COMODO INTERNET SECURITY 4

[done75]

Quote:

Originariamente inviato da nV 25

secondo me, invece, il sandboxing automatico (nella sua attuale incarnazione, atipico per i motivi che abbiamo visto dato che si comporta come virtualizzatore puro solo nel caso di avvio manuale di un'applicazione tramite context menù [tasto dx sul nome del prog., ecc..] o "forzando" l'applicazione stessa a partire sandboxata tramite pannello "programmi nella Sandbox"...) è una funzionalità utile e da tenere sicuramente attiva già da ora per quanto cmq sia ancora immaturo...

A fronte infatti di diversi aspetti ancora carenti o da perfezionare, offre un notevole grado di sicurezza liberando per di più l'utente da qualsiasi popup (fatti salvi quelli relativi agli hook e alle interfacce COM che costituiscono infatti parte delle aree di miglioramento citate poc'anzi)...

Sarei infatti curioso di capire su quali basi si affermerebbe che l'utenza esperta troverebbe (allo stato attuale, almeno...) > giovamento in termini di protezione dal tenere disabilitato questo modulo...

Per quanto mi riguarda è proprio x questo: A MIO PARERE,il modulo sandbox per ora è buggatissimo (leggendo qui e sui forum comodo nuovi bug della sandbox crescono come funghi...),migliorabilissimo...e non offre il massimo grado di sicurezza,bensì "un notevole grado di sicurezza liberando per di più l'utente da qualsiasi popup" NOTEVOLE MA NON MASSIMO.

Preferisco essere inondato dai POPUP piuttosto che un malware automaticamente "sandboxato MALE (o parzialmente)" crei casini.....

Quote:

Originariamente inviato da nV 25

Se queste basi, infatti, sono 20 punti in meno al CLT.exe registrabili con il sandboxing attivo rispetto al punteggio pieno che si avrebbe con il modulo Sandbox disabilitato, allora temo che queste siano da rivedere profondamente perchè parecchio labili...

...qui invece manco so a conoscenza di cosa stai parlando quindi non è proprio il mio caso...

PS. il tutto è una mia opinione chiaramente
.....e ovviamente mi auguro di essere spinto dalla Comodo a riattivare la funzione sandbox il prima possibile,una volta che la reputerò migliore...

[nV 25]

Quote:

Originariamente inviato da done75

Per quanto mi riguarda è proprio x questo: A MIO PARERE,il modulo sandbox per ora è buggatissimo (leggendo qui e sui forum comodo nuovi bug della sandbox crescono come funghi...),migliorabilissimo...e non offre il massimo grado di sicurezza,bensì "un notevole grado di sicurezza liberando per di più l'utente da qualsiasi popup" NOTEVOLE MA NON MASSIMO.

Preferisco essere inondato dai POPUP piuttosto che un malware automaticamente "sandboxato MALE (o parzialmente)" crei casini.....

Non credo di essere mai stato tenerissimo verso i prodotti Comodo (lo attesta peraltro anche la mia storia recente sul thread "Prevenire ecc ecc" dove affermai, sulla scorta di prove inconfutabili, che la 1° release ufficiale era STRA BUGGATA, ma non solo...):
allo stesso tempo, la 2° release (v779) ha risolto realmente diversi problemi, in particolare tutti quelli (noti) legati alla sicurezza del modulo.

Pertanto mi chiedo:
di cosa si stà parlando?

Di sicurezza?
Perchè se si parla di questa, il Sandbox già ora è efficace.


Se invece si parla degli n miglioramenti (anche urgenti) di cui l'intera suite ha bisogno perchè possa realmente fregiarsi di qualcosa di importante, allora è un altro discorso (potrei scrivere ad es. un trattato sulle migliorie da apportare al modulo HIPS puro perchè questo ricordi in qualche maniera ProSecurity o Malware Defender...), ma cmq, e da quello anche che rilevo dal forum ufficiale, non mi sembra che siano strettamente legati al problema sicurezza in se per se...

[nV 25]

Visto che non mi sono ancora sconnesso, volevo precisare un punto che serve a chiarire ulteriormente il mio pensiero.


A prescindere dal fatto che non avrei neppure titolo per emettere giudizi su un software delicato come un HIPS/Sandbox visto che non ho nessuna competenza particolare nel ramo informatico se non un amore viscerale verso l'universo PC, e dunque quello che dico dovrebbe valere come il 2 di picche quando briscola è cuori mentre invece percepisco che diversi prendono per oro colato le mie parole manco fossi eraser, mi sembra pacifico oltrechè onesto affermare che CISv4 sia ancora un programma immaturo, giovane...

I problemi di gioventù, cmq, ovvero l'immaturità della soluzione, attengono xò essenzialmente aspetti importanti ma NON vitali specie per un programma che ha la presunzione di sorvegliare la sanità [] della nostra macchina...

Parlare di immaturità, quindi, non implicava automaticamente attribuirgli l'accezione di inefficace.



Rinnovo pertanto la mia domanda, e cioè "Sarei ... curioso di capire su quali basi si affermerebbe che l'utenza esperta troverebbe (allo stato attuale, almeno...) > giovamento in termini di protezione dal tenere disabilitato questo modulo"...


Grazie.






PS:
siccome la "sviolinata" di cui sopra potrebbe portare qualcuno a pensare che sia nato un amore a prima vista verso questa soluzione o che nutra improvvisamente una fiducia incondizionata sul modo di sviluppar prodotti tenuto da Comodo, preferisco smontare fin da subito il teorema prima che nasca il caso....

[billy99]

Quote:

Originariamente inviato da luke1983

i dns sono i server che traducono l'indirizzo web dalla versione umana www.esempio.it alla versione da computer 60.95.80.43. Se non funziona il primario si usa il secondario. Evidentemente win update deve accedere a questi indirizzi per funzionare.

Sono gli stessi che si inseriscono nelle opzioni di connessione.

forse non mi sono spiegato bene io....

dicevo che nelle regole indicate per svchost viene indicato di inserire il dns secondario quando la regola viene nominata come dns primario...

[bender8858]

Quote:

Originariamente inviato da billy99

dicevo che nelle regole indicate per svchost viene indicato di inserire il dns secondario quando la regola viene nominata come dns primario...

Ho corretto ora, grazie

Quote:

allora dovete aggiornare la regola nel 1° post

Fatto, grazie per la segnalazione

Ciao

[Albitexm]

Quote:

Originariamente inviato da Roby_P

Ciao Albitexm,
a questo punto meglio che disinstalli e reinstalli da zero senza tentare più l'aggiornamento.
Per disinstallare usa Revo Uninstaller e scegli la disinstallazione avanzata.
Poi riavvia dai una pulitina con CCleaner e poi reinstalla.

Ciao ciao

Ho usato come da te consigliato Revo Unistaller (tra l'altro ottimo programma),
ma niente, continua a darmi lo stesso problema. Ho rifatto anche il download. A questo punto mi chiedo, ma è compatibile con il sp3 di Win? Qualcuno ha installato su sp3 questa suite?

[Roby_P]

Quote:

Originariamente inviato da meolag

Per prima cosa facciamo la regola per -windows updater application-:

Azione = Permetti
Protocollo = TCP o UDP
Direzione = In uscita
Descrizione = windows updater application
Indirizzo sorgente = qualsiasi
Indirizzo destinazione = qualsiasi
Porta sorgente = qualsiasi
Porta di destinazione = qualsiasi


Scusa, forse non ho capito, ma la regola per Windows updater sopra citata io l'ho trovata di default

Quote:

Originariamente inviato da Romagnolo1973

Sì c'è già di default non va creata ma se qualcuno per qualche ragione l'avesse cancellata è lì, le regole svchost vanno messe sotto a quella

Io regole per il gruppo Windows Updater Application nel firewall non ne ho

[Xaolao]

Quote:

Originariamente inviato da Roby_P

No no non sono la stessa cosa
Se aggiungi un'applicazione ai File Sicuri, Comodo autorizzerà solo quell'applicazione.
Se invece è il produttore ad essere nella lista dei Produttori Software Fidati verranno autorizzate tutte le applicazioni di quel produttore e non solo l'applicazione in questione.
Se invece rispondendo ad un pop up della Sandbox decidi di eseguire l'applicazione fuori dalla Sandbox e spunti pure l'opzione per fidarti del Produttore, allore il produttore verrà aggiunto alla lista dei Produttori Software Fidati. Quindi oltre alla tua applicazione Comodo autorizzerà tutte le applicazioni di quel produttore.

...quindi la citazione dalla guida sulla definizione del livello del D+ "Safe" non dice che automaticamente in quello stato le applicazioni dei prod. fidati sono necessariamente consentite, ma che a essere consentite saranno le applicazioni fidate, no?

ciao Roby

[Roby_P]

Ho riletto il tuo post ed ho riletto l'help di CIS e mi sono fatta l'idea che hai ragione tu, c'è qualcosa che non torna

La lista dei File Sicuri la usa di default solo in Safe Mode e non in Paranoid Mode, mentre la lista dei Produttori di Software Fidati può essere abilitata oppure no.
Ma io ora sono in Paranoid Mode ed ho abilitato l'uso della lista dei Produttori di Software Fidati e continuo a ricevere i pop up per le applicazioni di sistema

[done75]

Quote:

Originariamente inviato da nV 25

...... Rinnovo pertanto la mia domanda, e cioè "Sarei ... curioso di capire su quali basi si affermerebbe che l'utenza esperta troverebbe (allo stato attuale, almeno...) > giovamento in termini di protezione dal tenere disabilitato questo modulo"...


Grazie.

.......

...pensavo d'averti gia' risposto (anche se le mie competenze sono amatorialissime .....ricordi? è stato proprio il tuo thread a spingermi a documentarmi sul campo....ai tempi in cui c'era pure l'utente "Pistolino"...te lo ricordi Pistolino? ...e tutti avevamo KIS 6 )... cmq io la penso così,come la pensa mouse1 in questo post....

[Xaolao]

Quote:

Originariamente inviato da Roby_P

Ho riletto il tuo post ed ho riletto l'help di CIS e mi sono fatta l'idea che hai ragione tu, c'è qualcosa che non torna

La lista dei File Sicuri la usa di default solo in Safe Mode e non in Paranoid Mode, mentre la lista dei Produttori di Software Fidati può essere abilitata oppure no.
Ma io ora sono in Paranoid Mode ed ho abilitato l'uso della lista dei Produttori di Software Fidati e continuo a ricevere i pop up per le applicazioni di sistema

allora, secondo me la guida dice che:

1. Paranoid: vengono richiesti pop-up per tutte le applicazioni (sicure e non), la lista dei produttori non viene considerata (sia che si metta o che si tolga la spunta dall'opzione relativa)
2. Safe:
   • se la lista dei prod fidati non è abilitata, vengono richiesti pop-up per tutte le applicazioni non espressamente riconosciute da Comodo come "sicure"
   • se la lista dei prod fidati è abilitata vengono richiesti pop-up per le sole applicazioni non espressamente riconosciute da Comodo come "sicure" il cui produttore non è presente nella lista dei prod. affidabili

e il tutto avrebbe anche senso
poi, secondo la mia esperienza, questo non avviene poiché nel livello Safe alcune applicazioni non "sicure" partivano senza pop-up perché il produttore relativo era nella lista nonostante avessi scelto di non usare quest'ultima; la prova l'ho avuta eliminando il produttore in questione dalla lista per poi vedere al successivo lancio i pop-up per tale applicazione

(alla Comodo sono proprio bastardi ...e pignoli )

[Polonio]

@done75

Senza entrare nella discussione, volevo solo far notare che il post di "mouse1" è stato scritto circa 2 settimane PRIMA dell'uscita della .779 che, a quanto dicono, ha risolto i problemi della SB puramente legati all'aspetto della sicurezza.
Se così fosse effettivamente il quesito posto da nV 25 resta ancora valido...


BuonaSerata

[done75]

Quote:

Originariamente inviato da Polonio

@done75

Senza entrare nella discussione, volevo solo far notare che il post di "mouse1" è stato scritto circa 2 settimane PRIMA dell'uscita della .779 che, a quanto dicono, ha risolto i problemi della SB puramente legati all'aspetto della sicurezza.
Se così fosse effettivamente il quesito posto da nV 25 resta ancora valido...


BuonaSerata

guarda che puoi entrare nella discussione,il thread serve anche a questo ... anzi,aspetto un 'opinione anche di Romagnolo che se non erro mi pareva pure lui leggermente a favore della disabilitazione TEMPORANEA della Sandbox...

...azz'....vado a ridare un 'occhiata all'altro forum in cerca di notizie allora...

[ellegi71]

Per le impostazioni antivirus di Comodo secondo voi, non sarebbe meglio alzare il limite da 20Mb ad almeno 100Mb?

[billy99]

Quote:

Originariamente inviato da bender8858

Ho corretto ora, grazie



Fatto, grazie per la segnalazione

Ciao

grazie a te!

[Roby_P]

Quote:

Originariamente inviato da Xaolao

allora, secondo me la guida dice che:

1. Paranoid: vengono richiesti pop-up per tutte le applicazioni (sicure e non), la lista dei produttori non viene considerata (sia che si metta o che si tolga la spunta dall'opzione relativa)
2. Safe:
   • se la lista dei prod fidati non è abilitata, vengono richiesti pop-up per tutte le applicazioni non espressamente riconosciute da Comodo come "sicure"
   • se la lista dei prod fidati è abilitata vengono richiesti pop-up per le sole applicazioni non espressamente riconosciute da Comodo come "sicure" il cui produttore non è presente nella lista dei prod. affidabili

e il tutto avrebbe anche senso
poi, secondo la mia esperienza, questo non avviene poiché nel livello Safe alcune applicazioni non "sicure" partivano senza pop-up perché il produttore relativo era nella lista nonostante avessi scelto di non usare quest'ultima; la prova l'ho avuta eliminando il produttore in questione dalla lista per poi vedere al successivo lancio i pop-up per tale applicazione

(alla Comodo sono proprio bastardi ...e pignoli )

Per me quando è in Safe Mode usa la lista a prescindere dal fatto che ci sia o no la spunta e quando è in Paranoid Mode non la usa a precsindere dalla spunta

Pensavo di fare un test su VM con CIS appena installato per togliermi ogni dubbio.
Se metto in Safe Mode (CIS è appena installato, quindi in File Sicuri non c'è niente) e tolgo la spunta a Fidati delle applicazioni digitalmente firmate da Autori Software Sicuri, dovrei ricevere i pop up per le applicazioni di sistema, giusto?

Se mi dite che il ragionamento è giusto, appena ho un attimo faccio questo test.

[Roby_P]

Quote:

Originariamente inviato da Romagnolo1973

You get 'elevated privileges' alerts when CIS is faced with unknown installation software. The installation software needs greater Defense+ privileges than the CIS sandbox normally grants unknown software. If the setting 'Automatically recognise installer....' is checked, CIS grants installation software almost total freedom and suppresses all alerts (though it still makes log entries). You should say yes if you fully trust the vendor of the software, no otherwise. If you say no you can uncheck ''Automatically recognise' and re-run the installer with all Defense+ alerts enabled. (Whether this approach to installers creates too great a security weakness is a topic that is currently being debated, but it is consistent with previous practice regarding installers/updaters in CIS).

i driver hanno privilegi elevati altrimenti non si installano a livello kernell
questi privilegi vanno a cozzare con le limitazioni della SB
Se nella SandBox è attiva la funzione che riconosce automaticamente i setup CIS sopprime tutti i popup e da libertà al software, almeno dovrebbe
se quella opzione non è scelta allora per fare andare il setup bisogna rieseguirlo, ecco perchè forse a ENNE era bloccato, va rieseguito, come anche i file quando compare l'avviso della SB o li si mette subito nella lista Safe oppure per farli eseguire occorre ricliccarci, la SB non fa avviare il file se non ripetiamo l'azione

Ciao Romagnolo
Scusa il ritardo, ma come sai in questi giorni sono un pò distratta ...
Ho riletto il tuo post e finalmente ho capito quello che intendevi
Di conseguenza ho deciso di togliere la spunta alla voce nella Sandbox che permette di riconosce gli installer, come suggerito anche da nV in questo post

Quote:

Originariamente inviato da nV 25

Lo forzi a partire sandboxato ma non si connette?

E allora toglilo dal sandbox, lo fai partire normalmente e poi, nel caso tu dovessi involontariamente scaricare un malware, questo partirebbe automaticamente castrato*...

*perchè sconosciuto, e sempre che non sia un installer nel qual caso avresti il famoso popup sui privilegi...


Allo stato attuale, dunque, il mio consiglio è quello di liberare dal sandbox questi processi potenzialmente vettori di infezione e, al contempo, disabilitare l'opzione che riconosce quando un file è un installer.

In questo modo, un processo/eseguibile partirà sempre sandboxato senza poter intaccare peraltro le aree protette di sistema (posto che le prime 3 voci della scheda "parametri Sandbox" siano settate, ovvio...) e sarai te che, di volta in volta, se sai che hai di fronte l'installer relativo (ad es.) all'aggiornamento di Foxit Reader (o Firefox o chessòio..), riattivi la funzione di riconoscimento automatico, dai l'OK alla richiesta dei privilegi e ri-disabiliti l'opzione...

Quella sopra è un idea ma non il Vangelo, sia chiaro...

Preferisco eseguire un processo due volte, piuttosto che rischiare che un malware sia eseguito automaticamente, perchè scambiato per un installer

Ciao ciao

[Roby_P]

Quote:

Originariamente inviato da arnyreny

continuando ad usare il browser chrome nella sandbox con l'unico livello di cui si puo' sandboxare chrome cioe' livello illimitato...

ho riscontrato 2 aspetti positivi che ci fanno ben sperare ...
il primo gli eseguibili che si vogliono avviare direttamente da chrome non partono vengono bloccati...
Come diceva precedentemente nv 25 nel caso in cui si inserisce un programma manualmente(come nel mio caso chrome) la sandbox di comodo crea una cartellina copiando tutti i file di cui ha bisogno il browser come in questo caso per funzionare,quindi ricreando un utente e cartelline temporane che comunque non vengono cancellate alla fine della navigazione,infatti dopo una settimana ho svuotato manualmente la cartellina che pesava circa 2Gb

il secondo aspetto che voglio evidenziare riguarda questa zona dove vengono ricreati i file che servono per il funzionamento del browser,infatti mentre decoprimevo un rar da chrome mi sono accorto che in questo caso, a differenza di quando viene decompresso da explorer,diventava un applicazione con meno privilegi

ecco una prova ,ho compresso un programma con firma digitale vso image resize,lanciato da winrar dal desktop comodo non da nessun avviso poiche’ prevale la regola dei programmi fidati.
Mentre se viene aperto il rar da chrome e lanciato il file vso,ecco che diminuiscono i privilegi ed occhi i pop-up

Ciao arny

Per curiosità tu ce l'hai la spunta sull'opzione per riconoscere gli installer?
Sai per caso cosa succede all'installer quando lo esegui dal browser, nel senso ha diritti limitati oppure no?

[Roby_P]

Quote:

Originariamente inviato da nV 25

secondo me, invece, il sandboxing automatico (nella sua attuale incarnazione, atipico per i motivi che abbiamo visto dato che si comporta come virtualizzatore puro solo nel caso di avvio manuale di un'applicazione tramite context menù [tasto dx sul nome del prog., ecc..] o "forzando" l'applicazione stessa a partire sandboxata tramite pannello "programmi nella Sandbox"...) è una funzionalità utile e da tenere sicuramente attiva già da ora per quanto cmq sia ancora immaturo...

Sarei infatti curioso di capire su quali basi si affermerebbe che l'utenza esperta troverebbe (allo stato attuale, almeno...) > giovamento in termini di protezione dal tenere disabilitato questo modulo..

Quoto

Per me la Sandbox (o sarebbe meglio dire la polity default-deny ) che parte in automaticoè un ottima idea.
La Sandbox integrata nell'HIPS è un ottima idea.
Certo sono idee nuove e gli ci vorrà un pò per renderle solide quanto il firewall o il Defense+, ma già ora funzionano bene.
Infatti, la Sandbox la sto usando, mentre l'antivirus l'ho installato solo ad un anno dalla sua uscita. Questo per dire quanta fiducia abbia nella Sandbox

Ciao ciao

[Xaolao]

Quote:

Originariamente inviato da Roby_P

Per me quando è in Safe Mode usa la lista a prescindere dal fatto che ci sia o no la spunta

per me la guida non dice così (ma posso anche sbagliare); altrimenti, ripeto, a che servirebbe sta spunta se decidesse autonomamente se usare o no i prod fidati?
poi, di fatto, si comporta in alcuni casi in questo modo, ma secondo me è un malfunzionamento o, quanto meno, si comporta in maniera differente da quanto scritto sulla guida

Quote:

Originariamente inviato da Roby_P

e quando è in Paranoid Mode non la usa a precsindere dalla spunta

questo sì, secondo la guida e anche nei fatti

Quote:

Originariamente inviato da Roby_P

...(CIS è appena installato, quindi in File Sicuri non c'è niente)...

questo secondo me è il punto cruciale: ma è sicuro che, oltre ai file in "My own safe files", CIS non abbia un database interno di applicazioni "Safe"?

Quote:

Originariamente inviato da Roby_P

Se mi dite che il ragionamento è giusto, appena ho un attimo faccio questo test.

sì, sì, meglio attendere anche altri pareri che forse riusciamo a sbrogliare la matassa