Тест фаерволов на защиту от внутренних атак (результаты)

[A. 876]

PS: Завтра будет обещанная публикация по поводу тестов - см. www.internet-security.ru

Ну чо где

[Виталий Я. 859]

Ну чо где

а не успел вчера

[Сергей Ильин 1538]

Все в курсе, какие наградки раздает AM за этот тест?

"Firewall Outbound Protection", в котором защита исходящих соединений тестировалась ровно в 0 тестов (или в том одном, который Комодо завалил)?Проведение такого "теста" при всех вложенных усилиях при кривой методологии - все равно что на "скачанном из Инета архиве с вирусами" проверять качество антивирусной защиты чисто по сигнатурному детекту.

А в чем собственно проблема, почему данный раздел теста нельзя назвать защитой от внутренних атак? Давайте уж говорить тогда точно и по существу. Какие пункты (методы атак) не внутренние (может быть они внешние )?

И давайте более конкретно разбираться, что не нравится в существующей методологии. Прочитал дискуссию выше - ИМХО одни эмоции по поводу Comodo и DefenseWall. Ну не тестили мы ложные срабатывания в этот раз, я сразу написал об этом. И по DefenseWall я ситуацию объяснил - разные концепции продуктов.

Что не так?

[Виталий Я. 859]

Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

[Сергей Ильин 1538]

Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

Не буду спорить на счет корретности, я не лингвист. Я консультировался с носителями языка и все сказали ОК. Это лучшее из кратких названия для этого теста, что можно было придумать. Более точно можно только отразить смысл в предложении из 5-6 слов, что неприемлемо для наград.

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Да в чем тепличность то? Смотрим саммари к тесту (таблицу в самом начале) - Standard/Max (Untrusted Zone). Ну и далее по тексту. Что тут некорректного или тепличного?

Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое. Чего не занести утилиты в доверенные и не сделать тест? Сколько там баллов будет тогда?

Что такое "исходящая защита"?

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили?

[Виталий Я. 859]

Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать.

Нет, запусти с Аутпостом и с КИСом все утилиты с флешки, вот тогда все будет одинаково. Заблочат все 100% и юзеры пойдут спать в счастливом и свободном от угроз мире.

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили?

Ты серьезно? Посмотри, на ЧТО ты ссылаешься, с каким ПОРЯДКОМ СЛОВ, а после объясни разницу между:

- Firewall _Outbound Protection_ ("исходящая защита", да?)

и

- _Outbound Firewall_ Protection (защита "фаервола, работающего наружу", как вариант)

Или иди учи английский. Не говорю уже про 3 опечатки в английских словах.

[wx. 45]

Да в чем тепличность то?

Об этом подробно расписано в постах, которые по неведомым причинам переместили _из этой_ темы "типа как оффтопик" - http://www.anti-malware.ru/forum/index.php?showtopic=19539 .Пост #1 и пост #5.

Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое.

Да не означало бы это тоже самое, не означало. Почему это так - ссылка выше.

Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

[Сергей Ильин 1538]

- Firewall _Outbound Protection_ ("исходящая защита", да?)

А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

[Сергей Ильин 1538]

Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Я согласен, что умение определять доверенность или вредоносность приложения автоматически - это очень круто. Очень хорошо и правильно, что вендоры занимаются построение облаков и двигаются в этом направлении. Но проверка этих возможностей выходит за рамки теста. Тогда нужно было делать разные проверки в тесте не по настройкам, а по репутации/источнику/режиму работы и т.п. В этом случае это был бы уже совсем другой тест.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Если развивать эту мысль дальше, то в методологии к будущим таким тестам нужно прописать, что продукты-участники отбираются исходя из наличия логики автоматического определения доверенности/вредоносности приложений. Но верно ли это будет?

[soldat 10]

Сложная эта штука тесты тестить особенно фаерволы. Возможно ещё и это: Первый блин — комом © Но всёравно спасибо за тест. ИМХО возможно было бы интереснее разделить на 2 этапа:

1 настройки по умолчанию за пультом домохозяйка смотрит в монитор и жмёт ДА.

2 за пк специалист, который настраивает и управляет продуктом сам. В идеале неплохо бы было, если этот специалист ещё имел бы и прямое отношение к тестируемому продукту.

[Илья Рабинович 521]

Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

Да, есть. И не у всех, кстати. Только тогда нужно делать дополнительные прогоны на false positives и false negatives, причём с реальными зловредами, а не с тестовыми тулзами. Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

[soldat 10]

Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

У меня к примеру в доверительных только подписи которым я доверяю остальным уж извините на общих основаниях.

А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

[Виталий Я. 859]

А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Сколько тебе носителей языка (и какого?) это подтвердило? Наша пруфридер из Калифорнии, наши UK и AU партнеры, наши арабы и наши старейшины с 12-летним опытом в ИБ - все смущены и удивлены названием. От перестановки - меняется.

И последнее филологическое: "защита" не может "исходить". Защита НЕ может двигаться.

Собственно, комментарий Agnitum к "тесту фаерволов"-1

[Илья Рабинович 521]

А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

[A. 876]

Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Если это про Stuxnet, по мимо кассы. Они выдали серт кому надо. Другое дело, что этот серт потом уперли и заюзали на стороне. Верисайн то тут причем ?

Впрочем, вопрос кражи сертов - это туда же, в поляну дискредитации самой идеи цифровой подписи.

Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Да ладно тулзы, говорят что даже некоторые продукты по безопасности без подписей бывают. Врут,поди ?

[Илья Рабинович 521]

Если это про Stuxnet, по мимо кассы.

Не, чувак, это ты мимо кассы. Я вообще не о Стухнете говорил.

MD5: C67B937BC8F6B907883CEF4D4187821D

[RuJN 21]

А вот и долгожданная публикация

http://www.internet-security.ru/2011/09/22...tests-comments/

[Umnik 997]

RuJN

См #138

[priv8v 960]

два комментария к публикации Виталия Я.:

1. думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

[Сергей Ильин 1538]

2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

Это очень важный момент для будущих таких тестов, поэтому прошу помощи общественности. Как проверяем фолсы, какие проги ставим, какие действия выполняем в системе. Тут важно не усложнять чрезмерно, а показать качественные отличия в уровне ложных срабатываний.

[Ashot 110]

думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

security by obscurity?

[Mr. Justice 771]

Тема разделена >>>

[Сергей Ильин 1538]

Вчера размышлял на тему методологии теста и пришла в голову занятная мысль. Почему-то многих возмутили высокие позиции песочниц DefenseWall/Comodo в этом тесте, но никого не смутил системный аспект. Например, в том же КИС 2011/2012 можно тоже было запускать тулзы в Безопасной среде. И независимо от настроек результат был бы скорее всего 100%. Нечто подобного можно было бы добиться с Авастом например.

К чему я это все собственно. А к тому, что нужно принципиально определиться, мы берем песочницы в такие тесты или нет. Если берем, то нужно выработать правила игры для них.

Что скажете?

Также очень важно услышать ваши мысли по поводу тестирования на ложные срабатывания, пока что тишина по этому вопросу.

[GReY 35]

нужно принципиально определиться, мы берем песочницы в такие тесты или нет

не всякая песочница надёжна (GeSWall вы же продырявили), плюс вы же не запрещали другим продуктам запускать нечто в песочнице?

если они не посчитали нужным изолировать приложение и не смогли предотвратить вредоносные действия, то кто виноват?

[ole44 50]

Если в продукте заявлена песочница , тестировать её надо. В противном случае тестируется не весь функционал продукта , а его часть.И будут претензии ( обоснованные ) , что продукт тестировался предвзято. ИМХО. Методику тестирования уважаемые эксперты думаю проработают самостоятельно.( без наших советов)