|
|
|
|
Strumenti |
10-11-2008, 18:48 | #81 |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
se mi dite dove trovare EQS4 in inglese (o come farcelo diventare) lo faccio anche
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
10-11-2008, 19:20 | #82 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
|
|
10-11-2008, 21:46 | #83 |
Senior Member
Iscritto dal: Mar 2005
Messaggi: 1489
|
Chiedo scusa per il ritardo della mia risposta ma ieri non ho avuto molto tempo per dedicarmi al test come avrei preferito e che, purtroppo, ho eseguito un pò troppo in fretta. Per via di quest'ultima, nell'esecuzione del test con RTD, ho dimenticato di resettare le regole del defense+ di comodo (Utilizzo normalmente i due hips in accoppiata senza problema alcuno) con le quali, nelle precedenti esecuzioni del test, avevo negato i permessi ai test "bucati" da RTD (purtroppo il defense+ ricorda la risposta data in precedenza anche se non è stata selezionata l'opzione "remember my answer").
Mi dispiace, pertanto, aver fornito un dato incompleto: il risultato pieno è stato ottenuto dall'accoppiata RTD & Defense+ e non dal solo RTD. Oggi ho fatto un pò di prove solo con RTD ma non sono riuscito ad andare oltre il 310/340: Posto anche gli screen degli avvisi del Defense+ sulle operazioni che, purtroppo, non vengono "viste" da RTD: Riguardo il test dell'injection hook "SetWindowsHookEx", come già detto da nV25, lo stesso viene visto da RTD: ma il test viene dato come non superato mentre viene correttamente bloccato dal Defense+. Questo potrebbe lasciar presupporre qualche bug(*) da parte del ctl.exe stesso oppure che questa prova sia stata preparata ad hoc da Comodo per il proprio hips. Perciò ho ritenuto opportuno ripetere il test anche con SSM Pro (una versione vecchiotta) e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default (come del resto ha fatto il Defense+): (*) Che il test ogni tanto perda le staffe lo dimostra l'immagine sottostante: Ultima modifica di commi : 10-11-2008 alle 23:11. |
11-11-2008, 00:39 | #84 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Imo il risultato pieno è stato ottenuto dal D+ e basta.. Quote:
Quote:
|
|
11-11-2008, 10:52 | #85 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
premesso che darei un enfasi "giusta" al test (e non lo dico tanto perchè RTD "fallisce" alcune voci e voglio dunque difenderlo a priori ma semplicemente perchè anche il solito prodotto fa registrare talvolta risultati discordanti...), personalmente colgo cmq diverse cose interessanti per quanto vada a soffermarmi solo su alcune di esse.
Direi allora fondamentalmente queste 2 cose: 1) in linea generale trovo interessante l'idea di fondo di test di questo tipo: in 2 balletti, infatti, è possibile farsi un'idea del modo in cui i nostri sistemi sono "coperti" evidenziando facilmente le aree vulnerabili. 2) esistono attualmente soluzioni che, @ default, offrono un livello di copertura molto più profondo rispetto ad altre: OA3/D+, infatti, guidano questa sorta di particolare classifica... Il messaggio, dunque, è che chi installa una di queste 2 soluzioni e non avesse interesse a star li' a sbattersi per trovare configurazioni + o - "tight", beneficierebbe fin da subito della max copertura che il suo prodotto gli consente. Gli altri, infatti (in particolare i prodotti stand alone delle piccole software house), rimandano "al polso dell'utilizzatore" il settaggio + o - profondo del software: è il caso di RTD, di EQS e compagnia. RTD, allora: la parte di Hijaching può essere facilmente coperta mediante l'aggiunta "a manina" delle chiavi di registro "cannate". Ecco che lo score risentirebbe positivamente di questa "rimanipolazione" delle regole di default consentendo di staccare diversi puntarelli in +.... Il log di KIS (ad es..) mostra percorso e valore delle chiavi di registro da proteggere: Tutto questo bel discorsino vale probabilmente anche per altri software stand alone come EQS, ecc... IDEM (=rimanipolazione delle regole) per superare test come il "file drop" e (probabilmente) il "rootkit installation: DriverSupersede" che (nel test condotto da Alessandro Recchia su PianetaPC) ho visto fallire. La regola "magica", allora, è quella che dice che la cartella di sistema (+ relative subfolders...) DEVE essere protetta da tentativi di CREAZIONE/SCRITTURA/CANCELLAZIONE... In sostanza, si aggiungerà il percorso C:\WINDOWS alle regole chiamate system folder Diverso, invece, è il "caso" degli attacchi di tipo injection che, o si passano, o NON si passano: volgio dire, se il programma non contempla un certo meccanismo di scrivere nello spazio di memoria di un altro processo, non è certo che esiste una regoletta che rattoppa la situazione.... Questa si, dunque, può essere realmente un GRAVE VULNERABILITA'.... Io le mie perplessità su alcune cose le ho mosse (SetWindowsHookEx/SetWinEventHook almeno...) ma prendo cmq atto di quello che dice CLT.... Per finire, visto che sul mio Pc uso 2 software in TANDEM, ne posto il risultato complessivo che è come segue: (le cose cannate, peraltro, sono evidenziate nel report...) Condizioni di test: - sistema reale - XP Pro SP3 - LUA - KIS 7.0.1.325 - RTD Pro v1.0 - CLT lanciato con DIRITTI DI AMMINISTRATORE Ultima modifica di nV 25 : 11-11-2008 alle 13:55. |
11-11-2008, 11:16 | #86 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
@ commi:
quando dici che hai "ritenuto opportuno ripetere il test anche con SSM Pro... e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default", significa che hai ricevuto materialmente 2 pop up distinti di global hook injection come mostrato da D+? @ sirio: su guardo questo screen che hai postato mi convinco sempre di più che il test è "un pò farlocco" (nel senso che non è tarato benissimo come dice anche Alex s su wilders..): te, infatti, il test "injection: DupHandles" lo superi.... Semplicemente, muààà.... Solito software, risultati diversi indipendentemente dalla personalizzazione che in questo caso c'entra come il cavolo a merenda... Muààà di nuovo... Ultima modifica di nV 25 : 11-11-2008 alle 11:22. |
11-11-2008, 11:55 | #87 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
In effetti si, non capivo nemmeno io questa cosa (la differenza tra il mio e il tuo test con solo RTD), visto che, come me avevi tutto a default...
Riproverò con la modifica che hai suggerito.. Edit: Questi sono gli screen relativi al test "DupHandles" Ultima modifica di @Sirio@ : 11-11-2008 alle 12:16. |
11-11-2008, 12:47 | #88 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
...test "DupHandles" che, in accordo con quanto asserisce alex_s su Wilders (non proprio l'ultimo arrivato, NDR...), *NON* costituisce di per sè alcuna vulnerabilità, cosi' come il "KnownDlls test" ecc...
LINK Per come sono implementati, dunque, il report relativo a queste voci significa tutto e nulla. A proposito di DupHandles, alex_s dice che "non è sufficiente il duplicare un handle (visto che) si dovrà essere poi in grado di utilizzarlo"... Per quanto riguarda KnownDlls, poi, dice che è un test inconsistente dato che (evidentemente...) restituisce un risultato negativo nel caso in cui riesca ad aggiungere un nuovo valore nella sezione KnownDlls anche se *in realtà* la creazione della dll stessa è impedita (vedi il tuo screen, appunto, o i miei...) Interessante la sua conclusione: "Other tests, that report "failed" do not provide a proof it really was failed, so all you can do is just to believe or not to believe." Alla fine della fiera, piano a gettar bottino shiftando per di più da un software ad un altro basandosi esclusivamente su questo test... IMHO... PS: Kaspersky è ricorsa al solito giochino delle firme per evitare probabilmente che qualcuno esegua questo test e rimanga con l'amaro in bocca: da ieri, infatti, se non ricordo male, CLT.exe è bollato come un "not a virus" bla bla bla... @ Sirio: le dll che hai evidenziato nell'ultimo screen si riferiscono al 99% al test knownDll e non al Dup(licate)Handles... Ultima modifica di nV 25 : 11-11-2008 alle 13:22. |
11-11-2008, 13:44 | #89 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
uffffffff
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
11-11-2008, 14:08 | #90 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Non sò cosa dirti visto che io uso ancora la 3.41 prova a scaricare EQS altrove,ad esempio nel 3D che ti ho messo in evidenza c'è un link. p.s. Naturalmente è scontato che hai disinstallato la versione vecchia prima d'installare quella nuova giusto ? |
|
11-11-2008, 14:20 | #91 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
ho anche ripulito col glary utilities, ccleaner, regseeker e atf-cleaner + cancellazione manuale dei file .xml rimasti e del log nella directory... vedrò che fare
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
11-11-2008, 14:23 | #92 |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18073
|
XP Pro SP3, account utente di tipo amministrativo, clt.exe lanciato sotto tutele di DropMyRigths:
http://img384.imageshack.us/my.php?i...eaktestot1.jpg 230/330 niente male per il "anulloimpatto" riduttore di diritti Il piccoletto li riduce veramente. Da notare, altro valore aggiunto, che le finestre di IE che si aprono sono tutte anche loro sotto tutela di dropmyrights. Per la cronaca su XP HE SP3, account utente limitato e nient'altro, mi ha registrato 240. Saluti. |
11-11-2008, 14:47 | #93 | |
Senior Member
Iscritto dal: Apr 2008
Messaggi: 2000
|
Quote:
se provi a mettere come autori attendibili (in restrizioni software) solo gli amministratori del computer locale dovresti raggiungere i 250...
__________________
"Sei fortunato che non sei un mio studente. Non prenderesti un buon voto per un tale progetto" [Andrew Stuart Tanenbaum a Linus Torvalds nel 1991, sul kernel linux] Linux user number 534122 |
|
11-11-2008, 14:47 | #94 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Da vecchio user di DMR anche io avevo fatto naturalmente la prova e non c'è stata alcuna differenza (almeno nel mio pc) rispetto all'account limitato. Però noto che tu passi il test: COAT (che io fallisco). Quindi anche io,mi pronuncio per una certa "volatilità" del test. ********************************************** Vorrei mettere all'attenzione degli utenti i test di injection falliti in questo caso che sono interessanti se confrontati con i test falliti da RTD. EQS in questo caso....... sembrerebbe...... più "tosto" di RTD !!! p.s. Ed adesso giù addosso al povero Sampei....... AGGIORNAMENTO: Ho controllato meglio non c'è proprio un test nel tuo screen manca proprio il COAT (ed infatti sono 33/34) Ehm è sparito un test ? Ultima modifica di sampei.nihira : 11-11-2008 alle 15:04. |
|
11-11-2008, 14:55 | #95 |
Messaggi: n/a
|
su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac)
Ultima modifica di ShoShen : 11-11-2008 alle 14:59. |
11-11-2008, 14:57 | #96 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Vieni, Sampeiiii!
EQS > RTD... Meglio, no? PS: Controlla con EQS quanti pop up di global injection ricevi (+ log, gracias...) Cià... |
11-11-2008, 15:07 | #97 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Comunque a rigor di logica sono quelli falliti da Nicodemo Taddeo che io.....passo alla grandeeeeeeee !!! Ed infatti compessivamente del mio 280/340 io fallisco i test (sotto) che avevo nella pagina precedente messo già all'attenzione di questo gentile pubblico !! Active desktop,COAT,DDE,ExplorerAsParent,DNS Test,ICMP Test. |
|
11-11-2008, 15:18 | #98 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
|
11-11-2008, 15:23 | #99 | |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18073
|
Quote:
Allora ho pensato che fosse stato l'antivirus ad aver tagliato qualcosa durante la scompattazione dello zip. L'ho riscaricato, stavolta ho disattivato l'antivirus prima dello scompattamento e rifatto il test. Il COAT risulta vulnerable, ed il rusultato stavolta è 230/340. Saluti. |
|
11-11-2008, 15:26 | #100 | |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18073
|
Quote:
Cosa intendi con necessario consenso? Che il consenso lo dai o no? No perché XP account utente limitato mi ha dato 240/340, possibile che Vista sta a solo 120? Saluti. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:04.