» Comodo Internet Security

XenoZ

Цитата:

А зачем тебе драйвер? Грамотно написанный вирус не полезет в системную область, ему хватит и профиля пользователя, где тот же шифровальщик может нехило нагадить.

Такие пустяки вычищаются из системы на раз вручную подручными средствами
А вот драйвер руткита может значительно усложнить проблему.

Цитата:

Учитывая, что у обычного пользователя, к-рых таки большинство, все "самые нужные и жизненно необходимые данные" хранятся именно там

Такие пользователи могут обратиться за помощью к более осведомленным товарищам или даже почистить систему самостоятельно по советам с форума. А с внедренной глубоко в систему малварью не так просто

gjf 18:03 02-02-2015
Цитата:

Чтобы воспроизвести указанные Вами уязвимости, нужно создать некое состояние работы CIS, которое не является стандартным.

Тут Вы ошибаетесь.

Если у Accessisdenied выскочил алерт — так это на версии 5.10, которую я недостаточно тестировал. А потом модифицировал образец — и запуск произошел. Причем казус возник только с одним конкретным методом, а я их несколько предъявляю...

Как раз наоборот: довольно нестандартным является состояние, в котором эти уязвимости закрыты.

Уверен, Вы многократно наблюдали зараженные флешки, на которых каталоги подменены ярлыками, запускающими вирус. А ярлыки могут обойти Comodo, да еще и разными способами.
Даже если заблокирован запуск программ с внешних устройств (как, похоже, у Accessisdenied), то ярлык с флешки сможет скопировать вирус в локальный каталог и запустить там. Поэтому необходима именно блокировка ярлыков, наподобие той, что я даю.


Цитата:

Но увы - Вы подробно описали механизм, но ничего подобного не произошло, "бомбы" не случилось

Во-первых, времени прошло всего ничего. Во-вторых, полагаю, пользователи Comodo не являются приоритетной целью для атаки. В-третьих — я вообще не особо интересовался положением дел в индустрии)


Цитата:

Может быть именно по этой причине Ваши багрепорты остаются без внимания. Уж очень они "искусственны".

Уверен — не поэтому. Скорее всего — причина во внутренних проблемах организации.
Маловероятная причина (но в последнее время подтверждается) — что то ли я недостаточно прозрачно объясняю (хотя по мне — куда дальше?), то ли другая сторона упорно не желает понять.


Цитата:

Может не стоит так на нём зацикливаться

Пожалуй. Дело еще в том, что я чересчур щепетильно подхожу к написанию статей о Comodo.
Если нахожу проблему — ищу приемлемое решение. Недавний собеседник приписал мне жопоголическую позицию:
kaijosta 22:59 31-01-2015
Цитата:

Вы везде стонете: "Шеф, все пропало, спасения - нет".

Но в том и дело, что это не так, и я прилагаю усилия, чтобы поступать конструктивно. И разговор об уязвимостях поднял, в общем-то, потому что решился давать рекомендации по защите.


Цитата:

Вы только не обижайтесь!

Я тут не обиду ощущаю, а безнадегу в попытках донести до публики очевидные мне факты.

Цитата:

Удивительно, что вы еще не ушли с Comodo

Своими недоработками он надоедает всё больше и больше. Сейчас вот минут 10 скачанную базу "устанавливал", при этом сожрал почти всю оперативную память.

emhanik

Цитата:

ярлык с флешки сможет скопировать вирус в локальный каталог и запустить там

Нет, в таком случае не сможет. На моем приложенном тогда скрине видно что бинарник на системном диске. Ярлыком с рабочего стола он запускается без проблем, а ярлыком с флешки тот же самый файл - нет.
А чтобы скопировать тоже нужно хотя бы .cmd запустить, но с флешки у меня он тоже не срабатывает.
Поэтому я и говорю: защита должна быть комплексной, нельзя полагаться на что-то одно, какой бы ни был супер-дупер фаер/антивирь

Accessisdenied 20:06 02-02-2015
Цитата:

Нет, в таком случае не сможет

Я не знаю, какая у Вас политика, только гадаю.
Имею в виду такой способ запуска с флешки: http://rghost.ru/8kdTbspnt

emhanik

Цитата:

такой способ запуска с флешки

Ярлык run с иконкой папки? Тот же самый системный алерт - запуск запрещен.
В Software Restriction Policies прописаны пути к флешкам, кэшу браузера и некоторые другие где security level установлен "Disallowed" (сори за такие названия, я пользуюсь англ. интерфейсом, но статья по ссылке доступна на русском, можно переключить язык и посмотреть эквиваленты).
Этого достаточно чтобы ничего из указанных путей не запускалось, даже когда ярлык указывает на разрешенный каталог, но сам расположен в запрещенном.

Accessisdenied 21:01 02-02-2015
Цитата:

В Software Restriction Policies прописаны пути к флешкам, кэшу браузера и некоторые другие где security level установлен "Disallowed"

Понятно. Я в курсе SRP, читал, в том числе у Поданса.
Собственно, сам в статьях рекомендую SRP как основное средство против ярлыков, хотя и в упрощенной конфигурации.

Насколько помню, Поданс рекомендует исключать ярлыки из контроля SRP. Вроде бы разрешение ярлыков на рабочем столе приводит к разрешению содержимого находящейся на нем папки с именем «Name.LNK».
Однако, как видим, все же нужно оставить LNK в списке «Назначенные типы». Это я и хотел подчеркнуть.

Отмечу, что в редакциях Windows, которые поставляются как предустановленные, SRP может отсутствовать.


Однако я пока не понял, какой конкретно вид имеют правила на Вашей системе. Запрещено все, кроме системных каталогов и т.п.? Или, наоборот, разрешено все, кроме определенных расположений?

Смысл моих вопросов вот в чем. Что будет, если расположить мой образец не просто в корне флешки, а закопать его поглубже в ее подкаталоги?

P.S. Хотя сейчас подумал — скорее всего, тот же результат: блокировка. Если запрещается конкретный путь: «E:\» и т.п.
Проблема возникла бы при использовании шаблона «E:\*.lnk»

P.P.S. Забыл упомянуть еще одну проблему SRP: невозможность применять одновременно с AppLocker. При этом средствами AppLocker ярлыки не блокируются.

Comodo Firewall 5.10 / Win7 x86
Общие настройки — Пользовательские.
Расширенные настройки — все опции включены.
Проактивная защита отключена (и не спрашивайте почему ).

Запускается файл и он ломиться в интернеты, появляется запрос как обрабатывать, я выбираю как Веб-браузер. Всё срабатывает как нужно — кроме веба файл никуда доступа в сети не получает.

Запускаю этот же файл с принудительной проксификацией через, установленный на этой же машине, SOCKS прокси (прокси и проксификатор в сабже определены как доверенные). Опять получаю запрос и снова определяю как Веб-браузер. Но при этом файл получает полный доступ к чему либо и как либо в сети.

Вопрос:
1. Это нормальная и правильная работа для фаервола?
2. Это нормальная и правильная работа для данного фаервола с подобными настройками.?

beZmeN
Filter loopback traffic включен? Уж не помню, был ли он на 5.10 правда...

gjf
Про loopback упоминается только в настройках уведомлений и галка стоит. И понятное дело первый и единственный запрос (во втором случае) о соединении с localhost, т.е. с прокси.
Я понимаю, что проксификатор перехватывает всё (таковы его настройки) и вроде как вопрос при этом некорректный, тем более проактивка отключена. Но меня всё равно это смущает, т.к. сабж изначально видит попытку подключиться и без разрешения ничего не произойдет. А дальше что? Проксификатор, со своим доверенным положением, берет всё на себя, помахав Комоду ручкой?

ЗЫ Завтра попробую всё это с проактивкой.

beZmeN
Смотря как проксификатор прописывается в системе

Добавлено:
Аналогичная фигня была с веб-мониторами антивирусов (суть - проксями) и вроде как никак не обходилась.

beZmeN 22:37 02-02-2015
Цитата:

Но при этом файл получает полный доступ к чему либо и как либо в сети.

Предустановленная политика «Веб-браузер» содержит разрешение всего Loopback. Если я правильно понял ситуацию, причина в этом.

emhanik

Цитата:

Недостаток всех версий в том, что Comodo — труп.

А можете что-то посоветовать другое для защиты дестктопной винды? Кроме латания комодовских дыр

Accessisdenied

Цитата:

Такие пустяки вычищаются из системы на раз вручную подручными средствами

Если такой пустяк попал в систему и успел порезвиться, то его удаление зашифрованные данные не спасет.

emhanik
Цитата:

Предустановленная политика «Веб-браузер» содержит разрешение всего Loopback. Если я правильно понял ситуацию, причина в этом.

Тьфу на меня. Ну как так, ведь смотрел и не заметил.
Спасибо. Теперь всё сходится.

emhanik

Цитата:

Если запрещается конкретный путь: «E:\» и т.п.

Да, действует на все подкаталоги.

XenoZ

Цитата:

его удаление зашифрованные данные не спасет

Зато спасет восстановление из бэкапа.
А если для важных данных нет бэкапа, то они и без вирусов могут быть потеряны

Присоединяюсь к вопросу заданномуSerjkov1ck.В свете всех событий предполагаю,что будет вскоре найдено 100500 дыр и дырок в этой сплошной дыре.

Serjkov1ck 00:35 03-02-2015
Цитата:

А можете что-то посоветовать другое для защиты дестктопной винды? Кроме латания комодовских дыр

123UnknownGuest 13:40 03-02-2015
Цитата:

Присоединяюсь к вопросу заданномуSerjkov1ck.В свете всех событий предполагаю,что будет вскоре найдено 100500 дыр и дырок в этой сплошной дыре.

Вот хороший совет:
gjf 18:03 02-02-2015
Цитата:

А можно - вообще остановится на лёгкой и простой базе.

Accessisdenied 13:32 03-02-2015
Цитата:

Да, действует на все подкаталоги.

Спасибо, понятно.

К слову о шифровальщиках, как вариант: важные данные у меня закрыты проактивкой как только пошли разговоры в сети, - ни добавить, ни удалить, ни переименовать даже так просто. Это, конечно, накладывает ряд неудобств, но лучше, чем ставить тормозные резидентные антивирусы, нередко дырявые.
Правда, теперь в некоторой растерянности: слезать с 5.12, вероятно, придётся только в сторону...

emhanik

Цитата:

А можно - вообще остановится на лёгкой и простой базе.

А чем он хорош, можно в двух словах? Нет ли там таких же неприятных уязвимостей?

неожиданно прилетела 8.1.0.4426 http://cdn.download.comodo.com/cis/download/updates/release/inis_4000/release_notes.html

Serjkov1ck 22:22 03-02-2015
Цитата:

А чем он хорош, можно в двух словах? Нет ли там таких же неприятных уязвимостей?

По тестам ниче) Я не вникал — так, поигрался немного. Понравилось, что действительно простой, легкий, но некоторую защиту держит; даже частично скрипты контролирует. Гибкости не хватает, конечно.
Лучше спрашивайте об этом продукте не меня, а автора цитируемой фразы)

laprad 23:08 03-02-2015
Цитата:

неожиданно прилетела 8.1.0.4426

Список изменений жжот. Особенно актуально новое название браузера

emhanik
Дык комодо там вообще в топе. А сами что пользуете?

Serjkov1ck
Сомневаюсь, что какой-либо тест проверял Comodo на эти специфичные для него уязвимости. Я дыры затыкаю и пользуюсь им.

emhanik
А почему разработчики не латают выявленные вами дыры? Что они вообще утверждают по этому поводу?

emhanik
Как-то egemen подозрительно быстро ответил на мое "фе" по поводу неисправленных багов... И вроде даже обещает их пофиксить... к середине марта!..

Serjkov1ck

Цитата:

They are fixed but not included in this cycle. NExt cycle is mid-march and they will be included.

XenoZ
gjf
Хорошие новости. Я думал им нет дела

Serjkov1ck
А им и нет. Иначе они бы более быстро фиксили то, что критично, а не меняли имя с Дракона на Хламидию - или как там браузер сейчас называется?

gjf
В ряды хейтеров вступил?

Serjkov1ck
По словам egemen'а, они тщательно тестируют фиксы, дабы не поломать компьютеры пользователей.