Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак (результаты)

Recommended Posts

Виталий Я.
Ну чо где

а не успел вчера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Все в курсе, какие наградки раздает AM за этот тест?

"Firewall Outbound Protection", в котором защита исходящих соединений тестировалась ровно в 0 тестов (или в том одном, который Комодо завалил)?Проведение такого "теста" при всех вложенных усилиях при кривой методологии - все равно что на "скачанном из Инета архиве с вирусами" проверять качество антивирусной защиты чисто по сигнатурному детекту.

А в чем собственно проблема, почему данный раздел теста нельзя назвать защитой от внутренних атак? Давайте уж говорить тогда точно и по существу. Какие пункты (методы атак) не внутренние (может быть они внешние :o )?

И давайте более конкретно разбираться, что не нравится в существующей методологии. Прочитал дискуссию выше - ИМХО одни эмоции по поводу Comodo и DefenseWall. Ну не тестили мы ложные срабатывания в этот раз, я сразу написал об этом. И по DefenseWall я ситуацию объяснил - разные концепции продуктов.

Что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что такое "исходящая защита"? Ты смысл слов понимаешь, в это вложенный, или просто копипастнул с индийских форумов?

Не буду спорить на счет корретности, я не лингвист. Я консультировался с носителями языка и все сказали ОК. Это лучшее из кратких названия для этого теста, что можно было придумать. Более точно можно только отразить смысл в предложении из 5-6 слов, что неприемлемо для наград.

"Тепличные условия" для DefenseWall ты продолжаешь оправдывать тем, что этот продукт якобы защищает одинаково во всех настройках?

Да в чем тепличность то? Смотрим саммари к тесту (таблицу в самом начале) - Standard/Max (Untrusted Zone). Ну и далее по тексту. Что тут некорректного или тепличного?

Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое. Чего не занести утилиты в доверенные и не сделать тест? Сколько там баллов будет тогда?

Что такое "исходящая защита"?

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили? :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Я не защищаю DefenseWall в данном случае, мне непонятна настойчивость поставить ему ноль. Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать.

Нет, запусти с Аутпостом и с КИСом все утилиты с флешки, вот тогда все будет одинаково. Заблочат все 100% и юзеры пойдут спать в счастливом и свободном от угроз мире.

Кстати, а что тогда такое Inbount Firewall или Outbound Firewall?

Первое - 8+ млн. страниц в Google - вот прув

Второе - 4.5+ млн. страниц в Google - прув

Индусы нафлудили?

Ты серьезно? Посмотри, на ЧТО ты ссылаешься, с каким ПОРЯДКОМ СЛОВ, а после объясни разницу между:

- Firewall _Outbound Protection_ ("исходящая защита", да?)

и

- _Outbound Firewall_ Protection (защита "фаервола, работающего наружу", как вариант)

Или иди учи английский. Не говорю уже про 3 опечатки в английских словах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Да в чем тепличность то?

Об этом подробно расписано в постах, которые по неведомым причинам переместили _из этой_ темы "типа как оффтопик" - http://www.anti-malware.ru/forum/index.php?showtopic=19539 .Пост #1 и пост #5.

Это означало бы ровно тоже самое, что если бы занести утилиты в доверенные правила в Outpost и потом тестировать. Может тогда тоже так сделаем? И с КИСом тоже самое.

Да не означало бы это тоже самое, не означало. Почему это так - ссылка выше.

Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
- Firewall _Outbound Protection_ ("исходящая защита", да?)

А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Я согласен, что умение определять доверенность или вредоносность приложения автоматически - это очень круто. Очень хорошо и правильно, что вендоры занимаются построение облаков и двигаются в этом направлении. Но проверка этих возможностей выходит за рамки теста. Тогда нужно было делать разные проверки в тесте не по настройкам, а по репутации/источнику/режиму работы и т.п. В этом случае это был бы уже совсем другой тест.

DefenseWall автоматически это определить не в состоянии - ну нечем попросту ему это делать. Решение полностью на плечах пользователя. При этом утилиты почему-то запускаются только из недоверенной зоны DefenseWall. Типа 100% обычных пользователей будут в 100% случаев устанавливать новые программы из недоверенной зоны, да?

Если развивать эту мысль дальше, то в методологии к будущим таким тестам нужно прописать, что продукты-участники отбираются исходя из наличия логики автоматического определения доверенности/вредоносности приложений. Но верно ли это будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat

Сложная эта штука тесты тестить особенно фаерволы. Возможно ещё и это: Первый блин — комом © Но всёравно спасибо за тест. ИМХО возможно было бы интереснее разделить на 2 этапа:

1 настройки по умолчанию за пультом домохозяйка смотрит в монитор и жмёт ДА.

2 за пк специалист, который настраивает и управляет продуктом сам. В идеале неплохо бы было, если этот специалист ещё имел бы и прямое отношение к тестируемому продукту.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Если совсем по-простому, то у альтернативных продуктов есть технологии, позволяющие определять автоматически куда помещать утилиты (вредоносы) - в доверенные, в недоверенные, частично ограниченные и т.д.

Да, есть. И не у всех, кстати. Только тогда нужно делать дополнительные прогоны на false positives и false negatives, причём с реальными зловредами, а не с тестовыми тулзами. Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
soldat
Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

У меня к примеру в доверительных только подписи которым я доверяю остальным уж извините на общих основаниях.

А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А можно перевести как "исходящая защита фаервола". Так что еще не известно, кому надо учить английский. Это как Antivirus Protection, можно также перевести по-разному в зависимости от контекста.

Сколько тебе носителей языка (и какого?) это подтвердило? Наша пруфридер из Калифорнии, наши UK и AU партнеры, наши арабы и наши старейшины с 12-летним опытом в ИБ - все смущены и удивлены названием. От перестановки - меняется.

И последнее филологическое: "защита" не может "исходить". Защита НЕ может двигаться.

Собственно, комментарий Agnitum к "тесту фаерволов"-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А вообще проблема из-за раздачи некоторыми, на которых пальцем указывать не будем, валидных цифровых подписей на право и на лево.

Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я видел своими глазами малварь, подписанную Верисайном. Подпись была валидна на момент проверки. Так что когда тыкают пальцем только в Комодо- сорри, мне нужно больше доказательств причастности, ибо лажают все центры сертификации.

Если это про Stuxnet, по мимо кассы. Они выдали серт кому надо. Другое дело, что этот серт потом уперли и заюзали на стороне. Верисайн то тут причем ?

Впрочем, вопрос кражи сертов - это туда же, в поляну дискредитации самой идеи цифровой подписи.

Ибо зловреды бывают подписаны валидными цифровыми подписями, а вот тестовые тулзы не очень-то.

Да ладно тулзы, говорят что даже некоторые продукты по безопасности без подписей бывают. Врут,поди ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Если это про Stuxnet, по мимо кассы.

Не, чувак, это ты мимо кассы. Я вообще не о Стухнете говорил.

MD5: C67B937BC8F6B907883CEF4D4187821D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

RuJN

См #138

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

два комментария к публикации Виталия Я.:

1. думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
2. предлагаю более подробно раскрыть тему ложняков (какие и почему файлы брать, как снимать баллы и т.д)

Это очень важный момент для будущих таких тестов, поэтому прошу помощи общественности. Как проверяем фолсы, какие проги ставим, какие действия выполняем в системе. Тут важно не усложнять чрезмерно, а показать качественные отличия в уровне ложных срабатываний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
думаю, что тестовые утилиты нужно дать только разработчикам ПО, пользователи обойдутся.

security by obscurity? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вчера размышлял на тему методологии теста и пришла в голову занятная мысль. Почему-то многих возмутили высокие позиции песочниц DefenseWall/Comodo в этом тесте, но никого не смутил системный аспект. Например, в том же КИС 2011/2012 можно тоже было запускать тулзы в Безопасной среде. И независимо от настроек результат был бы скорее всего 100%. Нечто подобного можно было бы добиться с Авастом например.

К чему я это все собственно. А к тому, что нужно принципиально определиться, мы берем песочницы в такие тесты или нет. Если берем, то нужно выработать правила игры для них.

Что скажете?

Также очень важно услышать ваши мысли по поводу тестирования на ложные срабатывания, пока что тишина по этому вопросу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
нужно принципиально определиться, мы берем песочницы в такие тесты или нет

не всякая песочница надёжна (GeSWall вы же продырявили), плюс вы же не запрещали другим продуктам запускать нечто в песочнице?

если они не посчитали нужным изолировать приложение и не смогли предотвратить вредоносные действия, то кто виноват?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ole44

Если в продукте заявлена песочница , тестировать её надо. В противном случае тестируется не весь функционал продукта , а его часть.И будут претензии ( обоснованные ) , что продукт тестировался предвзято. ИМХО. Методику тестирования уважаемые эксперты думаю проработают самостоятельно.( без наших советов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 1kryptik
      Был по работе в Новосибирске, задержался на два дня, думал сначала успеть всё за день и улететь обратно в Москву, но не успел. Пришлось искать где переночевать, нашел отличный хостел новосибирск у жд вокзала, если возникнут проблемы с проживанием, обращайтесь в этот хостел!
    • BooiCasino
    • Quinci
      Ну вы бы установщику сообщили сразу, что ноут не из новых. Может он бы и не стал вам 10-ку устанавливать. Если нет желания покупать новый ноут, то можно поставить пару планок оперативы, да и жесткий диск сменить с HDD на SSD, тогда и с 10-ой работать быстрее будет. Если винда не чистая, а скачанная откуда-нибудь с торрентов, то там, скорее всего куча программ есть и приложений. Тут https://windowsabc.ru/windows-10/kak-povysit-proizvoditelnost-noutbuka-na-windows-10/ почитайте, как их убрать, чтоб не грузили ноут. Тогда тоже будет быстрее работать. 
    • Tuki
      Мне интересны ставки на спорт. Во-первых, это интересно для каждого любителя спорта. Во-вторых, это может быть прибыльно. В общем, я сейчас делаю ставки, но пока опыта как такового нет. Хочу сменить контору на 1xbet. Условия очень хорошие. Есть сайт https://on-bet.ru/zerkala-bukmekerskih-kontor/zerkalo-1xbet/, на котором есть вся необходимая информация о зеркале этой конторы. О том, как его найти и не ошибиться.
    • Momo
      Если бы я ещё умела это делать. Спасибо, посмотрю ваш специализированный форум и там спрошу.
×