Sophos analizza i malware con Windows Vista

[WarDuck]

Sarei curioso di vedere come hanno effettuato questi test cmq... perché detto così può voler dire tutto e niente, ora cerco informazioni...

[riva.dani]

Ma ragazzi, stavolta nessuno sta dando dietro a M$ perchè il suo software è poco sicuro, anzi! Il software M$ è più sicuro perchè sfrutta l'indebito vantaggio di essere scritto da chi ha l'accesso alle api e può avere tutte le specifiche che vuole. Se il non rilasciare tali specifiche a tutti significa rendere molto più insicuri i software di terze parti, comunque questa è una colpa di M$!!!
Mica vorrete che TUTTO il software venga sviluppato da Microsoft (perchè se il resto è bacato e quello Micorsoft no, a lungo andare tutti ci rivolgeremmo solo e soltanto allo zio Bill!).

[mauriziofa]

@riva.dani


Guarda che tutte le api di Vista sono documentate nell'sdk e nell 'msdn online. Inoltre per le api che verranno aggiunte nell'sp1, quelle che sono venute fuori dalla dispute Kernel Vista /Symantec, verrà rilasciata la documentazione insieme all'sp1 la prox estate.
Cerca vedrai che trovi tutto

[The Unmaker]

Io ,onestamente, vorrei avere la libertà di usare qualsiasi programma che voglio. Il sistema operativo cmq mi deve dare degli avvertimenti e nn obbligarmi a usare il programma X che vuole lui.
Cmq ricordiamo che bisogna sempre usare il buon senso.

[PsyCloud]

nessuno ti impedisce di usare altri programmi, solo che se li usi ed il sistema operativo ti dice "guarda che il programma 'donne nude focose.exe' sta per modificare il kernel" e tu gli dici modifica e gli inserisci anche la password dell'admin, non credo ci sia soluzione di sicurezza che tenga. ne vista mail, ne terze parti, ne linux, nemmeno OS400 o mac.
L'utonto vince sempre.

[MenageZero]

Quote:

Originariamente inviato da danyroma80

Il problema è questo: windows mail è stato in grado di rilevare le infezioni poichè interagisce direttamente con il kernel di vista. I produttori di software di terze parti non sono in grado di fare la stessa cosa, non perchè siano dei cojoni, ma perchè non conoscono i sorgenti del kernel di vista e quindi non possono interfacciare i loro prodotti con esso.
Rispetto ad xp non è cambiato nulla, io mi sarei aspettato un sistema operativo con un kernel con le OO e che sarebbe stato sicuro anche se il client e-mail e browser l'avessero scritti studenti di terza media proprio perchè ci avrebbe pensato il kernel a sopperire alle loro leggerezze in sicurezza.

vedo che hai una idea molto "fantasiosa/fantascentifica" dei s.o. e della programmazione... (non che sia una "colpa" o motivo di denigrazione, non si può conoscere tutto allo stesso livello e non tutti possono sapre tutto allo stesso modo, e non è che io sia un grand esperto)

1) non serve conoscere il (sorgente del)kernel di un so per scrivere apps, il kernel (o chi per lui, come altri layer aggiunti di libs sostanzialmente) espone apposta le api, trattasi del concetto base di interazione sistema/app implmentato in tutti i s.o. moderni (ed i s.o. "moderni" sono "iniziati" decenni fa...)

2) ovviamente quindi anche vista ha le sue api pubbliche e documentate, che comprendono anche le "normali" win32 visto che se prendi un sw precedente a vista e lo esegui questo funziona, nella grande maggioranza dei casi. (ci possono essere problemi di compatibilità ma non perché le aspi di vista siano un insieme disgiunto rispetto ai prdecessori, altrimenti le app non partirebbero affatto). se tra w.mail e clienti di terzi ci siano delle differenze vagamente nel senso che intendi tu, è molto più probabile che sia dovuto al fatto che le app terze sono scritte per xp e magari non usano alcune nuove funzionalità di vista che potrebbero invece essere tornate utili a w.mail (teoricamente parlando, dello specifico conosco al momento solo la news che è priva di dettagli)

3) per fare tali affermazioni su w.mail, dovresti essere menbro del team di sviluppo o conoscere bene tutta la documentazione tecnica per sviluppatori su questo applicativo, ammesso che ce ne sia che descrive nei dettagli come è fatto, incluse le presunte interazioni segrete con il kernel. In ogni caso non è ancora stata provata l'esistenza di presunte api "segerte" che possano essere usate solo a redmond per poter fare le cose meglio degli altri (penso, poi se invece è stato provato qualcosa del genere l'evento mi è sfuggito). c'era stato a suo tempo un contezioso che poteva suonare in tal modo riguardo a wmp10, ma non so si termini potevano veramente essere quelli detti.

4) in ogni caso di solito si dice anche del sw applicativo ms che "fa schifo", cosa che contraddice il partire illecitamente avvantaggiati in modo tanto importante e decisivo (come sostieni per es tu): se dei "trucchi segreti" non se ne vedono neanche gli effetti positivi sul prodotto finale, è ancora più difficile presumerli...
(ok w.mail sembrerebbe per ora venuto meglio degli altri, ma di considerazioni analoghe alla tua ce ne sono da anni e imho è più facile, ripeto, che dipenda dal fatto che gli altri tremini di confronto non sono pensati per vista)

in ogni caso la news è estermamente sintetica, bisognerebbe sapere più che altro il modo in cui tali malware sono riusciti a fare il loro lavoro, in particolare se dietro esecuzione esplicita d aparte dell'utente e successiva conferma ad un eventuale popup di UAC che avvertiva che quanto appena eseguito avrebbe "toccato" sensibilmente il sistema o se invece i malware siano riusciti a manipolare fiels e impostazioni (reg) di sistema bypassando UAC (quest'ultima possibilità sarebbe effitivamente un problemino...)

[MenageZero]

Quote:

Originariamente inviato da mauriziofa

@riva.dani


Guarda che tutte le api di Vista sono documentate nell'sdk e nell 'msdn online. Inoltre per le api che verranno aggiunte nell'sp1, quelle che sono venute fuori dalla dispute Kernel Vista /Symantec, verrà rilasciata la documentazione insieme all'sp1 la prox estate.
Cerca vedrai che trovi tutto

imho ms non ha fatto bene a "capitolare" sul kernel patching con queste nuove api, le api per bypassare la patching protection come ci saranno pr symantec ci saranno per tutti... malware writers compresi...

... detto questo, se "io"(nel senso di realtà analoga alla ms) avessi un kernel non aggiungerei certo delle api per farci mettere le mani proprio al "buon" Dr.Norton ...

[MenageZero]

Quote:

Originariamente inviato da mauriziofa

@danyroma80

vedo che scendi nel tecnico. Allora il blocco dei malware non c'entra nulla con il kernel. Se non vuoi che virus, trojan e spyware accedano a dati sensibili devi fare in modo che non vengano eseguiti, quindi che NON finiscano nel kernel. Per fare questo devi attuare tutta una serie di permessi di accesso ad ogni singolo task che gira in memoria. Linux lo fa da sempre. Ora con Vista sono stati attuati tutta una serie di accorgimenti di sicurezza come accessi a certi task possibili solo agli amministratori, analizzo ed esecuzione solo di codice ritenuto sicuro, richiesta di conferma di operazione all'utente con elevazione del login ad administrator ecc... che xp non ha. I programmi devono supportare tutto ciò per avere lo stesso livello di sicurezza che hanno i software Microsoft integrati in Windows Vista.

Il fatto che molti antivirus usavano la tecnica del kernel patching in passato la dice lunga sulla qualità del codice di tali antivirus e soprattutto sulle falle di sicurezza che venivano aperte a runtime.
Accedere al kernel è come se un medico non avesse fatto prevenzione al suo paziente e cercasse quando ormai è ammalato di curarlo in modo invasivo.

condivido sostanzialmente tutti concetti, ma non so se si possa mettere automaticamente in relazione kernel patching e (bassa) qualità di un av, se non altro perché anche il kasp., ritenuto quasi universalmente il migliore almeno come efficacia, installa il suo bel "driver virtuale" (o meglio, modulo kernel sotto forma di "driver" di una periferica che ovviamente non esiste) e di defualt si fornisce di più "potere" di un normale processo admin...

[Fx]

si infatti ma imparassero a scrivere il loro software come si deve senza andare a pastrugnare nel kernel (che poi dopo se il sistema diventa instabile tanto è windows no?), come peraltro fanno altre aziende di sicurezza magari meno blasonate ma che realizzano prodotti che danno la paglia a quelli dei due colossi norton e mcafee

[MenageZero]

Quote:

Originariamente inviato da mauriziofa

@JohnPetrucci

Ti quoto.Infatti io non avrei reso disattivabile dal pannello di controllo di Vista la funzione UAC, che inibisce l'installazione e l'esecuzione di codice al di fuori della propria cartella home senza possedere la password di amministratore. Questo perchè per esperienze lavorative negative so di aziende che lo faranno disabilitare, salvo poi imprecare contro Microsoft al primo virus o malware o trojan preso.

con gli "utonti" la cosa non dovrebbe fare troppa differenza, cioè, un utente mediodgli anni 2000 non andrà mai a cercarsi la configurazione di un tale particolare (+ ch altro non ne sospetterà affatto l'esistenza e non si porrà affatto alcun interrogativo imho); servirà un fattore esterno come un conoscente "esperto" che consiglerà di disattivare l'uac e istruirà a farlo...
ma cmq direi che, in gnerale, lasciare la possibilità di disattivarlo sia piuttosto legittimo.
riguardo alle realtà professionali in cui si prevedono cmq utenti ignari dei rischi informatici, imho lì veramente vale "chi è causa del suo mal...", se avranno problemi evitabili con l'uac attivo, sarà esclusivamente colpa loro, di chi avrà effettuato scelte sbagliate nella gestione (nllo specifico degli strumenti di lavoro, in questo caso) del sistema informativo...

ps: vista, almeno la rc1, non chiede la password di admin (almeno non con l'utente di defualt che è un admin, ma tenuto costantemente "al guinzaglio" da uac; diversamente non ho provato), chide "solo" conferma con un messaggio popup ragionevolmente "esplicativo" bloccando e oscurando tutto il resto finché non rispondi; se da un parte dà la sensazione di essere meno sicuro che chidere anche la pwd, dall'altra mettere sempre la pwd potrebeb renderlo più seccante a aumentare un po' la probabilità che all'utente venga voglia di scoprire "se si può fare come su xp" senza tutte le richieste di conferma bloccanti...
(personalmente più che altro mi sarebbe piaciuto che l'utente creato di default con l'installazione non fosse stato un admin ma uno user qualunque, metti caso che c'è un bug che permette di bypassare l'uac, un malware, senza bisogno di un modo per fare "privilege escalation", si trova a girare come processo admin, come su xp...)

[MenageZero]

Quote:

Originariamente inviato da PsyCloud

nessuno ti impedisce di usare altri programmi, solo che se li usi ed il sistema operativo ti dice "guarda che il programma 'donne nude focose.exe' sta per modificare il kernel" e tu gli dici modifica e gli inserisci anche la password dell'admin, non credo ci sia soluzione di sicurezza che tenga. ne vista mail, ne terze parti, ne linux, nemmeno OS400 o mac.
L'utonto vince sempre.

... utonto power
(daltronte non è un casop se oggi, uno dei livelli di protezione nuovi e che calamita sempre più sforzi, dopo l'anti-virus, l'anti-spyware, anti-rootkit, anti-questo&quello, è sostanzialmente un "anti-social-engineering", ovvero l' anti-phishing)