Бета-тестирование DefenseWall Host Intrusion Prevention System.

[Sanja]

>копирование драйвера в system32 и его регистрация на запуск. Каспера в гудок!

Может это непонравилось?

[davaeron]

Доброго Вам времени суток =)

rav, Ваш продукт не sandbox нифига, а кастрированный брат-близнец PG-подобных систем (SDT-hook) и нех разглагольствовать о "новом способе защиты", это Вы загнули...
Обойти Вашу защиту можно используя реестр (да, не все еще залочили) или нестандартно используя стандартные API вызовы (как загнул, а ведь в этом-то вся и соль, точнее направление куда копать) для внедрения в чужой процесс плюс немного медитации (мой способ прокатывает на всех HIPS'ax так что может хоть этот факт Вас порадует, и не надо орать что сие утверждение - бездоказательно, спроси Azrael'я - он видел и тестировал [будет третийским судьей], а выкладывать/не выкладывать - мое дело)

[rav]

Доброго Вам времени суток =)

rav, Ваш продукт не sandbox нифига, а кастрированный брат-близнец PG-подобных систем (SDT-hook) и нех разглагольствовать о "новом способе защиты", это Вы загнули...

Ну-ну, перевирать-то не надо! Я говорил не про "новом способе проактивной защиты", а про "новый мейнстрим проактивной защиты". Чувствуем разницу?

Обойти Вашу защиту можно используя реестр (да, не все еще залочили) или нестандартно используя стандартные API вызовы (как загнул, а ведь в этом-то вся и соль, точнее направление куда копать) для внедрения в чужой процесс плюс немного медитации (мой способ прокатывает на всех HIPS'ax так что может хоть этот факт Вас порадует, и не надо орать что сие утверждение - бездоказательно, спроси Azrael'я - он видел и тестировал [будет третийским судьей], а выкладывать/не выкладывать - мое дело)

Ну, так я и не претендую на то, что закрыл все дыры. И, на самом деле, ни один продукт на это не претендует. Если продукт защищает от 98% всей той гадости, что можно подцепить в инете- он уже очень хорош. И я претендую именно на эти 98%. Как только in-the-wild появится тот зверёк, которого я не блокирую- добавить новую запись займёт ровно пару секунд.
Утверждение является бездоказательным в случае, если доказательст нет (сорри за тавтологию), а есть только слова. В данном конкретном случае ситуация именно такова.
Кстати, в ответ на "булькание в кармане" из твоего поста на WASM могу только сказать, что деньги на поиске уязвимостей реально делаются так: в течение нескольких лит ты регулярно находишь бреши и публикуешь отчёты в соответствующих листах рассылки (например, на securityfocus). За это время ты становишься известным экспертом в области безопасности и тебя берут на работ у в очень крутую контору (типа ISS, Positive Tech) на очень хорошую зарплату. Так это работает. Есть и другой способ. Ты продаёшь эксплойт господам адварьщикам за не очень большие деньги. Минусы- 1) тебя в любой момент могут слить ментам 2) твой авторитет в среде безопасников остаётся нулевым. Как результат- хорошая (читай-высокооплачиваемая) работа тебе не светит.

[aintrust]

...
Обойти Вашу защиту можно используя реестр (да, не все еще залочили) или нестандартно используя стандартные API вызовы (как загнул, а ведь в этом-то вся и соль, точнее направление куда копать) для внедрения в чужой процесс плюс немного медитации (мой способ прокатывает на всех HIPS'ax так что может хоть этот факт Вас порадует, и не надо орать что сие утверждение - бездоказательно, спроси Azrael'я - он видел и тестировал [будет третийским судьей], а выкладывать/не выкладывать - мое дело)
...

Дима, ну к чему столько страсти-то? Нет, ну я бы еще попытался тебя понять, если бы "твой" код обхода (я имею ввиду, в частности, fwb) был бы действительно чем-то новым или хотя бы оригинальным по своей идее! А что касается внедрения в процесс, в частности... ну ты ведь даже ни на миллиметр не отошел от идеи, выдвинутой еще 3 (!!!) года назад известной группой LSD (The Last Stage of Delirium) в статье 'Win32 Assembly Components' (параграф 2.2, 'Process Forking'). И, насколько я вижу по твоим вопросам на форумах, так и продолжаешь крутиться вокруг нее... Ну что ты так расшумелся везде об этой идее? Ну, обходит твой fwb кое-что кое-где, а многое и не обходит (тебе уже не раз про это говорили) - нет, ты снова и снова возвращаешься к одному и тому же... А смысл?

А что касается непосредственного "виновника", т.е. DW, то, не будем лукавить, хорошую программу защиты написать на порядок (или на два) сложнее, чем найти дыру в любой защите. Я в данном случае буду оптимистом (и соглашусь с Джоанной Рутковской, которую ты тоже иногда "цитируешь" ): количество потенциально уязвимых мест в операционной системе конечно, т.е. можно таки написать продукт, который закроет эти дыры (и дай бог не наделает своих собственных!), так что такие продукты, как DW имеют право на существование, тем более, что по очень многим параметрам DW очень даже неплох! Можно с твоей стороны сколь угодно долго говорить о том, что "DW сырой" и т.д., но, имея за пазухой лишь один камень (т.е. лишь один кем-то когда-то виденный эксплойт), стоит ли делать столь безапелляционные утверждения? Честно - хотелось бы аргументов посерьезнее, а не только страстей...

Да и вообще, "не ошибается лишь тот, кто ничего не делает" - старая идея, а работает на 100% всегда!

[rav]

Вышел DefenseWall HIPS RC1. Улучшений много.

[Geser]

Вышел DefenseWall HIPS RC1. Улучшений много.

А можно хотя бы в общхем?

[rav]

Легко.

1. Красивый скинированный фейс.

2. "Secured files" ("Защищённые файлы")- файлы и директории, недоступные для недоверенных.

3. Диалог, который показывает процессы с разбиением на доверенные и недоверенные.

4. Теперь можно временно отключать недоверенные прямо из списка, а потом включать обратно.

5. Защищается больше ключей в реестре.

6. Защита подсистемы печати.

[rav]

Вышел релиз. Много изменений и улучшений.

[Geser]

Вышел релиз. Много изменений и улучшений.

С большими фонтами не влазит регистрационная информация. Потом, в окошке регострации ввёл регистрационный ключь. Появилась регистрационная информация, но кроме этого никаких изменений. Хоть бы кнопку "Try now" нужно заменить.
Вылезла куча предупреждений. Лог прилагаю

[Geser]

Кстати, почему бы не выводить в лог более подробную информацию. Например написано попытка создания сервиса. Нельзя ли написать конкретнее какой именно сервис была попытка создать, и т.п. для остальных действий.

[Geser]

Кстати, на Google Desktop ругается очень во время старта. Глянь чего они там не дружат.

[rav]

С большими фонтами не влазит регистрационная информация.

Надо будет мне просто немного переделать формат рег. записи.

Потом, в окошке регострации ввёл регистрационный ключь. Появилась регистрационная информация, но кроме этого никаких изменений. Хоть бы кнопку "Try now" нужно заменить.

Лады, сделаю.

Вылезла куча предупреждений. Лог прилагаю

Фильтруй все. Вроде как ничего страшного не увидел.

Кстати, почему бы не выводить в лог более подробную информацию. Например написано попытка создания сервиса. Нельзя ли написать конкретнее какой именно сервис была попытка создать, и т.п. для остальных действий.

Попытка создать сервис- это ложняк. В любом случае, я пока не могу выводить имена, поскольку не знаю, как их получать.
Формат пакета недокументирован абсолютно, а перехват идёт в драйвере.

Кстати, на Google Desktop ругается очень во время старта. Глянь чего они там не дружат.

Закачал- сейчас буду смотреть.

[rav]

Посмотрел Google Desktop- да, появилось несколько дополнительтых событий. В гудок (точнее- в фильтр).

[Geser]

Посмотрел Google Desktop- да, появилось несколько дополнительтых событий. В гудок (точнее- в фильтр).

В фильтр это в смысле будет блокироваться но не появляться в логе? А эта блокировка не будет мешать нормальной работе Google Desktop?

[rav]

В фильтр это в смысле будет блокироваться но не появляться в логе? А эта блокировка не будет мешать нормальной работе Google Desktop?

Нет, не будет. В принципе, можешь запустить разок IE как доверенный под Google Desktop, после этого точно всё будет фурычить 100% как надо.

[Geser]

Нет, не будет. В принципе, можешь запустить разок IE как доверенный под Google Desktop, после этого точно всё будет фурычить 100% как надо.

По моему нужен какой-то механизм задания исключений. Иначе народ постоянно будет пугаться этих предупреждений. Иди пойми как это сказывается на работоспособности разных плагинов.

[rav]

По моему нужен какой-то механизм задания исключений. Иначе народ постоянно будет пугаться этих предупреждений. Иди пойми как это сказывается на работоспособности разных плагинов.

Этот механизм называется фильтрацией. На работоспособности обычно не сказывается никак!

[Geser]

А как на счет такого
Attempt to set value Blob within the key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificate s\Root\Certificates\4CEC8D70A400F0C0DEAAA7E7444FB3 5863320D8E\
это не мешает работе с сертификатами?

[rav]

А как на счет такого
Attempt to set value Blob within the key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificate s\Root\Certificates\4CEC8D70A400F0C0DEAAA7E7444FB3 5863320D8E\
это не мешает работе с сертификатами?

Пришли мне, пожалуйста, лог-файл и этот кусок реестра по почте- я поколдую и добавлю в список исключений, чтобы в будущем точно проблем не было!

[rav]

А как на счет такого
Attempt to set value Blob within the key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificate s\Root\Certificates\4CEC8D70A400F0C0DEAAA7E7444FB3 5863320D8E\
это не мешает работе с сертификатами?

Сам разобрался, что и как нужно добавлять в исключения. В следующей версии всё будет пучком.