Protezione del Computer: consigli e valutazioni

[nV 25]

Quote:

Originariamente inviato da Kohai

[...] stavo aggiornando un software [...] quando ad un certo punto OA [...] mi segnalava che [...]

Domanda: senza firewall (software) cosa sarebbe successo?

credo che fcorbelli, parlando di FW, si riferisse esclusivamente al FW nudo e crudo e non ad ulteriori "strati"...

Quote:

Originariamente inviato da fcorbelli

Mah... siamo sempre lì. Sei GIA' infetto.
Un malware funzionante in RAM, come ci è arrivato?

per osmosi non credo, dunque ritengo più probabile il canale browser come vettore di infezione tramite visita di un sito compromesso.

A quel punto lo so anch'io che, finchè non rebooti il PC, il malware-vivente-in-RAM (o malware per-sessione ) è attivo...

Quote:

Originariamente inviato da fcorbelli

E poi, perchè non dovrebbe usare la porta 80 (se è fatto minimamente bene, diciamo da un non bimbominkia?)

è vero anche questo...

[Kohai]

Quote:

Originariamente inviato da fcorbelli

Non so. Cosa sarebbe successo? Magari ti trovavi una googlesolcazzo toolbar?

Non era una toolbar, si trattava di spyware/malware, poco ma sicuro.
E comunque, fosse stata una toolbar indesiderata? Senza un software in grado di riconoscerla ce l'avrei avuta bella che installata.
Prevenire e' meglio che curare giusto?

Sai quante volte navigando in internet vengo avvisato dall'antivirus (o dagli stessi dns) che il sito in questione e' pericoloso?

Tornando al discorso di prima, la sicurezza totale non esiste, ma non dobbiamo andare agli antipodi scrivendo che un firewall e/o altri software non servono.

[Kohai]

All'inizio, quando di pc et similia non ne sapevo granche', avro' avuto fortuna a non beccare nulla.
Una volta iscrittomi a questo forum e leggendo altro in giro, ho sovraccaricato di antiquesto ed antiquello software la mia macchina (intendo il pc).
A distanza di tempo e per svariati motivi, ho ridotto all'osso la mia configurazione di sicurezza.
E' vero, in firma forse si evincera' altro, ma comunque sono mesi che non faccio una scansione con antispyware e antirootkit; l'antivirus lo lancio quando ad esempio vado a cena e non sto davanti lo schermo, e comuqnue lo faccio una volta dopo 2/3 mesi.

Oramai, navigando con solo firefox e addons dedicati alla sicurezza oltre alla sandboxie (chrome ce l'ha nativamente), mi ritengo relativamente al sicuro, coadiuvato su xp da OA e su seven dall'UAC.

Che poi possano essere bypassati anche questi dispositivi, bhe', e' normale. . . ma deve essere un attacco mirato.

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Non era una toolbar, si trattava di spyware/malware, poco ma sicuro.

O una qualsiasi altra cosa, tipo ad esempio un modulo runtime .NET solcazzo.
Semplicemente non lo sai.
Corretto?

Quote:

non dobbiamo andare agli antipodi scrivendo che un firewall e/o altri software non servono.

Bhè mica voglio convincere qualcuno.

[Kohai]

Parli del diavolo e spuntano le corna.
Cercavo un'app per il mio tablet e guarda cosa mi ritrovo in una pagina?

[fcorbelli]

Quote:

Originariamente inviato da Kohai

...ma comunque sono mesi che non faccio una scansione con antispyware e antirootkit; l'antivirus lo lancio quando ad esempio vado a cena e non sto davanti lo schermo, e comuqnue lo faccio una volta dopo 2/3 mesi.

Bhè guarda i casi, non lancio mai antispyware antirookit antivirus o quello che vuoi, non uso altra "roba varia".

Quote:

su seven dall'UAC.
Che poi possano essere bypassati anche questi dispositivi, bhe', e' normale. . . ma deve essere un attacco mirato.

Nessun attacco mirato.
La verità è che UAC, storicamente, si è già dimostrato preda dei soliti difetti che ne rendono (più correttamente possono renderlo) bypassabile mediante la classica escalation dei privilegi.
E' ormai un fatto storico, risale se non ricordo male al 2010-2011, il ritrovamento di un bug dentro una parte del kernel windows, tale per cui si poteva causare il più classico dei buffer overflow con relativa escalation, alla faccia di UAC.
Patch di Microsoft e via così.

Ovvero UAC non è la panacea di tutti i mali.
---
Per par-condicio, così almeno non mi bannano subito, segnalo che lo stesso comando sudo di Linux (usato per la verità anche su Mac, visto che è un progetto GNU e non Linux, però non mi dilungo) ha un buggetto introdotto in una certa parte del sorgente (per la precisione, anche qui vado a memoria, viene verificata il match della regola per ipv6 anche se quella ipv4 fallisce, per il semplice motivo che manca un break nel codice C)
---
Però resta un fatto: le VORAGINI, e intendo proprio VORAGINI saltano fuori nei programmi applicativi e/o relativi plugin, i curiosi possono controllare le mitiche patch microsoft del martedì ( ) dove c'è un po' di tutto.
Adobe PDF, Flash, Java, .NET e chi più ne ha ne metta (perfino la sandbox di chrome, qualche tempo fa, è risultata non perfettamente immune).

Poi volendo possiamo tirar dentro di tutto, dal meccanismo di autenticazione di mysql fortemente difettoso a seconda del segno del flag ritornato in una certa funzione (!!) e via di questo passo.
---
Non è che un firewall software mi faccia quindi dormire, francamente, più sicuro.

Poi ognuno la veda come vuole.

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Parli del diavolo e spuntano le corna.
Cercavo un'app per il mio tablet e guarda cosa mi ritrovo in una pagina?

Guarda bene e vedrai che è esattamente relativo a quanto ho scritto, e perfino ricade nell'ultimo suggerimento che ho messo oggi

[Kohai]

Quote:

Originariamente inviato da fcorbelli

O una qualsiasi altra cosa, tipo ad esempio un modulo runtime .NET solcazzo.
Semplicemente non lo sai.
Corretto?
Bhè mica voglio convincere qualcuno.

Non me lo ricordo, e' diversa la cosa, e' successo tempo addietro, altrimenti mi sarei premunito di aggiungere piu' informazioni al riguardo.

Se non si vuol convincere nessuno, basta scrivere: "imho" oppure semplicemente "a mio modesto parere o punto di vista".
Scusami ma le tue sono affermazioni, non osservazioni.

[Kohai]

Quote:

Originariamente inviato da fcorbelli

Guarda bene e vedrai che è esattamente relativo a quanto ho scritto, e perfino ricade nell'ultimo suggerimento che ho messo oggi

Quale suggerimento scusami?
Java? File temp? Add-ons dei browser?

Non si vede ma sono sotto returnil. . .
Al prossimo riavvio, sparisce ogni cosa ammesso fosse passata qualcosa sotto il naso di avast e del firewall.

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Quale suggerimento scusami?
Java? File temp? Add-ons dei browser?

Non si vede ma sono sotto returnil. . .
Al prossimo riavvio, sparisce ogni cosa ammesso fosse passata qualcosa sotto il naso di avast e del firewall.

Quello è un javascript, gli ho dato una rapidissima occhiata e non mi pare abbia nessun particolare elemento dannoso, immagino che l'antivirus si sia "cacato sotto" perchè c'è un pezzo strano verso la fine.

Se viene scritto in una cartella temporanea RAM al riavvio salta.
E non riguarda un firewall, hardware, software o quello che vuoi, che in questo caso non c'entra nulla.

A mio modestissimo parere o punto di vista (*)

(*) anche se i miei modestissimi pareri sono in realtà assiomi informatici

[Kohai]

Quote:

Originariamente inviato da fcorbelli

Bhè guarda i casi, non lancio mai antispyware antirookit antivirus o quello che vuoi, non uso altra "roba varia".

Nessun attacco mirato.
La verità è che UAC, storicamente, si è già dimostrato preda dei soliti difetti che ne rendono (più correttamente possono renderlo) bypassabile mediante la classica escalation dei privilegi.
E' ormai un fatto storico, risale se non ricordo male al 2010-2011, il ritrovamento di un bug dentro una parte del kernel windows, tale per cui si poteva causare il più classico dei buffer overflow con relativa escalation, alla faccia di UAC.
Patch di Microsoft e via così.

Ovvero UAC non è la panacea di tutti i mali.
---
Per par-condicio, così almeno non mi bannano subito, segnalo che lo stesso comando sudo di Linux (usato per la verità anche su Mac, visto che è un progetto GNU e non Linux, però non mi dilungo) ha un buggetto introdotto in una certa parte del sorgente (per la precisione, anche qui vado a memoria, viene verificata il match della regola per ipv6 anche se quella ipv4 fallisce, per il semplice motivo che manca un break nel codice C)
---
Però resta un fatto: le VORAGINI, e intendo proprio VORAGINI saltano fuori nei programmi applicativi e/o relativi plugin, i curiosi possono controllare le mitiche patch microsoft del martedì ( ) dove c'è un po' di tutto.
Adobe PDF, Flash, Java, .NET e chi più ne ha ne metta (perfino la sandbox di chrome, qualche tempo fa, è risultata non perfettamente immune).

Poi volendo possiamo tirar dentro di tutto, dal meccanismo di autenticazione di mysql fortemente difettoso a seconda del segno del flag ritornato in una certa funzione (!!) e via di questo passo.
---
Non è che un firewall software mi faccia quindi dormire, francamente, più sicuro.

Poi ognuno la veda come vuole.

L'ho gia' scritto in un altro post, sei un esperto nel campo, quindi tanto di cappello.

Rivolgo ora a te la tua stessa domanda con la quale hai esordito:
secondo te, quale e' la miglior sicurezza? Ovvero, cosa e' che si puo' definire tale o che si possa anche minimamente avvicinare a tale termine?

Ce l'ho scritto anche in firma: nessuno nasce imparato, quindi gentilmente (e ti ringrazio in anticipo), potresti dirmelo?

C'e' sempre da imparare no?

[Kohai]

Quote:

Originariamente inviato da fcorbelli

Quello è un javascript, gli ho dato una rapidissima occhiata e non mi pare abbia nessun particolare elemento dannoso, immagino che l'antivirus si sia "cacato sotto" perchè c'è un pezzo strano verso la fine.

Se viene scritto in una cartella temporanea RAM al riavvio salta.
E non riguarda un firewall, hardware, software o quello che vuoi, che in questo caso non c'entra nulla.

A mio modestissimo parere o punto di vista (*)

(*) anche se i miei modestissimi pareri sono in realtà assiomi informatici

Meglio un falso positivo in piu' che un malware dentro il pc.
Scusami ma non ho basi in epistemologia.

[Kohai]

Riguardo all'alert di prima:

https://www.virustotal.com/file/6d7c...dad7/analysis/

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Rivolgo ora a te la tua stessa domanda con la quale hai esordito: secondo te, quale e' la miglior sicurezza? Ovvero, cosa e' che si puo' definire tale o che si possa anche minimamente avvicinare a tale termine?

Se rispondo succede un disastro, è il primo post che ho messo in questo thread.
Riguardo a quel javascript ti confermo che c'è una robina strana appesa in fondo, non ti so dire se è un sistema di "protezione" (per rendere meno banale copiare un pezzo di codice di testo) oppure se è un tentativo di usare un qualche bug per fare non so che.
Può essere quindi un falso positivo, nel senso che l'antivirus vedendo "una roba strana" si proccupa, oppure anche un vero malware.

Se trovo il tempo lo decodifico, così vediamo

EDIT: confermo che è un malware di qualche genere, e che viene inettato dentro un po' di tutto
(html, php e javascript), evidentemente anche in versioni bacate di WORDPRESS (o meglio con privilegi
di scrittura ove non dovrebbero esserci).
Sembra perfino abbastanza diffuso su internet

[Kohai]

Quote:

Originariamente inviato da fcorbelli

Se rispondo succede un disastro, è il primo post che ho messo in questo thread.
Riguardo a quel javascript ti confermo che c'è una robina strana appesa in fondo, non ti so dire se è un sistema di "protezione" (per rendere meno banale copiare un pezzo di codice di testo) oppure se è un tentativo di usare un qualche bug per fare non so che.
Può essere quindi un falso positivo, nel senso che l'antivirus vedendo "una roba strana" si proccupa, oppure anche un vero malware.

Se trovo il tempo lo decodifico, così vediamo

Sopra ti ho messo il link di VT, spero possa tornarti utile.
Ma non preoccuparti, fa nulla

Rispetto ad altri utenti "master" come dico io, quelli cioe' preparati e con i controc..... sei un po estremista, ma va bene anche cosi'

Un salutone

P.s.
Se poi ci fai sapere secondo te come deve essere impostato un s.o. per la miglior sicurezza, mi fara' piacere.
A presto. . . .

P.p.s.
Utilizzo solo windows, con linux non mi son trovato. Quindi l'esposizione di un set di software e/o di operazioni di sicurezza che ti chiedo e' insindacabilmente legata a questo s.o.

Ciaooo

[Kohai]

Quote:

Originariamente inviato da fcorbelli

EDIT: confermo che è un malware di qualche genere, e che viene inettato dentro un po' di tutto
(html, php e javascript), evidentemente anche in versioni bacate di WORDPRESS (o meglio con privilegi
di scrittura ove non dovrebbero esserci).
Sembra perfino abbastanza diffuso su internet

Ti ringrazio del tempo che mi hai dedicato.
Buon proseguimento di serata ^_^

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Sopra ti ho messo il link di VT, spero possa tornarti utile.
Ma non preoccuparti, fa nulla

Bhè sto lavorando...
Ma iniziamo con i link esterni


Notare i .ru e la "roba strana"

[Kohai]

Non vorrei dir cavolate, ma penso che l'incriminato sia quel popo' di roba prima di .ru

Facendo analizare il solo sito, me lo davano pulito, mentre sarebbe il dominio quello incriminato. . .

Da qui si evince il mio grado di conocenza e il timore di andare OT

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Non vorrei dir cavolate, ma penso che l'incriminato sia quel popo' di roba prima di .ru

Facendo analizare il solo sito, me lo davano pulito, mentre sarebbe il dominio quello incriminato. . .

Da qui si evince il mio grado di conocenza e il timore di andare OT

Bhè il succo del discorso è (allo stato, sto per andare a cena) che caterve di siti, come al solito, sono configurati male e/o hanno bug di sicurezza.
Questo tipo di malware si limita ad attaccare un pezzo di codice javascript a "qualsiasi cosa", sperando prima o poi di trovare una parte di javascript effettivamente eseguita.
Il programma effettivament eseguito è "codificato" (per modo di dire) dentro un vettore che viene "spacchettato", appena trovo il tempo... lo spacchetto

[Kohai]

Avrei trovato questo ->

http://www.urlvoid.com/scan/kudena.ru/