08.06.2009, 09:31
Widze ze musze sprostowac kilka rzeczy.
1. Test dotyczy wersji DefenseWall HIPS 2.44. Od tej wersji do chociazby wersji 2.46 duzo sie zmienilo. Aktualnie dostepna jest wersja 2.55.
2. Smiem stwierdzic ze test, lub osoba go przeprowadzajaca nie byla w pelni swiadoma zasady dzialania programu DefenseWall (uwaga, w opisy testowe innych programow sie nie zaglebialem). Dlaczego? O tym za chwilę.
Autor w swoim tescie-recenzji napisal m.in. ze:
# DW nie chroni niektorych procesow systemu Windows.
Nie jest to prawdą, DW wg specyfikacji ktora ma uwzgledniona we wbudowanej Ochronie zasobow, jasno okresla restrykcje danych programow i ogranicza ich ingerencje w procesy systemowe. Brak mozliwosci nadpisywania, modyfikowania, usuwania. Dobrze jest to widocznie chociazby w mojej prezentacji z przebiegu infekcji: DW VS msas2009.exe (
# DW nie zalicza testu "Clipboard hijack exploit demo - Adobe Clipboard Hijack"
I tak i nie - juz wyjasniam. Jest to dosc stary test od dawna dostepny na YT (
Ilya rowniez o tym wspominal w temacie:
Wiecej dowodow? OK. Wejdzcie na tę strone:
- Opera nic nie wyswietla, jednak nie pozwala na zadzialanie "Clipboard Hijack" - otworzcie notatnik i nacisnijscie CTRL+V, tekst ktory pierwotnie skopiowaliscie powinien byc niezmieniony.
- IE8, po kliknieciu na Snip It! pokazuje komunikat o tym ze przegladarka probuje zmodyfikowac zawartosc schowka systemowego. Jesli klikniecie Zezwol, tekst ktory pierwotnie skopiowaliscie zostanie zamieniony na cos takiego: "http://snipurl.com/joh65[raffon_net]"
Jesli w IE8 klikniecie na Nie zezwalaj - zawartosc schowka pozostanie nienaruszona tak jak w przypadku Opery.
Jak widac nowe IE8 zostalo wzbogacone o ochrone przed tego typu atakami, podczas gdy wersja na ktorej testowano tego typu infekcje byla wersja oznaczona numerem 7.
# Autor testu napisal ze DW posiada wbudowana baze 11 programow, ktore sa automatycznie oznaczane jako Niezaufane.
W rzeczywistosci lista ta jest znacznie bardziej obszerniejsza.
# Autor napisal o problemach z wykonywaniem przywracania/usuwania wpisow widocznych na liscie Przywroc.
Byc moze byla to wada wczesniejszych wersji DW. Poza tym DW nie wymaga od uzytkownika jakiejkolwiek ingerencji w liste Przywroc. Lista ta moze byc nietknieta a program nadal bedzie chronil uzytkownika. Nie mniej jednak jesli problem z czyszczeniem tej listy faktycznie wystepowal, zostal wyeliminowany w pozniejszych wersjach. Przyklad: moj test DW vs MSAS2009.exe - wszystko bezproblemowo usunalem z tej listy.
Podumowujac, zgadzam sie ze stwierdzeniem autora testu - nie ma programow zabezpieczajacych w 100% skutecznych, jednakze nie moge zgodzic sie ze sposobem przeprowadzenia testu, metodologia badania, oraz koncowymi wnioskami wynikajacymi ze zle przeprowadzonej procedury testowej.
1. Test dotyczy wersji DefenseWall HIPS 2.44. Od tej wersji do chociazby wersji 2.46 duzo sie zmienilo. Aktualnie dostepna jest wersja 2.55.
2. Smiem stwierdzic ze test, lub osoba go przeprowadzajaca nie byla w pelni swiadoma zasady dzialania programu DefenseWall (uwaga, w opisy testowe innych programow sie nie zaglebialem). Dlaczego? O tym za chwilę.
Autor w swoim tescie-recenzji napisal m.in. ze:
# DW nie chroni niektorych procesow systemu Windows.
Nie jest to prawdą, DW wg specyfikacji ktora ma uwzgledniona we wbudowanej Ochronie zasobow, jasno okresla restrykcje danych programow i ogranicza ich ingerencje w procesy systemowe. Brak mozliwosci nadpisywania, modyfikowania, usuwania. Dobrze jest to widocznie chociazby w mojej prezentacji z przebiegu infekcji: DW VS msas2009.exe (
[Aby zobaczyć linki, zarejestruj się tutaj]
)# DW nie zalicza testu "Clipboard hijack exploit demo - Adobe Clipboard Hijack"
I tak i nie - juz wyjasniam. Jest to dosc stary test od dawna dostepny na YT (
[Aby zobaczyć linki, zarejestruj się tutaj]
). To ze test ten nie zostaje zaliczony nie jest wina DefenseWall, ktory dziala na innych plaszczyznach. Efekt wykonania tego testu w systemie jest skutkiem jednej rzeczy: braku przegladarki, ktora chroni przed tego typu zagrozeniem. Podatnosc przegladarek internetowych jest spowodowana brakiem zabezpieczen i lukami w kodzie danej przegladarki, ktore to powoduja ze test ten nie zostaje zaliczony.Ilya rowniez o tym wspominal w temacie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Wiecej dowodow? OK. Wejdzcie na tę strone:
[Aby zobaczyć linki, zarejestruj się tutaj]
Skopiujcie i wklejcie w okienko widoczne na tej stronie jakikolwiek tekst po czym kliknijcie button Snip It!- Opera nic nie wyswietla, jednak nie pozwala na zadzialanie "Clipboard Hijack" - otworzcie notatnik i nacisnijscie CTRL+V, tekst ktory pierwotnie skopiowaliscie powinien byc niezmieniony.
- IE8, po kliknieciu na Snip It! pokazuje komunikat o tym ze przegladarka probuje zmodyfikowac zawartosc schowka systemowego. Jesli klikniecie Zezwol, tekst ktory pierwotnie skopiowaliscie zostanie zamieniony na cos takiego: "http://snipurl.com/joh65[raffon_net]"
Jesli w IE8 klikniecie na Nie zezwalaj - zawartosc schowka pozostanie nienaruszona tak jak w przypadku Opery.
Jak widac nowe IE8 zostalo wzbogacone o ochrone przed tego typu atakami, podczas gdy wersja na ktorej testowano tego typu infekcje byla wersja oznaczona numerem 7.
# Autor testu napisal ze DW posiada wbudowana baze 11 programow, ktore sa automatycznie oznaczane jako Niezaufane.
W rzeczywistosci lista ta jest znacznie bardziej obszerniejsza.
# Autor napisal o problemach z wykonywaniem przywracania/usuwania wpisow widocznych na liscie Przywroc.
Byc moze byla to wada wczesniejszych wersji DW. Poza tym DW nie wymaga od uzytkownika jakiejkolwiek ingerencji w liste Przywroc. Lista ta moze byc nietknieta a program nadal bedzie chronil uzytkownika. Nie mniej jednak jesli problem z czyszczeniem tej listy faktycznie wystepowal, zostal wyeliminowany w pozniejszych wersjach. Przyklad: moj test DW vs MSAS2009.exe - wszystko bezproblemowo usunalem z tej listy.
Podumowujac, zgadzam sie ze stwierdzeniem autora testu - nie ma programow zabezpieczajacych w 100% skutecznych, jednakze nie moge zgodzic sie ze sposobem przeprowadzenia testu, metodologia badania, oraz koncowymi wnioskami wynikajacymi ze zle przeprowadzonej procedury testowej.
Creer,
Member of the Alliance of Security Analysis Professionals
Member of the Alliance of Security Analysis Professionals