www.MegaLab.it

[The Walking Dead]

Samp, ho aggiustato la tastiera

Ecco cosa gli ho scritto:
Cordiale signor DiGiacomo, siamo un gruppo di utilizzatori di EMET fin dalle versioni precedenti alla 4 e ci riuniamo sul forum italiano di MegaLab, all'indirizzo:
viewtopic.php?f=33&t=67971&start=1560

Come potrà notare nel caso ritenesse opportuno consultare il topic sopra esposto, scriviamo qui le nostre esperienze in merito all'uso del prodotto.

La seguiamo inoltre sul blog Italian Microsoft Security News, per news e anticipazioni su EMET.
Potrebbe toglierci alcune curiosità in merito al prodotto?

1)Cosa ne pensa del fatto che alcune applicazioni possano presentare problematiche nel caso siano attive attenuazioni quali DEP, SEHOP, ASRL?.
Ritiene sia una scarsa attenzione dei produttori di terze parti verso problematiche di sicurezza, oppure le cause vanno ricondotte ad altro?

2)EMET si baserà mai su un approccio simile ad ExploitShield?
http://www.zerovulnerabilitylabs.com/ho ... oitshield/
Cosa ne pensa di questa applicazione e ritiene sia un complemento ideale per EMET?

3) Quali sono i progetti futuri per EMET?
Verranno implementate nuove attenuazioni o nuove funzionalità?

Nel ringraziarla per la sua attenzione le porgo distinti saluti.

[gianpietro]

Ciao sampei.nihira

Per quanto riguarda i NET 4.5. li sto usando con EMET 4 beta e per ora non ho rilevato problemi.

[The Walking Dead]

Di seguito la risposta di DiGiacomo, che ringrazio per disponibilità e cortesia.
Purtroppo non sono stato abbastanza dettagliato nel porre la seconda domanda, avrei dovuto essere più specifico.
Ho linkato a Gerardo il link di Marco Giuliani nel quale si approfondisce il funzionamento tecnico di ExploitShield.
Purtroppo su ES non c'è molta documentazione in materia.


1)Cosa ne pensa del fatto che alcune applicazioni possano presentare problematiche nel caso siano attive attenuazioni quali DEP, SEHOP, ASRL?.
Ritiene sia una scarsa attenzione dei produttori di terze parti verso problematiche di sicurezza, oppure le cause vanno ricondotte ad altro?

Dipende un po’ dalla situazione. In genere i falsi positivi di DEP e ASLR dipendono dal software che si sta proteggendo con EMET. Molti software datati (e purtroppo anche alcuni recenti) non sono concepiti per supportare DEP e quindi generano falsi positivi con EMET. Stessa cosa vale per ASLR. Per SEHOP invece, alcuni falsi positivi dipendono sia da cosa fa il programma protetto sia da un paio di piccole incompatibilita’ con l’implementazione dell’SEHOP di EMET. Mescolando le due cose, si viene a creare un falso positivo. Con la release finale di EMET 4 l’implementazione di SEHOP sara’ notevolmente migliorata e molti falsi positivi spariranno.

2)EMET si baserà mai su un approccio simile ad ExploitShield?
http://www.zerovulnerabilitylabs.com/ho ... oitshield/
Cosa ne pensa di questa applicazione e ritiene sia un complemento ideale per EMET?

Cosa intendi per approccio? Avere una release free e una a pagamento? Sinceramente ora come ora non ci sono piani nell’avere EMET a pagamento, sinceramente non se n’e’ mai parlato internamente. Complemento non saprei, a occhio e croce direi di no. Non riesco a trovare dettagli tecnici su come funziona questo software, quindi non so dire. In genere, raccomandiamo di non utilizzare EMET con altri software che fanno la stessa cosa o quasi. A naso, mi sembra che il principio di fondo e’ lo stesso, quindi suppongo ci possano essere incompatibilita’ tra EMET ed ExploitShield.

3) Quali sono i progetti futuri per EMET?
Verranno implementate nuove attenuazioni o nuove funzionalità?

Chi lo sa? Per adesso stiamo finalizzando la 4. Quando sara’ rilasciata cominceremo a pensare alla nuova versione.

Tra le altre cose scrive.
"Vedo che sei amico (almeno online ) di Sampei, quindi chiedo anche a te la cortesia di darci del tu

E’ bello vedere che c’e’ un gruppo di appassionati in Italia che segue EMET, purtroppo li non e’ molto conosciuto... speriamo che le cose cambino con il passare del tempo."

Inoltre ci tiene a salutare il forum di MegaLab.

[sampei.nihira]

Ciao sampei.nihira

Per quanto riguarda i NET 4.5. li sto usando con EMET 4 beta e per ora non ho rilevato problemi.

Quindi nel tuo OS sono presenti solamente quei NET ?
Se si, mi fai vedere un'immagine ?

Io, lo saprete tutti, nel mio XP non posso fare questo test perché i NET 4.5 si possono installare solo da Vista in poi.
Presumo che lo sappiate tutti.
Quindi sono costretto a fare questo eventuale test nel pc con W.7

[sampei.nihira]

Di seguito la risposta di DiGiacomo, che ringrazio per disponibilità e cortesia.
Purtroppo non sono stato abbastanza dettagliato nel porre la seconda domanda, avrei dovuto essere più specifico.
Ho linkato a Gerardo il link di Marco Giuliani nel quale si approfondisce il funzionamento tecnico di ExploitShield.
Purtroppo su ES non c'è molta documentazione in materia.


1)Cosa ne pensa del fatto che alcune applicazioni possano presentare problematiche nel caso siano attive attenuazioni quali DEP, SEHOP, ASRL?.
Ritiene sia una scarsa attenzione dei produttori di terze parti verso problematiche di sicurezza, oppure le cause vanno ricondotte ad altro?

Dipende un po’ dalla situazione. In genere i falsi positivi di DEP e ASLR dipendono dal software che si sta proteggendo con EMET. Molti software datati (e purtroppo anche alcuni recenti) non sono concepiti per supportare DEP e quindi generano falsi positivi con EMET. Stessa cosa vale per ASLR. Per SEHOP invece, alcuni falsi positivi dipendono sia da cosa fa il programma protetto sia da un paio di piccole incompatibilita’ con l’implementazione dell’SEHOP di EMET. Mescolando le due cose, si viene a creare un falso positivo. Con la release finale di EMET 4 l’implementazione di SEHOP sara’ notevolmente migliorata e molti falsi positivi spariranno.

2)EMET si baserà mai su un approccio simile ad ExploitShield?
http://www.zerovulnerabilitylabs.com/ho ... oitshield/
Cosa ne pensa di questa applicazione e ritiene sia un complemento ideale per EMET?

Cosa intendi per approccio? Avere una release free e una a pagamento? Sinceramente ora come ora non ci sono piani nell’avere EMET a pagamento, sinceramente non se n’e’ mai parlato internamente. Complemento non saprei, a occhio e croce direi di no. Non riesco a trovare dettagli tecnici su come funziona questo software, quindi non so dire. In genere, raccomandiamo di non utilizzare EMET con altri software che fanno la stessa cosa o quasi. A naso, mi sembra che il principio di fondo e’ lo stesso, quindi suppongo ci possano essere incompatibilita’ tra EMET ed ExploitShield.

3) Quali sono i progetti futuri per EMET?
Verranno implementate nuove attenuazioni o nuove funzionalità?

Chi lo sa? Per adesso stiamo finalizzando la 4. Quando sara’ rilasciata cominceremo a pensare alla nuova versione.

Tra le altre cose scrive.
"Vedo che sei amico (almeno online ) di Sampei, quindi chiedo anche a te la cortesia di darci del tu

E’ bello vedere che c’e’ un gruppo di appassionati in Italia che segue EMET, purtroppo li non e’ molto conosciuto... speriamo che le cose cambino con il passare del tempo."

Inoltre ci tiene a salutare il forum di MegaLab.

Nooooooo !!!
Dead "il del tu" anche a te ?
Eh no, questo proprio no !!

Ovviamente stò scherzando.

Io credo che chi utilizza EMET dovrebbe passare prima possibile alla versione 4.
Anche se ciò significa installare le NET 4 se non presenti nel sistema.
Probabilmente questo in futuro segnerà la fine del supporto ad XP con il passaggio alle NET 4.5.

Con EMET 4 installato nel sistema, io consiglierei agli utenti anche l'installazione di ExploitShield.
Verificando prima eventuali sw che danno problemi di incompatibilità con quest'ultimo sw.
C'è una lista apposita chi è interessato e non la reperisce posso linkargliela io.

__________________________________________________________________

Io nel frattempo ho ancora ricevuto una serie di ulteriori ringraziamenti da Gerardo di Giacomo
per quanto gli ho inviato (in aggiunta) che a suo dire potrebbe risultare molto ultile.
Infine saluti di rito.......a risentirci a presto ecc ecc....

[gianpietro]

Ciao sampei.nihira

Vedi qui:









Non sono molto pratico con l'inserimento delle immagini spero ti siano utili.

[sampei.nihira]

Giampietro intendevo le voci dei NET presenti in "Installazione applicazioni".
Puoi eliminare (se lo puoi fare ovviamente) quelle immagini sopra.
Se inserisci un immagine gentilmente puoi usare quello sotto:

http://www.imagebanana.com/

Ho sempre avuto qualche problemino di zoom con quello che usi tu.

[gianpietro]

Ciao sampei.nihira

Scusa il ritardo ma i miei vicini di casa mi hanno chiesto un aiuto per un problema idraulico.

Le ho trovate in Wintools.net, è la sesta voce a scendere.

Vedi qui:



Ho cercato in "installazione applicazioni" Visualizza aggiornamenti installati ma non risultano presenti le voci NET.

Vedi qui:



EMET è stato installato il 19/04/2013 12:32

Spero che le informazioni ti siano utili.

[sampei.nihira]

Programmi.
Non aggiornamenti installati.
E dovresti reperire sicuramente 2 voci relative NET 4.5.

Ma a me interessa conoscere se hai anche i NET 4.

Stacco frà 7 minuti nel caso a domani.

[sampei.nihira]

Ho verificato io.
L'installazione dei soli NET 4.5 comporta solo 2 voci, come avevo supposto sopra, in programmi e funzionalità.
Con il NET 4 il pc aveva 4 voci.
Prima della sostituzione ho provveduto alla disinstallazione dei NET 4.
In questo modo ho la possibilità di verificare EMET 4 nel mio XP con i NET 4 e nel pc con 7 con i NET 4.5.

Presumibilmente in 3/4 settimane,disposizione del pc con 7 permettendo,che sapete tutti è a me abbastanza precluso per test vari , sarò in grado di inviare un rapporto come mi è stato richiesto da Gerardo Di Giacomo.

[sampei.nihira]

Mi è stato fatto notare da un amico/collega che il mio invito sopra ad installare EMET 4 + Exploitshield è altamente criptico.
Me ne scuso.
Io parto dal presupposto che alcuni fatti che mi interessano siano conosciuti da tutti,così ovviamente non è.
Quindi una spiegazione è d'obbligo.

Recentemente è stata portata alla luce una vulnerabilità 0-day che interessa I.E. ver 8.
Praticamente colpisce gli utenti che usano XP.
Altre versioni di I.E. non sarebbero affette.
Secondo me la migliore soluzione per proteggere il proprio OS sarebbe quella di installare EMET 4 ed inserire in lista ovviamente
anche I.E.8.
L'ulteriore abbinamento di ExploitShield avrebbe in questo panorama azione rafforzativa.
Ecco quindi motivato il mio consiglio.

Per gli utenti che usano I.E.8, ma non gradiscono le mie soluzioni, possono fare riferimento:

https://blogs.technet.com/b/gerardo_dig ... ected=true

Perdonatemi ancora.

[gianpietro]

Ciao sampei.nihira

Era questa l'immagine?



Non sono presenti voci riguardo i NET 4.5, è molto probabile che siano stati rimossi quando ho effettuato una pulizia con Wintools.net, mi ricordo che aveva eliminato diverse voci riguardo NET 4.5.

Per quanto riguarda i NET 4, non li ho installati, al momento della richiesta di EMET, mi sono collegato alla pagina di download di Microsoft, ho visto che
erano disponibili i NET 4.5, ho pensato forse erroneamente che fosse l'ultima versione più recente è li ho installati.

[sampei.nihira]

Mi pare una situazione assurda !!!
Non hai i NET 4 e nemmeno i 4.5 in lista.
Come può funzionare EMET 4 che necessita dei NET almeno i 4 ?

Le pulizie come le chiami tu sono sempre deleterie.
Cestina quel sw.
E ripristina un immagine.....reinstalla i NET....insomma corri ai ripari.

[gianpietro]

Ciao sampei.nihira

Ho disinstallato .NET 4.5 col il suo tool, ho eseguito Windows Update, a installato .NET 4 e 9 aggiornamenti di sicurezza, erano presenti 2 voci in Programmi,
ho imputato erroneamente a Wintools.net la cancellazione delle voci, invece è stato CCleaner nell'eseguire una verifica del Registro a trovato 9 voci, eliminate sono scomparse anche le 2 in Programmi.

Ho eseguito una verifica dal Prompt di DOS

Vedi qui:




Per chi volesse verificare le versioni installate di .NET, basta eseguire un semplice comando dal Promp di DOS.

Fare clic sul pulsante Start, nella casella di ricerca digitiamo cmd e premiamo il tasto Invio.

Sistema a 32 bit:

dir /ad /b %systemroot%\Microsoft.NET\Framework \ findstr v

e premere Invio


Sistema a 64 bit:

dir /ad /b %systemroot%\Microsoft.NET\Framework64 \ findstr v

e premere Invio

ATTENZIONE !!!
Il comando a 64 bit, sui sistemi a 32 bit questo comando non funziona, compare il messaggio di errore File non trovato

[Giampy]

Una curiosità.

A volte disattivo l'antivirus perché compromette la riuscita di una certa operazione (la copia di files in automatico con Xcopy). Sulla base di questo, lo disattivo anche altre volte perché temo che possa compromettere anche altre operazioni.
Parlo ovviamente di operazioni interne al computer (p.es. copie di files in automatico, copie del registro, ottimizzazione del registro, creazione di un punto di ripristino ecc...).

Sono curioso di sapere se anche voi a volte disattivate l'antivirus (o altro).

[The Walking Dead]

Personalmente non disattivo quasi mai l'antivirus.
Tranne in alcuni casi dove espressamente richiesto, o dove materialmente sta arrecando qualche inconveniente.

[sampei.nihira]

Non sò se lo avete letto,come aveva preannunciato Di Giacomo,la ver stabile di EMET 4 uscirà il 28 Maggio.

Nel frattempo è disponibile una nuova ver di SUMo che corregge anche il bug segnalato da me.
Kyle_Katarn mi ha spedito una e-mail a dir poco chilometrica.
Segnalo quindi, agli utenti di questo sw, che adesso è possibile inserire in lista anche IObitUnistaller ver. portable.

[The Walking Dead]

Non sò se lo avete letto,come aveva preannunciato Di Giacomo,la ver stabile di EMET 4 uscirà il 28 Maggio.

Io sono soddisfatto cosi, nel senso che questa beta è talmente stabile, priva di bug etc, che non attendo con ansia la versione finale.
Ho atteso con più ansia la beta.

Samp, ti trovi bene con IObitUnistaller?
Personalmente non amo questi tipi di software.

[sampei.nihira]

Io invece non vedo l'ora di avere disponibile la ver finale.
Anzi sono abbastanza indeciso se attendere la stabile per testare un confronto trà i NET 4/4.5.
Che sono sicuro non darà alcun risultato imprevisto.
Quasi certamente farò così.

Mi disturba molto nel mio XP terminare ogni volta che spengo il pc il processo EMET manualmente.
Ed anche avere 3 sw beta installati,meglio scendere a 2.
_________________________________

Si mi trovo molto bene con la ver portable.
Ecco perché ho inviato il report per SUMo a Kyle.
Posso disinstallare ES,se voglio disinstallarlo,senza rimuovere manualmente la voce di registro consigliata.
Oppure disinstallare qualche NET framework sempre velocemente per verificare qualche mia idea.
Ed anche ovviamente disinstallare qualche sw (anche se non faccio solitamente questo tipo di operazioni) con la sicurezza come per le operazioni precedentemente elencate che la pulizia del registro avvenga nel modo giusto.

[sampei.nihira]

C'è da notare che in merito ad EMET gli utenti di W. proprio mi lasciano cadere la braccia.
Si può leggere di tutto e di più.
Chi ha ancora installata la ver 2.1.
Chi ha paura di installare i NET 4 e quindi non usa la ver 4.
Chi usa la ver 3.5 con W.8.
Insomma una serie di errori madornali a cui presumo non c'è rimedio.

Mi pare che in questo campo noi italiani,quei pochi che lo usano, siamo su un'ottima strada.
Almeno abbiamo una mentalità aperta e meno ottusa.

___________________________________________
Altra cosa da rilevare la mancanza di motivazione da parte di tzuk ad impegnarsi a rendere SBIE 4 compatibile con ES.
Per altro supportata anche in questo caso dall'ottusità di alcuni denigratori di ES.