После прискорбной новости о кончине файрвола Outpost решил переходить на Comodo, но к сожалению, комодо не даёт такой безопасности системы, как это делает Outpost, приведу несколько пунктов:
Нету контроля за изменением исполняемых файлов. Самый опасный момент. Подменив любой .exe для которого уже созданы разрешающие правила, они будут актуальны и для измененного файла, коим может оказаться вирус, и получить беспрепятственный доступ в интернет. Например.
Нету контроля за оперативной памятью. Да, я понимаю, что в HIPS как-бы этот момент присутствует, в возможностях проактивной защиты, но по факту - не работает. Чревато тем, что вирус может украсть данные из оперативной памяти какого-нибудь защищенного приложения, например - менеджера паролей, которые все уязвимы в момент работы. Проверить данный факт можно воспользовавшись известной утилитой WinHex, жмем в ней Alt+F9 и беспрепятственно получаем доступ к участкам памяти любого приложения (забавно, что самого комодо в списке нету), HIPS защита даже и не пикнет. (В outpost напомню сразу будет детект). За несколько дней тестирования Comodo я перепробовал абсолютно все опции, все детальные настройки правил для приложений, да и тупо запрещал winhex доступ к чужой памяти в правилах для приложений - не работает ни в какую.
Парольная защита, она не распространяется на всплывающие окна комодо, где нужно выбрать действие разрешить\запретить. Вот тут я не могу с точностью сказать, насколько это несекурно, вероятно в Comodo и есть защита от несанкционированного выбора действия не пользователем, но вполне возможно, вирусы без проблем могут и сами нажимать на эти кнопки вместо пользователя, а предотвратить это нельзя, так как пароля на подобные действия поставить невозможно.
К сожалению, пришлось вернуться на outpost, хотя comodo очень понравился, и интерфейсом, и детальным пояснением какое приложение что хочет сделать, и примерно для чего. Всё это потрясающе, но есть многие недоработки, о которых я сообщил выше, буду рад услышать ваши мнения по данному поводу, а если получится донести эти моменты до разработчиков, и они смогут устранить эти досадные недочеты, то будет вообще красота.
Благодарю за внимание.
Есть такая особенность. Решение: не создавать правила. Все приложения, проходящие проверку, будут работать беспрепятственно, неопознанные - будут блокироваться (или будет запрос, в зависимости от настроек). Данный вариант работает при установке “Безопасный режим HIPS”.
По остальным пунктам не скажу, разве что по п3: не пользоваться интерактивным режимом.
Будет запрос - правило создастся всё равно. А дальше уже обычный сценарий.
Неопознанные - будут блокироваться. А если мне нужна работа этих неопознанных? Но в тоже время я хочу знать, не хочет ли “неопознанное” например почитать файлы с паролями от браузеров, и заодно отправить их по какому адресу. HIPS для этого и есть, чтобы палить попытки вторжения, а не блочить всё что не попадя без разрешения.
Кстати, сделать в опциях HIPS настоящий контроль важных файлов (не только на попытку изменить файл, а ещё и на попытку получить к нему доступа, прочитать) это конечно из разряда мечтаний, но всё равно озвучу к слову.
К сожалению для меня, да и для очень многих людей, очень важно контролировать, что, и куда лезет, к каким ресурсам хочет получить информацию, для чего, и так далее.
А предложенный вами вариант по сути ничем не отличается от, например проверки .exe файла вирусототалом и на этом основании доверять файлу как своему родному. Но это не защита, а лишь видимость защищенности.
Будет запрос - правило создастся всё равно. А дальше уже обычный сценарий.
Правило создастся только при установленном флажке в запросе и/или установленном флажке в настройках "Создавать правила для безопасных приложений".
Неопознанные - будут блокироваться. А если мне нужна работа этих неопознанных?
Ничто не мешает запускать их в песочнице вручную.
К сожалению для меня, да и для очень многих людей, очень важно контролировать, что, и куда лезет, к каким ресурсам хочет получить информацию, для чего, и так далее.
Смысл? Для повышения ЧСВ? Либо ты контролируешь все сам, тогда никакие защитные программы не нужны, либо перекладываешь контроль на эти программы, но тогда сам уже ничего, по сути, не контролируешь.
Давно не отписывался на этом форуме. Прочитав топик я не увидел ни одного примера настроек. И о версии комодо можно только догадываться. Возможно я уже забыл правила оформления топиков, но по моему мнению без этого разговор ни о чем.
Желание топикстартера “контролировать, что, и куда лезет, к каким ресурсам хочет получить информацию” мне понятно. Сам такой. Могу отметить только следующие общие вещи.
Я с комодо живу еще с версии 2.х. По мере развития продукта добавлялись новые фичи, но оставалась возможность настроить на “контролировать все”. Возможностью настроить на “контролировать все”, по моему мнению, еще обладал CIS 5.12.xxx. Далее развитие продукта не совсем соответствовало моим чаяниям.
Мне тоже не нравятся последние версии CIS. Однако если я захочу поставить CIS на Windows 10, то какие у меня могут быть варианты?
Думаю что для “контролировать все” наиболее подходящий вариант это CIS 5.12.xxx на Windows 7.
Видимо нужно просто внимательно прочитать справку. Очевидно (причем абсолютно очевидно) волнующие Вас вопросы там есть. Но поскольку Вы таким образом повернули всё, читайте её с самого начала. Моё мнение по поводу
, полное заблуждение с вашей стороны. Тут уже как только не извращались на форуме по этому поводу. Поверьте: это Вам так кажется.
Кроме того Вам правильно подметили, больше информативности с Вашей стороны не помешало бы. А зловредные разработки и правда прекрасно себя чувствуют в песочнице.
И Viruscope можно включить для всех приложений, а не только для песочницы. Вы почитайте, почитайте. Не всё так плохо как Вы описали.
И вообще не мешало бы Вам немного расширить свой кругозор. Очевидно о контрольных суммах файлов и то как их сравнивают и зачем, Вы даже не слыхали.
Ну хотя бы вот так как то: http://www.comss.ru/page.php?id=1833
Читать абзац Поведенческий анализ. И обратите внимание на версию в описании 7. А сейчас какая?
Отнюдь, почитай сообщения и баг-репорты kibinimatik’а.
Свежий пример от меня: есть приложение, периодически обновляемое. Сегодня закинул новую версию и… оно беспрепятственно запустилось. В списке процессов отмечено, как неизвестное. Настройки HIPS - неизвестные блокировать.
Версия Комода последняя, 8.2.0.5005.
Не совсем так. Правильнее сказать, что правила хипса и фаервола (и еще некоторые) идентифицируют программы по их путям. Но:
Во-первых, как уже предложил Xeno, правила в «Безопасном режиме» можно вообще не задавать. В результате запуск и активность программ с репутацией «неопознанных» будет контролироваться хипсом. Репутация проверяется по содержимому, т.е. по хешу, а не по расположению (с оговоркой на некоторые баги).
Важное предостережение, касающееся всех случаев: следует избегать режима хипс «Чистый ПК», а также опции «Создавать правила для безопасных приложений» (что в хипсе, что в фаерволе).
Во-вторых, можно включить Auto-Sandbox с правилами а-ля Proactive Security. Результат — неопознанные программы будут виртуализироваться или блокироваться. Даже если они стали на место доверенных (с оговоркой на баги). Даже если для них есть разрешающие правила хипса/фаервола.
Нету контроля за оперативной памятью. Да, я понимаю, что в HIPS как-бы этот момент присутствует, в возможностях проактивной защиты, но по факту - не работает. Чревато тем, что вирус может украсть данные из оперативной памяти какого-нибудь защищенного приложения, например - менеджера паролей, которые все уязвимы в момент работы. Проверить данный факт можно воспользовавшись известной утилитой WinHex, жмем в ней Alt+F9 и беспрепятственно получаем доступ к участкам памяти любого приложения (забавно, что самого комодо в списке нету), HIPS защита даже и не пикнет.
О-ла-ла. Я не знал об этом. Спасибо.
Раньше я предлагал [url=http://kibinimatik.blogspot.com/p/08.html#proact-antileak-complex-apps-memory]блокировать доступ к памяти браузеров и т.п. всем программам[/url] (в т.ч. доверенным); проверял эту защиту на возможность снять дамп... Но не WinHex'ом.
Особенно шокировала возможность WinHex'а читать чужую память, даже будучи запущенным в песочнице — что в комодовской, что в [i]Sandboxie[/i].
Вопрос ко всем — как это могло произойти? Это какой-то особый метод чтения памяти или комодовская лажа?
Как с этим бороться?
Варианты:
Если хочется контролировать каждый чих любой программы — включаем «Параноидальный режим».
Если хочется еще и защититься от подмены доверенного файла неопознанным — включаем Auto-Sandbox с правилами а-ля Proactive Security.
Если хочется использовать какую-то неопознанную программу —
или используем ее в песочнице;
или исключаем ее из Auto-Sandbox (игнорирующее правило для пути или хеша);
или делаем ее доверенной.
Одна оговорка: параноидальный режим не контролирует доверенные установщики
Если хочется контролировать хипсом только неопознанные программы — оставляем «Безопасный режим».
Это не значит, что доверенным программам будет можно все — жесткие запреты хипса, наложенные на группу «Все приложения», будут действовать независимо от репутации. Такова логика работы HIPS.
Например, можно защитить свои данные даже на случай, если какой-нибудь шифровальщик окажется доверенным. Но оповещений не будет — только жесткая блокировка.
Оповещения будут только на другие операции и только для неопознанных программ.
Если нужна дополнительная защита от подмены этих неопознанных программ — используем Auto-Sandbox.
а ещё и на попытку получить к нему доступа, прочитать
Для каталогов есть такая защита: [url=http://kibinimatik.blogspot.com/p/06.html#proactive-options-read-protect]Папки с защищенными данными[/url]. Попытка открыть их квалифицируется как «доступ к диску». Но если разрешить — программе будет открыт доступ одновременно ко всем «папкам с защищенными данными»
Не согласен. Версии 5.12 и 8.2 не так уж сильно отличаются в имитации «полного контроля».
Смогут ли сами любители старых версий назвать эти различия?
К тому же сейчас комодовцы начали, наконец, закрывать уязвимости. А версия 5.12 даже защиты ASLR не имела.
Очевидно о контрольных суммах файлов и то как их сравнивают и зачем, Вы даже не слыхали.
Это вы [url=http://kibinimatik.blogspot.com/2016/02/comodo-32-32.html]кое о чем не слыхали[/url].
И все это с давних времен, когда трава была зеленее, возможности контроля полнее и т.д.
А сейчас какая?
Кстати, да, версия 8.2.0.5005 как раз знаменуется прикрытием вышеупомянутой дыры. Но дойдет ли дело до полноценного ее устранения, я сильно сомневаюсь.
Последние мои баг-репорты не публичные
Свежий пример от меня: есть приложение, периодически обновляемое. Сегодня закинул новую версию и... оно беспрепятственно запустилось. В списке процессов отмечено, как неизвестное. Настройки HIPS - неизвестные блокировать.
Версия Комода последняя, 8.2.0.5005.
Могу, но сомневаюсь, что у тебя получится тот же эффект, после перезагрузки системы все встало на свои места, запуск файла стал блокироваться . Это плавающий баг, о к-ром упоминал ранее. По моему скромному мнению он связан с кривой обработкой данных в базе sqlite. Баг проявляется случайным образом, на 3-х разных системах, где пользуюсь своими програмками, поэтому местные глюки Комода на конкретной системе можно исключить.
Полностью согласен именно с этой частью Вашего поста. А то многие тупят, мол зачем обновлять или переходить на новые версии. Очевидно не все читают список пофиксенных проблем у новых релизов. Address space layout randomization Метод обхода ASLR
