02.06.2013, 20:39
Po ostatnich dyskusjach odnośnie Comodo zdecydowałem się wykonać test blokera behawioralnego, zwanego przez Comodo szumnie (i niesłusznie) piaskownicą.
Założenia:
System: Windows 7 Professional SP1 32-bit (VirtualBox)
Wersja pakietu: 32-bit, najnowsza stabilna w chwili tworzenia testu
Ustawienia: domyślne + wykluczenie ze skanowania antywirusem folderu z testerami
Programy testowe były uruchamiane w obrębie "sandboxa".
Programy testowe:
- SpyShelter AntiTest
- Zemana Keylogger Test
- Zemana Clipboard Test
- Anti-KeyLogger Tester 3.0
Wyniki:
Comodo test oblał niemal całkowicie.
Zablokowane zostały jedynie akcje próbujące naruszyć rejestr w teście SpySheltera. Cała reszta, tj. klawiatura, schowek, screenshooty były do dyspozycji programów testujących. Tylko potwierdza to moje słowa z
Antywirus może zagrożenie tego typu przepuścić, co zasugerowałem omijając go. Domyślnie wykrywa on produkty Zemany jako malware, inne zignorował. HIPS jest na domyślnych ustawieniach wyłączony, więc całkowicie go pomijamy. Bloker behawioralny, który nie jest piaskownicą ma dosyć niewielkie ograniczenia w domyślnych ustawieniach, bez problemu zezwala na ustawianie uchwytów na klawiaturę czy schowek. Gdy malware ma już nasze przechwycone dane, wysyła je do atakującego bez problemów, bo zapora na trybie bezpiecznym ma dwie reguły, które pozwalają na cały ruch wychodzący i przychodzący... Po prostu jakby była zapora, ale jednak jej nie ma.
Testy wypadły słabiutko, ale nie to jest najgorsze. Na systemach 64-bitowych program zachowa się jeszcze gorzej, bo przez mechanizm ochrony kernela systemowego w ogóle nie będzie w stanie monitorować innych aplikacji. Jest to szczególnie widoczne w najnowszym Windows 8. Jako że udział systemów x64 rośnie, jest to poważne zagrożenie.
Co można zrobić?
Przede wszystkim, zmienić konfigurację na proaktywną. Uruchamia to moduł HIPS, a także włącza rozszerzoną ochronę w systemie 64-bitowym - program przestaje być bezbronny i może normalnie monitorować akcje. Drugie moje zalecenie to zwiększenie poziomu restrykcji blokera behawioralnego na poziom "ograniczone". Pozwoli to zablokować dostęp do uchwytów, a w takiej "piaskownicy" powinniśmy uruchamiać tylko niezaufane aplikacje. Trzecia sprawa to zmiana poziomu ochrony zapory na tryb własnych reguł. Możemy pomóc sobie automatycznym tworzeniem reguł dla bezpiecznych aplikacji, aby uniknąć alertów dla podpisanych, zaufanych programów. O reszcie powinniśmy decydować samodzielnie. Ostatnia sprawa jest prosta - używajmy mózgu. Nie tylko w sensie korzystaniainternetu, ale i trzeźwego podejścia do PRowej gadki, takiej jak ta o ochronie Comodo.
Test na YouTube:
Założenia:
System: Windows 7 Professional SP1 32-bit (VirtualBox)
Wersja pakietu: 32-bit, najnowsza stabilna w chwili tworzenia testu
Ustawienia: domyślne + wykluczenie ze skanowania antywirusem folderu z testerami
Programy testowe były uruchamiane w obrębie "sandboxa".
Programy testowe:
- SpyShelter AntiTest
- Zemana Keylogger Test
- Zemana Clipboard Test
- Anti-KeyLogger Tester 3.0
Wyniki:
Comodo test oblał niemal całkowicie.
Zablokowane zostały jedynie akcje próbujące naruszyć rejestr w teście SpySheltera. Cała reszta, tj. klawiatura, schowek, screenshooty były do dyspozycji programów testujących. Tylko potwierdza to moje słowa z
[Aby zobaczyć linki, zarejestruj się tutaj]
dotyczącego tego, że piaskownica w Comodo tak naprawdę piaskownicą nie jest i jest to ogromna nadinterpretacja tej nazwy. Ogólnie mamy tutaj 4 warstwy ochrony: antywirus, HIPS, sandbox oraz firewall. W wypadku ataku skierowanego na pozyskanie np. naszych danych autoryzacyjnych, naszej tożsamości, nie możemy liczyć na Comodo bez ingerencji w jego ustawienia.Antywirus może zagrożenie tego typu przepuścić, co zasugerowałem omijając go. Domyślnie wykrywa on produkty Zemany jako malware, inne zignorował. HIPS jest na domyślnych ustawieniach wyłączony, więc całkowicie go pomijamy. Bloker behawioralny, który nie jest piaskownicą ma dosyć niewielkie ograniczenia w domyślnych ustawieniach, bez problemu zezwala na ustawianie uchwytów na klawiaturę czy schowek. Gdy malware ma już nasze przechwycone dane, wysyła je do atakującego bez problemów, bo zapora na trybie bezpiecznym ma dwie reguły, które pozwalają na cały ruch wychodzący i przychodzący... Po prostu jakby była zapora, ale jednak jej nie ma.
Testy wypadły słabiutko, ale nie to jest najgorsze. Na systemach 64-bitowych program zachowa się jeszcze gorzej, bo przez mechanizm ochrony kernela systemowego w ogóle nie będzie w stanie monitorować innych aplikacji. Jest to szczególnie widoczne w najnowszym Windows 8. Jako że udział systemów x64 rośnie, jest to poważne zagrożenie.
Co można zrobić?
Przede wszystkim, zmienić konfigurację na proaktywną. Uruchamia to moduł HIPS, a także włącza rozszerzoną ochronę w systemie 64-bitowym - program przestaje być bezbronny i może normalnie monitorować akcje. Drugie moje zalecenie to zwiększenie poziomu restrykcji blokera behawioralnego na poziom "ograniczone". Pozwoli to zablokować dostęp do uchwytów, a w takiej "piaskownicy" powinniśmy uruchamiać tylko niezaufane aplikacje. Trzecia sprawa to zmiana poziomu ochrony zapory na tryb własnych reguł. Możemy pomóc sobie automatycznym tworzeniem reguł dla bezpiecznych aplikacji, aby uniknąć alertów dla podpisanych, zaufanych programów. O reszcie powinniśmy decydować samodzielnie. Ostatnia sprawa jest prosta - używajmy mózgu. Nie tylko w sensie korzystaniainternetu, ale i trzeźwego podejścia do PRowej gadki, takiej jak ta o ochronie Comodo.
Test na YouTube:
[Aby zobaczyć linki, zarejestruj się tutaj]