www.MegaLab.it

[sampei.nihira]

@ nV25

Ciao Enne,se continui a leggere queste pagine avrei gentilmente 2 domande da porti.
In merito al test di ES ver 0.9 che ho letto è molto migliorata.

1) Presumo che hai effettuato la modifica in SandboxIE di DR_LaRRY_PEpPeR mi interessserebbe conoscere se hai provato sulla stabile oppure anche su la beta 4.01.04 ?

2) OS di test ? (presumo a 64 bit).

Grazie di eventuali risposte.

[nV 25]

chiunque può provare la pre-0.9 semplicemente mandando un privato allo sviluppatore.

Si, l'ho trovato realmente ottimo in termini di usabilità (= non ho testato in nessun modo la sua efficacia tramite i link che sono forniti nella mail di risposta)

OS di test: 8 x64 (VirtualBox)

Sandboxie allo stato non lo uso perché aspetto la rel.ufficiale.

[sampei.nihira]

Ah.. quindi la tua configurazione di sicurezza dopo EMET (perché non compatibile) anche SBIE ha seguito la stessa strada,cioè è stata disinstallata.
Complici presumo i recenti accadimenti in tema.
Grazie e rinnovo i miei auguri per la prossima Pasqua.

[nV 25]

è si:

8 ha causato...la disinstallazione (temporanea) di tutte le mie certezze.

Ma a breve si riparte alla grande!!

Buona!

[sampei.nihira]

http://www.zerovulnerabilitylabs.com/ho ... ition-0-9/

Rilasciata ver 0.9.1 di ES.
Quasi quasi la installo nel sistema reale.
Devo decidere però quale (trà XP e 7).

[sampei.nihira]

Buon pomeriggio.
Qualche impressione velocissima (sapete la vigilia di Pasqua,mia moglie che romp....,la figlia è negli studi di AMICI.....) di ES ver 0.9.1:



Ho applicato la modifica di DR_LaRRY_PEpPeR a SandboxIE ver stabile ed installato ES.

Anche EMET ha accesso diretto quindi la teoria di m00nbl00d per una diminuzione della tenuta di SBIE anche secondo me non ha senso.
Si può notare nell'immagine sopra che ES protegge sia Opera che JAVA sotto tutela sandbox,nelle GUI di Exploitshield si nota infatti il contatore a 2.

Un niente di fatto sottolineato anche da PE nel mio caso per il lettore PDF (PDF-XChange Viewer).
Ho provato anche ad aprire siti web in flash, ma anche in questo caso, niente.

Ho deciso che ne ha più bisogno XP nessuna installazione quindi in Windows 7.

[sampei.nihira]

Xp Home SP 3:

Real Time

ExploitShield Browser Edition ver 0.9.1 beta
SandboxIE
EMET 3.5 T.P
DropMy Rights
Norton DNS

Opera-Google SSL-WOT,Adblock,Ghostery,Attiva plug-in solo su richiesta,cronologia a zero,cache svuota all'uscita,no accettare mai cookie,spunta OFF "invia le informazioni sul server di provenienza" e "attiva la geolocalizzazione",attiva javascript in barra.
JAVA Installato con lieve hardening,plug-in disabilitati in Opera.
FLASH intallato con lieve hardening.

On demand

CCleaner
Hitman Pro
HijackThis Portable

Others

SUMo portable
Iobit Uninstaller Portable
ProcessExplorer
Browser riserva Chrome portable

p.s. Installato ExploitShield Browser Edition

[sampei.nihira]

Non ci sono problemi nemmeno con Chrome portable lanciato sotto tutela sandboxIE.
Ottengo come con Opera sempre 2 applications protette.

[sampei.nihira]

Con VLC rilevo qualche problema di incompatibilità che per la fretta non riesco a replicare in modo coerente.
Quasi nessun problema con WMP.
Entrambi i sw sono protetti da ES.
Occorre vedere nel proseguo se tali "problemini" possono dar fastidio.

[sampei.nihira]

Purtroppo ho dovuto disinstallarlo.
Il download/visione sotto sandboxIE (non ho provato in modo diretto) di alcuni files,per maggiore velocità ho usato files mpg risultavano malformati.
Difetto impossibile da trascurare.

C'è da dire che la disinstallazione tramite un software apposito evita la procedura di eliminazione manuale della chiave di registro.
Avvertenza che è notificata all'utente tramite pop-up video.
Io poi ho anche pulito con CCleaner + Regseeker.

Test più approfondito ancora una volta rimandato alla prossima versione.

[raffaele32]

Avast! 8 Google Chrome con AdBlockPlus e Malwarebytes AntiMalware, IE 10. Ho unito anche Sumo per avere la notifica delle update di Java e Flash player . Io ho gli aggiornamenti del sistema attivato e funzionante.

[sampei.nihira]

Non c'è proprio nessuno che vuole vedere se possibile replicare il mio problema ?
Basta installare ES ver 0.9.1. downloadare un filmato mpeg/mpg (ma quasi certamente anche AVI) e nell'HD ed aprirlo con VLC (con WMP quasi certamente nessun problema).
Voi potete provare anche senza SBIE.
In questo modo,se fosse possibile replicare anche con un OS diverso il bug si potrebbe contribuire a rendere migliore il prodotto.
Che secondo me ha notevoli potenzialità.

Ho letto anche il 3D specifico su W. e mi par strano che nessuno ha notato questo bug ed io in mezz'ora......

[sampei.nihira]

http://www.wilderssecurity.com/showpost ... stcount=48

Test di Kees1958 (che ha modificato l'user) promettente.
Come si nota kees ha inserito nella propria configurazione di sicurezza anche ESB (ExploitShield Browser edition).

[nV 25]

Non ci voleva Kees, comunque, nel suggerirci di percorrere anche la strada di ExploitShield (ES) come soluzione da integrare in una difesa multistrato...


Emet, infatti, funziona su certi binari, ES su altri e, sulla carta (probabilità 99,..%), tra loro perfettamente compatibili (ricordiamoci peraltro anche dell'articolo di eraser in proposito o le stesse dichiarazioni da parte di Pedro Bustamante).


Anche sul mio PC, pertanto, non appena vedranno la luce le versioni finali, si riarticolerà la difesa multistrato:
ES, EMET, Sandboxie.

E non perché me lo suggerisca Kees, bensi' perché quella è la strada da percorrere su un OS MS...se si è un po' più sensibili al tema sicurezza.

[sampei.nihira]

Kees ha provato,come ricorderai ES e poi ha disinstallato il prodotto.
Pressapoco quando Eraser nel suo blog ha pubblicato quella ricerca famosa.
Infatti non ci voleva Kees per suggerire ciò.

Comunque, se ti interessa, la ver di EMET che sostituisce la 3.5 dovrebbe vedere la luce "a breve".
Anzi per dir la verità la sua uscita doveva,secondo le ultime dichiarazioni degli sviluppatori, essere fuori per la fine di marzo.

[sampei.nihira]

Ho sostituito nel pc con Xp PDF-XChange Viewer con SumatraPDF.
Avevo scelto il primo sw perché nella precedente versione di Sumatra le mitigazioni ROP di EMET davano qualche problema.
Con questa ultima versione nessun problema.

Come spesso accade in SUMo viene notificata una ver nuova di SumatraPDF che non c'è !!
Mi sono imposto di inviare un e-mail allo sviluppatore ogni qual volta succederà questo bug.

Sviluppatore dal nick name Kyle Katarn ,che è molto disponibile.
Dopo 1 gg dalla segnalazione mi ha reinviato un e-mail dove mi comunicava che aveva posto rimedio al bug.

Se avete qualche problema simile in altri sw che volete tenere sotto controllo vi consiglierei di fare ciò che ho fatto io.

[hashcat]

Android 0-day per sampei.

Trojan:Android/Pincer.A

[sampei.nihira]

[The Walking Dead]

Ho sostituito nel pc con Xp PDF-XChange Viewer con SumatraPDF.

Ciao sampei.
Se dovessi scegliere un alternativa ad Adobe Reader (mi sembra tu preferisca cosi) io opterei per Foxit che quantomeno dispone di una sorta di modalità protetta, di cui sia Sumatra sia PDF Xchange sono sprovvisti.

PDFXChange in particolare viene solitamente considerato sicuro ma non possiede ne una sandbox ne una modalità protetta in stile Foxit.
A questo proposito se ti interessa è fuori la beta della versione 6.
http://www.ilsoftware.it/forum/viewtopi ... &start=210

Io continuo a ritenere che Adobe dal punto di vista della sicurezza sia decisamente sottovalutato (è l'unico ad avere una buona sandobox oltre ad altri meccanismi di sicurezza avanzati) oltre che standard qualitativi più alti.
Il suo essere visto come insicuro è solitamente indice di utenti che non aggiornano il prodotto.

@NV
Ho visto che addirittura inserisci ES insieme ad altre applicazioni top come EMET e SandboxIE nella tua configurazione di sicurezza.
E la cosa mi ha sorpreso.
Io ritengo ancora acerbo ES, sicuramente non al livello dei primi due, ma comunque ho già espresso le mie perplessità nelle pagine precedenti.

[sampei.nihira]

Buongiorno Dead.
Requisito fondamentale per scegliere un sw bersagliato come un lettore PDF è lo storico bugs.

1) Sumatra ha lo storico bugs più "snello" sia di Foxit che di Adobe.
E per la teoria che io chiamo dell'iceberg è matematico che i bugs non scoperti ma presenti seguono la stessa proporzione numerica.

2) Siccome io uso abbassare l'IL con Icacls occorre verificare che sia possibile con gli altri sw senza problemi d'uso del sw stesso.
Il mio sumatra gira ad un IL basso:

Verificate.

3) Altro mio requisito fondamentale di giudizio siccome uso l'hrdening deny elevation of unsigned programs è che nativamente il sw sia non firmato.

Anche se sai che la modifica manuale dell'IL ne invalida la firma.
Verificate e comparate.

4) Preferisco che il sw sia nativamente portable.
Questo perché relego Sumatra all'apertura dei pdf salvati eventualmente nell'HD.
perché per me in rete è più sicuro usare il PDF nativo di Chrome.
Per i soliti motivi,IL non attendibile,Processo PPAPI................

5) Il quinto motivo segue la logica del quarto quindi occorre che il sw sia il più leggero possibile.

Verificate.

6) Inoltre occorre che il sw sia pienamente compatibile con le mitigazioni ROP di EMET.
Verificate.

Traslando il tutto nel mio pc,io suo Opera con XP come ben sai,mi occorrono parte dei requisiti di cui sopra + che il sw sia pienamente usabile con SandboxIE.
Specie in un pc dalle caratteristiche old come il mio.
Anche perché immaginerai che io apro tutti i pdf in rete solo in modalità sandboxata.

qual è quello più leggero....................ecc ecc..........verificate.

Sarò molto lieto di leggere una comparazione su questo argomento.

p.s. Potrei rispondere anche alla domanda che hai fatto a nV25 perché immagino che le sue motivazioni siano anche le mie ma preferisco che sia Enne stesso a dire la sua.