DefenseWall HIPS

[Vneo]

В ноябре 2009 DefenseWall получил 1-е место по защите от вирусов у Anti-Malware, обойдя все навороченные антивирусы! Уважаю. http://www.anti-malware.ru/taxonomy/term/1257

[ALEX(XX)]

В ноябре 2009 DefenseWall получил 1-е место по защите от вирусов у Anti-Malware, обойдя все навороченные антивирусы! Уважаю. http://www.anti-malware.ru/taxonomy/term/1257

Конечно получит Суть работы программы такова.

[Veller]

Интересует такой вот каверзный момент.

На машине кроме антивирусов стоит sandboxie. Защита ХИПСом хорошо, но больно не нравится вычищать систему после запуска зловреда. Подскажите правильный алгоритм работы. Sandboxie перехватывает все вызовы запускаемой софтины внутри себя. А потом дает возможность сохранить в реальную систему файлы. Вот тут и есть закавыка. Sandboxie позволяет защитить реальную систему, но не дает знания о том, что программа не тихий зловред. Если sandboxie сделать недоверенным, то не помешает ли это ее работе. А если доверенным, то, выходит, файлы после переноса в реальную систему тоже будут доверенными.

Далее. Я далеко не домохозяйка, но интерфейс сбивает. У меня стоит firefox и используется расширение scrapbook. Сразу же после установки Defense Wall я получил ошибку сохранения файла при сохранении страницы. При этом все файлы благополучно сохранились. Ну к этом мы вернемся позже. так вот мне стало интересно, на каком файле затык. Смотрю в хипс. Он добавил в недоверенные папку куда сохранилась страница и там где файлы можно смотреть тоже путь к папке. Непонятна ругань скрапбука.
В окне "откат" ставлю мышь на эту папку и смотрю контекстное меню. Вижу пункт "разрешить". жму его - появляется диалог "вы точно хотите удалить" и путь к папке. Непонятно. Выбираю пункт "удалить". точно такой же диалог. бедная домохозяйка.

Далее иду в альбом скрапбука (через эксплорер. это просто обычная папка на диске). смотрю свойства
доверенный. небезопасный. разрешена модификация недоверенными. Непонятно, на что ругался скрапбук. там же у папки выбираю "разрешить модификацию недоверенным". Скрапбук больше не ругается. Снова смотрю свойства - такие же. Смотрю у другого альбома, который я не разрешал и скрапбук на него по прежнему ругается - такие же свойства.

Еще очень важный момент. Когда я добавляю ресурс какому то приложению ( в нашем случае те же альбомы к огнелису) то, пока ручками не дашь папке прав на модификацию всеми недоверенными, огнелис не может ничего сделать.
Разве просто указания, что данная папка относится к программе мало? Почему сначала проверяется список можно ли писать недоверенным, а потом уже конкретно проверяется программа? Позже вдруг я удалю запись про доступность из огнелиса, а разрешение всем писать остается. Это крупный недостаток.

Лог тоже малопонятен. Он показывает не все, а какую то часть, отбираемую по непонятному алгоритму. Удалить все чистит до нажатия кнопки обновить. Фильтрация не работает или не знаю как должна работать.

[rav]

Я так и не понял, в чём, собственно, сам вопрос?

Scrapbook полностью поддерживается системой правил. Сам им пользуюсь.

Ну а лог- он вообще-то не для пользователей создавался. Домохозяйке он нафиг не нужен.

[Veller]

1) вопрос состоит в том, как лучше использовать ХИПС не только совместно с антивирем и файрволлом (которые ему побоку), а еще и с другого вида песочницей, как sandboxie.

Остальное не вопросы, а непонятные/досадные моменты

2) Я не домохозяйка. Я домохозяин. Мне логи нужны . Сей продукт, куда бы он не шел, также идет и в нужном мне направлении - создание зон на машине с указанием кто может там хозяйничать и никому больше. Подработать юзабилити и не жалко будет купить продукт

3)scrapbook то поддерживается.
тут в другом затык. после установки хипс, я так понял, недоверенное может писать в папки, которые были раньше на машине. Хотя по справке я так понял, что это только download areas так могут.
так вот скрапбук не смогла без ругани писать. то есть она сохраняет, но при этом ругается. То есть как бы и разрешено и запрещено одновременно. пришлось явно указывать, что альбом в эту папку писать можно.
Но самое интересное в том, что инфо у папки до и после разрешения не изменилось вообще. А возможность писать появилась. Хотя может инфо тоже не для пользователей создавался. Тогда вообще никак нельзя узнать защищена папка или нет без метода тыка.

4) При назначении ресурсов приложению приходится идти и дополнительно указывать, что в них можно писать причем всем, а не только этому приложению.

немного соврал. пока писал, вопрос еще нарисовался
5) Вот я качнул какой то инсталлятор из инета. Он недоверенный. Мне надо его поставить. Он не ставится в режиме untrusted. Явно вызываю инсталлятор как доверенное. После установки софтина доверенная. Не очень то хорошо. Ведь ей доверили установится, а внутри установленной софтины может быть медленная бомба, которая проявит себя позже. Как защищаться то тогда?

ось: win 7 pro+nod32 антивирь+файрволл

[rav]

1) вопрос состоит в том, как лучше использовать ХИПС не только совместно с антивирем и файрволлом (которые ему побоку), а еще и с другого вида песочницей, как sandboxie.

Если честно, то не знаю. Люди на официальном английском форуме что-то писали, но мне некогда разбираться с такими спарками.

2) Я не домохозяйка. Я домохозяин. Мне логи нужны . Сей продукт, куда бы он не шел, также идет и в нужном мне направлении - создание зон на машине с указанием кто может там хозяйничать и никому больше. Подработать юзабилити и не жалко будет купить продукт

Ограничения по функционированию недоверенных приложений на данный момент не предусмотрены и в ближайшее время не будет. Я вообще не понимаю, зачем такое надо.

тут в другом затык. после установки хипс, я так понял, недоверенное может писать в папки, которые были раньше на машине.

В папки писать ещё никому не удавалось. Писать можно в файлы, которые там лежат, но это уже другая история. Не знаю, почему ругался scrapbook, но жалоб на такое его поведение пока не было.

4) При назначении ресурсов приложению приходится идти и дополнительно указывать, что в них можно писать причем всем, а не только этому приложению.

Ничего вообще не понял. Зачем такое нужно? Ресурсы ассоцируются с конкретными приложениями для защиты от пинчей, а если прописывать его всем подряд, то лучше от этого явно не станет.

5) Вот я качнул какой то инсталлятор из инета. Он недоверенный. Мне надо его поставить. Он не ставится в режиме untrusted. Явно вызываю инсталлятор как доверенное. После установки софтина доверенная. Не очень то хорошо. Ведь ей доверили установится, а внутри установленной софтины может быть медленная бомба, которая проявит себя позже. Как защищаться то тогда?

Часть срфта может быть установлена в недоверенной зоне, честь- нет. Всё зависит от конкретного набора функций, которые она пытается инициализировать.

[Veller]

Ограничения по функционированию недоверенных приложений на данный момент не предусмотрены и в ближайшее время не будет. Я вообще не понимаю, зачем такое надо.

Все уже предусмотрено. Это как раз защита от пинчей. Я указываю свою папку где лежат мои личные данные и назначаю софтины кому можно туда лазить+доверенные. Это уже есть. Не очень юзабельно (после инсталла программа не получает защищенное пространство в program files. В вин хр работа под юзером более понятна и логична, чем работа с UAC в вин 7(спорно нужно ли) а также смоотрите ниже), но есть. Еще такое я видел в KIS, но ставить этого монстра не желаю.

В папки писать ещё никому не удавалось. Писать можно в файлы, которые там лежат, но это уже другая история. Не знаю, почему ругался scrapbook, но жалоб на такое его поведение пока не было.
...
Ничего вообще не понял. Зачем такое нужно? Ресурсы ассоцируются с конкретными приложениями для защиты от пинчей, а если прописывать его всем подряд, то лучше от этого явно не станет.

Может у меня какая то не та версия (2.56), но вот я ставлю стену и огнелис сразу улетает в недоверенные. Однако он без проблем сохраняет страницы в любые папки, которые существовали до установки стены.
Врочем, имхо, это нормальное поведение. Мы просто друг друга не поняли.
А вот баг, похоже, происходит только со скрапбук. Пока явно не укажешь у папки, что можно писать недоверенным, даже добавление в ресурсы ничего не дает. Поведение нестабильно. Хочет пишет, хочет ругается.
Пока точную закономерность понять не удается.

Часть срфта может быть установлена в недоверенной зоне, честь- нет. Всё зависит от конкретного набора функций, которые она пытается инициализировать.

Странно. Сегодня поставил акронис тру имадж как антрастед. Машину пока не перегружал, но в автозагрузку акронис стал без проблем.

Но я не об этом. Просто у меня есть пара предложений.

1) Пускай инсталлятор, что хочет инициализирует. А вот после установки лучше было бы, если созданные ехешники были недоверенными. Хотя бы через время или после смерти процесса инсталлятора.

Допустим такую ситуацию.
Инсталлятор ставит софт в которой внутри есть зловред, ворующий данные. Чтобы не светиться, зловред активируется не сразу. Это уже не редкость. Инсталлятор доверенный, а ехешники, что он поставил, нет.
Так вот став недоверенным даже после установки доверенным инсталлятором этот зловред через время полезет в зону защищенных от пинчей ресурсов, где личка лежит и обломается, а заодно и себя выдаст.

2) Сделать такой режим запуска инсталлятора, когда он даже доверенный, не может влезть в защищенные ресурсы (а также ресурсы других приложений). Тогда даже доверенно запущенный пинч останется ни с чем. Но выдаст себя сразу.
Или режим такой сделать (хотя так хуже). Включили, поставили софтину, выключили.

Сейчас там есть защищенные файлы. Но с ними неудобно. Во-первых, они от доверенного инсталлятора не защитят. Во-вторых, они просто параноидальны. Даже указание защищенной папки в ресурсы какой то программы не дает доступа.
Приходитя дергать файлы из защищенной зоны во временную (как описано в хелпе). Но это же фигня выходит. С одной стороны защищаем, с другой для каждого чиха выводим файлы в открытое место.

Имхо, лучше бы был доступ к защищенным файлам тем программам, у которых есть доступ через их ресурсы. Ну а для доверенных уже предложил

зы: вообще софтина очень чудная. Гуи бы чуть проработать. Логи чтобы все отображались, фильтр работал, чистились по настоящему. Группировка созданных файлов для вменяемой чистки. Группировка приложений.

[rav]

Сии предложения совершенно не укладываются в архитектуру программы.

[Veller]

Интересно тогда, каким образом защищаются данные пользователей (защищенные файлы, и, допустим, профиль огнелиса с кучей приватной инфы) при запуске инсталлятора со зловредом как trusted?
Я видел громкие заявления, что при умелых руках даже антивирус не нужен.

[rav]

Доверенная зона на то и доверенная, что ей всё разрешено. Просто не нужно устанавливать зловредное ПО вручную доверенным.

В умелых руках антивирус не нужен. В неумелых ничто не поможет, глупость клинически неизлечима.

[Veller]

Каким образом можно узнать, что устанавливаемое приложение зловредное не установив его и не словив бяку? Антивирус? Хрустальный шар? Монетка? Это, увы, уход от ответа.
Только не надо говорить про лицензионный софт. Такие разговоры еще на форуме КИСа надоели. Подавляющее большинство качает отовсюду. Зарплаты не позволяют массе держать лицуху во всем. Домохозяйки так вообще запускают все подряд и если можно запустить как доверенное, то запустят. К тому же, если было бы возможно точно знать, где доверенное, а где нет, то и эта программа не нужна была бы и все антивирусы тоже.

Каковы вообще тогда цели создания продукта и на кого он ориентирован? Вроде платный. Почитав сей форум, сделал вывод, что для обычных людей. Но обычного он не защитит. Да и интерфейс не расположен к простоте. Для себя разве?

Задумка закрыть дыры извне в виде недоверия, в принципе, хороша. Но в погоне за идеалом забыли, что основная дыра сидит перед монитором и забабахает трастед для скачанной проги если той будет надо. И я в том числе. Потому что выбора нет. Не шаман я. Разве что я в песочницу закатаю или в виртуал бокс.

Вопрос остается в силе. Каким образом программа защитит от ручного повышения прав до трастед по глупости пользователя (а вариантов то и нету других, раз мои предложения вообще мимо архитектуры, хотя это всего лишь дополнительный вариант использования)? То есть типичный use case.

зы: что за морока с этими хипсами. в свое время вот так же следил за развитием хипс у кис. и тоже уходили от ответов. В итоге я с кис и свалил

[rav]

Программа никак не защитит пользователя от того, чтобы вручную запустить что-либо в доверенной зоне. Это невозможно. Она не предназначена для такого. Её основная задача- гасить drive-by-downloads malware. И всё.

[Veller]

Тогда почему бы не добавить такое? Чтобы был режим запуска, когда и от доверенной софтины были защищены ресурсы. Плюс еще и недоверие новому софту и тогда в умелых руках эта софтина действительно будет заменять юзеру хрустальный шар. За такое и не грех деньгу выложить на благо автору.

Я не знаю, какая там архитектура, но проблема большей частью упирается в логику работы с внутренней базой программы. То есть возможно и не совсем стыкуется, но не так уж невозможно.

[rav]

Тогда доверенная софтина просто поставит драйвер и кирдык защите. Всей. Короче говоря, хрустального шара нет и быть не может. Ни у кого. Никогда. Ни при каких обстоятельствах. Я не занимаюсь "вечными двигателями".

[Veller]

Я же говорю - в умелых руках.
Ну так если добавит драйвер, значит юзер-сам дурак. Далеко не каждой софтине нужен драйвер. Можно перехватить установку драйвера. Кис же ловит. И принять решение.

Такое поведение лишний раз заставить задуматься, а откуда софтина и присуще ли ей это поведение. А не тогда, когда уже думать не будет смысла, ибо поздно.

Жизнь есть жизнь и защититься от всего нельзя. Но еще больше поднять уровень защиты для знающих людей можно.