Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > WinTricks > News dal WEB

Notices

Rispondi
 
Strumenti discussione
Vecchio 12-05-2010, 12.12.33   #1
Billow
Gold Member
Top Poster
 
L'avatar di Billow
 
Registrato: 23-10-1998
Loc.: X Regio - Venetia et Histria
Messaggi: 14.119
Billow splende di luce propriaBillow splende di luce propriaBillow splende di luce propriaBillow splende di luce propriaBillow splende di luce propria
Nuovi attacchi su qualsiasi Windows


Sei un utente Windows? Sei sicuro che il tuo antivirus venga aggiornato regolarmente? e quindi, Ti senti sicuro?
Non esserlo!! Se continui nella lettura dell'articolo scoprirai perchè ...

I ricercatori sulla sicurezza della Matousec.com hanno creato un ingegnoso attacco che riesce ad "entrare" in qualsiasi prodotto Windows e permette ad un qualsivoglia codice maligno di farsi strada dentro il vostro sistema.



Avete letto bene - qualsiasi prodotto pensato per la sicurezza di Windows. La lista è enorme e fa riflettere:




  • 3D EQSecure Professional Edition 4.2
  • avast! Internet Security 5.0.462
  • AVG Internet Security 9.0.791
  • Avira Premium Security Suite 10.0.0.536
  • BitDefender Total Security 2010 13.0.20.347
  • Blink Professional 4.6.1
  • CA Internet Security Suite Plus 2010 6.0.0.272
  • Comodo Internet Security Free 4.0.138377.779
  • DefenseWall Personal Firewall 3.00
  • Dr.Web Security Space Pro 6.0.0.03100
  • ESET Smart Security 4.2.35.3
  • F-Secure Internet Security 2010 10.00 build 246
  • G DATA TotalCare 2010
  • Kaspersky Internet Security 2010 9.0.0.736
  • KingSoft Personal Firewall 9 Plus 2009.05.07.70
  • Malware Defender 2.6.0
  • McAfee Total Protection 2010 10.0.580
  • Norman Security Suite PRO 8.0
  • Norton Internet Security 2010 17.5.0.127
  • Online Armor Premium 4.0.0.35
  • Online Solutions Security Suite 1.5.14905.0
  • Outpost Security Suite Pro 6.7.3.3063.452.0726
  • Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
  • Panda Internet Security 2010 15.01.00
  • PC Tools Firewall Plus 6.0.0.88
  • PrivateFirewall 7.0.20.37
  • Security Shield 2010 13.0.16.313
  • Sophos Endpoint Security and Control 9.0.5
  • ThreatFire 4.7.0.17
  • Trend Micro Internet Security Pro 2010 17.50.1647.0000
  • Vba32 Personal 3.12.12.4
  • VIPRE Antivirus Premium 4.0.3272
  • VirusBuster Internet Security Suite 3.2
  • Webroot Internet Security Essentials 6.1.0.145
  • ZoneAlarm Extreme Security 9.1.507.000
  • Altre versioni dei software succitati
  • Altro software e prodotti che utilizzano kernel simili per la sicurezza.

L'attacco è astuto ed è stato definito "bite-and-switch" (butta l'esca e connetti).
Funziona in questo modo: un codice innocuo viene passato al software di sicurezza (l'antivirus) per la scansione, ma non appena verificato, lo stesso viene tramutato in codice dannoso. L'attacco funziona in modo anche più semplice con i sistemi multi-core, poiché i processori non tengono conto dei processi che sono in esecuzione su altri core.

L'attacco, definito KHOBE (Kernel HOok Bypassing Engine), sfrutta un modulo Windows standard, denominato System Service Descriptor Table, o SSDT, che è collegato al kernel di Windows.
Purtroppo, l' SSDT è di norma utilizzato da quasi tutti i software antivirus.










Visita
Billow non è collegato   Rispondi citando
Vecchio 12-05-2010, 12.31.33   #2
Wanu
Senior Member
 
Registrato: 28-09-2009
Messaggi: 365
Wanu promette bene
Nella lista manca il Microsoft Security Essentials... secondo voi a ragione oppure non è stato proprio considerato?
E in aggiunta scusatemi, ma non è molto chiaro come il primo codice venga eseguito nel processore.
Tempo fa la Apple disse che quello che allora sembrava l'unico virus su una piattaforma definita "protetta da virus" per architettura, in realtà non potesse essere considerato tale perchè l'utente doveva coscientemente decidere di eseguire il codice.
Ora dalla descrizione sembra che eseguendo un codice tramite questa falla architetturale l'antivirus ritenga NON PERICOLOSO il codice stesso che si tramuta in un codice maligno subito dopo il controllo... la mia domanda è : COME VIENE SOTTOPOSTO IL PRIMO CODICE A WINDOWS?
Se devo lanciarlo... alla fine non mi pare così astuto come metodo... se poi va creato un virus in grado di eseguire il virus stesso...
Certo è un problema serio che andrebbe affrontato dalle software house antivirus prima ancora che da windows...
In aggiunta mi chiedo la trasformazione come venga fatta... se il codice maligno è scritto da qualche parte sarà pure controllabile no? Ok si trasforma... ma la nuova versione dove la prende?
Wanu non è collegato   Rispondi citando
Vecchio 12-05-2010, 13.14.43   #3
dino46
Newbie
 
L'avatar di dino46
 
Registrato: 04-02-2008
Messaggi: 14
dino46 promette bene
Vuoi vedere che gira gira Microsoft è riuscita a fare (magari per caso) una cosa ben progettata e ,soprattutto,regolarmente ben aggiornata?
Come me penso siano motli quelli che usano Microsoft Security Essentials, visto che non sembrava in origine ne meglio ne peggio di altri, e che abilitano il suo aggiornamento automatico.
Il mio PC scarica ogni giorno un file di aggiornamento che va dai 600KB ad 1,5MB.
___________________________________

Il Paradiso lo preferisco per il clima ma l' Inferno per la compagnia (M.Twain)
dino46 non è collegato   Rispondi citando
Vecchio 12-05-2010, 13.41.02   #4
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
http://www.matousec.com/info/article...y-software.php
LoryOne non è collegato   Rispondi citando
Vecchio 12-05-2010, 14.23.43   #5
retalv
Forum supporter
WT Expert
 
L'avatar di retalv
 
Registrato: 13-03-2005
Loc.: Ultima stella a destra
Messaggi: 2.809
retalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raroretalv è un gioiello raro
Nulla di nuovo sotto il sole.

Leggete questo articolo e tenete presente la data ... (parliamo di un po più di 6 anni fa...)

http://marc.info/?l=bugtraq&m=107282353313951&w=2

Come al solito Matousec non ha perso l'occasione per farsi ridere dietro da tutta la rete e di confermare i nostri sospetti che potete leggere nei vecchi Threads sempre su questo forum.

Purtroppo quei bischeri hanno conquistato una visibilità che gli permette di fare bello e brutto tempo dal lato commerciale della sicurezza e chi produce per questa oramai pensa quasi esclusivamente a fare i propri prodotti in modo da passare i loro test per essere tra i primi in graduatoria.

Sul fatto che non compaiano titoli in lista e che perciò questi siano immuni al "problema" è tutto da dimostrare, considerato come si sono comportati in passato riguardo le classifiche...

Ripetendomi, personalmente ho provato parecchi dei prodotti firewall presenti in lista, non ultimo di 5 giorni fa l'attuale primo in classifica, e con sommo dispiacere ho dovuto constatare che pur essendo migliorato a livello di usabilità teorica rimane una palla al piede nel normale contesto operativo.
In altri termini, se devo stare a litigare con un prodotto di sicurezza al top teorico facendo fatica a far lavorare altro software che devo far convivere nella macchina (e parlo di cosette tipo: il programma pippo.exe ha tentato di accedere nell'area di memoria xxxxxxxx:xxxxxxxx che dovrebbe essere di sola lettura... per colpa di una architettura sandbox penosa) preferisco un pelo meno di sicurezza tangibile e una macchina che funziona come sempre ha fatto.
Mi meraviglio che come primo in classifica con abbiano messo "Taglia il cavo del telefono Firewall SA" o "Tieni il computer spento Security" ... Augh, ho parlato!

p.s. non me ne vogliano troppo i fruitori di Comodo...
___________________________________

L'uomo ha attraversato un'evoluzione complessa, dal DOS a Windows 7.
Poi ... tutto è vago.

Ultima modifica di retalv : 12-05-2010 alle ore 14.45.58
retalv non è collegato   Rispondi citando
Vecchio 12-05-2010, 16.00.48   #6
SMH17
Hero Member
 
L'avatar di SMH17
 
Registrato: 24-11-2007
Messaggi: 1.076
SMH17 promette bene
ma è sempre la stessa storia si deve prima abboccarci all'esca

ci sono in giro un finimondo di malware che sfuggono alle scansioni antivirus (spessissimo senza neanche usare metodi molto ingegnosi ma magari per il solo fatto che non sono stati ancora inclusi nelle definizioni)


se si esegue un programma di dubbia provenienza con privilegi amministratore... ci credo che non si è sicuri

il malware in questione sui sistemi successivi a Xp lo si deve eseguire con UAC disabilitata o con un bel click su "consenti"
___________________________________

mio sito
SMH17 non è collegato   Rispondi citando
Vecchio 12-05-2010, 16.28.20   #7
Semi.genius
Guest
 
Messaggi: n/a
Credo che Paul Ducklin abbia già detto come la penso:

http://www.sophos.com/blogs/duck/g/2...-earth-shaker/
  Rispondi citando
Vecchio 13-05-2010, 09.47.02   #8
Davide71
Forum supporter
 
L'avatar di Davide71
 
Registrato: 25-02-2001
Loc.: Capitale Mondiale del MARMO e delle "polveri sottili" :(
Messaggi: 1.813
Davide71 promette bene
Semplice, non installate nessun antivirus ed il gioco è fatto.............


bye
___________________________________

Un saluto ed un grazie per l'attenzione.
Davide71 non è collegato   Rispondi citando
Vecchio 13-05-2010, 10.36.09   #9
GINGILLONE
Senior Member
 
Registrato: 05-09-2008
Messaggi: 340
GINGILLONE promette bene
Quota:
Inviato da Wanu
Nella lista manca il Microsoft Security Essentials... secondo voi a ragione oppure non è stato proprio considerato?
E in aggiunta scusatemi, ma non è molto chiaro come il primo codice venga eseguito nel processore.
Tempo fa la Apple disse che quello che allora sembrava l'unico virus su una piattaforma definita "protetta da virus" per architettura, in realtà non potesse essere considerato tale perchè l'utente doveva coscientemente decidere di eseguire il codice.
Ora dalla descrizione sembra che eseguendo un codice tramite questa falla architetturale l'antivirus ritenga NON PERICOLOSO il codice stesso che si tramuta in un codice maligno subito dopo il controllo... la mia domanda è : COME VIENE SOTTOPOSTO IL PRIMO CODICE A WINDOWS?
Se devo lanciarlo... alla fine non mi pare così astuto come metodo... se poi va creato un virus in grado di eseguire il virus stesso...
Certo è un problema serio che andrebbe affrontato dalle software house antivirus prima ancora che da windows...
In aggiunta mi chiedo la trasformazione come venga fatta... se il codice maligno è scritto da qualche parte sarà pure controllabile no? Ok si trasforma... ma la nuova versione dove la prende?
mancano anche malwarebyte antimalware e prevx. ti assicuro che funzionano
e comunque devi abboccare per prendere il virus. Se non ci fossero i virus vuoi vedere che non venderebbero prodotti antivirus
GINGILLONE non è collegato   Rispondi citando
Vecchio 14-05-2010, 11.45.09   #10
Wanu
Senior Member
 
Registrato: 28-09-2009
Messaggi: 365
Wanu promette bene
Quota:
Inviato da GINGILLONE
mancano anche malwarebyte antimalware e prevx. ti assicuro che funzionano
e comunque devi abboccare per prendere il virus. Se non ci fossero i virus vuoi vedere che non venderebbero prodotti antivirus
No no... chiaro che funzionano... la cosa particolare è che questi hanno tirato fuori una vulnerabilità per aggirare la protezione antivirus (qui rispondo anche a chi usa come soluzione quella di non metterne nessuno), e secondo loro creando un virus che usa lo stesso protocollo dell'antivirus, nel momento in cui l'antivirus controlla il virus stesso lo "attiva" markandolo anche come controllato... a quel punto il virus è libero di girare indisturbato...
In tutto questo capisco non vengano menzionati gli antivirus minori, però mi stupisce parecchio non venga menzionato il prodotto che "targato" microsoft si è fatto una vera e propria fetta di mercato, complice il fatto di essere gratuito.
Wanu non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Orario GMT +2. Ora sono le: 14.58.19.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.