Alcuni pensieri su Windows Vista - parte seconda

Avevo già scritto in questo post di come in realtà le parole di Microsoft non fossero poi così vere e che un software di sicurezza sarebbe comunque necessario anche nel nuovo sistema operativo.

Avevo preparato a suo tempo un altro video che però non ho mai postato per mancanza di tempo. Riguardando oggi tra alcuni file l’ho ritrovato, per cui lo aggiungo ora.

Mi scuso per la qualità del video, non ottimale, ma si dovrebbe comunque capire sostanzialmente il concetto. Il programma utilizzato, PCAudit, è un famoso leaktest per testare l’efficacia dei firewall software.

In un sol colpo è stato mostrato come la dll injection possa funzionare senza problemi nella configurazione di default, come sia possibile rubare le informazioni all’utente e spedirle all’esterno del pc bypassando Windows Firewall con il nuovo controllo in outbound del traffico (configurazione di default e con blocco di tutti i programmi in uscita eccetto il browser).

Un trojan del genere è un trojan praticamente comune con Windows XP e anche Vista, come è possibile vedere, soffre questi possibili attacchi.

Rimango convinto che nei prossimi mesi se ne vedranno delle belle per quanto riguarda il connubio malware e Windows Vista.

PS: aggiungo questa postilla onde evitare che chi legge possa pensare che odio profondamente Windows Vista e penso che ogni singola cosa che Microsoft ha fatto sia sbagliata.
Su questo pc utilizzo al momento Windows Vista e lo ritengo veramente un buon sistema operativo. L’utilizzo di tecnologie quali UAC ha permesso di portare il famoso account limitato alla portata di tutti e questo non può che far bene. Le tecnologie ACL che introduceva il kernel NT erano e sono molto potenti. Ma le cose belle del nuovo sistema operativo oramai le sappiamo tutti. Personalmente mi piace mettermi anche dalla parte opposta e vedere se ci sono problemi, possibili punti di attacco, debolezze.
In altre parole, non mi paga nessuno per dire che Windows Vista faccia schifo né tantomeno lo penso e lo ritengo così.

Scritto il 12 Febbraio 2007


20 Responses to “Alcuni pensieri su Windows Vista - parte seconda”


  1. Casio
    Febbraio 12th, 2007 at 18:24

    Complimenti per la totale disinformazione che state facendo, perchè state effettuando il test del firewall di Vista dicendo che è stato bypassato, mentre il realtà state testando un firewall settatto di default proprio per permettere in uscita tutto il traffico e quindi è ovvio che spedisce i dati (non c’è alcun bypass!!). Anche sotto linux il test avrebbe fallito perchè di default il firewall di linux permette tutto il traffico in uscita (perchè non lo dite?)
    Ma il firewall di Vista ha anche la possibilità di bloccare il traffico in uscita e quindi il vostro test fallibbe.
    Ma tanto voi siete interessat a vendere il vostro inutile prevx.


  2. TNT
    Febbraio 12th, 2007 at 18:31

    Casio, quale parte di “con il nuovo controllo in outbond del traffico” non t’e’ chiara?


  3. maverick
    Febbraio 12th, 2007 at 20:45

    Io non so chi abbia ragione ma perdonatemi se credo che sia una caduta di stile dire che un nuvoo s.o operativo è insicuro da parte di chi lavora per societa’ AV. Sa molto di messaggio promozionale anche se Marco dice la verita’.
    Tanto tra poco sapremo quanto in realta’ vale Vista sotto il profilo della sicurezza. Basta aspettare.
    Quanto a prevx a me è sembrato un prodotto molto molto buono anche se ultimamente non mi pare abbia brillato
    nella mia “esperienza personale” a riconoscimento di virus. Lo puoi vedere anche dal mio blog.Poi ti mando un bel po’ di malware così se vuoi aggiorni le firme.


  4. maverick
    Febbraio 12th, 2007 at 20:47

    e ovviamente non alludo al file da 1 mb furbetto che ti ho segnalato ma a cose ben piu’ pericolose.


  5. Marco
    Febbraio 12th, 2007 at 20:53

    Ringrazio Casio per la segnalazione interessante che mi fa notare come sia stato poco chiaro a riguardo.

    Dunque, Windows Firewall in effetti di default permette in uscita (outbound) tutto il traffico eccetto la presenza di regole che blocchino il tutto. Peccato che il test è stato effettuato sia in modalità default che in modalità “le connessione in uscita che non corrispondono a una regola sono bloccate”, altresì modalità in cui tutti i software in uscita vengono bloccati eccetto quelli che vengono scelti manualmente dall’utente.

    Detto questo, altri firewall freeware intercettano se un programma nuovo sta tentando la connessione ad internet e, soprattutto, se qualche applicazione iniettata in un processo sta tentando di accedere ad unternet.

    Detto anche questo, ovviamente, non sto dicendo che Windows Firewall faccia schifo. Microsoft ha fatto passi avanti indubbiamente, ma le soluzioni dedicate freeware permettono una sicurezza maggiore al momento.

    Per quanto riguarda la parte flame sorvolo, ci sta :) Le critiche aiutano a migliorare lo stile.

    Marco


  6. Marco
    Febbraio 12th, 2007 at 20:57

    @Maverick: veramente noi saremmo stati zitti se Microsoft non avesse fatto il contrario dando informazioni azzardate e poco precise :)

    Detto questo, comunque, queste sono opinioni personali non legate a Prevx. Il blog è personale, non è inteso come blog ufficiale della società.

    Volevo testare alcune cose e l’ho fatto. Non c’entra niente Prevx, sono state alcune persone che legano immediatamente ogni cosa che dico con la società.

    Non posso fare esperimenti? :D Per quanto riguarda i nuovi sample, che ti devo dire? :D Segnalameli, provvederò ad aggiungerli :) Ovviamente non possiamo avere occhi e orecchi su tutto il mondo 24 ore su 24, sebbene la tecnologia che utilizziamo automaticamente lo permetta. Inoltre non fare affidamento sempre a VirusTotal ;) Ci sono molte individuazioni che su VirusTotal non vengono segnalate ma in realtà sono bloccate da Prevx.

    Esempio: quando mi è stato segnalato il nuovo caso di Rootkit.DialCall ho provveduto a testare. Era vero, su VirusTotal non lo individuava perché il sample era nuovo. Ho provato l’esecuzione e Prevx l’ha bloccato euristicamente, perché ha riconosciuto particolari “legami” alle famiglie precedenti. Tutto qua :)


  7. maverick
    Febbraio 12th, 2007 at 21:03

    si ma se microsoft spara ca… non è detto che tu debba dire “ne vedremo delle belle ” che suona un po’ porta sfiga per l’utente finale :-) .
    Ho parlato di prevx perche’ io credo che sia tutt’altro che “inutile” come sostenuto da Casio ma va pure detto che l’impressione eccezionale che ne avevo avuto tempo fa è stata ridimensionata. Probabilemte anche perche’ forse non hai avuto troppo tempo per sistemare alcuni virus studiati appositamente per il web italiano.


  8. Marco
    Febbraio 12th, 2007 at 21:05

    @Maverick: scusami, ho aggiornato il mio post prima :) te lo segnalo perché potrebbe esserti sfuggito - errore mio che dovevo postare nuovamente invece di aggiungere :)


  9. maverick
    Febbraio 12th, 2007 at 21:06

    Beh da utente di prevx se prevex funziona bene credi mi dispiaccia? :-)


  10. Marco
    Febbraio 12th, 2007 at 21:09

    assolutamente, è grazie a utenti come te che il programma cresce :) e grazie alle segnalazioni :D


  11. maverick
    Febbraio 12th, 2007 at 21:13

    vabbe’ appena ho un attimo di tempo recupero la spazzatura che sta su un altro pc e te la manda in un file zip :-) .

    Pero’ la lista di cattivoni la potevi pubblicare.
    Mi sono sentito con quelli di pianetapc e mi pare che tra poco ne pubblicheranno una anche al mio modestissimo contributo.


  12. Marco
    Febbraio 12th, 2007 at 21:40

    Te l’ho detto :) Metterlo così ora rischierebbe di passare “inosservato” dopo pochissimo. Sto ancora strutturando il nuovo PCAlsicuro che permetterà maggiore flessibilità sotto questo punto di vista. E da quel momento allora sì che ci si divertirà di piu :)

    PS: ho aggiunto una postilla al testo, per evitare che possa essere considerato l’anti-Microsoft :)


  13. m4v3rick
    Febbraio 12th, 2007 at 21:48

    Secondo me hai paura dell’n-esimo attacco Ddos :-)
    Anche il fatto che questi qui sappiano chi sei non che sia proprio troppo rassicurante. Mi pare gente abbastanza pericolosa :-)


  14. Marco
    Febbraio 12th, 2007 at 21:56

    ma figurati :D alla fine non è che ci campo con questo sito web eh :) Vorrà dire che mi prendo qualche giorno in più di vacanza fuori :D


  15. m4v3rick
    Febbraio 12th, 2007 at 22:07

    Permettimi consigliarti di evitare Ucraina e Russia per le vacanze :-D . Non si sa mai


  16. Marco
    Febbraio 12th, 2007 at 22:10

    :D :D :D sei spettacolare :D :D ti giuro, mi hai fatto piegare dalle risate :D hai ragione :D :D


  17. Fabrizio Alberti
    Febbraio 13th, 2007 at 10:36

    Dopo aver subito anche io in questi giorni il virus del momento eheheh rileggo con piacere questo luogo, dove purtroppo rileggo con meno piacere il consueto trollone, che si diverte. Vabbeh ha anche lui bisogno di farsi vedere..

    Tornando a bomba sulla notizia, e sui commenti successivi, mi trovo da sysadmin mi trovo perfettamente allineato coperto e concorde a quanto è emerso in questi 2 appuntamenti. Già nel precedente ebbi a che “obiettare” sulla bontà “di default” del firewall di vista, mostrando le mie perplessità. A chi obietta che anche il firewall di linux fa la medesima cosa, posso rispondere che pero’ è l’estrema e intrinseca maggior sicurezza del sistema a renderlo più sicuro.

    Invece con vista parliamo sempre, dati alla mano di 15 minuti circa, prima di essere demolito dal “malware” presente su internet, se connesso senza alcuna protezione e in condizione di default..

    Quello che invece ritengo davvero un passo in avanti, è la gestione del firewall centralizzata. Ovvero nei contesti business, laddove ci sia un dominio di rete Active Directory gestioto da un server 2003 all’ultima release di service pack e sistema operativo disponibile, c’è la possibilità di settare un profilo “di default” fatto dal sysadmin di turno, che quindi si suppone e si spera, sia fatto con le docute accortezze.

    Per il resto, qui è davvero una continua rincorsa contro il tempo di questi “bravi ragazzi” che mettono a giro robaccia.

    @maverick: il “ridimensionamento” che tu noti, forse è perchè ora sei abituato comqunque ai buoni risultati, e alla prima “falla” ti fa lamentare.. Nessuna critica, anzi, ma ti volevo solamente consigliare una maggiore critica oculata.. Ultimamente con alcuni malware non c’è antivirus che tenga, solo il sistema protetto con qualcosa di proattivo, riesce a difendersi e prevx è un ottimo tool in questo senso.

    @marco vedo che ti mandano robaccia.. Come posso farlo anche io?

    Ciao e benrivisti a tutti, o quasi ;)


  18. francesco
    Febbraio 14th, 2007 at 09:51

    Penso che questo articolo possa contribuire alla discussione su Vista:
    http://it.slashdot.org/it/07/02/13/1922237.shtml

    Si cita una notizia di Joanna e la risposta di Russinovich…. che non mi sembrano proprio gli ultimi arrivati….

    Molto interessante anche il primo commento degli utenti.


  19. Fabrizio Alberti
    Febbraio 14th, 2007 at 13:04

    Lo stavo per postare io. A me pare interessante la risposta: Non è un bug! È una feature!!! Cos’è si sono imparati anche loro la risposta da dare in certi casi (e non è questo il caso però) ?!?!


  20. PC Al Sicuro » Blog Archive » L’SSDT hooking sta diventando obsoleto?
    Luglio 9th, 2007 at 15:37

    […] Concludo con un semplice video che vorrebbe nuovamente replicare a tutte le persone che chiedono se Windows Vista sia vulnerabile ai rootkit. Ne avevo già parlato QUI e QUI, riprendo a distanza di tempo l’argomento. […]

Lascia un commento

« CastleCops festeggia 5 anni di attività
Next: Occhio alle e-mail di San Valentino »