Zone Alarm (firewall) è uno spyware?

[antares11]

secondo questo link
http://www.dslreports.com/forum/remark,15294155
tutto lo lascerebbe a credere, nella fattispecie la vers. 6

interessante leggersi anche gli annessi e connessi, diciamo così ....

dopotutto non è un'opera di beneficienza, ma le alternative non mancano, basta leggere
Kerio, Sygate,Outpost, versioni precedenti di Z.A. ( la 5?),
...

e linux? parlo piano perchè qualcuno non si svegli

[thomas_anderson]

Sorry but very old news! This was discussed here many months ago ad infinitum. I think Bob Cringely is an interesting character but obviously he was out of things to write about...

E basta con queste str...te. Grazie.

[antares11]

Originariamente inviato da thomas_anderson
E basta con queste str...te. Grazie.

ti sembra che prima di postare non abbia visto il post che quoti?
prima di parlare sarebbe meglio sentire/leggersi tante 'campane' in giro nel web e la storia più o meno recente di quel sw, di chi l'ha creato e a chi l'ha venduto o meglio chi e magari con quali intenzioni l'ha acquistato, modificandolo secondo il suo tornaconto

con un po' di pazienza si trovano tante cosette nel web, prima di esprimere giudizi categorici: ci vogliono anche ore per informarsi in merito


_________________________________
siamo tutti maestri e avvocati, noi italiani, maestri anzi professori anche nel sw sulla sicurezza
basti dire che abbiamo affidato la sicurezza del porto di Trieste a coloro che hanno acquistato quel sw :master:

[thomas_anderson]

Allora fai una cosa: prenditi uno sniffer e monitora tutto il traffico. Poi fammi sapere. Queste storie sono trite e ritrite: addirittura adesso c'è chi accusa Kaspersky di usare rootkit... ma per favore..

POST /register.asp HTTP/1.0
Accept: */*
Accept-Language: en
Host: register.zonelabs.com
Content-Type: application/x-www-form-urlencoded
User-Agent: Zone Labs Registration Agent 1.0
Content-Length: 327

ProductVersion=3%2E7%2E202&HU100=ZLN18069648331679 %2D1001&RegisteredOwner=
Lars+Hansen&EMailAddr=xxxxxx%40hansenonline%2Enet& WantEmail=No&
FullRegistration=Yes&OperatingSystem=Win+NT&Survey NumComps=5%2D10&
SurveyConnectType=Cable+modem&SurveySkillLevel=Exp ert%2FIT+Professional&
SurveyPCtype=Laptop&ProductName=ZoneAlarm&OEM=1001 HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Fri, 28 Nov 2003 14:07:01 GMT
Connection: Keep-Alive
Content-Length: 62
Content-Type: text/html
Set-Cookie: ASPSESSIONIDQAQCBSQT=DMFNGOBDFFEKGGFNODIDINKG; path=/
Cache-control: private

Thank you for registering.. ZoneAlarm: registration successful

There's nothing in here that should alarm anyone.

Usa Ethereal. vediamo che esce fuori....

[thomas_anderson]

Le cose vanno dette forti e chiare, così:

iamo tutti maestri e avvocati, noi italiani, maestri anzi professori anche nel sw sulla sicurezza

Ragazzi, siete avvisati: ditegli sempre che ha ragione perchè lui è l'unico italiano al mondo a frequentare i siti anglosassoni.

[LUCASS]

Ma perchè trieste si trova in Italia?
apparte le battute del ca*** ognuno ha la sua opinione,io personalmente penso che tutti i programmi possono essere considerati spyware specialmente quelli che comunicano,ma poi qual'è la vera definizione di spyware?
http://www.antispywarecoalition.org/...efinitions.htm
Antares riconosci Zona Allarm in quelle caratteristiche?

[Habanero]

Originariamente inviato da thomas_anderson
....
Queste storie sono trite e ritrite: addirittura adesso c'è chi accusa Kaspersky di usare rootkit... ma per favore..

Spero di non essere OT.

Il fatto che KAV usi tecniche (a fin di bene) derivate dai rootkit è inequivocabile...

Attraverso un system driver (dovrebbe essere klif.sys) a tutti gli effetti nasconde al sistema un alternate data stream (ADS) di nome KAVICHS che KAV allega ad ogni file scansionato. Questo solo su filesystem NTFS ovviamente...
RootkitRevealer lo rileva (a differenza di BlackLight che non scansiona affatto gli ADS). Lo rileva anche una utility come LADS lanciata da un sistema su cui non è installato KAV (ad esempio un CD di boot o un altro windows installato sullo stesso disco)

Questo E' un rootkit a tutti gli effetti!

Norton Antivirus/System Works fino a poco tempo fa usava una tecnica simile per rendere invisibile il suo Norton Recycle Bin. Recentissimamente è tornata sui suoi passi... evidentemente c'era qualche problema..
http://securityresponse.symantec.com...006.01.10.html

Tutto questo rende lecito bollare una tecnica di rootkit come dannosa? a mio parere no.
Ovviamente quando se ne parla in modo generico se ne considerano perloppiù gli aspetti più negativi... in ogni caso non tutti i RK sono HackerDefender Brilliant...


Per tornare al Topic... non so se ZA possa essere definito uno spyware. Quello che è certo è che se un programma di tal genere invia pacchetti a casa come minimo ne vorrei essere informato e vorrei sapere quali informazioni vengono spedite...

[LUCASS]

Non può, dato che all'installazione chiede se vuoi tale opzione, niente è nascosto,è come il messanger plus se clicchi su accetto pubblicità diventa uno spyware se non ci clicchi il programma è pulito,finchè tu sai di tale opzione e puoi disattivarla secondo me non si può definire spyware,anche msn ha l'analisi utilizzo software anche media player è sempre un qualcosa che comunica dati all'esterno(microsoft) anche l'antivirus di casa microsoft(one care) ha un opzione simile ma serve per per un analisi del sistema,anzi poco tempo fa ho scoperto per modo di dire una cosa che mi ha dato fastidio,quasi tutti gli antivirus hanno l'opzione di invio file,quando tu la usi alla azienda vengono spedite molte info cosa che nelle licenza non è scritto almeno nella mia non c'è,tra cui sofware installato e ultimi siti visitati

[thomas_anderson]

Questa la risposta di Kaspersky:

No “rootkit” in Kaspersky® Anti-Virus

Kaspersky Lab responds to claims by Mark Russinovich regarding the use of rootkit technology in the company's products

Mark Russinovich, an IT professional, has recently been reported as saying that Kaspersky Lab makes use of “rootkit” technology in its Kaspersky® Anti-Virus products.

Kaspersky Lab believes that the iStreams™ technology utilized in Kaspersky Anti-Virus cannot be exploited by a malicious user, and to call this technology a rootkit is incorrect.

iStreams™ technology was first implemented in the Kaspersky Anti-Virus 5.x product range almost two years ago and improves scanning performance. In basic terms, Kaspersky Anti-Virus products use NTFS Alternate Data Streams to hold checksum data about files on the user's system: if a checksum remains unchanged from one scan to another, Kaspersky Lab's products know the file has not been tampered with and do not, therefore, require a repeat scan.

NTFS Alternate Data Streams are not visible to the naked eye; special tools are required to view them. The fact that these data streams are not automatically visible does not mean technology which utilizes these streams is potentially exploitable or malicious.

Kaspersky Lab believes that the technology used is not vulnerable to exploitation for the following reasons:

If a Kaspersky Anti-Virus product is active, the streams are hidden and no processes (including system processes) have access to them.
If the product is disabled, the streams will be visible if viewed using the appropriate tools.
If a stream is rewritten with some (possibly malicious) data or code (for example, after rebooting in Safe Mode), when the system is next restarted, Kaspersky Anti-Virus will read the stream and not recognize the format. Kaspersky Anti-Virus will then begin to rebuild the checksum database. This means that potentially malicious code will be deleted.

Kaspersky Lab antivirus products utilize iStreams™ technology as it offers users a significant performance benefit.

The only drawback of this technology is that it increases the time taken to deinstall the product as the data streams have to be deleted. For this reason, and this reason alone, the next version of Kaspersky Anti-Virus will use an alternative mechanism to deliver the same performance benefits.

Eugene Kaspersky has commented further on this issue in the Kaspersky Lab Analyst's Diary.

[Habanero]

sono perfettamente d'accordo.. qui semplicemente bisogna chiarire cosa si intende per Rootkit...

Rootkit è un insieme di tecniche che consente l'invisibilità di alcuni componenti di sistema?

oppure

Rootkit è quanto sopra e in quelle tecniche mettono a repentaglio la sicurezza del sistema?

Insomma Rootkit è l'insieme delle sole tecniche o è l'insieme delle tecniche più lo scopo che si prefigge (o eventualmente si puo' considerare uno scopo lecito ma vulnerabile ad un uso illecito..)?

Per stessa ammissione di Kaspersky iStream utilizza tecniche di occultamento ma:

...
The fact that these data streams are not automatically visible does not mean technology which utilizes these streams is potentially exploitable or malicious.
...

Il punto sta tutto qui. E' comunque indubbio che le tecniche usate siano tipiche dei rootkit. Ma a mio avviso non c'è nulla di male in questo.