Comodo – internet security, piaskownica oraz Windows 8 x64

[Konto usunięte]

Jako że data publikacji tego artykułu może coś sugerować, to informuję aby rozwiać wątpliwości: to nie jest żart na prima aprilis.

Do napisania wpisu, który drogi czytelniku właśnie czytasz, zachęciło mnie wiele bardzo pozytywnych opinii na temat pakietu Comodo Internet Security. To nie wyjaśnia mojej premedytacji, więc uściślijmy: opinii pozytywnych, ale ślepych. Spotkałem się już z opiniami mówiącymi o tym, że jest to najlepszy pakiet i wszystko inne to zło i bieda, a w Comodo jest jedyny ratunek dla świata przed szkodliwym oprogramowaniem. Takie podejście to oczywiście bzdura, chociaż zgodzić się muszę z tym, że pakiet ten jest naprawdę rozbudowany, a atrakcyjny tym, bardziej, że dostępny zupełnie za darmo. Trapią go jednak przynajmniej trzy problemy, które postanowiłem tutaj wymienić.

[h2] Czy to oby na pewno internet security?[/h2]
No właśnie, czy naprawdę Comodo można nazwać rasowym pakietem internet security? Moim zdaniem, nie można. Przede wszystkim, brakuje mu modułu antyspamowego oraz kontroli rodzicielskiej. Sam używam do obsługi poczty głównie webmaila, więc podobne osoby mogłyby do mnie napisać, że przecież mało kto teraz używa klienta pocztowego. Nie uwierzę, póki nie zobaczę jakichś wiarygodnych statystyk. Kontrola rodzicielska to również ważny element. Można znowu powiedzieć, że oferuje nam to najczęściej system operacyjny… czy jednak jest ona tak zaawansowana, jak w wielu konkurencyjnych dla Comodo pakietach? Skoro inni producenci byli w stanie wyposażyć ich produkty w taką opcję, to czy nie może tego zrobić Comodo?

Kolejna rzecz: czy znalazł ktoś w tym pakiecie skaner www? Mamy antywirusa, mamy fork przeglądarki Chromium z dodatkowym sprawdzaniem certyfikatów, ale czy jest skanowanie przeglądanych stron? Ma to nam zapewnić użycie dedykowanych serwerów DNS od Comodo, ale taka czarna lista nadal nie będzie spełniała swojego zadania tak samo, jak analiza treści na stron. Co się stanie, jeżeli zaufana strona zostanie zainfekowana i przestanie być bezpieczna? Po jakim czasie zmiana zostanie zapisana w DNSach Comodo? Jest jeszcze Site Inspector, ale nie działa automatycznie, tylko po ręcznym podaniu przez nas adresu, a więc trudno nazwać go użytecznym.

[h2] Piaskownica, która nie jest piaskownicą[/h2]
Na drugi ogień pójdzie piaskownica. Tak naprawdę ciężko ten twór nazywać nazwać piaskownicą, bo jest to solidna nadinterpretacja. Ciekawe czy ktoś z osób, które przeczytają ten wpis zaglądał do ustawień. Sądzę, że chociaż część to zrobiła. Tutaj kolejne pytanie – kto zdaje sobie sprawę z tego, jaką ochronę dają ustawienia domyślne, a jaką inne poziomy działania? Piaskownica domyślnie traktuje nieznane aplikacje jako „częściowo limitowane”. Co to oznacza? Zajrzyjmy do z

[Aby zobaczyć linki, zarejestruj się tutaj]

przygotowanej przez Comodo:

Partially Limited - The application is allowed to access all the Operating system files and resources like clipboard. Modification of protected files/registry keys is not allowed. Privileged operations like loading drivers or debugging other applications are also not allowed.

Teraz zadajmy sobie proste pytanie: co to ma związanego z wirtualizacją? Czy to funkcjonuje jak np. oprogramowanie Sandboxie, które wydziela stosowny obszar na dysku i na nim pozwala na „emulowanie” dla aplikacji fragmentu systemu? Nie za bardzo. Jeżeli przejrzymy inne możliwe opcje przekonamy się, że nadal nie spełniają one założeń piaskownicy. To co oferuje Comodo to nie piaskownica, wirtualizacja, ale narzucanie aplikacji ograniczeń – ciągle działa ona jednak w faktycznym systemie. Jak widać, mylne nazewnictwo występuje w produktach Comodo nie po raz pierwszy. Zresztą, wystarczy przeczytać opis domyślnej opcji aby wiedzieć, dlaczego wszelkie „patchery” zmieniające nam np. pliki wykonywalne w celu złamania zabezpieczeń producenta nie są w ogóle blokowane na domyślnych ustawieniach. Mogą robić to co zamierzają i jest to jak najbardziej zgodne z zamierzeniami.

[center] [attachment=1] <!-- ia1 -->cis_sandbox.png<!-- ia1 -->[/attachment] [/center]

Inaczej sprawa wygląda z Virtual Kiosk, ale on jest przeznaczony „tylko” dla przeglądarki internetowej no i nie zapewnia ochrony w wypadku nieznanych aplikacji, bo nie możemy w jego poziomu ich uruchamiać. Jeżeli natomiast chcemy mieć pełnię kontroli nad aplikacjami, powinniśmy wyłączyć „piaskownicę” i reagować odpowiednio na komunikaty otrzymywane przez HIPsa – potężne narzędzie, składnik pakietu dający nam kontrolę nad wszystkimi aplikacjami. Jego wada to fakt, że gdy aplikacja nie znajdująca się na liście dozwolonych próbuje coś zrobić, otrzymujemy od razu komunikat z możliwością decyzji, czy jej na daną akcję zezwolimy. Ten bloker został wprowadzony właśnie po to, aby ograniczyć dużą ilość komunikatów generowanych przez HIPSa. Tak naprawdę w sytuacji gdy nie zmieniamy oprogramowania codziennie, to po stworzeniu list z regułami w zasadzie mamy święty spokój, pomimo wyłączonej piaskownicy. Inna broszka, czy w ogóle rozumiemy o czym on nas informuje i czy wiemy, jak powinniśmy zareagować.

[h2] Kernel Patch Protection[/h2]
Drugi problem jest znacznie poważniejszy, chociaż również dotyczy domyślnych ustawień. Dotyczy on system operacyjnego Windows 8 w wersji 64-bitowej. Wersje pod taką architekturę posiadają specjalny mechanizm ochrony jądra Kernel Patch Protection (Patchguard), który ma na celu uniemożliwienie dokonywania w nim zmian. Mechanizm ten powodu również brak możliwości używania niektórych elementów systemu, a w wypadku oprogramowania zabezpieczającego „podpinanie się” i monitorowanie dostępu do zasobów. W wypadku Windows 8 został on zaostrzony, w efekcie czego przez pewien czas wiele programów typu HIPS nie było w stanie monitorować niektórych elementów. W chwili pisania tego artykułu pozwala na to już opublikowana po 5 miesiącach od wydania systemu nowa wersja polskiego SpySheltera, popularna Zemana Antilogger natomiast nadal nie reaguje na uchwyty do klawiatury, zasobnika czy przechwytywania ekranu.

[center] [attachment=0] <!-- ia0 -->cis_hips.png<!-- ia0 -->[/attachment] [/center]

Gdzie tu jest miejsce na Comodo? Jak już wspomniałem w tym wpisie, posiada on dosyć zaawansowany HIPS, który spisuje się bardzo dobrze. Owszem, tak było do tej pory i nie sprawia on żadnych problemów w Windows 7 x64. W Windows 8 natomiast również milczy przy wielu akcjach, przede wszystkim przy keyloggerach i screenloggerach – jest więc dziurawy, niczym sito. Co ciekawe, jest na to rada. Wystarczy w ustawieniach HIPSa włączyć rozszerzoną ochronę, lub przestawić pakiet na konfigurację ochrony proaktywnej, a zostanie to aktywowane. Po tym tylko ponowne uruchamianie i... gotowe, HIPS znowu będzie w stanie normalnie monitorować aplikacje. Pytanie brzmi: skoro producent zdaje sobie sprawę z tego, że moduł o największych możliwościach z jego pakietu jest kulawy na ustawieniu „internet security”, to dlaczego w instalatorze nie aktywuje domyślnie rozszerzonej ochrony dla 64-bitowej edycji Windows 8? W wypadku tego systemu jest to wręcz musowe działanie, jeżeli ten pakiet na spełniać swoje zadanie.

[h2] Podsumowanie[/h2]
Na koniec napiszę, że to nie ma być tekstu typu „Comodo jest złe”, bo takie zdanie nie jest prawdziwe. Uważam, że można się jedynie cieszyć z tego, że jakaś firma oferuje pakiet tego typu zupełnie za darmo. Nie można go jednak uważać za idealny. Warto mieć oczy otwarte na możliwe błędy, potknięcia, lub celowe zabiegi marketingowe, które są domeną naszych czasów. Wpis ten z pewnością nie jest odpowiednim miejsce na ocenę tego pakietu jako całości, więc o ile będę miał nieco czasu, postaram się takową zaprezentować w przyszłości. Tymczasem zachęcam użytkowników do lepszego poznania narzędzi z których korzystają, tym bardziej, że często opisy oferowane przez producenta dosyć szczegółowo poruszają tę tematykę.