COMODO Internet Security

[gabrib]

Quote:

Originariamente inviato da andrea.ippo

Ciao, la blacklist la puoi fare andando su Firewall -> Funzioni generali -> Zone network bloccate

Per l'online banking non c'è un modo "preconfezionato", però credo si possa fare una cosa analoga creando una nuova configurazione, in cui blocchi tutto salvo il browser, a cui permetti solo il traffico verso l'indirizzo IP del sito della tua banca.
è un po' macchinoso, ma dovrebbe funzionare

La black-list funziona, non ho invece capito per quanto riguarda creare una nuova configurazione. Come dovrei fare??

[andrea.ippo]

Quote:

Originariamente inviato da gabrib

La black-list funziona, non ho invece capito per quanto riguarda creare una nuova configurazione. Come dovrei fare??

Premetto che è un'idea mia, non indicata dal forum di Comodo o da altre fonti ufficiali, quindi non posso garantire che sia sicura.
Dovessi fare una cosa del genere, farei una nuova configurazione che blocca tutto il traffico salvo quello del tuo web browser verso il sito della banca.

Per fare una nuova configurazione puoi usare un trucchetto: ne esporti una in un file (Altro -> Gestisci le mie configurazioni, poi ne scegli una e fai Esporta...) e poi la ri-importi, cambiandole nome, es. "Online banking".

Dopo averla importata e nominata, la modifichi andando nella sezione firewall -> avanzate.
Qui, nelle "Impostazioni comportamento firewall" muovi lo slider su Policy personali.
Poi vai su Policy sicurezza network: qui troverai tutti i associati alla configurazione originale che hai clonato per creare Online banking. Molti permessi li dovrai togliere, e dovrai modificare quello del browser affinché siano possibili solo connessioni TCP con il sito della banca.

Non so come è il caso di gestire svchost e system, probabilmente per la risoluzione del nome uno dei due è necessario (o forse entrambi?). Qui passo la palla ad altri, magari qualche esperto di regole (Sirio, Romagnolo, cloutz, ...) e di servizi di windows (Roby_P ) avrà la possibilità di dare info più precise.

Più ci penso più mi rendo conto che una procedura del genere potrebbe essere facile da realizzare per poter offrire questo livello di protezione insieme alle altre configurazioni predefinite di CIS...
Voi che ne pensate?

[gabrib]

Quote:

Originariamente inviato da andrea.ippo

Premetto che è un'idea mia, non indicata dal forum di Comodo o da altre fonti ufficiali, quindi non posso garantire che sia sicura.
Dovessi fare una cosa del genere, farei una nuova configurazione che blocca tutto il traffico salvo quello del tuo web browser verso il sito della banca.

Per fare una nuova configurazione puoi usare un trucchetto: ne esporti una in un file (Altro -> Gestisci le mie configurazioni, poi ne scegli una e fai Esporta...) e poi la ri-importi, cambiandole nome, es. "Online banking".

Dopo averla importata e nominata, la modifichi andando nella sezione firewall -> avanzate.
Qui, nelle "Impostazioni comportamento firewall" muovi lo slider su Policy personali.
Poi vai su Policy sicurezza network: qui troverai tutti i associati alla configurazione originale che hai clonato per creare Online banking. Molti permessi li dovrai togliere, e dovrai modificare quello del browser affinché siano possibili solo connessioni TCP con il sito della banca.

Non so come è il caso di gestire svchost e system, probabilmente per la risoluzione del nome uno dei due è necessario (o forse entrambi?). Qui passo la palla ad altri, magari qualche esperto di regole (Sirio, Romagnolo, cloutz, ...) e di servizi di windows (Roby_P ) avrà la possibilità di dare info più precise.

Più ci penso più mi rendo conto che una procedura del genere potrebbe essere facile da realizzare per poter offrire questo livello di protezione insieme alle altre configurazioni predefinite di CIS...
Voi che ne pensate?

Come ho detto, ho da poco installato Comodo, quindi la mia esperienza in questo senso è limitata, ho seguito passo-passo la guida in prima pagina per configurare il prg. Detto questo però, mi sembra una buona idea, sentiamo gli esperti cosa ne pensano...
Grazie per l'attenzione.

[Roby_P]

L'idea è geniale
Una configurazione fatta apposta per il banking

L'unica cosa è che non saprei cosa bloccare
Le impostazioni del D+, io le lascerei così come sono, modificherei solo quelle del firewall, bloccando tutto tranne il browser, sempre che ti serva solo il browser
System e svchost.exe li puoi bloccare, basta che fai una regola per il browser per le richieste DNS.

Ciao ciao

[andrea.ippo]

Quote:

Originariamente inviato da Roby_P

L'idea è geniale
Una configurazione fatta apposta per il banking

L'unica cosa è che non saprei cosa bloccare
Le impostazioni del D+, io le lascerei così come sono, modificherei solo quelle del firewall, bloccando tutto tranne il browser, sempre che ti serva solo il browser

Sì, anch'io pensavo di non considerarlo proprio il D+

Quote:

System e svchost.exe li puoi bloccare, basta che fai una regola per il browser per le richieste DNS.

Ciao ciao

Ah ecco vedi...per questo ci vuole l'esperta dei servizi

Sarebbe quasi da proporre a quelli di Comodo...
L'unico problema è che l'utente dovrebbe comunque inserire, nella regola per il browser, l'indirizzo IP o hostname del sito di banking...

[Romagnolo1973]

Quote:

Originariamente inviato da gabrib

Ciao a tutti. Ho da poco installato Comodo firewall e ho letto tutta la guida in prima pagina (a proposito, complimenti a @SIRIO@)
Vorrei sapere, avendo la necessità di lavorare in home banking, come dovrei configurare il prg per essere al sicuro sotto questo aspetto. Ad esempio so che con Online Armor, si può operare in modalità "Home Banking" con la quale il computer apre la connessione solo verso il sito in uso, di modo che durante questa fase in cui si trattano dati sensibili, non vi siano possibili attacchi esterni atti a rubare password e codici bancari. E' possibile ottenere qualcosa di simile anche con Comodo??
Sarebbe inoltre possibile creare una black-list dei siti da bloccare e se si come?

Grazie per l'attenzione.

Per come la vedo io, ed è la visuale di un modesto utente casalingo, il poter dare accesso solo ad un ip determinato tramite funzioni varie c.d. Homebanking o securepincopallo è solo marketing e basta. E questo per mille motivi il cui primo in assoluto è che tu puoi anche essere sicuro di collegarti alla tua banca e solo lì ma non mi dire che useresti un pc solo per aprire quella pagina e basta perchè non è certo una cosa possibile, prima o poi vorresti andare sul libero web e se hai un keylogger sul pc..... Inoltre la connessione che imposti è sicura sì ma solo fino ad un certo punto infatti qualunque cosa tu faccia sul tuo pc non puoi garantire che il resto della filiera sia sicura, per sempio prima di arrivare ala tua banca tu passi attraverso una infinità di server sparsi nel mondo e questi potrebbero essere il punto debole, inoltre i certificati HTTPS sono sicuri abbastanza ma non al 100% perchè ne esistono di meno certificati (e meno cari...è sempre questione di $$$) e chi ti garantisce che la tua banca abbia il certificato più sicuro???
Puo vedere cosa ne scrive in merito eraser (Marco Giuliani) qui http://www.pcalsicuro.com/main/2010/...rtificati-ssl/
Inoltre guarda questa discussione ed in particolare il post 6 sempre di eraser e il n. 8 di riazzi gente che ne capisce a pacchi e container più di me su ste cose ... http://www.hwupgrade.it/forum/showthread.php?t=2118017
Insomma in soldoni a prescindere da ogni cosa che tu fai o farai non avrai certezze mai e il problema non è certo nell'inserire una connessione diretta col sito della banca (che come detto diretta non è) ma sta in altri luoghi o in altri pericoli sul tuo pc, io lascerei il mondo come sta (sebbene tu possa creare un profilo nelle trust zone con un solo ip in uscita) e penserei più a proteggere il mio orticello (e il d+ a saperlo interpretare ti aiuta) sperando che gli altri orticelli siano altrettanto curati e se la tua banca ha il sito che quando entri oltre al lucchetto è colorato di verde (EVSSL) behh è già un buon inizio

[Roby_P]

Capito
Però l'idea era carina

[Romagnolo1973]

Quote:

Originariamente inviato da Roby_P

Probabilmente hanno cambiato qualcosa nelle policy di default del D+
A me non segnala niente, perchè ho fatto l'update e mi ha mantenuto le vecchie policy.
Se scopri cosa è cambiato ce lo dici?
Tanto per capire se è meglio fare una installazione pulita

Grazie
Roby

Mi riferisco a questo: se visito per esempio il sito della "rai" brasiliana qui http://g1.globo.com/ che ha contenuti flash (ma i siti sono quasi tutti ad averne) ho questo allert del D+ che prima non avevo circa la creazione della cartella in Macromedia Flash con i file temporanei delle applicazioni flash a cui sto accedendo, prima questo avviso non lo avevo per le applicazioni WEBBrowser (e Chrome è ovviamente settato come browser),



Le avevo soltanto (e continuo ad averle) quando una applicazione non browser (per esempio CCleaner) andava a "ravanare" nella cartella per eliminarla



Eco cosa intendo per mille popup che prima non c'erano e che onestamente sono molto noiosi in quanto direi che il 99% dei siti multimediali ha questi contenuti flash e quindi sono popup ad ogni sito aperto, sarò più sicuro ma è meno confortevole.
Poi si può escludere dal controllo del D+ la cartella Flash ma diciamo che a default il d+ è diventato più rompiscatole e ad occhio senza una reale ragione di ciò

[Roby_P]

Quegli avvisi compaiono spesso anche a me
Non su tutti i siti e non tutti i giorni, però mi capita spesso

Ciao ciao

[Romagnolo1973]

Quote:

Originariamente inviato da Roby_P

Quegli avvisi compaiono spesso anche a me
Non su tutti i siti e non tutti i giorni, però mi capita spesso

Ciao ciao

io prima di questa ultima CIS non li avevo relativamente ai Browser in navigazione ma solo con CCleaner oppure con Cookiesafer o cookieculler quando usavo FF visto che queste applicazioni pulivano dai residui , compresi flash, all'uscita del browser
Quindi in soldoni penso abbiano modificato i permessi delle applicazioni WebBrowser facendo venire l'allert quando il browser crea la cartella dove mette i file flash

Edit: il D+ non discerne tra webbrowser o meno (è cosa del FW) ma tratta le singole applicazioni , comunque quello che intendevo è che è cambiato qualcosa di sicuro in CIS nel controllo delle cartelle delle applicazioni qui

[andrea.ippo]

Quote:

Originariamente inviato da Romagnolo1973

Per come la vedo io, ed è la visuale di un modesto utente casalingo, il poter dare accesso solo ad un ip determinato tramite funzioni varie c.d. Homebanking o securepincopallo è solo marketing e basta. E questo per mille motivi il cui primo in assoluto è che tu puoi anche essere sicuro di collegarti alla tua banca e solo lì ma non mi dire che useresti un pc solo per aprire quella pagina e basta perchè non è certo una cosa possibile, prima o poi vorresti andare sul libero web e se hai un keylogger sul pc..... Inoltre la connessione che imposti è sicura sì ma solo fino ad un certo punto infatti qualunque cosa tu faccia sul tuo pc non puoi garantire che il resto della filiera sia sicura, per sempio prima di arrivare ala tua banca tu passi attraverso una infinità di server sparsi nel mondo e questi potrebbero essere il punto debole, inoltre i certificati HTTPS sono sicuri abbastanza ma non al 100% perchè ne esistono di meno certificati (e meno cari...è sempre questione di $$$) e chi ti garantisce che la tua banca abbia il certificato più sicuro???
Puo vedere cosa ne scrive in merito eraser (Marco Giuliani) qui http://www.pcalsicuro.com/main/2010/...rtificati-ssl/
Inoltre guarda questa discussione ed in particolare il post 6 sempre di eraser e il n. 8 di riazzi gente che ne capisce a pacchi e container più di me su ste cose ... http://www.hwupgrade.it/forum/showthread.php?t=2118017
Insomma in soldoni a prescindere da ogni cosa che tu fai o farai non avrai certezze mai e il problema non è certo nell'inserire una connessione diretta col sito della banca (che come detto diretta non è) ma sta in altri luoghi o in altri pericoli sul tuo pc, io lascerei il mondo come sta (sebbene tu possa creare un profilo nelle trust zone con un solo ip in uscita) e penserei più a proteggere il mio orticello (e il d+ a saperlo interpretare ti aiuta) sperando che gli altri orticelli siano altrettanto curati e se la tua banca ha il sito che quando entri oltre al lucchetto è colorato di verde (EVSSL) behh è già un buon inizio

Il tuo ragionamento è corretto, ma io pensavo di creare una configurazione rapidamente attivabile e disattivabile, quindi non è che userebbe il pc solo per fare online banking...
Inoltre, davo per scontato che nella sessione di online banking si facesse solo online banking, e quando ti viene voglia di controllare la webmail esci dal sito della banca e rimetti la configurazione di Comodo che usi normalmente.

Per quanto riguarda i certificati: purtroppo di qualcuno bisogna fidarsi, e in effetti se il sito della sua banca è certificato dalla pincopallo CA c'è poco da fare

[andrea.ippo]

Mi stavo documentando un po' su EVSSL su wiki EN e mi imbatto nel nome Melih Abdulhayoglu. Memore di un certo user (o admin) del forum di Comodo, ho cliccato il link e...
Oh, è lui: http://en.wikipedia.org/wiki/Melih_Abdulhayoglu
C'ha una voce su wikipedia, e nel 2008 è stato nominato da Ernst & Young imprenditore dell'anno...
Però...

[Xaolao]

sera a tutti
dopo tanto tempo ho provato a rifare i test GRC e...
questo è il risultato



sapete come risolvere? è un grosso problema?
ho usato l'ultima versione di CIS (3.14) e anche facendo regole nuove e "ridotte all'osso" (solo firefox e svchost) non cambia nulla...

[Romagnolo1973]

Quote:

Originariamente inviato da andrea.ippo

Mi stavo documentando un po' su EVSSL su wiki EN e mi imbatto nel nome Melih Abdulhayoglu. Memore di un certo user (o admin) del forum di Comodo, ho cliccato il link e...
Oh, è lui: http://en.wikipedia.org/wiki/Melih_Abdulhayoglu
C'ha una voce su wikipedia, e nel 2008 è stato nominato da Ernst & Young imprenditore dell'anno...
Però...

EVSSL lo ha inventato Comodo e Melih ne è il CEO (amministratore delegato e fondatore) , per questo motivo, guadagnando coi certificati fatti per le maggiori società al mondo, possono permettersi anche il lusso di darci prodotti free

[Romagnolo1973]

Quote:

Originariamente inviato da Xaolao

sera a tutti
dopo tanto tempo ho provato a rifare i test GRC e...
questo è il risultato



sapete come risolvere? è un grosso problema?
ho usato l'ultima versione di CIS (3.14) e anche facendo regole nuove e "ridotte all'osso" (solo firefox e svchost) non cambia nulla...

io lo passo al 100% tutto verde, comunque quel test non prova CIS ma prova il tuo FW hardware quindi se hai un router è quello che viene provato e non Cis
Comunque sia, anche se penso che se il router non ti rende invisibile, Cis ci può fare poco ma tentar non nuoce .... guarda la regola echo request che trovi in Fw-Avanzate-Policy sicurezza network - Regole globali
La regola "ICMP ... echo request" deve essere sopra a quelle di blocco porte e sotto ad altre regole ICMP



Rifai anche i passi di pagina 1 relativi allo Stealth Ports Wizard che ora in italiano si chiama Procedura invisibilità porte applicando la seconda opzione (per il p2p) non vorrei si fosse incasinato quello, poi rifai il test

[Romagnolo1973]

Quote:

Originariamente inviato da andrea.ippo

Il tuo ragionamento è corretto, ma io pensavo di creare una configurazione rapidamente attivabile e disattivabile, quindi non è che userebbe il pc solo per fare online banking...
Inoltre, davo per scontato che nella sessione di online banking si facesse solo online banking, e quando ti viene voglia di controllare la webmail esci dal sito della banca e rimetti la configurazione di Comodo che usi normalmente.

Per quanto riguarda i certificati: purtroppo di qualcuno bisogna fidarsi, e in effetti se il sito della sua banca è certificato dalla pincopallo CA c'è poco da fare

Sì avevo capito benissimo il tuo intento Andrea ma è solo che l'idea è ottima per un utente scafato che usa cis da un po', non la trovo ideale (IMHO) per un utente che ha messo cis da poco, potrebbe creare una trust zone sbagliata e i danni sarebbero maggiori dei benefici, meglio prima imparare a conoscere il D+ e i suoi messaggi poi dopo un po' iniziare a sperimentare cose come questa con cambi al volo di configurazioni

[Xaolao]

Quote:

Originariamente inviato da Romagnolo1973

io lo passo al 100% tutto verde, comunque quel test non prova CIS ma prova il tuo FW hardware quindi se hai un router è quello che viene provato e non Cis
Comunque sia, anche se penso che se il router non ti rende invisibile, Cis ci può fare poco ma tentar non nuoce .... guarda la regola echo request che trovi in Fw-Avanzate-Policy sicurezza network - Regole globali
La regola "ICMP ... echo request" deve essere sopra a quelle di blocco porte e sotto ad altre regole ICMP

Rifai anche i passi di pagina 1 relativi allo Stealth Ports Wizard che ora in italiano si chiama Procedura invisibilità porte applicando la seconda opzione (per il p2p) non vorrei si fosse incasinato quello, poi rifai il test

provato a togliere il firewall del modem e adesso tutto ok (è che quello vecchio di Telecom non l'aveva, ma me l'hanno cambiato da poco)

p.s. ho visto che in prima pagina nelle Global Rules di Sirio quelle per le varie 135-139, 445, 500 sono messe per prime, mentre tu le metti per ultime...
probabilmente non fa differenza...

[Romagnolo1973]

Quote:

Originariamente inviato da Xaolao

provato a togliere il firewall del modem e adesso tutto ok (è che quello vecchio di Telecom non l'aveva, ma me l'hanno cambiato da poco)

p.s. ho visto che in prima pagina nelle Global Rules di Sirio quelle per le varie 135-139, 445, 500 sono messe per prime, mentre tu le metti per ultime...
probabilmente non fa differenza...

è sempre meglio metterle in alto che sono le prime ad essere lette dal FW con precedenza sulle altre, comunque visto che le altre regole sono ICMP e di blocco pure loro non fa differenza, io le regole delle porte le metto per vecchia abitudine ma ho un FW hardware pienamente funzionante quindi non servirebbero ma a volte certi servizi M$ partono per la tangente e vogliono usare quelle porte comunque, avere già la regola di blocco mi evita di rispondere a un paio di popup all'anno, insomma fare quelle regole è più una abitudine del passato che altro.
Tu però mettile in alto visto che non hai un FW sul router (e quello che hai se attivato ti da porte visibili) e vado a correggere pure sul mio che non voglio dare esempi sbagliati a qualcuno a cui servono veramente quelle regole (se non hanno un router) vahhh :-)

[Drunke]

Quote:

Originariamente inviato da Xaolao

sera a tutti
dopo tanto tempo ho provato a rifare i test GRC e...
questo è il risultato



sapete come risolvere? è un grosso problema?
ho usato l'ultima versione di CIS (3.14) e anche facendo regole nuove e "ridotte all'osso" (solo firefox e svchost) non cambia nulla...

Anch'io lo passo al 100%, prova a guardare le impostazioni di sicurezza del tuo router

[Kohai]

Se il router non permette di rendere le porte invisibili ma blocca tutto il contenuto non desiderato, si avranno sempre (purtroppo) porte chiuse ma visibili.

Bisognerebbe cambiare router a sto punto (quello che faro' io... )