» Comodo Internet Security

gjf 13:37 12-01-2015
Цитата:

В настройках файервола "Create rules for safe applications" включить не забыли?

В смысле вЫключить? Смотрите внимательно.

Добавлено:
Не говоря уже о том, что в «Пользовательском режиме» эта опция никакой роли не играет.

emhanik
Смотрю ОЧЕНЬ внимательно:


Добавлено:
Если Ваша тестовая прога удалённого доступа подписана доверенным вендором - логично, что он её рассматривает как доверенную и пускает в сеть.

Во-первых, режим фаервола «Пользовательский» — какие-такие доверия подписям?

Во-вторых, отключение опции «Создавать правила для безопасных приложений» отключает запоминание разрешений для доверенных приложений. Если она включена и доверенное приложение вышло в сеть, а потом его подменили — подмененное получит доступ. Т.е. как раз включение этой опции было бы очевидно дырой, а не отключение.

В-третьих, эта данная опция играет роль в «Безопасном режиме». «Пользовательский» от нее не зависит.

emhanik
Ну что сказать - оформляйте багу. Их там уже и так достаточно. Только фиксят избирательно.

Добавлено:
Кстати, для интереса запустил mikogo-host (который для портативных носителей) только что. Стоит CIS 7.0.317799.4142. Нормально вякнул про попытку соединения, заблокировал - никто в сеть не вылез.

gjf
Цитата:

оформляйте багу

Несколько месяцев назад я пытался это делать, но только скрыто, в личку Хирону, по понятной причине. Писал уже, что из этого вышло.


Цитата:

Кстати, для интереса запустил mikogo-host

В моем примере суть не в mikogo: любую программу (хоть не доверенную) можно выполнить так, чтобы она получила права другой. Mikogo я взял из соображений наглядности. На рабочем столе не совсем она, а «подготовленный» файл.

И это далеко не единственная критическая уязвимость.
Я собираюсь через день-два отправить на comss.ru свою статью по защите от них. Однако это пляски с бубном вокруг трупа.

Пришлось отключить Auto SandBox. В нём баг. После загрузки обновлений перестают работать исключения, хотя в таблице они остаются без изменений. В результате у меня перестают собираться рабочие проекты в QtCreator, там создаются временные командные файлы, которые занесены в исключения. Причем это хронически - я уже несколько раз это как-то побеждал, но достало после каждого обновления ковыряться. Без Auto SandBox всё работает. Как правильно оформить баг-репорт?

emhanik

Цитата:

Недостаток всех версий в том, что Comodo — труп.

8-й Комод - возможно, отличия от 7-ки не смотрел.
При включенной автопесочнице могут быть варианты, т.к. у Комода - это не 100% виртуальная среда.
Настораживает фраза "«подготовленный» файл".
P.S. При соответствующих настройках данный (неопознанный) файл банально не запустится. И кто тогда труп?

gjf

Цитата:

В настройках файервола "Create rules for safe applications" включить не забыли?

Данная опция работает только в "Безопасном" режиме, разъяснялось не раз...


Добавлено:
Gourmet

Цитата:

Как правильно оформить баг-репорт?

READ THIS BEFORE CREATING A NEW BUG REPORT
Required Format For Reporting Bugs

XenoZ 16:08 12-01-2015
Цитата:

8-й Комод - возможно, отличия от 7-ки не смотрел.

В 8-ке появились новые уязвимости, хотя кое-что и улучшено. Но есть немало одинаковых критических дыр во всех версиях от 5.10 до 8.0


Цитата:

Настораживает фраза "«подготовленный» файл".

А то, что он может оказаться на вашей системе, не настораживает? Подчеркиваю: «подготовлен» один-единственный файл, а не конфигурация.


Цитата:

При соответствующих настройках данный (неопознанный) файл банально не запустится

Вы не подумали, что зловред может быть составным, использующим для своего запуска безопасную программу или ярлык? Таким путем можно обойти все компоненты защиты, включая антивирус, хипс, автопесочницу и фаервол.

Вот видео, которое я вкладывал в свой «секретный» (и не принятый) баг-репорт 3 месяца назад. Оно по бете 8-ки, но в нем использована общая уязвимость перечисленных версий. Кстати, другая уязвимость, не та, что в видео с mikogo.

На использование еще одной уязвимости я прозрачно намекаю в своих статьях. Кто не читает — его/ее проблемы.

Склоняюсь к тому, чтобы сделать-таки публичный баг-репорт, хотя бы про обход фаервола. Наверно, сделаю после публикации статьи про защиту от этого.

emhanik

Цитата:

А то, что он может оказаться на вашей системе, не настораживает?

Нет, т.к. "подготовленный" файл = недоверенный, на моей системе не запустится.


Цитата:

Вы не подумали, что зловред может быть составным, использующим для своего запуска безопасную программу или ярлык? Таким путем можно обойти все компоненты защиты, включая антивирус, хипс, автопесочницу и фаервол.

В этом случае хотелось бы узреть хотя бы описание работы такого зловреда.

В обоих видео включена автопесочница. А какой результат при ее отключении?

И да, баг-репорты лучше выкладывать публичные, т.к. сами модераторы, зачастую, вопросом не владеют.

XenoZ

Цитата:

"подготовленный" файл = недоверенный, на моей системе не запустится.

Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.


Цитата:

В этом случае хотелось бы узреть хотя бы описание работы такого зловреда.

Рука не поднимается публиковать... Но, повторяю, намеки на один из способов я давал. И связанный с ним баг-репорт опубликован.


Цитата:

А какой результат при ее отключении?

Ничем не лучший. Вы не поверите, но именно автопесочница (при должной конфигурации) способна защитить от того, что пропустит HIPS. Я писал об этом, причем неоднократно, и еще раз напишу в новой статье.


Цитата:

И да, баг-репорты лучше выкладывать публичные, т.к. сами модераторы, зачастую, вопросом не владеют.

Увы.

nv59
Вручную обновление баз для CIS 5.10-5.12 советуют делать так:
https://forums.comodo.com/antivirus-faq-cis/where-can-i-download-the-latest-full-av-database-t47164.0.html т.е. скачать подложить и перегрузиться (пункты ниже 1 и 5).

Но у меня все время hibernate, перегружаться лишний раз не хочется, а комодо (cmdagent в частности) ни через сервисы не остановить, ни с помощью менеджера задач, выключение защиты-антивируса тоже не поможет. Зато поможет один финт с помощью самого комодо:

1) скачать для 5.8 из: https://www.comodo.com/home/internet-security/updates/vdp/database.php
2) запомнить Latest Database Version
3) CIS / Defense+ / список активных процессов. Там прибить cmdagent
4) HKEY_LOCAL_MACHINE\SYSTEM\Software\COMODO\Firewall Pro\Configurations\BaseVer в десятичном режиме ввести версию из пункта 2.
5) заменить в C:\Program Files\COMODO\COMODO Internet Security\scanners и в \repair bases.cav на скаченный и удалить bases.$$$
6) CIS / More (Разное) / Диагностика. Комодо обнаружит отсутствие агента и сам запустит его. Тоже самое можно сделать вручную через сервисы: запустить cmdagent (COMODO Internet Security Helper Service)

Будут использоваться уже актуальные базы, но если на главном экране CIS хочется видеть текущую дату, то нужно запустить обновление баз, ничего скачиваться не будет и дата сменится на текущую.

Пункты с реестром обычно пропускаю, т.е прибить cmdagent, скопировать базы и запустить снова, но иногда комодо упрется и не хочет, тогда реестр и все нормально.

P.S. Если комп долго включен, то Comodo 5.10 на ХР раз в неделю-две все же обновляется. Когда искал решение выставил следующие сервера обновлений:

http://eu1.download.comodo.com/
http://eu2.download.comodo.com/
http://eu3.download.comodo.com/
http://us1.download.comodo.com/
http://us2.download.comodo.com/
http://us3.download.comodo.com/
http://us4.download.comodo.com/
http://download.comodo.com/

Так обновления временами стали проходить на машины с ХР.

emhanik

Цитата:

Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.

Взял для эксперимента свою программку, неизвестную Комоду. Запуск напрямую - нет доступа. Запуск через ярлык - нет доступа. Следовательно, для запуска должны быть выполнены еще какие-то условия, причем эти условия должны быть на доверенном для Комода уровне.


Цитата:

Рука не поднимается публиковать...

А зря. Именно публикация, с наибольшей долей вероятности, заставит разработчиков почесаться.

XenoZ

Цитата:

Запуск через ярлык - нет доступа

Ярлык из того архива, что на видео, запустит.


Цитата:

А зря. Именно публикация, с наибольшей долей вероятности, заставит разработчиков почесаться.

Очень не хотелось палить. По причине больших сомнений в способностях этих разработчиков. Или их мотивации, или не знаю чего...

Когда я отравлял Хирону свои материалы, там было и это видео, и образец того самого ярлыка с винлокером, и подробное объяснение (опять же, с видео по каждому багу). Казалось бы, такие «шокирующие» материалы, что надо из рук рвать. Т.е. я вижу отсутствие заинтересованности со стороны комодовцев.
(Да, я понимаю, что Хирон всего лишь модератор, но проворонить «такое»... Он мог хотя бы сообщить мне, что требуется дооформление и т.п. Но нет.)

Ок, я склоняюсь опубликовать хотя бы часть. Интересно ваше мнение: как их подавать?
Можно незаметно: мол, небольшая странность в поведении, не указывая, для чего ее можно применить. Можно громко заявить, что это 3,14-ц.

Так или иначе, у меня практически нет доверия к разработчикам. И я попросту опасаюсь разглашать то, от чего сам не могу защититься.

emhanik

Цитата:

Посредством ярлыка или другого стартера — не только запустится, но и выйдет в интернет, и в данных нагадит.

Нифига. При попытке запуска любым доверенным приложением любого недоверенного выходит запрос и без подтверждения ничего не запускается. От настроек конечно зависит, но все настройки во власти пользователя

Accessisdenied

Цитата:

При попытке запуска любым доверенным приложением любого недоверенного выходит запрос и без подтверждения ничего не запускается

А вот и нет.

Цитата:

Так или иначе, у меня практически нет доверия к разработчикам. И я попросту опасаюсь разглашать то, от чего сам не могу защититься.

Мыслите правильно и в нужном направлении. Бесплатный сыр наши извечные партнёры изготавливают только для мышеловок
Microsoft раскритиковала Google за раскрытие деталей уязвимости в Windows 8.1

unyqUm 00:54 12-01-2015
Цитата:

Как заставить Авто-Sandbox предлагать админу выбирать самостоятельно: в песочнице запускать\устанавливать или нет?

emhanik
Цитата:

Для обычных программ — никак.
Для установщиков: настройка Sandbox > «Показывать оповещения, если неизвестные программы требуют повышенных привилегий»

в этом месте галка у меня стоит, но это не помогло при установке весьма объёмной по размеру игры в нужный момент (потерял больше часа из-за этого). Отсутствие такой опции - большой недостаток Авто-Sandbox. Кто-нибудь отправлял информацию об этом разрабам?
Кстати, а переключение Comodo в игровой режим при установке игры может временно решить такую проблему?

emhanik

Цитата:

Очень не хотелось палить. По причине больших сомнений в способностях этих разработчиков. Или их мотивации, или не знаю чего...
<...>
Ок, я склоняюсь опубликовать хотя бы часть. Интересно ваше мнение: как их подавать?

Подавать полностью, как есть. Непосредственно ярлык с локером - только в ПМ и только представителю разработчиков/поддержки (по тамошней политике форума и во избежание соблазна тамошних недохакеров-любителей).

unyqUm 23:06 12-01-2015
Цитата:

Отсутствие такой опции - большой недостаток Авто-Sandbox

Попробуйте мое расширение контекстного меню

XenoZ 00:00 13-01-2015
Цитата:

Подавать полностью, как есть

Подумаю...

emhanik

Цитата:

Подумаю...

Подумай. Если есть баг, он должен воспроизводиться. Мне не удалось. Пока нет механизма воспроизведения, эти два ролика - ни о чем, просто страшная сказка на ночь.

emhanik
XenoZ

Ребята, со всем уважением к вам - но диалог двух пятнадцатилетних девочек перед первым разом. Без обид, просто другой аналогии не нашлось. Сами знаете, к вам я отношусь исключительно с уважением.

Если охота быть "в белой шляпе" - отписываете о баге в багтрек - именно в багтрек, а не модераторам, администраторам и паверюзерам форума, ждёте две недели - при отсутствии реплая вываливаете в паблик с указанием на ссылку в багтреке. Разраб сам виноват, что не чухался, а тут придётся в скорости заделывать, иначе продукт свалится ниже плинтуса. Если, конечно, бага - это бага, а не фантазия пентестера в сферическом вакууме.

Если охота быть "в чёрной шляпе" - лезете в даркнет, продаёте PoC, а если можете автоматизировать - то и вообще эксплоит.

Две страницы философских размышлений "я нашёл страшную уязвимость, что мне теперь делать".

По ошибке установки 1630 так и не нашли решение для win 8.1 x64 ?

gjf
Цитата:

отписываете о баге в багтрек - именно в багтрек

Это возможность есть только у членов старгруппы. Если вы внезапно таковым являетесь, то стоит рассмотреть передачу информации через вас.
Когда я обращался к Хирону, он обещал посодействовать с передачей. Кто ж знал...

Что меня останавливало от публикации, я уже сказал.


Цитата:

Две страницы философских размышлений "я нашёл страшную уязвимость, что мне теперь делать".

«Что мне теперь делать», я спросил только единожды.
В остальном — мне было интересно, станут ли мои собеседники отрицать очевидное и знают ли хотя бы о той проблеме, которую я поднимал публично, притом неоднократно, давал рекомендации по защите и делал баг-репорт.

P.S. Сегодня доделываю статьи и берусь за баг-репорты

emhanik
Я имел в виду вот это: https://forums.comodo.com/bug-reports-cis-b132.0/

Нет смысла писать в какие-то закрытые ветки, потому что потом никому не докажете, что писали.

Если нет регистрации на форуме или проблемы с английским - оформляйте на русском, я всё переведу и опубликую под своей учёткой от Вашего имени.

emhanik
Цитата:

Попробуйте мое расширение контекстного меню
...Для запуска программы понадобится вызвать на ней, удерживая нажатой клавишу Shift, контекстное меню и выбрать пункт «Запустить без ограничений Auto-Sandbox»...

нет у меня такого пункта в контекстном меню файла запуска установки.

unyqUm
Выполнили все, как написано в архиве?
Файл «Добавить пункт меню 'Запустить как установщик'.reg» запускали?

Т.е. ещё нужно реестр править? И потом этот пункт будет в контекстном меню всех файлов? А не проще ли Comodo перевести в игровой режим, установить игру, а потом вернуть обратно?

unyqUm
Дело хозяйское)
P.S.

Цитата:

И потом этот пункт будет в контекстном меню всех файлов?

Только в расширенном контекстном меню, которое вызывается при удержании Shift

Добавлено:
Gourmet 15:56 12-01-2015
Цитата:

перестают собираться рабочие проекты в QtCreator

Скажите, пожалуйста, работает ли QtCreator, если его запустить изначально в виртуальной среде?
Я не предлагаю вам этим пользоваться, просто интересуюсь.

Как полностью выгружать (временно) Comodo ISP 8.0.0.4344 из системы (Win8.1x64)?

gjf
XenoZ
Accessisdenied
All
Наслаждайтесь.

Определение программ-интерпретаторов по их имени: https://forums.comodo.com/index.php?topic=109237.0
(Update: частично исправлено в CIS 8.2 Beta. Обход фаервола все еще возможен.)

Наследование привилегий при составной команде: https://forums.comodo.com/index.php?topic=109236.0

Ну и уже упомянутое, что нетрудно додумать до использования «по назначению» — https://forums.comodo.com/index.php?topic=107943.0;msg794189#msg794189 (объяснение в баг-репорте, к комментарию по ссылке прикреплен рабочий пример)

Добавлю специфично 8-чную уязвимость к подмене доверенных файлов: https://forums.comodo.com/index.php?topic=107570.0;msg800770#msg800770 (объяснение в баг-репорте, к комментарию по ссылке прикреплен рабочий пример)

Это, кстати, не все, но это самая жесть.

Мои статьи — http://www.comss.ru/list.php?c=comodoblog
Конкретно о затыкании дыр — http://www.comss.ru/page.php?id=2347