Новые траблы третьей последней версии 3.0.25.378

Новые глюки, траблы и баги новой версии.

1. Один из самых последних и подтвержденных моими коллегами и друзьями траблов - самопроизвольное исчезновение данных о списке созданных пользователем зон в опции My Network Zones после перезагрузки компьютера.

Решение: завершение работы брандмаэура сразу же после создания списка зон с повторным запуском (после внесения данных нажимаем Exit в контекстном меню трея, затем повторно осуществляем запуск программы). Данные сохраняються.

(СПАСИБО trva)

2)Исчезновение значка SafeSurf в трее.

3)Невозможность нормального экспорта/импорта конфигурации брандмауэра. Появляется сообщение о недостаточности прав для выполнения операции.
(Интересно, что в окне, предлагающем сохранить/загрузить конфигурацию, отсутствует расширение “будущего” файла)
Решение: завершение работы брандмаэура и перезапуск от имени администратора.

4)Появление алертов для ранее прописанных правил.

5. Невозможно осуществить переименование правила для приложения. Имя правила сохраняется только после его создания.

Серьезные вещи:

1. Обнаружена возможность завершение работы брандмауэра при отключенном Defens+ любым terminate-приложением. Вполне серьезное упущение или недоработка. (Возможно такова концепция защиты)

2. Входящие бесконтрольные соединения класса windows operationgs system создают угрозу безопасности системы.
   Решение: запрет в глобальных правилах данного типа активности.
   Или такой способ: firewall>define a new blocked application>select>running processes> ВЫБИРАЕМ windows operationgs system. ЗАФИКСЕНО. Изучаем логи.

Интересные особенности:

1. Программа стартует с ограниченными правами в системе, что возможно и приводит к различным проблемам. Однако автоматический запланированный запуск брандмауэра с правами администратора приводит к отказу приложения в работе. После перезагрузки системы приложение и его служба не запускается.
   (Эксперимент: отмечаем галочкой C:\Program Files\COMODO\Firewall\cfp.exe “уровень прав” - “запускать от имени администратора”)
   Возможно такова концепция функционирования.

Да, защита завязана на D+ и при установке косвенно об этом предупреждают. Попробуйте переключить D+ в тренинг мод и выгрузить процесс.

2. Входящие бесконтрольные соединения класса windows operationgs system создают угрозу безопасности системы.
   [/quote]
   Каким образом? Что может сделать атакующий в такой ситуации?

Если изучать входящие сетевые атаки, то известно, что под таким классом активности могут маскироваться черви и массово распространяемые вирусы в сети. Именно они являются основной угрозой в ЛОКАЛЬНОЙ сети, проходя посредством таких соединений как Windows operating system. Фаерволл атаку не обнаружит, так как ее как таковой и нет, если рассматривать обнаружение пакетной атаки.

Кроме, того, изучая логи этой активности, можно увидеть зараженные машины в локалке, посылающие весьма странные пакеты вида:

Windows operating system {адрес отправителя} {адрес получателя - моя машина} порт 54370
Windows operating system {адрес отправителя} {адрес получателя - чужая машина} порт 54370
Windows operating system {адрес отправителя} {адрес получателя - моя машина} порт 67910
Windows operating system {адрес отправителя} {адрес получателя - чужая машина} порт 67910

Очевидно, что данные порты никогда не используются в моей системе и чаще всего являются троянскими или малварными.
Изучите логи этой активности и вы увидите эти адреса некоторых машин, отравляющие как транзитные, так и направленные пакеты этого класса, содержащие номера троянских и опасных портов.
Беспокоиться не стоит, если брандмауэр находиться в стелс-режиме, так как порты будут закрыты. Однако, если атаки будут производиться на порты специализированных программ и служб пользователя, то данный процесс получит доступ.

Зараженные машины в локальной сети производят пересылку зараженных пакетов через реализацию данной активности класса SYSTEM или WOS

Данные соединения могут содержать различные уязвимости в операционной системе которые могут использовать черви и эксплойты.
Мы все знаем, что такое Microsoft…

Подобная активность является ПОТЕНЦИАЛЬНО ОПАСНОЙ

Беспокоиться не стоит, если брандмауэр находиться в стелс-режиме, так как порты будут закрыты. Однако, если атаки будут производиться на порты специализированных программ и служб пользователя, то данный процесс получит доступ.

Если Вы называете стелс-режимом установленное глобальное правило на все вход. запросы запрет, то каким образом закроете порты открытые системой? Требуемое для работы система сама их откроет. А вам известно что некоторые фаерволы даже если запретить весь ICMP(что бывает некоторым пользователям неудобно) все равно пропускают такой трафик? Беспокоится не стоит? Дальше.

Если изучать входящие сетевые атаки, то известно, что под таким классом активности могут маскироваться черви и массово распространяемые вирусы в сети. Именно они являются основной угрозой в ЛОКАЛЬНОЙ сети, проходя посредством таких соединений как Windows operating system. Фаерволл атаку не обнаружит, так как ее как таковой и нет, если рассматривать обнаружение пакетной атаки.

Такие типы угроз предотвращаются своевременными установками заплат. К тому-же для червя крайне важно нужная конфигурация на системе-жертве и если будет хоть малейшее отклонение-атака не удастся. Просто не сработает. Речь не идет о програмисте, который захотел взломать целевую систему, ему хорошо известную.

Данные соединения могут содержать различные уязвимости в операционной системе которые могут использовать черви и эксплойты.

Вы это серьезно? При любой попытке червь поймается проактивкой! Даже при настройке по дефолту. Хотябы потому что все процессы проверяются по контрольным суммам. А для эксплойта требуется ЗНАТЬ точную версию процесса и билд операционки. Что не позволит фаервол так-же с настройками по дефолту.

А вообще персональный фаервол должен защищать свою систему и не должно играть роли в его надежности колличество отравленных машин в сети.

Я не говорил такого. Прощу вас читать внимательнее.

Для справки:
Стелс-режим предполагает блокировку всех незапрошенных обращений к потрам и к реализации глобальных правил не имеет никакого отношения.

Если вас интересует этот режим, то объясню вам, как включить этот режим в комодо: Stealth Ports Wizard>Block all incoming connections

П.С. Не понимайте буквально “закрытые порты” системой, я имел ввиду “прикрытые” брандмауэром.

1)Изучите распространение ARP червей в нете. Проактивная защита не спасет.

2)Многие процессы невозможно идентифицировать по контрольной сумме. Например процесс SYSTEM, который является частью архитектуры ядра и защищен так, что даже брандмауэр не может полностью получить доступ к нему, а тем более перехватывать его.

Рекомендую скачать нехитрую утилиту Process Explorer v11.21 и посмотреть, какие соединения открывают эти процессы в обход любых брандмауэров.

http://download.sysinternals.com/Files/ProcessExplorer.zip

Например, замечено, что System Idle process открывает различные соединения на удаленные адреса майкрософт и шпионит за системами пользователей (Даже в режиме брандмауэра Block All Mode!)
А ведь этот процесс холостого хода системы, выступающий “посредником” различных легитимных соединений, может служить источником не доверенных пользователем соединений которые невозможно контролировать (ПОТЕНЦИАЛЬНО ОПАСНОСТЬ) Брандмауэр здесь не станет преградой.

Причем брандмауэр не всегда отслеживает такую активность и не всегда регистрирует ее. Потому что не всегда видит. Здесь этим грешат многие брандмауэры.
В ряде случаев можно увидеть установленные или инициированные этим процессом соединения, которые не фиксируются файрволлом. (Слава богу их меньшинство)

Все дело в том, что эти процессы являются самыми приоритетными в системе и представляют собой, как я уже говорил часть архитектуры ядра.
Их очень трудно ограничить, если не сказать что почти невозможно. Именно поэтому лучше их активность ограничить любыми ВОЗМОЖНЫМИ способами.

Эти процессы обладают почти неограниченными правами в системе и ни дай бог, если пользователь поймает серьезный вирус или руткит, использующий эти возможности. Тогда брандмауэр кажеться практически бесполезным.

Заплатки не имеют отношения к данной теме. (:WIN) Хотя вы безусловно правы. По поводу эксплойтов с вами соглашусь - верно. они носят исключительный характер целевой системы.

Но подняты мною контекст темы не в этом.
Я здесь говорю о потенциальных уязвимостях. (:WIN)

А вот как раз такую защиту он и должен обеспечивать. Зараженные машины локальной сети - весьма неприятная вещь, которая может приобрести характер эпидемии.

Внутренние атаки не менее опасны чем внешние, особенно если админы ленивые))

К сожалению у Вас слишком много текста,не относящегося к проблеме. К тому-же Вы не отвечаете а уводите в тупик диалог. В ответ на Ваши советы использовать Process Explorer могу посоветовать почитайте http://security-advisory.virusinfo.info/ будет полезно.

А вот как раз такую защиту он и должен обеспечивать. Зараженные машины локальной сети - весьма неприятная вещь, которая может приобрести характер эпидемии.

Повторяю, фаервол должен защищать свою систему и колличество зараженных машин в сети НЕ ДОЛЖНО ВЛИЯТЬ НА НАДЕЖНОСТЬ ЕГО РАБОТЫ. Думаю. теперь фраза понятна.

Например, замечено, что System Idle process открывает различные соединения на удаленные адреса майкрософт и шпионит за системами пользователей (Даже в режиме брандмауэра Block All Mode!)

Кем замечено? Когда? На этом форуме этот вопрос про бету-трешку уже обсуждался. Замечено это было экспертом под ником [b]p2u[/b] и опубликовано это на форуме каспера и вирусинфо. А по поводу адресов майкрософта-дайте ссылку. Иначе все голословно.

)Изучите распространение ARP червей в нете. Проактивная защита не спасет.

Спасибо за совет но это,извините, бред! (Цитирую Вашу фразу :) ) А если серьезно, я с Вами в корне не согласен. Для такого и делают фаерволы со встроенными элементами HIPS, либо ссылку в студию по конкретному такому случаю. Иначе я расцениваю как обычный флуд.

Для справки: Стелс-режим предполагает блокировку всех незапрошенных обращений к потрам и к реализации глобальных правил не имеет никакого отношения.

А теперь прошу ответить конкретно и [b]коротко[/b] на вопрос: посредством/на основании чего осуществляется блокировка всех незапрошенных обращений к портам?

Хотелось бы обсудить по каждой Вашей фразе но это будет уже оффтопиком.

Вы заблуждаетесь.

Да не беспокоитесь вы. Я вас правильно понял :SMLR

Ого какие вы)) Вы относитесь к группе модераторов?

Разумеется, я обязательно отвечу на все ваши вопросы, если вы так настаиваете.

П.С. Я расцениваю ваши действия как флейм. (:WIN)

Вопрос некорректен. :SMLR
На “основании чего” “посредством”. (на основании стандартной опции))

Попробую сформулировать точнее.

Stealth режим предполагает, что файрволл не отвечает на обращения (запросы) к портам и не выдает в сеть стандартного сообщения “порт закрыт”. Пакеты запросов просто отбрасываются. Это создает условия, при которых машина “не видима” в сети.

Понятно? (:TNG)

Вот видите, все сходиться и подтверждается. (:WAV)

Думайте что пишите))

Специально для barsukR

Вы вынуждаете меня тратить свое время на ликвидацию вашего сетевого ликбеза. Ваше настойчивое желание будет удовлетворено, несмотря на выразительное хамство и флейм в мой адрес. И хотя мы беседуем с вами на разных языках, мне кажется, что вы человек адекватный.

Итак, по поводу низкоуровневых червей.

ARP-черви распространяются в результате недостатков реализации ARP-протокола. Этот протокол является низкоуровневым. Вот краткое описание протокола.
http://ru.wikipedia.org/wiki/ARP

Многие брандмауэры идентифицируют сетевых червей по сигнатурам, изучая структуру СЕТЕВОГО ПАКЕТА (!), что представляет собой автономный класс пакетных атак на хосты. Системы HIPS не могут идентифицировать таких сетевых червей, так как изучают активность приложений а не приходящих пакетов (!).

И поэтому проактивка может выявить лишь заражение файлов и фрагментов памяти, в то время как сетевые зараженные пакеты могут проникнуть в систему и вывести ее из строя. Единственный барьер – IDS (По простому детектор атак, профессионально – система обнаружения вторжений), которая должна в идеале выявлять такие пакеты и блокировать их. Однако на практике это не всегда удается.

Именно ARP черви выводят из строя системы и создают DoS атаки внутри локальной сети, вызывая эпидемии.
Они наводняют своими сетевыми пакетами локальную сеть и распространяют различные атаки на хосты, пытаясь заразить их (Реализуют специально сформированные, “кривые” пакеты данных под стеки протоколов Windows).

Персональные брандмауэры не всегда останавливают действия червей, особенно ранее неизвестных.
Персональный межсетевой экран, благодаря набору правил фильтрации пакетов (PFW) может уменьшить, но не ликвидировать риск того, что компьютер подвергнется нападению из локальной сети. Путем блокирования доступа к портам, IP-адресам, сетевым протоколам и службам PFW-технология может предотвращать только небольшое число хорошо известных атак (SYNFlood, IPSpoofing, Ping of Death, WinNuke и т.д.).
Несмотря на свои бесспорные достоинства, технологии межсетевого экранирования не справляются с новыми, постоянно развивающимися угрозами, примерами реализации которых можно назвать ранее известные и масштабные атаки типа: Nimda, Code Red, Slammer и т.д.

Новые черви могут нести технологии новейших ПАКЕТНЫХ вторжений на основе выявленных ошибок реализации протоколов.

Вот вам старейший пример простейшего заражения компьютера через NetBIOS соединения. http://www.securitylab.ru/analytics/216387.php (грех не знать что данная активность относиться к WOS уровню)

(Представляете у скольких наивных пользователей с древним виндовс. внутрь системы до сих проходят пакеты WOS на 445 порт? Тут уже речь идет о кривых руках к радости “кульхацкеров” в локалке, до сих пор использующих эту уязвимость! Зачем им вообще супер современные брандмауэры, если они не настраивают их правильно)

Но, не будем отвлекаться…

Пакеты сетевых червей представляют собой низкоуровневую активность класса WOS, которую необходимо контролировать и ограничивать, так как ошибки в реализации стеков протоколов операционной системы ПОТЕНЦИАЛЬНО опасны всегда, так как содержит широкое поле деятельности для опасного проникновения.

Ограничивая WOS, т. е создавая для нее правила, вы тем самым закрываете огромную дыру в WINDOWS, кардинально спасаете IDS фаерволла от ненужного анализа этого трафика и к тому же экономите системные ресурсы компьютера (Пакеты по правилу просто блокируются и не исследуются)

Теперь о ежиках.

SIP процесс соединяется с адресами Майкрософт при активном брандмауэре. Замеченная сетевая активность этого защищенного процесса, зафиксированная знакомыми:

http://www.securitylab.ru/forum/forum18/topic41392/messages/#message331767

С помощью Process Explorer (от имени администратора) можно выявить эту активность. Попробуйте понаблюдать за процессом в разных режимах брандмауэра. (SIP>process properties>TCP\IP)

http://security-advisory.virusinfo.info/

Децкий лепет))

---

А вот на Process Explorer последней, 11-й версии (!) вы зря грешите - это действительно хорошая и продуманная утилита.
(:WIN)

Во первых Вам бы не мешало точно указывать мой ник. Во ввторых я не просил мне публиковать выдержки из гугловых и википеди-справок. Вы тратите свое время и трафик. Я не имею никакого желания тратить свое время на Ваши безпочвенные слова. Подкрепите конкретным случаем и если это так-я с Вами соглашусь. Все остальное-мысли и мечтания вслух.

Я не отношусь к группе модераторов поэтому просто расцениваю перлы, уводящие в сторону как троллизм. Отсюда и нежелание диалога. Повторю: не хотите обсуждать-не настаиваю. Я тоже не буду отвечать. Только ответ типа: “Децкий лепет” в высшей степени не серьезен. Это не от взрослого человека.

Что касается моего вопроса-я уверен что Вы все прекрасно поняли. Можете оставить словосочетание: “на основании чего”.

Ваши трогательные подсказки про то, как что включается в comodo, мне нравятся. Ценю юмор.

Еще вопрос: В чем по Вашему разница между HIPS и IDS? И к какому Вы присоединяете D+? Только не надо гугла, не стесняйтесь своими словами.

ps Предлагаю продолжить в ЛС. Хочу точно сформулировать несогласие с Вашей фразой

2) Входящие бесконтрольные соединения класса windows operationgs system создают угрозу безопасности системы.

Уточняю,я понял что имеется ввиду систему,на которой установлен comodo. Так?

Это что то вроде экзамена? Забавно.

Я проконсультирую вас, если вы так настаиваете:

Хипс - система анализа и контроля активности приложений. Задача хипс состоит в отражении внутренних локальных угроз на системе (Сбои, глюки, повышение привилегий, вирусная активность, борьба с руткитами и т.п.)

ИДС - система распознавания вторжений (Сюда входит пакетный анализ, детектор атак)

Поскольку вы не любите читать авторский текст то я скажу проще:

Основное отличие состоит в том что первое - контроль внутренних процессов, а второе отражение атак на систему.

D+ я присоединяю к хипс.

Вы только и делаете что обвиняете меня в чем то. (:SAD)

Вы все время заставляете меня давать аргументы, которые я могу здесь и не приводить, провоцируете, обвиняете в непрофессионализме (с какой стати?).

Я умолчу, и не стану говорить какое у меня сложилось впечатление о вашем профессионализме, ибо я вежлив и не стану разбирать ваши эмоции и цепляться к вашим словам.

Я привел вам свои выкладки об основах сетевой безопасности и вы уже вынесли вердикт о моей некомпетентности. Не слишком ли самонадеянно?
Я полагаю, что достаточно полно ответил на ваши вопросы.

Жаль что вам всетаки удалось испортить мою тему своим оффтопом. :THNKПризнаю, вы были настойчивы. Правда мне непонятны причины вашего упорства. Что вам от меня надо?

---

Постарайтесь впредь самостоятельно искать ответы на свои вопросы и не отнимать мое время. Тем более научитесь вести диалог профессионально и адекватно.

---

П.С. У вас какие то проблемы личного характера? Прекратите преследование и флейм и не будете получать того что заслужили. (:WAV)

П.П.С. Желание продолжить в личке делается по собственному усмотрению и не выставляется на обозрение. Если хотите - тогда пишите и не спрашивайте.