Тест фаерволов на защиту от внутренних атак (результаты) - Страница 6 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак (результаты)

Recommended Posts

Виталий Я.
Ну чо где

а не успел вчера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Все в курсе, какие наградки раздает AM за этот тест?

"Firewall Outbound Protection", в котором защита исходящих соединений тестировалась ровно в 0 тестов (или в том одном, который Комодо завалил)?Проведение такого "теста" при всех вложенных усилиях при кривой методологии - все равно что на "скачанном из Инета архиве с вирусами" проверять качество антивирусной защиты чисто по сигнатурному детекту.

А в чем собственно проблема, почему данный раздел теста нельзя назвать защитой от внутренних атак? Давайте уж говорить тогда точно и по существу. Какие пункты (методы атак) не внутренние (может быть они внешние :o )?

И давайте более конкретно разбираться, что не нравится в существующей методологии. Прочитал дискуссию выше - ИМХО одни эмоции по поводу Comodo и DefenseWall. Ну не тестили мы ложные срабатывания в этот раз, я сразу написал об этом. И по DefenseWall я ситуацию объяснил - разные концепции продуктов.

Что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

Не буду спорить на счет корретности, я не лингвист. Я консультировался с носителями языка и все сказали ОК. Это лучшее из кратких названия для этого теста, что можно было придумать. Более точно можно только отразить смысл в предложении из 5-6 слов, что неприемлемо для наград.

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Да в чем тепличность то? Смотрим саммари к тесту (таблицу в самом начале) - Standard/Max (Untrusted Zone). Ну и далее по тексту. Что тут некорректного или тепличного?

Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое. Чего не занести утилиты в доверенные и не сделать тест? Сколько там баллов будет тогда?

Что такое "исходящая защита"?

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили? :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать.

Нет, запусти с Аутпостом и с КИСом все утилиты с флешки, вот тогда все будет одинаково. Заблочат все 100% и юзеры пойдут спать в счастливом и свободном от угроз мире.

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили?

Ты серьезно? Посмотри, на ЧТО ты ссылаешься, с каким ПОРЯДКОМ СЛОВ, а после объясни разницу между:

- Firewall _Outbound Protection_ ("исходящая защита", да?)

и

- _Outbound Firewall_ Protection (защита "фаервола, работающего наружу", как вариант)

Или иди учи английский. Не говорю уже про 3 опечатки в английских словах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Да в чем тепличность то?

Об этом подробно расписано в постах, которые по неведомым причинам переместили _из этой_ темы "типа как оффтопик" - http://www.anti-malware.ru/forum/index.php?showtopic=19539 .Пост #1 и пост #5.

Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое.

Да не означало бы это тоже самое, не означало. Почему это так - ссылка выше.

Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
- Firewall _Outbound Protection_ ("исходящая защита", да?)

А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Я согласен, что умение определять доверенность или вредоносность приложения автоматически - это очень круто. Очень хорошо и правильно, что вендоры занимаются построение облаков и двигаются в этом направлении. Но проверка этих возможностей выходит за рамки теста. Тогда нужно было делать разные проверки в тесте не по настройкам, а по репутации/источнику/режиму работы и т.п. В этом случае это был бы уже совсем другой тест.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Если развивать эту мысль дальше, то в методологии к будущим таким тестам нужно прописать, что продукты-участники отбираются исходя из наличия логики автоматического определения доверенности/вредоносности приложений. Но верно ли это будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat

Сложная эта штука тесты тестить особенно фаерволы. Возможно ещё и это: Первый блин — комом © Но всёравно спасибо за тест. ИМХО возможно было бы интереснее разделить на 2 этапа:

1 настройки по умолчанию за пультом домохозяйка смотрит в монитор и жмёт ДА.

2 за пк специалист, который настраивает и управляет продуктом сам. В идеале неплохо бы было, если этот специалист ещё имел бы и прямое отношение к тестируемому продукту.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

Да, есть. И не у всех, кстати. Только тогда нужно делать дополнительные прогоны на false positives и false negatives, причём с реальными зловредами, а не с тестовыми тулзами. Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

У меня к примеру в доверительных только подписи которым я доверяю остальным уж извините на общих основаниях.

А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Сколько тебе носителей языка (и какого?) это подтвердило? Наша пруфридер из Калифорнии, наши UK и AU партнеры, наши арабы и наши старейшины с 12-летним опытом в ИБ - все смущены и удивлены названием. От перестановки - меняется.

И последнее филологическое: "защита" не может "исходить". Защита НЕ может двигаться.

Собственно, комментарий Agnitum к "тесту фаерволов"-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Если это про Stuxnet, по мимо кассы. Они выдали серт кому надо. Другое дело, что этот серт потом уперли и заюзали на стороне. Верисайн то тут причем ?

Впрочем, вопрос кражи сертов - это туда же, в поляну дискредитации самой идеи цифровой подписи.

Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Да ладно тулзы, говорят что даже некоторые продукты по безопасности без подписей бывают. Врут,поди ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Если это про Stuxnet, по мимо кассы.

Не, чувак, это ты мимо кассы. Я вообще не о Стухнете говорил.

MD5: C67B937BC8F6B907883CEF4D4187821D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

RuJN

См #138

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

два комментария к публикации Виталия Я.:

1. думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

Это очень важный момент для будущих таких тестов, поэтому прошу помощи общественности. Как проверяем фолсы, какие проги ставим, какие действия выполняем в системе. Тут важно не усложнять чрезмерно, а показать качественные отличия в уровне ложных срабатываний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

security by obscurity? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вчера размышлял на тему методологии теста и пришла в голову занятная мысль. Почему-то многих возмутили высокие позиции песочниц DefenseWall/Comodo в этом тесте, но никого не смутил системный аспект. Например, в том же КИС 2011/2012 можно тоже было запускать тулзы в Безопасной среде. И независимо от настроек результат был бы скорее всего 100%. Нечто подобного можно было бы добиться с Авастом например.

К чему я это все собственно. А к тому, что нужно принципиально определиться, мы берем песочницы в такие тесты или нет. Если берем, то нужно выработать правила игры для них.

Что скажете?

Также очень важно услышать ваши мысли по поводу тестирования на ложные срабатывания, пока что тишина по этому вопросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
нужно принципиально определиться, мы берем песочницы в такие тесты или нет

не всякая песочница надёжна (GeSWall вы же продырявили), плюс вы же не запрещали другим продуктам запускать нечто в песочнице?

если они не посчитали нужным изолировать приложение и не смогли предотвратить вредоносные действия, то кто виноват?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ole44

Если в продукте заявлена песочница , тестировать её надо. В противном случае тестируется не весь функционал продукта , а его часть.И будут претензии ( обоснованные ) , что продукт тестировался предвзято. ИМХО. Методику тестирования уважаемые эксперты думаю проработают самостоятельно.( без наших советов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×