То же самое и с остальными приложениями для которых есть правила.
То есть, получается ни Фаервол, ни Проактивка не проверяют целостность приложения, а только его путь?
Почему? COMODO вроде лучший, а такие маленькие ньюансы настораживают…
P.S. Фаервол работает в режиме пользовательской политики
Проактивная защита - Безопасный режим
Конфигурация - COMODO - Proactive Security
Но, судя по всему, настройки на данный тест никак не влияют, - исход тот же. P.P.S. смысл не в том что эта прога довернная, а в том что COMODO Firewall не проверяет изменились исполняемые файлы или нет.
Контроль за изменёнными компонентами - неотъемлимая часть защиты.
Проверяет. Изменившиеся программы (если их доверенный статус после этого установить невозможно) уходят в песочницу или блокируются (в зависимости от настроек), а файрвол реагирует на них соответсвующими алертами.
А что это за доверенный статус? То есть существует какая-то база данных, в которой записаны доверенные и недоверенные программы? Как так получается что leaktest определяется как опасный объект, а 2ip Firewall Tester - нет? Они ж вроде одну функцию выполняют?
То что проверяет системные файлы windows - не вопрос, я заметил при обновлении. Но с тем что проверяет остальные см пример выше. Спасибо за оперативный ответ.
Список доверенных поставщиков + пользовательский список доверенных файлов + список доверенных файлов в облаке.
Определяется чем, антивирусом? Сигнатурно или эвристически? Если сигнатурно, то это, конечно, вопрос к вирлабу, если эвристически, то всё вроде бы понятно, зависит от “внутренностей” ликтеста. Вообще, некоторые ликтесты, теоретически, могут использоваться злоумышленником в своих целях, а с этим тестом и использовать нечего, диалог, кнопка, никаких ноу-хау, всё с ведома пользователя, вполне безопасная программа…
Не совсем понял, где была речь про системные файлы. Вы заменили один доверенный файл другим доверенным, что здесь особенного? Имитация обновления любого браузера, например. Попробуйте заменить доверенный файл неизвестным, посмотрите, что выйдет.
Andeo, другие *Тестирование Firewall* не пробовали ?
Другие тесты пробовал, нормально всё, я удовлетворен.
Другие фаерволы тоже пробовал, этот тест [b]на предупреждение[/b] [u]изменения исполняемого файла[/u] проходят многие известные брэнды(и не важно доверенный он или нет).
для которых есть правила Разрешать исходящие для "связаться с нашим сервером";
да, именно.
ещё про "Переименовываем" вижу, а про "Перемещаем" - нет:
А я это сам придумал, а то "скучно" было ))
Список доверенных поставщиков + пользовательский список доверенных файлов + список доверенных файлов в облаке.
Ага, спасибо, с этим разобрались.
Определяется чем, антивирусом? Сигнатурно или эвристически?
Да, кстати он детектится только 10-ю из 43-х антивирусов, следовательно вредоносного кода там скорей всего нет, да и определяется он как Demo-LeakTest, HackerTool, Suspicious File. И лишь один антивирус обозвал его Trojan! )))
Вы заменили один доверенный файл другим доверенным, что здесь особенного?
Хорошо. Допустим хакер или сам вирус действует следующим образом:
подменяет последнюю версию IE на ту в которой есть известная ему уязвимость
подменяет обновленные файлы виндоус на те в которых есть уязвимости
далее используя уязвимости, делает свое дело… и отсылает информацию на свой сервер
Так получается что я об этом даже не узнаю? Ведь те “старые” файлы на которые будут заменены новые тоже из ряда доверенных. Ведь так?
Самый примитивный сценарий который пришёл в голову, но думаю, что и так ясно.
а также я не хитроумный Одиссей, чтобы лично за ради скуки перетаскивать деревянного коня-качалку, за ещё и проверенного при установке, что банды зловредов в брюхе у него нету, чтобы приложить его с разрешением исхода из Египта в его палестины (всё эт была шутка)...
Это самый простой пример. Я обычно пользуесь тем что проверил лично.
персональные фаеры зловредов не отлавливают
а мне кажется они для этого и создаются ))
[url=http://radikal.ru/F/i079.radikal.ru/1108/88/d3d5d1490097.png.html]
http://i079.radikal.ru/1108/88/d3d5d1490097t.jpg
[/url]
В данном случае для приложения Internet Explorer было создано правило на основе стандартных.
Однако же, ни что не мешает фаерволу удостоверится в том, действительно ли запускается та программа и те компоненты для которых были созданы правила. Иначе какой смысл создавать правила для приложений и в то же время абсолютно не контроллировать запуск этих самых приложений?
Если я создал правило для приложения, а через какое-то время оно вдруг изменилось без моего ведома, то это может означать два варианта - либо оно автоматически обновилось, что маловероятно, либо в него проник вирус. Так? А увидев предупреждение об этом, я смогу вовремя предпринять необходимые меры. В случае с COMODO firewall это предупреждение я увижу только в том случае, если оно будет заменено недоверенным, что немного настораживает.
А Хотелось бы увидеть хотя бы такое предупреждение:
Я ничуть не сомневаюсь в надежности COMODO firewall, но всё же что мешает её чуть-чуть повысить?
Наверное дело в том что, кто-то считает это ненужным?
Проверка доверенного статуса - это конечно хорошо, но думаю что в программе такого уровня контроль целостности приложений не будет лишним.
Чтобы поменять исполняемые файлы этот гипотетический “хакер/вирус” должен получить доверенный статус. И смысл этой операции теряется. Получить доверенный статус, чтобы попытаться провернуть всю эту аферу, чтобы попытаться получить доверенный статус? Так что этот сценарий не годится. Вообще, как справедливо заметил Tommy Vercetty , копья на эту тему ломались неоднократно и копий этих переломано достаточно много. И к какому-то определённому решению прийти пока не удалось. Поскольку бага здесь нет, так всё задумано. Изменившиеся файлы реально проверяются и действия к ним применяются те, которые заданы пользователем, вплоть до их блокировки. Добавить алерт? В том числе на замену доверенного доверенным? Тогда мы получим десятки таких алертов после очередного обновления чего-нибудь, т.е., в реальности, тысячи алертов на безопасное действие против одного на потенциально опасное. В конечном счёте пользователь перестанет обращать на них внимание…
Чтобы поменять исполняемые файлы этот гипотетический "хакер/вирус" должен получить доверенный статус
С этим всё ясно.
Но вот допустим, пользователь скачал программу, которой нет в доверенных, например известный Chromium 15.0... Запускает установку - видит предупреждение - программа не доверенная, игнорирует его, так как доверяет разработчику и всё-равно хочет попробовать. Но не все так просто. Программа совершенно случайным образом содержит в себе еще и вредоносный код, который в силу некоторых обстоятельств пока не определяется антивирусами.
Вирус действует следующим образом: при установке добаляет своё тело в автозапуск при загрузке Windows через “назначенные задания”, а по окончании установки просит перезагрузиться для завершения правильной установки. В процессе перезагрузки добавляет свой вредоносный код в исполняемые файлы браузеров которыми пользуется жертва.
Вопрос: каким образом после загрузки об этом узнает жертва? Ответ: после загрузки - никаким. Мораль: не всегда возможно предотвратить заражение, важно его потом обнаружить.
Проверка доверенного статуса - это конечно хорошо, но думаю что в программе такого уровня [b]контроль целостности приложений не будет лишним[/b].
Можете здесь почитать https://forums.comodo.com/10551086108810911089108910821080-russian/ethcurrenethdegethmicron%20ethsup2ethfrac34ethraquo-ethiquestn%20n%20ethordmethdegethmicron%20-ethsup2-n%20ethmicron%20n%20-ethcedilethmiddotethfrac14ethmicroethfrac12ethmicroethfrac12ethfrac12n%20n%20-ethiquestn%20ethfrac34ethsup3n%20ethdegethfrac14ethfrac14n%20-t70624.0.html
Благодарю, прочитал всю тему. Но понял, что так ни к чему и не пришли.
Вообще, как справедливо заметил Tommy Vercetty , копья на эту тему ломались неоднократно и копий этих переломано достаточно много. И к какому-то определённому решению прийти пока не удалось. Поскольку бага здесь нет, так всё задумано.
Andeo, не изобретайте Либо программа доверенная (в т.ч. по решению пользователя) и тогда мне абсолютно непонятно к чему нужна вся эта замысловатая схема, если она и так может сделать всё, что хочет, либо она недоверенная и никаких радикальных действий произвести не сможет.
Межсетевой экран сам по себе не панацея ото всех угроз для сети. В частности, он:
не защищает узлы сети от проникновения через «люки» (англ. back doors);
[b][u]не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;[/u][/b]
не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;</blockquote>
В общем-то да, но заметив в фаерволе подозрительную сетевую активность приложения, можно сделать соответствующие выводы. Таким образом были обнаружены многие вирусы.
Даже тут на форуме кто-то про это писал - что обнаружил как какая-то программа “забивает” всю сеть, отправил на проверку - оказалось троян.
Да, кстати:
Look 'n' Stop Firewall 2.07 provides key features to protect your computer against cyber threats.
[b][u]It prevents malicious programs from transmitting the data of your computer to hacker's computers[/u][/b].
Look 'n' Stop Firewall 2.07 also protects your computer from external intrusions
Они либо не читали ту статью, либо не знают что говорят.
а [b]для помощи[/b] в отлове прикручена Проактивная защита
так, а основная нагрузка лежит на firewall ;D
Но не будем отклоняться от предложенной темы.
Полностью согласен, что контроль целостности по контрольной сумме (MD5) нужен обязательно!
Допустим, пользователь скачал программу, которая по заявлению производителей (или по идее) не работает с сетью, не передаёт и не загружает из интернет никакой информации,
но для её правильной работы нужны привилегии (права). Исходя из требований программы пользователь в COMODO даёт ей эти привилегии.
Программа модифицирует компоненты работающие с интернет (системные dll, браузеры и прочее) и использует их для несанкционированной передачи информации через интернет.
А пользователь COMODO об этом даже не догадывается!
Сделайте хотя бы предупреждение, что “Приложение имеющее разрешение на интернет было модифицировано!.. Разрешить ему доступ?.. ДА/НЕТ и т.д.”.
Увидев это предупреждение пользователь сможет сделать вывод о непорядочности установленной программы, т.к. она себя скомпрометировала заявлением о том, что сеть не используется.
предупреждать об изменении исполняемых файлов приложений имеющих доступ в сеть.
Вы скажете зачем это нужно? А зачем нужен параноидальный режим проактивной защиты?
Вот вот, если звезды зажигают - значит это кому-то нужно.
Другой вопрос, который по ходу является решающим - а насколько это будет востребовано?
Я все же думаю, что это будет востребовано в определённых кругах пользователей.
Поэтому я за то, чтобы осуществлять проверку хотя бы тех приложений, на которые действуют предопределённые политики
или сделать вкладку- “выполнять проверку следующих приложений, имеющих доступ в сеть”.
Что в этом плохого?
…Смысл всего этого в том, что если в момент установки какой-либо программы фаервол и все остальные функции были временно отключены, что бывает часто, то при включении, фаервол обнаружит те изменённые доверенные exe’шники рвущиеся в сеть.
А если в функции программы(например, нового браузера) не входит обновление и изменение существующих файлов, то это сигнал к тому чтобы её отправить на проверку.
Дополнительная защита в виде отдельного пункта в меню никогда не помешает.
Другое дело она может быть и не нужна абсолютно всем, но тогда можно отключить её по умолчанию. Кому нужна включат.
В общем будем надеятся в следующих версиях вернут обратно хэш контроль, продукт достойный.
2) "Почему фаервол не уведомил меня о том, что программа была изменена и хочу ли я ее пустить в сеть?" - фаер не отслеживает изменение приложений.
Этот вопрос остаётся открытым, ведь и Проактивка и Sandbox тоже промолчали. См. первый пост.
3) Откуда Вы взяли, что фаер обязан отслеживать изменение приложений? Вариант "мне так хочется" понятен и логичен. Но откуда Вы взяли что это ЕГО работа, а не других подсистем?
[b]Ashampoo FireWall, Sygate Personal Firewall, McAfee desktop firewall, Online Armor, Outpost Firewall[/b]
Производители этих продуктов видимо думают иначе и такая элементарная защита включена в их продукты. [b]Вот откуда[/b].
ZoneAlarm, AVS Firewall, COMODO firewall - решили отличиться.
Если большинство фаерволов имеет в своем активе такую функцию, то почему бы не взять её на вооружение? Где здесь логика?
...Изменение dll - Проактивка. Доступ к новой dll - Проактивка. Появление новой dll - Проактивка. Это ЕЁ задачи.
Проактивная защита появилась относительно недавно, раньше эту функцию выполнял фаервол(Sygate, McAfee). Но я всё же согласен с этим утверждением. Однако у нас немного другое дело - контроль за доверенными приложениями, [b]которым разрешён доступ к сети[/b]. Это работа фаервола, ведь в нём созданы правила, ему и следить.
Всё настраиваемо. [b]Вы можете указать приложения, например по маске, которым изначально запретить или обязательно запрашивать разрешение. (в фаере)[/b]
Ещё раз говорю - по идее, проактивка должна реагировать на любые попытки "подмены" существующего безопасного приложения.
Где про эти настройки можно почитать?
P.S. они не подходят ввиду своей глючности, интерфейса и несовместимости с нужными мне программами.
И причем здесь дополнительные подсистемы? Все выделенные продукты являются фаерволами.
Что мешает этой “программе”, получив доверенный доступ, установить глобальный хук на все уже работающие приложения, не меняя файлов, добавить свои собственные библиотеки, скажем, в AppInit_DLLs, изменить приложения, не работающие с сетью “напрямую”? Где она, наконец, возьмёт приватный ключ MS, чтобы переподписать эти браузеры так, чтобы они после этого сохранили доверенный статус? Какой толк от предупреждения, что нечто в системе изменилось, если мы сами дали программе доверенный статус, когда стоял вопрос о том, что она собирается “что-то” в системе менять/ставить и т.п.? Что нам дадут сведения о том, что изменился, скажем, IE, если мы его запустим через несколько дней и не сможем установить, что его поменяла именно эта программа? Что мы будем делать после установки очередного сервиспака, когда увидим сотни таких алертов? Как мы найдём среди них “настоящий”?
Не сможет. Он не сможет, в общем случае, установить, что это именно эта программа что-то изменила. А запретить ей что-либо менять он вполне может при её установке, если имеются сомнения.
Почему именно приложений имеющих доступ в сеть? Почему не винлогона, user32.dll, dll-библиотек от мышки или тачпада? Почему не драйвера ndis.sys, например? Что нам даст в практическом плане “сохранность” файла iexplore.exe, если мы только что дали доступ некой программе ко всей системе и она имела возможность сделать всё, что хотела?
При отключенном защитном ПО вполне можно установить, скажем, TDSS. Который будет радостно пользоваться сетью не меняя эксплорер на старую версию…
Откуда именно вернут? И почему вернут обратно? Он и сейчас существует, в неизменном виде с третьей версии.
Если Вам так проще будет понять - воспринимайте Firewall и D+ как единое целое.
С этим всё в порядке.
...более детально для Вас:
Фаервол, в Комодовском исполнении, в настоящее время состоит из трех составляющих:
Я так и понял - это политика комодо.
Фаервол, [b]в Комодовском исполнении[/b], в настоящее время состоит из трех составляющих:
Программный фаервол(сетевой фильтр) который ФИЛЬТРУЕТ ВХОДЯЩИЕ И ИСХОДЯЩИЕ СЕТЕВЫЕ СОЕДИНЕНИЯ, в зависимости от созданных правил для приложений выходящим в сеть.
Проактивная защита “D+” (как чистый HIPS), которая ОТСЛЕЖИВАЕТ КРИТИЧЕСКИЕ ИЗМЕНЕНИЯ защищённых системных файлов, реестра и приложений, согласно созданных ограничений и правил.
Песочница(Sandbox) проверяет НЕОПОЗНАННЫЕ файлы в виртуальной, изолированной среде на поведение.
Отлично, тогда хотелось бы очень сильно попросить разработчиков усовершенствовать Контроль компонентов в Проактивной защите.
Готов помочь в этом непростом деле чем смогу.
Прочитав два схожих топика так и не понял. Как мне при изменении приложения, которуму был разрешён выход в сеть, комодо сообщал, что изменённое приложение лезет в сеть. Фаервол и проактивная защита включены. Хэш-контроль я так понял не убирали, а возложили эту функцию на проактивную защиту, но она не реагирует на изменение. Как её настроить?
Вообще, как справедливо заметил 
