www.MegaLab.it

[nV 25]

Personalmente penso che parlare di bypass di software quali Emet non abbia molto senso per la natura stessa del programma.
Come detto infatti, gli scopi di applicazioni che fanno uso di tecniche di mitigazione per aumentare la sicurezza di WIndows sono sostanzialmente 3.
Aumentare il tempo necessario per lo sfruttamento di un eventuale attacco.
Aumentare i costi e quindi ridurre il guadagno finale per l'attaccante.
Aumentare la complessità nella scrittura di codice.

Nel caso quindi si riuscisse a bypassare Emet e quindi, sostanzialmente infettare la macchina dell'utente, generalmente si considera che EMET abbia fallito.

Il punto è...
Il tempo necessario per sfruttare l'exploit è aumentato?
Generalmente si, perché ci si è trovati nella condizione di trovare un bypass per EMET.

Il costo è aumentato?
Generalmente si, in quanto in assenza di EMET la preparazione sarebbe stata meno dispendiosa.

La difficoltà è aumentata?
Generalmente la risposta è si, proprio perché oltre alle normali difese di Windows ci si è trovati a dover bypassare EMEt.

Anche in presenza di bypass di EMET dunque, questo svolge comunque il suo compito nella stragrande maggioranza dei casi, che è quello di rendere la vita più difficile ad un attaccante.

ragionamento molto intelligente!

Per di più, se si considera che nel mondo si arriverà si e no a 1 milione (?) di installato, ecco che chi sviluppa tali exploit lo fa sostanzialmente più per dimostrare le proprie indiscutibili capacità di coder che non per arrivare all'obiettivo:
è sufficiente infatti battere sui soliti software da bucare (e che hanno un installato di decine/centinaia di milioni di unità) per acquisire privilegi che non starsi a sbattere tanto per bucare EMET...

Secondo me, ovvio

[nV 25]

inoltre, e non per scaricare la colpa su terzi, ma questi ultimi hanno obiettivamente una responsabilità di magnitudo "devastante" visto che non remano in alcun modo nella stessa direzione dell'OS:
vedi ad es amche qui,
http://www.hwupgrade.it/forum/showthread.php?t=2529390


Sono tecnologie che di fatto esistono ma che vengono bellamente bistrattate da (quasi) tutti, segno che il problema è reale sebbene corra l'anno 2012.

Incredibile e ingiustificabile...

[The Walking Dead]

Personalmente penso che parlare di bypass di software quali Emet non abbia molto senso per la natura stessa del programma.
Come detto infatti, gli scopi di applicazioni che fanno uso di tecniche di mitigazione per aumentare la sicurezza di WIndows sono sostanzialmente 3.
Aumentare il tempo necessario per lo sfruttamento di un eventuale attacco.
Aumentare i costi e quindi ridurre il guadagno finale per l'attaccante.
Aumentare la complessità nella scrittura di codice.

Nel caso quindi si riuscisse a bypassare Emet e quindi, sostanzialmente infettare la macchina dell'utente, generalmente si considera che EMET abbia fallito.

Il punto è...
Il tempo necessario per sfruttare l'exploit è aumentato?
Generalmente si, perché ci si è trovati nella condizione di trovare un bypass per EMET.

Il costo è aumentato?
Generalmente si, in quanto in assenza di EMET la preparazione sarebbe stata meno dispendiosa.

La difficoltà è aumentata?
Generalmente la risposta è si, proprio perché oltre alle normali difese di Windows ci si è trovati a dover bypassare EMEt.

Anche in presenza di bypass di EMET dunque, questo svolge comunque il suo compito nella stragrande maggioranza dei casi, che è quello di rendere la vita più difficile ad un attaccante.

ragionamento molto intelligente!

Per di più, se si considera che nel mondo si arriverà si e no a 1 milione (?) di installato, ecco che chi sviluppa tali exploit lo fa sostanzialmente più per dimostrare le proprie indiscutibili capacità di coder che non per arrivare all'obiettivo:
è sufficiente infatti battere sui soliti software da bucare (e che hanno un installato di decine/centinaia di milioni di unità) per acquisire privilegi che non starsi a sbattere tanto per bucare EMET...

Secondo me, ovvio

Grazie, ovviamente concordo con quello che scrivi.
Tramite EMET, essenzialmente, Microsoft frappone tra Windows e l'applicazione incriminata, un ostacolo.
Un attaccante può dirci "supero l'ostacolo (EMET) ed entro ugualmente in casa (il pc)".
Microsoft risponde "fai pure, ma per superare l'ostacolo, impiegherai tempo e soldi che dovrai detrarre dal tuo guadagno effettivo, e potrai arraffare solo la collanina, senza aprire la cassaforte"

Un altro vantaggio dell'uso di tecniche di mitigazione infatti, è che queste in taluni casi, rallentano l'attacco e possono consentire di prendere le dovute contromisure (per tornare al nostro esempio del ladro che ruba in casa e che non può aprire la cassaforte per mancanza di tempo, in quanto stanno per arrivare le forze dell'ordine).
Per esempio, tramite l'uso di DEP e ASLR dovrebbe essere possibile ridurre la frequenza di funzionamento di un attacco, per esempio riducendo la percentuale di funzionamento di quest'ultimo.
Queste tecniche ottengono un successo anche solo attenuando il problema.


Sul fatto di cui parlavi, e cioè sulle applicazioni di terze parti, ti consiglio questo articolo, piuttosto vecchio ma che rende bene l'idea dell'impegno nel tempo, messo in pratica da MS per spingere verso l'adozione di queste tecniche.
http://www.scmagazine.com/third-party-a ... le/173746/

[hashcat]

A proposito di bypass: sto lavorando cercando di ottenere un exploit funzionante che disabiliti il firewall (ed eventualmente faccia altro) attaccando il router technicolor di fastweb.

[hashcat]

Per chi fosse interessato:
mi baso su questa tipologia di attacco adattata al caso specifico.
Purtroppo ultimamente ho veramente poco tempo per approfondire / finalizzare la questione.

[The Walking Dead]

Per hashcat
Sembra interessante anche se per il momento ho dato solo un occhiata veloce.

Per NV
Ho dato un occhiata al test da te postato.
Ho scritto ad alcuni degli sviluppatori delle app che uso e che non risultavano "in regola".
Vediamo se e cosa rispondono.

[hashcat]

Consiglio di leggere questa pubblicazione:

[url=www.acsac.org/2012/openconf/modules/request.php?module=oc_proceedings&action=view.php&a=Accept&id=198&type=4]Abusing Cloud-based Browsers
for Fun and Profit[/url]

Edit:

Anche questo sembra essere interessante.

[hashcat]

[url=https://blogs.technet.com/b/security/archive/2012/12/13/using-the-past-to-predict-the-future-top-5-threat-predictions-for-2013.aspx]Using the Past to Predict
the Future: Top 5 Threat
Predictions for 2013[/url]

[sampei.nihira]

http://www.sandboxie.com/phpbb/viewtopi ... b5f3e4889d


Bypassata SandboxIE.
Credo che il tipo in questione sarebbe in grado di reperire almeno un bug sfruttabile da remoto in ogni soft.
E se non ricordo male così a memoria lo ha anche dimostrato con vari antivirus.

[farbix89]

Era solo questione di tempo... poi un bug ogni tanto (e corretto) indica un ottimo software :)

Non bisogna mai demonizzare un bug, al massimo la loro somma :D

[sampei.nihira]

Più sw di sicurezza di terze parti installiamo e più saranno i bugs disponibili (anche in modo concomitante) sfruttabili da remoto.
E quì non ci piove.
Difficile è conoscere tramite una "formula matematica" (cioè con precisione) qual è il giusto compromesso al fine di assicurare ottime performance compatibilmente con un potenziale aumento (che non diventi pericoloso) della superficie di attacco.

Cioè a dire quando accade che all'aumentare dei sw installati la superficie di attacco potrebbe superare in difetti, i pregi assicurati della protezione offerta da vari sw ?

SandboxIE-bypass
Exploitshield - bypass

Un abbinamento dei 2 soft migliorerebbe la sicurezza del OS oppure no ?

(in pratica la mia eterna domanda)

(Si tralasci il fatto che ES sia in ver beta e quindi sia "affetta" da bugs e difetti di gioventù)

[The Walking Dead]

Cioè a dire quando accade che all'aumentare dei sw installati la superficie di attacco potrebbe superare in difetti, i pregi assicurati della protezione offerta da vari sw ?

Ciao sampei.
imho difficilmente i difetti delle applicazioni di sicurezza possono superare i pregi.
Se comunque dovessi esprimermi penso che possa accadere quando si supera il limite del "non necessario".

Una piccola considerazione su SandboxIE ed Exploitshield, perché secondo me tra le due situazioni vi è una notevole differenza.
Il bypass di Sandboxie è molto probabilmente principalmente un bug, il bypass di ES è invece dovuto ad un errore nel principio di funzionamento del software.
Ciò secondo me è molto importante.
SandboxIE è strutturalmente sicuro, ES no da un punto di vista strutturale (allo stato attuale).

[sampei.nihira]

Salve Dead.
La differenza è sottile.
Quel bug reperito in sandboxIE aumenta bene o male la superficie di attacco.
L'uso di una user-sandbox come quella di Chrome visto che, un browser è obbligatorio per ogni utente che usa un pc, renderebbe a confronto il pc senza sandboxIE più sicuro del primo.
Ciò allo stato attuale delle cose.
Qualsiasi altro bugs reperito causa browser non sarebbe indice di maggiore superficie di attacco visto che prima o poi ogni browser presenta qualche bugs sfruttabile da remoto.

[nV 25]

Una piccola considerazione su SandboxIE ed Exploitshield, perché secondo me tra le due situazioni vi è una notevole differenza.
Il bypass di Sandboxie è molto probabilmente principalmente un bug, il bypass di ES è invece dovuto ad un errore nel principio di funzionamento del software.
Ciò secondo me è molto importante.
SandboxIE è strutturalmente sicuro, ES no da un punto di vista strutturale (allo stato attuale).

caro TWD, sembri portatore dei miei pensieri...

[nV 25]

Salve Dead.
La differenza è sottile.

la differenza è sottile per noi che non conosciamo nel profondo il reale funzionamento delle cose...
A senso, comunque, è cosi' anche se la lettura che proponi sotto è estremamente limite:

Quel bug reperito in sandboxIE aumenta bene o male la superficie di attacco.
L'uso di una user-sandbox come quella di Chrome visto che, un browser è obbligatorio per ogni utente che usa un pc, renderebbe a confronto il pc senza sandboxIE più sicuro del primo.

è limite, IMO, perché il bypass è finalizzato più che altro a far vedere le capacità del tipo anche se si presta ovviamente per arrivare ad un livello che a cose normali dovrebbe essere precluso.

Meglio 100 volte Sandboxie col bug, IMO, o DWall se si ha un sistema a 32bit, che una qualsiasi altra soluzione presente sul mercato SENZA questo tipo di bug...

[sampei.nihira]

Certamente meglio sandboxIE con bug che senza sandboxIE.
Nel mio pc ad esempio sandboxIE è d'obbligo visto che il OS è notevolmente più insicuro di quelli moderni.

Ma nel pc di mia figlia nessuna sandboxIE (così antivirus,FW software......).

____________________________________________

p.s. E' uscita la nuova ver di VLC,aggiornate
Anche con questa ver nessun problema di riproduzione modificando gli iL manualmente (da medium a low) ho già provato.
Ovviamente anche nella ver portable che io uso.

[sampei.nihira]

https://secunia.com/advisories/51464/

Mi sono dimenticato di inserire l'avviso di bugs della ver 2.0.4.

[The Walking Dead]

Una piccola considerazione su SandboxIE ed Exploitshield, perché secondo me tra le due situazioni vi è una notevole differenza.
Il bypass di Sandboxie è molto probabilmente principalmente un bug, il bypass di ES è invece dovuto ad un errore nel principio di funzionamento del software.
Ciò secondo me è molto importante.
SandboxIE è strutturalmente sicuro, ES no da un punto di vista strutturale (allo stato attuale).

caro TWD, sembri portatore dei miei pensieri...

Ho letto alcune tue considerazioni su altri importanti forum.
Credo che ci siano alcune piccole differenze tra le nostre opinioni per quanto riguarda Sandboxie, nonostante condividiamo l'idea di fondo sul software.

Per esempio, io non amo molto la protezione sperimentale di quest'ultimo, trovo che il principio di funzionamento di sandboxie sia più ostico rispetto alle soluzioni di sicurezza classiche (antivirus) per l'utente medio.
Non voglio dire che Sandboxie sia un applicazioni inadatta alla utenza classica, solo che imponendo all'utente una valutazione sulla bontà o meno di un app, implica una certa dose di decisione per l'utenza media che invece l'antivirus classico non impone.


Per sampei
Sulla differenza tra un errore nel principio di funzionamento del software ed un bug, per me c'è una differenza notevole per alcuni motivi.
Se uno studente applica un corretto metodo di studio ma dimentica una data (sandboxie), gli sarà sufficiente riaprire il libro di scuola per colmare la sua lacuna (risolvere il bug)

Se un altro studente (ES) applica un metodo di studio sbagliato, dimenticherà ogni cosa che avrà studiato (ovvero bisognerà rimettere pesantemente mano al software per renderlo strutturalmente sicuro).

[nV 25]

non ci sarei mai arrivato a portare un paragone cosi' calzante...

Su Sandboxie, quello che dici fondamentalmente è il motivo che a me personalmente fa amare indiscutibilmente di più un software come DefenseWall, troppo troppo bistrattato da tutti specie poi in Italia (e non solo perché è incompatibile con il 64bit).

Orgoglioso di averlo utilizzato e di averne sostenuto il progetto con qualche euro...

[The Walking Dead]

non ci sarei mai arrivato a portare un paragone cosi' calzante...

Su Sandboxie, quello che dici fondamentalmente è il motivo che a me personalmente fa amare indiscutibilmente di più un software come DefenseWall, troppo troppo bistrattato da tutti specie poi in Italia (e non solo perché è incompatibile con il 64bit).

Orgoglioso di averlo utilizzato e di averne sostenuto il progetto con qualche euro...

Grazie.

Io più che su software come DefenseWall vedo nell'antivirus classico la soluzione più praticabile per l'utenza media.
Ma non perché sia la migliore, anzi è fallace per molti aspetti, quanto appunto perché la più semplice, anche solo per una questione di abitudine.
Questo per quell'utenza come la intendo io, del tipo "non so assolutamente niente di sicurezza e non me ne voglio occupare nemmeno".

Sull'incompatibilità di DefenseWall con i sistemi 64bit, non ricordo quale fosse il punto del contendere.
Se ben ricordo si discuteva di problemi tra questo e patchguard che sostanzialmente vieta tecniche non ufficiali.