DefenseWall от Ильи Рабиновича

[priv8v 960]

Единственный устраивающий меня результат- 100% при стандартных настройках.

Лик-тесты в свободном доступе - преграды неизвестности нет

[Илья Рабинович 521]

Лик-тесты в свободном доступе - преграды неизвестности нет

Ну, это всё было легко сделано. И даже больше...

[Андрей-001 1099]

Планируется участие V3 Personal Firewall

Это Ваш новый продукт?

[Deja_Vu 366]

HIPS- не планируется. Планируется участие V3 Personal Firewall

Пользователи 64биных систем опять же будут обделены?

[Андрей-001 1099]

Пользователи 64биных систем опять же будут обделены?

Если бы у нас было два одинаковых Ильи Рабиновича...

[Илья Рабинович 521]

Пользователи 64биных систем опять же будут обделены?

Данный вопрос нужно адресовать в компанию Майкрософт. Они не планируют пойти навстречу независимым разработчикам средств безопасности и убрать PatchGuard. И я тут бессилен что-либо сделать. Того куцего API фильтрации, что они предоставляют, мне недостаточно для обеспечения одинакового уровня гарантированной безопасности для x32 и x64, а выпускать DefenseWall Placebo Edition у меня нет никакого желания.

Это Ваш новый продукт?

Скорее, продолжение старого. А HIPS версия будет "обрубком" продолжения.

[grmv 0]

Здравствуйте, Илья!

Меня очень интересует Ваш продукт - DefenseWall, и я хотел бы его купить. Но мне не до конца ясны его возможности.

Сможет ли он защитить меня в следующих ситуациях:

1. при запуске файла зараженного файловым вирусом, например Sector

2. если доверенный процесс, например explorer.exe будет пробит эксплойтом, и в нем будет выполняться вредоносный код, дропая трояна

3. аналогично п.2, но вредоносный файл создаваться не будет, а вредоносный код будет существовать только в оперативной памяти, например, ведя поиск и отсылку паролей и т.д.

[Илья Рабинович 521]

Доброго времени суток!

Сможет ли он защитить меня в следующих ситуациях:

1. при запуске файла зараженного файловым вирусом, например Sector

Песочница защищает от модификации файлы, имеющих соответствующие расширения(.exe,.sys,...- список достаточно велик). И даже если расширение файла не поддерживает защиту, после модификации из недоверенной зоны он стартует только недоверенным.

2. если доверенный процесс, например explorer.exe будет пробит эксплойтом, и в нем будет выполняться вредоносный код, дропая трояна

Для защиты от эксплуатации ошибок переполнения есть соответствующие методы- Hardware DEP, например, включённый для всех процессов. Либо соответствующие эмуляторы этого режима для старых процессоров без NX/XD-бита.

3. аналогично п.2, но вредоносный файл создаваться не будет, а вредоносный код будет существовать только в оперативной памяти, например, ведя поиск и отсылку паролей и т.д.

Для защиты из доверенной зоны- см. метод, описанный выше. Если же зловред стартует из недоверенной зоны, где поверхность атаки намного выше- программа реализует разделение и изоляцию ресурсов для недопущения либо минимизации рисков данного вида атак.

[dr_dizel 385]

Для защиты от эксплуатации ошибок переполнения есть соответствующие методы- Hardware DEP, например, включённый для всех процессов. Либо соответствующие эмуляторы этого режима для старых процессоров без NX/XD-бита.

[grmv 0]

Спасибо за разъяснение!

И еще вопрос - если я правильно понял, новая версия 3 уже в стадии беты и скоро выйдет.

Если приобрести продукт сейчас, как будет происходить переход на новую версию - с доплатой, без?

Есть ли смысл ждать новой версии или можно смело покупать?

Спасибо!

[Илья Рабинович 521]

И еще вопрос - если я правильно понял, новая версия 3 уже в стадии беты и скоро выйдет.

Да, именно так.

Если приобрести продукт сейчас, как будет происходить переход на новую версию - с доплатой, без?

Без доплаты.

Есть ли смысл ждать новой версии или можно смело покупать?

Ну а это уже- по желанию.

[Dr.Golova 55]

> 2. если доверенный процесс, например explorer.exe будет пробит эксплойтом, и в нем будет выполняться вредоносный код, дропая трояна

>> Для защиты от эксплуатации ошибок переполнения есть соответствующие методы- Hardware DEP, например, включённый для всех процессов.

>> Либо соответствующие эмуляторы этого режима для старых процессоров без NX/XD-бита.

Т.е DW бессилен против современных эксплотов, через коии 80% заражений и происходит?

На х86 DEP практически бесполезен, и выключен по умолчанию (разве DW включает его автоматом?), а на х64 сам DW не работает (что странно, уже даже на всех ноутах по 4гб памяти и для ее поддержки все ставят х64, не говоря уже об игроманах).

Кароче, заблочит ли DW пробой самым ходовым PDF сплоетом под доверенный акробат, и сможет ли хотябы тормознуть запуск скачанный файл от доверенного акробатовского родителя? А если процесс рождается из самого малварного PDF без скачивания?

[Илья Рабинович 521]

Т.е DW бессилен против современных эксплотов, через коии 80% заражений и происходит?

Да, безусловно. Ибо данное средство от эксплойтов не защищает. Оно защищает от их последствий.

а на х64 сам DW не работает (что странно, уже даже на всех ноутах по 4гб памяти и для ее поддержки все ставят х64, не говоря уже об игроманах).

А это скажите спасибо компании Microsoft с её PatchGuard. Я не буду вкладывать в разработку ни копейки, пока этот уродец будет неотключаем. Поскольку сделать полноценную песочницу без перехватов в ядре невозможно.

Кароче, заблочит ли DW пробой самым ходовым PDF сплоетом под доверенный акробат, и сможет ли хотябы тормознуть запуск скачанный файл от доверенного акробатовского родителя?

Нет, конечно. Просто DW не даст .pdf, скачанному из Инета, стать доверенным. Это сам пользователь должен сделать руками- ну а на нет и суда нет.

А если процесс рождается из самого малварного PDF без скачивания?

Ну и пускай рождается. Какая разница?

[Umnik 997]

А это скажите спасибо компании Microsoft с её PatchGuard.

пока этот уродец будет неотключаем. Поскольку сделать полноценную песочницу без перехватов в ядре невозможно.

Вы так говорите, как буд-то это что-то плохое.

[Илья Рабинович 521]

Вы так говорите, как буд-то это что-то плохое.

Именно так оно для меня как для вендора средств безопасности и есть. "Что-то плохое и неотключаемое".

[dr_dizel 385]

Именно так оно для меня как для вендора средств безопасности и есть. "Что-то плохое и неотключаемое".

А может на той же Win7 x64 + PG, UAC, фаер, etc + LCIE 8 + бесплатный MSE - ваш продукт совсем не нужен? Может вам уже можно смело на пенсию?

[deviss 75]

А может на той же Win7 x64 + PG, UAC, фаер, etc + LCIE 8 + бесплатный MSE - ваш продукт совсем не нужен? Может вам уже можно смело на пенсию?

Ну, с таким же успехом можно на пенсию отправлять вообще всех разработчиков решений по безопасности.

А вообще, насколько я понимаю, даже перечисленный вами набор - отнюдь не панацея. Уязвимости в ОС от Майкрософт никто не отменял, а чуть повыше станет популярность x64 платформы на домашних машинах, так и PG поломают, оглянуться не успеете, антивирус у них, может и хорош, но как-то пока до 100% еще не дотягивает (впрочем как и другие решения, но все же, речь сейчас именно о вашем списке), файрволл встроенный тоже пока излишней сообразительностью не блещет, UAC - да, неплохое средство от "дурака", но не более того. В общем, как ни крути, но массовый уход на пенсию всех разработчиков по безопасности, кроме Майкрософтовских - это хорошее решение - для Майкрософт , но для конечного пользователя пользователя - едва ли.

[Umnik 997]

deviss

К чему этот поток, если Илья сказал:

Я не буду вкладывать в разработку ни копейки, пока этот уродец будет неотключаем.

не буду вкладывать в разработку ни копейки

не буду

ни копейки

пока

неотключаем

Илья толсто намекает, что не хочет создавать защиту под современные ОС. Также толсто намекает, что хочет, чтобы MS еще более снизила уровень защиты своей ОС. Задарма.

[Vadim Fedorov 255]

Именно так оно для меня как для вендора средств безопасности и есть. "Что-то плохое и неотключаемое".

Как же в этой ситуации не вспомнить, Илья, Ваше сообщение #21 в котором Вас "глодали сомнения",

и в котором Вы предлагали подождать результаты динамического теста.

Только не совсем понятно, зачем ждать результаты тестов, если Ваш продукт не работает на x64 операционной системы Microsoft,

которая практически повсеместно становится стандартом для новых ПК.

Чего не скажешь (поддержка x64 операционных систем) о лидере индустрии с которым Вы пожелали сравниться,

и технологии которого, Вас почему-то "гложут"...

[dr_dizel 385]

А вообще, насколько я понимаю, даже перечисленный вами набор - отнюдь не панацея.

Так вообще панацеи ни от чего нет. В том же DW тоже находят дыры.

Да и я перечислил не все технологии, но их суммарная эффективность уже достаточно высока.

чуть повыше станет популярность x64 платформы на домашних машинах, так и PG поломают, оглянуться не успеете...

Совсем недавно покупатели Сталкер:Зов Припяти столкнулись с проблемой в нехватке памяти на x32, что не позволило играть с максимальными настройками. Всё уже началось. Дальше будет всё больше и больше доля x64 + мелкомягкие похоронили x32 убив PAE.

А вот если поломают PG, то дыру быстро залатают. Мелкомягкие доказали и в висте и в 7-ке, что PG они отключать не намерены.

[Рашевский Роман 110]

В том же DW тоже находят дыры.

Вы можете привести конкретные факты, методики и описания атак?

Можно в ПМ.

[dr_dizel 385]

Вы можете привести конкретные факты, методики и описания атак?

Эт типа наезд?

Вы вообще читаете тему? Откройте её хотя бы 178-е сообщение на 9-й странице сего топика.

Там и предыстория вся есть на несколько страниц вперед.

Можете ещё changelog почитать на ночь между строк.

P.S. А вы вообще с какого района?

[Андрей-001 1099]

178-е сообщение на 9-й странице сего топика.

...если копировать файл через сетевое окружение, то недоверенный атрибут не переходит на копию.

Всего то... А копия чья?

Дальше будет всё больше и больше доля x64 + мелкомягкие похоронили x32 убив PAE.

Более того MS уже "приговаривают" и x64. Грядёт эра х128-х! Читайте признания Роберта Моргана, они сейчас наслуху.

[dr_dizel 385]

Всего то... А копия чья?

Подумаешь - дырка во лбу! Ответ: сообщение 149.

P.S. Вам тоже телефон с камерой только позвонить?

[Андрей-001 1099]

dr_dizel

Было же сказано, ждите Бету3. Потом ругайте.

PS: У меня две недели в тоже самое время 1 комп был на одном только DW в купе с непропатченной и необновлённой ничем XP с её родным IE6 и ни один зловред не смог поднять головы. Ставил на разные системы для проверки. Результат одинаков - заражения нет, только мусор валяется.

См. моё сообщение по теме выше, где-то там...