COMODO INTERNET SECURITY 4

[nV 25]

editato

[bender8858]

Quote:

Originariamente inviato da nV 25

il pop-up relativo alla chiave di registro KHLM\SYSTEM\CONTROLSET???\SERVICES\WinRing0_1_2_0 viene mostrato PRIMA che si abbia il caricamento materiale di RealTemp stesso?

Nel mio caso l'avviso del d+ è arrivato prima che apparisse l'interfaccia del programma.

Nuovo log

[Roby_P]

Quote:

Originariamente inviato da nV 25

Senza farla ulteriormente lunga, cmq, quello che il test dovrebbe dimostrare è quanto segue:

il pop-up relativo alla chiave di registro KHLM\SYSTEM\CONTROLSET???\SERVICES\WinRing0_1_2_0 viene mostrato PRIMA che si abbia il caricamento materiale di RealTemp stesso? (nel mio Pc, ad es, D+ [pur in paranoid, proactive security e installato su un sistema pulito e privo di interferenze di altri prodotti in real time..] *non* restituiva alcun popup circa l'accesso in scrittura a quella chiave SE NON alla chiusura di RealTemp stesso)...

Il nocciolo, dunque, è questo...

Il pop up compare prima e se non rispondo il programma non parte proprio, appena provato
E' invece il pop up in cui l'applicazione lancia se stessa che mi compare una volta sì ed una no (parlo proprio del controllo inserito con l'ultimo aggiornamento)

[nV 25]

Quote:

Originariamente inviato da bender8858

Nel mio caso l'avviso del d+ è arrivato prima che apparisse l'interfaccia del programma.

Nuovo log

ed infatti cosi' deve essere...


Mi spiace per luke1983 che ritiene di essere di fronte ad un caso di paranoia ("..Alla fine nessun utente...sta lì a farsi le paranoie sul perchè quel programma tizio ha modificata una RKEY che non doveva perchè il programma non l'ha bloccato..") ma se qualcuno avesse voglia, segnalerei le anomalie visto che un'indagine più accurata andrebbe solo a beneficio degli utenti...

Di nuovo, saluti

[arnyreny]

Quote:

Originariamente inviato da nV 25

Anzitutto grazie per esserti prestato alla mia richiesta.

Il log, cmq, è di difficile lettura perchè disturbato dalla voce "obiettivo" che risulta tagliata nonchè da altre cosette (es, non si vede che cpuz parte inizialmente limitato nè si vede il processo explorer avviare i 2 file in questione [probabilmente il ruleset, per il processo explorer.exe, aveva già le regole che ne consentivano l'esecuzione], ecc)...

Se doveste ripostare il log, il modello corretto è quello di arny che si trova in questo post, link!

Senza farla ulteriormente lunga, cmq, quello che il test dovrebbe dimostrare è quanto segue:

il pop-up relativo alla chiave di registro KHLM\SYSTEM\CONTROLSET???\SERVICES\WinRing0_1_2_0 viene mostrato PRIMA che si abbia il caricamento materiale di RealTemp stesso? (nel mio Pc, ad es, D+ [pur in paranoid, proactive security e installato su un sistema pulito e privo di interferenze di altri prodotti in real time..] *non* restituiva alcun popup circa l'accesso in scrittura a quella chiave SE NON alla chiusura di RealTemp stesso)...

Il nocciolo, dunque, è questo...

Se la risposta è SI! come si evince dal log di arny per Windows 7@64bit, OK.
In caso contrario, significa che un programma accede al Kernel *prima* di D+, e questo sarebbe una circostanza incredibilmente grave che, per lo meno, trovava conferma nelle mie modestissime prove...

A Roby vedo che uno dei 2 non parte neppure sandboxato, muà...



Cmq chi volesse riprovare, per rendere più agevole la lettura del log faccia cosi':
alla 2° esecuzione di Cpuz & Realtemp (quella dove i 2 programmi devono partire FUORI dalla sandbox..) non fateli partire contemporaneamente bensi intervallati da una trentina di secondi l'uno dall'altro...
Inoltre potete "ricordare" le operazioni che vedono cpuz accedere alle interfacce COM protette..


Salutissimi

ecco adesso comprendo la tua preoccupazione...

[luke1983]

Quote:

Originariamente inviato da nV 25

ed infatti cosi' deve essere...


Mi spiace per luke1983 che ritiene di essere di fronte ad un caso di paranoia ("..Alla fine nessun utente...sta lì a farsi le paranoie sul perchè quel programma tizio ha modificata una RKEY che non doveva perchè il programma non l'ha bloccato..") ma se qualcuno avesse voglia, segnalerei le anomalie visto che un'indagine più accurata andrebbe solo a beneficio degli utenti...

Di nuovo, saluti

concordo che hai beccato il bug ma, se hai letto tutto il mio post, avrai sicuramente letto la parte in cui dicevo che non esiste il programma perfetto.
Secondo me la cosa è paranoica perchè, quello che per te è un bug grave, per me è un errore accettabile.
Per essere più precisi, devo dire che è accettabile considerando le poche prove fatte. Se poi in futuro verranno fuori molti utenti che denunceranno danni gravi derivanti da questo problema sarò con te al 100%.

Ti chiederai perchè gli utenti devono anche incappare in danni oltre che in questo bug. Perchè uso lo stesso metro che si usa con gli antivirus: avere il bug non basta; per dimostrare che è altamente dannoso (e non temporaneamente accettabile come dico io) devono esserci alte possibilità di infezione.
Faccio un esempio: se il problema si presenta con la stessa proporzione in programmi dannosi e non, il bug è relativamente accettabile perchè non dipende dalla bravura dell'hacker.
Se invece il buco è direttamente proporzionale alla "malvagità" dell'applicazione, allora bisogna assolutamente segnalarlo nel forum ufficiale.

[waikiki]

Scusate ma gli attacchi da buffer overfloq di svchost.exe che segnala il defense+ sono normali o no?

[ellegi71]

@ Romagnolo.
Hai il link del test antivirus di Malware Research Group? sono curioso di leggerlo....

[Romagnolo1973]

Quote:

Originariamente inviato da ellegi71

@ Romagnolo.
Hai il link del test antivirus di Malware Research Group? sono curioso di leggerlo....

http://malwareresearchgroup.com/?page_id=2

se ci riesci a entrare, o li visualizzo solo da linux, su win mi dice che non sono umano quindi non accedo da anni ormai sul sito

[Romagnolo1973]

Quote:

Originariamente inviato da waikiki

Scusate ma gli attacchi da buffer overfloq di svchost.exe che segnala il defense+ sono normali o no?

bah dipende da tante cose, ma direi di no, noi qua non li abbiamo
farei un bel controllo con antivirus, antimalware, hijackthis e Gmer

[ellegi71]

Quote:

Originariamente inviato da Romagnolo1973

http://malwareresearchgroup.com/?page_id=2

se ci riesci a entrare, o li visualizzo solo da linux, su win mi dice che non sono umano quindi non accedo da anni ormai sul sito

Grazie, letto tutto da windows con Google chrome e OpenDNS settati su "Moderate", bene o male i loro test rispecchiano quelli di AV-Comparatives ecc.

[done75]

La Sandbox di CIS 4 è meglio disabilitarla (nel caso di utenza consapevole,che risponda ai pop-up dell'HIPS nel modo corretto!).

Sfido chiunque a dimostrare il contrario: applicazioni random continuano a bypassarla indisturbate!!!

[Slash82]

ciao io sono ancora alla versione 3.14 il programma non mi ha dato nessuna notifica di aggiornamento. Conviene passare a questa nuova versione? Trovo questo firewall difficile da configurare, la versione che ho ora non è configurata al massimo e configuare nuovamente questa nuova versione non mi va molto. C'è tutta sta differenza in termini di prestazioni/ protezione?

[briscolone]

mi associo a slash 82. Ho la versione 3,14. Strano che non mi abbia notificato nulla!!!! Per passare alla versione aggiornata cosa bisogna fare. Disinstallare e reinstallare o c'è un passaggio di upgrade?

[Roby_P]

Quote:

Originariamente inviato da done75

La Sandbox di CIS 4 è meglio disabilitarla (nel caso di utenza consapevole,che risponda ai pop-up dell'HIPS nel modo corretto!).

Sfido chiunque a dimostrare il contrario: applicazioni random continuano a bypassarla indisturbate!!!

Il problema segnalato da nV riguarda il D+ e non la Sandbox.
Quello che non ho capito è se il problema riguarda il pc di nV oppure è generalizzato, perchè non so che SO usa nV.

Ciao ciao

[Roby_P]

Quote:

Originariamente inviato da Slash82

ciao io sono ancora alla versione 3.14 il programma non mi ha dato nessuna notifica di aggiornamento. Conviene passare a questa nuova versione? Trovo questo firewall difficile da configurare, la versione che ho ora non è configurata al massimo e configuare nuovamente questa nuova versione non mi va molto. C'è tutta sta differenza in termini di prestazioni/ protezione?

Quote:

Originariamente inviato da briscolone

mi associo a slash 82. Ho la versione 3,14. Strano che non mi abbia notificato nulla!!!! Per passare alla versione aggiornata cosa bisogna fare. Disinstallare e reinstallare o c'è un passaggio di upgrade?

Visto che è stato aggiunto un modulo alla suite, secondo me è meglio reistallare da zero.
Se proprio proprio non avete voglia di rifare le regole, prima di disinstallare salvate la configurazione attualmente in uso e poi, dopo aver reinstallato la importate. Sempre se ve lo fa fare, io non ho provato, quindi non posso garantire

Ciao ciao

[Slash82]

per rifare la configurazione ci vuole un bel pò e non so se ho la pazienza per farlo. Non vorrei andare OT ma un altro firewall che sia semplice da configurare ma che dia una buona protezione quale potrebbe essere?

[briscolone]

a questo punto la domanda è: conviene paSSARE ALLA NUOVA RELEASE? PORTA SOSTANZIALI IMPROVEMENTS?

[nV 25]

non è generalizzato perchè, da quello che ho potuto vedere, lo registravo solo io anche se, in cuor mio, sono portato a pensare che anche su altri sistemi si potrebbe verificare la circostanza da me lamentata..

L'OS è 7 (Ultimate) @ 32Bit.

L'installazione era stata peraltro eseguita su un sistema pulito & privo di altri moduli attivi in real time cosi' proprio da evitare qualsiasi interferenza...

Un programma, cmq, deve restituire il solito risultato di fronte al solito comportamento (e questa non è paranoia..):
se non lo fa (vedi anche il discorso del Sandbox che da quello che dici sul tuo Pc non sembra girare a dovere..), è segno dell'esistenza di qualche problema (anche grave)...

Poichè cmq non è compito dell'utenza star li' ad indagare sul motivo che potrebbe causare l'anomalia, se qualcuno ha interesse a farlo potrebbe segnalare la cosa sul forum ufficiale facendo presente in particolare come i risultati registrabili siano "discontinui"...

[Roby_P]

Quote:

Originariamente inviato da Slash82

per rifare la configurazione ci vuole un bel pò e non so se ho la pazienza per farlo. Non vorrei andare OT ma un altro firewall che sia semplice da configurare ma che dia una buona protezione quale potrebbe essere?

Puoi chiedere in queste discussioni
http://www.hwupgrade.it/forum/showthread.php?t=2011681
http://www.hwupgrade.it/forum/showthread.php?t=1559488

Quote:

Originariamente inviato da briscolone

a questo punto la domanda è: conviene paSSARE ALLA NUOVA RELEASE? PORTA SOSTANZIALI IMPROVEMENTS?

Tra le altre cose è stata corretta una falla di sicurezza, quindi...