Перейти к содержанию
vaber

Антишпионы в брандмауэрах

Recommended Posts

vaber

Когда говорят про антишпионы, то обычно подразумевают отдельные проги или антивирусы. А вот про работу(качество детектирования)встроенных в фаерволл(agnitum,zone alarm) мало где пишут.

Может кто расскажет насколько они хороши.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересная тема.

Что касается Agnitum (Outpost), то у них антиспайваре появилась совсем недавно, происхождение технологии неизвестно, пиарят они ее как свою.

Поэтому насколько она эффективна - это большой вопрос, тестов пока я не видел.

У ZoneLabs тоже есть специальный продукт ZoneAlarm Anti-Spyware, вот тут есть кое-какие обзоры и сравнения с конкурентами

http://reviews.cnet.com/ZoneAlarm_Anti_Spy...60.html?tag=sub

http://zdnet-entrepreneur.com.com/ZoneAlar...-2.html?tag=sub

Выглядит продукт не плохо, но у меня тут другой вопрос. Нужнен ли вообще такой функционал в firewall и будет ли кто-то платить за него деньги?

Тренд на рынке сейчас такой, что сегмент антиспайваре сливается с антивирусным, все антивирусные вендоры так или иначе уже заявляют о защите от спайваре. Уважаемые анатитики предсказывают, что класса спайваре и другие нежелательные программы просто будут детектироваться наряду с вирусами, червями и т.д.

Т.е. вместо антивируса и антиспайваре будет один продукт, что сейчас уже и происходит. В этом случае такой функционал в firewall становится лишним, он просто не нужен. Например, уважаемая компания Gartner рекомендует клиентам требовать защиту от спайваре от своего поставщика антивирусной защиты.

Более того, рынок персональных firewall сворачивается, по нему сильно ударили выход XP SP2 и наличие интерированных продуктов "все в одном" от антивирусных вендоров.

Осмелюсь даже сказать, что с выходом Microsoft Vista рынок персональных firewall вообще будет загибаться на глазах. Конечно компании типа Agnitum не умрут, они будут работать в качестве технологических компаний, поставляя свои продвинутые технологии другим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Я с Вами согласен и так же считаю, что продукты как антивирусных компаний, так и производители брандмауров будут стремиться к созданию комплексных решений.

Вот на счёт такого функционала в брандмауэрах я не совсем согласен. Дело в том, что современный антивирус не даёт 100% гарантии, что он обнаружит вирус( в том числе и шпиона), а наличие его ещё и в фаерволе как ни как повышает вероятность обнаружения зловредной программы(базы ведь в антивирусе и фаерволе отличаются).

P.S.Спасибо Сергей Ильин за ссылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Дело в том, что современный антивирус не даёт 100% гарантии, что он обнаружит вирус( в том числе и шпиона), а наличие его ещё и в фаерволе как ни как повышает вероятность обнаружения зловредной программы(базы ведь в антивирусе и фаерволе отличаются).

Гарантии никто не дает, это правда. Начичие защиты от шпионских программ в firewall конечно потенциально должно лучше защитить, но вот на много ли?

Сразу две антишпионские программы сразу - это все же роскошь, например, мало кто использует у себя сразу два или три антивируса, хотя защита вроде как тоже должна быть луше, так ведь?

Спасибо Сергей Ильин за ссылки

Не за что :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Сразу две антишпионские программы сразу - это все же роскошь

не такая уж и роскошь у меня стоит аутпост с включённым модулем антиспайварь и ms антиспаварь.

Про аутпост и его модуль по борьбе со шпионами сказать что-то трудно у меня он ничего ещё не нашёл.. В ПРИНЦИПЕ.

+ SAV 10 с активированной функцией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Ну 2-3 антивируса не используют по причине не только финансовой, но и из-за того, что это съест очень много ресурсов системы( я даже не уверен, что на током компе можно будет работать).

А фаер от Agnitum всегда с встроенным модулем anti-spawere(без него нет домашнего фаера)-то бишь, хош не хош, а по мимо антивируса ещё и анти-спайвэа будет и на ресурсах не скажется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

vaber

Кажется нет такого, но на самом деле это благо, его можно не включать :)

Работа любой программы, в той или иной мере, сказывается на ресурсах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вообще-то он у мнея тоже пока ничего не нашёл :D , но я надеюсь, что в случае чего он найдёт.

Очень хотелось бы, чтобы какой-нить специалист протестировал бы (сравнил) его с другими антивирусами(анти-спайвэями).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вообще-то он у мнея тоже пока ничего не нашёл Very Happy , но я надеюсь, что в случае чего он найдёт.

Я так понят, что там реалтайм монитор для антиспайваре, а не получится ли, что при включенном антивирусе он всегда будет молчать по причинам описанным вот в этой ветке http://www.anti-malware.ru/phpbb/viewtopic.php?t=570

Два перехватчика на одном компе нормально не живут, должен остаться только один :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

В теории да, на практике может быть иначе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Outpost Firewall Pro ver. 3.5.641.6214 (458)

http://www.agnitum.ru/products/outpost/

Как нормалный русский юзер, использовал некий кейген, к некой программе ) первое действие которое нужно было сделать это ввести "имя" для генератора ключа, второе - нажать иконку для занесения записи в рееестр, чтобы активировать ключ, все это проделал, "золотой глаз" у меня в системе.

Кроме этого антишпионский модуль "вытащил" 4 спая (все из реестра) при первой же проверке системы сразу после установки Аутпоста.

Детектит также программы тестирования фаервола

www.atelierweb.com/awft/

www.firewallleaktester.com/leaktest13.htm

Касперский АВП 5.0.388 www.kaspersky.ru

БитДефэндер ИС 9 www.bitdefender.ru

СпайСвипер 4.5.9 www.webroot.com/consumer/products/spysweeper/

в этих случаях вежливо промолчали!

Замечу, что все эти программы уживаются вполне мирно.

Вывод: приобоетение Вами данной программы будет хорошим вложением денежных средств, это мое объективное мнениие, не как продавца, но как пользователя, тем более, что у вас есть 30 дней на размышление, коробочные версии 600-700 российских рублей, это та цена которая себя оправдает.

Как Вы понимаете, меня наличие антишпионского модуля (как и других) в этой программе вполне устраивает, устраивают любые модули, которые можно отключать.

outpost_spy.jpg

post-148-1143580883.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Tampon, действительно очень удобно, что в Outpost антишпионская компонента реализована в виде подключаемого модуля, хочешь используй, хочешь - выключи.

Мне вообще такая модульная архитектура там нравится, я до этого долго пользовался Outpost, очень хороший firewall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Tampon

можешь выделить объекты обнаруженные аутпостом и в кинуть в исследовательскую ветку форума?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

То что написал Tampon, ещё раз доказывает что антивири далеко не всегда определяют вредные проги и что наличие в системе ещё одного средства желательно. У меня стоит(дома) Autpost3.5641. и Каспер5.0.527 и фаер обнаруживал тестоваю прогу (антивирь молчал).Вывод:Каспер и Агнитум друг другу не мешают определять вредоносный код.

(поэтому на основании опыта было доказано, что 2 перехватчика на 1 сисеме прекрасно уживаются. Глюков не обнаружено).

Добавлено спустя 28 минут:

Ради интереса скачал 2 проги на пробиваемость фаера изнутри (jumper и copycat)-ксажелению я ща не насвоём компе, поэтому антиспайваре в аутпосте не проверял, а просто отослал их на вирустотал.

Результат немного удивил: copycat опредилили почти все антивирусы(что удивительно но NOd32 ни чего плохого и даже подозрительного в этом файле не нашёл)кто трояном, а кто эксплоитом. А вот jumper ни кто не определил:корочь-безвредный он.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Когда говорят про антишпионы, то обычно подразумевают отдельные проги или антивирусы. А вот про работу(качество детектирования)встроенных в фаерволл(agnitum,zone alarm) мало где пишут.

Может кто расскажет насколько они хороши.

Антивирусные компании серьезно начали относится к spyware позже, чем назрела проблема. Это дало шанс компаниям третьего (десятого) эшелона заработать. Так было в свое время с троянцами и спамом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Антивирусные компании серьезно начали относится к spyware позже, чем назрела проблема. Это дало шанс компаниям третьего (десятого) эшелона заработать. Так было в свое время с троянцами и спамом.

Но при этом уровень развития позволил антивирусным компаниям когда проблема назрела просто взять и купить эти "третьи" компании, признав при этом высокий уровень разработанных ими технологий. Пример, приобретение Trend Micro компании InterMute и выпуск уже под своей маркой линейки Anti Spyware.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Господа, а как быть, если файервол на компе сам собирает и отсылает информацию? такой поворот событий как вам нравится? А ведь это увы, тоже вполне возможно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Господа, а как быть, если файервол на компе сам собирает и отсылает информацию? такой поворот событий как вам нравится? А ведь это увы, тоже вполне возможно!

Любая программа установленная на компе и работающая с правами не ниже администратор.. может собирать информацию и отсылать её куда угодно (как уследить за ней если это штатное приложение для работы с сервисами Интернет)

Для защиты от этого формально можно рассматривать лицензионное соглашение, но на самом деле защищённой можно считать замкнутую систему где с файлами работают доверенные приложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я так понимаю, можно же фальсифицировать какой-нибудь модуль или компоненту firewall, тогда утечка вообще никак не будет видна.

Это разве не шанс для шпионской программы?

Хотя в том же Outpost есть уже довольно давно такая штука как контроль компонент, но это может не спасти, так как ориентироваться в сообщениях от этой компоненты крайне сложно, не всегда ясно, изменение это произошло санкционировано (сам что-то сделал) или это из-за появления вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
ориентироваться в сообщениях от этой компоненты крайне сложно

Чтобы ориентирововаться надо знать полностью все документированные функции, а также знать адреса сети Интернет.

Если жёстко задать (с:program filesaolicq.exe (md5) -->login.icq.com: 5190) то грешить можно только на ICQ :)

все другие процессы icq обречены на неудачу.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Господа, а как быть, если файервол на компе сам собирает и отсылает информацию? такой поворот событий как вам нравится? А ведь это увы, тоже вполне возможно!

Это получается самоуправство какое-то, зачем нужна такая защита, которая сама без вашего согласия передает какую-либо информацию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

это нормальная паранойя.. и самое главное, абсолютно не без оснований!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Чтобы ориентирововаться надо знать полностью все документированные функции, а также знать адреса сети Интернет.

Если жёстко задать (с:program filesaolicq.exe (md5) -->login.icq.com: 5190) то грешить можно только на ICQ Smile

все другие процессы icq обречены на неудачу..

Я не это имел ввиду, процесс обучения тут непричем. Контроль компонент реализован по другому, это когда firewall тебе сообщает, что приложение icq.exe изменилось и говорит как. Outpost в этом случае спрашивает: Обновить информацию об этом приложении или забловировать?

Иногда почему приложения "меняются" как-то уж очень сами по себе, у меня реально возникало ощущение, что неизвестные вирусы повсюду :D

А что будет со всем этим делать неискушенный юзер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

я указал md5 - как пример наличия контрольной суммы и отвечает за целостность (как и наличие цифровой подписи), никакого отношения к отпосту это не имеет.

Комментируя работу контроля компонент, то я рекомендую рассмотреть работу приложения на уровне используемых компонент :)

Приложение под WIN 32 использует кучи компонент (динамических библиотек, файлов конфигурации и т п)... Вот если какое- либо приложение подгрузило DLL, то аутпост скажет процесс изменён...

Это наглядно рассматривать на примере IE, заходите на сайт где IE должен использовать надстройку (незапущенную ранее), активикс запускает её, к процесу iexplorer.exe подгружается новая компонента в виде dll..аутпост это фиксирует.

ТУТ МОЖЕТ БЫТЬ КАК ПОЛЕЗНОЕ ТАК И ВРЕДОНОСНОЕ ДЕЙСТВИЕ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ТУТ МОЖЕТ БЫТЬ КАК ПОЛЕЗНОЕ ТАК И ВРЕДОНОСНОЕ ДЕЙСТВИЕ..

Вот вот, поэтому я контроль компонент теперь все время выключаю, в том числе и в 6-ке Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×