Sicurezza Windows 10

[apu7]

ciao a tutti,

windows 10 sempre aggiornato con avira come antivirus primario, baidu come antivirus secondario, comodo firewall, antikeylogger, anti-malware con licenza, tweakkato e blindato con utility apposite come xteq-setup, disabilitata la connessione remota, disabilitato l'uso del registro, del prompt e disabilitate tante opzioni attivate di default che inficiano la sicurezza è stato bucato da un file doc senza macro.
Questo file doc è stato scritto da un hacker di una grande spa italiana.
Quindi windows è una schifezza e qualsiasi programma e impostazione non servono a niente.
D'ora in poi qualsiasi file per me è considerato sospetto e lo apro con il live cd.
p.s.
tutto quello che ho scritto è assolutamente vero.
saluti

[apu7]

Quote:

Originariamente inviato da apu7

ciao a tutti,

windows 10 sempre aggiornato con avira come antivirus primario, baidu come antivirus secondario, comodo firewall, antikeylogger, anti-malware con licenza, tweakkato e blindato con utility apposite come xteq-setup, disabilitata la connessione remota, disabilitato l'uso del registro, del prompt e disabilitate tante opzioni attivate di default che inficiano la sicurezza è stato bucato da un file doc senza macro.
Questo file doc è stato scritto da un hacker di una grande spa italiana.
Quindi windows è una schifezza e qualsiasi programma e impostazione non servono a niente.
D'ora in poi qualsiasi file per me è considerato sospetto e lo apro con il live cd.
p.s.
tutto quello che ho scritto è assolutamente vero.
saluti

Anzi solo aprendo il file , il malware si è insediato nel sistema.
Avrei dovuto disattivare l'esecuzione automatica delle macro.

[apu7]

Quote:

Originariamente inviato da Phoenix2005

Se il tuo Windows è stato “bucato” tramite l’esecuzione di un semplice .doc allora forse l’OS non era poi così blindato…nello specifico, la tecnica utilizzata probabilmente è collegata con OLE (Object Linking Embedding) e la relativa vulnerabilità segnalata dal ricercatore Matt Nelson è stata considerata dalla Microsoft come un non-problema e, in quanto tale, non da fixare:

Falla nella schermata impostazioni di Windows 10, ma la patch non arriverà mai
https://www.zeusnews.it/n.php?c=26525



Esecuzione automatica delle macro lasciata attiva sotto Office? Non sarebbe il caso di editare il tuo primo messaggio e cambiare la parola blindato con scolapasta?

pensavo che word mi avesse avvisato se fosse partita in esecuzione una macro.
Poi aprendo il file non c'è stata neanche attività dell'hard disk.
Come ha fatto il codice nel file a scaricare il malware in modo automatico?
Avrei dovuto disattivare powershell.

[apu7]

Quote:

Originariamente inviato da Phoenix2005

Word non ti dovrebbe avvertire dell’esecuzione di una macro per il semplice fatto che un Office ben configurato è un Office con funzionalità macro disattivate di default. Meglio ancora: un Office ben configurato è un Office disinstallato con al suo posto installato LibreOffice (con Java + OLE disattivati).



Cosa ti aspettavi? un rumore di frullatore acceso proveniente dall’interno del case? Se il malware è scritto appena appena in maniera decente l’infezione si radica nel sistema in una manciata di secondi e quindi non noteresti nessuna anomalia prestazionale, essendo il carico sulla CPU e gli accessi al disco irrilevanti.



1) L’utente esegue il .doc infetto in Word (al 99% utilizzando la classica utenza amministrativa, UAC disabilitato e macro rigorosamente attive).

2a) il .doc infetto pilota Word affinché si connetta ad un server remoto per poi scaricare ed eseguire il malware (al solito gli accessi di Office lato internet non sono correttamente gestiti, anzi: non sono proprio gestiti…).

2b) in alternativa il .doc infetto pilota Word affinché esegua PowerShell che a sua volta si connetterà ad un server remoto per poi scaricare ed eseguire il malware (anche qui: PowerShell gira sotto profilo amministrativo e “voglioso” di connettersi a qualsiasi server russo/cinese/americano spara-malware).

3) L’utente si ritrova con il PC infetto.



...e Windows Script Host, SMB, telnet, i protocolli di rete non utilizzati, i servizi non essenziali, le admin$ share, verificare lo stato dell’utenza Super Administrator, gestire adeguatamente gli accessi a file e cartelle, rimuovere le APP, Flash/Silverlight se presenti, Java se non indispensabile, la telemetria, Cortana, IE, Edge, virtualizzare l’OS, sandboxare le applicazioni considerate critiche, filtrare il traffico di rete e aggiungere - a protezione dell’infrastruttura - un bel Firewall hardware, etc. (...molto etc.).

windows script host, le admin$ share,cortana, i servizi non essenziali, telemetria erano disattivati. UAC era attivato.
Mi fa molta rabbia che sia stato così stupido.
Quali applicazioni critiche dovrei sandoboxare?
E per filtrare il traffico di rete come faccio?

[apu7]

Quote:

Originariamente inviato da Phoenix2005

Non serve a molto tutto ciò - come hai potuto constatare amaramente in prima persona - se poi lasci aperte una o più vulnerabilità sfruttabili da un malware...un PC è come un appartamento situato all’ultimo piano di un edificio: puoi avere la migliore porta blindata del mondo, persino le finestre corazzate ma se poi ti scordi di mettere in sicurezza il lucernario...



Come normale utente non sei tenuto a conoscere questi argomenti, come professionista specializzato nel campo della sicurezza invece sì e, supponendo che tu appartenga alla prima categoria, al tuo posto non sarei così autocritico…

Se ti interessa approfondire l’argomento, per valutare lo stato del sistema puoi utilizzare Comodo Leak Test: si tratta di un programma dismesso dalla Software House ma si riesce a recuperare grazie ad un mirror presente sul Forum della stessa Comodo: https://forums.comodo.com/report-com...5849#msg845849

Il test lo dovresti eseguire in queste specifiche condizioni:

- Connessione internet attiva e funzionante
- UAC, antikeylogger e Firewall attivi
- AV disabilitati (devi simulare un bypass della protezione realtime degli anti-malware)

A questo punto scompatta CLT.zip in una cartella di tua scelta ed esegui CLT.exe come amministratore:

1) Se uno o più programmi di sicurezza dovessero bloccare CLT.exe in fase di primissimo avvio (es. UAC), consentine l’esecuzione.

2) Una volta iniziato lo scan del sistema, se ti dovessero apparire ulteriori allerte da parte dei programmi di sicurezza puoi utilizzarne le relative funzioni di blocco tutte le volte che si presenterà una nuova allerta: l’importante è che il programma non venga terminato da un software di sicurezza e che il pentest proceda senza intoppi sino alla fine (che coinciderà con la generazione del report): a questo punto non ti resterà che postare lo screenshot del risultato.

N.B.

Tieni presente che si tratta di un pentest talmente vecchio che un Windows 10 aggiornato e blindato non dovrebbe avere difficoltà a superarlo brillantemente con uno score del 100%. Sarà così?

di professione faccio il tecnico informatico e mi ricordo che quando preparavo i pc per questa grossa spa, disattivavo l'esecuzione automatica delle macro su office.
Molti anni fa ero più smanettone di adesso ,mi piaceva provare sempre distribuzioni linux diverse,ho cominciato con red hat.
Installavo anche più di 4 o 5 sistemi operativi diversi sul computer.
Ultimamente per mancanza di tempo e perchè preferisco passare meno tempo sul computer mi sono lasciato andare e passo molto meno tempo sul pc, di conseguenza ho tralasciato dettagli importanti sulla sicurezza.
Non pensavo che anche i file word contenessero macro e che il malware si installasse in maniera silente in meno di 2 secondi!
Il bello di questo malware è che è invisibile: nessun processo dal taskmanager, nessun servizio, nessun file strano nelle cartelle di sistema di windows,nessun modulo in avvio.
(si è insediato nel kernel)

[apu7]

Quote:

Originariamente inviato da Phoenix2005

In effetti forse dovresti aggiornarti un attimino, perlomeno sugli ultimi sviluppi relativi ai malware: il primo file word infettato con un macrovirus risale al 1995...

ciao, ti ringrazio per le informazioni.
Tu che sistema operativo usi?
grazie
saluti

[apu7]

Quote:

Originariamente inviato da Phoenix2005

XP, W7, W8.1, W10 e secondariamente linux, che però non mi ha mai entusiasmato più di tanto: di linux ho avuto modo di apprezzare gli Open Source Firewall (tipo pfSense), le live, specie quelle orientate alla sicurezza tipo Tails o Qubes OS; interessanti anche le distro per la computer forensics tipo Caine: un Windows che passa indenne un'analisi di Caine è un Windows ben configurato. Attualmente, per l'uso quotidiano utilizzo tuttora il vecchio buon XP in attesa del mio primo malware x86...ma penso resterò deluso, visto che sto per dismetterlo in favore di W7, causa mancato supporto di alcuni programmi per me fondamentali (Firefox, Tor Browser, Gpg4win, Wireshark, EEK, etc.) di cui sono cessati gli aggiornamenti...in alcuni casi da parecchio tempo. Attualmente il miglior OS della Microsoft è W7, W10 il peggiore.

per difendersi dai file word con macro l'unica soluzione è disattivare l'esecuzione automatica delle macro?

[apu7]

Quote:

Originariamente inviato da Phoenix2005

La disattivazione delle macro è la principale difesa, questo è certo, tuttavia esistono e sono applicabili più livelli di protezione, compatibilmente con l'esperienza di chi andrà a mettere in atto tali strategie:

- Per quanto possa sembrare banale: sostituire Office con LibreOffice, disabilitando su quest'ultimo tutti gli automatismi integrati, Java/OLE compresi è già un buon inizio (e il portafoglio ringrazia, visto che LibreOffice è a costo zero mentre Office...no.)

- Utilizzare un client di posta decente (ovvero Thunderbird) al posto di quel colabrodo made in MS, assicurandosi che la ricezione delle immagini da remoto sia effettivamente disabilitata sul client (come dovrebbe risultare dalle impostazioni di default nelle opzioni del programma).

- Tenere aggiornato Windows, in particolare Office (se utilizzato).
- Lavorare con utenza limitata, con UAC abilitato, settato al massimo: male non fa...se non al malware che cercherà di eseguirsi.
- Utilizzare un antivirus con modulo di protezione realtime attivo, preferibilmente uno di questi: MalwareBytes, Eset, G-data, Kaspersky...ricordandosi però che nessun AV garantisce la protezione di un sistema al 100%.

...poi ad uso esclusivo di utenti avanzati:

Mettere in sicurezza Windows attraverso il cosiddetto OS hardening, con particolare riferimento a:

- Utilizzare in combo Firewall Hardware/Software in modo da filtrare e monitorare tutti gli accessi da e verso la rete.
- Utilizzare una VM (si circoscrive l'infezione).
- Utilizzare una sandbox (si blocca/circoscrive l'infezione).
- Utilizzare un HIPS (si blocca l'infezione).

L'unione di queste strategie se ben applicate (specie quelle sotto la voce “utenti avanzati”) sono in grado non solo di bloccare i macrovirus ma qualsiasi malware, rootkit compresi.

ciao, ti ringrazio tanto per i preziosi consigli.
Per sandobox, intendi l'implementazione della medesima dal firewall software?
Per Hips cosa intendi?
Consigli di installare wmware workstation o l'equivalente gratuito per navigare su internet dalla macchina virtuale?

I rootkit cosa sono?

grazie ancora
saluti

[lemming]

Ti suggerisco il libro Hacker 7.0 (va bene anche la versione precedente Hacker 6.0) e poi il libro di K. Mitnick, in particolare il primo: L'arte dell'inganno.
Puoi prenderli anche usati o in biblioteca.

Ti puoi fare una panoramica di molte delle problematiche di sicurezza.

[lemming]

Quote:

Originariamente inviato da Phoenix2005

È una possibilità...l'altra è una sandbox separata tipo sandboxie, la quale offre maggior controllo rispetto a quelle incapsulate nei software all-in-one ma soprattutto garantisce un'affidabilità superiore: le suite di sicurezza sono “comode” da usarsi ma nel momento in cui vengono compromesse...in un sol colpo si rischia perdere AV, Firewall, HIPS, sandbox; invece, con componenti separati - specie se di Software House diverse - questo difficilmente accadrà.
[cut]

...rendendo l'infezione difficile da eradicare (sempre che ci si accorga d'essere infetti).

Secondo me attivare tutte queste cose per un utente normale è un po' troppo complicato.
Io ti direi invece di installarti un classico antimalware/antivirus e di fare backup frequenti dei tuoi dati.
Backup da farsi su supporti separati rispetto alla tua rete/pc: es blu-ray o hard disc esterno. Se hai molto materiale, fai una lista dei dati più importanti per te (a cui tieni di più) e di quelli fai 2 copie: una su cd/dvd/blu-ray e gli altri su un hard disc USB.
Quando/se il tuo pc sarà compromesso, avrai una copia dei tuoi dati al sicuro.
L'altra cosa da fare è cambiare le password ogni tanto.