www.MegaLab.it

[bobby5]

Ciao, qualcuno di voi ha provato questo software? Che ne pensate?

info

Codice: Seleziona tutto

http://www.zerovulnerabilitylabs.com/home/
http://download.cnet.com/8301-2007_4-57521983-12/exploitshield-appears-to-live-up-to-its-name/?tag=rb_content;main
http://www.youtube.com/watch?v=RAHXzfySgYg&feature=player_embedded

[crazy.cat]

Non lo conoscevo, vediamo se domani ho tempo di provarlo così distruggo il portatile di test.

[sampei.nihira]

E' un progetto nuovo sviluppato da Pedro Bustamante lo stesso del team di Panda.
Si legge in giro qualche commento positivo e qualche commento negativo.

[sampei.nihira]

Kees1958 ha installato il sw che gira nel suo pc in concomitanza con EMET.
Sarei tentato di provarlo anche io ma solo nel pc con XP.

Aspetto che lo sviluppatore risponda alla domanda se funziona con SandboxIE.
Sembrerebbe di no.

[sampei.nihira]

Dalle risposte alle ultime domande meglio attendere una prossima versione.

Fonte ( W.S.F.).

[crazy.cat]

Provato ieri, degli exploit nel browser non ne ha preso uno neanche per sbaglio, non avevo a disposizione dei pdf bacati per provarlo.
Poi è la versione di prova di un programma che in futuro dovrebbe essere a pagamento.

[sampei.nihira]

Ebbene Kees1958 ha deciso di disinstallare EMET a favore di ES come è possibile leggere quì.

Anche * secondo me sbaglia di grosso.
Vorrei consigliare eventuali utenti di MLI di non fare questo passo e tenere installato EMET.

[sampei.nihira]

http://www.itsec.it/2012/10/08/common-p ... t-attacks/

Articolo di Marco Giuliani che mette in evidenza la differenza di azione a livello preventivo di EMET ed Exploitshield.
Io l'ho letto ieri ma aspettavo a metterlo all'attenzione per un eventuale replica di Bustamante.
Che c'è stata nel 1° commento (e per ora unico).
Si nota che gli attacchi bloccati da ES a tutt'oggi sono notevoli:

http://www.zerovulnerabilitylabs.com/ho ... elligence/

E' interessante comparare la tabella con la colonna detection AV ed anche con l'applicazione attaccata.
Si noti quanti exploit prendono di mira I.E. (ma anche Firefox ne ho contati 8 se non vado errato).
Altra ennesima riprova della pericolosità di JAVA.

Io devo essere sincero, aspetto la ver che funziona su account standard, e poi ho intenzione di provare ES (ma solo su W.7).
Se non altro per la mitigazione in merito agli exploit JAVA che ricordo ai lettori è un settore dove EMET mi pare che lascia un po' il "campo scoperto".

Non ho ben chiaro un punto e mi accingo ad inserire un commento sul blog di Giuliani.

[sampei.nihira]

Ecco come al solito ho fatto il solito casi**.....e ne ho inseriti 2 (oltretutto a contenuto diverso) !!!

[sampei.nihira]

Fiuuu ne ha cancellato 1...io con la canna sono OK ma con la "penna" sono un casinista.
Anche se Giuliani avrebbe già risposto (ma con risposta a Bustamante) al mio quesito.

[The Walking Dead]

http://www.zerovulnerabilitylabs.com/ho ... elligence/

E' interessante comparare la tabella con la colonna detection AV ed anche con l'applicazione attaccata.
Si noti quanti exploit prendono di mira I.E. (ma anche Firefox ne ho contati 8 se non vado errato).
Altra ennesima riprova della pericolosità di JAVA.

Ti premetto che non ho guardato con attenzione la tabella, credo andrebbero valutati diversi aspetti.
Il primo è se l'exploit è sempre lo stesso, utilizzato però su siti diversi.
Il secondo riguarda la versione dei browser o comunque dei software citati, un exploit per IE potrebbe riguardare IE6 o una versione molto vecchia di Java.

Io devo essere sincero, aspetto la ver che funziona su account standard, e poi ho intenzione di provare ES (ma solo su W.7).
Se non altro per la mitigazione in merito agli exploit JAVA che ricordo ai lettori è un settore dove EMET mi pare che lascia un po' il "campo scoperto".
[/color]

Personalmente a me lascia perplesso, se non ho mal interpretato, l'incompatibilità con software come Sandoboxie.
Dovendo scegliere tra i due trovo quest'ultimo superiore.

[sampei.nihira]

Si nota nella tabella che ci sono casi in cui il sito web può essere sempre lo stesso ma le caratteristiche del dropper mutano anche lievemente,ciò avviene solitamente per impedire agli antivirus una corretta rilevazione.
Quindi nel caso che il sito web sia identico può accadere che il malware sia in condizioni di variante nuova, magari a distanza di ore,con probabilità di attacco dello stesso software bersaglio o rivolge le sue attenzioni a bersagli diversi.
Questo solo il team di ES lo sà con certezza.

Si è possibile che un exploit possa riguardare una versione di sw non aggiornata,ma il principio di funzionamento di ES non muterebbe di efficacia.
Cioè a dire se avviene il blocco dell'exploit (quindi con i limiti descritti da Marco Giuliani) questo avviene anche in caso di exploit che rivolga le sue attenzioni a versioni di sw aggiornati.

Avrai anche notato che la tabella è dinamica.

Si è vero non c'è compatibilità con SandboxIE,questo è il motivo principale per cui ho annullato il mio intendimento di effettuare un test nel mio XP.
Ritengo la protezione offerta da SandboxIE superiore e preferibile a quella offerta da ES sopratutto in un OS senza gli IL quale XP.
Anche se si vocifera che Tzuk potrebbe inserire (come ha fatto spesso) la compatibilità quando ES uscirà dalla fase beta.

Quindi il fatto che oggi non sia compatibile non è detto che lo sia anche domani.

[sampei.nihira]

Interessante comunicazione sia su W. che nel forum dedicato a sandboxIE:

http://www.sandboxie.com/phpbb/viewtopic.php?t=13794

in merito ad una eventuale compatibilità trà lo stesso ed ES per merito dell'utente DR_LaRRY_PEpPeR.

Purtroppo il post è stato ignorato.......
Invece su W. qualcuno ha cercato di sperimentare:

http://www.wilderssecurity.com/showpost ... tcount=275

Ho provato anche io ad aggiungere le regole senza il sw installato e la cosa è possibile.
Ma preferirei aspettare, prima di abilitare eventuali accessi diretti, senza il parere degli sviluppatori.

[sampei.nihira]

Oltretutto anche EMET (che frà parentesi è il mio unico sw presente) ha un accesso diretto nella sezione suddetta.
Quindi l'integrazione proposta da DR_LaRRY_PEpPeR potrebbe "calzare a pennello".
Anche se preferirei,ripeto, che fosse aggiunta dallo sviluppatore stesso.