www.MegaLab.it

[farbix89]

sampei le sigle più strane ai più puoi evidenziarle e linkarle alla documentazione appropriata, così chi è interessato approfondisce :)

un esempio pratico: non si è mai visto un professore che spiega la lezione senza dire cosa sta spiegando e senza dare risposte alle curiosità dei propri allievi :D

altrimenti fa la figura di quello che se la canta e se la suona da solo, e in pochissimi lo seguono (ne ho visti di professori così :D)

come dicevo in qualche topic: a volte ci vuole un background di conoscenze,altrimenti molti non possono seguire le indicazioni anche se interessati ;)

[sampei.nihira]

OK se mi verrà (a quasi 50 anni le "brutte" abitudini sono dure a morire) farò così.
Sono solo 2 sigle (la terza è evidente che si tratta di mancanza di conoscenza) per altro di significato comune/generale/banale/.........

All'estero quando e se le uso nessuno si lamenta,evidentemente in questo Paese......

Comunque i lettori possono anche chiedere,perfino in MP,io compatibilmente con i vari impegni,rispondo volentieri sempre a tutti.

[farbix89]

All'estero quando e se le uso nessuno si lamenta

Credimi anche all'estero possono risultare incomprensibili ai più

Per la cronaca: io ho seguito tutto il discorso tranquillamente

[devicepenguin]

Io ho cercato solo di scherzare un poco (ultimamente mi pare che non lo si può fare più da nessuna parte .. ) e scherzando scherzando ho 'detto' al gentilissimo sampei se poteva essere più esplicito quando posta ( spesso sam usa sigle )

Personalmente io ho quasi capito tutto di quello che stava dicendo (tranne cosa è SBIE ) ,ma per un nuovo utente che viene a leggere ,capirete che veramente si trova in difficoltà a leggere il commento in questione di sam.

Adesso mi dispiace un poco,leggere certi commenti che si sono susseguiti.
Va bene... vuole dire che starò attento io in futuro a scrivere e a scherzare.

[sampei.nihira]

Ehi Dev sai una cosa che hai scritto nell'intervento sopra che ho apprezzato tantissimo ?

Quando hai scritto:

sam



p.s. Non lo fare per nessunissima ragione (quello di evitare di scherzare)

[sampei.nihira]

Nell'immagine sopra un sito web che mal si visualizza con Chrome in mancanza di Referer.

[devicepenguin]

Grazie per .. ;

[LuciferSam]

Ora come ora, la mia configurazione di sicurezza è abbastanza semplice.
Modem/Router che fa anche da firewall, e poi i vari PC che hanno il loro personal firewall/netfilter che fa da strato di sicurezza ulteriore.

Anche se mi piacerebbe buttare via il netgear e passare ad una cosa più seria della serie:

- Alyx con distribuzione Linux/bsd minimale che faccia da firewall/router
- Modem ADSL
- Switch/AP wireless per collegare i diversi dispositivi
- Personal firewall/iptables per i PC (3)

[sampei.nihira]

Ho visto il tuo commento sull'articolo, aspetto anch'io la risposta di Marco Giuliani.

Scusami nella fretta ho scritto il tuo nick name con un errore ortografico......
Speriamo che risponde per esempio la mia domanda nell'articolo dei browser è stata inevasa (non credo perché troppo difficile).

Has magari adesso che gli hanno fatto pubblicità su W.S.F. forse mi risponde.
perché ovvio presterà maggiore attenzione ad eventuali nuovi commenti.

[The Walking Dead]

Scrivo qui perché vedo diversi utilizzatori di EMET.
C'è un aspetto che credo andrebbe approfondito.
Microsoft permette di importare una lista di software comunemente usati in Emet.
Per esempio la lista comprende Adobe Reader 10.
La domanda che mi pongo è...che accade nel momento in cui esce una nuova versione?
Dobbiamo sottoporre ad Emet il nuovo eseguibile? (Adobe Reader 11).

Se si questa funzionalità mi apparirebbe piuttosto limitata (in pratica la lista avrebbe una scadenza e dovremmo aggiornarla manualmente, eliminando il vecchio eseguibile ed aggiungendo il nuovo ad ogni cambio versione, o anche di fronte ad una installazione personalizzata nel caso per esempio cambiassimo la cartella di installazione).

[sampei.nihira]

Salve Dead.
A me personalmente non piace importare liste predefinite altrui in EMET.
Meglio creare una lista noi stessi.
Anche perché i sw da EMETizzare sono relativamente pochi.
A lista creata ogni aggiornamento di versione non necessita di modifica nell'eseguibile EMETizzato.
Puoi verificare tu stesso nella GUI alla voce "runnig EMET" se il sw aggiornato presenta il segno di spunta verde.

Questa verifica la puoi fare, anche nel caso di un cambio destinazione,che francamente non è una di quelle opzioni che ho verificato.

_______________________________________________________________

Entro poco dovrebbe uscire la nuova ver,sempre beta presumo,di ExploitShield.
Lo sviluppatore ha dichiarato che la nuova ver funzionerà in un account standard.
I miglioramenti interessano anche il reparto JAVA che ricordo è un punto debole in EMET.

Queste nuove caratteristiche dal mio punto di vista più interessanti mi consentiranno un test del sw.

Anche se presumo che l'integrazione con SandboxIE sarà ancora assente.

p.s. perché usi Adobe Reader ?

[The Walking Dead]

Salve Dead.
A me personalmente non piace importare liste predefinite altrui in EMET.
Meglio creare una lista noi stessi.
Anche perché i sw da EMETizzare sono relativamente pochi.
A lista creata ogni aggiornamento di versione non necessita di modifica nell'eseguibile EMETizzato.
Puoi verificare tu stesso nella GUI alla voce "runnig EMET" se il sw aggiornato presenta il segno di spunta verde.

Questa verifica la puoi fare, anche nel caso di un cambio destinazione,che francamente non è una di quelle opzioni che ho verificato.

_______________________________________________________________

Entro poco dovrebbe uscire la nuova ver,sempre beta presumo,di ExploitShield.
Lo sviluppatore ha dichiarato che la nuova ver funzionerà in un account standard.
I miglioramenti interessano anche il reparto JAVA che ricordo è un punto debole in EMET.

Queste nuove caratteristiche dal mio punto di vista più interessanti mi consentiranno un test del sw.

Anche se presumo che l'integrazione con SandboxIE sarà ancora assente.

p.s. perché usi Adobe Reader ?

Ciao sampei.
Scrivo un post veloce avendo pochissimo tempo, più tardi integro con alcuni aspetti.
Quando mi riferivo alla possibilità di importare liste, intendevo quella predefinita di Microsoft. che trovi in C:\Program Files (x86)\EMET (Tech Preview)\Deployment\Protection Profiles,
In questo percorso esistono diversi profili (All, Office ecc) che il software mette a disposizione per l'utilizzo.
Ciò che ho trovato strano, è che importando questo file sono presenti diverse versioni di Adobe Reader (per esempio).
Quindi c'è Adobe Reader 9 con la sua voce e le sue mitigazioni, Adobe Reader 10 con la sua voce e le sue mitigazioni.
Ciò che a questo punto mi chiedo è se per Adobe Reader 11 (sempre per esempio) dobbiamo aggiungerlo e creare una voce apposita, perché quelli già esistenti sono validi per le versioni precedenti.
Altrimenti perché MS creerebbe due diverse voci per due diverse versioni?

Più tardi aggiungo altre considerazioni.
Ciao.

[sampei.nihira]

Ciao Dead.
Ah non avevo afferrato.
Ora sei stato certamente più chiaro.
Anche se devo attendere obbligatoriamente le tue successive considerazioni.

Anche in giro per il web si trovano liste simili.
Ad esempio quella di HungryMan (all) se non ricordo male consta di ben 29 pagine.

La mia lista comprende OpenOffice che ho aggiornato qualche volta senza modificare nessun eseguibile.

[The Walking Dead]

Ciao sampei.
C'erano diversi spunti di riflessione interessanti nel tuo post che secondo me potevano essere discussi, ma che per mancanza di tempo ho dovuto escludere dal mio precedente post.

Come ti dicevo Microsoft crea una voce per ogni versione, non solo per Reader, ma anche per esempio per quanto riguarda Photoshop.
Se bastasse inserire l'eseguibile di Photoshop e poi non c'è più necessità di fare altro, come io ho fino ad ora sempre creduto, proprio non riesco a spiegarmi perché MS utilizzi invece due voci, una per ogni versione.
Tu cosa ne pensi?

Solitamente non amo anche io liste precaricate, sopratutto sarei curioso di sapere se all'aumentare dei software Emetizzati aumenti anche il consumo di ram di Emet (che deve gestire più software).
Anche qui che ne pensi?

Su ExploitShield concordo che le nuove migliorie apportino un vantaggio interessante per l'utenza, ciò che non mi piace di questo software è il principio utilizzato per mitigare i rischi di sicurezza, in quanto mi appare un semplice espediente facilmente bypassabile.
Però può essere preso in considerazione dopotutto.

Su Adobe si al momento utilizzo Reader dopo averne provati diversi negli anni.
Personalmente non reputo Reader un pessimo lettore pdf sotto il profilo della sicurezza, anche se mi rendo conto non sia un idea granché condivisa.
Questo software integra diverse funzionalità per la sicurezza assenti nei concorrenti, come per esempio la modalità protetta e la funzionalità di protezione avanzata.
Ci sono stati diversi cambiamenti da parte di Adobe per quanto riguarda gli standard di sicurezza negli ultimi tempi, in particolare sembrano aver seguito un approccio molto simile al modello Microsoft recente.
Nonostante sia il lettore pdf maggiormente sotto attacco, gran parte di questi riguardano versioni obsolete non aggiornate.
Molti degli attacchi perpretati a danno di Reader non riguardano le versioni recenti.
C'é anche da dire che è l'unico lettore in grado di leggere ogni file, firmare elettronicamente il documento.
Per quanto riguarda la pesantezza, aspetto da molti sostenuto, questo è principalmente dovuto alla necessità di Reader di dover garantire la compatibilità con il vastissimo numero di pdf prodotti ogni giorno.
Però come ti dicevo si tratta solo di mie considerazione personali.

[sampei.nihira]

In merito alla prima risposta dico che i profili predefiniti sono generalisti.
E probabilmente hanno lo scopo di semplificare il lavoro agli utenti che non sono in grado di inserire a mano i vari sw da EMETizzare.
Il programmatore non sà però quale versione di Adobe (faccio solo 1 esempio) è installato nell'ipotetico PC dell'utente che userà il profilo.
Ti faccio un altro esempio, io con XP, ho un percorso dei sw installati diverso da quello che hai tu.
Anche questo parametro è da tenere di conto.
Meglio quindi sempre aggiungere i sw da EMEtizzare manualmente.
perché c'è anche l'incognita che l'ipotetico utente usa un profilo predefinito ma magari installa un sw in un percorso diverso da quello solito.
Ed ancora in caso di aggiornamento di un sw è lo stesso che modifica il tutto.
Cioè a dire l'exe principale ed ogni altra parte del sw.

In merito alla seconda questione non ho mai considerato il fatto.
Basta verificare con P.E.

In merito ad ES Marco Giuliani ha dimostrato un potenziale bypass.
Anche per EMET 3.5 TP è stato dimostrato un bypass.
E così potrebbe essere fatto per innumerevoli altri sw,anche antivirus famosi.
Se non si verifica in pratica il bypass,e la lista di exploit bloccati da ES la dice lunga in tal senso, però il sw offrirebbe una protezione superiore a quella del solo EMET se consideriamo un loro abbinamento.
Resta però da verificare la superficie di attacco.
E a tal proposito avevo posto una domanda in merito proprio a Giuliani sollecitato da un articolo messo alla mia attenzione su MLI da Has.
Questi mi aveva risposto in precedenza che la superficie di attacco rimaneva immutata da un installazione concomitante di EMET + ES.
Mentre il redattore dell'articolo sosteneva il contrario.
Quindi nel caso che avesse ragione quest'ultimo un eventuale abbinamento dei sw sarebbe oltremodo dannoso e da evitare.

E' questa l'incognita che mi attanaglia !!!
Se ti vuoi documentare in merito puoi leggere il blog di Giuliani troverai ciò che ti ho scritto velocemente quì.

In merito ad Adobe, io in un OS recente,preferisco Sumatra.
Per una serie di cose non ultima la modifica manuale degli IL (fino a low).
Ho verificato con il tool di Minasi che il livello untrusted rende il sw inutilizzabile.
Ed anche quì avevo posto una domanda purtroppo inevasa.....

p.s. Mi riesce difficile scrivere troppo come ho fatto adesso.

[The Walking Dead]

Grazie per il contributo. :)
Alcuni di questi aspetti meriterebbero lunghe riflessioni come dicevi, e spesso un post non basterebbe per approfondirli.

Per quanto riguarda Emet credo che farò cosi...eliminerò la lista preconfiguarata, successivamente aggiungerò uno ad uno i software installati (se ne possono aggiungere anche più di uno contemporaneamente selezionandoli , basta che siano nella stessa cartella, per esempio si può fare cosi con i molti eseguibili di Open Office).
Quando esce una nuova versione procedo all'aggiornamento e poi verifico tramite Emet se questo risulta Emetizzato, in caso contrario aggiungo a mano il nuovo eseguibile.

Ho seguito la discussione sul blog di Marco Giuliani, anche se adesso non ricordo ogni aspetto.
Secondo me la differenza sostanziale tra EMET ed ExploitShield risiede nel fatto che il bypass di quest'ultimo è dovuto ad una carenza strutturale, ovvero nel modo con il quale è stato concepito il software.
Sono comunque d'accordo che usando insieme i due software si otterrebbe un maggior beneficio.
Io credo che, nonostante trovi molto utile questi tipi di approcci basati su tecniche mitiganti, rinuncerò ad ExploitShield, ma potrei cambiare idea dopo una prova su strada.

Attualmente la mia configurazione di sicurezza è cosi composta:
-Avast (seppur per me abbia diversi limiti, ho comunque deciso di tenerlo installato).
-Sandboxie
-Emet
-Malwarebytes, Hitman pro, ogni tanto uso VirusTotalUploader.

E non vorrei aumentare troppo questa lista.

[sampei.nihira]

La nuova ver di E.S. inizia con un errore.
Su Wilders anche lordraiden lo fà notare,e mi precede, in un OS diverso dal mio.
Anche se apparentemente chiudendo ogni pop-up l'installazione procederebbe ugualmente.

[sampei.nihira]

Su W.risposta "cappellata".
Io c'è l'ho installato altrimenti non lo mettevo in rilevo.
Ma non glielo dico perché altrimenti gli potrei danneggiare il sonno.
Lo sò come vanno queste cose....magari fà le ore piccole (non volute) per testare......

La mia "ora d'aria" è finita,a domani ragazzuoli.

[sampei.nihira]

Buon pomeriggio.
Oggi ho avuto un po' da fare e mi limito a prendere atto di alcuni fatti in merito ad ES nuova ver 0.8.1.
Che sostituisce la precedente perché afflitta da un piccolo bug (almeno è quello che dichiara il team di sviluppo).
Anche questa nuova ver presenta a video l'errore riportato ieri.
Ed anche un susseguirsi di "stranezze" non ultima quella che ad exploit bloccato i files in quarantena hanno dimensione 0 KB.

Francamente ritengo che il team deve lavorare ancora molto a questo sw.

Quindi un test serio del prodotto necessita obbligatoriamente di una ver successiva di ExploitShield.

[The Walking Dead]

Buon pomeriggio.
Oggi ho avuto un po' da fare e mi limito a prendere atto di alcuni fatti in merito ad ES nuova ver 0.8.1.
Che sostituisce la precedente perché afflitta da un piccolo bug (almeno è quello che dichiara il team di sviluppo).
Anche questa nuova ver presenta a video l'errore riportato ieri.
Ed anche un susseguirsi di "stranezze" non ultima quella che ad exploit bloccato i files in quarantena hanno dimensione 0 KB.

Francamente ritengo che il team deve lavorare ancora molto a questo sw.

Quindi un test serio del prodotto necessita obbligatoriamente di una ver successiva di ExploitShield.

Sampei è uscito il nuovo Panda cloud con protezione anti-exploit.
Potrebbe essere qualcosa tipo Emet, ES?