Comodo Internet Security - test blokera behawioralnego
#1
Po ostatnich dyskusjach odnośnie Comodo zdecydowałem się wykonać test blokera behawioralnego, zwanego przez Comodo szumnie (i niesłusznie) piaskownicą.

Założenia:
System: Windows 7 Professional SP1 32-bit (VirtualBox)
Wersja pakietu: 32-bit, najnowsza stabilna w chwili tworzenia testu
Ustawienia: domyślne + wykluczenie ze skanowania antywirusem folderu z testerami
Programy testowe były uruchamiane w obrębie "sandboxa".


Programy testowe:
- SpyShelter AntiTest
- Zemana Keylogger Test
- Zemana Clipboard Test
- Anti-KeyLogger Tester 3.0


Wyniki:
Comodo test oblał niemal całkowicie.
Zablokowane zostały jedynie akcje próbujące naruszyć rejestr w teście SpySheltera. Cała reszta, tj. klawiatura, schowek, screenshooty były do dyspozycji programów testujących. Tylko potwierdza to moje słowa z

[Aby zobaczyć linki, zarejestruj się tutaj]

dotyczącego tego, że piaskownica w Comodo tak naprawdę piaskownicą nie jest i jest to ogromna nadinterpretacja tej nazwy. Ogólnie mamy tutaj 4 warstwy ochrony: antywirus, HIPS, sandbox oraz firewall. W wypadku ataku skierowanego na pozyskanie np. naszych danych autoryzacyjnych, naszej tożsamości, nie możemy liczyć na Comodo bez ingerencji w jego ustawienia.
Antywirus może zagrożenie tego typu przepuścić, co zasugerowałem omijając go. Domyślnie wykrywa on produkty Zemany jako malware, inne zignorował. HIPS jest na domyślnych ustawieniach wyłączony, więc całkowicie go pomijamy. Bloker behawioralny, który nie jest piaskownicą ma dosyć niewielkie ograniczenia w domyślnych ustawieniach, bez problemu zezwala na ustawianie uchwytów na klawiaturę czy schowek. Gdy malware ma już nasze przechwycone dane, wysyła je do atakującego bez problemów, bo zapora na trybie bezpiecznym ma dwie reguły, które pozwalają na cały ruch wychodzący i przychodzący... Po prostu jakby była zapora, ale jednak jej nie ma.
Testy wypadły słabiutko, ale nie to jest najgorsze. Na systemach 64-bitowych program zachowa się jeszcze gorzej, bo przez mechanizm ochrony kernela systemowego w ogóle nie będzie w stanie monitorować innych aplikacji. Jest to szczególnie widoczne w najnowszym Windows 8. Jako że udział systemów x64 rośnie, jest to poważne zagrożenie.


Co można zrobić?
Przede wszystkim, zmienić konfigurację na proaktywną. Uruchamia to moduł HIPS, a także włącza rozszerzoną ochronę w systemie 64-bitowym - program przestaje być bezbronny i może normalnie monitorować akcje. Drugie moje zalecenie to zwiększenie poziomu restrykcji blokera behawioralnego na poziom "ograniczone". Pozwoli to zablokować dostęp do uchwytów, a w takiej "piaskownicy" powinniśmy uruchamiać tylko niezaufane aplikacje. Trzecia sprawa to zmiana poziomu ochrony zapory na tryb własnych reguł. Możemy pomóc sobie automatycznym tworzeniem reguł dla bezpiecznych aplikacji, aby uniknąć alertów dla podpisanych, zaufanych programów. O reszcie powinniśmy decydować samodzielnie. Ostatnia sprawa jest prosta - używajmy mózgu. Nie tylko w sensie korzystaniainternetu, ale i trzeźwego podejścia do PRowej gadki, takiej jak ta o ochronie Comodo.

Test na YouTube:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Konkretnie i na temat. Możesz poddać takiemu testowi OA Free (run safer) ?
Odpowiedz
#3
Może, jeżeli znajdzie się czas na to Smile
Odpowiedz
#4
Testowanie OA z uruchamianiem testowych aplikacji w trybie RunSafer chyba mija się z celem...tak myślę. RunSafer to przecież tryb ograniczeń dla aplikacji, więc test cały może się po prostu nie uruchomić prawidłowo i tym samym wyniki będą zafałszowane. Inaczej gdybyśmy testowali uruchamianie w tym trybie jakiegoś malware i sprawdzali potem, jakie zmiany zostały wprowadzone...włączając to oczywiście wszystkie wykryte przez HIPS akcje i odpowiedzi na nie.
Co do wyniku Comodo...z niejaką satysfakcją czytam jak są kiepskie i nie ukrywam, że ten program sam sobie robi krzywdę...a właściwie autorzy, którzy go rozwijają robią mu krzywdę wprowadzając kolejne w nim zmiany i to czasem zupełnie bez jakiegoś pomysłu i koncepcji. To kiedyś była naprawdę dobra zapora z czułym HIPSem...Comodo większość z tego powodu się bała, bo nie tylko tryb paranoiczny potrafił zniechęcić znakomitą większość, aten był używany przez absolutnych maniaków kompletnej kontroli nad niemal wszystkim. Teraz jest to zbiór "wynalazków", które nie są tym, czym powinny być i na co wskazuje nazwa...piaskownica, która nie jest piaskownicą no i bloker behawioralny, który z takimi programami nie ma nic wspólnego poza nadużyciem ich nazwy.
Szkoda...może ktoś się w końcu opamięta.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Sory ale nie kumam, jeśli to co jest w comodo to jest rzeczywiście piaskownica, to co w tym dziwnego że przepuszcza te testy? Sbie też na domyślnych przepuści bo to jest piaskownica, a nie sandbox policy (restrykcje można zmienić w ustawieniach). Taki test to raczej do DW pasuje a nie tutaj, sory ale mi to przypomina testowanie Sbie- CLTGrin
Odpowiedz
#6
Właśnie rzecz w tym, że to co jest w Comodo piaskownicą nie jest, a jest tak nazywane.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości