Discussione L'arroganza di Microsoft che sta uccidendo i piccoli sviluppatori indipendenti

wesker1998

Utente Silver
17 Gennaio 2022
104
32
64
92
Ultima modifica:
Il settore del software development è attualmente in crisi, se siete degli sviluppatori, fareste meglio ad iniziare a programmare i vostri software per i sistemi Unix, migrate definitivamente a Unix per il software developing, che siano videogiochi o tool d'utility. Perché?

Per il semplice motivo che non tutti abbiamo voglia di comprare (o non possiamo) un EV Cert X.509 da 550$ (Referenze: https://en.wikipedia.org/wiki/Extended_Validation_Certificate - https://www.ssl2buy.com/ev-ssl-certificate)

Come potete vedere nel secondo link delle referenze, il sito propone dei prezzi ragionevoli per le prime offerte, ma purtroppo, per garantire che la propria app non sia reputata "malevola" da Stupid Screen, tool integrato in Winzozz Defender (perché di Smart ne ha ben poco), bisogna acquistare un certificato Digicert con istant Smart Screen Rep. (550$ 1 anno), con 1650 ramini invece, questo "fogliazzo" di carta digitale ti copre le chiappe da StupidScreen.exe per 3 anni. Ma questa *azzo di Microsoft lo sa che sti cosiddetti "threat actors" (di merd*) ficcano sicuramente i virus dentro software già firmati e autentici con sti certificati per aggirare sta cosa? Io penso di no

Ma dico io, perché dovremmo fare questo sacrificio quando possiamo fare tutto gratis pubblicando software per i sistemi Unix, che sono anche abbastanza popolari?
Facciamo un po' di chiarezza: Microsoft non era originariamente una casa produttrice di antivirus o altri software per la sicurezza. Le case di software development che si sono occupate della nostra sicurezza in passato erano Symantec, Eset, Avast. Negli ultimi anni, questa *azzo di Microsoft ha preteso di diventare una casa che produce Anche sicurezza informatica (e ci può stare per carità), quando fino a 15 anni fa, ai tempi di Windows XP si occupava di produrre tool di utilità per Windows, e al massimo rilasciava patch di aggiornamenti critici per i bug o gli exploit. Poi a una certa è partito sto progetto chiamato Windows Defender, che devo dire, già è un antivirus che protegge al massimo da script kiddies, perché riconosce prevalentemente, e quasi solo esclusivamente, le minacce open source. Ma non divaghiamo. Microsoft Windows Defender incorpora un tool di monitoraggio della navigazione chiamato smartscreen.exe, che può essere tranquillamente disabilitato. Operazione che non risulta tuttavia così tranquilla per quella categoria di persone che, non essendo pratiche di come funziona internet, si fidano cecamente di quello che dice Smart Screen quando blocca un download. Questo comporta un danno gravissimo agli sviluppatori che o per mancanza di fondi o altro non possono firmare le loro app, perché questi utenti meno esperti (che sono anche parecchi, per lo più boomers 40enni o 50enni) leggendo gli avvisi allarmanti di Smart Screen, pensano davvero che ogni app non firmata costiuisca una minaccia. In particolare, Smart Screen blocca l'app ben 2 volte, e assilla l'utente di richieste petulanti, nel tentativo di scoraggiarne l'esecuzione: la prima volta è durante il download (behavior: impedisce il completamento del download, e chiede se sei davvero sicuro di voler scaricare l'app), la seconda volta è quando provi a cliccare sull'exe, appare un pop-up fastidioso che ti incita nuovamente a non aprire e buttare via tutto.

A mio parere, questa è una cosa che può dare fastidio solo ai piccoli sviluppatori e alle piccole aziende che ancora non dispongono dei certificati che Smart Screen pretende di vedere nelle app scaricate, e perché dico questo? Perché l'obbiettivo di Microsoft è di voler dare un senso di sicurezza agli utenti, senso di sicurezza che vi cancello in un attimo, dicendovi che i malware stanno sicuramente nei software già firmati con questi certificati (validi e autentici). L'unico momento in cui bisogna davvero evitare di cliccare su un app, è quando vi siete assicurati che non contiene effettivamente codice infetto. Questo lo potete fare semplicemente testandola in una sandbox. Non essere un boomer, usa il cervello. Gli anni passano, ma il cervello funziona ancora, fidati!
 
  • Mi piace
Reazioni: TauBemolle

JunkCoder

Moderatore
5 Giugno 2020
980
19
809
393
Non sono daccordo. Stai parlando di SmartScreen, non di un blocco totale degli eseguibili non firmati (tipo WDAC/AppLocker, che sono disabilitati di default), il motivo di tutti quegli avvisi sono per via del Mark Of The Web, per aggirarlo basta zippare l'eseguibile, non è una cosa insormontabile per dei piccoli sviluppatori, se risultasse un problema hanno comunque la possibilità di caricare il file a Microsoft per metterlo in whitelist. Inoltre una volta che l'hash di quell'eseguibile è stato visto su un numero consistente di host viene scansionato in cloud (caricato da qualcuno che ha Upload Sample abilitato) e considerato sicuro da SmartScreen che non mostra avvisi.
 

wesker1998

Utente Silver
17 Gennaio 2022
104
32
64
92
Ultima modifica:
Già testato, con gli zip che fa Windows non ha funzionato anche con la password, serve 7zip e al metodo di cifratura devi mettere AES256. Il fatto dell'hash poi sì in parte sono d'accordo, è sicuramente una mitigazione, che purtroppo interviene solo quando appunto l'exe è stato visto. Agli inizi di una pubblicazione c'è sempre lo stesso problema, la bassa reputazione che fa sembrare il tuo programma un virus -.-
Messaggio unito automaticamente:

"se risultasse un problema hanno comunque la possibilità di caricare il file a Microsoft per metterlo in whitelist" mitigazione accettabile, ma comunque uno step che si può risparmiare. Questi stanno fissati con la reputazione e i certificati, per me un prodotto della sicurezza deve basarsi sul behavior pattern dell'exe, non su queste *azzate
 
  • Mi piace
Reazioni: JunkCoder

JunkCoder

Moderatore
5 Giugno 2020
980
19
809
393
Ultima modifica:
Questi stanno fissati con la reputazione e i certificati, per me un prodotto della sicurezza deve basarsi sul behavior pattern dell'exe, non su queste *azzate
Su questo sono daccordo, ma almeno non è bloccante (vedi iOS e in certi casi macOS).

Anche se il mark of the web è presente sullo zip ed explorer chiama smartscreen ci sono altri modi per evitarlo senza usare software di terze parti (.rar, .7z ecc) come i file ISO, IMG e CAB. Senza contare tutti gli altri formati di scripting e trucchetti possibili, mi sono limitato ad archivi e immagini disco perché qua si parla di eseguibili PE. Basta che il default handler di quell'estensione non controlli esplicitamente l'ADS dello ZoneIdentifier del MotW sul contenitore padre per non invocare il popup di smartscreen.

PS: sul file zip stesso con explorer il MotW viene perso quando invece di doppio click usi tasto destro ed Estrai tutto.
 
  • Mi piace
Reazioni: wesker1998

wesker1998

Utente Silver
17 Gennaio 2022
104
32
64
92
Noi chiacchieriamo ma là fuori c'è gente che non sa nemmeno estrarre una zip,e quindi ci clicca direttamente sopra... E leggendo il popup di smart quittano tutto, e ti minacciano pure di andare a piangere alla pula postale... Non che gliene faccia una colpa per carità, c'è chi sa guidare un missile ma non sa cos'è la powershell giustamente, mi sembra giustissimo. Per questo ero infastidito, Microsoft vuole dare un falso senso di protezione agli utenti inesperti... Poi altri trucchi per aggirare l'ostacolo sfortunatamente nn li conosco, altrimenti li avrei menzionati nella guida... Grazie lo stesso junk.