» Comodo Internet Security

kaijosta 22:59 31-01-2015
Цитата:

Пожалуйста, сбавьте обороты вашего назидательного тона...

Постараюсь.
Поймите правильно: «назидательным тоном» я призвал вас к последовательности. Если говорите, что определенная конфигурация защищает от уязвимости, то надо оговаривать, чем она принципиально отличается от дефолтной. Тогда не пришлось бы наугад информацию вытягивать.


Цитата:

Вы везде стонете: "Шеф, все пропало, спасения - нет".
Я же говорю, что не все пропало. Только и всего.

Неправда.
Различные уязвимости анализа командной строки я обнаружил относительно давно и еще 4 месяца назад дал работающий подход к защите от ярлыков.
Вообще, я довольно много проблем Comodo выявляю и, если публично говорю о них, то практически всегда даю рекомендации по решению. Не сразу, так через пару дней.
После выхода 8-ки я понял, что придется отказываться от детекта инсталляторов, и 2 месяца назад стал писать об этом.


Цитата:

Зачем Комоду помещать заблокированный объект еще и в песочницу? Где логика? Чтобы он еще сильнее "заблокировался"? Данному приложению просто отказано в запуске.

Я же объяснил. Зачем переворачиваете слова?


Цитата:

Вы что оправдываетесь передо мной за последующие корявые версии?

Если я в чем и оправдываюсь, то именно в том, что назвал поведение 5-ки багом. В этом я действительно ошибся: поведение соответствует интерфейсу.

Вы упорно отказываетесь понимать, но я объясню еще раз. Суть найденного вами решения не в выборе 5-й версии, а в выборе режима ее работы. Точно такой же режим есть у последующих версий, но интерфейс его включения другой. Если бы вы сумели разобраться, то 7-ка блокировала бы приведенный образец аналогично 5-ке.

Собственно, о подобном режиме я уж 2 месяца публично пишу.

Говоря об этом режиме, нужно оговаривать его проблемность. Какие-нибудь казусы с установкой или работой программ рано или поздно заметите. И сомневаюсь, что в случае 5-ки можно предложить какое-либо решение, кроме отключения этой вашей блокировки (хорошо еще, если временного). А в последующих версиях стала заметно улучшаться система исключений. И для этих версий уже можно предложить решения получше.


Цитата:

Надеюсь вам не надо напоминать о багах новых версий, которые наслаиваются как пирог?

О багах, которые я сам выявляю и публикую в статьях и баг-репортах, напоминать не надо. Мне было любопытно, знаете ли вы о них.

Цитата:

Одни "неопознанные" файлы чего стоят + возможность подмены доверенных файлов всякой дрянью.

«Неопознанные» — в смысле, неудаляемые висяки? Противно, но все же мелочь.
Возможность подмены только в 8-ке появилась.

emhanik
Вы заявили, что обнаружили критические уязвимости в CIS 5-8.
На Comss.ru вы заявили, что Комодо - труп.
Естественно это касается дефолтных настроек - тут возражений нет.
Я показал, на примере CIS 5, что при определенных настройках, вашими способами CIS 5 пробить не удастся. Вы вроде фактически признали это (или нет?).
Далее вы начали скатываться к банальной демагогии, а это уже становится не интересно.
На этом дискуссию считаю завершенной.
P.S. Конспектировать ваши статьи у меня желания нет.

Цитата:

Возможность подмены только в 8-ке появилась.

Я думаю они не остановятся на "достигнутом".

kaijosta 01:12 01-02-2015
Цитата:

Далее вы начали скатываться к банальной демагогии, а это уже становится не интересно.

Позвольте, в чем демагогия? Я излагаю факты и выводы из них.
И попутно отвечаю на ваши нападки.

Вы назвали дырявыми версии 6-7-8, противопоставив им 5-ку. Я указал некорректность данного противопоставления, так как оно сводилось к конфигурации. В чем возражения?


Цитата:

Я показал, на примере CIS 5, что при определенных настройках, вашими способами CIS 5 пробить не удастся.

Кроме «непробиваемости» должна быть еще кое-какая юзабильность. Большой ли смысл в непробиваемой конфигурации 5-ки, если для установки приложений придется каждый раз отключать основную защиту?

Цитата:

Вы вроде фактически признали это (или нет?).

Было бы абсурдно с моей стороны утверждать, что решения вообще нет — ведь я его даю : )
Но когда я ищу подход к эффективной защите, то учитываю вышеупомянутые издержки. И нахожу компромиссные решения.
Короче: для пригодной к использованию защиты нужны версии новее 5-ки. Желательно 7-8.


Цитата:

На Comss.ru вы заявили, что Комодо - труп.

Да, а еще я говорил, что занимаюсь плясками с бубном вокруг этого трупа.

Цитата:

думаю они не остановятся на "достигнутом".

О том и речь, по поводу трупа. Поэтому пляски рано или поздно станут бессмысленны.
Хотелось бы ошибиться.


Цитата:

На этом дискуссию считаю завершенной.

Классика) Предъявить оппоненту ложные обвинения, назвать, не читая, его объяснения демагогией, а затем гордо удалиться...

из шапки

Цитата:

в Комодо обнаружена критическая уязвимость,
позволяющая выполнить произвольный код с правами доверенного инсталлятора.
Подробности тут.

В "подробностях" ссылки на описание каких-то странных действий для достижения "результата".
Можно как-нибудь попроще изложить: в чем же состоит "уязвимость"?
В том что фаервол (hips) выполняет указания пользователя и не запрещает то что пользователь указал разрешить?
И как вредоносное приложение может использовать эту "уязвимость"?
Выведет на экран инструкции по вводу нужных команд в командной строке или созданию хитрого ярлыка и попросит пользователя набрать команду или запустить ярлык? Так и напишет: "сделай так, мне нужно твой фаервол обойти"

Accessisdenied
Разве в баг-репортах недостаточно информации? Там и видео, и образцы для тестирования.

Accessisdenied 20:15 01-02-2015
Цитата:

Выведет на экран инструкции по вводу нужных команд в командной строке или созданию хитрого ярлыка и попросит пользователя набрать команду или запустить ярлык?

Пользователь распакует зараженный архив или вставит зараженную флешку. И запустит ярлык, приняв его за что-нибудь другое. Или запустит стартер вредоносной программы, который сам по себе будет доверенным файлом.
Явно же на видео показано.

emhanik

Цитата:

вставит зараженную флешку

Пытаюсь на своем компе запустить только что созданный на флешке ярлык:


Цитата:

запустит ярлык, приняв его за что-нибудь другое

С повышенными правами?



Цитата:

запустит стартер вредоносной программы, который сам по себе будет доверенным файлом

Это как "сам по себе"??
Применением колдовства и черной магии вредоносный файл занес себя в доверенные? А зачем? Сразу бы тем же колдовством снес фаервол совсем и изменил бы код всех бинарников в системе на вредоносный

Accessisdenied 21:56 01-02-2015
Цитата:

Пытаюсь на своем компе запустить только что созданный на флешке ярлык

Групповая политика блокирует? Ну так я и пишу давно уже о необходимости блокировать ярлыки на съемных носителях, причем именно системными средствами.
По умолчанию этого нет.


Цитата:

С повышенными правами?

А зловредов, выполняющихся с правами пользователя, не бывает?


Цитата:

Это как "сам по себе"??
Применением колдовства и черной магии вредоносный файл занес себя в доверенные? А зачем? Сразу бы тем же колдовством снес фаервол совсем и изменил бы код всех бинарников в системе на вредоносный

Это что, не читал, но осуждаю?

emhanik

Цитата:

Это что, не читал, но осуждаю?

Ну и?

Accessisdenied
Вы троллите, что ли?
http://youtu.be/-8vn_n-Gu0g
Конфигурация Proactive Security: http://rghost.ru/658PpfwGq

emhanik

Цитата:

Конфигурация

Вы издеваетесь что ли?
Мне нужно настроить какую-то особую конфигурацию?
А фаервол деинсталлировать не нужно? - тогда точно любая "уязвимость" проявится

Настройки были мои обычные.
security level - safe mode; sandbox - disabled;
Вышел алерт. Где "уязвимость"?

Accessisdenied
Я вам четко сказал, показал и предъявил конфигурацию: стандартная Proactive Security.
Издеваетесь вы.

All
Внимание, аккаунт участника Accessisdenied взломан!
Это толковый человек, который однажды помог мне разобраться в одном вопросе. Но сейчас на его месте сидит какой-то тролль.

Добавлено:
Accessisdenied 08:04 02-02-2015
Цитата:

security level - safe mode; sandbox - disabled;

Интересное дело — при отключении Sandbox в CIS 5.10 действительно появился алерт.
С какой стати — ведь стартер все равно воспринимается как инсталлятор — пока не ясно.
Но стоило добавить еще один промежуточный стартер — и запуск произошел без оповещений: http://rghost.ru/6d7XJ8mf9

emhanik

Цитата:

аккаунт участника Accessisdenied взломан

А если без шуток?
В "Proactive Security" изначально включена песочница. Разве можно серьезно воспринимать эту свистоперделку?
При отключении песочницы в той же "Proactive Security" точно также выходит алерт.
Все эти "конфигурации" - всего лишь наборы настроек, которые после активации любой из них можно менять.
Нужно же понимать, что любые настройки защиты - это компромисс между удобством (количество ответов на алерты) и надежностью.
Сразу после установки версии 5.10 песочница выключена.
Если выбираете набор настроек для "домохозяек" - должны понимать на что идете.
Компонент Defense+ можно в настройках вообще полностью выключить и кричать после этого о всевозможных "уязвимостях"

Добавлено:

Цитата:

промежуточный стартер

Щас посмотрим

Accessisdenied 12:23 02-02-2015
Цитата:

А если без шуток?

Я о том и говорю, что приходится идти на компромисс между защитой и юзабильностью.
Единственный подход, который мне удается предложить — это автоматическая блокировка (CIS 5-6-7-8) либо виртуализация (6-7-8) при отключенном детекте инсталляторов. Однако юзабильность такого подхода никакущая, потому что не будет ни оповещений, ни исключений каких-либо инсталляторов. Т.е. далеко не всегда удастся выполнить установку приложений. А в некоторых случаях и пользование ими станет невозможным.
Для CIS 7-8 худо-бедно можно компенсировать эти неудобства контекстным меню, а для 5-ки вообще предложить нечего.

emhanik

Цитата:

еще один промежуточный стартер

Действительно приводит к сбою. Тут да, можно сказать дырка, поскольку поведение отличается при тех же настройках и не принципиальном изменении ситуации.

Цитата:

Единственный подход...

Есть вариант проще. Paranoid mode выводит алерт даже на запуск промежуточного стартера. Но с этим режимом придется повозиться с начальной настройкой. Мне без надобности, у меня комод не как основная мера защиты, а только дополнительная страховка. Я не запускаю бинарники из сомнительных источников кроме как в виртуалке. А в противном случае любой фаер/хипс рано или поздно будет пробит.
Но дырка с двумя стартерами позитивных впечатлений комоду не добавляет, да.
Но и что "всё пропало" я бы не сказал. Просто запуск - безобидное действие. А что этот unrecognized_file.exe смог бы сделать серьезного? Установить драйвер? Получить прямой доступ к диску, клавиатуре, памяти? Сомневаюсь. Но на основной системе на такие действия у меня будет запрос даже для доверенных приложений. Хотя это не дефолтные настройки, но дефолтные в любом случае большой компромисс. Для хорошей защиты любой фаер/хипс нуждается в настройке. Это лишь инструмент, а не панацея. Всё зависит от пользователя и от возможностей инструмента.
Возможностей комода мне хватает, чего не скажешь об удобстве интерфейса.
Надо будет глянуть что там в 8-й версии с этим: копирование IP из алерта, уточнение создаваемых из него правил и подобное. Подозреваю что не сделали.

Accessisdenied 13:54 02-02-2015
Цитата:

Paranoid mode выводит алерт даже на запуск промежуточного стартера

Жесткие правила, основанные на путях, — это проблема при обновлении системы, так как в нем могут участвовать файлы с непредсказуемыми именами, причем находящиеся о временном каталоге.
А сделать им разрешения по маске — и разрешенными станут любые подобные временные файлы, хоть и не доверенные. При параноидальном режиме вообще не контролируется рейтинг (т.е. деление файлов на доверенные и неопознанные).

А в CIS 8 даже при параноидальном режиме отсутствует контроль над доверенными инсталляторами. Вернее, там довольно бредовая ситуация.


Цитата:

А что этот unrecognized_file.exe смог бы сделать серьезного?

Он выполняется с правами доверенного инсталлятора. Грубо говоря, это значит, что ему и его дочерним процессам разрешено все, что не запрещено явно в HIPS. Тестовый образец удаляет каталог. Можно написать что угодно другое, в пределах UAC.


Цитата:

Для хорошей защиты любой фаер/хипс нуждается в настройке

Применительно к Comodo я об этом и пишу, довольно много.


Цитата:

Но на основной системе на такие действия у меня будет запрос даже для доверенных приложений.

Значит, там вообще не принимается во внимание рейтинг, исключительно пути.
Уже сказал, почему не считаю такую защиту приемлемой.
Если же делать защиту основанной на рейтинге — то дочерние процессы доверенных инсталляторов не будут контролироваться.

emhanik

Цитата:

Значит, там вообще не принимается во внимание рейтинг, исключительно пути.

В отличие от Paranoid mode у меня просто подкорректированы правила для группы доверенных приложений - для некоторых пунктов вместо изначального "разрешить" установлено "спросить". Никаких проблем это не вызывает, в том числе при обновлениях.

Цитата:

[/q]
[q]Наслаждайтесь.
https://forums.comodo.com/index.php?topic=109237.0
https://forums.comodo.com/index.php?topic=109236.0

Ну и уже упомянутое, что нетрудно додумать до использования «по назначению» — https://forums.comodo.com/index.php?topic=107943.0;msg794189#msg794189 (объяснение в баг-репорте, к комментарию по ссылке прикреплен рабочий пример)

Добавлю специфично 8-чную уязвимость к подмене доверенных файлов: https://forums.comodo.com/index.php?topic=107570.0;msg794192#msg794192 (объяснение в баг-репорте, к комментарию по ссылке прикреплен рабочий пример)

Это, кстати, не все, но это самая жесть.

Мои статьи — http://www.comss.ru/list.php?c=comodoblog
Конкретно о затыкании дыр — http://www.comss.ru/page.php?id=2347

Cсылки уже стали недоступны, и чего делать, как с этим жить? Какой firewall для домашних целей использовать при работе с интернет-банком?

Accessisdenied 15:50 02-02-2015
Цитата:

Никаких проблем это не вызывает, в том числе при обновлениях.

Однажды я задался вопросом, каким программам необходим COM-интерфейс LocalSecurityAuthority.Restore

При обновлении Win7 вылезли:
%windir%\System32\SearchProtocolHost.exe
%windir%\System32\wuauclt.exe
%windir%\System32\dllhost.exe
%windir%\servicing\TrustedInstaller.exe
%windir%\explorer.exe
%windir%\Temp\IE1FB8E.tmp\IE11-support\ienrcore.exe
%windir%\SoftwareDistribution\Download\Install\IE11-Windows6.1-x86-en-us.exe
%windir%\System32\Dism.exe
%Temp%\CFEC6BB8-D7CF-49AE-90AE-AB5CB0A26D44\DismHost.exe
и еще куча подобных

И это только часть тех, которые запросили данный COM-интерфейс. Сколько еще запускалось и чего им было нужно, уже не выяснял.

13:54 02-02-2015
Цитата:

Надо будет глянуть что там в 8-й версии с этим: копирование IP из алерта, уточнение создаваемых из него правил и подобное. Подозреваю что не сделали.

Ничего из этого.

krserv 16:10 02-02-2015
Цитата:

Cсылки уже стали недоступны, и чего делать, как с этим жить?

Залогиниться на форуме Comodo, прочитать баг-репорты, изучить прикрепленные к ним материалы.
Почитать статью про защиту от уязвимостей.

emhanik

Цитата:

каким программам необходим COM-интерфейс LocalSecurityAuthority.Restore

Драйвер через него можно установить?

немного не по теме, я считаю Comodo для себя Firewall номер один, но я не эксперт, и даже не профессионал в этой области, только чуть больше чем обычный пользователь - опытный пользователь
Сейчас определяюсь с платформой для личного Firewall, на ноут на котором будет идти работа с интернет банком.
Кто-нибудь может из знающих людей сравнить Comodo вот с этим продуктом?

http://infotecs.ru/products/catalog.php?SECTION_ID=&ELEMENT_ID=3287

Accessisdenied 16:59 02-02-2015
Цитата:

Драйвер через него можно установить?

Не шарю. Меня он интересовал с точки зрения самозащиты Comodo: чтобы Process Hacker не мог его выгрузить.
Увидев, насколько проблематична блокировка этого COM-интрефейса для группы «Все приложения», я отказался от идеи.

Accessisdenied
А зачем тебе драйвер? Грамотно написанный вирус не полезет в системную область, ему хватит и профиля пользователя, где тот же шифровальщик может нехило нагадить. Учитывая, что у обычного пользователя, к-рых таки большинство, все "самые нужные и жизненно необходимые данные" хранятся именно там (зачастую - банально на рабочем столе), - комментарии, думаю, излишни.

XenoZ
Ну наконец-то золотые слова!
А то я диалог гуру с какого-то момента перестал вообще понимать.
Такое впечатление, что цель дискуссии - найти что-нибудь нелогичное в работе фаервола, но при этом полностью забыты такие основы, как доступность рядовому пользователю, стабильность и надёжность.

Цитата:

Скажите, пожалуйста, работает ли QtCreator, если его запустить изначально в виртуальной среде?
Я не предлагаю вам этим пользоваться, просто интересуюсь.

Если имеется в виду нормальная виртуальная машина типа VMWare, то работает всё на ура. Если имеется в виду песочница COMODO, то понятия не имею, у меня нет времени на эксперименты, мне работать надо.

Если нормального решения для средств разработки у COMODO нет, то приходится его отключать. Это системный баг.

gjf 17:29 02-02-2015
Цитата:

найти что-нибудь нелогичное в работе фаервола

Главное — ведущее к его обходу. В данном случае — еще и крайне простому обходу.

Цитата:

полностью забыты такие основы, как доступность рядовому пользователю, стабильность и надёжность

Речь именно о том, чтобы сочетать защиту и юзабильность. Хорошего решения у меня нет, чтобы уж совсем доступно рядовому пользователю было и беспроблемно. Но более-менее приемлемое (по мне, по крайней мере) компромиссное — даю.

Gourmet 17:31 02-02-2015
Цитата:

Если имеется в виду песочница COMODO

Она. Т.е. пройдет ли в ней корректно сборка проекта (или что там проблемы вызвало).

Цитата:

у меня нет времени на эксперименты, мне работать надо

Удивительно, что вы еще не ушли с Comodo ; )
Мое время им убивается жесточайше.

emhanik
Вы не обижайтесь, Ваши исследования действительно интересны, но крайне - как бы так сказать? - искусственны что ли?

Чтобы воспроизвести указанные Вами уязвимости, нужно создать некое состояние работы CIS, которое не является стандартным.

Понимаете, есть люди, которые по некоторым причинам - объективным или субъективным - параноидальны, так вот, они CIS не используют, в основном там закрытые аппаратные решения безопасности.

Есть "домохозяйки" - им нужно нечто автоматизированное и до простого понятное.

И есть некая середина - мы с Вами.

Так вот: я отдаю себе отчёт, что можно добиться абсолютно неработоспособной системы с алертом на любой пук и загрузкой проца over 9000 - но зато "враг не пройдёт". И возможно добиться некого компромисса. А можно - вообще остановится на лёгкой и простой базе.

Меня крайне бесит тормозной интерфейс, не загружаемый гуй на некоторых медленных системах, довеска ADS на файлах, глюки с локалью инсталлятора и прочая фигня. Но копаться в кишках я желания не имею - потому что можно все кишки перелопатить, заткнуть все дыры, но один файл, запущенный под админом и получивший по ошибке полные права на выполнение всё снесёт ко всем чертям.

Может быть именно по этой причине Ваши багрепорты остаются без внимания. Уж очень они "искусственны".

Вы только не обижайтесь! Посудите сами: Ваши "дыры" уже должны были бы активно эксплуатироваться всеми - от вирусописателей до авторов программного обеспечения, которые хотя бы очень бы хотели выходить в сеть в обход фаера для проверок лицензий. Но увы - Вы подробно описали механизм, но ничего подобного не произошло, "бомбы" не случилось.


Цитата:

Мое время им убивается жесточайше.

Может не стоит так на нём зацикливаться - отнеситесь к нему как к некой программе со своими плюсами и минусами. Вы сделали всё, чтобы донести до авторов свою точку зрения, но не надо так прям этим вопросом убиваться.

XenoZ

Цитата:

А зачем тебе драйвер? Грамотно написанный вирус не полезет в системную область, ему хватит и профиля пользователя, где тот же шифровальщик может нехило нагадить.

Такие пустяки вычищаются из системы на раз вручную подручными средствами
А вот драйвер руткита может значительно усложнить проблему.

Цитата:

Учитывая, что у обычного пользователя, к-рых таки большинство, все "самые нужные и жизненно необходимые данные" хранятся именно там

Такие пользователи могут обратиться за помощью к более осведомленным товарищам или даже почистить систему самостоятельно по советам с форума. А с внедренной глубоко в систему малварью не так просто

gjf 18:03 02-02-2015
Цитата:

Чтобы воспроизвести указанные Вами уязвимости, нужно создать некое состояние работы CIS, которое не является стандартным.

Тут Вы ошибаетесь.

Если у Accessisdenied выскочил алерт — так это на версии 5.10, которую я недостаточно тестировал. А потом модифицировал образец — и запуск произошел. Причем казус возник только с одним конкретным методом, а я их несколько предъявляю...

Как раз наоборот: довольно нестандартным является состояние, в котором эти уязвимости закрыты.

Уверен, Вы многократно наблюдали зараженные флешки, на которых каталоги подменены ярлыками, запускающими вирус. А ярлыки могут обойти Comodo, да еще и разными способами.
Даже если заблокирован запуск программ с внешних устройств (как, похоже, у Accessisdenied), то ярлык с флешки сможет скопировать вирус в локальный каталог и запустить там. Поэтому необходима именно блокировка ярлыков, наподобие той, что я даю.


Цитата:

Но увы - Вы подробно описали механизм, но ничего подобного не произошло, "бомбы" не случилось

Во-первых, времени прошло всего ничего. Во-вторых, полагаю, пользователи Comodo не являются приоритетной целью для атаки. В-третьих — я вообще не особо интересовался положением дел в индустрии)


Цитата:

Может быть именно по этой причине Ваши багрепорты остаются без внимания. Уж очень они "искусственны".

Уверен — не поэтому. Скорее всего — причина во внутренних проблемах организации.
Маловероятная причина (но в последнее время подтверждается) — что то ли я недостаточно прозрачно объясняю (хотя по мне — куда дальше?), то ли другая сторона упорно не желает понять.


Цитата:

Может не стоит так на нём зацикливаться

Пожалуй. Дело еще в том, что я чересчур щепетильно подхожу к написанию статей о Comodo.
Если нахожу проблему — ищу приемлемое решение. Недавний собеседник приписал мне жопоголическую позицию:
kaijosta 22:59 31-01-2015
Цитата:

Вы везде стонете: "Шеф, все пропало, спасения - нет".

Но в том и дело, что это не так, и я прилагаю усилия, чтобы поступать конструктивно. И разговор об уязвимостях поднял, в общем-то, потому что решился давать рекомендации по защите.


Цитата:

Вы только не обижайтесь!

Я тут не обиду ощущаю, а безнадегу в попытках донести до публики очевидные мне факты.

Цитата:

Удивительно, что вы еще не ушли с Comodo

Своими недоработками он надоедает всё больше и больше. Сейчас вот минут 10 скачанную базу "устанавливал", при этом сожрал почти всю оперативную память.

emhanik

Цитата:

ярлык с флешки сможет скопировать вирус в локальный каталог и запустить там

Нет, в таком случае не сможет. На моем приложенном тогда скрине видно что бинарник на системном диске. Ярлыком с рабочего стола он запускается без проблем, а ярлыком с флешки тот же самый файл - нет.
А чтобы скопировать тоже нужно хотя бы .cmd запустить, но с флешки у меня он тоже не срабатывает.
Поэтому я и говорю: защита должна быть комплексной, нельзя полагаться на что-то одно, какой бы ни был супер-дупер фаер/антивирь