Platforma: Windows 2000/XP/2003/Vista/7
Dodatkowe wymagania: system plików NTFS
Licencja: freeware do uzytku niekomercyjnego
Polska wersja językowa: brak
Linki:
Pobieranie: GeSWall freeware, GeSWall Pro
Strona domowa: gentlesecurity.com
Wsparcie: gentlesecurity.com/board/
Przewodnik: www.gentlesecurity.com/docs/intro.html
FAQ: www.gentlesecurity.com/docs/intro.html
Opis:
Zasada działania programu opiera się na polityce piaskownicy (sandbox policy). Niezaufane aplikacje są tutaj uruchamiane z ograniczonymi prawami, restrykcjami do modyfikacji krytycznych parametrów systemu. Z GeSWall można bezpiecznie surfować po internecie, otwierać załączniki, czatować wymieniać się plikami, bez przejmowania się niebezpieczeństwami Internetu. GeSWall zapobiega zainfekowaniu przez złośliwe oprogramowanie, wirusy izolując aplikacje łączące sie z siecią. Dzięki restrykcyjnej polityce dostępu Izolowane aplikacje skutecznie zapobiegają różnego rodzaju atakom, infekcjom. Program pozwala chronić nasze cenne dane odmawiajc do nich dostępu (np. brak mozliwości zapisu i czytania w określonym folderze) dla aplikacji niezaufanych. Również pozwala na nałożenie restrykcji na określone strony internetowe, określone adresy itp. Program zapewnia ochronę przed keyloggerami, rootkitami, backdorami oraz wszelkiej innej maści malware'ami, do tego jest bardzo łatwy w użyciu i zabiera bardzo mało zasobów systemowych.
Schemat działania
Załącznik: Schemat działania
GeSWall stosuje określone reguły dostępu dla najbardziej popularnych aplikacji internetowych. Te reguły znajdują się w otwartej bazie danych aplikacji. W programie mamy Konsolę za pomocą, której można wybrać odpowiedni tryb/poziom bezpieczeństwa i tworzyć reguły dla aplikacji, które nie są aktualnie w bazie danych.
- Poziomy bezpieczeństwa (Security Levels)
- Isolate jailed applications (izolowanie uwięzionch aplikacji)
Izolowane będą tylko "uwięzione aplikacje", natomiast wszystkie inne nie będą izolowane. - Isolate known applications (izolowanie znanych aplikacji)
Izolowane będą tylko aplikacje, które mają swoje reguły w bazie danych aplikacji. Jest to domyślny poziom bezpieczeństwa. - Auto-isolation, no pop-up dialogs (Automatyczne izolowanie, bez alertów)
Poziom ten jest podobny do "Isolate known applications" z tą różnicą, że nie wyświetlane są informacje o zdarzeniach, blokowanych aplikacjach, nie są zadawane żadne pytania (np. o to czy izolować jakaś aplikację), więc automatycznie izoluje znane bądź niezaufane źródła aplikacji i blokuje im dostęp do zaufanych plików.
- Isolate jailed applications (izolowanie uwięzionch aplikacji)
- Przykłady alertów
- Policy Notifications, czyli zawiadomienia polityki - informuje nas o restrykcjach zapobiegającym modyfikacji plików, rejestru, procesów itd.
Załącznik: Przykładowy alert - Attacks Notifications, czyli zawiadomienia o atakach - informuje nas o dokonanej próbie zainfekowania. GesWall porównuje zablokowane źródła do swoich szczególnych schematów zachowań, które wskazują na działanie malware. Gdy wykryje takie działanie - zawiadamia nas o tym, że zapobiegł zainfekowaniu.
Załącznik: Przykładowy alert
- Policy Notifications, czyli zawiadomienia polityki - informuje nas o restrykcjach zapobiegającym modyfikacji plików, rejestru, procesów itd.
- Malicious Process Termination, czyli zakonczenie ("zabicie") złośliwego procesu
W wersji Pro mamy przyciski "Ignore" i "Terminate" widoczny w "Zawiadomieniach o ataku", które służą odpowiednio do ignorowania i zabicia złośliwej aplikacji. Dodatkowo możemy dostosować "Malicious Process Termination" - klikając na ikone GesWalla w tray'u.
Załącznik: Opcje terminacji- Dostępne opcje:
- Never Terminate, czyli nigdy nie kończ - wyłączenie opcji terminacji
- Auto-Termination, czyli auto-zakończenie - czyli automatycznie zakończ aplikację, gdy złośliwe działanie jest wykryte. Zawiadomienie zostanie wyświetlone, ale nie pojawi się opcja terminacji, gdyż wszystko odbywa się automatycznie.
- Interactive Ignore, czyli interakcyjnie (manualnie) zignoruj (domyślne ustawienie) - w Zawiadomieniu o ataku mamy również przycisk "Ignore" i w przypadku, gdy nie chcemy zabijać złośliwej aplikacji, to klikamy ten przycisk.
- Interactive Terminate, czyli interakcyjnie (manualnie) zakończ - podobnie jak wyżej do nas należy decyzja. Gdy chcemy zabić proces - klikamy na Terminate.
- Resources, czyli zasoby - to folder zawierający definicje zaufanych i niezaufanych zasobów.
Załącznik: Resources
Domyślne definicje są wymagane do prawidłowej funkcjonalności programu. Nie powinno się ich zmieniać, modyfikować. Możemy tutaj dodawać swoje własne definicje np. zdefiniować dodatkowe foldery dla poufnych dokumentów lub pewnych niezaufanych plików.
Aby utworzyć nową definicję zasobu, należy wybrać Action\New\Add Resource z głównego menu lub za pomocą prawokliku myszy w prawej części okna.
Załącznik: Prywatne Dokumenty
Opcje Security Class:- Trusted, czyli zaufany - izolowana aplikacja nie może modyfikować tego zasobu, może natomiast czytać.
- Confidential, czyli poufny - oznacza, że izolowana aplikacja nie może czytać ani modyfikować tego zasobu. Domyślnie GeSWall definiuje katalog Moje Dokumenty wszystkich użytkowników jako poufne.
- Deny Create, czyli odmów możliwość utworzenia - izolowana aplikacja nie może utworzyć w określonej ścieżce żadnych plików.
- Untrusted, czyli niezaufany - izolowana aplikacja może czytać i modyfikować ten zasób.
- Threat gates, czyli bramy zagrożenia - wszystkie pliki pochodzące od określonego zasobu (np. USB) będą oznaczane jako potencjalnie groźne. GeSWall w takim przypadku będzie izolować urządzenie.
- System, systemowy
- Restricted for Trusted, czyli ograniczony dla zaufanych - zasób nie może być modyfikowany również przez nieizolowane aplikacje.
- file - plik lub folder
- registry - klucz rejestru
- device - urządzenie, np. \Device\Tcp , \Device\Cdrom
- network - dostęp do sieci przez protokół TCP/IP, np. : update.microsoft.com, http://www.cnn.com:80, 192.168.1.1/24, *
- system object - obiekt reprezentujący szczególna usługę windows
- section - sekcja pamięci np. \KnownDlls\kernel32.dll
- any - zawiera wszystkie możliwe typy zasobów, nierekomndowany
- Applications, czyli aplikacje (izolowane aplikacje) - folder ten zawiera znane definicje aplikacji razem z ich specyficznymi regułami. Aby łatwo można było je przeglądać zostały posegregowane na grupy zgodnie z kategorią programu.
Załącznik: Aplikacje
Domyślne grupy bazy danych aplikacji:- System
- Web Browsers
- E-Mail and News clients
- Chat Messangers
- IRC clients
- P2P sharing applications
- Office applications
- Multimedia
Jak tworzyć nowe grupy i definicje aplikacji?
Klikamy prawoklikiem myszy na folder "Applications" lub w miejscu obok pozostałych grup aplikacji i wybieramy "Add Group" i wpisujemy nazwę grupy.
Załącznik: Dodanie grupy
Załącznik: Dodanie aplikacji
Jeżeli chcemy dodać nową aplikację to ponowanie klikamy prawoklikiem myszy na określoną grupę i wybieramy "Add Application". Pojawi nam się okno, w którym widoczne są m.in.: "Display Name", czyli nazwa programu, "File Name", czyli ścieżka, w której wskazujemy nazwę pliku, a także parametry - "Identify by", gdzie podawana jest wersja programu oraz "Security Level", czyli poziom bezpieczeństwa.
Opcje Security Level:- Never isolate, czyli nigdy nie izoluj - aplikacja musi być zaufana, nie będzie ona nigdy izolowana
- Isolate on access, izoluj podczas dostepu - aplikacja jest zaufana, ale gdy spróbuje połączyć się z siecią lub z niezaufanym zasobem GeSWall zapyta nas czy chcemy zaizolować tą aplikację.
- Auto-isolation, no pop-ups, czyli automatyczna izolacja, bez alertów - to samo jak w "Isolate on access", lecz bez alertów. Aplikacja będzie izolowana automatycznie.
- Always start isolated , czyli zawsze uruchamiaj jako zaizolowany - aplikacja jest zawsze izolowana na starcie i nie ma żadnych alertów.
- Untrusted (Jail), czyli niezaufane (więzienie) - oznacza aplikację uwięzioną. Aplikacja nie ma żadnych domyślnie pozwoleń chyba, że zostały jakieś dla niej przyznane.
Klikamy prawoklikiem myszy na nazwę aplikacji i wybieramy "Add Rule". Pojawi się okno "Application rule". W nim mamy "Resource name" nazwa zasobu, chodzi tutaj o podanie ścieżki, "Resource Typ" - czyli tym zasobu, "Access Permission" - dostępne pozwolenie.
Opcje Resource Typ:- File - plik lub folder
- Registry - rejestr
- Device - urządzenie
- Network - sieć
- System object - systemowy
- Allow, czyli pozwól - aplikacja może czytać i modyfikować zasób
- Redirect, czyli przeadresuj - aplikacja może czytać zasób, lecz gdy próbuje modyfikować go, to GeSWall tworzy kopię pliku lub klucza rejestru, który jest modyfikowany zamiast oryginalnego. Dzięki tej opcji aplikacja pracuje bezproblemowa, a jednocześnie zapobiega to modyfikacjom zaufanych zasobów. Kopia nie jest trwała, gdyż jest kasowana po zakończeniu pracy z aplikacją.
- Read Only, czyli czytaj tylko - aplikacja izolowana może tylko czytać zasoby.
- Deny, czyli odmów - oznacza brak pozwolenia na cokolwiek.
- Application Wizard, czyli kreator reguł dla aplikacji, które chcemy uruchomiać jako izolowane. Uruchomienie większości izolowanych aplikacji wymaga utworzenia określonych reguł dostępu do pewnych kluczy rejestru, katalogów itp. Jeżeli ich nie utworzymy, to taka aplikacja najprawdopodobniej nie uruchomi się nam lub nie będzie działała prawidłowo.
Kreator możemy uruchomić w menu kontekstowym Explorera Windows, jako pokazano na screenie poniżej.
Załącznik: Application Wizard -> Menu kontekstowe
Klikamy prawym przyciskiem myszy na plik *.exe danej aplikacji i wybieramy Application Wizard. Mamy do wyboru dwa tryby "Normal" (domyślnie) i "Expert Mode" (należy zaznaczyć opcje).
Załącznik: Application Wizard -> start- Normal Mode, czyli tryb normalny (domyślnie włączony) - konfigurowane ustawienia są tworzone automatycznie i tylko te niezbędne do uruchomienia aplikacji izolowanej. Na pierwszej stronie nadajemy nazwę i grupę dla danej aplikacji. Znajdziemy tam też opcję "Processing time", czyli czas procesu. Możemy go zwiększyć, aby dokonać lepszej analizy.
Załącznik 1: Application Wizard -> ustawienia
Teraz musimy odczekać zaznaczony przez nas czas przebiegu procesu (domyślnie 10 sek.).
Załącznik 2: Application Wizard -> analiza
Załącznik 3: Application Wizard -> zakończenie - Expert Mode, czyli tryb experta - pozwala nam dostosować wszystkie opcje. Ten tryb jest szczególnie przydatny do diagnozowania izolowanej aplikacji w sytuacji, gdy nie działa ona zgodnie z oczekiwaniem. Na pierwszej stronie mamy "Application file path" - ścieżka do programu, "Display Name" - nazwa aplikacji wyświetlana w Konsoli GeSWall'a, "Group" - klasyfikowanie aplikacji do określonej grupy w Konsoli, "Identification type" - informacje o wersji aplikacji, "Security Level" - poziomy bezpieczeństwa opisane wyżej.
Załącznik 1: Application Wizard -> ustawienia experta 1
Załącznik 2: Application Wizard -> ustawienia experta 2
Klikając na X możemy usunąć ustawienia. Dodatkowo możemy też zaznaczyć opcję "Autofill rules for this Application" - włącza automatyczną analizę i wypełnienie reguł.
Kiedy kreator uruchomi aplikacje powinniśmy wykonywać typowe dla niej działania. W tym czasie "Application Wizard" będzie rejestrował wszystkie wymagane zasoby, a wiec jakieś klucze w rejestrze, dostęp do pewnych katalogów, plików itp. Po automatycznej analizie zostaniemy przeniesieni do strony z regułami, które tutaj możemy dowolnie edytować.
Załącznik 3: Application Wizard -> edycja reguł
Załącznik 4: Application Wizard -> zakonczenie
- Normal Mode, czyli tryb normalny (domyślnie włączony) - konfigurowane ustawienia są tworzone automatycznie i tylko te niezbędne do uruchomienia aplikacji izolowanej. Na pierwszej stronie nadajemy nazwę i grupę dla danej aplikacji. Znajdziemy tam też opcję "Processing time", czyli czas procesu. Możemy go zwiększyć, aby dokonać lepszej analizy.
- Untrusted Files, czyli niezaufane pliki - wszystkie pliki utowrzone lub zmodyfikowane przez izolowane aplikacje są oznaczane jako niezaufane (untrusted). Oznaczone są one czerwona ramką i literą "G" w Explorerze Windows.
Załącznik 1: Oznaczenie ikon niezaufanych plików
W wygodny sposób za pomocą prawokliku myszy możemy oznaczyć je jako zaufane.
Załącznik 2: Oznacz jako zaufany plik z menu kontekstowego
W Konsoli w sekcji "Untrusted Files" mamy możliwość przeskanowania partycji w poszukiwaniu wszystkich takich plików, które po zakończeni skanowania zostaną nam przedstawione w postaci wygodnej listy.
Załącznik 3: Konsola -> Untrusted Files
Załącznik 4: Konsola -> Untrusted Files -> Lista
Mozemy je za pomocą prawokliku usunąć pernamentnie z listy niezaufanych plików lub też oznaczyć jako zaufane.
Załącznik 5: Konsola -> Untrusted Files -> Lista -> Opcje
Porównanie dostępnych funkcji wersji Free z Pro
Załącznik: Porównanie funkcji
GeSWall jako firewall
Domyślnie GW nie kontroluje aplikacji łączących się z siecią. Aby to zmienić należy edytować główna regulę sieciową w Resources, aby żadna aplikacja nie mogła się połączyć z siecią bez odpowiedniej reguły pozwalającej na to w Applications.
- Edycja głównej reguły sieciowej
Zalacznik: http://i.imgur.com/AqxiJ.jpg?2792 - Utworzenie dodatkowej grupy np. Trusted Allowed, czyli grupy aplikacji zaufanych, które będą miały pozwolenie na dostęp do sieci.
Zalacznik: http://i.imgur.com/UQZRi.jpg?3922 - Dodanie aplikacji zaufanej do Trusted Allowed, która będzie miała dostep do sieci.
Przyklad - Avira Update
Zalacznik: http://i.imgur.com/D41kq.jpg - Dodanie reguły pozwalającej zaufanej aplikacji (nieizolowanej) na polączenie z siecią
Zalacznik: http://i.imgur.com/W1nKb.jpg?2580 - Dodanie reguły pozwalającej izolowanej aplikacji łączyć się z siecią
Przyklad - Firefox
Zalacznik: http://i.imgur.com/nil7Y.jpg?3924 - Stealth Test (GRC Shields UP) - zaliczony
Zalacznik: http://i.imgur.com/Sr5pq.jpg?1626
Jak izolować urządzenia USB, dyski twarde, CD\DVD-ROM, poszczególne partycje?
- USB (przykład - "Threat Gate")
- Pendrive i twardy dysk
Sposób 1 - HarddiskX Uwaga! Działa w wersjach poniżej 2.9.
Dyski twarde, jak rownież USB maja przydzielane numery. Pierwszy twardy dysk oznaczany jest jako Harddisk0, nastepny Harddisk1 itd. W jaki spsób odczytać numer dyku pokazane zostało na screenach w załącznikach ponizej.
Załącznik 1: http://www.ubuntu-pics.de/bild/107864/8_t1Krom.jpg
Załącznik 2: http://www.ubuntu-pics.de/bild/107865/9_x8AY2G.jpg
Gdy znam juz nr dysku, przechodzę do konsoli GeSWalla, następnie do Resources. Teraz tworzę nową regułę dla urządzenia Pendrive, które chcę izolować - Security Class: Threat Gates, Resource Typ: File, Name, Resource: \Device\Harddisk2.
Załącznik 3: http://www.ubuntu-pics.de/bild/107866/10_9yNOkM.jpg
Sposób 2 - HarddiskVolumeX
Reguła dla izolowanej partycji - Security Class: Threat Gates, Resource Typ: File, Name, Resource: \Device\HarddiskVolumeX, gdzie "X" oznacza nr partycji.
C:\ to 1, D:\ to 2, E:\ to 3 itd.
Jak to wyglada pod Windows Vista?
http://www.wilderssecurity.com/showthread.php?t=231196
Załącznik 1: http://www.ubuntu-pics.de/bild/107848/1a_hH3gJ4.jpg
Załącznik 2: http://www.ubuntu-pics.de/bild/107849/2a_b4ql5U.jpg
Załącznik 3: http://www.ubuntu-pics.de/bild/107853/3a_HmAeg2.jpg
Załącznik 4: http://www.ubuntu-pics.de/bild/107854/4a_szPn39.jpg
Załącznik 5: http://www.ubuntu-pics.de/bild/107855/5a_Spp5hH.jpg
Załącznik 6: http://www.ubuntu-pics.de/bild/107856/7a_cEiEeg.jpg
DVD ROM (przykład - "Untrusted")
Załącznik 1: http://www.ubuntu-pics.de/bild/107857/1b_xe3MP6.jpg
Załącznik 2: http://www.ubuntu-pics.de/bild/107861/2b_b3bhh1.jpg
Załącznik 3: http://www.ubuntu-pics.de/bild/107862/3b_rcrCt8.jpg
Załącznik 4: http://www.ubuntu-pics.de/bild/107863/4b_w40FJo.jpg
- CD\DVD-ROM
Sposób 1 - CdRomX
Dla CD-ROM lub DVD-ROM w Resource wpisujemy \Device\CdRomX, gdzie "X" oznacza nr urządzenia, które sparwdzamy tak samo jak w przypadku dysków twardych i pamięci flash. Jeśli mamy jedno urządzenie CD/DVD-ROM to wpisujemy \Device\CdRom0
Cała reguła - Security Class: Threat Gates, Resource Typ: File, Name, Resource: \Device\CdRom0
- Stacja dyskietek
Security Class: Threat Gates, Resource Typ: File, Name, Resource: \Device\Floppy0
Gotowe reguły z wersji Pro na Free i kopia wszystkich reguł
Należy podmienić plik z ustawieniami geswall.dat (glowny katalog \Program Files\geswall\geswall.dat), ktory ścigamy z niżej podanego linku. Nastepnie wyłaczamy uslugę GeSWall service w Usługach, potem w Menadżerze zadań należy wskazać proces gswui.exe i zakonczyć go. Podmieniamy plik i ponownie włączamy zatrzymaną usługę GeSWall'a oraz uruchamiamy program. W ten sposób możemy robić również kopię reguł wszystkich aplikacji.
Załącznik: geswall.dat z regułami wersji Pro 2.9
Nowe, dodatkowe reguly do GeSWalla (dwa źródła w załączniku poniżej i pod postem):
W załączniku dostępny jest również plik geswall.dat z regułami wersji Pro 2.9 + dodatkowe
Spis nowych reguł:
Chat Messengers: AQQ, Konnekt, Nowe Gadu-Gadu, Tlen
Multimedia: AIMP2, ALLPlayer, BESTplayer, BSPlayer, Foobar2000, GOM Player, Ipla, JetAudio, KMPlayer, SopCast, SubEdit Player, VLC Media Player, Open-FM
Web Browsers: Safari
P2P: uTorrent
Wykorzystanie zasobów:
Załącznik: http://i.imgur.com/49WDP.jpg?5830
Jak wyłączyć efekt migania (Blink Effect) okna izolowanej aplikacji?
Załącznik: http://i.imgur.com/fGz1X.jpg?4143
Testy
- Malwaretestlab 9 Killdisk Virus vs 25 Security Software, maj 2009
link do testu: http://malwaretestlab.com/more.aspx?entry=24
Załącznik: Wyniki dla GW - Testy programów: DW, GW, SbIE oraz BufferZone, marzec 2009
Źródło: bbs.kafan.cn
Kategorie:
1. Wykorzystanie zasobów: GW: 7.5/10
2. AKLT anti-keyloggers and screen tests: GW: 9.5/10
3. Advanced process termination APT Test GW: 10/10
4. Kontynuowanie ochrony po zamknieciu procesów programow ochronnych: GW: 10/10
Podsumowanie: 2. GW: 37/40 - GeSWall na YouTube: GeSWall Review, GesWall At Work, GesWall Professional 2.8.3 vs Trojan.Win32.Filecoder.c, GesWall Professional 2.8.3 vs Trojan-Ransom.Win32.Gpcode.e, GesWall Professional 2.8.3 vs Trojan.Win32.MayArchive.a, GesWall Free 2.8.3 vs Trojan-Ransom.Win32.Krotten.ey
- Testy GeSWall: gentlesecurity.com/blog
- zastanawialem sie kiedy napiszesz tutorial do GW 
...Dzięki.
