Prevenire è meglio che curare :) Software HIPS

[Kohai]

Trovato l'articolo

http://www.megalab.it/7160/2/rendere...ficata-ad-emet

[nV 25]

Preferisco soprassiedere sul valore qualitativo degli articoli di megalab in tema di sicurezza...


L'errore, cmq, è nel passaggio in cui parli di estendere eventualmente la protezione offerta da EMET anche alle singole librerie...
Se rifletti infatti meglio sugli effetti prodotti dal tool in questione, ti accorgerai sunza dubbio di quanto sia insensata quella strada...

[cloutz]

costretto a tornare a Windows, causa un progetto da fare su cui tale piattaforma risulterebbe più agevole, eccomi qua..

per la stessa sensazione di Kohai non ho ancora installato EMET
prima o poi lo farò, ma quel giorno sarà quando avrò la predisposizione a far danni (cosa più frequente di quanto si possa pensare )

per ora configurazione light che più light non si può

[arnyreny]

Quote:

Originariamente inviato da cloutz

costretto a tornare a Windows, causa un progetto da fare su cui tale piattaforma risulterebbe più agevole, eccomi qua..

per la stessa sensazione di Kohai non ho ancora installato EMET
prima o poi lo farò, ma quel giorno sarà quando avrò la predisposizione a far danni (cosa più frequente di quanto si possa pensare )

per ora configurazione light che più light non si può

daccordo con te....chissa se esiste un soft leggeo leggero che blocchi tutte le esecuzioni di qualsiasi programma al di fuori di quello che e'gia nel pc...tipo opzione returnil consenti solo programmi e processi che sono gia installati sul pc....
in questo caso si potrebbe lavorare piu' tranquilli...

[nV 25]

senza offesa, ma secondo me è stato creato un caso sul nulla...

Se da un lato è legittima e rispettabile ogni scelta che vada in direzione opposta rispetto all'invito ad installare il tool in questione, dall'altro però non si portino a giustificazione tesi che, sinceramente, poggiano sulla sabbia...


EMET, infatti, è installabile anche dal maiale (la sua procedura di installazione, per gente un pò pratica di PC, non può costituire ostacolo...) e richiede, come indicato anche da Megalab che qui sembra avere un gran credito, una "manipolazione" in quelle che sono le protezioni per-processi (che si vada, in sostanza, ad indicare una per una le voci che si vogliono proteggere con EMET, operazione anche questa alla portata del maiale)...

Questa serie di operazioni, dunque, NON pregiudicano la stabilità della macchina:
al limite, solo quella del singolo programma protetto (es: la voce EAF per Skype, ecc..)

Non è prescritto dal medico, infatti, che debbano essere necessariamente cambiate le protezioni a livello di sistema (le uniche che potrebbero realmente pregiudicare la stabilità del PC!) che possono dunque rimanere tranquillamente al loro settaggio di default!....


Riassumendo:
se in EMET lascio @ default le protezioni a livello globale e metto mano esclusivamente all'area preposta alle protezioni per-processo, non ho nulla da temere se non il rischio di instabilità di una singola applicazione...

Se invece metto mano ANCHE alle protezioni a livello di sistema, potrei rendere instabile la macchina...
Inputata, in particolare, è la voce ASLR su un sistema con scheda grafica ATI...

Ma, come indicato anche sul manuale e su questo stesso thread, l'inghippo è facilmente risolvibile...

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

senza offesa, ma secondo me è stato creato un caso sul nulla...

Se da un lato è legittima e rispettabile ogni scelta che vada in direzione opposta rispetto all'invito ad installare il tool in questione, dall'altro però non si portino a giustificazione tesi che, sinceramente, poggiano sulla sabbia...


EMET, infatti, è installabile anche dal maiale (la sua procedura di installazione, per gente un pò pratica di PC, non può costituire ostacolo...) e richiede, come indicato anche da Megalab che qui sembra avere un gran credito, una "manipolazione" in quelle che sono le protezioni per-processi (che si vada, in sostanza, ad indicare una per una le voci che si vogliono proteggere con EMET, operazione anche questa alla portata del maiale)...

Questa serie di operazioni, dunque, NON pregiudicano la stabilità della macchina:
al limite, solo quella del singolo programma protetto (es: la voce EAF per Skype, ecc..)

Non è prescritto dal medico, infatti, che debbano essere necessariamente cambiate le protezioni a livello di sistema (le uniche che potrebbero realmente pregiudicare la stabilità del PC!) che possono dunque rimanere tranquillamente al loro settaggio di default!....


Riassumendo:
se in EMET lascio @ default le protezioni a livello globale e metto mano esclusivamente all'area preposta alle protezioni per-processo, non ho nulla da temere se non il rischio di instabilità di una singola applicazione...

Se invece metto mano ANCHE alle protezioni a livello di sistema, potrei rendere instabile la macchina...
Inputata, in particolare, è la voce ASLR su un sistema con scheda grafica ATI...

Ma, come indicato anche sul manuale e su questo stesso thread, l'inghippo è facilmente risolvibile...

Sono daccordo.
Infatti a Kohai avevo consigliato in MP proprio tale soluzione primaria (configure application) e se tutto fosse andato per il meglio passare anche a quella secondaria (configure system).

Io ho installato EMET proprio sotto XP e non ho nessun particolare problema a parte forse un rallentamento nell'avvio di Opera (forse imputabile a DEP).

Ho anche installato EMET in un pc del figlio di un amico sempre con XP senza nessun problema.

[cloutz]

OK, l'ho installato

Configure System > Maximum Security Settings
DEP: Always ON
SEHOP: Application Opt Out
ASLR: Application Opt In

Configure Apps > ho aggiunto queste app



esclusi:
Chrome - avevo letto di qualche problema (che non voglio avere)
Java - preventivamente senza nessun reale motivo, ha dato problemi a qualcuno?

qualche processo da aggiungere o protezione da disabilitare per quelli inseriti perchè inutile/incompatibile?

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

OK, l'ho installato

Configure System > Maximum Security Settings
DEP: Always ON
SEHOP: Application Opt Out
ASLR: Application Opt In

Configure Apps > ho aggiunto queste app



esclusi:
Chrome - avevo letto di qualche problema (che non voglio avere)
Java - preventivamente senza nessun reale motivo, ha dato problemi a qualcuno?

qualche processo da aggiungere o protezione da disabilitare per quelli inseriti perchè inutile/incompatibile?

Io ho inserito anche Chrome senza alcun problema.
Ho anche inserito Java ed ho fatto l'ultimo aggiornamento senza problemi,solo che io non faccio solitamente l'aggiormamento da sw ma direttamente.

Invece ho inserito emule senza EAF prova a verificare se dopo la chiusura dello stesso permane il processo emetizzato nella GUI.

Ho anche inserito Filehippo Update Checker emetizzato che apre il browser direttamente sandboxato.

[nV 25]

Quote:

Originariamente inviato da cloutz

Configure System > Maximum Security Settings
DEP: Always ON
SEHOP: Application Opt Out
ASLR: Application Opt In

Pari pari alle mie (vedi anche qui!)...

Quote:

Originariamente inviato da cloutz

Configure Apps > ho aggiunto queste app



esclusi:
Chrome - avevo letto di qualche problema (che non voglio avere)
Java - preventivamente senza nessun reale motivo, ha dato problemi a qualcuno?

qualche processo da aggiungere o protezione da disabilitare per quelli inseriti perchè inutile/incompatibile?

Probabilmente è da togliere tutta la parte relativa a 7z ..

Per Chrome è corretta l'osservazione di Sampei...

Non so cosa siano i processi OIS/filezilla pertanto su questi non mi esprimo...

Interessante e corretta la presenza nella scheda dei processi protetti di 2 istanze di IExplorer visto che si riferiscono a 2 versioni diverse, una a 32bit e l'altra a 64....

[nV 25]

Nel frattempo vi segnalo delle letture eccezionali sul tema "Vulnerabilità dell'UAC a default".

Sono articoli datati ma, allo stesso tempo, alla portata di persone non tecniche e, dunque, risultano relativamente comprensibili.

Danno oltretutto un'idea abbastanza precisa sulle dinamiche che hanno accompagnato la gestazione dell'UAC in 7 fino a quella che è la sua attuale incarnazione (falle nel frattempo corrette, ecc)...

Chi dovesse avere tempo da perdere, la sequenza sarebbe questa:
1, 2, 3 (per il discorso dell'auto-elevazione), 4 e, per un finale col botto [], 5...

Un approfondimento della scheda n°5 in questo post di Mark Russinovich, 6.


Buona lettura...

[Kohai]

Quote:

Originariamente inviato da nV 25

EMET, infatti, è installabile anche dal maiale (la sua procedura di installazione, per gente un pò pratica di PC, non può costituire ostacolo...) e richiede, come indicato anche da Megalab che qui sembra avere un gran credito, una "manipolazione" in quelle che sono le protezioni per-processi (che si vada, in sostanza, ad indicare una per una le voci che si vogliono proteggere con EMET, operazione anche questa alla portata del maiale)...

Avro' forse dato la colpa ad emet quando invece forse era di .net framework... oppure altro.. ci sono N possibilita' che la colpa sia imputabile a qualcosaltro...

Quando ho scaricato emet, appare la critta di windows che senza il framework questo tool non puo' lavorare, quindi ho scaricato anche quest'ultimo... mastodontico.

Avvio emet, cerco di apportare qualche modifica ma appare l'errore del quale ho anche scritto precedentemente.

Lascio star comunque tutto cosi, avvio qualche software ed i browser e mi ritrovo con i.e. impallato, firefox che funziona male, oltre che opera rallentato.

Do' la colpa ad emet (o forse al net framework essendo le ultime due installazioni effettuate), disinstallo, e tutto ritorna normale.

La mia e' stata solo un'esperienza nella quale e dalla quale cercavo "compagni d'arme", ossia, se qualcuno aveva i miei stessi problemi.

Scaricare ed installare qualcosa e' capacissimo anche mio figlio di 5 anni; megalab, come altre fonti le utilizzo prima di effettuare qualche operazione, per avere uno sguardo d'insieme piu' vasto e possibilmente ricco di particolari piu' o meno utili....





Quella del maiale devo ancora interpretarla....

[nV 25]

Quote:

Originariamente inviato da Kohai

Quella del maiale devo ancora interpretarla....

qui da noi, dire che una cosa è alla portata anche del maiale significa che può farla anche un infante, ecco...
Non è nulla di offensivo...



PS: ora leggo il tuo intevento...

[nV 25]

Quote:

Originariamente inviato da Kohai

Avro' forse dato la colpa ad emet ...

Alla luce della tua risposta, quello che volevo dire con i miei interventi era questo:
1 sei giustamente libero di non utilizzare questo tool anche perchè, poi, non è che questo di per sè faccia miracoli...
2 hai giustamente portato prove evidenti di malfunzionamento del tool in questione (PS: hai cmq il SP3 installato che sembra essere un requisito per la corretta installazione di EMET su XP?)...


Quindi, nulla da dire...


Non mettere xò in campo motivi come la complessità di gestione o di messa a punto, come sembrava da questo post ( link!) dove si ventilava addirittura l'ipotesi di aggiungere librerie???, perchè cosi' non è...

Il tool in se per se è utile e banale da configurare, a meno ovviamente di non farsi prendere la mano aggiungendo tra i processi protetti elementi inverosimili come hanno fatto diversi utenti su wilders che poi, non a caso, si lagnavano perchè il Pc non gli bootava più...

[arnyreny]

cercavo di trovare notizie in rete su questo quesito...ma nulla....

se si configura cosi


Uploaded with ImageShack.us


senza configurare nessuna apps...ci sono dei benefici oppure e' inutile?

[sampei.nihira]

Quote:

Originariamente inviato da arnyreny

cercavo di trovare notizie in rete su questo quesito...ma nulla....

se si configura cosi


Uploaded with ImageShack.us


senza configurare nessuna apps...ci sono dei benefici oppure e' inutile?

Opinione altamente personale.......quella sotto.
La funzione primaria di EMET che mi interessa è quella di mitigare le vulnerabilità dei browser web.
E vulnerabilità accessorie come flash da documenti Office.....

Senza la configure application......come fai a mitigare le 2 cose suddette ?

[arnyreny]

Quote:

Originariamente inviato da sampei.nihira

Opinione altamente personale.......quella sotto.
La funzione primaria di EMET che mi interessa è quella di mitigare le vulnerabilità dei browser web.
E vulnerabilità accessorie come flash da documenti Office.....

Senza la configure application......come fai a mitigare le 2 cose suddette ?

daccordissimo...ma la mia curiosita' mi spingeva a capire cosa serve il dep e perchè in xp non c'e'?

non sempre la curiosità è femmina

[nV 25]

Quote:

Originariamente inviato da arnyreny

cercavo di trovare notizie in rete su questo quesito...ma nulla [...]
senza configurare nessuna apps...ci sono dei benefici oppure e' inutile?

ma a logica, no, eh!?!

Se le mitigazioni operano su 2 piani distinti, una a livello di sistema e l'altra a livello di singola applicazione, mi sembra pacifico che se un piano è fuori gioco l'altro rimanga attivo...

Inoltre, e per farla corta, le mitigazioni a livello di singola applicazione sono in n° > rispetto a quelle di sistema...

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

IIo ho inserito anche Chrome senza alcun problema.
Ho anche inserito Java ed ho fatto l'ultimo aggiornamento senza problemi,solo che io non faccio solitamente l'aggiormamento da sw ma direttamente.

Invece ho inserito emule senza EAF prova a verificare se dopo la chiusura dello stesso permane il processo emetizzato nella GUI.

Ho anche inserito Filehippo Update Checker emetizzato che apre il browser direttamente sandboxato.

Emule con AEF non da nessun problema: se lo chiudo il processo non rimane emetizzato nella GUI (insomma, nessun comportamento anomalo)

chiedevo per chrome perchè ho visto disastri in rete, in particolare (link):

because Chrome already uses many of the same techniques (and more), EMET does not provide any additional protection for Chrome. In fact, the current version of EMET interferes with Chrome’s security and prevents Chrome from updating.

da qui il mio scarso interesse nell'emetizzare chrome.
Java lo proverò!

Quote:

Originariamente inviato da nV 25

Pari pari alle mie (vedi anche qui!)...



Probabilmente è da togliere tutta la parte relativa a 7z ..

Per Chrome è corretta l'osservazione di Sampei...

Non so cosa siano i processi OIS/filezilla pertanto su questi non mi esprimo...

Interessante e corretta la presenza nella scheda dei processi protetti di 2 istanze di IExplorer visto che si riferiscono a 2 versioni diverse, una a 32bit e l'altra a 64....

ois.exe è il processo di microsoft office picture manager
filezilla è un FTP client, usato poche volte (forse quanto di iexplorer) ma si sa mai

in effetti ho buttato dentro tutto compreso 7zip, e ciò non ha molto senso


let's see

[sampei.nihira]

Quote:

Originariamente inviato da arnyreny

daccordissimo...ma la mia curiosita' mi spingeva a capire cosa serve il dep e perchè in xp non c'e'?

non sempre la curiosità è femmina

Un articolo datato sul DEP che tenevo nei miei preferiti (probabilmente perchè facile da assimilare):

http://www.folblog.it/dep-e-bcd-back...lity-disaster/

Come non c'è ?
Anzi, a livello sistema, in XP, hai solo la DEP possibilità.

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

Emule con AEF non da nessun problema: se lo chiudo il processo non rimane emetizzato nella GUI (insomma, nessun comportamento anomalo)

chiedevo per chrome perchè ho visto disastri in rete, in particolare (link):

because Chrome already uses many of the same techniques (and more), EMET does not provide any additional protection for Chrome. In fact, the current version of EMET interferes with Chrome’s security and prevents Chrome from updating.

da qui il mio scarso interesse nell'emetizzare chrome.
Java lo proverò!



ois.exe è il processo di microsoft office picture manager
filezilla è un FTP client, usato poche volte (forse quanto di iexplorer) ma si sa mai

in effetti ho buttato dentro tutto compreso 7zip, e ciò non ha molto senso


let's see

Se non ricordo male quella citazione che hai riportato per Chrome + EMET era riferita alla versione predecente la penultima disponibile.
Già con la penultima non c'erano incompatibilità.

In merito ad EAF con emule io invece avevo qualche problema.