www.MegaLab.it

[sampei.nihira]

Non è un mistero per nessuno che attualmente mi interessano le implicazioni di JAVA.......
Un esempio di trojan java è messo in luce in questo articolo old.
Se il java trojan del nostro esempio ipotetico eseguisse un exe sarebbe preso magari in un passaggio fondamentale da SRP.
Ecco un diagramma che mette in evidenza ciò:

http://www.inreverse.net/wp-content/upl ... /recap.jpg

E come quindi sarebbe bloccato da SRP con il solito avviso che ormai conoscete tutti:

Si noti che con SRP l'utente è sempre conscio che qualsiasi pop-up che appare come nell'immagine di cui sopra sia malevolo.
perché non è il risultato di un attività dell'utente.
Ovvio che l'esempio di cui sopra sia simulato con un exe fuori dalla white list.

Ma un esecuzione diversa da un exe non sarebbe per nulla fermata da SRP.
Chi usa tale sistema (ed ha installato JAVA) può scaricare un sw quale PortMapper dal link sotto,che quindi rappresenta la simulazione di un nostro ipotetico malware a caratteristiche java:

http://sourceforge.net/projects/upnp-portmapper/files/

Risultato nessun blocco come nell'esempio precedente.

Spero che qualche utente di MLI provi con un HIPS ed inserisca il risultato di tale test.
Ma il problema non sarà se l'HIPS riconosce notificando all'utente l'avvio di PM piuttosto,lo capirete tutti,se l'utente sarà in grado di discernere dall'avviso la pericolosità o meno di un eventuale caso reale.

Ovvio si escluda ogni altra forma di protezione/prevenzione affidata a contenimento (sandbox) o al blocco di link malevoli affidati a browser/antivirus/malware vario ecc ecc.......

Spero che queste considerazioni siano almeno interessanti per qualcuno.
Buona serata e buon fine settimana.

[nix87]

Io, come credo che già sai, uso l'HIPS di COMODO.

Questo è l'avviso che mi appare con funzione di auto-sandbox attiva (anche se a te non interessava l'intervento di una sandbox):

Uploaded with ImageShack.us

Questo l'avviso dell'HIPS (Defense+), con funzione di auto-sandbox disattivata:

Uploaded with ImageShack.us

Ma il problema non sarà se l'HIPS riconosce notificando all'utente l'avvio di PM piuttosto,lo capirete tutti,se l'utente sarà in grado di discernere dall'avviso la pericolosità o meno di un eventuale caso reale.

Tranne tu le conclusioni, cioè se ti possono sembrare avvisi che manifestano all'utente l'avvio di un azione 'malevola' e quindi da bloccare.

Spero ti sia stato d'aiuto

[sampei.nihira]

Grazie Nix della tua testimonianza.
La tua domanda finale credo sia da girare agli utenti che hanno installato java ed usano un HIPS.

Io con questo 3D ho solo la prerogativa di sollevare interesse,curiosità.....e dubbi.

[Sabbb]

Tranne tu le conclusioni, cioè se ti possono sembrare avvisi che manifestano all'utente l'avvio di un azione 'malevola' e quindi da bloccare.

Qualunque avviso di un HIPS, al 99,9% sarebbe da bloccare se l'utente non stava installando un bel niente,o se non ha fatto il classico doppio click su un eseguibile. Poi è chiaro che guardare il nome del processo è sempre d'obbligo.

(almeno questo è più o meno quello che faccio io)

[sampei.nihira]

Purtroppo è molto facile alterare tali caratteristiche Sabbb.
Ho visto siti web costruiti ad hoc che evidenziano all'utente un falso avviso di esecuzione plugin java da acconsentire.
Ecco,ad esempio con Chrome una richiesta veritiera:

che ovviamente si evidenzia se avete disattivato a default il plugin nel vs browser.
Quindi in questo caso è piuttosto semplice confondersi.

Meglio quindi prima di acconsentire effettuare uno scan on line del sito web al VT:

Tutto ciò ovvio nel caso di siti web non soliti.

p.s Devo ammettere che il layout di Opera in tale caso,benchè meno efficiente e più manuale si presta meno a generare confusione.
Sempre perché i soliti furboni attuano una strategia di ingegneria sociale che prende di mira come al solito i browser più diffusi.

[sampei.nihira]

http://translate.googleusercontent.com/ ... QHjoLKouQQ

Notizia fresca di giornata,in tema,metto già la traduzione per una più facilitata lettura.

[Sabbb]

Interessante.

Tuttavia in questo caso specifico (senza adesso fare il maestrino) credo che è difficile per un utente 'medio' che abbocchi .

Se fino ad adesso mi sono collegato per esempio a Google,e so che non mi ha mai chiesto di installare niente,già l'avviso di installare applet o quant'altro mi farebbe sorgere molti dubbi.

[farbix89]

Tuttavia in questo caso specifico (senza adesso fare il maestrino) credo che è difficile per un utente 'medio' che abbocchi

Un attacco di DNS poisoning degli operatori di rete non può essere evitato dagli utenti.

Ti connetti ad Internet,digiti Google.it e il reindirizzamento dei DNS ti apre una pagina piena di virus

C'è da dire che il Brasile è uno degli stati con il più alto numero di utenti Linux,che quindi non sentiranno più di tanto il "peso" dei malware caricati sulle pagine nocive

Basta cambiare DNS è il gioco è fatto

[sampei.nihira]

Interessante cosiderazione in merito agli exploit java.

Chrome è l' unico browser che impedisce un exploit anche se nel pc è installata una vecchia versione java.

Quindi, uso di sandbox a parte,con installato java,chrome assicura anche per gli utenti che provvedono poco agli aggiornamenti una sicurezza non ottenibile con gli altri browser.