Comodo Firewall & Outpost Firewall (x64) vs ZA Rootkit

[Ambient]

Test HIPS/Firewall wykonany na jednej próbce. Myślę, że wynik testu daje dużo do myślenia.
Comodo:

[Aby zobaczyć linki, zarejestruj się tutaj]

Outpost:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Apocalypse]

No ok ale przecież w Comodo blokowałeś a w końcu zezwoliłeś na połączenie. Poza tym komunikaty Outposta... eeech

[Ambient]

W którym momencie zezwoliłem na połączenie?

[facecik]

W 1:08 zezwoliłeś na instalację.

[Ambient]

Takich komunikatów w D+ jest dużo, są za ogólne i podejrzewam, że większość odpowiedziałaby podobnie poza tym bez sensu, bo na tym etapie by się skończyło. Samo działanie firewalla i D+ który puszcza w samopas "bezpieczną" aplikacje jest coś nie tak, a trybie paranoidalnym jest tyle komunikatów, że głowa mała, ze skrajności w skrajność.

[facecik]

Komunikat był jasny, że instalaflashplayer jest plikiem bezpiecznym, ale został zainicjowany przez nieznaną aplikację, której już sama nazwa daje do myślenia, i tylko kompletny laik by dopuścił do infekcji, więc problemu nie widzę, w 1:13 ten sam komunikat tylko cmd.exe i tu blokujesz akcję pliku, dlaczego wtedy przepuściłeś ? Poza tym programy typu HIPS nie są dla laików więc chyba wszystko w porządku, dopuściłeś do infekcji w sposób świadomy.No i druga sprawa , że ustawienia Defense+ były defaultowe, a i tak nie doszło by do infekcji, przestawienie w tryb proaktywny całego pakietu , dodatkowo by zapewniło większe bezpieczeństwo.Generalnie infekcja przy Defense + nawet w trybie defaultowym, jest prawie niemożliwa.

[zord]

Nazwa daje niewiele do myślenia, bo tu jest specjalnie zmieniona na sumę kontrolnąi w normalnych okolicznościach może być dowolna np flashplayer updater
Z tego co widze nawet po zablokowaniu program nadal działa i robi swoje na początku kilkukrotne blokowanie absolutnie nic nie dało

[facecik]

Ambient, jak możesz i Ci się chce, to powtórz test, ustaw Defense + na proaktywną ochronę , i w kontroli uruchamiania w ustawieniach Defense+ daj nieznane uruchamiane pliki na niezaufane.Jak popuści to się nie odzywam

[morphiusz]

Jak zobaczyłem nazwę wątku i autora to już znałem wynik ^^

W Outposcie blokujesz jak opętany, nawet zielone alerty, a w Comodo dyskretnie przepuściłeś alert HIPSa z zaznaczoną opcją (zapamiętaj..) gdzie pewnie to zezwoliło na pierdylaird innych rzeczy....

[McAlex]

Comodo jest zbyt paranoiczny zeby przepuscic taka infekcję
Proponuję powtorzenie testu.

[morphiusz]

Comodo jest zbyt paranoiczny zeby przepuscic taka infekcję
Proponuję powtorzenie testu.

Nie przesadzajmy w drugą stronę.

[Ambient]

Jak zobaczyłem nazwę wątku i autora to już znałem wynik ^^

Daruj sobie złośliwości.

W Outposcie blokujesz jak opętany, nawet zielone alerty

Zablokowałem raz w momencie gdy chodziło o dodanie nieznanych komponentów i próby połączenia się z siecią service.exe. Jeżeli Comodo wystawiłby jakieś ostrzeżenia to również bym zablokował.

Comodo dyskretnie przepuściłeś alert HIPSa z zaznaczoną opcją (zapamiętaj..) gdzie pewnie to zezwoliło na pierdylaird innych rzeczy....

Tak Morph dyskretnie zezwoliłem, a zaznaczenie opcji zapamiętaj rzeczywiście miało wpływ na całą resztę. Nie wiem czy zauważyłeś , że przed zezwoleniem celowo rozwinąłem listę szczegóły w D+, a jaka jest różnica między zwiniętą, a rozwiniętą listą i zaznaczoną opcją zapamiętania reguł to już powinieneś wiedzieć. Po tym jednym alercie z pewnością można było wyczytać o pierdolniku jaki może spowodować, coś jak wróżenie z fusów.
Może zrobimy tak masz dwa obrazy, dla ciebie test zdany bo zablokowany i drugi widok kataklizmu po zezwoleniu na jeden tak naprawdę neutralnym ostrzeżeniu.

[morphiusz]

Zablokowałem raz w momencie gdy chodziło o dodanie nieznanych komponentów i próby połączenia się z siecią service.exe. Jeżeli Comodo wystawiłby jakieś ostrzeżenia to również bym zablokował.

Blokujesz alert gdzie Outpost trąbi, że aplikacja zaufana, je..ie zielenią po oczkach. Taak, napewno zwykły user też by tak zrobił. Jak już mamy się czepiać(cobyzwykły user zrobił..) to właśnie to robię. Natomiast przy alercie Comodo masz wyraźnie napisane, że jeśli ta aplikacja nie jest codziennie używaną, to nie zezwalać... gdzie tu logika zwykłego usera. No ale każdy swoje chwali więc uważam, że dalsza dyskusja nie ma sensu i dla dobrych obyczajów powinniśmy skończyć ją w tym miejscu (przebijałem się z Outpostowym panem jankiem przez 16 stron).

[Ambient]

(przebijałem się z Outpostowym panem jankiem przez 16 stron).

Jest taka scena w Alternatywach 4, cytuję:
Anioł "Mądremu wystarczą 2 słowa, a głupiemu to i referatu mało, jak to powiedział Sofronow"
Masz rację skończmy tą żenującą dyskusję, każdy swoje chwali - coś w tym jest, masz parcie na jeden produkt, a wszystkie niedociągnięcia i wady zgrabnie "odwracasz kota ogonem"

[ichito]

"Chyba może na pewno" nie ma potrzeby się kłócić...ja z tego testu nie za wiele zrozumiałem, bo mam już chyba za słabe oczy...na małym ekranie "ni chuchu" nie widać szczegółów, a po powiększeniu obraz się rozmywa i nie za wiele widać też. Tak sobie myślę, że dla kogoś, kto nie za bardzo się zna infekcjach, HIPS-ach, itp. z testu widać, że uruchomiony zostaje instalator Flash Playera czyli aplikacji jak najbardziej zaufanej...potem czyta komentarze tutaj i chyba głupieje...sądzę, że w przypadku realnego zagrożenia pewnie jeszcze bardziej.
Dyskusja może teraz nastąpić iście akademicka na temat czytelności komunikatów różnych monitorów...jak widać dla Comodo wszystko jest czerwone i nieważne czy słusznie czy nie, bo pewnie to wynika również z layout programu i jest to mylące na pierwszy rzut oka. Dla Outposta za to mamy dużo miłej zieleni z kolei, co też pewnie łączy się z grafiką ogólna programu...też niedobrze chyba, bo skoro "zielone" to chyba bezpieczne...

[facecik]

@ichito a 720p ustawiłeś ? bo ja normalnie i dość wyraźnie wdzę filmik na pełnym ekranie

Kolory kolorami, a komunikaty trzeba czytać, dlatego HIPS nie jest dla laika, ale to od dawna wiadomo.

[ktośtam]

A może zrobiłbyś test uwzględniając Online Armor? Ciekawi mnie jaki byłby wynik.

[Apocalypse]

dyskretnie zezwoliłem

Widzisz ja się Ciebie nie czepiam, bo jednak czas poświęciłeś na to.
Chodzi tylko o to, że właśnie zezwoliłeś. Dlaczego? Druga sprawa to taka, że Comodo powinien jednak wychwycić chociażby w sandboxie, że to jest plik nieznany. Jak ktoś by miał taką infekcję to na pewno by puścił w Comodo, bo jednak tych alertów jest cała masa...

[Ambient]

X26
Dlaczego zezwoliłem, można spojrzeć na to w następujący sposób:
W Comodo jest dużo takich ostrzeżeń, informacja jest tak naprawdę dość ogólna. Po zezwoleniu rozwinąłem listę szczegółów mając nadzieję na dalszą reakcję D+, a tu dupa, moim zdaniem nie powinno tak być, że D+ informuje nas tak jak w tym przypadku, o próbie uruchomienia bezpiecznego pliku przez nierozpoznaną aplikację, "jeżeli aplikacja jest używana na co dzień można zezwolić" i na tym akcja się kończy. Zezwolisz - klapa zmanipulowana zaufana aplikacja ma nieograniczoną swobodę ruchu w systemie i w dostępie do sieci więc coś jest nie tak. W trybie paranoid. gdzie ignorowana jest biała lista, wychwycenie tej prawidłowej akcji jest nie możliwe, większość alertów jest praktycznie pomarańczowa lub czerwona.
Outpost mimo, że zaufał flashupdate zaalarmował nas o dodanych nowych komponentach zaufanej aplikacji, w miejscu gdzie może dojść do nieautoryzowanego dostępu do sieci za pomocą zaufanej aplikacji mimo, że service.exe ma z góry przydzielone reguły dla firewalla i AntiLeak. Alert jest zielony bo service.exe to zaufana aplikacja, komponent jak widać w podglądzie jest nieznany - znane komponenty są oznaczane kolorem czerwonym, komponenty zdefiniowanej aplikacji są oznaczane kolorem zielonym.
Comodo aby zredukować alerty do minimum zezwala bezpiecznym aplikacjom na wszystko, jak widać z resztą może mieć wpływ moim zdaniem na bezpieczeństwo i przede wszystkim prywatność użytkownika.
Zastanawiałem się dlaczego w Comodo firewall wyłączona jest autopiaskownica, doszedłem do tego testując WallBreaker. Piaskownica na poziomie częściowo limitowanym i limitowanym zezwala m.in na komunikację DDE, czyli np. spyware po przez przeglądarkę, otwierając odpowiednio spreparowaną stronę www może przesłać nasze prywatne dane. W Comodo nazywa się to modyfikacja interfejsu użytkownika. Wyłączona piaskownica daje większą kontrolę dla baaardzo zaawansowanego użytkownika.

A może zrobiłbyś test uwzględniając Online Armor? Ciekawi mnie jaki byłby wynik.

Będzie wieczorem.

[ichito]

X26
W trybie paranoid. gdzie ignorowana jest biała lista to wychwycenie tej prawidłowej akcji jest nie możliwe, większość alertów jest praktycznie pomarańczowa lub czerwona.

Ten fragment z komentarza do Comodo, ale niekoniecznie do niego samego teraz...to niestety cecha i wynikająca z tego udręka wszystkich trybów typu paranoid-normal-allways ask-czy cokolwiek podobnego ...pojawić się może ewidentnie przesyt tego typu ostrzeżeń, gdzie wciąż coś jest podejrzane/nietypowe/niebezpieczne i zwyczajnie tracimy czujność - mamy przesyt podobnych informacji i staje się to zwyczajnie czymś normalnym...zwyczajnym szumem informacyjnym, na który nie zwracamy uwagi. Można być dobrze zaznajomionym z działaniem używanego HIPSa, można dobrze znać system, procesy, usługi i całą ważną resztę, a i tak nadejdzie moment przypadkowej nieuwagi i całą naszą rutynę możemy rozbić o kant d....