www.MegaLab.it

[nix87]

Volevo informare coloro che intendano impostare il blocco ACL:
tale modifica è consentita solo per le versioni di Windows (7 e credo anche Vista) superiori alla Home Premium.

[nix87]

Volevo informare coloro che intendano impostare il blocco ACL:
tale modifica è consentita solo per le versioni di Windows (7 e credo anche Vista) superiori alla Home Premium.

Mi sono limitato ad attivare l'ACL per la cartella di download di Chrome, non seguendo rigorosamente il metodo proposto da Kees:
mi sono cioè limitato a negare l'esecuzione nella cartella solo per il mio account utente (e non HomeUsers come invece fatto da Kees).

[sampei.nihira]

In questo momento mi interessa la prevenzione dai drive by download.
Che schematicamente è possibile ricondurre a 3 grandi gruppi.
Il 1° che è quello più pericoloso sfrutta bugs del browser,plugin (Java....),sw che con tale componente interagiscono (sw per l'apertura di documenti.....) e si verifica senza interazione con l'utente.
Il 2° e 3° sfruttano l'interazione con l'utente (inganno) e quindi fanno leva sulla loro curiosità o la mancanza di un "qualcosa" nel sistema che potrebbe risultare nocivo per lo stesso.
Al di là delle solite considerazioni di prevenzione scritte e riscritte stò rivalutando l'importanza del web-filtering.
E quindi il suo potenziamento.

Ecco la mia lista attuale:

1) DNS protettivi.
2) Blocco phishing e malware interno al browser.
2a) Download scanning protection (Chrome).
3) WOT
4) Traffic Light Bitdefender
5) AdblockPlus
6) Siteadvisor McAfee
7) Blocksi

Gli interventi seguono una attivazione temporale che và dal più veloce (se naturalmente presente) e cioè il blocco interno del browser a quello più lento.
Che possiamo riassumere nella sequenza sotto citata:

Browser-DNS-WOT-TrafficLight/Blocksi-Siteadvisor (redirect alla pagina di allerta).

Con le impostazioni usate,compreso Ghostery che non entra in gioco,non si avverte una diminuzione di reattività della navigazione.

Sarebbe intereressante se gli utenti si domandassero qual è il sistema più efficiente di prevenzione a paragone con il classico e cioè quello che utilizza il solo antivirus.

[nix87]

Ecco la mia lista attuale:

1) DNS protettivi.
2) Blocco phishing e malware interno al browser.
2a) Download scanning protection (Chrome).
3) WOT
4) Traffic Light Bitdefender
5) AdblockPlus
6) Siteadvisor McAfee
7) Blocksi

Solo una cosa:
Non ti pare che Siteadvisor McAfee e Blocksi possano essere ridondanti (sia tra di loro, sia considerando il fatto che hai già Traffic Light) ?
Inoltre hai verificato se, in alcuni casi, queste ulteriori estensioni possano dare problemi di interferenza ?

[sampei.nihira]

La ridondanza si verifica sempre in questi casi.
Chi usa i DNS protettivi e WOT la verifica credo spessissimo.
Senza domandarsi (presumo) se ci sia necessità di eliminare uno dei 2 tool.
Anche perché sono i 2 alert più frequenti da osservare.

Questo perché ?
perché la protezione da blocco segue delle regole statistiche.
Cioè a dire non ci è dato modo di sapere (a priori) se nella navigazione sia possibile incontrare (come ho verificato spesso) se un dato
link malevolo sia,almeno nelle sue fasi iniziali,bloccato da un solo tool.

Secondo me non c'è sovrapposizione di intervento.
Per 3 motivi.
Alcuni di loro sono esclusivi,per esempio la protezione interna browser.
Ed altri seguono una linea temporale ben definita.
Per esempio Siteadvisor è sempre l'ultimo.
Oppure nel settaggio si ponga attenzione nell'eliminare eventuali doppioni.
Tipo in fase di ricerca selezionando WOT oppure il search analizer di Traffic light.

Ed ancora il loro numero è eccessivo ?
Forse si forse no.
Per dire "no" occorrerebbe essere in presenza di un blocco specifico quindi unico per tool.
Ad oggi ho incontrato blocchi specifici ed unici per i DNS che uso,per WOT,per la protezione interna browser,per TrafficLight.
Nessuno per Siteadvisor che uso solo per "rafforzare" la protezione di WOT.
Che ritengo efficace in fase di ricerca, più blanda, in azione di blocco rispetto a tutti gli altri tool.
Ho installato blocksi troppo recentemente e quindi non posso esprimere giudizi.

Sarebbe interessante verificare praticamente se, scelto un determinato antivirus,la sua efficienza nel bloccare/rilevare siti a caratteristiche malware sia inferiore o meno all'insieme dei tool suddetti.

Io così a priori la ritengo inferiore.
Ma potrei sbagliare.....

[nix87]

Pensavo che sarebbe interessante affiancare ai plugin di web-filtering (come ad esempio TL o WOT) la protezione http fornita da Peerblock (al quale devono essere aggiunte, da parte dell'utente, opportune liste di blocco oltre a quelle di default).
Si trovano svariate block-list sul web: malware, spam, spyware, phishing, ecc...

Probabilmente potrebbe bastare la sola protezione di Peerblock (con le liste opportune) per garantire un'elevata protezione dalle minacce sul web...

Forse l'unico svantaggio sarebbe nel fatto che è possibile aggiornare automaticamente le liste di PB solo, come minimo, ogni giorno;
mentre i plugin per il browser credo che forniscano un aggiornamento degli url malevoli (molto) più frequente.

[sampei.nihira]

Pensavo che sarebbe interessante affiancare ai plugin di web-filtering (come ad esempio TL o WOT) la protezione http fornita da Peerblock (al quale devono essere aggiunte, da parte dell'utente, opportune liste di blocco oltre a quelle di default).
Si trovano svariate block-list sul web: malware, spam, spyware, phishing, ecc...

Probabilmente potrebbe bastare la sola protezione di Peerblock (con le liste opportune) per garantire un'elevata protezione dalle minacce sul web...

Forse l'unico svantaggio sarebbe nel fatto che è possibile aggiornare automaticamente le liste di PB solo, come minimo, ogni giorno;
mentre i plugin per il browser credo che forniscano un aggiornamento degli url malevoli (molto) più frequente.

Sei un utente che fà p2p Nix ?
Forse con meraviglia di chi usa tali sw è possibile constatare anche su Secunia che non sono soggetti a bugs da vario tempo.
L'account standard e l'inserimento in lista EMET dovrebbero essere sufficienti per la protezione del sistema.
Sopratutto per chi come noi è solito anche abbinare un hardening dello stesso.
Ovvio con le solite precauzioni per i files downloadati.

Invece le vulnerabilità dai browser in poi sono molto più insidiose e pericolose.
In questo momento ad esempio Opera è afflitto da una vulnerabilità zero day non riportata nemmeno da Secunia.

https://www.alternativ-testing.fr/blog/ ... -Execution

ogni precauzione presa dagli utenti che usano tale browser (EMET,Sandboxie.......) può ovviamente fare la differenza.
Stesso discorso come ci ha fatto notare il recente Pwn2Own 2012 è possibile farlo per gli altri browser.

[nix87]

Invece le vulnerabilità dai browser in poi sono molto più insidiose e pericolose.
In questo momento ad esempio Opera è afflitto da una vulnerabilità zero day non riportata nemmeno da Secunia.

https://www.alternativ-testing.fr/blog/ ... -Execution[/color]

Anch'io uso Opera, come browser d'appoggio a Chrome (alle volte Chrome non apre o non visualizza bene alcune pagine web, mentre Opera lo fa).
Sapevo da tempo di questa vulnerabilità...
...che al contrario di Chrome il team di sviluppo di Opera ancora non si decide a patch-are

Le dovute precauzioni (EMET, sandbox, ecc...) sono sempre attuate anche su Opera ovviamente

[nix87]

Aggiornamento per VLC.
Comprende anche delle patch a due bug di sicurezza.
http://www.videolan.org/news.html

[nix87]

Una domanda riguardo a Chrome e a cui non sono riuscito a trovare risposte chiare:

Quali plugin non sono protetti dalla sandbox di Chrome (oltre a Java) ?

[sampei.nihira]

Una domanda riguardo a Chrome e a cui non sono riuscito a trovare risposte chiare:

Quali plugin non sono protetti dalla sandbox di Chrome (oltre a Java) ?

Intendi dire quelli che girano ad IL medio quando gli altri processi girano ad IL basso ?
Se dici ciò la risposta è anche il tuo Click & Clean.
Presumo per il compito di pulizia che effettua.

[nix87]

Click & Clean già sapevo che girava ad IL Medio

Altri plugin possono essere ad esempio MS Silverlight.
Forse quest'ultimo non è così bersagliato come Flash... ma volevo sapere se risulta protetto dalla sandbox di Chrome oppure no (e quindi se è necessario prendere ulteriori provvedimenti per metterlo in sicurezza).

[sampei.nihira]

Click & Clean già sapevo che girava ad IL Medio

Altri plugin possono essere ad esempio MS Silverlight.
Forse quest'ultimo non è così bersagliato come Flash... ma volevo sapere se risulta protetto dalla sandbox di Chrome oppure no (e quindi se è necessario prendere ulteriori provvedimenti per metterlo in sicurezza).

Io non ho installato Silverlight.
Comunque prova.
Disattivi Click.
Verifichi che tutti i processi di Chrome siano ad IL low.
Visualizzi un contenuto con Silverlights.
Apri Process Explorer da amministratore e verifichi nuovamente.
Se c'è qualche processo ad IL medio......

[nix87]

Comunque prova.
Disattivi Click.
Verifichi che tutti i processi di Chrome siano ad IL low.
Visualizzi un contenuto con Silverlights.
Apri Process Explorer da amministratore e verifichi nuovamente.
Se c'è qualche processo ad IL medio......[/color]

Ho eseguito il tuo suggerimento ed ho scoperto che Silverlight gira ad IL medio.
Volevo provare ad abbassargli l'IL (sperando che non dia problemi in seguito), ma non credo si possa fare:
il plugin si basa su una .dll e non penso che con icacls si riesca a fare qualcosa...

P.S.: Come al solito, grazie sampei per tutti i suggerimenti che dai, e non solo in questa sezione del forum

[sampei.nihira]

Lungi da me conoscere Silverlight ma l'installer è un exe.
Verifica meglio nel pannello di controllo programmi installati.
Tanto un controllo in più male non fà.

In merito ai ringraziamenti non ce n'è bisogno.
In forum come questo ognuno di noi dà il proprio contributo facendo crescere l'insieme.

[nix87]

Ho provato in vari modi, sia con icacls che con la sandbox di Comodo:
niente da fare, SL non viene nè abbassato di IL nè tantomeno sandboxato.

Vabbè non fa niente, basteranno le altre misure di sicurezza adottate su W7 a livello OS.

[nix87]

Aggiornamento per Google Chrome.
Comprende anche diversi fix a problemi di sicurezza:
http://googlechromereleases.blogspot.it/

[sampei.nihira]

Ver. 3.66 per SandboxIE.
Aggiornate.

[sampei.nihira]

A coloro che interesserà Siteadvisor for Chrome si è aggiornata ieri in versione dopo un tempo molto lungo di stasi.

[sampei.nihira]

Il redirect (cioè secondo me l'unica opzione praticabile per l'uso) è inefficiente.