|
|||||||
|
|
|
 |
|
|
Strumenti |
18-07-2012, 12:34
|
#4021 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Su EMET & le VGA AMD (ex ATI)
A partire dalla versione 12.6, AMD ha "ridisegnato" i propri driver per essere compatibili con la mitigazione ASLR ALWAYS ON a livello di sistema.
Fondamentalmente, quindi, anche coloro che hanno sul PC una VGA AMD possono cominciare ad usufruire della piena potenzialità di EMET... Ma proviamo a fornire un pò di spiegazioni in linguaggio molto spicciolo sperando che servano ad evitare fraintendimenti. EMET (strumento che annovera una serie di tecnologie volte a mitigare il rischio di exploit che possono coinvolgere in particolare software di terze parti) opera su 2 livelli, uno rappresentato dal sistema nel suo complesso, l'altro dai singoli processi (ad es., Firefox ma non IE, Acrobat Reader ma non pincopallino,...). A seconda dunque del livello considerato (stiamo parlando di sistema o delle singole applicazioni?) variano le protezioni che il tool mette a disposizione: un buon n° di queste, infatti, sono esclusive dei singoli processi (ad es., EAF) mentre altre (DEP, ASLR, SEHOP) sono comuni ad entrambi i livelli. Focalizziamoci quindi solo su queste ultime, le "protezioni a livello di sistema" che sono quelle da trattare con più delicatezza visto che i suoi effetti si propagano sull'intero sistema. E' infatti l'opzione DEP sempre attivo a livello di sistema che può interferire con un installer impedendone l'avvio, ecc... E quindi, arriviamo a noi: se fino a ieri coloro che possedevano una VGA ATI non potevano sfruttare la mitigazione di sistema "ASLR ALWAYS ON" pena l'impossibilità di effettuare il login,  a partire dai driver 12.6 AMD ha cambiato le cose rimuovendo gli ostacoli che precludevano la possibilità di operare la forzatura in oggetto. Questo, dunque, è il nocciolo. Ma attenzione!: come si vede anche dall'immagine sopra & sebbene sia stato rimosso l'ostacolo, EMET non mostra di default quest'opzione a meno di non modificare manualmente un apposito settaggio nel registro (questo, peraltro, è vero anche nel caso in cui la VGA sia NVIDIA). Settaggio che evito di proposito di indicare data la potenziale "delicatezza" ma che è facilmente accessibile a chi leggesse il manuale, ecc... Vi posto la fonte da cui ho appreso la notizia visto che di solito non vado mai a verificare il changelog dei driver della VGA: fonte che trova peraltro conferma da AMD stessa  Prima che me lo chiediate: no, non mi sono preso la briga di forzare nulla e non so neppure se lo farò in futuro senza avere prima il conforto di qualche testimonianza... |
|
|
|
18-07-2012, 12:41
|
#4022 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
per la cronaca:
Sandboxie, dai dai, dalla prossima versione sarà ASLR-compatibile... [certo quante volte cambia atteggiamento tzuk, eh? vedi pure il supporto per i riferimenti, ma dopo il discorso sul 64bit questa è la 2° volta che ritorna sui suoi passi]... |
|
|
|
|
18-07-2012, 16:36
|
#4023 | |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Quote:
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro |
|
|
|
|
|
21-07-2012, 13:31
|
#4024 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
la procedura descritta nell'articolo fa pari pari il lavoro di EMET per la parte relativa a SEHOP.
Non capisco cmq perchè ostinarsi a NON installare EMET quando questo tool: a) è di facilissima gestione b) offre un ventaglio di mitigazioni decisamente più vasto, oltretutto per-system & per-process Visto che ci sono, una spiegazione dei termini opt-in/opt-out che possono rimanere ermetici. Si parla anzitutto delle mitigazioni di sistema, quindi DEP, ASLR, SEHOP. ALWAYS ON = va beh, dai, la traduzione è semplice. In sostanza, si forza il sistema ad utilizzare una tecnologia indipendentemente dal fatto che il processo sia compilato in modo tale da sfruttarla. Rischio (se non supporta la tecnologia di cui sopra)-> CRASH del processo. OPT-IN = il sistema non abilita di default una data mitigazione a meno che il processo "non chieda" espressamente il contrario (= di avvalersene). OPT-OUT= l'opposto del caso sopra, quindi il sistema abilita di default una data funzionalità a livello di sistema (dunque, per tutti i processi)...a meno che il singolo processo non chieda espressamente di "lasciar perdere"... |
|
|
|
|
22-07-2012, 12:51
|
#4025 | |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Quote:
So che è un discorso un pò insulso, ma imho l'eccellenza di questo programma sta appunto nella semplicità, si imposta e lo si dimentica. L'unica cosa è il dep che su always on potrebbe creare impedire l'installazione o l'uso di alcune applicazioni e l'eaf che non mi faceva funzionare un paio di programmi sotto sandboxie. Messi al riparo da questi possibili imprevisti è veramente alla portata di tutti
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro |
|
|
|
|
|
22-07-2012, 12:53
|
#4026 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Secondo me EMET non richiede di essere capito...ma solo di essere settato, operazione alla portata di chiunque...
Se dovesse essere "capito" (da intendersi come: che significa la protezione X, Y,[...] e perchè è utile che X&Y siano attive contemporaneamente, [...]), è chiaro che nel mondo EMET lo utilizzerebbero in 100 persone. Ma non è cosi': settarlo è alla portata di chiunque (altresi' detto "del maiale"), e da capire c'è solo il fatto che è utile emetizzare i soliti 10/15 processi, quelli che si interfacciano con il Web e che sono solitamente oggetto di exploit: dunque, i soliti browser, lettori PDF/Divx,... Veramente poco da capire... |
|
|
|
|
22-07-2012, 12:55
|
#4027 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
la tecnologia che offre è PER TUTTI...e non solo per eraser e chi come lui è dentro la materia... 
|
|
|
|
|
|
22-07-2012, 16:18
|
#4028 | ||
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Quote:
E' raro cmq che manchi di rispetto agli altri, e questo secondo me in una valutazione complessiva ha un peso maggiore che non l'uso di qualche espressione + o - colorita... Di nuovo, saluti! 
|
||
|
|
|
....
|
22-07-2012, 19:56
|
#4029 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
@ [Claudio]:
parlando seriamente, e per chiudere definitivamente il capitolo EMET, io credo fermamente al fatto che di questo tool non si debba avere paura. Certo, nasconde complessità tali che ne relegano la precisa-comprensione a pochi eletti ma non è questo il punto: il tool, infatti, si rivolge alla massa che è chiamata a cliccare giusto 2/3 bottoncini... Questa, secondo me, è la parte essenziale. In sostanza, e come diceva giustamente anche marcos86, si può anche "non capire una mazza di quello che fa" (= come funziona dietro le quinte). Le uniche domande da porsi, infatti, sono queste: mi può effettivamente servire per combattere gli exploit? [SI] impatta sulle prestazioni? [Zero] crea instabilità? [NO] è incompatibile con alcuni programmi? [TALVOLTA, in particolare con determinati software (pochissimi)] Il resto, francamente, può tenerselo pure eraser...
|
|
|
|
|
23-07-2012, 09:30
|
#4030 |
|
Senior Member
Iscritto dal: Dec 2002
Messaggi: 6308
|
e se si volesse capirne il funzionamento?
|
|
|
|
|
23-07-2012, 10:12
|
#4031 | |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Quote:
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro |
|
|
|
|
|
23-07-2012, 11:20
|
#4032 | ||
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Quote:
E' un buon punto di partenza anche se secondo me il manuale è sufficiente giusto per farsi un'idea di quello che è il ruolo del tool: occorrono infatti ben altri strumenti per poter dire di padroneggiare tutto ciò che vi è sotteso... Quindi: a meno di non avere realmente una laurea in informatica,... 
|
||
|
|
|
|
23-07-2012, 11:39
|
#4033 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
per esempio, qui c'è un ottimo tentativo di spiegare l'EAF a dei profani (il tipo, peraltro, ne sottolinea proprio la difficoltà osservando giustamente che senza opportune basi il processo di spiegazione risulta ugualmente parecchio difficile):
1,2. Dunque, di cosa volgiamo parlare se non giusto a grandi linee??  E' curioso cmq che ad oggi eraser non si sia mai fatto sentire nè a proposito della diatriba "meglio muoversi sotto utente standard con UAC al massimo o se quest'impostazione è equivalente al muoversi come utente-admin-ridotto sempre con UAC al massimo" nè sul tool EMET come strumento indirizzato alla massa, indipendentemente quindi da come funzionino le tecnologie di mitigazione... Ora si riprivatizza e si spera che trovi 5 minuti anche per noi... |
|
|
|
|
25-07-2012, 11:15
|
#4034 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
EMET 3.5 Tech Preview leverages security mitigations from the BlueHat Prize
http://blogs.technet.com/b/srd/archi...hat-prize.aspx
__________________
Try again and you will be luckier.
|
|
|
|
|
25-07-2012, 11:36
|
#4035 | |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
Quote:
Perdonate la lunga assenza, ma con la partenza della mia nuova ditta sono stato veramente molto impegnato negli ultimi mesi In giornata torno qui e rispondo alle domande
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
|
|
25-07-2012, 11:38
|
#4036 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
La strada ex-post*, infatti, ha dimostrato tutte le sue debolezze in questi anni... *per ex-post intendo "prima ti infetti, poi ti riaggiusto"... |
|
|
|
|
|
25-07-2012, 11:39
|
#4037 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
|
|
|
|
|
|
25-07-2012, 11:49
|
#4038 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Per il resto, Grazie della news che reputo determinante ...Non me ne volere e NON sospendermi per l'atto di pubblica accusa anche perchè ogni volta che finisce cosi' "finisco per dar fondo ai risparmi staccandomi qualche nuovo componente"... 
|
|
|
|
|
|
25-07-2012, 13:22
|
#4039 | ||
|
Senior Member
Iscritto dal: May 2007
Città: Gragnano
Messaggi: 10656
|
Quote:
http://www.hwupgrade.it/forum/showpo...postcount=3150 e del fatto che c'e' bisogno della complicità dell'utente per essere bypassata Quote:
non vedo riferimenti ad una eventualità diversa nel concetto,che un malware possa far ciò senza la complicità dell'utente
__________________
I Miei Bimbi - thread windows 10 -thread windows 8.1 - Guida IS Pctools , ,THREAD HP DV6-2045EL- la mia configurazione di sicurezza,thread Nex-6 THREAD COMODO INTERNET 6 Ultima modifica di arnyreny : 25-07-2012 alle 14:43. |
||
|
|
|
|
25-07-2012, 15:23
|
#4040 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Iimmagino succeda anche a te di avere i secondi contati
__________________
Try again and you will be luckier.
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:19.
