Agnitum Outpost Firewall Pro v.3.0.530.5706 (426) beta

[aintrust]

Process Guard сильная шука, но для рядового пользователя хуже вируса

Да, PG - это больше для продвинутых юзеров, согласен. Тогда для рядового - точно DefenceWall, что называется поставил и забыл! Two thumbs up!!!

[Geser]

Может и стоит... хотя я на 100% уверен, что разработчики все это знают - точнее, не могут не знать, настолько все очевидно! Почему они не шевелятся - это интересный вопрос. То ли у них такая позиция (типа сетевой файерволл должен заниматься прежде всего сетевыми делами, а уж потом всем остальным), то ли, как часто бывает, боятся быть выдавленными с этого рынка (ведь, начав писать что-то HIPS-подобное, они неминуемо часть активных сил отдадут на это, приостановив развитие файерволла - а это уже может быть фатально, т.к. рынок сейчас уже достаточно насыщен - вон даже Касперские на него активно вторгаются линейкой 2006), то ли у них пока некому это сделать (они до недавнего времени активно искали народ на работу, насколько я знаю). В общем, кто их там разберет... Ладно, вот гляну на 3-ю версию, а там посмотрим.

Вероятно знают, однако никто без особой нужды ничего делать не будет. Если и так продаётся зачем что-то менять? Вот появился сайт который собрал десяток ликтестов, зашевелились и доработали так что бы всё блокировалось. А не было бы его, не факт что сегодня все эти вещи блокировались бы. А на счет отвлечения сил, ну значит возьмут еще одного программиста на работу

[aintrust]

Действительно - не факт. Однако, у меня зачастую создается впечатление, что некоторые компании "вместе с водой выплеснули ребеночка", т.е. в погоне за успешным прохождением лик-тестов просто забыли обо всем остальном! OPFW, на мой взгляд, - очень характерный пример такого поведения, т.к. "его методы" защиты 100%-но решают задачу прохождения лик-тестов, но при этом не обеспечивают никакой реальной защиты от внутренних атак, а ведь именно на это и рассчитаны лик-тесты! Чистый PR, мне кажется, не более... Впрочем, что-то я уже много всего понаписал, и хорошего, и не слишком, в адрес OPFW... довольно уже на сегодня!

[orvman]

Geser

Однако сам факт того что ОП не контролирует запись в физическую память позволяет его обойти изменением контролируемых приложений в памяти. Так что проблема таки есть.

Читаем, что написано в справке в ОР:

Контроль памяти процессов
Некоторые «троянские кони» и вирусы используют сложные технические приемы, позволяющие им изменять код доверенных приложений, запущенных в памяти и обходить таким образом защиту системы и совершать злонамеренные действия. Эта технология известна как внедрение кода.

Outpost Firewall контролирует функции, которые могут быть использованы для внедрения злонамеренного кода в адресное пространство доверенных приложений и таким образом предотвращает все подобные попытки.

Для включения контроля памяти процессов:

В окне Параметры выберите вкладку Приложения

Нажмите Компоненты

Выберите параметр Блокировать сетевой доступ, если область памяти приложения была изменена другим процессом

Нажмите OK



Ссылки по теме
О Контроле компонентов

Просмотр компонентов

Переключение уровня Контроля компонентов

Не буду вдаваться в подробности, но ОР должен контролировать память. Другое дело - реализация и метод всего этого. Есть пути обхода, но что странное - это то, что заумные пути ОР блочит только в путь, а простые, ручные, не всегда... Хотя, опять же оговорюсь, есть множество путей обхода. Даже, если их будет контролировать не только фаер.
Достаточно сказать, что я сам писал код на Паскале (!!!) году эдак в 96-98 (с вводными данными Ассемблера, взятыми из другого кода), когда Др. Веб писал - типа есть подозрение на ..., но проверку не блочил, а при проверке, через Intxxx все *exe файлы проверенные им, в общем понятно.... И только AVP сказал, что -неизвестный процесс в памяти и т.д. - и вылетал в Дос. Это был всего лишь тест, но выводов хватило... (Кстати, если не ошибаюсь - Олег вскольз о самом методе говорил где-то, но никто почему-то опять-же об этом не заострил внимание). Это я к тому, что есть много путей обхода даже антивирусников, не то что фаеров, которые вообще не знают об этом.

Sanja

Кикие приколы... последний такой глючекс был на версии 2.7 (после чего он был немелленно снесен)

Телепат вызван - ждем приезда...

у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера Ну его такого нафиг

Насколько Вы вообще знакомы с брандмауэрами? А прописные истины и тонны литературы здесь я вылаживать не буду. Это просто нужно знать...

aintrust

Если в системе с установленным и правильно настроенным OPFW есть хоть одно запущенное приложение, которому разрешен доступ наружу по одному из сетевых протоколов (по умолчанию или же временно, на сеанс работы), то кранты - выйти в и-нет в обход Outpost лишь "дело техники".

Респектище... Об этом я и говорю. И не только по поводу ОР, а вообще всех фаеров, повторюсь, я уже не говорю о конкретных кодов, написанных под конкретные фаеры. И если в уж любой фаер можно вырубить средствами самой винды - через скрипты - типа SendKey, то о чем вообще речь?

до сих пор работает на 100% (я только что специально попробовал на последней доступной мне версии - Outpost Firewall Pro ver. 2.7.493.5421 (416)). Именно об этом я и хотел когда-то подробно написать и опубликовать код, но... передумал.

Кинь мне, если не трудно...

Так что давайте не будем обманывать себя и других - OPFW, к сожалению, в нынешнем состоянии очень "дыряв" изнутри, и его методы защиты от внутренних атак просто смехотворны

Хе. Пусть это останется без комментариев. Вопрос, а что именно по твоему не "дыряв"? Посоветуешь конкретный фаер?

я бы порекомендовал всем пользователям OPFW

А я бы порекомендовал ОР+KAV+PG+Adaware+баннерорезалка (типа Proxomitron и т.д.). Вообще-то это и есть прописные истины. Я имею ввиду не конкретный софт, а сам набор в комплексе...

Geser

А я думаю стоит опубликовать. Хакеры, конечно, сами напишут. А вот публично выставленный ликтест обходящий ОП заставит разработчиков пошевелиться и принять меры.

Верно подмечено. Но опять же, зная принцип обхода, сделать можно все. Поможет только изменив архитектуру самой Винды, например очень интересны в этом смысле даже сами учетные записи, например system, admin.... (перспективы - реальные, путей обхода - море, вариантов блоков этих обходов - нет и не придвидится)

aintrust

типа сетевой файерволл должен заниматься прежде всего сетевыми делами, а уж потом всем остальным

Вот это реально так и есть.

как часто бывает, боятся быть выдавленными с этого рынка (ведь, начав писать что-то HIPS-подобное, они неминуемо часть активных сил отдадут на это, приостановив развитие файерволла - а это уже может быть фатально, т.к. рынок сейчас уже достаточно насыщен - вон даже Касперские на него активно вторгаются линейкой 2006),

В правильную сторону смотришь. Респект! Будующее - за комплексными мерами защиты, где за мизерные деньги простой и рядовой юзер будет иметь и антивирь и фаер и т.д. и т.п. (примочки всякие). А спецы пусть на железе сидят и т.д. и т.п. И сам Агнитум, как производитель ОР, это дело уже сразу смекнул, а Касперский только только разворачивается... Посмотрим, что будет дальше...

[Geser]

Geser
Читаем, что написано в справке в ОР:

На заборе х** написано, а за забором яблоня растёт
Насколько я понимаю ОП контролирует только запись в виртуальныю память, а запись в физическую память нет. Потому фактически нельзя сказать что он контролирует память процессов.

[Sanja]

>
Кикие приколы... последний такой глючекс был на версии 2.7 (после чего он был немелленно снесен)

Телепат вызван - ждем приезда...
Цитата:
у меня ОП... то порт скан с прокси провайдера.. то ИП спуфинг с днс сервера Ну его такого нафиг

Насколько Вы вообще знакомы с брандмауэрами? А прописные истины и тонны литературы здесь я вылаживать не буду. Это просто нужно знать...


Я чегото непонимаю.. помоему тут только вы все время в справку тычете.. а не сами говорите

Вы скажете зачем вым телепат? Я помогу с вопросом о его доставке.. но дебильность оутпоста это не исправит

[Sanja]

И хватит тут уже отмазывать глуки продукта.. это мне начинает напоминать форум дрвеба... постоянно твердил.. пофигу.. забанили 3 раза... пофигу.. уже и Proof of concept есть а все пофигу дрвеб тиме... Хотите тоже самое с оутпостом? Я могу написать код который вычистит оутпост нафиг с компа и тот даже не пискнет... вам этого надо? Или может пойти очень заумным путем? Берем и записываем в файл buffer функции DeviceIoControl во время нажатии кнопки (выгрузить с остановкой сервиса) а потом ручками

CreateFile(Device\Outpost?!"Выяснить название Симболик линка дело 20 секунд - надо ток Оутпост поставить"...); DeviceIoControl(SavedBuffer); CloseHandle..

Вот блин бывает народ упертый пипец просто... как можно фактов не замечать...

[HATTIFNATTOR]

Появилась свежая бета Outpost_Firewall_v.3.0.534.429

[Iceman]

Так где её (версию новую) можно посмотреть?

[HATTIFNATTOR]

Outpost_Firewall_v.3.0.534.429
Следующие проблемы были исправлены (приведены только основные):

- Исправлена проблема высокого расхода ресурсов процессора при DoS-атаке.
- Включено Обновление Agnitum.
- Реализована подержка установки поверх предыдущих версий OFP 3.0b.

Известные проблемы:
- Проблемы размещения текста в некоторых диалогах.
- Проблемы при установке поверх версий Outpost Firewall Pro 1.0 и 2.0.
- После обновления с использованием Обновления Agnitum не детектируются Ethernet-атаки и не блокируется передача личных данных.

[HATTIFNATTOR]

Появилось обновление до Outpost Firewall Pro ver. 3.0.545.5805 (433) (beta)

[николай gorl]

Если имеется ввиду тот "тест", ссылку на который выложил Sanja (http://read-only.ru/def_disable.rar), то могу однозначно сказать, что автор (Николай gorl) выбрал как не самое удачное приложение в качестве "доверенного приложения" (explorer.exe, доступ в и-нет которому по умолчанию закрыт в Outpost FW), так и метод внедрения кода в другой процесс - именно поэтому может срабатывать контроль компонентов. Да и вообще, упомянутый код - это чисто подростковое произведение для подростков-читателей журнала "Хакер", уж простите...

г-н aintrust и прочие г-да, я выкладывал свое прелестное подростковое произведение не для того, чтобы оценивали его, или аудиторию, на которую оно расчитано

выкинул в паблик первый (я первый, какое счастье! ) сырой "ликтест" файров, основанный на этой, достаточно старой, но актуальной идее, и все - шуму то сколько понаделали, кошмар, словно метеорит упал

об explorer.exe в исходничках в двух словах написано,
метод внедрения, думаю, контроль компонентов не спровоцирует

перепробывать все процессы - правильный ход
исходный код публиковать, думаю, не стоит, кому надо - сами напишут, а вот грамотный аккуратный ликтест был бы очень кстати
пусть люди знают, когда их компьютеры уязвимы

PS: могу, в принципе, еще что-нибудь такое же сырое выложить, да только снова начнуть обвинять в дилетантстве и пр.
могу новую версию "ликтеста" написать... то что называется 30 лет спустя , но зачем мне напрягаться, когда ее уже кто-то сварганил?

[Geser]

г-н aintrust и прочие г-да, я выкладывал свое прелестное подростковое произведение не для того, чтобы оценивали его, или аудиторию, на которую оно расчитано

выкинул в паблик первый (я первый, какое счастье! ) сырой "ликтест" файров, основанный на этой, достаточно старой, но актуальной идее, и все - шуму то сколько понаделали, кошмар, словно метеорит упал

об explorer.exe в исходничках в двух словах написано,
метод внедрения, думаю, контроль компонентов не спровоцирует

перепробывать все процессы - правильный ход
исходный код публиковать, думаю, не стоит, кому надо - сами напишут, а вот грамотный аккуратный ликтест был бы очень кстати
пусть люди знают, когда их компьютеры уязвимы

PS: могу, в принципе, еще что-нибудь такое же сырое выложить, да только снова начнуть обвинять в дилетантстве и пр.
могу новую версию "ликтеста" написать... то что называется 30 лет спустя , но зачем мне напрягаться, когда ее уже кто-то сварганил?

Новую версию было бы не плохо, и что бы она работала. А то лично у меня предыдущая просто закрывалась с ошибкой.

[Cool Cat]

• Последняя доступная AUTOUPDATE версия (20051013_1029.zip):
Agnitum Outpost Firewall Pro v.3.0.545.(433)

• для закачки AUTOUPDATE установить
в C:\Program Files\Common Files\Agnitum Shared\aupdate\update.ini

QUOTE
[Download]
Server=www.agnitum.com
DownloadDir=C:\PROGRA~1\COMMON~1\Agnitum Shared\aupdate\Downloaded Files\
ServerDir=/update_test ; - для обновления версии
ServerDir=/update_spy ; - для обновлени баз AntiSpyware
(некоторые строчки должны быть!!!)

Должно сработать при этом... начнёт качяться как будто вы
просто качяете обновления.... Zip скорее всего сохранится в папке Downloaded Files там же (C:\Program Files\Common Files\Agnitum Shared\aupdate\)
Удачи....

[banned]

RiC: "Лечилово" и "крячилово" прошу больше не постить, а за совет спасибо,
ну и обновлять "пиратку" естественно не рекумендуется.

[HATTIFNATTOR]

Через автоапдейт доступен Outpost Firewall Pro 3.0.554.5805 (434)

[Участковый]

А 30-дневные версии обновляться могут? У меня скачиваются только обновления баз antispyware.

[IgorA]

HATTIFNATTOR
Официальной версии на сайтах нет.
Outpost Firewall Pro 3.0.554.5805 (434) это что очередная бета из тест зоны?

[HATTIFNATTOR]

А как их отличить?
-В том инсталляторе что я видел нет упоминания о том что это бета,
написано что это 30-дневный триал. Но раз на офсайте до сих пор 3.0.543.431 ,- вполне может быть.

[IgorA]

HATTIFNATTOR
По каталогу обновления в файле c:\Program Files\Common Files\Agnitum Shared\Aupdate\update.ini
Хотя с этим там бардак постоянно, так что тоже не показатель. Либо языки подправили вот сборка с другим номером.

[HATTIFNATTOR]

Через автоапдейт доступна очередная бета - Outpost Firewall Pro 3.0.557.5918(437)