Nuovo set di test da Comodo

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

Ripeto sarebbe interessante fare il test con EQS 4,qualche volontario ?

se mi dite dove trovare EQS4 in inglese (o come farcelo diventare) lo faccio anche

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

se mi dite dove trovare EQS4 in inglese (o come farcelo diventare) lo faccio anche

http://www.wilderssecurity.com/showp...&postcount=128

[commi]

Chiedo scusa per il ritardo della mia risposta ma ieri non ho avuto molto tempo per dedicarmi al test come avrei preferito e che, purtroppo, ho eseguito un pò troppo in fretta. Per via di quest'ultima, nell'esecuzione del test con RTD, ho dimenticato di resettare le regole del defense+ di comodo (Utilizzo normalmente i due hips in accoppiata senza problema alcuno) con le quali, nelle precedenti esecuzioni del test, avevo negato i permessi ai test "bucati" da RTD (purtroppo il defense+ ricorda la risposta data in precedenza anche se non è stata selezionata l'opzione "remember my answer").

Mi dispiace, pertanto, aver fornito un dato incompleto:
il risultato pieno è stato ottenuto dall'accoppiata RTD & Defense+ e non dal solo RTD.

Oggi ho fatto un pò di prove solo con RTD ma non sono riuscito ad andare oltre il 310/340:



Posto anche gli screen degli avvisi del Defense+ sulle operazioni che, purtroppo, non vengono "viste" da RTD:







Riguardo il test dell'injection hook "SetWindowsHookEx", come già detto da nV25, lo stesso viene visto da RTD:



ma il test viene dato come non superato mentre viene correttamente bloccato dal Defense+. Questo potrebbe lasciar presupporre qualche bug(*) da parte del ctl.exe stesso oppure che questa prova sia stata preparata ad hoc da Comodo per il proprio hips. Perciò ho ritenuto opportuno ripetere il test anche con SSM Pro (una versione vecchiotta) e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default (come del resto ha fatto il Defense+):





(*) Che il test ogni tanto perda le staffe lo dimostra l'immagine sottostante:

[@Sirio@]

Quote:

Originariamente inviato da commi

Chiedo scusa per il ritardo della mia risposta ma ieri non ho avuto molto tempo per dedicarmi al test come avrei preferito e che, purtroppo, ho eseguito un pò troppo in fretta. Per via di quest'ultima, nell'esecuzione del test con RTD, ho dimenticato di resettare le regole del defense+ di comodo (Utilizzo normalmente i due hips in accoppiata senza problema alcuno) con le quali, nelle precedenti esecuzioni del test, avevo negato i permessi ai test "bucati" da RTD (purtroppo il defense+ ricorda la risposta data in precedenza anche se non è stata selezionata l'opzione "remember my answer").

Mi dispiace, pertanto, aver fornito un dato incompleto:
il risultato pieno è stato ottenuto dall'accoppiata RTD & Defense+ e non dal solo RTD.

Grazie per la precisazione.
Imo il risultato pieno è stato ottenuto dal D+ e basta..

Quote:

Oggi ho fatto un pò di prove solo con RTD ma non sono riuscito ad andare oltre il 310/340:



Posto anche gli screen degli avvisi del Defense+ sulle operazioni che, purtroppo, non vengono "viste" da RTD:







Riguardo il test dell'injection hook "SetWindowsHookEx", come già detto da nV25, lo stesso viene visto da RTD:

Anche a me RTD lo vede... e negando ne blocca uno: SetWinEventHook mentre l'altro, SetWindowsHookEx, fallisce.

Quote:

ma il test viene dato come non superato mentre viene correttamente bloccato dal Defense+. Questo potrebbe lasciar presupporre qualche bug(*) da parte del ctl.exe stesso oppure che questa prova sia stata preparata ad hoc da Comodo per il proprio hips. Perciò ho ritenuto opportuno ripetere il test anche con SSM Pro (una versione vecchiotta) e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default (come del resto ha fatto il Defense+):





(*) Che il test ogni tanto perda le staffe lo dimostra l'immagine sottostante:

Domanda: Con RTD si può creare o modificare qualche regola per poter passare i tests falliti?

[nV 25]

premesso che darei un enfasi "giusta" al test (e non lo dico tanto perchè RTD "fallisce" alcune voci e voglio dunque difenderlo a priori ma semplicemente perchè anche il solito prodotto fa registrare talvolta risultati discordanti...), personalmente colgo cmq diverse cose interessanti per quanto vada a soffermarmi solo su alcune di esse.

Direi allora fondamentalmente queste 2 cose:

1) in linea generale trovo interessante l'idea di fondo di test di questo tipo:
in 2 balletti, infatti, è possibile farsi un'idea del modo in cui i nostri sistemi sono "coperti" evidenziando facilmente le aree vulnerabili.

2) esistono attualmente soluzioni che, @ default, offrono un livello di copertura molto più profondo rispetto ad altre:
OA3/D+, infatti, guidano questa sorta di particolare classifica...
Il messaggio, dunque, è che chi installa una di queste 2 soluzioni e non avesse interesse a star li' a sbattersi per trovare configurazioni + o - "tight", beneficierebbe fin da subito della max copertura che il suo prodotto gli consente.

Gli altri, infatti (in particolare i prodotti stand alone delle piccole software house), rimandano "al polso dell'utilizzatore" il settaggio + o - profondo del software:
è il caso di RTD, di EQS e compagnia.



RTD, allora:
la parte di Hijaching può essere facilmente coperta mediante l'aggiunta "a manina" delle chiavi di registro "cannate".

Ecco che lo score risentirebbe positivamente di questa "rimanipolazione" delle regole di default consentendo di staccare diversi puntarelli in +....

Il log di KIS (ad es..) mostra percorso e valore delle chiavi di registro da proteggere:


Tutto questo bel discorsino vale probabilmente anche per altri software stand alone come EQS, ecc...


IDEM (=rimanipolazione delle regole) per superare test come il "file drop" e (probabilmente) il "rootkit installation: DriverSupersede" che (nel test condotto da Alessandro Recchia su PianetaPC) ho visto fallire.

La regola "magica", allora, è quella che dice che la cartella di sistema (+ relative subfolders...) DEVE essere protetta da tentativi di CREAZIONE/SCRITTURA/CANCELLAZIONE...

In sostanza, si aggiungerà il percorso C:\WINDOWS alle regole chiamate system folder




Diverso, invece, è il "caso" degli attacchi di tipo injection che, o si passano, o NON si passano:
volgio dire, se il programma non contempla un certo meccanismo di scrivere nello spazio di memoria di un altro processo, non è certo che esiste una regoletta che rattoppa la situazione....
Questa si, dunque, può essere realmente un GRAVE VULNERABILITA'....

Io le mie perplessità su alcune cose le ho mosse (SetWindowsHookEx/SetWinEventHook almeno...) ma prendo cmq atto di quello che dice CLT....




Per finire, visto che sul mio Pc uso 2 software in TANDEM, ne posto il risultato complessivo che è come segue:



(le cose cannate, peraltro, sono evidenziate nel report...)

Condizioni di test:
- sistema reale
- XP Pro SP3
- LUA
- KIS 7.0.1.325
- RTD Pro v1.0
- CLT lanciato con DIRITTI DI AMMINISTRATORE

[nV 25]

@ commi:
quando dici che hai "ritenuto opportuno ripetere il test anche con SSM Pro... e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default", significa che hai ricevuto materialmente 2 pop up distinti di global hook injection come mostrato da D+?

@ sirio:

su guardo questo screen che hai postato mi convinco sempre di più che il test è "un pò farlocco" (nel senso che non è tarato benissimo come dice anche Alex s su wilders..):

te, infatti, il test "injection: DupHandles" lo superi....
Semplicemente, muààà....

Solito software, risultati diversi indipendentemente dalla personalizzazione che in questo caso c'entra come il cavolo a merenda...
Muààà di nuovo...

[@Sirio@]

In effetti si, non capivo nemmeno io questa cosa (la differenza tra il mio e il tuo test con solo RTD), visto che, come me avevi tutto a default...

Riproverò con la modifica che hai suggerito..


Edit: Questi sono gli screen relativi al test "DupHandles"

[nV 25]

...test "DupHandles" che, in accordo con quanto asserisce alex_s su Wilders (non proprio l'ultimo arrivato, NDR...), *NON* costituisce di per sè alcuna vulnerabilità, cosi' come il "KnownDlls test" ecc...

LINK

Per come sono implementati, dunque, il report relativo a queste voci significa tutto e nulla.


A proposito di DupHandles, alex_s dice che "non è sufficiente il duplicare un handle (visto che) si dovrà essere poi in grado di utilizzarlo"...

Per quanto riguarda KnownDlls, poi, dice che è un test inconsistente dato che (evidentemente...) restituisce un risultato negativo nel caso in cui riesca ad aggiungere un nuovo valore nella sezione KnownDlls anche se *in realtà* la creazione della dll stessa è impedita (vedi il tuo screen, appunto, o i miei...)


Interessante la sua conclusione:
"Other tests, that report "failed" do not provide a proof it really was failed, so all you can do is just to believe or not to believe."




Alla fine della fiera, piano a gettar bottino shiftando per di più da un software ad un altro basandosi esclusivamente su questo test...

IMHO...



PS:
Kaspersky è ricorsa al solito giochino delle firme per evitare probabilmente che qualcuno esegua questo test e rimanga con l'amaro in bocca:
da ieri, infatti, se non ricordo male, CLT.exe è bollato come un "not a virus" bla bla bla...

@ Sirio:
le dll che hai evidenziato nell'ultimo screen si riferiscono al 99% al test knownDll e non al Dup(licate)Handles...

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

http://www.wilderssecurity.com/showp...&postcount=128

ho scaricato EQS4 e il language pack..appena avvio l'install mi appare questo errore (sia in VM che in sistema reale)



uffffffff

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

ho scaricato EQS4 e il language pack..appena avvio l'install mi appare questo errore (sia in VM che in sistema reale)



uffffffff

Se installavi il set di caratteri mandarini....forse lo capivo (seeeeeee )
Non sò cosa dirti visto che io uso ancora la 3.41 prova a scaricare EQS altrove,ad esempio nel 3D che ti ho messo in evidenza c'è un link.

p.s. Naturalmente è scontato che hai disinstallato la versione vecchia prima d'installare quella nuova giusto ?

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

p.s. Naturalmente è scontato che hai disinstallato la versione vecchia prima d'installare quella nuova giusto ?

ho anche ripulito col glary utilities, ccleaner, regseeker e atf-cleaner + cancellazione manuale dei file .xml rimasti e del log nella directory...

vedrò che fare

[Nicodemo Timoteo Taddeo]

XP Pro SP3, account utente di tipo amministrativo, clt.exe lanciato sotto tutele di DropMyRigths:

http://img384.imageshack.us/my.php?i...eaktestot1.jpg

230/330 niente male per il "anulloimpatto" riduttore di diritti Il piccoletto li riduce veramente.

Da notare, altro valore aggiunto, che le finestre di IE che si aprono sono tutte anche loro sotto tutela di dropmyrights.

Per la cronaca su XP HE SP3, account utente limitato e nient'altro, mi ha registrato 240.


Saluti.

[cloutz]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Da notare, altro valore aggiunto, che le finestre di IE che si aprono sono tutte anche loro sotto tutela di dropmyrights.

Per la cronaca su XP HE SP3, account utente limitato e nient'altro, mi ha registrato 240.


Saluti.

se clt.exe ha diritti limitati ogni processo che carica avrà diritti limitati (in linea teorica...)..quindi è normale che IE sia tutelato..

se provi a mettere come autori attendibili (in restrizioni software) solo gli amministratori del computer locale dovresti raggiungere i 250...

[sampei.nihira]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

XP Pro SP3, account utente di tipo amministrativo, clt.exe lanciato sotto tutele di DropMyRigths:

http://img384.imageshack.us/my.php?i...eaktestot1.jpg

230/330 niente male per il "anulloimpatto" riduttore di diritti Il piccoletto li riduce veramente.

Da notare, altro valore aggiunto, che le finestre di IE che si aprono sono tutte anche loro sotto tutela di dropmyrights.

Per la cronaca su XP HE SP3, account utente limitato e nient'altro, mi ha registrato 240.


Saluti.

Ciao Taddeo ogni tanto ci si "rilegge" eh ?

Da vecchio user di DMR anche io avevo fatto naturalmente la prova e non c'è stata alcuna differenza (almeno nel mio pc) rispetto all'account limitato.
Però noto che tu passi il test:

COAT (che io fallisco).

Quindi anche io,mi pronuncio per una certa "volatilità" del test.

**********************************************

Vorrei mettere all'attenzione degli utenti i test di injection falliti in questo caso che sono interessanti se confrontati con i test falliti da RTD.
EQS in questo caso....... sembrerebbe...... più "tosto" di RTD !!!

p.s. Ed adesso giù addosso al povero Sampei.......

AGGIORNAMENTO:

Ho controllato meglio non c'è proprio un test nel tuo screen manca proprio il COAT (ed infatti sono 33/34)

Ehm è sparito un test ?

Quote:

Originariamente inviato da sampei.nihira

Sù,sù gente che non ci sia proprio nessuno che esegua il test con Vista.......

su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac)

[nV 25]

Vieni, Sampeiiii!


EQS > RTD...

Meglio, no?



PS:
Controlla con EQS quanti pop up di global injection ricevi (+ log, gracias...)

Cià...

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

Vieni, Sampeiiii!


EQS > RTD...

Meglio, no?



PS:
Controlla con EQS quanti pop up di global injection ricevi (+ log, gracias...)

Cià...

Non posso adesso sono al pc linux.....

Comunque a rigor di logica sono quelli falliti da Nicodemo Taddeo che io.....passo alla grandeeeeeeee !!!

Ed infatti compessivamente del mio 280/340 io fallisco i test (sotto) che avevo nella pagina precedente messo già all'attenzione di questo gentile pubblico !!

Active desktop,COAT,DDE,ExplorerAsParent,DNS Test,ICMP Test.

[sampei.nihira]

Quote:

Originariamente inviato da ShoShen

su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac)

Altro fw o quello di Vista ?

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da sampei.nihira

AGGIORNAMENTO:

Ho controllato meglio non c'è proprio un test nel tuo screen manca proprio il COAT (ed infatti sono 33/34)

Ehm è sparito un test ?

È proprio così me e non me ne ero accorto subito, l'ho ripetuto più volte e anche senza dropmyrightd me ne faceva sempre solo 33

Allora ho pensato che fosse stato l'antivirus ad aver tagliato qualcosa durante la scompattazione dello zip. L'ho riscaricato, stavolta ho disattivato l'antivirus prima dello scompattamento e rifatto il test. Il COAT risulta vulnerable, ed il rusultato stavolta è 230/340.


Saluti.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da ShoShen

su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac)

Aspè...aspè... mannaggia che non ho un Vista al momento a disposizione

Cosa intendi con necessario consenso? Che il consenso lo dai o no? No perché XP account utente limitato mi ha dato 240/340, possibile che Vista sta a solo 120?


Saluti.