Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Roberto Scaccia — Sat, 12 Jan 2008 10:03:13 GMT

Caro Feliciano, si dedicano allo sport più praticato "sparare su Windows".

Il tuo post dimostra ancora una volta che molte persone parlano della sicurezza di Windows non conoscendo né Windows, né tantomeno MSDN!

Bastava una ricerca appunto su MSDN per trovare questo:

"You can use the CreateFile function to open a physical disk drive or a volume. The function returns a handle that can be used with the DeviceIoControl function. This enables you to access the disk partition table. However, it is potentially dangerous to do so, because an incorrect write to a disk could make its contents inaccessible. The following requirements must be met for such a call to succeed:

* The caller must have administrative privileges. For more information, see Running with Special Privileges.

* The dwCreationDisposition parameter must have the OPEN_EXISTING flag.

* When opening a volume or floppy disk, the dwShareMode parameter must have the FILE_SHARE_WRITE flag.

E rendersi conto che con account di Amministratore ben poche misure di sicurezza ci possono salvare!

Roberto

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

RoBYCoNTe — Sat, 12 Jan 2008 16:09:00 GMT

Devo farti i miei complimenti! Finalmente trovo qualcuno che non parla mai male, osserva e descrive le cose per quello che sono! Mi piace il tuo blog davvero tanto, lo aggiungo nei miei preferiti anche perchè penso potrà essermi molto d'aiuto in futuro!

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

suc — Sat, 12 Jan 2008 22:36:07 GMT

io trovo ridicola la frase scritta su PCAlSicuro da Marco Giuliani che dice: "In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato"

E' evidente che chi ha scritto questa frase, ha solo l'interesse di vendere i propri prodotti antirootkit (prevx), dato che:

1. non esiste alcuna vulnerabilità

2. lo UAC è abilitato di default, e quindi quel "se la lo UAC è disabilitato..." è completamente fuori luogo! Come dire che se la nonna avesse le ruote....

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Paolo De Nictolis — Sun, 13 Jan 2008 23:32:26 GMT

Eddai ragazzi, ammettiamolo: siamo "noantri" che usiamo Windows che non capiamo una mazza, mentre chi si affida a Linux scarica le distro, ma solo perchè gli piacciono i temi grafici, in realtà il kernel se lo riscrivono da soli! Vorrei sapere come fanno gli utenti Mac con una FreeBSD lucchettata da Apple, ma sicuramente in qualche modo faranno anche loro, mica usano Windows! :D

SDL, template GPO, MBSA, NAP? E cosa sono? Si sa che "noantri" sappiamo solo tirare fuori "scatole magiche" e fare Avanti -> Avanti -> Avanti -> Fine! Se sapessimo usare un computer, non useremmo Windows! Poi, ogni anno il SANS Institute tira fuori una cosa corposa chiamata "report" in cui spesso il numero di vulnerabilità rilevate per i sistemi operativi "alternativi" (ma sarà poi così incapace di intendere e di volere, il 90% dell'umanità?) superano quelle di Windows, ma sarà di certo un loro errore!

Siamo solo noi accecati dalla luce di Redmond a non riconoscere un fatto talmente lapalissiano, ovvero che la Sicurezza non è una complicata questione di processo, ma basta scegliere il prodotto giusto! Per "Seven" è già pronto il nome: 9i. THE UNBREAKABLE!

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Feliciano Intini — Tue, 15 Jan 2008 02:02:25 GMT

@Roberto Scaccia: grazie per aver confortato la mia sensazione; spesso dopo i post Anti-FUD mi sento come una "voce che grida nel deserto"...

@RoBYCoNTe: grazie dei complimenti, e della inclusione nel tuo blogroll!

@Suc: non per difendere PCAlSicuro, ma non vedo tanto inesatto fare la supposizione dell'UAC disabilitato (che è una pratica purtroppo diffusa e incoraggiata da chi vuole sminuire le funzionalità di Vista), quanto come hai ribadito tu, il parlare di vulnerabilità e il non citare i privilegi necessari all'utente per rimanere vittima dell'attacco.

@Paolo: ... su dai Paolo... RoBYCoNTe ha appena elogiato la pacatezza del mio blog e tu ti diverti a gettare benzina sul fuoco ???

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Paolo De Nictolis — Mon, 28 Jan 2008 02:43:47 GMT

Dici che non dovevo nominare l'Unbreakable? :P

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Mauro Cicognini — Thu, 14 Feb 2008 12:47:22 GMT

Lo ammetto: sono tra quelli che hanno fatto il grave errore di disabilitare (parzialmente) lo UAC.

Sarà... però, dopo che anche Mark Russinovich (http://blogs.technet.com/markrussinovich/default.aspx) ha autorevolmente confermato (http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx) che "non è una security boundary", e, soprattutto, stanco di vedere il PC che ogni pochi minuti si incastra per un minuto perché deve swappare su disco l'intero universo per aprire un'altra Window Station solo per mostrarmi in modo sicuro l'elevation prompt, francamente mi sono rotto l'anima ed ho fatto in modo che - solo sul mio utente - non comparisse più la richiesta. Più tecnicamente, ho disabilitato le richieste "Admin Approval Mode", lasciando invece attive le richieste di "Over the Shoulder elevation", per gli account dei miei familiari.

Ho fatto male? Probabilmente sì. Però il PC serve a me per fare delle cose utili. Come dice un mio collega: "dopo che hai installato questo antivirus/antispyware/firewall/NAC/DLP/USB control/ecc., il tuo computer è perfettamente blindato. Peccato che non rimanga più RAM per lavorare."

Se il PC occupa tutte le sue risorse con lo scopo di difendere se stesso, preferisco lasciarlo spento.

re: Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Feliciano Intini — Fri, 15 Feb 2008 20:31:06 GMT

Ciao Mauro. Ok, se le caratteristiche hardware del tuo PC siano tali da rendere questa funzionalità così fastidiosa come dici posso sicuramente condividere la tua scelta, anche alla luce della tua esperienza informatica (in grado di valutare le diverse decisioni di sicurezza che ti si presentano). Ma allora non si contesta il merito del valore dell'UAC, quanto il fatto che richieda forse un HW più potente della media: io non ho questa tua esperienza di lentezza, e quindi l'ho lasciato abilitato, anche perché dopo il primo periodo dopo l'installazione ora forse mi viene chiesta la conferma 1 volta ogni settimana (se anche fosse lento come a te sarebbe tollerabile con questa frequenza)...