Discussione Norton Internet Security - Un AV disastroso

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Ultima modifica:
Spoiler alert: non comprate

Quest'oggi farò una breve ma precisa recensione di Norton Internet Security, un noto AV che offre massima sicurezza, così tanta che non puoi più usare Internet.
Quello che sembrerebbe uno scherzo, si rivela realtà nel momento in cui si visitano le pagine degli annunci di Amazon, eBay o altri siti di shopping, che l'AV reputa piene di "ADS malevoli", bloccando la visualizzazione dell'intera pagina tramite una VPN inclusa nell'installer. Questa VPN ha inoltre causato severi rallentamenti nel caricamento di altre pagine, specialmente quelle "sovraccariche" di immagini e istruzioni javascript, comuni in tutti i siti web.

Pro dell'AV? Il mio arsenale di malware evasivi non ha funzionato, incredibile ma vero. L'unico modo per bypassare quest'AV è di firmare il malware con DigiCert, e si accorge anche se la firma è spoofata. Dev'essere un certificato valido, che costa circa 300€. Ottima sinergia con AMSI.dll, che non mi ha permesso di sfruttare neppure Powershell. L'AV oltre a supportare Windows nel processo di validation delle firme, avverte l'end-user di ogni connessione in uscita (anche benigna) rendendo praticamente impossibile l'esecuzione di malware.

Vale la pena spendere 300€ solo per dimostrare a Symantec che si può fare lateral movement acquistando un cert per firmare l'app?
Decisamente no.

Vale la pena sviluppare exploit che corrompano un EDR system così aggressivo?
Avvertire l'end-user di ogni connessione in entrata/uscita (proveniente da qualsiasi fonte che non sia Chrome, Firefox o Edge), anche se benigna, è davvero seccante e fa venire voglia di disinstallare tutto. Ma devo essere onesto: rende il device inattaccabile. Per una challenge nel termpo libero, mettersi a fare gli exploit per Symantec EDR è un ottimo passatempo.

Vale la pena comprare un AV che impedisce la corretta navigazione in Internet?
Se si ha la pazienza di impostare le eccezioni ogni volta che si visita un sito nuovo va bene, ma credo proprio che non vada a nessuno.

Ci tengo a precisare, infine, che quest'AV è accessibile esclusivamente a pagamento. Symantec mette a disposizione dell'end-user un periodo di prova di 30 giorni, al termine dei quali è obbligatorio l'acquisto, ma sinceramente almeno a mio parere: l'aggressività non è ciò che rende valido un AV. L'aggressività non fa bene né alle persone, né tantomeno ai programmi software.

Voto 2/10
 
  • Grazie
Reazioni: TheWorm91
Stato
Discussione chiusa ad ulteriori risposte.