GNU/Linux, che magari si affida a distribuzioni come SuSE e Fedora (contro cui non ho nulla perché sono ottime per iniziare ed anche per continuare IMO) che hanno versioni molto vecchie e non aggiornate, un bug pericoloso (e ce ne sono) scovato in quelle versioni del software potrebbe causare non pochi danni!

Quindi vero che il codice aperto è un bene, ma dipende dagli scenari.

[suppaman]

La foto in prima pagina è un ingrandimento di un virus informatico, vero ?

[eraser]

Quote:

Originariamente inviato da suppaman

La foto in prima pagina è un ingrandimento di un virus informatico, vero ?

Jacques Erasmus, Prevx Ltd.

[DakmorNoland]

Chi pensa che il nuovo OS Microsoft o i continui aggiornamenti siano utili per la sicurezza è un ingenuo. Certo bloccheranno qualche falla qua e là ma sono come qualche tappo in mezzo ad un oceano. L'unico modo è utilizzare software antivirus e firewall (non quello di XP). E' vero qualcosa può passare lo stesso ma cmq non riesce a muoversi. Ho avuto qualche infezione da quando è uscito XP, ma si è trattato cmq sempre di infezioni assolutamente innoque, tipo qualche cookie o simili, che non appena tentava di agire veniva subito bloccato dall'antivirus. Eppure anche se ho aggiornato XP con i vari service pack, non ho mai installato i vari aggiornamenti.

[2030]

Sicuramente non esiste un sistema sicuro al 100% però se io dovessi dare un pc ad una persona con competenze limitate comincerei col dare un sistema operativo decente dal punto di vista della sicurezza. Sicuramente nel mondo GNU/Linux stanno uscendo bug però qui i bug si trovano nelle applicazioni. Questo significa che per bucare un computer bisogna guardare che applicazioni ci sono e/o tentare. Ovviamente non è detto che ci sia proprio quell'applicazione quindi non è sempre scontato l'esito. Al momento con windows invece basta che ci sia windows e un bug ogni tanto si trova, ma ancora più spesso una backdoor.. Io credo che invece di proporre windows per abitudine a chiunque sarebbe bene fare 2 domande e valutare se metter su xp/vista (490€ visto che non c'è più oem) più un HIDS (non credo che sia leggerissimo e gratis) oppure alternative come linux o macosx (nel senso di comprare un apple). Non perchè uno è meglio in assoluto eh, però se la sicurezza sta davvero a cuore e le esigenze sono solo casalinghe e poco ludiche io mi sento di poter dire con certezza che windows sia proprio il meno adatto. E solo con questa scelta la sicurezza di tantissime persone sarebbe moooolto più alta. Senza contare che al mediaworld xp costa 490€ e un onestissimo mac mini 599. Credo che sia evidente che per una certa fascia di utenza il vantaggio è colossale.. Forse me lo compro pure io a breve

[sirus]

Quote:

Originariamente inviato da DakmorNoland

Chi pensa che il nuovo OS Microsoft o i continui aggiornamenti siano utili per la sicurezza è un ingenuo. Certo bloccheranno qualche falla qua e là ma sono come qualche tappo in mezzo ad un oceano. L'unico modo è utilizzare software antivirus e firewall (non quello di XP). E' vero qualcosa può passare lo stesso ma cmq non riesce a muoversi. Ho avuto qualche infezione da quando è uscito XP, ma si è trattato cmq sempre di infezioni assolutamente innoque, tipo qualche cookie o simili, che non appena tentava di agire veniva subito bloccato dall'antivirus. Eppure anche se ho aggiornato XP con i vari service pack, non ho mai installato i vari aggiornamenti.

Male, secondo me gli aggiornamenti di sicurezza vanno fatti. Prendiamo il Blaster, il Sasser o altri worm simili, se il sistema è patchato (e le patch sono arrivate prima dei malware), che ci sia o meno software di protezione il sistema è protetto.
Io dico che ci voglio i software di sicurezza e ci vogliono le patch, quando fallisce uno c'è l'altro, ci vuole ridondanza.

OT (scusate )

Quote:

Originariamente inviato da 2030

Sicuramente non esiste un sistema sicuro al 100% però se io dovessi dare un pc ad una persona con competenze limitate comincerei col dare un sistema operativo decente dal punto di vista della sicurezza. Sicuramente nel mondo GNU/Linux stanno uscendo bug però qui i bug si trovano nelle applicazioni. Questo significa che per bucare un computer bisogna guardare che applicazioni ci sono e/o tentare. Ovviamente non è detto che ci sia proprio quell'applicazione quindi non è sempre scontato l'esito. Al momento con windows invece basta che ci sia windows e un bug ogni tanto si trova, ma ancora più spesso una backdoor.. Io credo che invece di proporre windows per abitudine a chiunque sarebbe bene fare 2 domande e valutare se metter su xp/vista (490€ visto che non c'è più oem) più un HIDS (non credo che sia leggerissimo e gratis) oppure alternative come linux o macosx (nel senso di comprare un apple). Non perchè uno è meglio in assoluto eh, però se la sicurezza sta davvero a cuore e le esigenze sono solo casalinghe e poco ludiche io mi sento di poter dire con certezza che windows sia proprio il meno adatto. E solo con questa scelta la sicurezza di tantissime persone sarebbe moooolto più alta. Senza contare che al mediaworld xp costa 490€ e un onestissimo mac mini 599. Credo che sia evidente che per una certa fascia di utenza il vantaggio è colossale.. Forse me lo compro pure io a breve

Allo stato attuale una persona con competenze limitate fa ancora fatica con GNU/Linux e per la cronaca il tuo discorso sui bug e sulla loro locazione non sta in piedi, anche in Linux (e quindi mi sto rivolgendo direttamente al kernel) si trovano delle falle, come nel kernel di Windows, poi si trovano falle in tutto quel software di base a corredo del kernel nell'uno e nell'altro sistema.

Piuttosto... da quando non ci sono più le licenze OEM?! (manda in PVT il link alla notizia per evitare OT).

[gsorrentino]

Quote:

Originariamente inviato da DakmorNoland

Eppure anche se ho aggiornato XP con i vari service pack, non ho mai installato i vari aggiornamenti.

Ogni SP contiene tutti i SP e tutti gli aggiornamenti precedenti...

[gsorrentino]

Quote:

Originariamente inviato da 2030

Sicuramente non esiste un sistema sicuro al 100% però se io dovessi dare un pc ........ Forse me lo compro pure io a breve

Ho ridotto il quote.

Devo dire che personalmente utilizzo WinXP Pro sul mio portatile dal 2001 e sopra c'è installato il norton (aggiornato ogni anno la versione ed ogni 2 gg le firme per i virus). Ci sono anche tutti i programmi che MS ha fatto (comprese diverse beta) e ci provo anche i programmi per i clienti, oltre che ha controllare i file degli stessi quando si verificano problemi. Sono sempre su internet (tranne quando viaggio) e devo dire che installo spesso anche stupidaggini che rimuovo. Tengo in forma la macchina con due software gratuiti per il controllo degli adware e similia e un software per la pulitura dei file dimenticati e delle chiavi di registro.

A parte la rottura dell'HD (dovuta a sfiga, ma avevo una copia) pur navigando spesso in siti che tentano di installarti di tutto e di più senza che te ne accorgi, devo dire che la mia macchina non ha avuto alcun problema. Certo, ho letto tutti gli avvisi (non schiacciando sempre si automaticamente), ma devo dire di non essere neanche stato troppo prudente (anzi qualche volta sono andato allo sbaraglio, al motto di "meglio che salti il mio pc che le reti dei miei clienti").

Quindi, secondo me, anche l'utente medio può sopravvivere (20 reti senza virus da 4 anni lo dimostrano), almeno se gli aggiornamenti (ed i controlli periodici) sono automatici.

Certo, gli HIPS posso aiutare di più, ed in fondo se per usarli bisogna essere on line non è un grosso problema, visto che praticamente il 98% dei problemi nei pc si verificano durante il collegamento ad internet. Però se il database online è irraggiungibile (problemi di reti, attacchi ai server etc)?

[II ARROWS]

DakmorNoland, Vista non mette qualche tappo...

Vista è riscritto da ZERO.

[SuperSandro]

Ho scaricato e installato la versione free di PrevX1. Alla fine della scansione il programma segnalava un malware nel file ADDSCCUS.DLL, individuato nella cartella in cui è presente il programma Visual Basic 5, che uso frequentemente. Il codice MD5 del file ADDSCCUS.DLL presente sul PC era il seguente:
37AB70EA8857B18408AFB57B04ACD0DA
Preciso che il file risultava di proprietà Microsoft (anche se so benissimo che è possibile cambiare le proprietà di un file).
Dopo aver effettuato alcune ricerche sul web, ho notato che nessuna informazione era riportata sulla possibilità di utilizzo del file in questione da parte di malware. Inoltre, quasi ovunque veniva consigliato di aggiornare il file scaricando l'ultima versione disponibile di ADDSCCUS.DLL. Naturalmente provvedevo a farlo e il file indicava il codice MD5 seguente:
F834D03612DFEA9F2B3260ACD0092285
che, sottposto a scansione da parte di PrevX1, non riportava seganalazione di pericolo.

Domande:

1) PrevX1 ha preso un abbaglio?
2) E' possibile che un malware si "agganci" a un vecchio file, per giunta presente in una cartella e in un disco rigido (F:\Programmi_2\VB) del tutto diversi da quelli in cui un utente normale installa i propri programmi?