www.MegaLab.it

[hashcat]

Propongo alcune configurazioni di sicurezza:

Solo programmi gratuiti:

Firewall puro + Keyscrambler free + SandboxIE free

Firewall puro + Boot cd per backup ( Clonezilla; HDClone; Partimage ) + Hitman Pro (scansioni programmate) + Emet


Solo prodotti a pagamento (configurazioni che voglio provare su mv):

Norton Internet Security 2011 + SandboxIE Pro

(Devo provare entrambe)

Norton Internet Security 2011 + Defensewall


Configurazioni miste:

Shadow Defender + Firewall puro + Boot cd per backup


Strumenti aggiuntivi:

CurrPorts (monitora le connessioni attive sui protocollo TCP & UDP

Roboform (gestore di password e compilatore di moduli automatico)

Keepass (un gestore di password altamente configurabile)

AntiFreeze (Gestire il computer in situazioni di carico massimo e blocco totale)


Web & co.:

Browser web: Google Chrome + Adblock + Wot + Secbrowsing + SaferChrome + Tactical URL Expander

o

Opera con configurazione personalizzata.

Filtro pubblicitario globale ($$) AdMuncher premium
Filtro dns: Norton o Comodo


Accortezze per incrementare la sicurezza:

• Impostare le notifiche generate dal Controllo Account Utente al massimo
  
• Utilizzare gli account con privilegi d'amministratore solo in caso di necessità e se non necessari disabilitarli e proteggerli con una robusta password
  
• Disabilitare l'autorun dei dispositivi rimovibili
  
• Creare una copia di sicurezza del mbr
  
• Eseguire un backup periodico del computer. ""Eseguire un backup incrementale ogni 3 giorni + Un backup settore - settore ogni settimana"".
  
• Utilizzare dei server dns che forniscano una funzione di filtro contro i siti pericolosi e non siano / siano poco vulnerabili ad attacchi di tipo dns spoofing
  
• Disabilitare le condivisioni amministrative
  
• Disabilitare l'enumerazione degli SID degli account
  
• Eliminare i servizi inutili che potrebbero veicolare vulnerabilità
  
• Disabilitare il registro di sistema remoto.

[sampei.nihira]

Gli appassionati di sw antikeylogger possono essere interessati a conoscere che si "dice in giro" che molti sw dedicati allo scopo sarebbero poco performanti contro i kernel keylogger.
Mentre SpyShelter ha un modulo dedicato (anti kernel mode logger).
Ovviamente il tutto di cui sopra sarebbe da appurare in pratica con qualche test specifico.

[hashcat]

[color=#000080]Gli appassionati di sw antikeylogger possono essere interessati a conoscere che si "dice in giro" che molti sw dedicati allo scopo sarebbero poco performanti contro i kernel keylogger.

Le versioni premium e professional dovrebbero proteggere senza problemi da questa tipologia di keylogger, credo (non sono sicuro) anche la versione gratuita.

EDIT: Ho indicato questo programma nella configurazione di sicurezza gratuita per fornire uno strato di protezione aggiuntivo, il firewall comunque viene in aiuto dell'antikeylogger bloccando/segnalando un eventuale invio a terze parti dei dati registrati. Un keylogger che non può inviare i log a un indirizzo remoto perde di efficacia.

EDIT2: Ecco un test relativo a questo

[Nichi]

Iniziamo con la configurazione di sicurezza del il mio PC vecchiotto intel pentium 4, cpu 2.53 ghz, 1 gb di ram:

S.O.: xp professional s.p. 3.
DNS: 1 norton, 2 comodo.
BROWSER PREDEFINITO: Internet Explorer (in area virtuale sandboxie).
BROWSER AUSILIARIO: nessuno.
FIREWALL: windows.
ANTIVIRUS: Avast! Pro (senza webrep e senza il controllo mail)
ANTIMALWARE : Prevx free, Pc Tools ThreatFire.
SCANSIONE PERIODICA FILE MALIGNI: Hitman Pro, Malwarebytes' antimalware, Superantispyware portatile, Kaspersky Removal tool.
AREA VIRTUALE: Sandboxie.
ALTRI-DIVERSI: 1) Sumo portatile (update checker); 2) disattivato autorun (protezione dvd/cd/usb); 3) 2 CD Live con antivirus Avira Antivir e Dr. Web Live CD (pronti all'uso in caso di guai); 4) System Ninja portatile; 4) CCleaner; 5) Eraser; 6) Recuva.

Prossimamente voglio installare DropMyRights (non l'ho mai usato).
EMET 2.X già installato, in corso di apprendimento e configurazione.

Fino alla scadenza della licenza, per la sicurezza ho usato avira antivir internet sicurity. Da poco ho installato parte dei predetti programmi, li devo ancora configurare al meglio, senza appesantire troppo il sistema. Se avrete suggerimenti saranno ben accetti. Questo pc lo usiamo un po tutti in famiglia, io lo uso in particolar modo quando devo scaricare file da internet con emule, utorrent, megaupload. Ho ancora come browser predefinito Internet explorer perché mia figlia non sa usare gli altri.

Lascio perdere una eventuale lentezza del pc, per sw che sono ridondanti (ad esempio le voci antimalware), e mi concentro sui 2 consigli FONDAMENTALI per un OS quale XP:
1) L'uso di DMR sopratutto nei sw che usi per scaricare altrimenti sei a livello amministratore.......
Và da sè che presumo che hai configurato almeno un pochetto Sandboxie per esempio abilitando la limitazione dei privilegi.......ecc,ecc.
2) La sostituzione immediata di I.E. ,che con XP è ancorato alla versione 8, che se noterai da Secunia avrà sempre bugs non patchati diversamente dalle versioni successive disponibili però in OS più moderni.

Con utenti alle prime armi io consiglierei Chrome.
Anche in questo caso non a default un minimo và da sè che deve essere configurato.
Ma già a default assicura una protezione migliore di I.E. nel OS che usi.

Pc Tools ThreatFire è leggerissimo sicuramente lo lascerò, eventualmente disinstallerò Prevx free nel caso di rallentamenti.
1) Come già detto sopra prossimamente installerò DropMyRights (non l'ho mai usato). Si, in Sandboxie ho fatto piccolissime modifiche: percorso area virtuale unità k -altro hd-, aggiungi bordo colorato, limita diritti.
2) Sto provando Chrome con questi plugin (BitDefender TrafficLight, WOT, AdBlock, SpeedDial), li ho installati con chrome nella sandboxie. Ho fatto bene oppure dovevo installarli con il browser non in area virtuale?
Grazie per i consigli.

[Pulcepiccola]

Ciao hashcat,

vorrei, chiederti, gentilmente, un chiarimento sui seguenti punti:

Utilizzare gli account con privilegi d'amministratore solo in caso di necessità e se non necessari disabilitarli e proteggerli con una robusta password

vuoi dire che disabiliti completamente l'account amministrativo agendo sul registro di sistema così come indicato in questo articolo? http://www.swprog.com/howto/enableadmin.php

e proteggerli con una robusta password

Non ho capito l'affermazione su descritta:

Se l'utente Amministratore è disabilitato perché e dove bisognerebbe inserire una password robusta?

Disabilitare l'autorun dei dispositivi rimovibili

Come si procede per realizzare ciò?

Utilizzare dei server dns che forniscano una funzione di filtro contro i siti pericolosi e non siano / siano poco vulnerabili ad attacchi di tipo dns spoofing

Vanno bene i DNS di Norton?

Disabilitare le condivisioni amministrative

Cosa intendi e come si procede?

Disabilitare l'enumerazione degli SID degli account

Di che si tratta e come procedere?

Eliminare i servizi inutili che potrebbero veicolare vulnerabilità

Potresti fornire, cortesemente, qualche esempio

Disabilitare il registro di sistema remoto

A cosa serve il registro di sistema remoto e come si procede?

mille



Pp

[hashcat]

Pc Tools ThreatFire è leggerissimo sicuramente lo lascerò

Ho smesso di considerare Threatfire un buon prodotto dopo aver letto questo:

http://www.kernelmode.info/forum/viewtopic.php?f=11&t=586#p4229

[hashcat]

Utilizzare gli account con privilegi d'amministratore solo in caso di necessità e se non necessari disabilitarli e proteggerli con una robusta password

vuoi dire che disabiliti completamente l'account amministrativo agendo sul registro di sistema così come indicato in questo articolo? http://www.swprog.com/howto/enableadmin.php

Principalmente seguo quanto descritto in questa guida, con la sola differenza che se io ho creato un account amministratore che si chiama Pippo, disabiliterò quello e non Administrator

e proteggerli con una robusta password

Non ho capito l'affermazione su descritta:

Se l'utente Amministratore è disabilitato perché e dove bisognerebbe inserire una password robusta?

Per evitare che venga semplicemente riattivato ed essendo sprovvisto di password possa essere utilizzato (ad esempio da un virus) per apportare grandi danni al computer, per inserire una password basta riattivarlo ed impostare una password e successivamente disabilitarlo nuovamente

Disabilitare l'autorun dei dispositivi rimovibili

Come si procede per realizzare ciò?

E' un oprerazione facile, esistono trumenti dedicati (Panda USB vaccine e altri), inoltre Avira include nei propri settaggi due impostazioni per disabilitare l'autorun dei dispositivi removibili.

Utilizzare dei server dns che forniscano una funzione di filtro contro i siti pericolosi e non siano / siano poco vulnerabili ad attacchi di tipo dns spoofing

Vanno bene i DNS di Norton?

Devi testarne tu, l'efficacia facendo questo test

Disabilitare le condivisioni amministrative

Cosa intendi e come si procede?

Riguardo a cosa sono leggi questo articolo e per disabilitarle consulta quest'altro

Disabilitare l'enumerazione degli SID degli account

Di che si tratta e come procedere?

Segui quanto scritto qui

Eliminare i servizi inutili che potrebbero veicolare vulnerabilità

Potresti fornire, cortesemente, qualche esempio

Nel mio prossimo messaggio includerò qualche esempio

Disabilitare il registro di sistema remoto

A cosa serve il registro di sistema remoto e come si procede?

Devi premere WIN + R digitare services.msc e a quel punto cercare il servizio Registro di Sistema remoto, selezionarlo e cliccare col tasto destro su proprietà, nella sezione Generale e nel riquadro Tipo di Avvio selezionare Disabilitato. Premere applica ed ok. Dal prossimo riavvio il servizio non sarà più attivo

[hashcat]

Un'altra misura di sicurezza che non avevo inserito precedentemente è quella di disattivare il Netbios

[Hpmezzo]

NetBios...Porta 139... Si ma solo Windows XP SP1 era vulnerabile Credo...

Internally in library handler code communicates with other ThreatFire components (via RPC) resulting in idiotic popups to user etc.

All these stuff is extremely slow and buggy (for example in my tests these numerous hooks caused Explorer to crash at ThreatFire application start,
in other time Explorer can't normally start after Windows reboot).

If this stuff will be installed on already infected by something rootkit alike system it will result in applications crashes because of ThreatFire lame hooking.

Guys spend so many time on this hooking nightmare, honestly I don't understand purpose of this idiocy. All this can be easily bypassed from user mode and with
current ThreatFire model it can do nothing with that. Even patches would not help. HackerDefender alike FakeHIPS. In attach Fireball v1.0 specially designed to
kill and remove ThreatFire from user mode bypassing all it's hooking idiocy. This is not behavior-based detection system, this is badly written user mode rootkit with no future.
Fireball was tested against ThreatFire v4.7 under Windows XP SP3 and Windows Vista SP2. After it working ThreatFire will require re-installation.

I'm not recommending to anyone use this ThreatTrash. Save your time and health of your OS.

Demo of Fireball vs ThreatFire v4.7 at Windows XP attached as Flash swf file (MPC can play it for example).

Hashcat intendevi dire questo nel post che hai linkato?

[hashcat]

@Hpmezzo non ho ben capito la tua domanda. Il link l'ho inserito per spiegare il motivo per il quale non reputo più questo software un programma da inserire in un'ipotetica configurazione di sicurezza

EDIT: Inoltre bisogna considerare che il programma non viene più curato (abbandono sul forum). L'ultima versione presente sul sito ufficiale è la 4.7.0 che risale a novembre del 2009. Sul forum l'ultima versione disponibile è la 4.7.0.53 rilasciata verso la fine di febbraio di quest'anno. Questa comunque è solo una build di manutenzione e non include nuove funzioni.

[Hpmezzo]

No io intendevo che : Un malware Firebolt è riuscito a bypassare i controlli di questo software post originale:

Guys spend so many time on this hooking nightmare, honestly I don't understand purpose of this idiocy. All this can be easily bypassed from user mode and with
current ThreatFire model it can do nothing with that. Even patches would not help. HackerDefender alike FakeHIPS. In attach Fireball v1.0 specially designed to
kill and remove ThreatFire from user mode bypassing all it's hooking idiocy. This is not behavior-based detection system, this is badly written user mode rootkit with no future.
Fireball was tested against ThreatFire v4.7 under Windows XP SP3 and Windows Vista SP2. After it working ThreatFire will require re-installation.

Comunque io lo trovo utile poi... tutti i software hanno i pro e i contro.

[Nichi]

Pc Tools ThreatFire è leggerissimo sicuramente lo lascerò

Ho smesso di considerare Threatfire un buon prodotto dopo aver letto questo:

http://www.kernelmode.info/forum/viewtopic.php?f=11&t=586#p4229

Non ho capito bene il motivo, ma sicuramente sconsiglia il suo uso.

[sampei.nihira]

Iniziamo con la configurazione di sicurezza del il mio PC vecchiotto intel pentium 4, cpu 2.53 ghz, 1 gb di ram:

S.O.: xp professional s.p. 3.
DNS: 1 norton, 2 comodo.
BROWSER PREDEFINITO: Internet Explorer (in area virtuale sandboxie).
BROWSER AUSILIARIO: nessuno.
FIREWALL: windows.
ANTIVIRUS: Avast! Pro (senza webrep e senza il controllo mail)
ANTIMALWARE : Prevx free, Pc Tools ThreatFire.
SCANSIONE PERIODICA FILE MALIGNI: Hitman Pro, Malwarebytes' antimalware, Superantispyware portatile, Kaspersky Removal tool.
AREA VIRTUALE: Sandboxie.
ALTRI-DIVERSI: 1) Sumo portatile (update checker); 2) disattivato autorun (protezione dvd/cd/usb); 3) 2 CD Live con antivirus Avira Antivir e Dr. Web Live CD (pronti all'uso in caso di guai); 4) System Ninja portatile; 4) CCleaner; 5) Eraser; 6) Recuva.

Prossimamente voglio installare DropMyRights (non l'ho mai usato).
EMET 2.X già installato, in corso di apprendimento e configurazione.

Fino alla scadenza della licenza, per la sicurezza ho usato avira antivir internet sicurity. Da poco ho installato parte dei predetti programmi, li devo ancora configurare al meglio, senza appesantire troppo il sistema. Se avrete suggerimenti saranno ben accetti. Questo pc lo usiamo un po tutti in famiglia, io lo uso in particolar modo quando devo scaricare file da internet con emule, utorrent, megaupload. Ho ancora come browser predefinito Internet explorer perché mia figlia non sa usare gli altri.

Lascio perdere una eventuale lentezza del pc, per sw che sono ridondanti (ad esempio le voci antimalware), e mi concentro sui 2 consigli FONDAMENTALI per un OS quale XP:
1) L'uso di DMR sopratutto nei sw che usi per scaricare altrimenti sei a livello amministratore.......
Và da sè che presumo che hai configurato almeno un pochetto Sandboxie per esempio abilitando la limitazione dei privilegi.......ecc,ecc.
2) La sostituzione immediata di I.E. ,che con XP è ancorato alla versione 8, che se noterai da Secunia avrà sempre bugs non patchati diversamente dalle versioni successive disponibili però in OS più moderni.

Con utenti alle prime armi io consiglierei Chrome.
Anche in questo caso non a default un minimo và da sè che deve essere configurato.
Ma già a default assicura una protezione migliore di I.E. nel OS che usi.

Pc Tools ThreatFire è leggerissimo sicuramente lo lascerò, eventualmente disinstallerò Prevx free nel caso di rallentamenti.
1) Come già detto sopra prossimamente installerò DropMyRights (non l'ho mai usato). Si, in Sandboxie ho fatto piccolissime modifiche: percorso area virtuale unità k -altro hd-, aggiungi bordo colorato, limita diritti.
2) Sto provando Chrome con questi plugin (BitDefender TrafficLight, WOT, AdBlock, SpeedDial), li ho installati con chrome nella sandboxie. Ho fatto bene oppure dovevo installarli con il browser non in area virtuale?
Grazie per i consigli.

Non ho ben capito la domanda.
Ovvio che le estensioni devono essere installate senza Sandboxie.

Ed a parte le estensioni che hai citato le due modifiche principali da fare nel browser in ambito sicurezza riguardano la disattivazione dei javascript (che poi attiverai in ogni sito web ove necessario) ed il fashblock o eventualmente io sarei per consigliare il click to play per abilitare i plugins (quindi anche flash) quando necessario.

[Pulcepiccola]

Utilizzare gli account con privilegi d'amministratore solo in caso di necessità e se non necessari disabilitarli e proteggerli con una robusta password

vuoi dire che disabiliti completamente l'account amministrativo agendo sul registro di sistema così come indicato in questo articolo? http://www.swprog.com/howto/enableadmin.php

Principalmente seguo quanto descritto in questa guida, con la sola differenza che se io ho creato un account amministratore che si chiama Pippo, disabiliterò quello e non Administrator

e proteggerli con una robusta password

Non ho capito l'affermazione su descritta:

Se l'utente Amministratore è disabilitato perché e dove bisognerebbe inserire una password robusta?

Per evitare che venga semplicemente riattivato ed essendo sprovvisto di password possa essere utilizzato (ad esempio da un virus) per apportare grandi danni al computer, per inserire una password basta riattivarlo ed impostare una password e successivamente disabilitarlo nuovamente

Disabilitare l'autorun dei dispositivi rimovibili

Come si procede per realizzare ciò?

E' un oprerazione facile, esistono trumenti dedicati (Panda USB vaccine e altri), inoltre Avira include nei propri settaggi due impostazioni per disabilitare l'autorun dei dispositivi removibili.

Utilizzare dei server dns che forniscano una funzione di filtro contro i siti pericolosi e non siano / siano poco vulnerabili ad attacchi di tipo dns spoofing

Vanno bene i DNS di Norton?

Devi testarne tu, l'efficacia facendo questo test

Disabilitare le condivisioni amministrative

Cosa intendi e come si procede?

Riguardo a cosa sono leggi questo articolo e per disabilitarle consulta quest'altro

Disabilitare l'enumerazione degli SID degli account

Di che si tratta e come procedere?

Segui quanto scritto qui

Eliminare i servizi inutili che potrebbero veicolare vulnerabilità

Potresti fornire, cortesemente, qualche esempio

Nel mio prossimo messaggio includerò qualche esempio

Disabilitare il registro di sistema remoto

A cosa serve il registro di sistema remoto e come si procede?

Devi premere WIN + R digitare services.msc e a quel punto cercare il servizio Registro di Sistema remoto, selezionarlo e cliccare col tasto destro su proprietà, nella sezione Generale e nel riquadro Tipo di Avvio selezionare Disabilitato. Premere applica ed ok. Dal prossimo riavvio il servizio non sarà più attivo

Caro Hashcat,

innanzitutto grazie moltissimo per le delucidazioni..

Ti confesso che ho realizzato che devo ancora studiare molto per tentare di colmare il gap di conoscenze che mi separa da te e in generale da tutti coloro che animano questo importantissimo forum ( redattori, esperti, amministratori etc...etc che) fornendo delucidazioni su questioni informatiche

Allora... leggerò con attenzione la tua risposta..

ancora e buon weekend a tutti gli amici



Pp

[Nichi]

[
Lascio perdere una eventuale lentezza del pc, per sw che sono ridondanti (ad esempio le voci antimalware), e mi concentro sui 2 consigli FONDAMENTALI per un OS quale XP:
1) L'uso di DMR sopratutto nei sw che usi per scaricare altrimenti sei a livello amministratore.......
Và da sè che presumo che hai configurato almeno un pochetto Sandboxie per esempio abilitando la limitazione dei privilegi.......ecc,ecc.
2) La sostituzione immediata di I.E. ,che con XP è ancorato alla versione 8, che se noterai da Secunia avrà sempre bugs non patchati diversamente dalle versioni successive disponibili però in OS più moderni.

Con utenti alle prime armi io consiglierei Chrome.
Anche in questo caso non a default un minimo và da sè che deve essere configurato.
Ma già a default assicura una protezione migliore di I.E. nel OS che usi.

Pc Tools ThreatFire è leggerissimo sicuramente lo lascerò, eventualmente disinstallerò Prevx free nel caso di rallentamenti.
1) Come già detto sopra prossimamente installerò DropMyRights (non l'ho mai usato). Si, in Sandboxie ho fatto piccolissime modifiche: percorso area virtuale unità k -altro hd-, aggiungi bordo colorato, limita diritti.
2) Sto provando Chrome con questi plugin (BitDefender TrafficLight, WOT, AdBlock, SpeedDial), li ho installati con chrome nella sandboxie. Ho fatto bene oppure dovevo installarli con il browser non in area virtuale?
Grazie per i consigli.

Non ho ben capito la domanda.
Ovvio che le estensioni devono essere installate senza Sandboxie.

Ed a parte le estensioni che hai citato le due modifiche principali da fare nel browser in ambito sicurezza riguardano la disattivazione dei javascript (che poi attiverai in ogni sito web ove necessario) ed il fashblock o eventualmente io sarei per consigliare il click to play per abilitare i plugins (quindi anche flash) quando necessario.

... non ho mai usato aree virtuali. Capito, grazie per i consigli.

[Pulcepiccola]

Caro Hashcat,

Vanno bene i DNS di Norton? Devi testarne tu, l'efficacia facendo

ho fatto il test a cui hai accennato, e volevo chiederti, gentilmente, dei chiarimenti.


Premesso che se non ho capito male, con questo attacco DNS spoofing un malintenzionato potrebbe attaccare un server DNS in modo da fargli associare in IP fasullo ad un dominio per indirizzarti su una pagina web clone per reperire dati ( per esempio su una banca e estorcere al mal capito le credenziali) Giusto?

Ma ti chiedo se fosse possibile avere chiarimenti su come si legge il report, le varie colonne che lo compongono, i vari diagrammi.
Ti posto alcuni screenshot:

http://img34.imageshack.us/img34/4081/report1y.jpg
http://img20.imageshack.us/img20/8949/report2q.jpg
http://img41.imageshack.us/img41/3086/report3e.jpg

Inoltre siccome utilizzo i Norton DNS, volevo chiederti come mai non trovo in questo report l'indirizzo IP dei Norton DNS, il nome del server della Norton?
Infattti leggo 93.184.209.54 e Server Name: ec-05-spl.dyndns.com ( Ma non si riferiscono a server della Norton!)

Questo test usa il seguente metodo per capire se i DNS utilizzati dall'utente sono stati vittima di un attacco DNS spoofing?
Confronta i risultati del server utilizzato dall'utente ( e soggetto al test, nel mio caso i Norton DNS, anche se non ne vedo alcun riferimento) con i risultati di altri server DNS presi a campione di modo che per uno stesso dominio (esempio http://www.repubblica.it) tutti i DNS ( compreso quello sottoposto a test, nel mio caso Norton DNS)restituiscano uno stesso IP? Giusto? O sono lontano dall'aver compreso?

Grazie mille e buona Domenica

Ciao Ciao

Pp

PS. Ho visto che ci sono varie tipologie di spoofing, forse da prendere in considerazione, sarebbe anche l'IP spoofing?

[crazy.cat]

Potreste non fare il quote di un quote elevato ad un altro quote, altrimenti ci troviamo delle discussioni lunghe due km.
Grazie.

[Pulcepiccola]

Ciao crazy.cat

Pardon!

Buona Domenica

Ciao

Pp

[eugenio19911]

cambia di nuovo la configurazione di sicurezza: tolto avast! come rilevazioni fa veramente pena contro malware recenti decisamente superiore sia comodo e sia panda che sarà il nuovo team

[farbix89]

decisamente superiore sia comodo e sia panda che sarà il nuovo team