Тестирование программы маскировки COVERT

[CENTER][B]Пошаговая процедура тестирования программы маскировки COVERT[/B][/CENTER]

Программа COVERT не является антивирусным ПО или классическим антишпионом. В ней используется новый подход к защите информации, который обеспечивается путем маскировки действий пользователя, работающего на компьютере, от несанкционированной записи изображения с экрана монитора и перехвата клавиатурного ввода. В дополнение к маскировке программа предоставляет широкие возможности для контроля операционной системы с помощью мониторинга сетевых подключений, драйверов, служб и процессов системы. Это позволяет обнаруживать и удалять скрытые руткиты. Для эффективной защиты не требуется обновлять базы шпионских программ. Поэтому COVERT предотвращает кражу информации и защищает от мониторинга действий пользователя даже на зараженном компьютере.

Для тестирования базовых функций программы необходимо выполнить следующие действия.

[LIST=1][*]Скачать инсталлятор версии COVERT Pro со страницы [url]http://covert.ru/products/[/url] и установить программу на компьютер.


[IMG]http://virusinfo.info/pic/1covert.png[/IMG]

[*]Запустите на своём компьютере любую программу, которая может записывать видео с экрана монитора, делать снимки экрана (скриншоты) по таймеру (выставьте таймер на 5-10 секунд) и программу которая перехватывает клавиатурный ввод (кейлоггер). Можно использовать несколько разных программ, каждая из которых выполняет только одну из перечисленных функций. Можно протестировать несколько кейлоггеров и программ для записи видео и скриншотов. После запуска такой программы, откройте маскировщик [B]COVERT[/B] и зайдите в защищённую среду нажав на главном окне большую кнопку “[B]Вход в платформу защиты[/B]”.


[IMG]http://virusinfo.info/pic/2covert.png[/IMG]

[*]В демонстрационной версии, внутри платформы защиты, можно запускать только стандартную программу Notepad (Блокнот), но этого достаточно, чтобы протестировать основной маскировочный функционал. Нажмите на кнопку в верхнем углу программы с надписью “[B]Notepad[/B]”, и в открывшемся окне блокнота печатайте, стирайте, удаляйте, копируйте любой текст в течении определённого времени. После выполнения этих действий закройте платформу защиты [B]COVERT[/B] нажав на кнопку выход внизу главного окна программы.


[IMG]http://virusinfo.info/pic/3covert.png[/IMG]


Для тестирования защиты от аппаратных шпионов (если у вас есть такое устройство) используйте системную виртуальную клавиатуру, запустив её в защищенной среде через контекстное меню маскировщика.


[IMG]http://virusinfo.info/pic/4covert.png[/IMG]

[*]После выхода из платформы защиты, проверьте, что смогли записать программы, запущенные вами для теста и заполните форму отчёта о проведённом тестировании.[/LIST]

[CENTER][B]Форма отчета о проведенном тестировании.[/B][/CENTER]

[LIST=1][*]Перечислите использованные программы в тесте.[*]Опишите, как тестировали, какие действия производили внутри защищённой среды.[*]Опишите, какую информацию смогли получить программы слежения. Если ничего не получили, так и напишите.[*]Предоставьте снимки экрана (скиншоты) доказывающие получение информации в программах слежения используемых вами. Если логи этих программ были пустые, т.е. они не смогли получить вашу информацию, тогда скриншоты можно не предоставлять.[/LIST]

[B]Пример отчёта о проведённом тестировании.[/B]

[LIST=1][*]В тестировании использовал программу снимающие видео [B]UVScreenCamera[/B], программу делающие снимки экрана [B]FastStone Capture[/B] и клавиатурный шпион [B]КГБ[/B][*]Одновременно запустил выше перечисленные программы, зашел в защищённую среду программы COVERT запустил программу блокнот, ввел текст, копировал, удалял и вставлял его обратно. Находился внутри платформы примерно 5-10 минут поле чего вышел, нажав на кнопку выход.[*]Программа, записывающая видео, записала экран монитора, но на записи не было видно выполненных в защищённой среде действий. Скриншот экрана был пустой, данные с клавиатуры и буфер обмена шпион тоже не смог получить.[*]Информацию о тестовых действиях внутри защищенной платформы COVERT программам получить не удалось. Поэтому скриншоты не предоставляю.[/LIST]

1.В тестировании использовал Mipko employee и Snitch. Стояла задача скрыть использование криптоприложения и его манипуляции с файлами-ключами и ввод пароля с клавиатуры. Крипто защита стояла на монтированный образ виртуальной операционной системы, действия внутри которой, также не должны были быть доступны. Тестировал всё на Windows 10
2. Запущенны были все логеры. Начал процесс дешифрации, монтирования дисков, запуск виртуальной ОС.
3. Логеры отследили Запуск и работу COVERT, а так же открытые в нем окна (тот же диспетчер процессов).
4. Внутри защищенной платформы COVERT логеры не отследили запуск и работу криптоприложения, вводимые данные, и после запущенную с него виртуальную машину.

Теперь про BUG report :)
1. Похоже в приложении нельзя быстро назначить на запуск не исполняемый файл, а ярлык.
2. Огромный минус - нет быстрых клавиш для закрытия приложения.
3. Второй минус - нет режима работы в ФОНЕ. Ничего не закрывая, а лишь спрятав работающие ПО в фон.
4. Нет возможности скрытого (хотя бы визуально) использования приложения. Хотелось бы иметь возможность запускать на прямую приложения с рабочего стола сразу в скрытом режиме, к примеру через командную строку ярлыка... А не запуская сначала COVERT и уже в нем приложения.
5. Была ситуация, когда полноэкранное приложение запущенное в скрытом режиме подвисло... И компьютеру фактически пришла смерть... Возможности закрыть COVERT нет, свернуть закрытое приложение нельзя. Сработал только ctrl+alt+del. И уже от туда перезагрузка. Которая в свою очередь в win10 закончилась не очень хорошо и пришлось перезагружаться еще раз.
Если бы были реализованы быстрые клавиши, думаю проблему удалось бы решить быстрее.

Вот, пожалуй и все "косяки" которые были найдены за первую неделю использования приложения.;)

Спасибо за пожелания и предложения.
1. Возможность добавлять на кнопки быстрого доступа ярлыки появится в следующих версиях, такое дополнение уже в разработке
2. Есть сочетания клавиш - аварийный выход или через контекстное меню списка программ открытых в платформе или через клавиши клавиатуры три стрелки вместе.
3. Можно всё приложения опускать вниз и потом подымать их через контекстное меню [B]списка программ открытых в платформе[/B] или через комбинацию Alt+Tab
4.Такая возможность есть, если нажать кнопку запуск программ и в диалоговом окне "Выбора программ" в левом меню выбрать рабочий стол и в контекстном меню выбрать "Открыть в новом окне". После этого перед вами будет рабочий стол и вы находясь в скрытом режиме можете запускать любое приложение без обращения через интерфейс COVERT.
5.При нестандартных ситуациях внутри платформы нужно использовать Alt+F4 и одновременно нажать три стрелки на клавиатуре, которые должны произвести аварийный выход из платформы.

1. Спасибо.
2. Где бы вы про это еще в инструкции указали. А то я не нашел про "три стрелочки"
3. Работа в фоне в моем случае подразумевает незаметное визуально. У меня, при входе в защищенный режим, включается чистый черный экран и приложение Covert, и продолжать работать с компьютером становится невозможно. Сейчас я делаю следующие. Открываю ПО в защищенном режиме и затем закрываю COVERT не закрывая в нем ПО. Если после этого снова открыть COVERT и войти в защищенный режим, то приложения остаются открытыми (запущенными). Не удобно, но хоть что-то.
4. Если сделать так как вы описываете, тогда от логера скроется АБСОЛЮТНО вся работа пользователя, те же игрушки (которые, как я понимаю, легко положат COVERT по нагрузке). А прятать нужно определенное ПО.
5. Не работала эта связка. Пробовал ctrl+q (x) (c), Alt+F4, ctrl+alt+esc... Сработала только описанная выше.

Еще пожелания возникшие в процессе работы.
1. Добавьте функцию (если это возможно) автоматического запуска в безопасном режиме. Т.е. чтобы логеры не видели, что происходил запуск приложение Protection.exe. Либо любой другой вариант сокрытия факта запуска вашего приложения.
2. Добавьте пароль на запуск. Это в случае, если "злые люди" все же видят что запускается Protection.exe, но при самостоятельном запуске скопированной версии, должен вылетать сначала пароль.
3. Скрыть доступ к информации о файле Protection.exe. Сейчас даже ребенок сможет выяснить чье это приложение, от куда оно и для чего оно нужно.


Спасибо.
p.s. Если уж скрываемся, то скрываемся хорошо. :)

Мы Вам признательны за творческий подход к тестированию и использованию программы COVERT и подумаем над Вашими предложениями.
Но, наша программа предназначена для того, чтобы скрывать действия пользователя, а не свое присутствие в системе. Она умышленно себя не скрывает. Если COVERT будет использовать технологии для сокрытия своего присутствия на компьютере, тогда другие средства информационной безопасности будут ее идентифицировать, как потенциально опасную.

Не нужно скрывать сам факт запуска, тем самым провоцировать антивирусы на лишние вопросы.
Я говорю о том, чтобы запуск вашего приложения не выдавал его функционального предназначения. Как пример могу привести утилиту AVZ. Последняя может быть запущенна с ключом (из БАТника), который подменит название окна, а сам файл утилиты можно переименовать.

Ваше ПО в основном нужно нерадивым сотрудникам, которые хотят скрыть факт тунеядства на работе от своего начальства.
Но если последние зададутся вопросом, что за "COVERT" запускает сотрудник каждый день, то ответ будет не очень хорошим для самого сотрудника.

А пароль на ПО, позволит не увидеть заранее подготовленные "ярлыки" для запуска внутри программы. Или, что еще идеальнее.... сделать скрытый запуск (аля МИПКО) по комбинации клавиш... Тогда ни ярлыков, ни папок уже не надо.

Переименовать маскировщика для запуска с другим имением можно и сейчас. Возможность переименования окна или очистка на нём стандартного имени появится с следующих версиях.

К сожалению, Вы не совсем правильно понимаете для кого создана программа COVERT. "Нерадивые сотрудники" не имеют административных прав на рабочих компьютерах. А это ограничивает возможность использовать все функции маскировщика по удалению или блокировке драйверов и приложений.

COVERT нужен тем, кто работает с информацией, которую СЧИТАЕТ конфиденциальной. Это не обязательно пароли к банковским аккаунтам, играм, соцсетям. Это может быть обычная переписка, и не обязательно на работе. Эти пользователи имеют хорошую антивирусную программу и уверены, что кража конфиденциальной информации невозможна. А это иллюзия, которая может очень дорого обойтись.

Да, на нашем сайте мы публикуем статьи о том, как найти, удалить или скрыть свою работу не только от шпионских программ, но и программ мониторинга. Но связано это исключительно со здравым смыслом. Когда кто-то покупает такую "хорошую" программу мониторинга для контроля "нерадивых сотрудников", то его не проверяют на детекторе лжи. Поэтому он может использовать "хорошую" программу для кражи конфиденциальной информации. Это очевидно. Так же, как не проверяют покупателя большого кухонного ножа. А ведь с большим ножом можно не только на кухне орудовать, но и в подворотне кошельки отбирать.

Вы опытный и грамотный в ИТ человек. Возьмите "хорошую" программу и протестируйте на одном из многочисленных бесплатных онлайновых ресурсов 40 антивирусными программами. 90% антивирусов Вам скажут, что "угроз не обнаружено". Вот так большинство пользователей и думает ...

Ну из своего опыта могу сказать, что правы вы лишь от части. Админ права сегодня отбираются только на больших заводах и режимных предприятиях, где работа идет, либо в терминале, либо блоки прибиты к полу анкерами и закрыты замками с сигнализацией.
Во всех остальных случаях, есть масса вариаций направленных как на воровство и контроль за информацией, так и на ее защиту. Одна только загрузочная флешка с Linux, решит любую проблему с обходом защит и контроля. Так же как и вашу защиту можно прочитать любым "виделогером".
По этому, лично я совершенно убежден, что основной покупатель вашего продукта - работники фирм скрывающие одноклассники и т.д., которые не закрыты... или да... любовники и т.д., которые как и первый тип, не имеет ни какого опыта в сокрытии информации и ваш продукт "под ключ" им очень подходит.

НО ДЕЛО НЕ В ЭТОМ.

Я пытаюсь поставить себя именно на место сотрудника за которым идет слежка и который не хотел бы, что бы контролирующий орган (директор или отдел ИТ) знал чем занимается сотрудник в рабочее время... в т.ч. и воровством, саботажем и т.д. :))))
При этом я сам и есть тот "отдел ИТ" который выполняет слежку. По этому мне интересен ваш продукт с обоих сторон.
1. Как он работает функционально. (сотрудник)
2. Как его все же прочитать и/или распознать факт его использования. (отдел ИТ)

И походу работы, у меня возникают те или иные идеи, как помочь тем кто в п.1 и спрятать их от тех, кто в п.2 :))


p.s. Спасибо за обратную связь.

Уважаемый VanderDT,

Мы Вам признательны за проведенное тестирование и высказанные пожелания. Какие-то из них будут воплощены в следующих версиях нашей программы. В благодарность за Вашу активность мы бесплатно предоставляем Вам регистрационный ключ на профессиональную версию. Установите ее на свой компьютер и пришлите нам код для генерации регистрационного ключа.

Шах и Мат.
Ammy Admin "прочитал экран"
[url]http://joxi.ru/823jlJbc3aE7mO[/url]

Это даже не шах :).
В нашей программе, в базе угроз, есть эта программа слежения. Возможно, что Вы ее случайно удалили. Войдите в сетевой монитор маскировщика. Найдите Ammyy Admin и кликните на неё два раза левой кнопкой мыши. Она отправляется в базу угроз. Подтверждаете сохранение её там, и далее в платформе делайте всё, что хотите. Ammyy Admin не получит к вам доступа пока вы пользуетесь маскировщиком.

Ну во-первых ничего ни где не менял и ни чего не удалял.
А во-вторых, предположу что причина, по которой ваше ПО пропустило АА, в том, что это ломанная версия, с измененным exe (в т.ч. имя). Этакая portable версия.
И вот тут встает вопрос. Если модуль слежения не видит работу за Коверт, значит достаточно лишь сменить имя исполняемого файла (службы) логера и ВУАЛЯ, защита превращается в пустое место. Вот тебе и дела....

Не так. Названия и код действительно можно менять сколь угодно часто. Нельзя их все внести заранее в запрещенную базу.
Поэтому нужно любую программу, которая неизвестна и пытается получить сетевой доступ, вносить в базу угроз маскировщика. Тогда она не сможет получить доступ к экрану в момент работы в платформе. После завершения работы маскировщика все заблокированные процессы опять будут работать. Поэтому нет опасности, если будет заблокирована "хорошая" программа. Но, для конфиденциальной работы нужно входить в платформу защиты, а перед этим посмотреть на список процессов с сетевом мониторе.