View Single Post
Old 20-04-2013, 01:10   #5
arnyreny
Senior Member
 
L'Avatar di arnyreny
 
Iscritto dal: May 2007
Città: Gragnano
Messaggi: 10656
Defence+ HIPS

Defence+ Hips


a mio avviso e non solo il defence+ è il punto di forza della suite di comodo,esso è basato principalmente sull'hips a cui è affiancato un discreto behavior block e una discreta sandbox. Diciamo che anche se fondamentalmente rispetto alla versione 5 non ci sono grandi rivoluzioni è cambiato il modo di lavorare dei tre componenti,innanzitutto ci hanno degnati del pulsantino che abbiamo cercato da tempo,quello che pulisce i dati nella sandbox,ma non è ancora possibile pulire in automatico come in sandboxie,che è sempre parecchio avanti.
Provando la prima beta mi colpì che di default l'hips era disattivato,ma come è possibile una cosa del genere?intorno a questa stranezza era nascosto il nuovo meccanismo del behavior block chiamato sandbox in comodo 5,adesso questa funzionalità si arricchisce e viene chiamata auto-sandbox,che oltre a garantire la virtualizzazione dei file sconosciuti quindi l'integrazione con la sandbox ad essi vengono applicate anche delle restrizioni da parte dell'hips.Quindi anche se l'hips è disattivato,esso viene utilizzato in maniera automatica dal behavior block,e il suo compito non si ferma qui infatti la scansione in cloud viene fatta proprio in prima analisi dall'Behavior Analysis Based Cloud,che online scansione il file per stabilire se si tratta di malware,in caso negativo il file resta sconosciuto e viene isolato con le restrizioni stabilite nella configurazione che andremo ad analizzare successivamente.
Tutto questo serve per proteggere meglio gli utenti meno smaliziati,liberandoli da pop-up fastidiosi e scelte difficili,anche se ritengo che per avere una migliore protezione bisogna configurare manualmente il defence+,in seguito mostreremo le possibili configurazioni ideali.
HIPS è l'acronimo di Host Based Intrusion Prevention System (Sistema di prevenzione delle intrusioni basata sull'Host) come per il firewall dobbiamo prestare attenzione in particolare a due fattori,a come rispondiamo agli avvisi e quindi configuriamo le regole e a come abbiamo impostato l'hips

a secondo del livello di protezione che imposteremo avremo una frequenza minore o maggiore di avvisi pop-up



come si può notare nell'immagine,il pop-up del hips è schematizzato su 6 righe:
la prima riga ci indica con il colore dello scudo la pericolosità di tale avviso,
infatti lo scudo in alto a sinistra in ogni avviso può essere di colore giallo,arancione o rosso,quello di colore giallo indica una bassa gravità,Nella maggior parte dei casi, è possibile approvare in sicurezza queste richiesta. Il 'Ricorda la mia risposta' opzione viene automaticamente preselezionato per le richieste di sicurezza.
se lo scudo è di colore arancione,indica una Gravità media , leggiamo attentamente le informazioni nella segnalazione prima di prendere una decisione. Questi avvisi potrebbero essere il risultato di un processo innocuo o attività da parte di un programma di fiducia o l'indicazione di un attacco da parte di malware.
lo scudo rosso indica una Gravità elevata :Questi avvisi indicano un comportamento molto sospetto simile all'attività di un cavallo di Troia, virus o altro malware.Oltre allo scudo colorato questa riga contiene un abreve informazione sull'applicazione che hya causato l'avviso e l'azione che vuole intrapendere.
nella seconda riga possiamo osservare l'azione che vuole intraprendere un programma,rappresentato tramite icona cliccabile,in modo che prima di decidere cosa fare possiamo raggiungere l'applicazione e leggere le sue proprietà.
nella terza riga c'è un pulsante che dobbiamo premere solo se siamo sicuri che conosciamo l'applicazione e se vogliamo acconsentire a quell'azione.
nella quarta riga c'e' la possibilità di bloccare la richiesta,epandendo il pulsante è possibile scegliere di bloccare la connessione o bloccare e chiudere

nella quinta riga se si conosce l'applicazione,c'e' la possibilità di trattala in una maniera predefinita
Installazione o Aggiornamento: curiosamente non è presentenel set di regole ma è comunque sempre la prima opzione presente nei pop-up. Poiché come abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup. Non è modificabile e per questo non è nominata qui Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere però mai il “Ricorda” se si sceglie questa modalità.
Applicazione di Sistema: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense resterà muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema è pericoloso e sbagliato.

Applicazione Isolata: praticamente è un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc.

impostazioni avanzate
è possibile raggiungere le impostazioni dell'hips tramite:operazioni,operazioni avanzate

Le modalità di sicurezza del D+ sono:

  • Disabilitato: il D+ non è attivo quindi nessun avviso a video, in questo stato anche il controllo esecuzione è esso stesso disattivato.

  • Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorderà queste nuove azioni. Da usare per pochi minuti e solo in caso di necessità. Poi tornate ad un livello di sicurezza più consono.

  • PC Pulito: è lo stato di default che abbiamo appena CIS viene installato, quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverrà solo per i nuovi applicativi che installerete. Gli elementi presenti in “File non Riconosciuti” sono comunque monitorati. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi ha un pc nuovo ed è sicuro sia privo di virus e da quello stato parte installando i suoi programmi. Dopo poche ore o giorni è il caso di settare D+ in modo più stringente.

  • Sicuro: è il livello che usa la maggioranza degli utenti di CIS, è quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalità PC Pulito . Il numero di avvisi crescerà ma siamo già capaci di rispondere “con criterio” ai pop-up.
    Le regole delle Policy sono applicate, i file che Comodo conosce come “Sicuri” vengono acconsentiti, per tutti gli altri il Defense ci chiederà cosa fare.

  • Paranoico: D+ ci avviserà di ogni attività tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano più.
:


le aree che possono essere monitorate dall'hips sono


attività controllate
accesso processi in memoria -alcuni malware utilizzano la modifica dello spazio di memoria per iniettare codice malevolo per numerosi tipi di attacchi, tra cui la registrazione di quello che battiamo sulla tastiera, rubare dati confidenziali con l'invio di informazioni riservate da un processo ad un altro processo.
intercettazione hook - Nel sistema operativo Microsoft Windows ®, un hook è un meccanismo mediante il quale una funzione in grado di intercettare gli eventi (messaggi, azioni del mouse, i tasti) prima che raggiungano una domanda. La funzione può agire su eventi e, in alcuni casi, modificarli.gli hook sono anche stai sfruttate dagli hacker per creare malware più potente . Gli esempi includono il malware in grado di registrare tutto quello che battiamo sulla della tastiera; registrare i movimenti del mouse, controllare e modificare tutti i messaggi sul computer, prendere il controllo del mouse e della tastiera per amministrare in remoto il computer. Lasciando questa casella abilitata verremo avvisati ogni volta che unhook viene eseguito da un'applicazione non attendibile .
installazione driver - i driver di periferica sono piccoli programmi che consentono alle applicazioni e / o sistemi operativi di interagire con un dispositivo hardware del computer. I dispositivi hardware includono le unità disco, scheda grafica, wireless LAN e schede di rete unità centrale, mouse, dispositivi USB, monitor, lettore DVD, ecc. L'installazione di un driver malintenzionato potrebbe, ovviamente, causare danni irreparabili al computer o anche passare il controllo di quel dispositivo a un hacker. Lasciando questa casella abilitata L' HIPS ci avviserà ogni volta che un driver di periferica sarà installato sulla nostra macchina da un'applicazione non attendibile .
chiusura processi- Un processo è un'istanza in esecuzione di un programma. .la Terminazione di un processo, ovviamente, termina il programma. Virus e trojan spesso cercano di arrestare i processi di qualsiasi software di sicurezza che sono in corso al fine di bypassarlo. Con questa impostazione attivata,il defence ci avvisa di tutti i tentativi da parte di un'applicazione non attendibiledi chiudere un'altra applicazione .
esecuzione processo - i malware tipici come i rootkit, keylogger spesso creano dei processi invisibili per infettare il computer e per rubare informazioni riservate e sensibili, come i dati della carta di credito e le password . Con questa impostazione attivata, il defence ci avvisa ogni volta che un processo viene richiamato da un'applicazione non attendibile.
finestra Messaggi - Questa impostazione ci rileva se un applicazione cerca di inviare messaggi di Windows speciali per modificare il comportamento di un'altra applicazione.
Servizio client DNS / RPC - Questa impostazione ci avvisa se un'applicazione tenta di accedere al 'servizio DNS di Windows'.

elementi controllati da modifiche
Interfacce COM Protette consente il monitoraggio di interfacce COM, secondo le regole della scheda Protezione COM .



Chiavi di registro protette consente il monitoraggio delle chiavi di registro, secondo le regole della scheda protezione registro.
File / Cartelle protette consente il monitoraggio di file e cartelle secondo le regole della scheda protezione file .
A DIFFERENZA di cis 6 in cis 6.1 le opzioni per questi elementi sono ragruppati
in unica scheda
cis6


cis 6.1


elementi controllati da accesso diretto
Memoria fisica: Controlla la memoria del computer per l'accesso diretto da delle applicazioni e processi. I programmi dannosi tentano di accedere alla memoria fisica per eseguire una vasta gamma di imprese - il più famoso è il 'buffer overflow' exploit. .
Monitor: Comodo Internet Security ci avviserà ogni volta che un processo tenta di accedere direttamente al monitor del computer. Sebbene le applicazioni legittime a volte richiedono questo accesso, vi è anche una categoria emergente di programmi spyware che utilizzano tale accesso per monitorare le attività degli utenti. (Ad esempio, per catturare schermate del desktop , per registrare la vostra attività di navigazione, ecc).
Dischi: controlla la tua unità disco dall'accesso diretto da parte dei processi in esecuzione. Per esempio cis ci avviserà se un programma sconosciuto tenta di scrivere o leggere dei dati dal disco, oppure tenta di cancellare file o formattare l'unità o danneggiare il file system.
Tastiera: controlla la tastiera da tentativi di accesso. Il software dannoso, noto come 'keylogger', è in grado di registrare ogni attività che si effettua sulla tastiera e può essere usato per rubare le password, numeri di carte di credito e altri dati personali. Con questa impostazione selezionata, Comodo Internet Security avvisa ogni volta che un'applicazione tenta di stabilire un accesso diretto alla tastiera .
Regole Applicazioni
abbiamo spiegato in precedenza che quando si risponde ad un avviso e si mette la spunta in ricorda la mia risposta,si crea una regola,un altro modo di creare una regole è cliccare su aggiungi nella scheda regole hips
per prima cosa dobbiamo individuare l'eseguibile o il processo a cui vogliamo applicare delle regole,poi dobbiamo decidere se usare delle regole predefinite
o delle regole personalizzate,per esempio se stiamo valutando un programma di sicurezza,lo tratteremo come applicazione sicura,una delle regole predefinite,
in quel caso il D+ non ci informerà più con avvisi a video per ogni azione svolta dal programma considerandolo sicuro.
Usa Policy Personalizzata si compone di 2 specchietti specifici. In Diritti di Accesso si imposta come D+ dovrà comportarsi circa l’azione richiamata a destra della tabella (chiedi, blocca, acconsenti) ed impostare anche una eccezione specifica. In Impostazioni di Protezione si determina invece se si vuole proteggere o meno l’applicazione nei confronti di determinate azioni svolte su di lei da altri processi
Eccoci al consiglio di configurazione:

A default: il Defense è su "PC Pulito"
HARDENING OBBLIGATORIO:
  • passare a “Sicuro”:
  • se mettete il Blocco alle richieste quando CIS è chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perchè a CIS disattivato quel tale programma non funziona;
  • “Crea regole per applicazioni sicure” non selezionato;
  • per chi è pratico di CIS valutare anche il passaggio successivamente alla modalità “Paranoico”.
Come diminuire gli avvisi ? Rimanendo in "Sicuro" selezionate "Crea regole per applicazioni sicure".

Se non siete neofiti di Comodo e seguite la sua traiettoria da qualche anno, allora potreste preferire una gestione del Defense più vicina a quella del passato, ovvero settandolo come un vero Hips puro senza tutte le nuove funzioni atte a ridurre gli avvisi, ecco come fare:
disattivare il behavior,poi portiamoci nella scheda impostazioni valutazione file che si trova in opzioni avanzate in valutazioni file.

e disattiviamo tutte e quattro le opzioni in modo che ifile sconosciuti non vengano analizzati in cluod e non vengono classificati in fidati o bloccati,in modo che non venga implementata la lista degli autori fidati e che quindi tutti i file quindi vengono sottoposti al controllo dell'hips e quindi sotratti all'automatismo di comodo,e infine portarsi nella STESSA SEZIONE VALUTAZIONE FILE nella scheda produttori attendibili ed eliminare tutti i produttori presenti...buon divertimento

Ultima modifica di arnyreny : 20-04-2013 alle 01:16.
arnyreny è offline   Rispondi citando il messaggio o parte di esso