COMODO INTERNET SECURITY 4

[luke1983]

Quote:

Originariamente inviato da billy99

forse non mi sono spiegato bene io....

dicevo che nelle regole indicate per svchost viene indicato di inserire il dns secondario quando la regola viene nominata come dns primario...

ah ok. avevo capito che non ti era chiaro il perchè di due dns

per quanto riguarda steam, c'è qualcuno che ha impostato delle regole? comodo sembra non vederlo. vabbè che ho disattivato la creazione di regole per applicazioni sicure ma mi sembra esagerato che non appaia nulla. o no?

[billy99]

Quote:

Originariamente inviato da luke1983

ah ok. avevo capito che non ti era chiaro il perchè di due dns

per quanto riguarda steam, c'è qualcuno che ha impostato delle regole? comodo sembra non vederlo. vabbè che ho disattivato la creazione di regole per applicazioni sicure ma mi sembra esagerato che non appaia nulla. o no?

per steam, a me con Proactive Security non partiva,...

allora ho setttao su Internet security ho riavviato il pc e lanciato steam così gli fai apprendere le regole...

poi una volta rimesso Proactive funzionava perfettamente...

[luke1983]

no no. a me parte. il problema è che parte pure troppo: cioè non mi avvisa di niente nonostante abbia la proactive

[billy99]

Quote:

Originariamente inviato da luke1983

no no. a me parte. il problema è che parte pure troppo: cioè non mi avvisa di niente nonostante abbia la proactive

lo avrai lancitao la prima volta quando avevi la internet security oppure il defense ed il firwall in modalità apprendimento..

[Xaolao]

ho cercato per un quarto d'ora un'applicazione non Safe certificata da un prod non fidato e l'ho trovata in HitmanPro (vabbè, quantomeno il database sembra essere considerevolmente vasto), mi metto in livello D+ "Safe" e faccio queste prove

caso A): lascio disabilitati i prod fidati e lancio HitmanPro; ricevo i seguenti 4 pop-up



caso B): allora inserisco il produttore del software (SurfRight B.V.) tra quelli fidati e scelgo di usare la lista; lancio l'applicazione e, giustamente, non si presenta nessun pop-up.

caso C):A questo punto lascio il produttore all'interno dell'elenco degli affidabili, ma tolgo la spunta all'utilizzo dell'elenco stesso. Secondo la mia teoria avrei dovuto ricevere gli stessi pop-up del caso A), mentre stando all'opinione di Roby non avrei dovuto riceverne (come il caso B)...

sorpresa: ricevo invece questi 3 pop-up (peraltro identici):



a sto punto, chi ci capisce è bravo ....

[luke1983]

sono 3 perchè vuole essere sicuro che non sbagli a cliccare oppure potrebbe essere come il gioco delle 3 carte: solo 1 è quello vero, gli altri sono virus

[Romagnolo1973]

Quote:

Originariamente inviato da nV 25

@ romagnolo:

Nella scheda in cui parli del funzionamento del Sandbox e arrivi a fare la distinzione dei 4 livelli di restrizione ammessi (NON SICURO, CIRCOSCRITTO,...), c'è un errore in questo passaggio o, quanto meno, il concetto è espresso in modo scorretto:

" Attenzione !!!
....
se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale."

L'interazione con il sistema reale, sia esso visto come file system o come registro di sistema, esiste SOLO per quei file trascritti su Hard Disk *A PATTO CHE* questi abbiano estensioni & locazioni diverse da quelle contemplate nella scheda avanzata "My Protected files" (lo stesso discorso, peraltro, vale per le chiavi di registro)...

Il motivo, come si diceva, è legato al fatto che la spunta (che è attiva peraltro di default...) alle voci "attiva virtualizzazione file system/registro" nella scheda generale "parametri Sandbox" crea una sorta di politica default-deny scartando quindi automaticamente qualisasi accesso a quelle locazioni protette.


Se dunque un processo/eseguibile sconosciuto "droppa" una sua componente nel file system reale (interagendo quindi con esso nel senso di "sporcandolo"..), questo nuovo componente (oltre che in stato disarmato!!) avrà necessariamente un'estensione DIVERSA da quelle protette e non sarà MAI "CALATO" nelle cartelle critiche le cui regole sono impostate per prescindere dall'estensione (es, %windir%\system32\*)....

Allo stesso modo, un eseguibile sconosciuto sottoposto al sandboxing automatico che interagisca con il registro, interagirà con esso (= lo sporcherà) SOLO per quelle porzioni DIVERSE da quelle protette e indicate nell'apposita scheda ecc ecc..

infatti nel post è scritto 2 righe sotto:

Oltre ai livelli di restrizione che vengono dati alle applicazioni sandboxate, anche il D+ nei loro confronti si setta in modo da bloccare in automatico:
accessi in memoria nei confronti di applicazioni non recintate;
accessi ad Interfacce COM protette;
keylog e catture schermo;
hooks;
modificare chiavi di registro protette (se la virtualizzazione del registro è disattivata);
modificare file protetti già esistenti (se la virtualizzazione del file system è disattivata).
lo davo per implicito che si capisse, comunque visto che non è chiarissimo ho modificato il periodo in :
se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale, a parte le limitazioni a cui viene obbligato dal D+ e che vedrete tra qualche riga.

Direi che così è chiaro

[Romagnolo1973]

Quote:

Originariamente inviato da Xaolao

ho cercato per un quarto d'ora un'applicazione non Safe certificata da un prod non fidato e l'ho trovata in HitmanPro ....

i prodotti fidati in realtà sono 3 liste:
quella che fai tu in File Fidati
quella dei produttori riconosciuti da CIS
quella interna a CIS e che non conosciamo nè possiamo intervenirci ma che penso sia una parente della lista di produttori fidati

Quindi la cosa si rimescola ulteriormente.
Sono comunque dell'idea che se devo usare Sicuro e togliere le spunte o andare a intervenire sui produttori allora passo direttamente in
Paranoico e sono così certo che le liste non le guarda, qualsiasi esse siano.

Ho corretto in guida una cacchiata che avevo letto sull'Help che ha un refuso dalla precedenti versioni. Chiama "Train with safe mode" una opzione di sicurezza del d+ che non c'è più, in realtà intende Safe Mode e non la Training Mode, quindi la funzione presente in D+ -"Avanzate" - "Impostazione di Controllo Esecuzione Immagine" viene applicata in Sicuro e PC Pulito e non in Pc Pulito e Apprendimento come avevo scritto interpretando male quel refuso
Va comunque messa su Alto a prescindere ma ho rettificato perchè era cosa da fare

[arnyreny]

Quote:

Originariamente inviato da Romagnolo1973

infatti nel post è scritto 2 righe sotto:

Oltre ai livelli di restrizione che vengono dati alle applicazioni sandboxate, anche il D+ nei loro confronti si setta in modo da bloccare in automatico:
accessi in memoria nei confronti di applicazioni non recintate;
accessi ad Interfacce COM protette;
keylog e catture schermo;
hooks;
modificare chiavi di registro protette (se la virtualizzazione del registro è disattivata);
modificare file protetti già esistenti (se la virtualizzazione del file system è disattivata).
lo davo per implicito che si capisse, comunque visto che non è chiarissimo ho modificato il periodo in :
se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale, a parte le limitazioni a cui viene obbligato dal D+ e che vedrete tra qualche riga.

Direi che così è chiaro

a questo serve la prova su strada per capire bene i funzionamenti piu' nascosti...


consiglio vivamemte di sandboxare i browser,tutto quello che farete verra isolati in una cartella senza interagire con il sistema reale,che poi dovrete svuotare a manina ogni settimana...il ccleaner dovrete essere voi...

[luke1983]

Quote:

Originariamente inviato da Romagnolo1973

i
se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale, a parte le limitazioni a cui viene obbligato dal D+ e che vedrete tra qualche riga.

Direi che così è chiaro

è chiaro ma è altrettanto chiaro che la sandbox è pressoché inutile così. Se comodo mette un programma in sandbox autonomamente vuol dire che è sconosciuto e quindi potrebbe anche essere malevolo. Se non attiva la virtualizzazione fa danni lo stesso.
Per converso non serve a nulla neanche la virtualizzazione nel manuale perchè se lo avvio manualmente voglio che magari sia protetto tipo browser e non completamente isolato. Anche se in certi casi potrebbe servire quest'ultima proprietà. Sta di fatto che dovrebbe metterlo in "isolamento" quando va in automatico.

La cosa strana è che dopo averlo appena installato, alcuni programmi venivano avviati in sandbox e infatti sembrava che si fossero cancellate tutte le impostazioni. Ne evinco che, al contrario di quello che si dice in questa discussione, la sandbox isola anche in automatico.

Sono vagamente confuso

EDIT:

Quote:

Originariamente inviato da arnyreny

consiglio vivamemte di sandboxare i browser

avevo impostato firefox con privilegi limitati ma non si connetteva più.

[Romagnolo1973]

Quote:

Originariamente inviato da luke1983

è chiaro ma è altrettanto chiaro che la sandbox è pressoché inutile così. Se comodo mette un programma in sandbox autonomamente vuol dire che è sconosciuto e quindi potrebbe anche essere malevolo. Se non attiva la virtualizzazione fa danni lo stesso.
Per converso non serve a nulla neanche la virtualizzazione nel manuale perchè se lo avvio manualmente voglio che magari sia protetto tipo browser e non completamente isolato. Anche se in certi casi potrebbe servire quest'ultima proprietà. Sta di fatto che dovrebbe metterlo in "isolamento" quando va in automatico.

La cosa strana è che dopo averlo appena installato, alcuni programmi venivano avviati in sandbox e infatti sembrava che si fossero cancellate tutte le impostazioni. Ne evinco che, al contrario di quello che si dice in questa discussione, la sandbox isola anche in automatico.

Sono vagamente confuso

EDIT:

avevo impostato firefox con privilegi limitati ma non si connetteva più.

il fatto che le metta come Limitate infatti è sconcertante ma però torna con un paio di considerazioni che stanno prendendo piede nella mia testolina vuota:
A) Più che SandBox era meglio l'avessero chiamata Comodo Behaviour Blocker visto che mi sembra più un BB che un SandBoxie e si basa sul suo database per capire se quel exe o setup è conosciuto o meno
B) va vissuta solo tra qualche mese, quando spero finalmente implementeranno il database di applicazioni che conosce e quindi sì a quel punto se un exe o setup non è conosciuto allora è plausibile sia un virus, e a quel punto spero cambieranno anche il settaggio di default da "Limitato" a qualcosa di più tosto..ecco in quel momento la SB di Comodo avrà un senso sia usata anche da chi è espertone.
Per ora è un abbozzo di progetto, che non riconosce le estensioni di Chrome, non conosce i driver AnalogDevide per la mia scheda audio on board una volta su 2 avvi del pc che risulta oi muto e altre cose, per esempio di dice che Chrome è nella mi alista file sicuri e non c'è e la cosa mi preoccupa, dire che il browser è "safe" non è certo un comportamento buono, ma CIS così m dice, bohhh forse intende è già tra i produttori fidati, non saprei ma è una cosa che mi fa pensare male questa

[luke1983]

perciò meglio disattivarla in attesa di un db decente a supporto e magari qualche revisione?

[arnyreny]

Quote:

Originariamente inviato da luke1983

perciò meglio disattivarla in attesa di un db decente a supporto e magari qualche revisione?

io credo che attiva faccia gia' il suo lavoro abbastanza bene

nb cambia livello al browser e' prova se funziona

[arnyreny]

@romagnolo

prova inserire manualmente chrome nella sandbox con il minimo della limitazione

cosi' lo esclude da quella aurtomatica

[luke1983]

Quote:

Originariamente inviato da arnyreny

io credo che attiva faccia gia' il suo lavoro abbastanza bene

nb cambia livello al browser e' prova se funziona

dove dice Programmi in sandbox non c'è alcunché. Praticamente il browser dovrebbe essere eseguito normalmente.

[Roby_P]

Quote:

Originariamente inviato da Xaolao

per me la guida non dice così (ma posso anche sbagliare); altrimenti, ripeto, a che servirebbe sta spunta se decidesse autonomamente se usare o no i prod fidati?
poi, di fatto, si comporta in alcuni casi in questo modo, ma secondo me è un malfunzionamento o, quanto meno, si comporta in maniera differente da quanto scritto sulla guida

Non ho mica detto che nell'Help c'è scritto che in Safe Mode usa la lista a prescindere dalla spunta, ma solo che secondo me il D+ si comportava così

Quote:

Originariamente inviato da Xaolao

ho cercato per un quarto d'ora un'applicazione non Safe certificata da un prod non fidato e l'ho trovata in HitmanPro (vabbè, quantomeno il database sembra essere considerevolmente vasto), mi metto in livello D+ "Safe" e faccio queste prove

caso A): lascio disabilitati i prod fidati e lancio HitmanPro; ricevo i seguenti 4 pop-up



caso B): allora inserisco il produttore del software (SurfRight B.V.) tra quelli fidati e scelgo di usare la lista; lancio l'applicazione e, giustamente, non si presenta nessun pop-up.

caso C):A questo punto lascio il produttore all'interno dell'elenco degli affidabili, ma tolgo la spunta all'utilizzo dell'elenco stesso. Secondo la mia teoria avrei dovuto ricevere gli stessi pop-up del caso A), mentre stando all'opinione di Roby non avrei dovuto riceverne (come il caso B)...

sorpresa: ricevo invece questi 3 pop-up (peraltro identici):



a sto punto, chi ci capisce è bravo ....

Io invece non ne ho trovate di applicazioni che non fossero nella lista interna di CIS
Per questo ero convinta che usasse sempe la lista dei Produttori fidati.
Bel lavoro, bravo Xaolao

Quote:

Originariamente inviato da Romagnolo1973

i prodotti fidati in realtà sono 3 liste:
quella che fai tu in File Fidati
quella dei produttori riconosciuti da CIS
quella interna a CIS e che non conosciamo nè possiamo intervenirci ma che penso sia una parente della lista di produttori fidati

Quindi la cosa si rimescola ulteriormente.

Notiziona
Dove l'hai trovata questa info che a me era sfuggita?

[Roby_P]

Quote:

Originariamente inviato da billy99

per steam, a me con Proactive Security non partiva,...

allora ho setttao su Internet security ho riavviato il pc e lanciato steam così gli fai apprendere le regole...

poi una volta rimesso Proactive funzionava perfettamente...

Quello che dici è sbagliato.
La Internet Security e la Proactive Security sono due configurazioni.
Come spiegato benissimo in guida sono come compartimenti stagni. Le regole create mentre avevi una delle due configurazioni non compaiono nell'altra e viceversa.
Forse ti confondi con i livelli del Defense+ che sono Apprendimento, PC Pulito, Sicuro e Paranoico.

Ciao caio

[Roby_P]

Quote:

Originariamente inviato da luke1983

per quanto riguarda steam, c'è qualcuno che ha impostato delle regole? comodo sembra non vederlo. vabbè che ho disattivato la creazione di regole per applicazioni sicure ma mi sembra esagerato che non appaia nulla. o no?

Quote:

Originariamente inviato da luke1983

no no. a me parte. il problema è che parte pure troppo: cioè non mi avvisa di niente nonostante abbia la proactive

Prova a guarda se nelle Policy Sicurezza Network ci sono già delle regole per stream e se ci sono cancellale.

Ciao ciao

[Roby_P]

Quote:

Originariamente inviato da Romagnolo1973

Perchè hai Messenger nei file sicuri??

[arnyreny]

Quote:

Originariamente inviato da luke1983

dove dice Programmi in sandbox non c'è alcunché. Praticamente il browser dovrebbe essere eseguito normalmente.

prova illimitato come da figura per chrome