Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак (результаты)

Recommended Posts

A.
А так была бы каша, у одним мы меняем настройки, а у других - запихиваем утилиты в доверенные. Сами же и запинали тест первыми. Поэтому было принято волевое решение, у DW четко написано, что результаты эти для untrusted zone. В самом начале прямо статьи в таблице. Имхо это самый правильный выход из этой сложной ситуации, иначе проще его вообще в такие тесты не брать.

Напомни мне все же - это был тест чего конкретно ? Что именно интересовало при проведении теста и для чего писались утилиты и придумывались методы ? Какой именно функционал требовалось протестировать ? С какой целью в методологии было прописано обязательно условие отсутствия детектирования на утилиты ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

OK, раз ты таки соизволил таки высказать претензию вслух, давай с ней разбираться. А то у кого-то тоже могут возникнуть подобные вопросы.

Когда вместо заявленного тестирования способности продуктов отражать 40 МЕТОДОВ, нам подсовывают результаты тупой блокировки запуска приложений

Ну так попробуйте пройти у него тест продуктом, который не дает запустить ни один тестовый файл.

Я продолжаю считать, что это неправильно, потому что мы тут проверяли методы обхода фв, а не "особенности" фв и результат в НОЛЬ процентов должен быть отражен публично, просто потому что никаких технологий защиты от тестируемых _методов_ - у тебя нет.

Как я понимаю, ты считаешь, что DW прошёл данный тест только потому, что им были заблокирован запуск тестовых утилит. Так вот- DW не блокирует запуск приложений. Вообще. Это песочница на правилах (чтобы тебе было проще- наподобие KIS HIPS, но без "обнюхивателя") с применением на основе правил. Так что DW прошёл тест абсолютно честно, полностью согласно методологии, заблокировав потенциально опасное поведение программ-симуляторов. Если уж не знаешь, как работает программа, то спроси у тех, кто знает.

Меня интересует вопрос - на каком основании для DW запуск тестовых утилит производился из "недоверенной" зоны?

На основании того, что браузер, почтовый клиент и прочие потенциально опасные приложения, а также всё, что сквозь них проходит- недоверенные. Копейцев мог скачать себе симуляторы через браузер или прислать себе по почте, или запустить с флешки, или по локальной сети или через зашаренную папку: результат будет абсолютно одинаков. На основании того, что когда юзер ловит drive-by с сайта через браузер, зловреды вываливаются в недоверенную зону и пытаются атаковать машину из-под неё.

Но, тебе всё эт не интересно, ибо

вопрос уже сугубо риторический.

и что там происходит на самом деле и как всё работает не имеет для тебя ровным счётом никакого значения. Хорошая жизненная позиция для главного аналитика! :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Так что DW прошёл тест абсолютно честно, полностью согласно методологии, заблокировав потенциально опасное поведение программ-симуляторов. Если уж не знаешь, как работает программа, то спроси у тех, кто знает.

Батенька, не несите уже эту чушь дальше. DW не проходит тест на "доверенном" режиме. Точка.

Ноль.

Зиро.

Зип.

Это не тест песочниц. С тестами песочниц не сюда.

За сим дискуссию с тобой заканчиваю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
Comodo, Online Armor

У Online Armor любое приложение можно запустиь с пониженными правами, по сути без админских прав и в доп настройках защитить от исполнения удаленного кода и т. д.

Что делалось?

Comodo - режим работы фаервола переведён в положение "Пользовательская политика".

Online Armor - мы пробовали все варианты настроек, но на результат так ни одно изменение не повлияло.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kopeicev
PC Tools, BitDefender, F-Secure, DrWeb

PC tools - на результаты повлияло только изменение ползунка "Усовершенствованные разрешения безопасности (ESP)" в положение "Высокий".

Dr. Web - Режим работы брандмауэра переключён в "Интерактивный".

По остальным будет позже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
Другое дело, что Комодо может ругаться при устновке нового софта, плагинов и тп. Даже почти на 100% будет ругаться, в то время как другие продукты рангом пониже в данном тесте дадут поставить софт спокойно и не будут пугать юзера.

Дело в том, что практически все продукты, проходящие по белым спискам, устанавливаются без каких-либо ексцессов. Иногда возникают недоразумения, вроде того же Duplex Secure (sptd.sys) и продуктов на его базе, которые ловит Memory Firewall, но это редкость. Естественно, речь об умолчальных настройках, дальше сами понимаете, какие алерты "накрутим", те и получим... Кстати, может стоит ещё пробежаться по списку, но не заметил тестов на переполнение буфера. :) Естественно, в каком-то смысле, это удалённая атака, но тем не менее, особенно с учётом того, что на x64 локально она намного эффективнее, чем удалённая.

Именно поэтому я бы с осторожностью рекомендовал продукты лидеры начинающим юзерам. Может быть как в анекдоте, и разобьют и руки порежут :)

В некотором смысле соглашусь. Продукт серьёзный и наличие хотя бы минимальных знаний по теме очень желательно, блАндинкам может не подойти. Но, на мой взгляд, в индустрии сложилась очень интересная ситуация. Как-то само собой разумеется, что для того, чтобы делать красивые таблички в ворде или экселе, нужно хоть немного их знать. Чтобы "намалевать" что-нибудь в кореле или фотошопе, нужно хотя бы самую малость с ними ознакомиться. Даже для записи обычной DVD-болванки необходимы какие-то минимальные знания и навыки. Да, естественно, многие вещи делаются интуитивно и разработчики прилагают все усилия, чтобы сделать всё ещё проще. Но, тем не менее. Индустрия же средств безопасности, "учуяв" необъятный рынок, старательно вбивает в голову пользователя тезис о том, что "ничего настраивать не надо", "ничего дополнительного знать не нужно", "включили и всё само работает, только деньги давайте". Такой подход, имхо, всё-таки перебор. И юзеру желательно хотя бы иметь представление о том, чем он рискует, отказываясь от "ненужных" дополнительных знаний и умений. В частности поэтому, я, в том числе, предлагал в своё время тестировать такой "разброс" настроек. В основном потому, что лучше виден технический потенциал продуктов, а не позиция маркетинговых отделов. И тест, имхо, получился гораздо более интересный, сразу видно, с каким продуктом нужно иметь голову на плечах, с какими это "уже не поможет", а с какими можно чуть расслабиться. Шероховатости, думаю, впоследствии сгладятся. Скажем, я лично не уверен, что стоит так или иначе минусовать алерты, особенно в "максимальных" режимах, ими пользуются в основном те, кто может адекватно ответить на алерт или, по крайней мере, будет опасаться ответить неадекватно. Так что не совсем согласен с указанной "функцией распределения" (пополам-напополам)...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
canni2
Скажем, я лично не уверен, что стоит так или иначе минусовать алерты, особенно в "максимальных" режимах, ими пользуются в основном те, кто может адекватно ответить на алерт или, по крайней мере, будет опасаться ответить неадекватно. Так что не совсем согласен с указанной "функцией распределения" (пополам-напополам)...

Согласился бы, если б сами алерты были адекватными. Иногда даже не в максрежимах такие вопросы задаёт, что юзера в ступор вгоняют и даже "минимальные знания темы" не спасают. А пока - любой алерт - это шок для пользователя, так что - минус. Можно, конечно, протестить алерты на понятность, но это уже вопросы социологии... ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Согласился бы, если б сами алерты были адекватными. ... А пока - любой алерт - это шок для пользователя, так что - минус. ...

А простите, зачем пользователю, которого любой аллерт вгоняет в шок, настраивать программу на повышенную защиту?

Для таких пользователей вполне достаточно режимов по-умолчанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
canni2
А простите, зачем пользователю, которого любой аллерт вгоняет в шок, настраивать программу на повышенную защиту?

Для таких пользователей вполне достаточно режимов по-умолчанию.

А в умолчаниях алертов не бывает? Их, конечно, меньше, но, тем не менее - они есть, и есть сначала шок, а потом ступор...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

При вкл. песочнице, юзерам практически ничего не нужно делать, и додумывать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
DW не проходит тест на "доверенном" режиме. Точка.

Ок, а KIS на "доверенном" режиме пройдет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Ок, а KIS на "доверенном" режиме пройдет?

А в отчете не видно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
С тестами песочниц не сюда.

а куда?

Dr. Web - Режим работы брандмауэра переключён в "Интерактивный"

спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
а куда?

Возможно когда то и этот тест будет проведен. Вот туда. :) Точнее в ту тему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Вот туда. Точнее в ту тему.

"Куда, блин? Туда блин".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Возможно когда то и этот тест будет проведен.

ну, одну песочницу уже и в хвост и в гриву протестили ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

ntoskrnl

Отключенный детект такой штуки по умолчанию как бы намекает :) И да, в Интерактивном режиме он тоже отключен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
todnei

Я думаю, Symantec Endpoint Protection 12.1.671.4971 обеспечивает най-лучшую защиту для Win XP. Можно протестить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я думаю, Symantec Endpoint Protection 12.1.671.4971 обеспечивает най-лучшую защиту для Win XP. Можно протестить?

Тест завершен. Прочитайте пожалуйста методологию теста. Тест посвящен продуктам класса Internet Security.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Кнопки "попкорн" не хватает, вообще это самый неоднозначный тест здесь, можно сказать холиварный такой тест. Почти не обсуждаются сами продукты, результаты того, как будет защищен пользователь, больше спорят из-за настроек, методологии и всяких таких вещей. Количество острых ругательно/уничижительных постов стремится к опасной величине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Кнопки "попкорн" не хватает, вообще это самый неоднозначный тест здесь, можно сказать холиварный такой тест. Почти не обсуждаются сами продукты, результаты того, как будет защищен пользователь, больше спорят из-за настроек, методологии и всяких таких вещей. Количество острых ругательно/уничижительных постов стремится к опасной величине.

Для меня в этом тесте остался один большой вопрос - почему он называется тестом фаерволов, а не утечек\самозащиты,

В целом тест слишком сложен чтобы кто-то спорил в стиле "да кто ж так перехватывает-то!", хотя бы потому что это требует глубоких знаний + бесплатное образование для хакеров.

То ли дело любой другой тест - на него каждый может сказать - "а вот у меня другие результаты"....

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Для меня в этом тесте остался один большой вопрос - почему он называется тестом фаерволов, а не утечек\самозащиты,

В целом тест слишком сложен чтобы кто-то спорил в стиле "да кто ж так перехватывает-то!", хотя бы потому что это требует глубоких знаний + бесплатное образование для хакеров.

То ли дело любой другой тест - на него каждый может сказать - "а вот у меня другие результаты"....

Самозащиту почти не тестировали, поэтому высок балл у ряда продуктов, у Матушека дальше 1-2 уровня не проходящих, и низок у того же Dr.Web, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Флейм и оффтопик перемещен в /dev/null http://www.anti-malware.ru/forum/index.php...mp;#entry139574

Сообщения, касающиеся особенностей работы DefenseWall выделены в отдельную тему http://www.anti-malware.ru/forum/index.php?showtopic=19539

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Тест завершен. Прочитайте пожалуйста методологию теста.

Вопрос к тестировщикам и администрации.

Если есть методология и она повторяема, то почему бы тогда постепенно не добавлять новые продукты к результатам теста (как у Matousec), а не ждать ещё год до следующего глобального тестирования.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS
Если есть методология и она повторяема, то почему бы тогда постепенно не добавлять новые продукты к результатам теста (как у Matousec), а не ждать ещё год до следующего глобального тестирования.

Тестировать продукт про выходе новой финальной версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×