COMODO INTERNET SECURITY 4

[meolag]

Una curiosita', ho creato le regole per emule e utorrent, avviando emule associo le sue regole e va bene, ma non resco con utorrent, gli dico di associare le sue regole ma niente, applica le regole Personali.

[meolag]

Quote:

Originariamente inviato da Romagnolo1973

ehhh in realtà lo uso 2 volte l'anno per scaricare la distro di Ubuntu e basta e sinceramente per quello che lo uso io mai mi sono accorto di problemi

Intendevi questa regola vero?

Azione = Chiedi (attivate l'opzione Registra l'evento nel Log)
Protocollo = TCP
Direzione = in Uscita
Descrizione = Regola Richieste HTTPS
Indirizzo di Origine = Qualsiasi
Indirizzo di Destinazione = Qualsiasi
Porta di Origine = Range di Porte - da 1024 fino a 65535
Porta di Destinazione = la singola porta 443

Oggi sono noiso,perche' "Chiedi" e no "Permetti"? Grazie

[billy99]

Complimenti per la guida davvero ottima! ho imparato più oggi leggendola che utilizzando le altre guide sparse in rete in anni di utilizzo di comodo!

[billy99]

Una Curiosità... nelle regole indicate per svchost

si legge la regola per DNS primario ma poi dentro la regola si dice di mettere dns secondario.. come mai?

[billy99]

scusate potreste indicarmi le regole per steam?

[luke1983]

Quote:

Originariamente inviato da billy99

Complimenti per la guida davvero ottima! ho imparato più oggi leggendola che utilizzando le altre guide sparse in rete in anni di utilizzo di comodo!

Quote:

Originariamente inviato da billy99

Una Curiosità... nelle regole indicate per svchost

si legge la regola per DNS primario ma poi dentro la regola si dice di mettere dns secondario.. come mai?

i dns sono i server che traducono l'indirizzo web dalla versione umana www.esempio.it alla versione da computer 60.95.80.43. Se non funziona il primario si usa il secondario. Evidentemente win update deve accedere a questi indirizzi per funzionare.

Sono gli stessi che si inseriscono nelle opzioni di connessione.

Quote:

Originariamente inviato da billy99

scusate potreste indicarmi le regole per steam?

appena le faccio, le posto perchè anch'io ce l'ho ma non c'avevo pensato.

PS: esiste il tasto modifica


Ritornando al problema Sandbox. quindi è consigliabile spegnere quella di comodo e installare un programma a parte? nel caso cosa mi consigliate?

[arnyreny]

Quote:

Originariamente inviato da luke1983

Ritornando al problema Sandbox. quindi è consigliabile spegnere quella di comodo e installare un programma a parte? nel caso cosa mi consigliate?

sui 64 bit ti devi accontentare di quella,per i 32 bit c'e' la collaudata http://www.sandboxie.com/

infatti sui 64 bit e' un po' limitata

http://www.sandboxie.com/index.php?N...ut64BitEdition

[luke1983]

Quote:

Originariamente inviato da arnyreny

sui 64 bit ti devi accontentare di quella,per i 32 bit c'e' la collaudata http://www.sandboxie.com/

ah ok.

Qui ci sono le porte che usa steam ma comodo sembra non vedere il programma per cui attendo utenti più esperti per le impostazioni precise

Invece qui ci sono le porte per i giochi online

[t30n3]

arrivo solo ora, ho sottoscritto la discussione anche se non ho ancora fatto l'upgrade alla versione 4. Ho dato una scorsa veloce alle 9 pagine finora e non ho letto tutto tutto tutto...

Ho una domanda, non so se già risposta o meno: gli aggiornamenti di programma per la versione 3 continueranno oppure no?
Altra domanda: se esporto i miei settaggi di CIS3 li posso importare senza difficoltà nella 4 oppure devo modificare qualcosa?

[arnyreny]

Quote:

Originariamente inviato da t30n3

arrivo solo ora, ho sottoscritto la discussione anche se non ho ancora fatto l'upgrade alla versione 4. Ho dato una scorsa veloce alle 9 pagine finora e non ho letto tutto tutto tutto...

Ho una domanda, non so se già risposta o meno: gli aggiornamenti di programma per la versione 3 continueranno oppure no?
Altra domanda: se esporto i miei settaggi di CIS3 li posso importare senza difficoltà nella 4 oppure devo modificare qualcosa?

Credo che quella che hai sara' l'ultima versione della 3.
per i settaggi alcuni utenti hanno esportato e rimportato nella 4...ma si consiglia vivamente di ricreare tutte le regole daccapo senza importare nulla

[Romagnolo1973]

Quote:

Originariamente inviato da meolag

Per prima cosa facciamo la regola per -windows updater application-:

Azione = Permetti
Protocollo = TCP o UDP
Direzione = In uscita
Descrizione = windows updater application
Indirizzo sorgente = qualsiasi
Indirizzo destinazione = qualsiasi
Porta sorgente = qualsiasi
Porta di destinazione = qualsiasi


Scusa, forse non ho capito, ma la regola per Windows updater sopra citata io l'ho trovata di default

Sì c'è già di default non va creata ma se qualcuno per qualche ragione l'avesse cancellata è lì, le regole svchost vanno messe sotto a quella

Quote:

Originariamente inviato da meolag

Una curiosita', ho creato le regole per emule e utorrent, avviando emule associo le sue regole e va bene, ma non resco con utorrent, gli dico di associare le sue regole ma niente, applica le regole Personali.

forse hai un Utorrent già impostato tra le regole personali, vai a cancellarlo in Policy Sicurezza Network e mi raccomando dai tutti gli OK o Applica del mondo, poi torna nella tabella e controlla che non ci sia più traccia di Torrent
A quel punto fai partire torrent ed al primo popup del FW (non del d+ che saranno vari) vai a scorrere e trovi TORRENT, se non lo trovi dai un ok qualsiasi ma col ricorda poi vai a modificare la regola in Policy Sicurezza e gli dai TORRENT e sempre tutto gli ok e applica che vedi a video altrimenti "ciccia" non li associa

Quote:

Originariamente inviato da meolag

Oggi sono noiso,perche' "Chiedi" e no "Permetti"? Grazie

perchp non tutte le richiesta su quelle porte sono di HTTP o HTTPS legittimi, andrebbe in realtà solo accettato l'IP del'aggiornamento server e rifiutato gli altri, occorre per fare un bel lavoro controllare gli IP di origine su siti che ti dicono chi è e poi deciso cosa fare

[Romagnolo1973]

Quote:

Originariamente inviato da billy99

Una Curiosità... nelle regole indicate per svchost

si legge la regola per DNS primario ma poi dentro la regola si dice di mettere dns secondario.. come mai?

errore di battitura nel titolo della descrizione (che comunque potrebbe pure essere pippo pluto e paperino ) va fatta la regola sia per il primario che per il secondario, la regola giusta in realtà è "TCP o UDP" e non come scritto lì, attendiamo che bender revisioni il post

[arnyreny]

continuando ad usare il browser chrome nella sandbox con l'unico livello di cui si puo' sandboxare chrome cioe' livello illimitato...

ho riscontrato 2 aspetti positivi che ci fanno ben sperare ...
il primo gli eseguibili che si vogliono avviare direttamente da chrome non partono vengono bloccati...
Come diceva precedentemente nv 25 nel caso in cui si inserisce un programma manualmente(come nel mio caso chrome) la sandbox di comodo crea una cartellina copiando tutti i file di cui ha bisogno il browser come in questo caso per funzionare,quindi ricreando un utente e cartelline temporane che comunque non vengono cancellate alla fine della navigazione,infatti dopo una settimana ho svuotato manualmente la cartellina che pesava circa 2Gb

il secondo aspetto che voglio evidenziare riguarda questa zona dove vengono ricreati i file che servono per il funzionamento del browser,infatti mentre decoprimevo un rar da chrome mi sono accorto che in questo caso, a differenza di quando viene decompresso da explorer,diventava un applicazione con meno privilegi

ecco una prova ,ho compresso un programma con firma digitale vso image resize,lanciato da winrar dal desktop comodo non da nessun avviso poiche’ prevale la regola dei programmi fidati.
Mentre se viene aperto il rar da chrome e lanciato il file vso,ecco che diminuiscono i privilegi ed occhi i pop-up

[nV 25]

@ romagnolo:

Nella scheda in cui parli del funzionamento del Sandbox e arrivi a fare la distinzione dei 4 livelli di restrizione ammessi (NON SICURO, CIRCOSCRITTO,...), c'è un errore in questo passaggio o, quanto meno, il concetto è espresso in modo scorretto:

" Attenzione !!!
....
se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale."

L'interazione con il sistema reale, sia esso visto come file system o come registro di sistema, esiste SOLO per quei file trascritti su Hard Disk *A PATTO CHE* questi abbiano estensioni & locazioni diverse da quelle contemplate nella scheda avanzata "My Protected files" (lo stesso discorso, peraltro, vale per le chiavi di registro)...

Il motivo, come si diceva, è legato al fatto che la spunta (che è attiva peraltro di default...) alle voci "attiva virtualizzazione file system/registro" nella scheda generale "parametri Sandbox" crea una sorta di politica default-deny scartando quindi automaticamente qualisasi accesso a quelle locazioni protette.


Se dunque un processo/eseguibile sconosciuto "droppa" una sua componente nel file system reale (interagendo quindi con esso nel senso di "sporcandolo"..), questo nuovo componente (oltre che in stato disarmato!!) avrà necessariamente un'estensione DIVERSA da quelle protette e non sarà MAI "CALATO" nelle cartelle critiche le cui regole sono impostate per prescindere dall'estensione (es, %windir%\system32\*)....

Allo stesso modo, un eseguibile sconosciuto sottoposto al sandboxing automatico che interagisca con il registro, interagirà con esso (= lo sporcherà) SOLO per quelle porzioni DIVERSE da quelle protette e indicate nell'apposita scheda ecc ecc..

[arnyreny]

Quote:

Originariamente inviato da nV 25

@ romagnolo:

Nella scheda in cui parli del funzionamento del Sandbox e arrivi a fare la distinzione dei 4 livelli di restrizione ammessi (NON SICURO, CIRCOSCRITTO,...), c'è un errore in questo passaggio o, quanto meno, il concetto è espresso in modo scorretto:

" Attenzione !!!
....
se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale."

L'interazione con il sistema reale, sia esso visto come file system o come registro di sistema, esiste SOLO per quei file trascritti su Hard Disk *A PATTO CHE* questi abbiano estensioni & locazioni diverse da quelle contemplate nella scheda avanzata "My Protected files" (lo stesso discorso, peraltro, vale per le chiavi di registro)...

Il motivo, come si diceva, è legato al fatto che la spunta (che è attiva peraltro di default...) alle voci "attiva virtualizzazione file system/registro" nella scheda generale "parametri Sandbox" crea una sorta di politica default-deny scartando quindi automaticamente qualisasi accesso a quelle locazioni protette.


Se dunque un processo/eseguibile sconosciuto "droppa" una sua componente nel file system reale (interagendo quindi con esso nel senso di "sporcandolo"..), questo nuovo componente (oltre che in stato disarmato!!) avrà necessariamente un'estensione DIVERSA da quelle protette e non sarà MAI "CALATO" nelle cartelle critiche le cui regole sono impostate per prescindere dall'estensione (es, %windir%\system32\*)....

Allo stesso modo, un eseguibile sconosciuto sottoposto al sandboxing automatico che interagisca con il registro, interagirà con esso (= lo sporcherà) SOLO per quelle porzioni DIVERSE da quelle protette e indicate nell'apposita scheda ecc ecc..

tutto chiaro...
infatti ho un programma dg foto art che comodo non riconosce e me lo mette in sandbox,e mi nega l'accesso a registro e altre cose ,

mentre se lo metto io nella andbox manualmente,crea la famosa cartella dove duplica i file necessario per il funzionamento senza interagire col sistema e diventa anche piu' funzionale

[luke1983]

se imposto firefox come limited manualmente non funziona più.
ho disattivato la sandbox e amen

[nV 25]

secondo me, invece, il sandboxing automatico (nella sua attuale incarnazione, atipico per i motivi che abbiamo visto dato che si comporta come virtualizzatore puro solo nel caso di avvio manuale di un'applicazione tramite context menù [tasto dx sul nome del prog., ecc..] o "forzando" l'applicazione stessa a partire sandboxata tramite pannello "programmi nella Sandbox"...) è una funzionalità utile e da tenere sicuramente attiva già da ora per quanto cmq sia ancora immaturo...

A fronte infatti di diversi aspetti ancora carenti o da perfezionare, offre un notevole grado di sicurezza liberando per di più l'utente da qualsiasi popup (fatti salvi quelli relativi agli hook e alle interfacce COM che costituiscono infatti parte delle aree di miglioramento citate poc'anzi)...

Sarei infatti curioso di capire su quali basi si affermerebbe che l'utenza esperta troverebbe (allo stato attuale, almeno...) > giovamento in termini di protezione dal tenere disabilitato questo modulo...

Se queste basi, infatti, sono 20 punti in meno al CLT.exe registrabili con il sandboxing attivo rispetto al punteggio pieno che si avrebbe con il modulo Sandbox disabilitato, allora temo che queste siano da rivedere profondamente perchè parecchio labili...



Ora:
il fatto che i browser (mi sembra di capire...) non girino correttamente sandboxati, che problema è SE QUALSIASI ITERAZIONE NATA DALLA LORO ESECUZIONE è costretta automaticamente all'interno di una "zona cuscinetto"? *

* per iterazione, penso ad es ad 1 drive-by download...

[luke1983]

Quote:

Originariamente inviato da nV 25

Ora:
il fatto che i browser (mi sembra di capire...) non girino correttamente sandboxati, che problema è SE QUALSIASI ITERAZIONE NATA DALLA LORO ESECUZIONE è costretta automaticamente all'interno di una "zona cuscinetto"?

il problema è che se avvio firefox manualmente dalla sandbox si apre ma non si connette ad internet.

[arnyreny]

Quote:

Originariamente inviato da luke1983

il problema è che se avvio firefox manualmente dalla sandbox si apre ma non si connette ad internet.

a me funzionano bene i browser nella sandbox...tranne chrome che funziona solo su illimitata ,il fatto che non ti funzioni forse sara' corretto da qualche aggiornamento
http://www.hwupgrade.it/forum/showpo...6&postcount=67

[nV 25]

Lo forzi a partire sandboxato ma non si connette?

E allora toglilo dal sandbox, lo fai partire normalmente e poi, nel caso tu dovessi involontariamente scaricare un malware, questo partirebbe automaticamente castrato*...

*perchè sconosciuto, e sempre che non sia un installer nel qual caso avresti il famoso popup sui privilegi...


Allo stato attuale, dunque, il mio consiglio è quello di liberare dal sandbox questi processi potenzialmente vettori di infezione e, al contempo, disabilitare l'opzione che riconosce quando un file è un installer.

In questo modo, un processo/eseguibile partirà sempre sandboxato senza poter intaccare peraltro le aree protette di sistema (posto che le prime 3 voci della scheda "parametri Sandbox" siano settate, ovvio...) e sarai te che, di volta in volta, se sai che hai di fronte l'installer relativo (ad es.) all'aggiornamento di Foxit Reader (o Firefox o chessòio..), riattivi la funzione di riconoscimento automatico, dai l'OK alla richiesta dei privilegi e ri-disabiliti l'opzione...

Quella sopra è un idea ma non il Vangelo, sia chiaro...