Sicurezza informatica Account limitato: c’è bisogno dell’antivirus?

Goofy

Goofy

Moderator
Articolo

interessante articolo da cui si evince che l'account limitato non è la panacea per tutti i mali come qualcuno vuol far credere :D:D

sostanzialmente anche si si usa un account con diritti limitati un pc si può infettare quindi usate pure un account limitato ma affiancategli un buon antivirus / antispyware

Quindi, in altre parole, chi utilizza un account limitato sembrerebbe al sicuro da rootkit e malware. Niente più software antivirus.

In realtà la questione non sta proprio così. É vero, gran parte dei rootkit e dei malware attuali verrebbero tagliati fuori, ma non è vero che si possa essere al sicuro.

Un programma lanciato da account limitato può avere accesso alle zone di memoria di tutti gli altri processi che vengono lanciati con diritti dello stesso account limitato in uso. Una volta ricavato l’handle del processo con l’API OpenProcess() e flag PROCESS_VM_WRITE è possibile andare a scrivere nelle zone di memoria degli altri processi con diritti simili.

Lo scopo del rootkit è quello di nascondersi agli occhi degli utenti. Lo faccia in modo complesso (DKOM, SSDT/IDT hooking), lo faccia a livello più semplice e completo (rootkit user mode con diritti administrator) o lo faccia a livello di account limitato (modifica solo dei processi lanciati da account limitato) può comunque farlo. Certo, è più facile l’individuazione – basta lanciare uno scanner antivirus con permessi administrator (RunAs) o avere comunque un monitor antivirus in realtime che dovrebbe partire con diritti di SYSTEM – ma se nessuno pensasse di fare una scansione il rootkit svolgerebbe comunque il proprio lavoro.

Senza considerare – ipotesi più rara e “fantascientifica” – che se un giorno venisse scoperto un bug in qualche processo di sistema che viene lanciato con diritti di amministratore o ancora più alti, anche da account limitato potrebbe partire una privilege escalation. Blaster e Sasser, per un certo senso, insegnano.

Ecco perché, seppure un account limitato riduca *drasticamente* il rischio di infezioni, uno scanner antimalware/antivirus/HIPS o qualunque software sia sarebbe comunque consigliato.

Nel caso della news riportata ad inizio articolo, Haxdoor non avrebbe funzionato con account limitato e gli utenti sarebbero stati tutti più felici probabilmente.
Clicca per allargare...
 
Ultima modifica:
Goofy ha scritto:
Articolo

interessante articolo da cui si evince che l'account limitato non è la panacea per tutti i mali come qualcuno vuol far credere :D:D

sostanzialmente anche si si usa un account con diritti limitati un pc si può infettare quindi usate pure un account limitato ma affiancategli un buon antivirus / antispyware
Clicca per allargare...

Per completezza aggiungo un'altra parte dello stesso articolo

"...Certo è che un account limitato al momento fornirebbe molta protezione da grandissima parte di malware attuali – molti rootkit compresi.
Gran parte dei malware si copia all’interno delle directory di sistema di Windows, necessita di scrivere all’interno del registro di sistema per avviarsi all’avvio del sistema e altre caratteristiche che vanno a toccare parti delicate del sistema operativo. Parti che un un account limitato non può editare per assenza di privilegi.
Sarebbero veramente pochi i malware esistenti che potrebbero infettare il pc da account limitato. Parlando di rootkit, sarebbe praticamente impossibile l’installazione di rootkit kernel mode e di gran parte di rootkit user mode.
Quindi abbiamo trovato la soluzione a tutto? Account limitato e possiamo buttare via ogni software antivirus? Beh, non proprio. Torniamo a parlare proprio dei rootkit in questione...."


L'account limitato non risolve tutti i problemi, però se si aggiungono delle adeguate Software Restriction Policies


How to make a disallowed-by-default Software Restriction Policy


si raggiunge un livello di sicurezza analogo ai sistemi Linux e il malware si può installare solo se l'utente decide deliberatamente di farlo.
 
il succo che ho colto in quell'articolo è che se pur attivi un account limitato il malware si può installare lo stesso nell'area dell'account limitato facendo lo stesso danni

l'ho sottolineato perchè qualcuno semplicisticamente dice che basta usare un semplice account limitato per dormire sogni tranquilli :down:

p.s.
quando dico un semplice account limitato sottintendo senza le Software Restriction Policy
 
Goofy ha scritto:
l'ho sottolineato perchè qualcuno semplicisticamente dice che basta usare un semplice account limitato per dormire sogni tranquilli :down:

p.s.
quando dico un semplice account limitato mi riferisco senza le Software Restriction Policy
Clicca per allargare...

concordo, l'importante è che non venga interpretato come un invito a non usare l'account limitato perchè non serve a a nulla... :down:
 
I agree with you
come ho detto + volte la sicurezza è fatta a vari livelli di protezione e non basta affidarsi solo ad uno di essi


  1. s.o e i i vari sw (java, flash, acrobat, etc) connessi alla navigazione web sempre aggiornati
  2. account con diritti non amministrativi "rinforzato", vale a dire con Software Restriction Policy applicato o con SuRun)
  3. browser sandboxato
  4. antivirus efficace ed aggiornato
  5. antispyware
  6. modem-router (per il natting)
  7. un server dns efficace che faccia da filtro per i siti non raccomandabili
  8. WOT
  9. firewall


altrimenti vi buttate su Linux:D:D
 
Ultima modifica:
Goofy ha scritto:
I agree with you
come ho detto + volte la sicurezza è fatta a vari livelli di protezione e non basta affidarsi solo ad uno di essi

  • s.o e i i vari sw (java, flash, acrobat, etc) connessi alla navigazione web sempre aggiornati
  • account con diritti non amministrativi "rinforzato", vale a dire con Software Restriction Policy applicato o con SuRun)
  • browser sandboxato
  • antivirus efficace ed aggiornato
  • antispyware
  • modem-router (per il natting)
  • un server dns efficace che faccia da filtro per i siti non raccomandabili
  • WOT
  • firewall

altrimenti vi buttate su Linux:D:D
Clicca per allargare...

ma prima di tutto.. usare la testa :D
 
SpyEye ruba i dati. Anche da account limitato

I software antivirus non sono poi così inutili

L’ingegneria sociale è pericolosa. Per tutti
Mi succede spesso di tornare sull’argomento per il quale utilizzare un account limitato non significa per forza di cose essere al sicuro da malware e codici nocivi. Se è vero che un eventuale malware eseguito con diritti limitati non può fare danni evidenti al sistema, è altresì vero che i malware attuali non hanno bisogno di intaccare niente. L’unico interesse è rubare quanti piu dati sensibili possibili, tra cui password di siti bancari o PayPal ad esempio.......
Clicca per allargare...


continua
C’è chi potrebbe pensare che è sufficiente lavorare con un account limitato per essere al sicuro dai malware. Approccio totalmente sbagliato.

È vero: lavorare con privilegi limitati aiuta considerevolmente gli utenti a proteggere l’integrità del proprio sistema operativo. Ma non è sufficiente per proteggersi dai malware.

Un malware eseguito con privilegi limitati può ancora rubare le informazioni che vuole. Se l’utente esegue una sessione del browser, il malware può ancora iniettare il proprio codice all’interno del browser, può ancora alterare le API necessarie per intercettare il traffico. Se un malware è eseguito con privilegi limitati, può ancora intercettare i tasti premuti e registrare cosa l’utente stia scrivendo.

Se un malware gira con privilegi limitati può ancora infettare i device USB quando vengono collegati al sistema. Può ancora eseguirsi all’avvio del sistema.....
Clicca per allargare...

molto interessanti come letture
 
Quindi abbiamo trovato la soluzione a tutto? Account limitato e possiamo buttare via ogni software antivirus? Beh, non proprio. Torniamo a parlare proprio dei rootkit in questione.

Come si è detto sopra, vediamo prima i rootkit kernel mode. Sono rootkit che vanno ad installare solitamente un device driver (o kernel driver) nel sistema per aver accesso alla zona di memoria virtuale dedicata al kernel – i 2GB alti, da 0×80000000 a 0xFFFFFFFF. Per far ciò necessitano di essere registrati attraverso il Service Control Manager. Permesso negato per un account limitato. Potrebbero tentare di accedere alla memoria direttamente attraverso \Device\PhysicalMemory. Accesso negato per un account limitato. Un rootkit kernel mode avrà difficoltà nel venire installato.

Parliamo ora dei rootkit user mode. Rootkit che solitamente tendono a reindirizzare le chiamate effettuate dalle applicazioni alle API di Windows. Per fare ciò solitamente vanno a modificare la IAT (Import Address Table) di un determinato file in memoria o si occupano di modificare in tempo reale le funzioni stesse (inline hooking/code patching). Senza scendere nei dettagli tecnici delle tecniche, per fare questo il rootkit deve esistere nello spazio in memoria relativo al processo target.
Clicca per allargare...

l'autore dell'articolo fa una distinzione fondamentale tra rootkit user mode e rootkit kernel mode.

I rootkit kernel mode sarebbero bloccati da un semplice account senza diritti limitati mentre i rootkit user mode non sarebbero assolutamente bloccati e farebbero lo stesso danni molto gravi
 
Marco lavora per la Prevx e per me questo avvalora ancor di + quello che dice

i suoi articoli mi sembrano ben fatti, istruttivi e assolutamente neutri per quanto riguarda eventuale pubblicità subliminale per la Prevx ;-)
 
You must log in or register to reply here.

Similar threads

max54
la cina è dentro di noi
2 3 4
Risposte
39
Visite
1.689
max54
max54
tontolina
Conto corrente estero adempimenti
Risposte
0
Visite
3.128
tontolina
tontolina
tontolina
SULL'ORLO DELLA RIVOLTA IN EUROPA - Blondet & Friends
Risposte
1
Visite
778
tontolina
tontolina
alingtonsky
Con 'One belt, one road' la Cina dimostra la sua forza. Ma ne è capace?
Risposte
2
Visite
763
alingtonsky
alingtonsky
DNGMRZ
RENZI (d'accordo con BERLUSCONI) VENDE L'ITALIA alla FRANCIA di BOLLORE'
Risposte
0
Visite
1.126
DNGMRZ
DNGMRZ

Users who are viewing this thread

Total: 1 (members: 0, guests: 1)
Back
Alto