Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Guida all'uso dei Programmi

Smartphone top di gamma a confronto: Huawei P30 Pro è il migliore per le foto
Smartphone top di gamma a confronto: Huawei P30 Pro è il migliore per le foto
Con questo articolo vogliamo dire l'ultima parola sullo smartphone top di gamma con la migliore fotocamera posteriore, basandoci non su valutazioni soggettive, ma su misure oggettive realizzate con lo stesso approccio che solitamente adottiamo con macchine fotografiche compatte, mirrorless e reflex. Ecco i risultati, e qual è il miglior camera phone del momento
Guida all'acquisto e offerte: confronto fra i migliori smartphone di fascia alta
Guida all'acquisto e offerte: confronto fra i migliori smartphone di fascia alta
Quali sono i migliori smartphone top di gamma del 2018? Qual è l'acquisto migliore da fare per chi non ha limiti di budget oggi? Fra iPhone XS, Galaxy S9 o Note 9, e Huawei P20 Pro la scelta non è mai stata così ardua, ma c'è da dire che ci sono anche molti altri smartphone che offrono un'esperienza paragonabile ad un prezzo molto, molto più contenuto. In questa pagina troverete numerosi consigli su come spendere al meglio i vostri soldi
E’ Federico Borella il Photographer of the year 2019
E’ Federico Borella il Photographer of the year 2019
Federico Borella si è aggiudicato il più prestigioso dei titoli al Sony World Photograpy Awards 2019 con un lavoro documentaristico basato su uno spunto tragico quanto originale: la correlazione tra cambiamenti climatici e tasso di suicidi tra gli agricoltori indiani
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 15-11-2005, 18:39   #1
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Prevenire è meglio che curare :) Software HIPS

Il contenuto di questo post è rilasciato con licenza Creative Commons




NOTE:

27/6/10: visto che il thread non viene chiuso, ho deciso di rivedere la struttura del post iniziale al fine di dargli un taglio più decoroso...

29/7/10: rivisti leggermente i periodi nel tentativo di rendere la lettura più scorrevole...
Resta ferma cmq la mancanza di tempo che mi impedisce in particolare di stendere 2 righe sul Sandbox di CIS4.

7/8/10: apportate ulteriori correzioni/aggiunte...

23/11/11: inserito il collegamento alla guida di DefenseWall 3...

In realtà, il post potrebbe essere ulteriormente arricchito da diverse altre considerazioni ma ritengo sia inutile spendere altre energie in un discorso che interessa realmente a pochi...


-------------------------------------------------------------------------

La necessità di ricorrere a questa nuova classe di software di sicurezza derviva fondamentalmente dall'inadeguatezza degli Antivirus tradizionali a contrastare con le loro tecnologie i malwares più sofisticati e, in generale, i cosi' detti "0 days", virus talmente recenti per i quali cioè non si dispone ancora delle apposite firme di riconoscimento...


Le strategie che possono essere messe in campo per cercare di arginare queste minacce, dunque, sono fondamentalmente di due tipi:

1) ricorrere ad un Account limitato

2) affiancare una nuova linea di difesa a quelle tradizionali cosi' da costituire un sistema di protezione articolato su più livelli contro cui l'infezione dovrà scontrarsi prima di riuscire ad operare pienamente.

Gli HIPS nelle loro diverse incarnazioni costituiscono proprio questa nuova linea di difesa...

Data la profondità cui si spingono questi strumenti per filtrare i comportamenti delle diverse applicazioni (realizzata solitamente attraverso specifici driver che operano particolari alterazioni al modo in cui è implementato il meccanismo delle "chiamate di sistema"), è preferibile installare 1 solo HIPS per macchina:
una "catena di hook" sulla solita API, infatti, può mettere potenzialmente in discussione l'intero modello di difesa generando instabilità (BSOD) o interferenze tra una soluzione e l'altra...


Due, fondamentalmente, sono i modelli di riferimento cui è possibile ricondurre l'intero panorama di queste soluzioni:
  1. gli HIPS "puri"
  2. i Sandbox

Da questi, poi, prendono vita "incarnazioni ibride", come i Behaviour Blocker [BB], che inseriscono una sorta di "intelligenza artificiale" per tentare di interpretare le azioni operate dai programmi messi sotto osservazione.

Se gli HIPS puri rimettono interamente nelle mani dell'utente qualsiasi decisione circa la bontà o meno di un particolare comportamento generando di conseguenza una notevole quantità di avvisi, i BB, sulla base delle regole di AI precedentemente costituite dai loro programmatori, mettono in allarme l'utente solo quando si verifica l'incontro tra una regola precedentemente costituita e una precisa serie di azioni tenuta dal programma monitorato.

I Sandbox, invece, operando su basi diametralmente opposte, hanno come riflesso principale il fatto di liberare l'utente dal dover prendere una qualsiasi decisione:
il loro motore, in pratica, provvede a scartare automaticamente le azioni che, in fase di progettazione, sono state identificate come anomale...

Dall'analisi di massima dei modelli di cui sopra emerge dunque chiaramente un elemento:
ciascuna implementazione, cioè, produce un preciso grado di invasività, massimo nel caso degli HIPS puri, modesto nel caso dei BB e minimo nel caso dei Sandbox...

Se il modello, allora, si rivolge principalmente ad un'utenza più scaltra capace di gestire numerosi popup, il è disegnato per un'utenza più eterogenea dato che l'utente non viene praticamente messo di fronte a bivi...


I 2 modelli, peraltro, oltre che "nell'uso quotidiano", si differenziano anche nella fase di "messa in sicurezza" della macchina:
l'HIPS puro, infatti, richiede un certo periodo di apprendimento (Learning Mode..) perchè possa operare efficacemente segnalando solo operazioni anomale, il Sandbox invece è "pronto all'uso" e non richiede solitamente l'adozione di particolari strategie per poter esprimere pienamente le proprie potenzialità...

Sono insomma 2 filosofie diverse per cercare di arrivare al medesimo obiettivo:
mettere il più possibile in sicurezza il Pc da operazioni comunemente impiegate nei malwares...


Gli HIPS di 1° tipo: i puri.

Dopo un periodo di forte diffusione tra gli appassionati caratterizzato dalla presenza sul mercato di diverse alternative, questo modello di difesa vive oggi un periodo di oggettiva difficoltà.

La complessità di queste soluzioni nel momento della messa in sicurezza della macchina e nella gestione del quotidiano unita ad una politica di prezzi evidentemente non vincente (licenza vitalizia...), ha rappresentato un forte ostacolo alla diffusione su larga scala di questi prodotti facendo vacillare peraltro la capacità di sopravvivenza delle rispettive software house sempre più strette, oltretutto, nella morsa di grandi gruppi di interesse che hanno proposto soluzioni più o meno equivalenti gratuitamente...

L'unico prodotto degno di nota di questa categoria è sicuramente Malware Defender.
Sebbene a seguito di alcune recenti vicende il suo sviluppo futuro sia alquanto nebuloso, è un software molto robusto capace di garantire un eccellente livello di protezione grazie alla copertura di un largo ventaglio di azioni potenzialmente pericolose e, per semplicità, riassunti nello schema sottostante.


(In realtà, oltre al controllo sui permessi di cui sopra, MD è in grado di filtrare anche una particolare forma di intercomunicazione tra processi [NamedPipes] nonchè operazioni su file/cartelle/registro.
La sua difesa, infine, si completa di un basic network filtering firewall...)


Il funzionamento di questi strumenti, dunque, ruota attorno alla costituzione di un apposito insieme di regole (RuleSet) che definisce il grado di libertà di movimento attribuito a ciascun processo.

Se a compiere una particolare azione è proprio un processo del RuleSet e questa rientra nel grado di libertà precedentemente definito (e formatosi durante la fase di apprendimento...), l'azione in questione verrà automaticamente autorizzata altrimenti si produce una situazione di stallo (PopUp) che informa sul tentativo operato dal processo stesso di acquisire un ulteriore permesso...

Se invece a compiere una generica azione è una applicazione estranea al RuleSet, qualsiasi richiesta di permessi che discende la prima esecuzione è rimessa nelle mani dell'utente chiamato di volta in volta a decidere cosa accordare e cosa scartare...

(La foto seguente dovrebbe aiutare a capire proprio il concetto di "grado di libertà" assegnato per es. ad un particolare processo di sistema, in questo caso explorer.exe.



Fin tanto che ad es. explorer.exe non tenta di manipolare lo spazio di memoria di altri processi [rappresentato dalle voci "access data of other processes/control other processes and threads"], il programma è trasparente, non produce cioè situazioni di allarme con i suoi popup.

La regola generica che governa la richiesta di permessi operata da applicazioni estranee al Ruleset è invece rappresentata nell'immagine sottostante).





La capacità di interpretare gli avvisi unita alla creazione di un valido ruleset che non assegni permessi inutili a processi che potrebbero girare correttamente anche con meno diritti, relega dunque queste soluzioni ad un'utenza più esperta.

Una serie di funzionalità avanzate, poi (come la possibilità di creare regole a partire dal log o dai popup, di controllare anche durante un processo di installazione certe operazioni cosi' da poterle eventualmente scartare, ecc...), rendono questo software davvero unico.

Anche se esula dall'obiettivo di questo thread proporre dettagli maggiori sull'HIPS in questione, mi piace cmq far vedere almeno la pulizia dei suoi popup capaci di fotografare, con estrema eleganza e ricchezza di particolari, il momento dell'intercettazione di un'operazione tra quelle ovviamente contemplate dall'engine del programma:



Download v.2.8.0.0001: http://dl.360safe.com/md_setup_en.exe
Thread ufficiale: L I N K!.




Uno sguardo particolare agli HIPS di 2° tipo: i Sandbox.

Il riflesso comune di questi strumenti, come abbiamo visto, è l'automatizzazione del processo di filtraggio di determinati "comportamenti" cosi' da liberare l'utente da qualsiasi scelta tipica invece degli HIPS tradizionali...
La figura in oggetto, infatti, rappresenta un meccanismo di sicurezza teso a separare, con apposite politiche di tipo allow/deny, lo spazio nel quale operano i diversi programmi assegnando "di fabbrica" a quelli posti sotto la sua supervisione restrizioni tali che, limitandone l'operatività, finiscono per contenerne anche il rischio...

Il Sandbox, dunque, è la riduzione di diritti attribuiti a determinati processi in base a particolari politiche e non va dunque confuso col concetto di "contenitore virtuale", elemento che può anche non essere presente per configurare la fattispecie in oggetto...

Le soluzioni più famose di questa categoria sono fondamentalmente 3,
Sandboxie, GesWall, DefenseWall,
ciascuno, come è facile immaginare, con le proprie peculiarità.

Il (Sandboxie) è quello che si avvicina di più ad un virtualizzatore puro facendo leva sulla presenza di un contenitore virtuale entro cui vengono confinate le modifiche al file system e al registro.



Qualsiasi file creato da un processo sandboxato, dunque, è posto all'interno di questa zona speciale dell'HD e precisamente nella sandbox folder che corrisponde alla cartella reale nella quale sarebbe stato copiato in assenza di virtualizzazione.

La chiusura del programma sandboxato, inoltre, consente di avere ragione di qualsiasi "detrito" posto all'interno del contenitore (Sandbox) a meno che l'utente non disponga espressamente il contrario.

Nonostante la presenza del virtual container che potrebbe indurre a pensare di trovarsi di fronte ad un virtualizzatore puro, la natura policy based Sandbox di questo prodotto emerge distintamente nell'osservazione dell'immagine sotto che mostra un insieme di azioni impossibili da virtualizzare (in particolare, la 1° e la 2° opzione...) se non con soluzioni dedicate (Virtual Machine),



Di fronte al tentativo di un programma sandboxato di caricare un kernel mode driver, infatti, Sandboxie mostra un popup che informa circa la castrazione di quest'operazione, vedi SBIE2103.


Il (GesWall), è un mix tra Sandboxie e DefenseWall.

Al policy based Sandbox che si traduce nello scartare automaticamente determinate operazioni, GW unisce infatti una sorta di virtualizzazione su file/chiavi di registro chiamata reindirizzamento (REDIRECT):
se un'applicazione isolata tenta di sovrascrivere un file protetto, GesWall predispone un'apposita zona (\geswall\redirect folder) all'interno della quale COPIA il file stesso cosi' che l'applicazione che ha richiesto di manipolare quel file possa portare a termine la sua operazione.




La copia, infine, viene eliminata dal contenitore virtuale nel momento in cui l'applicazione isolata viene chiusa.

Quello che è essenziale rimarcare, dunque, è il fatto che col gioco del REDIRECT si riesce ad ingannare l'applicazione isolata facendogli credere di essere riuscita nel suo intento.
(L'inganno è osservabile controllando anche l'immagine sotto che mostra nello specifico l'ipotesi del reindirizzamento operato sul registro di sistema.
A dispetto infatti del report del simulatore che sottolinea erroneamente come il test sia fallito [modification successful], il popup di GesWall informa che in realtà è stato operato un reindirizzamento su chiavi "fake" senza intaccare dunque il sistema reale.
)



Anche nel caso di GesWall la natura policy based Sandbox emerge chiaramente dall'immagine che segue che mostra distintamente un'azione di blocco su una risorsa di sistema (directory spool\prtprocs)...



[L'intero sviluppo del tentativo di infezione (in questo caso, un sample del famigerato rootkit della famiglia TDL) è ricavabile dall'analisi del Log].




A differenziare peraltro GW dalle altre due soluzioni concorrenti contribuisce sicuramente anche il discorso legato ai differenti livelli di sicurezza ammessi da questo software.

Mentre DefenseWall, come Sandboxie, ammette 2 sole politiche per trattare applicazioni/processi (trusted/untrusted per DW, Sandboxato/non sandboxato per Sandboxie), GesWall offre la possibilità di scegliere tra 3 differenti livelli di sicurezza modificando di conseguenza il proprio comportamento in accordo con la policy selezionata.




In GesWall, dunque, l'isolamento può essere
  1. limitato alle sole Jailed Application (o applicazioni per le quali non sono definite particolari politiche di default e che, di conseguenza, possono accedere solo ad un set predefinito di risorse)
  2. esteso alle applicazioni conosciute che, come tali, dispongono di un apposito ventaglio di regole...
  3. automatico senza la produzione di alcun popup...

Poichè è adottata di default la policy n°2, viene mostrato un popup ogni qual volta è avviata un'applicazione che rientra nel database di applicazioni isolabili...




DefenseWall, infine, si posiziona nell'universo di questi strumenti di protezione come puro policy based Sandbox.

(Il suo sviluppatore, infatti, definisce cosi' il proprio software:
"DefenseWall is a pure policy-based sanbox (its registry virtualization part is so little you may forget about it).
It's working on driver-lever pre-defined security ruleset (allow-deny) + new resource protection section (granular resources access to protect your sensitive information from being hijacked).
Its rollback feature is limited (it can't rollback files modified) and, mostly, made in order to allow advanced users manually remove malware from hard disks."
)


Facendo in pratica dell'isolamento perseguito attraverso un impiego massiccio di politiche di tipo allow/deny il proprio schema di protezione, DefenseWall si assimila idealmente ad un account limitato che impiega funzionalità di HIPS per contenere i rischi provenienti dai processi più comuni che interagiscono con internet.

Il suo limitatissimo ricorso allo strumento della virtualizzazione è infatti osservabile anche nella foto che segue che mostra chiaramente tanto la castrazione del tentativo di scrittura in una precisa locazione protetta del registro di sistema nonchè un'analoga operazione condotta sul file system...





L'idea di fondo di questo programma prevede dunque che le applicazioni e i processi che interagiscono con internet (assimilabili a veri e propri vettori di infezione o threat gateways) debbano essere isolati facendoli girare in un ambiente "virtuale", separato (in termini di permessi...) dal resto dei processi.

(Dall'home page, infatti, si si può leggere quanto segue:
DefenseWall HIPS divides all applications into 'Trusted' and 'Untrusted' groups.
Untrusted applications are launched with limited rights to modification of critical system parameters, and only in the virtual zone that is specially allocated for them, thus separating them from trusted applications.
In the case of penetration by malicious software via one of the untrusted applications (web browsers etc), it cannot harm your system and may be closed with just one click!
)


Il meccanismo di difesa implementato in DefenseWall (isolamento...) si completa poi da un semplice principio che prevede l'ereditarietà degli attributi sia per i file potenzialmente pericolosi creati da processi untrusted che per eventuali processi secondari che dovessero nascere dai primi...

In qualità di Sandbox puro che non vive attorno al concetto del virtual container, DefenseWall non si preoccupa di dover riservare porzioni speciali dell'HD entro le quali confinare operazioni legate al file system/registro ma lascia che queste risorse si posizionino nella loro locazione naturale dopo averle opportunamente disarmate assegnandogli uno status particolare (untrusted).

Pur non contando cmq sul contenitore virtuale, DefenseWall è in grado di tener traccia di trutti i "detriti" risultanti da una installazione untrusted per consentirne la rimozione in un qualsiasi momento attraverso l'uso dell'apposita funzione di RollBack assimilabile idealmente ad una sorta di macchina del tempo...
(Prendendo infatti come esempio l'immagine sottostante, si osserva come, selezionando una qualsiasi voce [la n°1..], si riesce ad aver ragione di tutti gli eventi prototti successivamente all'evento selezionato [e evidenziati in colore blu])...




A difesa del mantenimento dello status di file/cartelle è stata peraltro sviluppata una tecnologia che porta il nome di Total untrusted files movement control:
grazie a questa viene coperta l'ipotesi di operazioni di movimento ( come taglia, copia, incolla..) compiute da processi trusted (es, explorer..) sui files in oggetto.

Quest'elemento, che può sembrare marginale o scontato, differenzia peraltro DW da GesWall visto che quest'ultimo dimentica lo status originario di un file trasformandone gli attributi in trusted! nel momento in cui venga variata la locazione del file stesso in conseguenza proprio di un operazione di movimento...

Per tutelare dati e informazioni sensibili DefenseWall predispone poi la completa separazione tra processi untrusted operata mediante un database precostituito di risorse protette relative ad alcune applicazioni e ai loro elementi vitali (Resource Protections).
L'effetto di questa funzionalità è quello di permettere al programma di castrare qualsiasi tentativo di comunicazione tra processi isolati che abbia come obiettivo proprio la condivisione e l'uso di informazioni delicate...

(La lista, personalizzabile naturalmente a piacere dall'utente finale, comprende i seguenti processi:

)

GUIDA DefenseWall 3: USO QUOTIDIANO del programma...
...e uno sguardo al suo "dietro le quinte"...

Esempio di installazione untrusted che, a causa delle restrizioni imposte dal Sandbox, fa si che il programma NON parta correttamente: 1,2,3,4, ecc...

Esempio di installazione untrusted che, pur con le restrizioni del Sandbox, non impedisce al programma di funzionare correttamente: 1.


Principali differenze tra Sandboxie & DefenseWall.

Sandboxie, in quanto soluzione che si avvicina di più al virtualizzatore puro, ruota attorno al concetto del contenitore virtuale, un ambiente fittizio (o, meglio, una zona speciale dell'HD..) totalmente scorrelato dal sistema reale nel quale vengono confinate tutti le operazioni relative al file system (file scaricati,...) e al registro.
Il recinto predisposto da Sandboxie, dunque, risulterà inaccessibile a meno che non si rimuovano di proposito gli elementi in esso contenuti.
La chiusura del programma sandboxato, inoltre, comporta la rimozione automatica di tutte le tracce contenute nel contenitore virtuale fatto salvo il contenuto di determinate locazioni per le quali è offerta la possibilità di un recovery nella stessa posizione nel sistema reale.

DefenseWall, invece, come Sandbox puro, non riserva zone speciali dell'HD alla costituzione del contenitore virtuale ma lascia che i file si posizionino nella loro locazione naturale dopo averli opportunamente disarmati assegnandogli lo status untrusted (e a patto che, cmq, la locazione naturale non coincida con particolari zone per le quali è espressamente prevista un'azione di blocco, come ad es. System32\drivers).




Non è peraltro solo la presenza o meno dell'elemento "contenitore virtuale" a differenziare le due figure di Sandbox:
DefenseWall, infatti, mediante il ricorso ad un'apposita lista precostituita di programmi untrusted, provvede ad isolare in via automatica tutte le applicazioni che, interfacciandosi con internet, costituiscono un possibile vettore di infezione.
In DefenseWall, dunque, un threat gateway è sempre isolato a meno che l'utente stesso non disponga diversamente.

In Sandboxie, invece, è l'utente che di volta in volta decide cosa isolare da cosa escludere dalle restrizioni del Sandbox a meno di non disporre della versione a pagamento che prevede espressamente la possibilità di forzare un programma a partire sandboxato, operazione cmq non "trasparente" come in DefenseWall (di default, infatti, il Sandbox è pronto all'uso..) visto che richiede una precisa riconfigurazione dei settaggi.

La possibilità di poter intervenire direttamente sulla personalizzazione dei settaggi, pertanto, potrebbe indurre un certo tipo di utenza a considerare maggiormente Sandboxie in luogo di DefenseWall che, come si è visto, garantisce invece una sorta di uniformità del grado di protezione a prescindere dal livello di esperienza dell'utenza...


(Un'idea sui programmi considerati automaticamente da DefenseWall come potenziali veicoli di infezione è ricavabile dalla scheda che segue:



E' poi direttamente il motore di DW ad esaminare al 1° riavvio il contenuto dell'HD alla ricerca di quelli che sono i threat gatewways effettivamente installati in locale senza dover appesantire inutilmente la lista di elementi untrusted da voci di fatto non presenti.

L'immagine sotto, pertanto, mostra proprio il caso di un Computer nel quale siano presenti solo una piccola parte di elementi dell'intera untrusted list...

).


L'ultima considerazione è legata infine ad un vecchio adagio, e cioè perchè si raccomanda a chi usa DefenseWall (o GesWall..) di usare un Antivirus tradizionale quando invece la solita raccomandazione non è cosi' pressante per l'utente che usa Sandboxie...

Bè, la risposta è legata essenzialmente al concetto di VIRTUAL CONTAINER:
se la chiusura del processo sandboxato consente di aver ragione di qualsiasi modifica intervenuta al file system/registro mediante la cancellazione del contenuto del contenitore virtuale (caso di Sandboxie), la stessa cosa non vale nè per DefenseWall nè per GesWall.
I file, infatti, in accordo con l'architettura di questi programmi, vengono copiati nelle rispettive locazioni naturali dell'HD se pur in stato *D I S A R M A T O* (=innocuo).

E li' possono rimanere fin tanto che non si intervenga manualmente sulla scheda di RollBack (caso di DefenseWall).

Ecco allora che se un utente non ha un sufficiente livello di esperienza per procedere con la rimozione manuale dei detriti via Rollback stesso, può delegare il compito della pulizia all'Antivirus senza preoccuparsi cmq di QUANDO avverrà il riconoscimento tramite lo strumento delle firme:
i file, nel frattempo, restano come C O N G E L A T I, e quindi incapaci di produrre alcun danno reale alla macchina.


(E' utile, probabilmente, sottolineare di nuovo un concetto:
quello che vede cioè un MALWARE I N A T T I V O! come essenzialmente INOFFENSIVO!
Allo scopo, dunque, ricorro ad un passaggio tratto dall'home page di GesWall:

"File presence doesn't flag a problem yet. There are security products that prevents creating files, but GeSWall designed to work in other way.
Instead of blocking file creation (no matter what destination: system32, temp, etc. ) GeSWall tracks out files created by isolated applications.
Assume you have somehow received that trojan through the isolated browser. GeSWall will not prevent the file to be written in system32.
However, on the trojan start GeSWall will isolate it and prevent a damage posed by this trojan: no trusted file can be modified or deleted, no confidential data leaked.
So basically the trojan is locked within GeSWall's isolation layer and cannot do a harm.
Additionally, GeSWall prevents subsequent auto-runs (when it is started without your desire on some event: every boot, logon, etc.) of this trojan. It means that trojan will not be installed in the system and cannot "re-started" later.
GeSWall use this "tracking" approach in order to be as non-intrusive as possible [...]
In that scenario you would need an Antivirues in order to clean malware files from your system, when a vendor becoming aware of it.
But, again, just presence of malware files on your disk does not mean that you are infected by the malware.
"
)

-------------------------------------------------------

Andando comunque più a fondo, emerge quello che è un paradosso che sembra contrastare con quanto affermato poc'anzi, e cioè "il paradosso Sandboxie" e la rivalutazione degli strumenti a lista nera (Antivirus).

Se da un lato è vero che l'uso di un AV potrebbe risultare più pressante per l'utente inesperto di DefenseWall per i motivi che si sono elencati, dall'altro lato è altrettanto vero che questi residui sarebbero comunque inoffensivi per il discorso legato all'ereditarietà degli attributi...

Cosa, invece, se l'utente inesperto di Sandboxie decidesse di percorrere la strada del salvataggio di un file presente nel Sandbox ritenendolo (incautamente..) inoffensivo? (si pensi ad es. ad un file pdf, ecc..)
Il file, infatti, uscendo dal Sandbox si troverebbe libero da qualsiasi restrizione manifestando pertanto tutti i suoi effetti nocivi...

Paradossalmente, allora, ci potremmo trovare di fronte ad una situazione diametralmente opposta rispetto a quanto tracciato visto che, con il ribaltamento dei ruoli, sarebbe stavolta l'utente intermedio di Sandboxie ad avere più bisogno di uno strumento di protezione basato su firme...


Non ultimo, resta da considerare un ulteriore elemento che porta anch'esso nella direzione della rivalutazione del ruolo di un Antivirus.

Per eludere i Sandbox e le VM, i malwares hanno infatti sviluppato apposite tecnologie volte a "capire" se si trovano a girare o meno in un ambiente isolato mutando di conseguenza comportamento a seconda di ciò che si trovano di fronte.

Alla luce dunque di questi escamotage, diventa estremamente complesso per l'utente finale basarsi solo sul report prodotto da un Sandbox o da una VM per capire quando sia realmente possibile fidarsi di un file...
L'unico canale percorribile dunque per aver l'assoluta certezza che un file sia innocuo rimane inevitabilmente lo strumento basato su firme, l'Antivirus..


Bastano infatti poche linee di codice perchè un dato programma arrivi a capire se, una volta lanciato, si troverebbe ad es. a girare in Sandboxie
Codice:
BOOL IsSandboxie()
    if(GetModuleHandle("SbieDll.dll"))

...o in una VM come VirtualBox,
Codice:
bool DetectVBox()
{
if (prcIsRunning("VBoxService"))
return true;
else
return false;
}



*******************************

La tavola sintetica di Kees1958 sulle differenze tra DefenseWall & GesWall:

Ultima modifica di nV 25 : 15-01-2012 alle 10:36.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 18:50   #2
BravoGT83
Senior Member
 
Iscritto dal: Sep 2004
Messaggi: 6382
scotty è in bravo cognolino

ottimo lavoro
BravoGT83 è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 19:10   #3
FOXYLADY
Senior Member
 
L'Avatar di FOXYLADY
 
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
Ottimo lavoro
Però io rimango dell'idea che la miglior prevenzione sta nella testa.... di chi usa il PC.
Se c'è quella non servono poi tanti programmi per la sicurezza.

Ciao
__________________
FOXYLADY è un MASCHIO!!

Un amico è una persona che sa tutto di te e nonostante questo gli piaci
FOXYLADY è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 19:22   #4
BravoGT83
Senior Member
 
Iscritto dal: Sep 2004
Messaggi: 6382
Quote:
Originariamente inviato da FOXYLADY
Ottimo lavoro
Però io rimango dell'idea che la miglior prevenzione sta nella testa.... di chi usa il PC.
Se c'è quella non servono poi tanti programmi per la sicurezza.

Ciao
poco ma sicuro....ma purtroppo sono casi rari
BravoGT83 è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 19:49   #5
Jaguar64bit
Senior Member
 
L'Avatar di Jaguar64bit
 
Iscritto dal: Oct 2002
Città: Mi
Messaggi: 8009
L'Avk2006 incorpora il modulo comportamentale per la prevenzione dei nuovi virus , che poi non sia un sistema infallibile questo è normale.
Jaguar64bit è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 19:50   #6
Stereogab
Senior Member
 
L'Avatar di Stereogab
 
Iscritto dal: Aug 2005
Città: quella di Dante
Messaggi: 840
ben fatto nV
ben vengano thread cosi'

Quote:
Originariamente inviato da FOXYLADY
Però io rimango dell'idea che la miglior prevenzione sta nella testa.... di chi usa il PC.
Se c'è quella non servono poi tanti programmi per la sicurezza.

Ciao
logico,ma premesso che il buon senso non lo si puo' insegnare è meglio che la gente si premunisca
vedo troppe persone che se ne strabattono della sicurezza del proprio pc
quando poi gli impazzisce il sistema cominciano a preoccuparsi
Stereogab è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 19:57   #7
Jaguar64bit
Senior Member
 
L'Avatar di Jaguar64bit
 
Iscritto dal: Oct 2002
Città: Mi
Messaggi: 8009
Quote:
Originariamente inviato da Stereogab



logico,ma premesso che il buon senso non lo si puo' insegnare è meglio che la gente si premunisca
vedo troppe persone che se ne strabattono della sicurezza del proprio pc
quando poi gli impazzisce il sistema cominciano a preoccuparsi
Infatti sante parole , c'è gente che non sa minimamente cosa sia un firewall , oppure non sa che I.E è un browser a rischio..oppure non sa che visitando certi siti se non si ha un antivirus potente..si rimane impestati , la gente non sa cosa sono gli activex , gli script dannosi i BHO...gli hiijackers.. ecc ecc ecc

ci sono utenti che girano senza Sp2 , non hanno un firewall...magari con l'av scaduto , poi vanno a cercare uno wallpaper in un sito e si beccano il trojan o lo spyware di turno...
Jaguar64bit è offline   Rispondi citando il messaggio o parte di esso
Old 15-11-2005, 22:41   #8
FOXYLADY
Senior Member
 
L'Avatar di FOXYLADY
 
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
Quote:
Originariamente inviato da Jaguar64bit
Infatti sante parole , c'è gente che non sa minimamente cosa sia un firewall , oppure non sa che I.E è un browser a rischio..oppure non sa che visitando certi siti se non si ha un antivirus potente..si rimane impestati , la gente non sa cosa sono gli activex , gli script dannosi i BHO...gli hiijackers.. ecc ecc ecc

ci sono utenti che girano senza Sp2 , non hanno un firewall...magari con l'av scaduto , poi vanno a cercare uno wallpaper in un sito e si beccano il trojan o lo spyware di turno...
Quoto tutto
Aggiungo che sarebbe utile parlare anche di queste cose appunto, piuttosto che le solite discussioni riguardo agli antivirus e firewall, meglio questo o meglio quell'altro? Sono anche quelle utili, ma io dopo un pò mi annoio a parlare sempre delle stesse cose.....
Quindi ben vengano 3d che parlino di una sicurezza più a 360 gradi
__________________
FOXYLADY è un MASCHIO!!

Un amico è una persona che sa tutto di te e nonostante questo gli piaci
FOXYLADY è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 09:10   #9
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
anzitutto grazie, mi fa piacere che abbiate apprezzato questi suggerimenti che mi sono permesso di dare.....le risposte xò vengono solo da voi, che proprio digiuni in tema di sicurezza non siete... temo che "il vero target" di utenza a cui questi suggerimenti erano destinati non si sia nemmeno accorto di questo thread....ma forse era normale che fosse cosi' visto che, come sottolineato anche da voi, c'è sempre gente che a tutt'oggi viaggia senza il SP2 ( e forse anche il SP1...)

@ FOXY: Quando parli della noia che ti viene a parlare delle stesse tematiche, come ti dò ragione...
@ Stereogab: ... premesso che il buon senso non lo si puo' insegnare è meglio che la gente si premunisca...parole sante
@ Jaguar64bit: vedi, AVK conferma quello che ho detto implementando una qualche forma di IPS in linea con quello che è la tendenza attuale in tema di sicurezza...

Infine un saluto a BravoGT

Ultima modifica di nV 25 : 16-11-2005 alle 19:56.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 09:27   #10
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Per quanto riguarda gli HIPS con me sfondi una porta aperta perche' uso gia' ProcessGuard con cui mi trovo molto bene. WinPatrol l'ho usato in passato e nel suo genere e' un ottimo programma ma ultimamente l'ho tolto e sto usando un programmino nuovo che si chiama ArovaxShield e mi trovo bene.
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 16:46   #11
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da andorra24
Per quanto riguarda gli HIPS con me sfondi una porta aperta perche' uso gia' ProcessGuard con cui mi trovo molto bene. WinPatrol l'ho usato in passato e nel suo genere e' un ottimo programma ma ultimamente l'ho tolto e sto usando un programmino nuovo che si chiama ArovaxShield e mi trovo bene.
Ho aggiunto ArovaxShield nel 1° post...effettivamente anche questo dicono sia un buon prodotto...
Confermi cmq che tanto questo che Winpatrol siano di fatto equivalenti a livello di funzionalità?
Ciao
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 17:00   #12
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Quote:
Originariamente inviato da nV 25
Ho aggiunto ArovaxShield nel 1° post...effettivamente anche questo dicono sia un buon prodotto...
Confermi cmq che tanto questo che Winpatrol siano di fatto equivalenti a livello di funzionalità?
Ciao
ArovaxShield lo uso da alcune settimane e per certi versi si comporta come winpatrol. E' un programmino freeware, molto leggero che monitorizza il registro di windows e appena ci sono dei cambiamenti lo notifica subito all'utente. Inoltre blocca i tentativi da parte di software malevoli di aggiungere entrate al menu' di avvio, blocca eventuali hijackers,controlla l'Host file, blocca anche i tracking cookies per Firefox. Ulteriori info si possono trovare sul suo sito: http://www.arovaxshield.com/
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 17:15   #13
BravoGT83
Senior Member
 
Iscritto dal: Sep 2004
Messaggi: 6382
molto interessante adesso lo provo
BravoGT83 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 17:22   #14
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
se il timore ad installare questi prodotti è l'appesantimento del sistema, posso assicurarti che non è cosi'.
A fronte di un peso pressochè inesistente, si irrobuistisce la protezione in maniera sensibile.

Guarda i programmi che uso (in firma) e se hai modo di provarli, fammi sapere cosa ne pensi....ma sono sicuro su come mi risponderai:
Perchè li ho installati solo ora????

Sono perfetti anche per i programmi gratuiti che ho inserito nel 1° post, in particolare AntiHook, assolutamente da provare se non si ha PG
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 17:31   #15
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Quote:
Originariamente inviato da nV 25
Guarda i programmi che uso (in firma) e se hai modo di provarli, fammi sapere cosa ne pensi....ma sono sicuro su come mi risponderai:
Perchè li ho installati solo ora????
Come HIPS uso ProcessGuard con cui mi trovo benissimo. Poi ho aggiunto ArovaxShield. Tempo fa ho tentato di provare Safe'n'Sec ma purtroppo non ho avuto un riscontro positivo perche',dopo averlo installato e dopo aver riavviato il pc, il programma mi notificava che il periodo trial era spirato e che dovevo acquistarlo. Ovviamente sono stata costretta a disinstallarlo e non ho avuto modo di testarlo.
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 17:54   #16
Jaguar64bit
Senior Member
 
L'Avatar di Jaguar64bit
 
Iscritto dal: Oct 2002
Città: Mi
Messaggi: 8009
Quote:
Originariamente inviato da andorra24
ArovaxShield lo uso da alcune settimane e per certi versi si comporta come winpatrol. E' un programmino freeware, molto leggero che monitorizza il registro di windows e appena ci sono dei cambiamenti lo notifica subito all'utente. Inoltre blocca i tentativi da parte di software malevoli di aggiungere entrate al menu' di avvio, blocca eventuali hijackers,controlla l'Host file, blocca anche i tracking cookies per Firefox. Ulteriori info si possono trovare sul suo sito: http://www.arovaxshield.com/
Interessante programma non lo conoscevo , se ti avverte delle modifiche al registro solo per questo è da tenere in considerazione.
Jaguar64bit è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 17:58   #17
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da Jaguar64bit
Interessante programma non lo conoscevo , se ti avverte delle modifiche al registro solo per questo è da tenere in considerazione.
il nocciolo della questione, per la verità, sarebbe sapere quali chiavi monitora....
Forse il migliore per questo fine è RegDefend della DiamondCS (in firma trovi qualche info)...anche Regrun dicono sia buono per tenere sott'occhio il registro....
Questo xò e free e la cosa non è trascurabile...

Se qualcuno volesse prendere visione delle chiavi tenute sott'occhio dai diversi programmi citati, guardi questo link: http://www.wilderssecurity.com/showthread.php?t=32823

ciao

Ultima modifica di nV 25 : 16-11-2005 alle 19:57.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 18:10   #18
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Esiste anche un forum di supporto per ArovaxShield:
http://forum.arovaxcompany.com/
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 18:26   #19
Stereogab
Senior Member
 
L'Avatar di Stereogab
 
Iscritto dal: Aug 2005
Città: quella di Dante
Messaggi: 840
Quote:
Originariamente inviato da andorra24
Esiste anche un forum di supporto per ArovaxShield:
http://forum.arovaxcompany.com/
l'ho appena installato
povero scotty pero',mi dispiace lasciarlo
Stereogab è offline   Rispondi citando il messaggio o parte di esso
Old 16-11-2005, 18:26   #20
Jaguar64bit
Senior Member
 
L'Avatar di Jaguar64bit
 
Iscritto dal: Oct 2002
Città: Mi
Messaggi: 8009
Quote:
Originariamente inviato da nV 25
il nocciolo della questione, per la verità, sarebbe sapere quali chiavi monitora....
Forse il migliore per questo fine è RegDefend della DiamondCS (in firma)...anche Regrun dicono sia buono per tenere sott'occhio il registro....
Questo xò e free e la cosa non è trascurabile...

Se qualcuno volesse prendere visione delle chiavi tenute sott'occhio dai diversi programmi citati, guardi questo link: http://www.wilderssecurity.com/showthread.php?t=32823

ciao
Io credo che il problema è che uno non può avere per dire 5 programmi che all'avvio montorizzano e proteggono , anche perchè vedo in giro che non tutti hanno Pc potenti , spero che chi produce av possa presto inglobare le caratteristiche di questi programmi di controllo del registro che avete postato , cmq mi pare che il Bitdefender 9 abbia una sorta di controllo del registro quando si installa qualcosa , certo nulla di così specificamente dedicato al "problema" come i prodotti che avete citato.
Jaguar64bit è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Smartphone top di gamma a confronto: Huawei P30 Pro è il migliore per le foto Smartphone top di gamma a confronto: Huawei P30 ...
Guida all'acquisto e offerte: confronto fra i migliori smartphone di fascia alta Guida all'acquisto e offerte: confronto fra i mi...
E’ Federico Borella il Photographer of the year 2019 E’ Federico Borella il Photographer of the year ...
Darktrace, la protezione per le aziende basata sull'intelligenza artificiale Darktrace, la protezione per le aziende basata s...
MSI P65 Creator 8RF: pensato per i creativi. La recensione MSI P65 Creator 8RF: pensato per i creativi. La ...
Impara a programmare con Python: il cors...
Warhammer Chaosbane: seconda fase della ...
Meme: ecco la classifica dei più ...
Vodafone Business, 240 milioni di invest...
TIM Iron X, Titanium e Jet: minuti illim...
Samsung Galaxy Fold: eccolo smontato com...
Sempre più IA per Google Cloud, c...
ASUS ROG Strix Helios arriva in Italia: ...
Windows 10 May 2019 Update è ades...
Wiko Y60 ufficiale: smartphone super-eco...
Notre Dame: una foto ad altissima risolu...
Tra uomini e robot in uno dei siti produ...
Google rivela i ballot screen su Android...
TIM 7 Extra Go New: 30GB, minuti ed SMS ...
Sony A7 III e A7R III: il firmware 3.0 è...
LibreOffice 6.2.3
Opera Portable
Opera 60
Backup4all
Zoom Player Free
Chromium
Avira Internet Security Suite
Avira Free Antivirus
Skype
Avira Free Security Suite
EZ CD Audio Converter
AIDA64 Extreme Edition
K-Lite Codec Pack Update
K-Lite Mega Codec Pack
K-Lite Codec Pack Full
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 01:23.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Served by www3v