Firewall + HIPS

[tanganika]

Re:

Привет Tanganika,

Формално погледнато въпросът и елементарен и отговора е "да". Преди време писах за SysProt, която може да ти служи за ориентация. За професионални нужди:"Sanity Check" http://www.resplendence.com/sanity

 

Расъждаваме: Comodo контролира много API, но не и това, което показваш, следователно е минус.

 

http://img147.imageshack.us/img147/9682/1aaj.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

Първо да ти благодаря за поредните полезни програми

 

Да Комодо не контролира ntkrnlpa.exe,но версия 2010 на Комодо ще има и Sandbox ( информацията ми е от Callisto )

Sandboxie контролира ntkrnlpa.exe,но пък не филтрира трафика на svchost.exe.Кое от двете според теб представлява по-голяма слабост за сигурността ?

[tanganika]

Жалко за братята от Microsoft нямат достъп до операционната ми система

 

http://i48.tinypic.com/34rvi1t.jpg

 

но това е и хубаво защото и зловредния код го очаква същата изненада - вакум/празно пространство/нищото.Колкото повече са ползвателите на подобни програми толкова по-трудна ( да не кажа непосилна ) ще бъде и работата на писачите на зловреден код.

Интересно какво ли ще се случи ако стартирам някой от най-новите рууткити описани в тези сайтове предоставени от B-boy/StyLe/

 

http://www.rootkit.com/blog.php?newsid=970

 

http://rootbiez.blogspot.com/2009/11/rootkit-tdl3-why-so-serious-lets-put.html

 

http://www.prevx.com/blog/139/Tdss-rootkit-silently-owns-the-net.html

 

B-boy/StyLe/ , би ли ми изпратил това Rogue, което инсталира TDL3 рууткита който пачва atapi.sys,искам да го стартирам като недоверено приложение със DefenseWall,ще направя и клипче какво се случва.

[The Graverobber]

дефенс уол разботи ли под уиндоус 7 ? в момента търся дружка на Eset Smart Security и се колебая между Mamutu/Defense Wall/Geswall

[draco_volans]

Виж на официалния сайт: http://www.softsphere.com/programs/ Поддържа само 32-bit системи (вкл. 7). Иначе е уникална джаджа...

[tanganika]

дефенс уол разботи ли под уиндоус 7 ? в момента търся дружка на Eset Smart Security и се колебая между Mamutu/Defense Wall/Geswall

Да ти се чуди човек защо ти е този уиндоус 7 ( включително и Eset Smart Security )след като има защита от такова ниво за ХР като Defense Wall.

 

Ето за какво става въпрос:

DefenseWall HIPS - a Perfect Protection against Rootkits such as Rustock.C (Ntldrbot).

[B-boy/StyLe/]

 

B-boy/StyLe/ , би ли ми изпратил това Rogue, което инсталира TDL3 рууткита който пачва atapi.sys,искам да го стартирам като недоверено приложение със DefenseWall,ще направя и клипче какво се случва.

 

Имаш Л.С.

[The Graverobber]

това, което е удобството на 7-цата е пълното разпознаване на хардуера ми от ОС, както и полезният ReadyBoost.

докато при ХР трябва да инсталирам допълнително драйвери. плюс това 7 предлага по-добри решения свързани със сигурността в сравнение с ХР -

 

Въведени при Vista (взето от http://en.wikipedia.org/wiki/Security_and_safety_features_new_to_Windows_Vista )

 

Data Execution Prevention

If DEP is enabled for all applications, users gain additional resistance against zero-day exploits.

Application isolation

A low integrity process can not access the resources of a higher integrity process.

Windows Service Hardening

compartmentalizes the services such that if one service is compromised, it cannot easily attack other services on the system. It prevents Windows services from doing operations on file systems, registry or networks[9] which they are not supposed to

Network Access Protection

makes sure that computers connecting to a network or communicating over a network conform to a required level of system health as has been set by the administrator of the network.

 

Доразвито при 7

усъвършенстван User Account Control

усъвършенстван BitLocker

 

всичко това представлява една много солидна основа за базова защита без допълнителни програми. в момента съм с ЕСЕТ, защото я предпочитам сред платените програми - обновява дефиниции често и има една от най-добрите евристики.

[B-boy/StyLe/]

Особено x64 версиите...

 

http://www.eweek.com/c/a/Security/Microsoft-Takes-Another-AntiRootkit-Step/

 

http://www.microsoft.com/whdc/winlogo/drvsign/kmsigning.mspx

 

http://www.microsoft.com/whdc/driver/kernel/64bitPatching.mspx

 

Иначе не бих считал UAC за нещо в което трябва да сте много уверени:

 

Един линк от Androcure06 (или подвизаваща се тук като Callisto):

 

Прочетете какво пише за UAC в линка:

 

http://lifehacker.com/5401453/stop-paying-for-windows-security-microsofts-security-tools-are-good-enough

 

[The Graverobber]

аз също сериозно се замислям дали да не премина на х64, но си мисля, че имам твърде малко рам (3 -> 2.75 от вграденото видео) /дайте съвет в тази насока/. иначе тоносно УАК си мисля по-добре нещо, отколкото нищо. все нещо би могло да бъде спряно от него.

[draco_volans]

Виж тази тема: http://forums.softvisia.com/index.php?showtopic=10142&st=0&p=86715entry86715

liver вече цяла неделя пере на x64 Windows 7, a е с 2Gb RAM и казва, че всичко е OK. Наистина за такава версия е добре да си имаш едно 4Gb, но ако е само заради сигурността... и с по-малко едва ли ще имаш ядове. Или вземай още една плочка RAM..., пък другото ти е без пари

[liver]

По-точно почти седмица вече съм със 7-цата. Ето нагледно (на шота) след пълното оптимизиране колко рам и процесорна мощ заема уина. Ако кажа , че компа работи перфектно и няма дори и ни най-малък бъг, няма да излъжа. В момента е отворен браузър, скайп и минимизирана игра. Вижда се, че 2 гб са ми достатъчни. Минимума е 1гб за 64 битовата. Също така може да се прочете и тази тема http://www.blackviper.com/Windows_7/servicecfg.htm, за услугите в новия уиндоус. Коя за какво е, от кой процес е зависима, както и процесите, зависещи от нея. И най-важното-кои могат да се спрат. Само че е добре да се чете и внимава какво се спира, да няма изненади. Ако някой го интересува, мога да дам пълния списък услуги които аз съм спрял.

edit: все още не знам дали защитата на новия уин е напълно достатъчна или е по-добре да се инсталират външни програми за тази цел - допълнителен антивирус, стена, hips и т.н. За сега съм оставил включен firewall-a на уина, но съм спрял windows defender и UAC. Последното нововъведение , буквално ми скъса нервите с постоянните си въпроси. Може да е полезно, но не мога да му задам различни действия при различните приложения. И също така ме интересува, дали malwarebytes и superantispyware работят коректно под 7-цата. Ако може някой с наблюдения да сподели, че не ми се маже.

[S235]

Да ти се чуди човек защо ти е този уиндоус 7 ( включително и Eset Smart Security )след като има защита от такова ниво за ХР като Defense Wall.

Танганика, и друг път съм казвал (не знам дали е в този форум)- тия програмки са блестящи, отлични, НО САМО в "лабораторни" условия, в условия на експеримент (такъв, какъвто правиш) и са подходящи за изключително тесен крйг хора- експериментатори! В реалният живот, за "обикновен" потребител, ползващ компютъра за други задачи, а не за експерименти- програми от този тип НЕ са подходящи за ползване, особено пък в отсъствието на антивирусна програма! Даже бих казал, че липсата на антивирус, за такъв средностатистически потребител, би било пагубно! 99.9% от хората нямат представа, а и не ги интересува, как функционира "вътрешно" компютъра, какви файлове по какъв начин си осигуряват взаимодействие, и в тази връзка дали стартиращ се файл (за кайто сигнализира Defense Wall) е вреден или не, дали да му се даде разрешение или не. Няма как човек да има "антивирусни" свойства!

Пак казвам, разсъждавайки като най-обикновен потребител, който все пак има някаква компютърна и антивирусна култура- полезни са наистина тези програми, не го отричам, но е задължително да се ползват в присъствието на антивирус! Задължително е! От 1000 файла, за които се иска да вземеш разрешение, само на 1 да дадеш пограшно разрешение и си изгорял!

[Night_Raven]

дефенс уол разботи ли под уиндоус 7 ? в момента търся дружка на Eset Smart Security и се колебая между Mamutu/Defense Wall/Geswall

Както вече ти бе казано, DefenseWall работи под Windows 7. Всяка една от трите програми би била добро допълнение към ESS. Всяка от тях си има плюсове и минуси. Като тип защита бих препоръчал вторите две. Mamutu е добра, но другите предлагат като цяло според мен по-добра защита. DefenseWall е като цяло много по-лесна за работа и по-удобна, но е и платена. GeSWall е доста по-сложна за работа, но предлага безплатна версия. Откъм лекота и двете са много леки програми, като GeSWall води с един нос преднина.

 

Data Execution Prevention

 

...

 

Доразвито при 7

усъвършенстван User Account Control

Data Execution Prevention се поддържа и в Windows XP в Sevice Pack 2 и 3.

User Account Control не е защитен механизъм. Не и директен такъв. Изглежда като такъв и наистина има сходни черти, но в основата си не е. UAC е средство за улесняване на прехода админ <-> ограничен акаунт. Ако администраторският акаунт е горен етаж, а ограниченият - долен, то UAC е удобният и пъргав асансьор, който ги свързва, за да не се налага хората да ползват стъпалата.

 

 

Виж тази тема: http://forums.softvisia.com/index.php?showtopic=10142&st=0&p=86715entry86715

liver вече цяла неделя пере на x64 Windows 7, a е с 2Gb RAM и казва, че всичко е OK. Наистина за такава версия е добре да си имаш едно 4Gb, но ако е само заради сигурността... и с по-малко едва ли ще имаш ядове. Или вземай още една плочка RAM..., пък другото ти е без пари

liver си мисли, че "пере". То в началото положението е същото и с 512MB за Windows XP - всичко изглежда наред, но като се премине към работа с повече приложения едновременно, хард дискът започва да постъргва повече от желаното и става ясно, че паметта не е толкова достатъчна, колкото е било на пръв поглед. При 64-битовите версии на Windows програмните указатели са с двоен размер. Т.е. програмите имат нужда от двойно повече памет, което значи, че общо взето 4GB за 64-битова ОС се равняват на 2GB за 32-битова. Е, не точно така, но в общи линии е нелошо описание.

Т.е. 2GB за 64-битова ОС не са фатално малко, но не е добър избор като цяло и при по-продължителна работа би се усетил недостиг на памет.

 

Танганика, и друг път съм казвал (не знам дали е в този форум)- тия програмки са блестящи, отлични, НО САМО в "лабораторни" условия, в условия на експеримент (такъв, какъвто правиш) и са подходящи за изключително тесен крйг хора- експериментатори! В реалният живот, за "обикновен" потребител, ползващ компютъра за други задачи, а не за експерименти- програми от този тип НЕ са подходящи за ползване, особено пък в отсъствието на антивирусна програма! Даже бих казал, че липсата на антивирус, за такъв средностатистически потребител, би било пагубно! 99.9% от хората нямат представа, а и не ги интересува, как функционира "вътрешно" компютъра, какви файлове по какъв начин си осигуряват взаимодействие, и в тази връзка дали стартиращ се файл (за кайто сигнализира Defense Wall) е вреден или не, дали да му се даде разрешение или не. Няма как човек да има "антивирусни" свойства!

Пак казвам, разсъждавайки като най-обикновен потребител, който все пак има някаква компютърна и антивирусна култура- полезни са наистина тези програми, не го отричам, но е задължително да се ползват в присъствието на антивирус! Задължително е! От 1000 файла, за които се иска да вземеш разрешение, само на 1 да дадеш пограшно разрешение и си изгорял!

S235, хубаво е да не се изказваш, без да си запознат с нещата. DefenseWall не сигнализира за никакви стартиращи се файлове. Тя не е HIPS програма и не занимава потребителя с въпроси кое, какво, как и кога. Макар цялото име да е "DefenseWall HIPS", тя не е класическа HIPS програма, за каквато явно си мислиш. Тя е policy based HIPS/sandbox приложение. Поне на този етап. Версия 3, която трябва да се пусне официално МНОГО скоро (следващите дни ако всичко е наред, макар мен да ме съмнява), ще е нещо доста уникално като защитна програма, т.е. ще е повече от policy based HIPS/sandbox (каквото е сега) и ще е интересна комбинация от функции, съчетани по уникален досега начин. Поне по думите на автора, де.

Иначе точно DefenseWall е една от най-лесните за работа програми за обикновения потребител. Разбира се изискват се някакви усилия, защото се налага потребителят да прави някои неща, но спрямо behaviour blocker и особено HIPS програмите DefenseWall е просто песен.

Ако се абстрахираме от цената, това е програмата с категорично най-доброто съотношение ефективност/леснота на работа/лекота. GeSWall може да е също толкова ефективна (евентуални и по-ефективна дори) и е също толкова лека (че дори и може би по-лека), но е много по-сложна за настройка. HIPS програмите също могат да предложат отлична защита, но те са много по-сложни и/или досадни за работа (зависи от потребителя) заради многото въпроси, с които заливат потребителя. Антивирусните програми пък са непостоянни - те разчитат на blacklisting, което пък значи, че могат да са наистина ефективни, но могат и да проспят всичко. Отделно са и по-тежки от останалите защитни програми и могат да са доста объркващи понякога откъм работа и настройки.

[S235]

 

S235, хубаво е да не се изказваш, без да си запознат с нещата. DefenseWall не сигнализира за никакви стартиращи се файлове. Тя не е HIPS програма и не занимава потребителя с въпроси кое, какво, как и кога. Макар цялото име да е "DefenseWall HIPS", тя не е класическа HIPS програма, за каквато явно си мислиш. Тя е policy based HIPS/sandbox приложение. Поне на този етап. Версия 3, която трябва да се пусне официално МНОГО скоро (следващите дни ако всичко е наред, макар мен да ме съмнява), ще е нещо доста уникално като защитна програма, т.е. ще е повече от policy based HIPS/sandbox (каквото е сега) и ще е интересна комбинация от функции, съчетани по уникален досега начин. Поне по думите на автора, де.

Иначе точно DefenseWall е една от най-лесните за работа програми за обикновения потребител. Разбира се изискват се някакви усилия, защото се налага потребителят да прави някои неща, но спрямо behaviour blocker и особено HIPS програмите DefenseWall е просто песен.

Ако се абстрахираме от цената, това е програмата с категорично най-доброто съотношение ефективност/леснота на работа/лекота. GeSWall може да е също толкова ефективна (евентуални и по-ефективна дори) и е също толкова лека (че дори и може би по-лека), но е много по-сложна за настройка. HIPS програмите също могат да предложат отлична защита, но те са много по-сложни и/или досадни за работа (зависи от потребителя) заради многото въпроси, с които заливат потребителя. Антивирусните програми пък са непостоянни - те разчитат на blacklisting, което пък значи, че могат да са наистина ефективни, но могат и да проспят всичко. Отделно са и по-тежки от останалите защитни програми и могат да са доста объркващи понякога откъм работа и настройки.

Репликата ми към Танганика беше, не само по отношение на тази програма, а изобщо към склонноста му да създава много опасното за редови потребител, подвеждащо мнение, че може да си ефективно защитен "без дефиниции". Не може, не и в "реални" условия! Еспериментално- да, но в реалността- не!

Що се касае до конкретната програма- аз наистина не я познавам! Аз като човек, който все пак имам някаква компютърна и антивирусна грамотност, никога не бих си оставил компютъра, ако той има връзка с глобалната мрежа, без наличието на класическа антивирусна програма, по простата причина, че тя следи нещата, а не аз. При ХИПС програмите и всички тяхни разновидности, акцента върху "следенето" е изместено върху потребителя, негово е крайното решение! какво да речем например за жена ми, която пък хал-хабер си няма понятие от функционирането на компютри, антивирусни програми, хипсове-мипсове и т.н....как тя ще вземе решения? Никак!

И понеже не позвам въпросната програма, хайде, убеди ме в нейните качества и предимства!

[Night_Raven]

Репликата ми към Танганика беше, не само по отношение на тази програма, а изобщо към склонноста му да създава много опасното за редови потребител, подвеждащо мнение, че може да си ефективно защитен "без дефиниции". Не може, не и в "реални" условия! Еспериментално- да, но в реалността- не!

Напротив, може човек да е защитен и без дефиниции. Разбира се, че може. Има разбира се условия. Например при работа с HIPS потребителят трябва да е наясно какво върши, но това не значи, че не може човек да е защитен с такава програма.

 

И понеже не позвам въпросната програма, хайде, убеди ме в нейните качества и предимства!

Мисля, че написах сравнително достатъчно информация за програмата, но ще напиша още, ако ти трябва.

DefenseWall разделя програмите на доверени и недоверени. Доверените програми не са закачани и контролирани по абсолютно никакъв начин, DefenseWall просто ги пренебрегва. Недоверените приложения обаче биват стартирани в изолирана среда с доста ограничени възможности. На недоверените програми им се отказва достъп (основно запис) до най-различни важни системни ресурси. Нещо като да е стартирана програмата под ограничен/стандартен акаунт, но и още по-контролирана среда. Така недоверените приложения не могат да правят почти нищо по системата. Идеята е да се покрият всички входни точки за зловреден код в една система. Това са на практика USB устройства и програмите, работещи активно с интернет - браузъри, download мениджъри, FTP клиенти, p2p клиенти, месинджъри, чат програми, плеъри и т.н. Всички тези входни точки се третират като недоверени и биват ограничавани от DefenseWall. Така дори и да речем да бъде компрометирана някоя от тези програми, тя не може да направи почти нищо на системата, защото недоврени ресурси не могат да променят доверени такива. Освен това всеки един файл, който се създаде от недоверена програма, също е доверен. Т.е. ако свалиш файл с браузъра или друга недоверена програма, той също е недоверен. Това елиминира и опасността от drive-by downloads и автоматичното им изпълнение. Т.е. дори и бруазърът да бъде подмамен да изтегли и стартира даден файл, той ще стартира отново недоверен ресурс и няма да може да направи почти нищо на практика. Разбира се някои свалени файлове ще трябва да бъдат премахнати от недоверения списък, за да могат да си свършат работата. Например свалени скриптове (VBS или REG от по-известните), инсталации на някои програми и подобни. Те няма да могат да функционират/се инсталират нормално, ако са недоверени, но затова пък лесно се задават като доверени - 2 клика на мишката (буквално).

DefenseWall има вграден списък с приложения, които да третира като недоверени. Този списък за жалост не е универсален и в него липсват някои по-малко известни програми, така че понякога се налага потребителят да добавя ръчно програми, които да се третират като недоверени. Аз например съм добавил UltraFXP, защото тя не беше разпозната от DefenseWall. Повечето известни програми обаче се разпознават без проблем при първото стартиране. Ако се забележи нередовна активност сред недоверените програми и се подозира зловреден код сред тях, се клика бутон Stop аttack, което дърпа шалтера на всички недоверени процеси и заедно с тях всякакъв зловреден код.

За хора, които не инсталират постоянно програми през 2-3 минути, DefenseWall е много лесна и тиха за работа програма. Потребителят има общо взето 3 задачи:

1) след инсталацията на DefenseWall да провери списъка с недоверени приложения и евентуално да добави някоя програма, която би следвало да е там, но не е била разпозната, и след инсталацията в последствие на някоя подобна програма отново да провери списъка дали е добавена автоматично и ако не е, да го направи ръчно;

2) да отговаря на диалоговите прозорци, които се появяват, ако недоверено приложение извършва някои конкретни действия: достъп до клипборда, запис на клавиши (keylogging), достъп до защитени ресурси (ако потребителят е посочил такива) и при наличие на недоверени приложения, които са стартирани като доверени. Това са обаче на практика редки случаи, особено последните 2. Това са единствените известия, с които програмата ще занимава потребителя.

3) да променя статута на доверени файлове, които имат нужда да са доверени и/или ще бъдат запазвани за постоянно на твърдия диск и е сигурно, че са безопасни разбира се.

Общо взето това е много малко работа от страна на потребителя на практика. Разбира се не е 0% усилия и задължения, но то няма нито една защитна програма, която да не изисква поне едно минимално количество усилия от страна на потребителя в една или друга ситуация. Важното е, че DefenseWall изисква много малко потребителска намеса, спрямо останалите защитни програми.

Споменах за защитени ресурси малко по-нагоре и ще поясна малко повече. На програмата могат да се укажат специални ресурси, които изрично да защитава от недоверени приложения по всякакви параграфи, не само от промяна.

DefenseWall има и други функции, но това е основата. Към това добавяме и друг важен фактор - лекотата на работа. Програмата е много лека както откъм процесорна мощ, така и откъм памет. Ако искаш ще ти дам шотче от Process Explorer.