Prevenire è meglio che curare :) Software HIPS

[anna2]

Salve, qualcuno conosce un software hips in italiano compatibile con vista?

Grazie

[nV 25]

Ebbro di felicità per la Champions League , 2 notiziUole veloci.

Premetto che prendo interamente spunto da un thread su Wilders che stò monitorando con grande interesse già da un pò, per la precisione, questo: http://www.wilderssecurity.com/showthread.php?t=174012 dal titolo "il sistema di prevenzione VS i Rootkit implementato in Process Guard ha bisogno di un REFRESH?".


E' un thread molto istruttivo (almeno per me, si intende...) sotto molteplici punti di vista:

in 1° luogo perchè, pur partendo dal "comportamento" di un HIPS specifico, per l'appunto PG, finisce per estendere le sue considerazioni anche su altri HIPS, free e/o commerciali, behaviour blocker puri e/o SandBox nelle sue svariate implementazioni, configurando quindi una sorta di comparazione di effettività tra questi....

Ma è interessante anche perchè (punto 2..) quello che inizialmente sembrava essere un sistema "farlocco" per testare la robustezza di PG (venivano infatti escluse buona parte delle sue protezioni...) è stato poi modificato in modo tale da sfruttare l'intero set di funzionalità offerte dal software in questione cosi' da valutarne il "comportamento" tanto in in condizioni di massima efficacia quanto di "efficacia limitata" alla sola funzionalità "blocco driver/services"....

A chi, come me, aveva infatti storto il naso sul senso del primo test (quello dalle funzionalità ridotte, per intendersi, anche se, in verità, la lamentela era sul senso di dare l'ok all'esecuzione di tutto (leggi, i file dalle estensioni più strane e dai nomi + assurdi, sicuro segnale di un qualche problema in essere...)), nicM (che, per la cronaca, è anche spalla di un certo Kareldjag...), ha risposto cosi':

"....from a "testing" perspective, it wouldn't make sense at all to pretend rootkits are blocked by preventing files from starting, I think it's obvious. Tests would be quick and very easy to do , but I think such tests would not be interesting for readers. When testing a program on its ability to stop rootkits, you have to let the file run, to see how the rootkit is blocked - or not. A rootkit has "special actions" to make, in order to hide on the system, and that's what needs to be checked, when doing a test : Did these actions work, or were they blocked?..."

Queste "azioni speciali", infatti, dovrebbero essere contemplate dalla singola funzionalità costruita espressamente per identificare questi meccanismi....



Per stringere:
oltre che consigliarvi la lettura del thread, emerge quanto segue:
con il Trojan.Win32.Pakes.n che, ovviamente, ha abilità di Rootkit,
falliscono
- PG
- SSM free/full
- EqSecure (nuovo player, sempre dalla Cina...)

Ok, invece, per
- ProSecurity Full
- Dynamic Security Agent
- GeSWall (sandbox..)
- DefenseWall (sandbox..)
- Sandboxie (sandbox..)




Conclusioni:

- i software di virtualizzazione sono realmente molto efficaci...
- i Behaviour Blocker hanno bisogno di qualche risistemata visto che SOLO ProSecurity & DSA superano l'esame (il 1°, a pieni voti...)

In particolare, colpisce la cannata di SSM full mentre che PG stesse cominciando a scricchiolare lo si era invece intuito dal silenzio della DiamonCS che dura ormai dal Natale 06...





LEZIONE che se ne trae?

SONO SEMPRE COSI' NUOVE LE TECNICHE DI INFILTRAZIONE NEI SISTEMI CHE ANCHE I SOFTWARE DI TIPO H.I.P.S. DEVONO ESSERE TENUTI COSTANTEMENTE AGGIORNATI PERCHE' POSSANO TENER FEDE ALLE LORO PROMESSE identificando EX-ANTE nuovi vettori/meccanismi....


PS:
se ci sono errori o osservazioni da fare, segnalatemelo!
Grazie

PS 2: il tempo stringe altrimenti postavo anche gli screen...

[pistolino]

@ nV 25: mi sono letto tutto il tuo post e alcune pagine del thread su Wilders Sec.

Sapendo che sono un "felice" utilizzatore di SSM 2.3, magari pensi che io disperi di fronte a queste notizie.

Ma sostanzialmente me ne frego. Ti spiego in due parole il motivo: ho scelto di avvalermi di un software HIPS, senza la pretesa di affidargli tutta la protezione del mio sistema.

Per quanto ho capito leggendo il thread, il rootkit deve comunque essere avviato da un eseguibile. In un test atto a verificare l'efficacia di un HIPS, l'execution protection viene giustamente esclusa ma nella "vita reale", penso che rappresenti lo strato più efficace in assoluto. Avviando solo applicazioni conosciute, la vedo dura beccare un virus o un rootkit. Se anche lo si lanciasse poi, l'antivirus (che in quei test mi pare non sia stato preso in considerazione) farebbe comunque il suo lavoro.

Alla luce di ciò, ritengo che si tratti di vulnerabilità reali ed esistenti ma che non compromettono assolutamente la sicurezza per le ragioni sopra esposte.
Ovviamente se ho capito male qualcosa, sei pregato di farmelo notare, anche con riferimenti al thread di Wilders visto che l'inglese lo capisco abbastanza.

E comunque, riprendendo un post dell'interessantissimo thread che hai segnalato...

no 100% secure app in this world

Regards

[wizard1993]

ma possibile mai nessuno testi appdefend?

[f250gto]

Secondo voi è possibile affiancare a SSM free un software sandboxie come Geswall per colmare le lacune di SSM in certi settori?

[meolag]

Quote:

Originariamente inviato da pcì

la protezione offerta da ssm è decisamente più completa.

Quindi vanno tenuti insieme o basta solo SSM.

[nV 25]

Quote:

Originariamente inviato da pistolino

....ho scelto di avvalermi di un software HIPS, senza la pretesa di affidargli tutta la protezione del mio sistema.

Giusta osservazione:
anch'io non affido TUTTA la protezione all'HIPS, e non per niente utilizzo anche il KIS in affiancamento, MA per certe AREE che ritengo particolarmente CRITICHE (es: tutte quelle legate all'installazione di driver o servizi, alla modifica dello spazio di memoria dei processi attivi, ecc..) *PRETENDO* la massima GARANZIA di EFFETTIVITA'....

Per la loro protezione, infatti, NON considero nemmeno l'AV che assimilo davvero alla stregua di un orpello inutile...

Ma questo modo di vedere è solo una descrizione di "come funziono io":
non posso certo pretendere di estendere anche agli altri questo mio modo di essere &/o di percepire la sicurezza....

Quote:

Originariamente inviato da pistolino

...
Per quanto ho capito leggendo il thread, il rootkit deve comunque essere avviato da un eseguibile. In un test atto a verificare l'efficacia di un HIPS, l'execution protection viene giustamente esclusa ma nella "vita reale", penso che rappresenti lo strato più efficace in assoluto..... Se anche lo si lanciasse poi, l'antivirus (che in quei test mi pare non sia stato preso in considerazione) farebbe comunque il suo lavoro.
...

si, il punto di partenza (contestato per i motivi chiaramente esposti nel thread in inglese) è proprio quello:

ho un .exe -> lo eseguo (qui inizia la parte contestata visto che, a ruota all'OK necessario per avviare il tutto, ovvero il 1° .exe) si da indiscriminatamente l'OK ad una marea di altri eseguibile, nel caso specifico file temporanei...) -> l'exe ha al suo interno il .sys -> iniziano i dolori...

Carino il movie dal titolo:

Process Guard VS Trojan.Win32.Pakes.n,
http://rapidshare.com/files/32374564/rootkit.avi.html

PS:
visto che il post lo ho affastellato in fretta e furia, giusto un'ultima considerazione per completare realmente il discorso:
non dimentichiamoci di un particolare che può sembrare marginale ma che, in realtà, è estremamente importante, e cioè:
1) oggi, 28 maggio 07, PG è risultato essere vulnerabile.
OGGI.
Ma ieri?
Ieri (da intendersi xò in senso ampio, non come 27/05/07...) ti assicuro (ma non solo io...) che PG *NON* era vulnerabile a questo tipo di discorso.
Indi?
indi, se un prodotto è BEN sviluppato e COSTANTEMENTE AGGIORATO, il 100% forse no, ma ci avviciniamo a questa soglia....

2°) Già tempo fà PG fù vulnerabile al discorso del Physical memory access....e la vulnrabilità fu sanata (quasi...) prontamente, segno che quando c'è volontà, certe cose si possono sanare....

[supermario00]

mumble mumble...uh? ma che roba è? hisp?

non capiscoooooooooooooooooooooooooooooooooooooooooo
nienteeeeeeeeeeeeeeeeeeeeeeeeeeee

aiutoooooooooooooooooooooooo

[juninho85]

leggi tutto il primo post

[supermario00]

ho letto tutte le pagine a dire il vero ma non ci ho capito nulla....il fatto è ke ho il pc da poco e devo ancora metterci un antivirus e un muro di fuoco (non chiedermi cosa siano ) poi mi hanno suggerito anche questo hips ma ci ho capito ancora meno

[nV 25]

Quote:

Originariamente inviato da supermario00

ho letto tutte le pagine a dire il vero ma non ci ho capito nulla....il fatto è ke ho il pc da poco e devo ancora metterci un antivirus e un muro di fuoco (non chiedermi cosa siano ) poi mi hanno suggerito anche questo hips ma ci ho capito ancora meno

ciao!

Lascia perdere almeno per ora queste soluzioni...
Visto il tuo attuale stato di utente molto "giovane" nel mondo Pc, rischieresti di complicarti ulteriormente la vita per nulla....

NON scaricare QUALSIASI COSA, NON visitare siti ...al limite, prenditi un buon DVD...

[lancetta]

Quote:

Originariamente inviato da nV 25

ciao!

NON scaricare QUALSIASI COSA, NON visitare siti ...al limite, prenditi un buon DVD...

..non respirare e non accendere neanche il pc

...scherzavo... non ho resistito

[skonvols2k]

salve, non so se qlc mi può aiutare...cerco un programma con il quale rilevare il comportamento di altri programmi, in particolare ho bisogno di soprire con quali parametri un programma ne esegue un secondo.

Grazie


EDIT: niente ci sono riuscito con Process Explorer della sysinternals

[*Eleonora*]

Domanda secca da una principiante nonché neofita di questo forum : con KIS6 + SSM 2.3 + Firefox + Noscript ho un buon livello di protezione contro rootkit e company?

Grazie.

[nispo]

Quote:

Originariamente inviato da *Eleonora*

Domanda secca da una principiante nonché neofita di questo forum : con KIS6 + SSM 2.3 + Firefox + Noscript ho un buon livello di protezione contro rootkit e company?

Grazie.

direi proprio di si, sei superprotetta

[kareldjag]

Buongiorno,

Sorry but i don't speak italian.
Just to congratulate this site for efforts done in user's education and information.Bravo .

A team of volunteers was created for security software testing, and the first test published is Kaspersky antivirus.
We guess that the only way to distinguish real value and efficiency from pure marketing and advertisiing is a real life approach testing methodology, far and different from classical testing organizations.

The official test pages are here: http://[URL="http://ssta.over-blog.fr/article-10792223.html"]ssta.over-blog.fr[/url]/article-10792223.html

The pages provide also various resources related to security.
And i have no doubt that the funny football links will be appreciated by Materazzi fans

Regards,

[nV 25]

Quote:

Originariamente inviato da kareldjag

...

Kareldjag??????



I LOVE YOU!







Il link corretto per l'articolo sul Kaspersky è cmq questo:
http://ssta.over-blog.fr/article-10792223.html

[BEY0ND]

salve forum,
ho appena installato sandboxie,una info:come si fà per rimuovere un profilo?
Ho dato un'occhiata nel menù... ma non riesco a capire da dove si cancellano i profili...
Grazie in anticipo...

[pistolino]

Quote:

Originariamente inviato da kareldjag

Buongiorno,

Sorry but i don't speak italian.
Just to congratulate this site for efforts done in user's education and information.Bravo .

A team of volunteers was created for security software testing, and the first test published is Kaspersky antivirus.
We guess that the only way to distinguish real value and efficiency from pure marketing and advertisiing is a real life approach testing methodology, far and different from classical testing organizations.

The official test pages are here: http://[URL="http://ssta.over-blog.fr/article-10792223.html"]ssta.over-blog.fr[/url]/article-10792223.html

The pages provide also various resources related to security.
And i have no doubt that the funny football links will be appreciated by Materazzi fans

Regards,

Hi!

The site you reported is extremely interesting and I added it to my favorites.

Thanks.

Regards

[nV 25]

Quote:

Originariamente inviato da pistolino

Hi!

The site you reported is extremely interesting and I added it to my favorites.

Thanks.

Regards

ciao, Pistolino.

Hai a provà che il suo sito sia interessante:

è di un certo Kareldjag , NON di nV ....


Un'altra carellata di suoi lavori importanti è possibile rintracciarla qui:

http://kareldjag.over-blog.com/


I link erano anche nel 1° post, ma poi, a suon di modificare tutto....