Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак (результаты)

Recommended Posts

Виталий Я.
Ну чо где

а не успел вчера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Все в курсе, какие наградки раздает AM за этот тест?

"Firewall Outbound Protection", в котором защита исходящих соединений тестировалась ровно в 0 тестов (или в том одном, который Комодо завалил)?Проведение такого "теста" при всех вложенных усилиях при кривой методологии - все равно что на "скачанном из Инета архиве с вирусами" проверять качество антивирусной защиты чисто по сигнатурному детекту.

А в чем собственно проблема, почему данный раздел теста нельзя назвать защитой от внутренних атак? Давайте уж говорить тогда точно и по существу. Какие пункты (методы атак) не внутренние (может быть они внешние :o )?

И давайте более конкретно разбираться, что не нравится в существующей методологии. Прочитал дискуссию выше - ИМХО одни эмоции по поводу Comodo и DefenseWall. Ну не тестили мы ложные срабатывания в этот раз, я сразу написал об этом. И по DefenseWall я ситуацию объяснил - разные концепции продуктов.

Что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

Не буду спорить на счет корретности, я не лингвист. Я консультировался с носителями языка и все сказали ОК. Это лучшее из кратких названия для этого теста, что можно было придумать. Более точно можно только отразить смысл в предложении из 5-6 слов, что неприемлемо для наград.

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Да в чем тепличность то? Смотрим саммари к тесту (таблицу в самом начале) - Standard/Max (Untrusted Zone). Ну и далее по тексту. Что тут некорректного или тепличного?

Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое. Чего не занести утилиты в доверенные и не сделать тест? Сколько там баллов будет тогда?

Что такое "исходящая защита"?

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили? :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать.

Нет, запусти с Аутпостом и с КИСом все утилиты с флешки, вот тогда все будет одинаково. Заблочат все 100% и юзеры пойдут спать в счастливом и свободном от угроз мире.

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили?

Ты серьезно? Посмотри, на ЧТО ты ссылаешься, с каким ПОРЯДКОМ СЛОВ, а после объясни разницу между:

- Firewall _Outbound Protection_ ("исходящая защита", да?)

и

- _Outbound Firewall_ Protection (защита "фаервола, работающего наружу", как вариант)

Или иди учи английский. Не говорю уже про 3 опечатки в английских словах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Да в чем тепличность то?

Об этом подробно расписано в постах, которые по неведомым причинам переместили _из этой_ темы "типа как оффтопик" - http://www.anti-malware.ru/forum/index.php?showtopic=19539 .Пост #1 и пост #5.

Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое.

Да не означало бы это тоже самое, не означало. Почему это так - ссылка выше.

Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
- Firewall _Outbound Protection_ ("исходящая защита", да?)

А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Я согласен, что умение определять доверенность или вредоносность приложения автоматически - это очень круто. Очень хорошо и правильно, что вендоры занимаются построение облаков и двигаются в этом направлении. Но проверка этих возможностей выходит за рамки теста. Тогда нужно было делать разные проверки в тесте не по настройкам, а по репутации/источнику/режиму работы и т.п. В этом случае это был бы уже совсем другой тест.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Если развивать эту мысль дальше, то в методологии к будущим таким тестам нужно прописать, что продукты-участники отбираются исходя из наличия логики автоматического определения доверенности/вредоносности приложений. Но верно ли это будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat

Сложная эта штука тесты тестить особенно фаерволы. Возможно ещё и это: Первый блин — комом © Но всёравно спасибо за тест. ИМХО возможно было бы интереснее разделить на 2 этапа:

1 настройки по умолчанию за пультом домохозяйка смотрит в монитор и жмёт ДА.

2 за пк специалист, который настраивает и управляет продуктом сам. В идеале неплохо бы было, если этот специалист ещё имел бы и прямое отношение к тестируемому продукту.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

Да, есть. И не у всех, кстати. Только тогда нужно делать дополнительные прогоны на false positives и false negatives, причём с реальными зловредами, а не с тестовыми тулзами. Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

У меня к примеру в доверительных только подписи которым я доверяю остальным уж извините на общих основаниях.

А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Сколько тебе носителей языка (и какого?) это подтвердило? Наша пруфридер из Калифорнии, наши UK и AU партнеры, наши арабы и наши старейшины с 12-летним опытом в ИБ - все смущены и удивлены названием. От перестановки - меняется.

И последнее филологическое: "защита" не может "исходить". Защита НЕ может двигаться.

Собственно, комментарий Agnitum к "тесту фаерволов"-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Если это про Stuxnet, по мимо кассы. Они выдали серт кому надо. Другое дело, что этот серт потом уперли и заюзали на стороне. Верисайн то тут причем ?

Впрочем, вопрос кражи сертов - это туда же, в поляну дискредитации самой идеи цифровой подписи.

Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Да ладно тулзы, говорят что даже некоторые продукты по безопасности без подписей бывают. Врут,поди ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Если это про Stuxnet, по мимо кассы.

Не, чувак, это ты мимо кассы. Я вообще не о Стухнете говорил.

MD5: C67B937BC8F6B907883CEF4D4187821D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

RuJN

См #138

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

два комментария к публикации Виталия Я.:

1. думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

Это очень важный момент для будущих таких тестов, поэтому прошу помощи общественности. Как проверяем фолсы, какие проги ставим, какие действия выполняем в системе. Тут важно не усложнять чрезмерно, а показать качественные отличия в уровне ложных срабатываний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

security by obscurity? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вчера размышлял на тему методологии теста и пришла в голову занятная мысль. Почему-то многих возмутили высокие позиции песочниц DefenseWall/Comodo в этом тесте, но никого не смутил системный аспект. Например, в том же КИС 2011/2012 можно тоже было запускать тулзы в Безопасной среде. И независимо от настроек результат был бы скорее всего 100%. Нечто подобного можно было бы добиться с Авастом например.

К чему я это все собственно. А к тому, что нужно принципиально определиться, мы берем песочницы в такие тесты или нет. Если берем, то нужно выработать правила игры для них.

Что скажете?

Также очень важно услышать ваши мысли по поводу тестирования на ложные срабатывания, пока что тишина по этому вопросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
нужно принципиально определиться, мы берем песочницы в такие тесты или нет

не всякая песочница надёжна (GeSWall вы же продырявили), плюс вы же не запрещали другим продуктам запускать нечто в песочнице?

если они не посчитали нужным изолировать приложение и не смогли предотвратить вредоносные действия, то кто виноват?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ole44

Если в продукте заявлена песочница , тестировать её надо. В противном случае тестируется не весь функционал продукта , а его часть.И будут претензии ( обоснованные ) , что продукт тестировался предвзято. ИМХО. Методику тестирования уважаемые эксперты думаю проработают самостоятельно.( без наших советов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×