www.MegaLab.it

[sampei.nihira]

E' precauzionale inserire in lista emet gli exe java presi a bersaglio dai possibili exploit.

http://www.symantec.com/connect/blogs/p ... rabilities

Ovvio sempre secondo me sarebbe necessario per il OS non avere installato JAVA.
E nel caso sia installato perché ci necessita quasi certamente le 3 misure precauzionali elencate sotto sono maggiormente efficiaci dello stesso EMET:

a) aggiornare la versione installata se disponibile una più recente nel più breve tempo possibile.
b) impedire a livello browser l'applet.
c) visualizzare i contenuti java sotto tutela sandbox.

Il motivo è insito nel fatto che exploit java (ma con ver non aggiornate) bypassavano la protezione insita dalla sola emetizzazione.
Come per contro è stato rilevato che alcuni exploit sono stati resi innoqui dalla sola emetizzazione.

[sampei.nihira]

Exploit pdf

Fasi di un exploit pdf.
in questo caso si rende evidente come la scelta di un lettore pdf non soggetto a diffusione elevata come Adobe impedisce a priori l'exploit.
Qualche immagine di esempi di avvisi preventivi ovvio svincolati dal contesto:

Uploaded with ImageShack.us

Le liste di blocco al pari di Antivirus,DNS protettivi.......ecc ecc....intervengono a salvaguardia del sistema.

Uploaded with ImageShack.us

Uploaded with ImageShack.us

La disattivazione del reindirizzamento automatico con i problemi "di noia" che si porta dietro contribuisce ad impedire l'exploit.

Nel secondo requisito la disattivazione della visulizzazione del pdf nel browser impedisce il proseguo dell'exploit.
Non ho ben compreso la disattivazione dei plugins per me inefficace.
intervengono a mitigare/annullare l'exploit anche l'adozione di:

1) EMETizzare il lettore pdf
2) Abbassare l'IL a low nel lettore quando praticabile
3) Uso di sandbox nel trattamento dei pdf

Il terzo requisito mette bene in luce l'azione di un firewall con i controllo delle connesioni in uscita.
Il quarto requisito illustra l'azione di download/installazione dell'exe malevolo (Drive-by Download).

L'uso di SUA-UAC max impedisce un installazione silente per l'azione sinergica del tutto.
Mancanza di ambiente con privilegi aministrativi anche in caso di bypass dello UAC.
La modifica al registro deny elevation of unsigned programs rafforza il tutto intervenendo a priori quando l'exe malevolo non ha firma oppure la firma non è convalidata.
E spesso questa è la situazione dei malwares.
Al di là dell'azione antieseguibile dei sw di terze parti (hips....) sarebbe degna di nota l'azione preventiva del controllo parentale implementata nello stesso sistema.
Invece l'uso del trick 1806 in abbinamento con Chrome sarebbe da verificare se efficace.

Mi preme evidenziare il rafforzamento dell'azione preventiva dell'exploit con:

1) L'uso di Chrome 17 e la sua funzione Download Scanning Protection:

http://imageshack.us/photo/my-images/832/chromelx.jpg/

2) L'eventuale blocco dell'installazione silente con azione a tecnologia cloud di Comodo Program Manager se installato nel sistema (comodo antivirus).
Anche in questo caso con azione rafforzativa degli altri elementi preventivi.

Il tutto per evidenziare che è possibile a vari livelli un ottima prevenzione del sistema.

[nix87]

@sampei
Intanto grazie per i consigli riguardo Java

Intervengono a mitigare/annullare l'exploit anche l'adozione di:

1) EMETizzare il lettore pdf
2) Abbassare l'IL a low nel lettore quando praticabile
3) Uso di sandbox nel trattamento dei pdf

Per quanto riguarda il punto (3) evidenziato: non basta l'IL low a 'sandboxare' in un certo senso l'applicazione ?

[sampei.nihira]

Eh eh eh....
Ti faccio una domanda che ti porterà a ragionare.

Allora tu usi Chrome (IL low) ed apri un pdf in rete.

a) Apri il pdf con un sw esterno a cui hai abbassato l'IL.
b) Apri il pdf con il plugin interno di Chrome.

qual è il metodo che ritieni più sicuro trà (a) e (b) ?

[nix87]

Eh eh eh....
Ti faccio una domanda che ti porterà a ragionare.

Allora tu usi Chrome (IL low) ed apri un pdf in rete.

a) Apri il pdf con un sw esterno a cui hai abbassato l'IL.
b) Apri il pdf con il plugin interno di Chrome.

qual è il metodo che ritieni più sicuro trà (a) e (b) ?

Bah...
perdonami, ma se sia Chrome (plugin pdf) che il lettore esterno hanno l'IL low non dovrebbe essere la stessa cosa ?
In entrambi i casi il 'sandboxing' è dato da IL low.
Poi se in partenza (lasciando perdere la questione dell'IL) è più sicuro il lettore di Chrome o quello del software esterno (ad esempio per un differente numero di vulnerabilità in uno dei due lettori) è un altro discorso...

Se tu vai a sandboxare (con software esterno, ad esempio sandboxie, ecc...) un'applicazione che ha già IL low non vai in un certo modo ad essere 'ripetitivo' ?
Spero di essermi spiegato

[sampei.nihira]

No.
perché IL e user-sandbox (o sandbox) sono 2 cose distinte.
Ad esempio solo "da poco" il plugin flash interno e quindi anche il pdf Viewer girano nella user-sandbox,prima no nonostante in precedenza continuavano a girare in modalità protetta:

Chromium has two modules in separate protection domains: a browser kernel, which interacts with the operating system, and a rendering engine, which runs with restricted privileges in a sandbox.

http://seclab.stanford.edu/websec/chromium/

http://www.wilderssecurity.com/showpost ... ostcount=2

Quindi una sandbox (o una user-sandbox) isola fisicamente un eventuale malware dal resto del sistema.

[nix87]

Allora si potrebbe dire che l'IL low è una 'sandbox parziale', nel senso che limita (ma non blocca del tutto) l'accesso a determinate aree del sistema.
La user-sandbox invece (come già sapevo) isola completamente l'applicazione dal resto del sistema (salvo eventuali bug del software di sandboxing...).

Grazie ancora per la risposta esauriente

[sampei.nihira]

Allora si potrebbe dire che l'IL low è una 'sandbox parziale', nel senso che limita (ma non blocca del tutto) l'accesso a determinate aree del sistema.
La user-sandbox invece (come già sapevo) isola completamente l'applicazione dal resto del sistema (salvo eventuali bug del software di sandboxing...).

Grazie ancora per la risposta esauriente

Ho fatto casino con i link :

http://blog.chromium.org/2010/06/bringi ... oogle.html

quello sopra per il pdf viewer.
Teoricamente un malware capace di agire su un processo ad IL low agirà su altri processi allo stesso livello ma non in quelli di livello superiore.
Ma la possibilità di azione su processi a livelli superiori esula dalle mie competenze.

Magari un domani qualche studente di MLI che intraprenderà un percorso di studi universitario in informatica approfondendo il settore sicurezza forse anche un po' incuriosito dalle "baggianate scritte" da questo pescatore potrà spiegarci nei dettagli questo meccanismo.

[sampei.nihira]

Purtroppo sono 2 gg che non mi muovo da casa causa maltempo.
Anche mia figlia venerdì niente scuola perché nevicava,ed oggi scuole chiuse per ordinanza del sindaco.

Tutto ciò per dire che ho avuto tempo per fare qualcosa.

Oggi ho scoperto che il nuovo pc aveva installato 3 cose inutili.
Addirittura che avevano installato 2 toolbar ed 1 servizio in avvio automatico.
Senza contare l'installazione di adobe flash che è completamente inutile con Chrome.

Ho deciso di prendere provvedimenti.
Anche perché secondo mia figlia lei non è stata.........

Ah....le donne !!
Loro sono sempre...... "la bocca della verità".

Avevo 2 strade percorribili:

a) Cambiare la pass di amministratore senza dire nulla

b) Trick 1806

Ho scelto la seconda soluzione e grazie a questo mi sono accorto di un errore di Kees1958 che alcuni di voi mi hanno
fatto notare tempo fà quando provai io stesso il trick.
Ma siccome a me il tutto funzionava non ho dato peso più di tanto alla cosa.

Ebbene per implementare il trick 1806 occorre modifcare un valore del registro aprendo il regedit da privilegi amministrativi.
Seguendo il percorso dell'immagine sotto per la modifica:

http://www.wilderssecurity.com/attachme ... 1320925887

Ebbene l'errore è il percorso HKEY_CURRENT_USER

voi dovete aprire

HKEY_LOCAL_MACHINE

e poi seguire il percorso indicato nell'immagine.
Si vede che io incosciamente seguivo quello giusto (d'istinto) come faccio spesso quando modifico valori del registro e non ho fatto caso più di tanto all'immagine.

Scrivo ciò per dar modo agli utenti che tempo fà avevano rinunciato a testare il trick 1806 a provarlo,se vorranno.

Ricordo agli sperimentatori che il trick impedisce l'apertura dei sw a cui avete manualmente abbassato l'IL.
Anche se i file gestiti si aprono ugualmente.

[nix87]

@sampei

Io però ho usato il percorso specificato da Kees1958 (cioè HKEY_CURRENT_USER -> ecc...)
anche se ho dovuto creare il valore DWORD 1806 (perché di default non esisteva).

Una cosa però devo precisare: nel caso del trick 1806 ho aperto regedit senza diritti amministrativi.
Il trick funziona a dovere

Ricordo agli sperimentatori che il trick impedisce l'apertura dei sw a cui avete manualmente abbassato l'IL.

In realtà esiste un modo per aprire i sw con IL low ed avendo contemporaneamente attivo il trick 1806

[sampei.nihira]

@sampei

Io però ho usato il percorso specificato da Kees1958 (cioè HKEY_CURRENT_USER -> ecc...)
anche se ho dovuto creare il valore DWORD 1806 (perché di default non esisteva).

Una cosa però devo precisare: nel caso del trick 1806 ho aperto regedit senza diritti amministrativi.
Il trick funziona a dovere

Ricordo agli sperimentatori che il trick impedisce l'apertura dei sw a cui avete manualmente abbassato l'IL.

In realtà esiste un modo per aprire i sw con IL low ed avendo contemporaneamente attivo il trick 1806

Si ricordo vagamente che alcuni di voi,frà cui probabilmente c'eri tu avevano seguito la procedura che dici tu.
Ma fammi capire meglio.
Tu hai creato una nuova chiave di registro da account standard.
Giusto ?
Poi hai inserito il valore modifcato ed il tutto ti funziona OK ?

Ma così facendo un malware che non ha privilegi amministrativi la può modificare ugualmente....o no ?

Uploaded with ImageShack.us

Invece nel mio caso,come si nota nell'immagine sopra,no,

p.s. Per i sw ad IL modificato manualmente.....mi lasci così senza dire nulla ?
Sù,sù....sputa il rospo !!

[nix87]

Tu hai creato una nuova chiave di registro da account standard.
Giusto ?
Poi hai inserito il valore modifcato ed il tutto ti funziona OK ?

Si esatto, ho fatto proprio così...

Ma così facendo un malware che non ha privilegi amministrativi la può modificare ugualmente....o no ?

Effettivamente, ora che me lo fai notare, è vero
Provvederò a seguire la procedura corretta che avevi scritto sopra

p.s. Per i sw ad IL modificato manualmente.....mi lasci così senza dire nulla ?
Sù,sù....sputa il rospo !!

In realtà questo è un trick escogitato da me
Vuoi ad esempio aprire il lettore pdf, a cui hai abbassato l'IL, cliccando sulla relativa icona (che hai sul desktop, oppure su Tutti i programmi, o dove l'hai posizionata tu...)
Da cmd (con privilegi amministrativi) crea un file vuoto con estensione .pdf (chiamalo come vuoi, ad esempio testfile) col seguente comando e salvalo dove più ti fa comodo (ad esempio nella cartella di installazione del lettore pdf):

Codice: Seleziona tutto

fsutil file createnew C:\(Percorso file)\testfile.pdf 0


Ora fai right-click sull'icona da cui apri il lettore pdf e vai su Proprietà.
Cambia il percorso di apertura del lettore pdf puntando al file vuoto precedentemente creato (anzichè all' .exe).
Fatto
Il lettore pdf si aprirà normalmente ma leggerà un file vuoto: in pratica funzionerà regolarmente come prima che gli avessi abbassato l'IL.

Questo trick vale anche su qualsiasi altro programma a cui hai abbassato l'integrity level.

[sampei.nihira]

Grazie e complimenti per il trucco appena ho il pc disponibile ci provo.
Ma dimmi una cosa devi rifare tutta la procedura in caso di aggiornamento versione ?

[nix87]

Ma dimmi una cosa devi rifare tutta la procedura in caso di aggiornamento versione ?

In teoria no, almeno che l'aggiornamento non comporti un reset totale dell'icona da cui lanci l'applicazione e/o della cartella di installazione (dove magari hai salvato il file vuoto).
Al limite potresti creare un collegamento personalizzato (e posizionartelo dove più ti fa comodo) e salvare il file vuoto in una posizione sicura (da dove non può essere inavvertitamente cancellato).

[sampei.nihira]

Con XP il percorso di Kees1958 è giusto,si reperisce la 1806.
Si reperisce inoltre anche nel percorso evidenziato da me.

Mi chiedo se con Vista il percorso di Kees1958 sia corretto ?

Ricordo agli utenti che la modifica del valore del registro con il trick 1806 ha la conseguenza di non poter scaricare con Internet Explorer sia file exe che msi.
Non ho provato con i bat.
Ricordo inoltre che in mancato download dei file eseguibili funziona anche su XP.

[nix87]

Riprendo l'argomento legato alla sicurezza da questo topic.

@sampei
Io attualmente mi trovo benissimo con vlc, anche se dopo aver testato velocemente Umplayer devo dire che non mi dispiace affatto

Per la questione dei bug di vlc sfruttabili da remoto, non potresti impostare il firewall in modo da bloccare l'accesso ad internet di vlc (oppure in modo da chiedere conferma per ogni tentativo di connessione) ?

Per ritornare ad Umplayer, posso dire:
-Ho notato gli avvisi di Secunia, ed al momento non ve ne sono riguardo a questo software
-Lo puoi emet-izzare tranquillamente senza problemi (anche se, confermo, ha l'ASLR disattivo di default)
-Puoi anche abbassargli l'IL senza alcun problema: riproduzione ottimale, opzioni ed impostazioni selezionabili normalmente (almeno questo è quello che ho notato da un mio primo test veloce)

P.S.: Hai provato il mio trick ? Come ti sei trovato ?

[sampei.nihira]

Riprendo l'argomento legato alla sicurezza da questo topic.

@sampei
Io attualmente mi trovo benissimo con vlc, anche se dopo aver testato velocemente Umplayer devo dire che non mi dispiace affatto

Per la questione dei bug di vlc sfruttabili da remoto, non potresti impostare il firewall in modo da bloccare l'accesso ad internet di vlc (oppure in modo da chiedere conferma per ogni tentativo di connessione) ?

Per ritornare ad Umplayer, posso dire:
-Ho notato gli avvisi di Secunia, ed al momento non ve ne sono riguardo a questo software
-Lo puoi emet-izzare tranquillamente senza problemi (anche se, confermo, ha l'ASLR disattivo di default)
-Puoi anche abbassargli l'IL senza alcun problema: riproduzione ottimale, opzioni ed impostazioni selezionabili normalmente (almeno questo è quello che ho notato da un mio primo test veloce)

P.S.: Hai provato il mio trick ? Come ti sei trovato ?

Teoricamente non ci dovrebbero essere questi problemi perché i bugs sono relativi alla gestione di determinati files.
Mi disturba anche la lentezza di sviluppo prioritaria in altri OS.
Oppure lo sviluppo di ver prive dei bugs appunto non in OS Windows.

Si ho provato il trick,è OK.

[sampei.nihira]

Approfitto di un ulteriore topic aperto da Adara, per mettere ancora una volta in risalto, ai lettori che come lei faranno la stessa scelta che il browser Chrome ha per l'aspetto sandbox delle limitazioni correlate all'uso del file system FAT32.

Meglio in questi casi dotare il browser di una sandbox esterna.

[adara]

ciao a tutti,
ho iniziato a leggere questo topic ma arrivata a pag. 12 sono entrata in confusione... sto cercando di potenziare la mia configurazione di sicurezza, per cortesia ho bisogno di qualche consiglio.
Il mio pc è vecchiotto , processore da 1,50 GHz e 504 MB di Ram, equipaggiato con Windows XP e Office 2003, .
Oltre alla suite Avira Internet Security 2012, dopo aver letto parte dei vostri post ho installato:
- Comodo Firewall (con DNS), che mi ha installato anche il browser Dragon
- Malwarebytes
- Emet 2 (ma non so se l'ho configurato bene... )
- Ccleaner
- SUmo
- Sumatra per leggere i pdf
Può funzionare? Avrei delle domande:
- i firewall di Comodo e Avira possono disturbarsi a vicenda?
- devo installare anche una Sanbox?
- per la posta elettronica, ho sempre usato Outlook; posso continuare o è meglio passare ad altro?
- adesso dispongo di 3 browser (oltre ad IE): Chrome, Firefox, Dragon: cosa mi consigliate ?
Mi spiace abbassare il livello della discussione, ma sono la classica utente "base" che ne capisce poco... grazie per la pazienza

[Berga95]

- i firewall di Comodo e Avira possono disturbarsi a vicenda?

Ecco a te
Per il resto passo, visto che c'è gente che ne sa molto di più di me