Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Вадим Волков

Оффтопик из темы нужно переносить.

И всё-таки, где комментарии от остальных "счастливых" вендоров? Неужели никто (кроме ЛК) не проявил заинтересованности?

На некоторых форумах высказываются в духе "опять в пользу ЛК судили". В том числе и из-за отсутствия комментариев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин

И всё-таки, где комментарии от остальных "счастливых" вендоров? Неужели никто (кроме ЛК) не проявил заинтересованности?

Проголосовали ногами))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll

Хочу попросить экспертов прокомментировать - насколько может защитить от эксплойтов включение в Windows DEP (Предотвращение выполнения данных) для всех программ и служб?

Стоит ли тестировать данный функционал в этом тесте?

И сильно ли это снизит производительность компьютера, если у меня процессор имеет аппаратную поддержку DEP?

Отредактировал Desperado_Troll

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
Облачный файрволл ?

Облачный файрволл и коллективный разум: http://www.pandasecurity.com/france/homeus...s?noticia=10448 :)

как у кого работает облако это именно к этому тесту имеет опоследовательное отношение

вопрос: К этому тесту имеет прямое отношение Мастер Stealth портов в Comodo Firewall - Alert me to incoming connections and make my ports stealth on a per-case basis ? Не к итоговой оценке, а чтобы не удивляться.

Александр Панасенко - Сканирование портов: "К большому удивлению, только восемь продуктов смогли обнаружить сканирование портов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
petr
Хочу попросить экспертов прокомментировать - насколько может защитить от эксплойтов включение в Windows DEP (Предотвращение выполнения данных) для всех программ и служб?

Стоит ли тестировать данный функционал в этом тесте?

И сильно ли это снизит производительность компьютера, если у меня процессор имеет аппаратную поддержку DEP?

DEP - параллельно защищает. На одни эксплойты DEP может оказывать влияние, на другие никакого.

В тесте интересно, как защищающие продукты, предотвращают эксплуатацию уязвимостей, особенно, если такая функциональность заявлена.

Я думаю, про DEP лучше почитать соответствующие источники. Когда фичу запускали, было много статей. Производительность снижаться не должна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrewf

Доброго времени суток,

Я являюсь разработчиком Emsisoft Online Armor.

На прошлой неделе я отправил Вам письмо по адресу info@anti-malware.ru относительно результатов и методологии данного теста.

Надеюсь, что, если я ошибся с адресом, а если ошибся, - меня поправят ;)

Заранее благодарю,

С уважением,

Андрей.

Компания Emsisoft GmbH

www.emsisoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
На прошлой неделе я отправил Вам письмо по адресу info@anti-malware.ru относительно результатов и методологии данного теста.

Ждем CheckPoint и еще пары зубров :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Евгений Касперский в свлоем блоге написал про некий Automatic Exploit Prevention (AEP)

http://eugene.kaspersky.ru/2012/05/25/expl...ays-protection/

Очень в тему данного теста

Хорошее обобщение материала и того что мы уже знаем год как минимум. В трубы нужно было бить уже давно, парни на ExploitKits зарабатывают очень хорошие деньги. Сегодня (да и год назад) это один из самых главных способов доставки малвари.

EK обеспечивают доставку огромного количества малвари, но бороться с помощью них вот такими превентивными технологиями, в составе ani-malware, едва ли даст какие-либо ощутимые результаты, к тому же рассчитана на пользователей конкретного продукта. Лучший способ борьбы с ними - обнаружение landing page специальными средствами и с последующей блокировкой со стороны провайдеров [является ли это областью компетенции AV-компаний - большой вопрос].

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Лучший способ борьбы с ними - обнаружение landing page специальными средствами и с последующей блокировкой со стороны провайдеров [является ли это областью компетенции AV-компаний - большой вопрос].

реактивный способ априори не может быть "лучшим".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
реактивный способ априори не может быть "лучшим".

Угу, поэтому и вопрос, будет ли кто заниматься поиском landing pages в ближайшем будущем [кроме independent researchers]...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
petr
Угу, поэтому и вопрос, будет ли кто заниматься поиском landing pages в ближайшем будущем [кроме independent researchers]...

По мне, надо защищать контур системы (хоста), а не гоняться за странными страничками в мутных юрисдикциях.

Но, коллеги, мы убегаем от темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

andrewf, скорее всего потерялось в куче спама в общем ящике. Форвардните пожалуйста на ilya.shabanov (домен тот же).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrewf
andrewf, скорее всего потерялось в куче спама в общем ящике. Форвардните пожалуйста на ilya.shabanov (домен тот же).

Доброго времени суток.

Только что переслал копию письма на этот адрес.

С уважением,

Андрей.

Компания Emsisoft GmbH

www.emsisoft.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

#3 Сергей Ильин

"Тестировщики уточнят этот момент, на вскидку не берусь сказать."

#17 Kartavenko M.V.

"Да, по наличию реакции. Продукт должен был сказать, что засек сканирование."

#80 Джон Доу

"вопрос: К этому тесту имеет прямое отношение Мастер Stealth портов в Comodo Firewall - Alert me to incoming connections and make my ports stealth on a per-case basis ? Не к итоговой оценке, а чтобы не удивляться."

переспрошу ещё раз, по русски: Сергей Ильин, уточните пожалуйста у тестировщиков, имеет ли прямое отношение Мастер Скрытых Портов в Комодо Файерволе к наличию реакции и засеканию извне сканирования портов Nmap(ом) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
переспрошу ещё раз, по русски: Сергей Ильин, уточните пожалуйста у тестировщиков, имеет ли прямое отношение Мастер Скрытых Портов в Комодо Файерволе к наличию реакции и засеканию извне сканирования портов Nmap(ом) ?

Вы хотите, чтобы мы перепроверили это? Если да, то тут наша помощь избыточна, каждый желающий может самостоятельно воспроизвести эксперимент на паре виртуалок ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
Вы хотите, чтобы мы перепроверили это?

Нет. Хотелось понять удивление тестировщиков. ;)

Если да, то тут наша помощь избыточна, каждый желающий может самостоятельно воспроизвести эксперимент на паре виртуалок ;)

На паре виртуалок в условиях максимально приближенных к реальным ?

На примере Комодо Файервола. Тестировщики не видят наличие реакции продукта на Сканирование портов. Пользователи продукта видят в реальных условиях реакцию на сканирование портов извне.

картинка нагло скопипиз скорипастина с форума Комода:

5bbb1e08d337t.jpg

оффтоп: http://www.youtube.com/watch?v=x4C5E_eBXj8&hd=1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
На паре виртуалок в условиях максимально приближенных к реальным ?

На примере Комодо Файервола. Тестировщики не видят наличие реакции продукта на Сканирование портов. Пользователи продукта видят в реальных условиях реакцию на сканирование портов извне.

Мы действительно не видели таких окон.

Сканировать порты можно по-разному, существуют много методов и их настроек. Мы брали самый простой метод и получили такие результаты. Настройки сканировани преведены в методологии. Допускаю, что на других настройках что-то может быть иначе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
Мы действительно не видели таких окон.

Сканировать порты можно по-разному, существуют много методов и их настроек. Мы брали самый простой метод и получили такие результаты. Настройки сканировани преведены в методологии.

извне online Nmape можно ?

C forums.comodo.com: Настройки фаервола\Настройки оповещений - "стандартные"

Допускаю, что на других настройках что-то может быть иначе.

Да, иначе, потому что Вы не использовали функционал Мастера Скрытых Портов. Не "самый простой метод" - одним кликом.

C comodo.com:

http://help.comodo.com/topic-72-1-284-2973...ard.html#Alert1

fw_stealth_port.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Да, иначе, потому что Вы не использовали функционал Мастера Скрытых Портов. Не "самый простой метод" - одним кликом.

Точно так же не использовался и режим Stealth Mode в Outpost, обладающий ровно таким же функционалом (но Wizard работает самостоятельно, закрывая неиспользуемые порты без созданных правил).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Оутпост обидели, Комодо оказывается ущемили. Неужели не было времени, разобраться в настройках продуктов?? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AreYouSure
На примере Комодо Файервола. Тестировщики не видят наличие реакции продукта на Сканирование портов. Пользователи продукта видят в реальных условиях реакцию на сканирование портов извне.

картинка нагло скопипиз скорипастина с форума Комода:

5bbb1e08d337t.jpg

оффтоп: http://www.youtube.com/watch?v=x4C5E_eBXj8&hd=1

На скрине опера хочет принять входящее соединение, каким образом это относится к сканированию портов?

извне online Nmape можно ?

C forums.comodo.com: Настройки фаервола\Настройки оповещений - "стандартные"

Да, иначе, потому что Вы не использовали функционал Мастера Скрытых Портов. Не "самый простой метод" - одним кликом.

C comodo.com:

http://help.comodo.com/topic-72-1-284-2973...ard.html#Alert1

fw_stealth_port.png

http://help.comodo.com/topic-72-1-284-2973...rts-Wizard.html

Stealthing a port effectively makes it invisible to a port scan. This differs from simply ‘closing’ a port as NO response is given to any connection attempts (‘closed’ ports respond with a ‘closed’ reply- revealing to the hacker that there is actually a PC in existence.) This provides an extremely high level of security to your PC. If a hacker or automated scanner cannot 'see' your computers ports then they presumes it is offline and move on to other targets. You can still be able to connect to Internet and transfer information as usual but remain invisible to outside threats.

Их "скрытие" отличается от закрытия только тем, что порт вобще не отвечает на запросы, делая неизвестным для злоумышленника существует ли вобще сканируемый ip. Да вот только ICMP Echo-Request он оставляет открытым и можно тупо пропинговать ip, чтобы убедится в его существовании, так что тут FAIL.

В итоге "Мастер скрытых портов" - это, грубо говоря, закрытие портов, причем для Недоверенных сетей.

1. В данном тесте атаки проводили из локалки - доверенной сети.

2. Закрытие портов - это не обнаружение сканирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Оутпост обидели, Комодо оказывается ущемили. Неужели не было времени, разобраться в настройках продуктов??

Встречный вопрос. Как вы полагаете, какой процент пользователей Comodo и Outpost "разбираются в настройках" и включают ручками всякие StelthMode и StelthPorts? Хотя бы примерно, экспертную оценку интересно услышать?

В итоге "Мастер скрытых портов" - это, грубо говоря, закрытие портов, причем для Недоверенных сетей.

1. В данном тесте атаки проводили из локалки - доверенной сети.

2. Закрытие портов - это не обнаружение сканирования.

Да, мы сканировали из локалки, все верно. Это более жесткие условия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Да вот только ICMP Echo-Request он оставляет открытым и можно тупо пропинговать ip, чтобы убедится в его существовании, так что тут FAIL.

Странно как-то,в комодо по умолчанию установлено глобальное правило "Бокировать ICMP Входящие из MAC Любой в MAC Любой,где ICMP сообщение:Echo запрос"

хх.хх.29.28 ping statistics ---

packets transmitted 9

received 0

packet loss 100 %

time 8056 ms

Где фэйл-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
На скрине опера хочет принять входящее соединение

"На скрине опера хочет принять входящее соединение" от другого компьютера, с которого в онлайне идёт обнаружения хостов сети и сканирование открытых портов.

https://hideme.ru/ports/

"Сканер портов — программное обеспечение, созданное для обнаружения хостов сети, в которых открыт нужный порт или набор портов."

каким образом это относится к сканированию портов?

Мне тоже интересно, в Opera & FireFox

61cdd3d7f1617ffbe0fd5b5f31a80d6c.png 04fa59c2f7397453420a107f1003b734.png

алерты видимы?

http://help.comodo.com/topic-72-1-284-2973...rts-Wizard.html

Stealthing a port effectively makes it invisible to a port scan. This differs from simply ‘closing’ a port as NO response is given to any connection attempts (‘closed’ ports respond with a ‘closed’ reply- revealing to the hacker that there is actually a PC in existence.) This provides an extremely high level of security to your PC. If a hacker or automated scanner cannot 'see' your computers ports then they presumes it is offline and move on to other targets. You can still be able to connect to Internet and transfer information as usual but remain invisible to outside threats.

Их "скрытие" отличается от закрытия только тем, что порт вобще не отвечает на запросы, делая неизвестным для злоумышленника существует ли вобще сканируемый ip. Да вот только ICMP Echo-Request он оставляет открытым и можно тупо пропинговать ip, чтобы убедится в его существовании, так что тут FAIL.

В итоге, "Мастер скрытых портов" - это, грубо говоря, закрытие портов, причем для Недоверенных сетей.

1. В данном тесте атаки проводили из локалки - доверенной сети.

2. Закрытие портов - это не обнаружение сканирования.

1. Loopback зона и Домашняя сеть тоже доверенные

2. "Мастер скрытых портов" - это, грубо говоря, Анти-Сканер портов и их сокрытие, а "закрытие портов" - путём удаления в Файервол\Политики сетевой безопасности\Наборы портов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×