Sistema di Scansione Bayesiana/Euristica

Moderators: forart, Davy Bartoloni, gabrielilardi

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Sistema di Scansione Bayesiana/Euristica

Post by PUOjACKz »

Se qualcuno controlla i miei vecchi post, può identificare la presenza di "funzioni bayesiane/euristiche", direttamente collegate al sistema.
Prima di accennarvi la mia idea, però, volevo effettuare una piccola premessa, per permettere, a chi legge, di comprendere meglio la situazione.

Oggi giorno, in certi ambienti, quando si effettua l'installazione di un sistema operativo creato dalla Microsoft, fino a quando non viene implementato un antivirus, l'ambiente rimane scoperto da eventuali attività pericolose causate dai malware.
Spesso, la propagazione virulenta può aver colpito dei file di backup, che si considerava, in realtà sicuri, causandone, nuovamente, lo spreading, qualora l'admin o l'utente li ripristini nel sistema, eseguendoli, in quanto, totalmente ignorante del regalino pericoloso presente.
Che l'AV riconosca o no questi malware, è irrilevante, in quanto, per prassi di sicurezza, l'installazione di tale programma, deve avvenire dai CD originali, che, ovviamente, hanno una versione di database virale, mai aggiornati del tutto (per ovvi motivi).
A causa di ciò, l'utente potrebbe cadere vittima di un falso senso di sicurezza, durante il periodo che intercorre tra l'installazione dell'antivirus e il suo aggiornamento (per non parlare di tutto il periodo precedente).
Inoltre, in certi casi, addirittura, la presenza IMMEDIATA, di un AV, potrebbe non essere disponibile, contribuendo, significativamente, nel mantenere l'ambiente vulnerabile.

Una mia idea, per risolvere, in parte, questo primo problema di sicurezza, è quello d'inserire, nativamente, nell'OS, uno scanner bayesiano/euristico, quanto più perfezionato possibile, come sistema secondario o ausiliario, di protezione dell'ambiente operativo.
In questo modo, l'amministratore, o l'utente, possono godere di vari vantaggi:

- Durante tutto il periodo che trascorre, dal primo avvio dell'OS, all'aggiornamento dell'AV in dotazione, con le ultime pattern, vi è una forma affidabile di controllo del comportamento dei programmi, che, unito al sistema di privilegi e altri layer di sicurezza presenti nel sistema, possono permettere l'identificazione di eventuali malware, importati da files erroneamente considerati sicuri.
- L'engine euristico/bayesiano può essere utilizzato per identificare eventuali programmi sospetti (sia malware, che spyware/adware ecc.), non ancora identificati dagli AV, permettendo, in un azienda, ad esempio, di identificare eventuali utenti poco zelanti, che impiegano dei codici maligni, per causare danni (sia all'ambiente interno, che all'esterno), facendo ricadere la colpa sull'amministratore.
- Questa funzione può creare un nuovo tipo di utente limitato, con maggiori privilegi, nel proprio ambiente locale. Ad esempio, è possibile permettere, all'utente, di scaricare ed installare tutti i files di cui ha bisogno, impedendone l'installazione, solo previa analisi compiuta via engine euristico/bayesiano, da parte dell'amministratore (o via routine semi-automatica). In questo modo, l'utente ha più libertà nel proprio account, ma il rischio d'infezione viene ridotto.
- Questa funzione, in aggiunta ad una buona configurazione, via privilegi, capabilities e presenza del behavior blocker, aumenta, ulteriormente, lo strato di sicurezza del sistema, garantendo, per i creatori di software anti-virale per ROS, la possibilità di dedicarsi ad altri problemi di sicurezza (es. rimozione avanzata degli Spyware ecc.), riducendo il carico dei daemons degli AV, per controllare 10000 cose e, in definitiva, alloccando una minor quantità di memoria RAM.

Per farvi un esempio pratico generico, inerente al sovraccarico di lavoro presente negli AV del giorno, vi narro dell'AV che ho installato, ora come ora, nel mio sistema.
Quest'ultimo, poveretto, deve accollarsi, da qualche anno, anche l'onere di controllare eventuali presenze di trojan-dialer attivi nel sistema. Per far ciò, il servizio in background, mantiene aperte 2 porte, verso l'esterno.
Tale prassi, oltre ad occupare inutilmente memoria RAM, quando basterebbe gestire, in maniera più seria, la parte di sistema inerente alle connessioni analogiche, introduce una possibile vulnerabilità aggiuntiva causata dal servizio posto in listening, con l'esterno. Ovviamente, come tutti ben sanno, quest'ultimo è un occasione in più, per un attaccante, nel poter entrare nel sistema.
Tutto ciò può essere tranquillamente evitato, con le giuste aggiunte e configurazioni, in ReactOS.

folle_invasato
Posts: 134
Joined: Thu Jan 13, 2005 9:11 pm
Location: Pordenone, Italy

Post by folle_invasato »

Continuo a pensare che tante ca**ate siano inutili..

Io sul mio PC windows (con tutte le patch di sicurezza disponibili) uso *solo* un'attenta gestione dei permessi, spybot S&D, il firewall di windows, e un antivirus vecchio di 6 anni (solo le definizioni aggiornate) e il file hosts modificato. Posso andare ovunque senza preoccupazioni senza riempirmi la ram di programmi inutili...

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Post by PUOjACKz »


Continuo a pensare che tante ca**ate siano inutili..

Io sul mio PC windows (con tutte le patch di sicurezza disponibili) uso *solo* un'attenta gestione dei permessi, spybot S&D, il firewall di windows, e un antivirus vecchio di 6 anni (solo le definizioni aggiornate) e il file hosts modificato. Posso andare ovunque senza preoccupazioni senza riempirmi la ram di programmi inutili...
Non è una questione di cazzate. Devi tener in considerazione che un sistema Windows like, se è destinato a soppiantare, in certi ambienti Windows, si dovrà accollare anche tutte le possibili falle di sicurezza lasciate sparse in giro da Microsoft. Che poi alcuni utenti siano capaci di gestire bene il loro OS, è un altro discorso. Come ho già detto questo pomeriggio ad un mio amico, pretendere, ora che si ha un Windows FOSS, che tutti diventino degli esperti smanettoni, non esiste.
Pensa che, addirittura io, prima di fare l'MCSA, ignoravo molte cose di XP/2K3, figurati gli altri. E non se ne può far neppure un torto. Un computer deve anche esser semplice da usare. Non dico come un elettrodomestico o quasi. Fingere di non vedere certi problemi di sicurezza, ha poco senso IMHO.
Inoltre, c'è da tener in considerazione una questione: Uno scanner euristico non fà controlli "Just In Time" come, che sò, un Behavior Blocker, bensì, tu lo esegui, lui controlla ed identifica (se ce n'è il bisogno) e buona notte. Fine. Niente caricato in memoria RAM, in modo perenne.
Con uno stratagemma così, inoltre:

1) Potresti, addirittura, gironzolare, con privilegi abbastanza blandi, senza antivirus di base (cioè senza le funzioni degli AV "Anti Tutto" che ci son ora)
2) Sei protetto fin dall'inizio, qualora tu debba lavorare con backup poco sicuri (questo non perchè lo siano effettivamente, ma, semplicemente, perchè non sei sicuro della loro pulizia)

Riassumendo: Sei protetto fin dalla prima accensione ed, in RAM, non hai niente acceso.

folle_invasato
Posts: 134
Joined: Thu Jan 13, 2005 9:11 pm
Location: Pordenone, Italy

Post by folle_invasato »

Forse però non ti sei posto un piccolo problema...

E' vero si che i virus x windows girano su ReactOS, ma per entrare spesso usano falle specifiche di windows... (infatti installando le patch il problema non si pone più).

Il discorso che ReactOS deve accollarsi tutte le minacce che esistono x win secondo me va guardato da un punto di vista più ampio..

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Post by PUOjACKz »

folle_invasato wrote:Forse però non ti sei posto un piccolo problema...

E' vero si che i virus x windows girano su ReactOS, ma per entrare spesso usano falle specifiche di windows... (infatti installando le patch il problema non si pone più).

Il discorso che ReactOS deve accollarsi tutte le minacce che esistono x win secondo me va guardato da un punto di vista più ampio..
Per risolvere quel problema, c'è già il firewall. Io mi riferivo a malware depositati, nel sistema, con altri mezzi (es. Via email, navigazione, presente già sul del materiale infettato, ma non controllato ecc.).
E' solo negli ultimi hanni che la grande rete ha accolto un gran flusso di worm, ma non sono le uniche minacce.
Un engine euristico, oltre ad essere totalmente esente dal necessitare di databases, può essere sfruttato non solo per virus, worm, backdoor ecc., ma anche per gli spyware. Purtroppo, però, a causa della sua natura, è bene utilizzarlo per scandire dei files, su richiesta SOLAMENTE manuale, questo sia per permettere l'esistenza serena dell'engine, senza troppi applicativi in memoria, sia per non rendere indurre le persone nel credere che, in questo caso, l'AV diventi obsoleto o che i sistemi euristici/bayesiani siano completamente esenti da problemi.

Quanto t'incollo qua di seguito, è un resoconto banalissimo degli ultimi malware identificati da Trend Micro. Noterai che c'è anche altro, oltre ai worms:

Code: Select all

W97M_EMBED.B
TROJ_PROPOFAKE.A
DDOS_NENET.A
ELF_LUPPER.F
SPYW_GATOR.F
ADW_HOTBAR.B 
EXPL_WMF.GEN
JAVA_BYTEVER.A
E questo è ancora nulla.
Negli ultimi giorni ho voluto, così per sfizio personale, gironzolare quel sito, controllando i dati tecnici dei malware, al fine di pensare a qualche altro trucco di "hardening" di ROS, per irrobustire l'OS, senza il bisogno di particolari filtri ecc. Qualcosa è già emerso, ma non è tutto.

Matthias
Posts: 496
Joined: Tue Dec 27, 2005 12:43 am

Post by Matthias »

Questa idea e ridicola. ReactOS e un progetto molto piccolo, e l'obbietivo primario e quello di essere compatibile con windows. Finche questo obiettivo non e stato raggiunto, non ha senso di discutere tale funzioni.

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Post by PUOjACKz »

Questa idea e ridicola. ReactOS e un progetto molto piccolo, e l'obbietivo primario e quello di essere compatibile con windows. Finche questo obiettivo non e stato raggiunto, non ha senso di discutere tale funzioni.
Difatti, se tu avessi letto gli altri post, avresti capito che simili funzioni son state pensate per essere introdotte successivamente ad una 1.0.0. La discussione avviene ora, in quanto, c'è tutto il tempo per cogliere frizzi e lazzi di ogni argomento proposto.
Riguardo all'idea ridicola, ti pregherei di astenerti da altri giudizi universalici, alquanto sprezzanti. Alcuni concetti di sicurezza, prevenuti a me, da gente che lavora su ROS, erano ben distanti dall'essere soddisfacenti. Quello che si stà facendo qua è semplicemente proporre alcune idee interessanti.
Come ho già detto, imitare la mentalità di Microsoft, copiando buona parte del loro OS e della loro Security By Obscurity, oltre che politica d'implementazione, condurrà, prematuramente, ROS alla morte e chiunque abbia un briciolo di conoscenze te lo può facilmente confermare.

folle_invasato
Posts: 134
Joined: Thu Jan 13, 2005 9:11 pm
Location: Pordenone, Italy

Post by folle_invasato »

Non confermo...rifare (non diciamo "copiare" che ultimamente qua su reactos.org è una brutta parola ;) ) buona parte del loro OS porterà di sicuro a una ottima compatibilità binaria del software...

Secondo me il modello attuale di windows va più che bene, infatti la maggior parte del malware attua le sue funzioni dopo aver ottenuto i privilegi di amministratore.

Se vuoi protezione aggiuntiva (es: firewall, antivirus, antispyware e tutto il resto dell'allegra compagnia) puoi installarti software a parte... In questo modo gli sviluppatori di reactos si specializzano solo sul "core" del sistema, facendolo funzionare in modo decente, lasciando lo sviluppo di software x la sicurezza a chi di sicurezza ne sa qualcosa..

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Post by PUOjACKz »

Non confermo...rifare (non diciamo "copiare" che ultimamente qua su reactos.org è una brutta parola ) buona parte del loro OS porterà di sicuro a una ottima compatibilità binaria del software...
Un OS, uguale ad un altro OS, non ha ragione di esistere. E questo non lo dico io, ma molte altre persone, sia su Azzurra che, spesso su altri forums (pure su PI). La decisione di proporre queste idee, dopo la 1.0.0 è proprio perchè, a quella versione là, si suppone che l'OS sia completamente sviluppato al 100%, e quindi, vi è una maggior predisposizione nell'inserimento di funzioni e feature innovative.
Secondo me il modello attuale di windows va più che bene, infatti la maggior parte del malware attua le sue funzioni dopo aver ottenuto i privilegi di amministratore.
Personalmente, convincersi di attuare delle configurazioni di sicurezza, molto diffuse in ambienti Linux, anche su Windows, è poco appropriato. E' bene si evitare che l'utente usi un utente con privilegi massimali, ma occorre tener in considerazione che vi son più fattori che, su XP, ostacolano questo passaggio. In Linux, essendo nato, fin dall'inizio, in un certo modo, tutto è stato programmato e costruito per funzionare sotto una certa logica, discorso impraticabile in ambienti Windows. Il convincersi di tutto ciò, può indurre in un falso senso di sicurezza, quando, per un esperto, questa idea può essere sì affidabile, ma per pignoleria, segnalata come Security Through Obscurity (cioè convincersi di esser al sicuro, quando in realtà, non lo si è per nulla).
Adesso perchè ci stiam avviando a Vista, ciò non significa che bisogna, in tutti i modi, tarpare le ali a chi vuol utilizzare i vecchi programmi. Anzi, su ROS, occorrerebbe recuperare questa compatibilità andata persa su Windows.
Il resto delle proposte qui effettuate, sono dettate dall'esperienza di chi studia sicurezza, il quale sà benissimo che non è possibile applicare un unica soluzione di protezione, ma occorre implementare un set di funzioni che possano, magari, generare una certa ridondanza.
Tuttavia, IMHO, le idee qua proposte, erano più intese non per un implementazione diretta nell'OS (a meno che i coders non lo desiderino), bensì, per una distro parallela (essendo ROS un FOSS).
Se vuoi protezione aggiuntiva (es: firewall, antivirus, antispyware e tutto il resto dell'allegra compagnia) puoi installarti software a parte... In questo modo gli sviluppatori di reactos si specializzano solo sul "core" del sistema, facendolo funzionare in modo decente, lasciando lo sviluppo di software x la sicurezza a chi di sicurezza ne sa qualcosa..
I coders di ROS hanno già, in più riprese, sottolineato il loro desiderio d'implementare alcune idee, presso l'OS, presenti su Vista (es. Un firewall funzionale e affidabile). Questa idea non è male, anzi, IMHO, è ottima. Inoltre, occorre tener in considerazione che, non è detto, che in futuro, il software creato per Windows, funzioni anche in ReactOS, non per una mancata compatibilità dell'OS, bensì, a causa del tentativo di ostacolazione, da parte di Microsoft, verso la concorrenza.
IMHO, quanto finora proposto, non sono idee di filtering (come possono esserlo AntiVirus, Anti-Spyware, Cleaner ecc.), bensì, hardening della sicurezza di sistema ed introduzione di features capaci di fornire un certo margine di protezione, a lungo termine (es. vedi Behavior Blocker, Scanner Euristico, Blindatura dei registri di Windows, funzioni di cifratura dei dati cancellati ecc.). Queste idee non son state proposte, semplicemente per abbattere la concorrenza, senza pagare o che sò io, bensì, perchè, visto i tempi che corrono, vi è stato un aumento nella riconsiderazione di tali funzioni, addirittura, in certi casi, considerate fondamentali. Proprio per evitare dei problemi di compatibilità o di sicurezza, dovuti a 3rd Party Software mano a mano, sempre meno per ROS/XP, s'è proposta questa suite. Figurarsi che, in Vista, è stata la MS stessa a proporre il Windows Defender™ e il Windows OneCare Live™, percui...

User avatar
Davy Bartoloni
Posts: 1483
Joined: Wed Jan 04, 2006 11:31 pm
Location: Cuneo
Contact:

consideriamo che chi scrive virus, li pensa per Winzoz...

Post by Davy Bartoloni »

allora, perche' darsi tanto affanno per risolvere un problema tanto semplice.... ???

un virus o spyware, per funzionare richiede almeno un FILE fisico ...
benissimo, allora senza giraci tanto attorno, il SO ad ogni spegnimento, verifica i nuovi file aggiunti all'Hard Disk... un test ultra veloce, che non porta perdite di tempo...

aggiunte BMP aggiunte JPG aggiunti docuemnti di WORD aggiunti tanti dati... (questi , naturalmente oltre che per estensione, controllati come header, in modo che se al tipo JPG invece corrisponde un HEader di un eseguibile , si drizza subito le orecchie)

allora, il SO trova un nuovo .exe , o punto .com o ..sys . o .reg .. o qualunque altra cosa? senza giraci attorno, lo rinomina , e lo sbatte in una cartella ...

e per quelli invece desiderati?
basta fare in modo che in modaslita' di installazione di un software, o qundop si esegue un installer, il so, chieda la conferma dell'installazione, e aggiorni l'lenco dei file accettati dall'utente...

naturalmente sara' possibile sapere ogni file creato sull'harddisk , e ogni voce aggiunta nel registro, in modo da capire subito se sta' succedendo qualcosa di strano...

oltretutto non abbiamo neppure bisogno di aggiornarlo periodicamente... sara' sempre aggiornato.

attendo risposte
ciao

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Re: consideriamo che chi scrive virus, li pensa per Winzoz..

Post by PUOjACKz »

Re: consideriamo che chi scrive virus, li pensa per Winzoz...
Sì, ok, ma devi tener in considerazione, inoltre, che ROS, di per sè, tende ad essere compatibile, all'ipotetico 100% con Windows. In altre parole: tutto ciò che và, ora, su Windows, dovrà funzionare su ROS, malware o no che siano. Pertanto, riesce più semplice, per ora, ipotizzare delle aggiunte, come se fossero apportare realmente a WinXP/2k3.
Davy Bartoloni wrote:allora, perche' darsi tanto affanno per risolvere un problema tanto semplice.... ???

un virus o spyware, per funzionare richiede almeno un FILE fisico ...
benissimo, allora senza giraci tanto attorno, il SO ad ogni spegnimento, verifica i nuovi file aggiunti all'Hard Disk... un test ultra veloce, che non porta perdite di tempo...
Suppongo, tu stia parlando del controllo dell'Header di accensione. Sì, di per sè, è vero. Ma questo sistema, evita che qualche attaccante impieghi trucchetti, molto diffusi su windows, per cambiare l'esecuzione di un file. Di per sè, questo problema, è bene che venga risolto alla base, su ROS, senza un programma di filtro o simili. Ma questa, non è che l'ennesima particolarità, ereditata da Windows, di Security By Obscurity. Storie di CLSID, di estensioni strane che spariscono ecc... è bene, levarle completamente, da ROS.
Chi crea un OS, non può dire: A noi della sicurezza non ce ne frega nulla. E' proprio un discorso fuoriluogo. Al contrario, invece, tale fattore è addirittura fondamentale e pertanto, occorre far lavorare le meningi per produrre dei risultati.

Riguardo alla storia del Behavior Blocker, finora in fase di discussione (fra poco tempo, proporrò un altro pacchetto di aggiunte), che qualcuno ha definito programma "Anti-Utonto", io voglio far sottolineare una cosa:
tutto il casino che sta accadendo con i rootkit, che ora ce li propinano anche nel pane, all'avvio di Windows, poteva essere arginato usando un Behavior Blocker. Tanto per capire di cosa parlo, per coloro che sanno l'inglese, possono andare su ttp://www.diamondcs.com.au/processguard/
e scaricarsi il file help. Dentro, c'è un'altra versione di Behavior Blocker (addirittura, secondo me, più potente del tool presente sul Kerio Firewall). Porcherie e simili, possono essere bloccate a priori, senza tanto storcere il naso. Se poi, si vuol solo fare il minimo indispensabile per ROS, questo, è un altro discorso.
aggiunte BMP aggiunte JPG aggiunti docuemnti di WORD aggiunti tanti dati... (questi , naturalmente oltre che per estensione, controllati come header, in modo che se al tipo JPG invece corrisponde un HEader di un eseguibile , si drizza subito le orecchie)

allora, il SO trova un nuovo .exe , o punto .com o ..sys . o .reg .. o qualunque altra cosa? senza giraci attorno, lo rinomina , e lo sbatte in una cartella ...
Senza tanto girarci attorno, come dici tu, il sistema controlla tutti i files e quelli identificati eseguibili, li pone in quarantena. Ok, finora, tutto ok. C'è solo alcune cose da dire:

- I files in quarantena, ammeno che tu non abbia un AV, devi controllarli. C'è da dire una cosa, sfatando un mito: Un motore euristico, usa un sistema bayesiano (cioè a calcolo di punteggio, secondo l'identificazione o no della presenza di certi fattori) per comprendere la pericolosità di un file. Questo dispositivo può dare dei falsi positivi, ma è un problema risolvibile. Un antivirus, invece, necessita di un DB con, all'interno, delle stringhe da comparare, al programma scandito, per comprendere se è un malware. La differenza sostanziale tra i due è che il primo, controlla la presenza o no di una certa sequenza d'istruzioni (a livello macchina, cioè assembly), mentre il secondo, controlla sempre le istruzioni, ma se non coincidono con quanto presente nel DB, in sua dotazione, l'AV considera il file pulito. Piccolo particolare, un AV con un DB obsoleto, potrebbe lasciarsi scappare dei malware.

Il problema, qua, è quello di poter fornire, all'utente, una funzione utile, che non diventi obsoleta, per poter identificare, fin da subito, la presenza di files maligni, o comunque, sospetti, senza dover dipendere da DB che invecchiano ogni 12 ore. E' una questione di pura sicurezza. Volersi fossilizzare, pensando di vivere ancora negli anni '90, ove gli AV erano dei programmi di lusso, dimostra una palese mancata conoscenza di sicurezza. L'idea dello scanner euristico da me proposta, non faceva altro che fornire un sistema di sicurezza, all'utente, per salvaguardarsi, ulteriormente, da eventuali problemi, fin dalla prima accensione, utente administrator o no. Anche perchè, se ad un utente casalingo verrà rifilato un account blindato (e già di per sè, qua ce ne sarebbe di cui discutere per mesi), quando si passa in ambito aziendale, le cose cambiano. Lì ci sono amministratori che, spesso, hanno conoscenze di base su sicurezza & Co.

Riassumendo, l'idea dello scanner euristico è stata proposta per:

- Fornire una protezione contro i malware, depositati nel sistema, fin dalla prima accensione, su richiesta dell'utente (pertanto, niente fronzoli in memoria), che sia affidabile sempre
- Permettere, agli amministratori, d'installare programmi, identificando, maggiormente, eventuali malware e quindi evitando di sputtanare il proprio lavoro d'installazione
- Permettere, agli amministratori, di configurare un particolare tipo di profilo d'account che permetta, agli utenti che lo usano, una maggior libertà, evitando, comunque, d'infettarsi o di essere blindati fino al collo.
e per quelli invece desiderati?
basta fare in modo che in modaslita' di installazione di un software, o qundop si esegue un installer, il so, chieda la conferma dell'installazione, e aggiorni l'lenco dei file accettati dall'utente...
Di per sè, è bene sfruttare uno dei sistemi di sicurezza, presenti su WindowsXP, estendendolo: il blocco degli eseguibili. Non sò se v'è mai capitato, ma quando scaricate certi eseguibili, da internet, il computer, su XP/2k3, vi avvisa che il file è bloccato. In realtà, potete eseguirlo ugualmente, ma vi appare un pop-up, che dovrebbe indurre l'utente nel controllare il file. Tale funzione può essere estesa per evitare che, ad esempio, un malware si connetta in rete, scarichi dei files (come fanno certi Trojans, ad esempio) e li esegua. Con tal protezione, un malware qualsiasi, scaricato da un altro malware attivo, deve prima farsi attivare dall'utente. Tutto ciò è bene introdurlo ed estenderlo su ROS, aumentandone l'autorità, in quanto, può proteggere il sistema da certe attività nascoste, compiute dai Trojans.
naturalmente sara' possibile sapere ogni file creato sull'harddisk , e ogni voce aggiunta nel registro, in modo da capire subito se sta' succedendo qualcosa di strano...

oltretutto non abbiamo neppure bisogno di aggiornarlo periodicamente... sara' sempre aggiornato.

attendo risposte
ciao
Il monitoraggio dei registri, è stato proposto, ma occorreva discuterlo con calma. L'attività di installazione ed esecuzione ecc.. pure, sebbene, il Behavior Blocker possa limitare certi problemi, alla fonte.
Se hai altre idee di cui discutere, riportale pure qua :)

folle_invasato
Posts: 134
Joined: Thu Jan 13, 2005 9:11 pm
Location: Pordenone, Italy

Post by folle_invasato »

Tu metti tutte queste cose dentro un kernel di un SO e ottieni un sistema blindato e veloce come una tartaruga con 2 zampe..

Secondo me tutte queste "fobie del malware" sono un tantinello troppo accentuate.


Cmq ci tengo a farvi notare che ReactOS è diverso da windows...le API sono le stesse ma l'implementazione è diversa, quindi tantissimi exploit NON funzionano. Girano si, ma NON funzionano...

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Post by PUOjACKz »

folle_invasato wrote:Tu metti tutte queste cose dentro un kernel di un SO e ottieni un sistema blindato e veloce come una tartaruga con 2 zampe..

Secondo me tutte queste "fobie del malware" sono un tantinello troppo accentuate.


Cmq ci tengo a farvi notare che ReactOS è diverso da windows...le API sono le stesse ma l'implementazione è diversa, quindi tantissimi exploit NON funzionano. Girano si, ma NON funzionano...
Non è dal numero di opzioni e configurazione, che un sistema và lento o viene rallentato, ma da come vengono implementate.
La storia, inoltre, degli exploit, è minimale, in quanto, essendo un OS FOSS, ci mettono poco a beccare degli errori.
Effettivamente, gli AV, oggi giorno, proteggono i sistemi da più di 150.000 malware, ove una corposa parte potrebbe essere evitata aggiungendo dei tools appositi e non l'ennesima skin giocattolosa o funzioni di server (magari che si auto-avviano, così facciam tombola) inutili all'utente (cosa che verrà fatta, in quanto, ROS è un mix tra WinXP e 2K3, sia per client che per server, almeno da quanto hanno affermato su #ReactOS).
Prima di sparare a ste cose, dicendo che son fronzoli inutili, sarebbe bene pensare di rimuovere ciò che è realmente inutile da ROS, visto che sarà il quasi-clone di XP.

PUOjACKz
Posts: 116
Joined: Tue Jan 03, 2006 3:52 pm

Post by PUOjACKz »

Visto che è bene riportare la verità come si propone, allora, vi metterò a corrente di una discussione, effettuata tra me e il responsabile della sicurezza di ROS. Commenterò alcune parti, in modo da permettervi una maggior comprensione. Sia chiaro, quanto vi riporto qua è il testo integrale. Nessuna parte è stata modificata o rimossa. Qua non si stà facendo politica, ma affrontando un problema che importa molte persone.

Code: Select all

Session Start: Sat Jan 21 15:19:54 2006
Session Ident: w3seek_
Session Ident: w3seek_ (freenode, PUOjACKz) (n=w3seek@reactos/developer/w3seek)
>15.19.54< <w3seek_> about?
>15.19.54< <w3seek_> ah ok
>15.19.54< <w3seek_> ok
>15.20.01< <PUOjACKz> for now
>15.20.09< <PUOjACKz> we are talking about to insert a behavior blocker
>15.20.26< <PUOjACKz> with a native integration
>15.20.29< <PUOjACKz> to the OS
>15.20.44< <PUOjACKz> in order to power-up
>15.20.59< <PUOjACKz> some security aspects of the OS
>15.21.20< <PUOjACKz> we think about to implement it in a native way
>15.21.29< <PUOjACKz> because, for example, in WinXP SP2
>15.21.38< <PUOjACKz> MS introduced a firewall
>15.21.49< <PUOjACKz> so, now, the OS is quite more secure
>15.21.54< <w3seek_> sorry, i have no idea what you're talking about
>15.22.16< <PUOjACKz> ah, you don't know what a behavior blocker is?
>15.23.47< <PUOjACKz> the italian discussion about it is on
>15.23.56< <PUOjACKz> http://www.reactos.org/forum/viewtopic.php?p=13021#13021
>15.24.28< <PUOjACKz> but we are scarried about if coders could deny to implement it
>15.24.56< <PUOjACKz> for now, there's only an High-Level User discussion
>15.24.58< <w3seek_> i can't read italian ;)
>15.25.07< <PUOjACKz> have you a translator?
>15.25.11< <w3seek_> sorry, implement what exactly? I have no clue and I can't read italian, so you have to tell me ;)
>15.25.26< <PUOjACKz> implement the behavior blocker
>15.25.27< <PUOjACKz> for example
>15.25.40< <PUOjACKz> even if there's more ideas that we are discussing about
>15.25.47< <PUOjACKz> in short
>15.25.51< <PUOjACKz> the behavior blocker
>15.25.52< <w3seek_> no
>15.26.21< <PUOjACKz> is a program that let the user to decide if an executable
>15.26.28< <w3seek_> what is a behavior blocker? i have no idea
Personalmente, un addetto coder, della sicurezza dell'OS, che non sà cos'è un Behavior Blocker. Cioè, capisco uno così, magari anche programmatore o sistemista, che può anche non esserne a conoscenza (non son software molto diffusi, non perchè siano inutili, ma perchè, oggi giorno, o fai pubblicità o non ti beccano se non via passa parola). Un tizio, però, che dovrebbe preoccuparsi della sicurezza di sistema (e si pensa, di sicurezza in genere), che non sà queste cose, mi lascia di stucco.

Code: Select all

>15.26.44< <PUOjACKz> could be executed, replaced or could call other programs
>15.26.59< <PUOjACKz> you could find a version of behavior blocker in Kerio Personal Firewall
>15.27.17< <w3seek_> so what exactly is it supposed to do?
>15.27.37< <PUOjACKz> this program could stop
>15.27.42< <PUOjACKz> the execution of executables
>15.27.52< <PUOjACKz> that the user don't trust
>15.28.00< <PUOjACKz> maybe, malware
>15.28.19< <PUOjACKz> or avoid that any programs could replace legal executable
>15.28.23< <w3seek_> ah now we're getting somewhere
>15.28.34< <PUOjACKz> with obsolete
>15.28.40< <PUOjACKz> malfunctioning or dangerous
>15.28.41< <PUOjACKz> version
>15.28.44< <PUOjACKz> something like
>15.28.47< <PUOjACKz> rootikiting
>15.29.11< <PUOjACKz> even if we are discussing about implementing a integrity checker, like what is already present on WinXP
>15.29.18< <w3seek_> just don't run as admin, that solves most problems ;)
>15.29.25< <w3seek_> rootkits only work with admin rights
Errato. Esistono 2 tipi di RootKit: i Kernel-Rootkit e gli User-Rootkit. In particolare, gli User-Rootkit vengono creati appositamente per superare certe barriere "architettoniche" di sistema (es. privilegi particolari ecc...), per poi attivare degli exploiter, sfruttando dei buffer overflow, comportando una Priviledge Escalation. In altre parole, da utente blindato, l'intruder entra e riesce a fare bisboccia ugualmente.
I Rootkit che non possono essere eseguiti, sono quelli Kernel, ma, successivamente ad una Priviledge Escalation, che tu sia blindato o no, per l'intruder non ha importanza.

Code: Select all

>15.29.31< <PUOjACKz> yes
>15.29.35< <PUOjACKz> but there are
>15.29.48< <PUOjACKz> User-Level and Kernel-Level rootkits
>15.29.53< <PUOjACKz> think about that
>15.30.01< <PUOjACKz> ROS, probably, at the beginning
>15.30.14< <PUOjACKz> will receive all the problems that are present, nowadays on XP
>15.30.27< <PUOjACKz> i have written a article
>15.30.33< <PUOjACKz> about some experience
>15.30.43< <PUOjACKz> that talk about the use of 
>15.30.44< <w3seek_> a user-level rootkit can't really do any serious harm except destroy the user's data
Personalmente, un qualsiasi tecnico di sicurezza informatica, deve proteggere il sistema, il più possibile. La perdita di dati, di per sè, non è tollerata. Inoltre, un RootKit non distrugge dati, ma manipola varie funzioni di sistema, in modo che certi processi non possano essere identificati. Inoltre, installa Backdoor. Ammeno che, nel pacchetto non vi sia un Malware Dropper o un Trojan, i dati dell'utente, non vengono danneggiati (semmai, i programmi).

Code: Select all

>15.30.50< <w3seek_> aner kernel-level rootkits can't be installed without administrative rights
>15.31.08< <w3seek_> you need to be admin to install something in the kernel
>15.31.11< <PUOjACKz> yes, but priviledge escalation
>15.31.23< <PUOjACKz> using buffer overflow method
>15.31.29< <PUOjACKz> is very likely today
>15.31.34< <PUOjACKz> but, for example
>15.31.39< <PUOjACKz> in WinXP
>15.31.41< <w3seek_> what?
>15.31.41< <w3seek_> that's a bug in the os then
>15.31.59< <w3seek_> not really, maybe in ros but not in windows
Ciò non vuol dir nulla. Non è che perchè un software è opensource, è esente da bugs e, di per sè, il Priviledge Escalation è un problema non da poco.

Code: Select all

>15.32.11< <PUOjACKz> the users, use administrative rights
>15.32.20< <PUOjACKz> to execute old programs
>15.32.26< <PUOjACKz> maybe videogames and so on
>15.32.45< <PUOjACKz> this could lead to problems
>15.32.46< <w3seek_> yes that's because stupid MS always creates user accounts with admin righs by default
Il problema che vado a citare, ossia della presenza, predefinita, di un utente con privilegi massimali, non è l'unica via, per un malware o un attaccante, per causare danno nel sistema. La famosa funzione "RunAs", può essere utilizzata per ottenere lo stesso scopo, qualora si vada ad effettuare un Buffer Overflow o un Code Injection, su un programma, eseguito con privilegi differenti da quelli locali. Tenendo in considerazione che i software dei Win9x, MS-DOS e Win3.1 (tra cui, molti videogiochi passati), non son stati creati per essere eseguiti in ambienti che implementassero una logica di multi-utente, vi è il bisogno, per il corretto funzionamento di tali applicazioni, in WinXP/2K3, di privilegi totali (es. Administrator). Siccome ROS, IMHO, è nato per agevolare anche l'esecuzione di tutta questa tipologia di parco software, incrementando la compatibilità (che è quasi 0 in WinXP/2k3), tale problema risulta esservi ed è un bene arginarlo.

Code: Select all

>15.33.00< <PUOjACKz> yes, but, for example
>15.33.03< <PUOjACKz> Win98 programs
>15.33.16< <PUOjACKz> hasn't create to be executed in a NT OS type
>15.33.33< <PUOjACKz> so they need all the rights, to be executed
>15.33.44< <PUOjACKz> this affect, in the most, videogames
>15.33.56< <w3seek_> we don't have to do this in ros
>15.34.03< <PUOjACKz> ?
>15.34.29< <PUOjACKz> uhm?
>15.34.36< <PUOjACKz> what you mean?
>15.35.11< <w3seek_> then screw those applications, it's the user's own fault
Qui, con mia somma incredulità, l'addetto dichiara che, se tu esegui un videogioco, per Win9x, come amministratore (che ripeto, è l'unico modo, per far funzionare molti software), tu metti a rischio il tuo computer, pertanto non dovresti farlo. Ora, la domanda è questa, chi lo và a dire, a tutti quelli che sperano in ROS, per ottenere sicurezza e compatibilità, che non potranno avere entrambi, per motivi nebulosi?

Code: Select all

>15.36.35< <PUOjACKz> yes, but IMHO, now we have the possibility to
>15.36.44< <PUOjACKz> hardening the OS
>15.37.12< <PUOjACKz> what we are discussing
>15.37.14< <w3seek_> you gotta live with the risk if you don't lock your door that someone breaks in
>15.37.14< <w3seek_> it's like not locking your car when you leave
>15.37.14< <w3seek_> running as admin all the time is a serious risk
>15.37.14< <w3seek_> so simply don't do it ;)
Ok, son d'accordo. La compatibilità, però, in questo modo, và a farsi friggere. Se poi, riescono a far funzionare i programmi di Win98 (cosa che vedo molto ardua), in ambiente NT, via compatibilità, il codice da introdurre verrà triplicato. Questo, in quanto, in Win9x, erano i programmi a gestire parte del colloquio con l'OS. Cosa che spiega, tra l'altro, perchè spesso capitassero dei casini assurdi. Nella tecnologia NT, tutto questo è cambiato radicalmente, in quanto, effettivamente, si è su un vero OS e non su una macchina virtuale che imita il DosShell e l'MS-DOS, come lo era, ad esempio, Win98 (particolare scoperto in seguito ad una ricerca approfondita sull'OS, presso documentazione targata Microsoft).

Code: Select all

>15.37.18< <PUOjACKz> is not to change all the OS
>15.37.27< <PUOjACKz> but to implement some, how can I say, triks
>15.37.29< <PUOjACKz> but to implement some, how can I say, tricks
>15.37.50< <PUOjACKz> ok, but if in ROS is possible
>15.38.04< <PUOjACKz> to power-up the security, in order to avoid
>15.38.07< <PUOjACKz> al Windows Scum
>15.38.12< <PUOjACKz> like...
>15.38.16< <PUOjACKz> malware, dialer
>15.38.38< <PUOjACKz> this could reduce improve the security
>15.38.43< <PUOjACKz> without to execute 100000 programs
>15.38.47< <PUOjACKz> to scan the system
>15.39.02< <PUOjACKz> and occupy RAM
>15.39.11< <PUOjACKz> Microsoft, could not introduce
>15.39.32< <PUOjACKz> good programs, because, Windows is in a monopolistic state
>15.39.43< <PUOjACKz> if, for example, they introduce a good firewall, 
>15.39.49< <PUOjACKz> mcafee, symantec and so on
>15.39.52< <PUOjACKz> could start to fuss
>15.40.08< <PUOjACKz> ReactOS is free from all this mess
Qua, invece, sto dicendo che, essendo ROS un OS non in posizione di monopolio, se nell'OS viene introdotto del software di sicurezza, nessuno si lamenta. Microsoft, come ho già detto, spesso, se prova a fare il passo più lungo della gamba, viene subito additata. Basti ricordare quando propose, per la prima volta il OneCare Live™, news che desto proteste varie tra gli esperti in settore, specie da Symantec, la quale, però, non sporse denuncia, in quanto, voleva battere il prodotto targato MS, sul campo.

Code: Select all

>15.40.18< <PUOjACKz> and this could be a good point
>15.40.35< <PUOjACKz> to show how ROS is more secure than Windows
>15.40.56< <PUOjACKz> without to remove the compatibility with Win32 executable
>15.41.19< <w3seek_> by not letting the user be admin by default ;)
>15.41.24< <w3seek_> these "tricks" would change the os, there's *no* secure solution. the only good solution is not to run as admin, and you don't need to change the OS at all to do this
>15.41.24< <w3seek_> as I said, malware, dialers, virusses, .... most often need admin rights, if you're not admin nothing can happen
>15.41.24< <w3seek_> they don't need good programs for this...
>15.41.24< <w3seek_> they just wouldn't have to create admin accounts by default
>15.41.24< <w3seek_> a firewall doesn't really have anything to do with what you're talking about, a firewall is something different
Qua, l'addetto mi risponde che, l'unico sistema per risolvere la maggior parte dei problemi di sicurezza è quello di non inserire un utente, con privilegi amministrativi, in modo predefinito, durante l'installazione. Particolare che, sicuramente, andrà a cozzare contro tutta quella gente che non desidera installare un OS MS TCPA-Compliant (in altre parole, Vista), rimanendo su un OS WinXP-Like. C'è, inoltre, da notare che gli utenti creati, per default, dal sistema, non permettono un'impostazione preventiva di cosa l'utente può fare o non fare. In WinXP, ora come ora, ci son 3 profili predefiniti: Amministratore (che può far tutto), Utente Limitato (che già causerebbe problemi a chi non è esperto d'informatica) ed utente Blindato al massimo. Nella logica di un utente medio, non conoscitore di tutto sto ambaradàn, il tale sarebbe costretto, ogni terzo minuto, o ad usare il RunAs (che sarebbe la soluzione meno indolore, per quanto assurda), oppure, dopo un pò di shift, passare direttamente all'Administrator, scocciato della continua staffetta. L'addetto, inoltre, afferma a chiare lettere che non vi è desiderio di cambiare ROS. Semplicemente, sarà, per quanto più possibile, uguale a XP, con tutto ciò che tale decisione comporta.

Code: Select all

>15.41.32< <PUOjACKz> of course, this is the first trick
>15.42.03< <w3seek_> no this is not true
>15.42.12< <PUOjACKz> yes
>15.42.15< <w3seek_> if an application requires admin rights even though it wouldn't have to it's a bad application and shouldn't be run
>15.42.32< <w3seek_> windows *is* secure
Qua, l'addetto, sta affermando che Windows è sicuro e che un applicazione, che necessiti di essere eseguita con privilegi amministrativi, è pericolosa e non dovrebbe essere avviata.

Code: Select all

>15.42.33< <PUOjACKz> but if microsoft, for example, wanna introduce it in Windows, this could lead to a lot of legal problems
>15.42.36< <PUOjACKz> with anti-trust
>15.42.45< <PUOjACKz> like Windows Media Player in Europe
>15.42.46< <w3seek_> it's just not secure by default
>15.42.52< <w3seek_> just don't log in as administrator in windows and you're fine
>15.43.35< <w3seek_> no need for all those stupid "security" applications
>15.44.50< <w3seek_> such applications do not belong into reactos and the only thing we're going to make more secure is that we won't let the user be admin all the time. we're going to fix the setup to create a standard account and always warn the user if logged on as admin
Qui, l'addetto alla sicurezza, sta dicendo che non vi è necessità di tutti i programmi presenti oggi giorno, per tenere il sistema sicuro, definendo tali provvedimenti come "Stupid Security" (sicurezza stupida o da stupidi).
Ogni commento, per chi legge, è libero.
Successivamente, l'addetto dichiara che l'unico loro sistema, per aumentar la sicurezza, è non creare un utente, con privilegi administrator, predefinitamente, durante l'installazione.

Code: Select all

>15.45.41< <PUOjACKz> ah
Qua, son io che son incredulo :wink:

Code: Select all

>15.46.25< <w3seek_> that's all needed for a secure system
>15.46.25< <w3seek_> and of course less bugs in reactos ;)
Di per sè, non esiste codice esente da bugs. Anzi, se dobbiamo mettere i puntini sulle I, un OS FOSS, per natura, tende a sviluppare più patch di correzione dei bugs, in quanto, il fattore Opensource permette sia, ai BugHunter che ai BlackHat, di identificare più velocemente gli errori

Code: Select all

>15.47.21< <PUOjACKz> ah, ok
>15.47.44< <PUOjACKz> so we can stop discussing about any "security tricks"
>15.47.45< <PUOjACKz> :)
>15.48.08< <w3seek_> yes, they don't make sense and do not belong into an operating system
>15.48.31< <w3seek_> you don't run adaware, anti-rootkit crap etc in linux, do you? ;) reactos is no different, windows is no different if configured properly
Per l'ennesima volta, sono contrario a quanto da lui affermato, e cioè che la sicurezza non riguarda l'OS. Inoltre, afferma che nei sistemi Unix-Like (Linux), non vi è il bisogno di AV ecc., non tenendo in considerazione dei molteplici aspetti che separano il mondo Windows da quello Unix e Unix-Like. Semplicemente, siccome, su Linux, basta usare un utente non privilegiato, che tutto và a posto (e non è completamente vero questo, ma solo Security By Obscurity), così, anche su Windows, secondo il parere dell'addetto, è la stessa cosa. Lasciatemi, però, diffidare da tale affermazione.

Code: Select all

>15.49.22< <PUOjACKz> k
>15.49.45< No such nick/channel
Session Close: Sat Jan 21 15:49:46 2006
Incredulo al massimo, nel rileggerlo (è come essere pugnalati). A voi il resto.

folle_invasato
Posts: 134
Joined: Thu Jan 13, 2005 9:11 pm
Location: Pordenone, Italy

Post by folle_invasato »

Personalmente, un addetto coder, della sicurezza dell'OS, che non sà cos'è un Behavior Blocker.
Onestamente neanche io so cos'è un behavior blocker. Il termine non l'avevo mai sentito prima di questa discussione. Mi sono fatto una piccola idea però...
Esistono 2 tipi di RootKit: i Kernel-Rootkit e gli User-Rootkit
Per le rootkit hai dimenticato un piccolo particolare. Una user-rootkit gira in modalità utente. Quindi non ha nessun modo di intaccare il kernel di un sistema NT. Altera solo i risultati delle API Windows per nascondere il proprio operato. Una rootkit a livello kernel ha a disposizione tutta la memoria kernel (correggimi se dico una cavolata ma mi sembra che la memoria del kernel è condivisa tra tutto il codice che gira in modalità kernel...è per questo che driver difettosi per esempio sono la maggiore fonte di problemi..).
Personalmente, un qualsiasi tecnico di sicurezza informatica, deve proteggere il sistema, il più possibile. La perdita di dati, di per sè, non è tollerata.
Secondo me dovresti anche differenziare l'ambiente home dall'ambiente business. In un ambiente business i dati (che effettivamente hanno un valore) sono protetti da varie soluzioni di ridondanza/backup quindi il problema dei di perdita di dati è molto ridotto (anche perchè l'eventualità che un malware si installi nei sistemi è *molto* ridotta).
Ciò non vuol dir nulla. Non è che perchè un software è opensource, è esente da bugs e, di per sè, il Priviledge Escalation è un problema non da poco.
Per quanto riguarda il problema dei bugs ti faccio notare una cosa: neanche il tuo behavior blocker non è esente da bugs ;)
La famosa funzione "RunAs", può essere utilizzata per ottenere lo stesso scopo
Per la funzione RunAs faccio le seguenti considerazioni. Se lanci un programma tramite RunAs il sistema assegna le dovute credenziali a quel processo. E' molto diverso che girare come amministratore. se il processo poi è a 16 bit entra in gioco anche il fatto dell'esecuzione del tuo processo sotto WOW. Io seguo la mentalità di w3seek che sostiene che se tu lanci un processo come sysadmin è perchè ti FIDI e CONOSCI quel processo (inoltre come dici tu ti serve per compatibilità con win9x..che per me implica che l'hai come minimo già usato su win9x e NON ti ha creato danni!). ReactOS non credo sia nato per agevolare l'esecuzione di programmi per Win9x in quanto c'è scritto che nasce per ottenere la compatibilità con NT4...mai provato a far andare un programma per 9x su NT4? :P
Ok, son d'accordo. La compatibilità, però, in questo modo, và a farsi friggere. Se poi, riescono a far funzionare i programmi di Win98 (cosa che vedo molto ardua), in ambiente NT, via compatibilità, il codice da introdurre verrà triplicato. Questo, in quanto, in Win9x, erano i programmi a gestire parte del colloquio con l'OS. Cosa che spiega, tra l'altro, perchè spesso capitassero dei casini assurdi. Nella tecnologia NT, tutto questo è cambiato radicalmente, in quanto, effettivamente, si è su un vero OS e non su una macchina virtuale che imita il DosShell e l'MS-DOS, come lo era, ad esempio, Win98 (particolare scoperto in seguito ad una ricerca approfondita sull'OS, presso documentazione targata Microsoft).
Allora...piano con gli scavi!

Il fatto che in win9x se si piantava un programma era un casino è dovuto al fatto che la memoria era tutta condivisa. Kernel, drivers e programmi condividevano uno spazio di memoria unico, senza restrizioni d'uso. Sotto l'architettura NT ogni processo ha uno spazio di memoria separato. L'unica eccezione sono i programmi che tu fai girare con NTVDM per provare a far funzionare software a 16 bit. A meno che tu non lo richieda esplicitamente tutti i programmi che vengono eseguiti con NTVDM hanno uno spazio di memoria comune (che torna utile in certe situazioni). Altro caso di memoria condivisa in NT dovrebbe essere lo spazio del kernel.


(OT: la storia di WIN98-macchina virtuale-MS/DOS mi incuriosisce...sapevo si che non era totalmente a 32 bit ma da quello che so io è un OS vero e proprio..)
WinXP, ora come ora, ci son 3 profili predefiniti: Amministratore (che può far tutto), Utente Limitato (che già causerebbe problemi a chi non è esperto d'informatica) ed utente Blindato al massimo.
Non vorrei ancora sbagliarmi..ma mi sa che XP pprò ha gli stessi gruppi di utenti del 2000.
Qua, l'addetto, sta affermando che Windows è sicuro e che un applicazione, che necessiti di essere eseguita con privilegi amministrativi, è pericolosa e non dovrebbe essere avviata.
E' vero..punto!
Qui, l'addetto alla sicurezza, sta dicendo che non vi è necessità di tutti i programmi presenti oggi giorno, per tenere il sistema sicuro, definendo tali provvedimenti come "Stupid Security" (sicurezza stupida o da stupidi).
Ogni commento, per chi legge, è libero.
Anche qui è vero. L'unica cosa utile può essere un minimo di firewall per non beccarsi i virus "in the wild" dalla rete e un antivirus aggiornato.
Con un minimo di conoscenze riesci a debellare un virus in meno di 10 minuti, bastardo che sia. X le rootkit mi astengo. Non ho ancora provato a giocarci.
Per l'ennesima volta, sono contrario a quanto da lui affermato, e cioè che la sicurezza non riguarda l'OS. Inoltre, afferma che nei sistemi Unix-Like (Linux), non vi è il bisogno di AV ecc., non tenendo in considerazione dei molteplici aspetti che separano il mondo Windows da quello Unix e Unix-Like. Semplicemente, siccome, su Linux, basta usare un utente non privilegiato, che tutto và a posto (e non è completamente vero questo, ma solo Security By Obscurity), così, anche su Windows, secondo il parere dell'addetto, è la stessa cosa. Lasciatemi, però, diffidare da tale affermazione.
Io credo che ci siano *parecchi* esperti di sicurezza al mondo. Ma mi manca ancora un OS che implementi trucchi di sicurezza diversi dalle (uso il termine win) ACL. Secondo me non è un caso e non è sbagliata l'affermazione che la sicurezza (del tipo che intendi tu, non le ACL) non sia compito di un sistema operativo.

La reale differenza tra un sistema windows e uno linux o unix o che sia è l'UTENTE. Chi installa linux lo fa perchè ne capisce. La maggior parte delle persone che installa windows lo fa perchè necessita di usare un PC e a malapena sa cos'è un file e una cartella.


Just my 2 cents ;)

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest