www.MegaLab.it

[nix87]

Inserisci come unica lista la "fanboy ultimate adblock" disabilitando le altre attive a default.

E' quella indicata la lista "fanboy ultimate adblock" ?

perché, come puoi vedere, non riesco a scaricarla...

[sampei.nihira]

https://secure.fanboy.co.nz/filters.html

Ritenta,io l'ho installata da circa 1 mesetto e non ho problemi di aggiornamenti quindi.....

[sampei.nihira]

Si legge spesso sopratutto all'estero il consiglio di non installare plugins che non ci servono.
Java è uno di questi.
Ma anche Silverlight che onestamente ha un utilità inferiore al precedente.
Quest'anno S. è stato oggetto di 2 avvisi di vulnerabilità HC con sfruttamento da remoto:

https://secunia.com/advisories/48030/

https://secunia.com/advisories/49122/

quindi qualche precauzione (della serie settaggio e dimentica) è sempre dovuta se è installato nel vostro sistema:

1) "Click to play" nel browser per abilitare l'uso del plugin non in modo automatico.
2) L'inserimento di S. in lista EMET.

Come JAVA anche Silverlight in chrome usa il plugin NPAPI ed usa un IL medio.

[Ale2695]

Java è uno di questi

Io gioco spesso a Minecraft, noto gioco in Java (che quindi necessita di JRE), sia tramite client locale che sul web, e non sono l'unico a farlo anzi. Inoltre spesso guardo tramite Silverlight o Moonlight (sul Pinguino) la Rai e Sky Go. Non sempre i plugin sono inutili, anzi per molte persone sono importanti

[sampei.nihira]

La conclusione,se c'è, visto che io non ho scritto che java è inutile ?
Anzi mi pare di aver inserito nella terza frase che l'utilità di java supera quella di Silverlight.

[devicepenguin]

Oggi sono andato a fare un paio di format e approfittando della linea veloce (e per non consumare i miei MB [che sono vincolati ] ) ho scaricato tra le altre cose l'ultima versione di ZoneAlarm. E' da un quarto d'ora che ce l'ho installata,e già mi è passata la voglia di vederlo

http://yfrog.com/eu2012082419h0650p

1° : se non si sceglie l'installazione personalizzata ti cambia motore di ricerca+ homa page + installa una sua toolbar.
2° : nonostante in fase di installazione gli ho detto che non deve fare tutto in automatico,ma voglio decidere per ogni singolo programma (gli avvisi) vedo che fa di testa sua (alcuni programmi vengono lanciati e ZoneAlarm decide che è inutile avvisarmi)

3: è sparita l'animazione del traffico sulla sua icona nella traybar (importante per due motivi,che al momento sorvolo ma che forse spiegherò più avanti)

4: adesso mentre mi faccio una doccia metto a fare il ripristino perché mi ha già scocciato

[nix87]

https://secure.fanboy.co.nz/filters.html

Ritenta,io l'ho installata da circa 1 mesetto e non ho problemi di aggiornamenti quindi.....

Grazie sampei, ora funziona

Sto per aggiornare Java (JRE e JDK) alle ultime versioni (7u6).
Volevo chiedervi se esiste un modo per aggiornare sovrascrivendo l'installazione.
Fino ad ora ho sempre disinstallato la versione precedente ed installato la nuova, perché so che l'installer di Java non disinstalla automaticamente la versione vecchia.

[sampei.nihira]

https://secure.fanboy.co.nz/filters.html

Ritenta,io l'ho installata da circa 1 mesetto e non ho problemi di aggiornamenti quindi.....

Grazie sampei, ora funziona

Sto per aggiornare Java (JRE e JDK) alle ultime versioni (7u6).
Volevo chiedervi se esiste un modo per aggiornare sovrascrivendo l'installazione.
Fino ad ora ho sempre disinstallato la versione precedente ed installato la nuova, perché so che l'installer di Java non disinstalla automaticamente la versione vecchia.

Certo puoi installare la nuova ver sulla vecchia senza problemi.
Ricorda di disabilitare nell'avvio automatico (lo puoi fare anche con CCleaner ma da amministratore) l'update tanto.....

Questo aggiornamento purtroppo non risolve i soliti problemi cronici del sw.
Che si ripresentano ogni 3X2.
Tant'è che tale ver è appena uscita e già soffre di una vulnerabilità (nota, chissà quante sono quelle sconosciute) altamente critica classificata come possibile attacco 0-day:

https://secunia.com/advisories/50133

le solite raccomandazioni:

1) Disabilitare l'applet JAVA attivando i plugin solo su richiesta nel vostro browser.
2) Fino a fix del bug sopra meglio lanciare eventuali applet java sotto tutela sandboxIE et similia.

[nix87]

Certo puoi installare la nuova ver sulla vecchia senza problemi.

Fatto, però funziona solo per JRE.

Per la JDK non ha aggiornato sovrainstallando, lasciandomi così la versione vecchia che ho dovuto disinstallare manualmente.
La seccatura, inoltre, è stata nel fatto che ho dovuto aggiornare la lista degli eseguibili Java (relativi alla JDK) in lista EMET.

[sampei.nihira]

Ah avevi scritto anche JDK...

********************************************

Io invece oggi ho provato quello sotto:

http://labs.alienvault.com/labs/index.p ... -the-wild/

https://community.rapid7.com/community/ ... -java-0day

Si reperisce facilmente il file hi.exe.

[sampei.nihira]

Ricapitolando in merito a JAVA

http://www.kb.cert.org/vuls/id/636312

https://krebsonsecurity.com/how-to-unpl ... e-browser/

In merito ad I.E. si capisce come sia difficile disabilitare l'applet java.
Anzi in caso di installazione java a 32 bit nei OS a 64 bit occorrerebbe perfino una modifica al registro.

E come scrivevo altrove si legge che da test di exploit java 6 update 35 sarebbe più sicura di java 7 update 7.

Ma la disinstallazione di java 7 comporta anche una disinstallazione (solo manuale ? Non ho provato Javara) solitamente di 1 plugin che resta nel browser.
E visto che il risultato finale non sempre è certo,oltretutto per alcuni utenti la cosa sarà di modo difficile,io sarei per non consigliare il cambio.
Ma è un consiglio così a priori che non si basa su test esaustivi.

Magari qualche utente di MLI (con un articolo se la sua curiosità sarà stimolata) potrebbe giungere ad una diversa conclusione.

Invece mi sento certamente di consigliare agli utenti che hanno installato solamente una versione di java JRE e si ritrovano nel sistema installato anche java FX di disinstallare questo componente.
Specie se è sempre alla ver 2.1 (che oltretutto ha un bug aperto altamente critico) la ver attuale è la FX 2.2.

La disinstallazione non comporta la mancata visualizzazione di siti web con contenuto java.

[sampei.nihira]

*** Premessa ***

Vorrei ritornare nel merito dei "drive by download".
Secondo me il più pericoloso, perché inconsapevole, metodo di infezione di un pc Windows.
In specifico l'attacco drive by download effettuato grazie al browser web che naviga in rete.

Nello specifico si può avere un attacco di drive by download quando il nostro sistema presenta una vulnerabilità sfruttabile da remoto e si visita un sito
web compromesso che ha una serie di exploit trà cui quello che coincide con il nostro bug.

Ovvio che il tutto per essere enormemente efficace dovrebbe essere in fase 0-day.
Cioè a dire un "istante zero" in cui un malware presenta una nuova variazione nella propria configurazione infettiva non riconosciuta o pochissimo riconosciuta dai sistemi difensivi antimalwares in real time installati nel sistema.

Ma la "lotteria" dell'infezione efficace non necessita sempre della fase 0-day, basta, che quell'antivirus residente (magari altri lo riconoscono) nel momento in cui l'utente visita la pagina web compromessa per quell'exploit a cui il sistema presenta un'esposizione non riconosca la minaccia.

Solitamente la pagina web visitata non presenta direttamente il codice malevolo.
Esso è presente in un altro sito web magari raggiunto tramite un iframe utilizzato per caricare la pagina web compromessa, in una finestra della pagina corrente che magari può avere dimensioni così piccole da essere non visibili ad occhio nudo.

Solitamente tali pagine web compromesse sfruttano dei multiexploit per essere più efficaci.

Quindi se c'è questa corrispondenza trà sito web infetto e bug presente nel sistema, in assenza di riconoscimento da parte della configurazione di sicurezza installata, può accadere che anche in assenza di azioni dell'utente uno script si rende responsabile di scaricare ed avviare un eseguibile infetto nel sistema.

Come ?

E' ovvio per mezzo del browser (dalla nostra supposizione iniziale).

_________________________________

In questi gg ho ripreso il concetto del trick 1806 abbinato a Chrome.
Sapete tutti che in presenza del trick gli eseguibili downloadati nel pc non possono essere eseguiti a meno che l'utente non li sblocchi manualmente.
Tempo fà mi era stato detto che il tutto non poteva fermare i drive by download perché il trick agiva solo sul doppio click di lancio.
Quindi poteva essere solo un ausilio per utenti poco accorti.
Ma io ho messo l'eseguibile nell'avvio automatico ed ho visto che non veniva proprio lanciato dal sistema al suo riavvio.

La conclusione è ovvia.
Il trick 1806 è efficace nella prevenzione degli attacchi drive by download perché sarà impedita l'esecuzione a priori.

Anche se il tutto è confinato ai soli files eseguibili.

Ma c'è anche un ulteriore (notevole) ma.

Se il file eseguibile malevolo viene downloadato nel nostro pc in modalità zippata,l'eseguibile risultante dall'estrazione sarà avviabile in modo consueto.
Bypassando il controllo del trick 1806.
Anche se non ho verificato per mancanza di tempo (e voglia ) ritengo che a logica la modifica dell'estensione del file eseguibile agisca in modo similare.

[nix87]

Ma c'è anche un ulteriore (notevole) ma.

Se il file eseguibile malevolo viene downloadato nel nostro pc in modalità zippata,l'eseguibile risultante dall'estrazione sarà avviabile in modo consueto.
Bypassando il controllo del trick 1806.

Certo, confermo
Per questo sarebbe una buona precauzione impedire anche i diritti di esecuzione nella cartella dei download ed in quella temporanea (dei download) del browser.

Anche se non ho verificato per mancanza di tempo (e voglia ) ritengo che a logica la modifica dell'estensione del file eseguibile agisca in modo similare.

Dipende.
Se modifico l'estensione in quella di un file non eseguibile (.jpg, .doc, .pdf, ecc...) allora il trick 1806 non risulta più attivo (anche se compare in proprietà il tasto per lo sblocco...).
Se invece modifico l'estensione in un formato eseguibile (.bat, .vbs, ecc...), allora il trick 1806 rimane attivo.
Il trick rimane ancora funzionante anche se modifico solo il nome del file eseguibile (e non l'estensione).

[nix87]

Oggi volevo anche segnalare l'uscita della nuova versione dell'estensione per browser TrafficLight.

Non sono riuscito tuttavia a capire se ora supporta il protocollo di comunicazione sicura SSL oppure no

[sampei.nihira]

Oggi volevo anche segnalare l'uscita della nuova versione dell'estensione per browser TrafficLight.

Non sono riuscito tuttavia a capire se ora supporta il protocollo di comunicazione sicura SSL oppure no

Ieri avevo visto che la ver era rimasta la stessa (di sempre) cioè la 28 ma avevano modificato la data (sono furbiiiiiii).
Se oggi la ver è sempre la 28 (io adesso non posso verificare) il protocollo è invariato.

[sampei.nihira]

Ma c'è anche un ulteriore (notevole) ma.

Se il file eseguibile malevolo viene downloadato nel nostro pc in modalità zippata,l'eseguibile risultante dall'estrazione sarà avviabile in modo consueto.
Bypassando il controllo del trick 1806.

Certo, confermo
Per questo sarebbe una buona precauzione impedire anche i diritti di esecuzione nella cartella dei download ed in quella temporanea (dei download) del browser.

Anche se non ho verificato per mancanza di tempo (e voglia ) ritengo che a logica la modifica dell'estensione del file eseguibile agisca in modo similare.

Dipende.
Se modifico l'estensione in quella di un file non eseguibile (.jpg, .doc, .pdf, ecc...) allora il trick 1806 non risulta più attivo (anche se compare in proprietà il tasto per lo sblocco...).
Se invece modifico l'estensione in un formato eseguibile (.bat, .vbs, ecc...), allora il trick 1806 rimane attivo.
Il trick rimane ancora funzionante anche se modifico solo il nome del file eseguibile (e non l'estensione).

Nonostante il trick 1806 sia soggetto a bypass per ciò che è stato esposto occorre che il malware abbia non solo la capacità di effettuare nel sistema un rename dell'estensione eseguibile originaria ma che sia poi soggetto all'esecuzione.
Io non sono sicuramente un malware-writer ma presumo che la cosa sia fattibile,il problema è che nei vari passaggi sarebbe soggetto ad altri "stop".
Per esempio dello UAC se si agisce da account limitato.
Quindi nonostante il trick 1806 sia bypassabile la sua efficacia,come quella di ogni altro componente la configurazione di sicurezza è quella di aumentare la difficoltà complessiva di un bypass a cascata.
Che secondo me in una buona configurazione si dovrebbe verificare solo in casi rari e/o fortuiti.

[sampei.nihira]

Oggi volevo anche segnalare l'uscita della nuova versione dell'estensione per browser TrafficLight.

Non sono riuscito tuttavia a capire se ora supporta il protocollo di comunicazione sicura SSL oppure no

Ho verificato adesso, avevi ragione, è una nuova ver quindi i miei dubbi erano errati.
Peccato non esiste una funzione di disattivazione dei trackers.

Ma il protocollo non è mutato lavora sempre in HTTP !!
Spero che questa nuova versione consenta l'implementazione di HTTPS al più presto.

[sampei.nihira]

Oggi volevo anche segnalare l'uscita della nuova versione dell'estensione per browser TrafficLight.

Non sono riuscito tuttavia a capire se ora supporta il protocollo di comunicazione sicura SSL oppure no

Ho verificato adesso, avevi ragione, è una nuova ver quindi i miei dubbi erano errati.
Peccato non esiste una funzione di disattivazione dei trackers.

Ma il protocollo non è mutato lavora sempre in HTTP !!
Spero che questa nuova versione consenta l'implementazione di HTTPS al più presto.

Oppure no....ho qualche problema di rete ed adesso sono troppo stanco !!
Verifico nei prossimi gg.

[John Doe X]

Con l'avvio automatico viene usata la stessa API ShellExecute del doppio click, per questo te l'ha bloccato. Per verificarne l'efficacia credo dovresti usare qualcos'altro tipo CreateProcess.

[sampei.nihira]

Con l'avvio automatico viene usata la stessa API ShellExecute del doppio click, per questo te l'ha bloccato. Per verificarne l'efficacia credo dovresti usare qualcos'altro tipo CreateProcess.

In questo forum ogni aiuto è ben accetto.
Se hai tempo di fare ulteriori test ben vengano i risultati che potresti inserire in questo 3D.