www.MegaLab.it

[The Walking Dead]

C'è da notare che in merito ad EMET gli utenti di W. proprio mi lasciano cadere la braccia.
Si può leggere di tutto e di più.
Chi ha ancora installata la ver 2.1.
Chi ha paura di installare i NET 4 e quindi non usa la ver 4.
Chi usa la ver 3.5 con W.8.
Insomma una serie di errori madornali a cui presumo non c'è rimedio.

Mi pare che in questo campo noi italiani,quei pochi che lo usano, siamo su un'ottima strada.
Almeno abbiamo una mentalità aperta e meno ottusa.

___________________________________________
Altra cosa da rilevare la mancanza di motivazione da parte di tzuk ad impegnarsi a rendere SBIE 4 compatibile con ES.
Per altro supportata anche in questo caso dall'ottusità di alcuni denigratori di ES.

Ho pensato la stessa cosa qualche giorno fa in merito agli utenti Wilders, ed ho visto anche NV condividere questo nostro pensiero altrove.

Alcuni dicono che Net Framework possa aumentare la superficie di attacco, perché una volta aveva un bug.
Altri sono invece infastiditi dall'avere qualche voce in più tra i programmi installati (quelle riguardanti NET).
Ognuno sembra usare una versione diversa (installare la 4 è troppo semplice.)

Su ES ripeto da tempo che se MS includesse in EMET anche l'approccio usato da ExploitShield, saremmo notevolmente avvantaggiati.
Avremmo un unico software, completo, scritto dai tecnici MS, gratuito (senza versioni a pagamento come ES) senza necessità di installare due programmi.

[sampei.nihira]

Vorrei segnalare che sia EMET,con maggiore performance nella ver 4,sia EXPLOITSHIELD rendono inefficace l'exploit a cui è attualmente
soggetto I.E.8:

http://www.cert.org/blogs/certcc/2013/0 ... _emet.html

http://www.zerovulnerabilitylabs.com/ho ... or-attack/

[sampei.nihira]

@ nV25

Ho letto una tua richiesta altrove per la ver di EMET 4:

[sampei.nihira]

Disponibile SBIE 4 [08].
Ancora nessuna compatibilità con ES.

[sampei.nihira]

Ho chiesto privatamente a Windows Security (Kees) perché ha cancellato dalla sua configurazione di sicurezza ES.
Mi ha risposto per nessun particolare problema ha solo sostituito un sw con un altro.

____________________________________________________________

Ho anche chiesto, ma questa volta pubblicamente, se è possibile una collaborazione trà ZVL e Tzuk al fine di rendere SBIE ver. beta compatibile con
ES ver. beta.

[sampei.nihira]

Ho voluto verificare nel pc con W.7 64 bit se l'avvio di VLC inserito in lista EMET tutelato da ES con abbassato in modo manuale l'IL a low avrebbe avuto qualche problema di riproduzione.
Nessun problema:

si puè notare che l'IL è basso ed è presente la DLL di ES.
Così ho fatto qualche test con il browser anche in siti web JAVA tuelati da ES.
Anche in questo caso nessun problema.
Così nessun problema con flash e crome pdf.
Neppure per WMP.

p.s. Solitamente quando cerco di riprodurre problemi altrui disabilito le ROP mitigazioni in EMET per i sw descritti.

[sampei.nihira]

Il bollettino Microsoft di ieri contiene anche un aggiornamento di sicurezza per i NET.
Si leggono molte critiche su W. di utenti che non vogliono installare i NET,quindi EMET che li necessita, perché questi aumenterebbero la superficie di rischio.
Secondo me i benefici di avere EMET installato superano un possibile aumento sfruttabile (occorre poi vedere se praticamente sarà sfruttata) della superficie di attacco.
Si può notare che il livello di criticità nell'avviso di ieri sia oltretutto "less critical":

http://secunia.com/advisories/53350/

[sampei.nihira]

Ancora 11 bugs collezionati da Adobe:

https://secunia.com/advisories/53420/

quasi tutti con esecuzione di codice arbitrario da remoto.
Un bug addirittura con bypass della protezione sandbox.
L'avviso è di oggi meno male già patchato dalla casa.
Ma quanti saranno i bugs ancora ignoti e non ancora messi in luce ?

Il calcolo delle probabilità ci dice sicuramente in numero superiore a quelli evidenziati.

[The Walking Dead]

L'opzione hide nell'area di notifica è buggata in EMET.
Ogni tanto ricompare l'icona.

[sampei.nihira]

Il 28 è vicino inoltra un rapporto al servizio assistenza.

[The Walking Dead]

Il 28 è vicino inoltra un rapporto al servizio assistenza.

Dici di inoltrarlo a Gerardo DiGiacomo ?

Il problema è che non sono in grado di riprodurlo.
Mi capita qualche volta al riavvio della macchina.

[sampei.nihira]

Si, Di Giacomo.
Se ti accade raramente può essere,ma non è detto,che non sia un bug di EMET ma sia legato a qualche interazione con altri software.

Quando accade non riesci a prendere uno screenshot ?
Se si è fatta.

[The Walking Dead]

No, è impossibile.

Puoi fare una prova?
Nascondi l'icona nell'area di notifica, disconetti il pc (anche senza riavviare basta la disconessione), riconetti.

Riprova 3, o 4 volte.
L'icona è presente?

[sampei.nihira]

No, è impossibile.

Puoi fare una prova?
Nascondi l'icona nell'area di notifica, disconetti il pc (anche senza riavviare basta la disconessione), riconetti.

Riprova 3, o 4 volte.
L'icona è presente?

Con XP non posso fare la prova che dici.
E nell'altro pc,in quello sì è possibile, mentre ho installato ES non ho ancora installato EMET 4,aspetto la ver definitiva perché voglio avere "condizioni immacolate" per il test che devo fare per Di Giacomo.

[The Walking Dead]

Ok.
Faccio qualche prova e nel caso segnalo, anche se si tratta di una cosa di poco conto.

[sampei.nihira]

Ok.
Faccio qualche prova e nel caso segnalo, anche se si tratta di una cosa di poco conto.

In effetti si.
Ciao.

[The Walking Dead]

Segnalato a DiGiacomo il problema.

Accidentalmente mi è partita la mail prima che avessi finito di scrivere, comunque il problema era stato esposto, mancavano solo i saluti.

[sampei.nihira]

@ The Walking Dead

Se non ricordo male tu sei un estimatore di Foxit.
Mi rivolgo a te quindi perché sarei tentato a provare Foxit nel mio pc in alternativa a SumatraPDF.
Ma molti dubbi mi frenano.

Il primo è la pesantezza,il mio SumatraPDF installato occupa solo 9,20 MB.
L'altro è lo storico bugs.
Come si nota Sumatrapdf non ha nessun bug nel 2013 mentre Foxit è già a quota 1.
Ma il fatto che mi frena maggiormente è il passato.

Foxit in passato non era granchè.
Per esempio correva l'anno 2010 quando Didier Stevens ha fatto un test:

http://blog.didierstevens.com/2010/03/2 ... -from-pdf/

e mentre Sumatrapdf si comportò bene (lo puoi leggere nei commenti) Foxit......

Quale sarebbe il vantaggio ?
La protezione aggiuntiva di ES.
Ma in rete no perché ogni pdf che apro è sempre e soltanto sotto SBIE (e sai bene che ES non funziona sotto SBIE).
Quindi in definitiva il vantaggio sarebbe quello di usare Foxit per aprire eventuali pdf salvati nell'HD.

La tua missione ?
Cercare di.....convincermi !!




_________________________________________

P.s. Ieri sera ho avuto un intervento di Exploitshield su Chrome.
Certamente per l'installazione della nuova ver di Click & Clean.
Ho fatto uno screen e l'ho messo all'attenzone dello sviluppatore.
Che non l'ha cag... nemmeno di striscio.
Comunque ci può stare.
Se chiudi e riapri il browser l'installazione dirotta il browser sulla pagina di Click & Clean.
E questo "simil-exploit" potrebbe essere stato bloccato per ben 3 volte da ES.
L'avviso che non ho documentato tanto l'avevo già visto,è molto efficiente è praticamente centrale allo schermo.

[The Walking Dead]

Ciao sampei.
Non sono sicuro che cercare di convincerti sia la scelta migliore da parte mia per diversi motivi.
Il primo è che credo che ogni utente possa avere tutta una serie di preferenze riguardo al software, queste possono variare in base alla macchina sulla quale girerà, a seconda dell' utilità di determinate funzionalità accessorie , che possono essere ridondanti o necessarie a seconda dell'uso che verrà fatto dell'applicazione.

Il secondo è che io non ritengo Foxit abbia standard di sicurezza adeguati per esempio a quelli di Adobe.

Posso però indicarti quali sono i miei metri di giudizio riguardo alla scelta di uno specifico software, credo questo possa aiutarti nel comprendere le dinamiche che utilizzo per scegliere un software piuttosto che un altro.

Personalmente non ritengo un metro di giudizio affidabile il quantitativo di spazio su disco utilizzato da un software, o perlomeno questo parametro dovrebbe essere relazionato a diversi fattori, come il numero di funzionalità, il modo in cui è strutturato il software, l'obbiettivo che questo si prefigge.
Mentre Sumatra è un visualizzatore pdf per utenza occasionale, Foxit cerca di andare oltre questo concetto, elevando quindi il suo target verso un utenza più esigente.
Anche aspetti come l'uso di ram dovrebbero essere ben attenzionati.
Facciamo un esempio.
Alcuni antivirus potrebbero risultare meno esigenti di altri in termini di risorse alla semplice visione del Task Manager di Windows, ma potrebbero per esempio utilizzare la memoria del Kernel in misura maggiore "nascondendo" quindi parte della ram utilizzata.
Oppure un applicazione pdf potrebbe aumentare volutamente l'uso dello spazio su disco con l'intento di creare una cache che permetta di precaricare parti del documento.
Ogni applicazione andrebbe capita nella sua complessità, si tratta di un discorso più specifico del semplice guardare il TM, o l'indicatore di spazio su disco.

Lo storico bugs, è sinceramente uno degli aspetti che meno mi interessa nella scelta di un software.
Se prendessimo lo storico bugs come metro di giudizio nella valutazione complessiva di un software, dovremmo concludere che tutte le maggiori aziende informatiche del mondo (Apple per Itunes, MS per Windows, Adobe per Reader, Flash, PhotoShop, Bitorrent per Utorrent etc) abbiano standard di sicurezza qualitativamente inferiori a quelli di altre ben meno conosciute software house.
Ogni applicazione che, nel suo ambito, abbia fatto storia , di norma offre uno storico bugs maggiormente nutrito rispetto alle sue alternative.
Si tratta di un parametro troppo dipendente dalla diffusione dell'applicazione stessa.
Inoltre si rende necessario stabilire il reale sfruttamento di ognuna delle vulnerabilità presenti (più dei 2\3 delle vulnerabilità per Windows patchate da MS non risultano attivamente sfruttate nel mondo reale.)

In definitiva ti consiglio questo:
Usare Sumatra, se cerchi un app leggera, veloce nell'esecuzione , che permetta l'apertura di un maggior formato di documenti.
Foxit se cerchi un applicazione più specifica, ricca di funzionalità, con standard qualitativi più elevati.

PS: Il nuovo Foxit utilizza l'interfaccia Ribbon, dovrai quindi valutare anche questo aspetto.
Il mio parere personale...su macchine che non siano proprio eccessivamente datate sceglierei Foxit.

[sampei.nihira]

In merito allo storico bugs non ho la "lettura" che proponi tu.
Io prendo in considerazione lo storico bugs in merito alla maggiore diffusione.
Cioè a dire se prendiamo ad esempio sempre in considerazione i lettori PDF, quelli più diffusi sono certamente Adobe e Foxit.
Questa loro diffusione da un lato li danneggia molto perché li pone al centro di una maggiore attenzione.
Per un versante i ricercatori di sicurezza li studiano alla ricerca di bugs critici.
Dall'altro versante i soliti furboni,visto che sono maggiormente diffusi,li studiano per reperire bugs sfruttabili da remoto.

Cioè a dire se oggi esiste una pagina web malevola che fà leva su un bug di un software lettore pdf stai pur certo che si rivolge verso Adobe o Foxit.
Proprio perché sono più diffusi e quindi i soliti furboni con le loro malefatte cercano di massimizzare eventuali entroiti.
Può accadere che in questo stesso momento anche Sumatrapdf è esposto ad un bug critico.

Ma nessuno ha creato un pagina web malevola che colpisce questo specifico sw solamente perché è poco diffuso.
invece si presuppone che anche per Sumatrapdf diversi ricercatori ne analizzano il codice alla ricerca di bugs.

Ed ancora più un software è complesso e più presenta una maggiore superficie di attacco.
La complessità si riversa anche in eventuali errori di programmazione che aprono la strada a bugs critici.

Quindi come vedi lo storico bugs + le dimensioni di un sw che solitamente hanno una valenza anche nelle funzioni che tale sw è capace di fare hanno indubbiamente dei risvolti nei confronti della loro sicurezza.