Rzadko raczej odwołuję się do swoich wypowiedzi w innych miejscach, ale postanowiłem zrobić spory wyjątek, bo dyskusja na temat SpySheltera rozwinęła się zupełnie przypadkowo w wątku na temat typu "Czy AV naprawdę jest potrzebny?" na forum MT...mam nadzieję, że to będzie może początek jakiejś szerszej dyskusji o tym, co jeszcze i jak "wycisnąć" z SS, by zwiększyć jego funkcjonalność...poszerzyć jej zakres i skuteczność. Może odezwie się również @Kot_Pocztowy lub jeden z uczestników źródłowej dyskusji, który i u nas forum również gości - @andybear.
Tytułem wprowadzenia...SS od pewnego momentu swojego rozwoju kojarzy mi się z porzuconym już blokerem behawioralnym/HIPS-em o nazwie ThreatFire. Dzieje się tak, ponieważ obydwa programy oferują jakby "modularnie" uruchamianą ochronę nie tylko dzięki uaktywnianym zwyczajowym opcjom, ale poprzez włączenie tych niejako ukrytych i nieoczywistych, które pokazują się dopiero w trakcie połączenia pozornie odległych, niezwiązanych ze sobą funkcji. Dlatego ta "niejednoznaczność" SS tak mnie pociąga i pozwala na swój użytek wciąż odkrywać w nim nowe możliwości...dlatego też nawiązanie do TF, bo dopiero po latach odkrywam, porównując go z innymi rozwiązaniami zauważam, jak innowacyjny program to był i chyba jak wiele stracono porzucając go lata temu.
Dlaczego piszę o tych ukrytych funkcjach?...bo o takich zaczęto mówić podczas dyskusji we wspomnianym wątku, a bardziej szczegółowo o:
- zmodyfikowanie tak SS, by posiadał funkcję automatycznego globalnie ustawionego blokowania (lub zezwalania) pewnym grupom aplikacji czy lokalizacjom
- oferowanych do ustawienia zdefiniowanych poziomów ochrony i ich wspólnego działania wraz z opcją "Blokuj automatycznie podejrzane aplikacje" (Ustawienia/Ochrona)
- oraz rozważań na temat zastosowania łącznie z tym lub osobno opcji wykluczania z ochrony folderów, a właściwie raczej zablokowania w regułach takiego folderu.
Wspomniany wątek
OK...wracam po chwilowej acz koniecznej nieobecności, bo to dopiero był początek
Tematycznie jakby dyskusja dotknęła trzech głównych zagadnień i po kolei więc
Poziomy ochrony - w tych rozważaniach połączone z funkcją automatycznego blokowania nieznanych procesów, ale również nieznanych/podejrzanych akcji (wykazanych w liście monitorowanych akcji) dla znanych już wcześniej procesów i dla jasności testów z wykasowaniem do zera wszystkich reguł (w panelu kontroli startu aplikacji również). Z testów wynikało, że
- na poziomie najwyższym czyli "pytaj użytkownika" - bez zapisanej jakiejkolwiek reguły niczego nie dało się uruchomić...żadnych aplikacji bez względu na sposób uruchomienia, żadnych procesów systemowych (np. Panel sterowania), nie udało się nawet zamknąć systemu. Wszystko z powodu zablokowania procesu explorer.exe i nawet wewnętrzne listy zaufanych certyfikatów niczego nie zmieniły...były w tym przypadku bezużyteczne
- na poziomie "automat. zezwól - wysoki poziom" - znane aplikacje mogły się uruchomić, ale SS automatycznie stworzył dość sporo reguł blokujących...zaufane certyfikaty pomogły o tyle, że aplikacje mogły się uruchomić i zostały dopuszczone ich akcje "niekrytyczne" dla systemu (jak na koncie zwykłego użytkownika?)
- na poziomie "automat. zezwól - średni poziom" - do listy zablokowanych zostały dodane akcje "krytyczne" (#26, 48, 50), a większość została zezwolona automatycznie bez dopisania do listy reguł
- poziom "zezwól aplikacjom Microsoft" - nie zauważyłem zablokowanych akcji ani w działaniu, ani na liście reguł...do listy dodano kilka reguł zezwalających.
Jak widać SS różnicuje nie tylko sposób reagowania na działanie aplikacji/procesu, ale również sposób ich dokumentowania w postaci logu i wpisów do listy reguł.
Wykluczone foldery - to opcja, której pomysł użycia do stworzenia reguł automatycznego blokowania wrzucił w temat Andy...to gość z raczej analitycznym i skrupulatnym podejściem do rozpatrywanych tematów i chwała mu za to
Był to na tyle inspirujący pomysł i chyba nigdy przeze mnie nie widziany, że pomyślałem że sprawdza się powiedzenie "najciemniej jest pod latarnią". Wykluczanie służy z definicji spowodowania, by procesy uruchamiane z tej lokalizacji nie będą generować alertów...SS będzie je pomijał w kontrolowaniu czyli do wyłączenia lokalizacji z ochrony realizowanej przez SS.
Nowość polegała na tym, że zamiast lokalizacji w ten sposób zezwolić na wszystkie akcje, to my zablokujemy wszystkie akcje - to jest możliwe z poziomu menu kontekstowego myszy. Kolejne testy na konkretnym folderze - chodziło o dane użytkownika i aplikacji (różne w różnych systemach np. "C:\Users\nazwa użytkownika\") pozwoliły zaobserwować, że
- regularny instalator programu został w pewnym momencie zablokowany i otrzymano systemowy komunikat o przerwaniu instalacji (część instalacji przechodziła przez foldery tymczasowe)
- aplikacja portable, która uruchamiana była ze spakowanego archiwum dała radę się otworzyć, ale część akcji była automatycznie zablokowana (lista reguł i log)
- aplikacja uruchamiana z pojedynczego pliku EXE normalnie się otworzyła i działała bez problemu (w folderach tymczasowych użytkownika nie otwierał się żaden proces)
Wyglądało na to, że jeśli przez zablokowany folder przechodzą jakieś procesy tymczasowe, to ich akcje podlegają filtrowaniu i blokowaniu...nie jest jednak jasna reguła w jaki sposób SS blokuje specyficzne akcje, a inne zezwala.
Ograniczone foldery - to funkcja wprowadzona wiele lat temu równocześnie z funkcją ograniczeń dla aplikacji, choć mało jest znana i nie od razu oczywista...jest zupełnie czymś innym, niż widoczna i dostępna w ustawieniach funkcja ochrony wybranych folderów. Jest dla mnie czymś bardzo atrakcyjnym, bo pozwala nakładać restrykcje na obszary "zwiększonego ryzyka" czyli np. na pliki pobierane z sieci, na obce dokumenty, na kolekcjonowane instalatory programów przeróżnej proweniencji. Używam tej funkcji od momentu jej wprowadzenia i mam dość mocne poczucie, że to znacznie poprawia moje bezpieczeństwo nie dopuszczając do uruchomienia nieuprawnionych aplikacji/procesów. Po raz kolejny podkreślam również, że do prawidłowego działania należy również dodać możliwość zapisu do folderów objętych restrykcjami (zakładka "Foldery z dostępem zapisu) - w przeciwnym wypadku nie zapiszemy w nich niczego.
Na koniec jeszcze jedna uwaga - Andy zauważył w swoich testach, że SS w przypadku wykluczonych folderów pozwala na uruchamianie aplikacji bez zaufanego podpisu, co niestety może mieć niedobre konsekwencje...w przypadku folderów objętych restrykcjami SS nie pozwalał na to. Wykorzystanie więc blokowania wykluczonych folderów jest interesującą koncepcją, ale wymaga ona dalszych i głębszych analiz...a może jakiś informacji...wyjaśnień...producenta?
Tytułem wprowadzenia...SS od pewnego momentu swojego rozwoju kojarzy mi się z porzuconym już blokerem behawioralnym/HIPS-em o nazwie ThreatFire. Dzieje się tak, ponieważ obydwa programy oferują jakby "modularnie" uruchamianą ochronę nie tylko dzięki uaktywnianym zwyczajowym opcjom, ale poprzez włączenie tych niejako ukrytych i nieoczywistych, które pokazują się dopiero w trakcie połączenia pozornie odległych, niezwiązanych ze sobą funkcji. Dlatego ta "niejednoznaczność" SS tak mnie pociąga i pozwala na swój użytek wciąż odkrywać w nim nowe możliwości...dlatego też nawiązanie do TF, bo dopiero po latach odkrywam, porównując go z innymi rozwiązaniami zauważam, jak innowacyjny program to był i chyba jak wiele stracono porzucając go lata temu.
Dlaczego piszę o tych ukrytych funkcjach?...bo o takich zaczęto mówić podczas dyskusji we wspomnianym wątku, a bardziej szczegółowo o:
- zmodyfikowanie tak SS, by posiadał funkcję automatycznego globalnie ustawionego blokowania (lub zezwalania) pewnym grupom aplikacji czy lokalizacjom
- oferowanych do ustawienia zdefiniowanych poziomów ochrony i ich wspólnego działania wraz z opcją "Blokuj automatycznie podejrzane aplikacje" (Ustawienia/Ochrona)
- oraz rozważań na temat zastosowania łącznie z tym lub osobno opcji wykluczania z ochrony folderów, a właściwie raczej zablokowania w regułach takiego folderu.
Wspomniany wątek
[Aby zobaczyć linki, zarejestruj się tutaj]
OK...wracam po chwilowej acz koniecznej nieobecności, bo to dopiero był początek
Tematycznie jakby dyskusja dotknęła trzech głównych zagadnień i po kolei więc
Poziomy ochrony - w tych rozważaniach połączone z funkcją automatycznego blokowania nieznanych procesów, ale również nieznanych/podejrzanych akcji (wykazanych w liście monitorowanych akcji) dla znanych już wcześniej procesów i dla jasności testów z wykasowaniem do zera wszystkich reguł (w panelu kontroli startu aplikacji również). Z testów wynikało, że
- na poziomie najwyższym czyli "pytaj użytkownika" - bez zapisanej jakiejkolwiek reguły niczego nie dało się uruchomić...żadnych aplikacji bez względu na sposób uruchomienia, żadnych procesów systemowych (np. Panel sterowania), nie udało się nawet zamknąć systemu. Wszystko z powodu zablokowania procesu explorer.exe i nawet wewnętrzne listy zaufanych certyfikatów niczego nie zmieniły...były w tym przypadku bezużyteczne
- na poziomie "automat. zezwól - wysoki poziom" - znane aplikacje mogły się uruchomić, ale SS automatycznie stworzył dość sporo reguł blokujących...zaufane certyfikaty pomogły o tyle, że aplikacje mogły się uruchomić i zostały dopuszczone ich akcje "niekrytyczne" dla systemu (jak na koncie zwykłego użytkownika?)
- na poziomie "automat. zezwól - średni poziom" - do listy zablokowanych zostały dodane akcje "krytyczne" (#26, 48, 50), a większość została zezwolona automatycznie bez dopisania do listy reguł
- poziom "zezwól aplikacjom Microsoft" - nie zauważyłem zablokowanych akcji ani w działaniu, ani na liście reguł...do listy dodano kilka reguł zezwalających.
Jak widać SS różnicuje nie tylko sposób reagowania na działanie aplikacji/procesu, ale również sposób ich dokumentowania w postaci logu i wpisów do listy reguł.
Wykluczone foldery - to opcja, której pomysł użycia do stworzenia reguł automatycznego blokowania wrzucił w temat Andy...to gość z raczej analitycznym i skrupulatnym podejściem do rozpatrywanych tematów i chwała mu za to
Był to na tyle inspirujący pomysł i chyba nigdy przeze mnie nie widziany, że pomyślałem że sprawdza się powiedzenie "najciemniej jest pod latarnią". Wykluczanie służy z definicji spowodowania, by procesy uruchamiane z tej lokalizacji nie będą generować alertów...SS będzie je pomijał w kontrolowaniu czyli do wyłączenia lokalizacji z ochrony realizowanej przez SS. Nowość polegała na tym, że zamiast lokalizacji w ten sposób zezwolić na wszystkie akcje, to my zablokujemy wszystkie akcje - to jest możliwe z poziomu menu kontekstowego myszy. Kolejne testy na konkretnym folderze - chodziło o dane użytkownika i aplikacji (różne w różnych systemach np. "C:\Users\nazwa użytkownika\") pozwoliły zaobserwować, że
- regularny instalator programu został w pewnym momencie zablokowany i otrzymano systemowy komunikat o przerwaniu instalacji (część instalacji przechodziła przez foldery tymczasowe)
- aplikacja portable, która uruchamiana była ze spakowanego archiwum dała radę się otworzyć, ale część akcji była automatycznie zablokowana (lista reguł i log)
- aplikacja uruchamiana z pojedynczego pliku EXE normalnie się otworzyła i działała bez problemu (w folderach tymczasowych użytkownika nie otwierał się żaden proces)
Wyglądało na to, że jeśli przez zablokowany folder przechodzą jakieś procesy tymczasowe, to ich akcje podlegają filtrowaniu i blokowaniu...nie jest jednak jasna reguła w jaki sposób SS blokuje specyficzne akcje, a inne zezwala.
Ograniczone foldery - to funkcja wprowadzona wiele lat temu równocześnie z funkcją ograniczeń dla aplikacji, choć mało jest znana i nie od razu oczywista...jest zupełnie czymś innym, niż widoczna i dostępna w ustawieniach funkcja ochrony wybranych folderów. Jest dla mnie czymś bardzo atrakcyjnym, bo pozwala nakładać restrykcje na obszary "zwiększonego ryzyka" czyli np. na pliki pobierane z sieci, na obce dokumenty, na kolekcjonowane instalatory programów przeróżnej proweniencji. Używam tej funkcji od momentu jej wprowadzenia i mam dość mocne poczucie, że to znacznie poprawia moje bezpieczeństwo nie dopuszczając do uruchomienia nieuprawnionych aplikacji/procesów. Po raz kolejny podkreślam również, że do prawidłowego działania należy również dodać możliwość zapisu do folderów objętych restrykcjami (zakładka "Foldery z dostępem zapisu) - w przeciwnym wypadku nie zapiszemy w nich niczego.
Na koniec jeszcze jedna uwaga - Andy zauważył w swoich testach, że SS w przypadku wykluczonych folderów pozwala na uruchamianie aplikacji bez zaufanego podpisu, co niestety może mieć niedobre konsekwencje...w przypadku folderów objętych restrykcjami SS nie pozwalał na to. Wykorzystanie więc blokowania wykluczonych folderów jest interesującą koncepcją, ale wymaga ona dalszych i głębszych analiz...a może jakiś informacji...wyjaśnień...producenta?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"