www.MegaLab.it

[developerwinme]

Gli attuali software di sicurezza? Tutti facilmente superabili - Commenti

Un recente studio di Matousec dimostra come le protezioni offerte da tutti i software di sicurezza più diffusi siano superabili tramite un ingegnoso utilizzo delle funzioni messe a disposizione da Windows. [continua...]

[TecnicoHardware]

ca**o che cervelli io sono stato il primo a dire che i software antivirus sono una truffa per splillare soldi alla povera gente che ancora ci crede e non servono a niente .

E piu facile entrare nel cuore di un PC che nel cuore di una donna


ciao alla prossima

[andremen57]

... e quindi, dobbiamo passare a Linux che questi problemi li ignora completamente

[cinamone]

oppure smettere di andare in rete

[Al3x]

Interessante! E' un modo geniale di ingannare i prodotti di sicurezza e devo essere sincero, trovo che si tratti più di un aspetto che in fase di progettazione non sia stato considerato e comunque riconducibile alla peculiarità del servizio Scheduler che in più di una occasione ha mostrato il fianco per la facilità con cui si può arrivare ad una escalation dei privilegi fino all'utente SYSTEM, superiore in gerarchia all'account built-in Administrator.
Mancano però alcune indicazioni fondamentali per comprendere le modalità di esecuzione dei test: tra questi sistema operativo e versione, browser utilizzati e tipo di bug sfruttato per portare a termine l'attacco (inserirsi come nuvo task nello scheduler)
MI chiedo però come un software riesca a bypassare l'UAC delle più recenti versioni di Windows riuscendo in una operazione (quella dell'inserimento di un task) risevata ad un utente con privilegi elevati

Dopo aver letto l'articolo sono subito andato a contrallare con il comando AT se avevo qualcosa che bolliva in pentola a mia insaputa anche se non credo che i task truffaldini rimangano per lungo tempo a far mostra di se nelle Operazioni Pianificate

[developerwinme]

tra questi sistema operativo e versione, browser utilizzati e tipo di bug sfruttato

Credo, ma non sono sicuro, che Matousec abbia utilizzato Windows XP con Service Pack 3, che è il sistema operativo che usano nel challenge dei firewall

MI chiedo però come un software riesca a bypassare l'UAC delle più recenti versioni di Windows riuscendo in una operazione (quella dell'inserimento di un task) risevata ad un utente con privilegi elevati

Dopo aver letto l'articolo sono subito andato a contrallare con il comando AT se avevo qualcosa che bolliva in pentola a mia insaputa anche se non credo che i task truffaldini rimangano per lungo tempo a far mostra di se nelle Operazioni Pianificate

Credo che abbia frainteso a quale scheduler mi riferissi nella news: intendevo il componente del sistema operativo che gestisce l'alternarsi dei processi sul processore, non quello che gestisce Operazioni Pianificate

[Gnulinux866]

Articolo molto interessante, sopratutto per me che ho sempre considerato inefficaci gli attuali software di sicurezza per sistemi by Redmond.....

[farbix89]

Riprendendo una battuta del russo nel film Iron man 2 rivolta ai programmi americani:

"vuostro software di mie..a"

[sondlive07]

allora possiamo stare tranquilli

[developerwinme]

...

Peccato che qui il software non è solo americano: anche i russi (Kaspersky) e gli altri sono di mie..a

[Al3x]

intendevo il componente del sistema operativo che gestisce l'alternarsi dei processi sul processore, non quello che gestisce Operazioni Pianificate

quando si dice prendere lucciole per lanterne

il problema è peggiore di quanto credessi

[ellegi71]

E poi ci facciamo delle paranoie su quale software di sicurezza usare.......a questo punto credo sia lo stesso, serve solo fortuna e cercare di non imbattersi nel sito sbagliato

[auron86]

teoricamente x bloccare questa falla che non e dovuta agli anti-visus, ma bensi allo scheduler del kerner dell' SO allora bisognerebbe ristrutturare gran parte di questo, cosa che se non erro non avviene dal 98, infatti solo con l'ultimo Windows 7 M$ ha messo mano al kernel con sostanziali cambiamenti, ma la modifica della gestione degli algoritmi , di breve e medio termine da parte dello scheduler , vorrebbe dire una modifica di quasi un buon 40% del kernel sesso, alias un SO fatto da capo !!!! (se solo copiassero linux almeno in questo ......)

[developerwinme]

che non e dovuta agli anti-visus, ma bensi allo scheduler del kerner dell' SO

Non è così: il problema è nell'implementazione degli hook da parte dei software di sicurezza: lo scheduler fa semplicemente il suo lavoro e questo fatto può essere sfruttato per fare leva su un problema che è esclusivamente dei programmi di sicurezza.

cosa che se non erro non avviene dal 98

A dire il vero la famiglia windows 9x (finita con Windows ME) ha un kernel molto differente da quello di Windows NT 4 e successivi (e quindi di Xp, Vista, 7 e controparti Server). Inoltre a parte le enormi differenza architetturali di cui sopra, già con Vista Microsoft ha rivisto profondamente il kernel di Windows e con Seven ci sono stati miglioramenti si importanti, ma comunque non pesantissimi.

P.S. Se vuoi farti un'idea più chiara delle differenze tra i kernel delle varie versioni di Windows una ricerca su Wikipedia dovrebbe fornirti informazioni seppur non dettagliatissime comunque in linea di massima corrette

[markinson]

... il problema è nell'implementazione degli hook da parte dei software di sicurezza: lo scheduler fa semplicemente il suo lavoro e questo fatto può essere sfruttato per fare leva su un problema che è esclusivamente dei programmi di sicurezza. ...

Non so se sbaglio, ma penso che la questione praticamente si riconduca a: quale livello/strato i programmi di sicurezza operano (= si piazzano/collocano) e/o si accorgono di ciò che accade e, conseguentemente, intervengono.
Esemplifico: ho un paio di programmi per la sicurezza che, anche da un punto di vista temporale, quando accade qualcosa si svegliano in tempi differenti. Siccome questa cosa accade sempre e sistematicamente con le stesse modalità, credo che dipenda dal livello della piramide in cui hanno rispettivamente posto il loro velo di cipolla per il controllo.

Con le parole sono un disastro. Per rendere l'idea, metto il link ad una snapshot presa da un vecchissimo manuale di Tiny Personal Firewall (quando ancora era freeware). QUI: da notare dove sono il driver di TPF e la sua interfaccia di amministrazione.

E, chiudo, per quanto posso aver intuito (solo intuito! ) nel tempo, uno degli elementi fondamentali che un buon software di sicurezza deve sapere senz'altro gestire sono proprio le API di Windows.
Complimenti per l'articolo Dev!

[developerwinme]

Non so se sbaglio, ma penso che la questione praticamente si riconduca a: quale livello/strato i programmi di sicurezza operano (= si piazzano/collocano) e/o si accorgono di ciò che accade e, conseguentemente, intervengono.

In linea di massima il problema generalmente è quello, ma in questo caso Matousec ha scoperto un modo per superare i controlli di qualcuno che "sta più in alto nella piramide" senza essere scoperti.

E, chiudo, per quanto posso aver intuito (solo intuito! ) nel tempo, uno degli elementi fondamentali che un buon software di sicurezza deve sapere senz'altro gestire sono proprio le API di Windows.

Le API sono la base della programmazione, quindi un loro controllo accurato è necessario per garantire che non vengano utilizzate per fare danni.

Complimenti per l'articolo Dev!

[Silver Black]

Lo scheduler è una componente essenziale di QUALSIASI SO, quindi Linux, Unix, MacOS, Windows, DOS, ecc.

Se è un problema di scheduler (ma non vedo cosa c'entri con l'hook), allora la casa in questione dovrebbe specificare LE VERSIONI del kernel che ne sono affette. Io lo vedo più come un problema delle suite di sicurezza, che ancora non fanno fronte a questa potenziale minaccia. Credo inoltre che con UAC attivo sia di Vista che di Seven i pericoli siano molto ridimensionati (ovviamente solo se dall'altra parte c'è un utente conscio di come funziona un PC).

L'aspetto che più mi lascia dubbioso è il fatto che chi ha scoperto questa minaccia dica alle software house delle suite di sicurezza che se vogliono ulteriori ragguagli può fare loro pervenire privatamente, a chi interessato, tutti i dati tecnici della scoperta... Forse a PAGAMENTO?

Vediamo come reagirà Microsoft da una parte e le software house dall'altra.

[developerwinme]

tra questi sistema operativo e versione

Mi sono accorto solo ora che Matousec ha pubblicato queste informazioni qualche giorno fa: Le prove sono state effettuate sia su Xp SP3 che su Vista SP1. Tuttavia dicono che la vulnerabilità dovrebbe essere sfruttabile su tutti gli OS, compreso Windows 7 e che anche i sistemi a 64 bit sono vulnerabili.

[guest564]

Se non ho capito male ci dovrebbe già essere sul sistema una sorta di virus "dormiente", poi questo dovrebbe essere attivato da remoto attraverso la vulnerabilità scoperta. Il sistema sembra funzioni solo con virus\malware completamente nuovi, non riconoscibili dagli internet security nemmeno euristicamente.

Bisognerebbe capire come funzionerà l'attacco al di fuori delle condizioni di laboratorio. Qui è più facile "bombardare" il pc fino a che non capitola...

[cinamone]

spero di non incorrere in sanzioni ( nel qual caso moderatore sistema tu link e riferimenti ) ma a quanto pare tale falla è già nota da ben 14 anni (vedi articolo punto informatico del 12 maggio [http://punto-informatico.it/2882465/PI/News/antivirus-bucati-si-14-anni.aspx])