www.MegaLab.it

[sampei.nihira]

Ciao sampei.nihira

Ho provato Hitman Pro, su due computer in laboratorio con xp, e non hanno dato nessun problema.

Ciao Gianpietro.
Siccome dò per scontato che avranno il file system in NTFS mi chiedevo,se ti capita, di provare Hitman Pro (mi dà questo problema con queste ultime 2 versioni) con un FAT32.
Se dovesse crashare quello è il motivo.....ma mi pare troppo facile !!

p.s. Ovviamente aspetto un paio di prossime new realese poi se questi problemi dovessero persistere disinstallo il sw.

RISOLTOOOOOOOOOO !!!
La mia supposizione scritta su MLI il 28 maggio era corretta !!

FIXED: Unexpected termination of HitmanPro during remnant scan on computers with FAT32 system volume

Mi sà che non devo appendere la canna frà qualche anno....questo pescatore è sempre "valido" !!

[The Walking Dead]

Mi sà che non devo appendere la canna frà qualche anno....questo pescatore è sempre "valido" !!

[sampei.nihira]

Nel frattempo vorrei consigliare tutti gli utenti che usano SBIE in ver stabile di passare alla 12 uscita oggi.
E' veramente molto avanzata come beta.
Ed eventuali piccoli problemi ancora rimasti potrebbero contribuire,se segnalati,a velocizzare l'uscita della stabile quanto prima.
Buona serata a tutti.

[nix87]

Ciao Nix qual buon vento !!!
Come stai ?

Bene bene, grazie

Vedo che sei riuscito a risolvere il problema che avevi con HP.

Ho avuto modo di leggere gli ultimi post di questo thread ed ho notato che sei molto interessato all'uso di ExploitShield.
Ho provato ad informarmi meglio su questo software, ma non sono riuscito a capir bene come funziona... si occupa solo di bloccare i drive-by download o fa anche qualcos'altro ? In che modo agisce in particolare ?

Lo chiedo solo per pura curiosità personale...

Grazie per eventuali delucidazioni

[The Walking Dead]

Ciao Nix qual buon vento !!!
Come stai ?

Bene bene, grazie

Vedo che sei riuscito a risolvere il problema che avevi con HP.

Ho avuto modo di leggere gli ultimi post di questo thread ed ho notato che sei molto interessato all'uso di ExploitShield.
Ho provato ad informarmi meglio su questo software, ma non sono riuscito a capir bene come funziona... si occupa solo di bloccare i drive-by download o fa anche qualcos'altro ? In che modo agisce in particolare ?

Lo chiedo solo per pura curiosità personale...

Grazie per eventuali delucidazioni

L'articolo probabilmente più completo è questo.
http://www.saferbytes.it/2012/10/08/com ... t-attacks/

Forse sampei aggiungerà qualcosa.

[sampei.nihira]

Si l'articolo che prende in esame ES è probabilmente il primo e quello più completo.
Anche se da quel giorno ZVL ha dichiarato di aver migliorato la "gestione" del tutto.
Quindi ad oggi se ES agisce in modo diverso rispetto a quell'articolo solo lo sviluppatore lo sà.
Ma a noi interessano i fatti concreti.
Tipo la recente vulnerabilità di I.E.8 mitigata sia da EMET che da ES.
In parole povere un utente che si fosse trovato esposto ad un exploit (ovviamente usando I.E.) avrebbe avuto il OS protetto da entrambi i sw.
Esempio che è possibile traslare ad altri sw.

ES presenta inoltre delle caratteristiche diverse rispetto ad EMET.
Per esempio non necessita dei NET per funzionare.
Oppure non abbisogna che l'utente si preoccupi di inserire in lista EMET alcuni sw che ha installato per assicurarne la mitigazione.
Ovvio anche EMET presenta dei vantaggi il primo plateale che è possibile inserire in lista ogni sw mentre con ES la "lista a default" è notevolmente più limitata.

perché quindi abbinarli ?

Per 2 motivi.

Se la superficie di attacco non sia aumentata dall'installazione di ES (sembrerebbe di no) questo concorre ad assicurare una difesa multistrato per giunta da 2 sw disgiunti.
Faccio un esempio se prendiamo CIS e le sue funzioni sandbox e HIPS avere nel pc installati 2 sw distinti che per semplicità presupponiamo con le stesse performance di quelle di CIS ma uno a funzione sandbox e l'altro a funzione HIPS assicura maggiore protezione perché un eventuale default di un sw non implica che anche l'altro renda inefficiente la propria protezione.
Ed ancora in passato è stato dimostrato che EMET con inserito JAVA in lista non è riuscito a bloccare exploit a cui è stato soggetto questo sw.
Mentre ZVL ha reso disponibile una lista di exploit fermati da ES proprio in merito a JAVA.
Ci sarebbe da dire che oggi le performance di EMET sono aumentate rispetto al passato e quindi ciò che ieri veniva superato forse oggi sarebbe fermato.
Altra differenza di ES rispetto ad EMET è che questo non funziona sotto SBIE (non ho provato ma presumo che sia lo stesso con il sandbox di altri sw).


p.s. Si Erik ha risolto (io no ) il mio problema,sono molto felice non vedo l'ora che la 201 sia disponibile.

[The Walking Dead]

Samp una cosa, solo come opinione personale perché poi alla fine questi argomenti sono abbastanza complessi e potremmo avventurarci in discussioni magari avventate.

Tralasciamo per un attimo il video di Marco Giuliani dal quale si può evincere la facilità nel bypassare ES.
Fingiamo per un attimo che ciò che mostra Marco Giuliani nel suo video oggi non sia più attuabile, in seguito ad un qualche intervento tecnico da parte del team di ES.

Secondo me quello che dobbiamo chiederci è...il problema di fondo, sarebbe risolto?
A mio modo di vedere no, resterebbe intatto.

Ti dico perché penso questo.
Il problema di ES è il suo approccio, il modo in cui è strutturato.
Il problema di fondo di ES è il fatto che permette all'exploit di eseguirsi.
Una volta che l'exploit viene eseguito potrebbe in teoria fare qualsiasi cosa.
Mentre Giuliani ci mostra uno dei possibili modi per bypassare ES, questo è solo uno tra i tanti possibili.
Il punto cruciale sta nel fatto che consentendo all'exploit di eseguirsi, risulta più difficile controllarlo una volta eseguito, rispetto a soluzione diverse quali EMET.

Poi posso sbagliare.

While both approaches are useful, the weakest point in the second one is that, to sandbox the exploit code, you are basically allowing the shellcode to be executed. So you are up to what the attacker decided to do with his own shellcode. Usually those security products are hooking user mode APIs like CreateProcess, URLDownloadToFile, LoadLibrary, all those common APIs used by exploit’s shellcodes to drop additional malware on the system. While this approach looks to be effective against most common exploits out there, the real reason is that many exploit coders usually don’t care about potential hooks placed in the APIs they are going to use.
Let’s think a bit about this approach: if the protection is based upon the interception of some APIs, this means that the exploit shellcode has already been able to get executed, so the attacker is now fully controlling the code flow. If the attacker is controlling the code flow, what is actually preventing him from bypassing the placed hook before calling the wanted API?

[The Walking Dead]

Il punto cruciale sta nel fatto che consentendo all'exploit di eseguirsi, risulta più difficile controllarlo una volta eseguito, rispetto a soluzione diverse quali EMET.

Mi spiego meglio.
Semplificando, l'approccio di ExploitShield è del tipo "permetto all'exploit di eseguirsi, poi intervengo monitorando il codice exploit" (permettetemi la semplificazione, è solo per intenderci).
Questo approccio crea un problema del tipo "se l'exploit può essere eseguito, come possiamo avere la certezza che ne venga impedito il funzionamento?"

Al contrario EMET, (che poi altro non è che un insieme di tecniche incluse in Windows con alcune aggiunte) fa un ragionamento del tipo "impedisco a monte l'esecuzione dell'exploit rendendo casuale l'indirizzo di memoria (esempio), bloccando di fatto l'esecuzione sul nascere".

È questo il punto di massima importanza.
Il primo (EMET) blocca tutto sul nascere, impedendo all'exploit di fare qualsiasi cosa, il secondo (ES) permette l'esecuzione dell'exploit rendendo incerte le possibilità di riuscita.

[sampei.nihira]

Salve Dead.
Il merito agli interventi tecnici è ovvio che sono stati attuati.
Quella ver di ES, basti dire, poteva essere usata solo in account amministrativi mentre quella odierna anche in account SUA.
Ma il solito problema di fondo non è se sia possibile una bypass di ES.
E' se questo sw installato sia utile a prevenire eventuali exploit anche in modalità 0-day laddove le solite difese generalizzate hanno effetto nullo o quasi.

In merito alla prevenzione la risposta è certamente si lo dimostra il recente 0-day di I.E.
I OS con installato ES potevano usare in sicurezza I.E.8.

E' ovvio poi che se io sono un malware-writer e pongo in essere un exploit tenendo conto anche un eventuale installazione nei miei sistemi vittime di ES,quindi con un bypass,rendo le funzioni del sw pressochè nulle.
Ma tali bypass se attuati rendono nulle molte funzioni di sw riconosciuti importanti per la sicurezza del sistema.
Per esempio il bypass kernel che ha reso nulle le funzioni protettive di un eventuale sandbox installato nel sistema.
Nessuno però si sogna di dire che questo possibile bypass annulla a zero il valore protettivo di un sandbox.

Quindi ribadisco il mio (poi altri la possono pensare diversamente ) pensiero.

In mancanza di una dimostrazione che l'installazione di ES aumenta la superficie di attacco (ti ricordo che Giuliani ha scritto che questa rimane la stessa) l'uso di ES abbinato ad EMET assicura al sistema in cui questi 2 sw sono installati una maggiore protezione rispetto al solo EMET installato.

Ed aggiungo che, secondo me,i benefici in protezione sono perfino superiori in presenza di JAVA installato.

Quindi io considero l'uso di ES simbiotico a quello di EMET.
Ed a dimostrazione di ciò di cui sopra nei commenti nell'articolo del 2012 io faccio proprio a Giuliani una domanda in merito e cioè l'abbinamento dei 2 sw insieme.

Eventualità che già al tempo solleticava la mia mente....
Buona serata.

p.s. Ti ricordo che in passato exploit java in lista EMET hanno avuto la meglio,cioè a dire EMET non ha impedito alcunchè.....e quindi il tuo "blocca sul nascere".......

[The Walking Dead]

Ciao sampei.
Sono d'accordo su alcuni punti .
Per esempio quando dici che EMET ed ES si completino a vicenda e sono complementari.
M anche quando sostieni che averli entrambi è maggiormente sicuro che averne solo uno, proprio perché sono complementari.

Il punto sul quale sono in disaccordo è questo:

ES si basa sul principio di permettere l'esecuzione dell'exploit, mentre EMET no.
È questo il suo punto debole, non tanto quanto mostrato nel video da Giuliani.

Cioè con ES una volta permessa l'esecuzione dell'exploit devi poi riuscire a limitare il codice malevolo, mentre MS taglia sul nascere il problema impedendo di fatto l'esecuzione del codice.

Questo non vuol dire che ES sia inutile, solo che preferisco un approccio in stile EMET perché secondo me più sicuro.

[sampei.nihira]

Vabbè....

______________________

Nel frattempo 2 notizie lunedì o martedì Erik ha comunicato che uscira la 201 di HP che ritornerà prepotentemente
nella mia configurazione di sicurezza,nel frattempo ho cestinato CCE.
Ho disinstallato dal mio XP Apache OpenOffice che è certamente meno peso di LibreOffice.
Preferendo infine dopo qualche test di uso/pesantezza il modulo Softmaker FreeOffice che occupa circa 88 MB nel mio HD.
Ovviamente molto meno rispetto ad ApacheOpenOffice.
Ho preso spunto di ciò quì.
Poi ho fatto anche un resoconto sicurezza nel tempo anche grazie a Secunia.

[The Walking Dead]

nel frattempo ho cestinato CCE.

Su questo siamo d'accordo.

[sampei.nihira]

Kees, alias Windows Security, ha eliminato dalla propria configurazione di sicurezza SpyShelter (prima o poi sapevo che avrebbe deciso così) ed ha reintrodotto Exploitshield.
Secondo me l'abbinamento Chrome + Exploitshield (quindi senza avere installato nel sistema un sandbox dedicato) è la configurazione più performante per chi sceglie ovviamente questa soluzione,cioè la user-sandbox di Chrome, e decide anche di installare ES nella propria configurazione.

Anche Kees quindi usa in questo momento l'accoppiata EMET + Exploitshield Browser Edition.
Almeno sono in compagnia perché almeno 2 utenti simili nel Mondo ci sono.....
La domanda postuma è se questa sua scelta durerà visto qualche probabile FP a cui potrebbe andare incontro usando Chrome.

p.s. Mi trova contrario però l'usare il Media Player Classic.

[The Walking Dead]

Kees, alias Windows Security, ha eliminato dalla propria configurazione di sicurezza SpyShelter (prima o poi sapevo che avrebbe deciso così) ed ha reintrodotto Exploitshield.
Secondo me l'abbinamento Chrome + Exploitshield (quindi senza avere installato nel sistema un sandbox dedicato) è la configurazione più performante per chi sceglie ovviamente questa soluzione,cioè la user-sandbox di Chrome, e decide anche di installare ES nella propria configurazione.

Anche Kees quindi usa in questo momento l'accoppiata EMET + Exploitshield Browser Edition.
Almeno sono in compagnia perché almeno 2 utenti simili nel Mondo ci sono.....
La domanda postuma è se questa sua scelta durerà visto qualche probabile FP a cui potrebbe andare incontro usando Chrome.

p.s. Mi trova contrario però l'usare il Media Player Classic.

Ciao sampei.
MPC-HC permette di usare MadVR su macchine performanti.
È una soluzione adottata in diversi forum "specializzati" per esempio nella visione degli anime e via discorrendo.

Privato di MadVR, MPC-HC è ben poca cosa secondo me, se non per il fatto di essere piuttosto leggero sulle risorse.

Qui non ti troverò d'accordo ma io sto usando MSE.
È una cosa indecente il numero di falsi positivi dei software alternativi, fortuna che dovrebbero essere specializzati.
La goccia che ha fatto traboccare il vaso è stato un sito con 53 file JPG che per Avast sono 53 malware.
Una decina di siti bloccati dalla protezione web assolutamente innocui, vai per segnalare il falso positivo e non funziona .
Apri il report mensile e vedi decine di segnalazioni malware, di cui nemmeno uno costituiva reale pericolo.
Invece di pensare alla VPN, rimozione toolbar etc, dovrebbero pensare ad alzare gli standard sul proprio codice.

[sampei.nihira]

Ma Windows Security ha 55 anni.
E l'età di eventuali figli rispecchierebbe quella del padre,cioè sarebbero più che maggiorenni o giù di li.
A quell'età guarderebbe/ro ancora i cartoni giapponesi e via discorrendo ?
Ed inoltre non credo che coloro che sono nati nel 1958 apprezzino in modo simile a chi è nato dopo gli anime....magari sono più affezionati ai western.

(Se una eventuale risposta è lunga ti prego di rispondermi in MP per ovviare al fatto che siamo OT nel 3D.)

Dead da un utente come te io mi aspetto,che "entro poco",tu elimini proprio la "specie" antivirus dalla tua configurazione di sicurezza !!
Per così dire.......... lo pretendo !!

[gianpietro]

Nuova versione Sandboxie 4.01.13

http://www.sandboxie.com/phpbb/viewtopic.php?t=14453

[sampei.nihira]

Nuova versione Sandboxie 4.01.13

http://www.sandboxie.com/phpbb/viewtopic.php?t=14453

http://www.wilderssecurity.com/showpost ... tcount=193

[The Walking Dead]

Ma Windows Security ha 55 anni.
E l'età di eventuali figli rispecchierebbe quella del padre,cioè sarebbero più che maggiorenni o giù di li.
A quell'età guarderebbe/ro ancora i cartoni giapponesi e via discorrendo ?
Ed inoltre non credo che coloro che sono nati nel 1958 apprezzino in modo simile a chi è nato dopo gli anime....magari sono più affezionati ai western. ]

Penso di essermi spiegato male.
In molti forum specializzati in anime, dove gli standard sulla qualità video sono piuttosto ricercati, si consiglia per una miglior qualità l'uso di MadVR con MPC-HC, ma anche per esempio sul sito di Shark007 (quello dei codec) o in altri siti specializzati in home cinema.
Ma non tanto per la visione di anime, quanto per la qualità video.
Una volta che ti sarai abituato a MadVR difficilmente tornei indietro.
Ogni altra soluzione ti sembrerà spegnere i tuoi video.

Dead da un utente come te io mi aspetto,che "entro poco",tu elimini proprio la "specie" antivirus dalla tua configurazione di sicurezza !!
Per così dire.......... lo pretendo !!

Grazie samp, per ora ho scelto di tenere l'antivirus principalmente per due motivi.
E cioè il fatto di non poter escludere eventuali mie distrazioni, oppure perché necessito di un parere su un file.
PS: È uscito HP 201.

[sampei.nihira]

PS: È uscito HP 201.

Prima io di 1' :

http://www.wilderssecurity.com/showpost ... ount=30354

ma lo avevo installato da prima...

[The Walking Dead]

PS: È uscito HP 201.

Prima io di 1' :

http://www.wilderssecurity.com/showpost ... ount=30354

ma lo avevo installato da prima...

Un altra differenza tra la mia e la tua configurazione ora che la guardo attentamente sono i DNS.
Norton per te, Google per me.

PS: Aggiorna Bandizip.
3,05.