RawSocket i czytelność komunikatów

Zrzuty jakie umieszczę będą animowane i dostosowane do danej problematyki. Na wstępie chciałbym zacząć od kontroli RAW w firewallu Comodo…D+ wykrywa dostęp do Socket Interfese i mamy możliwość zablokowania dla poszczególnych aplikacji. I wszystko byłoby w porządku, gdyby nie fakt, że po zezwoleniu aplikacji do Raw firewall nie ma już żadnej kontroli nad protokołami, otwarte są wszystkie furtki - pierwszy zrzut “socket comodo 1” Natomiast co z aplikacjami zaufanymi jak svchost, lsass, które dla prawidłowego funkcjonowania potrzebują dostępu do raw i co z aplikacjami, które łączą się poprzez proces svchost?
Dla porównania Outpost, po zezwoleniu aplikacji do raw posiada kontrolę nad protokołami - zrzut “socket outpost”
Druga sprawa, którą chciałem przytoczyć to czytelność komuniakatów wychwalanych tak przez morphiusza na różnych forach. Przytoczę jeden z wielu przykładów - zrzut 3 “OLE” dla porównania dałem komunikat D+ i Antileak Outposta. Jak widać przeciętnemu Kowalskiemu nic nie mówi interfejs COM, nie dowie się również, że komunikat ma związek z dostępem do sieci co może przyczynić się do przecieku danych…
To tyle narazie…

[attachment deleted by admin]

Wiele miesięcy temu ogłaszał, że Comodo jest “cienki jak barszcz”, bo w jednym teście znalazł się w środku stawki.

ComodoAV cienki jak barszcz, niżej od PCTools-a... http://www.virusbtn.com/vb100/rap-index.xml

Skoro słaby antywirus, firewall podobnie, a PCTools, czy Outpost lepsze, to po co nadal interesujesz się tym programem? Pytania o RAW i port ‘zero’ to odgrzewane kotlety. Póki co, nie wymyślono programu, który zadowoliłby wszystkich. No chyba, że Twój post to kryptoreklama Outposta, wtedy miałoby to jakiś sens.

Przepraszam, że się nie odzywam, ale dyskutowałem na ten temat z opornym człowiekiem przez prawie 15 stron…
Dodam jeszcze tylko, że Microsoft co Windows tak obniża możliwości Raw Socket, że w Sevenie nie znaczy on już nic i nic przez niego nie zrobisz. Podobnie port 0.

http://forum.safegroup.pl/viewtopic.php?f=44&t=3799

Wiecie co, nie spotkałem się z RawSocket i chętnie bym poznał o co chodzi. Może by tak ktoś zrobił opis na czym to wszystko polega i jak to się ma do Comodo?

Sprawa wygląda tak, że Comodo broni dostępu do Raw Socket (chociaż nie wiem czym tu się ekscytować - to tak jak by dyskutować o wirusach na Windows 98 i ich szkodliwości wobec najnowszych systemów).
Comodo chroni poprzez Defense+.
Niektórzy fanatycy innego softu uważają to za karygodne, że Comodo powinien robić to przez firewalla. W tym problem. Ot co. Nie ma co odkopywać.

CAN… nie dziw się, że po zezwoleniu alertu nie blokuje. Regułę na blokowanie portu zero można ustawić raz dwa. (port 0 w 99% aplikacjach oznacza losowy port i oficjalnie nie istnieje BTW).

Zamykam.

Wkrótce pojawi się podsumowanie tematu Raw Socket.

Całe podsumowanie o RawSocket:

Sockety mają na celu zapewnić dodatkową funkcjonalność sieciową, definiują w jaki sposób program może uzyskiwać dostęp do wybranych usług sieciowych. Jednak sporny raw socket od czasu XP Service Packa 2 ma nałożone solidne ograniczenia, bo sporo osób wykorzystywało go do robienie różnych złych rzeczy, pewnie stąd problemy. Service pack 2 wprowadził dwie zmiany w obsłudze raw socket:

Brak obsługi wysyłania danych TCP za pomocą RAW sockets (było to stosowany choćby do ataków typu TCP Reset).

Datagramy UDP nie mogą być wysyłane, kiedy adres źródłowy datagramu jest inny
niż adres interfejsu sieciowego go wysyłającego. Adres IP źródłowy dla każdej wychodzącego datagramy UDP musi posiadać istniejący interfejs sieciowy lub datagram jest odrzucany. Ta zmiana została wprowadzona, aby ograniczyć możliwość szkodliwego kodu do tworzenia ataków Distributed Denial-of-service i ogranicza możliwość wysyłania fałszywych pakietów. Warto wspomnieć że UDP jest protokołem bezpołączeniowym co już samo w sobie stanowi poważny “problemy” techniczny dla sniffingu.

Główny problem dla snifferów w Viście i 7 jest to, że mogą one nie otrzymać ani pakietów
przychodzących (Win7) ani pakietów wychodzących (Vista).

Jak widać w dużej mierze wyręcza nas tu już sam system “upośledzając” wykorzystanie raw socketa. Jednak w Comodo również przewidziano możliwość kontrolowania socketów

Na samym początku ochronę zapewnia sandbox. Sockety znajdują się w zdefiniowanych obszarach chronionych przez D+ dlatego każda aplikacja umieszczona w sandboxie z góry nie będzie miała do niego dostępu. Sam D+ również reaguje w tym przypadku jednak w tym momencie należy rozpatrywać następujące sytuacje:

Aplikacja bezpieczna, podpisana cyfrowo zweryfikowana przez chmurkę - dla tych programów socket nie powinien być blokowany, wykorzystują go one do różnych zadań i jego brak może skutkować nieprawidłowym ich działaniem, nawet jeśli dla takiej aplikacji pojawi się komunikat powinniśmy zezwolić - i ten przypadek więcej nas nie interesuje

Aplikacja nieznana - nie masz pewności z czym masz do czynienia - jeśli już skusisz się żeby wypuścić program z sandboxa a aplikacja będzie chciała zainicjować jakieś działania w sieci prawdopodobnie dostaniesz komunikaty o dostępie do klienta DNS/RPC (łączenie sie przez svchosta), Interfejsu Windows Socket (te dwa z D+ - sam dostęp do socketa to jeszcze nie nawiązywanie połączenia) a następnie o próbie nawiązania połączenia z siecią (Firewall).

-Raw Socket stanowi obecnie 0 zagrożenie, (to tak jakby dyskutować o szkodliwości wirusów DOSowych na obecne systemy),

• Comodo chroni to na swój sposób (nie każdy firewall musi być kalką outposta lub pctoolsa!).