Перейти к содержанию
vaber

Антишпионы в брандмауэрах

Recommended Posts

vaber

Когда говорят про антишпионы, то обычно подразумевают отдельные проги или антивирусы. А вот про работу(качество детектирования)встроенных в фаерволл(agnitum,zone alarm) мало где пишут.

Может кто расскажет насколько они хороши.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересная тема.

Что касается Agnitum (Outpost), то у них антиспайваре появилась совсем недавно, происхождение технологии неизвестно, пиарят они ее как свою.

Поэтому насколько она эффективна - это большой вопрос, тестов пока я не видел.

У ZoneLabs тоже есть специальный продукт ZoneAlarm Anti-Spyware, вот тут есть кое-какие обзоры и сравнения с конкурентами

http://reviews.cnet.com/ZoneAlarm_Anti_Spy...60.html?tag=sub

http://zdnet-entrepreneur.com.com/ZoneAlar...-2.html?tag=sub

Выглядит продукт не плохо, но у меня тут другой вопрос. Нужнен ли вообще такой функционал в firewall и будет ли кто-то платить за него деньги?

Тренд на рынке сейчас такой, что сегмент антиспайваре сливается с антивирусным, все антивирусные вендоры так или иначе уже заявляют о защите от спайваре. Уважаемые анатитики предсказывают, что класса спайваре и другие нежелательные программы просто будут детектироваться наряду с вирусами, червями и т.д.

Т.е. вместо антивируса и антиспайваре будет один продукт, что сейчас уже и происходит. В этом случае такой функционал в firewall становится лишним, он просто не нужен. Например, уважаемая компания Gartner рекомендует клиентам требовать защиту от спайваре от своего поставщика антивирусной защиты.

Более того, рынок персональных firewall сворачивается, по нему сильно ударили выход XP SP2 и наличие интерированных продуктов "все в одном" от антивирусных вендоров.

Осмелюсь даже сказать, что с выходом Microsoft Vista рынок персональных firewall вообще будет загибаться на глазах. Конечно компании типа Agnitum не умрут, они будут работать в качестве технологических компаний, поставляя свои продвинутые технологии другим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Я с Вами согласен и так же считаю, что продукты как антивирусных компаний, так и производители брандмауров будут стремиться к созданию комплексных решений.

Вот на счёт такого функционала в брандмауэрах я не совсем согласен. Дело в том, что современный антивирус не даёт 100% гарантии, что он обнаружит вирус( в том числе и шпиона), а наличие его ещё и в фаерволе как ни как повышает вероятность обнаружения зловредной программы(базы ведь в антивирусе и фаерволе отличаются).

P.S.Спасибо Сергей Ильин за ссылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Дело в том, что современный антивирус не даёт 100% гарантии, что он обнаружит вирус( в том числе и шпиона), а наличие его ещё и в фаерволе как ни как повышает вероятность обнаружения зловредной программы(базы ведь в антивирусе и фаерволе отличаются).

Гарантии никто не дает, это правда. Начичие защиты от шпионских программ в firewall конечно потенциально должно лучше защитить, но вот на много ли?

Сразу две антишпионские программы сразу - это все же роскошь, например, мало кто использует у себя сразу два или три антивируса, хотя защита вроде как тоже должна быть луше, так ведь?

Спасибо Сергей Ильин за ссылки

Не за что :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Сразу две антишпионские программы сразу - это все же роскошь

не такая уж и роскошь у меня стоит аутпост с включённым модулем антиспайварь и ms антиспаварь.

Про аутпост и его модуль по борьбе со шпионами сказать что-то трудно у меня он ничего ещё не нашёл.. В ПРИНЦИПЕ.

+ SAV 10 с активированной функцией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Ну 2-3 антивируса не используют по причине не только финансовой, но и из-за того, что это съест очень много ресурсов системы( я даже не уверен, что на током компе можно будет работать).

А фаер от Agnitum всегда с встроенным модулем anti-spawere(без него нет домашнего фаера)-то бишь, хош не хош, а по мимо антивируса ещё и анти-спайвэа будет и на ресурсах не скажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

vaber

Кажется нет такого, но на самом деле это благо, его можно не включать :)

Работа любой программы, в той или иной мере, сказывается на ресурсах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вообще-то он у мнея тоже пока ничего не нашёл :D , но я надеюсь, что в случае чего он найдёт.

Очень хотелось бы, чтобы какой-нить специалист протестировал бы (сравнил) его с другими антивирусами(анти-спайвэями).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вообще-то он у мнея тоже пока ничего не нашёл Very Happy , но я надеюсь, что в случае чего он найдёт.

Я так понят, что там реалтайм монитор для антиспайваре, а не получится ли, что при включенном антивирусе он всегда будет молчать по причинам описанным вот в этой ветке http://www.anti-malware.ru/phpbb/viewtopic.php?t=570

Два перехватчика на одном компе нормально не живут, должен остаться только один :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

В теории да, на практике может быть иначе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Outpost Firewall Pro ver. 3.5.641.6214 (458)

http://www.agnitum.ru/products/outpost/

Как нормалный русский юзер, использовал некий кейген, к некой программе ) первое действие которое нужно было сделать это ввести "имя" для генератора ключа, второе - нажать иконку для занесения записи в рееестр, чтобы активировать ключ, все это проделал, "золотой глаз" у меня в системе.

Кроме этого антишпионский модуль "вытащил" 4 спая (все из реестра) при первой же проверке системы сразу после установки Аутпоста.

Детектит также программы тестирования фаервола

www.atelierweb.com/awft/

www.firewallleaktester.com/leaktest13.htm

Касперский АВП 5.0.388 www.kaspersky.ru

БитДефэндер ИС 9 www.bitdefender.ru

СпайСвипер 4.5.9 www.webroot.com/consumer/products/spysweeper/

в этих случаях вежливо промолчали!

Замечу, что все эти программы уживаются вполне мирно.

Вывод: приобоетение Вами данной программы будет хорошим вложением денежных средств, это мое объективное мнениие, не как продавца, но как пользователя, тем более, что у вас есть 30 дней на размышление, коробочные версии 600-700 российских рублей, это та цена которая себя оправдает.

Как Вы понимаете, меня наличие антишпионского модуля (как и других) в этой программе вполне устраивает, устраивают любые модули, которые можно отключать.

outpost_spy.jpg

post-148-1143580883.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Tampon, действительно очень удобно, что в Outpost антишпионская компонента реализована в виде подключаемого модуля, хочешь используй, хочешь - выключи.

Мне вообще такая модульная архитектура там нравится, я до этого долго пользовался Outpost, очень хороший firewall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Tampon

можешь выделить объекты обнаруженные аутпостом и в кинуть в исследовательскую ветку форума?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

То что написал Tampon, ещё раз доказывает что антивири далеко не всегда определяют вредные проги и что наличие в системе ещё одного средства желательно. У меня стоит(дома) Autpost3.5641. и Каспер5.0.527 и фаер обнаруживал тестоваю прогу (антивирь молчал).Вывод:Каспер и Агнитум друг другу не мешают определять вредоносный код.

(поэтому на основании опыта было доказано, что 2 перехватчика на 1 сисеме прекрасно уживаются. Глюков не обнаружено).

Добавлено спустя 28 минут:

Ради интереса скачал 2 проги на пробиваемость фаера изнутри (jumper и copycat)-ксажелению я ща не насвоём компе, поэтому антиспайваре в аутпосте не проверял, а просто отослал их на вирустотал.

Результат немного удивил: copycat опредилили почти все антивирусы(что удивительно но NOd32 ни чего плохого и даже подозрительного в этом файле не нашёл)кто трояном, а кто эксплоитом. А вот jumper ни кто не определил:корочь-безвредный он.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Когда говорят про антишпионы, то обычно подразумевают отдельные проги или антивирусы. А вот про работу(качество детектирования)встроенных в фаерволл(agnitum,zone alarm) мало где пишут.

Может кто расскажет насколько они хороши.

Антивирусные компании серьезно начали относится к spyware позже, чем назрела проблема. Это дало шанс компаниям третьего (десятого) эшелона заработать. Так было в свое время с троянцами и спамом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Антивирусные компании серьезно начали относится к spyware позже, чем назрела проблема. Это дало шанс компаниям третьего (десятого) эшелона заработать. Так было в свое время с троянцами и спамом.

Но при этом уровень развития позволил антивирусным компаниям когда проблема назрела просто взять и купить эти "третьи" компании, признав при этом высокий уровень разработанных ими технологий. Пример, приобретение Trend Micro компании InterMute и выпуск уже под своей маркой линейки Anti Spyware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Господа, а как быть, если файервол на компе сам собирает и отсылает информацию? такой поворот событий как вам нравится? А ведь это увы, тоже вполне возможно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Господа, а как быть, если файервол на компе сам собирает и отсылает информацию? такой поворот событий как вам нравится? А ведь это увы, тоже вполне возможно!

Любая программа установленная на компе и работающая с правами не ниже администратор.. может собирать информацию и отсылать её куда угодно (как уследить за ней если это штатное приложение для работы с сервисами Интернет)

Для защиты от этого формально можно рассматривать лицензионное соглашение, но на самом деле защищённой можно считать замкнутую систему где с файлами работают доверенные приложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я так понимаю, можно же фальсифицировать какой-нибудь модуль или компоненту firewall, тогда утечка вообще никак не будет видна.

Это разве не шанс для шпионской программы?

Хотя в том же Outpost есть уже довольно давно такая штука как контроль компонент, но это может не спасти, так как ориентироваться в сообщениях от этой компоненты крайне сложно, не всегда ясно, изменение это произошло санкционировано (сам что-то сделал) или это из-за появления вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
ориентироваться в сообщениях от этой компоненты крайне сложно

Чтобы ориентирововаться надо знать полностью все документированные функции, а также знать адреса сети Интернет.

Если жёстко задать (с:program filesaolicq.exe (md5) -->login.icq.com: 5190) то грешить можно только на ICQ :)

все другие процессы icq обречены на неудачу.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Господа, а как быть, если файервол на компе сам собирает и отсылает информацию? такой поворот событий как вам нравится? А ведь это увы, тоже вполне возможно!

Это получается самоуправство какое-то, зачем нужна такая защита, которая сама без вашего согласия передает какую-либо информацию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

это нормальная паранойя.. и самое главное, абсолютно не без оснований!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Чтобы ориентирововаться надо знать полностью все документированные функции, а также знать адреса сети Интернет.

Если жёстко задать (с:program filesaolicq.exe (md5) -->login.icq.com: 5190) то грешить можно только на ICQ Smile

все другие процессы icq обречены на неудачу..

Я не это имел ввиду, процесс обучения тут непричем. Контроль компонент реализован по другому, это когда firewall тебе сообщает, что приложение icq.exe изменилось и говорит как. Outpost в этом случае спрашивает: Обновить информацию об этом приложении или забловировать?

Иногда почему приложения "меняются" как-то уж очень сами по себе, у меня реально возникало ощущение, что неизвестные вирусы повсюду :D

А что будет со всем этим делать неискушенный юзер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

я указал md5 - как пример наличия контрольной суммы и отвечает за целостность (как и наличие цифровой подписи), никакого отношения к отпосту это не имеет.

Комментируя работу контроля компонент, то я рекомендую рассмотреть работу приложения на уровне используемых компонент :)

Приложение под WIN 32 использует кучи компонент (динамических библиотек, файлов конфигурации и т п)... Вот если какое- либо приложение подгрузило DLL, то аутпост скажет процесс изменён...

Это наглядно рассматривать на примере IE, заходите на сайт где IE должен использовать надстройку (незапущенную ранее), активикс запускает её, к процесу iexplorer.exe подгружается новая компонента в виде dll..аутпост это фиксирует.

ТУТ МОЖЕТ БЫТЬ КАК ПОЛЕЗНОЕ ТАК И ВРЕДОНОСНОЕ ДЕЙСТВИЕ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ТУТ МОЖЕТ БЫТЬ КАК ПОЛЕЗНОЕ ТАК И ВРЕДОНОСНОЕ ДЕЙСТВИЕ..

Вот вот, поэтому я контроль компонент теперь все время выключаю, в том числе и в 6-ке Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×