www.MegaLab.it

[nix87]

Grazie per i link sampei,
dovrei capire un po' meglio come funziona la "propagazione" dell'IL nei file e nelle cartelle contenute nella cartella principale a cui cambio l'integrity level.

Ritornando all'argomento di qualche post fa.

Pensavo che imporre un IL basso ad esempio alla cartella di download del browser potrebbe essere una scelta da prendere in considerazione se si scaricano da internet file multimediali che potrebbero contenere in se un "sorpresa", nel senso di un eseguibile malevolo. In questo modo tale eseguibile dovrebbe essere limitato (in un certo senso "sandboxato") nel momento in cui si va ad aprire col proprio lettore multimediale il file scaricato.
Il vantaggio sarebbe quello di non dover abbassare l'IL al lettore multimediale (con gli svantaggi che può comportare);
lo svantaggio sarebbe quello di dover ogni volta reimpostare l'IL a medio per gli eseguibili leciti scaricati.

Ho fatto l'esempio di un file multimediale, ma ciò si estende anche ad altri file a rischio, ad esempio i pdf.

Cosa ne pensi sampei ?

[sampei.nihira]

Per il mio modo di pensare è troppo contorto come meccanismo.
Io preferisco la semplicità.
Quindi a chi me lo chiede io preferisco abbassare l'IL del sw che gestisce i file multimediali,pdf.....
Ma se a te piace perché non adottare tale metodo,che magari per te è migliore e quindi più semplice ed immediato !!
Le configurazioni di sicurezza si devono adattare a noi stessi e ciò che vale per me potrebbe non valere per te o per altri.

[Kratos_Fury]

Mi pare abbiano aggiornato rispetto al vecchio grafico che era fino a Febbraio...

[sampei.nihira]

OS XP Home sp3
FW residente
DropMyRights (e-mule,torrent)
SandboxIE (browser,client e-mail,lettori multimediali)
EMET
Norton Connectsafe
Autoplay off
Ripristino configurazione sistema off

Opera-Google SSL

on demand
Hitman Pro,Hijackthis portable

Others
CCleaner,ATF cleaner,Sumo portable,Jkdefrag,Process Explorer,speedyfox,Regseeker.

p.s. Eliminato definitivamente l'antivirus in modalità real time.

[hashcat]

E' da un bel po' che ho smesso di utilizzare Windows (come OS predefinito), attualmente ho un dual boot Mint 12 LXDE e BackBox 2.05.
Ho in mente di sostituire Mint con Debian o Gentoo.

Per quanto riguarda la configurazione di sicurezza, sto provando un po' di programmi su VirtualBox, ecco le mie impressioni:

• Online Armor 5.5 (Migliorato, un prodotto solido e gratuito, da provare).
• Private Firewall (Lo sto testando oggi, sembra molto leggero, è altamente configurabile, gratuito e solido).
• Comodo Firewall (Molto buono, piuttosto leggero, per ottenere il meglio deve essere configurato a fondo).
• SpyShelter Premium / Firewall (Abbastanza avanzato e facile da usare).
• Zemana Antilogger (Piuttosto inutile se usato insieme ad un firewall / HIPS).
• ExeWatch (Interessante, molto leggero, mostra un avviso ogni volta che appare un nuovo file con estensione *.exe *.bat *.scr)
• K9 Web Protection (Leggero, efficace).

Configurazione "cross-platform":

Pagina iniziale: https://startpage.com/
Java: NO
Flash Player: SI
DNS: Norton DNS (a livello del router)
Gestione "Quote" Hard Disk
Servizi ridotti all'osso

Linux/Unix:

Protezione arp spoofing: ArpOn
Regole firewall: nega tutte le connessioni in ingresso / nega tutte le connessioni in uscita (eccetto regole)
"Hardening" OS / Kernel: PaX, SELinux, Grsecurity, AppArmor

Windows (non più in uso):

Molte delle impostazioni indicate QUI
Altro che non ricordo.

[sampei.nihira]

Si legge in rete,anche nel forum dedicato,di un ulteriore bypass di CIS.
Gli utenti che usano questo sw prendano le opportune contromisure.

[nix87]

Linux/Unix:

Protezione arp spoofing: ArpOn
Regole firewall: nega tutte le connessioni in ingresso / nega tutte le connessioni in uscita (eccetto regole)
"Hardening" OS / Kernel: PaX, SELinux, Grsecurity, AppArmor

Finalmente in questo 3D si parla anche dell'aspetto sicurezza sotto Linux

"Hardening" OS / Kernel: PaX, SELinux, Grsecurity, AppArmor

Non li userai tutti assieme, vero ?

Un mio parere (però non da utente super esperto del Pinguino... ):

- Grsecurity: modulo di sicurezza (imo) "più semplice";

- AppArmor: la migliore scelta come compromesso tra sicurezza e "facilità d'utilizzo" (è necessario essere in grado di creare/modificare profili, se si vuole una maggiore personalizzazione; altrimenti si possono usare i profili di default comunque ottimi). La migliore scelta per utenza desktop;

- SELinux: per saperlo usare (completamente e correttamente) sarebbe necessario studiarsi dei veri e propri libri dedicati; utile soprattutto per un elevata sicurezza a livello server

A mio avviso sarebbe comunque necessario affiancare ad uno di questi moduli di sicurezza la patch per il kernel PaX, che riprende molte delle caratteristiche proprie di EMET su OS Windows (ma non solo).

A tutto ciò, come già evidenziato da hashcat, va sempre affiancato un opportuno settaggio del firewall.



EDIT
P.S.: Tutto ciò che ho detto vale se si vuole essere "paranoici" per l'aspetto sicurezza sotto Linux
Altrimenti basterebbe solo un corretto settaggio del firewall e basta

[sampei.nihira]

http://rce.co/why-usermode-hooking-suck ... -security/

Interessante lettura,anche se difficile in comprensione.

Mette in evidenza che nei sistemi a 64 bit dotati di HIPS (l'articolo prende in esame il prodotto più usato e cioè CIS) specialmente con installate applicazioni a 32 bit,PatchGuard impedisce loro di attuare una protezione efficace come nei sistemi a 32 bit.
Quindi gli HIPS possono essere in qualche modo bypassati se non altro come principio.

p.s. Si lo sò che l'ora è inclemente ma si deve studiare quando si ha tempo...........

[nix87]

http://rce.co/why-usermode-hooking-sucks-bypassing-comodo-internet-security/

Interessante lettura,anche se difficile in comprensione.

Mette in evidenza che nei sistemi a 64 bit dotati di HIPS (l'articolo prende in esame il prodotto più usato e cioè CIS) specialmente con installate applicazioni a 32 bit,PatchGuard impedisce loro di attuare una protezione efficace come nei sistemi a 32 bit.
Quindi gli HIPS possono essere in qualche modo bypassati se non altro come principio.

p.s. Si lo sò che l'ora è inclemente ma si deve studiare quando si ha tempo...........

Davvero interessante

Ovviamente concordo in pieno sul fatto che ogni software di sicurezza possa essere (prima o poi, ed in qualche modo) bypassato.
Però ciò che possiamo fare è rendere l'eventuale attacco più difficile (e quindi meno probabile) da realizzarsi.
E questo tramite un hardening dell'OS e degli eventuali software di sicurezza adottati dall'utente, realizzando una configurazione di sicurezza "a barriere concentriche" attorno al bersaglio oggetto dell'attacco (i.e.: se fallisce la prima "barriera" di sicurezza, c'è quella successiva... e così via...).

Ciò premesso, non ho avuto tempo di leggere approfonditamente tutto l'articolo postato da sampei, però ho guardato con attenzione il video allegato ed ho potuto constatare che, molto probabilmente, il tester aveva l'HIPS di Comodo con i settaggi ai "livelli di fabbrica" (solo il livello degli avvisi era imposto su "paranoid").
Inoltre, quasi sicuramente, lo stesso tester non aveva neanche adottato un opportuno hardening dell'OS durante la sua prova.

Tutto ciò a dire che se si decide di usare un software di sicurezza (che sia HIPS o altro...), bisognerebbe effettuare un opportuno hardening del software stesso e dell'OS in primis, per abbassare il più possibile le probabilità di un'eventuale infezione.

[sampei.nihira]

Nix87 il tuo discorso scritto (sull'hardening) è giusto ma posso scrivere un interpretazione di lettura diversa ?
Si.
Grazie.

Il questo caso una funzione del OS 64 bit "rende debole" un meccanismo standard di protezione usato da CIS (efficace però nei OS 32 bit) e da sw simili.
Se vogliamo più in generale richiama il principio della maggiore superficie di attacco che è direttamente proporzionale ai sw installati.
In definitiva io personalmente sono portato a concludere che nei OS 64 bit la mia naturale allergia agli HIPS sia per così dire giustificata da ciò che è messo in luce dall'articolo.

Se ne discute e credo discuterà in futuro anche quì.

[nix87]

Se vogliamo più in generale richiama il principio della maggiore superficie di attacco che è direttamente proporzionale ai sw installati.
In definitiva io personalmente sono portato a concludere che nei OS 64 bit la mia naturale allergia agli HIPS sia per così dire giustificata da ciò che è messo in luce dall'articolo.

Verissimo

Tuttavia ritengo, imo, ancora molto importante l'utilizzo di un buon HIPS:
sia come ulteriore "barriera di sicurezza",
sia perché offre alcune misure di protezione non attuabili direttamente via OS.

Diciamo che sta all'utente (esperto) trovare il punto di "ottimo" tra il beneficio ed invece l'aspetto negativo dovuti rispettivamente a:
+ l'aumento delle misure di sicurezza apportate dall'utilizzo di questi software (hips, av, ecc...)
- l'aumento della superficie d'attacco apportata dall'utilizzo di questi stessi software

[sampei.nihira]

Non sono mai stato un estimatore dei prodotti Comodo quindi sono il meno indicato per avventurarmi in dissertazioni.
Premesso ciò,se diamo per vero ciò che si legge (invece la teoria andrebbe appurata o almeno le condizioni di bypass andrebbero ricreate) mi pare (verificate meglio voi) che nel video in fondo alla pagina CIS sia settato in modalità paranoica.
Se quindi esiste una possibilità di bypass e l'installazione di CIS la rende efficace per il mio modo di ragionare ci si dovrebbe orientare altrove.

[nix87]

Premesso ciò,se diamo per vero ciò che si legge (invece la teoria andrebbe appurata o almeno le condizioni di bypass andrebbero ricreate) mi pare (verificate meglio voi) che nel video in fondo alla pagina CIS sia settato in modalità paranoica.

Quello riguarda solo la modalità (frequenza) con cui vengono mostrati gli avvisi dell'HIPS: non aggiunge alcuna ulteriore misura di sicurezza rispetto alla configurazione di default di CIS.
Piuttosto nel test non viene specificato se viene adottata una configurazione di CIS diversa da quella di default (a parte il "paranoid"...): a vedere il test non pare...
Di questo se ne parla anche qui.

Se quindi esiste una possibilità di bypass e l'installazione di CIS la rende efficace per il mio modo di ragionare ci si dovrebbe orientare altrove.

Tra l'altro, il fatto di presentare delle performance inferiori su OS Windows x64 è una cosa propria non solo a CIS, ma anche ad altri software di sicurezza (anche il grande Sandboxie, ad esempio, "soffre" un po' sui x64).

Comunque sia, non vorrei mostrarmi come un incondizionato sostenitore di CIS:
continuo ad usarlo perché, stando agli ultimi test (anche se non ottiene un risultato del 100%, almeno nei test di Matousec), continua a mostrarsi il migliore nella sua categoria.

In ogni caso, a ciascuno la sua scelta, ricordandosi tuttavia che, nell'uso del pc, un minimo di cervello da parte dell'utente non fa mai male (come ulteriore misura di sicurezza ).

[sampei.nihira]

Migliore ?
2 bypass messi in evidenza in pochi gg.....
Risale infatti al 10 maggio c.m. l'ultimo problemino (si fà per dire) di CIS che io,per non essere accusato di antiCISeismo, non avevo inserito come link lasciando facoltà ai lettori di provvedere per conto proprio alla soluzione,cioè a dire l'inserimento di 2 regole:

http://forums.comodo.com/news-announcem ... 83.30.html

Nix, sarò sincero,io se fossi un utente di CIS sarei abbastanza preoccupato da tali notizie.......

SandboxIE soffrirà anche (lo voglio concedere ) ma certamente non espone e non ha esposto in questi ultimi tempi il sistema a tali bypassing.

[nix87]

Migliore ?
2 bypass messi in evidenza in pochi gg.....
Risale infatti al 10 maggio c.m. l'ultimo problemino (si fà per dire) di CIS che io,per non essere accusato di antiCISeismo, non avevo inserito come link lasciando facoltà ai lettori di provvedere per conto proprio alla soluzione,cioè a dire l'inserimento di 2 regole:

Grazie sampei per l'avviso

Io avevo già impostato l'HIPS di Comodo in modo che proteggesse cartelle e file sensibili sul mio pc.
Ora ho perfezionato il tutto seguendo gli ultimi consigli di slayer76 (utente del forum di Comodo).

Ma quello che volevo evidenziare io (in questo caso specifico, ma si può generalizzare per altri sw di sicurezza) è che tutti questi bypass sono "relativi" alle "condizioni al contorno" in cui CIS è installato.
Ad esempio il bypass di CIS dovuto al trojan ransomware è stato testato su XP (che intrinsecamente è meno sicuro di 7) e probabilmente su questo OS di testing non vi era applicata alcuna ulteriore misura/software di sicurezza oltre a CIS.

Tutto ciò a dire che se ad esempio fossi stato infettato da questo trojan, probabilmente quest'ultimo non avrebbe avuto alcun modo d'agire sul mio OS (W7), anche con CIS non impostato correttamente:
sarebbero infatti scattate dopo tutte le ulteriori misure di sicurezza dovute all'hardening dell'OS (che comunque sarebbero scattate lo stesso anche non avendo CIS installato).

Nix, sarò sincero,io se fossi un utente di CIS sarei abbastanza preoccupato da tali notizie.......

SandboxIE soffrirà anche (lo voglio concedere ) ma certamente non espone e non ha esposto in questi ultimi tempi il sistema a tali bypassing.

Venendo al succo del tuo discorso, è vero comunque che CIS sta mostrando sempre più bypass nel tempo (forse dovuti anche alla notorietà di questo prodotto...) ed il team di sviluppo, spesso, non si dimostra rapido a tappare i buchi (e a volte proprio non lo fa...).

Certo è che se l'HIPS di Comodo continuerà su questa strada (accumulando sempre più falle, a tal punto da diventare controproducente una sua installazione), non ci penserò due volte a disinstallarlo e ad optare per una soluzione alternativa.

[sampei.nihira]

Certamente la forza è nell'insieme,nel nostro specifico caso la configurazione di sicurezza.
Io lo vado sbandierando da anni, affidare, la sola protezione del sistema per la massima parte ad un unico componente (cioè a dire in media l'antivirus) è come giocare alla roulette russa quando si naviga in rete con un pc Windows.
Io spero che alcuni lettori ne siano, dopo queste nostre dissertazione, più consapevoli.

[sampei.nihira]

Continuando la discussione sugli IL...

1) @sampei: non appena potrò darò un'occhiata al tool chml e vediamo cosa si riuscirà a fare di bello...

2) Per chi usa Chrome ed ha imposto IL low alla cartella Temp (forse solo io e sampei... ): bisogna impostare IL low solo alla cartella e non anche alle sottocartelle e file inclusi (flag (oi) e (ci) al comando icacls). Altrimenti all'aggiornamento di eventuali plugin installati, alcuni che richiedono IL medio (ad esempio Click&Clean) potrebbero non funzionare correttamente (infatti i plugin, prima di essere installati nelle loro rispettive cartelle, vengono scaricati e mantenuti momentaneamente nella cartella Temp fino alla loro completa installazione).

P.S.: si sa mica per quando sarà disponibile in versione "ufficiale" la versione di Chrome attualmente in dev ?

1) Aspetto quindi le tue considerazioni che vorrai esternare in questo 3D (spero).
perché l'età ha questo privilegio.
Hai mai visto il film con N.Cage "L'apprendista Stregone" ?
C'è molto di noi in quel film !!!

Non sò se hai letto che l'avvio del tool sotto 7 necessita di un altro tool (psexec).
A dir la verità ci sarebbero altri 2 metodi descritti da Minasi per ovviare all'avvio tramite psexec ma a me sembrano ancora "più noiosi da effettuare" in procedura e quindi non li sottoporrò a questa platea.

Aspetto dicevo le tue considerazioni perché presumo che occorrerà testare il tutto.
L'articolo ed il tool è datato e magari con un OS 64 bit potrebbe non funzionare.....insomma occorre verificare.

**************************************************************************************************************

Adesso la versione stabile è la 18 e la beta (presumo la 19).
Quindi la 20 sarà in versione stabile nell'arco max di un paio di mesi.

Nix per la cartella temp è per me sufficente il trick1806.
Se naturalmente lo hai ancora applicato.

Era il 24 aprile quando ho risposto alla domanda.
Oggi la stabile è la 19 (con gli IL soliti) e quindi la beta sarà la 20.
Sono passati quindi 21 gg vediamo se la 20 stabile giungerà entro le previsioni.

[nix87]

@sampei:

Già, poco fa ho ricevuto l'aggiornamento alla versione 19.

Stiamo a vedere se verranno rispettate le tue previsioni sull'uscita della versione 20 stabile.

[d@rio]

Aggiornate :https://blogs.technet.com/b/srd/archive/2012/05/15/introducing-emet-v3.aspx?Redirected=true
Io ho sovrainstallato senza problemi.

[nix87]

Grazie per l'avviso d@rio.

Ho aggiornato anch'io EMET sovrainstallando senza problemi.