Рейтинг межсетевых экранов. Каким брандмауэром Вы пользуетесь?

[orvman]

Зайцев Олег

По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться"

Ты заставил меня улыбнуться и даже посмеяться. Ну да ладно, обсуждать это не будем. Спасибо за тему книги.

за счет драйвера в KernelMode + руткита UserMode, который устанавливается драйвером во все процессы в ходе их загрузки. OP, как известно, ловит модификацию кода через WriteProcessMemory, а это далеко не единственный метод внедрения ...

Я ждал такого высказывания насчет Kernel - это бесспорно так, тут ты в правильную сторону смотришь....
Далее. Ясно дело, что не единственный метод. ОР вообще контролирует весь сетевой трафик, даже банальный localhost:loopback:127.0.0.1 им прибить можно. И ОР работает на самом низком уровне. И также сам ОР и его плагины производят фильтрацию и перехват на уровне TDI и NDIS запросов, что позволяет фильтровать как активность приложений, так и активность системы. Ты, конечно скажешь, что я несу чушь и говорю не про то. Но, то, что в силах ОР - он делает и выдавливает от системы все, что может. Агнитум же не имеет исходников Винды, чтоб и ее еще взять под контроль.
Теперь далее. Трояны есть трояны. Это не leak-тесты. И ты это сам прекрасно понимаешь не хуже меня. Сидит троян + если у него уже есть контроль виндовой системы на уровне ее ядра, либо важных сервисов, например svchost.exe (который отвечает еще за кучу сервисов), то все, хана. Но изменения в системе, даже по логам ОР сделать можно и заподозрить неладное. Много можно говориь насчет этого, не в этом смысл. Трояны - есть трояны, с ними должен работать соответствующий софт...
Теперь самое главное. Внедрение в Kernel... Здесь копать нужно уже в сторону Винды, но т.к. Микрософт до сих пор еще не выложил свои исходники, то это не предоставляется возможным и это не вина ОР., то же самое можно сказать про вообще все фаеры на виндовых системах.

если пользователь с персональным Firewall работает с правами админа, то Firewall элементарно нейтрализовать.

Согласен. Агнитум активно работает над этим. В v2.7. ввели новый модуль Gina, контролирующий стандартную виндовую DLL. Конечно, это совсем не то и вряд ли чего они конкретного добьются, т.к. я уже сказал, что дело в исходниках винды и самом принципе работы ее ядра. Но, с другой стороны Агнитум официально работает и тесно (!!!!) сотрудничает именно с Микрософтом и сам Микрософт об этом говорил... И не удивлюсь, что через пару лет вместо стандартного виндового фаера, где нибудь в новой винде, будет стоять встроенный агнитумовский.
Кстати, не слышал про новую Винду (не помню точно), в которой такой вариант не проканает? Успарять не буду, тонкости не знаю - время покажет.

И многие тесты Firewall заточены именно на попытку обмана Firewall без наличия у процесса прав админа ... это важный момент.

Согласен.

P.S. Зайцев Олег, а вообще я с тобой во всем согласен. Приятно иметь дело с умным человеком, знающим о чем говорит.
Единственственно, что меня добило, то это твое высказывание насчет ОР:

По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" Печально, но это правда

Дело в том, что я обеими руками за ОР и лучше него я еще не видел. Увижу, потестирую, скажу А пока никто меня не переубедит в обратном.

Trojan-Spy.Win32.Banker.ds, Trojan-Spy.Win32.Banker.md ...

Слушай, если не трудно, кинь мне рабочие файлики + исходники (если есть). Любопытно. Заранее спасибо.

[Зайцев Олег]

......
P.S. Зайцев Олег, а вообще я с тобой во всем согласен. Приятно иметь дело с умным человеком, знающим о чем говорит.
Единственственно, что меня добило, то это твое высказывание насчет ОР:
Дело в том, что я обеими руками за ОР и лучше него я еще не видел. Увижу, потестирую, скажу А пока никто меня не переубедит в обратном. Слушай, если не трудно, кинь мне рабочие файлики + исходники (если есть). Любопытно. Заранее спасибо.

Просто я пробовал разные методы противодействия Firewall, но никогда не публиковал их - из-за того, что вреда от этого будет намного больше, чем пользы. Aintrust вел кстати аналогичные исследования - интересно послушать и его мнение.
Насчет троянов - исходников у меня их естетсвенно нет, но я могу "подарить" его рабочие образцы для опытов. Напиши мне в ЛС, куда их прислать - я перешлю.

PS: В дополнение - поправка ... "можно написать толстую книгу, как нейтрализовать программный Firewall ..." - OP конкретно тут естественно непричем, т.к. если я могу получить права System, тот тут уже не важно, OP там или еще что - при желании его достаточно легко нейтрализовать.

[aintrust]

Просто я пробовал разные методы противодействия Firewall, но никогда не публиковал их - из-за того, что вреда от этого будет намного больше, чем пользы. Aintrust вел кстати аналогичные исследования - интересно послушать и его мнение.
Насчет троянов - исходников у меня их естетсвенно нет, но я могу "подарить" его рабочие образцы для опытов. Напиши мне в ЛС, куда их прислать - я перешлю.
...

Да, некоторое время назад я исследовал (или, точнее, "расследовал" )возможности различных файерволлов на предмет противодействия разного рода leak-тестам (как известным, так и работающим по моему собственному сценарию). Даже хотел кое-что опубликовать, но Олег отсоветовал меня это делать - он мне рассказал, как на него слегка "наехали" ребята из Агнитума после того, как он опубликовал сравнительный анализ файерволлов у себя на сайте. Тогда я для себя решил: а зачем мне это надо, ведь "дырки" любого файерволла видны невооруженным глазом, и разработчики прекрасно о них знают, а давать лишний повод размяться "кул-хацкерам" просто нет никакого смысла. В общем, я оставил эту затею... Для себя же сделал неутешительный вывод: практически ни один файерволл из имевшихся на тот момент времени на рынке не мог в полной мере противостоять атаке изнутри. Методы обхода, безусловно, разные (как "умные", так и "тупые"), и в частности, такой достаточно простой, как предлагает Sanja - впрочем, это уже не важно! Важно то, что никакой файерволл не обеспечивает 100% защиты изнутри (да и, зачастую, снаружи!), если вы работаете под Администратором! Такие вот дела...

PS. Кстати... по поводу "комплексных" защит (это когда антивирус комплектуется сетевым файерволлом вместе с файерволлом приложений и прочей требухой). Нынешний продукт от Лаборатории Касперского, обсуждавшийся тут накануне, т.н. KIS2006, тоже очень "дыряв", и пока что "обходится" простейшими способами. Неужели и релиз будет таким? Странно это, однако...

[Geser]

PS. Кстати... по поводу "комплексных" защит (это когда антивирус комплектуется сетевым файерволлом вместе с файерволлом приложений и прочей требухой). Нынешний продукт от Лаборатории Касперского, обсуждавшийся тут накануне, т.н. KIS2006, тоже очень "дыряв", и пока что "обходится" простейшими способами. Неужели и релиз будет таким? Странно это, однако...

Стенка у них не основной продукт, потому, вероятно, не будет образцом надёжности. Хотя жаль.

[aintrust]

Стенка у них не основной продукт, потому, вероятно, не будет образцом надёжности. Хотя жаль.

Да я даже и не конкретно стенку имею ввиду... Сам продукт в целом, если он в какой-либо из своих компонент уязвим, не может заслуживать доверия в целом. А пока что KAV/KIS2006 уязвим, и не только с точки зрения реализации, но и концептуально.

[orvman]

"дырки" любого файерволла видны невооруженным глазом, и разработчики прекрасно о них знают,

Добавлю. Не всегда видны, но все разработчики, конечно же знают все тонкости и уязвимости своих продуктов, некоторые из которых выявляются уже только в процессе использования, а кое-что просто невозможно исправить из-за самой работы винды, поэтому и приходится всем разработчикам искать обходные пути, которые, в свою очередь не всегда корректные и т.д. и цепляются за другие тонкости и т.д. В итоге - глюки многих программ и т.д.

Даже хотел кое-что опубликовать, но Олег отсоветовал меня это делать - он мне рассказал, как на него слегка "наехали" ребята из Агнитума после того, как он опубликовал сравнительный анализ файерволлов у себя на сайте.

Хм. Странно. Пока воздержусь от комментариев. А есть конкретные подробности (как было сказано выше) "наехали"? Интересно. Боюсь, что Олег неправильно все это понял.
А вообще можете опубликовывать. Было б интересно.

[aintrust]

Добавлю. Не всегда видны, но все разработчики, конечно же знают все тонкости и уязвимости своих продуктов, некоторые из которых выявляются уже только в процессе использования, а кое-что просто невозможно исправить из-за самой работы винды, поэтому и приходится всем разработчикам искать обходные пути, которые, в свою очередь не всегда корректные и т.д. и цепляются за другие тонкости и т.д. В итоге - глюки многих программ и т.д.

Профессионалу-программеру, хотя бы немного знакомому с системным программированием, "дырки" в защите видны практически всегда. Конечно же, "дырки" "дыркам" рознь, и на поиск некоторых надо потратить не один день! Однако большинство методов атак хорошо описаны как в литературе, так и в интернете - просто нужно почаще "лазить" по многочисленным хакерским сайтам и читать, читать, читать... а потом пробовать, пробовать, пробовать. Это все базовые вещи, и все об этом знают. Кроме того, если к.-л. команда собирается писать продукт, обеспечивающий защиту к.-л. вида, то кто-то в этой команде должен представлять себе большинство возможных тонкостей (хотя бы на сегодянший день!), а выявлять их в процессе эксплуатации хорошо, конечно, но, увы, бывает поздновато... И уж поверьте, исходники Винды тут не при чем, хотя они в чем-то помогли бы (правда, и хакерам тоже!).

Что касается непосредственно, скажем, Outpost FW, то, как ни неприятно будем вам это слышать, его "защита" от внутренних атак, мягко скажем, примитивна, если не сказать хуже. Как я уже говорил в этой ветке (или я говорил это где-то еще? ), у меня сложилось впечатление, что вся "защита" Oupost FW была сделана лишь для того, чтобы пройти лик-тесты с общеизвестного сайта и потом выпустить брошюру по этому поводу с гордыми заявлениями типа "мы единственные из файерволлов прошли все лик-тесты с такого-то сайта на 100%!", как будто это является доказательством того, что продукт обеспечивает 100% защиту от внутренних атак! Понимаете... это ведь все маркетинг... продукт-то надо продавать, нужно убеждать пользователей, что он лучший, даже если это не так! Нет, не подумайте, что я считаю Outpost FW плохим файерволлом - нет, все как раз наоборот, как сетевой файерволл он очень даже неплох, но вот что касается остального - то тут еще "надо много работать и работать"!

Хм. Странно. Пока воздержусь от комментариев. А есть конкретные подробности (как было сказано выше) "наехали"? Интересно. Боюсь, что Олег неправильно все это понял.

Подробности - у Олега, если он захочет ими поделиться. Насчет "неправильно понял" - ну, что тут сказать, видимо так "объяснили", что понял соответствующим образом.

А вообще можете опубликовывать. Было б интересно.

Хорошая фраза (в том смысле, что вы мне предлагаете/разрешаете это сделать)... На самом деле, я полагаю, многим было бы интересно, не только вам, но "слава Герострата" мне не по плечу (или не по карману)... да и неинтересно мне уже это (мне не за это деньги платят!)

[SDA]

aintrust, хотелось узнать твое мнение по Zonealarm(стенка на которой я сижу, если это не сложно. Просто я в считаю (конечно субъективное мнение), Zonealarm и Outpost FW (я им тоже длительное время пользовался) одни из лучших стенок, хотя вполне, на 100% согласен, что абсолютной защиты нет (вобще то есть, если выдернуть сетевуху), но данные стенки от начинающих кулхацкеров и тупых сетевых червей защищают на 100%.

[aintrust]

Тут вот какое дело... Я не занимаюсь "исследованиями" возможностей сетевых файерволлов с точки зрения атак снаружи (просто мне эта тема не очень интересна), поэтому не буду судить об их возможностях именно с этой точки зрения. Можно, естественно, заняться и этим, но на все нужно время, и много, а со временем - труба...

С точки зрения возможности отражения атак изнутри (т.н. leak-тестов) - могу кратко взглянуть, если найду время в субботу (в чем, увы, не очень уверен). В настоящий момент, как я уже говорил, я уже забросил свои изыскания на этот счет, а время идет, и файерволлы активно прогрессируют в этом плане (все стараются переплюнуть друг друга по leak-тестам - "маркетинг, однако"), так что каждый раз нужно смотреть по-новой, чтобы не наговорить лишнего (т.е. чтобы не выдать уже устаревшую инф-цию). Поймите меня правильно: делая какие-то заявления, я стараюсь отвечать за свои слова, поэтому иногда лучше "недо...", чем "пере...". В общем, если смогу посмотреть, то посмотрю... ну, а не смогу - не обессудьте! Результат, естественно, в личку (в PM)...

Да, еще... ZA - субъективно неплохой файерволл.

[SDA]

aintrust! Заранее спасибо!

[Geser]

Результат, естественно, в личку (в PM)...

Хм, т.е. по Вашему мнению пользователь должен выбирать firewall по внешнему виду, потому что те кто может провести нормальное тестирование боятся его опубликовать. Интересная логика

[aintrust]

Ну, что тут сказать... Во-первых, действительно объективный обзор (с доказательствами и примерами PoC) требует затраты большого количества времени и сил - а мне сейчас жалко и того, и другого, т.к. я по горло занят другими делами. Во-вторых, SDA попросил меня высказать свое мнение по поводу конкретного FW - я постараюсь сделать это более-менее объективно, как только смогу это сделать (как найду время).

Если же вы хотите, чтобы я что-то написал по поводу ZA (типа смог я его сломать или нет) тут, в этой ветке - так вы так и напишите, только и всего...

А про "боятся опубликовать" я не понял... или вы чего-то не поняли...

[Geser]

Ну, что тут сказать... Во-первых, действительно объективный обзор (с доказательствами и примерами PoC) требует затраты большого количества времени и сил - а мне сейчас жалко и того, и другого, т.к. я по горло занят другими делами. Во-вторых, SDA попросил меня высказать свое мнение по поводу конкретного FW - я постараюсь сделать это более-менее объективно, как только смогу это сделать (как найду время).

Если же вы хотите, чтобы я что-то написал по поводу ZA (типа смог я его сломать или нет) тут, в этой ветке - так вы так и напишите, только и всего...

А про "боятся опубликовать" я не понял... или вы чего-то не поняли...

Интересна любая информация. Конечно публиковать PoC не обязательно дабы не попали в плохие руки. Достаточно общего описания, а PoC можно предоставить разработчикам если попросят. Конечно обзор десятка стенок требует времени. А вот сделать сравнительный анализ, скажем ОП и ЗА, особенно если у Вас уже есть наработки не такая трудоёмкая задача, так что если бы Вы могли сделать хотя бы примитивную сравнительную табличку было бы очень полезно.

[Xen]

Немного улыбнуло упоминание об исходниках винды. У любого нормального драйвер-девелопера имеется "зарелизенный" кусок от Мэйнсофта, куда попал, например, сетевой стек НТ4...

[Geser]

А вообще, именно публично выложенные ликтесты которые обходят защиту заставляют производителей шевелиться. Хакеры и так знают пути обойти стенку, только не спешат поведать об этом миру, что бы у призводителей был стимул залатывать дыры.

[Sanja]

>Теперь самое главное. Внедрение в Kernel... Здесь копать нужно уже в сторону Винды, но т.к. Микрософт до сих пор еще не выложил свои исходники, то это не предоставляется возможным и это не вина ОР., то же самое можно сказать про вообще все фаеры на виндовых системах.

Sorry for translit... some fucking problems with keyboard language selection...
Tak vot.. nenado tut duro4ku stroit iz seba.. pla4a o tom, 4to ishodniki windi nedostupni...
U kogo est mozgi u togo i FW norm
primer - Sygate FW
1. nelza ubit iz pod r3 mode eto realizovivaetsa elementarno.. no o4en deystvennoe sredstvo protiv 99.99 "cool hackerov" u OP etogo netu.. i ne predviditsa
2. control dostupa driverov k seti daze 4erez kmode driver trojan nesmozet viyti v i-net

[Sanja]

Всех поздравляю... примерную реализацию моего метода вчера выложил Николай gorl в интернете.... Как и ожидолось все подтверждают что обход 100%

[Daishi]

McAfee Desktop лучший по загрузке системы и фейсу

хотите ещё лучше ставте Look'n'Stop

[aintrust]

Всех поздравляю... примерную реализацию моего метода вчера выложил Николай gorl в интернете.... Как и ожидолось все подтверждают что обход 100%

Так выложите сюда эту "реализацию" посмотреть, если она у вас есть, какой смысл ссылаться на мнение "всех" (кстати, я так и не смог посмотреть ее на http://forum.blacklogic.biz, файл не закачивается) и пугать народ!

Упомянутый вами Николай gorl, кстати, всего лишь навсего простенько "расхучивает" (т.е. восстанавливает в оригиналы) KeServiceDescriptorTable (что умеет и AVZ, к примеру). Я не знаю, как конкретно он это делает, через загрузку k/m драйвера или через доступ к device\physicalmemory (он ссылается на статью 90210, который использует именно такой метод) или еще как-то, но это и не важно, в общем... Если этого не умеет контролировать Outpost FW, то это совсем не значит, что найден "100% обход" всех файерволлов, как вы пишете, не так ли?

В общем, ждем-с реализации... вашей ли или чьей-то еще... тем более, что она уже опубликована, как вы сказали!

edit: PS. Да... посмотрел опус этого Николая gorl в журнале Хакер... совершенно детская статейка (и название соответствующее, "Абсолютный ноль"), совершенно ничего интересного: сплошное переписывание банальных и давно известных истин типа гейтов в ядро и доступа через physicalmemory... и что, на этом и основан весь "обход" файерволлов??? Если так, то я просто умру со смеху!!!

[Sanja]

http://read-only.ru/def_disable.rar