www.MegaLab.it

[sampei.nihira]

Aggiungo che la visualizzazione dei pdf è a livello non attendibile (che ricordo è il grandino inferiore rispetto al basso).
In merito al flash "entro poco" sarà disponibile il pepper.
Che presumibilmente sarà eseguito a livello non attendibile.

Se non vado errato già la dev dovrebbe essere impostata in tal senso.
Sarebbe interessante verificare, oltre a quanto sopra scritto, se il processo intermedio sia presente o meno.
Secondo me....no.

p.s. Tutto ciò sempre che dopo la cucina nuova e le relative "manovre" in casa mia io sia, per così dire,......fuso .... e quindi le mie conclusioni errate !!

[sampei.nihira]

Uploaded with ImageShack.us

Si noti nell'immagine sopra come il flash interno di chrome NPAPI ha un IL basso.
Ma il processo host lanciato rundll32.exe ha un IL medio.

Adesso vado a vedere la partita.

[sampei.nihira]

Siccome è inutile continuare a guardare una siffatta partita..... ..... vorrei mettere in evidenza la protezione configurativa nel pc di mia figlia.

Ciò dopo aver annullato manualmente il blocco dell'exe di installazione di VLC dovuto al trick 1806.
La modifica al registro del "deny elevate" viene evidenziata dall'errore dell'immagine sotto:

Uploaded with ImageShack.us

Si intuisce la tripla capacità protettiva delle impostazioni in caso di eseguibile malevolo che tenti una installazione (con elevazione dei privilegi) nel sistema.

[sampei.nihira]

Ah mi sono dimenticato di ricordare agli utenti (come ho scritto più e più volte) di ridurre al minimo la shell extensions.
Per i motivi riportati nell'articolo datato sotto:

http://blog.didierstevens.com/2009/03/0 ... gger-trio/

Ad esempio con VLC avete questa opportunità proprio nel menù di installazione/aggiornamento basta deselezionare la spunta al menù contestuale.
Io ad esempio ho bandizip (a parte altri 2 sw di sicurezza) che a default aggiunge molte voci al menù contestuale.
Che io riduco al minimo indispensabile,agendo nelle configurazioni del sw) compatibilmente ovvio con l'usabilità dello stesso.
Tale sw inoltre è inserito per sicurezza in lista EMET.

'notte

[sampei.nihira]

Qualche estensione per chrome indicata dai soliti noti di W. da valutare:

https://chrome.google.com/webstore/deta ... ii/details

https://chrome.google.com/webstore/deta ... hd/details

https://chrome.google.com/webstore/deta ... omnjppbplb

Io non le ho per nulla testate,chi è in festa dalla scuola, ha certamente più tempo di me.
Quindi buon lavoro e nel caso postate le vs impressioni !!

[nix87]

Ah mi sono dimenticato di ricordare agli utenti (come ho scritto più e più volte) di ridurre al minimo la shell extensions.
Per i motivi riportati nell'articolo datato sotto:

http://blog.didierstevens.com/2009/03/0 ... gger-trio/

Sarebbe da verificare cosa accade in ciascuno dei seguenti casi:

- il file è "aperto" (nel senso: viene eseguito uno di quei tre metodi descritti nel link) in una cartella dove sono vietati i diritti di esecuzione (negato "Visita Cartella/Esecuzione file");
- il file è bloccato a causa del trick 1806;
- al file è stato abbassato l'IL a Low;

Il jbig2decode, in ciascuno dei casi elencati sopra, sarebbe ancora in grado di "attivarsi" ?

P.S.: Questa vulnerabilità è sfruttata solo nei PDF oppure è potenzialmente sfruttabile anche per altri formati ?

[sampei.nihira]

Salve Nix.
Rispondo solo per l'ultima domanda.
Il motivo per le altre domande è dovuto alla mia forma mentis.
E quindi in questo caso spiego.
A me personalmente non interessa se per un bug intervengono altri fattori anche di mitigazione che rendono inattuabile/non sfruttabile un eventuale bug.
perché a monte esiste ugualmente una falla aperta.
Non sò se mi sono spiegato ?
Oltretutto il bug è stato potenzialmente indotto dallo stesso utente del pc.
E questo dal mio punto di vista è come "darsi la zappa sui piedi".
Quindi,nel caso di quanto suddetto,visto che solitamente la storia si potrebbe ripetere, modificare la shell extensions significa aggiungere/iniettare parti di codice di sw di terze parti in aggiunta a quello originale.
Operazione sempre potenzialmente rischiosa.
Cioè a dire aprire "tante porte" quante sono le modifiche introdotte.

[nix87]

Grazie per la risposta sampei

Così per pura curiosità e per fare qualche test, sarebbe possibile scaricare da qualche parte quei tre pdf creati da Stevens ?

[sampei.nihira]

Grazie per la risposta sampei

Così per pura curiosità e per fare qualche test, sarebbe possibile scaricare da qualche parte quei tre pdf creati da Stevens ?

Mah....la trattazione è del 2009.
Un po' troppo tempo per solo sperare che il gioco valga la candela.
Comunque Didier è su twitter ( ha una pagina dedicata) potresti chiedere direttamente a lui.

[nix87]

Sbaglio, o l'estensione TrafficLight non viene più sviluppata/mantenuta da Bitdefender ?

perché l'ultimo aggiornamento risale a febbraio di quest'anno.
Inoltre ho provato a fare un piccolo test su MDL e non vengono 'beccati' né i siti pericolosi più recenti (last updates), né quelli più datati... cosa che prima (qualche mese fa) TL azzeccava sempre...

Quasi quasi elimino TL (così risparmio anche un po' di ram) e mi tengo solo Blocksi e WOT...

[sampei.nihira]

L'efficienza di blocco è sempre alta.
L'ho testata recentemente (però molto prima del tuo commento) con alcuni link malevoli e le performance sono ottime.
Ma forse inferiori a qualche tempo fà non ho approfondito la questione....
Piuttosto, ritengo, che il team,si deve concudere da tempo ormai,sia alle prese con il "problema di privacy" che hanno sottolineato i soliti elementi di W:

http://www.wilderssecurity.com/showthread.php?t=325217

Dal mio canto la privacy sopratutto in prodotti cloud mal si concilia con la sicurezza.
Ricordo una discussione con Eraser proprio in tema.
Per altri utenti invece la privacy riveste aspetto fondamentale.

Quindi coloro che ritengono di appartenere a tale categoria potrebbero prendere in considerazione una sua disinstallazione.

[nix87]

Grazie per il commento sampei

Allora mi tengo ancora TL per un po' di tempo, dopo provvederò a ritestare le sue performance di rilevazione per vedere se è ritornato ai livelli di un tempo (almeno secondo i miei, rapidi, mini-test...).
In questo modo vedremo anche se gli sviluppatori di Bitdefender riusciranno ad implementare il protocollo di comunicazione https con i loro server cloud.

Ora che mi ci fai pensare, WOT e Blocksi implementano l'https o no ?

[sampei.nihira]

Grazie per il commento sampei

Allora mi tengo ancora TL per un po' di tempo, dopo provvederò a ritestare le sue performance di rilevazione per vedere se è ritornato ai livelli di un tempo (almeno secondo i miei, rapidi, mini-test...).
In questo modo vedremo anche se gli sviluppatori di Bitdefender riusciranno ad implementare il protocollo di comunicazione https con i loro server cloud.

Ora che mi ci fai pensare, WOT e Blocksi implementano l'https o no ?

Ragazzi provate !!
In questo settore sono tante le curiosità/idee che possono essere verificate da noi stessi.
Io ad esempio rimasi molto interdetto nello scoprire che il supporto ASLR (non sò se ricordi) era assente in alcuni sw dal nome famoso.
E ne inserii anche su MLI le conclusioni.

[Pct]

E' finalmente arrivato il pc nuovo a mio zio; un toshiba portatile con un buon i7 QM e 6 GB di ram (quindi se non esagero posso installargli pressoché qualsiasi programma di sicurezza senza temere di rallentarlo troppo)

Cercava una buona sicurezza senza però esagerare con il paranoico (non troppe richieste) né con il rallentare il pc/la connessione

Gli ho installato:

Avira free 2012; Malwarebytes antimalware; Comodo firewall; Comodo DNS; Google Chromecome browser principale + Adblock + WOT e Spyware blaster per sicurezza nel caso in cui si ritrovasse a usare IE

Ho visto che la Sandbox di Comodo non è attivata di Default; gliela attivo?

Non so se va bene scriverlo in questo topic, però per l'ottimizzazione gli ho installato CCleaner e gli consiglio di fare tutte e scansioni 1 volta al mese + ccleaner+ pulitura registro di ccleaner + pulitura disco e deframmentazione. Va bene così o dovrei mettergli anche qualcos'altro? E i programmi per la sicurezza dite che vanno bene così?

[Pct]

volevo chiedere anche : sempre riguardo a comodo firewall; devo mettere la defense + su sicuro o su appredimento? e il firewall?

[hashcat]

volevo chiedere anche : sempre riguardo a comodo firewall; devo mettere la defense + su sicuro o su appredimento? e il firewall?

Consiglio sicuro sia per il Defense+ che per il Firewall (con sandbox disabilitata).

Se impostato su apprendimento, non genera avvisi perché considera sicuro tutto quello che "incontra" la fase di apprendimento.

Inoltre ti suggerisco di modificare la configurazione impostando la modalità proactive:



P.S.: Consiglio di sostituire Avira con Avast (impostazioni personalizzate).

[hashcat]

@Pct

Una serie di consigli:

Ti consiglio di sostituire i Comodo DNS con i FoolDNS (sono più veloci e filtrano la pubblicità).

Filtro siti pericolosi / non desiderati: K9 Web Protection (impostato come filtro per i siti pericolosi)
Lettore PDF: Sumatra PDF (immune ai comuni attacchi mirati e leggerissimo)
Hardening in generale: Emet e Services Disabler (script creato da me)
Aggiornamento programmi: Secunia PSI (aggiorna automaticamente i programmi)

[Pct]

Grazie mille hashcat!

[Pct]

Ah, un'altra cosa: mi hai detto di tenere la sandbox disattivata; ma attivando la configurazione proactive la sandbox si attiva da sola: va bene così?

[hashcat]

Ah, un'altra cosa: mi hai detto di tenere la sandbox disattivata; ma attivando la configurazione proactive la sandbox si attiva da sola: va bene così?

Vado a memoria perché ora sono su Fedora:

Lasciala attiva ma configurala in questo modo (la sandbox):



Per l'opzione Tratta i file non riconosciuti come imposta il livello Ristretto.

Poi:


Rimuovi la spunta dalla casella: Automaticamente rileva installazioni / aggiornamenti ed avviali fuori dalla Sandbox

Per il firewall:



Deseleziona la casella Questo computer è un Internet Security Gateway.

Poi:


Seleziona le caselle Proteggi ARP Cache, Blocca Messaggi ARP Inattesi e Analizza i protocolli.

Poi configura CCleaner secondo questa guida:
http://www.hwupgrade.it/forum/showpost.php?p=34185946&postcount=947