вопросы и впечатления по Outpost версии 7.0

[greenag 10]

Dmitriy K

я увидел, сорри, изменил пост на вопросик другой

[Dmitriy K 603]

Поэтому при установке новой версии поверх старой не лишним будет видеть предупреждение о том, что нужно снимать защиту паролем. Кто-то не знает этого, а кто-то регулярно забывает. Разумеется, в ТП всё это я отправил не в виде проблемы, а в виде предложения.

вы видео смотрели? внимательно?

Если не понятно, то поясню: на установленном оутпосте стоял пароль. Далее я, не выгружая его, запустил новый установщик. При обновлении появилось окно с предложением ввести пароль для удаления и последующей установки новой версии. Какого уведомления вам не хватает?

Дополнительно отправил предложение, чтобы сделали, наконец, уведомления о выходе новых версий с сылкой на скачивание. Хотя бы через функцию "Новости Агнитум". А то приходится регулярно посещать сайт Агнитум, чтобы посмотреть а не вышло ли чего нового.

уведомление есть

дистрибутив качается через апдейтер: уведомление было если у вас стояла 6-ая версия, но уже давно вышла 7-ка

+ через апдейтер качался новый дистрибутив, использующий базы версии 13 (с уведомлением)

вопрос по детектору атак - максимальный, доступ в сеть лан (прямой ип, шлюз) детектируется атака с адреса 0,0,0,0 с маком

кажется это баг - детектирование атаки с нулевого адреса

[greenag 10]

кажется это баг - детектирование атаки с нулевого адреса

ну баг или нет, но мак не мой, так что по идее правильно, а настройки на такой случай нет

[Snejoker 25]

Есть повод беспокоиться?

Первое. Установил 64бит OSSP скачанную сегодня, базы от сегодняшнего числа (количество не посмотрел), обновил - базы стали от 10 декабря.

Второе.

Заблокирован вредоносный объект "Trojan.DL.Banload!GT5c1yrmGIc" (trojan) в \firefox setup 3.6.13.exe

Ложняк? firefox setup 3.6.13.exe был взят здесь mozilla.com/ru/

P.S. онлайн проверка

[Snejoker 25]

дистрибутив качается через апдейтер: уведомление было если у вас стояла 6-ая версия, но уже давно вышла 7-ка

+ через апдейтер качался новый дистрибутив, использующий базы версии 13 (с уведомлением)

О каком апдейтере идет речь?

[greenag 10]

Snejoker

да это баг с неспособностью проверить подпись, с фоксом он постоянно где то вылазит, еще с IDM

[Dmitriy K 603]

Первое.

нет

Второе.

http://www.agnitum.ru/support/submit_files.php

О каком апдейтере идет речь?

внутренний

да это баг с неспособностью проверить подпись, с фоксом он постоянно где то вылазит, еще с IDM

это здесь при чем?

[Dmitrig 40]

вы видео смотрели? внимательно?

чёрт... Нет, не заметил.

Надо было написать БОЛЬШИМИ КРАСНЫМИ БУКВАМИ, чтобы я посмотрел видео!

При обновлении появилось окно с предложением ввести пароль для удаления и последующей установки новой версии. Какого уведомления вам не хватает?

Значит вот оно как щас... А я то по-старинке всё делаю.

Ладно, убедили.

дистрибутив качается через апдейтер

Как это? Вы хотите сказать, что теперь не нужно идти на сайт Агнитум и скачивать новую версию дистрибутива?

Мне как и раньше на пальцах и со всеми подробностями, пожалуйста, объясните. А то я явно позади прогресса.

[Dmitriy K 603]

Как это? Вы хотите сказать, что теперь не нужно идти на сайт Агнитум и скачивать новую версию дистрибутива?

Мне как и раньше на пальцах и со всеми подробностями, пожалуйста, объясните. А то я явно позади прогресса.

качались только версии в которых были исправлены серьезные ошибки

остальное качайте через сайт

[Dmitrig 40]

качались только версии в которых были исправлены серьезные ошибки

Не знал...

[Dmitrig 40]

Посмотрел сегодня результаты теста самозащиты антивирусных продуктов на вин7 х64, в которых Аутпост провалил два теста:

Просьба знающих людей прокомментировать эти провалы. На сколько это критично при повседневном использовании Аутпоста? Провалил бы Аутпост эти тесты, если бы атака проводилась с учётной записи без прав администратора?

[greenag 10]

результаты теста самозащиты антивирусных продуктов на вин7 х64

мне кажется все это маркетинг, обьясню почему, искал как то кейген на AVG и в архиве с ним спокойно лежат троян годовалой давности, кроме того что он его не заметил (выловил потом нодом и авирой, остальные замечали только когда тыкаешь и спрашиваешь), еще и явная атака на переполнение буфера его не смутила, думаю и со всеми остальными "призерами" тоже самое, bitdefender, comodo выгружаются не просто легко, а очень легко и не ловят зеродеев)), вернее ловят, то так же как и портативного chroma - обычный юзверь разницы не уловит

[Dmitriy K 603]

троян годовалой давности, кроме того что он его не заметил

еще и явная атака на переполнение буфера его не смутила

проактивная защита тоже промолчала?

[Александр Щ. 11]

Dmitriy K

Говоря откровенно, Oupost Firewall действительно довольно дырявый продукт. В качестве примера:

1. Скачайте и установите Adobe Reader 9.0.

2. Запретите всем его основным файлам ЛЮБЫЕ действия (т.е. и сеть, и anti-leak), особенно updater'у.

3. Подключитесь к интернету и попробуйте обновить reader.

Несмотря на все Ваши запреты, Вам будет предложено скачать новую версию продукта.

Почему? "Утилита обновления" получает доступ к интернету через svchost.exe.

Аналогично действует "утилита обновления" от Google.

P.S. Решил таки зарегистрироваться и на этом форуме...

[Dmitriy K 603]

1. Скачайте и установите Adobe Reader 9.0

жуть уже давно на фоксите

хотя ради эксперимента можно поставить

2. Запретите всем его основным файлам ЛЮБЫЕ действия (т.е. и сеть, и anti-leak), особенно updater'у.

3. Подключитесь к интернету и попробуйте обновить reader.

где-то я уже это видел тут?

Несмотря на все Ваши запреты, Вам будет предложено скачать новую версию продукта.

Почему? "Утилита обновления" получает доступ к интернету через svchost.exe.

Аналогично действует "утилита обновления" от Google.

что ж поделать, если они используют внедрение в память других процессов

Некоторые Трояны и вирусы используют изощренные методы, позволяющие им изменять код запущенных в памяти доверенных приложений и таким образом обходить защитный периметр системы и выполнять свои несанкционированные действия. Этот метод также известен как уязвимость внедрения кода или copycat. Примерами использования этой уязвимости являются ликтесты Thermite и Copycat

http://www.agnitum.ru/support/kb/article.p...208〈=ru

Несмотря на все Ваши запреты, Вам будет предложено скачать новую версию продукта.

а у меня сообщение - "обновление невозможно"

P.S. Решил таки зарегистрироваться и на этом форуме...

надеюсь вы понимаете, что советы типа блокировки компонентов программы/удаления их из автозапуска тут не прокатят?

Говоря откровенно, Oupost Firewall

это комплексный продукт: фаервол + проактивная защита

KIS с таким запретом (см. скрин) тоже разрешает доступ в сеть (если запретить в правах все, кроме запуска, то так же - ошибка обновления). И DrWeb (хотя... на счет вэба не уверен). Дырявые продукты? Доступ к сети блокирован правилами.

[Александр Щ. 11]

жуть уже давно на фоксите

Аналогично. Но...

где-то я уже это видел

Обсуждалось в теме на знакомом Вам форуме...

надеюсь вы понимаете, что советы типа блокировки компонентов программы/удаления их из автозапуска тут не прокатят?

Даже если это позволяется избавиться от проблемы там, где Ваши предложения не срабатывают?

[Dmitriy K 603]

Даже если это позволяется избавиться от проблемы

отключение компонента программы - гениальное решение проблемы!

там, где Ваши предложения не срабатывают?

созданием новой конфигурации мое предложение бы не ограничилось

[Dmitriy K 603]

Говоря откровенно, Oupost Firewall действительно довольно дырявый продукт. В качестве примера:

Я негодуэ!!!!11111

"Ликтесты как мера защиты от утечки данных" (Agnitum, 2008г.)

Давайте взглянем на виды защиты пользователя при разных конфигурациях брандмауэра:

Сценарий 1: Встроенный брандмауэр Windows Vista с ВЫКЛЮЧЕННОЙ фильтрацией исходящего трафика (настройка по умолчанию для Vista; в XP нету возможности фильтрации исходящих данных)

Входящий трафик считается доверенным, так как брандмауэр контролирует входящие соединения и гарантирует, что они не вредоносные. Исходящий трафик не контролируется вовсе, подвергая систему внешним угрозам. При такой слабой конфигурации брандмауэра любая вредоносная программа (такая как троянец в нашем примере) может передать данные внешнему источнику.

КОНЕЧНЫЙ РЕЗУЛЬТАТ: Брандмауэр легко уязвим и данные пользователя под угрозой.

Сценарий 2: Брандмауэр Vista или иной простой брандмауэр с ВКЛЮЧЕННОЙ фильтрацией исходящего трафика

a) Вредоносные программы не могут установить прямое исходящее соединение, так как брандмауэр блокирует этот маршрут. Этот тип брандмауэров осуществляет базовую фильтрацию исходящего трафика, охраняя от попыток прямой отправки данных (брандмауэр проверяет права приложения и блокирует неуместные соединения). Вредоносные программы, которым не удается передать данные напрямую из-за защиты брандмауэра, могут попытаться использовать другие методы ее обхода.

б) Вредоносной программе удается передать данные с помощью захвата доверенного приложения и использования его прав доступа в сеть. Если прямой маршрут заблокирован брандмауэром, вредоносное приложение пробует захватить доверенное приложение и использовать его полномочия для отправки данных с компьютера. Это заставляет брандмауэр думать, что исходящий доступ запрашивает легитимное приложение. Простые брандмауэры неспособны обнаружить подобную активность и в результате компьютер является уязвимым такой попытке непрямой передачи данных.

КОНЕЧНЫЙ РЕЗУЛЬТАТ: Хотя брандмауэр и отражает прямую атаку в первой попытке, он не способен предотвратить попытку захваченного приложения получить доступ в Интернет и передать данные, нарушив конфиденциальность пользователя.

Сценарий 3: Outpost Pro или другой продвинутый брандмауэр с двусторонней фильтрацией трафика и отслеживающий системную активность.

Передовые технологии Outpost по контролю за утечками данных не только обнаруживают и предотвращают попытки вредоносного ПО отправить данные с компьютера напрямую, но также защищают от нелегальной или нежелательной межпрограммной активности, гарантируя, что вредоносное ПО не взаимодействует с доверенными приложениями и не может использовать их учетные данные для передачи информации с компьютера. Вместе контроль исходящего трафика и контроль активности приложений обеспечивают многоуровневую защиту от утечки персональной информации.

КОНЕЧНЫЙ РЕЗУЛЬТАТ: Вредоносная программа пытается передать данные с компьютера напрямую и ей это не удается, пытается передать данные в обход, захватив обычное приложение, и снова терпит неудачу. Данные пользователя в безопасности.

[Dmitrig 40]

Из всего этого понял следующее:

Доверенные приложения могут взаимодействовать с системными компонентами и через них выходить в сеть или осуществлять другую активность. Примером этому служит Adobe ридер, который обновляется через svchost.exe В результате средствами Аутпоста активность программы нельзя заблокировать.

Так? Неужели и правда правилами Аутпоста невозможно изолировать доверенное приложение от внедрения в память других процессов?

Остаётся только надеятся на то, что недоверенные приложения не смогут поступить таким же образом...

Кстати, на форуме обсуждался инцидент, когда зловред использовал украденную цифровую подпись. В этом случае Аутпост тоже не сможет помочь? Я так понимаю, что зловред с легитимной цифровой подписью будет определяться Аутпостом как доверенное приложение, сможет внедряться в память системных процессов и осуществлять зловредную деятельность?

В случае, если вредоносный процесс пытается изменить память какого-либо легитимного приложения, Outpost обнаруживает это и отображает запрос, ожидая вашего решения. Система работает проактивно: она позволяет разрешать или блокировать изменение памяти другого процесса на уровне приложений.

Сработает ли такая защита для зловреда с украденной цифровой подписью или для доверенного приложения, пытающегося осуществить нежелательную для пользователя деятельность? Пример с Adobe Reader, как я понял, говорит о том, что это возможно.

[Dmitriy K 603]

Доверенные приложения могут взаимодействовать с системными компонентами и через них выходить в сеть или осуществлять другую активность.

+1

В результате средствами Аутпоста активность программы нельзя заблокировать.

всё с точностью да наоборот

средствами Оутпоста МОЖНО блокировать активность программы (кажется, даже 4-ая картинка говорит об этом. нет? )

Неужели и правда правилами Аутпоста невозможно изолировать доверенное приложение от внедрения в память других процессов?

настройки -- improvenet -- автосоздание правил

отключайте все и клепайте правила вручную

Остаётся только надеятся на то, что недоверенные приложения не смогут поступить таким же образом

а anti-leak на что? надеюсь, что значение слова "leak" вы знаете

Кстати, на форуме обсуждался инцидент, когда зловред использовал украденную цифровую подпись.

stuxnet, подпись от Realtek

В этом случае Аутпост тоже не сможет помочь? Я так понимаю, что зловред с легитимной цифровой подписью будет определяться Аутпостом как доверенное приложение, сможет внедряться в память системных процессов и осуществлять зловредную деятельность?

см. парой строчек выше подписанное приложение = легальное приложение

Сработает ли такая защита для зловреда с украденной цифровой подписью или для доверенного приложения

кража подписи --> отзыв подписи --> обновление списка доверенных поставщиков --> доверенное приложение превращается в не доверенное

обновление правил Оутпоста еще никто не отменял

Отключая anti-leak, помните про Сценарий 2 (б)

[Александр Щ. 11]

кража подписи --> отзыв подписи --> обновление списка доверенных поставщиков --> доверенное приложение превращается в не доверенное

обновление правил Оутпоста еще никто не отменял

Троян с цифровой подписью появляется 30-31 декабря. Пока сотрудники Agnitum до 10 января отдыхают, он беспрепятственно передает интересующие создателей данные пользователей.

P.S. Стоит этот вопрос прояснить с техподдержкой, да не охота опять ставить 7-ю версию... Дождусь публичной беты 7.5, а там посмотрю.

[Dmitriy K 603]

Троян с цифровой подписью появляется 30-31 декабря.

rootkit.DEaD-Moroz.a?

Пока сотрудники Agnitum до 10 января отдыхают

а сигнатуры? часть вирусбустеры делают.

он беспрепятственно передает интересующие создателей данные пользователей.

судьба такая никто 100% защиту не обещал

в таком случае могу предложить только одно - создаёте правила на основе предустановок для системных файлов, после этого отключаете автосоздание и руками, руками штампуете свои безопасные конфигурации

[Dmitrig 40]

средствами Оутпоста МОЖНО блокировать активность программы

А почему тогда Александру Щ. не удалось заблокировать ридер?

1. Скачайте и установите Adobe Reader 9.0.

2. Запретите всем его основным файлам ЛЮБЫЕ действия (т.е. и сеть, и anti-leak), особенно updater'у.

3. Подключитесь к интернету и попробуйте обновить reader.

Несмотря на все Ваши запреты, Вам будет предложено скачать новую версию продукта.

Почему? "Утилита обновления" получает доступ к интернету через svchost.exe.

[Dmitriy K 603]

А почему тогда Александру Щ. не удалось заблокировать ридер?

даром телепата не обладаю

все вопросы к Александру

небольшая демонстрация для сомневающихся:

adobe.rar

adobe.rar

[Dmitrig 40]

небольшая демонстрация для сомневающихся:

всё понятно