Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale

Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Abbiamo provato per molti giorni il nuovo Z Fold7 di Samsung, un prodotto davvero interessante e costruito nei minimi dettagli. Rispetto al predecessore, cambiano parecchie cose, facendo un salto generazionale importante. Sarà lui il pieghevole di riferimento? Ecco la nostra recensione completa.
The Edge of Fate è Destiny 2.5. E questo è un problema
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento. Ma con risorse limitate e scelte discutibili, il vero salto evolutivo resta solo un’occasione mancata
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64 e 32 core 9980X e 9970X. Venduti allo stesso prezzo dei predecessori e compatibili con il medesimo socket, le nuove proposte si candidano a essere ottimi compagni per chi è in cerca di potenza dei calcolo e tante linee PCI Express per workstation grafiche e destinate all'AI.
Tutti gli articoli Tutte le news

Vai al Forum
Discussione Chiusa
 
Strumenti
Old 17-06-2013, 22:05   #1
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
EMET 4: Exploit Prevention



Download

-------------------------

EMET è uno strumento concepito per rendere più difficile il tentativo di accesso non autorizzato al sistema mediante l'impiego di speciali tecnologie di mitigazione pensate per ostacolare lo sfruttamento di vulnerabilità presenti nei programmi.

Un exploit, infatti, è definibile come lo sfruttamento di qualcosa per trarre un vantaggio, nel nostro caso l'esecuzione di un payload arbitrario sfruttando un bug in un programma che permetta di controllare lo scorrimento del codice in modo tale che il payload stesso possa essere eseguito.

Il tool opera su 2 livelli consentendo di definire politiche che impattano sull'intero sistema nonchè politiche che riguardano la singola applicazione.
In quest'ultimo caso, le mitigazioni supportate a livello di processo sono regolabili in maniera indipendente e senza che gli effetti si ripercuotano su altri processi.

L'approccio seguito da EMET, inoltre, è di tipo preventivo, teso cioè ad impedire completamente l'esecuzione dello shellcode.

Schema delle tecnologie messe a disposizione dal tool a partire da Vista +:

-------------------------

Set-Up

Per aiutare chi dovesse affacciarsi per la prima volta a questo programma, a partire da questa versione il processo di Set-up prevede uno strumento di configurazione (rappresentato nell'immagine successiva) nel quale viene chiesto all'utente di scegliere se optare o meno per la configurazione raccomandata.



Effettuata pertanto la scelta, si finalizza il processo di installazione e si rende necessario aprire l'interfaccia del programma per prendere consapevolezza della sua struttura nonchè per poter "emetizzare" i processi forzandoli all'uso delle mitigazioni rese disponibili dal tool cosi' da attenuarne la superficie di rischio.

Interfaccia + impostazioni di default per 7 e 8:


La prima cosa che balza sicuramente all'attenzione è il quadro relativo alle impostazioni di sistema dal quale è possibile governare le mitigazioni che hanno un impatto diretto su tutta la macchina.



I sistemi operativi moderni, infatti, incorporano già tecnologie come DEP/ASLR senza tuttavia permettere alterazioni alle impostazione di default (opt-in).
EMET, pertanto, risolve questa lacuna consentendo un controllo granulare sulle singole mitigazioni di sistema che è operabile percorrendo 2 strade:
la 1° passante per il quadro comandi System Status dove, agendo sul menù a tendina collegato ad ogni singola mitigazione, è possibile impostare il grado di settaggio desiderato.
La 2°, invece, per l'uso del set predefinito di regole che ricadono nel quadro "Quick Profile Name",



A livello di sistema, le impostazioni raccomandate sono sicuramente adeguate per cui innalzarne il livello può risultare eccessivo.

----------------------


Impostazioni possibili a livello di sistema:


----------------------

Oltre alla possibilità di intervenire sulle mitigazioni di sistema, EMET ammette anche la possibilità di proteggere singoli processi forzandoli all'uso di un ventaglio più ampio di tecnologie anti-exploit.

Per emetizzare il processo desiderato, il canale è rappresentato dal simbolo Apps



che apre a sua volta una nuova schermata rappresentata sinteticamente dall'immagine sottostante.



A questo punto è sufficiente agire sul pulsante Add Application per inserire manualmente nella lista le applicazioni che si desidera emetizzare.

I processi a 64bit, cmq, non beneficiano dell'intero set di mitigazioni come mostrato anche dall'immagine successiva...


La versione 4, peraltro, introduce nuove tecnologie tese a rafforzare le mitigazioni ROP chiudendo di conseguenza i canali sfruttati per bypassale.



Nel caso pertanto in cui EMET intercetti un'anomalia in essere sui processi emetizzati, stoppa automaticamente il processo e restituisce un pop-up di allarme,


Ultima modifica di nV 25 : 25-06-2013 alle 11:10.
nV 25 è offline  
Old 17-06-2013, 22:05   #2
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 25-06-2013 alle 11:15.
nV 25 è offline  
Old 17-06-2013, 22:06   #3
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 25-06-2013 alle 11:38.
nV 25 è offline  
Old 17-06-2013, 22:13   #4
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Al momento solo 2 battute:

8 X64:
semplicemente perfetto! (risolte ovviamente tutte le piccole magagne che erano emerse durante l'eterno ciclo di beta).

DA INSTALLARE ASSOLUTAMENTE E SENZA PAURA.
nV 25 è offline  
Old 18-06-2013, 11:04   #5
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 25-06-2013 alle 11:15.
nV 25 è offline  
Old 18-06-2013, 11:32   #6
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 18-06-2013 alle 21:15.
nV 25 è offline  
Old 18-06-2013, 14:23   #7
marcos86
Senior Member
 
L'Avatar di marcos86
 
Iscritto dal: Mar 2006
Messaggi: 3929
Quote:
Originariamente inviato da [Claudio] Guarda i messaggi
Non cominciare a sottrarti alle incombenze.
Prima domanda: Windows 7 32 Bit



DEP e SHEOP non vengono abilitati automaticamente; presumo vadano abilitati manualmente, giusto?.
Anche io ho dovuto impostarli manualmente (probabilmente nelle sue schermate enne ha aggiornato la versione precedente che ha mantenuto i settaggi)

Io ho settato sia dep che sehop in opt-out.
Ho notato infatti che il dep always on a volte dà problemi con alcuni programmi.
Non so se il sehop può creare gli stessi problemi, ma in attesa di smentite lo tengo opt-out come il dep
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro
marcos86 è offline  
Old 18-06-2013, 14:52   #8
marcos86
Senior Member
 
L'Avatar di marcos86
 
Iscritto dal: Mar 2006
Messaggi: 3929
La differenza tra opt-in e opt-out è che opt-in indica che la funzionalità è sempre disabilitata tranne per quei programmi che la richiedono (optional-in)
Con opt-out invece è sempre attiva tranne per quei programmi che non la richiedono.

Poi di questi meccanismi sinceramente non so nulla, ma a logica direi che l'opt-out è più sicuro e nel caso del dep permette di non avere problemi con alcuni programmi che cmq sono pochi (ultraiso e advanced uninstaller pro tra quelli che ho usato).

Magari neanche li usi e allora puoi tenere il dep always on - solo ricordati che se un nuovo programma non dovesse funzionare potrebbe essere quella la causa.
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro
marcos86 è offline  
Old 18-06-2013, 16:07   #9
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da [Claudio] Guarda i messaggi
DEP e SHEOP non vengono abilitati automaticamente; presumo vadano abilitati manualmente, giusto?.
parlo esclusivamente del DEP:
come vedi dalla schermata principale del programma, di default 7 (e 8) prevedono che il DEP sia settato su opt-in, dunque che questa mitigazione sia attiva solo a patto che vi sia un'esplicita richiesta in tal senso (da parte del processo).

Quindi "è spento a meno che...".

MS, xò, ha compilato ovviamente i propri processi perchè questi beneficino da subito della mitigazione:
di fatto, pertanto, i processi di sistema è come se avessero DEP sempre impostato (e attivo).

Ultima modifica di nV 25 : 18-06-2013 alle 16:13.
nV 25 è offline  
Old 18-06-2013, 16:10   #10
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 24-06-2013 alle 12:50.
nV 25 è offline  
Old 18-06-2013, 19:09   #11
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
confesso che mi piacerebbe fare tutto un pò meglio ma ho diversa stanchezza (+ problemi) che mi porto dietro e non riesco di conseguenza a trovare la giusta concentrazione per dedicarmi come vorrei al thread.


Ma al di là di questo,
**tranquilli** che questo strumento difficilmente creerà problemi di stabilità.

Al più, si può registrare qualche crash improvviso dei programmi emetizzati...


Se questo può servire a rasserenare...


PS:
anche su 7 X64 SP1 è tutto ok!
nV 25 è offline  
Old 19-06-2013, 10:03   #12
Khronos
Senior Member
 
L'Avatar di Khronos
 
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
Ottimo programmino.
in pratica implementa le procedure standard di prevenzione anti-exploit per tutti i processi messi in lista, colmando il fatto che magari essi stessi non le implementano.

esatto?

domanda.
attivando il LOG nell'eventvwr, diventa "estremamente Luuungo" e quindi per occasioni NON di debug è da lasciar spento?
(di default lo vuole attivare.)

Win 8 PRO 64bit. tutto bene bene.


domanda:
SKYPE come andrebbe impostato?

Ultima modifica di Khronos : 19-06-2013 alle 10:20.
Khronos è offline  
Old 19-06-2013, 11:10   #13
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da Khronos Guarda i messaggi
in pratica implementa le procedure standard di prevenzione anti-exploit per tutti i processi messi in lista, colmando il fatto che magari essi stessi non le implementano.

esatto?
di fatto è proprio cosi':
il tool, infatti, forza i processi che si pongono manualmente sotto la sua tutela ad utilizzare tecnologie che, altrimenti, sarebbero indisponibili fatto salvo il discorso del DEP/ASLR che, attivo di default a livello di sistema, promana i suoi effetti su tutti i processi a patto che siano espressamente compilati per il supporto di queste tecnologie...


ES:

7 (e in misura ancor maggiore, 8) hanno attivo di default sia DEP che ASLR impostati su opt-in (per conferma, è sufficiente lanciare il prompt dei comandi come amministratore e digitare bcdedit /enum controllando quindi il campo nx)

Dunque,
anche se opt-in significa "non attivare la mitigazione a meno che non vi sia un'espressa richiesta in tal senso", abbiamo che tutti i processi (binari) MS sono compilati per beneficiare di queste tecnologie, ergo i processi MS hanno DEP/ASLR attivi.

Processi terzi, invece:
hanno il flag attivo per il supporto al DEP/ASLR?
SI/NO

SI --> il settaggio di default è opt-in --> anche quel processo beneficia della mitigazione per effetto dell'impostazione di sistema

NO --> il settaggio di default è (era) opt-in --> il processo non beneficia di nulla...

Questo, appunto, senza EMET confidando quindi esclusivamente su come è costruito l'OS.

EMET, allora:
l'utente inserisce i processi di cui vuole forzare l'uso delle mitigazioni indipendentemente dalle impostazioni di sistema o dai vari flag utilizzati dal produttore del software.

Il processo emetizzato, quindi, sfrutterà quelle tecnologie.

Al più, crascha...

Ultima modifica di nV 25 : 19-06-2013 alle 11:12.
nV 25 è offline  
Old 19-06-2013, 11:59   #14
Khronos
Senior Member
 
L'Avatar di Khronos
 
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
alla tedesca:

crhasctha swarzenburgenwagengoffen.
Khronos è offline  
Old 19-06-2013, 14:50   #15
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 19-06-2013 alle 17:26.
nV 25 è offline  
Old 19-06-2013, 17:33   #16
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 24-06-2013 alle 11:13.
nV 25 è offline  
Old 20-06-2013, 14:23   #17
matr!x
Senior Member
 
L'Avatar di matr!x
 
Iscritto dal: Sep 2006
Messaggi: 1370
come va configurato per far partire jdownloader?

ho dovuto "disemetizzare" tutti gli eseguibili java runtime per farlo partire ...

*******EDIT*********

trovato : va disabilitata la funzione Heapspray (nella tab memory) per il processo javaw.exe
__________________
"...est modus in rebus..."

Ultima modifica di matr!x : 20-06-2013 alle 14:39.
matr!x è offline  
Old 20-06-2013, 16:40   #18
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
.

Ultima modifica di nV 25 : 24-06-2013 alle 11:13.
nV 25 è offline  
Old 20-06-2013, 16:52   #19
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da [Claudio] Guarda i messaggi
...avevi linkato un elenco delle applicazioni più comuni da emetizzare .... hai modo di recuperarlo è metterlo in evidenza?...
mah, il ragionamento è semplice:
se gli exploit colpiscono gira e rigira i soliti programmi, a dover essere emetizzati saranno sempre i soliti processi. (2+2)...tant'è vero che di default EMET contempla un ruleset predefinito di regole che viene caricato automaticamente a patto di scegliere in fase di setup la configurazione raccomandata.

Questo per dire che anche loro sanno che è preso sistematicamente di mira Java, IE ecc...tant'è vero che hanno già predisposto le regole per proteggerne i processi con le giuste politiche...


Quindi, in definitiva, non ci sarà alcun bisogno di dover emetizzare paint o blocco note ma sarà sufficiente integrare le regole di default con quelli che sono i programmi installati in locale e non contemplati dal ruleset predefinito.
nV 25 è offline  
Old 20-06-2013, 16:54   #20
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
da emetizzare, dunque, saranno:

i browser (quali che siano), i lettori multimediali o di pdf per il solito motivo, ecc..

In sostanza:
tutto quello che può far girare codice insicuro (o perchè preso dalla rete, o perchè...)
nV 25 è offline  
 Discussione Chiusa


Recensione Samsung Galaxy Z Fold7: un grande salto generazionale Recensione Samsung Galaxy Z Fold7: un grande sal...
The Edge of Fate è Destiny 2.5. E questo è un problema The Edge of Fate è Destiny 2.5. E questo ...
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello Ryzen Threadripper 9980X e 9970X alla prova: AMD...
Acer TravelMate P4 14: tanta sostanza per l'utente aziendale Acer TravelMate P4 14: tanta sostanza per l'uten...
Hisense M2 Pro: dove lo metti, sta. Mini proiettore laser 4K per il cinema ovunque Hisense M2 Pro: dove lo metti, sta. Mini proiett...
SpaceX Starship: Ship 37 ha eseguito due...
Sharkoon punta sui case a basso costo, m...
La tua rete Wi-Fi fa pena? Questi FRITZ!...
Amazon, un weekend di fuoco per gli scon...
Ancora 3 smartwatch Amazfit in forte sco...
Sharkoon A60 RGB: dissipatore ad aria du...
HONOR 400 Pro a prezzo bomba su Amazon: ...
Offerte da non perdere: robot aspirapolv...
Apple Watch e Galaxy Watch ai minimi sto...
Il rover NASA Perseverance ha ''raccolto...
NASA e ISRO hanno lanciato il satellite ...
Switch 2 ha venduto 5,82 milioni di cons...
Assassin's Creed Black Flag Remake: le m...
Cosa ci fa una Xiaomi SU7 Ultra alle por...
Promo AliExpress Choice Day: prezzi stra...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 03:41.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v