-
[QUOTE=Sanja]
...
Outpost -> туповатый ФВ если так рассуждать
...
[/QUOTE]
А как ни рассуждай, но, к примеру, с точки зрения файерволла приложений он вполне туповатый, впрочем это может быть позицией разработчиков: разделить сетевой файерволл и все остальные функции защиты. Да и вообще, строить защиту компьютера только на одном единственном сетевом файерволле абсолютно бесперспективно, это уже даже дети малые понимают. :)
-
[QUOTE=Xen]
пока юзеры будут сидеть под админами, никуда они от спайваря не денутся :)))[/QUOTE]
Пока юзеры будут сидеть под админами (а пока что ничто этому не препятствует, и даже наоборот!), они никуда не денутся от любых видов атак... к сожалению... :(
-
[QUOTE=Xen]реализация достаточно проста и местами элементарна =)) и даже этим трюком обходится подавляющее большинство современных ФВ. будущее внатуре за системами, контролирующими подгрузку любых драйверов и перехватывающих CreateRemoteThread(), WriteProcessMemory() и прочую байду.[/QUOTE]
Безусловно... вопрос только в том, должны ли этими "системами, контролирующими подгрузку любых драйверов и перехватывающих... и т.д.", быть [I]фаейрволлы[/I]? На самом деле, ответ неоднозначен, как с маркетинговой точки зрения, так и с точки зрения реализации.
-
Это будут комплексные корпоративные решения.
-
[QUOTE=Xen]Это будут комплексные корпоративные решения.[/QUOTE]
Хотелось бы, чтобы это было так, чтобы не было никаких конфликтов между отдельными приложениями (модулями) от разных поставщиков... Но, к сожалению, в настоящее время компании, которые собираются писать (или пишут) такие "комплексные решения", как правило специализируются (или специализиролвались до этого) в одной-двух областях компьютерной защиты. Яркий пример этого - новая версия подобного "решения", создаваемого Лабораторией Касперского, т.н. KIS2006. ЛК в основном специализировалась на антивирусной защите (плюс немного на файерволле и антиспаме), в связи с чем сейчас, в процессе написания нового комплексного продукта, испытывает большие трудности, уже приведшие к тому, что процесс разработки сильно затянулся (похоже, уже не менее, чем на полгода), да и, судя по всему, финальный релиз, я уверен, будет содержать большое количество недоработок. И таких примеров, к сожалению, много.
Что в результате? Несмотря на заявляемую "комплексность" решения, все равно сквозит некая однобокость (точнее, гипертрофированность) одних частей (модулей) и недоразвитость других. Грустно...
-
Вроде по известной некоторому кругу лиц информации - задержек нету... КИС должен выйти в Сентябре
-
[QUOTE=Sanja]Вроде по известной некоторому кругу лиц информации - задержек нету... КИС должен выйти в Сентябре[/QUOTE]
Какого года, 2006-го, что ли? :)
Еще даже нет беты, а на календаре 26 августа. По моим сведениям (полученным из официальных источников), выход беты планируется на январь 2006 года, а изначально планировался на июль 2005-го.
[I][COLOR=Red]edit[/COLOR]: Сегодня, 27.08.2005, Николай Гребенников, менеждер продуктов KIS/KAV2006 ЛК, [URL=http://forum.kaspersky.com/index.php?showtopic=4160]заявил[/URL], что [URL=http://forum.kaspersky.com/index.php?showtopic=3947]предыдущее заявление[/URL] о выходе беты этих продуктов в январе 2006 года было неверным, и что на самом деле бета ожидается к 1 ноября 2005 года, если, конечно, все будет нормально.[/I]
-
[QUOTE=aintrust]Какого года, 2006-го, что ли? :)
Еще даже нет беты, а на календаре 26 августа. По моим сведениям (полученным из официальных источников), выход беты планируется на январь 2006 года, а изначально планировался на июль 2005-го.[/QUOTE]
Пусть лучше наберутся опыта и глюки выловят, и только после этого выпустят продукт. Тормоза и глюки предыдущих версий и так уже привели к тому что половина плюётся услышав слово Касперский :)
А если КИС будет работать надёжно - будет отличный птодукт. Стенку они вроде подтянули вполне прилично.
-
Насчет опыта, глюков и особенно фамилии (и персоны) "Касперский" - вполне согласен, сам такой же! :) Насчет "отличного продукта" - хотелось бы, конечно, чтобы это было именно так, но пока что (оглядываясь на процесс бета-тестирования) "меня терзают смутные сомнения" в этом, по крайней мере на момент выхода финального релиза. Они действительно пытаются что-то сделать достойное, но, на мой взгляд, пока что их "сильно колбасит" в смысле видения конечного продукта... многовато каких-то неясных шараханий, непродуманных вещей и прочего. Думаю, что к моменту выхода MP1 или MP2 (где-нибудь ближе к концу следующего года) действительно будет на что посмотреть. Впрочем, поживем-увидим.
-
Кстати по поводу комплексных корпоративных решений, хороший пример 6 версии Zonealarm с ловлей спайваре "В основе ZoneAlarm 6.0 лежит новая технология изучения поведения программ которая не позволит шпионскому ПО обосноваться на компьютере. Вместо того, чтобы периодически сканировать ПК на наличие инфекций уже после того, как они причинили ущерб, ZoneAlarm 6.0 предлагает новый механизм защиты OSFirewall, гарантирующий постоянную безопасность ПК. Этот межсетевой экран (МСЭ) на уровне ядра выявляет подозрительные действия, затрагивающие операционную систему, программы и файлы, и блокирует разрушительные программы. В дополнение к превентивной технологии, ZoneAlarm 6.0 использует новое интеллектуальное решение для борьбы со шпионским ПО, а также динамическую службу с нулевым временем реакции DefenseNet, которая опирается на сообщество из миллионов пользователей ZoneAlarm для заблаговременной защиты от атак нового типа." Глюков и тормозов хоть отбавляй, хотя уже не бэта а релиз. Так что сижу на 5 версии без антивируса, стенка работает прекрасно а антивирусом пользуюсь Каспером, тоже 5. Как говориться "котлеты и мухи отдельно".
-
[B]Sanja[/B][QUOTE]реализацию показывать небуду[/QUOTE] А зря. И на чем же ты тогда опираешься, на простых словах, без реальных фактов?
-
1. KIS/KAV beta 1 already relaesed...
2. KIS/KAV beta 2 will be in November
3. теперь все пойдут по этому пути пожоже.. Panda TruPrevent, KAV ProactiveDefense, ZoneAlarm super feature ;)
4. А зря. И на чем же ты тогда опираешься, на простых словах, без реальных фактов?
Мне достаточно того что я ее (реализацию) написал и она работает... я заинтересован в том чтобы ее не блокировали :)
-
[QUOTE=Sanja]1. KIS/KAV beta 1 already relaesed...
2. KIS/KAV beta 2 will be in November
...
[/QUOTE]
Sanja, если вы не в курсе состояния дел с KAV/KIS2006, то, извините, не несите тут откровенную ерунду про какие-то несуществующие беты 1 и 2! Если вы хоть немного умеете читать по-английски и немецки, то посмотрите на ссылки, которые я привел в посте #47 в этой теме! Или просто прочитайте, что [URL=http://forum.kaspersky.com/index.php?showtopic=4160]вот тут (пост #10)[/URL] написано! Или возьмите и спросите по-русски непосредственно у Николая Гребенникова (его ник - grnic, впрочем вы и сами все отлично знаете) на форуме бета-тестирования данных продуктов, вот [URL=http://forum.kaspersky.com/index.php?showforum=15]тут[/URL]!
Ну, ей-богу, вы сами-то верите в то, о чем здесь пишете (это я, в частности, по поводу того, что вы писали пару дней назад, в посте #46, что [I]релиз[/I] KIS-а выйдет в сентябре!!!)? :)
-
Зачем мне что-то читать? У меня есть белее надежный канал связи.. как говорится из 1 рук :)
-
[QUOTE=Sanja]Зачем мне что-то читать? У меня есть белее надежный канал связи.. как говорится из 1 рук :)[/QUOTE]
:) No comments...
-
[B]Sanja[/B] [QUOTE]все что на firewallleaktester.net могу зделать copy / paste[/QUOTE] Делаю вместо тебя. Не буду описывать все возможности Agnitum Outpost Personal Firewall как фаервола. Скажу вкратце.
Из файла User_Guide_(RU).pdf, скаченного с официального сайта Агнитума.
[QUOTE] Outpost Personal Firewall следит за работой не только приложений в целом, но и их компонентов..... [B]Задача функции Контроль компонентов в том, чтобы установить, насколько эти компоненты подлинны и безвредны.[/B][/QUOTE]
[QUOTE]Некоторые сетевые приложения взаимодействуют с сетью не напрямую. Они порождают дочерние процессы, которые действуют от их имени. Это позволяет таким приложениям обходить обычные брандмауэры, так как запущенный таким образом процесс не рассматривается ими как часть приложения и на него не действуют правила безопасности. Более того, этот процесс скрыт от пользователя так что нет возможности следить за его действиями. С одной стороны, эта технология используется обычными приложениями (например, Internet Explorer) для выполнения стандартных операций (таких как проверка наличия обновлений) с более дружественным интерфейсом. С другой, злонамеренные программы могут воспользоваться ей, чтобы украсть личную информацию с компьютера пользователя или совершить другие зловредные действия. [B]Outpost Firewall позволяет Вам контролировать скрытые процессы и процессы, запущенные от имени доверенных приложений, чтобы предотвратить их неподобающие действия.[/B][/QUOTE]
[QUOTE]Некоторые «троянские кони» и вирусы используют сложные технические приемы, позволяющие им изменять код доверенных приложений, запущенных в памяти, и обходить таким образом защиту системы и совершать злонамеренные действия. Эта технология известна как внедрение кода. [B]Outpost Firewall контролирует функции, которые могут быть использованы для внедрения злонамеренного кода в адресное пространство доверенных приложений и таким образом предотвращает все подобные попытки.[/B][/QUOTE]
Итак, поначитались умных фраз разработчиков. Теперь, что имеем на самом деле. Дело в том, что в принцип работы брандмауэров вообще не входит работа и блок сетевого траффика, вызванного изменением и внедрением посторонних кодов и т.д. на локальной машине с брандмауром. Хотя разработчики многих фаеров ведут усиленную работу в этом направлении.
Вернемся к Outpost. В то же самое время Outpost все-таки позволяет контролировать систему благодаря своим нововведениям, которые в большинстве брандмауров отсутствуют либо появятся вообще еще не скоро.
Теперь тестирование с сайта [url]http://www.firewallleaktester.com[/url]
1. Outpost Firewall Pro ver. 2.7.492.5421 (416)
2. Антивирусы естественно отключаем.
3. Настройки ОР жесткие, не буду описывать.
Итог:
[B]Из 15 тестов ОР успешно забанил все 15.[/B]
Попытки обхода самые разные, нет смысла перечислять механизмы, это можно почитать на самом сайте для каждого отдельно взятого leak-теста.
Уверен, что не все фаеры пройдут такие тесты. Вот поэтому-то я уже давно сижу на Outpost из-за его нововведений, не свойственных другим фаерам.
[B]Sanja[/B], Что скажешь. Есть еще примеры?
-
to ovrman
Вы что издеваетесь? :)
Я ведь не использую какой либо метод с firewallleaktets... я только говорю что он работает против тех файрваллов что представленны на сайте firewallleaktets.
-
[QUOTE]Я ведь не использую какой либо метод с firewallleaktets[/QUOTE] Да не, кое о каких ты говорил. А на том сайте представлены довольно интересные тесты обходов [QUOTE]я только говорю что он работает против тех файрваллов что представленны на сайте[/QUOTE] Все правильно, а разве ОР туда не входит?
-
>А на том сайте представлены довольно интересные тесты обходов
Я в курсе.. :)
>Все правильно, а разве ОР туда не входит?
Входит.. новыдержки из хелпа не применимы к моей технологии... он ловит инжектирование вобще.. но не ловит в данном случае ибо ловить нечем...
-
По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" :) Печально, но это правда - и есть тьма троянов, которые это делают. Не далее как сегодня я колупал зверя Trojan-Spy.Win32.Banker.ek (в семействе их множество, аналоги Trojan-Spy.Win32.Banker.ds, Trojan-Spy.Win32.Banker.md ... - они воруют номера кредиток и представляют огромную опасность для пользователя - так вот они совершенно спокойно обходят OP и практически любой другой Firewall - за счет драйвера в KernelMode + руткита UserMode, который устанавливается драйвером во все процессы в ходе их загрузки. OP, как известно, ловит модификацию кода через WriteProcessMemory, а это далеко не единственный метод внедрения ...
Поэтому, имхо, можно сформулировать общее правило, чтобы предотвратить дальнейший спор: [b][i]если пользователь с персональным Firewall работает с правами админа, то Firewall элементарно нейтрализовать[/i][/b]. Методика проста - можно установить свои драйвера/перехватчики/руткиты и творить с системой в целом и Firewall в частности что угодно. А вот если работа идет из под пользователя с ограниченными правами, то тут другое дело. И многие тесты Firewall заточены именно на попытку обмана Firewall без наличия у процесса прав админа ... это важный момент.
-
[B]Зайцев Олег[/B]
[QUOTE]По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться"[/QUOTE] Ты заставил меня улыбнуться и даже посмеяться. Ну да ладно, обсуждать это не будем. Спасибо за тему книги. [QUOTE]за счет драйвера в KernelMode + руткита UserMode, который устанавливается драйвером во все процессы в ходе их загрузки. OP, как известно, ловит модификацию кода через WriteProcessMemory, а это далеко не единственный метод внедрения ...[/QUOTE]
Я ждал такого высказывания насчет Kernel - это бесспорно так, тут ты в правильную сторону смотришь....
Далее. Ясно дело, что не единственный метод. ОР вообще контролирует весь сетевой трафик, даже банальный localhost:loopback:127.0.0.1 им прибить можно. И ОР работает на самом низком уровне. И также сам ОР и его плагины производят фильтрацию и перехват на уровне TDI и NDIS запросов, что позволяет фильтровать как активность приложений, так и активность системы. Ты, конечно скажешь, что я несу чушь и говорю не про то. Но, то, что в силах ОР - он делает и выдавливает от системы все, что может. Агнитум же не имеет исходников Винды, чтоб и ее еще взять под контроль.
Теперь далее. Трояны есть трояны. Это не leak-тесты. И ты это сам прекрасно понимаешь не хуже меня. Сидит троян + если у него уже есть контроль виндовой системы на уровне ее ядра, либо важных сервисов, например svchost.exe (который отвечает еще за кучу сервисов), то все, хана. Но изменения в системе, даже по логам ОР сделать можно и заподозрить неладное. Много можно говориь насчет этого, не в этом смысл. Трояны - есть трояны, с ними должен работать соответствующий софт...
Теперь самое главное. Внедрение в Kernel... Здесь копать нужно уже в сторону Винды, но т.к. Микрософт до сих пор еще не выложил свои исходники, то это не предоставляется возможным и это не вина ОР., то же самое можно сказать про вообще все фаеры на виндовых системах. [QUOTE]если пользователь с персональным Firewall работает с правами админа, то Firewall элементарно нейтрализовать.[/QUOTE] Согласен. Агнитум активно работает над этим. В v2.7. ввели новый модуль Gina, контролирующий стандартную виндовую DLL. Конечно, это совсем не то и вряд ли чего они конкретного добьются, т.к. я уже сказал, что дело в исходниках винды и самом принципе работы ее ядра. Но, с другой стороны Агнитум официально работает и тесно (!!!!) сотрудничает именно с Микрософтом и сам Микрософт об этом говорил... И не удивлюсь, что через пару лет вместо стандартного виндового фаера, где нибудь в новой винде, будет стоять встроенный агнитумовский.
Кстати, не слышал про новую Винду (не помню точно), в которой такой вариант не проканает? Успарять не буду, тонкости не знаю - время покажет. [QUOTE]И многие тесты Firewall заточены именно на попытку обмана Firewall без наличия у процесса прав админа ... это важный момент.[/QUOTE] Согласен.
P.S. [B]Зайцев Олег[/B], а вообще я с тобой во всем согласен. Приятно иметь дело с умным человеком, знающим о чем говорит.
Единственственно, что меня добило, то это твое высказывание насчет ОР:
[QUOTE]По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" Печально, но это правда[/QUOTE] Дело в том, что я обеими руками за ОР и лучше него я еще не видел. Увижу, потестирую, скажу :) А пока никто меня не переубедит в обратном. [QUOTE]Trojan-Spy.Win32.Banker.ds, Trojan-Spy.Win32.Banker.md ...[/QUOTE] Слушай, если не трудно, кинь мне рабочие файлики + исходники (если есть). Любопытно. Заранее спасибо.
-
[QUOTE=orvman]
[b]......[/b]
P.S. [b]Зайцев Олег[/b], а вообще я с тобой во всем согласен. Приятно иметь дело с умным человеком, знающим о чем говорит.
Единственственно, что меня добило, то это твое высказывание насчет ОР:
Дело в том, что я обеими руками за ОР и лучше него я еще не видел. Увижу, потестирую, скажу :) А пока никто меня не переубедит в обратном. Слушай, если не трудно, кинь мне рабочие файлики + исходники (если есть). Любопытно. Заранее спасибо.[/QUOTE]
Просто я пробовал разные методы противодействия Firewall, но никогда не публиковал их - из-за того, что вреда от этого будет намного больше, чем пользы. [b]Aintrust[/b] вел кстати аналогичные исследования - интересно послушать и его мнение.
Насчет троянов - исходников у меня их естетсвенно нет, но я могу "подарить" его рабочие образцы для опытов. Напиши мне в ЛС, куда их прислать - я перешлю.
PS: В дополнение - поправка ... "можно написать толстую книгу, как нейтрализовать программный Firewall ..." :) - OP конкретно тут естественно непричем, т.к. если я могу получить права System, тот тут уже не важно, OP там или еще что - при желании его достаточно легко нейтрализовать.
-
[QUOTE=Зайцев Олег]Просто я пробовал разные методы противодействия Firewall, но никогда не публиковал их - из-за того, что вреда от этого будет намного больше, чем пользы. [b]Aintrust[/b] вел кстати аналогичные исследования - интересно послушать и его мнение.
Насчет троянов - исходников у меня их естетсвенно нет, но я могу "подарить" его рабочие образцы для опытов. Напиши мне в ЛС, куда их прислать - я перешлю.
...
[/QUOTE]
Да, некоторое время назад я исследовал (или, точнее, "расследовал" :))возможности различных файерволлов на предмет противодействия разного рода leak-тестам (как известным, так и работающим по моему собственному сценарию). Даже хотел кое-что опубликовать, но Олег отсоветовал меня это делать - он мне рассказал, как на него слегка "наехали" ребята из Агнитума после того, как он опубликовал сравнительный анализ файерволлов у себя на сайте. Тогда я для себя решил: а зачем мне это надо, ведь "дырки" любого файерволла видны невооруженным глазом, и разработчики прекрасно о них знают, а давать лишний повод размяться "кул-хацкерам" просто нет никакого смысла. В общем, я оставил эту затею... Для себя же сделал неутешительный вывод: практически ни один файерволл из имевшихся на тот момент времени на рынке не мог в полной мере противостоять атаке изнутри. Методы обхода, безусловно, разные (как "умные", так и "тупые"), и в частности, такой достаточно простой, как предлагает Sanja - впрочем, это уже не важно! Важно то, что [U]никакой файерволл не обеспечивает 100% защиты изнутри[/U] (да и, зачастую, снаружи!), [U]если вы работаете под Администратором![/U] Такие вот дела... :)
PS. Кстати... по поводу "комплексных" защит (это когда антивирус комплектуется сетевым файерволлом вместе с файерволлом приложений и прочей требухой). Нынешний продукт от Лаборатории Касперского, обсуждавшийся тут накануне, т.н. KIS2006, тоже очень "дыряв", и пока что "обходится" простейшими способами. Неужели и релиз будет таким? Странно это, однако...
-
[QUOTE=aintrust]
PS. Кстати... по поводу "комплексных" защит (это когда антивирус комплектуется сетевым файерволлом вместе с файерволлом приложений и прочей требухой). Нынешний продукт от Лаборатории Касперского, обсуждавшийся тут накануне, т.н. KIS2006, тоже очень "дыряв", и пока что "обходится" простейшими способами. Неужели и релиз будет таким? Странно это, однако...[/QUOTE]
Стенка у них не основной продукт, потому, вероятно, не будет образцом надёжности. Хотя жаль.
-
[QUOTE=Geser]Стенка у них не основной продукт, потому, вероятно, не будет образцом надёжности. Хотя жаль.[/QUOTE]
Да я даже и не конкретно стенку имею ввиду... Сам продукт в целом, если он в какой-либо из своих компонент уязвим, не может заслуживать доверия в целом. А пока что KAV/KIS2006 уязвим, и не только с точки зрения реализации, но и концептуально.
-
[QUOTE]"дырки" любого файерволла видны невооруженным глазом, и разработчики прекрасно о них знают,[/QUOTE] Добавлю. Не всегда видны, но все разработчики, конечно же знают все тонкости и уязвимости своих продуктов, некоторые из которых выявляются уже только в процессе использования, а кое-что просто невозможно исправить из-за самой работы винды, поэтому и приходится всем разработчикам искать обходные пути, которые, в свою очередь не всегда корректные и т.д. и цепляются за другие тонкости и т.д. В итоге - глюки многих программ и т.д. [QUOTE]Даже хотел кое-что опубликовать, но Олег отсоветовал меня это делать - он мне рассказал, как на него слегка "наехали" ребята из Агнитума после того, как он опубликовал сравнительный анализ файерволлов у себя на сайте.[/QUOTE] Хм. Странно. Пока воздержусь от комментариев. А есть конкретные подробности (как было сказано выше) "наехали"? Интересно. Боюсь, что Олег неправильно все это понял.
А вообще можете опубликовывать. Было б интересно.
-
[QUOTE=orvman]Добавлю. Не всегда видны, но все разработчики, конечно же знают все тонкости и уязвимости своих продуктов, некоторые из которых выявляются уже только в процессе использования, а кое-что просто невозможно исправить из-за самой работы винды, поэтому и приходится всем разработчикам искать обходные пути, которые, в свою очередь не всегда корректные и т.д. и цепляются за другие тонкости и т.д. В итоге - глюки многих программ и т.д.
[/QUOTE]
Профессионалу-программеру, хотя бы немного знакомому с системным программированием, "дырки" в защите видны практически всегда. Конечно же, "дырки" "дыркам" рознь, и на поиск некоторых надо потратить не один день! Однако большинство методов атак хорошо описаны как в литературе, так и в интернете - просто нужно почаще "лазить" по многочисленным хакерским сайтам и читать, читать, читать... а потом пробовать, пробовать, пробовать. :) Это все базовые вещи, и все об этом знают. Кроме того, если к.-л. команда собирается писать продукт, обеспечивающий защиту к.-л. вида, то кто-то в этой команде должен представлять себе большинство возможных тонкостей (хотя бы на сегодянший день!), а выявлять их в процессе эксплуатации хорошо, конечно, но, увы, бывает поздновато... И уж поверьте, исходники Винды тут не при чем, хотя они в чем-то помогли бы (правда, и хакерам тоже!).
Что касается непосредственно, скажем, Outpost FW, то, как ни неприятно будем вам это слышать, его "защита" от внутренних атак, мягко скажем, примитивна, если не сказать хуже. Как я уже говорил в этой ветке (или я говорил это где-то еще? :)), у меня сложилось впечатление, что вся "защита" Oupost FW была сделана лишь для того, чтобы пройти лик-тесты с общеизвестного сайта и потом выпустить брошюру по этому поводу с гордыми заявлениями типа "мы единственные из файерволлов прошли все лик-тесты с такого-то сайта на 100%!", как будто это является доказательством того, что продукт обеспечивает 100% защиту от внутренних атак! Понимаете... это ведь все маркетинг... продукт-то надо продавать, нужно убеждать пользователей, что он лучший, даже если это не так! Нет, не подумайте, что я считаю Outpost FW плохим файерволлом - нет, все как раз наоборот, как сетевой файерволл он очень даже неплох, но вот что касается остального - то тут еще "надо много работать и работать"!
[QUOTE=orvman]
Хм. Странно. Пока воздержусь от комментариев. А есть конкретные подробности (как было сказано выше) "наехали"? Интересно. Боюсь, что Олег неправильно все это понял.
[/QUOTE]
Подробности - у Олега, если он захочет ими поделиться. :) Насчет "неправильно понял" - ну, что тут сказать, видимо так "объяснили", что понял соответствующим образом.
[QUOTE=orvman]
А вообще можете опубликовывать. Было б интересно.
[/QUOTE]
:) Хорошая фраза (в том смысле, что вы мне предлагаете/разрешаете это сделать)... На самом деле, я полагаю, многим было бы интересно, не только вам, но "слава Герострата" мне не по плечу (или не по карману)... да и неинтересно мне уже это (мне не за это деньги платят!)
-
aintrust, хотелось узнать твое мнение по Zonealarm(стенка на которой я сижу, если это не сложно. Просто я в считаю (конечно субъективное мнение), Zonealarm и Outpost FW (я им тоже длительное время пользовался) одни из лучших стенок, хотя вполне, на 100% согласен, что абсолютной защиты нет (вобще то есть, если выдернуть сетевуху), но данные стенки от начинающих кулхацкеров и тупых сетевых червей защищают на 100%.
-
Тут вот какое дело... :) Я не занимаюсь "исследованиями" возможностей сетевых файерволлов с точки зрения атак снаружи (просто мне эта тема не очень интересна), поэтому не буду судить об их возможностях именно с этой точки зрения. Можно, естественно, заняться и этим, но на все нужно время, и много, а со временем - труба... :)
С точки зрения возможности отражения атак изнутри (т.н. leak-тестов) - могу кратко взглянуть, если найду время в субботу (в чем, увы, не очень уверен). В настоящий момент, как я уже говорил, я уже забросил свои изыскания на этот счет, а время идет, и файерволлы активно прогрессируют в этом плане (все стараются переплюнуть друг друга по leak-тестам - "маркетинг, однако"), так что каждый раз нужно смотреть по-новой, чтобы не наговорить лишнего (т.е. чтобы не выдать уже устаревшую инф-цию). Поймите меня правильно: делая какие-то заявления, я стараюсь отвечать за свои слова, поэтому иногда лучше "недо...", чем "пере...". В общем, если смогу посмотреть, то посмотрю... ну, а не смогу - не обессудьте! Результат, естественно, в личку (в PM)...
Да, еще... ZA - [I]субъективно[/I] неплохой файерволл. :)
-
aintrust! Заранее спасибо!
-
[QUOTE=aintrust] Результат, естественно, в личку (в PM)...
[/QUOTE]
Хм, т.е. по Вашему мнению пользователь должен выбирать firewall по внешнему виду, потому что те кто может провести нормальное тестирование боятся его опубликовать. Интересная логика
-
Ну, что тут сказать... Во-первых, действительно [U]объективный обзор[/U] (с доказательствами и примерами PoC) требует затраты большого количества времени и сил - а мне сейчас жалко и того, и другого, т.к. я по горло занят другими делами. Во-вторых, SDA попросил меня высказать свое [U]мнение[/U] по поводу конкретного FW - я постараюсь сделать это более-менее объективно, как только смогу это сделать (как найду время).
Если же вы хотите, чтобы я что-то написал по поводу ZA (типа смог я его сломать или нет) тут, в этой ветке - так вы так и напишите, только и всего... :)
А про "боятся опубликовать" я не понял... или вы чего-то не поняли...
-
[QUOTE=aintrust]Ну, что тут сказать... Во-первых, действительно [U]объективный обзор[/U] (с доказательствами и примерами PoC) требует затраты большого количества времени и сил - а мне сейчас жалко и того, и другого, т.к. я по горло занят другими делами. Во-вторых, SDA попросил меня высказать свое [U]мнение[/U] по поводу конкретного FW - я постараюсь сделать это более-менее объективно, как только смогу это сделать (как найду время).
Если же вы хотите, чтобы я что-то написал по поводу ZA (типа смог я его сломать или нет) тут, в этой ветке - так вы так и напишите, только и всего... :)
А про "боятся опубликовать" я не понял... или вы чего-то не поняли...[/QUOTE]
Интересна любая информация. Конечно публиковать PoC не обязательно дабы не попали в плохие руки. Достаточно общего описания, а PoC можно предоставить разработчикам если попросят. Конечно обзор десятка стенок требует времени. А вот сделать сравнительный анализ, скажем ОП и ЗА, особенно если у Вас уже есть наработки не такая трудоёмкая задача, так что если бы Вы могли сделать хотя бы примитивную сравнительную табличку было бы очень полезно.
-
Немного улыбнуло упоминание об исходниках винды. У любого нормального драйвер-девелопера имеется "зарелизенный" кусок от Мэйнсофта, куда попал, например, сетевой стек НТ4...
-
А вообще, именно публично выложенные ликтесты которые обходят защиту заставляют производителей шевелиться. Хакеры и так знают пути обойти стенку, только не спешат поведать об этом миру, что бы у призводителей был стимул залатывать дыры.
-
>Теперь самое главное. Внедрение в Kernel... Здесь копать нужно уже в сторону Винды, но т.к. Микрософт до сих пор еще не выложил свои исходники, то это не предоставляется возможным и это не вина ОР., то же самое можно сказать про вообще все фаеры на виндовых системах.
Sorry for translit... some fucking problems with keyboard language selection...
Tak vot.. nenado tut duro4ku stroit iz seba.. pla4a o tom, 4to ishodniki windi nedostupni...
U kogo est mozgi u togo i FW norm
primer - Sygate FW
1. nelza ubit iz pod r3 mode :) eto realizovivaetsa elementarno.. no o4en deystvennoe sredstvo protiv 99.99 "cool hackerov" u OP etogo netu.. i ne predviditsa ;)
2. control dostupa driverov k seti :) daze 4erez kmode driver trojan nesmozet viyti v i-net
-
Всех поздравляю... примерную реализацию моего метода вчера выложил Николай gorl в интернете.... Как и ожидолось все подтверждают что обход 100% :)
-
McAfee Desktop лучший по загрузке системы и фейсу :)
хотите ещё лучше ставте Look'n'Stop :)
-
[QUOTE=Sanja]Всех поздравляю... примерную реализацию моего метода вчера выложил Николай gorl в интернете.... Как и ожидолось все подтверждают что обход 100% :)[/QUOTE]
Так выложите сюда эту "реализацию" посмотреть, если она у вас есть, какой смысл ссылаться на мнение "всех" (кстати, я так и не смог посмотреть ее на [url]http://forum.blacklogic.biz[/url], файл не закачивается) и пугать народ!
Упомянутый вами [B]Николай gorl[/B], кстати, всего лишь навсего простенько "расхучивает" (т.е. восстанавливает в оригиналы) KeServiceDescriptorTable (что умеет и AVZ, к примеру). Я не знаю, как [U]конкретно[/U] он это делает, через загрузку k/m драйвера или через доступ к device\physicalmemory (он ссылается на статью 90210, который использует именно такой метод) или еще как-то, но это и не важно, в общем... Если этого не умеет контролировать Outpost FW, то это совсем не значит, что найден "100% обход" всех файерволлов, как вы пишете, не так ли? :)
В общем, ждем-с реализации... вашей ли или чьей-то еще... тем более, что она уже опубликована, как вы сказали! :)
[I][COLOR=Red]edit[/COLOR]: PS. Да... посмотрел опус этого [B]Николая gorl[/B] в журнале Хакер... совершенно детская статейка (и название соответствующее, "Абсолютный ноль"), совершенно ничего интересного: сплошное переписывание банальных и давно известных истин типа гейтов в ядро и доступа через physicalmemory... и что, на этом и основан весь "обход" файерволлов??? Если так, то я просто умру со смеху!!! :)[/I]
-
[url]http://read-only.ru/def_disable.rar[/url]
Page generated in 0.01656 seconds with 10 queries