Ru-Board.club
← Вернуться в раздел «Программы»

» Comodo Internet Security

Автор: XenoZ
Дата сообщения: 14.01.2015 14:19
emhanik
Занятно...
Одно но: реакции придется ждать до 23 февраля, qmarius отписывался, что его не будет, разве что egemen'а или Казакова персонально носом ткнуть. С Казаковым можно общаться по-русски.
Автор: emhanik
Дата сообщения: 14.01.2015 14:37
XenoZ
egemen'у написал
Автор: XenoZ
Дата сообщения: 15.01.2015 13:38
emhanik
Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть.
Автор: emhanik
Дата сообщения: 15.01.2015 14:10
XenoZ 14:38 15-01-2015
Цитата:
Кстати, если объединить 2 бага в 1, то получается универсальная "бомба": возможность запуска произвольного файла с правами "Доверенный/установщик" (с точки зрения Комода) и имеющего свободный выход в сеть.

Дык я о чем:
emhanik 19:15 12-01-2015
Цитата:
Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.

Даже если запретить запуск файлов, имеющих имена интерпретаторов, но иные пути, «бомба» сможет запустить отдельный свой компонент виртуально, и тот в сеть выйдет (виртуальная подмена интерпретатора по его правильному пути делается беспрепятственно).
Но намеренный запуск в виртуальной среде Comodo еще можно запретить.
А вот интересно, как будет, если вредоносная программа создает собственную виртуальную среду? Я немного поэкспериментировал с портативными сборками, созданными VMware и Cameyo. Оказалось, что для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает, поэтому не прокатывают и его уязвимости. А при распаковке и запуске программы в Cameyo контролируется-таки ее реальное расположение, а не виртуальное. Т.е. обойти приведенную блокировку сторонней виртуализацией пока не удалось, но я и пробовал всего ничего.

Добавлено:

Цитата:
для программ, запущенных в песочнице VMware, анализ командной строки вообще не работает

Перепроверил — все же работает, хотя с какими-то странностями. Но, как и в случае Cameyo, при попытке запустить программу, виртуально расположенную на месте интерпретатора, Comodo блокировал запуск и в журнале появилась запись с реальным местоположением этой программы.

Внезапно обнаружил забавную вещь: если в виртуальной среде VMware выполнить копирование исполняемого файла, то становятся видны альтернативные потоки данных, которые создает Comodo. Т.е. рядом с файлом «java.exe» появляется файл «java.exe:$CmdTcID», который можно просмотреть.
Автор: slavkosha
Дата сообщения: 23.01.2015 19:37
Всем привет.

Можете помочь?
На днях заметил графический глюк.
Висит на экране типо окошко от комодо центра извещений, но совсем мелкое и обрезанное. Никак не убрать. Можно только мышкой двигать.

Скрин здесь ---> http://s020.radikal.ru/i701/1501/06/f7130e4590dc.jpg
Автор: emhanik
Дата сообщения: 23.01.2015 20:30
slavkosha
На вкладке «Интерфейс» отключите «извещения от центра сообщений Comodo» и перезагрузитесь.
Автор: Spielism
Дата сообщения: 28.01.2015 15:27
Доброго времени всем.На ХР стоял Comodo Firewall - 5.10.Чистый.Снес его и все,что с ним связано Revo Uninst. Но фокус в том,что ключи реестра НИКАК не удаляются.Пробовал и вручную и спец.программами - бесполезно.Потом стало еще забавней - снова его установить не получается (не работает агент),поэтому я вообще решил от фаера отказаться.Но как удалить ключи? Заранее благодарен.
Автор: shadow_member
Дата сообщения: 28.01.2015 17:36
Spielism
Почти уверен, нужно задать права на ветки реестра. Всречал такое не раз, по другим делам.
http://www.windxp.com.ru/articles90.htm
http://www.oszone.net/7836/
Автор: Spielism
Дата сообщения: 29.01.2015 07:36
shadow_member
У меня ХР (но не в этом суть).Описанными в статье средствами я могу изменить и удалить что угодно,но только не ветку HKEY_LOCAL_MACHINE/SYSTEM/Software/COMODO.Даже если я владелец со всеми правами,то при удалении (и даже при изменении имени) выдает ошибку.Комод как будто врос в систему)
Автор: XenoZ
Дата сообщения: 29.01.2015 10:10
Spielism
Уже не раз писалось, что Комод корректно удаляется штатным методом. Использование всевозможных сторонних утилит зачастую приводит к различным глюкам.
Возможно, ветку реестра "держит" оставшийся в системе драйвер.
Автор: redson
Дата сообщения: 29.01.2015 10:24
Spielism

Цитата:
Доброго времени всем.На ХР стоял Comodo Firewall - 5.10.Чистый.Снес его и все,что с ним связано Revo Uninst. Но фокус в том,что ключи реестра НИКАК не удаляются.Пробовал и вручную и спец.программами - бесполезно.Потом стало еще забавней - снова его установить не получается (не работает агент),поэтому я вообще решил от фаера отказаться.Но как удалить ключи? Заранее благодарен.

по пробуй Comodo Uninstaller Tool:
forums.comodo.com/install-setup-configuration-faq-cis-b141.0/-t71897.0.html
Автор: Spielism
Дата сообщения: 29.01.2015 15:44
shadow_member,XenoZ,redson,
Спасибо за внимание к моей персоне.По ссылкам shadow_member я наткнулся на способ удаления скрытых и незадействованных драйверов на ХР и снес драйвера CIS...там еще epfw какие-то есть,но они не удаляются(система уходит в вечные раздумья)...попробую
Comodo Uninstaller Tool.
UPD - Не вышло.Я уж думаю - а не поставить ли мне CIS-5...типа так и было)
Автор: XenoZ
Дата сообщения: 29.01.2015 22:18
Spielism
Для начала разберись как следует в своей системе: epfw.sys - это драйвер ESET.
Автор: krserv
Дата сообщения: 30.01.2015 09:59
подскажите пжс как правильно настроить Comodo Firewall для работы с интернет банком под Window 7, открыть только порт 80 и 443 т.е нужно обновлять через интернет саму ОС и Comodo Firewall и работать через web browser Firefox. Или даже может лучше установить Comodo Browser, который на базе Firefox? Больше никаких программ на компе не установлено.
Т.е программа для интернет-банка и Comodo
Автор: shadow_member
Дата сообщения: 30.01.2015 10:52
krserv
Если этого достаточно, то разрешить только порты 80 и 443 и запретить все остальные и включить логирование. По результатам смотреть в логах и уточнять правила, лучше всего, с точностью до единого IP или диапазона IP.
Это в правилах для Firefox.
Можно попробовать то же самое сделать в глобальных правилах, это будет для всей системы.
COMODO Browser роли не играет и не нужен.
Автор: krserv
Дата сообщения: 30.01.2015 11:42
техподдержка сказала, что еще нужны 90 и 91 порты, не могу понять, что это за порты? Находятся в диапазоне официально назначенных.
Автор: XenoZ
Дата сообщения: 30.01.2015 13:31
krserv

Цитата:
техподдержка сказала, что еще нужны 90 и 91 порты, не могу понять, что это за порты? Находятся в диапазоне официально назначенных.
Наверное, не 90 и 91, а 9091?
Цитата:
Для работы системы требуется установленная Java и должны быть открыты следующие порты: 443 и 9091.

Не можешь понять - не мучай мозг, у каждой конторы свои тараканы. Нужны порты для работы - открывай.
Автор: krserv
Дата сообщения: 30.01.2015 13:47
ну теперь понятно, такая техподдержка в банке
Автор: fromkeila
Дата сообщения: 30.01.2015 18:02
Очень нравится фаерволл, и жутко не нравится дырявый антивирус. Скажите, просто фаревола уже не выпускают без этих довесков в лице песочниц, хипсов, вирускопов и прочей хрени? С сайта место фаера скачивается богопротивный CIS, а мне антивирусник не нужен, у меня на это трехдвижковый 360 TotalSecurity стоит.
Подскажите пожалуйста какая версия фаервола была еще фаерволом, а не бенчмарком по нагрузке проца ?
Автор: shadow_member
Дата сообщения: 30.01.2015 18:12
fromkeila
Выпускают, как и прежде. Дистрибутив общий, и называется он "CIS", в него входит антивирус и фаервол, при установке можно выбрать, что устанавливать. Фаервол неотъемлемо имеет песочницу и хипс, но их можно не включать.
Последняя приличная версия- 5.10 (5.12- поддержка Win8, но не Win81).

Добавлено:
Последняя, какая выпускалась не в составе CIS, наверное, v4.
Автор: XenoZ
Дата сообщения: 30.01.2015 22:10
fromkeila

Цитата:
Очень нравится фаерволл, и жутко не нравится дырявый антивирус. Скажите, просто фаревола уже не выпускают без этих довесков в лице песочниц, хипсов, вирускопов и прочей хрени?

Как уже сказано выше, при установке есть выбор, какие компоненты ставить. Одно но: при отключенном HIPS пропадает контроль целостности приложений.
И главное на сегодня но: в Комоде обнаружена уязвимость, к-рая позволяет выполнить произвольный код с правами доверенного инсталлятора, т.е., в обход всех уровней защиты Комода, что практически ставит на нем крест. Данная уязвимость актуальна для версий 5-6-7-8, более ранние не проверялись.


Цитата:
Последняя, какая выпускалась не в составе CIS, наверное, v4

Последний "чистый" фаервол, если не изменяет память, - 3.0. CIS был анонсирован с версии 3.8. (заинтересованные могут полистать топик, ссылки на старые ветки - в шапке)
Автор: XenoZ
Дата сообщения: 31.01.2015 01:23
All
Добавил в шапку информацию о "дыре" в Комодо.
Автор: Spielism
Дата сообщения: 31.01.2015 08:26
XenoZ
Я разобрался в своей системе(насколько смог),поэтому в дополнение к Eset Endpoint и поставил CF - 5.10 и теперь вот вычистить не могу...ну да ладно,спасибо за помощь.
P.S - о дровах я всё давно прогуглил,просто поспешил написать.
P.P.S - лично я для себя вопрос с фаерволом решил - он мне не нужен,ибо я паранойей не страдаю и особой надобности в нём не вижу.
shadow_member,последний чистый был 5.10,его я и нашел на трекере.
Автор: kaijosta
Дата сообщения: 31.01.2015 09:11

Цитата:
в Комоде обнаружена уязвимость, к-рая позволяет выполнить произвольный код с правами доверенного инсталлятора, т.е., в обход всех уровней защиты Комода, что практически ставит на нем крест. Данная уязвимость актуальна для версий 5-6-7-8, более ранние не проверялись.

CIS 5.12. Если выставить "обрабатывать неопознанные как Заблокированные", то пробить невозможно. Максимум, что при запуске ярлыка "add to trusted and run" создается в этой же папке файл "test2.exe", но толку от этого никакого.
CIS 7 - это конечно дырка, данный метод не спасает.
Автор: emhanik
Дата сообщения: 31.01.2015 13:09
kaijosta
Пожалуйста, уточните ОС и скиньте конфигурацию.

Причины могут быть разными:
- в системе отсутствовал на ожидаемом месте файл tcmsetup, или этот файл не опознался как инсталлятор (тогда вместо него можно было любой другой инсталлятор взять);
- был отключен анализ командной строки;
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;
- ..?

Перепроверил CIS 5.10 в WinXP (VMware)
Запуск ярлыком «run.lnk», действительно, заблокировался.
Но после запуска ярлыка «add to trusted and run.lnk» файл «test2.exe» стал доверенным и запустился
Конфигурация Proactive Security + блокировка неопознанных: http://rghost.ru/8tYMjBtnr

Добавлено:
Мой вывод. Версия 5.10 частично устояла к уязвимости не благодаря лучшей якобы защите, а из-за наличия в ней другого бага. Конкретно: в ней опция автопесочницы по обнаружению инсталляторов («Не запускать в Sandbox приложения для установки») не работает, когда автопесочница установлена в режим блокировки.
В более новых версиях того же эффекта можно добиться отключением опции «Обнаруживать программы, требующие повышенных привилегий». О чем, в общем-то, я многократно и писал.
Дополнительно нужно отключить доверие программам, созданным доверенными инсталляторами (писал там же).

Проверил 5.12 — повторилась ситуация с 5.10
Автор: kaijosta
Дата сообщения: 31.01.2015 14:26
emhanik

Цитата:
- в системе отсутствовал на ожидаемом месте файл tcmsetup, или этот файл не опознался как инсталлятор (тогда вместо него можно было любой другой инсталлятор взять);

На месте: C:\WINDOWS\system32\tcmsetup.exe

Цитата:
- был отключен анализ командной строки;

Включен

Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;

Это да - отключено, и без разговоров...

Цитата:
Перепроверил CIS 5.10 в WinXP (VMware)
Запуск ярлыком «run.lnk», действительно, заблокировался.
Но после запуска ярлыка «add to trusted and run.lnk» файл «test2.exe» стал доверенным и запустился

Ничего доверенным не стало, и не запустилось.

Цитата:
Мой вывод. Версия 5.10 частично устояла к уязвимости не благодаря лучшей якобы защите, а из-за наличия в ней другого бага. Конкретно: в ней опция автопесочницы по обнаружению инсталляторов («Не запускать в Sandbox приложения для установки») не работает, когда автопесочница установлена в режим блокировки.

Баг, не баг, но CIS 5 удар держит, в отличии от дерьма под названием CIS 6,7,8.

Цитата:
Пожалуйста, уточните ОС и скиньте конфигурацию.

Win XP x86, Win 7 x64. Конфигурацию скидывать не буду, т.к. там много всяко-разного.
Автор: emhanik
Дата сообщения: 31.01.2015 14:31
kaijosta 15:26 31-01-2015
Цитата:
Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;

Это да - отключено, и без разговоров...

С этого надо было и начинать.


Цитата:
Баг, не баг, но CIS 5 удар держит, в отличии от дерьма под названием CIS 6,7,8.

Повторяю: тот же эффект в версиях 6-7-8 дает отключение опции «Обнаруживать программы, требующие повышенных привилегий». А в 5-ке эта опция попросту не работает, когда автопесочница в блокировке.


Цитата:
Конфигурацию скидывать не буду, т.к. там много всяко-разного.

Ok, и так уже все понятно.
Автор: kaijosta
Дата сообщения: 31.01.2015 16:20

Цитата:
- была отключена опция «Автоматически доверять программам из доверенных установщиков»;

Это да - отключено, и без разговоров...

С этого надо было и начинать.

Никто вам не мешает настраивать продукт по своему желанию и вкусу. Он это позволяет.

Цитата:
А в 5-ке эта опция попросту не работает, когда автопесочница в блокировке.

Если файл является заблокированным - значит он заблокирован на выполнение.
Хоть в песке, хоть без песка. При чем тут вообще автопесочница, если файл блокирован?
И в чем баг?
Один сплошной баг - это CIS 6-8.

Автор: emhanik
Дата сообщения: 31.01.2015 18:42
kaijosta 17:20 31-01-2015
Цитата:
С этого надо было и начинать.

Никто вам не мешает настраивать продукт по своему желанию и вкусу. Он это позволяет.

Спасибопоржал
За логикой-то беседы следите:
- Вы заявляете, что в определенной конфигурации 5-ка не имеет уязвимости. При этом не сообщаете о ключевой детали этой конфигурации.
- Я проверяю, делаю вывод и объясняю вам суть дела. При этом выспрашиваю подробности (которые следовало сказать сразу).
- Вы сообщаете детали.
- Я подвожу итог.
- Вы пытаетесь меня поучать. — Что это было???


Цитата:
При чем тут вообще автопесочница, если файл блокирован?

При том, что данная блокировка — это один из режимов работы компонента, который отвечает за автоматическую изоляцию в песочнице.

Впрочем, в 5-ке опция «Не запускать в Sandbox приложения для установки» вынесена на вкладку настройки собственно Sandbox. Поэтому как бы она и не должна влиять на режим блокировки. С такой точки зрения это не баг. Согласен.

Однако в дальнейших версиях данный вид блокировки стали откровенно называть одним из режимов Auto-Sandbox. Путь формально блокировка — это не песочница, но данный режим стал подчиняться тем же параметрам, что и Auto-Sandbox в целом.
Если отмечена опция, согласно которой доверенные инсталляторы неподконтрольны Auto-Sandbox — значит, они не должны контролироваться ни в каком режиме, и их дочерние процессы не должны ни изолироваться, ни блокироваться.

Разумеется, в связи с уязвимостями эту опцию лучше отключать, как и опцию «Доверять приложениям, созданным доверенными инсталляторами». И только при отключении данных двух опций неопознанные программы должны всегда блокироваться (или изолироваться, в зависимости от выбора режима).


Цитата:
И в чем баг?

Ok, это не баг. Как не является багом и поведение последующих версий.
И 5-ка, и 7-ка ведут себя согласно интерфейсу настройки, а он у них разный.


Цитата:
Один сплошной баг - это CIS 6-8

Во многом такой же «сплошной баг», как и 5-ка (хотя мне-то известно несколько уязвимостей, появившихся именно в новых версиях).
Однако, чтобы утверждать подобное — сначала отключите в CIS 6-7-8 опции «Обнаруживать программы, требующие повышенных привилегий» и «Доверять приложениям, установленным с помощью доверенных иснталляторов», включите Auto-Sandox в режиме блокировки и найдите, чем такая конфигурация хуже 5-ки.
Вы используете 5-ку именно в таком режиме.
Автор: kaijosta
Дата сообщения: 31.01.2015 21:59
emhanik

Цитата:
Спасибопоржал

На здоровье...

Цитата:
За логикой-то беседы следите:
- Вы заявляете, что в определенной конфигурации 5-ка не имеет уязвимости. При этом не сообщаете о ключевой детали этой конфигурации.
- Я проверяю, делаю вывод и объясняю вам суть дела. При этом выспрашиваю подробности (которые следовало сказать сразу).
- Вы сообщаете детали.
- Я подвожу итог.
- Вы пытаетесь меня поучать. — Что это было???

Пожалуйста, сбавьте обороты вашего назидательного тона...
Вы везде стонете: "Шеф, все пропало, спасения - нет".
Я же говорю, что не все пропало. Только и всего.

Цитата:
При том, что данная блокировка — это один из режимов работы компонента, который отвечает за автоматическую изоляцию в песочнице.

Зачем Комоду помещать заблокированный объект еще и в песочницу? Где логика? Чтобы он еще сильнее "заблокировался"? Данному приложению просто отказано в запуске.

Цитата:
Однако в дальнейших версиях данный вид блокировки стали откровенно называть одним из режимов Auto-Sandbox. Путь формально блокировка — это не песочница, но данный режим стал подчиняться тем же параметрам, что и Auto-Sandbox в целом.

Вы что оправдываетесь передо мной за последующие корявые версии?
Так это обязанность разработчиков. Какие к вам претензии?

Цитата:
Ok, это не баг. Как не является багом и поведение последующих версий.

Пользуйтесь ими, если там все хорошо, а я пока перетопчусь на CIS 5.

Цитата:
Однако, чтобы утверждать подобное — сначала отключите в CIS 6-7-8 опции «Обнаруживать программы, требующие повышенных привилегий» и «Доверять приложениям, установленным с помощью доверенных иснталляторов», включите Auto-Sandox в режиме блокировки и найдите, чем такая конфигурация хуже 5-ки.

Увольте меня от этих "тошнотных" версий.
Надеюсь вам не надо напоминать о багах новых версий, которые наслаиваются как пирог?
Одни "неопознанные" файлы чего стоят + возможность подмены доверенных файлов всякой дрянью.
Да, еще есть шизоидный "контент-фильтр", и "тыкающий пальцем в небо" Viruscope.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458

Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.