Printable View
[QUOTE=Гриша;229833]Я поговорил насчет вашего теста с человеком из ЛК,вот его ответ:
[/QUOTE]
Во-первых, это не мой тест, а общепринятый.
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.
Не хотите не верьте,KIS заносит в группу "Доверенные" не по названию файла а по наличию копирайта или известного хеша.
А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль
[QUOTE=Гриша;229833]подделайте md5 у любого теста, и сдалайте так, чтобы md5 ликтеста совпал с md5 оригинального iexplore из состава скажем XP x86 SP2 (русский) и посмотрите результат :)[/QUOTE]
Вы хотите сказать, что преименовывая тестовую программу в IE Вы делаете её md5 идентичной настоящему IE?
При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?
[QUOTE=drongo;229850]А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль[/QUOTE]
Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил.
Во-вторых, какое это вообще имеет отношение к работе фаервола, если пользователем создано запрещающее правило на выход этого приложения в интернет?
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=Гриша;229852]При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?[/QUOTE]
Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.
@
[B]drongo[/B]
Прикол тут в том что,запускаем этот файл,делаем для него запрещающее правило,как показано у меня на скриншотах,затем переименовываем его,во что-нибудь что имеет доступ в интернет и фаер KIS 2009 его пропускает:)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[CODE]Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.[/CODE]
Я ни кого не считаю дилентантами,мы с вами пытаемся разобраться с этим тестом и все :)
Теперь ясно ;)
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи/ копирайту и имени . И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.
[CODE]Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?[/CODE]
Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.
[QUOTE=drongo;229858]Теперь ясно ;)
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи и имени. И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.[/QUOTE]
Спасибо. А я думал опять будет Грише "спасибо" и KIS-а хороший..:)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[QUOTE=Гриша;229860][CODE]Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?[/CODE]
Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.[/QUOTE]
Повторюсь, если даже это так, то причем тут работа фаервола после моего запрещающего правила на выход в интернет этого "доверенного приложения"?
Ладно закроем наш спор :)но KIS хороший и тесты он проходит;)после того как мы сделали этот файл недоверенным и запретили ему выход в инет,переименовывать его можно во что угодно хеш при этом не меняется и он снова попадает в "Доверенные" с разрешением сетевой активности,и в правилах фильтрации он стоит дважды только с разными именами,одному запрещено со старым именем выход в интернет,а с новым именем разрешен.
[QUOTE=Гриша;229865]Ладно закроем наш спор :)но KIS хороший и тесты он проходит;)[/QUOTE]
Это Ваше личное мнение. Мое диаметрально противоположное: KIS2009 (техрелиз) - плохой. Одна из немаловажных причин такого вывода - непрохождение элементарных тестов его фаерволом.;)
Всем удачи.
[quote=aleksdem;229847]Во-первых, это не мой тест, а общепринятый.
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.[/quote]
Если под "общепринятым" тестом имеется в виду
[URL]http://2ip.ru/files/FireWallTest.exe[/URL]
то я не очень понимаю, почему я прохожу этот тест вполне успешно при ВЫГРУЖЕННОМ КИС8...
Думаю как будет минутка - проверю этот тест при ДЕИНСТАЛЛИРОВАНОМ КИСе ;)
**************
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
[URL]http://2ip.ru/files/FireWallTest.exe[/URL] (под которым через 15 минут может находиться все что угодно.
В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.
В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск
кис хороший- установки по умолчанию оставляют желать лучшего в плане безопасности.;)
По умолчанию есть определённый белый список программ который уже есть в кис.
В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
Поэтому я лично никогда не пользовался данной палочкой-облегчалочкой ни в каком фаэрволе.С другой стороны, не все такие как я ;) Часто бывает, пользователь не знает что у него за программы водятся которые в инет лезут- а так сразу узнает ;)
В любом случае, по моему путь надо проверять как дополнительную меру.
[quote=drongo;229872]В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
[/quote]
Опишите как это сделать пожалуйста...
[QUOTE=drongo;229872] так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
[/QUOTE]
Это простите как? Как вы собираетесь подменить хэш, если он уникален? Вы знаете по какой методике КИСа их считает?
Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.
Поэтому прошу принять это во внимание и как дополнительную меру проверять отдельно полный путь, в дополнение. КИС ведь позиционируется как комплексная защита, поэтому по моему должен не только охранять сами файлы, но и контролировать их местоположение на диске.
[quote=drongo;229872]В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
[/quote]
[quote=drongo;229879]Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.
[/quote]
А можно попросить линку, где почитать?
[quote=Maratka;229881]А можно попросить линку, где почитать?[/quote]
про md5 давно писали, например [url]http://news.zdnet.co.uk/security/0,1000000189,39163876,00.htm[/url]
Именно про кис- не видел, но это пока :)
Лучше по моему предпринимать какие-то меры до того как, чем потом.
[QUOTE=Maratka;229868]
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
[URL]http://2ip.ru/files/FireWallTest.exe[/URL] (под которым через 15 минут может находиться все что угодно.
В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.
В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск[/QUOTE]
Почему, в этом случае, фаер спрашивает, выпустить прогу в интернет или нет, если она действует под своим именем, и без всяких вопросов (не в режиме "домохозяйки"), без всяких алертов мгновенно выпускает её в интернет, переименованную, скажем, в IE? (Если, конечно, IE разрешен выход).