www.MegaLab.it

[nix87]

@sampei:

Volevo solo chiederti una cosa.
Con le estensioni che hai ultimamente aggiunto a Chrome (SiteAdvisor e Blocksi), noti qualche rallentamento nella navigazione ?

[sampei.nihira]

La risposta è no,non verifico rallentamenti in navigazione.
Tieni però presente che l'hardware è nuovo ed il pc non è "imballato" da fw di terze parti ed antivirus in modalità real time.

Non molti sono a conoscenza che anche per Opera è disponibile il Siteadvisor come estensione.
Anche se il redirect (che a me piace) non è presente.

Anzi....ora che mi è venuto in mente, quasi quasi vado a farlo presente....

Ho inoltre aggiunto un eccezione a Blocksi,per un evidente FP in segnalazione e quindi blocco del sito web (utorrent).
Tutto bene nessun problema.

C'è qualche utente che potrebbe segnalare,in un "inglese" meno "mordi e fuggi" del mio,l' inefficienza del redirect nell'estensione per Chrome ?

Inefficienza che è possibile testare, se non ricordo male,visto che adesso non uso quel pc,nel link sotto depositfile:

http://depositfiles.com/files/bopnai400

[nix87]

Alla fine ho installato anch'io il plugin Blocksi per Chrome.
Davvero eccezionale, vista la grande varietà di categorie proposte ed il fatto che ha un database di più di 20 miliardi di pagine web !!

Posso confermare anch'io che non si risente di alcun rallentamento nella navigazione (tanto poi, con 8 GB di ram cosa vuoi che sia un'estensione in più )

@sampei:
tra i falsi positivi aggiungerei anche questo:

Almeno il loro sito potevano escluderlo dagli 'unrated'

[hashcat]

Al momento sto valutando se utilizzare o meno WinPatrol Plus (licenza ottenuta da un giveaway). Da una prima impressione sembra estremamente leggero.

[sampei.nihira]

Alla fine ho installato anch'io il plugin Blocksi per Chrome.
Davvero eccezionale, vista la grande varietà di categorie proposte ed il fatto che ha un database di più di 20 miliardi di pagine web !!

Posso confermare anch'io che non si risente di alcun rallentamento nella navigazione (tanto poi, con 8 GB di ram cosa vuoi che sia un'estensione in più )

@sampei:
tra i falsi positivi aggiungerei anche questo:

Almeno il loro sito potevano escluderlo dagli 'unrated'

Io,al momento, non ho "abilitato" gli interventi in quella categoria.
Solo la categoria che ho citato nel 3D specifico.

[sampei.nihira]

Anche con l'ultima versione di Chrome rimane sempre il bug (perché è un bug) che vi notifica il comportamento anomalo di
adblock plus.
Invece è scomparso il problema a cui facevo riferimento con il redirect di siteadvisor:

Uploaded with ImageShack.us

Che è possibile testare,in quanto in questo momento i links di DepositFile sono considerati nocivi, proprio in questo sito web.
Il blocco funziona anche con i javascript disattivi.

[sampei.nihira]

Interessanti alcuni concetti a livello sicurezza che hanno per così dire una forma mentis opposta a quella solita.

Faccio qualche esempio pratico.
Se abbasso l'IL a vari sw installati nel pc reputo che sono più al sicuro.
Ma un'idea alternativa potrebbe essere quella di avere tutto ad IL medio o alto.
E solo il browser a livello low.
Se non si usano plugin esterni (java.....) potrebbe essere un opzione interessante.

Ed ancora usare OS old può essere più sicuro di quelli moderni ?

Del resto i malwares si evolvono in base ai OS diffusi.

Quindi chi utilizza oggi W.98 potrebbe essere più al sicuro di coloro che hanno XP.

Ed un domani (2014 in poi) l'utilizzo di XP potrebbe diventare più sicuro dei OS moderni..........

[farbix89]

Quindi chi utilizza oggi W.98 potrebbe essere più al sicuro di coloro che hanno XP.

Ed un domani (2014 in poi) l'utilizzo di XP potrebbe diventare più sicuro dei OS moderni..........

E mancherà il supporto alle più moderni tecnologie,e non potrai far partire nulla di buono

Sulla stessa lunghezza d'onda:

il cavallo o la carrozza inquinano molto di meno di un'automobile e quindi l'uomo ha il dovere di tornare in carrozza o a cavallo

il treno a vapore è decisamente più economico del treno diesel o elettrico,dovremo farli tornare in circolazione?


perché ostinarsi a proporre vecchi OS solo per l'ambito sicurezza?Dove lo mettiamo il WEB 2.0?

I nuovi standard e i nuovi codici?

Non mi pare che si viva di soli virus e minacce costanti...insomma non accendo il PC ogni giorno e penso di essere stato infettato solo perché uso un OS moderno

[sampei.nihira]

[sampei.nihira]

Gli utenti di chrome che vogliono avere un controllo della reputazione dei siti web possono scegliere
oltre alle solite estensioni,WOT,Bitdefender trafficlight,Siteadvisor.....anche:

AVG Threat Labs Site Safety

M86 Security Secure Browsing (che ha possibilità di setting)

entrambe le estensioni sono aggiornate al 2012,che secondo me è cosa importante.

[sampei.nihira]

After two years of safe-admin, now safe-lua on Win7 32 bits ultimate

----------- from network stack to process stack ------------------
Use Windows FW both for inbound and outbound. Set a deny execute on receiving folders of browser, e-mail and media player using Access Control Lists deny execute/traverse folder for Everyone (change ACL with right click folder, tab security).


--- from Low Rights (Protected mode) to Medium Rights (LUA) ---
Using Chrome (Comodo Dragon version incognito all the time) with its internal (low rights) sandbox and AVG Threatlabs plug-in (plus build in safe browsing of Google)

-------- from Medium (LUA) rights to High (Admin) Rights ---------
Running LUA with basic user as default level (run as admin for both EXE and MSI to install) which acts as deny execute in user folders. Group Policy hardening (e.g. deny elevation of unsigned, deny install from USB, System & Logon options to block autostarts for users) on top of that used ICACLS to add a mandatory Medium Level Intergrity to Outlook, media player and pdf-reader and browser.


---------------------------- Real Time -----------------------------
EMET 2.1 (Browsers, eMail, Media Player and PDF reader).


--------------------------- On demand -----------------------------
- Windows7 Image backup (saved a clean install to revert to)
- Sync Toy data backup (quick save to old 2nd HD, NAS for pictures and USB disk for business data).
- Hitman Pro free quick scan before monthly data backup

Dopo molti anni di admin anche kees1958 passa all'account standard.
Ecco sopra la sua ultima configurazione di sicurezza,noterete complessa nell'hardening.
Ma secondo me carente nel web filtering affidato al browser.

[sampei.nihira]

http://www.wilderssecurity.com/showthre ... 0&t=321428

Altro 3D dal contenuto interessante.
Dimostra che il mio pensiero di non affiancare la protezione di SandboxIE nei OS moderni quando si usano browser che hanno la modalità protetta sia
per così dire,condivisibile.
Se non altro da qualcuno.

[sampei.nihira]

Due notizie:

1) Kees1958 ha sostituito nella sua configurazione di sicurezza l'estensione AVG Threatlabs preferendo Traffic Light Bidefender.

2) Hitman Pro dalla versione 152 è dotato anche del motore Bitdefender (per restare in tema) che appare in GUI.

[nix87]

Interessanti le misure prese da Kees.

Anch'io sto per impostare una SRP per l'utente standard sulle cartelle 'più sensibili' (col metodo 'manuale' però, visto che la mia versione di Windows 7 non ha il gpedit).
In questo modo si eviterebbe anche di impostare l'IL basso su certe applicazioni che male digeriscono questa limitazione (vedi lettori multimediali e certi lettori pdf). Piuttosto per questi ultimi programmi può risultare utile (forse ridondante, se in aggiunta alle policy di SRP) imporre manualmente un IL Medio in combinazione col Deny Elevation of Unsigned Programs (poichè la modifica dell'IL invalida la firma digitale).

A mio parere però rimarrebbe solo un buco aperto nella protezione (per l'account standard s'intende), ammesso d'aver impostato una SRP adeguata:
ovvero da account standard sarebbe sempre possibile modificare le chiavi di registro non protette dall'UAC...
...non saprei se è possibile fare qualcosa anche per questo

[sampei.nihira]

Ho fatto solo 1 test qualche tempo fà di modifica chiavi di registro non protette da UAC nell'account Standard
tramite un file batch.
La modifica (ovvio lanciata in modo volontario) non ha generato il pop-up UAC (che nel mio caso è impostato al max) ed ha modificato il modo così consistente il OS,anche se non nelle funzioni primarie, da richiedere un backup.
Poi purtroppo mia figlia mi ha vietato (ritengo ad onor del vero,giustamente) esperimenti così estremi nel suo pc.......

Nel caso dei malwares secondo me l'aspetto più importante è sempre nell'elevazione dei privilegi.
In caso di account standard (in questo caso come ripeto da sempre si elimina un'installazione diretta del malware e ci si può rendere conto al link sotto di ciò) ovvio sempre che la configurazione di sicurezza sia bypassata,dicevo ci sono vari metodi per ingannare l'utente e procedere nell'elevazione dei privilegi.
Quello secondo me più insidioso è quello di un processo legittimo.
Nell'analisi sotto che ti inserisco per il rootkit Zeroaccess si cerca di ingannare l'utente con il pop-up UAC per Flash:

http://nakedsecurity.sophos.com/zeroacc ... stallation

E' interessante constatare,dall'analisi di cui sopra, come noi abbiamo una protezione a più strati del tutto.
In primis il plugin flash è incorporato/aggiornato dallo stesso browser e così nel mio caso il lettore pdf di rete.
Ma l'aspetto più interessante è l'eseguibile nella directory temporanea.
Il tutto sarà certamente tamponato dal nostro trick 1806.
Che quindi assume rilevanza interessante proprio per questo aspetto nelle directory temporanee.
Altri sistemi di installazione non assumono interesse per l'aspetto di prevenzione affidata allo stesso utente e suo comportamento,quindi non li cito nemmeno.

Per quanto riguarda la tua prossima realizzazione di SRP credo che sarebbe interessante,per tutti i lettori, anche solo una basilare esposizione.
Quindi ti esorterei a citarla,quando sarà eseguita.

[nix87]

Per quanto riguarda la tua prossima realizzazione di SRP credo che sarebbe interessante,per tutti i lettori, anche solo una basilare esposizione.
Quindi ti esorterei a citarla,quando sarà eseguita.

Senz'altro, non appena la implementerò e testerò la sua efficacia (poi magari vi chiederò qualche consiglio per sapere se sarà opportuno modificarla in alcune impostazioni)

Ho fatto solo 1 test qualche tempo fà di modifica chiavi di registro non protette da UAC nell'account Standard
tramite un file batch.
La modifica (ovvio lanciata in modo volontario) non ha generato il pop-up UAC (che nel mio caso è impostato al max) ed ha modificato il modo così consistente il OS,anche se non nelle funzioni primarie, da richiedere un backup.

Che tu sappia sampei, quanti modi ci sono per modificare, da account standard, le chiavi di registro non protette dall'UAC ?
Oltre all'accesso diretto a regedit, mi vengono in mente i file .reg, script e file batch (come nel tuo test),... poi c'è qualche altro modo ?

perché con la SRP potrei impedire l'esecuzione di file (quindi inclusi script, ecc...),
inoltre potrei modificare un'opportuna chiave di registro per impedire l'utilizzo del regedit
ed impostare ad esempio il notepad come software predefinito per l'apertura dei file .reg:
così non ci sarebbe più alcun modo di modificare il registro (almeno credo).

[sampei.nihira]

Nix è un po' tardi quindi la mia lucidità volge al termine.....
SRP in definitiva può essere compromessa come lo stesso UAC.
Mi preoccupa abbastanza la tecnica che consente anche da account standard di lanciare un exe all'apparire del prompt UAC:

http://www.room362.com/blog/2012/1/3/ua ... omise.html

Meno la modifica delle chiavi di registro nell'account standard.
Quindi per rispondere al tuo quesito se c'è io non ne conosco altri a quelli da te citati.
Una risposta che non sarà esaustiva perché la mia conoscenza non è così profonda in merito.
Quindi come al solito se si può verificare un bypass in una certa zona del nostro sistema occorre che la configurazione di sicurezza multistrato impedisca/prevenga l'evolvere della situazione sfavorevole.

Interessante l'annuncio sotto di Erikloman:

http://www.wilderssecurity.com/showpost ... count=4226

[sampei.nihira]

Ritorno ancora una volta in merito alla shell extension di Explorer.exe.
L'installazione di un sw che magari non supporta l'ASLR (ne abbiamo già parlato in precedenza) apre un buco nella sicurezza del vostro OS.
perché ci può essere interazione con altri sw che solitamente sono bersagliati cioè il lettore pdf,Office....
Inserisco una lettura che rammenta ciò:

http://blog.didierstevens.com/2011/01/1 ... r-does-it/

Ancora una volta il consiglio "meglio poco che troppo" potrebbe rivelarsi oculato.

Ieri ho visto un pc da un amico (ma non ho detto nulla come mio solito) con una moltitudine di shell extension a dir poco assurde.

[hashcat]

Al momento sto provando il MVPS HOSTS con soddisfazione.

Dopo una lunga fase di testing ho adottato definitivamente il file hosts MVPS.

Inoltre segnalo che fino ad oggi WinPatrol Plus é in promozione a 99 cent.

[sampei.nihira]

La mia scelta (fatta nell'anno passato) di NON DOTARE con SandboxIE il pc nuovo con Windows 7 64 bit si rivela oculata.
Sospettavo già da allora che SandboxIE,non rispetta i livelli di integrità,e non mi sono "sbattuto" più di tanto per la mia scelta, ma qualche altro utente ha voluto approfondire ai link sotto un test recente di m00nbl00d:

http://www.wilderssecurity.com/showpost ... stcount=31

http://www.wilderssecurity.com/showpost ... stcount=35

Ovvio i lettori che hanno un OS recente (con XP l'uso dei Sandbox è sempre consigliato) dovrebbero verificare se con altri Sandbox (Comodo,Avast.....) gli IL siano rispettati.
Altrimenti c'è il rischio che ad un beneficio si sottragga una protezione.