www.MegaLab.it

[[Claudio]]

Buon Ferragosto anche a @Dead e @Gian e a tutti quelli che stanno seguendo (qualcuno partecipa, altri no) questa "particolare" discussione che, contro qualsiasi previsione, ha superato le .... 5000 visite .... .

[The Walking Dead]

Buon Ferragosto anche a @Dead e @Gian e a tutti quelli che stanno seguendo (qualcuno partecipa, altri no) questa "particolare" discussione che, contro qualsiasi previsione, ha superato le .... 5000 visite .... .

Anche a te Cla naturalmente.

Posto qui quanto già postato su TL
Promozione KAV 1 anno gratis.
http://soft-tricks.com/kaspersky-antivi ... -keys.html

[[Claudio]]

Posto qui quanto già postato su TL
Promozione KAV 1 anno gratis.
http://soft-tricks.com/kaspersky-antivi ... -keys.html

Segnalato, a mia volta, ai "cacciatori di licenze" su HU ..... ormai con gli antivirus io ho chiuso

[The Walking Dead]

Posto qui quanto già postato su TL
Promozione KAV 1 anno gratis.
http://soft-tricks.com/kaspersky-antivi ... -keys.html

Segnalato, a mia volta, ai "cacciatori di licenze" su HU ..... ormai con gli antivirus io ho chiuso

Segnalali anche il sito, in quanto dovrebbe occuparsi proprio di questo (solo offerte).
http://soft-tricks.com/

[sampei.nihira]

@ Claudio

Potresti fare a meno della protezione real time di Malwarebytes.
Anzi proprio del sw stesso.

Per rinunciare a MBAE,anche perché usi diversi sw che sono protetti da questo sw, devi per forza di cose inserire EMET.

[gianpietro]

A [Claudio]

Ricambio gli auguri di un Buon Ferragosto, e a tutti i ragazzi di MegaLab.

[[Claudio]]

@ Claudio
Potresti fare a meno della protezione real time di Malwarebytes.

Ci avevo già pensato ma lo farò solo dopo che avrò chiuso la questione della riduzione IL dei diversi software (ecco perché pensavo di poter poi fare a meno di MBAE) ed essermi assicurato che non ci siano problemi (quindi procedo per gradi; oggi, per esempio, abbasso IL per Word, Excel, PowerPoint e VLC).

Anzi proprio del sw stesso.

Questo no, @sampei: non voglio restare "poco coperto", lo lascio installato e lo utilizzo come scanner on-demand (cosa che già facevo quando avevo Avira).

[[Claudio]]

..... quindi procedo per gradi; oggi, per esempio, abbasso IL per Word, Excel, PowerPoint e VLC

@Sampei .... secondo te è normale? abbassando IL di Word, lancio l'applicazione, confermo l'esecuzione e ....:

[sampei.nihira]

Sampei aveva già scritto:

.........La domanda su quali di questi sw è più complessa.
Ad esempio alcuni non funzionano se provi ad abbassare l'IL per esempio JAVA è uno di questi.
Altri hanno una funzionalità ridotta e quindi occorre verificare se all'utente ciò và bene per le proprie esigenze.
Altri ancora per esempio WMP potrebbero subire l'abbassamento dell'IL ma la procedura per far ciò è più complessa rispetto a quella solita che ad oggi visto che non .............

Se l'ho scritto....ci sarà un motivo ?

[[Claudio]]

Sampei aveva già scritto ..... Se l'ho scritto....ci sarà un motivo ?

Conclusione: la materia deve essere approfondita .... ed io non demordo, a questo punto mi intriga moltissimo questa particolare questione
Non appena avrò novità da segnalare ..... provvedo e ci torneremo
Allo stato attuale delle cose, con tutti gli accorgimenti adottati, anche se utilizzo un account Admin, ritengo di aver raggiunto un ottimo compromesso tra livello di sicurezza e usabilità del computer

E da domani ...... sotto con EMET sul mio HP

[The Walking Dead]

Rag Office già utilizza una sorta di modalità protetta.

Inoltre attenzione perché alcuni programmi potrebbero funzionare con diversi livelli di integrità.
Ovvero un processo potrebbe utilizzare di norma un IL medio, ma utilizzare un IL basso per determinate operazioni.

:)

[[Claudio]]

Rag Office già utilizza una sorta di modalità protetta.

In quale condizione @Dead? perché, per quel che vedo, tutti i processi di Office vengono eseguiti con IL M:



Nel frattempo, ho abbassato il IL di VLC.

[[Claudio]]

Oramai, quando si parla di Google e dei suoi servizi, non ci si deve più sorprendere:

Google ha ammesso candidamente che gli utenti di Gmail non possono aspettarsi che la loro corrispondenza rimanga privata. È tutto scritto in un
documento di 39 pagine compilato in occasione di una class action mossagli contro pratiche di data-mining, ovvero la raccolta di informazioni sui propri utenti a insaputa degli stessi. Il precedente citato da Google a sua difesa è il caso Smith v Maryland del 1979 in cui si afferma che chi manda una missiva a un collega è consapevole che potrà essere aperta e letta anche da un collaboratore del destinatario. Il collaboratore in questo caso sarebbe proprio Gmail che riceve la posta dal mittente, la legge, e poi la gira al destinatario.

Se le cose stanno in questi termini, pronto a dismettere il mio account Gmail.

Fonte: Corriere della Sera.

[The Walking Dead]

Rag Office già utilizza una sorta di modalità protetta.

In quale condizione @Dead? perché, per quel che vedo, tutti i processi di Office vengono eseguiti con IL M:



Nel frattempo, ho abbassato il IL di VLC.

Cla scusa la veloce risposta, in questo momento ho davvero poco tempo.
Premetto, non so se sia il caso di Office.
Però alcune applicazioni come IE, utilizzano un IL basso per tutte quelle operazioni considerate a rischio.
Per alcuni sottoinsieme di situazioni invece utilizzano un IL medio, proprio per venire incontro a tutte quelle operazioni che possano essere necessarie all'utente e che potrebbero non funzionare con IL basso.



Si può abbassare gli IL di un processo, però io sinceramente preferisco di gran lunga quando questo lavoro è stato fatto dal team che sviluppa il software, perché possono fare cose raffinate come queste, oppure gestire le comunicazioni che intercorrono per esempio tra la parte che utilizza Il basso e quella che utilizza IL medio.

Inoltre cosi facendo sono più usabili e non richiedono sforzi supplementari all'utente.

[[Claudio]]

Premetto, non so se sia il caso di Office. Però alcune applicazioni come IE, utilizzano un IL basso per tutte quelle operazioni considerate a rischio.
Per alcuni sottoinsieme di situazioni invece utilizzano un IL medio, proprio per venire incontro a tutte quelle operazioni che possano essere necessarie all'utente e che potrebbero non funzionare con IL basso.

Un attimo @Dead, Internet Explorer ha una sua SB,devo presumere che un suo sottoprocesso venga eseguito come LOW di default (è lo stesso caso di Adobe che avevo proposto qualche post addietro - vedi screen - dove AR viene eseguito con un level M mentre il suo sottoprocesso con un level L, altrimenti che senso avrebbe la SB?):



Se ho capito bene (@Sampei correggimi se sbaglio, perché se sono in errore non ho capito nulla di tutto ciò) qui non si tratta di porre attenzione al livello di IL con cui vanno in esecuzione i sottoprocessi, ma eseguire il processo principale con IL abbassato (che questo possa comportare dei problemi successivi, oppure non sia possibile, è un altro paio di maniche); e sempre se ho capito bene, una volta abbassato IL al processo principale, tutti gli eventuali sottoprocessi dovrebbero presentare un IL basso, e mai un IL medio.

Altra cosa che mi sfugge: premesso che l'abbassamento manuale di IL lo faccio perché utilizzo esclusivamente un Account Admin, se non ho capito male, lo scopo di tutto ciò è fare in maniera che "dati software" vengano eseguiti come verrebbero eseguiti sotto un account SUA; non mi risulta che un un utente SUA (salvo le normali restrizioni imposte dal fatto di essere SUA) abbia problemi di:

....... proprio per venire incontro a tutte quelle operazioni che possano essere necessarie all'utente e che potrebbero non funzionare con IL basso.

Insomma, o ti sei spiegato male tu, o più probabilmente non ci ho capito niente io

[The Walking Dead]

Un attimo @Dead, Internet Explorer ha una sua SB,devo presumere che un suo sottoprocesso venga eseguito come LOW di default (è lo stesso caso di Adobe che avevo proposto qualche post addietro - vedi screen - dove AR viene eseguito con un level M mentre il suo sottoprocesso con un level L, altrimenti che senso avrebbe la SB?):

Si un processo di IE dovrebbe essere eseguito con un livello di integrità basso.

Se ho capito bene (@Sampei correggimi se sbaglio, perché se sono in errore non ho capito nulla di tutto ciò) qui non si tratta di porre attenzione al livello di IL con cui vanno in esecuzione i sottoprocessi, ma eseguire il processo principale con IL abbassato (che questo possa comportare dei problemi successivi, oppure non sia possibile, è un altro paio di maniche); e sempre se ho capito bene, una volta abbassato IL al processo principale, tutti gli eventuali sottoprocessi dovrebbero presentare un IL basso, e mai un IL medio.

Cla, non ho mai materialmente provato, però quello che dovrebbe accadere è che i processi secondari vengano eseguiti con il livello di integrità con cui viene eseguito il processo principale.
Quindi si è giusto se ho capito cosa intendi.

In pratica...
Processo principale eseguito con IL basso.
Sottoprocessi (o processi secondari) eseguito con lo stesso IL basso.
In praticano dovrebbero ereditare il livello di integrità del processo principale.
Il problema di fondo è che se un processo avesse la necessità di scrivere, eseguire operazioni che richiedono IL medio, semplicemente non funzionerebbe.

Altra cosa che mi sfugge: premesso che l'abbassamento manuale di IL lo faccio perché utilizzo esclusivamente un Account Admin, se non ho capito male, lo scopo di tutto ciò è fare in maniera che "dati software" vengano eseguiti come verrebbero eseguiti sotto un account SUA;

Penso di no Cla, diminuire il livello di integrità di un processo non dovrebbe far si che se esegui il software da admin, sia come se lo stessi eseguendo da limitato.
Otterresti il vantaggio che l'applicazioni possa scrivere nel registro solo in AppDataLow e possa scrivere nelle cartelle AppData LocalLow.
Potrebbero esistere altri vantaggi comunque, che non ricordo perché è un argomento che avevo letto diverso tempo fa.

Però come detto (solo la mia opinione) queste sono cose che dovrebbero essere fatte dagli sviluppatore proprio perché per attuarla bisogna capire come funziona il software, quali comunicazioni\ operazioni necessità di eseguire, e quali sono quelle impedite quando si imposta un IL basso, etc.
Possono usare chicche come diversi processi con diversi livelli di integrità, evitando inconvenienti perché fanno gestire al processo di IL medio il compito che richiede un IL medio, mentre possono far gestire un compito ad IL basso quando questo richiede IL basso (esempio perché a rischio).

[[Claudio]]

Cla, non ho mai materialmente provato, però quello che dovrebbe accadere è che i processi secondari vengano eseguiti con il livello di integrità con cui viene eseguito il processo principale.
Quindi si è giusto se ho capito cosa intendi.
In pratica...
Processo principale eseguito con IL basso.
Sottoprocessi (o processi secondari) eseguito con lo stesso IL basso.
In praticano dovrebbero ereditare il livello di integrità del processo principale.

Esattamente quello che intendevo, @Dead, anche perché (ritengo) posta questa condizione non sarebbe logico che un sottoprocesso "scali" il processo principale.

Il problema di fondo è che se un processo avesse la necessità di scrivere, eseguire operazioni che richiedono IL medio, semplicemente non funzionerebbe.

Questa è cosa diversa; infatti @Sampei per primo lo ha fatto presente (certo, sarebbe tutto più semplice se in giro si trovasse un elenco dei software a cui applicare la regola, invece cosi sono un po' in mezzo alla strada).
Comunque, voglio sentire anche il parere di @Sampei.

[sampei.nihira]

Il mio parere è che si dovrebbe abbassare l'IL a 2/3 sw al massimo.
Nel pc di mia figlia (in account SUA) per esempio hanno IL low manual solo sumatrapdf portable e VLC portable.
Gli altri sw diciamo "sensibili" sono inseriti in lista EMET e/o sono multiprotetti da altro (MBAM)...................
Nel caso di Libreoffice visto che il sw non è firmato subisce la protezione indiretta anche dal deny elevation.
L'abbassamento manuale dell' IL mi consente inoltre di inserire nella protezione del deny elevation anche alcuni sw che sarebbero originariamente firmati.
E dopo la modifica non lo sono più,anche questo aspetto per me riveste importanza fondamentale.
Senza contare che l'insieme delle protezioni impedisce l'avvio di questi sw sensibili a meno che non si apra qualche specifico documento abbinato a questi lettori,come avev già scritto.
Non sò se avete capito che questa ultimo fatto per me riveste importanza direi fondamentale,mentre noto che per voi è di importanza mi pare trascurabile.

Quindi come vedi Claudio io considero l'insieme e non le singole componenti.
Occorre vedere il tutto.
Se il tutto è protetto da più barriere concentriche...........

p.s. Si anche io ritengo che l'inserimento di EMET ormai sia non più rimandabile.

[[Claudio]]

l mio parere è che si dovrebbe abbassare l'IL a 2/3 sw al massimo ...... L'abbassamento manuale dell' IL mi consente inoltre di inserire nella protezione del deny elevation anche alcuni sw che sarebbero originariamente firmati.

Ed è questo che non comprendo; cerco di spiegarmi riassumendo:
1) Internet Explorer e WMP sono esclusi perché non li utilizzo, quindi non ho alcun specifico interesse ad intervenire sul IL (in ogni caso, entrambi sono tra i software monitorati da MBAE);
2) Adobe Flash Player e Java (anche quest'ultimo è monitorato da MBAE) non lo ho installati (la ragione è spiegata al punto 1; non uso IE non mi serve installare plugin per IE, peraltro esposti a continue vulnerabilità);
3) Adobe Reader e VLC li ho entrambi con IL in LOW, entrambi sono monitorati da MBAE e il secondo soggetto a ValidateAdminCodeSignatures (1).

Senza contare che l'insieme delle protezioni impedisce l'avvio di questi sw sensibili a meno che non si apra qualche specifico documento abbinato a questi lettori,come avev già scritto.

Tra questi avevo individuato alcune applicazioni di Office (Word, Excel e PowerPoint, le uniche che utilizzo); abbassare IL per tutti e tre e possibile (lo avevo fatto, ma ho incontrato poi quel messaggio di cui avevo postato lo screenshot; anche questi tre software - e solo questi - della suite di Office sono monitorati da MBAE.
Quali altri software dovrei prendere in considerazione tra quelli che utilizzo? Skype? TrueCrypt? TodoBackup? RevoUninstaller? software di deframmentazione e/o manutenzione? non mi sembrano software che rientrano nel contesto "sensibile" da te indicato.

Quindi come vedi Claudio io considero l'insieme e non le singole componenti.

Direi che il mio l'approccio è quello, @Sampei.

p.s. Si anche io ritengo che l'inserimento di EMET ormai sia non più rimandabile.

In questo momento servirebbe solo a "mitigare" la questione; non voglio diventare "paranoico della sicurezza" ma neppure espormi ad un "falso senso di sicurezza (sarebbe la cosa peggiore); prima di tutto voglio capire cosa faccio, non affidarmi esclusivamente ad un software (oltretutto non non imparerei nulla).
Questa è la ragione per cui ho trovato molto interessante la possibilità di intervenire manualmente sull'Integritylevel di alcuni software (sommandola, inoltre, come detto sopra, alla protezione offerta da altri strumenti - questione "protezione con più barriere" a cui ti riferisci).

E' evidente (dopo aver letto il tuo reply) io sia quantomeno confuso: pensavo di aver preso la "strada corretta", ma ora non ne sono più sicuro.

[sampei.nihira]

Buon pomerigio Claudio.
Al di là che nella settimana di ferragosto la mia attenzione è per così dire limitata.......
Non ti posso dire tutti i sw che hai tu a cui vorresti abbassare l'IL perché:

a) io alcuni non li uso perché li ritengo più insicuri da usare rispetto a quelli che uso io.
b) Alcuni sw ritengo siano più al sicuro in lista EMET.
c) alcuni non funzionano.....e se non funzionano non c'è nulla da fare mi pare....è inutile continuare.
d) altri hanno alcune funzionalità limitate....e spesso tale cosa muta al variare delle versioni......

Io non ti posso dire che ritengo indispensabile limitare il più possibile la shell extension:

http://blog.didierstevens.com/2009/03/0 ... gger-trio/


perché magari tu la pensi diversamente.

Ma questo mio modo di ragionare si riversa poi in altri ambiti.
E quindi uso limitare quanto più possibile eventuali aggiunte al menù contestuale che sò di VLC ma anche del sw che gestisce i files zippati.
Che io ritengo indispensabile inseire in lista EMET.

Ci sei ?

Quindi per fare un esempio dell'esempio sopra non ti posso dire che se tu abbassi l'IL del sw che usi per gestire gli zip,sei nelle mie stesse condizioni perché non è così.

E' un pochettino più chiaro cosa intendo per tutto ?

p.s. Noto che hai messo all'attenzione il discorso che avevo fatto io.
Mi scriveresti chiaramente (perché non ho capito ) se tu avvi il tuo VLC a cui hai abbassato manualmente l'IL, se questo si avvia ?
perché se è così.....non sei,come avevo scritto, nelle mie condizioni.