www.MegaLab.it

[sampei.nihira]

@ Fiorenzino

Se hai settato SandboxIE con l'eliminazione del contenuto alla chiusura del browser + diritti limitati potresti provare ad eliminare il firewall software di terze parti anche l'HIPS non ti serve quasi a nulla con SandboxIE.
Avresti sempre il fw software di XP con il controllo delle connessioni in entrata.

[sampei.nihira]

Ancora in merito a JAVA (si lo sò che rompo....abbiate pazienza, una dote, presente nei pescatori ).
Vi metto in risalto l'articolo sotto di cui ovviamente potete leggere anche la pag1:

https://www.infoworld.com/d/security/cy ... 4?page=0,1

ma a me preme sottolineare il paragrafo sotto di pagina 2:

On the "Advanced" tab of the Java control panel, under the "Advanced security settings" category, there are two options called "Check certificates for revocation using CRLs (Certificate Revocation Lists)" and "Enable online certificate validation" -- the second option uses OCSP (Online Certificate Status Protocol). Both of these options are disabled by default.

che riprende il punto 12 di:

http://seanthegeek.github.com/harden-java/

Vorrei consigliare i lettori,che hanno JAVA installato, di verificare e nel caso modificare di conseguenza come a suo tempo consigliato (da me ).

[sampei.nihira]

Ecco un articolo che illustra come ZeroAccess aggira UAC:

http://journeyintoir.blogspot.mx/2013/0 ... lware.html

la parte interessante è la sezione "bypassing UAC".
Noterete che l'avviso di UAC (in questo caso per Flash) è simile a quello ottenibile lanciando a livello amministrativo un qualsiasi software non Windows
potete fare un test con CCleaner.
In questo 3D wat0114 illustra un rafforzamento dell'azione dello UAC:

http://www.wilderssecurity.com/showpost ... ostcount=1

che non è disponibile in un OS Home.
Secondo me occorre pensare in modo diverso.
Quando sospettiamo che un avviso UAC sia potenzialmente un inganno ?
Quando stiamo navigando tranquillamente in rete e magari ci appare un avviso simile a presente nell'articolo.
Il sospetto di inganno è dovuto ad una serie di fattori che richiedono esperienza.
Una base comune però dovrebbere escludere in fase di installazione un eventuale aggiornamento automatico di eventuali plugin esterni.

In altri termini l'abilitazione dell'aggornamento automatico (in fase di installazione legittima) di un plugin esterno per esempio Flash genera sempre
un possibile dubbio futuro qualora si presentasse un avviso di UAC non legittimo.

Quindi meglio disattivare l'aggiornamento automatico ed affidare a software tipo Secunia,SUMo compiti simili.

[hashcat]

@sampei.nihira

Purtroppo non è la prima volta che vedo sfruttata la tecnica del DLL Preloading. Proprio recentemente mi è capitato di leggere due articoli che mostravano come questo espediente continua ad essere utilizzato:

Primo (Sophos)

Secondo (TrendMicro)

[fiorenzino]

@ Fiorenzino

Se hai settato SandboxIE con l'eliminazione del contenuto alla chiusura del browser + diritti limitati potresti provare ad eliminare il firewall software di terze parti anche l'HIPS non ti serve quasi a nulla con SandboxIE.
Avresti sempre il fw software di XP con il controllo delle connessioni in entrata.

Grazie, Sampei. In effetti ho settato SandboxIE proprio così

[The Walking Dead]

Questa problematica è stata affrontata in diverse occasioni dagli ingegneri Microsoft nel corso del tempo.
Ogni tanto qualche addetto ai lavori la ripropone in forme e modi differenti, ma sostanzialmente si tratta sempre della stessa questione del "limite di protezione".

La richiesta dell' user account control indica solamente il file eseguibile a cui verranno concessi i diritti di amministratore.
Se questo caricherà dll o comunicherà con altri processi, purtroppo non un compito che spetta ad UAC stabilire.

Ipotizziamo che un eseguibili esegua operazioni dalla riga di comando, oppure comunichi con altri processi.
Per poter intervenire dovremmo verificare ognuno di queti passaggi.
"Flash player exe vuole comunicare con il processo xxx. Permetti?"
Oppure
"Il processo xxx vuole elaborare le istruzioni dalla riga di comando xxx: Acconsenti?"

Onestamente secondo me diventerebbe impraticabile.

[farbix89]

Sul Pwn2Own 2013 si continua nel topic dedicato

viewtopic.php?f=8&t=80623&start=0

[sampei.nihira]

Ecco un articolo che illustra come ZeroAccess aggira UAC:

http://journeyintoir.blogspot.mx/2013/0 ... lware.html

la parte interessante è la sezione "bypassing UAC".
Noterete che l'avviso di UAC (in questo caso per Flash) è simile a quello ottenibile lanciando a livello amministrativo un qualsiasi software non Windows
potete fare un test con CCleaner.
In questo 3D wat0114 illustra un rafforzamento dell'azione dello UAC:

http://www.wilderssecurity.com/showpost ... ostcount=1

che non è disponibile in un OS Home.
Secondo me occorre pensare in modo diverso.
Quando sospettiamo che un avviso UAC sia potenzialmente un inganno ?
Quando stiamo navigando tranquillamente in rete e magari ci appare un avviso simile a presente nell'articolo.
Il sospetto di inganno è dovuto ad una serie di fattori che richiedono esperienza.
Una base comune però dovrebbere escludere in fase di installazione un eventuale aggiornamento automatico di eventuali plugin esterni.

In altri termini l'abilitazione dell'aggornamento automatico (in fase di installazione legittima) di un plugin esterno per esempio Flash genera sempre
un possibile dubbio futuro qualora si presentasse un avviso di UAC non legittimo.

Quindi meglio disattivare l'aggiornamento automatico ed affidare a software tipo Secunia,SUMo compiti simili.

Da notare la logica conclusione di cui sopra:

http://www.wilderssecurity.com/showthre ... ost2200675

p.s. Sampei non è naturalmente qualcuno di quei nick,mi pare doveroso farlo notare,anche se credo sia intuibile.

[sampei.nihira]

A tal proposito potrebbe essere interessante concretizzare le conclusioni di cui sopra con una nuova ricerca dei software preposti agli aggiornamenti software installati più affidabili.
Faccio presente che a tal proposito SUMo presenta alcune lacune.
Del tipo che non notifica gli aggiornamenti di Libreoffice,notifica spesso le beta come stabili di Sumatrapdf,non è possibile inserire alcuni sw portable tipo IObitUnistaller.......

Se non ricordo male proprio su MLI è stato fatto un articolo, ormai datato ritengo,in merito.

[sampei.nihira]

Conteggio dei bugs JAVA senza patch dopo il contest Pwn2Own2013:

http://javatester.org/

[sampei.nihira]

Per gentile concessione di mia figlia ecco l'intervento dell'estensione per Chrome Dr Web antivirus linkchecker in azione su FB (unica impostazione ad On).
Al posto del GO si ottiene, prima, uno scan del link cliccato in precedenza.

Data la mia scarsissima dimestichezza con i social network non riesco ad ottenere "stessa soddisfazione" dall'opzione "Facebook and Twitter Protection" presente nell'estensione Bitdefender TrafficLight.

Qualsiasi contributo di ogni utente di MLI sarà quindi il benvenuto.

[hashcat]

A seguire un nuovo esempio di malware che sfrutta il DLL Preloading:

AlienVault Labs

[sampei.nihira]

http://www.sandboxie.com/phpbb/viewtopi ... 7975#87975

Si discute di un possibile bypass di SBIE.

[hashcat]

http://www.sandboxie.com/phpbb/viewtopic.php?p=87975#87975

Si discute di un possibile bypass di SBIE.

L'ultima versione stabile è vulnerabile, la beta 4 (secondo Ronen) no.



P.S.: @sampei.nihira Posso chiederti nuovamente la password per questi campioni?

[hashcat]

@sampei.nihira Posso chiederti nuovamente la password per questi campioni?

E magari anche per QUESTI (Mandiant).

[sampei.nihira]

Di frettissima, in MP, ti spedisco la regola generale.
Così troverai ogni pw.

[hashcat]

Di frettissima, in MP, ti spedisco la regola generale.
Così troverai ogni pw.

[hashcat]

Pubblicata nel MVL la scheda relativa al campione DarkSeoul.

[sampei.nihira]

http://www.av-comparatives.org/images/d ... 013_en.pdf

[sampei.nihira]

https://addons.opera.com/it/search/?query=dr+web

Aggiornamento versione di Dr.Web Link Checker for Opera.
Questa ver è perfettamente funzionante anche da coloro che usano Opera in modalità sandboxata.