Falla nei firewall???

[oirad87]

Per caso ho trovato su youtube questo filmato, provate anche voi a dargli un'occhiata.
Per quelli che non hanno capito, si tratta di un keylogger di prova che riesce apparentemente a bypassare le protezioni del firewall di Vista.
Ho provato a ripetere il test anche sul mio pc con installato Vista Ultimate e Kis 6....
Con mia sorpresa, per quanto il firewall mi ha rilevato che il keylogger stava cercando di comunicare con internet e io ho bloccato tale connessione, il keylogger è riuscito lo stesso a inviare sulla casella mail provvisoria ciò che io avevo digitato a schermo durante il test .
Inoltre anche con l'UAC abilitato la comunicazione passa lo stesso.
Se volete provare anche voi qui trovate il file per il test e qui trovate il sito dove crearvi la vostra casella e-mail temporanea.

[Nasa]

provato anche con sygate che nn rileva neanche la trasmissione !!!

[wizard1993]

provate con comodo personal firewall pro; comuqnue è risaputo che kis e sygate non sono molto efficenti

[oirad87]

Quote:

Originariamente inviato da wizard1993

provate con comodo personal firewall pro; comuqnue è risaputo che kis e sygate non sono molto efficenti

Ho provato il firewall che mi hai consigliato su una macchina virtuale ed effettivamente è riuscito a bloccare pcaudit...
Da oggi cambierò firewall

PS: Ho scoperto che alcuni giorni fa eraser ne aveva parlato sul suo sito qui.

[oirad87]

Ho provato adesso a mettere comodo personal firewall pro su vista ma non è ancora compatibile
Che firewall consigliate Vista compatibile ?

[wizard1993]

Quote:

Originariamente inviato da oirad87

Ho provato adesso a mettere comodo personal firewall pro su vista ma non è ancora compatibile
Che firewall consigliate Vista compatibile ?

non ti saprei dire;http://www.matousec.com/projects/win...ts-results.php
qui ci sono i test; prova a usare jetico

[oirad87]

Quote:

Originariamente inviato da wizard1993

non ti saprei dire;http://www.matousec.com/projects/win...ts-results.php
qui ci sono i test; prova a usare jetico

Stavo guardando l'articolo che mi hai linkato.. dice a proposito di jetico sotto la tabella comparativa "Jetico failed against Breakout and pcAudit"...
Quindi ha fondamentalmente lo stesso problema di KIS...
Essendo KIS terzo per il momento tengo quello..
L'unico che non ha dato problemi nei leak tests è Comodo. Appena esce una versione compatibile con Vista metto quello..
Grazie per l'aiuto

[Plinio il giovane]

Quel video fa parte di due articoli di Marco Giuliani, a questi indirizzi:

http://www.pcalsicuro.com/main/2007/...parte-seconda/

http://www.pcalsicuro.com/main/2007/...windows-vista/

[oirad87]

Quote:

Originariamente inviato da Plinio il giovane

Quel video fa parte di due articoli di Marco Giuliani, a questi indirizzi:

http://www.pcalsicuro.com/main/2007/...parte-seconda/

http://www.pcalsicuro.com/main/2007/...windows-vista/

sì sì.. me ne ero accorto infatti sopra lo avevo linkato...

[GrandeLucifero]

a mè me pare nà strunzata ...

Scusate eh, ma se scarichi e installi un *.EXE, dai via libera a qualsiasi cosa
virus o non virus, che potrebbe prendere il totale controllo della macchina
e sostituirsi al sistema operativo.
Sono sicuro, che una volta installato, il programma può facilmente bypassare
il sistema dei task e le protezioni della memoria.

In realtà chi analizza i byte inviati sulla rete, sà bene, che anche
le applicazioni meno sospette, tentano di inviare e ricevere dati.

[c.m.g]

se leggete le ultime pagine del tread ufficiale del kaspersky capirete un pò di cose sul perchè ancora nessun antivurus compatibile rispecchia a pieno le potenzialità dei sistemi dedicati a winxp.
ad esempio il kis installato su vista disabilita di default la difesa proattiva, segno che ancora è prematuro passare a tale sistema operativo e che tante cose ancora sono sconosciute di vista.
se poi si pensa alla dichiarazione di microsoft che asserisce che vista è talmente sicuro da far anche a meno di antivirus e firewall, capite come stanno le cose.
a voi l'ardua sentenza...

[wizard1993]

Quote:

Originariamente inviato da c.m.g

se leggete le ultime pagine del tread ufficiale del kaspersky capirete un pò di cose sul perchè ancora nessun antivurus compatibile rispecchia a pieno le potenzialità dei sistemi dedicati a winxp.
ad esempio il kis installato su vista disabilita di default la difesa proattiva, segno che ancora è prematuro passare a tale sistema operativo e che tante cose ancora sono sconosciute di vista.
se poi si pensa alla dichiarazione di microsoft che asserisce che vista è talmente sicuro da far anche a meno di antivirus e firewall, capite come stanno le cose.
a voi l'ardua sentenza...

dicevano la stessa cosa di xp all'inizio; invece in questi 5 anni si saranno succeduti qualche migliaio di aggiornamenti per la sicurezza, c'è poco da sentenziare

[oirad87]

Quote:

Originariamente inviato da GrandeLucifero

a mè me pare nà strunzata ...

Scusate eh, ma se scarichi e installi un *.EXE, dai via libera a qualsiasi cosa
virus o non virus, che potrebbe prendere il totale controllo della macchina
e sostituirsi al sistema operativo.
Sono sicuro, che una volta installato, il programma può facilmente bypassare
il sistema dei task e le protezioni della memoria.

In realtà chi analizza i byte inviati sulla rete, sà bene, che anche
le applicazioni meno sospette, tentano di inviare e ricevere dati.

Concordo con te che in una situazione normale non andrei a installare un .exe sospetto e poi ad eseguirlo
Il fatto è uno.. il firewall mi rileva una connessione in uscita, io gli dico bloccala, e questa riesce ad uscire lo stesso...
Non è il massimo ... un buon firewall dovrebbe bloccarla...

Quote:

Originariamente inviato da c.m.g

se leggete le ultime pagine del tread ufficiale del kaspersky capirete un pò di cose sul perchè ancora nessun antivurus compatibile rispecchia a pieno le potenzialità dei sistemi dedicati a winxp.
ad esempio il kis installato su vista disabilita di default la difesa proattiva, segno che ancora è prematuro passare a tale sistema operativo e che tante cose ancora sono sconosciute di vista.
se poi si pensa alla dichiarazione di microsoft che asserisce che vista è talmente sicuro da far anche a meno di antivirus e firewall, capite come stanno le cose.
a voi l'ardua sentenza...

Sulle dichiarazioni microsoft stendiamo un velo pietoso... e speriamo che gli utonti non li ascoltino e si muniscano di buon antivirus e firewall

[Nasa]

Quote:

Originariamente inviato da oirad87

Il fatto è uno.. il firewall mi rileva una connessione in uscita, io gli dico bloccala, e questa riesce ad uscire lo stesso...
Non è il massimo ... un buon firewall dovrebbe bloccarla...

mi sembra il minimo !!!

[Gianky....! :D :)]

Bhe non ci ho creduto...
MA il programmino è riuscito a bypassare il firewall di kis..
Però è stato riconosciuto come virus da AVG Antispyware...
Quindi lo avrei potuto bloccare non con il firewall ma con l'antispyware...
Ciao

[lucas84]

Quote:

Originariamente inviato da oirad87

Concordo con te che in una situazione normale non andrei a installare un .exe sospetto e poi ad eseguirlo
Il fatto è uno.. il firewall mi rileva una connessione in uscita, io gli dico bloccala, e questa riesce ad uscire lo stesso...
Non è il massimo ... un buon firewall dovrebbe bloccarla...

Però questo test è diverso,va oltre le "semplici" regole di un firewall,un firewall non è pensato per intercettare azioni di DLL injection,alcuni firewall,hanno aggiornato i propio moduli per riconoscere/intercettare e bloccare questa azione,ma,non possiamo pretendere che tutti lo facciano,anche perchè non è che sia molto facile a livello di programmazione come non è facile creare una perfetta routine di DLL injection

Ciao

[oirad87]

Quote:

Originariamente inviato da Gianky....! :D :)

Bhe non ci ho creduto...
MA il programmino è riuscito a bypassare il firewall di kis..
Però è stato riconosciuto come virus da AVG Antispyware...
Quindi lo avrei potuto bloccare non con il firewall ma con l'antispyware...
Ciao

Almeno te in qualche modo riuscivi a bloccarlo
Io invece con Kis e le altre protezioni base di Vista in una situzione reale sarei stato fregato...

Quote:

Originariamente inviato da lucas84

Però questo test è diverso,va oltre le "semplici" regole di un firewall,un firewall non è pensato per intercettare azioni di DLL injection,alcuni firewall,hanno aggiornato i propio moduli per riconoscere/intercettare e bloccare questa azione,ma,non possiamo pretendere che tutti lo facciano,anche perchè non è che sia molto facile a livello di programmazione come non è facile creare una perfetta routine di DLL injection

Ciao

Quello che dici è sicuramente vero, infatti solo Comodo firewall per il momento riesce a bloccare questo tipo di azioni...
Il fatto è che fino a ieri pomeriggio ero convinto di essere al sicuro, quando ho visto in azione questo tipo di test e ho visto il mio sistema bucato come niente sono rimasto così

Ciao

[W.S.]

Quote:

Il fatto è che fino a ieri pomeriggio ero convinto di essere al sicuro

Su una macchina win? Con un O.S. che non puoi avere idea di come si comporta? Soprattutto con un O.S. del genere appena arrivato sul mercato??
Non siamo mai al sicuro. Tantomeno quando non sappiamo cosa succede "dietro".

[oirad87]

Quote:

Originariamente inviato da W.S.

Su una macchina win? Con un O.S. che non puoi avere idea di come si comporta? Soprattutto con un O.S. del genere appena arrivato sul mercato??
Non siamo mai al sicuro. Tantomeno quando non sappiamo cosa succede "dietro".

Sono consapevole anch'io che la "sicurezza" in termini assoluti in informatica non esiste, anche perchè fondamentalmente si può violare ogni sistema, compresi linux e mac..
Qui poi il problema non riguarda solo Vista, che è appena uscito, ma anche l'ormai vecchio XP..
La mia era solo una considerazione riferita a una suite che credevo innalzasse un muro verso l'esterno.. invece ha fatto passare ciò che non doveva passare... solo questo...
Cmq a me interessava trovare una soluzione .. per xp già c'è.. per Vista spero esca a breve...

[palinur]

ciao a tutti!
ho fatto il test pc audit con kerio versione 4.3.268 ed ha passato positivamente il test, prima con look'n'stop sp3 ero completamente bucato!