Prevenire è meglio che curare :) Software HIPS

[nV 25]

scusa la confusione, ma per avvio rapido intendo questo:



(è chiamato cmq cosi' in 8 localizzato in italiano)...

Ad es., fonte: cliccami



Poichè il ragionamento che fai è logico (peraltro stai rispondendo proprio in merito all'oggetto cui mi riferivo), a me sembra che la scelta di sacrificare parte della "sicurezza" per questo discorso dell'avvio più rapido sia una gran cazzata o, quantomeno, bisognerebbe metterne al corrente gli utenti lasciando a loro la scelta da percorrere....


Detto questo, GRAZIE!!



Mi dispiace solo constatare che eraser si sia offeso al punto da non considerare nè il mio privato ne i miei ripetuti inviti a passar oltre l'attrito che si è prodotto...
Peccato perchè non volevo generare tutto questo casino..

[nV 25]

interessante anche se dal contenuto molto ermetico (diciamo che lo posto come se il thread fosse un grande post-it),

Reversing Windows8:
Interesting Features of Kernel Security

di MJ0011, la ricordate? (si, è una donna)..

[nV 25]

Si riesuma questo thread cosi' almeno qui me le dico...e qui me le rispondo.


Siamo infatti ad un livello di mediocrità tale che mi viene voglia di autobannarmi pur di non leggere più quello che mi tocca leggere specie in altre sezioni di forum.

Ma che hanno aperto i cancelli su HW?

[nV 25]

...dunque, visto che dicevo che qui me le potevo dire, mi ricordo che è uscita da qualche giorno la versione 4.01.03 di Sbxie.

Mi metto anche il link alla versione @ 64bit tante volte dimenticassi da dove scaricarlo ,
http://www.sandboxie.com/SandboxieInstall64-401-03.exe

[nV 25]

Ragazzi, confesso che è meraviglioso parlare a voce alta in un luogo "nascosto" specie quando ci si rende conto che parlare a platee più ampie ma formate prevalentemente da mediocri è inutile oltrechè rischioso.

Almeno una cosa l'ho imparata, dai...

Nel frattempo, studio se devo ricordarmi altro visto che ho riuppato la discussione.

[nV 25]

Giusto!

Devo ricordarmi di aggiornare il PC (+ o - alle 19 di stasera, MS Security Bulletin Summary for March 2013) e comunico a chi dovesse leggere che mi fù detto dal supporto EMET che a regola prima della metà di Aprile pensavano di tirar fuori una nuova beta col pieno supporto ad 8.

Alla faccia delle tempistiche, cmq...

E' anche vero che se la prendono comoda anche sul versante ExploitShield, xò cavolo...

[nV 25]

Carino!

Sempre su EMET, ho trovato una cosina che mi è piaciuta parecchio e alla quale non avevo mai pensato.

I settaggi per-applicazioni, infatti, EMET li "stocca" nel registro di sistema.
Quindi, utilizzando anche uno strumento come Process Monitor è possibile vedere come vengono applicate le rispettive restrizioni (per processo):



Cortesia di un bravo utente del forum ufficiale su EMET.

[done75]

Io leggo sempre quello che posti/postate qui in questo thread...

Purtroppo uso SOLO hips puri vecchia maniera (NO sandbox), e quindi sono fermo al D+ del CIS (ovviamente senza sandbox) da anni ormai.
Non mi sembra ci siano hips puri superiori, giusto?

[nV 25]

bravo done, meglio pochi ma buoni che tanti e mediocri (e vi assicuro che lo dico non già perchè mi ritenga chissà come, bensi' perchè gli altri [una marea] sono realmente gentucola).


Chiarito questo, d'obbligo, si, temo che allo stato su 64bit di "hips puro" vi sia solo CIS < 6.0.
Su 32 bit, andrei invece senza ombra di dubbio su MD...

[nV 25]

altra cosa e per chiarire la parte che ho scritto tra parentesi:
non è tanto per un discorso (legittimo) di ignorare una cosa che mi porta ad affermare quello che ho detto, ma è il modo saccente, arrogante e presuntuoso con cui si rapportano coloro che non sanno veramente un °||° che mi fa sbroccare visto che parlano comunque per-sentenze.

Vale per la vita in generale, sia chiaro, e infatti mi fa pena allo stesso modo.

[Roby_P]

Quote:

Originariamente inviato da nV 25

Ma che hanno aperto i cancelli su HW?

Siiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii ed infatti sono tornata

Quote:

Originariamente inviato da nV 25

Carino!

Sempre su EMET, ho trovato una cosina che mi è piaciuta parecchio e alla quale non avevo mai pensato.

I settaggi per-applicazioni, infatti, EMET li "stocca" nel registro di sistema.
Quindi, utilizzando anche uno strumento come Process Monitor è possibile vedere come vengono applicate le rispettive restrizioni (per processo):



Cortesia di un bravo utente del forum ufficiale su EMET.

Non ho capito niente, te lo immaginavi, lo so
Esiste un modo semplice per spiegare la cosa? Molto semplice ....

[nV 25]

Quote:

Originariamente inviato da Roby_P

Siiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii ed infatti sono tornata

i cancelli cui pensavo... erano diversi, Roby

Quote:

Originariamente inviato da Roby_P

Non ho capito niente [...]
Esiste un modo semplice per spiegare la cosa? Molto semplice ....

si, forse un modo esiste anche se rimando tutto a domani.

Unico input che mi sento di dare stasera:
EMET è un programma trasparente e le mie elucubrazioni, fondamentalmente, non hanno utilità nell'uso quotidiano.

Tradotto:
anche là dove risultassero incomprensibili, non è necessario capire perchè, a meno di bug, le restrizioni funzionano a prescindere dal fatto che un utente sappia gettare un occhio + o - attento alle meccaniche che stanno "dietro le quinte".

Quindi, si può tranquillamente passare oltre e "ridurre" i miei post... a "meri post-it"

Ciaoooo

[nV 25]

Quote:

Originariamente inviato da nV 25

si, forse un modo esiste anche se rimando tutto a domani.

c'ho riflettuto un pò e credo sia meglio evitare principalmente per 2 motivi:
1) sarebbe fine a se stesso dato che, come ho detto, nel quotidiano non è assolutamente necessario dover conoscere alcuni dettagli
2) non sono eraser e, come capirai, la materia è alquanto tecnica sebbene un'idea la potrei dare anch'io.

Sono sicuro che tu non ti offenda anzi, se hai qualsiasi cosa da chiedere, fallo senza timore...e speriamo che sappia rispondere.


Ciao

[Roby_P]

No, no, non mi offendo, ci mancherebbe pure

Tutto quello che so me lo avete spiegato voi su questo forum!
E' solo che sono curiosa

[pcpassion]

Non capisco come mai alcune volte quando avvio chrome in sandboxie non si apre e mi esce una bella notifica di EMET, allora chiudo l'area virtuale, lo rilancio e finalmente si apre

[marcos86]

Prova in emet a disabilitare l'eaf per il browser, di solito è questo che crea problemi (anche coi pdf a volte)

[nV 25]

lettura davvero interessante (quantomeno la parte discorsiva) sul tema "Sandbox":
The Sandbox Roulette, Blackhat 2013 (pdf).

Notizia:
cliccami, fonte: solito Wilderssecurity...

[nV 25]

Quote:

Originariamente inviato da nV 25

lettura davvero interessante (quantomeno la parte discorsiva) sul tema "Sandbox":
The Sandbox Roulette, Blackhat 2013 (pdf).

Notizia:
cliccami, fonte: solito Wilderssecurity...

ok, ho tentato di leggere con attenzione il materiale e un'idea me la sono fatta.

Guardo di tirare giù una sintesi comprensibile.

PS: non pensate che faccia qualcosa di straordinario perchè fondamentalmente vado a fondere quello che ho assimilato negli ultimi anni con la parte discorsiva dell'articolo che è alla portata di tutti a patto ovviamente di conoscere un pò d'inglese.

[Roby_P]

Qual è il vantaggio di usare un BB insieme ad un HIPS?
Nell'ultima suite di Comodo sono integrati, ma io non capisco che senso ha ....
Se uso l'HIPS non mi serve il BB o forse mi sfugge qualcosa ?!

[arnyreny]

Quote:

Originariamente inviato da Roby_P

Qual è il vantaggio di usare un BB insieme ad un HIPS?
Nell'ultima suite di Comodo sono integrati, ma io non capisco che senso ha ....
Se uso l'HIPS non mi serve il BB o forse mi sfugge qualcosa ?!

ti sfugge che il loro bb è basato sull'hips,cioè in base al livello di restrizione che li dai alzano o abbassano il livello dell'hips....tipo un pilota automatico

se sei un utente esperto non hai bisogno del pilota automatico,decidi tu e sei più sicuro