Веб-экран

International Comodo Forums По-русск
61

Способы обхода UAC и DEP в общем давно изобрели.Я просто хотел показать,что песочница, антивирус и проактивная защита не панацея от эксплуатации уязвимости веб приложений.У comodo была и есть отличная идея по secure dns,фильтрации трафика на dns сервере.Это реальный классный выход,но вот реализация оставляет желать лучшего.С этой точки зрения фильтрация трафика на стороне клиента гораздо хуже.Если правильно реализовать secure dns - тогда веб экран в принципе не нужен.

62

artur777, что (по Вашему мнению :slight_smile: ) тут:

516×521 20.1 KB

недоделано ?
и ещё тут на главной стр. есть: Which Product do you want Comodo to develop next?

и сделали хотя бы плагин, аналогичный traffic light
см. цитаты в [b]Reply #34[/b]
я бы не заморачивался установкой сторонних продуктов
Sandboxie - недоделанная под 64-разрядные версий Windows песочница плагин traffic light хуже Google Safe Browsing (веб-экран avast! & Yandex Safe Browsing на просторах рунета не проверял)
а так комодо без веб экрана не сканирует скрипты и iframe, тем самым делает возможным эксплуатацию уязвимостей браузера
Comodo Group, Inc к [u]уязвимостям[/u] самих браузеров отношения не имеет, только с сборкам CD & CID со своими DNS & CSI
позволяя получать доступ к системным приложениям, которые [u]имеют статус системных[/u] в настройках comodo defense
[url=http://help.comodo.com/topic-72-1-284-3027-Defense+-Rules.html#Custom]Правьте[/url] Правила обороны под свои нужды (Предопределённые политики Системных приложений)
63

!H,мне как раз все это известно,а вот для обычного пользователя править правила проактивки - это будет хит сезона.Теперь по поводу песочницы - мне необходимо для Вас распространяться, что она в comodo урезана?Вообще, если пользователь разбирается в вопросах it безопасности выше среднего - ему cis мягко говоря не нужен, но это уже тема отдельного разговора.Насчет sandboxie - великолепно работает под x64 действуя в обход PatchGuard,хотя это и экспериментальный режим.

64

:smiley: обычно обычный пользователь ничего не правит, только в Настройках выставляет Параноидальный режим, и то не надолго…

Теперь по поводу песочницы - мне необходимо для Вас распространяться, что она в comodo урезана?
запустить браузверя в песочницу обычный пользователь в состоянии в CIS6 будет [url=http://www.youtube.com/watch?v=vGEsEvTI2Js&feature=player_embedded#!]Comodo Virtual Kiosk[/url] ещё Melih говорит: "Site Inspector будет постоянно анализировать веб-сайты и делиться информацией о вредоносных ресурсах с DNS.com. Таким образом, используя наши DNS, вы автоматически будете получать пользу и от Site Inspector". [s]в КИС13 "Безопасная среда" на базе технологии Sandbox ликвидирована[/s] - очепятался [s]SafeZone™ спец. веб-браузер в avast! Matousec говорит: avast! fails Keylog3 not only in the normal environment but also within its special SafeZone environment that is designed to protect against keyloggers. (с) Proactive Security Challenge 64 report[/s] - опс, опять я не о том ;)
65

Вот когда будет все то, о чем говорит г-н Мелих, тогда и будем посмотреть. Не знаю, что там и какой тест fails, у меня просто в sandboxie стоит разрешение на запуск только определенных программ.Насчет запуска браузера в песочнице comodo сейчас - с моей точки зрения нет смысла, т.к. она не поддерживает, например, автоматический запуск в своей среде дочерних процессов,не позволяет выставлять исключения для процессов, да много чего не позволяет,закладки, например как сохранять?Если comodo сделает нормальную песочницу, что с моей точки зрения пока у них не получится с их тяп-ляп подходом - я сниму шляпу,да и соединение site inspector с secure dns - это типа две калеки лучше одного,хотя бы одно что-то до ума довели.

66
Насчет использование веб уязвимостей полезно почитать - http://www.securitylab.ru/analytics/428199.php.Fyod - если веб приложение имеет межпроцессорный доступ к system, какие Вы увидите алерты comodo или UAC?
Цель данного теста – показать способность IDS/IPS противостоять внешним атакам на уязвимости в операционной системе и прикладных программах. В ходе данного тестирования на уязвимую систему проводились внешние атаки при помощи различных эксплойтов. Следует отметить, что в тесте исследовались только такие атаки, при которых атака производится в пассивном режиме, т.е. в ситуации, когда пользователь не совершает никаких активных действий (не открывает файлы или веб-страницы, не скачивает данные и т.д.).

[attachment deleted by admin]

67

Ну так покажите. :slight_smile: Например, снимите видео. Я, например, очень сомневаюсь, что при установленном CIS и запущенном в песочнице браузере вы могли получить изменения hosts-файла, посещая malwareblacklist.com. Если даже теоретически допустить, что вы словили вредоносный jscript, который использовал уязвимость какого-то плагина в браузере, потом через эту дыру взломал браузер а тот уже в обход песочницы добрался до операционки, получив над ней полный контроль, то такой скрипт будет стоить не один десяток тыс $, и вряд ли вы так просто ссылку на него найдете в открытом доступе. :slight_smile:
По теме. Одно из основных назначений веб-экрана - отлов вредоносных javascripts до того, как они загрузились в браузер, на стадии обработки локальным прокси-сервером, которым обычно и есть веб-антивирус. Это вероятно мог бы делать и обычный антивирус. Но уровень детекта что у первого, что у второго оставляет желать лучшего, поэтому лучше использовать проактивную веб-защиту. Для себя сделал выбор в пользу веб-проактивки в лице NoScript и RequestPolicy.

68

э, нэ,торопиться не надо, торопиться не надо… (с), а то как с avast! 6\7 SafeZone™ получится…

Не знаю, что там и какой тест fails
SafeZone™ спец. веб-браузер в avast! Pro\IS [url=http://www.matousec.com/projects/proactive-security-challenge-64/reports/PSC64%20report%20-%20avast!%20Internet%20Security%207.0.1456.pdf]тест fails[/url]
типа две калеки лучше одного
две калеки лучше одного здорового Google Safe Browsing [b]?[/b] плагин traffic light - у меня из дюжины URLов нуль предупреждений веб-экран avast! - у [b]amid525[/b] три из пяти URLов предупреждений

резюме: в CAV\CIS веб-экран не нужен (с)

69

… и возможно это означает, что два оставшиеся - не вредоносны. ;D

70

Hause,давно не общались.Вам подробно напишу.На самом деле host файл был просто удален и я его восстанавливал с помощью microsoftfixit, а explorer был изменен,эту проблему решил CCE.Повторные попытки через некоторое время провести этот опыт уже во всеоружии, потому что первый результат меня удивил и я не записывал ресурс, так как прошел страниц 20, не привели к желаемому,но задуматься заставили.И то, что серьезный эксплоит стоит в районе 2000 у.е. как то не означает, что его не будут использовать на вполне легитимных ресурсах.Ранее я запрещал с помощью проактивки доступ браузеру к system и explorerу,но это мягко говоря сильно ограничило функциональность, такое не подходит.По большому счету проблема не в отстутствии веб экрана,а в том что cis не контролирует изменение файлов.Это больше нужно чем песочница и другие дополнительные функции.Это всего лишь мое мнение.Кстати, по тестированию на предотвращение эксплуатации сетевых уязвимостей нашел лишь это - http://www.anti-malware.ru/test_personal_IDS_IPS_2012,и у comodo там не лучший результат.Можно по разному относиться к подобным тестированиям, но вот такой факт.

71

:slight_smile: возможно, всё возможно в подлунном мире, Google Safe Browsing ошибся, выдав мне пять из пяти предупреждений (а ежели в Опере, то вожможно 404);
а в Opera смотрели фишинг?, а то возможно PhishTank у меня тож пять раз ошибся прежде чем я URLы из черного списка бочки с рыбой в ЛС кинул “(просто так, для теста веб-экранчика)”

P.S.: сего дня прошелся по тем же ссылкам:


http://s2.hostingkartinok.com/uploads/thumbs/2012/08/efa09224ba139ca23275b7b5982d7472.png

72

Такой эксплойт, который удалит hosts файл в обход песочницы и проактивки СIS, будет стоить несколько дороже. Вот примерные прайсы

http://blogs-images.forbes.com/andygreenberg/files/2012/07/exploitpricechart.jpg

По большому счету проблема не в отсутствии веб экрана,а в том что cis не контролирует изменение файлов.Это больше нужно чем песочница и другие дополнительные функции.
Замечательно контролирует в параноидальном режиме. Другое дело, что это неудобно. Кстати, еще пол года назад я подкинул идею разработчикам создать что-то вроде параноидального списка, куда можно добавить браузер и контролировать всю его активность, а остальные приложения будут работать в безопасном режиме или режиме чистого ПК. Если идея нравится, голосуйте здесь https://forums.comodo.com/wishlist-cis/make-a-paranoid-list-t82750.0.html
73

Не знаю, какие мысли реализуют разработчики в 6-ой версии, но идея показалась мне интересной.
Проголосовал “За” в английской ветке.

74

Ну значит с моим счастьем попал на нечто подобное.Идея тоже мне показалась интересной - проголосую за.И как теперь говорить о не нужности веб экрана?Надо признать, что я ее пытался реализовать на существующей версии, выставив параноидальный режим, остальные приложения, кроме браузера, поместив в доверенные и установив опцию блокировать неизвестные приложения перед загрузкой в память, Да, алерты на браузер были, контролировать можно все, но столкнулся с проблемой - нельзя запретить межпроцессорный доступ к памяти к explorer,system,приложению для работы с плагинами, самим плагинам без урезания функционала браузера, Hause, как Вы планировали решать этот вопрос?

75

У меня в правилах для браузера межпроцессорный доступ заблокирован полностью, в исключения добавлены только плагины. Для плагинов соответственно сделано то же самое - разрешен доступ только к браузеру. Функционал немного пострадал - нельзя из браузера открыть папку с загрузками, но для меня это не существенно.

76

Question: Как вы считаете,нужен ли веб-экран в CIS/CAV?

:slight_smile: голосовалкой !

  • в основных веб-браузерах есть свои веб-экраны

  • они работают лучше упомянутых в теме “+ вэб экран аваста + bitdefender traffic light”
    (реально и в боевых условиях проверить может любой желающий полазив "по malwareblacklist.com)

  • даже в экзотическом Надёжном браузере Яндекс.Интернет есть свой веб-экран
    (желающие и его работу могут проверить и сравнить в реал. условиях)

    ??? Следующий вопрос будет:

Question: Как вы считаете, нужен ли WOT Safe Surfing в СFP ?

77

Hause,это первое что я сделал. Результат у меня на win.7 x64 - Dragon помимо того, что обращается сам к себе еще и постоянно пытается обратиться к system,многооконность не работала, в конце концов завис, выдал ощибку и перзагрузился, затем перезагрузился с ошибкой explorer,firefox один раз полез к system, но в результате со временем тоже подвис,более-менее вела себя opera. Потом мне это надоело.Для широкого круга пользователей это не подходит - лично мое мнение. Тогда comodo должны сделать отдельную безопасную среду для браузера и учесть все моменты.
!H,я уважаю Ваше мнение,но мне кажется, что safe browsing+веб экраны лучше, чем просто safe browsing.Я прголосовал “за”.

78

это нужно разрешить

постоянно пытается обратиться к system
совершенно нечего ему там делать
многооконность не работала, в конце концов завис, выдал ошибку и перзагрузился, затем перезагрузился с ошибкой explorer, firefox один раз полез к system, но в результате со временем тоже подвис
у меня все отлично работает, никаких проблем нет. Возможно это у Вас из-за каких-то плагинов или других ограничений (смотрите журнал проактивки)
у меня на win.7 x64...Для широкого круга пользователей это не подходит
Возможно это связано именно с битностью операционки, тогда да, может и не для всех такой вариант, но на XP SP3 все ок. На всякий случай выкладываю скрин своих настроек для браузера.

[attachment deleted by admin]

79

Спасибо, Hause. У меня мистика какая-то - без доступа к system не работает “открыть в новом окне” что в dragone, что в firefoxe.Может быть связано с особенностью работы с памятью в x64.

80

Я также подрезал браузер правилами проактивной защиты, устроив ему ту же песочницу, но по своему вкусу (встроенная у меня отключена). Функционал естественно пострадал, но мне это тоже не важно.

Тут просто надо подобрать приемлемый для себя вариант в соотношении удобно-безопасно.

Согласен что для широкого круга пользователей настройка более менее жестких правил проактивной защиты для конкретного приложения не подходит. Сделать отдельную безопасную среду для браузера можно опять же только на основе теперешних возможностей проактивной защиты - комодо это сделает или сам пользователь не принципиально, так как возможности одинаковы. Со стороны комодо “учесть все моменты” будет означать ооочень широкие правила проактивной защиты, так что лучше уж самому.

Методы обнаружения у веб экранов и антивирусов принципиально не различаются. Сигнатурный детект и эвристика в теперешнем своем состоянии уже давно со своими задачами не справляются. Я проголосовал “НЕТ”. Правильная формулировка вопроса была бы “Нужен ли Вам лично веб экран”. Мне лично не нужен.