» Comodo Internet Security
Уже было несколько сообщений о проблеме обновления антивирусной базы у 5.10 (5.12), установленной на WinXP.
danAtyrau
Недостаток 7й версии - "приторможенный" интерфейс. Если настроить Комод в режиме "блокировать без оповещений", то этот недостаток практически незаметен.
Последняя версия 7ки - 7.0.317799.4142
Цитата:
Как заставить Авто-Sandbox предлагать админу выбирать самостоятельно: в песочнице запускать\устанавливать или нет?
Для обычных программ — никак.
Для установщиков: настройка Sandbox > «Показывать оповещения, если неизвестные программы требуют повышенных привилегий»
XenoZ 10:07 12-01-2015
Цитата:
Недостаток 7й версии - "приторможенный" интерфейс
Недостаток всех версий в том, что Comodo — труп.
Цитата:
Недостаток всех версий в том, что Comodo — труп.
Фокус не удался.
В настройках файервола "Create rules for safe applications" включить не забыли?
Цитата:
В настройках файервола "Create rules for safe applications" включить не забыли?
В смысле вЫключить? Смотрите внимательно.
Добавлено:
Не говоря уже о том, что в «Пользовательском режиме» эта опция никакой роли не играет.
Во-вторых, отключение опции «Создавать правила для безопасных приложений» отключает запоминание разрешений для доверенных приложений. Если она включена и доверенное приложение вышло в сеть, а потом его подменили — подмененное получит доступ. Т.е. как раз включение этой опции было бы очевидно дырой, а не отключение.
В-третьих, эта данная опция играет роль в «Безопасном режиме». «Пользовательский» от нее не зависит.
Ну что сказать - оформляйте багу. Их там уже и так достаточно. Только фиксят избирательно.
Добавлено:
Кстати, для интереса запустил mikogo-host (который для портативных носителей) только что. Стоит CIS 7.0.317799.4142. Нормально вякнул про попытку соединения, заблокировал - никто в сеть не вылез.
Цитата:
оформляйте багуНесколько месяцев назад я пытался это делать, но только скрыто, в личку Хирону, по понятной причине. Писал уже, что из этого вышло.
Цитата:
Кстати, для интереса запустил mikogo-hostВ моем примере суть не в mikogo: любую программу (хоть не доверенную) можно выполнить так, чтобы она получила права другой. Mikogo я взял из соображений наглядности. На рабочем столе не совсем она, а «подготовленный» файл.
И это далеко не единственная критическая уязвимость.
Я собираюсь через день-два отправить на comss.ru свою статью по защите от них. Однако это пляски с бубном вокруг трупа.
Цитата:
Недостаток всех версий в том, что Comodo — труп.8-й Комод - возможно, отличия от 7-ки не смотрел.
При включенной автопесочнице могут быть варианты, т.к. у Комода - это не 100% виртуальная среда.
Настораживает фраза "«подготовленный» файл".
P.S. При соответствующих настройках данный (неопознанный) файл банально не запустится. И кто тогда труп?
gjf
Цитата:
В настройках файервола "Create rules for safe applications" включить не забыли?Данная опция работает только в "Безопасном" режиме, разъяснялось не раз...
Добавлено:
Gourmet
Цитата:
Как правильно оформить баг-репорт?
READ THIS BEFORE CREATING A NEW BUG REPORT
Required Format For Reporting Bugs
Цитата:
8-й Комод - возможно, отличия от 7-ки не смотрел.
В 8-ке появились новые уязвимости, хотя кое-что и улучшено. Но есть немало одинаковых критических дыр во всех версиях от 5.10 до 8.0
Цитата:
Настораживает фраза "«подготовленный» файл".
А то, что он может оказаться на вашей системе, не настораживает? Подчеркиваю: «подготовлен» один-единственный файл, а не конфигурация.
Цитата:
При соответствующих настройках данный (неопознанный) файл банально не запустится
Вы не подумали, что зловред может быть составным, использующим для своего запуска безопасную программу или ярлык? Таким путем можно обойти все компоненты защиты, включая антивирус, хипс, автопесочницу и фаервол.
Вот видео, которое я вкладывал в свой «секретный» (и не принятый) баг-репорт 3 месяца назад. Оно по бете 8-ки, но в нем использована общая уязвимость перечисленных версий. Кстати, другая уязвимость, не та, что в видео с mikogo.
На использование еще одной уязвимости я прозрачно намекаю в своих статьях. Кто не читает — его/ее проблемы.
Склоняюсь к тому, чтобы сделать-таки публичный баг-репорт, хотя бы про обход фаервола. Наверно, сделаю после публикации статьи про защиту от этого.
Цитата:
А то, что он может оказаться на вашей системе, не настораживает?Нет, т.к. "подготовленный" файл = недоверенный, на моей системе не запустится.
Цитата:
Вы не подумали, что зловред может быть составным, использующим для своего запуска безопасную программу или ярлык? Таким путем можно обойти все компоненты защиты, включая антивирус, хипс, автопесочницу и фаервол.В этом случае хотелось бы узреть хотя бы описание работы такого зловреда.
В обоих видео включена автопесочница. А какой результат при ее отключении?
И да, баг-репорты лучше выкладывать публичные, т.к. сами модераторы, зачастую, вопросом не владеют.
Цитата:
"подготовленный" файл = недоверенный, на моей системе не запустится.Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.
Цитата:
В этом случае хотелось бы узреть хотя бы описание работы такого зловреда.Рука не поднимается публиковать... Но, повторяю, намеки на один из способов я давал. И связанный с ним баг-репорт опубликован.
Цитата:
А какой результат при ее отключении?Ничем не лучший. Вы не поверите, но именно автопесочница (при должной конфигурации) способна защитить от того, что пропустит HIPS. Я писал об этом, причем неоднократно, и еще раз напишу в новой статье.
Цитата:
И да, баг-репорты лучше выкладывать публичные, т.к. сами модераторы, зачастую, вопросом не владеют.
Увы.
Вручную обновление баз для CIS 5.10-5.12 советуют делать так:
https://forums.comodo.com/antivirus-faq-cis/where-can-i-download-the-latest-full-av-database-t47164.0.html т.е. скачать подложить и перегрузиться (пункты ниже 1 и 5).
Но у меня все время hibernate, перегружаться лишний раз не хочется, а комодо (cmdagent в частности) ни через сервисы не остановить, ни с помощью менеджера задач, выключение защиты-антивируса тоже не поможет. Зато поможет один финт с помощью самого комодо:
1) скачать для 5.8 из: https://www.comodo.com/home/internet-security/updates/vdp/database.php
2) запомнить Latest Database Version
3) CIS / Defense+ / список активных процессов. Там прибить cmdagent
4) HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro\Configurations\BaseVer в десятичном режиме ввести версию из пункта 2.
5) заменить в C:\Program Files\COMODO\COMODO Internet Security\scanners и в \repair bases.cav на скаченный и удалить bases.$$$
6) CIS / More (Разное) / Диагностика. Комодо обнаружит отсутствие агента и сам запустит его. Тоже самое можно сделать вручную через сервисы: запустить cmdagent (COMODO Internet Security Helper Service)
Будут использоваться уже актуальные базы, но если на главном экране CIS хочется видеть текущую дату, то нужно запустить обновление баз, ничего скачиваться не будет и дата сменится на текущую.
Пункты с реестром обычно пропускаю, т.е прибить cmdagent, скопировать базы и запустить снова, но иногда комодо упрется и не хочет, тогда реестр и все нормально.
P.S. Если комп долго включен, то Comodo 5.10 на ХР раз в неделю-две все же обновляется. Когда искал решение выставил следующие сервера обновлений:
http://eu1.download.comodo.com/
http://eu2.download.comodo.com/
http://eu3.download.comodo.com/
http://us1.download.comodo.com/
http://us2.download.comodo.com/
http://us3.download.comodo.com/
http://us4.download.comodo.com/
http://download.comodo.com/
Так обновления временами стали проходить на машины с ХР.
Цитата:
Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.Взял для эксперимента свою программку, неизвестную Комоду. Запуск напрямую - нет доступа. Запуск через ярлык - нет доступа. Следовательно, для запуска должны быть выполнены еще какие-то условия, причем эти условия должны быть на доверенном для Комода уровне.
Цитата:
Рука не поднимается публиковать...А зря. Именно публикация, с наибольшей долей вероятности, заставит разработчиков почесаться.
Цитата:
Запуск через ярлык - нет доступаЯрлык из того архива, что на видео, запустит.
Цитата:
А зря. Именно публикация, с наибольшей долей вероятности, заставит разработчиков почесаться.
Очень не хотелось палить. По причине больших сомнений в способностях этих разработчиков. Или их мотивации, или не знаю чего...
Когда я отравлял Хирону свои материалы, там было и это видео, и образец того самого ярлыка с винлокером, и подробное объяснение (опять же, с видео по каждому багу). Казалось бы, такие «шокирующие» материалы, что надо из рук рвать. Т.е. я вижу отсутствие заинтересованности со стороны комодовцев.
(Да, я понимаю, что Хирон всего лишь модератор, но проворонить «такое»... Он мог хотя бы сообщить мне, что требуется дооформление и т.п. Но нет.)
Ок, я склоняюсь опубликовать хотя бы часть. Интересно ваше мнение: как их подавать?
Можно незаметно: мол, небольшая странность в поведении, не указывая, для чего ее можно применить. Можно громко заявить, что это 3,14-ц.
Так или иначе, у меня практически нет доверия к разработчикам. И я попросту опасаюсь разглашать то, от чего сам не могу защититься.
Цитата:
Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.
Нифига. При попытке запуска любым доверенным приложением любого недоверенного выходит запрос и без подтверждения ничего не запускается. От настроек конечно зависит, но все настройки во власти пользователя
Цитата:
При попытке запуска любым доверенным приложением любого недоверенного выходит запрос и без подтверждения ничего не запускается
А вот и нет.
Цитата:
Так или иначе, у меня практически нет доверия к разработчикам. И я попросту опасаюсь разглашать то, от чего сам не могу защититься.
Мыслите правильно и в нужном направлении. Бесплатный сыр наши извечные партнёры изготавливают только для мышеловок
Microsoft раскритиковала Google за раскрытие деталей уязвимости в Windows 8.1
Цитата:
Как заставить Авто-Sandbox предлагать админу выбирать самостоятельно: в песочнице запускать\устанавливать или нет?emhanik
Цитата:
Для обычных программ — никак.в этом месте галка у меня стоит, но это не помогло при установке весьма объёмной по размеру игры в нужный момент (потерял больше часа из-за этого). Отсутствие такой опции - большой недостаток Авто-Sandbox. Кто-нибудь отправлял информацию об этом разрабам?
Для установщиков: настройка Sandbox > «Показывать оповещения, если неизвестные программы требуют повышенных привилегий»
Кстати, а переключение Comodo в игровой режим при установке игры может временно решить такую проблему?
Цитата:
Очень не хотелось палить. По причине больших сомнений в способностях этих разработчиков. Или их мотивации, или не знаю чего...
<...>
Ок, я склоняюсь опубликовать хотя бы часть. Интересно ваше мнение: как их подавать?
Подавать полностью, как есть. Непосредственно ярлык с локером - только в ПМ и только представителю разработчиков/поддержки (по тамошней политике форума и во избежание соблазна тамошних недохакеров-любителей).
Цитата:
Отсутствие такой опции - большой недостаток Авто-Sandbox
Попробуйте мое расширение контекстного меню
XenoZ 00:00 13-01-2015
Цитата:
Подавать полностью, как есть
Подумаю...
Цитата:
Подумаю...Подумай. Если есть баг, он должен воспроизводиться. Мне не удалось. Пока нет механизма воспроизведения, эти два ролика - ни о чем, просто страшная сказка на ночь.
XenoZ
Ребята, со всем уважением к вам - но диалог двух пятнадцатилетних девочек перед первым разом. Без обид, просто другой аналогии не нашлось. Сами знаете, к вам я отношусь исключительно с уважением.
Если охота быть "в белой шляпе" - отписываете о баге в багтрек - именно в багтрек, а не модераторам, администраторам и паверюзерам форума, ждёте две недели - при отсутствии реплая вываливаете в паблик с указанием на ссылку в багтреке. Разраб сам виноват, что не чухался, а тут придётся в скорости заделывать, иначе продукт свалится ниже плинтуса. Если, конечно, бага - это бага, а не фантазия пентестера в сферическом вакууме.
Если охота быть "в чёрной шляпе" - лезете в даркнет, продаёте PoC, а если можете автоматизировать - то и вообще эксплоит.
Две страницы философских размышлений "я нашёл страшную уязвимость, что мне теперь делать".
Цитата:
отписываете о баге в багтрек - именно в багтрекЭто возможность есть только у членов старгруппы. Если вы внезапно таковым являетесь, то стоит рассмотреть передачу информации через вас.
Когда я обращался к Хирону, он обещал посодействовать с передачей. Кто ж знал...
Что меня останавливало от публикации, я уже сказал.
Цитата:
Две страницы философских размышлений "я нашёл страшную уязвимость, что мне теперь делать".«Что мне теперь делать», я спросил только единожды.
В остальном — мне было интересно, станут ли мои собеседники отрицать очевидное и знают ли хотя бы о той проблеме, которую я поднимал публично, притом неоднократно, давал рекомендации по защите и делал баг-репорт.
P.S. Сегодня доделываю статьи и берусь за баг-репорты
Я имел в виду вот это: https://forums.comodo.com/bug-reports-cis-b132.0/
Нет смысла писать в какие-то закрытые ветки, потому что потом никому не докажете, что писали.
Если нет регистрации на форуме или проблемы с английским - оформляйте на русском, я всё переведу и опубликую под своей учёткой от Вашего имени.
Цитата:
Попробуйте мое расширение контекстного менюнет у меня такого пункта в контекстном меню файла запуска установки.
...Для запуска программы понадобится вызвать на ней, удерживая нажатой клавишу Shift, контекстное меню и выбрать пункт «Запустить без ограничений Auto-Sandbox»...
Выполнили все, как написано в архиве?
Файл «Добавить пункт меню 'Запустить как установщик'.reg» запускали?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.