Prevenire è meglio che curare :) Software HIPS

[nV 25]

Ecco appunto la cazzata di cui avrei fatto volentieri a meno di sentire:

(ci) comunica infatti lo sviluppatore di MalwareByte Anti-Exploit che l'obiettivo del loro programma è far si che questo diventi un rimpiazzo a tutti gli effetti di EMET,
"The objective is to not need EMET as MBAE will be much more in-depth, including anti-exploit techniques at many more layers of an exploit attack than what EMET includes."


Impossibile.

Con tutto il rispetto infatti per gli ex-Panda che hanno tirato su questa realtà, la MS ha schierate menti raffinate dietro lo sviluppo del tool e completa il proprio portafoglio di mitigazioni ottimizzando studi di terzi (è proprio il caso delle mitigazioni ROP, EMET 3.5 Tech Preview leverages security mitigations from the BlueHat).


Insomma, qui si caca fuori dal vaso...

[nV 25]

ok, forse ho capito e a tal proposito può essere interessante l'osservazione di Kees, cliccami...altrimenti proprio si svariona...

[nV 25]

PBust, di fatto, mi da dell'utente con conoscenze tecniche :

per lui, infatti, EMET è un tool che si presta maggiormente a quest'utenza mentre MBAM lo può usare anche un suino ,
"EMET is great but there is a very large userbase without technical knowledge where configuring EMET correctly might be an impossibility for them.
Also for convenience and usability MBAE is much easier to use."


In effetti, MBAM non richiede interventi dell'utente, dunque sotto questo profilo è sicuramente favorito nel confronto.

E' anche vero xò che inserire 2 percorsi in EMET non è che richieda formazioni specifiche, eh...


Cmq, se qualcuno utilizza il tool MS a questo punto è autorizzato ad allargarsi con gli amici vantando le proprie "competenze tecniche" ...





PS:
chi usa un software come Comodo, allora, è da considerarsi Einstein?

[eraser]

Quote:

Originariamente inviato da nV 25

(ci) comunica infatti lo sviluppatore di MalwareByte Anti-Exploit che l'obiettivo del loro programma è far si che questo diventi un rimpiazzo a tutti gli effetti di EMET

Utilizzano due approcci totalmente differenti, e il concetto stesso è totalmente differente. Potranno integrarsi, ma mai MBAE sostituirà EMET

[nV 25]

e, a tal fine, è utile dare nuovamente visibilità ad un tuo precedente lavoro,
Common preventive and reactive approaches to mitigate exploit attacks.


Io, invece, mi limito ad osservare il problema sotto un profilo squisitamente di "forze in campo"


(e tra questi, infatti, figurano soggetti ben noti)...

Il minestrone, infine, si completa di un ulteriore ingrediente (studi di terzi) aggiunto per completare, come dicevo, il paniere...

Cioè:
quello che si ricava seguendo timidamente il mondo del "subverting" (e in questo senso ci faccio confluire anche la galassia exploit) è la grande dinamicità di chi attacca (strano, no? anche perchè, detto tra noi, è probabilmente più semplice distruggere che non costruire).

Di conseguenza, vedo solo nell'unione di più forze in campo (= intelligenze) l'unico strumento per contrastarlo...

Quindi:
novità architetturali che gli OS devono per forza di cose portare con se (8, ad es, e da quello che mi sembra di capire in misura ancora maggiore 8.1) più ulteriori sforzi (EMET a 360° come dicevo prima, ossia "aiuto" che proviene anche da punti di vista nuovi).

IMO

[nV 25]

Quote:

Originariamente inviato da eraser

...

per parlare d'altro, a che punto è l'AppContainer launcher?

[jonnymnemonic]

Ciao
volevo chiedervi: attualmente in internet scaricabile gratis esiste un programma antispyware o antivirus che pulisca il registro di sistema efficacemente senza avere casini dopo la pulitura dello stesso???
Vorrei avere alcuni consigli su software di quel genere scaricabili da internet
Premetto che ho un sistema operativo windows 7
Grazie della risposta.

[Chill-Out]

Quote:

Originariamente inviato da jonnymnemonic

Ciao
volevo chiedervi: attualmente in internet scaricabile gratis esiste un programma antispyware o antivirus che pulisca il registro di sistema efficacemente senza avere casini dopo la pulitura dello stesso???
Vorrei avere alcuni consigli su software di quel genere scaricabili da internet
Premetto che ho un sistema operativo windows 7
Grazie della risposta.

***ATTENZIONE : THREAD IMPORTANTI***

nello specifico http://www.hwupgrade.it/forum/showthread.php?t=2011681

evita di postare dappertutto http://www.hwupgrade.it/forum/showpo...postcount=2281

[nV 25]

Windows 8 Secure Boot: arriva il malware di basso livello

Notare che il nostro* AaLl86 è citato nel lavoro presentato al Black Hat da questi 3 ricercatori...






* nel senso che, come eraser, ci ha fregiato del suo contributo...

[nV 25]

semplice:

al momento sono "semplici" PoC e non ITW.

In 2° luogo, non credo che rilasciare un apposito aggiornamento del firmware sia cosa impossibile...

[nV 25]

non ho voglia sinceramente di finire per fare i soliti monologhi ma, perdonami:
dove sarebbe il problema se "i ricercatori [...] hanno scelto una strada più facile e sfruttato una falla in un altro software" invece che, appunto, nell'OS che sfrutta in modo nativo quella tecnologia?

Anche a logica, se c'è un canale aperto da una parte a che pro sbattersi tanto per cercare altre strade se non come ulteriore esercizio?

[nV 25]

vi propongo questa riflessione facile-facile che mi frulla per la testa già da un pò.

Alla luce dell'accelerazione impressa da MS in relazione al rilascio di un nuovo sistema operativo ogni 3x2 (8, infatti, fuori ufficialmente da meno di un anno e 8.1 alle porte), percepisco (ma forse mi sbaglio) una certa fatica a star dietro ai nuovi kernel da parte delle piccole/piccolissime software house di soluzioni intimamente connesse appunto con il cuore del sistema operativo:
voi come la pensate?


Se guardo infatti la storia recente di Sandboxie, simbolo appunto di una casa che vive attorno ai sacrifici di un'unica persona, colgo una certa lentezza nel rendere il prodotto il più possibile compatibile con 8.

Non vorrei dunque che quest'accelerazione suonasse un pò come una campana a morto per chi vive attorno a quelle condizioni di partenza (= poche forze)...

Cavolate?

Eraser?

[nV 25]

Quote:

Originariamente inviato da [Claudio]

...MS corre dietro a Apple e continua a produrre mer.da (il fallimento di Win 8 [...] non lo certifico io, lo ha certificato Ballmer in persona con le sue dimissioni).

fallimento di 8, produrre m**,...:
posso evitare di risponderti visto che battagliare su questo capitolo mi è già costato qualcosa come 1 mese di sospensione nell'ultimo semestre?

[cloutz]

[divagazione=ON]

Secondo me oggi tenersi aggiornati e tenere aggiornato un software (bene) ha un costo elevato, quasi quanto produrlo da zero..

Posso testimoniare la mia personale esperienza/difficoltà, avendo lavorato a un progetto abbastanza impegnativo (circa 15 risorse allocate fulltime, di cui 4-5 persone davvero smart):

(intro) 1 mese di formazione-sviluppo light
4 mesi di sviluppo
2 mesi di test ufficiali
1 di sviluppo (ricicli)
1 di test
1 sviluppo (ricicli)
1 test
test globali
rilascio

Calcoliamo 1 anno, per un lavoro fatto bene?

Ecco, devi chiuderti in un bunker e non avere a che fare col mondo esterno per 1 anno...

Altrimenti passi il 70% del tempo a combattere con l'incompatibilità saltata fuori dall'aggiornamento del framework, della jdk, dell'application server,
della libreria più idiota del progetto, dell'IDE, del sistema operativo (tuo e dei colleghi) ecc... e ovviamente anche le società con cui lavori hanno questi problemi, quello che viene fuori è un gran casino costante

Quindi IMHO è più che comprensibile che piccoli sviluppatori solitari sentano maggiormente il peso di questo spasmodico aggiornamento (peso che grava su tutti, sia chiaro), che inevitabilmente impedisce di riservare il giusto tempo da dedicare alle cose che lo richiedono... perchè hai costi e scadenze, da rispettare

A ognuno la sua strategia, ma alla fine è sempre l'anello più debole della catena il primo a saltare...

[arnyreny]

anch'io oggi installando la rtm di 8.1 facevo un po' di riflessioni di come è cambiato il mondo della sicurezza informatica in generale,se torniamo 5 o 6 anni indietro c'erano almeno alcune persone che stavano dietro agli hips,adesso gli hips si contano sulle punte delle dita,molti utenti hanno adottato nuovi mezzi di difesa parecchi con un buon livello di maturità riescono a sopperire anche all'av,diciamo che il mondo cambia e insieme al mondo cambia anche il nostro modo di guardare le cose,e questo fa si che parecchi soft per sopravvivere devono cambiare a loro volta modo di lavorare.

[Romagnolo1973]

ben tornato ENNE
io penso che nel mondo windows si ripeta quanto avvenuto in ambito negozi, i piccoli alimentari muoiono e si va presso l'iper a prendere tutto perchè il tempo è poco e lì parcheggi facile e in un ora di tempo vai pure dal barbiere dentro al centro commerciale. I one man software pian piano spariscono e la loro unica possibilità è che l'idea sia buona e qualcuno dei grossi li incorpori pagando qualche milionata. M$ stessa cerca di sopravvivere è un po' il Titanic che ha incontrato l'iceberg ed ora sta affondando e quando sei messo così non puoi sbagliare una mossa e devi pure fare in fretta, insomma la posizione è delicata e vicina al collasso, basta vedere i pc venduti rispetto ai tablet e si vede che stiamo per cambiare scenario e nel nuovo Microsoft conta quanto linux sui pc. Non investirei in azioni di Redmond insomma e Balmer va in pensione perchè ha una vagonata di azioni ed è meglio venderle ora che dopo

[nV 25]

grazie per i commenti.


In relazione al discorso 8.1/EMET 4, mi è stato comunicato dal supporto che non risultano grandi problemi di compatibilità.

Al momento, infatti, (immagino tra le altre cose) sono al lavoro su un problema di comunicazione tra IE11 e il meccanismo di reporting di EMET.
("EMET.dll non riesce a comunicare con EMET Agent dato che IE11 di default utilizza AppContainer che non permette interazioni con l’esterno del processo come per Modern IE").


Insomma, EMET 4 è compatibile con 8.1 dal day one..

[nV 25]

Ari-altro 1-0 per EMET che chiude in anticipo una falla in IE castrando la conseguente esecuzione di codice arbitrario:

Microsoft Security Advisory (2887505) del 17/9/2013

CVE-2013-3893 (con l'analisi dell'exploit)

"EMET 4.0 can be used to help protect against the exploit we analyzed that attempts to exploit this vulnerability [...]"

[nV 25]

è evidente, e cosi' almeno si copre quanto non detto nel post precedente, che al momento MS non ha rilasciato patch specifiche ma solo il fix-it.

Chi non pratica quindi la strada più nota indicata poc'anzi o non fa uso di EMET, è logicamente esposto anche se, in verità, non ho la minima idea di quanto possa essere diffuso il rischio trattato dall'articolo.


Per non saper leggere nè scrivere, cmq, e anche là dove non si dovesse usare IE come browser, rinnovo il mio invito ad installare in pianta stabile EMET sulle nostre macchine.

E' un buon consiglio

[leolas]

aspetterei a fare MS per morta, non penso proprio che sia destinata a decadere così tanto.. Anzi, dopotutto credo che capitalizzi più di apple e google, e piano piano con i cellulari si farà valere..

Android sinceramente su pc lo vedo un po' in difficoltà, non credo che il comune mortale acquisterebbe un pc android.


That said. Io sinceramente non uso pi HIPS e simili perchè non ho tempo per farlo come hobby come un tempo, e ora in un anno di windows8 ho preso una volta uno schifo perchè ce l'ho messo io, non per altro. -per sbaglio nell'installare un programma ho lasciato la spunta per installare uno scamware (insomma quei programmi che ti mettono 15 toolbar e ti aprono pubblicità).

Alla fine gli HIPS sono superinvadenti, e se non si fanno certe cose non so bene cosa farmene. Certo, se mi viene voglia di andare sul deepweb qualcosa ce lo metto, ma per un utilizzo normale del pc trovo più comodo mettere un normale antivirus non invasivo, sandboxare il browser e "hitmanproizzare" tutti i programmi che scarico.
Se si ha un po' di usta, il 99,99999% dei virus non li si prendono a prescindere..

Se avessi più tempo mi piacerebbe avere una corazzata, ma ora come ora non mi va..