Защита от эксплойтов Internet Explorer

[PaoloMaldini 0]

Привествую всех.

По работе приходиться использовать программы в которых работает движок IE 7.Так как опасаюсь эксплойтов использую FF с отключённым js.

Но в других прогах работающих на движке IE 7 мне нужен включённый js

1.Как можно надёжно защититься от эксплойтов одного фаервола достаточно Comodo или Online Armor ?

2.Может нужно ещё поставить дополнительные средства защиты специально для этого Buffer Overflow Protection

2.1 Comodo Memory Guardian

Вот что про него прочел: Мной лично было проверенно около 10 0day эксплоитов, и бесчисленное кол-во стареньких а-ля RPC DCOM - CMG успешно их все отловил, о чем вы можите прочитать на форуме комодо (и посмотреть скриншоты реальных атак).

2.2 DefenceWall HIPS

С этим справляется сразу?

Хотелось бы услышать ответ разработчика.

[Илья Рабинович 521]

2.2 DefenceWall HIPS

С этим справляется сразу?

Хотелось бы услышать ответ разработчика.

Мой продукт не защищает от эксплойтов, он защищает от их последствий.

[Ego1st 95]

2.1 Comodo Memory Guardian

Вот что про него прочел: Мной лично было проверенно около 10 0day эксплоитов, и бесчисленное кол-во стареньких а-ля RPC DCOM - CMG успешно их все отловил, о чем вы можите прочитать на форуме комодо (и посмотреть скриншоты реальных атак).

а можно ссылочку на этот топик?

[p2u 824]

Comodo Memory Guardian

Сейчас так уже не называется - Comodo Memory Firewall

Имейте в виду, что сами разработчики говорят, что она защищает от 90% эксплойтов. Естественно, каждый раз, когда программа вас защищать НЕ будет против очередную ещё неизвестную атаку на Flash Player или Acrobat Reader, это будет как раз эти оставшиеся 10%. Но раз она бесплатна: если она не конфликтует с DefenseWall HIPS (или вы имели в виду DefencePlus?), можно ставить, конечно.

P.S.: Если у вас работает DEP, то тогда толка от CMF вообще нет, как я понял...

Paul

[Сергей Ильин 1538]

Мне не очень понятна такая постановка задачи. Почему нужно защищаться именно от эксплойтов? В любом случае цель антивирусной защиты - не допустить заражения. Тогда надо смотреть комплексно. Пусть хоть все эксплойты будут пропущены, но после этого загрузка непосредственно вредоносов или какие-то вредоносные изменения системы может быть успешно предотвращена.

Поэтому тот же DefenceWall HIPS в плане защиты ИМХО куда полезнее, чем попытки защиты от 90% эксплойтов. Если не нравится DefenceWall HIPS, то присмотритесь к другим HIPS, в том числе и встроенным в какой-то антивирус. Можно тогда расслабиться на счет скриптов и не вопрос просто отпадет.

Если у вас работает DEP, то тогда толка от CMF вообще нет, как я понял...

Кстати, давно интересует вопрос, насколько реально полезна технология Data Execution Prevention (DEP), первоначально предложенная AMD. Сейчас многие процессоры ее поддерживают, на уровне ОС поддерживается начиная с XP SP2 и выше.

[p2u 824]

Кстати, давно интересует вопрос, насколько реально полезна технология Data Execution Prevention (DEP), первоначально предложенная AMD. Сейчас многие процессоры ее поддерживают, на уровне ОС поддерживается начиная с XP SP2 и выше.

Помогает, но ограничено всё таки; ещё зависит от того, какие программы эксплуатируются. Я точно не знаю сейчас, но Flash Player, например не поддерживает (или не поддерижвал) DEP со всеми последствиями. Поэтому хакнули тогда Висту на хакерской конференции именно через Flash Player. И ещё DEP обходится атакой типа ret2libc...

Подробно про DEP (с картинками)

Подробно про DEP (версия для печати)

Paul

[Андрей-001 1099]

Кстати, давно интересует вопрос, насколько реально полезна технология Data Execution Prevention (DEP),

Data Execution Prevention (DEP) (англ. Предотвращение выполнения данных) — функция безопасности, встроенная в семейство операционных систем Windows, которая не позволяет приложению исполнять код из области памяти, помеченной как «только для данных». Она позволет предотвратить некоторые атаки, которые, например, сохраняют код в такой области с помощью переполнения буфера. DEP работает в двух режимах: аппаратном, для процессоров, которые могут помечать страницы как «не для исполнения кода», и программном, для остальных процессоров. Эта функция впервые появилась в Windows XP SP2.

Ага, всвязи с чем появилась такая противная бага, как "Память не может быть written(read)... тинь-тинь-тинь..." или "...обратилась по адресу... дын-дын-дын..."

Потому меня тоже интересует этот вопрос.

Кто-нибудь может доказать практическую полезность этого ДЕПа?

Или

Посоветовать, как избавиться от этого ДЕПа?

[dr_dizel 385]

насколько реально полезна технология Data Execution Prevention (DEP)

Идею слили.

"Защищает" от непреднамеренных ошибок и старого софта.

Для защиты от малвари практически бесполезна.

[Ego1st 95]

я бы тоже почитал с удовольствием нормальный обзор по встроенному депу, если есть киньте ссылочку(желательно на русском но можно и на англ.=))..

[p2u 824]

я бы тоже почитал с удовольствием нормальный обзор по встроенному депу, если есть киньте ссылочку(желательно на русском но можно и на англ.=))..

Вот пока подробное описание от самой Майкрософт (на русском):

Подробное описание функции предотвращения выполнения данных, входящей в состав Windows XP с пакетом обновлений 2 (SP2), Windows XP Tablet PC Edition 2005 и Windows Server 2003

Если по всем ссылкам щёлкать получается совсем неплохо.

P.S.1: Ссылка в сообщение №6 не то?

P.S.2: Картинки с кровью после попыток неудачного тестирования DEP не смог найти пока...

Paul

[Ego1st 95]

P.S.1: Ссылка в сообщение №6 не то?

то, только я писал и почему-то не видел данных сообщений=)

[p2u 824]

то только я писал и почему-то не видел данных сообщений=)

Это режим невидимости называется

Кэш форума и браузера играют временами такую роль, да...

Paul

[PaoloMaldini 0]

а можно ссылочку на этот топик?

Ссылка вот от куда взял этот комент,последний пост

А вот сами тесты найти не смог.Может у кого получиться ?

Вопрос так и не решён.

Встретил только мысли:

1.отключить JavaScript - не подходит,где-то он нужен.

2. Avira защищает от iframe + у неё есть встроенный javascript интерпретатор и она вроде как защищает от эксплойтов.Может кто знает ?

3.МОжет кто ещё,что посоветует? Где ещё спросить ? Что почитать ? Поискать ? Может какие международные сайты,где можно задать этот вопрос ?

[p2u 824]

А вот сами тесты найти не смог. Может у кого получиться ?

Comodo BOTester для Win32

Comodo BOTester для Win64

Естественно Comodo пройдёт тест, создан его же разработчиком...

Ещё есть тест от вендоров BufferShield:

DEP Test

И напоследок есть этот 'тест' [поддельный 'эксплойт' без всякого эффекта, который НЕ ДОЛЖЕН детектиться на самом деле, если только продуктом создателей (Link Checker) для лучшей продажи]. Естественно, продукты, которые нуждаются в обмане для того, чтобы их продать не стоит даже смотреть...

http://www.explabs.com/test/ ->

http://www.explabs.com/test/demo.html ->

http://www.explabs.com/test/demo_container.html

P.S.1: IE не предоставляет нормальую возможность упралять скриптами и/или плагинами (либо всё, либо ничего). Вот в чём беда этого браузера. И ещё против него, что Майкрософт его слишком глубоко интегрировала в систему. Пытаться защищать его (и особенно ActiveX модули и плагины в нём) при таких обстоятельствах на мой взгляд бессмысленно.

P.S.2: Программы, которые действительно полностью защищают от эксплойтов я ещё не видел. Стоит покопаться в таких сайтах как milw0rm, и попробовать несколько эскплойтов там, чтобы в этом убедиться. Одну программу, которую также стоило бы посмотреть (ZoneAlarm Extreme Security) я сам не мог тестить - она не устанавливается у меня... Вопросы насчёт этой программы советую задать vaber.

Paul

[vaber 350]

Одну программу, которая обещает, что делает это (ZoneAlarm Extreme Security)

Программа не защищает от эксплоитов - она предотвращает попадание вредоносного кода в систему, который может быть загружен в случае срабатывания эксплоита.

[p2u 824]

Программа не защищает от эксплоитов - она предотвращает попадание вредоносного кода в систему, который может быть загружен в случае срабатывания эксплоита.

Поправил текст на: 'Одну программу, которую также стоило бы посмотреть...'

Paul

[Б.. 10]

Были такие случаи. У друга игра стояла на СП1, все было ОК. Поставил СП2 по чистому. Играть перестала. Квест какой-то. А у меня после этого ГТАшки идти перестали. Без вирусов и антивирей, проверял, отключил брандмаера - все равно не идут.

Мне сказали виноват ДЕП, а отключить его не знаем как. Если проблема будет решена - с меня пиво.

[p2u 824]

Мне сказали виноват ДЕП, а отключить его не знаем как. Если проблема будет решена - с меня пиво.

Я не пью, но у меня DEP не работает. Отключил её так: файл boot.ini отредактировать (параметр noexecute=AlwaysOff)

[boot loader]

timeout=15

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=AlwaysOff /fastdetect

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Safe Mode" /safeboot:minimal/sos/bootlog

Paul

[Андрей-001 1099]

Б.. некоторые пояснения к методу Паула.

Параметры, используемые в файле Boot.ini в Windows XP и Windows Server 2003

Описание файла «BOOT.INI» (XP)

p2u

Я себе так же сделаю.

p2u а у пользователей обычно стоит параметр

noexecute=optin

Это как понять? В предложенным самим ссылках что-то не нашёл.

[p2u 824]

noexecute=optin

Это как понять? В предложенным самим ссылках что-то не нашёл.

/NOEXECUTE=OPTIN Только для системных компонентов ОС, включая ярдо Винды и драйверов (админы могут отключить DEP).

Opt In = включиться в игру. Видимо имеется в виду НЕ ВЫПОЛНИТЬ ЗАДАННЫЕ ПОТЕНЦИАЛЬНО ВРЕДНЫЕ ЭЛЕМЕНТЫ, но есть возможность добавить ещё вредные элементы, которые не должны выполняться.

/NOEXECUTE=OPTOUT для ОС и всех процессов, включая ярдо Винды и драйверов (админы могут отключить DEP).

Opt Out = выйти из игры. Видимо имеется в виду НЕ ВЫПОЛНИТЬ ЗАДАННЫЕ ПОТЕНЦИАЛЬНО ВРЕДНЫЕ ЭЛЕМЕНТЫ, но есть возможность задать исключения, которые не будут блокироваться.

/NOEXECUTE=ALWAYSON Только для системных компонентов ОС, включая ярдо Винды и драйверов (любые попытки отключить DEP игнорируются)

/NOEXECUTE=ALWAYSOFF DEP отключён - любые попытки включить его игнорируются.

http://msdn.microsoft.com/en-us/library/ms791539.aspx

http://technet.microsoft.com/en-us/sysinte...s/bb963892.aspx

Здесь можно посмотреть состояние DEP: Панель Управление (класс.) - Система - Дополнительно - Параметры быстродействия - Предотвращение выполнения данных.

Если вы отредактировали файл boot.ini как я указал, то тогда возможности поправить этот параметр больше нет, пока вы boot.ini не обратно редактируете (вкладка сама отключается):

P.S.: Даже это не 100% гарантия, что система будет действительно отключена. Во-первых, ст0ит BIOS проверить. Во-вторых, в реестре Винды достаточно много ключей типа 'Always' (Всегда), 'Never' (Никогда), 'Override' (Аннулировать), и т.д., которые могут отменить наши политики. Если анализировать это всё, и осознать почему это всё делается, то тогда глубокий депресняк обеспечен, и можно запросто в дурдом попасть...

Paul

[Андрей-001 1099]

p2u

Если вы отредактировали файл boot.ini

Это уже невпервой. Но с noexecute, alwaysoff и др. ключами как-то не приходилось связываться.

пока вы boot.ini не обратно редактируете (вкладка сама отключается):

Я как раз первым делом после этого перезагрузил ПК и посмотрел на эту вкладку. Параметры по SafeMode давно использую.

Если анализировать это всё, и осознать почему это всё делается, то тогда глубокий депресняк обеспечен, и можно запросто в дурдом попасть...

Зная политику... MS, я уже давно не удивляюсь. Легитимные adware, spyware, трояны, бэкдоры, руткиты, дайлеры... живут в их продуктах изначально, потому другая нелегитимная братия и может открывать дом под названием Windows пинком ноги, а также брать там и делать, что захочет.

[PaoloMaldini 0]

Эксплойты которые предназначенны для IE 7

Могут сработать в программах использующих движок IE(например WebCopier или TheWorld Browser) ?

Или нет ?

[p2u 824]

Эксплойты которые предназначенны для IE 7

Могут сработать в программах использующих движок IE(например WebCopier или TheWorld Browser) ?

Или нет ?

Зависит какой эксплойт, конечно, но могут.

Paul

[Danilka 678]

Пора ставить IE8

Кстати у меня DEP поддерживается на аппаратном уровне и включен для основных служб-проблем не с играми не какими то программами нет. Один раз он сработал-"забил" мне IE7 зачем то.

[p2u 824]

Пора ставить IE8

Ну да. По крайне мере 5 минут спокойного сёрфинга будет: Nils его взломал за такое время (эксплойт, где юзер должен нажать на ссылку) на Win7 и обошёл этот DEP... Если при этом учитывать, что на Висте и Вин7 по умолчанию (требование конкурса) никто под админ уже не сидит, то тогда это круто, конечно...

http://www.anti-malware.ru/forum/index.php?showtopic=7110

P.S.: Firefox он тоже взломал (гораздо сложнее на Windows; он это сделал на MAC), но если в Firefox был бы установлен NoScript, то тогда ему это с вероятностью 99,9% НЕ удалось бы...

Paul