Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 64.

Контроль приложений в KIS 8.0 (2009), или Что такое HIPS и как с ней работать

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838

    Контроль приложений в KIS 8.0 (2009), или Что такое HIPS и как с ней работать

    Уважаемые пользователи!

    Вашему вниманию предлагается статья, содержащая необходимую информацию по работе с новым модулем Kaspersky Internet Security – «Контроль приложений». Смею надеяться, что она поможет вам лучше понять этот модуль и снять большинство вопросов, возникающих при знакомстве с ним.

    Контроль приложений KIS 2009 – это классическая локальная система предотвращения вторжений (Host Intrusion Prevention System, HIPS), объединяющая в себе функционал проактивной защиты и сетевого экрана. HIPS позволяет гибко манипулировать разрешениями на доступ к файлам и реестру, системным правам и сетям различных типов, что, в свою очередь, помогает существенно снизить количество обращений к пользователю за счет предоставления полной свободы действий доверенным приложениям и полного ограничения в правах недоверенных приложений.

    Основу любой HIPS составляет таблица правил. В одних продуктах она никак не разделяется, в других – разбивается на промежуточные таблицы в соответствии с характером правил (например, правила для файлов, правила для сетей, правила для системных привилегий и так далее), в третьих разделение таблицы происходит по приложениям и их группам. HIPS в KIS 2009 относится преимущественно к третьему типу, и большинство ее правил сгруппировано по приложениям.



    Суть HIPS проста, но эффективна. Эти охранные системы контролируют определенные системные события (например, такие, как создание или удаление файлов), и каждый раз, когда эти события должны произойти, HIPS сверяется со своей таблицей правил, после чего действует в соответствии с заданными в таблице настройками. Сообразно действие либо разрешается, либо запрещается, либо HIPS задает пользователю вопрос о том, что ей следует предпринять в данном конкретном случае.

    Из описанной выше сущности HIPS непосредственно вытекает первое правило, которое следует помнить при работе с такими системами: не следует ожидать от HIPS того, чего вы не сказали ей делать. Под защитой HIPS будут находиться только те объекты, которые обозначены в ее правилах, и, если вы, положим, захотите защитить от изменений корень системного диска, то, естественно, HIPS не догадается этого сделать только потому, что вы этого захотели. Для этого потребуется создание соответствующего правила.

    Важной особенностью HIPS является групповая политика, которая позволяет применять одни и те же разрешения для всех приложений, внесенных в определенную группу. По умолчанию в KIS 2009 подготовлены четыре группы, по которым продукт будет автоматически распределять запускаемые на компьютере приложения. Это Доверенные, Слабо ограниченные, Сильно ограниченные и Недоверенные. Для каждой группы уже заданы определенные разрешения, которые, по мнению экспертов Лаборатории Касперского, являются оптимальными. В частности, Доверенные приложения никоим образом не ограничены в своих правах и возможностях, Слабо ограниченным запрещаются наиболее опасные для системы действия, Сильно ограниченным разрешены лишь те действия, которые не могут нанести существенного ущерба, а Недоверенные не могут выполнять практически никаких системных действий.

    Основная таблица Контроля приложений позволяет быстро задавать однотипные разрешения для групп и отдельных приложений. В этой таблице четыре колонки – Операционная система, Конфиденциальные данные, Права и Сети. Сделаем очередной экскурс в идеологию HIPS, а затем вернемся к этим колонкам и работе с таблицами.

    Правила HIPS обычно содержат три базовых компонента: субъект (т.е. приложение или группа, которое вызывает определенное событие), действие (разрешить, запретить или спрашивать пользователя) и объект (то, к чему приложение или группа пытается получить доступ). HIPS в KIS 2009 работает по тому же принципу. В зависимости от типа объекта правила разделяются на три группы:

    - Файлы и системный реестр
    - Системные права
    - Сети

    У первой и третьей группы объектом являются файлы, ключи реестра, а также сетевые объекты (IP-адреса и их группы, порты и направления).
    У второй группы объект – это системные права на выполнение тех или иных действий (например, на запуск или остановку процессов).

    Объекты для правил первого и третьего типа вы можете создавать и редактировать на вкладке Ресурсы. Там они распределены на несколько подгрупп для удобства работы с ними. Например, группа ресурсов Операционная система – это файлы и ключи реестра, обеспечивающие нормальную работу Windows, а ее подгруппа Параметры автозапуска – это полный набор ключей, которые обеспечивают автоматический старт компонентов системы; туда может прописаться вредоносное ПО для скрытого запуска. При желании вы можете создавать свои ресурсы и таким образом определять права доступа приложений к вашим собственным объектам.



    Очевидно, что основные группы ресурсов, а также системные права и представлены в колонках основной таблицы Контроля приложений. Вы можете быстро задавать доступ к ним для групп и отдельных приложений.

    Следует, однако, помнить, что некоторые правила неоднородны: например, для файлов и реестра можно отдельно определять разрешения на чтение, запись, удаление и перечисление. Из главной таблицы такую тонкую настройку выполнить невозможно – это делается с помощью расширенного редактирования правил. Выделение приложения или группы и щелчок по ссылке Редактировать вызывает упомянутый расширенный редактор. Здесь вы можете определить разрешения отдельно для каждого возможного объекта – скажем, в разделе Права перечислены все виды системных прав, которые контролирует KIS 2009.

    Имейте в виду, что, если вы определяете разрешения для группы (положим, Доверенные), то эти настройки будут автоматически скопированы на все приложения, входящие в эту группу. Вместе с тем вы имеете возможность назначить отдельному приложению свои, индивидуальные права, отличающиеся от групповых.

    Наследование прав

    В KIS 2009 реализован механизм наследования прав. Когда одно приложение запускает другое, разрешения для первого автоматически передаются на второе. Если бы этого механизма не было, недоверенное приложение могло бы использовать доверенное в своих целях и, пользуясь его неограниченными привилегиями, творить что угодно. Теперь же, даже если доверенное будет запущено недоверенным, ему будут переданы настройки для недоверенных приложений, и система не будет повреждена.

    Вместе с тем этот механизм имеет свои недостатки. В реальной работе довольно часто получается, что приложение обрабатывается не по своим правилам, а по правилам запустившего его процесса. Соответственно могут возникать ситуации, когда вы создали разрешающее правило по определенному действию для такого-то приложения, но это правило не срабатывает. В этом случае вы можете либо дать соответствующее разрешение родительскому процессу, либо в самом низу окна расширенного редактора правил снять галочку, определяющую автоматическую передачу этому приложению прав родительского процесса.



    Сетевой экран

    Правила, определяющие сетевую активность приложений, то есть правила Сетевого экрана, являются теперь частью таблицы HIPS. Работайте с ними, как со всеми прочими правилами HIPS, поскольку они устроены точно так же: субъект – действие – объект.

    Наиболее общие настройки Сетевого экрана находятся в колонке Сети главной таблицы Контроля приложений. Если задать действие Разрешить для всех групп приложений, то Сетевой экран будет работать в режиме, эквивалентном прежнему «Разрешать все». Задание вердикта Запрос действия равнозначно включению Режима обучения. Действие Запретить для всех групп переводит Сетевой экран в режим Блокировать все.

    Вы можете, к примеру, установить режим обучения для слабо и сильно ограниченных приложений, разрешить все доверенным и блокировать все для недоверенных.



    Детальная настройка правил доступна вам либо в таблице Сети расширенного редактора правил, либо на вкладке Сетевые пакеты. Здесь перечислены так называемые пакетные правила, определяющие доступ приложений к сетевым ресурсам. В самом верху списка, под заголовком "Пакетные правила", собраны правила без приложения, т.е. без субъекта; они применяются ко всем приложениям на компьютере. Ниже, сгруппированные по субъекту, размещаются правила для конкретных приложений.

    В списке пакетных правил для каждого приложения вы увидите три неактивных правила, затененных серым и неизменяемых. Эти три правила отражают разрешения, заданные в главной таблице Контроля приложений (т.е. если в главной таблице в колонке Сети для этого приложения стоит вердикт Запрос действия, то и в этих серых правилах будет обозначен вердикт Запрос действия). Это правила самого низкого приоритета, и они работают только в том случае, если нет никаких противоречащих им правил более высокого приоритета. Не обращайте на них особенного внимания, на этой вкладке они играют только роль индикаторов.



    Очень разнообразны объекты правил для Сетевого экрана. Их несколько типов, от более глобальных до более узких, но все они являются ресурсами, то есть доступны на вкладке Ресурсы, и все они могут быть объектами правил. Давайте остановимся на этом более подробно.

    Наиболее глобальный объект – это сеть. Продукт различает три типа сетей: доверенные, локальные и публичные, и каждый раз при активизации незнакомого подключения KIS 2009 спросит вас, к какому типу отнести эту сеть. Обратите внимание, что, если развернуть колонку Сети в главной таблице, можно задать отдельные общие разрешения для каждого типа сетей. Поэтому и неактивных пакетных правил для каждого приложения три: первое отражает настройки для доверенных сетей, второе – для локальных, третье – для публичных.

    Если вы определили свое подключение как публичную сеть, иначе Интернет, то абсолютно любая активность приложения по отношению к этой сети будет считаться обращением к ресурсу «Публичные сети» и обрабатываться по третьему неактивному пакетному правилу, если нет противоречащих этому правил.

    Итак, допустим, вы определили приложению application.exe Запрос действия при работе с Публичными сетями. Обучение для этого приложения еще не началось, и список правил пуст (за исключением упомянутых выше неактивных правил). Поэтому при обращении application.exe к ресурсу в сети Интернет (например, IP-адресу 123.456.789.0) продукт предъявит вам вопрос режима обучения – что делать с этой попыткой соединения?

    С помощью мастера создания детального правила вы можете создать разрешающее правило для application.exe, которое позволит ему без вопросов в дальнейшем соединяться с указанным IP. На первой странице мастера вы выбираете вердикт Разрешить и переходите на вторую страницу.

    Здесь вы встречаетесь со следующим типом объекта для правила Сетевого экрана – сетевым сервисом. В этом типе ресурса собрано значительное количество шаблонов определенной сетевой активности – например, DNS-запрос. Сетевой сервис «Исходящая DNS-активность» будет, таким образом, содержать данные о направлении (исходящее), протоколе (UDP) и удаленном порте (53). Продукт автоматически подбирает вам подходящие сетевые сервисы из своей базы; вы можете также просмотреть весь список или создать свой сетевой сервис (потом его можно будет найти на вкладке Ресурсы).

    Теперь заготовка правила почти готова: она содержит субъект (application.exe), действие (Разрешить) и объект (сетевой сервис «Исходящая DNS-активность»). Остался последний компонент сетевого правила – можно назвать его вторичным объектом. Это IP-адрес.

    IP-адрес также может входить в ресурс, то есть быть объектом. В один ресурс можно собрать и группу адресов, и диапазон, и несколько диапазонов, после чего назначить все это вторичным объектом правила. В мастере вы можете создать ресурс (куда автоматически будет добавлен IP-адрес, на которое приложение обращалось изначально) или выбрать его из списка уже созданных.

    В результате в списке пакетных правил образовалось новое, уже активное правило, которое разрешает приложению application.exe доступ к объекту «Исходящая DNS-активность» со вторичным объектом «IP-адрес 123.456.789.0». Это правило более приоритетно, чем серые неактивные правила, и теперь, когда application.exe будет отсылать исходящий UDP-пакет на адрес 123.456.789.0 и порт 53, продукт обнаружит данное правило в списке и будет действовать в соответствии с ним. Но, если application.exe обратится уже по протоколу TCP на адрес 12.34.56.78 и порт 80, соответствующего правила обнаружено не будет, и вновь сработает серое неактивное правило запроса действия при обращении к публичным сетям.

    Обратите внимание: активные пакетные правила неравноправны. Список пакетных правил устроен иерархически, то есть правило, расположенное выше, приоритетнее правила, расположенного ниже. К неактивным правилам это не относится.

    Например, вам требуется разрешить приложению посещать два конкретных IP-адреса из диапазона, а доступ ко всем прочим IP этого диапазона запретить. Теперь процедура такой настройки проста. Создайте ресурс, куда впишите требуемые адреса; на вкладке Сетевые пакеты создайте приложению пакетное правило, разрешающее ему любую сетевую активность на созданный вами ресурс. Теперь создайте другой ресурс, содержащий требуемый диапазон; создайте второе правило, запрещающее приложению любую сетевую активность на этот ресурс. С помощью расширенного редактора поднимите первое правило выше второго.

    Теперь, если обращение приложения подпадает под действие первого правила, доступ будет разрешен. Если же нет, продукт проверит, не подпадает ли оно под действие второго правила. Подпадает – действие будет запрещено. Не подпадает – продукт перейдет к следующему правилу по списку, и так будет сверять, пока правила не закончатся. Если никакое из активных правил не соответствует обращению приложения к сети, решение будет принято в соответствии с неактивными правилами.

    Копия данной статьи размещается также в Базе знаний Лаборатории Касперского по адресу http://support.kaspersky.ru/faq/?qid=208636059

    ***

    Приложение. Перевод англоязычных названий сетевых ресурсов

    DNS over TCP / UDP - запрос к серверу доменных имен DNS по протоколу TCP или UDP
    Sending / Receiving E-mails - отправка / прием электронной почты
    Web-Browsing - просмотр страниц Интернета с помощью обозревателя
    IRC-Activity (out) - исходящая активность интернет-чатов IRC
    DHCP Address Assignment (UDP) - обращение к сервису присвоения IP-адресов DHCP по протоколу UDP
    Any outgoing TCP / UDP stream - любая исходящая активность по протоколу TCP или UDP
    Any incoming TCP / UDP stream - любая входящая активность по протоколу TCP или UDP
    Any incoming ICMP - любая входящая активность по протоколу ICMP
    Local Services (TCP / UDP) - входящие соединения по протоколу TCP или UDP с локальными портами, которые открывают службы операционной системы
    ICMP Echo Request (in / out) - исходящие или входящие эхо-запросы по протоколу ICMP
    ICMP Echo Reply (in) - входящий эхо-ответ по протоколу ICMP
    ICMP Destination Unreachable (in) - входящий ответ "компьютер назначения недоступен" по протоколу ICMP
    ICMP Time Exceeded (in) - входящий ответ "время ожидания истекло" по протоколу ICMP
    Any network activity - любая сетевая активность
    ActiveSync - сетевая активность, необходимая для работы технологии ActiveSync
    Remote Desktop - сетевая активность, необходимая для работы технологии удаленного рабочего стола
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Отличная статья. Как раз пытался разобраться что к чему.
    Есть несколько вещей которых очень не хватает в КИС
    1. В меню правого клика исполняемых файлов проводника нужны пункты добавления в различные группы.
    2. НУжна опция "Запустить приложение как доверенное". При этом приложению разрешается делать всё что нужно, но никаких новых правил не создаётся. Это очень удобно для запуска инсталляторов. Сейчас мне приходится просто выключать КИС для нормальной инсталляции.
    3. Должна быть опция заносить в группы не только аппликации, но и директории. НАпример очень удобно кеш браузера занести в группу недоверенных.

    Добавлено через 11 минут

    Кстати, по поводу наследования прав есть вопрос. Например ИЕ в группе доверенных. Срабатывает експлоит и ИЕ скачивает и запускает троян. Получается что троян будет выполнен с правами доверенного приложения?
    Последний раз редактировалось Geser; 29.08.2008 в 19:41. Причина: Добавлено

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от Geser Посмотреть сообщение
    Получается что троян будет выполнен с правами доверенного приложения?
    Нет

  5. #4
    Geser
    Guest
    Цитата Сообщение от DVi Посмотреть сообщение
    Нет
    Тогда не понятно как работает наследование прав.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    1. Сам я выступаю за выдачу alerta при попытке запуска приложения, чтобы еще до запуска его можно было внести вручную в ту или иную группу, но такой вариант тоже может быть интересен
    2. Это можно сделать уже сейчас - выделите группу Доверенные, нажмите Добавить и внесите установщик в группу. Потом его можно будет вручную удалить из нее.
    3. Это хорошая мысль я тоже думал о подобном.
    4. Посмотрите для наглядности на главную таблицу. Перед вами четыре группы сверху вниз в порядке убывания прав. Так вот, механизм следующий:
    - сверху вниз права не наследуются,
    - в пределах группы права наследуются (одна из недоработок, с которыми я борюсь),
    - снизу вверх права наследуются.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  7. #6
    Geser
    Guest
    2. Возможно, но, к примеру. Я бы предпочел занести ИЕ в группу недоверенных, от греха подальше. Но иногда нужно запустить его как доверенный. НАпример для установки обновлений.
    4. Всеравно я не понял. Когда аппликация в группе доверенных запускает другую аппликацию, с какими правами она будет запучена?

    Добавлено через 37 минут

    Всёравно совершенно не понятно как это работает. Взял я ИЕ и занес его в группу "Сильные ограничения". Во первых с его правилами ничего не произошло. Так и осталось на всё разрешить. Разве не логично было бы что бы при переносе в другую группу правила автоматом ставились по правам группы? Ну да ладно.
    Я выставил везде правила руками на "Запрос действия". После этого доступ к интернету исчез. А где запрос???
    Потом я зашел в настройки и поставил на все действия создания/изменения опцию писать лог. ПОсле чего я добавил сайт в список доверенных, вроде это защищается в ресурсах, и не получил ни запроса ни записи в логе. Вопрос что я делаю не так?

    Добавлено через 10 минут

    А, я понял нужно было отключить автопринятир решений

    Добавлено через 11 минут

    Вот забавное сообщение
    Последний раз редактировалось Geser; 29.08.2008 в 22:03. Причина: Добавлено

  8. #7
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1263
    очень. я каждое Ваше добавление с интересом читаю

  9. #8
    Geser
    Guest
    Цитата Сообщение от priv8v Посмотреть сообщение
    очень. я каждое Ваше добавление с интересом читаю
    А. поставил ИЕ8 и небольшие глюки. Аттачи не цеплаются Добавил картинку

    Добавлено через 6 минут

    Обнаружил интересную особенность. ИЕ в группе "Сильные ограничения". ЕСли нет галки принимать решения автоматически, то есть запрос на добавление сайтов в список доверенных. Однако если стоит галка принимать решение автоматически, то без всяких вопросов разрешается добавление сайта в список доверенных, т.е. изменение защищенного ресурса. Разве не логичнее было это блокировать?
    Последний раз редактировалось Geser; 29.08.2008 в 22:13. Причина: Добавлено

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2008
    Сообщений
    314
    Вес репутации
    0
    Цитата Сообщение от NickGolovko
    вам лучше понять этот модуль
    А домохозяйкам-то как теперь быть?.. Я теперь вообще не понимаю, кто кого должен понять - эксклюзивная хипс свою хозяйку, или хозяйка свою защитницу?.. Я понимаю, что она не понимает, что я понимаю, что она не понимает... Я не понимаю, что она понимает, что я не понимаю, что она понимает... Видать, в товарищах согласья нет... Или пусть девочки друг дружку игнорят, а там будь что будет... Революшн... о_О

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Цитата Сообщение от Geser Посмотреть сообщение
    4. Всеравно я не понял. Когда аппликация в группе доверенных запускает другую аппликацию, с какими правами она будет запучена?
    C правами непосредственного родителя. То есть, чтобы вас не спрашивали, разрешать ли Outlook доступ к паролям, разрешить это действие нужно не только самому Outlook, но и Проводнику, который его запустил. Потому я и говорю, что это недоработка, и в дальнейшем намерен лечь костьми во имя ее исправления. В пределах группы наследование совершенно бессмысленно и только мешает.

    Цитата Сообщение от Geser Посмотреть сообщение
    Обнаружил интересную особенность. ИЕ в группе "Сильные ограничения". ЕСли нет галки принимать решения автоматически, то есть запрос на добавление сайтов в список доверенных. Однако если стоит галка принимать решение автоматически, то без всяких вопросов разрешается добавление сайта в список доверенных, т.е. изменение защищенного ресурса. Разве не логичнее было это блокировать?
    В автоматическом режиме "Запрос действия" равен "Разрешить". Почему - вопрос не ко мне

    Цитата Сообщение от ananas Посмотреть сообщение
    А домохозяйкам-то как теперь быть?.. Я теперь вообще не понимаю, кто кого должен понять - эксклюзивная хипс свою хозяйку, или хозяйка свою защитницу?.. Я понимаю, что она не понимает, что я понимаю, что она не понимает... Я не понимаю, что она понимает, что я не понимаю, что она понимает... Видать, в товарищах согласья нет... Или пусть девочки друг дружку игнорят, а там будь что будет... Революшн... о_О
    Любимая многими спорящими пресловутая "домохозяйка" может отныне забыть вообще о существовании антивируса.

    Цитата Сообщение от Umnik
    Товарищи, а вот вы уже РЕАЛЬНО работали с продуктом? Давайте я расскажу чуть-чуть.
    1. На ПК тестя установил Продукт в режиме быстрой инсталляции. Вопросов не было.
    2. Все программы работают замечательно.
    3. Балуны о добавлении программ в зоны появляются сначала часто, а через несколько часов уже - редко. И все реже и реже
    4. Программы ставятся легко. И руками ничего никуда не переносится - "нюхач" справляется.
    5. Тесть, который вообще никак не связан с IT, работает с ПК без проблем.
    6. Одна-единственная программа, которая попала в немилость, была Кол Оф Дюти - его любимая игра. Мне нужно было 1(!) раз показать, что делать, если прога не запускается и все. Более того, ему эти знания более еще ни разу не понадобились.

    Ну намотайте на ус - домохозяйки (с домохозяинами) будут пользоваться режимом новичка, а не экспертным.
    http://forum.kaspersky.com/index.php...7&#entry590417
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Посмотрите фото.

    А теперь вопрос: Как я могу сюда файлы в список добавить? только ключи реестра можно...

  13. #12
    Geser
    Guest
    Возможно режим автоматического принятия решений достаточно удобен для домохозяек. Насколько он эффективен для предотвращения заражения и кражи паролей покажет время. Однако для человека который пытается настроить ХИПС вручную, система сложная, не понятная, не достаточно гибкая и не даёт чувства защищенности. Объяснения в хелпе не достаточно подробные что бы действительно понять что нужно делать и что произойдет в случае заражения.
    Например известно что эксплуатация уязвимостей ИЕ является сегодня одним из основных источников заражения. Каким образом ХИПС защищает от этого, если ИЕ в списке доверенных?
    1. В какую группу попадёт троян скачанный и запущенный через ИЕ при помощи експлоита?
    2. Унаследует ли этот троян право доступа к хранилищу паролей ИЕ?

    Далее у меня концептуальный вопрос. КИС хорошо известный распространенный антивирус. Известно что серьёзные троянописатели проверяют свои трояны на то что они не детектируются распространенными антивирусами перед их выпуском в свет. Следовательно они будут проверяться и на рейтинг который они получат от песочницы КИС, и основываясь на котором программы разделяются на группы. Автоматически напрашивается вывод, что через пару месяцев почти все новые трояны будут попадать в группу "Слабые ограничения".
    Вопрос, зачем нужны группы "сильные ограничения" и "недоверенные", если туда будут попадать практически только легитимные программы?

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Посмотрите фото.

    А теперь вопрос: Как я могу сюда файлы в список добавить? только ключи реестра можно...
    Увы, это ресурс с "зашитыми" параметрами, который, вероятно, не предназначен для изменения. Лучше всего будет сделать так:

    - выделите щелчком группу "Системы обмена сообщениями"
    - нажмите "Добавить"
    - назовите новую группу, например, Skype Custom Files
    - вносите в нее что хотите

    Громоздко, но пока другого пути нет.

    Добавлено через 38 минут

    Цитата Сообщение от Geser Посмотреть сообщение
    Возможно режим автоматического принятия решений достаточно удобен для домохозяек. Насколько он эффективен для предотвращения заражения и кражи паролей покажет время.
    К сожалению, в том, что касается эффективности автоматического режима, существует целый ряд вопросов к разработчикам. Конечно, с учетом того, что KIS позиционируется как многослойная система защиты, риски несколько ниже, но не элиминируются полностью. В частности, у нас бывали рапорты об инцидентах попадания пинча в группу слабо доверенных.

    Однако для человека который пытается настроить ХИПС вручную, система сложная, не понятная, не достаточно гибкая и не даёт чувства защищенности. Объяснения в хелпе не достаточно подробные что бы действительно понять что нужно делать и что произойдет в случае заражения.
    Да, это так. Особенно в плане гибкости. Почти сразу после технического релиза я вывесил на форуме бета-тестирования изрядную простыню под названием "Реформирование HIPS", в которой изложил основные недочеты существующей идеологии и архитектуры. Образно говоря, сейчас HIPS максимум гнется на 90 градусов, в то время как я привык, чтобы ее можно было завязать узлом. Но я думаю, что все еще впереди, в конце концов, это лишь первая попытка, проба пера. HIPS будет обеспечивать развитие продукта еще в течение двух или трех версий как минимум - столько всего просится к исправлению, добавлению или модификации. Cо справкой тоже беда - она далеко не всегда достаточно информативна, и подчас складывается ощущение, что ее авторы не пробовали сами делать то, о чем они пишут. Не хватает понимания процесса.

    Например известно что эксплуатация уязвимостей ИЕ является сегодня одним из основных источников заражения. Каким образом ХИПС защищает от этого, если ИЕ в списке доверенных?
    1. В какую группу попадёт троян скачанный и запущенный через ИЕ при помощи експлоита?
    2. Унаследует ли этот троян право доступа к хранилищу паролей ИЕ?
    Давайте попробуем разобрать.

    1. В группу доверенных троян уже не попадает, если только у него нет цифровой подписи или его не одобрили в самой компании занимающиеся этим аналитики. Если он детектирован сигнатурно, то он без разговоров полетит в группу недоверенных и останется отдыхать там, пока не будет удален. Если нет, то в зависимости от того, какой рейтинг присвоит ему эвристический анализатор, он окажется либо в слабых, либо в сильных ограничениях.

    2. Как я озвучил выше, права не наследуются сверху вниз. То есть более широкие права не передаются на более узкие. Права Доверенных могут наследовать только Доверенные (и то это скорее недочет, чем фича). Убедитесь сами: занесите AVZ в слабо или сильно ограниченные, запустите ее доверенным Проводником и попробуйте сделать что-нибудь, что разрешено доверенным приложениям, но запрещено ограниченным. Вас будет ждать фиаско

    Далее у меня концептуальный вопрос. КИС хорошо известный распространенный антивирус. Известно что серьёзные троянописатели проверяют свои трояны на то что они не детектируются распространенными антивирусами перед их выпуском в свет. Следовательно они будут проверяться и на рейтинг который они получат от песочницы КИС, и основываясь на котором программы разделяются на группы. Автоматически напрашивается вывод, что через пару месяцев почти все новые трояны будут попадать в группу "Слабые ограничения".
    Вопрос, зачем нужны группы "сильные ограничения" и "недоверенные", если туда будут попадать практически только легитимные программы?
    Смотрите сами: вы назвали причину (будут проверять на рейтинг) и следствие (новые трояны будут попадать в Слабые ограничения), но никак не обозначили связь (то есть за счет чего будет достигнуто данное следствие). Соответственно мне будет сложно ответить конкретно, т.е. исходя из того, как вы представляете себе этот процесс. Если вы имеете в виду, что это будет делаться за счет соответствующего модифицирования ПО, то давайте попробуем представить, можно ли это вообще сделать.

    Для попадания в сильно ограниченные приложение должно иметь опасный функционал и признаки (нет цифровой подписи, нет в базе безопасных, имеются очень подозрительные функции, такие, как, например, серверная активность, напоминающая бэкдор, виртуализация, нападение на программы защиты и тому подобное). Позвольте, но как убрать эти функции и признаки? Подписать троян цифровой подписью невозможно по определению. Внести его в базу безопасных бесперспективно. Убрать бэкдорный функционал и прочее - лишить данный образец его основного предназначения. Тогда что делать? Единственный вариант - противодействовать анализатору файлов, который рассчитывает индекс опасности. Это действительно может быть вектором для атаки, но мне думается, что ЛК будет принимать соответствующие меры.

    Менее значительные вирусы, скорее всего, и так будут попадать в Слабые ограничения, я писал об этом выше. Это тоже вектор для атаки, здесь, к сожалению, приходится надеяться на дальнейшую корректировку идеологии, распределительного механизма и умолчательных правил.

    Что касается группы недоверенных, то в нее автоматически заносятся сигнатурно детектированные образцы.
    Последний раз редактировалось NickGolovko; 30.08.2008 в 11:37. Причина: Добавлено
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  15. #14
    Geser
    Guest
    Ок, я понял по поводу наследования и занесения в группы. В общем выглядит относительно терпимо.

    Для попадания в сильно ограниченные приложение должно иметь опасный функционал и признаки (нет цифровой подписи, нет в базе безопасных, имеются очень подозрительные функции, такие, как, например, серверная активность, напоминающая бэкдор, виртуализация, нападение на программы защиты и тому подобное). Позвольте, но как убрать эти функции и признаки?
    ...
    Единственный вариант - противодействовать анализатору файлов, который рассчитывает индекс опасности. Это действительно может быть вектором для атаки, но мне думается, что ЛК будет принимать соответствующие меры.
    Совершенно верно. И методы противодействия известны и используются. Протекторы и трюки позволяющие обнаружить эмуляцию и подсунуть эмулятору совсем не тот код, который будет выполняться на реальной системе. Может еще что-то о чем я не знаю. ЛК, конечно, будут принимать меры, но вирусописатели всегда будут на шаг впереди. Потому нет никакого сомнения что все качественные трояны и новые версии Пинча будут попадать в "Слабые ограничения". Потому я не вижу смысла делать 4 групы. Групп должно быть 2. Доверенные и не доверенные. И ко всем кто в недоверенных должно быть отношение как к трояну. Т.е. запрещено всё что не разрешено. Всё остальное выглядит красиво и солидно для обывателя, но реальная ценность в плане защиты, IMHO, равна нулю.

    Добавлено через 4 минуты

    Далее, вопрос как защищаются доверенные процессы от процессов из группы "Слабые ограничения". Есть ли защита от dll injection, записи в адресное пространство доверенного процесса и т.п. трюков используемых троянописателями?
    Последний раз редактировалось Geser; 30.08.2008 в 11:58. Причина: Добавлено

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Подписать троян цифровой подписью невозможно по определению.
    Чушь.
    http://www.softsphere.com - DefenseWall, DefencePlus

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от rav Посмотреть сообщение
    Чушь.
    Как бы не встряли из за такой чуши...

    P.S: Работа KIS 2009 в автоматическом режиме меня поразила вообще - стоит там запрос на модификацию файлов с расширением exe, sys, dll, а на деле слабо ограниченные что хотят мутят...

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Цитата Сообщение от Geser Посмотреть сообщение
    Потому я не вижу смысла делать 4 групы. Групп должно быть 2. Доверенные и не доверенные. И ко всем кто в недоверенных должно быть отношение как к трояну. Т.е. запрещено всё что не разрешено. Всё остальное выглядит красиво и солидно для обывателя, но реальная ценность в плане защиты, IMHO, равна нулю.
    Это некоторое преувеличение. Помимо безусловно недоверенных и безусловно доверенных есть промежуточный вариант - приложения, которые вроде бы легитимные, но в то же время не вполне доверенные - такие, как, скажем, Internet Explorer. Поэтому список групп можно было бы сократить до трех элементов - Доверенные, Ограниченные, Недоверенные.

    Далее, вопрос как защищаются доверенные процессы от процессов из группы "Слабые ограничения". Есть ли защита от dll injection, записи в адресное пространство доверенного процесса и т.п. трюков используемых троянописателями?
    Непосредственного воспроизведения прежнего Контроля целостности в продукте нет. Есть защита от управления процессами, установки библиотек-перехватчиков, внедрения кода - см. таблицу "Права".

    Цитата Сообщение от rav
    Чушь.
    Простите, а вы много видели вредоносного программного обеспечения с ЭЦП Microsoft?

    P.S: Работа KIS 2009 в автоматическом режиме меня поразила вообще - стоит там запрос на модификацию файлов с расширением exe, sys, dll, а на деле слабо ограниченные что хотят мутят...
    См. выше:

    В автоматическом режиме "Запрос действия" равен "Разрешить". Почему - вопрос не ко мне
    хотя вроде бы должно выполняться рекомендуемое действие, а оно в вашем случае - Запретить.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Простите, а вы много видели вредоносного программного обеспечения с ЭЦП Microsoft?
    Про ЭЦП именно от MS ничего не говорилось (см. топики выше). Говорилось именно про ЭЦП вообще. Зловредописателю получить такую для себя в том же Thawte или RSA- проще пареной репы.
    http://www.softsphere.com - DefenseWall, DefencePlus

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Поясню: имел в виду именно ЭЦП Microsoft, поскольку не осведомлен о принципах обработки KIS 2009 других подписей.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  21. #20
    Geser
    Guest
    В таблице права есть "Доступ к другим просессам" и "Модификация системы" или я смотрю не в той таблице?
    Так что какая конкретно защита процессов осуществляется совершенно не понятно.

Страница 1 из 4 1234 Последняя

Похожие темы

  1. Выпущена новая линейка приложений Panda Security 2009
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 04.10.2008, 16:50
  2. что такое "антивирус 2009"??
    От сергей владимиров в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 14.09.2008, 11:16
  3. что такое "Антивирус 2009"???
    От сергей владимиров в разделе Вредоносные программы
    Ответов: 1
    Последнее сообщение: 13.09.2008, 19:14
  4. HIPS
    От Sjoeii в разделе Other security software
    Ответов: 4
    Последнее сообщение: 30.11.2007, 20:34
  5. Ответов: 4
    Последнее сообщение: 20.07.2005, 20:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00840 seconds with 19 queries