SpyShelter Firewall
(11.03.2020, 20:33)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Cholerka....to muszę zaangażować SSFW na Win8.1...a to żony laptok Smile A może jest sposób, żeby przenieść licencję na FW z padniętej pod koniec ubiegłego roku Visty na Win7, który teraz używam dla siebie? Smile

Proszę o szczegóły na support: 

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
OK...dzięki, napiszę Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Dzięki za wersję Beta Smile
Odpowiedz
(11.03.2020, 20:57)neon napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki za wersję Beta Smile


Nie ma za co Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
Cytat:Screen Phantom does not depend on HIPS module, so if you for example allow process X to take a screenshot while Screen Phantom is enabled,  process X will not be able to capture the content of your screen, because Screen Phantom will block it.
OK...nowa opcja opisana wyżej działa u mnie na Win 8.1 w praktyce w ten sposób, że kiedy próbuję zrobić zrzut ekranu za pomocą FreeCommander...ten program ma taką możliwość, a taka akcja jest zezwolona w regułach dla tego niego...to zamiast ekranu/okna, które chcę pobrać, otrzymuję czarny ekran...cały i nawet nie widać systemowego paska na dole Smile Rozumiem, że to może nie tyle blokuje każdy dowolny proces, który próbowałby tego dokonać bez względu na ustaloną regułę lub nie (czyli dla nieznanego jak np. szkodnik), ale czyni zrzut bezużytecznym. To znaczy poniekąd uniemożliwia też ataki wykorzystujące np. wstrzyknięcie obcego kodu w zaufany proces, co mogłoby być ewentualnie dozwolone jeśli reguła dla wykorzystanego procesu jest na "zezwól" (?)
------------------
edit:
OK, zgłoszenie wysłane Smile
____________
edit:
To niezwykłe... dostałem już odpowiedź, pozytywną   i bardzo dla mnie sympatyczną Smile Dzięki wielkie Smile
-------------------
edit:
SSFW już działa w pełnej wersji na Win7...jest OK Smile Pobrałem dziś wersję 12.1 build 3, co oznacza znów jakieś poprawki dla wersji z zaporą tylko, bo Premium wciąż jako "2". W każdym razie wszystko wygląda OK.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
OK...kilka dni, trochę obserwacji, więc kilka informacji o działaniu nowej funkcji „Screen Phantom” - obserwacje na bazie działania SS w systemie Windows 7. Jeśli włączymy tę funkcję w zakładce Ustawienia/Ochrona to będzie ona blokować w opisany wcześniej sposób różne rodzaje aplikacji lub inaczej - procesy nie tylko aplikacji zewnętrznych, ale i systemowych:
- np. menadżer plików FreeCommander, który posiada funkcję tworzenia zrzutów ekranu poprzez kliknięcie skrótu klawiszowego...to zapewne dotyczy również innych obcych aplikacji, które oferują wykonywanie zrzutów jako podstawową lub dodatkową funkcję
- aplikacja systemowa, taka jak "Narzędzie Wycinanie" (Snipping Too), w której polecenie pobrania zrzutu ekranu „Nowy” lub jakieś podobne wybieramy i klikamy z menu okna aplikacji
- blokuje również określony przycisk na klawiaturze lub ich kombinację - „Print Screen”, „Fn + Print Screen”- co oznacza blokowanie poleceń bezpośrednio z urządzeń bez użycia jakiś dodatkowych procesów/aplikacji.
Zauważyłem, że blokowanie dokonuje się bez względu na to, czy proces
- ma na liście (zakładka Reguły) regułę zezwalającą na robienie zrzutów ekranu
- został dodany do listy zaufanych podpisów cyfrowych (Ustawienia/Ochrona), co może mieć różny wpływ na reakcję SpyShelter na różnych poziomach ochrony
- mamy włączone globalne „automatycznie zezwalaj” na liście monitorowanych akcji.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Kolejny build dla wersji Firewall i Premium - 12.1 BETA 4. Program do pobrania na blogu (link powyżej).
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
coś nowego wnosi czy tylko lekkie poprawki ?
Odpowiedz
Poprawki pod nowy silnik ochrony
nowy silnik ma chronić przeciwko wykradaniu screenów Smile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Super, że produkt jest dalej rozwijany Smile
Odpowiedz
(17.03.2020, 11:26)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Poprawki pod nowy silnik ochrony
nowy silnik ma chronić przeciwko wykradaniu screenów Smile
To dobra wiadomość...masz na myśli nową funkcję SrP?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Pobrałem zainstalowałem i szkoda że beta nie jest kompatybilna z najnowsza wersją 10 20H1
Odpowiedz
(22.03.2020, 11:02)zord napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Pobrałem zainstalowałem i szkoda że beta nie jest kompatybilna z najnowsza wersją 10 20H1
Ale to jest przecież też wersja jeszcze niedostępna dla ogółu użytkowników...ma być chyba oficjalnie dopiero w kwietniu? SS mamy też w wersji beta, więc nie bardzo mnie dziwi, że coś się nie zgrywają. Programy zabezpieczające raczej powinny koncentrować się na wersjach stabilnych i ogólnie dostępnych.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Niedostępna przez wu ale to już RTM i można instalować z obrazu iso czy ESD
Wydaje mi się że przy okazji testów powinna być sprawdzana zgodność z najnowszymi wydaniami 10 żeby coś potem nie wyskoczyło.
Odpowiedz
Nie wiem Zord...możliwe, że było i sprawdzał się w jakiejś konfiguracji, a w innej nie działa poprawnie? Tak działa Windows od lat, jak pamiętam, a "dziesiątka" jest przecież nieustającym "cyrkiem w budowie" Smile
Na marginesie i z innej beczki - szykuję aktualizację dla swojego artykułu na temat ustawień...będzie chyba trochę nieco zaskakujących spostrzeżeń Smile Myślę, że na dniach będzie już na forum.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Wracam do poprzedniej strony i posta

[Aby zobaczyć linki, zarejestruj się tutaj]

czyli próby detekcji szkodliwych akcji na szkodniku "Racoon infostealer". Test jest sprzed kilku dni, ale dopiero teraz spróbuję jakoś tu go podsumować (ponieważ pomysł jego przeprowadzenia wyszedł na WSF, to najpierw tam zamieściłem te informacje).

Test przeprowadziłem na przygotowanym systemie Win7, co w trakcie testu miało znaczenie
- zarówno system, jak i wszystkie dyski lokalne były zwirtualizowane przy pomocy Shadow Defender...to na wypadek nieprzewidzianych prób zmian ich zawartości podczas testu
- zainstalowany SpyShelter to wersja Firewall 12.1 build 4 (poziom ochrony "pytaj użytkownika") z dodatkowym istotnym ustawieniem - wszystkie dyski lokalne zostały dodane do listy chronionych lokalizacji.

Poniżej screeny z wykrytych akcji i dalej krótki komentarz

   
   
   

Zdjęcia może nie są zbyt dobrej jakości, ale były robione smartfonem "z zewnątrz"...na zwirtualizowanych dyskach nie przetrwałyby restartu i wyjścia z trybu SM...a wszystkie akcje w przedstawionych alertach zostały zezwolone, żeby zobaczyć, co będzie się działo dalej. Jak zapowiadałem - test nie przedstawia całości działania szkodnika i został zatrzymany na etapie, który uznałem za ostatni nie stwarzający dalszego, nieprzewidzianego ryzyka.

Już we wcześniejszej dyskusji były sugestie, że szkodnik zostanie prawdopodobnie wykryty w akcjach takich jak próby uruchomienia procesu, nawiązania połączenia czy modyfikacji jakiś lokalizacji...i faktycznie zdjęcia to potwierdzają. Mamy je wszystkie, a na te poniżej chciałem zwrócić uwagę:
- uruchomienie przez szkodnika procesu AddInProcess.exe i AddInUtil.exe...to wrażliwe procesy, które znalazły się na liście procesów wykorzystywanych do obchodzenia wewnętrznych mechanizmów systemu oraz Windows Defendera

[Aby zobaczyć linki, zarejestruj się tutaj]

- uruchomienie procesu AppLaunch.exe, który może przekierowywać na podejrzane strony czy przemycać podejrzane akcje

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

- czy wreszcie szereg akcji prowadzących do uruchomienia i zainstalowania zupełnie nowej aplikacji podpisanej cyfrowo przez LLC Mail.ru - to certyfikat często wykorzystywany przez szkodniki i jak widać posiada sporo wskazań pozytywnych

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Wspomniałem wcześniej o podobnym teście na potrzeby forum Wildersów - jak się okazuje tam akcje były nieco inne, choć w efektach podobne...z czego to wynika?...nie wiem, bo maszyna ta sama i warunki też, a przynajmniej nie jestem świadomy tego, co mogło ulec zmianie. w tamtym teście np. pojawiła się wykryta próba uruchomienia przez proces taskeng.exe innego procesu - sipnotify.exe. To mogłoby mieć np. skutki w wyświetlaniu fałszywego ostrzeżenia o zakończeniu wsparcia dla Win7 (?). Poniżej tamte wyniki i omówienie

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Dziś zaktualizowałem tekst na temat ustawień SpySheltera...pisałem go partiami i póki co strasznie mi się to rozjechało. Jutro to będę korygował, żeby miało jakiś sensowny wygląd Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

----------------------
edit:
poprawione, mam nadzieję, że jest OK

----------------------
edit 2:
A tak na marginesie...a może nie? Powód, dla którego wbudowano Screen Phantom w program jest chyba dość jasny i w opisie własnych ustawień trochę sobie pospekulowałem na ten temat, ale czy to jest faktycznie powód?...Jest jakiś inny? Wink
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Witajcie,

Jest oficjalnie już 12.1 i Screen Phantom:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
Wersja kompatybilna z 10 w wersji 2004 która teoretycznie na dniach powinna trafić do wszystkich ?
Odpowiedz
@zord
Nie, nie mamy szklanej kuli co tam pozmieniają w ostatniej chwili, nie zalecamy szybkiej aktualizacji Windows 10 dla użytkowników Spyshelter'a gdyż ta może się opóźnić nieco, do tej pory była zawsze przed ale to nie jest gwarantowane. Rozsądnie jest wstrzymać się z aktualizacją Windowsa.
Spyshelter to niestety nie jest zwykły program w warstwie użytkownika jedynie gdzie raz zrobiony 10 lat temu będzie działał na wszystkich Windows bez modyfikacji.
Każde większe wydanie Windowsa to zmieniony kernel, który trzeba odpowiednio obsłużyć.
Różne źródła różnie mówią, ale raczej będzie trochę później niż "na dniach" szczególnie ta udostępniana automatycznie (bez ręcznego wymuszania)

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 3 gości