Novos Resultados Proactive Security Challenge 64 (matousec)

jhkmaster_b · May 12, 2014, 5:02am

Proactive Security Challenge 64

Novos resultados foram publicados para:

• AVG Internet Security 2014.0.4577
• BullGuard Internet Security 2014 14.0.279.6
• Comodo Internet Security Premium 7.0.317799.4142
• ZoneAlarm Free Antivirus + Firewall 13.1.211.000

Comodo Internet Security 7 terminou com a mesma pontuação como previamente testado a versão 6. Ele mantém com segurança o seu primeiro lugar no Proactive Security Challenge 64 com 97%, muito à frente do segundo Outpost Security Suite Pro com 90%.

ZoneAlarm Free Antivirus + Firewall versão 13 também se manteve com a mesma pontuação do teste anterior - 34%.

Confira os resultados: http://www.matousec.com/projects/proactive-security-challenge-64/results.php

liosant · May 12, 2014, 5:55am

Problemas que vejo a pelos menos cinco versões (existe um intervalo onde o comodo se saiu bem):

Permissão de executáveis poderem acessar a pasta e arquivos do comodo principalmente por arquivos não instaláveis (portables) sem que haja um único alerta;
Alguns tipos de programas quando extraídos de um instalador e executados, são capazes de passar pela sandbox e HIPS;
Bloqueador de comportamento falha quando você executa alguns tipos de keyloggers e screenloggers, mas deve existir outros malwares capazes de passar batido;
Qualquer leaktest de firewall executados totalmente virtualizado ou com o HIPS desativado, o firewall não dará “sinal de vida”;

Pra concluir. Quando afirmo que houve um períodos em que o CIS conseguiu pontuação máxima, não falhava contra software portáveis, a sandbox quando configurada para tratar arquivos desconhecidos como: não confiáveis bloqueava captura de tela e até os famosos trojan ransoms.

jhkmaster_b · May 12, 2014, 4:08pm

liosant post:2:

Problemas que vejo a pelos menos cinco versões (existe um intervalo onde o comodo se saiu bem):

Permissão de executáveis poderem acessar a pasta e arquivos do comodo principalmente por arquivos não instaláveis (portables) sem que haja um único alerta;
Alguns tipos de programas quando extraídos de um instalador e executados, são capazes de passar pela sandbox e HIPS;
Bloqueador de comportamento falha quando você executa alguns tipos de keyloggers e screenloggers, mas deve existir outros malwares capazes de passar batido;
Qualquer leaktest de firewall executados totalmente virtualizado ou com o HIPS desativado, o firewall não dará “sinal de vida”;

Pra concluir. Quando afirmo que houve um períodos em que o CIS conseguiu pontuação máxima, não falhava contra software portáveis, a sandbox quando configurada para tratar arquivos desconhecidos como: não confiáveis bloqueava captura de tela e até os famosos trojan ransoms.

Dos cenários citados, penso que a proteção/detecção de keyloggers pode ser aprimorada, mas há relatos de sua eficiência, como por exemplo:

Teste do Comodo com Keylogger FUD

e também:
COMODO Full Virtualization Test

Existem casos que ameaça/software/ataque podem burlar ou não serem detectadas?
Sim. Da mesma maneira que podem ocorrer com outras suítes de segurança.

Acredito que na avaliação geral, o CIS cumpre bem o seu papel.
Bloqueia muitas ameaças zero dia que passariam despercebidas por muitas soluções pagas e que as vezes nem possuem módulo de comportamento 88)

Avalio que os pontos que você mencionou merecem destaque, se desejar reproduzir também em inglês nesta área:
https://forums.comodo.com/leak-testingattacksvulnerability-research-b55.0/

Outra opção é reportar como bug, para que possa ser melhor analisado

liosant · May 14, 2014, 10:38pm

jhkmaster post:3:

Dos cenários citados, penso que a proteção/detecção de keyloggers pode ser aprimorada, mas há relatos de sua eficiência, como por exemplo:

Teste do Comodo com Keylogger FUD
Teste do Comodo com Keylogger FUD. - YouTube

e também:
COMODO Full Virtualization Test
COMODO Full Virtualization Test - YouTube

Existem casos que ameaça/software/ataque podem burlar ou não serem detectadas?
Sim. Da mesma maneira que podem ocorrer com outras suítes de segurança.

Acredito que na avaliação geral, o CIS cumpre bem o seu papel.
Bloqueia muitas ameaças zero dia que passariam despercebidas por muitas soluções pagas e que as vezes nem possuem módulo de comportamento 88)

Avalio que os pontos que você mencionou merecem destaque, se desejar reproduzir também em inglês nesta área:
https://forums.comodo.com/leak-testingattacksvulnerability-research-b55.0/

Outra opção é reportar como bug, para que possa ser melhor analisado

Não conhecia o canal. Achei bacana, só senti falta de amostras onde somos pedidos pra desativar o antivírus (bancos pedem isso pelo suporte) e testes de firewall.
Nem vou tentar reportar como vulnerabilidade, repito isso a tanto que me tornei repetivo. ;D