DefenseWall от Ильи Рабиновича

[Илья Рабинович 521]

Значит, надо это выяснять. Нужно прислать письмо в адрес поддержки, я пришлю обратно исполняемый файл с логгированием.

[ppp 0]

Значит, надо это выяснять. Нужно прислать письмо в адрес поддержки, я пришлю обратно исполняемый файл с логгированием.

Письмо в адрес поддержки выслал.

[virys 0]

Ну как идет тестирование DefenseWall v3? Когда уже будет Final?

[Илья Рабинович 521]

Тестирование идёт хорошо. Много проблем выявлено и исправлено. Думаю, что с учётом того, что хелп-файл ещё в работе и два проблемных участка ещё в стадии исследования, финал будет в районе конца января-начала февраля. В конце месяца точно должен быть RC.

[UIT 103]

Прочитал на сайте Компьютерра–Онлайн материал о DefenseWall Personal Firewall:

_http://www.computerra.ru/terralab/softerra/493636/

Илья Рабинович, напишите пожалуйста Ваше мнение о данной статье.

[Umnik 997]

Илья его писал. В общем, человек не понимает, что он описывает и как все это работает. Если пейсатель желает доказать, что DW не защищает на 100%, мог бы указать просто на то, что пользователь скачает вредоноса, который маскируется под флеш плеер, запустит его доверенным (потому что инсталляторы надо так запускать) и получит "Отправьте СМС на короткий номер".

[UIT 103]

Илья его писал.

Где можно почитать?

В общем, человек не понимает, что он описывает и как все это работает.

Еще очень бы было интересно посмотреть комментарий автора материала. Сейчас в обсуждении статьи на форуме "Компьютерра Онлайн" его нет.

[Umnik 997]

Где можно почитать?

http://www.anti-malware.ru/forum/index.php...t&pid=92696

[UIT 103]

Umnik

Danke schön:)

[Илья Рабинович 521]

Вот полный разбор полётов Антона:

//------------------------------------------------------

В процессе моей частной переписки с Сергеем Вильяновым, редактором "Компьютерра -Онлайн" , он предложил написать о моём продукте на сайте Терры. Я согласился и попросил, чтобы написали не о HIPS-версии DefenseWall, а о её выходящей, совершенно новой Personal Firewall редакции, которая на данный момент находится в бете. В письме Сергею коротко описал основные преимущества моей программы по сравнению с конкурентами и начал ждать, что Андрей Крупин свяжется со мной для обсуждения непонятных моментов в функционировании программы и обсуждения статьи. Вместо этого Андрей быстро пишет статью (буквально за неделю) и выкладывает на сайт Компьютерры. Без слёз читать сей опус невозможно. Посмотрим на данное "творение" поближе.

1. Упоминаемая там "электронная весточка"- это моя частная переписка с Сергеем Вильяновым и я не помню, чтобы у меня спрашивали разрешения на её публикацию.

2. "И всё бы ничего, но модуль HIPS автоматом вносит привычные пользователю приложения в "черный" список и нарушает их нормальную работу, блокируя сохранение настроек и обновление продуктов". В программе нет "чёрного списка", а есть лишь список приложений, помещаемых в недоверенную зону потому, что являются "воротами" для попадания инфекции на компьютеры пользователей. DefenseWall не нарушает, при этом, их нормальную работу, все настройки сохраняются нормально кроме критичных по отношению к безопасности. Все обновления продуктов могут происходить только из доверенной зоны, поскольку иначе зловредные приложения также смогит их "обновлять". Но вам это уже вряд-ли понравится...

3. "Чем провинились Internet Explorer, Outlook, Opera, Mozilla, FireFox, ICQ, Google Talk, The Bat! и десятки других программ". Тем, что именно через них заражаются компьютеры пользователей. Или, может, напомнить, сколько Microsoft закрыло дыр в Internet Explorer за последний год? А ещё у меня "провинились" флешки, почему-то вообще не упомянутые в статье.

4."Да и сама идея внедрять в сетевой фильтр функцию запуска приложений в защищенной среде крайне сомнительна". Собственно, это и есть суть инновационного подхода DefenseWall- защищать уязвимую "доверенную" зону песочницы с помощью полностью автоматизированной защиты от внешних подключений, блокирующей "слушающие" порты, созданные доверенными процессами. За сим полностью отпадает необходимость в настройке портов (для eMule или uTorrent, к примеру), равно как и в "режиме обучения". То есть, DefenseWall Personal; Firewall- это не сетевой фильтр с прикрученной HIPS, а sandbox HIPS (песочница) с сетевым фильтром для защиты от несанкционированных входящих и исходящих подключений.

5. "Головной боли от нее, на наш взгляд, больше, чем практического толку". Извините, "наш"- это чей конкретно? Вот на взгляд, например, профессионального портала по безопасности Anti-Malware, DefenseWall- это единственное приложение, показавшее абсолютный, 100% результат в тесте защиты от угроз нулевого дня (0-day). Вот тебе, бабушка, и "сомнительная польза" запуска приложений в защищённой среде. Но Андрей у нас ещё и профессиональный тестировщик средств безопасности, значительно более профессиональный, чем AV-Comparatives и Anti-Malware (об этом чуть ниже).

6. "В нем пять вкладок, но только одна из них отведена под хранение немногочисленных настроек брандмауэра. Если другие аналогичные инструменты могут похвастаться экранами, в динамике демонстрирующими текущие сетевые подключения в системе, объем переданного трафика, задействованные порты и отображающими прочие сведения, то в DefenseWall Personal Firewall ничего кроме листинга приложений с правилами доступа в Сеть нет". Ну да, а зачем больше? Программа предназначена для "простого" пользователя, для которого все эти "экраны" с данными- ничего не значащий мусор. Я должен включать ненужный мне функционал только потому, что Андрей иначе находит это "скучным"? Да и потом, "аналогичных инструментов" пока что не наблюдается- DefenseWall это первый в мире персональный файервол- песочница. Ну или песочница- персональный файервол, кому как нравится.

7. "По утверждению Ильи Рабиновича, в профессиональных тестах Matousec, определяющих самые разные показатели брандмауэров, включая их надежность, умение блокировать троянские модули, а также способность противостоять самым сложным способам внедрения и скрытия вредоносного кода, DW PF набирает максимальное количество баллов и успешно проходит через многоуровневую систему оценки". Ну да, именно так. А вот скачать эти тесты (их теперь 148, кстати!) и проверить Андрею было слабо. Ибо мы имеем следующий "перл":

8. "но в отчетах Matousec, доступных для просмотра любому желающему, мы не нашли ни одного упоминания о DefenseWall Personal Firewall". Конечно же, его там нет! Достаточно открыть секцию "Frequently Asked Questions" раздела "Proactive Security Challenge", чтобы понять, что в тест беты не принимаются, а других версий Personal Firewall в природе пока что нет!

9. "Один из читателей антивирусного портала Virusinfo.info уличил хваленый брандмауэр в провале нескольких тестов". Вопрос только каких именно. Идём по упомянутой ссылке и читаем: провален тест Comodo Buffer Overflow на переполнение буфера (а DefenseWall и не защищает от данног вида атак), провален PCFlank (почему-то и у меня и у других пользователей всё в порядке, тест проходится на "ура") и не скрываются ("stealth") порты. Ну да, порты не скрываются, ибо объясните мне, какое это имеет отношение к безопасности в принципе и защите доверенной зоны песочницы в частности?

10. "а участнику форума на сайте Anti-malware.ru удалось столкнуться с ситуацией, когда вредоносное приложение нарушило работу компонентов сетевого экрана". Это вообще Перл с большой буквы, ибо человек явно работал не с Personal Firewall, а с HIPS. Да и гонял я этот Virut.56- ничего опасного, песочница отработала на все 100%. Но зачем Андрей будет себя утруждать тестами- лучше привести посты с форумов месячной давности в качестве неопровержимого доказательства!

11."Мы не преминули воспользоваться диагностическими средствами и, запустив утилиту Atelier Web Firewall Tester, обнаружили, что по уровню защиты DW PF ничуть не уступает встроенному в Windows брандмауэру". Самое интересное утверждение в данном опусе, ибо оно единственное проверяемое прямым естественнонаучным экспериментом. Итак, идём на сайт, скачиваем "Atelier Web Firewall Tester" (достаточно убогий тест по сравнению с Matousec, кстати) недоверенным браузером, распаковываем и запускаем установщик (сразу видно, что DefenseWall унаследовал "недоверенный" атрибут). После установки запускаем тест и легко набираем максимальные 10 очков в нём. Очевидно, что мы все делаем неправильно, и только Андрей Крупин имеет право на "правильный" результат.

[priv8v 960]

Илья Рабинович, спасибо за комментарии и хорошие объяснения философии работы продукта и ошибок в его тестировании от "компьютерра", но пока я это читал - чуть не сломал оба глаза (а их у меня всего два), силясь разобрать где-же слова из статьи, а где Ваши комментарии. Конечно, кавычки я заметил, но если бы после них стоял бы хотя бы "ентер", то было бы намного проще читать и понимать. А если каждую цитату выделить тегом "цитата", то было бы вообще шикарно.

Может вынесите куда-нибудь этот свой пост? Может в подпись линк на него. Или на свой сайт/форум в закрепление куда-нибудь...

[UIT 103]

Интересно, автор материала проведший очное знакомство с продуктом, является журналистом пишущим на IT тематику или занят в IT сфере и/или имея соответствующее образование, пишет различные статьи? И почему именно ему было предложено написать статью?

[demkd 590]

Посмотрел вчера DW, чисто для ознокамления с возможностями современных сэнбоксов, песочница порадовала, действительно все аккуратно изолировано, работа явно проделана огромная а вот огорчило то, что зашаренные на запись локальные каталоги не стали недоверенными, хотя галочка отвечающая за сетевые ресурсы стоит, я даже не поверил и ловко подкинул софтинку в каталог с другого хоста, софтинку - сносящую все левые процессы из памяти, а потом изобразив лицом юзверя наступил на нее.

Ессно DW умер ибо запущенно из доверенного каталога очень неприятно и странно что такие каталоги не изолируются автоматически - по уровню опасности даже флешки отдыхают, дальше стало хуже, без рестарта перезапускаю DW, он говорит что запущен как недоверенный, обидно конечно однако рестартую... и на экране красивое маленькое такое окно lsass.exe с текстом "операция не выполнена" (не дословно) и кирдык системе т.е. бесконечный перезагруз В чем проблема хз, может влетели настройки DW и абсолютно все стало недоверенным???

Откат реестра из DOS-а и повторная установка DW, смотрю дальше:

запускаю простенький недоверенный процесс подделывающий свой полный пусть в PEB, затем смотрю что показывает DW в недовренных, а показывает он именно фейковый путь и иконку невинной программки, неприятно тем более, что бесполезной функцией GetModuleFileNameEx уже давно никто не пользуется разве что в 2k где нет док. альтернативы, что будет если начать манипулировать PID-ами я уже смотреть не стал, времени на это не осталось. На защите конечно подделка пути никак не сказывается, но вот юзера дезориентирует неплохо.

Перейдем к интерфейсу, глючность огорчила еще больше скролбары в списке недоверенных постоянно куда-то пропадают (так задумано?), а при запуске процесса на другом рабочем столе вдруг перестала работать кнопка

"добавить" до закрытия и открытия окна (в недоверенных).

В целом вывод простой - все что заявлено DW реально выполняет на 100% пассивная защита просто отличная при сравнении с другим софтом, с оговоркой на утомительную и ненужную возню с ручным добавлением опасных каталогов в недоверенные на лок. дисках, а вот интерфейс честно говоря никакой, тут и тормоза и странные глюки в комплекте... даже как-то удивительно такое ощущение, что системную часть писал один человек, а хилый интерфейс другой.

Кончено сам пользоваться песочницей никогда не буду, ибо использование подобных продуктов подразумевает абсолютную веру в надежность защиты, а я не доверяю на 100% даже собственному софту

Все что я написал есть мое личное мнение, на основе пары часов тестирования т.е. без каких-либо претензий на истину в первой инстанции, прошу это учесть при написании гневных ответов

[priv8v 960]

что системную часть писал один человек, а хилый интерфейс другой.

кажется, так и есть.

Илья говорил про то, что заказывает интерфейсы через аля фриланс или я путаю

[Илья Рабинович 521]

а вот огорчило то, что зашаренные на запись локальные каталоги не стали недоверенными, хотя галочка отвечающая за сетевые ресурсы стоит

Потому что продукт предназначен для персонального использования, там это некритично. Я уже давно думаю добавить сканирование на предмет зашаренных папок, пока всё руки не доходили. Завтра сделаю.

бесконечный перезагруз В чем проблема хз, может влетели настройки DW и абсолютно все стало недоверенным???

Похоже на то. Но стоило загрузиться в Safe Mode и проэкспортировать "недоверенный" и "внутренний" списки, я бы посмотрел на них. Странное что-то явно.

запускаю простенький недоверенный процесс подделывающий свой полный пусть в PEB, затем смотрю что показывает DW в недовренных, а показывает он именно фейковый путь и иконку невинной программки

В третьей версии давно исправлено.

Перейдем к интерфейсу, глючность огорчила еще больше скролбары в списке недоверенных постоянно куда-то пропадают (так задумано?)

Скроллбар может пропадать, если список большой. Вообще, интерфейс построен на стандартных виндовых контролах, я других не знаю.

а при запуске процесса на другом рабочем столе вдруг перестала работать кнопка "добавить" до закрытия и открытия окна (в недоверенных).

Что значит "перестала работать"? Выпадающая менюшка показывалась или нет? Бага воспроизводится или как?

а вот интерфейс честно говоря никакой, тут и тормоза и странные глюки в комплекте... даже как-то удивительно такое ощущение, что системную часть писал один человек, а хилый интерфейс другой.

Просто я системный программист, а не гуёвщик. Нельзя быть одинаково хорошим во всём. Всё равно практически никто туда не заглядывает. Я так уж точно!

или я путаю

Именно. Я не заказыва такие критические вещи на стороне. Там делается бибилотечка скинирования.

[priv8v 960]

Именно. Я не заказыва такие критические вещи на стороне. Там делается бибилотечка скинирования.

а со скинами дела как обстоят? вроде про них Вы как-то упоминали в данном контексте.

[Андрей-001 1099]

demkd

Какой именно DW вы использовали? DW HIPS или DW Personal Firewall?

я даже не поверил и ловко подкинул софтинку в каталог с другого хоста, софтинку - сносящую все левые процессы из памяти, а потом изобразив лицом юзверя наступил на нее.

А что за софтинка, если не секрет?

а со скинами дела как обстоят?

В DW Personal Firewall всё с этим в порядке. Скины отключаются одним кликом из КМ иконки в трее.

[Илья Рабинович 521]

а со скинами дела как обстоят?

Обстоят, но бибилотека скинирования ещё должна быть доработана. А сам файл со скинами будет доступен для модификации.

[priv8v 960]

Обстоят

а кто их делает?

а возможность их подключения/корректного натягивания и т.д?

[Илья Рабинович 521]

а кто их делает?

Пока- фрилансер. Файл скина мой.

а возможность их подключения/корректного натягивания и т.д?

Всё есть.

[priv8v 960]

Пока- фрилансер. Файл скина мой.

Вот про это я когда-то и слышал. Поэтому и подумал, что ошибки (скролл, пропадание кнопки) могут быть из-за этого...

[demkd 590]

Скроллбар может пропадать, если список большой. Вообще, интерфейс построен на стандартных виндовых контролах, я других не знаю.

Можно же просто сделать его видиым постоянно и нет проблем

Похоже на то. Но стоило загрузиться в Safe Mode и проэкспортировать "недоверенный" и "внутренний" списки, я бы посмотрел на них.

Желания возиться не было

Что значит "перестала работать"? Выпадающая менюшка показывалась или нет? Бага воспроизводится или как?

Менюшка при нажатии на кнопку не выпадала вообще, а насчет воспроизводимости не пробовал , просто закрыл/открыл окно и все заработало.

[demkd 590]

Какой именно DW вы использовали? DW HIPS или DW Personal Firewall?

А что за софтинка, если не секрет?

DW HIPS,

а софтинка называется startf.exe из моего бесплатного проекта uVS (в профиле есть сайт), имунная к блоку запуска через внедрение с помощью ключика Appinit_Dlls, предназанчена строго для зачистки winlock-ов и прочей мелкой шушеры под запуск основного тела uVS и отдельно от комплекта не работает, соотв. играть со startf не рекомендую, в последней версии он стал злым и срубает защищенные процессы, мало что переживает его запуск, хотя усилие пригалаемое к выгрузке очень сильно ограничено, в случае если активен KIS 2010 вообще не стоит запускать startf, KIS очень гордый, не любит потерь и п.н. повесит систему.

[Андрей-001 1099]

софтинка называется startf.exe из моего бесплатного проекта uVS ...срубает защищенные процессы, мало что переживает его запуск...

Ого! А к какому лагерю, в таком случае, вы причисляете свой софт, к защитному ПО или наоборот?

предназанчена строго для зачистки winlock-ов

Она может разблокировать систему, удалив сам Winlock?

[demkd 590]

Ого! А к какому лагерю, в таком случае, вы причисляете свой софт, к защитному ПО или наоборот?

Защитных функций нет, только search & destroy, потом как-нибудь ветку на форуме создам с описанием и там можно будет обсудить этот вопрос

Она может разблокировать систему, удалив сам Winlock?

Легко даже по сети или из PE.