Prevenire è meglio che curare :) Software HIPS

[nV 25]

Quote:

Originariamente inviato da pistolino

Mi sfugge comunque la questione di taskmgr.exe. Se gli lascio l'autorizzazione di terminare i processi protetti, corro il rischio che un malware possa "servirsi" del processo legittimo di Windows per richiamare la API del ProcessTermination?

Mi spiego meglio...da quanto ho capito, PG rileva (tra le altre cose) TUTTE le chiamate all'API di terminazione forzata/sospensione dei processi. Di volta in volta, controlla che la API sia stata invocata da un processo autorizzato (nella lista) a terminare i processi in questione giusto?

visto che si va troppo sui "tecnicismi" cui io, poi, so rispondere fino ad un certo punto, ti dò una risposta "empirica" e di buon senso....

Come giustamente osservavi,
"PG rileva ...le chiamate all'API di terminazione forzata/sospensione dei processi...controllando che la API sia stata invocata da un processo autorizzato ...a terminare i processi in questione"...

(peraltro un'idea [parziale] delle varie tipologie di tecniche finalizzate a "terminare" un processo la puoi rinvenire qui: http://www.diamondcs.com.au/index.ph...nation-methods

Il nuovo APT 4, infatti, ha introdotto altri sistemi in aggiunta a quelli descritti sopra...)

Di conseguenza, niente che sia al di fuori della lista può gedere di questa (pericolosa) "capacità di aggiramento delle regole del gioco"....

OK.

Ma supponiamo che tu voglia flaggare per taskmanager l'autorizzazione a cessare altri programmi nella lista E al contempo tu voglia continuare a tenere il controllo di quello che si chiude (tramite la funzione End Process)...

Come potresti fare?

Risposta:
"giocare" con il Secure Message Handling (SMH)....

Lo setti per i processi che ritieni siano "+ critici" per il grado di sicurezza che vuoi perseguire sul tuo sistema.


La strada che ho personalmente adottato, cmq, è la + radicale:
NADA autorizzazione a terminare per taskmanager e, se un programma mi dovesse crashare (raro a casa mia ), disattivi PG->termini il processo imballato->riattivi PG....

Quote:

Altra cosa: sui forum Kaspersky, sono già giunte molte richieste per inserire il monitoraggio e un controllo antiterminazione su TUTTI i processi, direttamente nel PDM...pensi che verrà inserito in KIS7?

non ne avevo mai sentito parlare...

Cmq sia, meglio tardi che mai visto che questo discorso in molte software house è assodato dal 2002....


A proposito poi di pgaccount.exe e di dcsuserprot.exe:
...You will see one pgaccount.exe for every active account on your system. For instance if you logged in as administrator, then fast user switched to another account, there will be two pgaccount.exe running. Both (dcsuserprot.exe and pgaccount.exe) of these applications need to be running for ProcessGuard to work to it's full extent.

[nV 25]

Quote:

Originariamente inviato da pistolino

.. Gli altri dove stanno?

a disinfettare i loro Pc....

[juninho85]

Quote:

Originariamente inviato da nV 25

a disinfettare i loro Pc....

per ora la mia esperienza di ferma a safen'sec e SSM free....spero prima o poi di riuscire a passarmeli tutti

[nV 25]

Quote:

Originariamente inviato da juninho85

per ora la mia esperienza di ferma a safen'sec e SSM free....spero prima o poi di riuscire a passarmeli tutti

sono ottime soluzioni...

Impressioni?

[juninho85]

Quote:

Originariamente inviato da nV 25

sono ottime soluzioni...

Impressioni?

buone per safen'sec e ancora meglio riguardo SSM...anche se per l'utilizzo che faccio io del pc è veramente difficile prendermi qualche zozzeria

devo però farmi ancora una cultura su questo tipo di soluzioni per poterle sfruttare al meglio

[wizard1993]

sto provando ora il niovo appdefend; e devo dire che mi trovo molto bene; che ne pensate

[leolas]

dato che non so se ne avete già parlato (mi tira leggere 15 pagine), volevo fare una domanda... anche prevx1 è un HIPS???

[pistolino]

Dopo aver effettuato diversi test, ho notato che utilizzando Process Guard per concedere a Internet Explorer (volendo si può fare anche con Firefox e con qualsiasi altro programma) il solo diritto di leggere dalle altre applicazioni critiche protette, si ottiene un risultato molto simile alla "modalità protetta" di Vista...molto interessante questa cosa.

Regards

[TROPPO_silviun]

Avendo letto qualcosa sulle capacità di questi software, e che sono comunque il futuro per la prevenzione da "porcherie varie", avendo quali programmi continuamente avviato per protezione Spyware Terminator che ha nelle opzioni per rilevare la madalità Hips che di default è disattivata, mi stavo chiedendo se questa possa servire a qualcosa, diversamente se qualcuno mi può consigliare un software hips fra tutti quelli che sono elencati in prima pagina, uno semplice e che a livello di risorse non sia proprio un mangione .. byez ..

[pistolino]

Process Guard è in assoluto il più semplice da utilizzare IMHO. Interfaccia a dir poco essenziale e spartana ma fà tutto quello che rientra nei suoi compiti, con un consumo di risorse paragonabile a quello del Blocco note (per usare le parole di nv 25 ). Se vuoi qualcosa di più avanzato, prova SSM ma non ti sò dire nulla al riguardo in quanto uso solo Process Guard e per ora non ho intenzione di cambiarlo, considerato anche il fatto che finalmente sono riuscito a configurarlo alla perfezione.

Regards

[Kars]

Quote:

Originariamente inviato da TROPPO_silviun

Avendo letto qualcosa sulle capacità di questi software, e che sono comunque il futuro per la prevenzione da
-cut-

Se ti trovi bene con Spyware terminator continua ad usare quello, anche se non e' linkato nella prima pagina. Con gli Hips si ha il vataggio di controllare tutti i file, anche quelli buoni, per intenderci. La sfiducia verso gli AV deve spingere quante piu' persone a migliorare le conoscenze sulla propria macchina, a poter padroneggiare l'ambiente secondo le proprie esigenze...
Come proteggono gli Hips?
Dandoti maggior controllo sulle attività del sistema operativo. Un Hips lavora secondo le tue esigenze, piu' e' semplice e meno e' efficace.
Fondamentalente fanno tutti le stesse cose, quindi basta capirne almeno uno.
ciao




_____
Kars2

[nV 25]

Quote:

Originariamente inviato da wizard1993

...appdefend..che ne pensate?

il plurale, caro wizard, non si addice a questo thread....

Qui o parlo io o tutto latita... (PS: in relazione a questo punto ho scambiato anche qualche parola in pvt con eraser per cercare di capirne i motivi, ma questo è un altro discorso....)



Per rientrare in tema, AppDefend è un OTTIMO prodotto....

Non sò dirti se migliore o lievemente peggiore di altri, ma di sicuro validissimo contro reali minacce....

Matousec lo ha anche recensito assieme a System Safety Monitor FULL (2.4.0.617 beta) e Dynamic Security Agent (FREE, v1.0.8.8) per vedere come si comporta con i leaktests.
I risultati sono questi:
http://www.matousec.com/projects/win...ts-results.php



PS: personalmente trovo sbagliato misurare gli HIPS Vs strumenti come i Leaktests se quest'analisi è finalizzata a definire un indice di efficacia degli stessi, ma anche questo è un altro discorso....
Gli Hips, infatti, se proprio si vogliono mettere sotto torchio, vanno misurati VS ROOTKIT/Trojan e company...
Che poi, come dicevo anche a Pistolino, un HIPS copra certe lacune di Firewall e affini tanto meglio (vedi qualche post indietro)....

Quote:

Originariamente inviato da leolas

.... anche prevx1 è un HIPS???

Prevx1 si allontana dal concetto classico di HIPS dato che "è più un CIPS (Community Based Intrusion Prevention System) con funzioni di rimozione delle infezioni dal pc" che non un HIPS in senso stretto....
http://www.hwupgrade.it/articoli/sic...curezza_4.html

Differenze sostanziali rispetto all'HIPS tradizionale:
1) funzionalità di rimozione di virus....
2) il discorso della "comunità" da cui prende il nome:
per i dettagli, http://forum.pcalsicuro.com/index.php/topic,38.0.html
3) software "intelligente":
ha algoritmi di analisi euristica che *dovrebbero* aiutarlo a discernere di volta in volta quando un determinato comportamento può essere pericoloso....
L'HIPS tradizionale, invece, è di tipo "anelastico" (= rigido = se settato in modo stringente, blocca certe azioni e festa finita mentre qui si discrimina caso per caso...)
4) adattissimo anche per utenti noob....
"Immaginate un'anziana signora che ha appena comprato un pc e non sa minimamente cosa rispondere ad una domanda del tipo: "XZY123GH.DLL vuole modificare il processo WINLOGON.EXE. Vuoi dare il consenso?". Il pensiero della signora sarà probabilmente: "Sì, ovviamente....oppure no?". La maggior parte degli utenti dice Sì - ecco secondo me una grossa falla in un sistema che in realtà dovrebbe proteggerti. L'utilizzo di un database centralizzato è la chiave per il successo di un software HIPS perché permette di condividere esperienze già vissute per prendere decisioni più facili."





Per ora questo, agli altri rispondo dopo....

[TROPPO_silviun]

Quote:

Originariamente inviato da pistolino

Process Guard è in assoluto il più semplice da utilizzare IMHO. Interfaccia a dir poco essenziale e spartana ma fà tutto quello che rientra nei suoi compiti, con un consumo di risorse paragonabile a quello del Blocco note (per usare le parole di nv 25 ). Se vuoi qualcosa di più avanzato, prova SSM ma non ti sò dire nulla al riguardo in quanto uso solo Process Guard e per ora non ho intenzione di cambiarlo, considerato anche il fatto che finalmente sono riuscito a configurarlo alla perfezione.

Regards

Perfetto .. daro' un' occhiata a questo processguard per capire come agisce .. byez

[nV 25]

Quote:

Originariamente inviato da Kars

...
Come proteggono gli Hips?
Dandoti maggior controllo sulle attività del sistema operativo.

perfetto....

Quote:

Originariamente inviato da Kars

...Un Hips lavora secondo le tue esigenze, piu' e' semplice e meno e' efficace.

?

[TROPPO_silviun]

Ispirato dalla recensione dei tre prodotti richiamati sopra, sono andato a vedermi il sito del primo classificato system safety monitor e sono stato colpito da cosa controlla e da tutte le configurazioni; ora vorrei chiedervi, ipotizzando che lo volessi provare, al momento ho in real time avviati avast e spyware terminator (questo con hips disattivati) non diventa eccessivo aggiungere a questi anche system safety monitor?? E' consigliabile lasciare solo avast, mentre spyware terminator lo disattivo dall'avvio automatico e lo rimpiazzo con system safety monitor?A voi un parere ..

[pistolino]

Da quanto leggo in giro per la rete, SSM è talmente avanzato che, di fatto, se l'utente sa configurarlo a dovere, potrebbe rimpiazzare completamente l'antivirus. Avast comunque non mi ha mai convinto molto...ormai sono affezionato a Kaspersky mentre invece sono indeciso tra Process Guard e SSM 2.0... (per quest'ultimo dubbio ho già invocato nv 25 in un altro thread. )

Regards

[TROPPO_silviun]

Ma l'appena uscito Comodo Boclean può rientrare nei software hips per il suo lavoro? Sono intenzionato a provarlo, da affiancare a spyware terminator .. se non mi soddisferà passerò ad altro .. anche se sinceramente dall'unione di comodo + avast + spyware terminator (hips disable) non mi sono mai sentito in pericolo e mai ho rischiato .. byez

[pistolino]

Da quanto ho capito, BOClean è un semplice pulitore di file temporanei, cookie, file hosts etc...non ha nulla a che vedere con un HIPS.

Regards

[nV 25]

Quote:

Originariamente inviato da pistolino

...

Passando dalla combinazione KIS + Process Guard full 3.150 a --> KIS + SSM 2.0.xxx Beta, avrei vantaggi dal punto di vista della sicurezza? .... non ho trovato una panoramica delle features...

Se il problema è:

a) conoscere le features di SSM (free e full), si risolve subito il "dilemma":
http://www.syssafety.com/product.html

b) COMPARARE le features dei diversi HIPS, si RI-RIsolve facilmente il problema:
http://wiki.castlecops.com/HIPS/IDP_programs/services (PS: era indicata in 1° pagina!!!!)

c) dire se sia meglio PG o SSM ( o ProSecurity, o Sempronio...), la faccenda è più delicata visto che

• c1) NON esiste un indice di riferimento
• c2) si entra nell'ambito del soggettivo (es: facilità di settaggio/interfaccia/scheda di Log...)

Posto che tutti siano ugualmente maturi (=collaudati/stabili/compatibili con altri software...), ad aiutare semmai nella scelta di un prodotto cosi' delicato potrebbe essere un ragionamento di questo tipo:

CHI LO SVILUPPA?

Un pò come quando si va da un medico specialista:
ci si affida al 1° venuto (per quanto specialista...) o, se si può, si cerca qualcosa di meglio "in barba ai quatrini"?

A ruota, terrei in gran considerazione il SUPPORTO di cui gode il prodotto (supporto che, tradotto, significa sia ASCOLTO sia VELOCITA' nel risolvere eventuali bug segnalati...).






Attenti xò alle premesse del ragionamento di cui sopra,
"Posto che tutti siano ugualmente maturi (=collaudati/stabili/compatibili)..."

[Kars]

Quote:

Originariamente inviato da nV 25

-cut-
"Immaginate un'anziana signora che ha appena comprato un pc e non sa minimamente cosa rispondere ad una domanda del tipo: "XZY123GH.DLL vuole modificare il processo WINLOGON.EXE. Vuoi dare il consenso?". Il pensiero della signora sarà probabilmente: "Sì, ovviamente....oppure no?". La maggior parte degli utenti dice Sì - ecco secondo me una grossa falla in un sistema che in realtà dovrebbe proteggerti. L'utilizzo di un database centralizzato è la chiave per il successo di un software HIPS perché permette di condividere esperienze già vissute per prendere decisioni più facili."
....

Quote:

Originariamente inviato da nV 25

"Originariamente inviato da Kars
...Un Hips lavora secondo le tue esigenze, piu' e' semplice e meno e' efficace."
?

Hai presente la modalita' avanzata di Spybot? La modalita' semplice e' priva di funzionalita', di opzioni, features ecc. In questo caso, come in quasi tutti i casi che ho riscontrato, la semplicita' va' ad indicare, piu' che le caratteristiche software, le caratteristiche del TARGET, cioe' a colui a cui e' rivolto il software. Cio' spiega grossomodo anche quali sono i sistemi operativi piu' insicuri.
Se prendiamo come TARGET, un anziana signora, avremo ben pochi utenti da poter analizzare e misurare. Prendiamo, ad esempio, un utente, cosiddetto avanzato.
"Quando si trovera' un applicazione, un giochino, che vuole accedere in Internet usando metodi non consoni e si trovera' a rispondere No alla fatidica domanda, otterra' ,immagino, l'impossibilita' a continuare l' applicazione o il giochino, magari di dubbia provenienza. La maggior parte degli utenti "avanzati" a questo punto e' in grado di rimuovere la regola restrittiva, se presente, e rispondere Si alla successiva richiesta."
Kazaa docet.
Il database centralizzato e' indubbiamente un valido metodo di protezione, ma ahimè a livello generale ha le stesse garanzie e peculiarita' degli AV, anche se usa sistemi piu' sofosticati e ingegnosi. Se si parla di mercato, di commercio e di chiavi di successo, secondo me, potevano benissimo integrare le funzionalita' Ips negli AV, gli lasciavono cosi' anche lo stesso nome.
Preferirei, oggi piu' che mai, meno giri di soldi e piu' di sapere, il tanto per non farsi fregare da chi dice di volerti proteggere, mia banalissima e sviscerata opinione.
ciao