Nuovo sondaggio Firewall software

[AleLinuxBSD]

Magari se fai alcuni esempi oppure, anche meglio, riporti la schermata del messaggio, è più chiaro.

Ciao Ale

[xcdegasp]

Quote:

Originariamente inviato da amodena

Scusa, mi sono espresso male e hai frainteso
Ciò che dici è evidente, quando parlo di "dati inutili" e/o in generale di informazioni trafugate, parlo sempre del "delta" possibile fra perdere tali informazioni per via della mancanza di un firewall software rispetto allo sfruttamento di una falla dello stesso e/o dei software allowed.

Parlando da niubbo mi viene da pensare che con le restrizioni software su un account limitato non è possibile eseguire nulla di non già allowed (cioè installati nelle system folders).
Su un SO "blindato" quindi tale malware dovrebbe o:
1) indurmi ad eseguirlo/installarlo da diritti amministrator (lo devo proprio avviare io con "Run As")
2) sfruttare un bug dell' OS (scalare account) oppure di un software allowed

Per il punto 1...bhè scenario sicuramente possibile, però diciamo che con un antivirus e accendendo il cervello la probabilità di incapparvi è bassa Resterebbe fondamentalmente il problema sulla sicurezza dei software allowed installati...cioè se ad esempio scarico una versione di firefox già alterata.
Però a quel punto se la installo e autorizzo firefox "infetto" ad accedere alla rete già il firewall software serve a poco (a meno di evitare di flaggare la memoria, ma autorizzare proprio tutto ad ogni accesso e quindi notare che provca ad andare su ip "strani")

Per il punto 2 che io abbia un firewall software o meno se tale worm è fatto bene riuscirebbe a gabbarmi (solo un antivirus o antispyware lo rivelerebbe)

Nella mia ricerca, magari "superficiale", non ho trovato casistiche che mostrino sniffing di dati riferiti ad una configurazione del SO blindata (senza antivirus si invece) in cui la presenza di un firewall software avrebbe salvato la situazione.
Quelli che ho trovato sono riferiti a casi in cui si navigava come administrator oppure si installavano malware di propria iniziativa

Da qui la nascita del post, cioè cercando la pratica e non la teoria

un sistema con account limitato è vero che il 90% della sporcizia te la evita ma rimane sempre il 10% in agguato!

la tua domanda iniziale era se veramente serve un firewall software, e sto leggendo che in modo autonomo sei arrivato ad una conclusione, seppur conclusione parziale è sempre una conclusione..
non tutti i firewall ti eviterebbero questi problemi, perchè non tutti i firewall controllano efficacemente le interazioni tra i programmi o ignezioni di codice nelle dll.
quindi rimanendo fiscali con le tue parole non è sufficente avere una configurazione blindata perchè se il programma pippo.exe sfrutta il svchost.exe per accedere alla rete bypassa la protezione bindata

ritorno a dire che se tu provassi quei test sarebbe tutto più chiaro per te.

[amodena]

M i sembra strano che non tenga le impostazioni, a memoria non mi pare ci sia nulla da configurare a parte flaggare il remember alla comparsa del pop-up.
Ti segno il link ufficiale in cui chiedere dettagli:
http://www.hwupgrade.it/forum/showthread.php?t=1230576

Se opti per la scelta di utilizzare un firewall software mi sento di consigliarti comodo (su xp, su vista non so se ha problemi sinceramente), personalmente è il migliore che ho provato...dopo diverse prove la mia genesi free outpost -> sygate -> comodo (ora solo ipsec in prova )

[xcdegasp]

Quote:

Originariamente inviato da AleLinuxBSD

OpenFirewall
OpenFirewall is based on two lines of defence first WIPFW ( Kernel-mode driver ) and second tdifw ( application-mode TDI-driver )

Indicazioni in italiano.
"Si, questo progetto si basa su DUE firewall indipendenti, uno NDIS in "kernel-mode" del sistema operativo ( nel motore del sistema ), questo è basato su WIPFW ( un porting di origini linux ) e uno TDI alla fine del kernel e all' inizio dello starto applicazione nella sezione di smistaggio, quest' ultimo è basato su tdifw è una tecnologia che permette a questo firewall ( come anche ad altri ) di controllare tutte le comunicazioni, ma che a differenza degli altri blocca tutti i protocolli e le cominicazioni tranne quelli espressamente permessi dall' utente una nota importante: tdifw e WIPFW sono entrambi prgetti opensource"

Mi pare promettente.

Ciao Ale

sempre arretrato alla concorrenza che esegue il controllo di aree di registro e code injection sia in servizi che in dll

[amodena]

Quote:

Originariamente inviato da xcdegasp

un sistema con account limitato è vero che il 90% della sporcizia te la evita ma rimane sempre il 10% in agguato!

la tua domanda iniziale era se veramente serve un firewall software, e sto leggendo che in modo autonomo sei arrivato ad una conclusione, seppur conclusione parziale è sempre una conclusione..

no no, nessuna conclusione sinceramente...posto sempre impressioni logiche che poi magari mi smentisco da solo / mi smentiscono ecc ecc
rimembranze di extreme programming in team per arrivare a conclusioni trasversali
La stesso post di startup e quello precedente è partito con l' idea della verifica di non utilità di un firewall software in casi di reale utilizzo, alla ricerca di dati ogettivi a riguardo (aka smentite veloci anche )

Quote:

Originariamente inviato da xcdegasp

non tutti i firewall ti eviterebbero questi problemi, perchè non tutti i firewall controllano efficacemente le interazioni tra i programmi o ignezioni di codice nelle dll.

si si, infatti consiglio a dg80 comodo, zone allarm a suo tempo mi lasciò basito su come si facesse buggerare e lasciasse passare parecchia robetta (anche con semplici script wss o codice java da niubbi), comodo ho fatto alcune prove semplici e finora mi ha positivamente colpito (anche se non è leggerissimo con tante connessioni aperte...rispetto a sygate almeno... )

Quote:

Originariamente inviato da xcdegasp

quindi rimanendo fiscali con le tue parole non è sufficente avere una configurazione blindata perchè se il programma pippo.exe sfrutta il svchost.exe per accedere alla rete bypassa la protezione bindata

scusa non ho capito l'esempio...se pippo.exe è una applicazione residente nelle system shared è eseguibile e quindi se malware fa sicuramente danni, ma se io mi fidassi di pippo.exe avendola installata come admin (unico modo per installare/eseguire cose non in system shared come utente limitato con restrizioni software) molto probabilmente fidandomi avrei dato l'allowed a pippo.exe anche al firewall software e quindi passerebbe uguale (sempre a meno di bug!) sbaglio?

Quote:

Originariamente inviato da xcdegasp

ritorno a dire che se tu provassi quei test sarebbe tutto più chiaro per te.

domani o al più domenica provvederò ai test...purtroppo sono state giornate lunghe queste...target2 si avvicina

[xcdegasp]

Quote:

Originariamente inviato da amodena

scusa non ho capito l'esempio...se pippo.exe è una applicazione residente nelle system shared è eseguibile e quindi se malware fa sicuramente danni, ma se io mi fidassi di pippo.exe avendola installata come admin (unico modo per installare/eseguire cose non in system shared come utente limitato con restrizioni software) molto probabilmente fidandomi avrei dato l'allowed a pippo.exe anche al firewall software e quindi passerebbe uguale (sempre a meno di bug!) sbaglio?


domani o al più domenica provvederò ai test...purtroppo sono state giornate lunghe queste...target2 si avvicina

É vero, gran parte dei rootkit e dei malware attuali verrebbero tagliati fuori, ma non è vero che si possa essere al sicuro.

Un programma lanciato da account limitato può avere accesso alle zone di memoria di tutti gli altri processi che vengono lanciati con diritti dello stesso account limitato in uso. Una volta ricavato l’handle del processo con l’API OpenProcess() e flag PROCESS_VM_WRITE è possibile andare a scrivere nelle zone di memoria degli altri processi con diritti simili.

Lo scopo del rootkit è quello di nascondersi agli occhi degli utenti. Lo faccia in modo complesso (DKOM, SSDT/IDT hooking), lo faccia a livello più semplice e completo (rootkit user mode con diritti administrator) o lo faccia a livello di account limitato (modifica solo dei processi lanciati da account limitato) può comunque farlo. Certo, è più facile l’individuazione - basta lanciare uno scanner antivirus con permessi administrator (RunAs) o avere comunque un monitor antivirus in realtime che dovrebbe partire con diritti di SYSTEM - ma se nessuno pensasse di fare una scansione il rootkit svolgerebbe comunque il proprio lavoro.

E se appunto iniettasse codice in un altro servizio sarebbe l'altro servizio a instaurare la connessione!
queste metodologie non le conosci probabilmente perchè hanno preso piede l'anno scorso e subito hanno trovato subito suolo fertile.

ps: sono sempre disponibile ad avvicinarmi a casa

[amodena]

Quote:

Originariamente inviato da xcdegasp

É vero, gran parte dei rootkit e dei malware attuali verrebbero tagliati fuori, ma non è vero che si possa essere al sicuro.

Un programma lanciato da account limitato può avere accesso alle zone di memoria di tutti gli altri processi che vengono lanciati con diritti dello stesso account limitato in uso. Una volta ricavato l’handle del processo con l’API OpenProcess() e flag PROCESS_VM_WRITE è possibile andare a scrivere nelle zone di memoria degli altri processi con diritti simili.

Lo scopo del rootkit è quello di nascondersi agli occhi degli utenti. Lo faccia in modo complesso (DKOM, SSDT/IDT hooking), lo faccia a livello più semplice e completo (rootkit user mode con diritti administrator) o lo faccia a livello di account limitato (modifica solo dei processi lanciati da account limitato) può comunque farlo. Certo, è più facile l’individuazione - basta lanciare uno scanner antivirus con permessi administrator (RunAs) o avere comunque un monitor antivirus in realtime che dovrebbe partire con diritti di SYSTEM - ma se nessuno pensasse di fare una scansione il rootkit svolgerebbe comunque il proprio lavoro.

E se appunto iniettasse codice in un altro servizio sarebbe l'altro servizio a instaurare la connessione!
queste metodologie non le conosci probabilmente perchè hanno preso piede l'anno scorso e subito hanno trovato subito suolo fertile.

ps: sono sempre disponibile ad avvicinarmi a casa

OT
Oramai stiamo monopolizzando il thread

IT
Sono perfettamente d' accordo con quanto da te scritto; quando avevo letto l'articolo di marco sul blog avevo approfondito la cosa.

Quindi sicuramente esistono bugs/sistemi del SO per saltare il limited user, mai dubitato di questo (la storia insegna)

Però in questo caso si dimostra nella pratica (aka numerosi rootkit realmente giunti alla massa e non solo su server e sistemi "interessanti") la reale necessità di un buon antivirus / antispyware (in realtà di un anti-rootkit, ma bene o male se la cavano anche i "semplici" av su quel campo) non della utilità pratica di un firewall software.

Questo perchè per saltare l'utente limitato (almeno le tecniche che ho letto/trovato) si deve sempre partire dall' esecuzione di un software oppure dalla modifica di uno già presente ed autorizzato ad uscire dalle restrizioni software.
Ovvero dal pippo.exe precedente (intendo quindi un file fisico che dovrebbe essere eseguito manualmente come da esempio precedente) oppure, ad esempio, sfruttando firefox.

Caso 1)
Pippo.exe di per se non può fare nulla dato che non viene eseguito non facendo parte delle applicazioni system, bisognerebbe installarlo nelle system oppure eseguirlo come admin; cioè:
"Un programma lanciato da account limitato può avere accesso alle zone di memoria di tutti gli altri processi che vengono lanciati con diritti dello stesso account limitato in uso." funziona se non sono attive le restrizioni software dal momento che, se non ricordo male, con le restrizioni software basta il fatto che il path di esecuzione sia fuori scope e quindi non viene neppure caricato in memoria.

In tutti gli esempi che ho trovato in giro valeva sempre questo, cioè:
- utente limitato + esecuzione di pippo.exe (dato che non essendoci le restrizioni software posso eseguire ciò che voglio purchè non tocchi cose presenti nelle system e dir protette) => possibile scalata ad admin
- utente limitato + restrizioni software + tentativo di esecuzione di pippo.exe => pippo.exe non viene caricato a meno di eseguirlo con "Run As" o copiarlo (con diritti admin) nelle system folders

Caso 2)
Nel secondo caso è assolutamente possibile, sfruttando magari una falla di firefox per eseguire il pippo.exe del caso; ma a quel punto (cioè se viene sfruttato un bugs di firefox) la possibilità di gabbare un firewall software è molto alta (intendo utilizzando bugs di software allowed)

La discussione si è fatto molto interessante (credo), per ora i dati certi indicano che la pratica impone di avere un buon antivirus sempre e comunque.
(così evito a qualcuno folle come me di aprire un thread anche sulla utilità dello stesso )

[xcdegasp]

per me assolutamente sbagli a dire

Quote:

Però in questo caso si dimostra nella pratica (aka numerosi rootkit realmente giunti alla massa e non solo su server e sistemi "interessanti") la reale necessità di un buon antivirus / antispyware (in realtà di un anti-rootkit, ma bene o male se la cavano anche i "semplici" av su quel campo) non della utilità pratica di un firewall software.

come fai a dire che non c'è utilità, se l'antivirus (basato su una lista di codici infetti che usa come paragone) non identifica un malware di nuova concezione (vedi il malware di cui è infetta la homepage del Consolato Americano in Russia) sei già con le chiappette per terra e il pc strainfetto..
un estratto di un articolo su Gromozon di Marco:

Quote:

Una volta eseguito, il malware si copia all’interno della directory di Windows come svchost.exe
(attenzione, il malware si trova all’interno di ?:\WINDOWS\ e non all’interno di ?:\WINDOWS\SYSTEM32; quest’ultima, infatti, contiene la copia legale del file svchost.exe di Microsoft).
Un’altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode.
Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste.

Svchost.exe, immediatamente dopo, tenta di scaricare dallo stesso indirizzo IP usato dall’iframe un altro file. Il file, con estensione .txt, è in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell’infezione.
Una volta decodificato, il malware ottiene dal file gli indirizzi corretti.

un firewall hardware è perfettamente inutile come lo so sono stati molti antivirus

altro esempio, e poi ti obbligo a fare i test presenti alla pagina http://www.pcflank.com/leaktests_info.htm , è avviare un programma pippo.exe e tale programma comanda in modo del tutto autonomo e silente un altro programma per spedire informazioni ad un server.. e non ne serve installazione.
se batti i codici di carta di credito?

ora fai i test altrimenti non si tratta di "chiendere informazioni" ma si tratta di flame..

[Nikybz]

Ciao ragazzi,
mi sapete dire secondo voi qual'é il migliore firewall, gratuito in italiano da abbinare ad avast, per Windows xp e vista?? A proposito, mi stavo dimenticando io ho una piccola rete privata, gestita
con un router Netgear.

Aspetto una vostra risposta...

Ciao

[plxmas]

Quote:

Originariamente inviato da Nikybz

Ciao ragazzi,
mi sapete dire secondo voi qual'é il migliore firewall, gratuito in italiano da abbinare ad avast, per Windows xp e vista??

Aspetto una vostra risposta...

Ciao

io ho provato una beta di Comodo (si vista). non va male ... ma non posso disinstallarlo che mi manda in panne tutta la rete senza rimedio.

[xcdegasp]

si continua nel nuovo thread:
http://www.hwupgrade.it/forum/showthread.php?p=18826166

questo lo chiudo e lo porto fuori dalla sezione thread ufficiale