» Jetico Personal Firewall

regboard

Цитата:

И не пытайся. Джетика это фаервол. Проактивная защита символическая (не перехватывает OLE объекты). Для этих целей есть HISP, опять-таки, не все HISP видят OLE.

Во второй Джетике, если разговор про неё, проактивка не символическая, а вполне на уровне, для персонального пользования.
А первая часть, этого теста интереса не представляет ни какого, т.к. пользователь сам жмёт "Start Internet Explorer", если бы тест сам запускал IE, был бы разговор. Если не глядя жать кнопки, да ещё с админ-правами, любая защита не справится.
А зачем перехватывать OLE объекты? Если не нравится, настраивается средствами самой системы. А так ИМХО, больше проблем возникнет, особенно кого раздражают частые запросы и в нынешней реализации проактивки Джетики.

Подскажите. Это только у меня или и в правду AkelPad не работатет с Джетикой? Открываешь окно пытаешься печатать, а ничего на экране нет... Вин2000 Акель4.1.4 Jetico последняя. Никаких записей в логе, даже когда все разрешаю не работает

Dimitr1s
Проактивкой то, что в Джетике 2, назвать трудно, т.к. срабатывает она "по факту", когда уже поздно "пить боржом" и единственный выход - зарубить все на корню, что она, собственно, и делает. Сложно сказать, почему разработчики решили именно так (причем гордо назвали этот метод "a Jetico way"). Корректнее было бы перехватывать саму попытку внедрения (что и делают нормальные HIPS-мониторы), а не гнобить ее последствия...

kovleon
Удали из Process Attack Table все упоминания об AkelPad, запусти его и уже внимательно отвечай на запросы.
(записи в логе появляются, если логирование включено)

XenoZ

Цитата:

Проактивкой то, что в Джетике 2, назвать трудно, т.к. срабатывает она "по факту", когда уже поздно "пить боржом" и единственный выход - зарубить все на корню, что она, собственно, и делает.

Ты в который раз пишешь: срабатывает "по факту", когда поздно "пить боржоми". Приведи хоть один пример утечки в обход заявленного в Джетике, функционала проактивки. Любопытно потестить, судя по всему примеров много.

Dimitr1s
Я говорю не об утечке, а о принципе работы Indirect Access. Т.е. Джетика не перехватывает само внедрение, а проверяет при запуске приложения уже внедрившиеся объекты. И если хотя бы один из этих объектов запрещен - грохается вся цепочка. (Вроде коряво вышло, но общий смысл примерно такой.) Была на оффоруме статья по этому поводу, где Nail высказывал мнение команды разработчиков и разъяснял этот принцип работы. Правда, давно это было, но если найду, - выложу линк.

XenoZ

Цитата:

Я говорю не об утечке, а о принципе работы Indirect Access.

Конечная цель проактивки, не допустить утечку данных с машины, если явных примеров обхода нет (в пределах заявленного конечно и если не брать творения виртуозов ассемблера), то твоё утверждение: "Проактивкой то, что в Джетике 2, назвать трудно", некорректно.
Цитата:

Джетика не перехватывает само внедрение, а проверяет при запуске приложения уже внедрившиеся объекты.

Смотря, что ты имеешь ввиду под внедрением. Если допускает загрузку при старте программы, в свои сегменты памяти, то чтение/запись в "чужие" держит корректно, насколько я её "пытал", по остальным пунктам работает чётко, отображает то что есть. Косяков много, особенно в последней версии, но на безопасность не влияют. Не плохая проактивка вообщем в своём классе.
Цитата:

И если хотя бы один из этих объектов запрещен - грохается вся цепочка.

Что есть, то есть и менять принцип не собираются, "a Jetico way" одним словом . Но ведь предупреждают, по честному хоть...
kovleon
Проверь ещё, не запретил ли случайно что нибудь Punto_Switcher'о_подобное.

Dimitr1s
Цитата:

Конечная цель проактивки, не допустить утечку данных с машины

Согласен, но сделать это можно по разному. И, согласись, проводить радикальную ампутацию головы из-за обнаруженной занозы в пальце - как-то не совсем логично. Можно же просто не допустить проникновения занозы.

Цитата:

Смотря, что ты имеешь ввиду под внедрением.

Вот это:
Цитата:

Indirect access to network detected.

Application %application%
made %parent_event% and probably tries to access the Internet via another application %misc%

If you block indirect access to network, it may affect other applications.

Do you want to authorize it?

т.е. Джетика сообщает об уже свершившемся событии (и "честно" предупреждает, что возможна радикальная ампутация)

Цитата:

Что есть, то есть и менять принцип не собираются, "a Jetico way" одним словом .

Вот это-то и удручает...

Цитата:

А первая часть, этого теста интереса не представляет ни какого, т.к. пользователь сам жмёт "Start Internet Explorer", если бы тест сам запускал IE, был бы разговор. Если не глядя жать кнопки, да ещё с админ-правами, любая защита не справится.

Необязательно, можно запустить IE до этого (не нажимая запуска IE). Эксплоид работает не от того, что пользователь жмёт "Start Internet Explorer", а от дыры в IE, чем собственно и пользуется (передает вводимый текст пользователя).


Цитата:

А зачем перехватывать OLE объекты?

Ну, речь вроде об этом и шла. Данный эксплоид работает посредством OLE.


OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}

xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results



Цитата:

Во второй Джетике, если разговор про неё, проактивка не символическая, а вполне на уровне, для персонального пользования.

Либо она есть, либо ее нет. Всякие подуровни не воспринимаю. Кста, у винды тоже есть свой "персональный" фаервол. )

XenoZ

Цитата:

made %parent_event%

Ну так, сделана попытка, путём "того то и того то", ни как не значит что событие совершено. Если запретить, Джетика накидает "бряки" на все зависимые и всё ("a Jetico way" ).

regboard

Цитата:

Необязательно, можно запустить IE до этого (не нажимая запуска IE). Эксплоид работает не от того, что пользователь жмёт "Start Internet Explorer", а от дыры в IE, чем собственно и пользуется (передает вводимый текст пользователя).

Об чём разговор то? На второй Джетике вводимый текст ни куда не передаётся и дело до этого не доходит. А первая часть где пользователь давит кнопку и открывает IE, да, не интересует.
Цитата:

OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}

xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results

Это к чему?

Цитата:

Либо она есть, либо ее нет. Всякие подуровни не воспринимаю.

Именно на уровне и плюс, в отличии от погрузившихся в зависимость от "рейтинга продаж среди домохозяек", полумёртвых, кисов и аутпостов - перспективы есть.

Цитата:

Кста, у винды тоже есть свой "персональный" фаервол. )

Если уж на то пошло, могу высказать точку зрения, что вообще все фаерволы, антивирусы и прочие "средства", не ст0ят гроша, являются потенциальными генераторами бсодов и лишней нагрузкой на процессор. "Забитая гвоздями" винда, плюс осторожность, плюс ограниченная учётка - всё что нужно для счастья. Но тема то, про сабж.

Dimitr1s
Цитата:

made %parent_event%

где %parent_event%
Цитата:

• inject dll - application injected dll into networked application's address space
• create remote thread - application created thread on behalf of networking application
• write to other's memory - application wrote into networked application's memory
• inter-process call - application performed inter-process call to networked application
• parent process - application started networked application

и речь идет не о попытке, а именно о уже свершившемся событии. Т.е. в случае Indirect Access Джетика не перехватывает попытки, а лишь информирует о том, что уже произошло. Применительно к первому событию, например, Джетика сообщает, что приложение А уже внедрило библиотечку в адресное пространство приложения Б. И блокируется здесь, по сути, не само внедрение, поскольку оно уже свершилось, а работа цепочки при обнаружении данного внедрения.
(Справедливости ради, следует отметить, что подобное поведение было в свое время также замечено на Comodo 2.4 при событии OLE Automation. И, тем не менее, существуют HIPS-мониторы, способные грамотно обрабатывать и блокировать подобные запросы без последствий для других приложений. Странно, почему в Джетике не захотели/не смогли сделать это по-человечески... Здесь на память приходит старый анекдот о том, как реагируют на глюк программист и демомейкер: программист всеми силами пытается глюк исправить, чтобы программа работала, как положено, а демомейкер всеми же силами пытается глюк оптимизировать, чтобы он выглядел красиво...)

Цитата:

Об чём разговор то? На второй Джетике вводимый текст ни куда не передаётся и дело до этого не доходит. А первая часть где пользователь давит кнопку и открывает IE, да, не интересует.

В том то и дело что доходит. Если процессу разрешить косвенный доступ, что делает эксплоид дальше Джетику не волнует. Не сработает только при запрете на косвенный доступ. Вот только не надо говорить, что запретив косвенный и есть решение проблемы. ) Ведь многие программы без него не работают.



Цитата:

OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}

xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results

Это к чему?

Это к тому, что проактивка Джетики должна видеть (если она есть).

XenoZ

Цитата:

и речь идет не о попытке, а именно о уже свершившемся событии. Т.е. в случае Indirect Access Джетика не перехватывает попытки, а лишь информирует о том, что уже произошло.

Давай определим, что ты считаешь свершившимся событием, что "считает" Джетика и что на самом деле происходит. Возьмём выше упомянутый PCFlank Leaktest, загружаем в память, выполняем код до момента введения в строку символов и нажатия "Далее>" (можно заранее посчитать хэш, и открыть IE, чтоб не было лишних запросов), происходит Событие: Leaktest пытается передать набранное в строке, через IE, вызывая системные функции, о чём Джетика уведомляет:

(запуск дочерних процессов я пропустил, рассмотрим это событие) Можно взять любой анализатор трафика, если есть сомнения. Если бы ты был прав что: "срабатывает она "по факту", когда уже поздно "пить боржом" и "речь идет не о попытке, а именно о уже свершившемся событии.", должна была бы состояться отправка пакетов на www.pcflank.com:80 через iexplore.exe, т.к. этим событие должно завершится. Однако ни чего подобного не происходит, запрос можно держать сколько угодно долго, ни одного пакета не уйдёт. Отсюда вывод: Событие не свершилось, попытка перехвачена Джетикой.
Если под Событием ты имел ввиду, отправку функции или процедуры к исполняемым файлам или в "чужие" сегменты, то значения не имеет на каком этапе сделать перехват, главное что бы цепочка не продолжилась.

Цитата:

Применительно к первому событию, например, Джетика сообщает, что приложение А уже внедрило библиотечку в адресное пространство приложения Б. И блокируется здесь, по сути, не само внедрение, поскольку оно уже свершилось, а работа цепочки при обнаружении данного внедрения.

Тут замечал, когда загружает, а когда стопит до загрузки (правда на старых версиях, как сейчас надо посмотреть как-нибудь), но опять же при запрещении, происходит останов всех вовлечённых, есть время разобраться без последствий и в сеть точно ни чего не сольётся.

Всё это ИМХО конечно.

regboard

Цитата:

Если процессу разрешить косвенный доступ, что делает эксплоид дальше Джетику не волнует.

Без комментариев.

Цитата:

Ведь многие программы без него не работают.

Да большинство вредоносного софта, слить информацию не смогут. Нормальным программам запрещать косвенный доступ не к чему.

Цитата:

Это к тому, что проактивка Джетики должна видеть (если она есть).

Чего она должна здесь увидеть:
Цитата:

OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}

xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results

если можно подробно?

Цитата:

Да большинство вредоносного софта, слить информацию не смогут. Нормальным программам запрещать косвенный доступ не к чему.

Вот, мы и добрались до главного. Откуда такая уверенность в "нормальных программах"? Извините, но у меня уверенности нет, я не телепат.

Jetico блокирует службу диспетчера подключений удаленного доступа, а также отказывает в доступе к Администрованию (Ошибка 5). Как это исправить?

Dimitr1s
На русский перевод лучше не опираться, т.к. он, как и в большинстве случаев, кривой. Не выполняет, а выполнила, в данном случае.
Цитата:

Отсюда вывод: Событие не свершилось, попытка перехвачена Джетикой.

Отнюдь. В данном случае Джетика информирует о том, что в цепочке обнаружен посторонний объект и блокирует цепочку до вынесения вердикта. (свершившимся событием я считаю сам факт внедрения)

Цитата:

значения не имеет на каком этапе сделать перехват, главное что бы цепочка не продолжилась.

Как раз здесь мы с тобой и не сходимся.
Цитата:

но опять же при запрещении, происходит останов всех вовлечённых

Некузяво это. Согласен, безопасность от этого не страдает, но метод, к-рым это достигается, мне очень не нравится. Грубо и топорно...


Добавлено:
Paul68
Удали все запреты в Indirect Access Table и Process Attack Table, и потом внимательно отвечай на запросы.

XenoZ

Цитата:

На русский перевод лучше не опираться, т.к. он, как и в большинстве случаев, кривой. Не выполняет, а выполнила, в данном случае.

Я опираюсь не на перевод, а на то, что происходит с исполняемым кодом. К слову, на английский перевод, можно опираться также как и на русский - оба выполнены Jetico, Inc., Address: Innopoli 2, Tekniikantie 14, 02150 Espoo, Finland, мало ли...

Цитата:

Отнюдь. В данном случае Джетика информирует о том, что в цепочке обнаружен посторонний объект и блокирует цепочку до вынесения вердикта. (свершившимся событием я считаю сам факт внедрения)

Драйвер оперирует функциями, по мере выполнения кода программы, соответственно пропускает или ставит запрет на дальнейшее выполнение кода после вызова определённой функции и чтение/запись из других сегментов. Выше, в примере, если посмотреть логи Джетики, увидим запрос именно Косвенного доступа (Leaktest'а к IE) и при запрещении, блокировку именно в этот момент, а не при попытке уже IE использовать сетевые функции, как если бы ты был прав. То есть Косвенный доступ не выполнен - а блокирован, иначе блокировались бы уже сетевые функции IE (Сетевая активность). Что касается попутной блокировки исполнения сетевых функций всех вовлечённых процессов, тут уже вопрос - нравится или нет, но к безопасности он отношения не имеет (скорее даже усиливает, в какой то степени ), да и перезапустить Джетику занимает несколько секунд.
По всем остальным событиям Косвенного доступа, блокировка, при запрете, происходит так же своевременно - выполнить код, содержащий вызов сетевых функций, после запрета обнаруженного Джетикой события, программа не сможет.

Paul68
Эта служба запускается svchost.exe (с параметрами), начни смотреть от сюда.

XenoZ


Добавлено:
XenoZ

Цитата:

внимательно отвечай на запросы.

Простите, между "разрешить навсегда" и "разрешить по шаблону", что выбирать?

Paul68
Если для приложения есть шаблон (таблица), и правила в нем (ней) устраивают, тогда логичнее выбрать "разрешить по шаблону". А вот разрешать или запрещать - выбирать тебе. Могу лишь сказать, что любой запрет в таблице "Indirect Access", особенно это касается системных процессов, может чревато сказаться на дальнейшей работе системы.

Добавлено:

All
Кстати, для желающих потеститься на уязвимость, есть такой забавный тестик от Comodo:
http://eu2.download.comodo.com/securitytests/CLT.zip
(естественно, что под Комод он и заточен, но тем не менее...)

Спасибо.
Разрешил всю активность Акелю. Помогло только после перезагрузки(из-за этого не получалось).

Подскажите кто знает. Как в jetico разрешить прием по сети заданий на печать для принтера?

Для этого сейчас приходится переключать в Protocol Table последнее правило "отклонить все" на правило "разрешить все", что не кажется безопасным.
Пытался методом подбора разрешать различные протоколы из выпадающей таблицы - все бестолку. Есть возможность задать протокол через его номер, но вот какой именно?

Jetico первой версии.

fbm
С машин на какой системе (Windows, UNIX...), не проходят пакеты? Как настроена на них передача (может беспроводная типа Wi-Fi)?
Можно попробовать, для начала, снять Stateful Inspection в правиле Allow ARP requests.
Что в логах на запрещающих правилах в таблицах: Protocols Table, System Internet Zone? Вообще, включение и просмотр логов на запрещающих правилах, решают почти все похожие вопросы.

Dimitr1s

1) Все машины под Windows XP, проводная сеть.
2) В правиле Allow APR requests (в Protocols Table) я не нашел Stateful Inspection (может не туда смотрел или версия другая)
3) С логами на запрещающих правилах в других таблицах не понятно, чем может помочь, если проблема локализована в Protocols Table. В логах на финальное запрещающее правило в данной таблице пишет, что в момент отправления на печать приходят и уходят пакеты по протоколам 0003 и 0004. Делаю разрешающие правила на протоколы с этими номерами - не работает все равно.

Кстати Optimal protection из дефолтных настроек имеет ту же проблему.

fbm
Насколько помню, пакеты сначала проходят System IP Table, а затем уже Protocols Table.
В System IP Table перед последним Continue добавь правило Block and Log, а потом по логу разбери, какие правила нужны.

fbm

Цитата:

С логами на запрещающих правилах в других таблицах не понятно, чем может помочь, если проблема локализована в Protocols Table.

Насколько мне не изменяет память, в первой Джетике, Root разветвляется на: Root -> Protocols Table, а так же и на: Root -> System IP Table -> System Internet Zone. Управлять протоколами (запрещение/разрешение) можно как в Protocols Table, так и в System Internet Zone (в System IP Table тоже кстати). Включая в Protocols Table, снизу, "разрешить всё" тем самым Вы разрешаете все пакеты и до правил в System IP Table -> System Internet Zone дело не доходит. Включая обратно "отклонить все", пакеты проходят и могут резаться в этих таблицах.
Цитата:

В логах на финальное запрещающее правило в данной таблице пишет, что в момент отправления на печать приходят и уходят пакеты по протоколам 0003 и 0004. Делаю разрешающие правила на протоколы с этими номерами - не работает все равно.

Вероятно имеются ввиду Gateway-to-Gateway (GGP) и инкапсуляция (IP in (over) IP), попробуйте создать, если в первой Джетике это возможно, разрешающие правила по указанным номерам протоколов (3 и 4) в таблице: System Internet Zone. Проверьте ещё не заблокированы ли порты 137-139. Ну и логи смотреть в этой таблице тоже.
Цитата:

В правиле Allow APR requests (в Protocols Table) я не нашел Stateful Inspection (может не туда смотрел или версия другая)

В первой Джетике нет такого?

Тогда извиняюсь, под рукой нет первой версии.

Цитата:

Кстати, для желающих потеститься на уязвимость, есть такой забавный тестик от Comodo:
http://eu2.download.comodo.com/securitytests/CLT.zip

Я вот проверился на КИС 2009. Результат, надо сказать плачевный. Из 340 пунктов - 130 protected. Остальные - увы! Может это тест такой нехороший. Или...? Кто-нибудь проверял Jetico этим тестом? Отпишитесь пожалуйста.

Brodjga
Запустил с админ правами, сеть включена, IE полностью открыт. Всё время жал "запретить однократно":


Ничего нового, удалил...

Здравствуйте!
Прошу помощи! Необходимо заблокировать доступ одной программы (AMS) на следующие IP:
209.160.77.122
80.68.246.200
83.222.23.166
208.186.130.118
При установке программы, она была занесена в "application trusted zone".
Просьба указать пошагово как заблокировать доступ программы к данным IP.

Заранее спасибо!

1. Открыть правила файрвола
2. Заблокировать программу.
3. ...
4. PROFIT!


ЗЫ Извините, не сдержался...

GQ, Вы не могли бы поподробней?

23-March-2009 | v.2.0.2.9
Changelog:
Pete Mierski translated language file to Polish language.
Empty event in Applcation checksum rules fixed.
Improved hash calculation.
Documentation updated.
Beta тоже обновилась:
23-March-2009 | v.2.1.0.2 beta
Changelog:
UDP broadcasts support.
Resource leaks fixed.