» Comodo Internet Security

emhanik
Вы, уважаемый, просто витаете в теории, но редко сталкиваетесь с практикой. О чём свидетельствует хотя бы
Цитата:

можно укомплектовать зловред антируткитом

Я - несколько наоборот. Ну да ладно - у всех своя специализация.
И вот с моей позиции я Вам поведаю: рядовой пользователь практически в течение недели гугли, как отключить УАК - и отключает его, поскольку тот надоедает вопросами.
А если и не отключает - то жмакает на кнопку "разрешить" быстрее, чем рядовой пользователь местного Варезника соглашается с лицензионными соглашениями при установке.
Так что не думайте, что Ваши дополнительные алерты кого-то успокоят.

Касательно Вашего примера. Запустил. Со скачиванием страницы с гугла - согласился. Вылетел алерт:


Естественно, выйти в сеть не дал, как не даю практически никому при установке.
Получил вот это:


По-прежнему не вижу дырищи.

Если же Вы хотите создать систему, где на любой пук выкидывает алерт - Вам потребуется отнюдь не рядовой пользователь, который все эти алерты разберёт.
Если же Вы хотите сделать так, чтобы от пользователя ничего не зависело, а безопасность была на уровне, то рекомендую простейшую команду:

Код: format c:

gjf
Давайте перепроверю у себя. Какая стоит ОС, версия CIS, Sandboxie и включен ли в CIS анализ командной строки?

gjf (00:20 22-02-2015)
Цитата:

А если пользователь сознательно запускает что попало

Скорее уж бессознательно.
UAC по большей части может принести пользу при не санкционированном пользователем повышении прав, имхо. Ну и иногда дополнительный алерт при запуске все же оказывается полезен, как и при удалении, например.

gjf
Проверил.
Интересная штука: для программ, запущенных в Sandboxie, вообще не работал анализ командной строки. Поэтому и баг не проявился.

Не знаю, хорошо это или плохо. В смысле защиты от данной уязвимости — хорошо. Но это также значит, что, например, выполняющиеся в Sandboxie jar-файлы получат те же сетевые права, что и javaw.exe...
Другой пример — msiexec.exe по умолчанию имеет доступ в интернет. Из-за отсутствия анализа командной строки под Sandboxie получаем доступ в интернет скриптов, содержащихся в MSI-файлах.

Конечно, мое упущение, что не проверил Sandboxie сразу.
Тем не менее — как в виртуальной среде Comodo, так и в реальной данный образец получает доступ в интернет.

gjf 22:59 22-02-2015
Цитата:

О чём свидетельствует хотя бы
Цитата:
можно укомплектовать зловред антируткитом

Ваша идея: вырубить защиту подписанным антируткитом и сделать с системой что угодно.
Я как раз говорю о ее неприменимости.

Мои же образцы укомплектовываются стартерами, дающими им права доверенных инсталляторов и обманывающими анализ командной строки.
И это работает.

(Точно так же, как работают банальные ярлыки на флешках. Но которым CIS пока противостоит.)

Да, я ошибся конкретно насчет Sandboxie. Но —
00:20 22-02-2015
Цитата:

Вредоносы могут и встать, если недосмотрю, но никуда и ничего отправить не смогут.

Раз таки могут встать в реальной системе, то и отправить могут.
Аналогично в комодовской виртуальной среде.

emhanik

Цитата:

Конечно, мое упущение, что не проверил Sandboxie сразу.

А надо было? Это отдельная программа, к Комоду она не относится.
(использование rar.sfx - не совсем корректно. Запуск блокируется при режиме HIPS "блокировать без оповещений".)

Кажется, я на сонную голову не вдумчиво прочитал вопрос.

gjf 00:20 22-02-2015
Цитата:

что попало и где попало я не запускаю.
Для этих целей есть Sandboxie.

Цитата:

Где в моей системе дыра? Желательно не теоретизровать, а дать конкретный файл, который мне всё заразит/заблокирует/уничтожит.

От меня что же, требовался файл, который обгадит систему, будучи запущенным в Sandboxie?! Да Вы откровенно паясничаете.

Не касаясь Sandboxie.
Ярлык с архивом. Готовой заразы не даю, сами запакуйте любые зловреды WinRar'ом в sxf-архив «a.exe» с паролем «v» (взамен файлов, что там находятся, с такими же именами).
После запуска ярлыка они
1) перестанут детектироваться антивирусом Comodo и
2) выполнятся с привилегиями установщика, да еще и
3) со всеми разрешениями svchost'а.
Первое зависит от опции "Доверять приложениям, установленным с помощью доверенных инсталляторов". Если она отключена — возьмите образцы, неизвестные антивирусу.

XenoZ 00:38 23-02-2015
Цитата:

А надо было? Это отдельная программа, к Комоду она не относится.

Чтобы объяснить актуальность багов — не надо. Но сама по себе проблема CIS+Sandboxie вскрылась интересная.


Upd: Перепроверил образец — сработал в Win7x64, но не в WinXP. Будет время — додумаю, в чем там дело. В любом случае сделать его универсальным — можно.

Переносятся ли настройки файлом COMODO - Firewall Security.cfgx из Firewall 7 в версию 5 и наоборот ?

emhanik (23:49 22-02-2015)
Цитата:

Другой пример — msiexec.exe по умолчанию имеет доступ в интернет. Из-за отсутствия анализа командной строки под Sandboxie получаем доступ в интернет скриптов, содержащихся в MSI-файлах.

Полный бред, неоднократно проверяемый при распаковке инсталляторов.
Цитата:

Ваша идея: вырубить защиту подписанным антируткитом и сделать с системой что угодно.

Антируткит никто в зловреды не вставляет. Вставляют модуль ядра, который внедряется, как только рядовой пользователь чего-то не поймёт и согласится с алертом. Дальше вредоносный модуль может делать с системой что угодно.

Короче - мне надоело доказывать прописные истины. А истина проста: для любой системы безопасности основная дыра - человеческий фактор. А этот фактор желает юзабилити, а не миллион алертов и тормоза системы. И каждый пользователь сам решает, как это реализовать - меньшей безопасностью, большим количеством контролирующего софта или элементарно - регулярными бэкапами.

Повторяю ещё раз: Ваша "дырища" может стать интересно тогда, когда окажется, что на других аналогичных системах её нет. Берёте виртуалку, ставите триальные каспера, симантека, PrivateFirewall - и показываете, как у них всё круто и как у Комода всё плохо. Делаете сравнение - выкладываете в сеть, на Хабр, на русскую ветку официального форума. Если всё красиво и достоверно - народ сам раззвонит, а маректологи нажмут на разраба. Если же окажется, что высосано из пальца - ну что ж, это Ваше потерянное время и Ваше поражение. Всё просто.

gjf 13:33 23-02-2015
Цитата:

Полный бред, неоднократно проверяемый при распаковке инсталляторов.

Я не проверял, рассуждаю навскидку:
1) MSI-файл выполняется посредством msiexec
2) по ходу установки могут выполняться WSH-скрипты
3) скрипты такого типа способны обращаться в сеть
4) эти скрипты выполняются также от имени msiexec (вроде бы?)
Где конкретно ошибка?


Цитата:

Антируткит никто в зловреды не вставляет

Ok. Только зачем Вы мне объясняете абсурдность собственной идеи?))


Цитата:

Делаете сравнение - выкладываете в сеть, на Хабр, на русскую ветку официального форума.

С какой стати Вы ставите мне условия?
Я сделал баг-репорты, обратил на них внимание администрации Comodo и дал пользователям методы защиты. Считаю это более чем достаточным.

XenoZ
emhanik
неужели lanquy99 не знает о проблемах с автопесочницей?) если советует её румынам))
http://forum.bitdefender.com/index.php?showtopic=57487

Grom14

Цитата:

Переносятся ли настройки файлом COMODO - Firewall Security.cfgx из Firewall 7 в версию 5 и наоборот ?

При последовательном обновлении (5to6 - 7) проблем замечено не было. С прямым переносом туда-обратно возможны проблемы.

OldSirius

Цитата:

неужели lanquy99 не знает о проблемах с автопесочницей?) если советует её румынам))

Так он же не комодовскую рекомендует, а предлагает биту обзавестись своей.

XenoZ
а разве у виртуализации процессов, не одни и те же уязвимости? вообще не понятно, что он вдруг появился на форуме румын)

OldSirius

Цитата:

а разве у виртуализации процессов, не одни и те же уязвимости?

Понятия не имею, другие песочницы не тестировал.

Поднял FileZilla Server, 21 порт на роутере пробросил, сервер добавил в доверенные приложения. При отключении фаревола порт открыт, при включении - закрыт. Помогите открыть сервер

Andrius
В глобальных правилах открой входящие на 21 порт.

XenoZ

Добавляю новое глобальное правило:
Действие – разрешить
Протокол - TCP или UDP
Направление – входящие
Адрес отправления – любой
Адрес назначения – любой
Порт источника – 21
Порт назначения – 21

Итог: порт по-прежнему закрыт. Что не правильно?

Andrius
1. созданное правило должно быть выше запрещающих (при их наличии)
2. порт источника, в принципе, может быть любой
Посмотри журнал событий, что там по блокировкам?

XenoZ

Поднял правило до верхнего уровня, не помогло. Журнал событий фаревола не ведется.
Общие настройки – ведение журнала : Записывать события в локальный файл журнала – галочка стоит

Andrius
В правилах для приложений случайно нет правил для Windows Operating System?
Журнал событий должен вестись, разве что в правилах есть заданные запреты без логирования.

Добавлено:
Минуточку...
Ты что, хочешь заставить работать сервер по одному 21-му порту?
FTP работает на прикладном уровне модели OSI и используется для передачи файлов с помощью TCP/IP. Для этого должен быть запущен FTP-сервер, ожидающий входящих запросов. Компьютер-клиент может связаться с сервером по порту 21. Это соединение (поток управления) остаётся открытым на время сессии. Второе соединение (поток данных), может быть открыт как сервером из порта 20 к порту соответствующего клиента (активный режим), или же клиентом из любого порта к порту соответствующего сервера (пассивный режим), что необходимо для передачи файла данных.
Т.е., для активного режима тебе нужно открыть исходящие с 20-го порта на любой, а для пассивного - двунаправленный обмен с порта, к-рый указываешь в настройках сервера на любой порт.

XenoZ

Цитата:

для пассивного - двунаправленный обмен с порта, к-рый указываешь в настройках сервера на любой порт

Двунаправленный не нужен.
Нужно разрешить входящий TCP с любого IP на любой IP, где порт оправления любой и порт назначения [диапазон портов используемых ftp-сервером для пассивного режима]

Win8. Последняя версия Comodo. Как мне приструнить параноидальный антивирус? А то он начинает все портабельные проги в карантин отправлять (с ними все нормально пользуюсь не первый день). Или как отключить этот антивирус с возможностью включения Защитника виндовс?

Accessisdenied

Цитата:

Двунаправленный не нужен.

Ну да, это я погорячился.

CemKey

Цитата:

как отключить этот антивирус

"Добавить или убрать компоненты" - отключить антивирус.

XenoZ

Цитата:

"Добавить или убрать компоненты" - отключить антивирус.

Не знаю как в последних версиях (у меня 5.10), но я антивирус не устанавливал, а эта хрень все равно в автозагрузке появилась:

Код: HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers                
Comodo Antivirus    
c:\program files\comodo\comodo internet security\cavshell.dll    

Цитата:

"Добавить или убрать компоненты" - отключить антивирус.

Отключал, но при этом Защитник Windows не включается, как я не жал на кнопочку Включить.

Подскажите, пожалуйста.
Если мне нужен лишь один Firewall, то скачивать всё равно необходимо Free Internet Security?
Просто ссылки на страницах этих продуктов, ведут на загрузку идентичных установщиков.
А отдельного установщика для файервола нету? ..чтобы поменьше весил

http://download.comodo.com/cis/download/installs/2000/partners/cfw_installer_6103_a6.exe?track=6103&key5sk1=44e5cbed205de40f518d3d3860b7a95e253790a7
http://download.comodo.com/cis/download/installs/2000/partners/cispremium_installer_5962_fe.exe?track=5962&key5sk1=44e5cbed205de40f518d3d3860b7a95e253790a7

ZDAFN нету, что бы поменьше весил - всё равно больше 200 мб http://external.comss.ru/url.php?url=http://download.comodo.com/cis/download/installs/4000/standalone/cfw_installer.exe

ZDAFN
CIS v5.10, v5.12- после распаковки большого дистрибутива можно было заиметь маленький дистрибутив только фаервола, размером 32-34mB. При необходимости могу выложить.

AntiNorton, понятно. Вот только ваша ссылка на установщик - не поменьше, а один в один.
shadow_member, Хотелось бы что-нибудь посовременнее.
Буду качать стандарт.
Всем спасибо.

shadow_member

Цитата:

CIS v5.10, v5.12- после распаковки большого дистрибутива можно было заиметь маленький дистрибутив только фаервола, размером 32-34mB. При необходимости могу выложить.

и то неплохо было бы думаю в шапке иметь

прошу прощения, а базы CIS для comodo cleaning essentials подходят как то? просто само не обновляется, и скаченные базы при ручном обновлении ругаются на ошибки в этих базах.