www.MegaLab.it

[sampei.nihira]

Quindi affidarsi al solo antivirus è come puntarsi alla tempia un revolver con 1 solo colpo in canna su 6.

Hai 5 possibilità di avere "salva la pelle" se premi il grilletto e solo 1 di perire.

Ma 1 volta può accadere di trovarsi nella situazione di svantaggio.........

Anche il miglior antivirus quindi......

Bè però senza AV i virus hanno un AK con caricatore da 30 colpi,e almeno la metà vanno a segno sul sistema

Basta che sia un Windows...ma qui non è il topic giusto

Questo è certo.

Se prendiamo una configurazione di sicurezza "scarsa",oppure incentrata per la quasi totalità su un unico prodotto, ad esempio una suite, con tutte le restanti aree dove sarebbe possibile intervenire, esposte !!

E' come proteggere un castello medioevale con un solo muro di cinta fortificato con le restanti aree molto deboli.

Se tu invece scavi un fossato attorno a castello,ci metti i coccodrilli,fortifichi il muro di cinta e ne crei anche uno interno,rendi gli approvigionamenti costanti,scavi delle gallerie con uscite forificate nascoste,puoi contare su uomini allenati alla guerra,.......ecc ecc....agisci su più fronti !!!

Hai certamente più probabilità di difenderti al meglio su più fronti.

********************************************************************************************

Ed ancora in merito ai vari OS.

Partendo dal presupposto che tanto io non mi infetto lo stesso sia che uso linux oppure Windows,dal mio punto di vista decade totalmente il vostro dogma che in merito all'aspetto sicurezza, linux,sia migliore di Windows.

perché è vero,che a default,linux è certamente più intrinsecamente sicuro,ma io non userei mai un OS Windows a default anzi punto proprio sull'hardening di questo.

Quindi dal mio punto di vista pari sono.

Ci siamo ?

Buona serata.

[mikele141]

VI FACCIO UNA DOMANDA E MANCO RISPONDETE, MA SIETE UN FORUM O GENTE STRAFOTTENTE?

[Al3x]

@mikele
alcuni di noi rispondono dal cellulare, altri studiano o sono al lavoro ed a volte il post di qualcuno può scappare. Oltretutto non è tenendo questo atteggiamento che otterrai ciò che desideravi (una risposta), al contrario ti attirerai le antipatie di tutti. Sarebbe stato sufficiente riquotarti domandando gentilmente indicazioni, oppure aprire un topic apposito in cui chiedevi rassicurazioni ed indicazioni

[Andy97]

Siamo gente che non passa tutto il giorno davanti al pc. Se nessuno ti ha risposto non è perché ha altro da fare ma semplicemente potrebbe non aver visto il post (come ha detto alex) oppure non conosce la risposta. Ti invito allora a leggere il topic "Le rsiposte che non diamo" nell'area "Benvenuti in MegaLab"

[nix87]

Ecco un tool che sopperisce all'uso di Click & Clean (per chi lo ha già installato nel proprio browser)

AutoClean

Bisogna però aver installato CCleaner.
Alla chiusura del browser, il tool richiama in automatico CCleaner e vengono eseguite tutte le pulizie che avete preventivamente impostato in CCleaner stesso (anche di eventuali cartelle personalizzate, se le avete impostate...).

Spero possa essere utile per qualcuno.

[nix87]

Ecco un tool che sopperisce all'uso di Click & Clean

AutoClean

Utile anche per coloro che fanno girare il proprio browser sotto la sandbox di Comodo e vogliono che i file 'virtualizzati' vengano sempre cancellati alla chiusura del browser

[pinguinofulminatore]

Inserite in questo 3D la vs configurazione di sicurezza.
Così facciamo qualche paragone,vediamo i OS più usati ecc ecc....

La mia configurazione di sicurezza: GNU/Linux per navigare dove e come mi pare (wireless libere-bar- Hotspot vari- che con Windows mai mi sognerei di agganciarmi) + siti più disparati (e quello che vi immaginate è poco)

Windows: Firewall di terze parti (quelli di Windows fanno,e hanno fatto da sempre cag...e) HIPS - antivirus con antispiware incorporato in real time.

Qualche modifica qua e la nel regedit,e scanzioni incrociate con vari tools (a cadenza regolare)

PS. Tutto questo però, c'è da aggiungere che Windows lo avvio raramente e solo nella mia rete,e solo lo stretto necessario.

Non è da escludere che a breve lo faccio caput in via definitiva.

Quello che mi spinge a non abbandonarlo del tutto ,è il semplice motivo che voglio stare al passo con tale SO,visto che mi fa guadagnare qualcosa non di rado.

Per forza:con tutti gli appestati!

[sampei.nihira]

*** Premessa ***

In questi gg parlando con il figlio di un amico della mia configurazione di sicurezza light mi pareva di essere quasi un marziano....
Il motivo è ovvio il paragone è sempre considerando una suite o almeno parti di questa.
Mi piacerebbe quindi dare qualche consiglio ai lettori facendo un paragone che uso spesso,cioè quello del "castello medioevale" soggetto ad attacco di eventuali nemici.
Nostro scopo è rendere il castello quanto più inespugnabile possibile.
L'utilizzo di prerogative interne al OS sarebbe da preferire perché ogni sw installato di terze parti aumenta la superficie di attacco.

Immaginate quindi di erigere delle difese attorno al nostro "castello medioevale" fatte per semplicità da "muri concentrici" che vanno dal più interno al più esterno.

1° Muro = Os W.7 64 bit con aggiornamenti costanti il secondo martedì del mese,installazione di un numero di sw minore possibile scelti anche tenendo conto alle caratteristiche di sicurezza (ASLR on) e bugs nel tempo (Secunia) aggiornati in modo quanto più possibile subitaneo grazie ad un sw che gestisce quest'aspetto.

2° Muro = SUA-UAC max.

3° Muro = Fw residente di 7.Io ho ritenuto di non attivare la gestione delle connessioni in uscita visto che sono sotto router con fw hardware attivo ed ho disattivato la rete wi-fi e non uso mai connessioni esterne,ma i lettori che vorranno farlo hanno tale possibilità.
Anche se la gestione del tutto a me pare piuttosto difficile.
Meglio forse,per coloro che vorranno cimentarsi, usare una specie di interfaccia grafica, che rende il tutto più semplice:Windows Firewall Notifier.
Notate che le connessioni in uscita sono notificate con il pop-up piccolo sotto dell'immagine e l'utente ha la possibilità di creare una regola in modo semplice.
autorizzando/negando oppure con spuntando la casellina sotto rendendo la vs scelta definitiva.

4° Muro = EMET,poche cose da dire se ne già parlato in modo ampio.

5° Muro = SRP (nel mio caso via controllo parentale) ogni eseguibile fuori da una white list di sw installati nel sistema permessi è bloccato in modo automatico.

L'applicazione dei 5 muri di cui sopra già taglia le gambe ad un numero di malwares che secondo me supera una percentuale del 90 %.

6° Muro = Ripristino configurazione sistema off (previo sistema backup),Windows defender off (meglio usare sw on demand più performanti),autoplay on/off.
In merito a tale fatto c'è un po' di confusione,specie con W.7, che è presumo sarà dissipata dall'articolo,che ho scelto per il linguaggio semplice, sotto:

http://www.navigaweb.net/2011/02/disatt ... zione.html

E' comunque buona regola avere nel desktop la scheda della disattivazione dei dispositivi che è possibile reperire nel pannello di controllo che si userà precauzionalmente prima di inserire una pen-drive ignota o un cd ignoto (dagli amici,conoscenti......) ecco quindi l'off/on.

E veniamo al browser che potrà consentirci di non avere installato una antivirus.

7° Muro = browser web,io generalmente consiglierei Chrome per l'aspetto user-sandbox.
Pdf interno,flash interno,click to play attivo (quindi blocco a default di flash e java).....poi ci sono altri aspetti minori.....
Protezione interna "Google" contro phishing e malwares.
Wot
Traffic Light Bitdefender
DNS protettivi contro phishing e malwares (che integrano le protezioni del browser).

Per ogni pagina web pericolosa che è possibile incontrare diventa veramente arduo superare solo il setting del browser suddetto,basta provare nella MDL !!!
Poi ovvio ci sono, nel caso, gli altri "muri".........

Ed un HIPS ?
Con una configurazione come quella sopra secondo me è non sarebbe indispensabile.
Io l'ho usato in passato,oltretutto per lungo tempo, in un altro OS più esposto, ma non è mai intervenuto a salvaguardia del sistema.
A parte i vari test creati ad hoc......

Allora un sandbox ?
E' una scelta che diventa più necessaria specie se si adotta un browser diverso da quello suddetto.
Secondo me la scelta migliore resta sempre SandboxIE.

8° muro = Qualche finezza,abbassare l'IL del sw usato per aprire i file pdf salvati nell'HD,abbassare anche l'IL del sw usato per aprire file multimediali.
A tal proposito mentre la procedura è semplice e riesce per VLC (che è funzionante a parte qualche problemino) non si attua con ICACLS nei confronti di WMP.
Anche se ho reperito in rete che è possibile ugualmente solo usando un altro tool ma la reputo più difficile e macchinosa.

E per finire una curiosità.
Avete notato che un sw che non ha attiva una determinata caratteristica (ad esempio ASLR) in lista EMET come possa funzionare con tale caratteristica attiva se poi in Process Explorer non appare.
E' vero con PE ed altri sw suigeneris non si rende visibile una caratteristiche introdotta in "modo simulato".
Ma ci si può rendere conto che il sw fà il suo "sporco lavoro" grazie alla finestra inferiore di PE come nell'immagine sotto riferita in questo caso ad Opera:

Spero che tutto ciò sia utile a qualcuno.

[nix87]

Non abbiamo però ancora risolto la questo dei java...
... che non vengono 'visti' dall'SRP (ma solo da un buon HIPS ).

[sampei.nihira]

Non abbiamo però ancora risolto la questo dei java...
... che non vengono 'visti' dall'SRP (ma solo da un buon HIPS ).

Vero.
Ma se tu grazie al browser impedisci a default l'avvio dell'applet java (a proposito nel setting sopra mi sono dimenticato dei javascript disattivi a default) elimini il problema alla radice.
Ovvio che devi abilitare il java solo nei pochi siti web (si presuppone fidati) che usi.

Ma anche questi siti web un domani si potrebbero infettare ?
Giusta osservazione (che prevengo ).

Si ma noi sappiamo riconoscere un inganno che sfrutta la tecnologia java e non abiliteremo mai volontariamente l'esecuzione iniziale dell'infezione.
Ma immaginiamo che qualcuno disgraziatamente abiliti ciò....si passa a sotto.
Ci sono le eventuali mitigazione di EMET e nel caso malagurato anche l'uso di un account standard aiuta perché probabilmente il malware non avrà psossibilità di fare molti danni (o nessuno) perché per far ciò avrebbe bisogno dei privilegi di amministratore ed allora potrebbe anche intervenire UAC (se è capace di sfruttare l'elevazione dei privilegi) e noi ovviamente non acconsentiamo all'inserimento della pass.
E se il malware richiama anche un eseguibile sarà bloccato dalla SRP.

Mi sembra arduo il compito del malware.

Dimmi una cosa il tuo HIPS è mai intervenuto a salvaguardia del sistema in un caso reale di inizio infezione ?

[nix87]

Mi sembra arduo il compito del malware.

Questo è senz'altro vero

Dimmi una cosa il tuo HIPS è mai intervenuto a salvaguardia del sistema in un caso reale di inizio infezione ?

In realtà il mio hips è intervenuto, sin'ora, solo quando ho installato nuovi programmi (che conosco, ovviamente), chiedendomi le varie autorizzazioni da dare oppure auto-sandboxando il sw se quest'ultimo non rientra nella sua white-list (tuttavia, quando installo nuovi sw, posso momentaneamente impostare l'hips in una certa modalità di apprendimento per evitare tutti questi avvisi).

Comunque credo che tenere un buon hips ne valga la pena, almeno come ulteriore barriera di protezione (attiva). Poi considerando quel poco di risorse che consuma... ne vale ancora di più la pena

P.S.: sopra non hai parlato degli (eventuali) sw di scansione on-demand che utilizzi (se li utilizzi)

[sampei.nihira]

Bah sono sempre i soliti sw on demand quelli consigliati.
Io personalmente uso solo HP ma averli installati più di 1 non fà mai male (se non hanno processi attivi anche quando sono chiusi).

Vedrai che prima o poi ti chiederai, in merito all'HIPS, perché tenere installato qualcosa che non interviene mai a fare ciò per cui è stato creato.

E la tua difesa evolverà verso un Sandboxie esclusivo che almeno vedi ogni gg che svolge una funzione utile e sostituisce quindi bene un HIPS.

[sampei.nihira]

Visto che questo è un forum di informatica, ecco una recente configurazione di sicurezza ovvio sotto Windows di un utente in un forum estero:

http://www.wilderssecurity.com/showpost ... ount=20126

Se la mia risulta complicata............basta solo notare l'hardening di I.E.9.....

Notate la somiglianza (ma anche la diversità lui preferisce usare I.E.),cioè una mancanza di un fw di terze parti,antivirus in real time,HIPS,......e ci sono altri utenti con configurazioni simili !!!
Anzi senz'altro ancora più semplicistiche nella dotazione sw ed hardening.

Almeno dimostra che io non sono l'unica "mosca bianca".

p.s. Pensavo di trovare qualche utente interessato, almeno come curiosità, a dare uno sguardo all' "interfaccia grafica" del fw.......

[farbix89]

Vedrai che prima o poi ti chiederai, in merito all'HIPS, perché tenere installato qualcosa che non interviene mai a fare ciò per cui è stato creato.

Siamo sicuri che non intervenga?Su che basi si afferma ciò?Prove scientifiche di CSI?

E siamo sicuri che Sandboxie blocchi eventuali exploit Java o gli interventi dei FlashBIOS malware?

E che EMET fa il suo dovere fino in fondo?


Come vedi pure io posso generare panico ed attaccare i prodotti consigliati


Instigare la gente a non fidarsi degli HIPS per proporre alternative "deboli" significa condannarli ad essere perennemente infetti

Riprendendo un vecchio detto sulla risata:

"Una sandbox emetizzata vi seppellirà (la vita digitale,ovvio)"

[sampei.nihira]

Vedrai che prima o poi ti chiederai, in merito all'HIPS, perché tenere installato qualcosa che non interviene mai a fare ciò per cui è stato creato.

Siamo sicuri che non intervenga?Su che basi si afferma ciò?Prove scientifiche di CSI?

E siamo sicuri che Sandboxie blocchi eventuali exploit Java o gli interventi dei FlashBIOS malware?

E che EMET fa il suo dovere fino in fondo?


Come vedi pure io posso generare panico ed attaccare i prodotti consigliati


Instigare la gente a non fidarsi degli HIPS per proporre alternative "deboli" significa condannarli ad essere perennemente infetti

Riprendendo un vecchio detto sulla risata:

"Una sandbox emetizzata vi seppellirà (la vita digitale,ovvio)"

Stamattina non sono andato a lavoro e quindi mi dovrai sopportare.....

Io non credo di essere sul banco della Santa Inquisizione per aver proposto una configurazione di sicurezza alternativa che oltretutto nei OS W.7 a 64 bit (mi sembrava chiaro) viene condivisa come sicura da un numero di utenti,taluni con notevole esperienza nel settore,sempre crescente nel Mondo informatico.

Quindi non genero panico.....anzi propongo di uscire dai soliti schemi.

Sono una persona liberale che non obbliga nessuno a mutare le proprie abitudini,tantomeno nell'aspetto sicurezza.

Oltretutto non intervengo mai in errori dovuti a carenza di conoscenza che leggo.......

Devo pensare come G.Galilei che le novità sono viste in un clima di pregiudizio/avversione/censura su MLI ?

[farbix89]

Sampei sai che mi piace tantissimo scherzare e stuzzicare

Quindi non genero panico.....anzi propongo di uscire dai soliti schemi.

Quindi uno dei nuovi schemi è di rimuovere un HIPS per affidarsi solo a EMET e qualche Sandbox?

Magari settando a fondo l'OS e i software?

Ci fidiamo così tanto degli OS Windows?E utenti indisciplinati che sono in grado di distruggere anche il più grande castello di protezione messo in piedi?


Più che un hardening del PC,ci vuole un hardening degli Utenti

Prima formiamo utenti disciplinati,e poi tutti i consigli di sicurezza avranno un modo per essere efficaci fino in fondo.

[sampei.nihira]

Si è giusto, in un OS W.7 a 64 bit una configurazione alternativa (quindi sicura e notevolmente più leggera delle solite) si basa sull'hardening del OS e tutto il resto che ho già scritto.
Hai ragione a dire che spesso l'anello debole è l'utente,quindi in questo caso,basta integrare con l'uso di un sw o più di uno,tradizionale/i che assicura/no quella protezione in più che potrebbe fare la differenza.
Io preferirei in tal caso l'uso di Sandboxie (anche se nel pc famoso con quella configurazione di sicurezza non c'è installata SandboxIE),tu un HIPS penso.

Quindi la mia visione nei OS Windows a 64 bit si avvicina presumo a quella che tu hai per linux e cioè che, in questo specifico OS,un ottimo hardening del OS e l'uso di pochi sw assicurano la protezione dello stesso.

Cioè la forza è quindi nello stesso OS,basta saperla reperire.

[sampei.nihira]

Un articolo datato dell'amico Eraser scritto sul portale di M.Nasi:

http://www.ilsoftware.it/articoli.asp?id=7871

Appare ovvia la maggiore sicurezza intrinseca di un 64 bit rispetto ad un 32 bit.

Interessante la considerazione in merito a HijackThis che effettivamente non era a mia conoscenza.

[sampei.nihira]

Ho eliminato dalla configurazione di sicurezza nel pc di mia figlia la SRP via controllo parentale ed ho sostituito questa con il trucco 1806.
Che lascerò sempre abilitato visto che NON sarà mai usato, I.E.

[sampei.nihira]

La prossima zona interessata dall'hardening sarà la parte "Deny elevation of unsigned programs".
Che verificherò quanto prima.
Il motivo risiede nella facilità di elevazione dell'IL di un sw alla stessa stregua del suo abbassamento.
La parte interessante è che dopo una modifica suigeneris il sw che potrebbe essere "colpito" perde la validità della sua firma......