Официально вышла первая бета DefenseWall HIPS & Personal Firewall v3.00.
DefenseWall Personal Firewall- это первый в мире персональный файервол-песочница и инновационной технологией "Адаптивная автоматическая защита".
Редакция Persona Firewall расширяет возможности DefenseWall HIPS, базирующейся на простом разделении прложений на "доверенную" и "недоверенную" зоны. Это то, как должны были выглядеть персональные файерволы ещё десять лет назад, то так и не стали, превратившись в жутких монстроузных уродцев.
Основные преимущества продукта:
Отсутствует режим обучения. Полностью.
Отсутствует необходимость настраивать порты и типы сокетов
Защита от нежелательных перезагрузок
Отсутствует необходимость подтверждения контрольных сумм при обновлении ПО.
Минимальное по индустрии количество всплывающих окон с вопросами.
Возможности:
Адаптивная автоматическая защита.
• Для исходящих и входящих подключений нет необходимости в дополнительных настройках чего бы то ни было - просто устанавливай и работай. Как и DefenseWall HIPS, персональный файервол предназначен для обеспечения максимальной защиты простого пользователя с минимальными дополнительными действиями.
Белый список для упрощения установки новых программ.
• Файлы-установщики, подписанные "доверенными" вендорами, запущенные из папок "Областей загрузки" автоматически стартуют в доверенной зоне.
Защита от нежелательных перезагрузок.
• Зловредные приложения могут попытаться инициировать перезагрузку вашего компьютера. DefenseWall предупредит об этом и даст возможность избежать рестарта.
Файервол для подключений к Интернету с компьютера.
• DefenseWall Personal Firewall контролирует недоверенную зону на предмет попыток подключения к Интернету и предупреждает вас в случае, если данная программа не подчиняется уже определённым правилам для файервола. Доверенные процессы могут соединяться с Интернетом, но вы можете создать запретительное правило и для них также.
Фапйервол для входящих подключений.
• DefenseWall Personal Firewall автоматически блокирует "слушающие" порты для доверенных процессов. Таким образом, если вам нужно иметь такие вот процессы в работающем состоянии, устанавливайте их как недоверенные. Для чего так сделано? Если приложение имеет дыры, которые могут быть проэксплуатированы злоумышленниками, то их дальнейшие попытки закрепиться в системе будут блокированы песочницей.
Если компьютер входит в домен, DefenseWall автоматически отрывает 445, 135, 137,138 и 139 порты.
Также, файервло входящих подключений DefenseWall'а поддерживает и ручное управление портами.
Ручное управление портами: стандартные профили для особо профессиональных пользователей.
• Прямое ИНтернет-подключение
• Беспроводное ИНтернет-подключение
• Домашняя локальная сеть.
Профили пред-установлены для кажодго типа подключений, порты в списке закрытых могут быть убраны и добавлены вручную.
Да, и я не забыл упомянуть, что скинирование возвращено назад?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Мелочи, а неприятно
1. Основное окно плохо вписывается по высоте в разрешение 1024*600, характерное для нетбуков. Во многих программах диалоговые окна по высоте больше 600 пикселей, и обычно помогает UMPCScrollBarXP, но на окна DefenceWall HIPS та утилита не реагирует.
2. Программа на английском языке, даты в логе имеют американский формат ММ.ДД.ГГГГ - это будет зависеть от языка дистрибутива?
Изменение к лучшему Более строгая охрана защищённых файлов от недоверенных процессов. В версии 2.56 можно было запустить командную строку и скомандовать edit ВажныйФайл.txt - файл открывался только для чтения. В версии 3.0 файл не открывается никак В логе DefenceWall запись про ntvdm.exe - "Attempt to map section at dangerous address"
Последний раз редактировалось Oyster; 06.12.2009 в 05:15.
Есть немного скользкий момент с атрибутом "доверенный". Если недоверенным является exe-файл, то всё понятно. Но к примеру, сам MS Access является доверенным, а mde-файл недоверенный. При двойном щелчке по mde-файлу получаем доверенную Access-программу. С xls-файлами такого не замечено. Хотя трояны на Access, наверно, уже экзотика
1. С нетбуками проблема- слишком маленькое разрешение. Потому что мне нужно думать и о 1024х600 и о 1920х1024. И угодить всем не получится. Думаю, что улучшения тут будут, когда вся структура интерфейса будет пересмотрена полностью.
2. Лог- это техническая информация для меня лично. Пользователям туда лезть крайне не рекомендуется.
3. Вот я создаю простой .mdb-файл и ставлю его недоверенным. Запускаю его и MS Access стартует недоверенным. Я что-то делаю не так?
4. Странно. Пытался воспроизвести у себя- всё правильно работает. Эта проблема, она на всех файлах или только на этой папке?
Последний раз редактировалось rav; 06.12.2009 в 16:34.
Не знаю, насколько это имеет значение, но у меня был mde, а не mdb, и Access Runtime 2007, а не полный MS Access.
А вот это (Access Runtime) уже существенно. Сейчас скачаю и посмотрю.
Сообщение от Oyster
Это продолжение истории с томом, примонтированным как папка Воспроизводится на всех папках в этом томе.
А, ну с этим мне тогда всё понятно. Поддержки таких вот "папок-томов" пока отсутствует, но будет добавлена обязательно в дальнейшем. Пока что мне просто нужно выпускать версию как можно скорее.
Добавлено через 1 час 2 минуты
Всё, с Runtime Access разобрался, спасибо за сообщение о проблеме. С "папками-томами" буду разбираться попозже.
Последний раз редактировалось rav; 06.12.2009 в 20:52.
Причина: Добавлено
Беглый взгляд (упрощенный режим, Win7 Pro x86):
1) Хотелось бы понять, по какому принципу приложения помещаются в доверенные и недоверенные ? Пример.
Тестовые билды qip infium и google chrome, не имеющие цифровых подписей, оказались в доверенных, а firefox и utorrent, напротив, имеющие подписи, оказались в недоверенных. utorrent без добавления в исключения вообще отказался работать, firefox и seamonkey работают в недоверенных так же, как и работали.
2) Есть ли возможность переносить приложения в доверенные ? Хотелось бы это делать из того же окна, где они обозначены.
3) На второй вкладке, в чем смысл функции Enable/Disable ? Сделал отключение qip, строчка покраснела, запустил - прекрасно запустилась.
Или я просто что-то не понял в концепции ?
1. В эту группу помещаются все те приложения, которые контактируют с потенциально опасным контентом из сети и могут быть атакованы. DefenseWall не может знать всех приложений, которые подпадают под одну из групп недоверенных (браузеры, почтовики, мультимедиа-проигрыватели, P2P, IM, IRC).
2. Удалить из списка недоверенных либо сделать "Disable".
3. Изменения были применены?
1) Понятно. Нашел баг или фичу - если приложение находится в программ файлс, то при запуске помещается в недоверенные, если тоже приложение, например с другого диска и пути, то запускается как доверенное.
2) Понял, а что делает "удалить навсегда" ? То есть это аналогично тому, что приложение больше не будет заноситься в недоверенные ?
3) Разобрался.
1) Понятно. Нашел баг или фичу - если приложение находится в программ файлс, то при запуске помещается в недоверенные, если тоже приложение, например с другого диска и пути, то запускается как доверенное.
Просто DefenseWall его не видит по стандартным для него настройкам-путям в реестре.
Сообщение от Surfer
2) Понял, а что делает "удалить навсегда" ? То есть это аналогично тому, что приложение больше не будет заноситься в недоверенные ?
Подскажите, как открыть доступ к файлам в локальной сети без отключения Outbond Firewall Protection? Порты 137-139 (winxp) открыты.
Чем грозит отключение этой функции?
Последний раз редактировалось tokzup; 15.12.2009 в 20:07.
Кстати почему даже для доверенного приложения порты закрыты?
Чтобы не пострадать от уязвимостей в нём, автор писал в первом сообщении темы:
Если приложение имеет дыры, которые могут быть проэксплуатированы злоумышленниками, то их дальнейшие попытки закрепиться в системе будут блокированы песочницей
Сообщение от Surfer
Есть какая-то база ? По каким признакам тогда выносится вердикт ?
Очень интересный вопрос, особенно если учесть, что программа различает полнофункциональные версии ПО и Runtime-огрызки, устанавливающиеся по тем же путям и с теми же именами. Не уверен, что автор захочет раскрывать своё ноу-хау.
Подскажите, как открыть доступ к файлам в локальной сети без отключения Outbond Firewall Protection?
А разве они закрыты? При входе в домен автоматически открываются SMB и NetBIOS порты, всё должно работать нормально. Если нет- нужно послать мне письмо на адрес поддержки, буду исследовать причину.
Добавлено через 2 минуты
Сообщение от Surfer
Почему недоступна кнопка добавления порта вручную ? Кстати почему даже для доверенного приложения порты закрыты ?
Так работает автоматическая защита.
Сообщение от Surfer
А это так и задуманно ? Есть какая-то база ? По каким признакам тогда выносится вердикт ?
По признаку доверенности/недоверенности процесса, открывшего слушающий порт.
Сообщение от Surfer
Кстати, предложение, вместо всплывающего "DefenseWall Personal Firewall 3.0" выводить список недоверенных exe-шников.
Это где такое окно у меня?
Добавлено через 50 секунд
Сообщение от Surfer
Ну так проблема в том, что сейчас я не могу открыть нужный порт. Приходится отключать защиту
Какой именно порт? Чьего приложения?
Добавлено через 32 секунды
Сообщение от Oyster
Не уверен, что автор захочет раскрывать своё ноу-хау.
Всё детально описано в первом посте.
Последний раз редактировалось rav; 16.12.2009 в 16:03.
Причина: Добавлено
Там не сказано, как программа различила файл C:\Program Files\Microsoft Office\Office12\msaccess.exe, принадлежащий полному Access и Access Runtime То есть начальные списки недоверенных процессов содержат не только пути к файлам. Что ещё содержат - не выпытываю Но ведь у недоверенной программы есть разные версии, а между ними могут быть хотфиксы и сервис-паки - их установка не должна делать программу доверенной. По поводу недоверенности неPE-файлов (документы, рисунки и пр.) - хорошо, программа знает про xls с макросами, но найдутся "активные" форматы других приложений, знать все невозможно. То есть, делая дабл-клик по недоверенному документу, я не уверен на 100%, что редактирующая его программа запустится недоверенной.
Так в режиме эксперта кнопка добавления порта тоже недоступна, или надо рестартить гуй ?
"Expert Mode" распространяется только на HIPS-систему. Для рученой настройки портов есть специальный режим, доступный в окне "Inbound Protection".
Сообщение от Surfer
Не окно, а трей
А смысл, если прямо на иконке написано количество недоверенных? А список не на всех версиях 2000-й будет работать, да и как часто он нужен будет?
Сообщение от Surfer
Вот сейчас utorrent находится в доверенных, однако его порт закрыт.
Ну да, всё правильно. Просто у меня всё наоборот- недоверенные работать со своими слушающими порты, доверенные- нет.
Сообщение от Surfer
Отключаю inbound protection, порт открыт.
А зачем так плохо делать? uTorrent доложен быть в недоверенной зоне как потенциальный источник угрозы. Тогда и порт будет открыт.
Сообщение от Surfer
Кстати неплохо для первой беты, комодовский ликтест почти пройден
Он не почти, он полностью пройден. FileDrop- это не тест.
Добавлено через 5 минут
Сообщение от Oyster
Там не сказано, как программа различила файл C:\Program Files\Microsoft Office\Office12\msaccess.exe, принадлежащий полному Access и Access Runtime
А он и не должен быть в недоверенных.
Сообщение от Oyster
То есть начальные списки недоверенных процессов содержат не только пути к файлам.
Нет, там находятся правила нахождения путей к нужному файлу.
Сообщение от Oyster
Но ведь у недоверенной программы есть разные версии, а между ними могут быть хотфиксы и сервис-паки - их установка не должна делать программу доверенной.
И не делает- в драйвер есть специальные средства контроля таких ситуаций.
Сообщение от Oyster
По поводу недоверенности неPE-файлов (документы, рисунки и пр.) - хорошо, программа знает про xls с макросами, но найдутся "активные" форматы других приложений, знать все невозможно. То есть, делая дабл-клик по недоверенному документу, я не уверен на 100%, что редактирующая его программа запустится недоверенной.
1. Пограмма ничего не знает про макросы где бы то ни было. Она знает только источник, откуда он пришёл.
2. При двойном щёлчке недоверенный документ MS Office должен открываться в недоверенной зоне. Если этого не происходит, то такое поведение есть предмет для разбирательств и правок.
Последний раз редактировалось rav; 16.12.2009 в 17:24.
Причина: Добавлено