В Agnitum Outpost Firewall v2-3 кажется найдена дыра.
Однозначно говорить об этом пока рано, но все предпосылки и многие факторы говорят об этом.

Внимание!
Всем, у кого есть локальная сеть и желающим протестировать свою машину с включенным Agnitum Outpost Firewall v2-3 из своей локальной сети могут это сделать. Подчеркиваю - Особых навыков и знаний сетевых протоколов и т.д. и т.п. не нужно. Все идеально просто. А как это все сделать - написано на Неофициальном Русском Форуме Outpost.
http://forum.five.mhost.ru/showthread.php?t=2549&page=1&pp=5
Сообщений в той ветке Форума много, поэтому прочитайте все внимательно.

P.S. Я до последнего момента не верил в такие чудеса и беспомощность Агнитума. Но факты - вещь упрямая.

На данный момент времени ведется переписка с некоторыми бета-тестерами программы с английского форума Outpost для подтверждения или опровержения данной уязвимости.

Интересно, правда?

В Agnitum Outpost Firewall v2-3 кажется найдена дыра.
Однозначно говорить об этом пока рано, но все предпосылки и многие факторы говорят об этом.

Внимание!
Всем, у кого есть локальная сеть и желающим протестировать свою машину с включенным Agnitum Outpost Firewall v2-3 из своей локальной сети могут это сделать. Подчеркиваю - Особых навыков и знаний сетевых протоколов и т.д. и т.п. не нужно. Все идеально просто. А как это все сделать - написано на Неофициальном Русском Форуме Outpost.
http://forum.five.mhost.ru/showthread.php?t=2549&page=1&pp=5
Сообщений в той ветке Форума много, поэтому прочитайте все внимательно.

P.S. Я до последнего момента не верил в такие чудеса и беспомощность Агнитума. Но факты - вещь упрямая.

На данный момент времени ведется переписка с некоторыми бета-тестерами программы с английского форума Outpost для подтверждения или опровержения данной уязвимости.

Интересно, правда?

ПО идее при убиении ОП сеть должна исчезать. Если это не так, то это баг.

ПО идее при убиении ОП сеть должна исчезать. Если это не так, то это баг.

Вот именно! При убиении ОР насильно, или вообще - просто при решении юзера перезагрузиться/выключить Винду сеть должна вырубаться и ни один байт ни в одну сторону, ни в другую не должен приходить/уходить. И вообще по идее должно быть так. Решил юзер перезагрузиться или еще что, то ОР должен сам закрыть сетевое соединение, а только потом дать Винде команду перезагрузиться - вот это правильно решение. А тут мы видим наоборот. Вырубается ОР, а только потом сетевое подключение. В итоге - до 20 секунд открытых дверей - видать из-за механизма Винды и ключика в реестре "WaitToKillServiceTimeout"=20000

P.S. Я до последнего момента не верил в такие чудеса и беспомощность Агнитума. Но факты - вещь упрямая.
Интересно, правда?
У них ещё дыра в разборе пакетов должна где-то быть, у меня OP версии 2.7 неоднократно в синий экран уходил с криками на tcpip.sys (пакетный драйвер от OP).

Все это глупо... проще убить процесс.. поправить ини и перезапустить процесс :)

можно еще послать WM_QUERYENDSESSION окну оутпоста :)

Sanja Вы это делали конкретно с OP 3?

Да :) Мало того.. у меня есть приватный троян который этим активно пользуется Ж)

Sanja, дружище.
Мало того.. у меня есть приватный троян который этим активно пользуется Никто не спорит. Есть коды. Это правда. А есть элементарные пути обхода, я уже писал об этом - вариантов путей обхода абсолютно любых программных фаеров изнутри очень много. Делается это очень элементарно даже через wscript, cscript - через имитацию ключей ввода клавы или мыши. Еще в январе встречал уже готовые примеры (*.vbs) для многих фаеров (ОР, ZA и т.д.). Не знаю как сейчас, но раньше прокатывало на ура. Могу (если найду) выложить если кому нужно.
А в данном случае в этой ветке имеется ввиду совсем другое. Не убитие ОР как процесса или его принудительная выгрузка, а элементарная зияющая дыра при выгрузке/перезагрузке самой Винды. При этом теоретически может быть до 20 секунд открытых дверей (всем известный ключ в реестре), в практике меньше, но и этого по уши хватит...
Проверено.
По идее фаер должен работать как сервис Винды и грузиться на этапе загрузки виндовых драйверов -полный перечень последовательности, если не ошибаюсь SDA вылаживал здесь на Форуме. Так вот. ОР так и делает. Все нормально. Но. Стоит юзеру самому нажать перезагрузку или еще что (подробности на русском форуме Outpost - ссылка на ветку выше), как сначала выгружается ОР, а только потом Винда сама закрывает все сетевые подключения.
Разве это правильно? Итог - до 20 секунд открытой и никак и ничем не защищенной системы. Проверить можно простым пингом (подробности выше).
Вывод очевиден.

Sanja троян воткнуть еще надо, речь то другом, похоже Вы не читали , увидели лишь что об ОР.

ну воткнуть ето уже другая забота.. сейчас вроде речь о дырявости..

ту орвман - дырки есть везде но там где есть текстовый конфиг - из больше.. что дрвеб что оутпост Ж) обход защиты иника и его правка вот и все - путь свободен :)

>Делается это очень элементарно даже через wscript, cscript

Не все так просто... ЗА не обходися так - надо только поставить галочку - Protect Zone Alarm Client :) Больше никакая эмуляция на окне неработает :) я даде знаю как такая защита устроена :) все просто но эффективно!

Хотя ОП с ЗА сравнивать вобще несерьезно.. второй хоть пытается защищатся.. например невозможностью грохнуть всмон стандартными методами

ЗЫ - неизвестно еще как ведет себя ОП если его треады затормозить.. может драйвер недождавшись ответа пропустит все нафиг Ж)

Хотя ОП с ЗА сравнивать вобще несерьезно..Несерьёзно. С ЗА практически невозможно работать. ПОставил его на комп, можно выключать и идти гулять. Никакие трояны точно не пролезут :)

Может просто ненадо ставить ZA Security Suite с интрегированным антивирусом? Ж) А ставить ZA Pro

Может просто ненадо ставить ZA Security Suite с интрегированным антивирусом? Ж) А ставить ZA Pro
А я поставил ЗА про. ФТП клиент работать отказался напрочь. И какие я уже только правила ему не прописывал... а он(ЗА), падла, соединение с ФТП клиентом не асоциирует. Так что или открывать порт для всех, что полный бред, или сиди без ФТП. Короче глюкало, ОП по сравнению с ним верх стабильности.
ОП у меня больше 2 лет. Пытался перейти на разные стенки, но глюки или невозможность нормальной настройки доставали так что всегда возвращался обратно. Лучше чуть меньше защиты чем постоянная война со стенкой вместо работы.

Geser, у меня стоит ЗА про последней 6 версии, проблем не наблюдается, поставил последний catlict к радеону, так ЗА даже игру запускать не давал, пока не прописал разрешение. Это я к тому, что Зина с его проактивной защитой контролирует любой процесс и только его надо правильно настроить, хотя глюки бывают,впрочем как и любой подобной проге,правда повторяюсь в последней про версии глюков не наблюдал (с ФТП клиентом опытов не производил подтвердить глючность или опровергнуть не могу).

Ну так и у меня стоял ЗА про 6. Была тема в которой я писал про глюки его.
Короче ЗА это как КАВ. У кого-то хорошо работает, а у кого-то тормоза да глюки. Глубокая интеграция в систему зачастую вылазит боким.

В общем, как повезет, но хорошая защита это оправдывает.

глубокая - понятие относительное :) не глубже чем например у ProcessGuard or DefenseWall ot rav ;)

Sanja
дырки есть везде но там где есть текстовый конфиг - из больше.. что дрвеб что оутпост Ж) обход защиты иника и его правка вот и все - путь свободен Согласен. Правда Агнитум изменил свой конфиг. Теперь критичные настройки прописываются в другом формате и при запуске ОР их проверяет. Если видит изменение, то выдает сообщение, что конфиг поврежден и восстанавливает из резервной копии, прикольно будет если и резервную копию подменить...
Теперь насчет ini. Если ты имеешь ввиду файлик update.ini, то тут действительно зияет дыра. Достаточно сменить параметр Server=www.agnitum.com на другой и дело в шляпе, дальше все будет зависеть от квалификации и фантазии.

ЗА не обходися так - надо только поставить галочку Не знаю как сейчас, а раньше обходился.
Хотите потестить свои фаеры? - все старо, конечно, но смысл понятен.
http://www.securitylab.ru/vulnerability/204921.php
http://www.firewallleaktester.com - тесты и пояснения как это делается, а исходники большинства из этих тестов я уже видел в интернете. Любопытно. А в ОР если стоят настройки по дефолту несколько штук пропускает. Поэтому все настройки нужно ручками править.

Обзор уязвимости при reboot/shutdown и итоги читаем тут:
http://forum.five.mhost.ru/showthread.php?t=2549&page=16&pp=5 - мой пост №76

Sanja Согласен. Правда Агнитум изменил свой конфиг. Теперь критичные настройки прописываются в другом формате и при запуске ОР их проверяет. Если видит изменение, то выдает сообщение, что конфиг поврежден и восстанавливает из резервной копии, прикольно будет если и резервную копию подменить...
Теперь насчет ini. Если ты имеешь ввиду файлик update.ini, то тут действительно зияет дыра. Достаточно сменить параметр Server=www.agnitum.com на другой и дело в шляпе, дальше все будет зависеть от квалификации и фантазии.
Не знаю как сейчас, а раньше обходился.
Хотите потестить свои фаеры? - все старо, конечно, но смысл понятен.
http://www.securitylab.ru/vulnerability/204921.php
http://www.firewallleaktester.com - тесты и пояснения как это делается, а исходники большинства из этих тестов я уже видел в интернете. Любопытно. А в ОР если стоят настройки по дефолту несколько штук пропускает. Поэтому все настройки нужно ручками править.
1. Голочке этой уже лет 7 :) Просто про нее мало кто знает :)
2. Скорее outpost.ini :)
3. Немогу... нету у меня файрвалла на компе вобще :)

Возможно еще одна дыра, на этот раз для DoS. В чем петрушка, так и не понял, однако замечен трабл при работе связки Outpost + Shareaza, через несколько минут Outpost начинает отгрызать вычислительные ресурсы огромными ломтями. Через 20 минут работы на P IV 3000, процесор занят на 95-99%. Сеть блокируется, а если недай бог вызовешь контекстное меню файла, то и Explorer глохнет. После завершения Shareaza нормальная работа налаживается только через 3-7 минут...

А если отключить ведение логов?

Sanja
Скорее outpost.ini update.ini
Немогу... нету у меня файрвалла на компе вобще Нереальный IP (провайдер помогает) или что-то другое? Minos
Возможно еще одна дыра, на этот раз для DoS Какой еще DOS? Это не дыра в безопасности, а неправильная работа, это совсем другое. Есть у ОР траблы с интенсивно юзающимися p2p-приложениями. Когда они открывают кучу портов, делаются тайм-ауты при их открытии/закрытии, ОР не успевает это все регистрировать, загрузка камня увеличивается, а журнал пухнет.

>Нереальный IP (провайдер помогает) или что-то другое? Minos
Реальный, порты открыты.. патчи ставить вовремя надо :)

>Нереальный IP (провайдер помогает) или что-то другое? Minos
Реальный, порты открыты.. патчи ставить вовремя надо :)
У каждого своя дорога.:)

А если отключить ведение логов?
То же самое, но немного позже.