www.MegaLab.it

[sampei.nihira]

Ed ancora, alla luce della conferma di cui sopra, credo potrebbe essere interessante per i lettori sviscerare il seguente argomento.
E cioè con Chrome selezionare un'unica e fissa cartella di download a cui è stato forzato l'IL low.
Metto sotto un 3D di W. con una discussione in materia, secondo me, con gli "utenti più ferrati" in questo forum estero (oltre Kees1958 che non ha partecipato al 3D):

http://www.wilderssecurity.com/showthread.php?t=302230

Sarebbe interessante fare qualche test in merito per valutare se con la modifica il tutto sia OK.

Ed a tal proposito mi rivolgo a NIX87 (ed altri utenti se lo vorranno naturalmente) che ha certamente più possibilità di me di fare "esperimenti alla Star Trek".
Cioè là dove nessun uomo è mai giunto prima......

Nel mio caso a parte il permesso di mia figlia all'uso del suo PC per test durante il mio tempo libero estemi (che è raro) il tutto sarebbe poi vanificato nella pratica (anche se con il solo beneficio della teoria) perché lei non gradisce un percorso di download fisso ma variabile e quindi scelto in base al download stesso.

[sampei.nihira]

L'estensione Siteadvisor for chrome è stata rimossa dal web store.

[nix87]

Nei giorni scorsi avevo già provato a settare alcune cartelle 'a rischio' ad IL low, in primis la cartella dei download (fissa) di Chrome.

Ho provato in due modi.

1) seguendo i consigli al link già esposto da sampei: in questo caso aggiungendo i flag (oi) e (ci) l'IL low viene applicato anche agli eseguibili presenti nella cartella o in una altra qualsiasi sottocartella. Quindi anche spostando gli eseguibili in una directory differente mantengono sempre l'IL low e, nel caso di file leciti (quindi non infetti), bisogna ogni volta risettare l'IL Medio per poterli far funzionare correttamente... quindi ogni volta una rottura...

2) seguendo lo stesso procedimento di prima però senza i flag (oi) e (ci): in questo caso ogni eseguibile all'interno della cartella gira al suo IL 'nativo' però (e su questo punto non sono sicuro) le modifiche dovrebbero in un certo modo essere 'confinate' all'interno della cartella ad IL low, almeno spero...

Da notare tuttavia che questa modifica dell'IL low settata su alcune cartelle 'esposte' la riservo come ultima misura di sicurezza.
Infatti per essere al 99.99% sicuro, ho eliminato i diritti di esecuzione da tali cartelle: dovrà essere proprio una caso eccezionale che un malware (fatto con i controfiocchi) riesca ad eseguirsi nonostante tale misura (ed in questo caso ci sarebbe l'IL low che mitigherebbe il tutto).

Per rimanere ancora in tema di IL, ho potuto notare che facendo girare un'applicazione sotto la sandbox di Comodo, questa gira comunque al suo IL 'nativo'. Per tale ragione ho provveduto anche in questo caso ad imporre IL low (senza flag) e vietare i diritti di esecuzione anche alla cartella VritualRoot (la cartella della sandbox di Comodo, dove vengono confinate tutte le modifiche).

[sampei.nihira]

Grazie della tua testimonianza Nix.
In merito al punto 1 è si una rottura ma l'ipotetico malware non ha possibilità di sorta.
Invece per il punto 2 (che ti esorterei a verificare meglio) basta un semplice copia/incolla altrove per vanificare il tutto.
Copia/incolla che potrebbe essere un opzione presente nelle istruzioni del malware.

In merito alla "rottura" del punto 1 si potrebbe consigliare ai lettori invece che, modificare a mano ogni volta l'IL dei files legittimi tramite icacls, settare una cartella dei download fissa ad IL low ed usarla in quella che io chiamo navigazione rischiosa.
Cioè al di fuori dei soliti siti web sicuri,o almeno che noi riteniamo sicuri.
Ed invece salvare i file legittimi (o almeno quelli che noi consideriamo più spesso tali) in cartelle diverse da quella solita di download.
Cioè a dire abilitando ad ON/OFF l'impostazione "chiedi dove salvare il files prima di scaricarlo" all'occorrenza.

O magari studiare un'altra soluzione ancora più semplice che potrebbe venire in mente ad altri.

[nix87]

@sampei

Ho provato ad ovviare il problema creando una cartella (adibita alla sola installazione di programmi) a cui ho imposto un IL Medio e con i relativi flag (oi) e (ci).
Tuttavia spostando un eseguibile ad IL low (proveniente ad esempio dalla cartella dei download del browser) in questa cartella, la modifica automatica dell'IL non viene apportata (ovvero l'eseguibile rimane ancora ad IL low).

Non ho tempo per informarmi meglio, ma, se sai, ci sarebbe un qualche comando in modo tale che se sposto un file in una cartella ad IL modificato, mi viene modificato di conseguenza anche l'IL del file che ci ho spostato dentro ?

[sampei.nihira]

Non ho mai preso in considerazione tale eventualità.
Anche se non ho ben compreso lo scopo del tutto.
Occorrerebbe provare.
Ti inserisco la lista dei comandi sotto:

http://technet.microsoft.com/en-us/libr ... 25(v=ws.10).aspx

[nix87]

Non ho mai preso in considerazione tale eventualità.
Anche se non ho ben compreso lo scopo del tutto.
Occorrerebbe provare.
Ti inserisco la lista dei comandi sotto:

http://technet.microsoft.com/en-us/libr ... 25(v=ws.10).aspx

E' semplicemente per evitare la 'rottura' di cui ti parlavo prima...
Senza procedere per icacls ogni volta, basterebbe spostare dentro la cartella ad IL medio il file eseguibile ad IL low (proveniente ad esempio dalla cartella dei download del browser e di cui ci siamo prima accertati che sia pulito, ovviamente) per alzare a quest'ultimo automaticamente l'IL a medio.
Tutto ciò se riesco a trovare (ammesso che ci sia) il comando opportuno, perché altrimenti il trucco non funziona...

Comunque grazie sampei per avermi postato la lista dei comandi, ci darò un'occhiata con calma non appena avrò un po' di tempo a disposizione

[sampei.nihira]

Grande sviluppo per il team di Chrome !!!

La versione dev estende verso il basso l'IL.
Da "low" quindi ad "Untrusted".

Quindi superando la "modalità protetta" fino a raggiungere quella che potremmo chiamare "modalità protetta estesa":

http://msdn.microsoft.com/en-us/library/bb625963.aspx

Ancora una volta grande accortezza/curiosità/ricerca di KEES1958 che si accorge del tutto e lo comunica "alla massa" con il 3D sotto:

http://www.wilderssecurity.com/showthread.php?p=2045720

A chi si domanda se sia possibile diminuire l'IL di alcuni sw esposti tramite icacls (così prevengo anche qualche domanda di NIX87 ) la risposta è no.
Ieri ho provato in ogni possibile modo inserendo il parametro untrusted o Appcontainer ovviamente senza successo.

Con questa ulteriore modifica,il team di Chrome/Chromium elimina ogni ragionevole dubbio, non solo negli addetti ai lavori, di quale sia il browser migliore.
Erigendo di diritto il ruolo del browser a baluardo fondamentale della configurazione di sicurezza (cosa per altro che io sostengo da anni).

Ancora complimenti al team.

p.s. Non l'avevo scritto inizialmente ma si notino le immagini del valore rilevato con PE.

[sampei.nihira]

http://www.minasi.com/apps/

CHML consentirebbe di superare il limite di icacls e quindi di impostare un livello untrusted.
Nonostante la maggiore difficoltà di utilizzo.
Non l'ho mai usato ma è comunque interessante per un test.

[John Holmes]

secondo me basta un buon antivirus (NOD32 for ever) e un po' di buonsenso tra la sedia e il computer che essere paranoici sennò non si campa e l'uso del pc diventa uno stress più che un piacere

[nix87]

Continuando la discussione sugli IL...

1) @sampei: non appena potrò darò un'occhiata al tool chml e vediamo cosa si riuscirà a fare di bello...

2) Per chi usa Chrome ed ha imposto IL low alla cartella Temp (forse solo io e sampei... ): bisogna impostare IL low solo alla cartella e non anche alle sottocartelle e file inclusi (flag (oi) e (ci) al comando icacls). Altrimenti all'aggiornamento di eventuali plugin installati, alcuni che richiedono IL medio (ad esempio Click&Clean) potrebbero non funzionare correttamente (infatti i plugin, prima di essere installati nelle loro rispettive cartelle, vengono scaricati e mantenuti momentaneamente nella cartella Temp fino alla loro completa installazione).

P.S.: si sa mica per quando sarà disponibile in versione "ufficiale" la versione di Chrome attualmente in dev ?

[sampei.nihira]

Continuando la discussione sugli IL...

1) @sampei: non appena potrò darò un'occhiata al tool chml e vediamo cosa si riuscirà a fare di bello...

2) Per chi usa Chrome ed ha imposto IL low alla cartella Temp (forse solo io e sampei... ): bisogna impostare IL low solo alla cartella e non anche alle sottocartelle e file inclusi (flag (oi) e (ci) al comando icacls). Altrimenti all'aggiornamento di eventuali plugin installati, alcuni che richiedono IL medio (ad esempio Click&Clean) potrebbero non funzionare correttamente (infatti i plugin, prima di essere installati nelle loro rispettive cartelle, vengono scaricati e mantenuti momentaneamente nella cartella Temp fino alla loro completa installazione).

P.S.: si sa mica per quando sarà disponibile in versione "ufficiale" la versione di Chrome attualmente in dev ?

1) Aspetto quindi le tue considerazioni che vorrai esternare in questo 3D (spero).
perché l'età ha questo privilegio.
Hai mai visto il film con N.Cage "L'apprendista Stregone" ?
C'è molto di noi in quel film !!!

Non sò se hai letto che l'avvio del tool sotto 7 necessita di un altro tool (psexec).
A dir la verità ci sarebbero altri 2 metodi descritti da Minasi per ovviare all'avvio tramite psexec ma a me sembrano ancora "più noiosi da effettuare" in procedura e quindi non li sottoporrò a questa platea.

Aspetto dicevo le tue considerazioni perché presumo che occorrerà testare il tutto.
L'articolo ed il tool è datato e magari con un OS 64 bit potrebbe non funzionare.....insomma occorre verificare.

**************************************************************************************************************

Adesso la versione stabile è la 18 e la beta (presumo la 19).
Quindi la 20 sarà in versione stabile nell'arco max di un paio di mesi.

Nix per la cartella temp è per me sufficente il trick1806.
Se naturalmente lo hai ancora applicato.

[nix87]

Aspetto dicevo le tue considerazioni perché presumo che occorrerà testare il tutto.
L'articolo ed il tool è datato e magari con un OS 64 bit potrebbe non funzionare.....insomma occorre verificare.

Si certo, però dovrai pazientare un po'
Se avrò un po' di tempo libero cercherò di testare il tool e vederne l'efficacia.

Nix per la cartella temp è per me sufficente il trick1806.
Se naturalmente lo hai ancora applicato.

Si, il trick 1806 ce l'ho attivo.

Io ho seguito il suggerimento di Kees (in uno dei link che mi avevi postato in precedenza) e cioè quello di 'limitare' la cartella dei download e la Temp per Chrome (a quanto pare il solo trick 1806 può risultare non sempre efficace).
Ho quindi impedito l'esecuzione in queste due cartelle.

In più ho voluto testare (ma solo per curiosità, perché, imo, sarebbe superfluo se alla cartella vieti già l'esecuzione) anche l'abbassamento dell'IL, ma sulla cartella Temp da il problema descritto prima...

[sampei.nihira]

Kees1958 muta spessissimo la propria configurazione (e quindi probabilmente le proprie idee).
Ad esempio da pochissimo è ri-tornato all'account admin:

http://www.wilderssecurity.com/showpost ... ount=22842

ed utilizza un tool che prima non ha mai utilizzato cioè UAC PowerBroker.

[sampei.nihira]

http://www.wilderssecurity.com/showpost ... ount=22995

@ Nix87
Per non smentire le ultime parole famose,ancora una cambio, diciamo notevole.

[nix87]

Quest'ultima versione dell'hardening di W7 proposta da Kees è davvero molto simile alla mia

Unica cosa nuova per me è il comando "RUNASINVOKER", sarebbe interessante testare e vedere la sua efficacia...

[sampei.nihira]

Lui ha un 32 bit probabilmente con un 64 bit prenderebbe meno "precauzioni".
Secondo me MSE gli dura poco.....:

http://www.wilderssecurity.com/showthread.php?t=282550

[sampei.nihira]

Secondo me MSE gli dura poco.

Ed infatti,come volevasi dimostrare,meno che poco.

[nix87]

Stavo facendo qualche breve test con il comando icacls (senza però usare ancora il tool chml).

In pratica ho impostato a Low il livello di integrità di una cartella.

Però, dopo il test, andando a ripristinare l'IL di tale cartella a Medium, il risettaggio dell'IL vale solo per i file e cartelle salvati al momento del risettaggio stesso:
ovvero, se successivamente scarico (sempre in questa cartella) un eseguibile da internet, a tale eseguibile viene automaticamente abbassato l'IL a Low (nonostante subito prima avessi reimpostato l'IL della cartella a Medium).

Ho provato a reimpostare l'IL su Medium sia con i flag (oi) e (ci) (relativi al comando icacls) che senza, ma senza successo (ovvero compare sempre il medesimo problema di prima).

Secondo voi a cosa potrebbe essere dovuto ciò ?

[sampei.nihira]

E' una domanda difficile,io penso che solo ERASER potrebbe rispondere immediatamente.
Per noi "comuni mortali" occorrerebbe studiare i permessi e le interazioni di ICACLS con le cartelle (folders):

http://timbolton.net/2010/06/23/icacls- ... d-folders/

http://technet.microsoft.com/en-us/maga ... rades.aspx

e naturalmente testare (spesso da noi) come occorre fare in questo campo.

p.s. Hai provato a cancellare la cartella e ricrearla, se il tutto si resetta ?