13.05.2011, 09:27
Jakoś w lutym wyszła kolejna wersja programu pod nazwą Patriot NG , który jest programem typu HIDS (Host Based Intrusion Detection System) rozwijanym przez hiszpańską firmę Security Projects . Program jest mało znany...szczerze powiedziawszy pierwszy raz o nim słyszę...niemniej dzięki swoim możliwościom wskazywanym przez producenta zaintrygował mnie dość mocno 
Oto monitorowane przez Patriota obszary systemu:
* zmiany w kluczach rejestru: szczególnie we wrażliwych kluczach np.autorun, internet explorer settings
* nowe pliki w autostarcie
* nowy użytkownik w systemie
* instalowanie nowych usług
* zmiany w plikach host
* nowe zadania w harmonogramie
* zmiany w konfiguracji Internet Explorera: (nowe BHO, zmiana strony głównej, nowe toolbary)
* zmainy w tablicy ARP
* instalacja nowych sterowników
* nowe połączenia Netbios
* ochrona TCP/IP (nowe otwierane porty, nowe połączenia procesów, wykrywanie skanowania portów)
* pliki w krytycznych/wrażliwych lokalizacjach (pliki wykonywalne, dll)
* ukryte okna (cmd.exe, okna IE korzystak=jące z OLE)
* nowe hosty w sieci
* wykrywanie nienormalnego ruchu sieciowego
Obsługiwane systemy Win XP, Vista, Win 7.
Licencja - darmowy
Strona programu, linki do przykładowych zrzutów, plików pomocy, FAQ
Kilka własnych spostrzeżeń...
- instalowanie WinPcap poszło bez problemów i bez konieczności restartu, podobnie jak i instalacja samego programu...tym samym program jest gotowy do pracy od razu po zainstalowaniu - wygląda, że dobrze...
- interfejsem przypomina mi HIPS All Seeing-Eyedzięki prostocie wyboru opcji (wszystko na jednym ekranie), ale w przeciwieństwie do niego i innych tego typu programów nie wykonuje żadnego skanowania systemu
- w tym momencie przypomina mi nieco bloker behawioralny np. System Safety Monitor , który podobnie bez skanowania i "goły" się uruchamia, i dopiero potem włączamy w nim ochronę wybranych obszarów
- program tego typu powinien być raczej lekki dla systemu, ale nie jest - w systemie stale pracują 4 procesy, których zużycie RAM oscyluje w granicach 45-50 MB...to dużo, żeby nie powiedzieć "zbyt dużo"
- zaraz po uruchomieniu Patriot bardzo ładnie wykrywa sam siebie
- program nie wykrywa uruchamiania normalnie pracujących i dość powszechnych aplikacji...uruchamiałem FreeCommandera i robiłem operacje na plikach...CCleanera, którym czyściłem ze śmieci zarówno system, jak i rejestr ...uruchomiłem Regseeker - o tym poniżej...i wiele innych aplikacji typu odtwarzacze multimediów czy przeglądarki plików... Patriot nie poinformował o niczym
- jak pisałemodpaliłem Regseeker - zrobiłem więc eksperyment i w polu szukania po nazwie wpisałem "patriot"...wyszło około 20 wpisów, które zwyczajnie usunąłem...a Patriot ani jęknął
- po otwarciu Pariota wszystkie pola do zaznaczania ochron były pustea tym samym wszystkie ochrony zostały wyłączone
- przypuszczam, że właśnie pozbawieni zostaliśmy ochrony i dalej...
- wnioskuję więc tak - czyżby program nie miał opcji ochrony samego siebie(?!)
To tyle uwag po ok. półgodzinnym używaniu programu...proszę o ewentualne potwierdzenie tych uwag, sprostowanie, własne spostrzeżenia i wszystko, co Wam do głowy wpadnie w trakcie używania Patriota
Oto monitorowane przez Patriota obszary systemu:
* zmiany w kluczach rejestru: szczególnie we wrażliwych kluczach np.autorun, internet explorer settings
* nowe pliki w autostarcie
* nowy użytkownik w systemie
* instalowanie nowych usług
* zmiany w plikach host
* nowe zadania w harmonogramie
* zmiany w konfiguracji Internet Explorera: (nowe BHO, zmiana strony głównej, nowe toolbary)
* zmainy w tablicy ARP
* instalacja nowych sterowników
* nowe połączenia Netbios
* ochrona TCP/IP (nowe otwierane porty, nowe połączenia procesów, wykrywanie skanowania portów)
* pliki w krytycznych/wrażliwych lokalizacjach (pliki wykonywalne, dll)
* ukryte okna (cmd.exe, okna IE korzystak=jące z OLE)
* nowe hosty w sieci
* wykrywanie nienormalnego ruchu sieciowego
[Aby zobaczyć linki, zarejestruj się tutaj]
Do działania programu wskazane jest (właściwie wymagane do pełnej funkcjonalności) zainstalowanie narzędzia sieciowego WinPcap .Obsługiwane systemy Win XP, Vista, Win 7.
Licencja - darmowy
Strona programu, linki do przykładowych zrzutów, plików pomocy, FAQ
[Aby zobaczyć linki, zarejestruj się tutaj]
Kilka własnych spostrzeżeń...
- instalowanie WinPcap poszło bez problemów i bez konieczności restartu, podobnie jak i instalacja samego programu...tym samym program jest gotowy do pracy od razu po zainstalowaniu - wygląda, że dobrze...
- interfejsem przypomina mi HIPS All Seeing-Eyedzięki prostocie wyboru opcji (wszystko na jednym ekranie), ale w przeciwieństwie do niego i innych tego typu programów nie wykonuje żadnego skanowania systemu
- w tym momencie przypomina mi nieco bloker behawioralny np. System Safety Monitor , który podobnie bez skanowania i "goły" się uruchamia, i dopiero potem włączamy w nim ochronę wybranych obszarów
- program tego typu powinien być raczej lekki dla systemu, ale nie jest - w systemie stale pracują 4 procesy, których zużycie RAM oscyluje w granicach 45-50 MB...to dużo, żeby nie powiedzieć "zbyt dużo"
[Aby zobaczyć linki, zarejestruj się tutaj]
- z menu w trayu możemy aktualizować reguły NIDS...po czymś takim proces "stoper-nids.exe" przestaje być procesem głównym i staje się podrzędnym wobec "petriot.exe"...to było dla mnie dość dziwne- zaraz po uruchomieniu Patriot bardzo ładnie wykrywa sam siebie
[Aby zobaczyć linki, zarejestruj się tutaj]
- próby zmiany strony głównej IE[Aby zobaczyć linki, zarejestruj się tutaj]
- otwieranie przeglądarek (IE i Firefox) oraz otwieranie nowego portu[Aby zobaczyć linki, zarejestruj się tutaj]
I tu się kończy lista zaobserwowanych "sukcesów"...teraz "porażki":- program nie wykrywa uruchamiania normalnie pracujących i dość powszechnych aplikacji...uruchamiałem FreeCommandera i robiłem operacje na plikach...CCleanera, którym czyściłem ze śmieci zarówno system, jak i rejestr ...uruchomiłem Regseeker - o tym poniżej...i wiele innych aplikacji typu odtwarzacze multimediów czy przeglądarki plików... Patriot nie poinformował o niczym
- jak pisałemodpaliłem Regseeker - zrobiłem więc eksperyment i w polu szukania po nazwie wpisałem "patriot"...wyszło około 20 wpisów, które zwyczajnie usunąłem...a Patriot ani jęknął
- po otwarciu Pariota wszystkie pola do zaznaczania ochron były pustea tym samym wszystkie ochrony zostały wyłączone
- przypuszczam, że właśnie pozbawieni zostaliśmy ochrony i dalej...
- wnioskuję więc tak - czyżby program nie miał opcji ochrony samego siebie(?!)
To tyle uwag po ok. półgodzinnym używaniu programu...proszę o ewentualne potwierdzenie tych uwag, sprostowanie, własne spostrzeżenia i wszystko, co Wam do głowy wpadnie w trakcie używania Patriota
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
